Компания Google объявила об открытии исходных текстов проекта Seuratо, в рамках которого подготовлена реализация технологии упрощения 3D-сцен для снижения потребления ресурсов и ускорения процесса рендеринга. Код проекта написан на C++ и поставляется под лицензией Apache 2.0. С практической стороны Seuratо может использоваться для упрощения очень сложных 3D-сцен для их эффективной обработки на мобильных системах виртуальной реальности, предоставляющий шесть степеней свободы (6DoF). Работа Seurat сводится к преобразованию больших 3D-сцен, включающих миллионы треугольников, сложное освещение и шейдерные эффекты, в представление, состоящее из сотен тысяч треугольников, которые по силам отобразить на мобильных устройствах, ценой незначительной потери качества рендеринга (менее гладкие поверхности и небольшое … Читать далее Google открыл код Seuratо, системы оптимизации 3D-сцен

В маршрутизаторах GPON (Gigabit-capable Passive Optical Networks), выпускаемых различными производителями, выявлены критические уязвимости, позволяющие получить доступ к операциям в web-интерфейсе без прохождения аутентификации и запустить любые команды на устройстве. Первая уязвимость (CVE-2018-10561) даёт возможность обойти механизм аутентификации — для выполнения любых операции в web-интерфейсе достаточно добавить строку «?images/» к URL страницы (например, «/diag.html?images/» или «/GponForm/diag_FORM?images/»). Если запросить URL «/images/» то устройство перезагружается. Уязвимость присутствует в типовом HTTP-сервере, применяемом в различных моделях домашних GPON-маршрутизаторов. Вторая уязвимость (CVE-2018-10562) позволяет помимо штатных операций в web-интерфейсе выполнить любые команды в контексте операционной системы устройства. Уязвимость вызвана отсутствием должных проверок при выполнении операций ping и … Читать далее Уязвимости в маршрутизаторах GPON, которые уже используются для создания ботнета

Представлено третье обновление ветки SeaMonkey 2.49, построенной на основе Firefox 52 ESR. SeaMonkey объединяет в рамках одного продукта набор приложений для работы в сети, разрабатываемые под эгидой проекта Mozilla: web-браузер, почтовый клиент, систему агрегации новостных лент (RSS/Atom) и WYSIWYG-редактор html-страниц Composer. Пакет доступен в сборках для платформ Linux, Windows и macOS. Автоматическое обновление до версии SeaMonkey 2.49.3 не поддерживается, поэтому пользователям следует вручную установить новый выпуск поверх старого. Новый выпуск синхронизирован с кодовыми базами Firefox 52.7.3 и Thunderbird 52.7.0, и включает все доступные в них исправления. Читать далее Выпуск интегрированного набора интернет-приложений SeaMonkey 2.49.3

В маршрутизаторах GPON (Gigabit-capable Passive Optical Networks) для домашних сетей, выпускаемых различными производителями, выявлены критические уязвимости, позволяющие получить доступ к операциям в web-интерфейсе без прохождения аутентификации и запустить любые команды на устройстве. Первая уязвимость (CVE-2018-10561) даёт возможность обойти механизм аутентификации — для выполнения любых операции в web-интерфейсе достаточно добавить строку «?images/» к URL страницы (например, «/diag.html?images/» или «/GponForm/diag_FORM?images/»). Уязвимость присутствует в типовом HTTP-сервере, применяемом в различных моделях домашних GPON-маршрутизаторов. Вторая уязвимость (CVE-2018-10562) позволяет помимо штатных операций в web-интерфейсе выполнить любые команды в контексте операционной системы устройства. Уязвимость вызвана отсутствием должных проверок при выполнении операций ping и traceroute в форме /diag.html. … Читать далее Критические уязвимости в маршрутизаторах GPON

Британская вещательная корпорация (BBC) открыла код, разработанный в рамках проекта IP Studio для повышения пропускной способности систем потокового вещания через IP-сети. Разработка базируется на фреймворке Netmap и ориентирована на повышение пропускной способности в конфигурациях с 100-гигабитными каналами связи за счёт применения техники обхода штатных обработчиков пакетов сетевого стека ядра (‘kernel bypass’) и предоставления средств для прямой передачи пакетов между приложениями и сетевым оборудованием. В ходе экспериментов с разработкой программного продукта для потокового вещания инженеры BBC обратили внимание, что узким местом при обработке очень большого числа сетевых пакетов являются операции копирования пакетов в различные области памяти, которые в процессе обработки через … Читать далее Корпорация BBC открыла наработки по обработке сетевых пакетов в обход ядра Linux

