Компания Facebook сообщила, что не имеет возможности отказаться от применяемой ныне лицензии BSD с дополнительным соглашением об использовании патентов («BSD+Patent»). Представители Facebook пояснили, что отказ от текущего текста приложения о патентах приведёт к ослаблению защиты от патентных троллей и увеличению ресурсов, которые придётся тратить на отражение необоснованных патентных исков. Напомним, что в прошлом месяце Фонд Apache добавил «BSD+Patent» в список несовместимых лицензий, код под которыми не разрешается использовать в проектах Apache. До 31 августа проектам Apache предписано избавиться от зависимостей под лицензией «BSD+Patent», таких как JavaScript-фреймворк React, применяемый в том числе в Apache CouchDB. Как вариант выхода из сложившейся ситуации … Читать далее Facebook отказался перелицензировать React для проектов фонда Apache

Представлен корректирующий выпуск системы управления контентом Drupal 8.3.7 в котором устранены три уязвимости. Уязвимость CVE-2017-6925 отнесена к категории критических проблем и позволяет получить неавторизированный доступ к средствам для просмотра, создания, обновления и удаления объектов. Уязвимость проявляется только для объектов, которые не используются, которым не присвоен UUID или которые имею разные ограничения доступа в разных ревизиях. Вторая уязвимость CVE-2017-6923 отмечена как умеренно-критическая и позволяет получить доступ к представлениям, настроенным для обработки через Ajax, в обход заданным правилам доступа. Связанная с Ajax уязвимость также проявляется во многих сторонних модулях к Drupal 7 и 8, и позволяет получить данные, к которым ограничен публичный … Читать далее Уязвимости в системе управления web-контентом Drupal

Исследователи из Университета имени Давида Бен-Гуриона в Негеве (Израиль) на проходящей на днях конференции USENIX Security 2017 опубликовали результаты эксперимента по оценке возможности внедрения в смартфоны шпионских и вредоносных закладок через установку во время ремонта специально модифицированных деталей. В качестве подтверждения реалистичности подобных атак рассмотрена ситуация замены повреждённого экрана. Исследователями были подготовлены прототипы модифицированных экранов для смартфонов Huawei Nexus 6P и LG G Pad 7.0, в которые был встроен дополнительный чип, контролирующий коммуникационную шину I2C, по которой осуществляется передача данных от аппаратного компонента к драйверу. По аналогии с MITM атака классифицирована как CITM («Chip-In-The-Middle») и в контенте сенсорного экрана позволяет … Читать далее Получение контроля над смартфоном после ремонта через комплектующие

Компания Oracle поделилась планами о дальнейшей судьбе платформы Java EE (Java Platform Enterprise Edition). Отмечается, что работа над спецификацией Java EE 8 близка к завершению — компания намерена опубликовать эталонную реализацию Java EE 8 в этом месяце и представить её на конференции JavaOne 2017. В дальнейшем компания Oracle рассчитывает модернизировать модель разработки Java EE и сделать её по настоящему открытой платформой, не только с позиции доступности кода, но и в области участия сообщества в развитии платформы. Сейчас процесс разработки полностью подконтролен Oracle и не является достаточно гибким и открытым. В качестве основного варианта модернизации разработки рассматривается перемещение технологий Java EE, … Читать далее Компания Oracle намерена передать разработку Java EE независимому сообществу

Группа исследователей из Вашингтонского университета разработала метод создания сонара для отслеживания перемещения людей и определения положения предметов при помощи штатных микрофонов и громкоговорителей ноутбуков, ПК, смартфонов и различных потребительских устройств, таких как умные телевизоры, мультимедийные центры или персональные помощники (например, Amazon Alexa). Получив контроль за одним из подобных устройств атакующий может не только записывать разговоры, но и незаметно отслеживать активность людей в помещении при прослушивании ими специально изменённых музыкальных композиций. Техника атаки получила название CovertBand и основана на подстановке в воспроизводимые в помещении музыкальные композиции специальных высокочастотных периодических всплесков, которые не заметны на фоне музыки, но хорошо улавливаются микрофоном. На … Читать далее Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК

