Компания Oracle сформировала корректирующий релиз системы виртуализации VirtualBox 5.2.2, в котором отмечено 17 исправлений. В новой версии: В интерфейс пользователя внесены оптимизации, нацеленные на улучшение работы на экранах с высоким разрешением; В интерфейс добавлена функция дублирования образов оптических и floppy дисков; Улучшена работа интерфейса управления виртуальными накопителями; В звуковой подсистеме обеспечена возможность использования HDA в гостевых окружениях с экзотичными ОС, такими как Haiku; Налажена сборка модулей для хост-систем и гостевых окружений с ядром Linux 4.14; Улучшена обработка параметра с типом оконного менеджера (WM_CLASS) на хостах с X11; Устранена порция появившихся в ветке 5.2 регрессивных изменений, проявляющихся при работе гостевых систем … Читать далее Обновление VirtualBox 5.2.2

Разработчики Mozilla сообщили о начале работы по интеграции механизма вывода уведомлений об использовании потенциально скомпрометированных учётных записей. Проверка будет осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о почти 5 миллиардах учётных записей, похищенных в результате взломов 252 сайтов. Прототип механизма информирования пользователей о взломе пока развивается в форме дополнения BreachAlerts. В настоящее время функциональность дополнения ограничена выводом предупреждения при посещении сайтов, на которых ранее фиксировались взломы с утечкой учётных записей. Уведомление позволяет ввести свой email или имя пользователя и проверить не была ли скомпрометирована связанная с ними учётная запись. Список взломанных сайтов загружается на локальную систему через … Читать далее В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов

Спустя шесть лет с момента прошлого выпуска проект Openwall анонсировал релиз blists 2.0, компактного web-интерфейса для организации доступа к архивам почтовых рассылок, хранимых в проиндексированном mbox-файле. В поставку входит два приложения: bindex — утилита для генерации и обновления индекса для mbox-файлов, и bit — CGI-скрипт для генерации страниц на лету. Обе утилиты написаны на языке Си и отличаются низким потреблением ресурсов и высокой производительностью. Например, очень старый сервер не испытывает проблем с обработкой архива со списком рассылки разработчиков ядра Linux, размер mbox-файла с которым превысил 15 Гб. В новой версии: Добавлена возможность загрузки прикреплённых к письмам вложений (ранее отображались только … Читать далее Выпуск blists 2.0, web-интерфейса для просмотра списков рассылки

Изучив 433 тысячи сайтов, информация о которых собрана в рамках проекта HTTP Archive и доступа для анализа при помощи интерфейса BigQuery, исследователи обнаружили, что 77% из изученных сайтов используют как минимум одну JavaScript-библиотеку, содержащую известные уязвимости. 51.8% из этих сайтов содержат более одной уязвимости в библиотеках, а 9.2% более трёх уязвимостей. Наиболее часто встречаются уязвимые копии библиотеки jQuery, которая используется на 82.4% из всех проверенных сайтов. 92.5% из сайтов, использующих jQuery, содержат необновлённые уязвимые версии. На втором месте библиотека jQuery UI, которая применяется на 19.9% сайтов и 89.7% из используемых копий уязвимы. Далее следуют Moment.js — 73.0% уязвимых версий из … Читать далее 77% из 433 тысяч изученных сайтов используют уязвимые версии JavaScript-библиотек

После пяти месяцев разработки состоялся релиз легковесного окружения рабочего стола Lumina 1.4, развиваемого проектом TrueOS (бывший PC-BSD). Компоненты окружения написаны с использованием библиотеки Qt5 (без применения QML). Lumina придерживается классического подхода к организации пользовательского окружения. В состав входит рабочий стол, панель приложений, менеджер сеансов, меню приложений, система настройки параметров окружения, менеджер задач, системный лоток, система виртуальных рабочих столов. Код проекта написан на языке C++ и распространяется под лицензией BSD. Новый выпуск Lumina распространяется через систему портов FreeBSD и репозиторий TrueOS. В качестве оконного менеджера применяется Fluxbox, но в одном из следующих значительных выпусков планируется заменить его на оконный менеджер собственной … Читать далее Выпуск рабочего стола Lumina 1.4

