Подведены итоги блокирования серии вредоносных дополнений к браузеру Chrome, жертвами которых стало несколько миллионов пользователей. На первом этапе независимый исследователь Джамиля Кайя (Jamila Kaya) и компания Duo Security выявили в каталоге Chrome Web Store 71 вредоносное дополнение. В сумме указанные дополнения насчитывали более 1.7 млн установок. После информирования Google о проблеме, в каталоге было обнаружено ещё более 430 подобных дополнений, число установок которых не сообщается. Примечательно, что несмотря на внушительное число установок, ни у одного из проблемных дополнений нет отзывов пользователей, что наводит на вопросы о том, каким образом были установлены дополнения и как вредоносная активность оставалась незамеченной. В настоящее … Читать далее Из Chrome Web Store удалено более 500 вредоносных дополнений

Сформированы корректирующие обновления для всех поддерживаемых веток PostgreSQL: 12.2, 11.7, 10.12, 9.6.17, 9.5.21 и 9.4.26. Выпуск 9.4.26 является финальным — подготовка обновлений для ветки 9.4 прекращена. Обновления для ветки 9.5 будут формироваться до февраля 2021 г., 9.6 — до ноября 2021 года, 10 — до ноября 2022 года, 11 — до ноября 2023 года, 12 — до ноября 2024 года. В новых версиях исправлено 75 ошибок и устранена уязвимость (CVE-2020-1720), вызванная отсутствием проверки авторизации при выполнении команды «ALTER … DEPENDS ON EXTENSION». При определённых обстоятельствах уязвимость позволяет непривилегированному пользователю удалить любую функцию, процедуру, материализованное представление, индекс или триггер. Атака возможна … Читать далее Обновление PostgreSQL с устранением уязвимости. Выпуск системы репликации pgcat

После четырёх месяцев разработки представлен релиз OpenSSH 8.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Ключевым улучшением в выпуске OpenSSH 8.2 стала возможность использования двухфакторной аутентификации при помощи устройств, поддерживающих протокол U2F, развиваемый альянсом FIDO. U2F позволяет создавать недорогие аппаратные токены для подтверждения физического присутствия пользователя, взаимодействие с которыми производится через USB, Bluetooth или NFC. Подобные устройства продвигаются в качестве средства для двухфакторной аутентификации на сайтах, уже поддерживаются основными браузерами и выпускаются различными производителями, включая Yubico, Feitian, Thetis и Kensington. Для взаимодействия с устройствами, подтверждающими присутствие пользователя, в OpenSSH добавлены новые типы ключей «ecdsa-sk» … Читать далее Релиз OpenSSH 8.2 c поддержкой токенов двухфакторной аутентификации FIDO/U2F

На GitHub опубликован проект JPEG Quant Smooth, предназначенный для удаления артефактов сжатия из JPEG-изображений. Это достигается за счёт восстановления точности коэффициентов дискретного косинус преобразования. Но в тех пределах, что позволяет таблица квантизации, это не даёт алгоритму перефильтровать изображение. Код написан на Си с оптимизациями для SSE2, AVX2 и ARM Neon. Также доступна WebAssembly-версия, позволяющая обработать изображения в браузере (но медленнее нативной версии из-за отсутствия SIMD-оптимизаций и многопоточности). По заверениям автора, его алгоритм работает значительно быстрее похожего проекта jpeg2png, и выдаёт более чёткие изображения. Но автор признаёт, что jpeg2png может отработать лучше в сложных случаях. Ещё один проект, knusperli, опубликованный под … Читать далее Новый проект для удаления артефактов из JPEG

Компания Google представила обновлённый вариант системы распределения памяти TCMalloc. Первый вариант TCMalloc был открыт в 2005 году и поставлялся в составе пакета gperftools (Google Performance Tools). Отныне TCMalloc, который используется во многих внутренних проектах Google, решено распространять в виде отдельного проекта. Код TCMalloc написан на С++ и доступен под лицензией Apache. TCMalloc включает реализацию Си-функции malloc() и С++ оператора «new», оптимизированных для достижения высокой производительности и применения в многопоточных приложениях. TCMalloc также предоставляет возможности интроспекции и профилирования, позволяющие приложению получить подробные сведения об использовании памяти в куче. В коде применяются оптимизации на основе современных возможностей языка C++, таких как оператор … Читать далее Google выпустил систему распределения памяти TCMalloc в форме отдельной библиотеки

