Компания Mozilla определила проекты, которые в первом полугодии 2019 года получат гранты в рамках инициативы по стимулированию исследований в области интернета. Размер гранта составляет 25 тысяч долларов, 10% из которых отчисляется в благотворительные фонды, занимающиеся уходом за детьми. Гранты присуждаются индивидуальным исследователям из университетов, исследовательских институтов и некоммерческих организаций из любых стран. Среди получивших гранты разработок: Создание плагина для поддержки языка программирования Julia в платформе Iodide, нацеленной на предоставление интерактивного браузерного окружения для анализа данных и совместного проведения исследований с использование кода на различных языках программирования. В настоящее время в Iodide из отличных от JavaScript языков полноценно поддерживается только Python, … Читать далее Компания Mozilla определила получателей грантов исследовательским проектам

Компания Siemens опубликовала релиз свободного гипервизора Jailhouse 0.11, компоненты для гостевых систем которого уже включены в состав основного ядра Linux. Гипервизор поддерживает работу на системах x86_64 с расширениями VMX+EPT или SVM+NPT (AMD-V), а также на процессорах ARMv7 (Banana Pi, NVIDIA Jetson TK1, Versatile Express с Cortex-A15 или A7) и ARMv8/ARM64 (AMD Seattle, LeMaker HiKey, NVIDIA Jetson TX1, Xilinx ZCU102 ) с расширениями для виртуализации. Код проекта распространяется под лицензией GPLv2. Гипервизор реализован в виде модуля для ядра Linux и обеспечивает виртуализацию на уровне ядра. Для управления изоляцией используются предоставляемые современными CPU аппаратные механизмы виртуализации. Отличительными особенностями Jailhouse являются легковесная реализация … Читать далее Компания Siemens выпустила гипервизор Jailhouse 0.11

В опубликованном 25 июня выпуске gem-пакета Strong_password 0.7 выявлено вредоносное изменение (CVE-2019-13354), загружающее и выполняющее подконтрольный неизвестному злоумышленнику внешний код, размещённый на сервисе Pastebin. Общее число загрузок проекта составляет 247 тысяч, а версии 0.6 — около 38 тысяч. Для вредоносной версии число загрузок указано 537, но не ясно насколько оно соответствует действительности с учётом того, что данный выпуск уже удалён с Ruby Gems. Библиотека Strong_password предоставляет средства для проверки надёжности пароля, задаваемого пользователем при регистрации. Среди использующих Strong_password пакетов think_feel_do_engine (65 тысяч загрузок), think_feel_do_dashboard (15 тысяч загрузок) и superhosting (1.5 тыс). Отмечается, что вредоносное изменение было добавлено неизвестным, перехватившим у … Читать далее Зафиксирована подстановка вредоносного кода в Ruby-пакет Strong_password

22—25 августа под Минском (Беларусь) состоится 15-я международная конференция разработчиков и пользователей свободного ПО «Linux Vacation / Eastern Europe«. Для участия в мероприятии требуется зарегистрироваться на сайте конференции. Заявки на участие и тезисы докладов принимаются до 4 августа. Официальные языки конференции – русский, белорусский и английский. Цель проведения LVEE – обмен опытом между специалистами по проектированию, разработке, внедрению, сопровождению и развитию решений Open Source, а также представителями IT-бизнеса, заинтересованными в феномене свободного ПО, обсуждение роли свободных технологий в эволюции бизнес-решений, корпоративных и государственных ИТ-систем. Формат включает преимущественно доклады и краткие выступления; также приветствуются круглые столы, воркшопы, код-спринты. Спектр тем конференции … Читать далее В августе под Минском пройдёт международная конференция LVEE 2019

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.2. Среди наиболее заметных изменений: режим работы Ext4 без учёта регистра символов, раздельные системные вызовы для монтирования ФС, DRM-драйверы для GPU Mali 4xx/ 6xx/7xx, возможность обработки изменения значений sysctl в программах BPF, device-mapper модуль dm-dust, защита от атак MDS, поддержка Sound Open Firmware для DSP, оптимизация производительности BFQ, доведение подсистемы PSI (Pressure Stall Information) до возможности использования в Android. В новую версию принято 15100 исправлений от 1882 разработчиков, размер патча — 62 Мб (изменения затронули 30889 файлов, добавлено 625094 строк кода, удалено 531864 строк). Около 45% всех представленных в 5.2 … Читать далее Релиз ядра Linux 5.2

