В Signal Desktop, построенной на базе платформы Electron версии мессенджера Signal для настольных систем, выявлены две уязвимости (CVE-2018-10994, CVE-2018-11101), позволяющие выполнить произвольный JavaScript-код в контексте JavaScript-движка приложения через отправку специально оформленного сообщения. Проблемы устранены в выпуске Signal Desktop 1.11.0, мобильные приложения проблемам не подвержены. Первая уязвимость позволяет передать в сообщении специально оформленную ссылку, показ принятого сообщения с которой приведёт к выполнению JavaScript-кода без каких-либо действий со стороны пользователя. Например, отправка ссылки «http://hacktheplanet/?p=%3Ciframe%20src=»/etc/passwd»%3E%3C/iframe%3E%20PWONED» приведёт к открытию файла /etc/passwd в iframe. Разработчики Signal опубликовали обновление с устранением проблем спустя всего 2 часа после уведомления о наличии уязвимостей. Скоро выяснилось, что существует ещё … Читать далее Уязвимости в Signal Desktop и в платформе Electron

Подготовлен корректирующий выпуск Firefox 60.0.1, в котором устранено несколько ошибок. Решённые проблемы: Наблюдались длительные приостановки в процессе работы сборщика мусора, проявляющиеся при использовании некоторых дополнений (например, при использовании ZenHub отмечалось подвисание на 1-2 секунды); Рекламные блоки некоторое время продолжали показываться при открытии стартовой страницы после запрещения показа подобного контента в настройках; Некорректно работала прокрутка немасштабируемых страниц на сенсорных экранах; При просмотре Google Maps на macOS с новыми драйверами NVIDIA иногда отображались чёрные квадраты вместо карты; В режиме повышенного контраста для слобовидящих людей выбирался не тот цвет фона (-moz-default-background-color) при открытии окон и вкладок; Возобновлён перевод элементов в панелях раздела настройки … Читать далее Обновление Firefox 60.0.1 и Firefox 61-бета

Доступен релиз Proxmox Virtual Environment 5.2, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix XenServer. Размер установочного iso-образа 611 Мб. Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. … Читать далее Релиз Proxmox VE 5.2, дистрибутива для организации работы виртуальных серверов

Сенат США проголосовал за отмену изменений, внесённых Федеральным агентством по связи (FCC) в правила соблюдения сетевого нейтралитета. За отмену проголосовало 52 сенатора, против — 47. Если число сторонников и противников сетевого нейтралитета среди законодателей примерно равно, то при опросе обычных граждан, 86% склоняются в пользу обеспечения сетевого нейтралитета. Для окончательной отмены решения теперь требуется добиться поддержки в Палате представителей. В случае одобрения в Палате представителей 11 июня правила FCC будут возвращены к варианту 2015 года, декларирующему сохранение сетевого нейтралитета, т.е. запрещающему платное повышение приоритета, блокирование доступа и ограничение скорости обращения к контенту и сервисам, распространяемым на законных основаниях. Нейтралитет обеспечен … Читать далее Сенат США проголосовал за отмену решения FCC, касающегося сетевого нейтралитета

Разработчик пользовательского дистрибутива Korora, построенного на пакетной базе Fedora Linux, объявил о приостановке разработки на неопределённое время и прекращении формирования обновлений. Проект развивается всего одним разработчиком, который решил взять бессрочный отпуск чтобы избежать полного выгорания из-за рутины и освежить интерес к проекту. Примечательно, что в 2007 году разработка проекта уже прекращалась на три года. Читать далее Прекращена разработка дистрибутива Korora

Компания Google опубликовала корректирующее обновление Chrome 66.0.3359.181, в котором отменила представленную в ветке Chrome 66 блокировку автоматического воспроизведения звука через Web Audio API. Для тегов video и audio запрет на автовоспроизведение (свойство autoplay) контента со звуком на текущей вкладке оставлен в силе. В качестве причины реализованного послабления называется поступление большого числа жалоб на нарушение нормальной работы некоторых популярных игровых, коммуникационных и звуковых сервисов. Например, при использовании Chrome 66 во многих online-играх перестал выводиться звук. В частности, проблеме подвержены HTML5-игры на базе движков Pico-8, GameMaker, Unity и Phaser, в работе которых применялось автоматическое воспроизведение звука при открытии страницы. При этом блокировка … Читать далее Обновление Chrome 66 с отменой ограничений автовоспроизведения звука

