Группа исследователей из центра EURECOM разработала технику атаки (PDF) на комбинированные аналогово-цифровые чипы (mixed-signal) с компонентами для обеспечения беспроводной связи (WiFi, Bluetooth). Исследователям удалось разработать метод атаки по сторонним каналам, который позволяет воссоздать ключ шифрования на основе анализа шумов, вызванных наводками в процессе вычислений. Все компоненты, необходимые для проведения атаки, опубликованы на GitHub под лицензией GNU GPLv3. Смешанные аналогово-цифровые чипы включают в себя цифровые компоненты, размещённые в непосредственной близости от аналоговых схем, например, во многих SoC процессор и аналоговый генератор сигнала для беспроводных коммуникаций размещены на одной подложке и используют единые цепи питания. В процессе вычислений создаются наводки, которые накладываются … Читать далее Техника восстановления ключей шифрования через анализ шумов в сигнале от беспроводных чипов

Подготовлено четвёртое обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемых под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer (Chatzilla, DOM Inspector и Lightning в базовый состав теперь не входят). Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49.4 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого. Новый выпуск синхронизирован с кодовыми базами Firefox 52.9.0 и Thunderbird 52.9.1, и включает все доступные в них исправления, а также бэкпортированный … Читать далее Выпуск интегрированного набора интернет-приложений SeaMonkey 2.49.4

Группа исследователей из Грацского технического университета (Австрия), ранее известная разработкой метода эксплуатация уязвимости в DRAM-памяти через локальную сеть, опубликовала описание новой атаки NetSpectre, позволяющей инициировать утечку данных из памяти через манипуляцию с сетевыми пакетами, отправляемыми по сети. Опасность атаки сглаживается её низкой производительностью — в оптимальных условиях предложенный метод позволяет определить 15-60 бит данных в час или 45-180 байт в день. В реальных условиях скорость значительно ниже, например, тестовая атака на окружение в Google Cloud позволила извлечь лишь 1-3 байт за 3-8 часов атаки (потребовалось выполнить около 20 млн проверок для определения одного бита). Ожидается, что со временем будут предложены … Читать далее Атака NetSpectre, приводящая к утечке содержимого памяти по сети

Доступен корректирующий релиз набора компиляторов GCC 8.2, в котором проведена работа по исправлению ошибок, регрессивных изменений и проблем с совместимостью. По сравнению с версией GCC 8.1 в GCC 8.2 отмечено 99 исправлений, в основном связанных с устранением регрессивных изменений. Напомним, что начиная с ветки GCC 5.x в проекте внедрена новая схема нумерации выпусков: версия x.0 используется в процессе разработки, корректирующие выпуски формируются с номерами x.2.0, x.3.0 и т.д. Новые возможности развиваются в экспериментальной ветке GCC 9.0, на базе которой будет сформирован следующий значительный релиз GCC 9.1. Читать далее Выпуск набора компиляторов GCC 8.2

Представлен первый корректирующий выпуск дистрибутива Ubuntu 18.04.1 LTS, в который включены обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. В новой версии также исправлены ошибки в инсталляторе и загрузчике. Релиз Ubuntu 18.04.1 ознаменовал прохождение базовой стабилизации LTS-выпуска — пользователям Ubuntu 16.04 теперь будет предложено осуществить обновление до ветки 18.04. Одновременно представлены аналогичные обновления Ubuntu Budgie 18.04.1 LTS, Kubuntu 18.04.1 LTS, Ubuntu MATE 18.04.1 LTS, Lubuntu 18.04.1 LTS, Ubuntu Kylin 18.04.1 LTS и Xubuntu 18.04.1 LTS. Использовать представленные сборки имеет смысл только для новых установок, системы, установленные ранее, могут получить все присутствующие в Ubuntu 18.04.1 … Читать далее Релиз Ubuntu 18.04.1 LTS

