Опубликованы экстренные корректирующие выпуски Firefox 72.0.1 и 68.4.1, в которых устранена критическая уязвимость (CVE-2019-17026), позволяющая организовать выполнение кода при открытии определённым образом оформленных страниц. Опасность усугубляется тем, что ещё до внесения исправления зафиксированы факты совершения атак с использованием данной уязвимости и в руках злоумышленников находится рабочий эксплоит. Всем пользователям Firefox рекомендуется срочно обновить браузер, а пользователям Tor Browser необходимо дождаться выхода обновления 9.0.4, которое будет опубликовано в течение нескольких часов. Следы совершении атак с использование 0-day уязвимости были обнаружены китайским производителям антивирусного ПО Qihoo 360. Проблема вызвана некорректным определением типа элементов массива при выполнении операций StoreElementHole и FallibleStoreElement в объектном … Читать далее Обновление Firefox 72.0.1 и 68.4.1 с устранением критической 0-day уязвимости

Комментируя намерение разработчиков Fedora вклюить по умолчанию фоновый процесс earlyoom для раннего реагирования на нехватку памяти в системе, Леннарт Поттеринг (Lennart Poettering) рассказал о планих по интеграции в systemd другого решения — oomd. Обработчик oomd развивает компания Facebook, сотрудники которой также разрабатывают подсистему ядра PSI (Pressure Stall Information), при помощи которой обработчик нехватки памяти в пространстве пользователя может более точно оценить уровень загруженности системы и характер замедления работы. Оomd находится на финальной стадии создания универсального продукта, пригодного для любых рабочих нагрузок без проведения дополнительного тюнинга. После того как в ядро Linux будут добавлены последние недостающие компоненты интерфейса PSI («iocost»), компания … Читать далее В systemd ожидается включение обработчика нехватки памяти oomd, разработанного в Facebook

Опубликован релиз web-браузера qutebrowser 1.9.0, предоставляющего минимальный графический интерфейс, не отвлекающий от просмотра содержимого, и систему навигации в стиле текстового редактора Vim, построенную целиком на клавиатурных комбинациях. Код написан на языке Python с использованием PyQt5 и QtWebEngine. Исходные тексты распространяются под лицензией GPLv3. Применение Python не сказывается на производительности, так как отрисовка и разбор контента осуществляется силами движка Blink и библиотеки Qt. Браузер поддерживает систему вкладок, менеджер загрузок, режим приватного просмотра, встроенный просмотрщик PDF (pdf.js), систему блокировки рекламы (на уровне блокировки хостов), интерфейс для просмотра истории посещений. Для просмотра видео в YouTube можно настроить вызов внешнего видеопроигрывателя. Перемещение по странице … Читать далее Доступны web-браузеры qutebrowser 1.9.0 и Tor Browser 9.0.3

Компания Sonos, получившая известность как производитель умных музыкальных колонок, подала судебный иск против Google с обвинением в нарушении пяти патентов, в том числе охватывающих технологию для организации беспроводной связи и синхронизации громкоговорителей между собой. Sonos требует у суда не только денежной компенсации, но и запрета продажи умных динамиков, смартфонов и ноутбуков Google на территории США. При этом, по словам руководителя Sonos, претензии компании не столько касаются патентов и Google, сколько общей тенденции подавления мелких пионеров рынка крупными корпорациями. Дело рассматривается как кульминация многолетней растущей зависимости от Google и Amazon, которые использовали свои ресурсы для вытеснения компании меньшего размера. Иск подан … Читать далее Компания Sonos начала патентное разбирательство против Google

Представлен релиз специализированного дистрибутива Tails 4.2 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ (1.1 ГБ), способный работать в Live-режиме. Основные изменения: Проведена работа по улучшению системы автоматической установки обновлений. Если раньше при необходимости обновить давно не обновлявшуюся систему требовалось поэтапное обновление c использованием промежуточных выпусков (например, при переходе с Tails 3.12 на Tails … Читать далее Релиз дистрибутива Tails 4.2

