Представлен релиз открытого JavaScript-движка V8 6.1, развиваемого при участии Google и используемого в браузерах на базе Chromium. Новая версия примечательна рядом заметных оптимизаций: Производительность операций Maps и Sets при использовании итераторов или вызове через Map/Set.prototype.forEach возросла до 11 раз, по сравнению с выпуском V8 6.0; Производительность метода Object.prototype.isPrototypeOf, позволяющего обойтись без применения конструкторов, теперь не уступает оператору «instanceof», а в некоторых ситуация обгоняет его. Обеспечено inline-развёртывание и оптимизация операций Array.prototype.forEach; Существенно возросла производительность вызова функций и конструкторов с переменным числом аргументов, например, Reflect.apply и Reflect.construct теперь выполняются до 17 раз быстрее; Сокращён размер поставки — удаление устаревшего компилятора Crankshaft и … Читать далее Выпуск JavaScript-движка V8 6.1

Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее — злоумышленникам удалось получить контроль за дополнением Web Developer у которого более миллиона активных пользователей. По сообщению автора Web Developer, он по недосмотру ввёл данные в подставную форму аутентификации Google, подготовленную организаторами фишинг-атаки. Метод проведения атаки был идентичен недавно описанной атаке на дополнение Copyfish. Разработчику также пришло письмо с уведомлением о наличии проблем с соблюдением правил каталога Chrome App … Читать далее Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией

Группа исследователей из Китайского университета Гонконга выявила уязвимость (CVE-2017-7533) в ядре Linux, которая может использоваться для повышения своих привилегий в системе. Проблема проявляется начиная с ядра v3.14-rc1 и актуальна вплоть до ядра 4.12. В сети уже распространяется эксплоит для 32-разрядных систем. Для 64-разрядных систем эксплоит пока отсутствует, но теоретически нет преград для его создания. Уязвимость вызвана состоянием гонки между обработкой события inotify и вызовом vfs_rename() в VFS, возникающим при выполнении операции переименования над тем же файлом. Атакующий может добиться ситуации, при которой после обработки события inotify указатель указывает на новое имя файла, а буфер выделен для старого имени. Соответственно хвост … Читать далее Локальная root-уязвимость в подсистеме inotify ядра Linux

Спустя год с момента формирования прошлой значительной ветки компания Oracle представила первый бета-выпуск системы виртуализации VirtualBox 5.2. Основные улучшения: Поддержка экспорта виртуальных машин в Oracle Cloud (OPC); Режим автоматизированной установки гостевых систем, похожий на функцию «Easy Install» в VMware и позволяющий без лишних настроек запустить гостевую систему, лишь выбрав необходимый для запуска образ; Новый графический интерфейс выбора виртуальных машин; Улучшение средств для людей с ограниченными возможностями; Поддержка определения звуковых устройств и автоматизированный выбор драйвера для звукового бэкенда. Возможность горячего подключения внешних звуковых карт; Эмуляция звуковых устройств HDA переведена на обработку данных в асинхронном режиме с выполнением в отдельном потоке; Улучшена … Читать далее Бета-выпуск VirtualBox 5.2

Организация Linux Foundation представила четвёртый выпуск дистрибутива AGL UCB (Automotive Grade Linux Unified Code Base), в рамках которого развивается универсальная платформа для использования в различных автомобильных подсистемах, от панелей приборов до автомобильных информационно-развлекательных систем. Дистрибутив основан на наработках проектов Tizen, GENIVI и Yocto. Графическое окружение базируется на Qt, Wayland и наработках проекта Weston IVI Shell. Демонстрационные сборки платформы сформированы для QEMU, плат Intel Minnowboard Max (Atom E38xx), TI Vayu, Renesas R-Car 2/3 и Raspberry Pi 3. При участии сообщества развиваются сборки для плат Vayu EVM, MinnowBoard Max, NXP Wandboard, NXP SABRE, DragonBoard и Raspberry Pi 2. Исходные тексты наработок проекта … Читать далее Организация Linux Foundation опубликовала автомобильный дистрибутив AGL UCB 4.0

Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее — злоумышленникам удалось получить контроль за дополнением Web Developer у которого более миллиона активных пользователей. По сообщению автора Web Developer, он по недосмотру ввёл данные в подставную форму аутентификации Google, подготовленную организаторами фишинг-атаки. Метод проведения атаки был идентичен недавно описанной атаке на дополнение Copyfish. Разработчику также пришло письмо с уведомлением о наличии проблем с соблюдением правил каталога Chrome App … Читать далее Злоумышленники получили контроль за Chrome-дополнением с миллионной аудиторией

Компания Open Source Security (развивает Grsecurity) при юридической поддержке Chhabra Law Firm подала судебный иск против Брюса Перенса (Bruce Perens), одного из авторов определения Open Source, соучредителя организации OSI (Open Source Initiative), создателя пакета BusyBox и одного из первых лидеров проекта Debian. Иск о защите репутации компании подан в связи с размещением в блоге Перенса публикации с оценкой возможного нарушения лицензии GPLv2 при распространении патчей Grsecurity. Grsecurity настаивает на том, что проект не нарушает лицензию GPLv2 и готов отстаивать свою точку зрения в реальном суде. Брюсу Перенсу вменяется публикация ложных заявлений под видом фактов и злоупотребление своим положением в сообществе … Читать далее Разработчики Grsecurity подали судебный иск против Брюса Перенса

Доступно обновление дистрибутива Ubuntu 16.04.3 LTS, в которое включены изменения, связанные с улучшением поддержки оборудования, обновлением ядра Linux и графического стека, исправлением ошибок в инсталляторе и загрузчике. В состав также включены актуальные обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. Одновременно представлены аналогичные обновления Kubuntu 16.04.3 LTS, Xubuntu 16.04.3 LTS, Mythbuntu 16.04.3 LTS, Ubuntu GNOME 16.04.3 LTS, Lubuntu 16.04.3 LTS, Ubuntu Kylin 16.04.3 LTS, Ubuntu MATE 16.04.3 LTS и Ubuntu Studio 16.04.3 LTS. В состав выпуска включены некоторые улучшения, бэкпортированные из выпуска Ubuntu 17.04. Например, предложено обновление пакетов с ядром Linux 4.10 (в Ubuntu … Читать далее Выпуск Ubuntu 16.04.3 LTS c обновлением графического стека и ядра Linux

Состоялся экспериментальный выпуск открытой реализации Win32 API — Wine 2.14. С момента выпуска версии 2.13 было закрыто 18 отчётов об ошибках. Наиболее важные изменения: Обновлён движок Mono; В IDL-компиляторе обходным путём обеспечен совместимый с MSVC способ обработки возвращаемых функциями агрегированных значений; В графическом драйвере для платформы Android добавлена поддержка порядка наложения (Z-order); В macOS добавлены масштабируемые курсоры мыши; Закрыты отчёты об ошибках, связанные с работой игр и приложений: The Witcher 3, Serif WebPlus x5/x6/x8, Call of Duty Modern Warfare 3, Worms Armageddon, Dead by Daylight, Root Double, iMesh 10, DiRT, Star Wars — Knights of the Old Republic, Quicken Basic … Читать далее Выпуск Wine 2.14

Компания AMD объявила об открытии исходных текстов профессиональной системы фотореалистичного рендеринга Radeon ProRender, ранее известной как AMD FireRender. Код открыт под лицензией MIT и будет развиваться под эгидой проекта GPUOpen. Пакет может работать на системах Windows, macOS и Linux c GPU, CPU и APU не только от AMD, но и от других производителей. Совместимость с различными GPU обеспечивается благодаря применению стандарта OpenCL. ProRender представляет собой движок рендеринга, использующий методы симуляции физических процессов с применением вычислений на стороне GPU для достижения высокой производительности. ProRender может интегрироваться с различными профессиональными пакетами моделирования, например, плагины уже доступны для Autodesk 3ds Max и SOLIDWORKS. … Читать далее Компания AMD открыла код системы фотореалистичного рендеринга Radeon ProRender

