В компоненте systemd-journald, отвечающем за ведение логов в systemd, выявлены три уязвимости, позволяющие непривилегированному атакующему повысить свои привилегии в системе и выполнить код с правами root. Уязвимости проявляются во всех дистрибутивах, использующих systemd, за исключением SUSE Linux Enterprise 15, openSUSE Leap 15.0 и Fedora 28/29, компоненты systemd в которых собраны с включением в GCC защиты «-fstack-clash-protection». Уязвимости CVE-2018-16864 и CVE-2018-16865 позволяют создать условия для записи данных вне границ выделенного блока памяти, а уязвимость CVE-2018-16866 даёт возможность прочитать содержимое внешних областей памяти. Исследователями подготовлен рабочий прототип эксплоита, который при помощи уязвимостей CVE-2018-16865 и CVE-2018-16866 позволяет получить права root после примерно 10 … Читать далее В systemd-journald выявлены три уязвимости, позволяющие получить права root

Компания Google объявила о намерении начать повсеместную блокировку рекламных блоков, мешающих восприятию содержимого и не соответствующими критериям, выработанным Коалицией по улучшению рекламы. Предполагается, что повсеместное включение в штатом браузере блокировки неприемлемой рекламы станет разумной альтернативой агрессивным блокировщикам рекламы, которые блокируют не только навязчивые рекламные блоки, но и добросовестные рекламные сети, что наносит ущерб как рекламной индустрии, так и владельцам сайтов. Необходимые для блокирования рекламы технологии были добавлены в Chrome ещё в феврале 2018 года, но до сих пор блокировка была ограничена только отдельными странами, а основная работа была сосредоточена на популяризации принципов оформления добросовестной рекламы и информировании сайтов о наличии … Читать далее Google наметил на 9 июля начало массовой блокировки в Chrome неприемлемой рекламы

Подготовлен корректирующий выпуск Firefox 64.0.2 в котором устранена проблема с короткими подвисаниями видео на Youtube при просмотре роликов, распространяемых в формате VP9. В новой версии также налажена загрузка обновлений для некоторых тем оформления, обеспечено корректное восстановление размера столбцов в инструменте для инспектирования web-контента и устранён крах, проявляющийся при открытии некоторых сайтов на платформе macOS. Читать далее Обновление Firefox 64.0.2

Группа исследователей безопасности, из которых несколько участвовали в выявлении первых уязвимостей Meltdown и Spectre, разработали новый вид атаки по сторонним каналам, проводимой на основе анализа содержимого страничного кэша (page cache), в котором содержится информация, полученная в результате обращения операционной системы к дискам, SSD-накопителям и другим блочным устройствам. В отличие от атак Spectre, новая уязвимость не вызвана аппаратными проблемами, а касается только программных реализаций страничного кэша и проявляется в Linux (CVE-2019-5489), Windows и, вероятно, во многих других операционных системах. Для ядра Linux исправление уже доступно в виде патча. В Windows 10 проблема устранена в тестовой сборке (Insider Preview Build) 18305. Через … Читать далее Атака по определению состояния памяти процессов при помощи страничного кэша

Дистрибутив Ubuntu*Pack 18.04 представлен в виде 11-и независимых систем с различными графическим интерфейсами. Образы для amd64 платформ: GNOME (Cannonical), Cinnamon, GNOME, GNOME Classic, GNOME Flashback, Unity. Образы для i386 и amd64 платформ: Budgie, KDE (Kubuntu), LXDE (Lubuntu), MATE, Xfce (Xubuntu). Дистрибутивы основаны на операционной системе Ubuntu 18.04 LTS, что позволит их долгое использование и соответственно включают в себя все его нововведения. Что нового в дистрибутивах и отличия от прошлого выпуска: ✔ семейство пополнилось новой сборкой с интерфейсом Budgie ✔ включены все официальные обновления Ubuntu по декабрь 2018 года Дополнительно обновлены: ✔ LibreOffice до версии 6.1.3 ✔ ядро до версии 4.15 … Читать далее Релиз дистрибутива Ubuntu*Pack (OEMPack) 18.04

