В Web API, предоставляемом сервисом LocationSmart, выявлена уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как ATT, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus. Данные о местоположении раскрывались с точностью определения базовой станции (от сотен метров до нескольких километров). Через периодическое обращение к API имелась возможность отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении поступали в сервис LocationSmart в рамках предполагаемых партнёрских контрактов с мобильными операторами (ни один оператор не опроверг и не подтвердил наличие контракта с LocationSmart). По приблизительно оценке проблема могла … Читать далее Уязвимость в LocationSmart позволяла отслеживать местоположение мобильных телефонов

Уилл Кук (Will Cooke), менеджер по разработке десктоп-систем в компании Canonical, опубликовал предварительный план развития рабочего стола в осеннем выпуске Ubuntu 18.10. Среди планируемых новшеств отмечены: Задействование по умолчанию новой темы оформления Communitheme, разработанной совместными усилиями сообщества; Ведётся работа над интеграцией поддержки DLNA-сервера, который позволит организовать потоковую передачу мультимедийного контента для просмотра на умных телевизорах, медиацентрах и прочих устройствах с поддержкой DLNA. Пользователь рабочего стола сможет сразу после установки дистрибутива предоставить необходимый для подобного вещания совместный доступ без необходимости установки и настройки дополнительных пакетов. Для устройств без поддержки DLNA в качестве запасного варианта рассматривается добавление функции для быстрой настройки SMB-разделов … Читать далее Планы по развитию рабочего стола в Ubuntu 18.10

Разработчики из компании Google представили вторую версию коммуникационного протокола Git, который используется для обмена данными при удалённом подключении клиента к Git-серверу. При подготовке второй версии основное внимание было уделено повышению эффективности обмена данными, оптимизации для работы поверх HTTP и решению проблемы с расширяемостью. Реализация нового протокола уже принята в основной состав Git и ожидается в версии Git 2.18. Среди ключевых новшеств отмечается обеспечение возможности фильтрации ссылок (веток и тегов) на стороне сервера, что позволяет отсеивать ссылки на удалённой стороне без необходимости загрузки списка всех ссылок. В первой версии протокола полный список ссылок в репозитории всегда отправлялся клиенту при выполнении любой … Читать далее Представлена вторая версия протокола Git

Компания Qualys опубликовала результаты аудита набора procps-ng, включающего библиотеку libprocps и утилиты для работы с псевдофайловой системой /proc (например, в состав входят такие утилиты как free, kill, pgrep, pmap, ps, sysctl, top, uptime, vmstat, w и watch). В ходе исследования выявлено 7 уязвимостей, из которых две могут привести к повышению своих привилегий в системе, а одна позволяет скрывать непривилегированные процессы. Проблемы пока остаются неисправленными в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE). CVE-2018-1124 — локальное повышение привилегий из-за целочисленного переполнения в функции file2strvec(), поставляемой в библиотеке libprocps и занимающейся разбором содержимого /proc/PID/cmdline. Атакующий может эксплуатировать уязвимость во время запуска администратором или … Читать далее Аудит безопасности набора procps-ng выявил опасные уязвимости

Представлен двадцать третий альфа-выпуск свободной игры 0 A.D., которая представляет собой стратегию реального времени с качественной 3D-графикой и игровым процессом во многом похожим на игры серии «Age of Empires». Исходные тексты игры были открыты компанией Wildfire Games под лицензией GPL после 9 лет разработки в качестве проприетарного продукта. Сборка игры доступна для Linux (Ubuntu, Gentoo, Debian, openSUSE, Fedora и Arch Linux), FreeBSD, OpenBSD, macOS и Windows. Текущая версия поддерживает сетевую игру и однопользовательскую игру с ботами на заранее смоделированных, либо динамически создаваемых картах. Игра охватывает более десяти цивилизаций, существовавших в диапазоне с 500 года до нашей эры до 500 года … Читать далее Доступна двадцать третья альфа-версия открытой игры 0 A.D.