Компания Oracle объявила о доступности обновления системы динамической отладки DTrace для Linux. Изначально технология DTrace была разработана для операционной системы Solaris для решения задач по динамической трассировке ядра системы и конечных приложений. DTrace предоставляет пользователю возможность детально отслеживать поведение системы и в режиме реального времени производить диагностику проблем, не влияя в процессе отладки на работу и производительность исследуемых приложений, что позволяет организовать анализ работающих систем на лету. Код инструментария и модуля для ядра Linux поставляются под лицензией GPLv2 (в феврале код был перелицензирован с CDDL на GPL). В новой версии: Модуль для ядра Linux портирован для свежих выпусков ядра 4.12, … Читать далее Компания Oracle представила обновление DTrace для Linux

Разработчики Mozilla приняли решение удалить из Firefox встроенный просмотрщик RSS-лент и поддержку режима Live Bookmarks, позволяющего просматривать новости по подписке в форме обновляющихся закладок. Указанные подсистемы намечены для удаления в выпусках Firefox 63 или 64, которые ожидаются в октябре или декабре нынешнего года. В Firefox 60 ESR поддержка RSS и Live Bookmarks сохранится, но в следующем ESR-выпуске данные возможности будут удалены. Имеющиеся подписки будут экспортированы в формате OPML для добавления в сторонние системы чтения новостей. В качестве причин удаления упоминаются несколько факторов, среди которых низкая востребованность встроенного RSS-просмотрщика и режима Live Bookmarks среди пользователей, проблемы с сопровождением и низкий технический … Читать далее Mozilla планирует удалить из Firefox поддержку RSS и Live Bookmarks

Компания Trend Micro объявила о расширении инициативы Zero Day Initiative (ZDI) и представила список проектов, за выявление уязвимостей в которых выплачиваются вознаграждения. За выявление ранее неизвестной уязвимости в NGINX или Apache httpd, которая может быть эксплуатирована в окружении Ubuntu Server 18.04, исследователь может получить вознаграждение в размере 200 тысяч долларов США. За уязвимости в WordPress предусмотрена награда в 35 тысяч долларов, а в Joomla и Drupal — 25 тысяч долларов. Для получения вознаграждения требуется предоставить полностью работоспособный эксплоит. Читать далее Программа вознаграждений за выявление уязвимостей в открытом серверном ПО

Сформирован релиз проекта Mongoose OS 2.4, предлагающего фреймворк для разработки прошивок для устройств интернета вещей (IoT), реализованных на базе микроконтроллеров ESP32, ESP8266, CC3220, CC3200 и STM32F4. Имеются встроенная поддержка интеграции с платформами AWS IoT, Google IoT Core, Microsoft Azure, Samsung Artik, Adafruit IO, а также с любыми MQTT-серверами. Код проекта распространяется под лицензией Apache 2.0. Из особенностей проекта отмечаются: Движок mJS, предназначенный для разработки приложений на JavaScript (JavaScript позиционируется для быстрого создания прототипов, а для окончательных приложений предлагается использовать языки C/C++); Cистема OTA-обновлений с поддержкой отката обновления в случае сбоя; Средства удалённого управления устройством; Встроенная поддержка шифрования данных на Flash-накопителе; … Читать далее Выпуск Mongoose OS 2.4, платформы для IoT-устройств

Проект NetBSD объявил об изменении процесса формирования и сопровождения релизов. Начиная с NetBSD 8 будет формироваться только основная ветка c последующим выпуском корректирующих обновлений. Например, сейчас актуальна ветка netbsd-8, на базе которой сформирован значительный выпуск NetBSD 8.0, а в дальнейшем будут предложены корректирующие обновления 8.1 и 8.2, вместо 8.0.1 и 8.0.2. Следующим значительным выпуском станет NetBSD 9.0, а не NetBSD 8.1. Корректирующие выпуски будут формироваться на основе основной ветки (без отделения подветок) и будут включать исправления и устранения уязвимостей, а также отдельные новшества, которые признаны безопасными для включения в стабильную ветку. Ожидается, что новая схема позволит более часто формировать релизы … Читать далее Изменение процесса формирования релизов NetBSD

