Группа исследователей из Политехнического университета Виргинии, а также компаний Cyentia и RAND, опубликовала результаты анализа рисков при применении различных стратегий исправления уязвимостей. Изучив 476 тысяч уязвимостей, найденных с 2009 по 2018 год, было выявлено, что только 4183 из них (5.5%) применялись для осуществления реальных атак. Полученный показатель в пять раз превышает ранее опубликованные прогнозы, в которых число эксплуатируемых проблем оценивалось примерно в 1%. При этом не найдено корреляции между публикацией прототипов эксплоита в открытом доступен и попытками эксплуатации уязвимости. Из всех известных исследователям фактов эксплуатации уязвимостей только в половине случаев для проблемы до этого в открытых источниках публиковался прототип эксплоита. … Читать далее Около 5.5% выявляемых уязвимостей используются для осуществления атак

Доступна новая версия браузера Tor Browser 8.5.1, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер сосредоточен на обеспечении анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Windows, macOS и Android. В новом выпуске устранены ошибки, выявленные с момента публикации релиза Tor Browser 8.5 и устранён вектор идентификации браузера (fingerprinting) через WebGL, … Читать далее Выпуск Tor Browser 8.5.1

После семи месяцев разработки опубликован выпуск фонового процесса earlyoom 1.3, который периодически проверяет объем доступной памяти (MemAvailable, SwapFree) и пытается на ранней стадии отреагировать на возникновения нехватки памяти. Если объём доступной памяти меньше заданного значения, то earlyoom принудительно (через отправку SIGTERM или SIGKILL) завершит работу процесса, наиболее активно потребляющего память (имеющего самое большое значение /proc/*/oom_score), не доводя состояние системы до очистки системных буферов и мешающего работе своппинга (обработчик OOM (Out Of Memory) в ядре срабатывает когда состояние нехватки памяти уже достигло критичных значений и обычно к этому моменту система уже не реагирует на действия пользователя). Earlyoom поддерживает отправку уведомлений о … Читать далее Выпуск earlyoom 1.3, процесса для раннего реагирования на нехватку памяти

Представлен промежуточный выпуск Firefox 67.0.1, примечательный включением по умолчанию блокировки отслеживания перемещений, при которой отключается выставление Cookie для доменов, уличённых в отслеживании перемещений, несмотря на установку заголовка «Do Not Track». Блокировка осуществляется на основе чёрного списка disconnect.me. Изменение применяется для стандартного режима, ранее включавшего блокировку только для окна приватного просмотра. От строго режима блокировки указанное изменение отличается отсутствием отключения загрузки внешнего кода для отслеживания перемещений. При этом блокировка Cookie трекеров по умолчанию пока активируется только для новых установок, а для старых пользователей остаются в силе прежние настройки. Переключение алгоритма блокировки для старых пользователей планируется осуществить в ближайшие несколько месяцев. До … Читать далее Выпуск Firefox 67.0.1 c включением по умолчанию блокировки отслеживания перемещений

Компания Unity Technologies объявила о формировании предварительного выпуска редактора для создания игр Unity Editor для GNU/Linux. Выпуск сформирован после нескольких лет публикации неофициальных экспериментальных сборок. Теперь компания планирует обеспечить официальную поддержку Linux. Отмечается, что спектр поддерживаемых операционных систем расширяется в связи с ростом спроса на Unity в различных сферах, от игровой и киноиндустрии, до автомобилестроения и управления транспортом. Для тестирования предложена предварительная версия редактора для Ubuntu 16.04/18.04 и CentOS 7 (установка через UnityHub), отзывы о работе которой принимаются в форуме Unity. Полноценная поддержка редактора для Linux ожидается в выпуске Unity 2019.3. Предложенная сборка редактора доступна всем пользователям лицензий Personal (бесплатная), … Читать далее Разработчики игрового движка Unity анонсировали Unity Editor для GNU/Linux

