Компания Google представила первую тестовую версию открытой мобильной платформы Android 15. Релиз Android 15 ожидается в третьем квартале 2024 года. Для оценки новых возможностей платформы предложена программа предварительного тестирования. Сборки прошивки подготовлены для устройств Pixel 6/6a/6 Pro, Pixel 7/7a/7 Pro, Pixel 8/8a/8 Pro, Pixel Fold и Pixel Tablet. Ключевые новшества Android 15 Developer Preview 1: В сервисах для показа рекламы в мобильных приложениях (Android AD Services) задействованы последние наработки проекта Privacy Sandbox, нацеленного на создание техник персонализации показа рекламы без нарушения конфиденциальности пользователя (определение общей категории интересов пользователя без индивидуальной идентификации). В хранилище Health Connect добавлена поддержка новых типов данных, … Читать далее Предварительный выпуск Android 15

Разработчики проекта openSUSE опубликовали план по развитию нового инсталлятора Agama (бывший D-Installer), разрабатываемого для замены классического интерфейса установки SUSE и openSUSE, и примечательного отделением пользовательского интерфейса от внутренних компонентов YaST. Agama предоставляет возможность использования различных фронтэндов, например, фронтэнда для управления установкой через web-интерфейс. Для тестирования нового инсталлятора формируются live-сборки для архитектур x86_64 и ARM64, поддерживающие установку непрерывно обновляемой сборки openSUSE Tumbleweed, а также редакций SUSE ALP, openSUSE MicroOS и openSUSE MicroOS Desktop, построенных на базе изолированных контейнеров. На этот год намечено два значительных обновления Agama. Первое планируется представить в середине апреля, а второе в середине июля. Июльское обновление будет нацелено … Читать далее Проект openSUSE раскрыл планы по развитию нового инсталлятора Agama

Разработчики платформы совместной разработки Forgejo объявили об изменении модели развития. Вместо поддержания синхронизированного форка Gitea, проект Forgejo теперь ответвился в полностью независимую кодовую базу, которая будет развиваться самодостаточно и идти собственным путём. Отмечается, что полный форк является кульминацией расхождения моделей развития и управления Forgejo и Gitea. Проект Forgejo возник в октябре 22-го года в результате «мягкого» форка Gitea. Под управлением Forgejo работает хостинг Codeberg.org. Код проекта написан на языке Go и поставляется под лицензией MIT. Форк был создан в ответ на попытки коммерциализации Gitea и перехода управления в руки коммерческой компании. В Forgejo было продолжено применение принципов независимого управления и … Читать далее Платформа совместной разработки Forgejo полностью отделилась от Gitea

После двух с половиной лет разработки опубликован релиз свободного пакета Mixxx 2.4, предоставляющего полный набор средств для профессиональной работы диджеев и создания музыкальных миксов. Готовые сборки подготовлены для Linux, Windows и macOS. Исходные тексты распространяются под лицензией GPLv2. В новой версии: Добавлена поддержка экспорта контейнеров, списков воспроизведения и библиотеки для загрузки на устройства на базе Engine DJ OS, что позволяет подготовить треки на ноутбуке в Mixxx, а потом перенести на USB-накопителе на отдельные контроллеры, такие как Denon и Numark. Добавлена поддержка сохранённых закольцованных аудио семплов (Saved Loops), которые могут привязываться к любым слотам c горячими метками (Hot Cue). Добавлена поддержка … Читать далее Выпуск Mixxx 2.4, свободного пакета для создания музыкальных миксов

Доступны корректирующие выпуски серверной JavaScript-платформы Node.js 21.6.2, 20.11.1, 18.19.1, в которых исправлено 8 уязвимостей, из которых 4 присвоен высокий уровень опасности: CVE-2024-21892 — возможность подстановки непривилегированным пользователем кода, наследующего расширенные привилегии, с которыми выполняется рабочий процесс. Уязвимость вызвана ошибкой в реализации исключения, позволяющего в процессе с расширенными привилегиями обрабатывать переменные окружения, выставленные непривилегированным пользователем. Исключение должно было предоставляться только для полномочий CAP_NET_BIND_SERVICE, но из-за ошибки применялось и к некоторым другими полномочиям (capabilities). CVE-2024-22019 — отказ в обслуживании через исчерпание доступных ресурсов (нагрузка на CPU и расходование пропускной способности) при обработке встроенным HTTP-сервером специально оформленных chunked-запросов, приводящих к чтению неограниченное количества … Читать далее Уязвимости в Node.js и libuv