Доступен выпуск свободной криптографической библиотеки Sodium 1.0.17, которая совместима на уровне API с библиотекой NaCl (Networking and Cryptography library) и предоставляет функции для организации защищённого сетевого взаимодействия, хэширования, генерации псевдослучайных чисел, работы с цифровыми подписями, шифрования с использованием аутентифицированных открытых и симметричных (shared-key) ключей. API Sodium отличается простотой и предлагает по умолчанию наиболее безопасные опции, методы шифрования и хэширования. Код библиотеки распространяется под свободной лицензией ISC. Основные новшества: В модуле для WebAssembly улучшена совместимость с новыми версиями компилятора Emscripten и реализована система динамического запроса памяти; Внесены изменения, направленные на улучшение переносимости. Улучшена поддержка сборки с использованием Visual Studio 2010; Добавлены … Читать далее Выпуск криптографической библиотеки Sodium 1.0.17

Разработчики Fedora Linux рассматривают возможность добавления в пакетный менеджер DNF кода для отправки уникального UUID-идентификатора при каждой проверке наличия обновлений. Предлагаемое изменение позволит точнее определить число активных пользователей дистрибутива. Аналогичный метод учёта на основе UUID уже применяется проектом openSUSE. В Fedora в настоящее время для расчёта числа установленных систем используется разделение на основе уникальных IP-адресов, что вносит достаточную большую погрешность в статистику, с учётом того, что большинство пользователей подключаются к сети с динамически выдаваемыми IP-адресами и пользуются ноутбуками, подключаемыми к разным беспроводным сетям. В случае применения UUID, разработчики дистрибутива смогут точнее определить число активных систем, изучить потоки миграции пользователей на … Читать далее В DNF предлагают встроить UUID для идентификации установок Fedora

После десяти месяцев с момента прошлого выпуска подготовлен промежуточный релиз операционной системы Qubes 4.0.1, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах). Для загрузки подготовлен установочный образ размером 4.2 Гб. Для работы необходима система с 4 Гб ОЗУ и 64-разрядным CPU Intel или AMD с поддержкой технологий VT-x c EPT/AMD-v c RVI и VT-d/AMD IOMMU, желательно наличие GPU Intel (GPU NVIDIA и AMD плохо протестированы). Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные … Читать далее Обновление ОС Qubes 4.0.1, использующей виртуализацию для изоляции приложений

Проект UBports, который взял в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical, опубликовал обновление прошивки OTA-7 (over-the-air) для всех официально поддерживаемых смартфонов и планшетов, которые были укомплектованы прошивкой на базе Ubuntu. Обновление сформировано для смартфонов OnePlus One, Fairphone 2, Nexus 4, Nexus 5, Nexus 7 2013, Meizu MX4/PRO 5, Bq Aquaris E5/E4.5/M10. Проектом также развивается экспериментальный порт рабочего стола Unity 8, доступный в сборках для Ubuntu 16.04 и 18.04. Выпуск сформирован на основе Ubuntu 16.04 (сборка OTA-3 была основана на Ubuntu 15.04, а начиная с OTA-4 осуществлён переход на Ubuntu 16.04). Основные … Читать далее Седьмое обновление прошивки UBports, пришедшей на смену Ubuntu Touch

Для криптовалюты Ethereum Classic (ETC), занимающей 16 место среди криптовалют по размеру капитализации (не путать с более популярным Ethereum/ETH), зафиксировано и официально подтверждено успешное проведение атаки по двойной трате средств (double spend attack). В настоящее время выявлено 20 успешных реорганизаций блокчейна, позволивших совершить двойные траты средств на сумму 219500 ETC, что соответствует примерно 1.1 млн долларов. Расщепление блокчейна удалось благодаря тому, что атакующие смогли получить доступ к ресурсам, обеспечивающим 51% от всей имеющейся в сети Ethereum Classic мощности майнинга и позволяющим формировать форки блокчейна с параллельным выстраиванием альтернативных цепочек блоков. Суть атаки по двойной трате средств сводится к тому, что … Читать далее В результате двойной траты средств в Ethereum Classic похищен 1.1 млн долларов

После двух с половиной лет разработки опубликована новая версия командного интерпретатора GNU Bash 5.0, используемого по умолчанию в большинстве дистрибутивов Linux. Одновременно состоялся релиз библиотеки readline 8.0, применяемой в bash для организации редактирования командной строки. Значительное изменение номера версии Bash связано с внесением изменений, нарушающих обратную совместимость. В частности, в новой версии переработан код, связанный с обработкой ссылочных переменных nameref, что привело к отдельным изменениям поведения при использовании nameref (например, цикл разбора имён nameref внутри функций теперь приводит к определению переменных не в локальном, а в глобальном контексте). Кроме того, по умолчанию переменные BASH_ARGC и BASH_ARGV теперь выставляются только при … Читать далее Релиз командного интерпретатора Bash 5.0

