Разработчики Mozilla сообщили о включении в кодовую базу браузера Firefox 60, выпуск которого намечен на 9 мая, поддержки Cookie-атрибута SameSite, позволяющего web-разработчикам определять ситуации, в которых допустима передача Cookie при поступлении запроса со стороннего сайта. В настоящее время, браузер передаёт Cookie на любой запрос к сайту, для которого имеются выставленные Cookie, даже если изначально открыт другой сайт, а обращение осуществляется косвенно при помощи загрузки картинки или через iframe. Злоумышленники пользуются данной особенностью для организации CSRF-атак — при открытии подконтрольного атакующим ресурса с его страниц скрыто отправляется запрос на другой сайт, на котором аутентифицирован текущий пользователь, что позволяет, например, от имени … Читать далее В Firefox 60 появится защита от CSRF-атак

Спустя менее месяца с момента исправления прошлой критической проблемы в системе управления контентом Drupal выявлена новая уязвимость (CVE-2018-7602), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса. Проблема затрагивает ветки Drupal 7.x и 8.x. Опасность уязвимости усугубляет наличие в открытом доступе рабочего прототипа эксплоита и выявление фактов использования уязвимости для проведения атак по захвату управления сайтами на базе Drupal или внедрения на них вредоносных блоков, бэкдоров или кода для майнинга криптовалюты. Всем администраторам сайтов на базе Drupal рекомендуется незамедлительно установить обновление и провести анализ логов и файлов на предмет возможной компрометации. Для исправления уязвимости оперативно … Читать далее Новая критическая уязвимость в Drupal, уже используемая для совершения атак

Доступен релиз пользовательского окружения Cinnamon 3.8, в рамках которого сообществом разработчиков дистрибутива Linux Mint развивается форк оболочки GNOME Shell, файлового менеджера Nautilus и оконного менеджера Mutter, нацеленный на предоставление окружения в классическом стиле GNOME 2 c поддержкой удачных элементов взаимодействия из GNOME Shell. Cinnamon основывается на компонентах GNOME, но эти компоненты поставляются как периодически синхронизируемый форк, не связанный внешними зависимостями с GNOME. Новый выпуск Cinnamon будет предложен в следующем обновлении дистрибутива Linux Mint. Не дожидаясь новой версии пользователи Linux Mint и Ubuntu Linux смогут установить Cinnamon 3.8 через PPA-репозиторий (пока не обновлён). Основные новшества: Реализована возможность настройки максимальной громкости звука. … Читать далее Выпуск десктоп-окружения Cinnamon 3.8

Злоумышленники смогли используя протокол BGP успешно перенаправить трафик DNS-сервиса Amazon Route 53 на свой хост и на несколько часов подменить сайт MyEtherWallet.com с реализацией web-кошелька для криптовалюты Ethereum. На подготовленном атакующими клоне сайта MyEtherWallet была огранизована фишинг-атака, которая позволила за два часа украсть 215 ETH (около 137 тысяч долларов). Подстановка фиктивного маршрута была осуществлена от имени крупного американского интернет-провайдера eNet (AS 10297) в Колумбусе (Огайо). После BGP-анонса все пиры eNet, среди которых такие крупнейшие операторы, как Level 3, Hurricane Electric, Cogent и NTT, стали заворачивать трафик к Amazon Route 53 по заданному атакующими маршруту. Из-за фиктивного анонса BGP запросы к … Читать далее Для атаки на MyEtherWallet использовался захват DNS-сервиса Amazon при помощи BGP

Представлен релиз проекта QEMU 2.12. В качестве эмулятора QEMU позволяет запустить программу, собранную для одной аппаратной платформы, на системе с совершенно иной архитектурой, например, выполнить приложение для ARM на x86-совместимом ПК. В режиме виртуализации в QEMU производительность выполнения кода в изолированном окружении близка к нативной системе за счёт прямого выполнения инструкций на CPU и задействования гипервизора Xen или модуля KVM. Изначально проект был создан Фабрисом Белларом (Fabrice Bellard) с целью обеспечения возможности запуска собранных для платформы x86 исполняемых файлов Linux на архитектурах, отличных от x86. За годы разработки была добавлена поддержка полной эмуляции для 14 аппаратных архитектур, число эмулируемых аппаратных … Читать далее Релиз эмулятора QEMU 2.12.0

