Сформирован релиз свободного антивирусного пакета ClamAV 0.100.2, в котором устранены уязвимости: CVE-2018-15378 — уязвимость в распаковщике данных в формате MEW, позволяет удалённо инициировать отказ в обслуживании; Уязвимость в коде разбора файлов в формате PDF, которая может привести к чтению 2 байт из области вне границ буфера; CVE-2018-14680 — уязвимость в библиотеке libmspack, позволяет обойти блокировку через указание пустого имени CHM-файла; CVE-2018-14681 — уязвимость в библиотеке libmspack, позволяет осуществить переполнение буфера на два байта через подстановку файла KWAJ с некорректным заголовком; CVE-2018-14682 — уязвимость в библиотеке libmspack, позволяет выйти за пределы буфера при распаковке файлов CHM. Читать далее Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устранением уязвимостей

Подготовлен выпуск десктоп-движка Arcan 0.5.5, который объединяет в себе дисплейный сервер, мультимедийный фреймворк и игровой движок для обработки 3D-графики. Arcan может использоваться для создания широкого спектра графических систем, от пользовательских интерфейсов для встраиваемых приложений до самодостаточных десктоп-окружений. В том числе на базе Arcan развивается трёхмерный рабочий стол Safespaces для систем виртуальной реальности и десктоп-окружение Durden. Код проекта написан на языке Си распространяется под лицензией BSD (некоторые компоненты под GPLv2+ и LGPL). Arcan не привязан к определённой графической подсистеме и может работать непосредственно поверх различных системных окружений (BSD, Linux, macOS, Windows), используя подключаемые бэкенды. Например, имеется возможность запуска поверх Xorg, egl-dri, … Читать далее Выпуск десктоп-движка Arcan 0.5.5 и пользовательского окружения Durden 0.5

Опубликован корректирующий выпуск Firefox 62.0.3, в котором исправлено несколько ошибок и устранены две уязвимости. Не связанные с безопасностью исправления затрагивают только платформу macOS. Уязвимостям присвоен критический уровень опасности и они также устранены в обновлении ESR-ветки Firefox 60.2.2. В своём сочетании уязвимости могут использоваться для создания многоуровневого эксплоита, позволяющего получить контроль за окружением пользователя. Первая уязвимость (CVE-2018-12386) позволяет создать условия для некорректной интерпретации типов JavaScript и организовать запись и чтение в произвольные области памяти процесса. Уязвимость можно использовать для организации выполнения кода злоумышленника внутри sandbox-окружения процесса обработки контента. Вторая уязвимость (CVE-2018-12387) вызвана некорректным inline-раскрытием кода Array.prototype.push при JIT-компиляции. При указании многобайтовых … Читать далее Обновление Firefox 62.0.3 с устранением критических уязвимостей

Компания Mozilla представила переработанный выпуск web-браузера Firefox Focus, поставляемого в сборках для Android и iOS. Исходные тексты Firefox Focus распространяются под лицензией MPL 2.0. Браузер ориентирован на обеспечения приватности и предоставление пользователю полного контроля за своими данными. В Firefox Focus встроены инструменты для блокировки нежелательного контента, включая рекламу, виджеты социальных сетей и внешний JavaScript-код для отслеживания перемещений. Блокировка стороннего кода существенно сокращает объём загружаемых материалов и положительно сказывается на скорости загрузки страниц. Например, по сравнению с мобильной версией Firefox для Android в Focus страницы загружаются в среднем на 20% быстрее. В браузере также имеется кнопка для быстрого закрытия вкладки с … Читать далее Представлен переработанный web-браузер Firefox Focus

Увидел свет выпуск криптографической библиотека Botan 2.8.0, применяемой в проекте NeoPG (форк GnuPG 2). Библиотека предоставляет большую коллекцию готовых примитивов, применяемых в протоколе TLS, сертификатах X.509, шифрах AEAD, модулях TPM, PKCS#11, хэшировании паролей и постквантовой криптографии. Библиотека написана на языке C++11 и поставляется под лицензией BSD. Среди изменений в новом выпуске: Отключены по умолчанию TLS 1.0 и 1.1; Добавлено применение теста простоты натурального числа Люка в дополнение к тесту Миллера — Рабина; Добавлены алгоритмы XChaCha и XChaCha20Poly1305; Добавлены новые реализации алгоритмов ChaCha и Serpent, использующие инструкции AVX2; Добавлена оптимизированная для процессоров ARMv8 реализация шифра SM4; Добавлена поддержка системного вызова getrandom … Читать далее Выпуск криптографической библиотеки Botan 2.8.0