Вышел релиз дистрибутива Kali Linux 2017.3, предназначенного для тестирования систем на предмет наличия уязвимостей, проведения аудита, анализа остаточной информации и выявления последствий атак злоумышленников. Все оригинальные наработки, созданные в рамках дистрибутива, распространяются под лицензией GPL и доступны через публичный Git-репозиторий. Для загрузки подготовлен полный iso-образ, размером 2.7 Гб. Сборки доступны для архитектур x86, x86_64, ARM (armhf и armel, Raspberry Pi, ARM Chromebook, Odroid). Помимо базовой сборки с GNOME и урезанной версии предлагаются варианты с Xfce, KDE, MATE, LXDE и Enlightenment e17. Kali включает одну из самых полных подборок инструментов для специалистов в области компьютерной безопасности: от средств для тестирования web-приложений … Читать далее Релиз дистрибутива для исследования безопасности систем Kali Linux 2017.3

Исследователи из Принстонского университета изучили 10 тысяч самых популярных сайтов по рейтингу Alexa и обнаружили, что на 1239 из них применяются сторонние скрипты для анализа поведения пользователей, которые в реальном режиме времени отслеживают нажатия клавиш, прокрутку экрана, движения мыши и клики, передавая сведения на сайт аналитики до окончания заполнения и отправки web-форм. Впоследствии, оператор подобных систем аналитики может повторно прокрутить сеанс, воссоздав все действия пользователя на странице. Среди сайтов, на которых применяются скрипты для записи действий во время сеанса работы со страницей, такие ресурсы как yandex.ru, wordpress.com, microsoft.com, adobe.com, godaddy.com, avito.ru, spotify.com, livejournal.com, hp.com, skype.com, evernote.com, samsung.com, sberbank.ru, reuters.com, bitbucket.org, … Читать далее Анализ средств отслеживания действий пользователей на сайтах

Пользователи дистрибутива Gentoo обратили внимание на регрессивное изменение в ядре Linux 4.14, которое может привести к повреждению содержимого файловой системы при использовании механизма BCache для кэширования доступа к медленным жестким дискам на быстрых SSD-накопителях. Исправление уже предложено для ядра Linux и будет включено в выпуск 4.14.2. Суть проблемы в том, что в ядре 4.14 в системе блочного ввода/вывода (bio) для указания информации о разделах было представлено новое поле bi_partno, вместо того чтобы использовать уже применяемый метод кодирования сведений в поле bi_bdev в структуре bdev-bd_contains. Функция __bio_clone_fast была адаптирована для копирования информации о диске, но некорректно обрабатывала информацию о разделах на … Читать далее Проблемы с BCache в ядре Linux 4.14 могут привести к повреждению данных

Компания Uber раскрыла информацию о произошедшем в октябре 2016 года инциденте, в результате которого злоумышленники получили доступ к данным в облаке Amazon AWS и смогли загрузить сведения о 600 тысячах водителей и 57 млн пассажиров сервиса. Взлом был произведён путём перехвата параметров входа в приватную секцию GitHub, в которой разрабатывалось программное обеспечения для работы сервиса. В составе кода атакующие нашли параметры аутентификации для Amazon AWS S3 и подключившись к ним смогли загрузить актуальные данные о пользователях и водителях. В загруженных данных фигурировали ФИО, номера водительских удостоверений (для водителей), email и номера телефонов. По заверению представителей Uber сведения о местоположении, история … Читать далее Uber раскрыл сведения об утечке персональных данных 57 млн пассажиров

Увидел свет проприетарный web-браузер Vivaldi 1.13, разрабатываемый на базе движка Chromium и продолжающий развитие идей классического браузера Opera, предоставляя широкий спектр возможностей, включая удобную систему группировки вкладок, боковую панель, конфигуратор с большим числом настроек, режим блокировки изображений и нежелательного контента, систему ведения заметок, режим горизонтального отображения вкладок. Интерфейс браузера написан на языке JavaScript с использованием библиотеки React, платформы Node.js, Browserify и различных готовых NPM-модулей. Сборки Vivaldi подготовлены для Linux, Windows и macOS. Для прошлых выпусков проект распространяет под открытой лицензией исходные тексты изменений к Chromium. Реализация интерфейса Vivaldi написана на JavaScript, доступна в исходных текстах, но под проприетарной лицензией. Основные … Читать далее Выпуск web-браузера Vivaldi 1.13

