Организаторы инициативы Zero Day Initiative (ZDI) анонсировали мероприятие Pwn2Own 2019, участникам которого предлагается продемонстрировать рабочие техники эксплуатации ранее неизвестных уязвимостей. Мероприятие состоится с 20 по 22 марта в рамках конференции CanSecWest в Ванкувере. Размер призового фонда составляет более двух с половиной миллионов долларов. В этом году из призовых номинаций исключены взломы ядра Linux и большинства открытых проектов (nginx, OpenSSL, Apache httpd), взлом которых в прошлые годы ограничился демонстрацией в 2017 году 0-day уязвимости в ядре Linux, позволяющей локальному пользователю поднять свои привилегии в системе. Дистрибутив Ubuntu убран из числа окружений для взлома. Из открытых проектов в номинациях оставлены только браузеры … Читать далее В Pwn2Own 2019 убраны номинации за взлом Linux, но добавлены за взлом Tesla

Разработчики проекта LLVM объявили о достижении важного рубежа на пути к миграции с Subversion на Git и GitHub. В строй введено официальное Git-зеркало основного репозитория проекта, построенного с использованием централизованной системы управления исходными текстами Subversion. Git-репозиторий теперь признан стабильным и может применяться для участия в разработке компонентов LLVM (ранее Git-зеркало носило неофициальный статус и поддерживалось энтузиастами со стороны). Синхронизация с SVN осуществляется раз в минуту, а время отставания появления в Git коммитов оценивается в 20-90 секунд. Для приёма коммитов продолжает применяться SVN, поэтому при использовании Git для отправки изменений следует использовать git-svn или специально подготовленный скрипт. Следующим шагом миграции станет … Читать далее Проект LLVM ввёл в строй официальное Git-зеркало в ходе миграции с SVN

В реализациях утилиты SCP от проектов OpenSSH, PuTTY и WinSCP выявлены четыре уязвимости, позволяющие на стороне клиента манипулировать выводом информации в терминал, организовать запись произвольных файлов в целевой каталог или изменить права доступа на каталог при обращении к серверу, подконтрольному злоумышленнику. CVE-2019-6111 — возможность перезаписать произвольные файлы в целевом каталоге на стороне клиента. В SCP как и в RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов. Проверка на стороне клиента ограничена лишь блокированием выхода за границы текущего каталога («../»), но не учитывает передачу файлов с именами, отличающимися от … Читать далее Уязвимости в реализациях SCP из OpenSSH, PuTTY и WinSCP

Компания Blue Systems, предоставляющая финансирование разработки KWin и Kubuntu, опубликовала выпуск дистрибутива Netrunner 2019.01, предлагающего рабочий стол KDE. От развиваемых той же компанией дистрибутивов Netrunner Rolling и Maui представленная редакций отличается использованием классического подхода к формированию сборок и пакетной базы Debian Testing, без применения модели rolling-обновлений на базе Arch/Kubuntu. От Kubuntu дистрибутив Netrunner отличается иным подходом к организации интерфейса пользователя и развитием в направлении бесшовной интеграции Wine и GTK-программ в окружение KDE. Размер загрузочного iso-образа составляет 2.8 Гб (x86_64). В новой версии: Обновлены версии программ, в том числе KDE Plasma 5.14.3, KDE Frameworks 5.51, KDE Applications 18.08, Qt 5.11.3, ядро … Читать далее Выпуск дистрибутива Netrunner 2019.01

Разработчики проекта LLVM объявили о достижении важного рубежа на пути к миграции с Subversion на Git и GitHub. В строй введено официальной Git-зеркало основного репозитория проекта, построенного с использованием централизованной системы управления исходными текстами Subversion. Git-репозиторий теперь признан стабильным и может применяться для участия в разработке компонентов LLVM. Синхронизация с SVN осуществляется раз в минуту, а время отставания появления в Git коммитов оценивается в 20-90 секунд. Следующим шагом миграции станет перевод Git в разряд первичных репозиториев. Для приёма коммитов продолжает применяться SVN (при использовании Git для отправки изменений следует использовать git-svn или специально подготовленный скрипт). Читать далее Проект LLVM ввёл в строй официальное Git-зеркало своего SVN-репозитория

