Доступен выпуск проекта Tinygo 0.7.0, в рамках которого развивается компилятор языка Go для областей, в которых необходимо компактное представление результирующего кода и низкое потребление ресурсов, таких как микроконтроллеры и компактные однопроцессорные системы. Код распространяется под лицензией BSD. Компиляция для различных целевых платформ реализована при помощи LLVM, а для поддержки языка применяются библиотеки, применяемые в основном инструментарии от проекта Go. Скомпилированная программа напрямую может запускаться на микроконтроллерах, позволяя применять Go в качестве языка для написания сценариев автоматизации. Мотивом создания нового проекта послужило желание использовать привычный для себя язык Go на компактных устройствах — разработчики рассудили, что если существует вариант Python для … Читать далее Выпуск Tinygo 0.7.0, компилятора языка Go на базе LLVM

Компания Google объявила об увеличении сумм, начисляемых в рамках программы выплаты вознаграждений за выявлении уязвимостей в браузере Chrome и лежащих в его основе компонентов. Максимальный размер выплаты за создание эксплоита для выхода из sandbox-окружения увеличено с 15 до 30 тысяч долларов, за метод обхода разграничения доступа в JavaScript (XSS) c 7.5 до 20 тысяч долларов, за организацию удалённого выполнения кода на уровне системы отрисовки с 7.5 до 10 тысяч долларов, за выявление утечек информации — с 4 до 5-20 тысяч долларов. Введены выплаты за методы спуфинга в интерфейсе пользователя ($7500), повышения привилегий в web-платформе ($5000) и обхода защиты от эксплуатации … Читать далее Google увеличил размер вознаграждений за выявление уязвимостей в Chrome, Chrome OS и Google Play

Компания Cisco опубликовала релиз Snort 2.9.14.0, свободной системы обнаружения и предотвращения атак, комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. Основные новшества: Добавлена поддержка масок номеров портов в кэше хостов и возможность переопределения привязки идентификаторов приложений к сетевым портам; Добавлены новые шаблоны клиентского ПО для вывода запроса на подтверждение; Добавлена поддержка определения Microsoft Outlook для macOS; Добавлено новое предупреждение препроцессора, выводимое в случае отсутствия корректного окончания заголовка; Улучшено определение идентификаторов приложений в трафике, проходящем через прокси. Источник: http://www.opennet.ru/opennews/art.shtml?num=51124 Читать далее Релиз системы обнаружения атак Snort 2.9.14.0

Компания Google сообщила об изменении поведения режима инкогнито в выпуске Chrome 76, намеченном на 30 июля. В частности, будет блокирована возможность использования лазейки в реализации FileSystem API, позволяющей определить из web-приложения факт применения режима инкогнито пользователем. Суть метода в том, что раньше при работе в режиме инкогнито браузер блокировал доступ к FileSystem API для предотвращения оседания данных между сеансами, т.е. из JavaScript можно было проверить возможность сохранения данных через FileSystem API и в случае сбоя судить об активности режима инкогнито. В будущем выпуске Chrome доступ к FileSystem API блокироваться не будет, но содержимое после завершения сеанса будет очищаться. Подобным способом … Читать далее В Chrome 76 будет блокирована лазейка для определения просмотра в режиме инкогнито

Опубликовано корректирующее обновление Firefox 68.0.1 в котором устранено несколько проблем: Сборки для macOS подписаны ключом Apple, позволяющим использовать их в бета-выпусках macOS 10.15; Решена проблема с отсутствием кнопки перехода в полноэкранный режим при просмотре видео в полноэкранном режиме HBO GO; Исправлена ошибка, приводившая к появлению некорректных сообщений для некоторых локалей при попытке запроса с использованием Storage Access API; Решена проблема со сменой поисковой системы по умолчанию в русскоязычных регионах; Устранены проблемы с использованием встроенных поисковых движков при использовании некоторых локалей. Источник: http://www.opennet.ru/opennews/art.shtml?num=51121 Читать далее Обновление Firefox 68.0.1

