Опубликовано корректирующее обновление Firefox 68.0.2 в котором устранено несколько проблем: Устранена уязвимость (CVE-2019-11733), позволяющая скопировать сохранённые пароли без ввода мастер-пароля. При использовании в диалоге Saved Logins (‘Page Info/ Security/ View Saved Password)’ предложенной в контекстном меню опции ‘copy password’, копирование в буфер обмена осуществляется без необходимости ввода пароля (диалог ввода пароля выводится, но данные копируются в буфер обмена независимо от правильности введённого пароля); Решена проблема с загрузкой изображений после перезагрузки страницы (ошибка проявлялась в том числе в Google Maps); Исправлена ошибка, приводившая к обрезанию некоторых спецсимволов в конце поискового запроса в адресной строке (например, удалялись знак вопроса и символ «#»); … Читать далее Обновление Firefox 68.0.2

Анонсирована публикация обновлений пакетов для стабильной ветки OpenBSD. Ранее при использовании ветки «-stable» можно было получать только бинарные обновления к базовой системе через syspatch. Пакеты собирались один раз для релизной ветки и более не обновлялись. Теперь же планируется поддерживать три ветки: «-release»: замороженная ветка, пакеты из которой собираются один раз для релиза и более не обновляются (6.3, 6.4, 6.5, …). «-stable»: только консервативные обновления. Собранные из портов пакеты обновляются только для последнего релиза (в настоящее время 6.5). «-current»: находящаяся в разработке основная ветка, в неё попадают самые значительные изменения. Пакеты собираются только для ветки «-current». В «-stable» планируется добавлять, главным … Читать далее Проект OpenBSD начинает публиковать обновления пакетов для стабильной ветки

Исследователи из Бостонского университета разработали метод атаки (CVE-2019-11728), позволяющий осуществить сканирование IP-адресов и открытых сетевых портов во внутренней сети пользователя, отгороженной от внешней сети межсетевым экраном, или определить открытые порты на текущей системе (localhost). Атака может быть совершена при открытии жертвой в браузере специально оформленной страницы. Предложенная техника основана на применении HTTP-заголовка Alt-Svc (HTTP Alternate Services, RFC-7838). Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Brower и Brave. Заголовок позволяет серверу определить альтернативный способ обращения к сайту и перенаравить обращение на новый хост, например, для балансировки нагрузки. В том числе возможно указание сетевого порта для … Читать далее HTTP-заголовок Alt-Svc может применяться для сканирования портов внутренней сети

В намеченном на 22 октября выпуске Firefox 70 решено запретить вывод запросов на подтверждение полномочий, инициированных из iframe-блоков, загруженных с другого домена (cross-origin). Изменение позволит блокировать некоторые злоупотребления и перейти к модели, при которой полномочия запрашиваются только из первичного для документа домена, который показывается в адресной строке. Другим заслуживающим внимания изменением в Firefox 70 станет прекращение отрисовки содержимого файлов, загружаемых через ftp. При открытии ресурсов по FTP теперь принудительно будет инициироваться загрузка файла на диск, без учёта типа файла (например, при открытии через ftp перестанут отображаться изображения, README и html-файлы). Кроме того, в новой версии в адресной строке появится индикатор … Читать далее В Firefox 70 будет ужесточён вывод уведомлений и внесены ограничения для ftp

Фонд Apache представил отчёт за 2019 финансовый год (c 30 апреля 2018 по 30 апреля 2019 года). Объём активов за отчётный период составил 3.8 млн долларов, что на 1.1 млн больше, чем за 2018 финансовый год. Размер собственного капитала за год увеличился на 645 тысяч долларов и составил 2.87 млн долларов. Большая часть средств получена от спонсоров — в настоящее время насчитывается 10 платиновых спонсоров, 9 золотых, 11 серебряных и 25 бронзовых, а также 24 спонсора целевых проектов и 766 индивидуальных участника. Некоторая статистика: Совокупная стоимость разработки с нуля всех проектов Apache оценивается в 20 млрд долларов при расчёте с … Читать далее Фонд Apache опубликовал отчёт за 2019 финансовый год