Разработчики дистрибутива Lubuntu сообщили о решении окончательно перейти на окружение рабочего стола LXQt (Qt Lightweight Desktop Environment), развиваемое объединённой командой разработчиков проектов LXDE, Razor-qt и Hawaii. Выпуск Lubuntu 18.10 выйдет официально с LXQt. Напомним, что инициатива по переводу Lubuntu с LXDE на LXQt была запущена в 2014 году, но миграция многократно откладывалась и дистрибутив до сих пор поставляется с LXDE. Начиная с выпуска Lubuntu 17.10 пользователям предлагается дополнительная тестовая редакция Lubuntu Next с LXQt, помимо штатных сборок с LXDE. Основной причиной миграции является стагнация, прекращение развития (по сути LXQt и есть продолжение развития LXDE) и перевод LXDE в режим сопровождения. … Читать далее Lubuntu переходит на пользовательское окружение LXQt

Доступна для тестирования бета-версия пользовательской оболочки Plasma 5.13, построенной с использованием платформы KDE Frameworks 5 и библиотеки Qt 5 с применением OpenGL/OpenGL ES для ускорения отрисовки. Протестировать новый выпуск можно через Live-сборку от проекта openSUSE и сборки от проекта KDE Neon. Пакеты для различных дистрибутивов можно найти на данной странице. Релиз ожидается 12 июня. В процессе подготовки новой версии большое внимание уделено снижению времени запуска, повышению отзывчивости интерфейса, снижению потребления памяти и оптимизации производительности для комфортной работы на маломощных системах. Выпуск 5.13 также примечателен прекращением развития в KWin новых возможностей, специфичных для X11. При разработке KWin 5.13 реализуются только новшества, … Читать далее Тестирование рабочего стола KDE Plasma 5.13

Сенат США проголосовал за отмену изменений, внесённых Федеральным агентством по связи (FCC) в правила соблюдения сетевого нейтралитета. За отмену проголосовало 52 сенатора, против — 47. Если число сторонников и противников сетевого нейтралитета среди законодателей примерно равно, то при опросе обычных граждан, 86% склоняются в пользу обеспечения сетевого нейтралитета. Для окончательной отмены решения теперь требуется добиться поддержки в Палате представителей. В случае одобрения в Палате представителей 11 июня правила FCC будут возвращены к варианту 2015 года, декларирующему сохранение сетевого нейтралитета, т.е. запрещающему платное повышение приоритета, блокирование доступа и ограничение скорости обращения к контенту и сервисам, распространяемым на законных основаниях. Нейтралитет обеспечен … Читать далее Сенат США проголосовал за отмену решения FCC, касающегося сетевого нейтралитета

Опубликован выпуск проекта isomorphic-git 0.13.0, в рамках которого развивается реализация Git на языке JavaScript, нацеленная на предоставление 100% переносимости с классическим Git и способная выполняться в web-браузере или в качестве модуля для платформы Node.js. Код проекта поставляется под лицензией MIT. Проект изначально написан на чистом JavaScript (без компиляции в JavaScript при помощи Emscripten) и базируется на применении WebWorkers и ServiceWorkers. Isomorphic-git позволяет читать и записывать данные в локальные Git-репозитории, выполнять операции push и fetch с удалёнными репозиториями, например, с GitHub. Для работы с Git-репозиториями предлагается утилита isogit, поддерживающая большую часть команд git. Для встраивания отдельных возможностей Git в web-приложения предоставляется … Читать далее isomorphic-git, реализация Git на JavaScript

В Signal Desktop, построенной на базе платформы Electron версии мессенджера Signal для настольных систем, выявлены две уязвимости (CVE-2018-10994, CVE-2018-11101), позволяющие выполнить произвольный JavaScript-код в контексте JavaScript-движка приложения через отправку специально оформленного сообщения. Проблемы устранены в выпуске Signal Desktop 1.11.0, мобильные приложения проблемам не подвержены. Первая уязвимость позволяет передать в сообщении специально оформленную ссылку, показ принятого сообщения с которой приведёт к выполнению JavaScript-кода без каких-либо действий со стороны пользователя. Например, отправка ссылки «http://hacktheplanet/?p=%3Ciframe%20src=»/etc/passwd»%3E%3C/iframe%3E%20PWONED» приведёт к открытию файла /etc/passwd в iframe. Разработчики Signal опубликовали обновление с устранением проблем спустя всего 2 часа после уведомления о наличии уязвимостей. Скоро выяснилось, что существует ещё … Читать далее Уязвимости в Signal Desktop и в платформе Electron