GitHub инициировал процесс смены паролей у некоторых пользователей из-за ошибки, ставшей причиной того, что пароли в открытом виде отражались во внутренних логах на серверах сервиса. Ошибка была выявлена в ходе проведения планового аудита инфраструктуры. Утверждается, что доступ к проблемным логам был лишь у ограниченного числа сотрудников GitHub. Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время. Остальные пользователи не пострадали и их пароли хранятся на серверах GitHub только в виде хэша, созданного при помощи алгоритма bcrypt. Дополнение: Об аналогичной проблеме с сохранением открытых паролей в логах объявил Twitter. Читать далее GitHub и Twitter по ошибке сохраняли открытые пароли в логе

Рафаэль Авила де Эспиндола (Rafael Avila de Espindola), один из ключевых разработчиков LLVM, объявил об уходе из проекта. Рафаэль участвует в проекте с 2006 года и занимает пятое место по числу внесённых изменений (4344 коммита). В качестве причины называется несогласие с недавно принятым кодексом поведения (Code of Conduct), который на словах утверждает, что сообщество старается приветствовать людей всех политических убеждений, но ущемляет интересы тех, чьи убеждения не соответствуют принятому кодексу. Рафаэль заявил, что его этическим представлениям противоречит то, что LLVM ассоциирует себя с организацией Outreachy, которая открыто дискриминирует людей на основе их пола и происхождения (Outreachy выплачивает гранты для привлечения … Читать далее В знак несогласия с новым кодексом поведения LLVM покинул один из ведущих разработчиков

Исследователи из компании Checkpoint проанализировали использование техники маппинга областей памяти в драйверах из состава ядра Linux и выявили опасную уязвимость (CVE-2018-8781) в драйвере udl для устройств DisplayLink. Уязвимость позволяет непривилегированному пользователю, имеющему доступ к драйверу udldrmfb, организовать чтение и запись для любых областей памяти ядра Linux и может быть эксплуатирована для выполнения кода с правами ядра. Проблема проявляется в ядрах начиная с 3.4 и заканчивая 4.15. Исправление доступно в виде патча, который уже включён в состав ядер Linux 4.4.125, 4.9.90, 4.14.31 и 4.15.14. Обновления с исправлением проблемы выпущены для Debian, Ubuntu, Fedora, SUSE. Читать далее Уязвимость в драйвере DisplayLink, позволяющая выполнить код в контексте ядра Linux

Раскрыта информация об обнаружении 8 новых уязвимостей в механизме спекулятивного выполнение инструкций в процессорах Intel. По предварительным данным проблемы также затрагивают некоторые процессоры ARM и возможно процессоры AMD, но исследование в этой области пока не завершено. Уязвимости продолжают развитие идей по восстановлению данных, оставшихся в процессорном кэше в результате активности блока предсказания переходов, ставших известными под именем Spectre и позднее получивших развитие в атаках SpectrePrime, SgxPectre и BranchScope. Информация о проблемах уже передана компании Intel, которая намерена выпустить два набора исправлений — первый в мае, а второй в августе. Кроме Intel в это же время ожидается публикация исправлений от Microsoft … Читать далее Представлена Spectre-NG, группа из 8 новых уязвимостей в процессорах

Администраторы репозитория NPM предупредили пользователей о выявлении бэкдора в популярном JavaScript-пакете mailparser, который используется как зависимость в 213 пакетах и насчитывает около 64 тысяч еженедельных загрузок. Бэкдор был интегрирован в связанный зависимостями пакет getcookies и был закомуфлирован под видом библиотеки для работы с браузерными Cookie. На деле в пакете getcookies присутствовал код для получения управляющих команд от удалённого атакующего через передачу специально оформленных данных в HTTP-заголовках. Бэкдор позволял загрузить и выполнить произвольный код на сервере, на котором выполняются web-приложения, использующие mailparser в качестве зависимости. Примечательно, что пакет mailparser помечен как устаревший и не поддерживаемый автором. Getcookies использовался в mailparser через … Читать далее Выявлена попытка включения бэкдора в популярный NPM-пакет mailparser

