Компания Exodus Intelligence, специализирующейся на продаже спецслужбам и корпорациям информации о неисправленных уязвимостях, обратила внимание на слабое место в процессе устранения уязвимостей в браузере Chrome, позволяющее злоумышленникам получать информацию о проблемах и создавать эксплоиты ещё до выпуска обновления браузера с устранением уязвимости. Проблема касается утечки сведений о потенциальных уязвимостях в исправлениях, вносимых в JavaScript-движок V8 и прочие отдельно разрабатываемые компоненты. Информация об уязвимостях в Chrome до выпуска релиза обрабатывается в закрытых отчётах об ошибках, доступных только небольшой группе основных разработчиков и не публикуемых публично до выхода исправлений. В случае, если уязвимость касается движка V8, исправления вносятся в его кодовую базу … Читать далее Лог изменений в V8 помог создать эксплоит для неисправленной уязвимости в Chrome

Компания Sisvel анонсировала создание патентного пула, охватывающего технологии, пересекающиеся со свободными форматами кодирования видео AV1 и VP9. Sisvel специализируется на управлении интеллектуальной собственностью, сборе отчислений и предъявлении патентных исков (патентный тролль, из-за деятельности которого в своё время пришлось временно приостановить распространение сборок OpenMoko). Несмотря на то, что форматы AV1 и VP9 не требуют патентных отчислений, Sisvel вводит собственную программу лицензирования, в рамках которой производители устройств с поддержкой AV1 должны будут перечислять 32 евроцента за каждое устройство с экраном и 11 евроцентов за устройство без экрана (для VP9 размер отчислений определён в 24 и 8 евроцентов, соответственно). Отчисления планируют собирать с … Читать далее Sisvel формирует патентный пул для сбора отчислений за использование кодеков AV1 и VP9

Компания Google представила вторую бета-версию открытой мобильной платформы Android Q. Релиз Android Q, который скорее всего будет поставляться под номером Android 10, ожидается в третьем квартале 2019 года. Для оценки новых возможностей платформы предложена программа бета-тестирования, в рамках которой экспериментальную ветку можно установить и поддерживать в актуальном виде через штатный интерфейс установки обновлений (OTA, over-the-air), без необходимости ручной замены прошивки. Обновления доступны для устройств Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3 и Pixel 3 XL. Изменения, по сравнению с первым бета-выпуском: Представлено новое хранилище Scoped Storage, предоставляющее уровень изоляции для файлов приложений. При помощи данного API приложение … Читать далее Второй бета-выпуск платформы Android Q. Оптимизации Intel для компилятора Android Runtime

Представлен дистрибутив AV Linux 2019.4.10, содержащий подборку приложений для создания/обработки мультимедийного контента. Дистрибутив основан на пакетной базе Debian 9 «Stretch» и репозитории KXStudio с дополнительными пакетами собственной сборки (Polyphone, Shuriken, Simple Screen Recorder и т.п.). Пользовательское окружение основано на Xfce. Дистрибутив может функционировать в Live-режиме, размер iso-образа 3.6 Гб. Ядро Linux поставляется с набором RT-патчей для увеличения отзывчивости системы во время выполнении работ, связанных с обработкой звука. В поставку входят звуковые редакторы Ardour, ArdourVST, Harrison, Mixbus, система 3D-проектирования Blender, редакторы видео Cinelerra, Openshot, Kdenlive, LiVES и инструменты для преобразования мультимедийных форматов файлов. Для коммутации звуковых устройств предлагается JACK Audio Connection … Читать далее Вышел AV Linux 2019.4.10, дистрибутив для создания аудио и видео контента

Компания Jolla, основанная бывшими сотрудниками Nokia с целью разработки новых смартфонов, построенных на базе Linux-платформы MeeGo, объявила о слиянии операционной системы Sailfish и открытого проекта Mer. В настоящее время компания Jolla, использующая Mer в качестве системного окружения мобильной платформы Sailfish, является основным локомотивом разработки Mer и наиболее активным сторонником данного проекта. Многие разработчики Mer, в том числе основатели проекта, являются сотрудниками Jolla. Оценив текущее положение дел, принято решение объединить Sailfish и Mer в один проект и в дальнейшем развивать его под эгидой ОС Sailfish. Из проприетарной надстройки Sailfish превратится в проект развиваемый на основе модели «Open Core«, подразумевающей, что основная … Читать далее Объявлено о слиянии открытого проекта Mer и проприетарной ОС Sailfish

