В беспроводном стеке чипов Qualcomm выявлены три уязвимости, которые преподнесены под кодовым именем «QualPwn». Первая проблема (CVE-2019-10539) позволяет удалённо атаковать устройства на базе платформы Android через Wi-Fi. Вторая проблема присутствует в проприетарной прошивке с беспроводным стеком Qualcomm и позволяет получить доступ к baseband-модему (CVE-2019-10540). Третья проблема присутствует в драйвере icnss (CVE-2019-10538) и даёт возможность добиться выполнения своего кода на уровне ядра платформы Android. В случае успешной эксплуатации связки из указанных уязвимостей атакующий может удаленно получить контроль за устройством пользователя, на котором активен Wi-Fi (для атаки требуется, чтобы жертва и атакующий были подключены к одной беспроводной сети). Успешная возможности атаки продемонстрирована … Читать далее Уязвимость в чипах Qualcomm, позволяющая атаковать Android-устройство через Wi-Fi

После девяти месяцев разработки доступен мультимедиа-пакет FFmpeg 4.2, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Из изменений, добавленных в FFmpeg 4.2, можно выделить: Добавлена возможность использования Clang для компиляции ядер CUDA; Реализована поддержка декодирования формата AV1 с использованием альтернативного декодировщика dav1d, развиваемого проектами VideoLAN и FFmpeg. Dav1d ориентирован на достижение максимально возможной производительности декодирования и обеспечение качественной работы в многопоточном режиме; Добавлены распаковщики медиаконтейнеров (demuxer) dhav, hcom и vividas, KUX и IFV; Добавлен кодировщик PCM-DVD; … Читать далее Выпуск мультимедиа-пакета FFmpeg 4.2

В Chrome 76 была прикрыта лазейка в реализации FileSystem API, позволяющая определить из web-приложения применение режима инкогнито. Начиная с Chrome 76 вместо блокировки доступа к FileSystem API, которая использовалась как признак активности режима инкогнито, браузер перестал ограничивать FileSystem API, но очищал вносимые изменения после сеанса. Как оказалось, новая реализация имеет недостатки, позволяющие как и раньше определять активность режима инкогнито. Суть проблемы в том, что сеанс с FileSystem API в режиме инкогнито является временным, а данные не сохраняются на диск и держатся в оперативной памяти. Соответственно, измеряя время сохранения данных через FileSystem API и возникающие отклонения (при сохранении в ОЗУ фиксируются … Читать далее Найден метод для определения просмотра в режиме инкогнито в Chrome 76

Завершён русский перевод второго издания книги Ричарда Столлмана и Сэма Вильямса «Free as in Freedom: Richard Stallman’s Crusade for Free Software» («Освобождение вашего компьютера (2.0): Ричард Столлман и революция свободного программного обеспечения»). Перед финальной публикацией авторы перевода просят помощи в тщательной вычитке, а также исправлении оставшихся огрехов в оформлении. Книга распространяется под лицензией GNU FDL 1.3+ и доступна в форматах TeX и PDF. Дополнительно, Фонд СПО сообщил о скором выступлении Ричарда Столлмана в Санкт-Петербурге с докладом «Free software and your freedom». Выступление состоится 24 августа на фестивале TechTrain 2019 во втором зале КВЦ «Экспофорум» c 17:15 по 18:00 (MSK). Посещение … Читать далее Перевод книги про Ричарда Столлмана

Объявлено об открытии исходных текстов SQL-движка BlazingSQL, использующего GPU для ускорения обработки данных. BlazingSQL не является полноценной СУБД, а позиционируется как движок для анализа и обработки больших наборов данных, сравнимый по своим задачам с Apache Spark. Код написан на языке Python и открыт под лицензией Apache 2.0. BlazingSQL подходит для выполнения единичных аналитических запросов над большими наборами данных (десятки гигабайт), хранимых в табличных форматах (например, логи, статистика NetFlow и т.п.). BlazingSQL может выполнять запросы из raw-файлов в форматах CSV и Apache Parquet, размещённых в сетевых и облачных ФС, подобных HDSF и AWS S3, напрямую передавая результат в память GPU. Благодаря … Читать далее Открыт код SQL-движка BlazingSQL, использующего GPU для ускорения