Компания Oracle опубликовала релиз дистрибутива Oracle Linux 8, созданного на основе пакетной базы Red Hat Enterprise Linux 8. Сборка поставляется по умолчанию на основе штатного пакета с ядром из Red Hat Enterprise Linux (на базе ядра 4.18). Собственное ядро Unbreakable Enterprise Kernel для Oracle Linux 8 пока находится на стадии разработки. По функциональности бета-выпуски Oracle Linux 8 и RHEL 8 полностью идентичны. С новшествами, такими как замена iptables на nftables, модульный репозиторий AppStream и переход на пакетный менеджер DNF вместо YUM, можно познакомиться в обзоре RHEL 8. Для загрузки подготовлен установочный iso-образ, размером 6.6 Гб, подготовленный для архитектуры x86_64. Для … Читать далее Релиз Oracle Linux 8

В соответствии с действующими в Казахстане с 2016 года поправками к закону «О связи», многие казахские провайдеры, включая Kcell, Beeline, Tele2 и Altel, с сегодняшнего дня ввели в строй системы перехвата HTTPS-трафика клиентов с подменой изначально используемого сертификата. Изначально систему перехвата планировалось внедрить в 2016 году, но это операция постоянно откладывалась и закон уже стал восприниматься как формальный. Перехват осуществляется под видом заботы о безопасности пользователей и желания оградить их от предоставляющего угрозу контента. Для отключения вывода в браузерах предупреждения о применении некорректного сертификата пользователям предписано установить на свои системы «национальный сертификат безопасности«, который применяется при трансляции защищенного трафика к … Читать далее В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика

Компания Eclypsium выявила две уязвимости в прошивках BMC-контроллера, поставляемого в серверах Lenovo ThinkServer, позволяющие локальному пользователю подменить прошивку или выполнить произвольный код на стороне чипа BMC. Дальнейший разбор показал, что данные проблемы затрагивают и прошивки BMC-контроллеров, применяемые в серверных платформах Gigabyte Enterprise Servers, которые также используются в серверах таких компаний, как Acer, AMAX, Bigtera, Ciara, Penguin Computing и sysGen. В проблемных BMC-контроллерах применялись уязвимые прошивки MergePoint EMS, разработанные сторонним поставщиком Avocent (в настоящее время является подразделением компании Vertiv). Первая уязвимость вызвана отсутствием криптографической верификации загружаемых обновлений прошивки (используется только проверка контрольной суммы CRC32, вопреки рекомендации NIST использовать цифровые подписи), что … Читать далее Уязвимость в прошивках BMC-контроллеров, затрагивающая серверы многих производителей

В числе грядущих изменений в Fedora 31 предложено прекратить формирование основных репозиториев для архитектуры i686. Формирование multi-lib репозиториев для окружений x86_64 будет сохранено и i686 пакеты в них сохранятся. Изменение пока не рассмотрено комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки дистрибутива Fedora. Предложение дополняет одобренный в реализации и воплощённый в ветке rawhide план по прекращению формирования загрузочного образа ядра Linux для архитектуры i686. Прекращение поставки пакета с ядром ставит крест на возможности установки Fedora на 32-разрядные системы x86. При этом пользователи не лишаются возможности обновления уже установленных систем из репозиториев. Новое предложение ставит под сомнение такую … Читать далее Разработчики Fedora намерены прекратить формирование репозиториев для архитектуры i686

Дистрибутив Nitrux, построенный на пакетной базе Ubuntu и развивающий собственный рабочий стол Nomad, основанных на технологиях KDE (надстройка над KDE Plasma), прекратил бесплатное распространение iso-образов. По отдельности наработки проекта по-прежнему распространяются под свободными лицензиями. В качестве причины перехода к платному распространению образов называется необходимость покрытия издержек и оплаты труда разработчиков в режиме полного рабочего дня. Стоимость загрузки стабильной сборки теперь составляет 2 евро, тестовые выпуски как и раньше можно загрузить бесплатно. При оплате требуется указание email, на который высылается ссылки для загрузки. Источник: http://www.opennet.ru/opennews/art.shtml?num=51113 Читать далее ISO-образы дистрибутива Nitrux стали платными