Состоялся релиз растрового графического редактора Krita 3.2, развиваемого для художников и иллюстраторов. Редактор поддерживает многослойную обработку изображений, предоставляет средства для работы с различными цветовыми моделями и обладает большим набором средств для цифровой живописи, создания скетчей и формирования текстур. Для установки подготовлены самодостаточные образы в форматах AppImage и Snap для Linux (для Ubuntu дополнительно подготовлен PPA), а также бинарные сборки для macOS и Windows. Ключевые улучшения: Предложен новый плагин gmic-qt, созданный и поддерживаемый разработчиками фреймворка для обработки изображений G’Mic. Плагин предоставляет большую подборку готовых фильтров для обработки изображений и является аналогом плагина для редактора GIMP, реализованным на базе нового универсального интерфейса … Читать далее Релиз растрового графического редактора Krita 3.2

Доступен релиз набора KDE Applications 17.08, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Набор KDE Applications пришёл на смену приложениям из состава KDE SC, которые теперь развиваются в рамках отдельного цикла разработки, не привязанного к веткам KDE, и выпускаются по новой схеме нумерации версий. Информацию о наличии Live-сборок с новым выпуском можно получить данной странице. KDE Applications 17.08 является последним выпуском, в котором допускается поставка приложений, использующих Qt4 и kdelibs4. В следующем выпуске программы не переведённые на Qt5 и KDE Frameworks 5 будут исключены из набора. Основные новшества: С kdelibs4 на использование KDE Frameworks 5 переведены … Читать далее Выпуск KDE Applications 17.08

Разработчики проекта Raspberry Pi опубликовали обновление дистрибутива Raspbian. Для загрузки подготовлены две сборки — сокращённая (348 Мб) для серверных систем и полная (1.6 Гб), поставляемая с пользовательским окружением PIXEL (ответвление от LXDE). Для установки из репозиториев доступно около 35 тысяч пакетов. Ключевым изменением в новой версии является обновление пакетной базы до Debian 9 «Stretch». Добавлена поддержка передачи звука через Bluetooth с использованием подсистемы ALSA и модуля bluez-alsa, что позволило отказаться от использования PulseAudio по умолчанию. Обеспечена корректная работа с именами пользователей, отличными от задаваемого по умолчанию пользователя «pi».Браузер Chromium обновлён до версии 60, в которой сокращено потребление памяти. В дистрибутиве … Читать далее Новый выпуск Raspbian, основанный на пакетной базе Debian 9

В протоколе CAN (Controller Area Network), применяемом во всех современных автомобилях для организации взаимодействия между электронными компонентами, выявлена концептуальная уязвимость, позволяющая деактивировать подключенные к CAN узлы, в том числе отвечающие за безопасность. Например, можно отключить подушки безопасности, ABS, освещение или парковочные датчики. Уязвимость может быть эксплуатирована как локально, так и удалённо. Локальная атака, которая не лишены смысла в условиях роста популярности каршеринга и аренды автомобилей, осуществляется через подключение к имеющимся в автомобиле штатным диагностическим портам, предоставляющим доступ к шине CAN. Атака требует использования специального оборудования, которое было собрано исследователями на базе платы Arduino и чипа MCP2551 E/P для приёма и … Читать далее Уязвимость в протоколе CAN, затрагивающая почти все современные автомобили

В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось получить контроль ещё над шестью дополнениями к Chrome — Chrometana (644 тысячи пользователей), Infinity New Tab (439 тысяч пользователей), Web Paint (52 тысячи пользователей), Social Fixer (180 тысяч пользователей), TouchVPN (1 млн пользователей) и Betternet VPN (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль над дополнениями с суммарной аудиторией более 4.8 млн пользователей. Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish и Web Developer, и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по … Читать далее В результате фишинга получен контроль ещё над 6 дополнениями к Chrome

Сегодня скончался один из ветеранов российского интернета, благодаря которому появился Рунет и кодировка KOI8-R — Андрей Чернов (ache@freebsd.org). Андрей входил в первый состав FreeBSD Core Team, создал кодировку KOI8-R, участвовал в запуске первого интернет-канала, соединившего Россию с мировой глобальной сетью, отмечен среди разработчиков таких проектов, как SSH, Taylor UUCP, PGP, Elm, Tin, Lynx, NCFTP, ZIP/UNZIP и Less. В последние годы Андрей тяжело болел и почти не выходил из дома. Прощание состоится в субботу, в 12 часов (место будет уточнено позднее). Читать далее Умер Андрей Чернов, автор кодировки KOI8-R и один из первых разработчиков FreeBSD