Исследователи из французского государственного института исследований в информатике и автоматике (INRIA) и Наньянского технологического университета (Сингапур) представили метод атаки Shambles (PDF), который преподносится как первая практическая реализация атаки на алгоритм SHA-1, которую можно использовать для создания фиктивных цифровых подписей PGP и GnuPG. Исследователи полагают, что тепепрь все практические атаки на MD5 могут применяться и для SHA-1, хотя пока всё ещё требуют значительных ресурсов для осуществления. Метод основан на проведении коллизионной атаки с заданным префиксом, позволяющей для двух произвольных наборов данных подобрать дополнения, при прикреплении которых на выходе получатся вызывающие коллизию наборы, применение алгоритма SHA-1 для которых приведёт к формированию одного … Читать далее Предложен метод определения коллизий в SHA-1, пригодный для атаки на PGP

Состоялся релиз web-браузера Firefox 72, а также мобильной версии Firefox 68.4 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.4.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 73, релиз которой намечен на 11 февраля (проект перешёл на 4-недельный цикл разработки). Основные новшества: В применяемом по умолчанию стандартном режиме блокировки нежелательного контента включена защита от отслеживания пользователей с помощью методов скрытой идентификации («browser fingerprinting»), которая осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании скриптов для скрытой идентификации. Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации … Читать далее Релиз Firefox 72

После пяти лет разработки доступен для тестирования второй кандидат в релизы библиотеки libmdbx (MDBX) с реализацией высокопроизводительной, компактной встраиваемой базой данных класса ключ-значение. Текущая версия (0.5) является техническим релизом, отмечает завершение каких-либо доработок и переход к фазе публичного финального тестирования и стабилизации, с последующем формированием первого полноценного релиза библиотеки. Код libmdbx распространяется под лицензией OpenLDAP Public License. Библиотека MDBX является существенно переработанным ответвлением от LMDB — транзакционной встраиваемой СУБД класса «ключ-значение» на основе дерева B+ без упреждающей журнализации, которая позволяет многопоточным процессам конкурентно и эффективно работать с локально-разделяемой (не сетевой) БД. В свою очередь MDBX быстрее и надёжнее LMDB, и … Читать далее Опубликован второй кандидат в релизы встраиваемой СУБД libmdbx 1.0

Подготовлен выпуск проекта Nuitka 0.6.6, в рамках которого развивается компилятор, позволяющий транслировать скрипт на языке Python в представление на C++, которое затем можно скомпилировать в исполняемый файл, использующий libpython для обеспечения максимальной совместимости с CPython (используются штатные средства CPython для управления объектами). Обеспечена полная совместимость с актуальными выпусками Python 2.x и 3.x. По сравнению с CPython скомпилированные скрипты демонстрируют в тестах pystone повышение производительности на 312%. Код проекта распространяется под лицензией Apache. В новой версии добавлена экспериментальная поддержка Python 3.8 и обеспечена совместимость с библиотеками и приложениями sklearn, osgeo, gdal, dill, scikit-image, skimage, weasyprint, dask, pendulum, pytz и pytzdata. В … Читать далее Выпуск компилятора Nuitka 0.6.6. Прекращение поддержки Python 2.7 перенесено на апрель

Адам Болдуин (Adam Baldwin), возглавляющий команду, отвечающую за безопасность репозитория NPM, опубликовал статистику, подготовленную по итогам прошлого года: Несмотря на продолжающиеся инциденты с захватом репозиториев NPM, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию; При регистрации 13.37% новых учётных записей пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей по данным сервиса haveibeenpwned.com; В прошлом году было отозвано 737 токенов NPM, которые по ошибке были опубликованы в реестре пакетов NPM или в публично доступных репозиториях на GitHub; Предотвращена кража 13 миллионов долларов в криптовалюте, благодаря выявлению попытки интеграции бэкдора в кошелёк Komodo Agama; Общее число отчётов о … Читать далее Лишь 9.27% мэйнтейнеров пакетов NPM используют двухфакторную аутентификацию

Брам Моленар (Bram Moolenaar), автор текстового редактора Vim, объявил о создании репозитория Vim9, в котором ведётся работа над экспериментальным форком Vim, нацеленным на изучение возможных способов повышения производительности и качества работы языка сценариев Vim. Основные оптимизации связаны с переработкой методов определения, вызова и выполнения функций, а также c уходом от применения словарей для аргументов и локальных переменных. Начальный прототип новой реализации, в которой функции вначале компилируются в последовательность инструкций, сохраняющих промежуточные результаты и локальные переменные в стеке, продемонстрировал сокращение времени выполнения теста цикличного вызова функции с 5.018541 до 0.073595 секунд, а теста обработки строк с 0.853752 до 0.190276 секунд. В … Читать далее Представлен Vim9, форк Vim для экспериментов с оптимизацией скриптов