В телевизорах Supra Smart Cloud TV выявлена уязвимость (CVE-2019-12477), позволяющая подменить просматриваемую в данный момент передачу на контент атакующего. В качестве примера продемонстрирован вывод фиктивного предупреждения о возникновении чрезвычайной ситуации. Для атаки достаточно отправить специально оформленный сетевой запрос, не требующий аутентификации. В частности, можно обратиться к обработчику «/remote/media_control?action=setUri&uri=» указав URL m3u8-файла с параметрами видео, например «http://192.168.1.155/remote/media_control?action=setUri&uri=http://attacker.com/fake_broadcast_message.m3u8». В большинстве случаев доступ к IP-адресу телевизора ограничен внутренней сетью, но так как запрос отправляется через HTTP возможно применение методов для обращения к внутренним ресурсам при открытии пользователем специально оформленной внешней страницы (например, под видом запроса картинки или используя метод DNS Rebinding). Источник: http://www.opennet.ru/opennews/art.shtml?num=50806 Читать далее Уязвимость в умных телевизорах Supra, позволяющая вывести фиктивное видео

Проект Qt опубликовал выпуск Qt Design Studio 1.2, окружения для проектирования интерфейса пользователя и разработки графических приложений на базе Qt. Qt Design Studio позволяет упростить совместную работу дизайнеров и разработчиков над созданием рабочих прототипов сложных и масштабируемых интерфейсов. Дизайнеры могут сосредоточиться только над графическим макетом оформления, в то время как разработчики могут уделить основное внимание разработке логики работы приложения, используя автоматически сгенерированный для макетов дизайнера QML-код. При помощи предлагаемого в Qt Design Studio рабочего процесса можно в считанные минуты превратить подготовленные в Photoshop или других графических редакторах макеты в рабочие прототипы, которые можно запустить на реальных устройствах. Изначально продукт поставлялся … Читать далее Выпуск среды разработки Qt Design Studio 1.2

Изданию РБК стало известно, что несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», но за прошедшее время «Яндекс» так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней. Ранее из-за отказа поделиться ключами в России по решению суда был заблокирован мессенджер Telegram. По словам источника РБК, в «Яндексе» считают, что ФСБ слишком широко трактует норму «закона Яровой»: «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от … Читать далее ФСБ потребовала ключи шифрования к данным пользователей Яндекс, но компания не передает их

Сташик Михальский (Stasiek Michalski), один из деятельных участников команды openSUSE Artwork Team, выставил на обсуждение вопрос целесообразности проведения ребрендинга openSUSE. В настоящее время в компании SUSE и свободном проекте openSUSE используется общий логотип, что вызывает путаницу и искажённое восприятие проекта у потенциальных пользователей. С другой стороны проекты SUSE и openSUSE неразрывно связаны, особенно после перехода на использование общих пакетов базовой системы, что подчёркивает сходство логотипов. Помимо пересечения с брендом SUSE имеются и технические доводы в пользу смены логотипа, такие как слишком яркий цвет для печати на светлом фоне, плохое масштабирование и непригодность для очень мелких кнопок. Логотип плохо читается и … Читать далее Сообщество openSUSE обсуждает вопрос изменения бренда для дистанцирования от SUSE

Компания Oracle выпустила второе функциональное обновление для ядра Unbreakable Enterprise Kernel R5, позиционируемого для использования в дистрибутиве Oracle Linux в качестве альтернативы штатному пакету с ядром из Red Hat Enterprise Linux. Ядро доступно для архитектур x86_64 и ARM64 (aarch64). Исходные тексты ядра, включая разбивку на отдельные патчи, опубликованы в публичном Git-репозитории Oracle. Пакет Unbreakable Enterprise Kernel 5 основан на ядре Linux 4.14 (UEK R4 базировался на ядре 4.1), которое дополнено новыми возможностями, оптимизациями и исправлениями, а также проверено на совместимость с большинством приложений, работающих в RHEL, и специально оптимизировано для работы с промышленным программным обеспечением и оборудованием Oracle. Установочные и … Читать далее Компания Oracle выпустила ядро Unbreakable Enterprise Kernel R5U2

Компания Smartisan Technology совершила пожертвование в 400 тысяч долларов проекту OpenBSD, став таким образом в третий раз «иридиевым» спонсором проекта и первым «иридиевым» спонсором в 2019 году. Статус iridium получают проекты, пожертвовавшие $100 000 или более. Среди прочих спонсоров проекта можно выделить: Facebook (2019 и 2017 года, «золотой» спонсор: от 25,000$ до 50,000$), Handshake (2018 год, «иридиевый» спонсор), Yandex (2018 год, «платиновый» спонсор: от 50,000$ до 100,000$, 2017 — «золотой»), Microsoft (2018 год — «золотой» спонсор, 2017 — «серебряный»: от 10,000$ до 25,000$) Стоит также отметить, что наряду с корпорациями, в первую тройку по суммам пожертвований ежегодно попадают объединённые пожертвования … Читать далее Первый iridium-спонсор OpenBSD в 2019 году