Компания Google объявила об открытии кода проекта Magika, предназначенного для определения типа содержимого на основе анализа имеющихся в файле данных. Magika может точно определять в содержимом используемые языки программирования, методы сжатия, установочные пакеты, исполняемый код, виды разметки, форматы звука, видео, документов и изображений. Связанный с проектом инструментарий и готовая модель машинного обучения опубликованы под лицензией Apache 2.0. От похожих проектов, определяющих MIME-тип по содержимому, Magika отличается применением методов машинного обучения, высокой производительностью и отменной точностью определения. Модель обучена с использованием фреймворка Keras на 25 млн примерах файлов и поддерживает распознавание 116 типов данных с точностью не менее 99%. Модель скомпонована … Читать далее Google открыл код AI-системы Magika для определения типа содержимого файлов

Некоммерческая организация lowRISC, курирующая разработку свободного микропроцессора на базе архитектуры RISC-V, объявила о доступности первого готового к коммерческому производству чипа, построенного на базе открытой платформы OpenTitan, развиваемой как независимый совместный проект. Изначально проект был основан компанией Google, но после передачи организации lowRISC к его разработке присоединились такие компании, как Western Digital, Seagate, Nuvoton Technology, Winbond, Rivos, zeroRISC и G+D Mobile Security. Связанный с проектом код и спецификации аппаратных компонентов опубликованы под лицензией Apache 2.0. В отличие от существующих реализаций Root of Trust, OpenTitan развивается в соответствии с концепцией «безопасность через прозрачность», подразумевающей доступность кода и схем, а также полностью открытый … Читать далее Представлен первый чип на базе открытой платформы OpenTitan

В Asahi, открытом драйвере для GPU Apple AGX, обеспечена поддержка OpenGL 4.6 и OpenGL ES 3.2 для чипов Apple M1 и M2. Примечательно, что в родных графических драйверах для чипов M1 от Apple реализована только спецификация OpenGL 4.1, а поддержка OpenGL 4.6 первой появилась в открытом драйвере. Готовые пакеты с драйверами уже включены в состав репозиториев Fedora и доступны для использования в специализированной сборке Fedora Asahi Remix 39, предназначенной для установки на системы с ARM-чипами Apple. Более того, консорциум Khronos, занимающийся разработкой графических стандартов, признал полную совместимость открытого драйвера Asahi для GPU AGX, поставляемого в чипах Apple M1 и M2, … Читать далее В открытом драйвере Asahi сертифицирвоана поддержка OpenGL 4.6 для чипов Apple M1 и M2

Представлен выпуск мобильной платформы LineageOS 21, основанный на кодовой базе Android 14. Отмечается, что ветка LineageOS 21 достигла паритета по функциональности и стабильности c веткой 20, и признана готовой для формирования первого релиза. Сборки подготовлены для 109 моделей устройств. LineageOS также можно запустить в эмуляторе Android Emulator и в среде Android Studio. Дополнительно, предоставлена возможность сборки в режиме Android TV и Android Automotive. Помимо публикации LineageOS 21 продолжено и формирование сборок LineageOS 20 и 18.1. Продолжение сопровождения LineageOS 18.1 на базе Android 11 обусловлено тем, что начиная с Android 12 платформа была переведена на использование eBPF для фильтрации пакетов, что … Читать далее Опубликована мобильная платформа LineageOS 21 на основе Android 14

После двух лет разработки опубликован релиз проекта DOSBox Staging 0.81, развивающего мультиплатформенный эмулятор среды MS-DOS, написанный с использованием библиотеки SDL и ориентированный для запуска старых DOS-игр в Linux, Windows и macOS. DOSBox Staging развивается отдельной командой и не связан с оригинальным DOSBox, в котором последние годы отмечаются только незначительные изменения. Код написан на язык С++ и распространяется под лицензией GPLv2+. Главной задачей проекта является обеспечение качественной работы старых игр на современных системах (для эмуляции оборудования существуюет отдельный форк dosbox-x). Среди целей DOSBox Staging также отмечается предоставление удобного пользователям продукта, упрощение участия новых разработчиков (например, использование Git вместо SVN), проведение работы … Читать далее Релиз эмулятора DOSBox Staging 0.81