Доступна первая бета-версия ОС Trident, переведённая с FreeBSD и TrueOS на пакетную базу Void Linux. Размер загрузочного iso-образа 515МБ. В сборке используется ZFS на корневом разделе, имеется возможность отката загрузочного окружения при помощи снапшотов ZFS, поставляется упрощённый инсталлятор, возможна работа на системах с EFI и BIOS, возможно шифрование раздела подкачки, предложены варианты пакетов для стандартных библиотек glibc и musl, для каждого пользователя создаётся отдельный ZFS dataset для домашнего каталога (можно манипулировать снапшотами домашнего каталога без получения прав root), обеспечено шифрование данных в каталогах пользователей. Предлагается несколько уровней установки: Void (базовый набор пакетов Void плюс пакеты для поддержки ZFS), Server (работа … Читать далее Доступна бета-версия ОС Trident на базе Void Linux

Разработчик игр Malte Skarupke опубликовал сравнение производительности блокировок на основе Mutex и Spinlock при использовании различных планировщиков задач. Тесты показали аномально большие задержки при использовании Spinlock с по умолчанию используемым в Linux планировщиком задач. Автор тестов сделал вывод, что планировщик задач Linux имеет проблемы, которые негативно сказываются на работе игр, создаваемых для сервиса Google Stadia, в котором игры выполняются на GPU в облачном окружении, а клиенту в потоковом режиме лишь транслируется содержимое экрана с частотой до 60 кадров в секунду. При подобных условиях необходимо обеспечить своевременный вывод кадров на экран и задержки, превышающие миллисекунду, становятся заметны. К обсуждению тестов подключился … Читать далее Линус Торвальдс опроверг проблемы с планировщиком задач, всплывшие в тесте производительности

Опубликован план включения по умолчанию в Fedora 32 фонового процесса earlyoom для раннего реагирования на нехватку памяти в системе. Если объём доступной памяти меньше заданного значения, то earlyoom через отправку SIGTERM (свободной памяти меньше 10%) или SIGKILL (‹ 5%) принудительно (завершит работу процесса, наиболее активно потребляющего память (имеющего самое большое значение /proc/*/oom_score), не доводя состояние системы до очистки системных буферов. Earlyoom позволит более оперативно реагировать на нехватку памяти, не доходя до вызова обработчика OOM (Out Of Memory) в ядре, который срабатывает когда ситуация становится критичной и система, как правило, уже не реагирует на действия пользователя. В более отдалённых выпусках Fedora … Читать далее В Fedora 32 намерены включить earlyoom для раннего реагирования на нехватку памяти

Разработчики Arch Linux сообщили о переводе схемы упаковки пакетов с алгоритма xz (.pkg.tar.xz) на zstd (.pkg.tar.zst). Пересборка пакетов в формат zstd привела к суммарному увеличению размера пакетов на 0.8%, но обеспечило сокращение времени распаковки на 1300%. Как следствие, переход на zstd приведёт к заметному увеличению скорости установки пакетов. В настоящее время в репозитории с использованием алгоритма zstd уже сжато 545 пакетов, остальные пакеты будут переведены на zstd по мере формирования для них обновлений. Пакеты в формате .pkg.tar.zst собираются автоматически при использовании devtools 20191227 и более новых выпусков данного инструментария. Для пользователей переход на новый формат не требует выполнения ручных манипуляций, … Читать далее Arch Linux перешёл на использование алгоритма zstd для сжатия пакетов

Доступен релиз Supertuxkart 1.1, свободной гоночной игры с большим количеством картов, трасс и возможностей. Код игры распространяется под лицензией GPLv3. Бинарные сборки доступны для Linux, Android, Windows и macOS. Начался процесс перелицензирования кодовой базы SuperTuxKart на двойную лицензию GPLv3 + MPLv2, в связи с чем участникам, принимавшим участие в разработке, направлены запросы для получения согласия на смену лицензии. Использование MPLv2 помимо GPLv3 позволит решить проблемы с размещением игры в каталогах Steam и Apple App store, предустановкой на игровых консолях и использованием открытых библиотек, несовместимыми с GPL (например, openssl). Двойная лицензия также отмечена как более оптимальный вариант в свете грядущих планов … Читать далее Выпуск свободной гоночной игры SuperTuxKart 1.1