Опубликован выпуск JavaScript-движка Duktape 2.4.0, ориентированного на встраивание в кодовую базу проектов на языке C/C++. Движок отличается компактным размером, высокой переносимостью и низким потреблением ресурсов. Исходные тексты движка написаны на языке Си и распространяются под лицензией MIT. Код Duktape занимает около 160 kB и потребляет всего 70kB ОЗУ, а в режиме низкого потребления памяти 27kB ОЗУ. Для интеграции Duktape в код на C/C++ достаточно добавить в проект файлы duktape.c и duktape.h, и использовать Duktape API для вызова функций на JavaScript из кода на C/C++ или наоборот. Для освобождения неиспользуемых объектов из памяти применяется сборщик мусора с финализатором, построенный на основе … Читать далее Выпуск встраиваемого JavaScript-движка Duktape 2.4.0

Доступен выпуск Wi-Fi демона IWD 0.19 (iNet Wireless Daemon), развиваемого компанией Intel в качестве альтернативы wpa_supplicant для организации подключения Linux-систем к беспроводной сети. IWD может выступать в качестве бэкенда для таких сетевых конфигураторов как Network Manager и ConnMan. Ключевой целью разработки нового Wifi-демона является оптимизация потребления ресурсов, таких как потребление памяти и дисковый размер. IWD не использует внешних библиотек и обращается только к возможностям, предоставляемым штатным ядром Linux (для работы достаточно ядра Linux и Glibc). Код проекта написан на языке Си и поставляется под лицензией LGPLv2.1. В новом выпуске: Представлена поддержка стандарта Hotspot 2.0 для аутентификации и роуминга пользователей Wi-Fi; … Читать далее Выпуск Wi-Fi демона IWD 0.19

Подготовлен новый выпуск компьютерной ролевой игры Veloren 0.3, написанной на языке Rust и использующей воксельную графику. Проект развивается под впечатлением от таких игр, как Cube World, Legend of Zelda: Breath of the Wild, Dwarf Fortress и Minecraft. Бинарные сборки сформированы для Linux и Windows. Код поставляется под лицензией GPLv3. Проект пока находится на раннем этапе развития, но уже вполне пригоден для простой многопользовательской игры. Источник: http://www.opennet.ru/opennews/art.shtml?num=51218 Читать далее Выпуск многопользовательской RPG-игры Veloren 0.3

Юридическая компания Tycko & Zavareei подала судебный иск, связанный с утечкой персональных данных более 100 миллионов клиентов банковского холдинга Capital One, включая сведения об около 140 тысячах номеров социального страхования и 80 тысячах номеров банковских счетов. Помимо Capital One в число ответчиков включена компания GitHub, которой вменяется предоставление возможности размещения, отображения и использования информации, полученной в результате взлома. По мнению истца, GitHub обязан соблюдать действующее в США законодательство, запрещающее размещение в открытом доступе номеров социального страхования пользователей. В частности, так как номера социального страхования имеют фиксированный формат, компания должна была предусмотреть наличие фильтров для выявления фактов размещения пользователями результатов утечек … Читать далее GitHub включён в число ответчиков в деле об утечке пользовательской базы Capital One

Мэти Ванхофом (Mathy Vanhoef) и Эяль Ронен (Eyal Ronen) выявили новый метод атаки (CVE-2019-13377) на беспроводные сети, использующие технологию защиты WPA3, позволяющий получить сведения о характеристиках пароля, которые можно использовать для проведения его подбора в offline-режиме. Проблема проявляется в актуальной версии Hostapd. Напомним, что в апреле теми же авторами были выявлены шесть уязвимостей в WPA3, для противодействия которым объединение Wi-Fi Alliance, развивающее стандарты для беспроводных сетей, внесло изменения в рекомендации по обеспечению безопасных реализаций WPA3, в которых было предписано использовать защищённые эллиптические кривые Brainpool, вместо ранее допустимых эллиптических кривых P-521 и P-256. Тем не менее, анализ показал, что использование Brainpool … Читать далее Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd

Состоялся релиз мозаичного (тайлового) оконного менеджера i3wm 4.17. Проект i3wm был создан с нуля после серии попыток устранить недостатки оконного менеджера wmii. I3wm отличается хорошо читаемым и документированным кодом, использует xcb вместо Xlib, корректно поддерживает работу в многомониторных конфигурациях, использует древовидные структуры данных для позиционирования окон, предоставляет IPC-интерфейс, поддерживает UTF-8, сохраняет минималистичность в оформлении окон. Код проекта распространяется под лицензией BSD В новом выпуске: В панели i3bar добавлена поддержка прозрачности (флаг «—transparenc») и возможность назначения произвольной ширины рамки; По умолчанию в настройках обеспечен запуск xss-lock, nm-applet, pactl (клавиши управления громкостью) и реализовано использование файла конфигурации ~/.config/i3/config; Обновлено руководство пользователя; В … Читать далее Доступен оконный менеджер i3wm 4.17

