Представлен релиз отладчика GDB 9.1 (первый выпуск серии 9.x, ветка 9.0 использовалась для разработки). GDB поддерживает отладку на уровне исходных текстов для широкого спектра языков программирования (Ada, C, C++, Objective-C, Pascal, Go и т.д.) на различных аппаратных (i386, amd64, ARM, Power, Sparc, RISC-V и т.д.) и программных платформах (GNU/Linux, *BSD, Unix, Windows, macOS). Ключевые улучшения: Прекращена поддержка платформ Solaris 10 и Cell Broadband Engine; Добавлен новый симулятор подсистемы Programmable Real-time Unit (PRU), используемой в процессорах Texas Instruments (pru-*-elf); Внесена порция улучшений в Python API. Добавлена возможность сборки c Python 3 в Windows; Добавлен экспериментальный режим быстрой загрузки отладочных символов в … Читать далее Выпуск отладчика GDB 9

В системном менеджере systemd выявлена уязвимость (CVE-2020-1712), которая потенциально позволяет добиться выполнения своего кода с повышенными привилегиями через отправку специально оформленного запроса по шине DBus. Проблема исправлена в тестовом выпуске systemd 245-rc1 (решающие проблему патчи: 1, 2, 3). Уязвимость устранена в дистрибутивах Ubuntu, Fedora, RHEL (проявляется в RHEL 8, но не затрагивает RHEL 7), CentOS и SUSE/openSUSE, но на момент написания новости остаётся неисправленной в Debian и Arch Linux. Уязвимость вызвана обращением к уже освобождённой области памяти (use-after-free), возникающем при асинхронном выполнении запросов к Polkit во время обработки DBus-сообщений. Некоторые DBus-интерфейсы используют кэш для хранения объектов на короткое время и … Читать далее Уязвимость в systemd, потенциально позволяющая повысить свои привилегии

Опубликовано третье корректирующее обновление дистрибутива Debian 10, в которое включены накопившиеся обновления пакетов и устранены недоработки в инсталляторе. Выпуск включает 94 обновления с устранением проблем со стабильностью и 52 обновления с устранением уязвимостей. Одновременно сформирован выпуск Debian 9.12, в котором предложено 70 обновлений с исправлениями и 75 с устранением уязвимостей. Из изменений в Debian 10.3 можно отметить обновление до свежих стабильных версий пакетов clamav, compactheader, dispmua, dkimpy, dpdk, mariadb, nvidia-graphics-drivers-legacy-340xx, postfix, postgresql, roundcube, sogo-connector. Из репозитория удалены пакеты caml-crush (проблемы со сборкой), firetray (несовместим с новым Thunderbird), koji (нерешённые проблемы с безопасностью), python-lamson (нарушение совместимости с python-daemon), radare2 и radare2-cutter … Читать далее Новые версии Debian 9.12 и 10.3

Опубликован первый альфа-выпуск Protox, мобильного приложения для обмена сообщениями между пользователями без участия сервера, реализованного на основе протокола Tox (toxcore). На данный момент поддерживается только OS Android, однако, так как программа написана на кросс-платформенном фреймворке Qt с использованием QML, в будущем возможно портировать приложение и под другие платформы. Программа является альтернативой Tox-клиентам Antox, Trifa и Tok, почти все из которых были заброшены. Код проекта распространяется под лицензией GPLv3. В альфа версии не реализованы cледующие возможности протокола: Отправка файлов и аватаров (самая высокая по приоритету задача в следующих версиях), поддержка конференций (групп), видео и голосовое общение. Чтобы приложение не отключалось от … Читать далее Первый альфа выпуск Protox, Tox-клиента для мобильных платформ

Разработчики проекта Raspberry Pi опубликовали обновление дистрибутива Raspbian, основанного на пакетной базе Debian 10 «Buster». Для загрузки подготовлены две сборки — сокращённая (433 Мб) для серверных систем и полная (1.1 Гб), поставляемая с пользовательским окружением PIXEL (ответвление от LXDE). Для установки из репозиториев доступно около 35 тысяч пакетов. В новом выпуске: В файловый менеджер, основанный на PCmanFM, в верхнюю часть боковой панели добавлена секция «Places», предоставляющая быстрый доступ к примонтированным накопителям и часто используемым файловым путям. В панель инструментов добавлена кнопка для создания нового каталога. В режиме просмотра каталогов в боковой панели налажено отображение индикатора наличия подкаталогов; В список рекомендованных … Читать далее Выпуск Raspbian 2020-02-05, дистрибутива для Raspberry Pi. Новая плата HardROCK64 от проекта Pine64