В ночные сборки Firefox на основе которых 7 апреля будет сформирован выпуск Firefox 75 добавлена возможность не загружать изображения, находящиеся вне видимой области, до тех пор пока пользователь не прокрутит содержимое страницы в место, непосредственно предшествующее изображению. Для управления отложенной загрузкой страниц в тег «img» будет добавлен атрибут «loading», который может принимать значение «lazy». Предполагается, что отложенная загрузки позволит сократить потребление памяти, снизить трафик и увеличить скорость начального открытия страниц. По умолчанию данный режим отключён в Firefox и для его активации следует в about:config установить параметр «image-lazy-loading.enabled=true». Ранее аналогичная возможность была реализована в браузере Chrome 76. Источник: http://www.opennet.ru/opennews/art.shtml?num=52366 Читать далее В Firefox появится режим отложенной загрузки изображений

GitHub представил beta-версию многоплатформенного CLI-инструментария, позволяющего управлять своими проектами из командной строки. Для работы предлагается утилита «gh», при помощи которой можно заводить и просматривать сообщения об ошибках (issue), создавать и разбирать pull-запросы, выполнять рецензирование изменений. Сборки инструментария доступны для Linux, macOS и Windows. Код открыт под лицензией MIT. Источник: http://www.opennet.ru/opennews/art.shtml?num=52363 Читать далее GitHub начал тестирование интерфейса командной строки

Представлено обновление дистрибутива Ubuntu 18.04.4 LTS, в которое включены изменения, связанные с улучшением поддержки оборудования, обновлением ядра Linux и графического стека, исправлением ошибок в инсталляторе и загрузчике. В состав также включены актуальные обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Одновременно представлены аналогичные обновления Kubuntu 18.04.4 LTS, Ubuntu Budgie 18.04.4 LTS, Ubuntu MATE 18.04.4 LTS, Lubuntu 18.04.4 LTS, Ubuntu Kylin 18.04.4 LTS и Xubuntu 18.04.4 LTS. В состав выпуска вошли некоторые улучшения, бэкпортированные из выпуска Ubuntu 19.10: Предложено обновление пакетов с ядром 5.3 (в Ubuntu 18.04 использовалось ядро 4.15, а в Ubuntu 18.04.2 — … Читать далее Выпуск Ubuntu 18.04.4 LTS c обновлением графического стека и ядра Linux

Исследователи безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей, выявили уязвимость в используемом компанией Samsung модифицированном варианте ядра Linux, применяемом в Android-прошивке смартфонов Galaxy A50. Проблема позволяет добиться перезаписи других данных в памяти и может использоваться для повышения своих привилегий и получения полного контроля за устройством. Примечательно, что уязвимость вызвана ошибкой в подсистеме PROCA (Process Authenticator), разработанной Samsung для повышения защищённости платформы Android. PROCA обеспечивает отслеживание подлинности процессов и их соответствие изначально запущенным исполняемым файлам. Проверка осуществляется на основе цифровой подписи, хранящейся в расширенных атрибутах файла. Из-за логической ошибки не исключена ситуация, … Читать далее Уязвимость в модификациях ядра, сделанных Samsung для повышения безопасности Android

Сформирован релиз специализированного дистрибутива Tails 4.3 (The Amnesic Incognito Live System), основанного на пакетной базе Debian и предназначенного для обеспечения анонимного выхода в сеть. Анонимный выход в Tails обеспечивается системой Tor. Все соединения, кроме трафика через сеть Tor, по умолчанию блокируются пакетным фильтром. Для хранения пользовательских данных в режиме сохранения пользовательских данных между запусками применяется шифрование. Для загрузки подготовлен iso-образ, способный работать в Live-режиме, размером 1 Гб. В новом выпуске Tails обновлены версии ядра Linux 5.4.13 (в прошлом выпуске поставлялась ветка 5.3), Tor Browser 9.0.5, Thunderbird 68.4.1, Tor 0.4.2.6 и VirtualBox Guest Additions 6.1.2. В состав включён пакет trezor с … Читать далее Релиз дистрибутива Tails 4.3 и браузера Tor Browser 9.0.5