Представлен релиз Debian GNU/Hurd 2019, редакции дистрибутива Debian 10.0 «Buster», сочетающей программное окружение Debian c ядром GNU/Hurd. Репозиторий Debian GNU/Hurd включает примерно 80% пакетов от общего размера архива Debian, в том числе портированы Firefox и Xfce 4.12. Debian GNU/Hurd и Debian GNU/KFreeBSD являются единственными платформами Debian, созданными на базе ядра, отличного от Linux. Платформа GNU/Hurd не вошла в число официально поддерживаемых архитектур Debian 10, поэтому релиз Debian GNU/Hurd 2019 выпущен отдельно и имеет статус неофициального выпуска Debian. Готовые сборки, снабжённые специально созданным графическим инсталлятором, и пакеты в настоящее время доступны только для архитектуры i386. Для загрузки подготовлены установочные образы NETINST, … Читать далее Доступен Debian GNU/Hurd 2019

После двух лет разработки состоялся релиз Debian GNU/Linux 10.0 (Buster), доступный для десяти официально поддерживаемых архитектур: Intel IA-32/x86 (i686), AMD64 / x86-64, ARM EABI (armel), 64-bit ARM (arm64), ARMv7 (armhf), MIPS (mips, mipsel, mips64el), PowerPC 64 (ppc64el) и IBM System z (s390x). Обновления для Debian 10 будут выпускаться в течение 5 лет. В репозитории представлено 57703 бинарных пакетов, что примерно на 6 тысяч больше, чем было предложено в Debian 9. По сравнению с Debian 9 добавлено 13370 новых бинарных пакетов, удалено 7278 (13%) устаревших или заброшенных пакетов, обновлено 35532 (62%) пакетов. Для 91.5% пакетов обеспечена поддержка повторяемых сборок, позволяющих подтвердить, … Читать далее Релиз Debian 10 «Buster»

Компания Mozilla не намерена включать по умолчанию поддержку DNS-over-HTTPS для пользователей из Великобритании из-за давления со стороны Ассоциации провайдеров Великобритании (UK ISPA) и организации Internet Watch Foundation (IWF). Несколько дней назад организация UK ISPA номинировала Mozilla на звание «Злодей Интернета» в связи с работой по внедрению DNS-over-HTTPS. Mozilla рассматривает DNS-over-HTTPS (DoH) как инструмент для обеспечения приватности и безопасности пользователей, который исключает утечки сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, позволяет бороться с MITM-атаками и подменой DNS-трафика, противостоит блокировкам на уровне DNS и позволят работать в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной … Читать далее В Великобритании Firefox не будет использовать DNS-over-HTTPS из-за претензий в обходе блокировок

На официальной странице компании Canonical на GitHub зафиксировано появление десяти пустых репозиториев с именами «CAN_GOT_HAXXD_N». В настоящее время данные репозитории уже удалены, но их следы осели в web-архиве. Никакой информации о компрометации учётной записи или вандализме со стороны сотрудников пока нет. Также пока не ясно затронул ли инцидент целостность существующих репозиториев. Источник: http://www.opennet.ru/opennews/art.shtml?num=51045 Читать далее Взлом репозиториев Canonical на GitHub

Сформирован релиз платформы Open Build Service 2.10, предназначенной для организации процесса разработки дистрибутивов и программных продуктов, включая подготовку и сопровождение релизов и обновлений. Система даёт возможность выполнить кросс-компиляцию пакетов для большинства основных дистрибутивов Linux или собрать собственный дистрибутив на основе заданной пакетной базы. Поддерживается сборка для 21 целевой платформы (дистрибутива), включая CentOS, Debian, Fedora, OpenMandriva, openSUSE, SUSE Enterprise Linux, Red Hat Enterprise Linux (RHEL) и Ubuntu. Сборка возможна для 6 архитектур, в том числе i386, x86_64 и ARM. OBS охватывает более 140 тысяч пакетов и используется в качестве первичной системы для сборки проектов openSUSE, Tizen, Sailfish/Mer, NextCloud и VideoLAN, а … Читать далее Выпуск системы сборки пакетов Open Build Service 2.10