Доступен выпуск библиотеки Louvre 1.2.0, предоставляющей компоненты для разработки композитных серверов на базе протокола Wayland. Библиотека берёт на себя выполнение всех низкоуровневых операций, включая управления графическими буферами, взаимодействие с подсистемами ввода и графическими API в Linux, и также предлагает готовые реализации различных расширений протокола Wayland. Созданный на базе Louvre композитный сервер, потребляет заметно меньше ресурсов и демонстрирует более высокую производительность, по сравнению с Weston и Sway. Код написан на языке С++ и распространяется под лицензией GPLv3. Обзор возможностей Louvre можно прочитать в анонсе первого выпуска проекта. В новой версии: Добавлена поддержка выставлении нецелых значений масштаба (fractional scale) и пересэмплирования (oversampling) … Читать далее Новая версия Louvre 1.2, библиотеки для разработки композитных серверов на базе Wayland

Максим Дунин, один из трёх активных ключевых разработчиков Nginx, объявил о создании нового форка — FreeNginx. В отличие от проекта Angie, также создавшего ответвление от Nginx, новый форк будет разрабатываться исключительно как некоммерческий проект, развиваемый сообществом. FreeNginx позиционируется как основной потомок Nginx — «с учётом деталей — скорее, форк остался у F5». Целью FreeNginx объявлено обеспечение разработки Nginx, свободной от произвольного корпоративного вмешательства. Причиной создания нового проекта стало несогласие с политикой руководства компании F5, владеющей проектом Nginx. Компания F5 без согласования с сообществом разработчиков изменила политику безопасности и перешла к практике назначения CVE-идентификаторов для пометки как уязвимостей проблем, потенциально представляющих … Читать далее Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5

Исследователи из компании Aqua Security обратили внимание на возможность совершения атаки на пользователей дистрибутива Ubuntu, используя особенности реализации обработчика «command-not-found«, выдающего подсказку в случае попытки запуска отсутствующей в системе программы. Проблема в том, что при оценке запускаемых команд, которые отсутствуют в системе, «command-not-found» использует при выборе рекомендации не только пакеты из штатных репозиториев, но snap-пакеты из каталога snapcraft.io. При формировании рекомендации на основе содержимого каталога snapcraft.io обработчик «command-not-found» не учитывает статус пакета и охватывает пакеты, добавленные в каталог непроверенными пользователями. Таким образом, атакующий может разместить в snapcraft.io пакет со скрытым вредоносным содержимым и именем, пересекающимся с существующими DEB-пакетами, изначально отсутствующими … Читать далее Сценарий атаки на обработчик не установленных приложений в Ubuntu

Сформирован выпуск основной ветки nginx 1.25.4, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. Код проекта написан на языке Си и распространяется под лицензией BSD. В новой версии устранены две уязвимости в экспериментальном модуле http_v3_module (отключён по умолчанию), обеспечивающем поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Первая уязвимость (CVE-2024-24989) вызвана разыменованием нулевого указателя, а вторая (CVE-2024-24990) обращением к памяти после её освобождения (CVE-2024-24990). В списке изменений утверждается, что обе … Читать далее В nginx 1.25.4 устранены две уязвимости, связанные с HTTP/3

Опубликован релиз десктоп-ориентированного дистрибутива GhostBSD 24.01.1, построенного на базе FreeBSD 14-STABLE и предлагающего пользовательское окружение MATE. Отдельно сообществом формируются неофициальные сборки с Xfce. По умолчанию в GhostBSD применяется файловая система ZFS. Поддерживается как работа в Live-режиме, так и установка на жесткий диск (используется собственный инсталлятор ginstall, написанный на языке Python). Загрузочные образы сформированы для архитектуры x86_64 (2.5 ГБ). В новой версии: Осуществлена синхронизация с веткой FreeBSD 14-STABLE (в прошлой версии использовалась ветка FreeBSD 13.2-STABLE). В инсталляторе создаваемый пользователь теперь получает права администратора, а указанный для этого пользователя пароль также выставляется для пользователя root. В приложение Update Station добавлена возможность обновления … Читать далее Выпуск GhostBSD 24.01.1

В различных реализациях протокола DNSSEC выявлены две уязвимости, затрагивающие DNS-резолверы BIND, PowerDNS, dnsmasq, Knot Resolver и Unbound. Уязвимости позволяют добиться отказа в обслуживании DNS-резолверов, выполняющих валидацию при помощи DNSSEC, из-за возникновения высокой нагрузки на CPU, мешающей обработке других запросов. Для совершения атаки достаточно отправить на DNS-резолвер, использующий DNSSEC, запрос, приводящий к обращению к специально оформленной DNS-зоне на сервере злоумышленника. Выявленные проблемы: CVE-2023-50387 (кодовое имя KeyTrap) — при обращении к специально оформленным DNS-зонам приводит к отказу в обслуживании из-за создания значительной нагрузки на CPU и длительного выполнения проверки DNSSEC. Для совершения атаки необходимо разместить на подконтрольном атакующему DNS-сервере доменную зону с … Читать далее Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC

Следом за назначением нового руководителя, компания Mozilla намерена уволить около 60 сотрудников и изменить стратегию развития продуктов. С учётом того, что по публичным отчётам в компании Mozilla работает от 500 до 1000 человек, увольнения коснутся 5-10% персонала. Это четвёртая массовая волна увольнений — в 2020 году было уволено 320 (250 + 70) работников, а в 2017 — 50. Из направлений на которых планируется сосредоточить внимание отмечается применение AI-технологий в Firefox, например, интеграция разработок недавно купленной компании Fakespot. С целью оптимизации рабочих процессов планируется объединить вместе команды, занимающиеся сервисом Pocket, подготовкой контента и искусственным интеллектом. Сокращение не затронет MDN (Mozilla Developer … Читать далее Mozilla уволит около 60 сотрудников и сосредоточит внимание на AI-технологиях в Firefox

Разработчики проекта Chromium сообщили о намерении реализовать в браузере поддержку технологии Web Monetization, позволяющей автоматически выполнять микроплатежи владельцам сайтов за просмотр их содержимого. Предполагается, что технология может использоваться для монетизации сайтов вместо показа рекламы, в качестве аналога сетевых чаевых или для предоставления выборочного платного доступа к контенту без оформления подписки. Первый прототип реализации Web Monetization рассчитывают добавить в состав выпуска Chromе 127, намеченного на 23 июля. При помощи API Web Monetization web-страницы могут информировать браузер о принятии платежей в пассивном режиме, не требующем вывода запроса на проведение оплаты. Для пользователя предложенная технология удобна тем, что не отвлекает во время работы, … Читать далее В Chromium экспериментируют с автоматическими микроплатежами для монетизации сайтов

Подготовлен выпуск OpenVPN 2.6.7, пакета для создания виртуальных частных сетей, позволяющего организовать шифрованное соединение между двумя клиентскими машинами или обеспечить работу централизованного VPN-сервера для одновременной работы нескольких клиентов. Новая версия примечательна проведением перелицензирования. Код проекта переведён с использования чистой лицензии GPLv2, на совмещённую лицензию, в которой текст GPLv2 расширен исключением, разрешающим связывание с кодом под лицензией Apache 2.0, которое невозможно в обычных условиях без перелицензирования кода из-за несовместимости лицензией GPLv2 и Apache 2.0. Исключение позволяет связывать код OpenVPN с кодом библиотек, распространяемых под лицензией Apache 2.0, и распространять комбинированный производный продукт без соблюдения требования GPLv2 о распространении связанных библиотек под … Читать далее Обновление OpenVPN 2.6.9 с изменением лицензии

В след за прекращением продажи бессрочных лицензий, компания Broadcom, в ноябре прошлого года поглотившая бизнес VMware, прекратила распространение бесплатных версий VMware vSphere Hypervisor (ESXi 7.x и 8.x). Бесплатные версии были ограничены числом задействованных процессорных ядер и размером памяти, а также не включали расширенные возможности. Тем не менее, базовая функциональность в них присутствовала, что делало их востребованными для небольших, персональных и экспериментальных внедрений. Альтернативных продуктов не предоставлено. Источник: http://www.opennet.ru/opennews/art.shtml?num=60595 Читать далее Прекращено распространение бесплатных версий VMware vSphere Hypervisor

Организация Linux Foundation объявила о создании альянса Post-Quantum Cryptography (PQCA), нацеленного на решение проблем с безопасностью, сопутствующих внедрению квантовых вычислений, путём разработки и внедрения постквантовых алгоритмов шифрования. Альянс планирует подготовить высоконадёжные реализации стандартизованных постквантовых алгоритмов шифрования, обеспечить их разработку и сопровождение, а также участвовать в стандартизации и создании прототипов новых постквантовых алгоритмов. В число учредителей альянса вошли компании Amazon Web Services (AWS), Cisco, Google, IBM, NVIDIA, IntellectEU, Keyfactor, Kudelski IoT, QuSecure и SandboxAQ, а также университет Ватерлоо. Отмечается, что среди участников инициативы присутствуют соавторы стойких к подбору на квантовом компьютере алгоритмов CRYSTALS-Kyber, CRYSTALS-Dilithium, Falcon и SPHINCS+, выбранных для стандартизации Национальным … Читать далее Создан альянс для развития постквантовых алгоритмов шифрования