Доступен выпуск почтового клиента Thunderbird 68.5.0, в котором кроме исправления ошибок и уязвимостей предложено несколько новых возможностей: Добавлена поддержка расширения IMAP/SMTP CLIENTID (Client Identity Service Extension) для идентификации клиента при помощи токена; Добавлена поддержка аутентификации учётных записей POP3 с использованием OAuth 2.0 (поддерживается в GMail). Источник: http://www.opennet.ru/opennews/art.shtml?num=52356 Читать далее Обновление Thunderbird 68.5.0

Дрю ДеВолт (Drew DeVault), автор пользовательского окружения Sway и почтового клиента Aerc, ради забавы попытался подготовить реализацию Git, написанную на POSIX Shell. Идея возникла после спора о сложности внутренней структуры Git, после которого Дрю решил продемонстрировать свои доводы, написав за день работоспособный вариант Git на чистом Shell. В процессе работы Дрю понял, что немного погорячился с заявлениями о простоте из-за применения в Git бинарного формата индекса, для обработки которого не совсем подходит Shell. Но отступать было поздно и извернувшись ему удалось реализовать Git на Shell. Проект получил название shit (Shell Git) и позиционируется исключительно как эксперимент по изучению внутренностей Git, … Читать далее Подготовлена реализация Git на Shell

Состоялся стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.18. Ветка 1.18 обратно совместима на уровне API и ABI с выпусками 1.x, но дополнительно содержит порцию улучшений. Композитный сервер Weston 8.0, в рамках которого развивается кодовая база и рабочие примеры для использования Wayland в десктоп-окружениях и встраиваемых решениях, был опубликован в конце января. Основные улучшения в Wayland 1.18: Добавлена поддержка сборочной системы Meson. Возможность сборки при помощи autotools пока сохранена, но будут удалена в одном из будущих выпусков; Добавлен API для разделения прокси-объектов на основе тегов, дающий возможность проиложениям и тулкитам совместно использовать одно Wayland-соединение; Обеспечено отслеживание таймеров сервера … Читать далее Доступен Wayland 1.18

Состоялся релиз web-браузера Firefox 73, а также мобильной версии Firefox 68.5 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.5.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 74, релиз которой намечен на 10 марта (проект перешёл на 4-недельный цикл разработки). Основные новшества: В режиме обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), помимо ранее предлагавшегося по умолчанию DNS-сервера CloudFlare («https://1.1.1.1/dns-query») добавлена поддержка сервиса NextDNS. Активировать DoH и выбрать провайдера можно в настройках сетевого соединения. Реализован первый этап прекращения поддержки дополнений, устанавливаемых обходным путём через прямое копирование файлов в каталог с дополнениями (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ … Читать далее Релиз Firefox 73

Доступен релиз пользовательской оболочки KDE Plasma 5.18, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Оценить работу новой версии можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon User Edition. Пакеты для различных дистрибутивов можно найти на данной странице. Новая версия отнесена к категории выпусков с длительным сроком поддержки (LTS), обновления для которых формируются несколько лет (LTS-выпуски публикуются раз в два года). Ключевые улучшения: Реализована корректная отрисовка GTK-приложений, использующих декорирования окон на стороне клиента для отрисовки элементов управления в области заголовка окна. Для подобных приложений обеспечена отрисовка … Читать далее Релиз рабочего стола KDE Plasma 5.18

Андрей Коновалов из компании Google развивает новый модуль USB Raw Gadget, позволяющий эмулировать USB-устройства в пространстве пользователя. Находится на рассмотрении заявка на включение данного модуля в основной состав ядра Linux. USB Raw Gadget уже применяется в компании Google для упрощения fuzzing-тестирования USB-стека ядра при помощи инструментария syzkaller. Модуль добавляет новый программный интерфейс в подсистему ядра USB Gadget и развивается в качестве альтернативы GadgetFS. Создание нового API обусловлено необходимостью получения низкоуровневого и прямого доступа к подсистеме USB Gadget из пространства пользователя, позволяющего обрабатывать все возможные USB-запросы (GadgetFS обрабатывает некоторые запросы самостоятельно, не передавая в пространство пользователя). Управление USB Raw Gadget производится … Читать далее Доступен USB Raw Gadget, Linux-модуль для эмуляции USB-устройств