Доступен выпуск дистрибутива OpenMandriva Lx 3.03. Проект развивается силами сообщества после того как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации «OpenMandriva Association». Дистрибутив примечателен использованием по умолчанию компилятора Clang, инсталлятором на базе проекта Calamares и наличием пользовательского окружения LXQt. Для загрузки предлагается Live-сборка размером 2.3 Гб (x86_64, i586). Из изменений в OpenMandriva Lx 3.03 отмечается проведение работы по сокращению времени загрузки, как для стационарно установленных систем, так и для Live-сборок. Обновлены версии программ: KDE Plasma 5.10.5, KDE Applications 17.04.0, X.org Server 1.19.5, Wayland 1.14.0, Mesa 17.2.3, ядро Linux 4.13.12, systemd 234, LLVM/clang 5.0.0, gcc 7.2.1_2017.10, glibc 2.26, … Читать далее Выпуск дистрибутива OpenMandriva Lx 3.03

Представлен выпуск дистрибутива LXLE 16.04.3, ориентированного для использования на устаревших системах. Дистрибутив LXLE основан на наработках Ubuntu MinimalCD и пытается предоставить максимально легковесное решение, сочетающее поддержку устаревшего оборудования с современным пользовательским окружением. Необходимость в создании отдельного ответвления обусловлена желанием включения в состав дополнительных драйверов для старых систем и переработкой пользовательского окружения. Размер загрузочных iso-образов 1.6 Гб (x86_64, i386). Для навигации по Сети в дистрибутиве предлагается набор интернет-приложений SeaMonkey с дополнениями Lightning, Stylish, Bluhell firewall и FireFTP. Для обмена сообщениями поставляется uTox. Для установки обновлений применяется собственный менеджер обновлений uCareSystem, запускаемый при помощи cron с целью избавления от лишних фоновых процессов. … Читать далее Обновление дистрибутива LXLE 16.04.3

Состоялся релиз кроссплатформенного открытого генератора сценариев сборки CMake 3.10, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD. CMake примечателен предоставлением простого языка сценариев, средствами расширения функциональности через модули, минимальным числом зависимостей (нет привязки к M4, Perl или Python), поддержкой кэширования, наличием инструментов для кросс-компиляции, поддержкой генерации файлов сборки для широкого спектра систем сборки и компиляторов, наличием утилит ctest и cpack для определения сценариев тестирования и сборки пакетов, утилитой cmake-gui для интерактивной настройки параметров сборки. Основные улучшения: Добавлена поддержка flang, … Читать далее Релиз системы сборки CMake 3.10

Доступен выпуск основной ветки высокопроизводительного HTTP-сервера nginx 1.13.7, в котором реализованы следующие изменения: Исправлена ошибка передачи переменной $upstream_status, проявляющаяся в ситуациях, когда proxy_next_upstream содержит код ответа 503 и 504; Устранён крах рабочего процесса (segmentation fault), который мог произойти если бэкенд возвращал ответ «101 Switching Protocols» на подзапрос; Устранён крах рабочего процесса, который мог произойти если при переконфигурации изменялся размер зоны разделяемой памяти и переконфигурация завершалась неудачно; Исправлены ошибки в модуле ngx_http_fastcgi_module; Исправлена ошибка при которой nginx возвращал ошибку 500, если в директиве xslt_stylesheet были заданы параметры без использования переменных; Внесены изменения в nginx, решающие проблемы с использованием варианта библиотеки zlib … Читать далее Выпуск nginx 1.13.7

Представлен релиз торрент-клиента qBittorrent 4.0.0, написанного с использованием тулкита Qt и развиваемого как открытая альтернатива µTorrent, приближенная к нему по интерфейсу и функциональности. Среди реализованных новшеств: Новый набор пиктограмм, основанный на векторных изображениях в формате SVG, который в будущем сможет масштабироваться в зависимости от плотности пикселей на экране; Полностью прекращена поддержка Qt 4, в качестве минимальной версии заявлен Qt 5.5.1; Добавлен интерфейс для управления локальным списком заблокированных IP; Возможность определения пути для сохранения/чтения файлов конфигурации; Возможность передачи опций через переменные окружения, а не только через аргументы командной строки; Возможность слияния подкаталогов в многофайловых торрентах; Добавлен виджет для отображения путей файловой … Читать далее Релиз qBittorrent 4.0.0

По статистике NetTrack более 36% HTTPS-сайтов в сети используют сертификаты, выданные некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим. На текущий момент службой Let’s Encrypt выдано 46 млн сертификатов, охватывающих около 60 млн доменов. На втором месте удостоверяющий центр COMODO (19%), а на третьем GeoTrust (11%). Общая доля запросов страниц по HTTPS составила 65%, судя по статистике, полученной в рамках работы сервиса Firefox Telemetry. Для сравнения, два года назад при запуске проекта Let’s Encrypt этот показатель составлял 40%, а в начале 2017 года достиг значения в 50%.По статистике Google доля страниц, открытых по HTTPS, составляет … Читать далее Let’s Encrypt занял 36% рынка удостоверяющих центров

