Исследователи из Университета имени Давида Бен-Гуриона в Негеве (Израиль) на проходящей на днях конференции USENIX Security 2017 опубликовали результаты эксперимента по оценке возможности внедрения в смартфоны шпионских и вредоносных закладок через установку во время ремонта специально модифицированных деталей. В качестве подтверждения реалистичности подобных атак рассмотрена ситуация замены повреждённого экрана. Исследователями были подготовлены прототипы модифицированных экранов для смартфонов Huawei Nexus 6P и LG G Pad 7.0, в которые был встроен дополнительный чип, контролирующий коммуникационную шину I2C, по которой осуществляется передача данных от аппаратного компонента к драйверу. По аналогии с MITM атака классифицирована как CITM («Chip-In-The-Middle») и в контенте сенсорного экрана позволяет … Читать далее Получение контроля над смартфоном после ремонта через комплектующие

Компания Oracle поделилась планами о дальнейшей судьбе платформы Java EE (Java Platform Enterprise Edition). Отмечается, что работа над спецификацией Java EE 8 близка к завершению — компания намерена опубликовать эталонную реализацию Java EE 8 в этом месяце и представить её на конференции JavaOne 2017. В дальнейшем компания Oracle рассчитывает модернизировать модель разработки Java EE и сделать её по настоящему открытой платформой, не только с позиции доступности кода, но и в области участия сообщества в развитии платформы. Сейчас процесс разработки полностью подконтролен Oracle и не является достаточно гибким и открытым. В качестве основного варианта модернизации разработки рассматривается перемещение технологий Java EE, … Читать далее Компания Oracle намерена передать разработку Java EE независимому сообществу

Группа исследователей из Вашингтонского университета разработала метод создания сонара для отслеживания перемещения людей и определения положения предметов при помощи штатных микрофонов и громкоговорителей ноутбуков, ПК, смартфонов и различных потребительских устройств, таких как умные телевизоры, мультимедийные центры или персональные помощники (например, Amazon Alexa). Получив контроль за одним из подобных устройств атакующий может не только записывать разговоры, но и незаметно отслеживать активность людей в помещении при прослушивании ими специально изменённых музыкальных композиций. Техника атаки получила название CovertBand и основана на подстановке в воспроизводимые в помещении музыкальные композиции специальных высокочастотных периодических всплесков, которые не заметны на фоне музыки, но хорошо улавливаются микрофоном. На … Читать далее Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК

Состоялся релиз растрового графического редактора Krita 3.2, развиваемого для художников и иллюстраторов. Редактор поддерживает многослойную обработку изображений, предоставляет средства для работы с различными цветовыми моделями и обладает большим набором средств для цифровой живописи, создания скетчей и формирования текстур. Для установки подготовлены самодостаточные образы в форматах AppImage и Snap для Linux (для Ubuntu дополнительно подготовлен PPA), а также бинарные сборки для macOS и Windows. Ключевые улучшения: Предложен новый плагин gmic-qt, созданный и поддерживаемый разработчиками фреймворка для обработки изображений G’Mic. Плагин предоставляет большую подборку готовых фильтров для обработки изображений и является аналогом плагина для редактора GIMP, реализованным на базе нового универсального интерфейса … Читать далее Релиз растрового графического редактора Krita 3.2

Доступен релиз набора KDE Applications 17.08, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Набор KDE Applications пришёл на смену приложениям из состава KDE SC, которые теперь развиваются в рамках отдельного цикла разработки, не привязанного к веткам KDE, и выпускаются по новой схеме нумерации версий. Информацию о наличии Live-сборок с новым выпуском можно получить данной странице. KDE Applications 17.08 является последним выпуском, в котором допускается поставка приложений, использующих Qt4 и kdelibs4. В следующем выпуске программы не переведённые на Qt5 и KDE Frameworks 5 будут исключены из набора. Основные новшества: С kdelibs4 на использование KDE Frameworks 5 переведены … Читать далее Выпуск KDE Applications 17.08