Доступен экспериментальный выпуск открытой реализации Win32 API — Wine 4.12. С момента выпуска версии 4.11 было закрыто 27 отчётов об ошибках и внесено 336 изменений. Наиболее важные изменения: Добавлена поддержка драйверов для PnP-устройств (Plug & Play); Улучшена поддержка удалённой отладки под управлением Visual Studio; Реализация вызова EnumDisplayDevicesW(), применяемого для получения информации об используемых в текущем сеансе экранах, доведена до состояния, пригодного для запуска в многомониторных окружениях различных игр и приложений, включая редактор VS Code; Многие функции и структуры (mutex, семафоры, работа с токенами и реестром, ACL, хэши и т.п.) библиотек advapi32 и kernel32 переведены на использование реализаций из ntdll и … Читать далее Выпуск Wine 4.12

В каталоге Google Play выявлено жульническое приложение Updates for Samsung, которое успешно продаёт доступ к обновлениям Android для смартфонов Samsung, которые изначально распространяются компаний Samsung бесплатно. Несмотря на то, что приложение размещено никак не связанной с Samsung и никому не известной компанией Updato, оно уже набрало более 10 млн установок, что лишний раз подтверждает предположение, что огромный пласт пользователей готовы установить на свой смартфон всё что угодно, не задумываясь о возможных вредоносных последствиях и не проверяя то, что они устанавливают. Приложение «Updates for Samsung» включает браузерный компонент WebView, который транслирует содержимое сайта updato.com, на котором предлагаются ссылки на имеющиеся обновления … Читать далее 10 млн пользователей установили жульническое приложение для продажи обновлений прошивок Samsung

После двух лет разработки представлен стабильный релиз модульного многоплатформенного менеджера загрузки GNU GRUB 2.04 (GRand Unified Bootloader). GRUB поддерживает широкий спектр платформ, включая обычные ПК с BIOS, платформы IEEE-1275 (оборудование на базе PowerPC/Sparc64), EFI-системы, RISC-V, оборудование на основе MIPS-совместимого процессора Loongson 2E, системы Itanium, ARM, ARM64 и ARCS (SGI), устройства, использующие свободный пакет CoreBoot. Основные новшества: Поддержка архитектуры RISC-V; Поддержка режима виртуализации Xen PVH (комбинация паравиртуализации (PV) для ввода/вывода, обработки прерываний, организации загрузки и взаимодействия с оборудованием, с применением полной виртуализации (HVM) для ограничения привилегированных инструкций, изоляции системных вызовов и виртуализации таблиц страниц памяти); Встроенная поддержка UEFI Secure Boot; Включение … Читать далее Релиз менеджера загрузки GNU GRUB 2.04

Для web-браузера Chrome развивается новый режим блокирования рекламы, потребляющей слишком много системных и сетевых ресурсов. Предлагается автоматически выгружать iframe-блоки с рекламой, если выполняемый в них код потребляет более 0.1% имеющейся пропускной способности и 0.1% времени CPU (общего и в минутном разрезе). В абсолютных значениях лимит задан в 4 Мб трафика и 60 секунд процессорного времени. При превышении указанных ресуов планируется заменять iframe на страницу с текстом ошибки. В случае одобрения предложенный режим сможет дополнить штатный механизм блокировки неприемлимой рекламы, активация которого намечена на 9 июля. В соответствии с ранее озвученным планом на следующей неделе в Chrome начнёт действовать блокировка рекламных … Читать далее Для Chrome разрабатывают режим блокировки ресурсоёмкой рекламы

Компания Mozilla в рамках инициативы по созданию платных сервисов начала тестирование нового продукта для Firefox, позволяющего просматривать сайты без рекламы и продвигающего альтернативный способ финансирования создания контента. Стоимость использования сервиса составляет $4.99 в месяц. Основная идея заключается в том, что пользователям сервиса не показывается реклама на сайтах, а финансирование создания контента осуществляется благодаря платной подписке. Полученные средства распределяются между участвующими в инициативе сайтами партнёров, в зависимости от их востребованности пользователями. Дополнительно подписчикам также предоставляются аудиоверсии статей, синхронизируемые между устройствами закладки, система рекомендаций и приложение для поиска интересного контента. Например, пользователь может начать читать статью дома на ПК, после чего продолжить … Читать далее Mozilla тестирует платный прокси-серверс для просмотра сайтов без рекламы

Опубликован релиз языка системного программирования Rust 1.36, основанного проектом Mozilla. Язык сфокусирован на безопасной работе с памятью, обеспечивает автоматическое управление памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime. Автоматическое управление памятью в Rust избавляет разработчика от манипулирования указателями и защищает от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo, позволяющий получить нужные для программы библиотеки в один клик. Для … Читать далее Выпуск языка программирования Rust 1.36