Доступен корректирующий выпуск Firefox 55.0.2, в котором исправлено несколько ошибок: Устранено регрессивное изменение, которое привело к неверному отображению фона во всплывающих меню (использовался фон из блоков select); Решены появившиеся в Firefox 55 проблемы с производительностью в реализации WebExtension; Устранена ошибка, из-за которой не выводились уведомления о скрытой установке дополнений (через прямую подстановку в каталог с дополнениями); Устранено зависание при наличии спецсимволов в пути к каталогу текущего пользователя (например, наличие одинарных кавычек). Также уже около недели доступен бета-выпуск Firefox 56, но список изменений для него почти пуст и включает лишь три новшества: добавлена функция быстрого поиска настроек; запрещено автоматическое воспроизведение мультимедийного … Читать далее Обновление Firefox 55.0.2

Разработчики Debian сообщили о скором удалении пакетов с Qt 4 из репозиториев testing и unstable. Таким образом, Qt 4 не войдёт в состав Debian 10 «Buster», в котором будет поставляться только Qt 5. Отмечается, что это достаточно трудное решение, так как многие приложения продолжают использовать Qt 4. Пользователям свободных программ, привязанных к Qt 4, предлагается портировать их на Qt 5, а в случае проприетарного ПО уведомить производителя, что настало время выпустить обновление. Сопровождение устаревшей ветки Qt 4, финальный выпуск которой был сформирован в мае 2015 года, вызывает определённые трудности. Первые попытки удаления Qt 4 из Debian отмечены ещё при подготовке … Читать далее Qt 4 не войдёт в состав Debian 10

Компания Oracle опубликовала второй бета-выпуск системы виртуализации VirtualBox 5.2. По сравнению с первым бета-выпуском отмечаются следующие изменения: В GUI добавлена возможность сохранения макета расположения инструментов; В интерфейсе запрещена операция уменьшения размера носителя через меню «Virtual Media Manager » Properties » Attributes», так как такая функция не поддерживается; Устранены искажения звука при использовании бэкенда PulseAudio; Решены проблемы с записью звука при использовании бэкенда ALSA; В дополнения для гостевых систем на базе Linux добавлена поддержка RHEL 7.4 и X-сервера 1.19; Устранены крахи GUI на платформе macOS. Читать далее Второй бета-выпуск VirtualBox 5.2

В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось получить контроль ещё за шестью дополнениями к Chrome — Chrometana (644 тысячи пользователей), Infinity New Tab (439 тысяч пользователей), Web Paint (52 тысячи пользователей), Social Fixer (180 тысяч пользователей), TouchVPN (1 млн пользователей) и Betternet VPN (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль за дополнениями с суммарной аудиторией более 4.8 млн пользователей. Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish и Web Developer, и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по … Читать далее В результате фишинга захвачен контроль ещё за 6 дополнениями к Chrome

Проект Debian празднует своё двадцатичетырёхлетие. Дистрибутив был впервые анонсирован Яном Мёрдоком (Ian Murdoch) 16 августа 1993 года в списке рассылки comp.os.linux.development. Первичной задачей проекта была разработка дистрибутива, развиваемого в соответствии с духом полной открытости, свойственной Linux и GNU, а также стремление к техническому совершенству и надёжности. За время существования Debian было выпущено 14 релизов, обеспечена официальная поддержка 30 аппаратных архитектур, сформирован репозиторий из более чем 50 тысяч пакетов. В проект вовлечено более 1000 разработчиков, в сервисе alioth.debian.org зарегистрировано около 30 тысяч аккаунтов. На технологиях Debian построено более 300 производных дистрибутивов, из которых около 120 активно развиваются. Читать далее Проекту Debian исполнилось 24 года

