Лаборатория Armis раскрыла сведения о серии уязвимостей под кодовым именем BlueBorne, охватывающих Bluetooth-стеки Linux, Android, iOS и Windows. По имнению Марка Кокса (Mark J. Cox), возглавляющего команду, занимающуюся решением проблем безопасности в продуктах Red Hat, выявленная проблема может претендовать на звание самой опасной уязвимости в Linux за последние 18 лет. Проблема позволяет организовать выполнение кода с привилегиями ядра на широком спектре устройств с включенной поддержкой Bluetooth через отправку в эфир специально оформленных пакетов. Атака может быть проведена скрыто без необходимости сопряжения устройств, перевода в режим доступности для обнаружения или выполнения каких-либо действий со стороны пользователя. Для атаки достаточно, чтобы на … Читать далее BlueBorne — опаснейшая удалённая уязвимость в Bluetooth

Состоялся релиз текстового редактора GNU Emacs 25.3, развиваемого проектом GNU. Вплоть до выпуска GNU Emacs 24.5 проект развивался под личным руководством Ричарда Столлмана, который передал пост лидера проекта другому участнику только осенью 2015 года. Выпуск носит внеплановый характер и экстренно подготовлен для устранения опасной уязвимости, которая позволяет организовать выполнение кода при разборе текста c разметкой «Enriched Text» (RFC 1896). Так как почтовые клиенты на базе Emacs по умолчанию выполняют декодирование сообщений с «Content-Type: text/enriched», то уязвимость можно эксплуатировать удалённо путем отправки пользователю специально оформленного сообщения. Уязвимость вызвана ошибкой в обработчике ‘x-display’, при помощи которого осуществляется подстановка параметров ‘display’, которые, в … Читать далее В Emacs 25.3 устранена опасная уязвимость

Для включения в ночные сборки Firefox, которые лягут в основу выпуска Firefox 57, готовится реализация нового оформления инструментов для разработчиков (Developer Tools). Наиболее заметным изменением стала новая упрощённая навигационная панель с элементами в виде вкладок и визуальное выделение центрального блока с кодом по отношению к панелям. Также проведён кардинальный пересмотр цветовой схемы, используемой при подсветке синтаксиса HTML и JavaScript. Красный цвет теперь закреплён только за ошибками. Убраны слишком кричащие цвета в пользу умеренной тёплой цветовой гаммы. Увеличена читаемость кода. Было (светлая тема): Стало (светлая тема): Было (тёмная тема): Стало (тёмная тема): Читать далее В Firefox будет обновлено оформление средств для разработчиков

Исследователи безопасности из компании Cisco предупредили о фиксации новой волны атак на системы, использующие уязвимые версии Apache Struts. Для получения контроля над системами в атаках используется обнародованная несколько дней назад критическая уязвимость (CVE-2017-9805), позволяющая выполнить код на сервере. В зафиксированной вредоносной активности преобладают POST-запросы к ресурсу /struts2-rest-showcase/orders/3 с отправкой информации об уязвимой системе на хосты wildkind.ru и st2buzgajl.alifuzz.com. Кроме того, сообщается о подверженности уязвимостям в Apache Struts многих продуктов Cisco, в которых применяется данный фреймворк. Уязвимость подтверждена в продуктах Cisco Digital Media Manager, Cisco MXE 3500 Series Media Experience Engines, Cisco Unified Contact Center Enterprise, Cisco Unified Intelligent Contact Management … Читать далее Уязвимость в Apache Struts может затрагивать различные продукты Cisco

Представлен выпуск новой стабильной ветки WebKitGTK+ 2.18.0, порта браузерного движка WebKit для платформы GTK+. WebKitGTK+ позволяет использовать все возможности WebKit через GNOME-ориентированный программный интерфейс на основе GObject и может применяться для интеграции средств обработки web-контента в любые приложения, от использования в специализированных HTML/CSS-парсерах, до создания полнофункциональных web-браузеров. Из известных проектов, использующих WebKitGTK+, можно отметить Midori и штатный браузер GNOME (Epiphany). Ключевые изменения: Начальная поддержка API WebDriver, предоставляющего интерфейс для организации проведения функционального тестирования web-приложений с учётом поведения реальных web-браузеров. WebDriver даёт возможность сформировать автоматизированный набор тестов, контролирующих поведение браузера и позволяющих симулировать такие действия, как нажатия клавиш, работу с мышью, … Читать далее Выпуск браузерного движка WebKitGTK+ 2.18