На проходящей в эти дни в Стокгольме встрече разработчиков Tor отдельная секция посвящена вопросам интеграции Tor и Firefox. Основные задачи сводятся к созданию дополнения, обеспечивающего работу через анонимную сеть Tor в штатном Firefox, а также к переносу разработанных для Tor Browser патчей в основной состав Firefox. Для отслеживания состояния переноса патчей подготовлен специальный сайт torpat.ch. Перенесено пока 13 патчей, а для 22 патчей заведены обсуждения в багтрекере Mozilla (всего предложено более сотни патчей). Основная идея по интеграции с Firefox заключается в использовании Tor при работе в приватном режиме или в создании дополнительного суперприватного режима с Tor. Так как включение поддержки … Читать далее Возобновление работы по продвижению поддержки Tor в Firefox

Представлен релиз Live-дистрибутива NST (Network Security Toolkit) 30-11210, предназначенного для проведения анализа безопасности сети и мониторинга её функционирования. Размер загрузочного iso-образа (x86_64) составляет 3.6 Гб. Для пользователей Fedora Linux подготовлен специальный репозиторий, дающий возможность установить все созданные в рамках проекта NST наработки в уже установленную систему. Дистрибутив построен на базе Fedora 28 и допускает установку дополнительных пакетов из внешних репозиториев, совместимых с Fedora Linux. В состав дистрибутива включена большая подборка приложений, имеющих отношение к сетевой безопасности (например: Wireshark, NTop, Nessus, Snort, NMap, Kismet, TcpTrack, Etherape, nsttracroute, Ettercap и т.д.). Для управления процессом проверки безопасности и автоматизации вызова различных утилит подготовлен … Читать далее Релиз дистрибутива Network Security Toolkit 30

Разработчики Firefox представили план перехода Firefox к пометке всех страниц, открытых по HTTP, индикатором небезопасного соединения. Изменение планируется применить в выпуске Firefox 70, намеченном на 22 октября. В Chrome вывод индикатора, предупреждающего об установке небезопасного соединения, для открытых по HTTP страниц выводится начиная с выпуска Chrome 68, предложенного в июле прошлого года. В Firefox 70 также планируется убрать кнопку «(i)» из адресной строки, ограничившись постоянным размещением индикатора уровня безопасности соединения, который также позволяет оценить состояние режимов блокировки кода для отслеживания перемещений. Для HTTP будет явно показан значок проблем с безопасностью, который также будет выводиться для FTP и в случаях проблем … Читать далее В Firefox 70 страницы открытые по HTTP начнут помечаться как небезопасные

Состоялся релиз Proxmox Virtual Environment 6.0, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer. Размер установочного iso-образа 770 Мб. Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. … Читать далее Релиз Proxmox VE 6.0, дистрибутива для организации работы виртуальных серверов

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 6.0.10, в котором отмечено 20 исправлений. Основные изменения в выпуске 6.0.10: В компонентах для хост-систем на базе Linux для Ubuntu и Debian добавлена поддержка использования подписанных цифровой подписью драйверов для загрузки в режиме UEFI Secure Boot. Устранены проблемы со сборкой модулей для разных выпусков ядра Linux и захватом фокуса при использовании некоторых версий Qt; В компонентах для гостевых систем на базе Linux решены проблемы со сборкой модулей для ядра Linux, забыванием размера экрана после перезапуска, загрузкой старых версий libcrypt и своевременным применением правил udev; В интерфейсе пользователя решены проблемы с изменение размера … Читать далее Выпуск VirtualBox 6.0.10

После полутора лет разработки представлен релиз кэшируюшего DNS-сервера PowerDNS Recursor 4.2, отвечающего за рекурсивное преобразование имён. PowerDNS Recursor построен на одной кодовой базе с PowerDNS Authoritative Server, но рекурсивный и авторитетный DNS-серверы PowerDNS развиваются в рамках разных циклов разработки и выпускаются в форме отдельных продуктов. Код проекта распространяется под лицензией GPLv2. В новой версии устранены все замечания, связанные с обработкой DNS-пакетов с флагами EDNS. В старых версиях PowerDNS Recursor до 2016 года практиковалось игнорирование пакетов с не поддерживаемыми флагами EDNS, без отправки ответа в старом формате, отбрасывая флаги EDNS, как того требует спецификация. Ранее подобное нестандартное поведение поддерживалось в BIND … Читать далее Релиз PowerDNS Recursor 4.2 и инициатива DNS flag day 2020