В офисном пакете LibreOffice выявлена уязвимость (CVE-2019-9848), которую можно использовать для выполнения произвольного кода при открытии документов, подготовленных злоумышленником. Уязвимость вызвана тем, что компонент LibreLogo, предназначенный для обучения программированию и вставки векторных рисунков, транслирует свои операции в код на языке Python. Имея возможность выполнить инструкции LibreLogo злоумышленник может добиться выполнения любого кода на языке Python в контексте текущего сеанса пользователя, воспользовавшись предоставляемой в LibreLogo командой «run». Из Python при помощи функции system(), в свою очередь, можно вызвать произвольные системные команды. LibreLogo является опциональным компонентом, но в LibreOffice по умолчанию предлагаются макросы, дающие возможность вызвать LibreLogo и не требующие при своём … Читать далее Уязвимость в LibreOffice, позволяющая выполнить код при открытии вредоносных документов

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 4.13. С момента выпуска версии 4.12 было закрыто 15 отчётов об ошибках и внесено 120 изменений. Наиболее важные изменения: Добавлена поддержка перенаправления запросов аутентификации через службу Microsoft Passport; Обновлены заголовочные файлы; Закрыты отчёты об ошибках, связанные с работой игр и приложений: Evoland (Steam), NVIDIA GeForce Experience 3.x, Monitor Test 3.2, For Honor, Second Sight, A.R.E.S. Extinction Agenda 1.x, Final Fantasy XIV 5.0, Ren’py, Darkula, Magic, Battle.net, EVE Online, World of Warships, Amazon Workspaces. Источник: http://www.opennet.ru/opennews/art.shtml?num=51213 Читать далее Выпуск Wine 4.13

Спустя полгода с момента прошлого выпуска представлен релиз мультиплатформенного консольного XMPP/Jabber клиента profanity 0.7.0. Интерфейс profanity построен с использованием библиотеки ncurses, поддерживает уведомления с использованием библиотеки libnotify. Приложение может быть собрано либо с библиотекой libstrophe, реализующей работу с XMPP протоколом, либо с её форком libmesode, поддерживаемым разработчиком. Возможности клиента могут быть расширены использованием плагинов на Python. Код проекта написан на языке C и распространяется под лицензией GPLv3. Проект продолжительное время находился с заброшенном состоянии. В 2019 году проект получил вторую жизнь и был передан в управление новому соавтору. Официальный сайт проекта с актуализированной пользовательской информацией был перенесён на хостинг GitHub. … Читать далее Релиз консольного XMPP/Jabber клиента profanity 0.7.0

Проект EPEL (Extra Packages for Enterprise Linux), занимающийся поддержанием репозитория дополнительных пакетов для RHEL и CentOS, ввёл в строй вариант репозитория для дистрибутивов, совместимых с Red Hat Enterprise Linux 8. Бинарные сборки производятся для архитектур x86_64, aarch64, ppc64le и s390x. На данной фазе развития репозитория представлено около 250 дополнительных пакетов, поддерживаемых сообществом Fedora Linux (в зависимости от запросов пользователей и активности мэйнтейнеров число пакетов будет расширяться). Около 200 пакетов связаны с поставкой дополнительных модулей для Python. Из предлагаемых приложений можно отметить: apachetop, arj, beecrypt, bird, bodhi, cc65, conspy, dehydrated, sniff, extundelete, freeze, iftop, jupp, koji, kobo-admin, latexmkm, libbgpdump, liblxi, libnids, … Читать далее Сформирован репозиторий EPEL 8 с пакетами из Fedora для RHEL 8

Представлен релиз дистрибутива Linux Mint 19.2, второго обновления ветки Linux Mint 19.x, формируемой на пакетной базе Ubuntu 18.04 LTS и поддерживаемой до 2023 года. Дистрибутив полностью совместим с Ubuntu, но существенно отличается подходом к организации интерфейса пользователя и подбором используемых по умолчанию приложений. Разработчики Linux Mint предоставляют десктоп-окружение, соответствующее классическим канонам организации рабочего стола, которое является более привычным для пользователей, не принимающих новые методы построения интерфейса Unity и GNOME 3. Для загрузки доступны DVD-сборки на базе оболочек MATE 1.22 (1.9 Гб), Cinnamon 4.2 (1.8 Гб) и Xfce 4.12 (1.9 Гб). Основные новшества Linux Mint 19.2 (MATE, Cinnamon, Xfce): В состав … Читать далее Релиз дистрибутива Linux Mint 19.2