Сформирован релиз дистрибутива Endless OS 3.4, нацеленного на создание простой в работе системы, в которой можно быстро подобрать приложения на свой вкус. Приложения распространяются в виде самодостаточных пакетов в формате Flatpak. Размер предлагаемых загрузочных образов составляет от 1.7 до 14 ГБ. Endless OS можно отнести к числу дистрибутивов, которые являются локомотивами для продвижения инноваций среди пользовательских Linux-систем. Пользовательский интерфейс Endless OS основан на значительно переработанном форке окружения GNOME. При этом разработчики Endless активно участвуют в разработке upstream-проектов и передают им свои наработки. Например, в выпуске GTK+ 3.22 около 9.8% всех изменений было подготовлено разработчиками Endless, а курирующая проект компания Endless … Читать далее Выпуск атомарно обновляемого самобытного дистрибутива Endless OS 3.4

Сформировано обновление операционной системы Solaris 11.3 SRU 32, в котором предложена очередная серия исправлений и улучшений для ветки Solaris 11.3, изначально опубликованной в 2015 году. Параллельно развивается новая значительная ветка Solaris 11.4, которая пока находится на стадии бета-тестирования. Основные изменения в Solaris 11.3 SRU 32: Обновлены версии программ (в основном для устранения выявленных уязвимостей): Wireshark 2.4.6, ImageMagick 6.9.9-40, OpenSSL 1.0.2o, paramiko 2.0.8, Python 2.7.14, Samba 4.7.6, Apache httpd 2.4.33, rsyslog 8.15.0 и Perl 5.22; Добавлены новые системные вызовы recvmmsg() и sendmmsg(), позволяющие организовать получение и отправку в рамках одного системного вызова сразу нескольких сообщений, которые ранее потребовали бы отдельных вызовов … Читать далее Компания Oracle выпустила обновление Solaris 11.3 SRU 32

После четырёх лет разработки представлен первый стабильный релиз операционной системы AsteroidOS, предназначенной для использования на портативных носимых устройствах, таких как умные часы. Сборки подготовлены для устройств Asus Zenwatch 1/2/3, LG G Watch, LG G Watch R, LG G Watch Urbane, Samsung Gear Live и Sony Smartwatch 3. Код низкоуровневых компонентов платформы написан на языках Си и C++, для построения интерфейса используется QML. Наработки проекта распространяются под лицензиями BSD (композитный менеджер) и GPL (приложения). Системные компоненты построены с использованием наработок проекта OpenEmbedded, предоставляющего средства для сборки GNU/Linux дистрибутивов для встраиваемых систем. В том числе в ОС задействованы systemd, BlueZ и PulseAudio. … Читать далее Выпуск AsteroidOS 1.0, открытой ОС для умных часов на базе Qt и Wayland

Компания Canonical официально прокомментировала недавний инцидент, связанный с выявлением в Ubuntu Snap Store двух вредоносных пакетов, осуществляющих скрытый майнинг криптовалюты. В заявлении Canonical утверждается, что майнинг в приложениях в Snap Store явно не запрещён и не относится к числу незаконных операций, поэтому проблема формально сводится к появлению приложений со скрытой функциональностью и к введению пользователей в заблуждение (создатель удалённых в результате инцидента пакетов, использовал приложения с отрытым исходным кодом от других авторов, подставив в него код майнера, скрыв наличие данной функциональности от пользователей и представив пакет как собственную проприетарную разработку). Одним из сложных аспектов в поддержании репозиториев является предоставление гарантий, … Читать далее Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store

В скрипте интеграции с NetworkManager, входящем в состав пакета dhcp-client, предлагаемого в Red Hat Enterprise Linux и Fedora, выявлена критическая уязвимость (CVE-2018-1111), которая позволяет удалённо выполнить код с правами root. Проблема может быть эксплуатирована при обработке специально оформленного DHCP-ответа в системах c NetworkManager, настроенных на получение конфигурации сети через протокол DHCP. Проблеме присвоен наивысший уровень опасности. Для атаки злоумышленникам необходимо разместить в локальной сети собственный DHCP-сервер, получить контроль за штатным DHCP-сервером или выполнить спуфинг отправляемых клиенту DHCP-пакетов. Пользователь также может быть атакован при попытке подключения к незаслуживающей полного доверия беспроводной сети. Уязвимость присутствует в скрипте /etc/NetworkManager/dispatcher.d/11-dhclient (или 10-dhclient в RHEL … Читать далее Удалённая root-уязвимость в DHCP-клиенте из состава RHEL и Fedora

