Доступен релиз web-браузера Pale Moon 27.8.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, cохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. На уровне поддержки базовых web-технологий и тем оформления браузер остаётся совместим с Firefox. Сборки Pale Moon формируются для Windows и Linux (x86 и x86_64). Проект придерживается классической организации интерфейса, без перехода к интегрированному в Firefox 29 интерфейсу Australis. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. Из улучшений выделяются оптимизации для процессоров Atom, дополнительные … Читать далее Выпуск браузера Pale Moon 27.8.0

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 3.3. С момента выпуска версии 3.2 было закрыто 35 отчётов об ошибках и внесено 388 изменений. Наиболее важные изменения: Начальная поддержка графического API Vulkan; По умолчанию активировано использование обособленного потока обработки команд Direct3D, позволяющего выполнять отрисовку в асинхронном режиме с распараллеливанием на многоядерных системах; По умолчанию включена поддержка мультисэмплинга текстур (Multisample texture); Поддержка работы через SDL с игровыми контроллерами; Возможность загрузки исполняемых файлов .Net, включающих только компоненты на промежуточном языке CIL (Common Intermediate Language); Закрыты отчёты об ошибках, связанные с работой игр и приложений: Max Payne 2, Cosmology of Kyoto, Secret … Читать далее Выпуск Wine 3.3

Проект Qt опубликовал релиз Qt 3D Studio 1.1, приложения для создания трёхмерных интерфейсов пользователя. Qt 3D Studio предоставляет инструменты для быстрого создания прототипов трёхмерного интерфейса и включает в себя в том числе редактор со шкалой времени, позволяющий создавать эффекты с анимацией и по ключевым кадрам. Поддерживается импорт ресурсов из таких популярных пакетов, как Blender, Photoshop, Autodesk Maya и The Foundry MODO (поддерживаются форматы FBX и COLLADA). В состав также входит обширная библиотека готовых материалов и эффектов. Создаваемые макеты интерфейса могут быть интегрированы с Qt Quick и другими модулями фреймворка Qt. Код распространяется под лицензией GPLv3. В новом выпуске реализована возможность … Читать далее Релиз системы проектирования трёхмерных интерфейсов Qt 3D Studio 1.1

Состоялся релиз frama-clang 0.0.5, плагина для Сlang на базе свободной платформы для статического анализа кода Frama-C. Несмотря на то, что проект существует около года, он уже является рабочим полнофункциональным анализатором кода, написанного на языках Си и Си++, выявляющим возможные проблемы в файлах .cpp, .c++, .c, .cxx, .cc и .ii (файлы препроцессора). Плагин Fragma-C для Clang поставляется под смешанной лицензией LGPL/BSD. Читать далее Релиз свободного статического анализатора кода frama-clang 0.0.5

Исследователи из компании F5 выявили волну атак на пользовательские системы, в которых запущен свободный консольный torrent-клиент rTorrent, использующий XML-RPC для взаимодействия с фронтэндами с реализацией интерфейсов пользователя. Для выполнения своего кода в системе атакующие эксплуатируют особенность реализации XML-RPC в rTorrent, в которой не отключён метод «execute», позволяющий выполнить любой shell-код в системе. В ходе атаки в систему устанавливается собранный для unix-подобных систем инструментарий для майнинга криптовалюты Monero (XMR). На текущий момент на одном из связанных с атакой кошельков уже накопилось 13 XMR, что соответствует примерно 4200 долларам США. Как и в случае с недавней уязвимостью в BitTorrent-клиенте Transmission, интерфейс XML-RPC … Читать далее Атака на системы с rTorrent для скрытого майнинга криптовалюты

Состоялся релиз fragma-clang 0.0.5, плагина для Сlang на базе свободной платформы для статического анализа кода Fragma-C. Несмотря на то, что проект существует около года, он уже является рабочим полнофункциональным анализатором кода, написанного на языках Си и Си++, выявляющим возможные проблемы в файлах .cpp, .c++, .c, .cxx, .cc и .ii (файлы препроцессора). Плагин Fragma-C для Clang поставляется под смешанной лицензией LGPL/BSD. Читать далее Релиз свободного статического анализатора кода fragma-clang 0.0.5