Подготовлен новый выпуск платформы для создания децентрализованных социальных сетей Hubzilla. Код проекта написан на языке PHP и распространяется под лицензией MIT. Hubzilla представляет собой коммуникационный сервер, интегрируемый с системами web-публикации, снабжённый прозрачной системой идентификации и средствами управления доступом в децентрилизованных сетях Fediverse. Проект сочетает в себе элементы социальной сети, облачного хранилища, блога, форума и системы управления контентом, которые интегрированы в общую децентрализованную сеть. Распределённая система управления доступом позволяет ограничить доступ к любой публикации на уровне каналов и участников сети, в том числе для каналов на других серверах. Возможности системы: Построение децентрализованной сети «Grid» из независимых узлов; Система каналов и контактов … Читать далее Релиз открытой платформы федеративных сетей Hubzilla 3.6

Компания Google представила релиз web-браузера Chrome 68. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров. Основные изменения в Chrome 68: Изменена индикация безопасности соединения — все открытые по HTTP страницы теперь снабжены индикатором, предупреждающим об установке небезопасного соединения. Чтобы избежать отображения индикатора небезопасного соединения владельцам сайтов рекомендовано мигрировать на HTTPS. Возможные подводные камни, с которыми могут столкнуться вебмастеры при миграции, описаны в специально подготовленном руководстве. … Читать далее Релиз web-браузера Chrome 68

Подготовлен выпуск основной ветки nginx 1.15.2, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей). Основные изменения: В модуле ngx_stream_ssl_preread реализована переменная $ssl_preread_protocol, которая определяет наибольшую версию протокола SSL/TLS, которую поддерживает клиент; При использовании директивы reset_timedout_connection при истечении таймаута соединения теперь закрываются с применением кода 444; SSL-ошибки «http request», «https proxy request», «unsupported protocol» и «version too low» теперь отображаются в логе с уровнем «info» вместо «crit»; Устранена ошибка, из-за которой не выполнялась повторная отправка DNS-запросов, если первая отправка запроса завершилась неудачей; Исправлена ошибка, приводившая к … Читать далее Выпуск nginx 1.15.2

Группа Bluetooth SIG объявила об обновлении спецификаций, в связи с выявлением уязвимости (CVE-2018-5383), затрагивающей различие реализации технологии беспроводной связи Bluetooth и позволяющей полностью контролировать обмен данных между устройствами, несмотря на применение шифрования. Проблема вызвана отсутствием проверки параметров эллиптической кривой, используемых для генерации открытых ключей в процессе обмена ключами с использованием алгоритма Диффи—Хеллмана (ECDH), что позволяет постороннему атакующему, находящемуся в радиусе приема сигнала, осуществить подстановку некорректного открытого ключа в процессе сопряжения Bluetooth-устройств и с высокой вероятностью определить сессионный ключ, применяемый для шифрования канала связи. Получив ключ атакующий может перехватывать, расшифровывать и вносить изменения в Bluetooth-трафик между двумя уязвимыми устройствами (если уязвимо … Читать далее Уязвимость, компрометирующая шифрование в различных реализациях Bluetooth

Группа исследователей из Калифорнийского университета в Риверсайде раскрыла сведения о новой уязвимости SpectreRSB, затрагивающей механизм спекулятивного выполнения инструкций в процессорах. Уязвимость базируется на принципе восстановления данных, оставшихся в процессорном кэше в результате спекулятивного выполнения инструкций, ставшим известным под именем Spectre и позднее получившим развитие в атаках SpectrePrime, SgxPectre, BranchScope, Spectre 1.1, Spectre 1.2, LazyFP, Spectre 3a и Spectre 4. В отличие от прошлых уязвимостей класса Spectre, новая проблема позволяет определять содержимое закрытых областей памяти через манипуляции с буфером возврата из стека (RSB, Return Stack Buffer), применяемым для предсказания вероятного адреса возврата. Несмотря на то, что подобные операции выполняются в ходе … Читать далее Представлена SpectreRSB, новая уязвимость в механизме спекулятивного выполнения CPU

Лидер проекта Pale Moon, ответвившегося от кодовой базы Firefox, пояснил позицию по поддержке XUL-дополнений. Pale Moon продолжит использование технологии XUL для разработки дополнений и не намерен поддерживать WebExtensions в каком бы то ни было виде. При этом, начиная со следующего выпуска Pale Moon 28, первого выпуска на базе платформы UXP (Unified XUL Platform), все XUL-дополнения для Firefox будут считаться неподдерживаемыми — их использование может быть продолжено, но на страх и риск пользователей. Поддержка будет осуществляться только для дополнений, нацеленных на работу с Pale Moon (как правило, достаточно форка Firefox-дополнения и его явное позиционирование как дополнения для Pale Moon). Претензии о … Читать далее Позиция проекта Pale Moon в отношении XUL-дополнений