Доступен выпуск сервера приложений NGINX Unit 1.15, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. В новой версии: Обеспечена совместимость с Ruby 2.7; Динамически запрашиваемые PHP-скрипты ограничены расширением «.php»; Устранён крах процесса маршрутизации, который мог произойти при наличии нескольких нагруженных … Читать далее Выпуск сервера приложений NGINX Unit 1.15.0

Компания Valve опубликовала первый выпуск новой ветки проекта Proton 5.0, который основан на наработках проекта Wine и нацелен на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются … Читать далее Компания Valve выпустила Proton 5.0, пакет для запуска Windows-игр в Linux

В февральском обновлении платформы Android устранена критическая уязвимость (CVE-2020-0022) в Bluetooth-стеке, позволяющая организовать удалённое выполнение кода через отправку специально оформленного Bluetooth-пакета. Проблема может быть незаметно эксплуатирована атакующим, находящимся в пределах досягаемости Bluetooth. Не исключено задействование уязвимости для создания червей, по цепочке поражающих соседние устройства. Для атаки достаточно знать MAC-адрес устройства жертвы (предварительного сопряжения не требуется, но нужно чтобы на устройстве был включён Bluetooth). На некоторых устройствах MAC-адрес Bluetooth может быть вычислен на основе MAC-адерса Wi-Fi. В случае успешной эксплуатации уязвимости атакующий может выполнить свой код с правами фонового процесса, координирующего работу Bluetooth в Android. Проблема специфичная для применяемого в Android … Читать далее Уязвимость в Android, позволяющая удалённо выполнить код при включённом Bluetooth

Компания Google опубликовала план добавления в Chrome новых механизмов защиты от небезопасной загрузки файлов. В Chrome 86, релиз которого намечен на 26 октября, загрузка всех видов файлов по ссылкам со страниц, открытых по HTTPS, будет возможна только при отдаче файлов с использованием протокола HTTPS. Отмечается, что загрузка файлов без шифрования может использоваться для совершения вредоносной активности через подмену содержимого в процессе MITM-атак (например, поражающее домашние маршрутизаторы вредоносное ПО может подменять загружаемые приложения или перехватывать конфиденциальные документы). Блокировка будет внедряться постепенно, начиная с выпуска Chrome 82, в котором при попытке небезопасной загрузки исполняемых файлов по ссылкам со страниц HTTPS начнёт выдаваться … Читать далее Chrome начнёт блокировать загрузку файлов по HTTP

Mайк Гэбриел (Mike Gabriel), участвующий в сопровождении пакетов с Qt и Mate в Debian, представил инициативу по созданию пакетов с Unity 8 и Mir для Debian GNU/Linux и их последующей интеграции в дистрибутив. Работа ведётся совместно с проектом UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch и рабочего стола Unity 8, после того как от них отстранилась компания Canonical. В настоящее время в ветку unstable уже переданы некоторые пакеты, необходимые для работы Unity 8, включая пакет с дисплейным сервером Mir. Unity 8 использует в работе библиотеку Qt5 и дисплейный сервер Mir, который выступает в роли композитного сервера … Читать далее Инициатива по добавлению рабочего стола Unity 8 и дисплейного сервера Mir в Debian

Апелляционный суд штата Калифорния вынес решение в разбирательстве между компанией Open Source Security Inc. (развивает проект Grsecurity) и Брюсом Перенсом (Bruce Perens). Суд отклонил апелляцию и подтвердил вердикт суда низшей инстанции, в котором были отклонены все претензии к Брюсу Перенсу, а компании Open Source Security Inc предписано возмещение судебных издержек, составивших 259 тысяч долларов (Перенс привлёк для своей защиты известных юристов и фонд EFF). При этом у компании Open Source Security Inc остаётся 14 дней на подачу ходатайства о проведении повторных слушаний с участием расширенной судебной коллегии, а также имеется возможность эскалации разбирательства с привлечением суда более высокой инстанции. Напомним, … Читать далее Апелляционный суд подтвердил правоту Брюса Перенса в разбирательстве с Grsecurity