В файловый менеджер Nautilus принято изменение, запрещающее запуск исполняемых файлов и приложений. Двойной клик на пиктограмме приложения теперь не будет приводить к запуску. По мнению разработчиков, после того как в прошлом году из GNOME была убрана возможность размещения пиктограмм на рабочем столе, функция запуска программ через Nautilus потеряла смысл, так как она в основном применялась для запуска приложений и desktop-файлов с рабочего стола. Кроме того, GNOME движется в сторону построения системы с приложениями в изолированных контейнерах, для которой требуется использование централизованных механизмов запуска, действующих во всей системе (программы рекомендуется запускать через предоставляемый в GNOME интерфейс запуска приложений). В качестве причины … Читать далее Из файлового менеджера GNOME будет удалена возможность запуска исполняемых файлов

Фонд Свободного ПО представил программатор Zerocat Chipflasher «board-edition-1», получивший сертификат «Respect Your Freedom«, который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством. Основным назначением Zerocat Chipflasher является перепрошивка устройств для замены проприетарных компонентов на свободные аналоги. В том числе Chipflasher подходит для замены проприетарных загрузчиков и прошивок в ноутбуках, на свободное ПО, такое как Libreboot. Из ранее сертифицированных устройств можно отметить Gluglug X60 (Lenovo ThinkPad X60), Libreboot X200 (Lenovo ThinkPad X200), Taurinus X200 (Lenovo ThinkPad X200), Libreboot T400 (Lenovo ThinkPad T400), … Читать далее Фонд свободного ПО сертифицировал программатор Zerocat Chipflasher

Разработчики проекта openSUSE представили транзакционные обновления (Transactional Updates), новую значительную возможность дистрибутива, которая будет предложена в выпуске openSUSE Leap 15, намеченном на 25 мая. Транзакционные обновления позволяют обновить операционную систему и связанные с ней пакеты в атомарном режиме, без раздельного применения новой версии каждого пакета. Атомарное обновление может устанавливаться на работающей системе не влияя на выполнение текущих задач, но чтобы доставленные в процессе обновления изменения подействовали требуется перезагрузка. В случае сбоя в процессе обновления или при выявлении проблем после завершения обновления все производимые в рамках данной транзакции операции игнорируются и никак не влияют на состояние системы. Ключевым отличием реализованного в … Читать далее В openSUSE Leap появится поддержка атомарного обновления системы

Исследователи раскрыли (PDF) детали уязвимости системах шифрования электронной почты, не дожидаясь намеченного времени публикации. В целом, предположения разработчиков GnuGP оказались верными, а предупреждение о критичности слишком преувеличенными. Предложено два варианта MITM-атаки на почтовые клиенты с поддержкой HTML, которые автоматически загружают данные из внешних ресурсов (например, картинки и CSS). Первый вариант атаки производится через модификацию транзитного сообщения, в которое подставляется обращение к внешниму ресурсу при помощи тегов «img» или «style», подставляемых в незашифрованные части HTML-писем (MIME-заголовки). Обращающийся к внешнему хосту атакующего тег открывается до начала шифрованного MIME-блока, а закрывается после него (см. пример ниже). Почтовый клиент с проблемным MIME-парсером при открытии … Читать далее Подробности атаки на шифрование PGP и S/MIME в почтовых клиентах

Себастьян Шинцель (Sebastian Schinzel), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки DROWN), предупредил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе отправленных ранее зашифрованных писем. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC). Проблемам присвоено имя Efail. Правозащитная организация Electronic Frontier Foundation (EFF) подтвердила, что выявленные уязвимости относятся к разряду наиболее критических проблем и представляют серьёзных риск для пользователей шифрованных коммуникаций по электронной почте, особенно так как проблемы позволяют получить доступ … Читать далее Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME (дополнено)