Опубликованы корректирующие выпуски Samba 4.7.3, 4.6.11 и 4.5.15, в которых устранены две уязвимости: CVE-2017-14746 — уязвимость, вызванная обращением к уже освобождённому блоку памяти, позволяет получить контроль за содержимым кучи через манипуляции с находящимся в освобождаемой области указателем. Через отправку специально оформленного запроса SMB1 атакующие потенциально могут выполнить код на сервере. В качестве обходного пути защиты рекомендуется запретить использование протокола SMB1, добавив в настройки «server min protocol = SMB2». Проблема проявляется во всех выпусках, начиная с Samba 4.0; CVE-2017-15275 — отсутствие очистки памяти перед применением структур данных может привести к утечке содержимого памяти серверного процесса (например, хэшей паролей и данных, используемых … Читать далее Обновление Samba 4.7.3, 4.6.11 и 4.5.15 с устранением уязвимостей

Состоялся релиз новой ветки NoScript 10, популярного дополнения для блокирования нежелательного JavaScript-кода. Выпуск примечателен переводом дополнения с XUL на WebExtension, что позволяет использовать его вместе с Firefox 57, в котором была прекращена поддержка XUL. Сопровождение прошлой ветки NoScript 5.x, базирующейся на XUL, планируется обеспечить до времени окончания поддержки ESR-ветки Firefox 52. Кроме перехода на WebExtension в новой версии NoScript реализована система блокирования скриптов на основе ограничений на загрузку ресурсов, определённых через правила CSP (Content Security Policy). Также рализован фильтр для противодействия XSS-атакам, учитывающий запросы через асинхронный API webRequest, и возможность по мере работы построения белого списка межсайтовых запросов. В режимы … Читать далее Выпуск Firefox-дополнения NoScript 10, переведённого на технологию WebExtension

Компания Intel объявила об устранении серии уязвимостей в различных версиях прошивок для подсистемы Intel ME (Management Engine) и связанных с ней компонентах Intel Trusted Execution Engine и Server Platform Service. Всего раскрыты данные о 10 новых уязвимостях, которые были выявлены в процессе проведения аудита безопасности Intel ME. Проблемы проявляются на системах с 6, 7 и 8 поколением процессоров Intel Core, в Intel Atom C3000, Atom E3900, Intel Pentium Apollo Lake и Celeron серии N и J, а также в серверных системах на базе Intel Xeon E3-1200 v5 и v6, Xeon W и Xeon Scalable. Всем пользователям рекомендовано установить обновление прошивки. … Читать далее Серия критических уязвимостей в Intel Management Engine

Представлены результаты изучения дублирования кода в общем объёме исходных текстов, размещённых на GitHub. Проанализировано 4.5 млн различных проектов (без форков репозиториев), включающих более 428 млн файлов с кодом на языках Java, C++, Python и JavaScript. Из этих файлов лишь 85 млн оказались уникальными, т.е. 80% кода на GitHub являются копиями других файлов. Определение дубликатов выполнялось несколькими методами: путём сравнения хэшей файлов (полные копии), хэшей сгруппированного набора токенов из файла (не учитывает форматирование и комментарии) и оценки частичного заимствования кода при помощи SourcererCC (определён отредактированный код с 80% общих токенов). Наиболее часто дубликаты встречаются в коде на языке JavaScript, для которого … Читать далее Анализ степени дублирования кода на GitHub

Линус Торвальдс не стесняясь в выражениях отверг заявку Кеса Кука (Kees Cook), предложившего включить в состав ядра 4.15 механизм защиты, блокирующий использование вызова usercopy при проведении некоторых видов атак. Суть предложенного метода в запрете применения usercopy для прямого копирования между пространством пользователя и некоторыми областями ядра с введением белого списка допустимых для использования областей памяти. Так как подобный подход потенциально может нарушить работу приложений, использующих usercopy, предусмотрен fallback-режим для kvm и sctp (ipv6). Линус в целом не отказался принять патч, но заявил, что не станет это делать в рамках цикла разработки 4.15, так как у него есть сомнения, что предложенные … Читать далее Линус Торвальдс раскритиковал ограничительные меры по усилению защиты ядра Linux