Опубликовано обновление дистрибутива Ubuntu 16.04.4 LTS, в которое включены изменения, связанные с улучшением поддержки оборудования, обновлением ядра Linux и графического стека, исправлением ошибок в инсталляторе и загрузчике. В состав также включены актуальные обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Одновременно представлены аналогичные обновления Kubuntu 16.04.4 LTS, Xubuntu 16.04.4 LTS, Mythbuntu 16.04.4 LTS, Ubuntu GNOME 16.04.4 LTS, Lubuntu 16.04.4 LTS, Ubuntu Kylin 16.04.4 LTS, Ubuntu MATE 16.04.4 LTS и Ubuntu Studio 16.04.4 LTS. В состав выпуска включены некоторые улучшения, бэкпортированные из выпуска Ubuntu 17.10: Предложено обновление пакетов с ядром 4.13 (в Ubuntu 16.04.3 использовалось … Читать далее Выпуск Ubuntu 16.04.4 LTS c обновлением графического стека и ядра Linux

Вчерашняя история с отзывом 23 тысяч сертификатов, выданных через реселлера Trustico, получала неожиданное продолжение. Один из исследователей безопасности раскрыл тривиальную уязвимость в web-интерфейсе, позволяющую получить root-доступ на сервер. Проблема свидетельствует о наплевательском отношении к безопасности и косвенно подтверждает, что действия Trustico по отзыву сертификатов были связаны с инцидентом с безопасностью, несмотря на то, что компания отвергала подобные предположения. По информации от исследователя, продемонстрировавшего уязвимость, о проблеме было известно ранее и он почерпнул сведения из публичных источников. Суть выявленной уязвимости в передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов. В частности, если ввести shell-операторы в поле ввода домена в … Читать далее Ожидается отзыв всех остальных сертификатов Trustico из-за полной компрометации сервера

Группа исследователей из университета штата Огайо разработала новый вариант атаки Spectre, позволяющий обойти средства изоляции кода и данных, предоставляемые технологией Intel SGX (Software Guard Extensions). Новый вид атаки получил название SgxPectre. Предложенный в обновлении микрокода Intel метод защиты на основе инструкции IBRS блокирует SgxPectre, но программная защита Reptoline, по мнению исследователей, не эффективна против атаки на SGX. Технология SGX появилась в процессорах Intel Core шестого поколения (Skylake) и предлагает серию инструкций, позволяющих выделять приложениям пользовательского уровня закрытые области памяти — анклавы, содержимое которых не может быть прочитано и изменено даже ядром и кодом, выполняемым в режимах ring0, SMM и VMM. … Читать далее Представлена атака SgxPectre, позволяющая обойти технологию защиты Intel SGX

Компания СиПроВер подготовила новую версию статического анализатора PVS-Studio 6.22, который доработан для обеспечения проверки кода для встраиваемых устройств на базе архитектуры ARM. В частности, в новой версии появилась поддержка ARM Compiler 5 и ARM Compiler 6 в составе сред разработки Keil uVision 5 и Keil DS-MDK, а также поддержка IAR C/C++ Compiler for ARM в составе среды IAR Embedded Workbench. Для загрузки доступна демонстрационная версия PVS-Studio для Linux. Так как многие проекты для встраиваемых систем являются небольшими и для них не всегда окажется целесообразным приобретать лицензию, разработчики предоставили для подобных проектов вариант бесплатной лицензии. В том числе предоставленный вариант бесплатной … Читать далее Статический анализатор PVS-Studio 6.22 адаптирован для ARM-компиляторов (реклама)