Представлена новая версия дистрибутива Funtoo 1.3, который развивает Дэниель Роббинс (Daniel Robbins), основатель дистрибутива Gentoo, с момента свего ухода из проекта в 2009 году. Funtoo основан на пакетной базе Gentoo и ставит перед собой цель дальнейшего усовершенствования имеющихся технологий. Для загрузки формируются установочные образы, специально оптимизированные для достижения максимальной производительности на системах с различными моделями процессоров. Из ключевых особенностей Funtoo выделяется поддержка автоматической сборки пакетов из исходных текстов (пакеты синхронизируются из Gentoo), использование Git при разработке, распределённое дерево portage-ей, более компактный формат сборочных манифестов, применение инструментария Metro для создания live-сборок. Выпуск 1.3 позиционируется как LTS (версия с длительной поддержкой) и … Читать далее Выпуск дистрибутива Funtoo 1.3, развиваемого основателем Gentoo Linux

Состоялся выпуск инструментария Tor 0.3.5.7, используемого для организации работы анонимной сети Tor. Tor 0.3.5.7 признан первым стабильным выпуском ветки 0.3.5, которая развивалась последние четыре месяца. Одновременно также выпущены корректирующие обновления прошлых веток Tor 0.3.4.10 и 0.3.3.11, в которые включены накопившиеся исправления ошибок. Ветка 0.3.5 будет сопровождаться в рамках длительного цикла поддержки (LTS), подразумевающего выпуск обновлений для базовой функциональности в течение трёх лет (до 1 февраля 2022 года). Основные новшества: Добавлена поддержка авторизации подключения клиентов к скрытым сервисам, использующим третью версию протокола onion-сервисов. Авторизация реализована на уровне доступа к дескрипторам сервисов — теперь скрытый сервис можно настроить так, что только заранее … Читать далее Выпуск новой стабильной ветки Tor 0.3.5

Разработчики Debian предложили протестировать реализацию поддержки технологии верифицированной загрузки (UEFI Secure Boot), развиваемую для выпуска Debian 10. Поддержку Secure Boot предлагается оценить пользователям Debian unstable (Sid), воспользовавшись временным проверочным сертификатом, которым подписан образ ядра (данный сертификат требуется импортировать в качестве MOK (Machine Owner Key)). Напомним, что изначально поддержка Secure Boot ожидалась в Debian 9, но её не успели стабилизировать до релиза и отложили до следующего значительного выпуска дистрибутива. Для обеспечения работы Secure Boot в релизе Debian 10 будет задействован загрузчик Shim, заверенный цифровой подписью от компании Microsoft, в сочетании с заверением ядра и загрузчика grub собственным сертификатом проекта (shim выступает … Читать далее Debian тестирует поддержку UEFI Secure Boot

GitHub объявил о предоставлении бесплатной возможности работы с неограниченным числом приватных репозиториев, в которых могут развиваться непубличные или не подлежащие разглашению проекты, доступ к которым предоставляется только узкому кругу разработчиков. Ранее приватные репозитории могли создавать только платные пользователи. При этом предложенная опция не приведёт к изменению схемы монетизации GitHub так как бесплатные приватные репозитории могут включать не более трёх участников, т.е. они в основном нацелены на ведение личных проектов, а не на групповую разработку. Например, приватные репозитории смогут применяться для проведения непубличных экспериментов перед релизом, для индивидуального ведения закрытых проектов работодателя или для работы с кодом, не подлежащим разглашению. При … Читать далее GitHub частично перевёл приватные репозитории в разряд бесплатной опции

В рамках инициативы FOSSA (Free and Open Source Software Audit), нацеленной на повышение безопасности открытого ПО, Европейская комиссия с сегодняшнего дня запустила программу по выплате вознаграждений за выявления уязвимостей и серьёзных ошибок в 15 ключевых открытых проектах, применяемых в госучреждениях Евросоюза. Решения о выплатах будут приниматься на основе заявок, отправленных через сервисы HackerOne и Intigriti. Общая сумма, выделенная на выплату вознаграждений, составляет 851 тысяч евро. Наибольшие бюджеты выделены на выявление проблем в PuTTY и Drupal (90 и 89 тысяч евро). Премии будут выдаваться в зависимости от активности по поиску проблем с безопасностью и опасности выявленных уязвимостей. Читать далее Европейская комиссия учредила вознаграждение за поиск ошибок и уязвимостей в СПО