Компания Bitwise works выполнила портирование набора компиляторов GCC 9.2 для операционной системы OS/2 и основанных на данной ОС платформ ArcaOS и eComStation. Ранее для OS/2 предлагался только GCC 4.9.2. Отмечается, что возможность использования GCC 9 позволит сообществу адаптировать для работы в OS/2 больше приложений и библиотек, включая Qt 5, Poppler и CMake, не поддерживающих сборку в GCC 4. Кроме того, сообщается о подготовке для OS/2 новых версий пакетов с Apache OpenOffice 4.1.7, libusb1, sane-backends, xmltoman, pthread, libdaemon, fontconfig, zip, libunistring, libidn2, wget и libtool. Код варианта GCC 9.2 для OS/2 опубликован на GitHub под лицензией GPLv2. Источник: http://www.opennet.ru/opennews/art.shtml?num=52326 Читать далее GCC 9 портирован для OS/2

Китайские компании Xiaomi, Oppo и Vivo развивают новый совместный проект GDSA (Global Developer Service Alliance), который поможет унифицировать публикацию Android-приложений в разных каталогах-магазинах. Вопреки сообщениям СМИ о создании сервиса, конкурирующего с Google Play, представители компании Xiaomi заявили, что проект GDSA не нацелен на конкуренцию с Google Play, а лишь является попыткой предоставления разработчикам возможности одновременной загрузки их Android-приложений в китайские каталоги-магазины Xiaomi, OPPO и Vivo, без необходимости отдельного взаимодействия с каждым каталогом. Представители Xiaomi также опровергли участие компании Huawei в проекте. По данным издания Reuters сервис GDSA планируется запустить в марте и он будет доступен не только для Китая, например, … Читать далее Xiaomi, Oppo и Vivo развивают платформу для публикации Android-приложений

Исследователи из Университета имени Давида Бен-Гуриона (Израиль), занимающиеся изучением скрытых методов передачи данных с изолированных компьютеров, представили новый метод организации канала связи, основанный на модуляции сигнала через незаметное для глаза изменение яркости LCD-экрана. С практической стороны метод может применяться, например, для передачи ключей шифрования, паролей и секретных данных с не имеющего сетевого подключения компьютера, поражённого шпионским или вредоносным ПО. Для кодирования «1» используется уменьшение яркости красного компонента цвета пикселей на 3% относительно номинального значения, а «0» — увеличение яркости на 3%. Возникающие в процессе передачи данных изменения яркости незаметны человеку и метод может применяться в том числе во время работы … Читать далее Техника скрытой передачи данных через изменение яркости LCD-экрана

При обсуждении инициативы Google по унификации содержимого HTTP-заголовка User-Agent, разработчик браузера Kiwi обратил внимание на остающийся в Chrome HTTP-заголовок «X-Client-Data», который потенциально нарушает действующий в Евросоюзе общий регламент по защите данных (GDPR). В ходе дискуссии также подверглась критике двойственность действий компании Google, которая с одной стороны продвигает методы для блокирования скрытой идентификации и отслеживания действий пользователей, но с другой стороны не спешит удалять из Chrome поддержку заголовка X-Client-Data, который может применяться для идентификации экземпляров браузера при обращении к сервисам Google. Заголовок X-Client-Data не является скрытой функциональностью и его поведение описано в документации. Через X-Client-Data компания Google получает данные об активности … Читать далее Заголовок X-Client-Data, как метод идентификации пользователей Chrome

Компания Google опубликовала план реализации в Chrome блокировки неприемлемых видов видеорекламы, предложенных Коалицией по улучшению рекламы (Better Ads Standard) в новом варианте рекомендаций по блокированию неприемлемой рекламы, отображаемой при просмотре видео. Рекомендации учитывают основные причины недовольства пользователей, вынуждающие устанавливать блокировщики. Для определения раздражающих видов рекламы использован опрос около 45 тысяч пользователей из 8 стран, охватывающих около 60% рынка интернет-рекламы. В итоге были выделены три основных вида раздражающей пользователей рекламы, показываемой до начала показа, в процессе просмотра или после завершения просмотра видеоконтента длительностью не более 8 минут: Рекламные вставки любой продолжительности, прерывающие показ видео в середине просмотра; Длительные рекламные вставки (дольше … Читать далее В Chrome намечено включение блокировки навязчивой видеорекламы