Состоялся релиз сборочной системы Meson 0.42, использующей вместо утилиты make инструментарий Ninja. Ключевыми целями развития Meson является обеспечение высокой производительности в сочетании с удобством и простотой использования. Создатели Meson придерживаются принципа, что каждый момент, который разработчики тратят на написание правил сборки или отладку, тратятся впустую и лишь оттягивают время до того, когда можно будет начать процесс сборки. Код проекта написан на языке Python и поставляется под лицензией Apache 2.0. Основные особенности Meson: Многоплатформенность, поддерживается сборка в Linux, macOS и Windows с использованием GCC, Clang, Visual Studio и других компиляторов; Поддержка сборки проектов на различных языках программирования, включая C, C++, Fortran, … Читать далее Доступна система сборки Meson 0.42, на которую переходят systemd, GTK+ и GNOME

Состоялся релиз сборочной системы Meson 0.42, использующей вместо утилиты make инструментарий Ninja. Ключевыми целями развития Meson является обеспечение высокой производительности в сочетании с удобством и простотой использования. Создатели Meson придерживаются принципа, что каждый момент, который разработчики тратят на написание правил сборки или отладку, тратятся впустую и лишь оттягивают время до того, когда можно будет начать процесс сборки. Код проекта написан на языке Python и поставляется под лицензией Apache 2.0. Основные особенности Meson: Многоплатформенность, поддерживается сборка в Linux, macOS и Windows с использованием GCC, Clang, Visual Studio и других компиляторов; Поддержка сборки проектов на различных языках программирования, включая C, C++, Fortran, … Читать далее Доступна система сборки Meson 0.42, на которую переходит systemd, GTK+ и GNOME

Ларс Вирзениус (Lars Wirzenius), один из студенческих товарищей Линуса Торвальдса, вовлечённый в развитие Linux с первых дней существования проекта (создатель Linux Documentation Project и один из первых мэйнтенеров в дистрибутиве Debian), объявил о сворачивании проекта Obnam, в рамках которого с 2006 года развивалась система резервного копирования, основанная на идее оптимизации хранения резервных копий за счёт использования репозитория со встроенной поддержкой дедупликации данных. По словам Ларса он прекращает разработку после того, как осознал, что имеющиеся проблемы можно устранить лишь полностью переписав проект с нуля, но он не собирается этого делать. В частности, из хобби проект превратился в обузу из-за невозможности преодолеть … Читать далее Система резервного копирования Obnam прекращает своё существование

В гипервизоре Xen выявлено 5 уязвимостей, из которых четыре (CVE-2017-12135, CVE-2017-12137, CVE-2017-12136, CVE-2017-12134) потенциально позволяют выйти за пределы текущего гостевого окружения и повысить свои привилегии, а одна уязвимость(CVE-2017-12855) может привести к утечке содержимого памяти из адресного пространства других окружений или хост-системы. Все уязвимости, за исключением CVE-2017-12134, вызваны ошибками в коде с реализацией интерфейса Grant Table, предназначенного для предоставления доступа к страницам памяти и передачи прав на манипуляцию с ними. Grant Table используется для организации совместного использования памяти между несколькими гостевыми системами и применяется, например, в общих для всех гостевых систем драйверах блочных устройств и ввода/вывода. Уязвимость CVE-2017-12134 присутствует в коде … Читать далее Новые уязвимости в Xen, позволяющие выйти за пределы гостевой системы

Проект GNOME празднует двадцатилетие с момента публикации Мигелем де Икаса анонса десктоп-окружения GNOME. В настоящее время GNOME является одним из крупнейших открытых проектов, насчитывающий 8 млн строк кода, которые были подготовлены благодаря совместной работе более шести тысяч разработчиков. Проект был основан как альтернатива окружениям CDE и KDE, развиваемая с использованием тулкита GTK+ и содержащая только свободные компоненты. Разработчики GNOME рассматривали возможность присоединения к разработке KDE, но в качестве основы данного окружения использовался в то время несвободный Qt. Кроме того, наблюдались нерешённые проблемы с архитектурой KDE и был ограничен спектр языков программирования, на которых можно было разрабатывать приложения (Qt ограничивался C++ … Читать далее Проекту GNOME исполнилось 20 лет