На выставке CES 2019 компания NVIDIA объявила о поддержке технологии FreeSync (VESA Adaptive-Sync), которая позволяет видеокарте менять частоту обновления монитора с тем, чтобы обеспечить плавность и отсутствие рваного изображения во время игр. Вероятно, катализатором для этого решения явилось то, что на рынке число моделей мониторов с технологией FreeSync превышает модели с G-Sync практически на порядок. Официально заявлено о поддержке всего дюжины моделей, но NVIDIA разрешит включать FreeSync вручную для всех мониторов без исключения. FreeSync на NVIDIA будет работать только для видеокарт поколения Pascal или выше (Volta, Turing). Драйвер для Windows с поддержкой технологии выйдет через неделю — о драйвере для … Читать далее NVIDIA объявила о поддержке открытого стандарта FreeSync/VESA Adaptive-Sync

Линус Торвальдс посчитал нецелесообразным продолжать наращивание номеров в ветке 4.x и представил первый кандидат в релизы новой ветки 5.0, в рамках которой будут формироваться выпуски ядра Linux в последующие 3-4 года. Хорошим поводом для создания новой ветки было преодоление рубежа в 6 млн git-объектов, но Линус принципиально решил не привязываться к нумерологическим событиям. Напомним, что смена первого номера в версии ядра является формальным шагом, не связанным с внедрением каких-то революционных и особенных изменений, а лишь снимающих дискомфорт из-за накопления большого числа выпусков в серии. Версии 3.x и 4.x были сформированы из эстетических соображений. Например, переход к версиям 3.x был осуществлён … Читать далее Сформирована ветка ядра Linux 5.0

Агентство национальной безопасности США намерено перевести в разряд свободных продуктов инструментарий для обратного инжиниринга, ныне развиваемый для внутреннего использования под кодовым именем GHIDRA. Отмечается, что продукт написан на языке Java и включает в себя интерактивный дизассемблер с поддержкой декомпиляции в код на языке Си и мощными средствами для анализа исполняемых файлов, сопоставимыми с возможностями расширенной версии проприетарного пакета IDA Pro. GHIDRA поддерживает различные наборы процессорных инструкций и может применяться для платформ Linux, Windows и macOS. Код планируется открыть в начале марта на конференции RSA. Читать далее АНБ планирует открыть код инструментария для обратного инжиниринга

Доступен первый официальный релиз FAudio, открытой реализации звуковых библиотек DirectX, включая библиотеки с поддержкой API XAudio2, X3DAudio, XAPO и XACT3. Код написан на языке Си и распространяется под свободной лицензией Zlib. Из зависимостей требуется только библиотека SDL2. Библиотеки FAudio выделены из более крупного проекта FNA, нацеленного на создание альтернативной реализации Microsoft XNA Game Studio 4.0 для упрощения портирования Windows-игр. Наработки FAudio могут применяться совместно с Wine для достижения более высокого качества звука в играх и поддержки расширенных звуковых эффектов. Читать далее Первый выпуск FAudio, открытой реализации XAudio

Из-за проблем с отрисовкой, наблюдаемых при работе WebGL-приложений, разработчики проекта Chromium поместили свободный драйвер Nouveau в чёрный список, отключающий использование любых операций ускорения графических операций на стороне GPU. Для полноценного использования Chromium 71 с видеокартами NVIDIA теперь требуется либо использование проприетарного драйвера, либо запуск браузера с опций «—ignore-gpu-blacklist» на свой страх и риск. Наиболее остро прекращение поддержки свободного драйвера Nouveau в Chromium отразится на пользователях дистрибутива Ubuntu, в котором данный драйвер применяется по умолчанию, в том числе в LTS-выпуске Ubuntu 18.04. По словам разработчиков Chromium у них нет ресурсов на тестирование всех сочетаний драйвера с GPU и дистрибутивами, а также … Читать далее Разработчики Chromium добавили Nouveau в чёрный список проблемных драйверов