Анонсирован релиз Node.js 10.0.0, платформы для выполнения высокопроизводительных сетевых приложений на языке JavaScript. Node.js 10.0 относится к веткам с длительным сроком поддержки, но данный статус будет присвоен только в октябре, после проведения стабилизации. Обновления для LTS-веток выпускаются в течение 4 лет. Поддержка прошлой LTS-ветки Node.js 8.0 продлится до 2021 года, а позапрошлой LTS-ветки 6.0 до 2020 года. Поддержка промежуточной ветки Node.js 9.0 будет прекращена в июле 2018 года. Среди улучшений в Node.js 10.0: Обновление движка V8 до версии 6.6. В новой версии отмечается оптимизация производительности асинхронных операций, функций promises/async, методов работы с массивами и строками (Array.prototype.*, String.prototype.indexOf ). Более чем … Читать далее Выпуск серверной JavaScript-платформы Node.js 10 и пакетного менеджера NPM 6

Исследователи безопасности из групп fail0verflow и ReSwitched раскрыли информацию о методе эксплуатации уязвимости в игровой приставке Nintendo Switch, позволяющем обойти механизм верифицированной загрузки и запустить на устройстве любой код, в том числе установить Linux, модифицировать штатную прошивку или организовать выполнение нелицензионных игр. Уязвимость затрагивает аппаратную платформу NVIDIA Tegra X1, которая используется в приставке. Для загрузки доступно два работающих прототипа эксплоита и специализированная сборка Linux для установки на Nintendo Switch (возможна двойная загрузка Linux и Switch OS). В июне также планируется выпустить кастомизированный вариант штатной прошивки на базе FreeBSD, который развивается под кодовым именем Atmosphere. Примечательно, что уязвимость невозможно устранить через … Читать далее Опубликован метод обхода ограничений загрузчика игровой приставки Nintendo Switch

Доступен для тестирования четвёртый бета-выпуск почтового клиента Thunderbird 60, в котором осуществлён переход на технологию WebExtensions вместо XUL, задействован новый web-движок Quantum и адаптированы новые элементы интерфейса, предложенные пользователям в Firefox 57. Thunderbird 60 основан на находящейся в разработке кодовой базе следующего ESR-выпуска Firefox 60, релиз которого ожидается 9 мая. Среди интересных новшеств: Новое оформление интерфейса пользователя, основанное на макетах, подготовленных в рамках проекта Photon, в том числе задействованы прямоугольные кнопки для вкладок; Включение в состав основной кодовой базы Thunderbird календаря-планировщика Lightning. В календаре добавлена возможность копирования, вырезания и удаления выделенных записей или серий повторяющихся событий. Добавлена опция для отображения … Читать далее Бета-выпуск Thunderbird 60

Компания Oracle представила седьмое функциональное обновление для ядра Unbreakable Enterprise Kernel 4 (UEKR4U7). Исходные тексты ядра, включая разбивку на отдельные патчи, доступны в публичном Git-репозитории Oracle. Ядро распространяется в качестве альтернативы штатному пакету с ядром, поставляемому в Red Hat Enterprise Linux, и предоставляет ряд расширенных возможностей, таких как интеграция DTrace и улучшенная поддержка Btrfs. Пакеты с ядром подготовлены для Oracle Linux 6 и Oracle Linux 7. Ключевые улучшения: В реализацию протокола RDS (Reliable Datagram Sockets), позволяющего создавать сокеты для надёжной передачи датаграмм поверх TCP-линков, добавлена возможность использования адресов IPv6 (ранее в RDS поддерживался только IPv4); В DTrace реализованы контрольные проверки … Читать далее Компания Oracle выпустила ядро Unbreakable Enterprise Kernel R4U7

Разработчики проекта LXDE представили релиз файлового менеджера PCManFM 1.3.0 и связанной с ним библиотеки libfm. PCManFM поддерживает вкладки, совмещение вкладок в двухпанельное представление, обращение к удалённым директориям (ssh, sftp, webdav, smb и т.п.), режим Drag Drop, расширенные средства поиска, позволяет быстро перемещаться по типовым директориям через систему закладок. Изначально интерфейс PCManFM базируется на использовании GTK+, но библиотека libfm абстрагирует выполнение основных операций и позволяет интегрировать функции PCManFM в сторонние приложения и создавать варианты файлового менеджера на базе других тулкитов. В частности, существует порт PCManFM на базе Qt, но он уже около 5 лет не обновлялся. Ключевые новшества: Возможность отображения эмблем … Читать далее Выпуск файлового менеджера PCManFM 1.3.0, развиваемого проектом LXDE