Вышел портабельный релиз 6.6 оконного менеджера cwm, разрабатываемого в рамках проекта OpenBSD. Данный оконный менеджер основан на коде evilwm, но использует современные интерфейсы протокола X11, а также, традиционно для OpenBSD, разрабатывается с внимательным подходом с точки зрения безопасности. В портабельном релизе, помимо OpenBSD, поддерживаются операционные системы FreeBSD, NetBSD, macOS (версии 10.9 и выше), а также ОС на базе ядра Linux. Отличительные особенности cwm: Поддержка группового управления окнами. Отсутствие рамок и строки заголовка вокруг окон приложений для максимизации полезного пространства. Простой конфигурационный файл. Высокая производительность и низкое потребление ОЗУ. Изменения в данном релизе (относительно предыдущего): Добавлена возможность проверки конфигурационного файла без … Читать далее Релиз оконного менеджера cwm 6.6, развиваемого проектом OpenBSD

Брюс Перенс (Bruce Perens) объявил о выходе из организации Open Source Initiative (OSI), занимающейся проверкой лицензий на предмет соответствия критериям Open Source. Брюс является соучредителем OSI, одним из авторов определения Open Source, создателем пакета BusyBox и вторым лидером проекта Debian (в 1996 году сменил на посту Яна Мердока). В качестве причины ухода называется нежелание иметь отношение к готовящемуся в OSI решению по включению CAL (Cryptographic Autonomy License) в число открытых лицензий. Лицензия CAL относится к категории копилефт-лицензий и разработана по заказу проекта Holochain специально для дополнительной защиты пользовательских данных в распределённых P2P-приложениях. Holochain развивает базирующуюся на цепочке хэшей (hashchain) платформу … Читать далее Брюс Перенс покинул организацию OSI из-за разногласий, касающихся лицензии CAL

Доступен выпуск дистрибутива Q4OS 3.10, основанного на пакетной базе Debian и поставляемого с рабочими столами KDE Plasma 5 и Trinity. Дистрибутив позиционируется как нетребовательный к аппаратным ресурсам и предлагающий классическое оформление рабочего стола. Размер загрузочного образа 679 Мб (x86_64, i386). В состав входит несколько приложений собственной разработки, включая ‘Desktop profiler’ для быстрой установки тематических наборов ПО, ‘Setup utility’ для установки сторонних приложений, ‘Welcome Screen’ для упрощения начальной настройки, скрипты для установки альтернативных окружений LXQT, Xfce и LXDE. В новом выпуске осуществлена синхронизация пакетной базы с Debian 10.2 и проведена работа по обеспечению независимости друг от друга рабочих столов Plasma и … Читать далее Выпуск дистрибутива Q4OS 3.10

В сообществе Lutris, развивающем инструментарий для упрощения установки Windows-игр в Linux, обсуждается инцидент с блокировкой компанией Electronic Arts учётных записей пользователей, применявших пакет DXVK (реализация Direct3D через API Vulkan) для запуска игры BattleField 5 в Linux. Пострадавшие пользователи предположили, что применявшиеся для запуска игры DXVK и Winе были восприняты как сторонне ПО, которое может быть использовано для читинга или изменения игры. Блокировка подтверждена несколькими пользователями, которые впоследствии обратились в службу поддержки Electronic Arts и получили ответ, что случай был изучен сотрудниками и вынесено решение, что блокировка произведена обоснованно и санкции с учётной записи не будут сняты. В качестве обоснования блокировки … Читать далее Electronic Arts банит игроков BattleField 5, которые запускают игру под Linux

В соответствии с требованиями вступившего в силу закона CCPA (California Consumer Privacy Act) компания Mozilla предложит в выпуске Firefox 72, намеченном на 7 января, возможность инициировать удаление с серверов Mozilla данных, полученных в процессе сбора телеметрии и привязанных к конкретному пользователю. Закон CCPA предоставляет право знать, какие именно персональные данные собираются и кому эти данные передаются, требует предоставить доступ к этим данным, а также дать возможность изменения, удаления и запрета продажи уже собранных персональных данных. Предоставляемая законом CCPA защита персональных данных распространяется только на жителей Калифорнии, но в Mozilla решили предоставить средства удаления данных телеметрии всем пользователям, независимо от места … Читать далее В Firefox 72 появится возможность удаления данных телеметрии с серверов Mozilla