Увидел свет значительный выпуск системы распределённой обработки событий Apache Storm 2.0, примечательный переходом на новую архитектуру, реализованную на языке Java, вместо ранее применяемого языка Clojure. Проект позволяет организовать гарантированную обработку различных событий в режиме реального времени. Например, Storm можно применять для анализа потоков данных в режиме реального времени, выполнения задач для машинного обучения, организации непрерывных вычислений, реализации RPC, ETL и т.п. Система поддерживает кластеризацию, создание отказоустойчивых конфигураций, режим гарантированной обработки данных и обладает высокой производительностью, достаточной для обработки более миллиона запросов в секунду на одном узле кластера. Поддерживается интеграция с различными системами обработки очередей и технологиями баз данных. Архитектура Storm … Читать далее Доступна система распределённых вычислений Apache Storm 2.0

Проект GNU представил новую версию web-браузера IceCat 60.7.0. Релиз построен на кодовой базе Firefox 60 ESR, изменённой в соответствии с требованиями к полностью свободному ПО. В частности, удалены несвободные компоненты, заменены элементы оформления, прекращено использование зарегистрированных торговых марок, отключен поиск несвободных плагинов и дополнений, а, кроме того, интегрированы дополнения, направленные на усиления приватности. В базовую поставку входят дополнения LibreJS для блокирования обработки несвободного JavaScript-кода, HTTPS Everywhere для использования шифрования трафика на всех сайтах где это возможно, TorButton для интеграции с анонимной сетью Tor (для работы в ОС требуется запуск сервиса «tor»), HTML5 Video Everywhere для замены Flash-плеера на аналог на … Читать далее Релиз web-браузера GNU IceCat 60.7.0

Доступен выпуск дистрибутива Nitrux 1.1.7, построенного на пакетной базе Ubuntu и технологиях KDE. Дистрибутив развивает собственный рабочий стол Nomad, который представляет собой надстройку над пользовательским окружением KDE Plasma. Для установки дополнительных приложений продвигается система самодостаточных пакетов AppImages и собственный центр установки приложений NX Software Center. Размер загрузочного образа составляет 1.5 Гб. Наработки проекта распространяются под свободными лицензиями. Рабочий стол Nomad предлагает иное стилевое оформление, собственную реализацию системного лотка, центра вывода уведомлений и различных плазмоидов, таких как конфигуратор сетевых соединений и мультимедийный апплет, сочетающий средства для регулирования громкости с интерфейсом управления воспроизведением мультимедийного контента. Из развиваемых проектом приложений также выделяется интерфейс … Читать далее Выпуск дистрибутива Nitrux 1.1.7 с рабочим столом Nomad

Компания Mozilla представила приложение для управления паролями Firefox Lockwise, которое в процессе разработки развивалось под кодовым именем Lockbox. Lockwise включает в себя мобильные приложения для Android и iOS, позволяющие организовать доступ к сохранённым в Firefox паролям на любых устройствах пользователя, без необходимости установки на них Firefox. Поддерживается функция автозаполнения паролей в формах аутентификайии любых мобильных приложений. Код проекта распространяется под лицензией MPL 2.0. Для синхронизации паролей используется штатные возможности браузера Firefox и учётная запись в Firefox Account. Устройства с Lockwise подключаются к системе синхронизации по аналогии с подключением различных экземпляров браузера. Для защиты данных применяется блочный шифр AES-256-GCM и ключи … Читать далее Представлен менеджер паролей Firefox Lockwise

Доступен первый выпуск программы для чтения электронных книг Foliate. Код написан на JavaScript и поставляется под лицензией GPLv3. Для формирования интерфейса применяется библиотека GJS (обвязка над GTK), а для обработки формата EPUB — Epub.js. Основные функции: Просмотр файлов epub; Двухстраничный просмотр; Настройка шрифта; Выбор цвета фона; Навигация с отметками глав; Закладки и аннотации; Поиск по книге; Быстрый поиск по словарю; Поддержка жестов. Источник: http://www.opennet.ru/opennews/art.shtml?num=50789 Читать далее Выпуск Foliate 1.0, программы для чтения книг в формате EPUB