Компания SalesPlatform выпустила новую версию платформы автоматизации бизнеса SalesPlatform Vtiger CRM 7.1.0-201803. SalesPlatform Vtiger CRM позволяет реализовать средства автоматизации продаж, в том числе формировать полный цикл первичных документов процесса продаж в соответствии с требованиями российского законодательства (Счета, Счета-фактуры, Накладные, Акты об оказанных услугах), а также предлагает дополнительные модули для управления складом, поддержки клиентов, управления проектами, интеграции с телефонией и т.п. Исходные тексты проекта распространяются под лицензией Vtiger Public License 1.2 (вариант Mozilla Public License 1.1). Ключевой функцией новой версии системы является встроенная интеграция с облачными АТС следующих провайдеров: Мегафон, Манго Офис, Телфин, WestCall, MCN Telecom, Sipuni, Uis, Zadarma, Гравител, Дом.ru, … Читать далее Новая версия SalesPlatform Vtiger CRM 7.1 интегрирована с тринадцатью облачными АТС

В свежих тестовых сборках Chrome Canary, на базе которых формируется релиз Chrome 68, появилась опция, позволяющая оценить находящийся в разработке новый модернизированный интерфейс пользователя, оформленный в стиле Material Design. Для включения нового интерфейса следует перейти на страницу «chrome://flags#top-chrome-md» и выбрать режим «Refresh». В новом интерфейсе изменена форма вкладок, которые теперь стали более компактными и поменяли форму — вместо трапециевидных кнопок предложены прямоугольники с закруглёнными углами. Из изменений также выделяется изменение кнопки открытия новой вкладки, вместо которой теперь показывается символ «+». В адресной строке скруглены углы и использован серый фон вместо белого. Индикатор профиля пользователя перемещён в основную панель рядом с … Читать далее В Chrome тестируют новое оформление интерфейса

Разработчики фреймворка Qt представили предварительную версию редакции Qt для WebAssembly. WebAssembly предоставляет не зависящий от браузера универсальный низкоуровневый промежуточный код для выполнения в браузере приложений, скомпилированных из различных языков программирования. Порт Qt для WebAssembly позволит компилировать графические приложения на базе Qt в виде модулей на WebAssembly, которые можно запускать непосредственно в web-браузере. Для компиляции предлагается использовать Emscripten, ветку Qt 5.11 и WebAssembly-порты QtBase и QtDeclarative. Читать далее Предварительный выпуск Qt для WebAssembly

Состоялся новый выпуск платформы для организации совместной работы с Git-репозиториями GitLab 10.7, которая по своим возможностям напоминает GitHub, но не привязана к конкретному сервису, распространяется в исходных текстах под свободной лицензией и позволяет развернуть web-сервис управления проектом на своём подконтрольном сервере. GitLab поддерживает создание отдельных проектов, отслеживание ошибок, обработку запросов на добавление кода (рабочий процесс основан на обработке merge-запросов), навигацию по веткам и тегам, контроль за изменениями, рецензирование кода, многоуровневое управление доступом, Wiki, обмен небольшими кусками кода, наглядный анализ различий между версиями кода, средства визуализации ветвления репозитория и многое другое. Код проекта написан на языке Ruby с использованием фреймворка Ruby … Читать далее В GitLab 10.7 открыт код Web IDE

Представлен выпуск тулкита Luminoth 0.1, предоставляющего инструменты для использования методов компьютерного зрения. В настоящее время функциональность Luminoth ограничена поддержкой распознавания и классификации объектов на изображениях и видео, но в будущем ожидается добавление новых методов обработки и анализа. Код проекта написан на языке Python и распространяется под лицензией BSD. Для организации работы нейронных сетей с реализациями алгоритмов выделения объектов в Luminoth используется платформа машинного обучения TensorFlow и библиотека построения сложных нейронных сетей Sonnet (работает поверх TensorFlow). Для ускорения работы нейронной сети возможно привлечение GPU или Google Cloud ML Engine. Предоставляются две модели определения объектов — Faster R-CNN и SSD (Single Shot … Читать далее Доступен Luminoth, тулкит для решения задач компьютерного зрения