Лидер проекта Pale Moon, ответвившегося от кодовой базы Firefox, пояснил позицию по поддержке XUL-дополнений. Pale Moon продолжит использование технологии XUL для разработки дополнений и не намерен поддерживать WebExtensions в каком бы то ни было виде. При этом, начиная со следующего выпуска Pale Moon 28, первого выпуска на базе платформы UXP (Unified XUL Platform), все XUL-дополнения для Firefox будут считаться неподдерживаемыми — их использование может быть продолжено, но на страх и риск пользователей. Поддержка будет осуществляться только для дополнений, нацеленных на работу с Pale Moon (как правило, достаточно форка Firefox-дополнения и его явное позиционирование как дополнения для Pale Moon). Претензии о … Читать далее Позиция проекта Pale Moon в отношении XUL-дополнений

Лидер проекта Pale Moon, ответвившегося от кодовой базы Firefox, пояснил позицию по поддержке XUL-дополнений. Pale Moon продолжит использование технологии XUL для разработки дополнений и не намерен поддерживать WebExtensions в каком бы то ни было виде. При этом, начиная со следующего выпуска Pale Moon 28, первого выпуска на базе платформы UXP (Unified XUL Platform), все XUL-дополнения для Firefox будут считаться неподдерживаемыми — их использование может быть продолжено, но на страх и риск пользователей. Поддержка будет осуществляться только для дополнений, нацеленных на работу с Pale Moon (как правило, достаточно форка Firefox-дополнения и его явное позиционирование как дополнения для Pale Moon). Претензии о … Читать далее Позиция проекта Pale Moon в отношении XUL-дополнений

Состоялся релиз свободной автоматизированной системы проектирования печатных плат KiCad 5.0.0. KiCad предоставляет средства для работы с шаблонами в формате Gerber, управления проектами, редактирования электрических схем и печатных плат, 3D-визуализации платы, работы с библиотекой элементов электрических цепей. Сборки подготовлены для Windows, macOS и различных дистрибутивов Linux. Код написан на C++ с использованием библиотеки wxWidgets, и распространяется под лицензией GPLv3. В новом выпуске: Добавлены новые библиотеки электронных компонентов, посадочных мест и 3D-моделей. Библиотека посадочных мест (footprint) теперь устанавливается локально и не требует использования плагина для доступа к Github. Изменена группировка при просмотре содержимого библиотек; Реализована новая архитектура для создания плагинов визуализации 3D-моделей. … Читать далее Выпуск САПР KiCad 5.0

Подготовлен релиз компактного Live-дистрибутива Slax 9.5. Начиная с прошлого года дистрибутив переведён с наработок проекта Slackware на пакетную базу Debian, пакетный менеджер APT и систему инициализации systemd. Графическое окружение построено на основе оконного менеджера FluxBox и рабочего стола/интерфейса запуска программ xLunch, специально разработанного для Slax участниками проекта. Загрузочный образ занимает 270 Мб (amd64, i386).В новой версии перенесены накопившиеся обновления из Debian и устранены выявленные за последнее время ошибки. Читать далее Выпуск дистрибутива Slax 9.5

В Firefox 63 планируется добавить новый режим блокирования контента, который заменит собой ранее предлагаемый режим блокирования кода для отслеживания перемещений. Новый блокировщик не будет ограничен только работой в режиме приватного просмотра и сможет включаться для отдельных сайтов. Кнопка для активации блокировки будет добавлена в основное меню и в информационную панель с параметрами безопасности сайта. В настройки будет добавлена секция для выбора типов блокирования содержимого, просмотра списка применяемых блокировок, определения исключений и управления подключенными списками блокировки. Помимо блокирования внешних JavaScript-скриптов, изображений и iframe-страниц, используемых для отслеживания пользователей вопреки установке заголовка Do Not Track (применяется чёрный список disconnect.me), в Firefox 63 также … Читать далее В Firefox 63 появится улучшенная система блокировки содержимого