Подготовлен корректирующий релиз медиаплеера VLC 3.0.1, в который внесены исправления, накопившиеся за почти месяц с момента релиза 3.0.0. В том числе: Улучшена поддержка устройств Chromecast, аппаратного ускорения декодирования и адаптивного потокового вещания. В avcodec включена поддержка Cineform HD. Устранены крахи при выводе через Direct3D11. Устранено потенциальное переполнение стека в декодировщике FAAD. Увеличена скорость смены позиции в медиаконтейнере MKV; Устранены крахи, проявляющиеся при обработке контента в форматах MKV, MP4 и AVI. В интерфейсе на базе Qt улучшено масштабирование на экранах HiDPI. В версии для Android добавлена поддержка аппаратного декодирования MPEG2 через API MediaCodec. Читать далее Релиз медиапроигрывателя VLC 3.0.1

Организация The Document Foundation объявила о выходе LibreOffice 6.0.2, второго корректирующего выпуска из семейства LibreOffice 6.0 «fresh». Версия 6.0.2 ориентирована на энтузиастов, опытных пользователей и тех, кто предпочитает самые свежие версии программного обеспечения. Для консервативных пользователей и предприятий пока рекомендуется использовать выпуск LibreOffice 5.4.5 «still». Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows. Обновление включает 55 исправлений. Читать далее Обновление офисного пакета LibreOffice 6.0.2

Разработчики каталога дополнений addons.mozilla.org (AMO) приняли решение прекратить поддержку размещения бета-версий дополнений. Через официальный каталог можно будет распространять только релизы, а для тестирования бета-версий предлагается использовать самостоятельные сборки (self-hosted). Цифровую подпись для бета-версий можно будет сформировать в AMO, но распространять тестовые сборки придётся со своих ресурсов. Изменение будет принято в течение марта. Прекращение поддержки бета-версий вызвано рядом проблем, от которых хотят избавиться разработчики AMO. В частности, пользователи не могут без лишних трудностей вернуться на использование релизов после переключения на канал для распространения бета-версий. Как следствие, разработчики дополнений должны обеспечивать обновление канала с бета-версиями с той же интенсивностью, что и канал … Читать далее Mozilla прекращает поддержку бета-версий в каталоге дополнений для Firefox

Компания DigiCert сегодня отзовёт более 23 тысяч SSL-сертификатов, полученных пользователями через реселлера Trustico, который предоставляет услуги по получению SSL-сертификатов, выступая посредником между клиентом и удостоверяющим центром. В начале февраля компания Trustico обратилась к DigiCert с запросом об отзыве около 50 тысяч SSL-сертификатов (все сертификаты DigiCert, которые были выданы через Trustico). В качестве причины было заявлено о компрометации сертификатов, но компания Trustico отказалась пояснить детали инцидента. В середине февраля Trustico разорвала контракт c DigiCert и объявила о партнёрстве с удостоверяющим центром Comodo. После требований предоставить доказательство компрометации, 27 февраля компания Trustico отправила DigiCert по электронной почте закрытые ключи для 23 тысяч … Читать далее 23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico

Фонд свободного ПО представил второй ежегодный отчёт, в котором обобщил информацию о мероприятиях и финансовых показателях за 2016 финансовый год (с 1 октября 2015 по 30 сентября 2016). За отчётный период Фонд СПО заработал 1.365 млн долларов, что на 169 тысяч больше чем в 2015 финансовом году. Из данных средств $1.211 млн составили пожертвования от частных лиц и компаний (Alibaba, Google, HP, IBM, Linux Foundation и т.п.), $104 тысячи получены в качестве оплаты тех или иных работ и $39 тысяч получены в результате инвестиций. Потрачено было 1.308 млн долларов (в 2015 году — $1.230 млн), из которых 1.101 млн долларов … Читать далее Фонд свободного ПО опубликовал финансовый отчёт по итогам 2016 года