Разработчики серверной JavaScript-платформы Node.js опубликовали корректирующие выпуски 13.8.0, 12.15.0 и 10.19.0, в которых устранены три уязвимости: CVE-2019-15606 — некорректная обработка необязательных символов пробела (OWS), идущих после значения в HTTP-заголовке; CVE-2019-15605 — возможность проведения атаки HRS (HTTP Request Smuggling, позволяет вклиниваться в содержимое других запросов, обрабатываемых в том же потоке между фронтэндом и бэкендом) через передачу специально оформленного HTTP-заголовка Transfer-Encoding; CVE-2019-15604 — инициируемый удалённо крах TLS-сервера через передачу некорректной строки в сертификате. Кроме того, в новых выпусках проведена работа по повышению защищённости парсера HTTP и более строгому разбору элементов HTTP-запросов. Изменение может привести к проблемам с совместимостью с реализациями HTTP, нарушающими … Читать далее Новые выпуски Node.js 13.8, 12.15 и 10.19 с устранением уязвимостей

Определена дата прекращения сопровождения дистрибутива CoreOS Container Linux, на смену которому пришёл проект Fedora CoreOS (после поглощения проекта CoreOS компания Red Hat объединила Fedora Atomic Host и CoreOS Container Linux в рамках единого продукта). Последнее обновление для CoreOS Container Linux намечено на 26 мая, после чего жизненный цикл проекта завершится. 1 сентября связанные с CoreOS ресурсы будут удалены или переведены в режим только для чтения. Например, будут удалены предлагавшиеся для загрузки установочные образы, сборки для облачных окружений и репозитории с обновлениями. Репозитории на GitHub и система отслеживания ошибок останутся доступны в режиме только для чтения. Из дистрибутива CoreOS Container Linux … Читать далее Опубликован план окончания поддержки CoreOS Container Linux

Подготовлен релиз платформы Electron 8.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Значительное изменение номера версии связано с обновлением до кодовой базы Chromium 80, платформы Node.js 12.13 и JavaScript-движка V8 8.0. Среди изменений в API, специфичных для Electron: Предоставлена возможность поверки правописания в формах ввода, используя встроенный в Chrome spellchecker; При обмене данными между процессами (IPC) задействован алгоритм структурированного клонирования (Structured Clone Algorithm), применяемый в движке V8 для копирования сложных JavaScript-объектов. По сравнению с ранее используемым механизмом сериализации данных, новый алгоритм более предсказуем, быстр и функционален. При перемещении крупных … Читать далее Релиз Electron 8.0.0, платформы создания приложений на базе движка Chromium

Компания Google представила релиз web-браузера Chrome 80. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, наличием системы отправки уведомлений в случае краха, возможностью загрузки модуля Flash по запросу, модулями для воспроизведения защищённого видеоконтента (DRM), системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Следующий выпуск Chrome 81 запланирован на 17 марта. Основные изменения в Chrome 80: Для небольшого процента пользователей предложена функция группировки вкладок, позволяющая объединять несколько сходных по назначению вкладок в визуально разделённые группы. Каждой группе можно привязать свой цвет и имя. Пользователи, не попавшие в первую волну активации, могут включить … Читать далее Релиз Chrome 80

Компания Siemens опубликовала релиз свободного гипервизора Jailhouse 0.12. Гипервизор поддерживает работу на системах x86_64 с расширениями VMX+EPT или SVM+NPT (AMD-V), а также на процессорах ARMv7 и ARMv8/ARM64 с расширениями для виртуализации. Отдельно развивается генератор образов для гипервизора Jailhouse, формируемых на основе пакетов Debian для поддерживаемых устройств. Код проекта распространяется под лицензией GPLv2. Гипервизор реализован в виде модуля для ядра Linux и обеспечивает виртуализацию на уровне ядра. Компоненты для гостевых систем уже включены в состав основного ядра Linux. Для управления изоляцией используются предоставляемые современными CPU аппаратные механизмы виртуализации. Отличительными особенностями Jailhouse являются легковесная реализация и ориентация на привязку виртуальных машин к … Читать далее Компания Siemens выпустила гипервизор Jailhouse 0.12