Исследователи из компаний Netflix и Google выявили в различных реализациях протокола HTTP/2 восемь уязвимостей, которые позволяют вызвать отказ в обслуживании через отправку определённым образом оформленного потока сетевых запросов. Проблемы в той или иной мере затрагивают большинство HTTP-серверов с поддержкой HTTP/2 и приводят к исчерпанию доступной для рабочего процесса памяти или созданию слишком высокой нагрузки на CPU. Обновления с устранением уязвимостей уже представлены в nginx 1.16.1/1.17.3 и H2O 2.2.6, но пока недоступны для Apache httpd и других продуктов. Проблемы стали следствием внесённых в протокол HTTP/2 усложнений, связанных с применением бинарных структур, системой лимитирования потоков данных внутри соединений, механизмом приоритезации потоков и … Читать далее В различных реализациях протокола HTTP/2 выявлено 8 DoS-уязвимостей

Опубликован релиз дисплейного сервера Mir 1.4, разработка которого продолжается компанией Canonical, несмотря на отказ от развития оболочки Unity и редакции Ubuntu для смартфонов. Mir остаётся востребован в проектах Canonical и теперь позиционируется как решение для встраиваемых устройств и интернета вещей (IoT). Mir может использоваться в качестве композитного сервера для Wayland, что позволяет запускать в окружениях на базе Mir любые приложения, использующие Wayland (например, собранные с GTK3/4, Qt5 или SDL2). Пакеты для установки подготовлены для Ubuntu 16.04/18.04/18.10/19.04 (PPA) и Fedora 29/30. Код проекта распространяется под лицензией GPLv2. В новом выпуске в средствах для обеспечения запуска Wayland-приложений в оболочках на основе Mir … Читать далее Выпуск дисплейного сервера Mir 1.4

Компания Google представила релиз операционной системы Chrome OS 76, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 76. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 76 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 76: Добавлены новые элементы управления воспроизведением, позволяющие быстро остановить или возобновить … Читать далее Выпуск Chrome OS 76

В выпуске Firefox 70, намеченном на 22 октября, решено прекратить отображение протоколов HTTPS и HTTP в адресной строке, а также больше не показывать информацию о компании при использовании на сайте EV-сертификата. Страницы, открытые по HTTP, будут снабжены значком небезопасного подключения, который также будет выводиться для HTTPS, в случае проблем с сертификатами. Вместо кнопки «(i)» будет показан индикатор уровня безопасности соединения, который также позволит оценить состояние режимов блокировки кода для отслеживания перемещений. Цвет символа замка для HTTPS будет заменён с зелёного на серый (вернуть зелёный цвет можно будет через настройку security.secure_connection_icon_color_gray). Смысл отдельного выделения HTTPS теряется так как в современных реалиях … Читать далее В Firefox 70 планируют прекратить отображение HTTPS и HTTP в адресной строке

Компания Google приняла решение отказаться от отдельной пометки сертификатов уровня EV (Extended Validation) в Chrome. Если раньше для сайтов с подобными сертификатами в адресной строке выводилось название проверенной удостоверяющим центром компании, то теперь для данных сайтов будет отображаться тот же индикатор защищённого соединения, что и для сертификатов с верификацией доступа к домену. Начиная с Chrome 77 информация о применении EV-сертификатов будет отображаться только в выпадающем меню, показываемом при клике на значок защищённого соединения. В 2018 году аналогичное решение приняла компания Apple для браузера Safari и воплотила его в выпусках iOS 12 и macOS 10.14. Напомним, что EV-сертификаты подтверждают заявленные параметры … Читать далее В Chrome 77 будет прекращена маркировка сертификатов с расширенной верификацией

Компания Canonical сообщила о предоставлении в Ubuntu 19.10 возможности установки дистрибутива с использованием файловой системы ZFS на корневом разделе. Реализация основана на использовании проекта ZFS on Linux, поставляемого в виде модуля для ядра Linux, который начиная с Ubuntu 16.04 входит в штатную поставку пакета с ядром. В Ubuntu 19.10 поддержка ZFS будет обновлена до версии 0.8.1, а в инсталлятор десктоп-редакции добавлена экспериментальная опция для применения ZFS для всех разделов, включая корневой. Соответствующие изменения будут внесены в GRUB, в том числе в загрузочном меню появится опция для отката изменений с использованием снапшотов ZFS. Для управления ZFS в разработке находится новый демон … Читать далее В Ubuntu 19.10 появится экспериментальная поддержка ZFS для корневого раздела