После шести месяцев разработки опубликован релиз системной библиотеки GNU C Library (glibc) 2.30, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2008. В состав нового выпуска включены исправления от 48 разработчиков. Из реализованных в Glibc 2.30 улучшений можно отметить: В динамическом компоновщике обеспечена поддержка опции «—preload» для предзагрузки разделяемых объектов (аналог переменной окружения LD_PRELOAD); Добавлена функция twalk_r, похожая на уже существующую функцию twalk, но позволяющая передать дополнительный аргумент в заданную callback-функцию; Для Linux добавлены новые функции getdents64, gettid и tgkill; Обеспечено завершение с кодом ошибки функций управления памятью malloc, calloc, realloc, reallocarray, valloc, pvalloc, memalign и posix_memalign, в ситуации, когда … Читать далее Выпуск системной библиотеки Glibc 2.30

Разработчики Mozilla сообщили о проведении нового исследования в рамках подготовки к внедрению функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS). В рамках проводимого эксперимента на системах части пользователей релизов Firefox из США будет собрана статистика об использовании систем родительского контроля и корпоративных резолверов. Отказаться от участия в эксперименте можно через страницу «about:studies» (исследование представлено в списке как «Detection Logic for DNS-over-HTTPS»). В рамках исследования будут собраны обезличенные данные, включающие только счётчики, без указания конкретных адресов и доменов. Для выявления систем родительского контроля будет отправлен запрос на определение имени exampleadultsite.com и если он не совпадёт с фактическим IP, можно … Читать далее В Firefox будет проведён эксперимент, связанный с DNS-over-HTTPS

Разработчики Fedora Linux объявили о формировании команды Minimization Team, которая совместно с мэйнтейнерами пакетов будет вести работу по сокращению установочного размера поставляемых приложений, runtime и других компонентов дистрибутива. Размер планируется сокращать за счёт прекращения установки излишних зависимостей и исключения необязательных компонентов, таких как документация. Сокращение размера позволит добиться уменьшения размера контейнеров приложений и специализированных сборок для устройств интернета вещей. Отмечается, что в текущем виде размер базового образа Fedora почти в три раза превышает аналогичные образы от проектов Ubuntu, Debian и openSUSE (300Мб против 91-113 Мб). В качестве основной причины роста установочного размера отмечаются зависимости, без которых вполне можно было обойтись. … Читать далее Инициатива по сокращению размера приложений в Fedora

Разработчики OpenBSD опубликовали первое стабильное обновление переносимой редакции пакета маршрутизации OpenBGPD 6.5, который можно использовать в операционных системах, отличных от OpenBSD. Для обеспечения переносимости использованы части кода из проектов OenNTPD, OpenSSH и LibreSSL. Кроме OpenBSD заявлена поддержка Linux и FreeBSD. Работа OpenBGPD протестирована в Debian 9, Ubuntu 14.04 и FreeBSD 12. Разработка OpenBGPD ведётся при поддержке регионального интернет-регистратора RIPE NCC, который заинтересован в доведении функциональности OpenBGPD до пригодности к использованию на серверах для маршрутизации в точках межоператорского обмена трафиком (IXP) и в создании полноценной альтернативы пакету BIRD (из других открытых альтернатив с реализацией протокола BGP можно отметить проекты FRRouting, GoBGP, … Читать далее Доступна переносимая версия OpenBGPD 6.5p1

Предложен для тестирования третий предварительный выпуск пользовательского окружения Xfce 4.14. Релиз ожидается 11 августа. Для тестирования Xfce 4.14pre3 подготовлен образ контейнера в формате Docker. Обзор новшеств Xfce 4.14 можно посмотреть в прошлом анонсе. По сравнению с первым тестовым выпуском в основном отмечается устранением ошибок. Например, в xfce4-session минимизирован риск возникновения состояний гонки из-за применения настроек xfsettingsd одновременно с запуском других компонентов Xfce. В оконном менеджере xfmw4 улучшен поиск запасных пиктограмм для окон и обеспечено по умолчанию открытия окон на экране, на котором находится активный курсор. В Thunar добавлена поддержка перетаскивания элементов правой кнопкой мыши, решены проблемы с монтированием внешних накопителей … Читать далее Третий предварительный выпуск пользовательского окружения Xfce 4.14