Разработчики проекта Raspberry Pi опубликовали обновление дистрибутива Raspbian. Для загрузки подготовлены две сборки — сокращённая (348 Мб) для серверных систем и полная (1.6 Гб), поставляемая с пользовательским окружением PIXEL (ответвление от LXDE). Для установки из репозиториев доступно около 35 тысяч пакетов. Ключевым изменением в новой версии является обновление пакетной базы до Debian 9 «Stretch». Добавлена поддержка передачи звука через Bluetooth с использованием подсистемы ALSA и модуля bluez-alsa, что позволило отказаться от использования PulseAudio по умолчанию. Обеспечена корректная работа с именами пользователей, отличными от задаваемого по умолчанию пользователя «pi».Браузер Chromium обновлён до версии 60, в которой сокращено потребление памяти. В дистрибутиве … Читать далее Новый выпуск Raspbian, основанный на пакетной базе Debian 9

В протоколе CAN (Controller Area Network), применяемом во всех современных автомобилях для организации взаимодействия между электронными компонентами, выявлена концептуальная уязвимость, позволяющая деактивировать подключенные к CAN узлы, в том числе отвечающие за безопасность. Например, можно отключить подушки безопасности, ABS, освещение или парковочные датчики. Уязвимость может быть эксплуатирована как локально, так и удалённо. Локальная атака, которая не лишены смысла в условиях роста популярности каршеринга и аренды автомобилей, осуществляется через подключение к имеющимся в автомобиле штатным диагностическим портам, предоставляющим доступ к шине CAN. Атака требует использования специального оборудования, которое было собрано исследователями на базе платы Arduino и чипа MCP2551 E/P для приёма и … Читать далее Уязвимость в протоколе CAN, затрагивающая почти все современные автомобили

В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось получить контроль ещё над шестью дополнениями к Chrome — Chrometana (644 тысячи пользователей), Infinity New Tab (439 тысяч пользователей), Web Paint (52 тысячи пользователей), Social Fixer (180 тысяч пользователей), TouchVPN (1 млн пользователей) и Betternet VPN (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль над дополнениями с суммарной аудиторией более 4.8 млн пользователей. Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish и Web Developer, и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по … Читать далее В результате фишинга получен контроль ещё над 6 дополнениями к Chrome

Сегодня скончался один из ветеранов российского интернета, благодаря которому появился Рунет и кодировка KOI8-R — Андрей Чернов (ache@freebsd.org). Андрей входил в первый состав FreeBSD Core Team, создал кодировку KOI8-R, участвовал в запуске первого интернет-канала, соединившего Россию с мировой глобальной сетью, отмечен среди разработчиков таких проектов, как SSH, Taylor UUCP, PGP, Elm, Tin, Lynx, NCFTP, ZIP/UNZIP и Less. В последние годы Андрей тяжело болел и почти не выходил из дома. Прощание состоится в субботу, в 12 часов (место будет уточнено позднее). Читать далее Умер Андрей Чернов, автор кодировки KOI8-R и один из первых разработчиков FreeBSD

Доступен корректирующий выпуск Firefox 55.0.2, в котором исправлено несколько ошибок: Устранено регрессивное изменение, которое привело к неверному отображению фона во всплывающих меню (использовался фон из блоков select); Решены появившиеся в Firefox 55 проблемы с производительностью в реализации WebExtension; Устранена ошибка, из-за которой не выводились уведомления о скрытой установке дополнений (через прямую подстановку в каталог с дополнениями); Устранено зависание при наличии спецсимволов в пути к каталогу текущего пользователя (например, наличие одинарных кавычек). Также уже около недели доступен бета-выпуск Firefox 56, но список изменений для него почти пуст и включает лишь три новшества: добавлена функция быстрого поиска настроек; запрещено автоматическое воспроизведение мультимедийного … Читать далее Обновление Firefox 55.0.2

Разработчики Debian сообщили о скором удалении пакетов с Qt 4 из репозиториев testing и unstable. Таким образом, Qt 4 не войдёт в состав Debian 10 «Buster», в котором будет поставляться только Qt 5. Отмечается, что это достаточно трудное решение, так как многие приложения продолжают использовать Qt 4. Пользователям свободных программ, привязанных к Qt 4, предлагается портировать их на Qt 5, а в случае проприетарного ПО уведомить производителя, что настало время выпустить обновление. Сопровождение устаревшей ветки Qt 4, финальный выпуск которой был сформирован в мае 2015 года, вызывает определённые трудности. Первые попытки удаления Qt 4 из Debian отмечены ещё при подготовке … Читать далее Qt 4 не войдёт в состав Debian 10