Состоялся релиз набора утилит Cryptsetup 2.3, предназначенных для настройки шифрования дисковых разделов в Linux при помощи модуля dm-crypt. Поддерживается работа с разделами dm-crypt, LUKS, LUKS2, loop-AES и TrueCrypt с расширениями VeraCrypt. В состав также входят утилиты veritysetup и integritysetup для настройки средств контроля целостности данных на основе модулей dm-verity и dm-integrity. Ключевым улучшением в новом выпуске стала поддержка формата BITLK, применяемого для шифрования разделов в ОС Windows при использовании механизма BitLocker. Cryptsetup теперь может применяться для доступа к подобным шифрованным устройствам в Linux в режиме чтения и записи. Реализация поддержки BITLK создана с нуля на основе доступных спецификаций. Источник: http://www.opennet.ru/opennews/art.shtml?num=52352 Читать далее Выпуск Cryptsetup 2.3 с поддержкой шифрованных разделов BitLocker

Представлен релиз десктоп-окружения MATE 1.24, в рамках которого продолжено развитие кодовой базы GNOME 2.32 с сохранением классической концепции формирования рабочего стола. Установочные пакеты с MATE 1.22 в ближайшее время будут подготовлены для Arch Linux, Debian, Ubuntu, Fedora, openSUSE, ALT и других дистрибутивов. В новом выпуске: Представлены первые результаты инициативы по портированию приложений MATE для Wayland. Для работы без привязки к X11 в окружении Wayland адаптирован просмотрщик изображений Eye of MATE. Улучшена поддержка Wayland в панели MATE. Для использования с Wayland адаптированы апплеты panel-multimonitor и panel-background (system-tray, panel-struts и panel-background-monitor помечены как доступные только для X11); В конфигураторе «Запускаемые приложения» (Startup … Читать далее Релиз десктоп-окружения MATE 1.24, форка GNOME 2

Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.5.0. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS. Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, даёт возможность работы с многотрековыми монтажными шкалами с возможностью перемещения … Читать далее Выпуск свободного видеоредактора OpenShot 2.5.0

После полутора лет разработки увидел свет новый выпуск пошаговой стратегии FreeOrion 0.4.9, развиваемой под впечатлением от игры Master of Orion. В ходе игры игроки конкурируют друг с другом на поприще колонизации космоса, развивая собственные цивилизации, производя ресурсы, конструируя космические корабли, проводя исследования и наращивая технологический уровень. Готовые сборки подготовлены для Windows и macOS (для Linux предлагается собрать игру из исходных текстов). Код проекта распространяется под лицензией GPL. Основное внимание при подготовке нового выпуска было уделено развитию возможностей для многопользовательской игры (появилась аутентификация принадлежности к игровой империи, улучшенный чат и возможность запуска обособленных серверов), полной переработке системы боевого прицеливания (например, перехватчики … Читать далее Выпуск свободной игры FreeOrion 0.4.9

Состоялся выпуск rav1e 0.3, высокопроизводительного кодировщика формата кодирования видео AV1, развиваемого сообществами Xiph и Mozilla. Кодировщик написан на языке Rust и отличается от эталонного кодировщика libaom значительным увеличением скорости кодирования и повышенным вниманием к обеспечению безопасности. Код проекта распространяется под лицензией BSD. Поддерживаются все основные возможности AV1, включая поддержку внутренне- и внешне-кодированных кадров (intra- и inter-кадров), суперблоков 64×64, цветовой субдискретизации 4:2:0, 4:2:2 и 4:4:4, 8-, 10- и 12-разрядного кодирования глубины цвета, RDO (Rate-distortion optimization) оптимизации искажений, различные режимы предсказания межкадровых изменений и выявления трансформаций, управление скоростью потока и выявление усечения сцены. Формат AV1 заметно опережает H.264 и VP9 по возможностям … Читать далее Выпуск rav1e 0.3, кодировщика AV1 на языке Rust