После двух лет разработки состоялся первый стабильный выпуск проекта Stratis, развиваемого компанией Red Hat и сообществом Fedora с целью унификации и упрощения средств для настройки и управления пулом из одного или нескольких локальных накопителей. Stratis предоставляет такие возможности как динамическое выделение места в хранилище, снапшоты, обеспечение целостности и создание слоёв для кэширования. Код проекта написан на языке Rust и распространяется под лицензией MPL 2.0. Система во многом повторяет по своим возможностям расширенные средства управления разделами ZFS и Btrfs, но делает это на базе существующих штатных технологий и не требует для администрирования квалификации эксперта по системам хранения. Для управления предоставляется D-Bus … Читать далее Выпуск Stratis 1.0, инструментария для управления локальными хранилищами

Платформа Sourcegraph переведена в разряд открытых проектов. Sourcegraph предоставляет движок для навигации по исходным текстам и поиска определённых конструкций в коде. Проект состоит из серверной части и web-интерфейса, а также браузерного дополнения для интеграции с GitHub.com. Код написан на языках Go и JavaScript (Node.js). Для хранения данных используется PostgreSQL, а для хранения сеансов Redis. Код открыт под лицензией Apache 2.0. Sourcegraph может применяться как самодостаточная платформа для рецензирования и навигации по исходным текстам, размещённым в Git-репозиториях. Например, имеется возможность анализа произвольного вызова функции и перехода к месту её определения, просмотра других вызовов этой функции в коде, истории изменений, связанных с … Читать далее Открыты исходные тексты Sourcegraph

Представлен выпуск системы мониторинга Zabbix 4.0, который отнесён к LTS-релизам c пятилетним сроком поддержки. Вышедшая версия содержит новые ad-hoc-графики для дешбордов, возможность сбора данных напрямую через новый HTTP/HTTPS агент, реализацию кнопки «Check now» для сбора данных или обнаружения по требованию, поддержку определения интервалов обслуживание на основе тегов, возможность изменить важность проблемы после ее возникновения и многое другое. Напомним, что Zabbix состоит из трёх базовых компонентов: сервера для координации выполнения проверок, формирования проверочных запросов и накопления статистики; агентов для осуществления проверок на стороне внешних хостов; фронтэнда для организации управления системой. Для снятия нагрузки с центрального сервера и формирования распределённой сети мониторинга … Читать далее Выпуск системы мониторинга Zabbix 4.0

Разработчики из проектов VideoLAN и FFmpeg представили библиотеку dav1d с реализацией нового свободного декодировщика формата кодирования видео AV1. Код проекта написан на языке Си (C99) с ассемблерными вставками (NASM/GAS) и распространяется под лицензией BSD. Для сборки применяется инструментарий meson. Ключевыми целями проекта является обеспечение переносимости кода для большинства существующих платформ и достижение максимально возможной производительности декодирования. По замыслу разработчиков высокая производительность программного декодировщика позволит сгладить отсутствие аппаратных механизмов ускорения, наблюдаемое на начальном этапе внедрения видеокодека AV1. Среди задач также упоминается сохранение компактности кода и корректная поддержка работы в многопоточных приложениях. В библиотеке dav1d планируют реализовать все расширенные возможности AV1, включая … Читать далее VideoLAN и FFmpeg разработали новый декодировщик для видеокодека AV1

Консорциум ISC (Internet Systems Consortium), развивающий такие проекты как bind, kea и dhcpd, опубликовал новую утилиту ethq, предназначенную для отслеживания активности сетевых карт. Код написан на C++11 с применением библиотеки NCurses и распространяется под лицензией MPL. Поддерживается мониторинг сетевых карт Intel ntel X540 и X710 (ixgbe и i40e), а также виртуальных сетевых адаптеров VMware (vmxnet3). В отличие от утилиты ethtool, ethq позволяет получить более детальную информацию в разрезе отдельных очередей обработки пакетов и предоставляет наглядный интерфейс в стиле утилиты top. Например, ethq даёт возможность сразу заметить разбалансировку нагрузки между очередями, которая приводит к неравномерной загрузке ядер CPU. Читать далее Консорциум ISC представил ethq, утилиту для мониторинга активности сетевых карт