Доступен корректирующий релиз набора компиляторов GCC 9.2, в котором проведена работа по исправлению ошибок, регрессивных изменений и проблем с совместимостью. По сравнению с версией GCC 9.1 в GCC 9.2 отмечено 69 исправлений, в основном связанных с устранением регрессивных изменений. Напомним, что начиная с ветки GCC 5.x в проекте внедрена новая схема нумерации выпусков: версия x.0 используется в процессе разработки, корректирующие выпуски формируются с номерами x.2.0, x.3.0 и т.д. Новые возможности развиваются в экспериментальной ветке GCC 10.0, на базе которой будет сформирован следующий значительный релиз GCC 10.1. Источник: http://www.opennet.ru/opennews/art.shtml?num=51269 Читать далее Обновление набора компиляторов GCC 9.2

На прошедшей в Лас Вегасе конференции Black Hat USA состоялась церемония вручения премии Pwnie Awards 2019, в рамках которой выделены наиболее значительные уязвимости и абсурдные провалы в области компьютерной безопасности. Pwnie Awards считается аналогом Оскара и Золотой малины в области компьютерной безопасности и проводится ежегодно, начиная с 2007 года. Основные победители и номинации: Лучшая серверная ошибка. Присуждается за выявление и эксплуатацию наиболее технически сложной и интересной ошибки в сетевом сервисе. Победителями признаны исследователи, выявившие уязвимость у VPN-провайдера Pulse Secure, VPN-сервис которого используется в Twitter, Uber, Microsoft, sla, SpaceX, Akamai, Intel, IBM, VMware, Военно-морских силах США, Министерстве национальной безопасности (МНБ) США … Читать далее Pwnie Awards 2019: наиболее существенные уязвимости и провалы в безопасности

После более четырёх лет разработки подготовлен релиз десктоп-окружения Xfce 4.14, нацеленного на предоставление классического рабочего стола, требующего для своей работы минимальных системных ресурсов. Xfce состоит из ряда взаимосвязанных компонентов, которые при желании можно использовать в других проектах. Среди таких компонентов: оконный менеджер, панель для запуска приложений, дисплейный менеджер, менеджер управления пользовательскими сессиями и контроля за энергопотреблением, файловый менеджер Thunar, web-браузер Midori, медиапроигрыватель Parole, текстовый редактор mousepad и система настройки параметров окружения. Основные новшества: Переход c GTK 2 на библиотеку GTK 3; В композитном менеджере xfwm4 добавлен vsync через OpenGL, появилась поддержка libepoxy и DRI3/Present, вместо Xrender задействован GLX. Улучшена обработка … Читать далее Релиз пользовательского окружения Xfce 4.14

Стефан Сперлинг (stsp@), участник проекта OpenBSD с десятилетним стажем, а также один из главных разработчиков Apache Subversion, разрабатывает новую систему контроля версий «Game of Trees» (got). При создании новой системы приоритет отдаётся простоте устройстрова и простоте использования, а не гибкости. Сейчас Got ещё находится в разработке; он разрабатывается исключительно на OpenBSD и его целевой аудиторией являются разработчики OpenBSD. Код распространяется под свободной лицензией ISC (эквивалент упрощённой лицензии BSD и MIT). Для хранения версионированных данных в Got используются git-репозитории. В настоящее время поддерживаются только локальные операции управления версиями. При этом, git может использоваться для любой функциональности, которая ещё не реализована в … Читать далее Для OpenBSD развивается новая git-совместимая система контроля версий Got

В ночные сборки Firefox, которые лягут в основу выпуска Firefox 70, добавлена поддержка режима строгой изоляции страниц, развиваемого под кодовым именем Fission. При активации нового режима страницы разных сайтов всегда будут размещаться в памяти разных процессов, в каждом из которых применяется свой sandbox. При этом разделение по процессам будет осуществляться не по вкладкам, а по доменам, что позволит дополнительно изолировать содержимое внешних скриптов и iframe-блоков. Для включения режима строгой изоляции следует запустить firefox с опцией «—enable-fission» или установить в about:config переменную «fission.autostart=true». В Firefox 70 также отмечается переход на использование обновлённого логотипа и смена названия с Firefox Quantum на Firefox … Читать далее В ночные сборки Firefox добавлен режим строгой изоляции страниц