Компания Oracle опубликовала второй бета-выпуск системы виртуализации VirtualBox 5.2. По сравнению с первым бета-выпуском отмечаются следующие изменения: В GUI добавлена возможность сохранения макета расположения инструментов; В интерфейсе запрещена операция уменьшения размера носителя через меню «Virtual Media Manager » Properties » Attributes», так как такая функция не поддерживается; Устранены искажения звука при использовании бэкенда PulseAudio; Решены проблемы с записью звука при использовании бэкенда ALSA; В дополнения для гостевых систем на базе Linux добавлена поддержка RHEL 7.4 и X-сервера 1.19; Устранены крахи GUI на платформе macOS. Читать далее Второй бета-выпуск VirtualBox 5.2

В ходе фиксируемой в Сети фишинг-атаки злоумышленникам удалось получить контроль ещё за шестью дополнениями к Chrome — Chrometana (644 тысячи пользователей), Infinity New Tab (439 тысяч пользователей), Web Paint (52 тысячи пользователей), Social Fixer (180 тысяч пользователей), TouchVPN (1 млн пользователей) и Betternet VPN (1.3 млн пользователей). Таким образом, за время проведения фишинг-атаки злоумышленникам удалось получить контроль за дополнениями с суммарной аудиторией более 4.8 млн пользователей. Метод захвата аналогичен ранее раскрытым атакам на дополнения Copyfish и Web Developer, и также вызван невнимательным отношением разработчиков при открытии писем, написанных от лица администрации каталога Chrome App Store. После того как разработчики по … Читать далее В результате фишинга захвачен контроль ещё за 6 дополнениями к Chrome

Проект Debian празднует своё двадцатичетырёхлетие. Дистрибутив был впервые анонсирован Яном Мёрдоком (Ian Murdoch) 16 августа 1993 года в списке рассылки comp.os.linux.development. Первичной задачей проекта была разработка дистрибутива, развиваемого в соответствии с духом полной открытости, свойственной Linux и GNU, а также стремление к техническому совершенству и надёжности. За время существования Debian было выпущено 14 релизов, обеспечена официальная поддержка 30 аппаратных архитектур, сформирован репозиторий из более чем 50 тысяч пакетов. В проект вовлечено более 1000 разработчиков, в сервисе alioth.debian.org зарегистрировано около 30 тысяч аккаунтов. На технологиях Debian построено более 300 производных дистрибутивов, из которых около 120 активно развиваются. Читать далее Проекту Debian исполнилось 24 года

Состоялся релиз сборочной системы Meson 0.42, использующей вместо утилиты make инструментарий Ninja. Ключевыми целями развития Meson является обеспечение высокой производительности в сочетании с удобством и простотой использования. Создатели Meson придерживаются принципа, что каждый момент, который разработчики тратят на написание правил сборки или отладку, тратятся впустую и лишь оттягивают время до того, когда можно будет начать процесс сборки. Код проекта написан на языке Python и поставляется под лицензией Apache 2.0. Основные особенности Meson: Многоплатформенность, поддерживается сборка в Linux, macOS и Windows с использованием GCC, Clang, Visual Studio и других компиляторов; Поддержка сборки проектов на различных языках программирования, включая C, C++, Fortran, … Читать далее Доступна система сборки Meson 0.42, на которую переходят systemd, GTK+ и GNOME

Состоялся релиз сборочной системы Meson 0.42, использующей вместо утилиты make инструментарий Ninja. Ключевыми целями развития Meson является обеспечение высокой производительности в сочетании с удобством и простотой использования. Создатели Meson придерживаются принципа, что каждый момент, который разработчики тратят на написание правил сборки или отладку, тратятся впустую и лишь оттягивают время до того, когда можно будет начать процесс сборки. Код проекта написан на языке Python и поставляется под лицензией Apache 2.0. Основные особенности Meson: Многоплатформенность, поддерживается сборка в Linux, macOS и Windows с использованием GCC, Clang, Visual Studio и других компиляторов; Поддержка сборки проектов на различных языках программирования, включая C, C++, Fortran, … Читать далее Доступна система сборки Meson 0.42, на которую переходит systemd, GTK+ и GNOME