Представлен релиз двухпанельного файлового менеджера Кrusader 2.7.0, построенного с использованием Qt5, технологий KDE и библиотек KDE Frameworks 5. В Кrusader имеется поддержка архивов (ace, arj, bzip2, gzip, iso, lha, rar, rpm, tar, zip, 7zip), проверки контрольных сумм (md5, sha1, sha256-512, crc и т.п.), обращения к внешним ресурсам (FTP, SAMBA, SFTP, SCP) и функции массового переименования по маске. Присутствуют встроенные менеджер для монтирования разделов, эмулятор терминала, текстовый редактор и просмотрщик содержимого файлов. В интерфейсе поддерживаются вкладки, закладки, инструменты для сравнения и синхронизации содержимого каталогов. Основные изменения: В меню Bookmark добавлена опция для быстрого поиска закладок. Для поиска достаточно начать набор символов, … Читать далее Выпуск двухпанельного файлового менеджера Krusader 2.7

Себастьян Шинцель (Sebastian Schinzel), авторитетный немецкий эксперт по компьютерной безопасности (один из авторов атаки DROWN), предупредил о выявлении критических уязвимостей в системах шифрования почтовой переписки, основанных на использовании PGP/GPG и S/MIME. Проблемы позволяют определить исходный открытый текст шифрованных писем, в том числе отправленных ранее зашифрованных писем. В настоящее время доступно лишь общее предупреждение, детали будут раскрыты 15 мая в 7 утра (UTC). Проблемам присвоено имя Efail. Правозащитная организация Electronic Frontier Foundation (EFF) подтвердила, что выявленные уязвимости относятся к разряду наиболее критических проблем и представляют серьёзных риск для пользователей шифрованных коммуникаций по электронной почте, особенно так как проблемы позволяют получить доступ … Читать далее Критическая уязвимость в системах шифрования email на основе PGP/GPG и S/MIME

Сформирован первый бета-выпуск FreeBSD 11.2. Выпуск FreeBSD 11.2-BETA1 доступен для архитектур amd64, i386, powerpc, powerpc64, sparc64, aarch64 и armv6 (BEAGLEBONE, CUBIEBOARD, CUBIEBOARD2, CUBOX-HUMMINGBOARD, RPI-B, RPI2, PANDABOARD, WANDBOARD). Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2. Релиз FreeBSD 11.2 запланирован на 27 июня. Среди основных изменений: В утилиту crontab добавлена опция «-f» для принудительного удаления файла crontab при использовании опции «-r» в неинтерактивном режиме (предотвращает случайное удаление при ошибочном указании «-r» в командной строке); В утилиту diskinfo добавлены флаги «-s» для отображения идентификатора диска (серийного номера) и «-p» для вывода физического пути (physpath) к … Читать далее Началось бета-тестирование FreeBSD 11.2

Состоялся релиз независимого легковесного Linux-дистрибутива CRUX 3.4, развиваемого с 2001 года в соответствии с концепцией KISS (Keep It Simple, Stupid) и ориентированного на опытных пользователей. Целью проекта является создание простого и прозрачного для пользователей дистрибутива, основанного на BSD-подобных скриптах инициализации, имеющего максимально упрощённую структуру и содержащего относительно небольшое число готовых бинарных пакетов. CRUX поддерживает систему портов, позволяющую легко устанавливать и обновлять приложения в стиле FreeBSD/Gentoo. Размер iso-образа, подготовленного для архитектуры x86-64, составляет 777 Мб. В новом выпуске обновлены версии системных компонентов, включая ядро Linux 4.14.40, glibc 2.27, GCC 7.3.0 и binutils 2.29.1. Графический стек обновлён до xorg-server 1.20.0. Загрузочный iso-образ … Читать далее Выпуск Linux-дистрибутива CRUX 3.4

Пользователи Ubuntu обратили внимание на наличие в snap-пакете 2048buntu, распространяемом через Ubuntu Snap Store, встроенного кода для майнинга криптовалюты. Дальнейшее разбирательство показало, что аналогичный вредоносный код присутствует и в других пакетах автора Nicolas Tomb, в частности проблема присутствует в пакете hextris. После поступления сообщения о проблеме вредоносные пакеты были удалены из репозитория. Инициировано проведение расследования инцидента, результаты которого и сделанные выводы пока не опубликованы. Ожидается, что случай с вредоносными пакетами заставит Canonical пересмотреть политику включения и рецензирования программ в Ubuntu Snap Store. Сейчас разместить пакет в каталоге может любой желающий. Код майнинга был камуфлирован под процесс systemd и поставлялся как … Читать далее В Ubuntu Snap Store и Chrome Web Store выявлены вредоносные пакеты