Опубликован выпуск платформы KDE Frameworks 5.61.0, предоставляющей реструктуризованный и портированный на Qt 5 базовый набор библиотек и runtime-компонентов, лежащих в основе KDE. Фреймворк включает в себя более 70 библиотек, часть которых может работать в качестве самодостаточных надстроек над Qt, а часть формируют программный стек KDE. В новом выпуске устранена уязвимость о которой сообщалось несколько дней назад, позволяющая выполнить произвольные shell-команды при просмотре пользователем каталога или архива, содержащего специально оформленные файлы «.desktop» и «.directory». В новом выпуске библиотек kconfig, входящих в состав KDE Frameworks 5.61, при разборе файлов «.desktop» и «.directory» прекращена поддержка раскрытия Shell-блоков «$(…)» в директивах с маркером «[$e]», … Читать далее Выпуск KDE Frameworks 5.61 с устранением уязвимости

Проект Gentoo объявил о стабилизации профиля для архитектуры AArch64 (ARM64), которая переведена в разряд первичных архитектур, на которую теперь распространяется полноценная поддержка и формирование обновлений с устранением уязвимостей. Из поддерживаемых ARM64-плат можно отметить Raspberry Pi 3 (Model B), Odroid C2, Pine (A64+, Pinebook, Rock64, Sopine64, RockPro64), DragonBoard 410c и Firefly AIO-3399J. Источник: http://www.opennet.ru/opennews/art.shtml?num=51261 Читать далее В Gentoo объявлена стабильной поддержка архитектуры AArch64 (ARM64)

Исследователи из компании Check Point раскрыли на конференции DEF CON детали новой техники атак на приложения, использующие уязвимые версии SQLite. Метод Check Point рассматривает файлы с БД как возможность для интеграции сценариев эксплуатации уязвимостей в различных внутренних подсистемах SQLite, недоступных для эксплуатации в лоб. Исследователями также подготовлена техника эксплуатации уязвимостей с кодированием эксплоита в форме цепочки SELECT-запросов в БД SQLite, позволяющая обойти ASLR. Для успешной атаки необходимо наличие возможности модификации файлов БД атакуемых приложений, что ограничивает метод атакой на приложения, использующие БД SQLite в качестве формата для транзитных и входных данных. Метод также может применяться для расширения уже полученного локального … Читать далее Представлена новая техника эксплуатации уязвимостей в SQLite

Представлен первый значительный выпуск нового приложения, развиваемого проектом GNOME, — GNOME Radio, предоставляющего интерфейс для поиска и прослушивания интернет-радиостанций, осуществляющих потоковое вещание звука через интернет. Ключевой особенностью программы является возможность просмотра местоположения интересующих радиостанций на карте и выбора ближайших точек вещания. Пользователь может выбрать интересующую местность и прослушивать интернет-радио, кликая на соответствующие метки на карте. Код проекта написан на языке Си и поставляется под лицензией GPLv3. Источник: http://www.opennet.ru/opennews/art.shtml?num=51258 Читать далее Выпуск GNOME Radio 0.1.0

Спустя шесть лет с момента прошлого значительного выпуска сформирован релиз GNU Radio 3.8, свободной платформы цифровой обработки сигналов. GNU Radio представляет собой набор программ и библиотек, которые позволяют создавать произвольные радиосистемы, схемы модуляции и форма принимаемых и отправляемых сигналов в которых задаются программно, а для захвата и генерации сигналов применяются простейшие аппаратные устройства. Проект распространяется под лицензией GPLv3. Код большей части компонентов GNU Radio написан на языке Python, части, критичные к производительности и времени задержки, написаны на языке С++, что позволяет использовать пакет при решении задач в режиме реального времени. В комбинации с универсальными программируемыми приёмопередатчиками, не привязанными к полосе … Читать далее Выпуск GNU Radio 3.8.0