Париса Тебриз (Parisa Tabriz), директор по инжинирингу в компании Google, озвучила на конференции «Google Network and Distributed System Security Symposium» статистику изменения популярности Adobe Flash. Доля пользователей Chrome, которые хотя бы раз в день открывают страницы, содержащие Flash-контент, снизилась с 80% в 2014 году до 8% в начале 2018 года. Во многом падение популярности Flash обусловлено внедрением в прошлом году в Chrome, Firefox и Edge функции активации Flash-контента только после явного клика. Полное прекращение поддержки Flash в современных браузерах ожидается только в 2020 году, в соответствии с согласованным с компанией Adobe планом прекращения сопровождения Flash-плагина (создателям Flash-контента предоставлено три года … Читать далее С 2014 года доля пользователей Chrome, использующих Flash, снизилась с 80% до 8%

Увидел свет выпуск открытой микроядерной операционной системы Genode OS Framework 18.02, в составе которого представлен первый ознакомительный вариант новой операционной системы Sculpt. В рамках проекта Sculpt на базе технологий Genode развивается операционная система общего назначения, которая сможет быть использована обычными пользователями для выполнения повседневных задач. Исходные тексты проекта распространяются под лицензией AGPLv3. Первый выпуск Sculpt ориентирован на энтузиастов (Early Adopters), уже знакомых с особенностями Genode. Sculpt расчитан на использование в виде загрузочного Live-окружения, но готовые сборки пока не формируются и образ необходимо собирать самостоятельно. В мае планируется выпустить более пригодный для оценки вариант Sculpt для любопытных пользователей (The Curious), для … Читать далее Проект Genode опубликовал начальный выпуск ОС общего назначения Sculpt

Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.8, в котором отмечено 22 исправления. В новой версии: В гостевых системах добавлена поддержка ядра Linux 4.15; Решена проблема с отображением чёрного экрана в гостевых системах с Linux при включенном режиме ускорения 3D; Обеспечена очистка флагов suid и sgid при доступе к совместно используемым каталогам из гостевых систем с Linux; В менеджер виртуальных машин для гостевых систем добавлена поддержка использования возможностей CPU FSGSBASE, PCID и INVPCID; В GUI-интерфейсе при работе в окружении Linux устранены проблемы, приводящие к смещению и уменьшению размера окна после изменения размера на экранах HiDPI; Внешние загрузки переведены на … Читать далее Релиз системы виртуализации VirtualBox 5.2.8

Закончен и опубликован перевод руководства LibreOffice Impress 4.2. В процессе работы над переводом руководство было актуализировано и отражает состояние для версии LibreOffice 5.2. Руководство доступно по главам (форматы ODF и PDF) и единой книгой в формате гибридного PDF. Читать далее Выполнен перевод руководства по LibreOffice Impress

Компания Cloudflare сообщила о выявлении массивных DDoS-атак, интенсивность трафика в которых доходит до 500 Гбит/с, проводимых с использованием усилителя из общедоступных серверов Memcached. Метод атаки с использованием усилителя трафика основа на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг). Предоставляемый Memcached протокол позволяет взаимодействовать с сервером через протокол UDP. Один из вариантов усилителя заключается в отправке запроса вывода статистики (команда STAT), размер пакетов с которой во много раз может превышать размер исходного запроса. Второй вариант заключается в загрузке в кэш … Читать далее Зафиксировано использование Memcached в качестве усилителя трафика для DDoS-атак

Браузер Chrome будет требовать для всех публичных сертификатов, созданных после 30 апреля 2018 года, включения журналирования как минимум в два журнала Certificate Transparency. Это означает, что с этой даты все сертификаты, которые не будут логироваться в Certificate Transparency будут автоматически отвергнуты браузером, с отображением соответствующей ошибки. В настоящее время все удостоверяющие центры, зарегистрированные в CCADB (Common CA Database), получили уведомление о предстоящих изменениях и готовятся к применению Certificate Transparency. Для предприятий, на которых используются собственные внутренние сертификаты, предоставлена опция, позволяющая отключить обязательную проверку в Certificate Transparency через задание централизованных правил, привязанных к учётным записям пользователей. Certificate Transparency базируется на идее … Читать далее Google вводит в Chrome обязательное логирование для SSL-сертификатов