Доступен релиз Vagrant 2.0, инструментария для упрощения формирования, установки и управления образами виртуальных машин при разработке и тестировании проектов с использованием различных систем виртуализации. Предоставляются средства интеграции с VirtualBox, VMware, AWS, Google Cloud Platform, OpenStack, Hyper-V, Docker и LXC. Код проекта распространяется под лицензией MIT. В рамках сервиса Vagrant Cloud развивается каталог готовых образов на базе разных систем. Vagrant позволяет без лишних усложнений, используя единый конфигурационный файл, сгенерировать готовое к работе окружение для разработки, удовлетворяющее заданным параметрам. Окружения можно создавать на базе различных операционных систем, в том числе Windows, macOS, Ubuntu, Debian, Red Hat Enterprise Linux, CentOS, Arch Linux и … Читать далее Выпуск Vagrant 2.0, инструментария для создания виртуальных окружений

Бюро кредитных историй Equifax обнародовало информацию о взломе, в результате которого в руки атакующих попали персональные данные 143 млн жителей США (44% населения США). Информация включает в себя имена, номера социального страхования, даты рождения, адреса и номера водительский удостоверений. Примерно для 209 тысяч человек дополнительно были получены номера кредитных карт, а для 182 тысяч — документы, связанные с урегулированием кредитных споров. Данные о кредитной истории, финансовых операциях и платежах не пострадали, так как хранились в не затронутой в результате атаки БД. В отчёте компании William Baird Co. утверждается, что взлом был совершён через уязвимость в web-фреймворке Apache Struts, который применяется … Читать далее Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев

8 сентября вступило в силу предписание, в соответствии с которым удостоверяющие центры должны обязательно проверять CAA-записи в DNS перед генерацией сертификата. CAA (RFC-6844, Certificate Authority Authorization) позволяет владельцу домена явно определить удостоверяющий центр, через который можно генерировать сертификаты для указанного домена. Если удостоверяющий центр не перечислен в записях CAA, то он обязан блокировать выдачу сертификатов для данного домена и информировать владельца домена о попытках компрометации. Пример настройки CAA можно посмотреть в данной заметке. Автоматически сформировать DNS-записи с CAA можно через специально подготовленный web-интерфейс. Читать далее Вступили в силу требования к удостоверяющим центрам по проверке CAA-записей в DNS

В кодовую базу Chromium 63 принято изменение с реализацией техники выявления попыток перехвата трафика HTTPS, в результате активности вредоносного ПО или MITM-прокси. В качестве признака для вывода предупреждения используется аномально большое число ошибок SSL-соединений для разных сайтов за короткий промежуток времени, т.е. метод выявляет факты грубой подмены, в результате которой возникают ошибки SSL и соединение помечается как небезопасное. Основное отличие от предупреждения о небезопасном соединении заключается в том, что пользователь информируется о возможной локальной MITM-атаке, которая не связана с проблемами настройки HTTPS на конкретном внешнем сайте. Метод уже доступен для тестирования в Chrome Canary и активируется при запуске браузера с … Читать далее В Chrome 63 появятся средства информирования о попытках перехвата HTTPS

Facebook и Microsoft выступили с инициативой по унификации обмена моделями между разными фреймвроками машинного обучения и системами искусственного интеллекта. Итогом стала разработка открытого формата ONNX (Open Neural Network Exchange) для представления моделей глубинного машинного обучения. Эталонная реализация ONNX написана на языке Python и распространяется под лицензией MIT. В настоящее время возникают ситуации, когда в процессе экспериментов используются те или иные специфичные возможности определённых фреймворков, но при создании конечного продукта требования изменяются и возникает потребность в задействовании иных возможностей или преодолении ограничений. Необходимости возможности предоставляются в других фреймворках, но адаптация для них созданной модели машинного обучения становится трудной задачей, требующей большого … Читать далее Facebook и Microsoft предложили открытый формат обмена моделями машинного обучения

Компания Blackmagic Design, специализирующаяся на производстве профессиональных видеокамер и систем обработки видео, представила выпуск профессиональной системы цветокоррекции и нелинейного монтажа DaVinci Resolve 14, используемой многими известными голливудскими киностудиями в процессе производства фильмов, сериалов, рекламных роликов, телепрограмм и видеоклипов. DaVinci Resolve объединяет в одном приложении средства для монтажа, установки цвета, наложения звука, финальной обработки и создания конечного продукта. Сборки DaVinci Resolve подготовлены для Linux, Windows и macOS. Для загрузки требуется регистрация. Бесплатная версия имеет ограничения связанные с выпуском продукции для коммерческого кинопоказа в кинотеатрах (монтаж и цветокоррекция 3D-кино, сверхвысокие разрешения и т.п.), но не ограничивает базовые возможности пакета, поддержку профессиональных форматов … Читать далее Релиз профессионального видеоредактора DaVinci Resolve 14