Подготовлено обновление дистрибутива OpenWrt 18.06.4, ориентированного на применение в различных сетевых устройствах, таких как маршрутизаторы и точки доступа. OpenWrt поддерживает множество различных платформ и архитектур и обладает системой сборки, позволяющей просто и удобно производить кросс-компиляцию, включая в состав сборки различные компоненты, что позволяет легко сформировать адаптированную под конкретные задачи готовую прошивку или образ диска с желаемым набором предустановленных пакетов. Сборки сформированы для 34 целевых платформ. Выпуск OpenWrt 18.06.3 был пропущен в пользу 18.06.4 из-за мелкого обновления для ядра Linux 4.14, исправляющего проблемы с подключением TCP, которые были добавлены в первой итерации исправлений уязвимости Linux SACK. Основные изменения в OpenWrt 18.06.04: … Читать далее Выпуск OpenWrt 18.06.04

В рамках проекта Snuffleupagus развивается модуль для подключения к интерпретатору PHP7, предназначенный для повышения безопасности окружения и блокирования типовых ошибок, приводящих к появлению уязвимостей в выполняемых PHP-приложениях. Модуль также позволяет создавать виртуальные патчи для устранения конкретных проблем без изменения исходных текстов уязвимого приложения, что удобно для применения в системах массового хостинга, на которых невозможно добиться поддержания всех пользовательских приложений в актуальном виде. Модуль написан на языке Си, подключается в форме разделяемой библиотеки («extension=snuffleupagus.so» в php.ini) и распространяется под лицензией LGPL 3.0. Snuffleupagus предоставляет систему правил, позволяющую использовать как типовые шаблоны для повышения защиты, так и создавать собственные правила для контроля … Читать далее Проект Snuffleupagus развивает PHP-модуль для блокирования уязвимостей

Компания Mozilla представила сервис Track THIS, позволяющий наглядно оценить методы работы рекламных сетей, отслеживающих предпочтения посетителей. Сервис позволяет через автоматизированное открытие около 100 вкладок симулировать четыре типовых профиля поведения в сети, после чего рекламные сети на несколько дней начинают предлагать контент, соответствующий выбранному профилю. Например, если выбрать профиль очень богатого человека, в рекламе начнут фигурировать дорогие отели, люксовые автомобили, премиальные бренды и эксклюзивные клубы. При выборе профиля поведения хипстера в выдаче будут преобладать новейшие тенденции, эксклюзивные предложения, удобная одежда и последние музыкальные новинки. Для профиля параноика будут показываться ссылки на различные теории заговоров, сведения о создании бункеров и информацию о … Читать далее Компания Mozilla запустила сайт, демонстрирующий методы отслеживания пользователей

В открытой платформе для организации электронной коммерции Magento, которая занимает около 20% рынка систем для создания интернет-магазинов, выявлены уязвимости, комбинация которых позволяет совершить атаку для выполнения своего кода на сервере, получения полного контроля над интернет-магазином и организации перенаправления платежей. Уязвимости устранены в выпусках Magento 2.3.2, 2.2.9 и 2.1.18, в которых в сумме устранено 75 проблем, связанных с безопасностью. Одна из проблем позволяет неаутентифицированному пользователю добиться размещения JavaScript-кода (XSS), который может быть выполнен при просмотре журнала отменённых покупок в интерфейсе администратора. Суть уязвимости в возможности обойти операцию чистки текста при помощи функции escapeHtmlWithLinks() при обработке примечания в форме отмены на экране … Читать далее В платформе электронной коммерции Magento устранено 75 уязвимостей

Компания Valve предложила в списке рассылки разработчиков Mesa новый компилятор шейдеров ACO для Vulkan-драйвера RADV, позиционируемый в качестве альтернативы компилятору шейдеров из AMDGPU, используемому в OpenGL- и Vulkan-драйверах RadeonSI и RADV для графических чипов AMD. После завершения тестирования и доработки функциональности, ACO планируется предложить для включения в основной состав Mesa. Предложенный Valve код нацелен на обеспечение генерации кода, насколько это возможно оптимального для шейдеров игровых приложений, а также на достижение очень высокой скорости компиляции. Имеющийся в Mesa компилятор шейдеров использует компоненты LLVM, которые не позволяют добиться желаемой скорости компиляции и не позволяют полностью контролировать управляющий поток, что в прошлом уже … Читать далее Компания Valve открыла новый компилятор шейдеров для GPU AMD