Георг Готз (George Hotz), получивший известность разработкой способов обхода ограничений на установку дополнительного ПО на iPhone и Sony PlayStation 3, основал проект по разработке открытого компилятора и инструментария для современных DSP Hexagon, поставляемых в SoC Snapdragon компании Qualcomm. Для старых моделей Hexagon V4 и V5 доступен открытый инструментарий на базе GCC, но для новых серий Hexagon V60 поставляется только проприетарный Hexagon DSP SDK, основанный на LLVM (в LLVM 6.0 имеется штатный бэкенд с поддержкой v60, v62 и v65). Читать далее Проект по созданию открытого компилятора для Qualcomm Hexagon DSP

Представлен дистрибутив AV Linux 2018.4.2, содержащий подборку приложений для создания/обработки мультимедийного контента. Дистрибутив основан на пакетной базе Debian Testing и репозитории KXStudio с дополнительными пакетами собственной сборки (Polyphone, Shuriken, Simple Screen Recorder и т.п.). Пользовательское окружение основано на Xfce. Дистрибутив может функционировать в Live-режиме, размер iso-образа 3.5 Гб. Ядро Linux (4.9.76) поставляется с набором RT-патчей для увеличения отзывчивости системы во время выполнении работ, связанных с обработкой звука. В поставку входят звуковые редакторы Ardour ArdourVST, Harrison Mixbus, система 3D-проектирования Blender, редакторы видео Cinelerra, Openshot Kdenlive LiVES, Cinelerra, инструменты для преобразования мультимедийных форматов файлов. Для коммутации звуковых устройств предлагается JACK Audio Connection … Читать далее Вышел AV Linux 2018.4.2, дистрибутив для создания аудио и видео контента

Разработчики Ubuntu предложили внедрить новую схему тестирования находящихся в разработке релизов. Вместо периодического формирования тестовых выпусков (альфа, бета) всем редакциям Ubuntu предлагается перейти на проведение недель тестирования, в рамках которых совместно с пользователями будет организована работа по выявлению и устранению ошибок. Для загрузки при проведении подобных недель тестирования будут предлагаться штатные ежедневные сборки. Первые недели тестирования будут организованы в рамках подготовки выпуска Ubuntu 18.10. Разработчики Lubuntu, Xubuntu, Ubuntu MATE, Kubuntu и Ubuntu Budgie согласились отказаться от отдельных сборок Alpha и Beta 1 для Ubuntu 18.10 (Ubuntu Desktop и Server уже достаточно давно не выпускает альфа-сборки). По мнению авторов инициативы отдельные … Читать далее В Ubuntu предлагают перейти на недели тестирования вместо тестовых выпусков

После шести месяцев разработки доступен мультимедиа-пакет FFmpeg 4.0, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Новый выпуск примечателен поддержкой видеокодека AV1, возможностью сборки с LibreSSL, реализацией порции новых фильтров и появлением декодировщиков и кодировщиков, использующих для ускорения NVIDIA NVDEC и AMD AMF. Из изменений, добавленных в FFmpeg 4.0, можно выделить: Добавлена поддержка видеокодека нового поколения AV1, который развивается альянсом Open Media, в который входят Google, Microsoft, Apple, Mozilla, Facebook, Amazon, Intel, AMD, ARM, NVIDIA, Netflix … Читать далее Выпуск мультимедиа-пакета FFmpeg 4.0

Организация Creative Commons представила официальный перевод на русский язык набора лицензий Creative Commons 4.0, изначально выпущенного в 2013 году. Официальный перевод подготовлен после вступления в силу статьи 1286.1 Гражданского кодекса Российской Федерации, в которой введено понятие открытой лицензии на использование произведения науки, литературы или искусства. Перевод учитывает обозначенную в статье терминологию и оформлен в контексте определений открытых лицензий в российском законодательстве. Читать далее Опубликован официальный перевод лицензий Creative Commons 4.0

Компания Oracle анонсировала первый релиз проекта GraalVM, в рамках которого развивается универсальная виртуальная машина для запуска приложений, написанных на JavaScript (Node.js), Python, Ruby, R, любых языках для JVM (Java, Scala, Clojure, Kotlin) и языках для которых может формироваться биткод LLVM (C, C++, Rust). Код проекта распространяется под лицензией GPLv2. Несмотря на анонс от Oracle, выпуск GraalVM 1.0 пока имеет статус кандидата в релизы. GraalVM изначально развивалась как универсальная виртуальная машина, способная обеспечить высокопроизводительное выполнение кода на любых языках программирования и предоставляющая средства для организации взаимодействия между кодом на различных языках, дающая возможность создавать комбинированные приложения с компонентами на разных языках. … Читать далее Компания Oracle представила универсальную виртуальную машину GraalVM