Компания Red Hat представила новый проект AWX, в рамках которого открыты наработки, лежащие в основе продукта Ansible Tower, web-интерфейса для управления серверной инфраструктуры на базе системы Ansible. Код открыт под лицензией Apache 2.0. AWX предоставляет простой интерфейс для централизованного управления инфраструктурой серверов или облачных окружений и автоматизации выполнения типовых задач, таких как установка новых программ, доставка обновлений, оркестровка, инвентаризация, контроль безопасности, запуск команд и изменение настроек на большом числе серверов. Особенностью интерфейса является наглядное представление информации и выскоуровневый подход, не требующий наличия навыков программирования и знания особенностей Ansible для решения своих задач. Для интеграции с другими системами предлагается REST API … Читать далее Red Hat представил проект AWX, в рамках которого открыт код Ansible Tower

Вышел релиз X.org-драйвера xf86-video-amdgpu 1.4.0, который является форком драйвера xf86-video-ati, адаптированным для работы поверх интегрированного в состав ядра Linux модуля AMDGPU, который также служит основой для нового гибридного драйвера AMDGPU-PRO. Драйвер xf86-video-amdgpu ориентирован на использование с такими семействами GPU, как Tonga, Carrizo, Iceland, Fiji и Stoney. Код для поддержки старых GPU, которые не могут работать с модулем amdgpu исключён из кодовой базы драйвера. Одновременно выпущена новая версия свободного X.Org-драйвера xf86-video-ati 7.10.0, который остаётся актуален в свете отсутствия обновлений для legacy-веток проприетарного драйвера Catalyst, что мешает использованию устаревших карт AMD с новыми выпусками X-сервера. Для взаимодействия с оборудованием используется DRM-модуль ядра … Читать далее Релиз свободных видеодрайверов xf86-video-ati 7.10.0 и xf86-video-amdgpu 1.4.0

Состоялся релиз языка системного программирования Nim 0.17.2, нацеленного обеспечение высокой производительности, переносимости и выразительности кода. Язык использует статическую типизацию и создан с оглядкой на Pascal, C++, Python и Lisp. Код проекта поставляется под лицензией MIT. Кроме того, доступен релиз пакетного менеджера nimble 0.8.8, применяемого для распространения модулей на языке Nim, а также запущен новый раздел документации. Исходный код на языке Nim компилируется в представление на C, C++ или JavaScript. В дальнейшем полученный C/C++ код компилируется в исполняемый файл при помощи любого доступного компилятора (clang, gcc, icc, Visual C++), что позволяет добиться производительности близкой к Си, если не учитывать затраты на … Читать далее Новая версия языка программирования Nim 0.17.2

После полутора лет разработки сформирован релиз инструментария для организации работы изолированных контейнеров LXC 2.1. В состав инструментария LXC входит библиотека liblxc, набор утилит (lxc-create, lxc-start, lxc-stop, lxc-ls и т.п.), шаблоны для построения контейнеров и набор биндингов для различных языков программирования. Изоляция осуществляется при помощи штатных механизмов ядра Linux. Для изоляции процессов, сетевого стека ipc, uts и точек монтирования используется механизм пространств имён (namespaces). Для ограничения ресурсов применяются cgroups. Для понижения привилегий и ограничения доступа задействованы такие возможности ядра, как профили Apparmor и SELinux, политики Seccomp, Chroots (pivot_root) и capabilities. Ключевые изменения: Поддержка ограничения ресурсов через механизм rlimit. Настройка выполняется аналогично … Читать далее Выпуск системы управления контейнерами LXC 2.1

После шести месяцев разработки представлен релиз проекта LLVM 5.0 (Low Level Virtual Machine) — GCC-совместимого инструментария (компиляторы, оптимизаторы и генераторы кода), компилирующего программы в промежуточный биткод RISC-подобных виртуальных инструкций (низкоуровневая виртуальная машина с многоуровневой системой оптимизации). Сгенерированный псевдокод может быть преобразован при помощи JIT-компилятора в машинные инструкции непосредственно в момент выполнения программы. Напомним, что в соответствии с новой нумерацией версий осуществлён уход от разделения значительных и функциональных выпусков. В каждом функциональном обновлении теперь меняется первая цифра (например, весной следующего года состоится релиз LLVM 6.0.0). Для обеспечения совместимости с существующими системами разбора номеров версий LLVM корректирующие обновления, как и раньше приводят … Читать далее Релиз набора компиляторов LLVM 5.0