После восьми месяцев разработки опубликован релиз свободного гипервизора Xen 4.12. По сравнению с прошлым выпуском в Xen 4.12 внесено 1466 изменений. В разработке нового выпуска приняли участие такие компании, как Citrix, SUSE, ARM, Xilinx, Oracle и Amazon. Ключевые изменения в Xen 4.12: Добавлена возможность сборки Xen только с поддержкой режимов HVM/PVH (полная и комбинированная виртуализация) или PV (паравиртуализация). Код с реализацией данных режимов теперь отделён и может выборочно включаться через опции KCONFIG при сборке. Указанная возможность позволяет собрать минимально необходимый вариант Xen, что положительно сказывается на безопасности за счёт сокращения векторов для атаки, а также приводит к снижению потребления памяти; … Читать далее Выпуск гипервизора Xen 4.12

Компания МЦСТ открыла доступ к установочным образам дистрибутива Эльбрус, построенного с использованием наработок Debian GNU/Linux. Для загрузки доступны сборки прошлой ветки Эльбрус 3.0 для архитектур x86 (3.6 + 2 Гб) и x86_64 (3.9 + 2.3 Гб), а также сборки актуальной ветки Эльбрус 4.0 для процессоров Эльбрус-1С+, Эльбрус-2С и Эльбрус-8С (в ближайшее время также обещают опубликовать образы для SPARC V9, x86 и x86_64). Для загрузки доступны только готовые сборки, исходные тексты пакетов в открытом доступе не опубликованы. Компиляция приложений осуществляется при помощи проприетарного компилятора lcc 1.23, совместимого с GCC 5.5. В качестве стандартной библиотеки используется glibc 2.23, а в качестве системы … Читать далее Опубликованы установочные образы российского дистрибутива "Эльбрус"

Опубликован релиз HTTP-сервера Apache 2.4.39, в котором представлено 18 изменений и устранено 7 уязвимостей. Наиболее опасная уязвимость (CVE-2019-0211) позволяет локальному злоумышленнику (например, пользователю хостинга), имеющему возможность выполнить свой скрипт под управлением web-сервера (в том числе через mod_php, mod_lua, mod_perl и т.п.), добиться выполнения кода с правами управляющего процесса, обычно запускаемого с привилегиями root. Проблема проявляется при применении MPM-модулей event, worker или prefork и может быть эксплуатирована через через манипуляции с областью scoreboard, применяемой для организации взаимодействия между дочерним и родительским процессом Уязвимость проявляется начиная с выпуска 2.4.17. Другие уязвимости: CVE-2019-0217 — возможность обхода средств разграничения доступа в mod_auth_digest. Злоумышленник, обладающий … Читать далее Релиз http-сервера Apache 2.4.39 с устранением опасных уязвимостей

Разработчики Mozilla сообщили о проведении четвёртого этапа тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), который будет сосредоточен на оценке изменения производительности при применении DNS-over-HTTPS в условиях работы через сети доставки контента. На этой неделе небольшой части пользователей релизов Firefox из США будет предложено активировать DoH (при нежелании пользователь сможет отказаться). Как и раньше в качестве основного будет использован DNS-сервер CloudFlare, но в будущем планируется расширить число участвующих в тесте DNS-провайдеров. Необходимость дополнительного тестирования DNS-over-HTTPS при работе через сети доставки контента связана с тем, что DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для … Читать далее Четвёртый этап тестирования DNS-over-HTTPS в Firefox

Исследователи безопасности из Tencent Keen Security Lab нашли способ ввести в заблуждение автопилот автомобилей Tesla и спровоцировать его на выезд на встречную полосу движения. Суть предложенной техники в размещении на дороге трёх меток, незаметных для водителя, но определяемых автопилотом. Метки размещаются рядом с местом разрыва сплошной разметки со встречной полосой, поэтому автопилот воспринимает их как часть разметки, предписывающей перестроится в другой ряд, и не учитывает, что этот другой ряд находится на полосе встречного движения. Проблема выявлена при изучении особенностей поведения автопилота в автомобиле Tesla Model S 75. Для разбора применяемых алгоритмов удалось получить доступ к информационной системе управления движением через … Читать далее Выявлен способ обмана автопилота Tesla для выезда на полосу встречного движения

Началось тестирование бета-версии дистрибутива Fedora 30. Бета-выпуск ознаменовал переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на 7 мая. Выпуск охватывает Fedora Workstation, Fedora Server, Fedora Silverblue и Live-сборки, поставляемые в форме спинов c десктоп-окружениями KDE Plasma 5, Xfce, MATE, Cinnamon, LXDE и LXQt. Сборки подготовлены для архитектур x86_64, ARM (Raspberry Pi 2 и 3), ARM64 (AArch64) и Power. Наиболее заметные изменения в Fedora 30: Рабочий стол GNOME обновлён до выпуска 3.32 с переработанным стилем элементов интерфейса, рабочего стола и пиктограмм, экспериментальной поддержкой дробного масштабирования и прекращением поддержки глобального меню; Проведена работа по повышению … Читать далее Дистрибутив Fedora 30 перешёл на стадию бета-тестирования