Компания Google сообщила о готовящихся в осенних выпусках Chrome изменениях индикации безопасности соединения. Так как общей целью является повсеместный переход на HTTPS, а начиная с Chrome 68, релиз которого ожидается в июле, все открытые по HTTP страницы будут снабжены индикатором, предупреждающим об установке небезопасного соединения, то теперь нет смысла отдельно помечать HTTPS индикатором безопасного соединения. В сентябрьском выпуске Chrome 69 для HTTPS перестанет показываться зелёная надпись «Secure», а в октябрьском выпуске Chrome 70 будет убран и значок с изображением замка для HTTPS, а цвет надписи «Not Secure» для соединений HTTP будет заменён с серого на красный. По статистике Google доля … Читать далее В Chrome изменится индикация безопасных соединений

Состоялся релиз инструментария для построения инсталляторов Calamares 3.2, не зависящего от конкретных дистрибутивов Linux. Разработчикам дистрибутивов предоставлено несколько десятков готовых модулей c реализацией различных возможностей, востребованных в инсталляторах. Код написан на языке С++, графический интерфейс основан на библиотеке Qt 5 (используется QML), для разработки модулей могут применяться языки C++ и Python. Calamares уже используется для организации установки дистрибутивов Manjaro, Sabayon, Chakra, NetRunner, KaOS, OpenMandriva и KDE neon. Проект развивается при участии сообществ KDE, Fedora, Kubuntu и Maui. Calamares предоставляет такие возможности, как ручной и автоматический режимы разбиения дисковых разделов, гибкая система адаптации внешнего вида, модульная архитектура, большой выбор готовых модулей … Читать далее Выпуск независимого от дистрибутивов инсталлятора Calamares 3.2

После почти двух лет разработки состоялся релиз текстового редактора Vim 8.1, который отнесён к категории незначительных выпусков, в котором устранены накопившиеся ошибки и предложены единичные новшества. Код Vim распространяется под собственной копилефт лицензией, совместимой с GPL, и позволяющей без ограничений использовать, распространять и перерабатывать код. Основная особенность лицензии Vim связана с возвратом изменений — реализованные в сторонних продуктах улучшения должны быть переданы в исходный проект, если мэйнтейнер Vim посчитает эти улучшения заслуживающими внимания и отправит соответствующий запрос. По типу распространения, Vim относится к Сharityware, т.е. вместо продажи программы или сбора пожертвований на нужды проекта, авторы Vim просят перечислить любую сумму … Читать далее Релиз текстового редактора Vim 8.1

В Web API, предоставляемом сервисом LocationSmart, выявлена уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как ATT, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus. Данные о местоположении раскрывались с точностью определения базовой станции (от сотен метров до нескольких километров). Через периодическое обращение к API имелась возможность отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении поступали в сервис LocationSmart в рамках предполагаемых партнёрских контрактов с мобильными операторами (ни один оператор не опроверг и не подтвердил наличие контракта с LocationSmart). По приблизительно оценке проблема могла … Читать далее Уязвимость в LocationSmart позволяла отслеживать местоположение мобильных телефонов

Уилл Кук (Will Cooke), менеджер по разработке десктоп-систем в компании Canonical, опубликовал предварительный план развития рабочего стола в осеннем выпуске Ubuntu 18.10. Среди планируемых новшеств отмечены: Задействование по умолчанию новой темы оформления Communitheme, разработанной совместными усилиями сообщества; Ведётся работа над интеграцией поддержки DLNA-сервера, который позволит организовать потоковую передачу мультимедийного контента для просмотра на умных телевизорах, медиацентрах и прочих устройствах с поддержкой DLNA. Пользователь рабочего стола сможет сразу после установки дистрибутива предоставить необходимый для подобного вещания совместный доступ без необходимости установки и настройки дополнительных пакетов. Для устройств без поддержки DLNA в качестве запасного варианта рассматривается добавление функции для быстрой настройки SMB-разделов … Читать далее Планы по развитию рабочего стола в Ubuntu 18.10

Разработчики из компании Google представили вторую версию коммуникационного протокола Git, который используется для обмена данными при удалённом подключении клиента к Git-серверу. При подготовке второй версии основное внимание было уделено повышению эффективности обмена данными, оптимизации для работы поверх HTTP и решению проблемы с расширяемостью. Реализация нового протокола уже принята в основной состав Git и ожидается в версии Git 2.18. Среди ключевых новшеств отмечается обеспечение возможности фильтрации ссылок (веток и тегов) на стороне сервера, что позволяет отсеивать ссылки на удалённой стороне без необходимости загрузки списка всех ссылок. В первой версии протокола полный список ссылок в репозитории всегда отправлялся клиенту при выполнении любой … Читать далее Представлена вторая версия протокола Git