Компания SUSE представила релиз промышленного дистрибутива SUSE Linux Enterprise 12 SP3. Пакеты SUSE 12 SP3 уже использованы в качестве основы в поддерживаемом сообществом дистрибутиве openSUSE Leap 42.3. На основе платформы SUSE Linux Enterprise также сформированы такие продукты, как SUSE Linux Enterprise Server, SUSE Linux Enterprise Desktop, SUSE Linux Enterprise High Availability Extension, SUSE Linux Enterprise Point of Service и SUSE Linux Enterprise Real Time Extension. Дистрибутив можно загрузить и использовать бесплатно, но доступ к получению обновлений и исправлений ограничен 60-дневным пробным периодом. Выпуск доступен в сборках для архитектур x86_64, ARM64, Raspberry Pi, IBM POWER8 LE и IBM System z. Как … Читать далее Доступен дистрибутив SUSE Linux Enterprise 12 SP3

Представлен выпуск свободной системы нелинейного видеомонтажа OpenShot 2.4. Код проекта поставляется под лицензией GPLv3: интерфейс написан на Python и PyQt5, ядро обработки видео (libopenshot) написано на C++ и использует возможности пакета FFmpeg, интерактивная шкала времени написана с использованием HTML5, JavaScript и AngularJS. Для пользователей Ubuntu пакеты с последним выпуском OpenShot доступны через специально подготовленный PPA-репозиторий, для остальных дистрибутивов сформирована самодостаточная сборка в формате AppImage. Имеются сборки для Windows и macOS. Редактор отличается удобным и интуитивно понятным пользовательским интерфейсом, позволяющим редактировать видео даже начинающим пользователям. Программа поддерживает несколько десятков визуальных эффектов, дает возможность работы с многотрековыми монтажными шкалами с возможностью перемещения … Читать далее Выпуск свободного видеоредактора OpenShot 2.4

Комитет ISO по стандартизации языка C++ единогласно утвердил спецификацию C++1z в качестве международного стандарта «C++17». Представленные в спецификации возможности уже полностью поддерживаются в компиляторах GCC и Clang, а также частично реализованы в Intel C++ и Visual C++. Поддерживающие C++17 стандартные библиотеки реализованы в рамках проекта Boost. В следующие два месяца утверждённая спецификация будет находиться на стадии подготовки документа к публикации, на которой будет проведена работа по редакторской правке орфографических ошибок и опечаток. В начале ноября результирующий вариант документа будет направлен в ISO для публикации под формальным именем ISO/IEC 14882:2017. Тем временем, комитет уже начал работу над следующим стандартом C++20 (C++2a) … Читать далее Утверждён стандарт C++17

Алексей Иванов из компании Dropbox подготовил полезный отчёт о результатах оптимизации web-серверов, обеспечивающих работу сервиса Dropbox Edge Network, используемого как для отдачи чувствительных к задержкам метаданных, так и для передачи больших потоков данных (десятки тысяч транзакций и десятки гигабит в секунду). В материале затрагиваются вопросы оптимизации драйверов, привязки обработки прерываний к фиксированным ядрам CPU, параметров TLS, nginx, стека TCP/IP, ядра Linux, влияние компиляторов и библиотек. Для каждой возможной оптимизации рассматривается её эффективность и вклад в увеличение общей производительности и сокращение задержек. Читать далее Увеличение пропускной способности и минимизация задержек на серверах с nginx

Группа исследователей из Чжэцзянского университета (Китай) опубликовала технику атаки, позволяющую получить контроль за устройствами пользователей через передачу команд системам голосового управления в ультразвуковом диапазоне. В ходе исследования продемонсрированы практические способы скрытого управления через голосовые системы, такие как Google Now, Alexa, Siri, Samsung S Voice, Huawei HiVoice и Cortana, а также через автомобильные навигационные системы и платформы умного дома. Например, удалось скрыто инициировать открытие определённой страницы в браузере, совершить видео и аудио звонки, перевести смартфон в режим полёта, отключить звук, манипулировать навигационной системой в автомобиле и открыть дверь в умном доме. Из потенциальных вредоносных действий, которые могут быть проведены предложенным методом … Читать далее Атака на системы голосового управления через передачу команд в ультразвуковом диапазоне