Доступен релиз свободного редактора звука Audacity 2.3.0, предоставляющего средства для редактирования звуковых файлов (Ogg Vorbis, FLAC, MP3 и WAV), записи и оцифровки звука, изменения параметров звукового файла, наложения треков и применения эффектов (например, подавление шума, изменение темпа и тона). Код Audacity распространяется под лицензией GPL, бинарные сборки доступны для Linux, Windows и macOS. В новой версии: Добавлен режим записи «Punch and Roll«, позволяющий корректировать ошибки в процессе сеанса записи. Например, можно в любой момент приостановить запись, откатить состояние на определённое время назад и продолжить запись не разрывая трека и не прибегая вырезанию или перемещению частей в результирующем треке; Добавлена возможность … Читать далее Выпуск звукового редактора Audacity 2.3.0

Компания Google раскрыла планы по дальнейшему повышению защиты дополнений к Chrome и снижению числа вредоносных дополнений в каталоге Chrome Web Store. В последнее время участились случаи захвата контроля за популярными дополнениями в целях подстановки вредоносного кода. Также периодически всплывают факты скрытого добавления авторами дополнений кода для сбора персональных данных или передачи во внешние сервисы данных о посещениях. Для защиты пользователей Chrome и предотвращения появления в Chrome Web Store вредоносных дополнений запланированы следующие изменения: В Chrome 70 пользователь сможет ограничить действие дополнения определённым списком сайтов или включить режим активации дополнения на каждой странице только после явного клика на значке дополнения в … Читать далее Google внедряет меры для противодействия вредоносным дополнениям к Chrome

Разработчики криптовалюты Monero, которая позиционируется как обеспечивающая полную анонимность и невозможность отследить платежи, раскрыли сведения о наличии критической уязвимости, которая может привести к обработке на биржах обмена криптовалюты повторяющихся транзакций с тратой одних и тех же средств. Эксплуатации уязвимости на практике не зафиксировано. Проблема представляет опасностьдля бирж и платформ автоматической обработки платежей. Проблема была выявлена разработчиками Monero в ходе обсуждения вопроса о логике обработки нескольких расходных транзакций, направленных на один и тот же одноразовый адрес (промежуточный одноразовый адрес, создаваемый получателем для перенаправления поступающего платежа без раскрытия сведений о реальном адресе). По задумке одноразовый адрес должен быть ограничен одной транзакцией, но … Читать далее В реализации криптовалюты Monero выявлены две критические уязвимости

Доступен релиз проекта Mongoose OS 2.6, предлагающего фреймворк для разработки прошивок для устройств интернета вещей (IoT), реализованных на базе микроконтроллеров ESP32, ESP8266, CC3220, CC3200 и STM32F4. Имеются встроенная поддержка интеграции с платформами AWS IoT, Google IoT Core, Microsoft Azure, Samsung Artik, Adafruit IO, а также с любыми MQTT-серверами. Код проекта распространяется под лицензией Apache 2.0. Из особенностей проекта отмечаются: Движок mJS, предназначенный для разработки приложений на JavaScript (JavaScript позиционируется для быстрого создания прототипов, а для окончательных приложений предлагается использовать языки C/C++); Cистема OTA-обновлений с поддержкой отката обновления в случае сбоя; Средства удалённого управления устройством; Встроенная поддержка шифрования данных на Flash-накопителе; … Читать далее Выпуск Mongoose OS 2.6, платформы для IoT-устройств

Сформирован выпуск музыкального проигрывателя Elisa 0.3, построенного на основе технологий KDE и распространяемого под лицензией LGPLv3. Разработчики приложения пытаются воплотить в жизнь рекомендации по визуальному дизайну мультимедийных проигрывателей, разработанных рабочей группой KDE VDG. При развитии проекта основное внимание уделяется обеспечению стабильности, а уже потом наращиванию функциональности. Бинарные сборки в ближайшее время будут подготовлены для Linux (rpm для Fedora и универсальные пакеты flatpak), macOS и Windows. Интерфейс построен на базе Qt Quick Controls и типовых библиотеках из набора KDE Frameworks (например, KFileMetaData). Для воспроизведения используются компоненты QtMultimedia. Обеспечивается хорошая интеграция с рабочим столом KDE Plasma, но программа не привязана к нему, … Читать далее Выпуск музыкального проигрывателя Elisa 0.3, развиваемого сообществом KDE