Компания NVIDIA представила первый выпуск новой стабильной ветки проприетарного драйвера NVIDIA 396.24. Драйвер доступен для Linux (ARM, x86_64), FreeBSD (x86_64) и Solaris (x86_64). Начиная с ветки 396.x выпуск 32-разрядных драйверов прекращён и поддержка новых GPU теперь осуществляться только в 64-разрядных драйверах. Основные новшества: Добавлена поддержка GPU GeForce GTX 1050 с Max-Q Design, Quadro GV100, Quadro P3200, Quadro P4200, Tesla V100-SXM2-32GB, Tesla V100-PCIE-32GB, Tesla V100-DGXS-32GB и Tesla V100-FHHL-16GB; Добавлена поддержка X.Org xserver ABI 24 (xorg-server 1.20); Для API Vulkan добавлен новый оптимизированный компилятор промежуточного представления шейдеров SPIR-V, примечательный уменьшением потребления памяти и сокращением времени компиляции шейдеров. Новый компилятор включен по умолчанию, … Читать далее Выпуск проприетарного драйвера NVIDIA 396.24

Представлен релиз платформы Electron 2.0.0, которая предоставляет самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Выпуск 2.0.0 ознаменовал переход к новой схеме нумерации версий, соответствующей принципу семантического версионирования. Значительные выпуски теперь будут выпускаться чаще и будут связываться с обновлениями движка Chromium. В промежутке между значительными обновлениями будут формироваться корректирующие выпуски, в которые будут включаться только исправления ошибок. Для более качественной стабилизации значительных выпусков разработчики скооперировались с некоторыми крупными проектами на базе Electron, которые теперь используются для предварительной обкатки бета-выпусков. Напомним, что Electron позволяет создавать любые графические приложения с использованием браузерных технологий, логика … Читать далее Релиз Electron 2.0.0, платформы создания приложений на базе движка Chromium

Компания Google представила проект gVisor, в рамках которого подготовлен новый открытый runtime для обеспечения изолированного запуска контейнеров, соответствующих требованиям спецификации Open Container Initiative (OCI). gVisor может применяться в качестве слоя в Docker и Kubernetes, заменяя предлагаемый в них штатный runtime. Код gVisor написан на языке Go и поставляется под лицензией Apache 2.0. При разработке gVisor была поставлена задача создания решения для выполнения контейнеров более легковесного чем системы виртуализации, но обеспечивающего сходный с ними уровень изоляции. Ключевым компонентом gVisor является собственное ядро, которое написано на языке Go и реализует большинство системных вызовов ядра Linux. Язык Go выбран для обеспечения дополнительной защиты, … Читать далее Google открыл gVisor, гибрид системы виртуализации и контейнеров

После года разработки опубликован релиз свободного набора компиляторов GCC 8.1, первый значительный выпуск в новой ветке GCC 8.x. В соответствии с новой схемой нумерации выпусков, версия 8.0 использовалась в процессе разработки, а незадолго до выхода GCC 8.1 уже ответвилась ветка GCC 9.0, на базе которой будет сформирован следующий значительный релиз GCC 9.1. GCC 8.1 примечателен реализацией некоторых возможностей будущего стандарта C++20 (кодовое название C++2a), существенным расширением средств диагностики, значительным улучшением PGO-оптимизаций (Profile-guided optimization), включением в режиме «-O3» новых оптимизаций выполнения циклов, обеспечением поддержки SVE (Scalable Vector Extension) для архитектуры AArch64. Основные изменения: Добавлена экспериментальная поддержка части будущего стандарта C++2a. Для … Читать далее Релиз набора компиляторов GCC 8

GitHub инициировал процесс смены паролей у некоторых пользователей из-за ошибки, ставшей причиной того, что пароли в открытом виде отражались во внутренних логах на серверах сервиса. Ошибка была выявлена в ходе проведения планового аудита инфраструктуры. Утверждается, что доступ к проблемным логам был лишь у ограниченного числа сотрудников GitHub. Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время. Остальные пользователи не пострадали и их пароли хранятся на серверах GitHub только в виде хэша, созданного при помощи алгортима bcrypt. Читать далее GitHub по ошибке сохранял открытые пароли в логе