Разработчики Fedora опубликовали список из 86 пакетов, оставшихся без сопровождения и запланированных для удаления из репозитория после 6 недель неактивности, если для них в ближайшее время не найдётся мэйнтейнер. Среди находящихся в списке пакетов: autotrash, bouml, dnsyo, fasd, hdapsd, jmake, lzma, parprouted, pcapfix, pg_journal, php-ZendFramework, python-ansible-tower-cli, python-cookies, python-kafka, ratproxy, ripe-atlas-tools, scite, tinyca2, tristripper, unp и wifi-radar. Читать далее Проект Fedora проведёт чистку пакетов, оставшихся без сопровождения

Маттиас Класен (Matthias Clasen), лидер Fedora Desktop Team и участник GNOME Release Team, сообщил о тестировании улучшенной темы оформления «Adwaita», используемой по умолчанию в GTK+ 3. Перед включением изменений в состав выпуска GTK 3.24.4, в течение трёх недель пользователям даётся возможность протестировать новую тему и высказать свои замечания. Модернизированная тема поставляется в виде отдельного архива, опубликованного параллельно с выпуском GTK 3.24.3. Прошлая значительная модернизация темы оформления была проведена в 2014 году. Нынешнее изменение не столь кардинально и в основном сосредоточено на оттачивании мелочей и корректировке цветовой схемы. Тема приведена к более современному виду, но без нарушения совместимости с оформлением виджетов … Читать далее Разработчики GTK+ 3 тестируют обновлённую тему оформления

В выпуске Firefox 67, намеченном на 14 мая, планируется переработать механизм работы с профилями. В ночные сборки Firefox изменение будет включено 28 января. Если до сих пор при установке нескольких разных экземпляров Firefox по умолчанию использовался один общий профиль с настройкам, дополнениями и информационными базами (закладки, история, сохранённые пароли, cookie и т.д.), то начиная с Firefox 67 для каждого параллельно установленного экземпляра будет создаваться собственный отдельный профиль. Например, при одновременной установке ESR, бета, ночных сборок, редакции Developer Edition и обычного выпуска Firefox, для них будут созданы раздельные профили. Изменение профиля будет производиться только для новых установок (после обновления будет сохраняться … Читать далее Firefox 67 начнёт использовать отдельные профили для разных установок

Спустя восемь лет с момента формирования прошлой значительной ветки представлен релиз платформы для анализа уязвимостей — Metasploit Framework 5.0. В настоящий момент в пакет входит 3795 модулей с реализацией различных эксплоитов и методов выполнения атак. Проектом также ведётся информационная база, содержащая сведения о 136710 уязвимостях. Код Metasploit написан на языке Ruby и распространяется под лицензией BSD. Модули могут разрабатываться на языках Ruby, Python и Go. Фреймворк предоставляет специалистам в области компьютерной безопасности набор средств для быстрой разработки и отладки эксплоитов, а также для проверки систем на наличие уязвимостей и выполнения действий (payload) в случае успеха проведения атаки. Для сканирования сети … Читать далее Релиз платформы для анализа уязвимостей Metasploit Framework 5.0

Подготовлен релиз системы распознавания текста Ocrad (Optical Character Recognition) 0.27, развиваемой под эгидой проекта GNU. Ocrad может применяться как в форме библиотеки для интеграции функций OCR в другие приложения, так и в форме обособленной утилиты, которая на основе переданного на вход изображения выдаёт текст в UTF-8 или 8-битных кодировках. Для оптического распознавания в Ocrad используется метод выделение признаков (feature extraction). В состав входит анализатор макета страницы, позволяющий корректно разделять столбцы и блоки текста в печатных документах. Распознавание поддерживается только для символов из кодировок «ascii», «iso-8859-9» и «iso-8859-15» (поддержка кириллицы отсутствует). Передаваемые для распознавания изображения должны быть в форматах pbm, pgm … Читать далее Выпуск системы распознавания текста GNU Ocrad 0.27

Разработчики Mozilla запланировали отключение плагина Adobe Flash в выпуске Firefox 69, намеченном на сентябрь. В ESR-ветках Firefox поддержка Flash сохранится до конца 2020 года. До начала 2020 года пользователи обычных выпусков Firefox смогут вернуть поддержку Flash через настройки в about:config, после чего код для работы с NPAPI будет полностью удалён из кодовой базы. Напомним, что компания Adobe ранее объявила о переводе Flash в разряд устаревших технологий и предупредила о полном прекращении сопровождения Flash в конце 2020 года. Flash остаётся последним NPAPI-плагином, поддержка которого сохранялась в Firefox после перевода API NPAPI в разряд устаревших. Поддержка Silverlight, Java, Unity, Gnome Shell Integration … Читать далее В Firefox 69 планируется по умолчанию отключить поддержку Flash