Проект GNUstep подготовил первый стабильный выпуск StepSync, утилиты для синхронизации файлов и резервного копирования. Код проета поставляется под лицензией GPLv2+ и связан зависимостями с библиотеками GNUstep. Готовые сборки подготовлены только для macOS. StepSync позволяет синхронизировать содержимое нескольких каталогов. Синхронизация может производиться рекурсивно с учётом подкаталогов. Имеется несколько режимов для организации резервного копирования, например, раздельное отражения в целевом каталоге только новых файлов и изменений, или выполнение полной синхронизации. Также имеется режим сравнения содержимого двух каталогов без копирования данных и возможность обратной синхронизации из целевого каталога в исходный. Читать далее Проект GNUstep опубликовал утилиту синхронизации файлов StepSync 1.0

Доступен новый выпуск Telegram Desktop 1.4.0 для Linux, Windows и macOS, в котором устранена уязвимость (CVE-2018-17780), приводящая к утечке сведений об IP-адресе при совершении голосового вызова (инициатор соединения может узнать IP-адрес вызываемого пользовтеля, а вызываемый IP-адрес вызывающего). Проблема проявляется в конфигурации по умолчанию и связана с установкой P2P-соединения в процессе вызова, без возможности отключить данное поведение (в версии для Android имеется настройка «peer-to-peer nobody» для анонимизации). Разработчики Telegram признали данную особенность уязвимостью и выплатили сообщившему о проблеме исследователю 2000 долларов в рамках программы по выплате вознаграждений за выявление проблем с безопасностью. В версии Telegram Desktop 1.4.0 добавлена настройка режима работы … Читать далее Выпуск десктоп-клиента Telegram 1.4 с устранением уязвимости

Австралийское правительство подготовило законопроект, который определяет документ «Technical capability notice» (TCN), позволяющий на основании выдаваемого генеральным прокурором предписания потребовать от организатора распространения информации встраивания функциональности для помощи ASIO и прочим «агентствам электронной разведки» (федеральная полиция, комиссия по целостности спецслужб, комиссия по криминальной разведке, полицейские агенства и антикоррупционные комиссии). Документ вводит «Assistance Order» — приказ указанному лицу сделать всё необходимое для того, чтобы дать ASIO доступ к чтению, копированию, преобразованию и пониманию данных. Читать далее Австралийский законопроект обязывает компании помогать в шпионаже

35 лет назад Ричард Столлман основал проект GNU (Gnu’s Not Unix), нацеленный на разработку системных компонентов для создания свободного аналога Unix, позволяющих полностью обойтись без проприетарного ПО. В настоящий момент под крылом GNU развивается 391 свободный проект, среди которых GCC, Glibc, GNOME, Bash, Emacs, Bazaar, binutils, classpath, coreutils, sysutils, ddd, FreeFont, gawk, gdb, GetText, Ghostscript, GIMP, Gnash, GMediaServer, Gnumeric, gnuPg, gnuTLS, GTK+, Gzip, ядро linux-libre, MidnightCommander, ncurses, screen, wget. Под эгидой GNU сформировано содружество свободных проектов, двигающихся к общей цели и развиваемых в соответствии с единой идеологией и философией. Изначально, центральными звеньями проекта выступали ядро GNU, инструментарий для разработчиков и … Читать далее Проекту GNU исполнилось 35 лет

После девяти лет альфа-тестирования и спустя шесть лет с момента формирования прошлого альфа-выпуска подготовлен первый бета-выпуск операционной системы Haiku R1. Изначально проект был создан как реакция на закрытие ОС BeOS и развивался под именем OpenBeOS, но был переименован в 2004 году из-за претензий, связанных с использованием в названии торговой марки BeOS. Для оценки работы нового выпуска подготовлено несколько загрузочных Live-образов (x86, x86-64). Исходные тексты большей части ОС Haiku распространяются под свободной лицензией MIT, исключение составляют некоторые библиотеки, медиа-кодеки и компоненты, заимствованные из других проектов. ОС Haiku ориентирована на персональные компьютеры, использует собственное ядро, построенное на основе микроядерной архитектуры, оптимизированное для … Читать далее Первый бета-выпуск операционной системы Haiku R1

Компания Microsoft сообщила об открытии исходных текстов выпусков операционной системы MS-DOS 1.1 и 2.0, выпущенных в 1982 и 1983 годах. Код открыт под лицензией MIT и опубликован на GitHub. Продукт написан на ассемблере для процессоров 8086. Примечательно, что код открыт второй раз, в 2014 году оригинальные исходные тексты были переданы в Музей компьютерной истории и стали доступны публично с запретом использования в коммерческих проектах и распространения копий в Web. Теперь лицензия изменена на MIT, что позволяет свободно вносить изменения, распространять и использовать код в своих продуктах. Читать далее Microsoft открыл код MS-DOS 1.25 и 2.0 под лицензией MIT