Компания Kingsoft Office Software опубликовала обновление Linux-версии своего проприетарного офисного пакета WPS Office, написанного с использованием Qt и продвигаемого в качестве аналога MS Office. Установочные пакеты подготовлены в форматах deb и rpm (i686, amd64). Продукт распространяется бесплатно. Имеется полноценная поддержка русского языка. В состав WPS Office входит текстовый процессор, система для создания презентаций, табличный процессор и встроенный просмотрщик PDF. Поддерживается как интерфейс в стиле «Ribbon», так и классический интерфейс. Из особенностей отмечается возможность одновременной работы с группой документов через систему вкладок, по аналогии с открытием разных сайтов во вкладках современных браузеров. Доступны средства для совместного редактирования, публикации комментариев и отслеживания … Читать далее Обновление офисного пакета WPS Office 2019 для Linux

Апелляционный суд Германии оставил без изменения решение Окружного суда Гамбурга в деле о нарушении компанией VMware лицензии GPL и не удовлетворил апелляцию, поданную правозащитной организацией Software Freedom Conservancy (SFC) от имени Кристофа Хелвига (Christoph Hellwig), известного разработчика ядра Linux. Несмотря на то, что немецкий суд принял окончательное решение в отношении процедуры, а не по существу, SFC и Хелвиг не намерены возобновлять разбирательство в судах высшей инстанции. На прошедшие разбирательства было потрачено много времени и ресурсов, но прецедент так и не был создан. Тем не менее, несмотря на фактический проигрыш, SFC считает, что открытое сообщество формально выиграло так как разбирательство побудило … Читать далее Апелляционный суд встал на сторону VMware в деле о нарушении GPL

Разработчики Mozilla анонсировали эксперимент, в рамках которого планируется опробовать технику борьбы с назойливыми запросами на предоставление сайту дополнительных полномочий. В последнее время все больше сайтов злоупотребляют предоставляемой в браузерах возможностью запроса полномочий, главным образом путём периодического вывода запросов на получение push-уведомлений. Для защиты от подобного спама в Firefox планируют ограничить ситуации при которых сайт может выводить подобные уведомления. По статистике, полученной в рамках сбора телеметрии, пользователям Firefox Beta с 25 декабря по 24 января было показано около 18 млн запросов получения полномочий. Только 3% запросов были одобрены, а большая часть отклонена, причём в 19% случаев пользователи сразу закрыли вкладку со … Читать далее В ночные сборки Firefox добавлен блокировщик назойливых уведомлений и API UserScripts

После 6 месяцев разработки представлена новая версия системы мониторинга с открытым исходным кодом Zabbix 4.2. Вышедший релиз включает существенные улучшения стадии предварительной обработки (препроцессинга) данных, встроенную поддержку сбора данных с экспортеров Prometheus, возможность использования JavaScript в препроцессинге, поддержку TimescaleDB для хранения метрик, официальные пакеты для платформ Windows, MacOS, RasperryPI и SUSE и многое другое. Код проекта распространяется под лицензией GPLv2. Напомним, что Zabbix состоит из трёх базовых компонентов: сервера для координации выполнения проверок, формирования проверочных запросов и накопления статистики; агентов для осуществления проверок на стороне внешних хостов; фронтэнда для организации управления системой. Для снятия нагрузки с центрального сервера и формирования … Читать далее Выпуск системы мониторинга Zabbix 4.2

Компания Collabora развивает открытый проект SPURV, позволяющий сформировать изолированное окружение для запуска Android-приложений, обеспечивающего интеграцию интерфейса данных приложений с графическими оболочками на базе Wayland. При помощи SPURV пользоваель может запускать Android-приложения в Linux бок о бок с обычными графическими приложениями, поставляемыми в дистрибутивах Linux. Android-окружение запускается в изолированном контейнере. В окружении устанавливаются штатные компоненты платформы Android, поставляемые в репозиториях AOSP (Android Open Source Project). Для запуска контейнера используется systemd-nspawn. Для Android-приложений предоставляется поддержка полноценного 3D-ускорения. Для взаимодействия Android в контейнере с внешними миром подготовлено несколько компонентов: SPURV Audio для организации вывода звука через звуковой стек Linux. Компонент реализован в виде … Читать далее Компания Collabora представила окружение для запуска Android-приложений в Linux