Один из основателей проекта elementary OS представил новый web-браузер Ephemeral, развиваемый командой разработчиков elementary OS специально для данного дистрибутива Linux. Для разработки использован язык Vala, GTK3+ и движок WebKitGTK+ (проект написан с нуля и не является ответвлением от Epiphany). Код распространяется под лицензией GPLv3. Готовые сборки подготовлены только для elementary OS, но при желании браузер может быть собран и для других дистрибутивов. Проект развивается с оглядкой на функциональность мобильного браузера Firefox Focus, адаптированной для применения на настольных системах. По умолчанию браузер запускается в режиме инкогнито, в котором блокируются все внешние Cookie, выставляемые рекламными блоками, виджетами социальных сетей и любым внешним … Читать далее Проект elementary OS представил новый браузер Ephemeral

Разработчики Mozilla запланировали отключение плагина Adobe Flash в выпуске Friefox 69, намеченном на сентябрь. В ESR-ветках Firefox поддержка Flash сохранится до конца 2020 года. До начала 2020 года пользователи обычных выпусков Firefox смогут вернуть поддержку Flash через настройки в about:config, после чего код для работы с NPAPI будет полностью удалён из кодовой базы. Напомним, что компания Adobe ранее объявила о переводе Flash в разряд устаревших технологий и предупредила о полном прекращении сопровождения Flash в конце 2020 года. Flash остаётся последним NPAPI-плагином, поддержка которого сохранялась в Firefix после перевода API NPAPI в разряд устаревших. Поддержка Silverlight, Java, Unitym, Gnome Shell Integration … Читать далее В Friefox 69 планируется по умолчанию отключить поддержку Flash

Группа исследователей из компании Amazon опубликовали книгу «Dive into Deep Learning«, знакомящую с основными принципами разработки систем машинного обучения и алгоритмами, используемыми при построении нейронных сетей. Разработка книги ведётся на GitHub в формате Markdown (любой желающий может предложить дополнения или поправки). Книга доступна в формате PDF (635 стр.), в виде интерактивного online-руководства (с возможностью оставлять комментарии и проводить обсуждение в каждом разделе) и в форме интерактивного руководства для среды Jupyter (можно сразу запускать и изменять примеры кода и наблюдать результат). Рабочие примеры кода приводятся для фреймворка Apache MXNet и охватывают различные аспекты машинного обучения, от создания и тренировки моделей, до … Читать далее Общедоступная книга по машинному обучению

Исследователи из Мадридского университет имени Карла III и Королевского колледжа Лондона провели анализ известного вредоносного ПО, осуществляющего майнинг криптовалюты на системах пользователей, и пришли к выводу, что создатели подобных вредоносных систем заработали за последние 4 года около 56 млн долларов (в среднем 1.2 млн в месяц). Обычно во вредоносном ПО для майнинга используется криптовалюта Monero (XMR), которая позиционируется как обеспечивающая полную анонимность и невозможность отследить платежи. Утверждается, что как минимум 4.3% от всех имеющихся монет Monero (уровень капитализации 749 млн долларов), получены через майнинг вредоносным ПО. Статистика получена на основе изучения пулов майнинга и кошельков, выявленных в процессе автоматизированного статического … Читать далее Около 4.3% имеющихся монет Monero получены в результате майнинга вредоносным ПО

Компания Mozilla в рамках проекта Fenix начала разработку нового браузера для мобильных устройств. Разработка пока находится на начальном этапе и реализовано только около 5% от запланированной на выпуск 1.0 функциональности. Тем не менее, уже опубликованы макеты интерфейса по которым можно судить об особенностях нового браузера и направлении развития продукта. Fenix основан на движке GeckoView и наборе библиотек Mozilla Android Components, применяемых для построения браузеров Firefox Focus и Firefox Lite. Судя по доступным макетам интерфейса разработчики Fenix экспериментируют с переносом адресной строки и панели управления в нижнюю часть экрана, а также с предоставлением расширенного меню, напоминающего классическое меню настольной версии Firefox. … Читать далее Mozilla разрабатывает новый мобильный браузер Fenix