Ларс Вирзениус (Lars Wirzenius), один из студенческих товарищей Линуса Торвальдса, вовлечённый в развитие Linux с первых дней существования проекта (создатель Linux Documentation Project и один из первых мэйнтенеров в дистрибутиве Debian), объявил о сворачивании проекта Obnam, в рамках которого с 2006 года развивалась система резервного копирования, основанная на идее оптимизации хранения резервных копий за счёт использования репозитория со встроенной поддержкой дедупликации данных. По словам Ларса он прекращает разработку после того, как осознал, что имеющиеся проблемы можно устранить лишь полностью переписав проект с нуля, но он не собирается этого делать. В частности, из хобби проект превратился в обузу из-за невозможности преодолеть … Читать далее Система резервного копирования Obnam прекращает своё существование

В гипервизоре Xen выявлено 5 уязвимостей, из которых четыре (CVE-2017-12135, CVE-2017-12137, CVE-2017-12136, CVE-2017-12134) потенциально позволяют выйти за пределы текущего гостевого окружения и повысить свои привилегии, а одна уязвимость(CVE-2017-12855) может привести к утечке содержимого памяти из адресного пространства других окружений или хост-системы. Все уязвимости, за исключением CVE-2017-12134, вызваны ошибками в коде с реализацией интерфейса Grant Table, предназначенного для предоставления доступа к страницам памяти и передачи прав на манипуляцию с ними. Grant Table используется для организации совместного использования памяти между несколькими гостевыми системами и применяется, например, в общих для всех гостевых систем драйверах блочных устройств и ввода/вывода. Уязвимость CVE-2017-12134 присутствует в коде … Читать далее Новые уязвимости в Xen, позволяющие выйти за пределы гостевой системы

Проект GNOME празднует двадцатилетие с момента публикации Мигелем де Икаса анонса десктоп-окружения GNOME. В настоящее время GNOME является одним из крупнейших открытых проектов, насчитывающий 8 млн строк кода, которые были подготовлены благодаря совместной работе более шести тысяч разработчиков. Проект был основан как альтернатива окружениям CDE и KDE, развиваемая с использованием тулкита GTK+ и содержащая только свободные компоненты. Разработчики GNOME рассматривали возможность присоединения к разработке KDE, но в качестве основы данного окружения использовался в то время несвободный Qt. Кроме того, наблюдались нерешённые проблемы с архитектурой KDE и был ограничен спектр языков программирования, на которых можно было разрабатывать приложения (Qt ограничивался C++ … Читать далее Проекту GNOME исполнилось 20 лет

Компания Oracle объявила об открытии исходных текстов библиотеки ODPI-C для СУБД Oracle, представляющий программный интерфейс для упрощения доступа к СУБД из приложений на языках C/C++. По сравнению с OCI новый интерфейс заметно упрощает процесс разработки, предоставляет более абстрактные методы управления памятью и ресурсами, и позволяет обойтись меньшим кодом в случаях когда не требуется применение расширенных возможностей Oracle. Библиотека является обвязкой над низкоуровневым интерфейсом Oracle Call Interface (OCI). Код написан на языке Си и распространяется под лицензией Apache 2.0. Изначально ODPI-C был разработан в процессе создания Python-интерфейса cx_Oracle и также задействован в драйверах для Node.js, Go и Rust. ODPI-C позволяет выполнить … Читать далее Компания Oracle открыла код библиотеки ODPI-C для СУБД Oracle

После пяти лет с момента формирования прошлой ветки подготовлен релиз видеоредактора Avidemux 2.7.0. Редактор рассчитан на решение простых задач по нарезке видео, применению фильтров и кодированию. Поддерживается большое число форматов файлов и кодеков. Выполнение задач может быть автоматизировано при помощи очередей выполнения заданий, написания скриптов и создания проектов. Avidemux поставляется под лицензией GPL и поддерживает работу в Linux, BSD, macOS и Windows. В новой версии: Осуществлён переход на ветку FFmpeg 3.3.x; Проведена модернизация интерфейса применения фильтров; В режиме плавного масштабирования обеспечена приостановка воспроизведения при изменении размера окна; Добавлена горячая клавиша Ctrl+Shift+C для копирования текущего PTS (Presentation Time Stamp) в буфер … Читать далее Релиз свободного видеоредактора Avidemux 2.7.0