Подборка первоапрельских шуток: Для включения в ядро Linux предложен фреймворк для звуковой индикации сбоев. Ожидается, что звуковые уведомления об ошибках (panic, oops, предупреждения) позволят упростить отладку на оборудовании без экранов, сделают системы более доступными для людей с ослабленным зрением и решат проблемы с юзабилити в ранее доступной системе вывода panic-отчёта на азбуке Морзе. Фреймворк также включает в себя общую библиотеку для организации вывода звука из ядра, которая может применяться не только для информирования об ошибках, но и для озвучивания системных уведомлений и изменений состояния. Разработчики OpenBSD вдохновились практикой устранения уязвимостей в Cisco и решили реализовать в OpenBSD подобные передовые методы … Читать далее Подборка первоапрельских шуток 2019 года

Представлен релиз web-фреймворка Django 2.2, написанного на языке Python и предназначенного для разработки веб-приложений. Ветка Django 2.2 отнесена к категории выпусков с длительным сроком поддержки и будет получать обновления до апреля 2022 года. LTS-ветка 1.11 будет поддерживаться до апреля 2020 года, а ветка 2.1 до декабря 2019 года. Поддержка ветки 2.0 прекращена. Ключевые улучшения: Добавлены новые классы CheckConstraint и UniqueConstraint, позволяющие определить в модели собственные ограничения обращений к базе данных при помощи опции Meta.constraints (например, «models.CheckConstraint(check=models.Q(age__gte=18)»); В runserver обеспечено использование фреймворка Watchman для увеличения производительности отслеживания изменений в большом числе файлов; Добавлен объект HttpRequest.headers для быстрого доступа к HTTP-заголовкам, переданным … Читать далее Релиз web-фреймворка Django 2.2

Спустя год с момента прошлого выпуска представлен релиз дистрибутива Sabayon Linux 19.03, сочетающего в себе удобство для конечного пользователя с гибкостью Gentoo. Sabayon Linux оформлен в виде Live-дистрибутива, снабжённого возможностью лёгкой установки на жёсткий диск. Sabayon использует модифицированную rolling-модель подготовки обновлений, которая делает выпуск обновлений более предсказуемым и менее болезненным. Дистрибутив доступен в сборках с KDE (2.5 Гб), GNOME (2.2 Гб), Xfce (2 Гб), MATE (2 Гб) и Fluxbox (1.6 Гб). Пакетная база дистрибутива синхронизирована с коллекцией портажей Gentoo, пользователь имеет возможность установки программ как из исходных текстов, так и используя готовые бинарные пакеты, собранные для платформ ARMv7 и x86-64. … Читать далее Релиз дистрибутива Sabayon Linux 19.03

Доступен релиз пакета Rakudo Star 2019.03, включающего компилятор Rakudo, виртуальную машину MoarVM, документацию, модули и инструменты, необходимые для разработки на языке Perl 6. Компилятор соответствует спецификации Perl v6.d, за исключением поддержки расширенных макросов, неблокирующего ввода/вывода и ряда мелких особенностей, которые планируется довести до рабочего состояния в будущих выпусках. В качестве виртуальной машины для исполнения байткода предлагается MoarVM, которая проходит все тесты (альтернативный бэкенд на базе JVM пока не обладает всей необходимой функциональностью). В новой версии обеспечена поддержка обновлённой спецификации Perl v6.d (ранее было заявлено о поддержке Perl v6.с). В состав включён дополнительный JavaScript-бэкенд 6pad, позволяющий выполнять код Perl 6 прямо … Читать далее Выпуск Rakudo Star 2019.03, дистрибутива Perl 6

Разработчики FreeBSD сообщили об отклонении обсуждаемого с ноября нового жизненного цикла ветки stable/12. К ветке FreeBSD 12 будут применены те же сроки поддержки, что и для ветки FreeBSD 11, т.е. общий гарантированный минимальный срок поддержки составит 5 лет с момента выпуска 12.0-RELEASE, а поддержка прошлых промежуточных релизов (X.Y) будет прекращаться через три месяца после выхода нового промежуточного релиза (X.Y+1). Переход на новую модель поддержки решено отложить как минимум до FreeBSD 13. В рамках новой модели разработчики намерены сократить жизненный цикл значительных стабильных веток и ускорить формирование новых веток. В качестве причины упоминается изменение обстановки в области обеспечения безопасности, увеличение скорости … Читать далее Разработчики FreeBSD отказались от идеи сокращения срока поддержки FreeBSD 12