Доступно несколько новых выпусков открытых медаисерверов, предназначенных для организации потокового вещания в сети: Представлен первый выпуск Roc, тулкита для потоковой передачи звука по сети в режиме реального времени с гарантированным временем задержек и обеспечением качества на уровне звуковых компакт-дисков. При передаче учитывается отклонение времени системных часов отправителя и получателя. Поддерживается восстановление потерянных пакетов при помощи кодов прямой коррекции ошибок в реализации OpenFEC (в режиме минимальных задержек применяется код Рида — Соломона, а в режиме максимальной производительности — схема LDPC-Staircase). При передаче используется протокол RTP (AVP L16, 44100Hz PCM 16-bit). В настоящее время пока поддерживается только передача звука, но в планах … Читать далее Выпуск серверов для потокового вещания Roc 0.1, Ant 1.7 и Red5 1.1.1

В PyPI, каталог пакетов для разработчиков на языке Python, добавлена поддержка двухфакторной аутентификации для защиты учётной записи на случай компрометации основного пароля. Возможность доступна для всех зарегистрированных пользователей каталога. Из методов двухфакторной аутентификации пока поддерживаются только ограниченные по времени действия одноразовые пароли (TOTP), генерируемые при помощи специального мобильного приложения. Для генерации одноразовых паролей могут применяться приложения FreeOTP, FreeOTP+, Google Authenticator, Authy и Duo Mobile. В дальнейшем планируется реализовать поддержку ключей Yubikeys в качестве второго фактора проверки. Источник: http://www.opennet.ru/opennews/art.shtml?num=50783 Читать далее В каталоге пакетов PyPI появилась поддержка двухфакторной аутентификации

Компания Google объявила об ужесточении правил размещения дополнений в кататлоге Chrome Web Store с целью усиления защиты от распространения вредоносных дополнений. Первая часть изменений связана с проектом Strobe, в рамках которого проведено рецензирование методов, используемых сторонними разработчиками приложений и дополнений для доступа к сервисами, связанным с учётной записью пользователя в Google, или к данным на устройствах Android. В дополнение к ранее представленным новым правилам обращения с данными Gmail и ограничениям доступа к SMS и спискам звонков для приложений в Google Play, компания Google анонсировала проведение похожей инициативы для дополнений к Chrome. Основной целью изменения правил является борьба с практикой запроса … Читать далее Ужесточение правил размещения дополнений в Chrome Web Store

Симеон Винцент (Simeon Vincent), отвечающий в команде Chrome за взаимодействие с разработчиками дополнений (занимает должность Extensions Developer Advocate), прокомментировал текущую позицию Google в отношении третьей редакции манифеста Chrome, нарушающей работу многих дополнений для блокирования нежелательного контента и обеспечения безопасности. Компания не намерена отказываться от первоначального плана по прекращению поддержки блокирующего режима работы API webRequest, позволяющего менять принимаемый контент на лету. Исключение будет сделано лишь для редакции Chrome для предприятий (Chrome for Enterprise), в которых поддержка API webRequest будет сохранена в прежнем виде. Для обычных пользователей Chrome API webRequest будет ограничен режимом только для чтения. На замену API webRequest для фильтрации … Читать далее Google продолжает настаивать на ограничении API, востребованного в блокировщиках рекламы

Состоялся выпуск сервера приложений NGINX Unit 1.9, в рамках которого развивается решение для обеспечения запуска web-приложений на различных языках программирования (Python, PHP, Perl, Ruby, Go, JavaScript/Node.js и Java). Под управлением NGINX Unit может одновременно выполняться несколько приложений на разных языках программирования, параметры запуска которых можно изменять динамически без необходимости правки файлов конфигурации и перезапуска. Код написан на языке Си и распространяется под лицензией Apache 2.0. С особенностями NGINX Unit можно познакомиться в анонсе первого выпуска. В новой версии: Возможность маршрутизации запросов по аргументам URI, заголовкам и Cookie; «headers»: [ { «Accept-Encoding»: «*gzip*», «User-Agent»: «Mozilla/5.0*» }, { «User-Agent»: «curl*» } ] … Читать далее Выпуск сервера приложений NGINX Unit 1.9.0