Компания Qualys опубликовала результаты аудита набора procps-ng, включающего библиотеку libprocps и утилиты для работы с псевдофайловой системой /proc (например, в состав входят такие утилиты как free, kill, pgrep, pmap, ps, sysctl, top, uptime, vmstat, w и watch). В ходе исследования выявлено 7 уязвимостей, из которых две могут привести к повышению своих привилегий в системе, а одна позволяет скрывать непривилегированные процессы. Проблемы пока остаются неисправленными в дистрибутивах (Debian, Ubuntu, RHEL, Fedora, SUSE). CVE-2018-1124 — локальное повышение привилегий из-за целочисленного переполнения в функции file2strvec(), поставляемой в библиотеке libprocps и занимающейся разбором содержимого /proc/PID/cmdline. Атакующий может эксплуатировать уязвимость во время запуска администратором или … Читать далее Аудит безопасности набора procps-ng выявил опасные уязвимости

После почти двух лет разработки состоялся релиз текстового редактора Vim 8.1, который отнесён к категории незначительных выпусков, в котором устранены накопившиеся ошибки и предложены единичные новшества. Код Vim распространяется под собственной копилефт лицензией, совместимой с GPL, и позволяющей без ограничений использовать, распространять и перерабатывать код. Основная особенность лицензии Vim связана с возвратом изменений — реализованные в сторонних продуктах улучшения должны быть переданы в исходный проект, если мэйнтейнер Vim посчитает эти улучшения заслуживающими внимания и отправит соответствующий запрос. По типу распространения, Vim относится к Сharityware, т.е. вместо продажи программы или сбора пожертвований на нужды проекта, авторы Vim просят перечислить любую сумму … Читать далее Релиз текстового редактора Vim 8.1

В Web API, предоставляемом сервисом LocationSmart, выявлена уязвимость, которая позволяла любому постороннему отслеживать местоположение смартфонов, подключенных к большинству крупных мобильных сетей США, включая таких операторов как ATT, Sprint, T-Mobile и Verizon, а также канадских операторов Bell, Rogers и Telus. Данные о местоположении раскрывались с точностью определения базовой станции (от сотен метров до нескольких километров). Через периодическое обращение к API имелась возможность отслеживать перемещение смартфонов в режиме реального времени. Данные о местоположении поступали в сервис LocationSmart в рамках предполагаемых партнёрских контрактов с мобильными операторами (ни один оператор не опроверг и не подтвердил наличие контракта с LocationSmart). По приблизительно оценке проблема могла … Читать далее Уязвимость в LocationSmart раскрывала местоположение клиентов большинства мобильных сетей США

Состоялся релиз инструментария для построения инсталляторов Calamares 3.2, не зависящего от конкретных дистрибутивов Linux. Разработчикам дистрибутивов предоставлено несколько десятков готовых модулей c реализацией различных возможностей, востребованных в инсталляторах. Код написан на языке С++, графический интерфейс основан на библиотеке Qt 5 (используется QML), для разработки модулей могут применяться языки C++ и Python. Calamares уже используется для организации установки дистрибутивов Manjaro, Sabayon, Chakra, NetRunner, KaOS, OpenMandriva и KDE neon. Проект развивается при участии сообществ KDE, Fedora, Kubuntu и Maui. Calamares предоставляет такие возможности, как ручной и автоматический режимы разбиения дисковых разделов, гибкая система адаптации внешнего вида, модульная архитектура, большой выбор готовых модулей … Читать далее Выпуск независимого от дистрибутивов инсталлятора Calamares 3.2

Компания Google сообщила о готовящихся в осенних выпусках Chrome изменениях индикации безопасности соединения. Так как общей целью является повсеместный переход на HTTPS и начиная с Chrome 68, релиз которого ожидается в июле, все открытые по HTTP страницы будут снабжены индикатором, предупреждающим об установке небезопасного соединения, то теперь нет смысла отдельно помечать HTTPS индикатором безопасного соединения. В сентябрьском выпуске Chrome 69 для HTTPS перестанет показываться зелёная надпись «Secure», а в октябрьском выпуске Chrome 70 будет убран и значок с изображением замка для HTTPS, но а цвет надписи «Not Secure» для соединений HTTP будет заменён с серого на красный. По статистике Google … Читать далее В Chrome изменится индикация безопасных соединений