Из каталога Google Play удалено приложение MobonoGram 2019, позиционируемое как неофициальный альтернативный клиент мессенджера Telegram и насчитывающее более 100 тысяч установок. Причиной удаления стало выявление поставки в составе программы троянского кода Android.Fakeyouwon, осуществляющего совершение вредоносных действий. Программа предоставляет основные функции для обмена сообщениями, но также скрыто выполняет на устройстве несколько автоматически запускаемых фоновых сервисов, которые отправляют запросы к управляющему серверу для загрузки и отображения в браузере содержимого вредоносных и мошеннических сайтов. Предполагается, что в качестве основы для MobonoGram использовался код официального открытого клиента Telegram, который был дополнен вредоносной функциональностью и опубликован под другим именем. Вредоносная активность в основном сводилась к … Читать далее Неофициальный Telegram-клиент MobonoGram 2019 оказался троянским ПО

Компания Epic Games, разрабатывающая игровой движок Unreal Engine, пожертвовала 1.2 млн. долларов на развитие свободной системы 3D-моделирования Blender. Средства будут выделяться поэтапно в течение трёх лет. Деньги планируется потратить на расширение шатата разработчиков, привлечение новых участников, улучшение координации работы в проекте и повышение качества кода. Пожертвование выделено под эгидой программы Epic MegaGrants, в рамках которой планируется потратить 100 млн долларов на гранты разработчикам игр, создателям контента и разработчикам инструментариев, связанных с движком Unreal Engine или открытыми проектами, полезными для сообщества, занимающегося 3D-графикой. Напомним, что 19 июля, если не возникнет проблем с тестированием кандидата в релизы, ожидается выпуск Blender 2.80, который … Читать далее Компания Epic Games пожертвовала 1.2 млн долларов Blender Foundation

Доступен выпуск дистрибутива Q4OS 3.8, основанного на пакетной базе Debian и поставляемого с рабочими столами KDE Plasma 5 и Trinity. Дистрибутив позиционируется как нетребовательный к аппаратным ресурсам и предлагающий классическое оформление рабочего стола. Размер загрузочного образа 669 Мб (x86_64, i386). Q4OS 3.8 отнесён к категории выпусков с длительным сроком поддержки, обновления для которого будут формироваться как минимум 5 лет. В состав входит несколько приложений собственной разработки, включая ‘Desktop profiler’ для быстрой установки тематических наборов ПО, ‘Setup utility’ для установки сторонних приложений, ‘Welcome Screen’ для упрощения начальной настройки, скрипты для установки альтернативных окружений LXQT, Xfce и LXDE. В новом выпуске осуществлён … Читать далее Выпуск дистрибутива Q4OS 3.8

Компания Microsoft объявила об открытии исходных текстов пакета Quantum Development Kit (QDK), ориентированного на разработку приложений для квантовых компьютеров. В дополнение к ранее опубликованным примерам квантовых приложений и библиотекам, теперь опубликованы исходные тексты компилятора для языка Q#, runtime-компонентов, квантового симулятора, обработчика LanguageServer для интеграции с интегрированными средами разработки, а также дополнений к редактору Visual Studio Code и пакету Visual Studio. Код опубликован под лицензией MIT, проект доступен на GitHub для приёма изменений и исправлений от сообщества. Для разработки квантовых алгоритмов предлагается использовать предметно-ориентированный язык Q#, предоставляющий средства для манипуляции кубитами. Язык Q# во многом напоминает языки C# и F#, отличаясь … Читать далее Microsoft открыл код Quantum Development Kit для разработки квантовых алгоритмов

В зависимостях к npm-пакету с установщиком PureScript выявлен вредоносный код, проявляющийся при попытке установки пакета purescript. Вредоносный код встроен через зависимости load-from-cwd-or-npm и rate-map. Примечательно, что сопровождением пакетов с данными зависимостями занимается изначальный автор npm-пакета с инсталлятором PureScript, который до недавних пор занимался сопровождением данного npm-пакета, но около месяца назад пакет перешёл к другим сопровождающим. Проблему обнаружил один из новых мэйтейнеров пакета, которому права на сопровождение были переданы после многих разногласий и неприятных обсуждений с изначальным автором npm-пакета purescript. Новые мэйнтейнеры отвечают за компилятор PureScript и настаивали, что NPM-пакет с его установщиком должен обслуживаться теми же сопровождающими, а не посторонним … Читать далее В зависимостях к npm-пакету с установщиком PureScript выявлены вредоносные изменения