Компьютерная команда экстренной готовности США (US-CERT) предупредила администраторов о выявлении массовых атак, проводимых через перенаправление трафика на подконтрольный злоумышленникам хост при помощи правки параметров DNS в интерфейсе регистратора или провайдера услуг DNS. Для получения доступа к настройкам DNS (многие клиенты не запускают свой DNS-сервер, а пользуются сторонним сервисом, как правило предоставляемым регистратором) организаторы атаки подбирают или перехватывают пароль к учётной записи для входа в интерфейс регистратора/DNS-сервиса. Например пароль может быть захвачен в результате внедрения троянских приложений на компьютеры жертв или вычислен, пользуясь совпадениями с паролями из доступных баз учётных записей, захваченных в результате атаки на известные сервисы (многие пользователи используют … Читать далее Рост атак, связанных с захватом контроля над DNS

Представлен релиз PacketFence 8.3, свободной системы для управления доступом к сети (NAC), которая может использоваться для организации централизованного доступа и эффективной защиты сетей любого размера. Код системы написан на языке Perl и распространяется под лицензией GPLv2. Установочные пакеты подготовлены для RHEL 7 и Debian 8. PacketFence поддерживает обеспечение централизованного входа пользователей в сеть по проводным и беспроводным каналам с возможностью активации через web-интерфейс (captive portal). Поддерживается интеграция с внешними базами пользователей через LDAP и ActiveDirectory, возможна блокировка нежелательных устройств (например, запрет на подключение мобильных устройств или точек доступа), проверка трафика на вирусы, выявление вторжений (интеграция со Snort), аудит конфигурации и … Читать далее Релиз системы управления доступом к сети PacketFence 8.3

Марин Даффи (Máirín Duffy), дизайнер из компании Red Hat, от лица команды Fedora Design Team представила для обсуждения в сообществе два варианта нового логотипа для проекта Fedora и связанные с ними элементы брендига. Разработка нового логотипа была инициирована лидером проекта с целью устранения имеющихся в текущем логотипе недостатков. Ныне используемый логотип был разработан в 2005 году и оказался плохо адаптирован для одноцветной печати, мелких размеров и тёмного фона. В логотипе использовались элементы из проприетарного шрифта и его не удобно центровать на макете. Последняя буква «а» плохо читаема и напоминает «o», а буква «f» в кружке создаёт у некоторых пользователей ассоциации … Читать далее Проект Fedora предложил оценить новые варианты логотипа

Проект VideoLAN сообщил о преодолении рубежа в три миллиарда загрузок видеоплеера VLC, зафиксированных системой сборка статистики, работающей на серверах проекта с февраля 2005 года. Достижение было отпраздновано на выставке всемирной электроники CES 2019, проходящей в эти дни в Лас-Вегасе. Разработчики VideoLAN развернули на своём выставочном стенде информационную панель, скомпонованную из различных смартфонов и планшетов, динамически отражающую состояние счётчика загрузок. Около 2.4 миллиардов загрузок приходится на сборку VLC для платформы Windows, 267 млн — macOS, 164 млн — Android, 29 млн — iOS и 6.2 млн на архив с исходными текстами. Опубликованные данные не учитывают загрузку VLC для Linux, так как … Читать далее Медиаплеер VLC преодолел рубеж в три миллиарда загрузок. Выпуск VLC 3.0.6

Состоялся релиз Linux-дистрибутива Clonezilla Live 2.0, предназначенного для быстрого клонирования дисков (копируются только используемые блоки). Задачи выполняемые дистрибутивом сходны с проприетарным продуктом Norton Ghost. Размер iso-образа дистрибутива — 273 Мб (i686, amd64). Дистрибутив основан на Debian GNU/Linux и в своей работе использует код таких проектов, как DRBL, Partition Image, ntfsclone, partclone, udpcast. Возможна загрузка с CD/DVD, USB Flash и по сети (PXE). Поддерживаются ФС: ext2, ext3, ext4, reiserfs, xfs, jfs, FAT, NTFS, HFS+ (macOS), UFS, minix и VMFS (VMWare ESX). Имеется режим массового клонирования в multicast режиме, позволяющем единовременно провести клонирование исходного диска на большое число клиентских машин. В новой … Читать далее Выпуск дистрибутива Clonezilla Live 2.6.0