Представлены новые выпуски стабильной и экспериментальной веток свободного пакета для верстки документов Scribus — 1.4.7 и 1.5.4. Scribus предоставляет средства для профессиональной верстки печатных материалов, включая гибкие инструменты для генерации PDF и поддержку работы с раздельными цветовыми профилями, CMYK, плашечными цветами и ICC. Система написана с использованием тулкита Qt и поставляется под лицензией GPLv2+. Готовые бинарные сборки подготовлены (1.5.4, 1.4.7) для Linux (AppImage), macOS и Windows. Выпуск Scribus 1.4.7 продолжает развитие серии стабильных выпусков 1.4.x и развивается параллельно с экспериментальной веткой 1.5, бэкпортируя из неё некоторые исправления. В экспериментальной ветке развиваются такие возможности как новый интерфейс пользователя на базе Qt5, … Читать далее Новые версии свободного издательского пакета Scribus 1.4.7 и 1.5.4

Разработчики платформы Electron, позволяющей создавать обособленные приложения на основе движка Chromium и системы Node.js, объявили о реализации web-сервиса, позволяющего снабдить открытые приложения возможностью автоматической установки обновлений. Код серверных компонентов сервиса размещён на GitHub. Для разработчиков приложений подготовлен NPM-пакет с реализацией API для интеграции в программы средств для автоматической доставки обновлений. При появлении обновления пользователю выводится диалог с предложением перезагрузить программу для активации обновления или отложить применение обновления на потом. В отличие от уже доступного API autoUpdater, новый сервис не требует запуска своего web-сервера для размещения обновлений и метаданных, а позволяет загружать обновления напрямую из репозитория на GitHub. Читать далее Для платформы Electron представлен сервис автоматической доставки обновлений

Компания Google запустила общедоступную регистрацию доменов в новом домене первого уровня «.app«, ориентированном на размещение сайтов приложений и разработчиков программ. TLD «.app» станет первым публичным доменом первого уровня в котором допускается использование только защищённых соединений. В браузер Chrome встроена функция подстановки заголовка HSTS (Strict Transport Security) для открытия по умолчанию HTTPS на всех сайтах, использующих домены первого уровня .app. Кроме TLD «.app» принудительный проброс на HTTPS также выполняется для доменов «.google», «.dev», «.foo» и «.page», которые принадлежат компании Google и пока недоступны для общедоступной регистрации поддоменов (для «.dev» регистрацию планируется открыть в этом году). Читать далее Google представил домен первого уровня .app, на котором доступен только HTTPS

Раскрыты сведения об уязвимости (CVE-2018-1108) в реализации генератора случайных чисел, предлагаемого в ядре Linux. Уязвимость охватывает несколько проблем, выявленных в процессе аудита, проведённого инженерами компании Google. Найденные проблемы снижают уровень энтропии при инициализации и приводят к ужудшению качества генерации случайных чисел через /dev/urandom в процессе загрузки системы и спустя короткое время после загрузки (от нескольких секунд до минуты). Уязвимость проявляется только для ключей, создаваемых на раннем этапе загрузки (до стадии инициализации RNG crng_init=2), так как на данной стадии параметры случайных чисел не отвечают требованиям, предъявляемым для криптографических операций. Из проблем отмечается игнорирование некоторых источников энтропии на ранней стадии загрузки, ненадлежащее … Читать далее Уязвимость в генераторе случайных чисел ядра Linux

Компания Mozilla сообщила о намерении включить в выпуске Firefox 60, намеченном на 9 мая, отображения оплаченных спонсорами блоков на стартовой странице, показываемой при открытии новой вкладки. Ссылки на рекламные статьи будут показываться в разделе рекомендованного сервисом Pocket контента и будут явно помечены как реклама. На текущем этапе реклама станет показываться только для пользователей в США. Рекламные блоки можно будет отключить через настройки стартовой страницы. Интересно, что несколько лет назад в Firefox уже включался показ рекламы на стартовой странице. Показ рекламы был организован в ходе эксперимента по организации доступа к различным видам контента и изучения возможности ненавязчивой рекламы, уважающей интересы пользователей … Читать далее В Firefox 60 появится реклама на стартовой странице

Доступен корректирующий выпуск Python 2.7.15, в котором отражены внесённые с сентября прошлого года исправления ошибок. Во входящем в комплект модуле expat устранено 8 уязвимостей. Модуль ssl адаптирован для сборки с LibreSSL 2.7. Поддержка ветки Python 2.7 будет осуществляться до 2020 года. Выпуск следующей значительной ветки Python 3.7 ожидается 15 июня. Читать далее Выпуск Python 2.7.15