Разработчики Ubuntu рассказали на конференции GUADEC 2017 о ближайших планах по переводу дистрибутива на GNOME Shell. Кроме возвращения дистрибутива на использование рабочего стола GNOME, подтверждены ранее озвученные планы по задействованию по умолчанию в Ubuntu 17.10 системы Wayland вместо традиционного X-сервера. Для запуска X-приложений в окружении на базе Wayland будет применяться DDX-компонент XWayland. Полноценный сеанс на базе Xorg останется доступен в качестве опции. По мнению разработчиков переход на Wayalnd в Ubuntu 17.10 позволит на практике оценить возможность применения Wayland в грядущем LTS-выпуске Ubuntu 18.04, решение о переходе на Wayland для которого ещё не принято. Также подтверждены намерения вернуть кнопки сворачивания и … Читать далее Ubuntu 17.10 перейдёт на Wayland по умолчанию и вернёт кнопки в правый угол окна

Компания Symantec объявила о продаже компании DigiCert бизнеса, связанного с аутентификацией и цифровыми сертификатами. Сумма сделки составляет 950 млн долларов плюс 30% акций DigiCert. Удостоверяющий центр Symantec создан в 2010 году, после покупки бизнеса аутентификации у компании VeriSign за 1.28 млрд долларов. Удостоверяющий центр Symantec занимает около 14% рынка сертификатов (5.5% всех сертификатов), уступая только Comodo и IdenTrus. Доля DigiCert оценивается в 2.2% (0.9% всех сертификатов). Основным мотивом продажи является прекращение доверия к сертификатам Symantec в браузерах Chrome и Firefox после выявления ненадлежащей организации работы инфраструктуры, нарушений при подготовке отчётности и злоупотреблений, которые привели к выдаче сертификатов уровня EV (Extended … Читать далее Symantec продаёт удостоверяющий центр компании DigiCert

Доступен релиз сканера сетевой безопасности Nmap 7.50, предназначенного для проведения аудита сети и выявления активных сетевых сервисов. Новая версия сформирована спустя полтора месяца с момента прошлого выпуска и вобрала в себя изменения, подготовленные студентами в рамках программы Google Summer of Code 2017. В состав включено 14 новых NSE-скриптов для обеспечения автоматизации различных действий с Nmap. В Nmap Scripting Engine (NSE) обеспечена полноценная поддержка SSH, реализованная при помощи libssh2. Из скриптов теперь можно выполнять такие действия как перебор паролей (brute-forcing), получения сведений о параметрах SSH-сервера и выполнение удалённых команд. Добавлена новая библиотека для поддержки в скриптах протоколов SMB2 и SMB3. До … Читать далее Выпуск сканера сетевой безопасности Nmap 7.60

После шести месяцев разработки состоялся релиз системной библиотеки GNU C Library (glibc) 2.26, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2008. В состав нового выпуска включены исправления от 66 разработчиков. Из добавленных в Glibc 2.26 улучшений можно отметить: В функции malloc реализована поддержка кэша, индивидуального для каждого потока, что позволило избавиться от блокировок, возникающих при использовании общего для всех потоков кэша, и существенно поднять производительность при выделении и освобождении небольших блоков памяти; Расширены возможности встроенного DNS-резолвера: реализовано определение изменения содержимого файла /etc/resolv.conf для оперативной загрузки изменённой конфигурации (для запрета автообновления предусмотрена опция «no-reload»); обеспечена возможность указания произвольного числа элементов … Читать далее Выпуск системной библиотеки Glibc 2.26

Компания Google представила релиз операционной системы Chrome OS 60, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 60. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Сборка Chrome OS 60 доступна для большинства актуальных моделей Chromebook. Энтузиастами сформированы неофициальные сборки для обычных компьютеров с процессорами x86, x86_64 и ARM. Исходные тексты распространяются под свободной лицензией Apache 2.0. Основные изменения в Chrome OS 60: Улучшена реализация системы автоматической установки обновлений при выходе в Сеть … Читать далее Выпуск Chrome OS 60 с устранением уязвимости в WiFi-чипах Broadcom

После шести месяцев разработки состоялся релиз системной библиотеки GNU C Library (glibc) 2.26, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2008. В состав нового выпуска включены исправления от 66 разработчика. Из добавленных в Glibc 2.26 улучшений можно отметить: В функции malloc реализована поддержка кэша, индивидуального для каждого потока, что позволило избавиться от блокировок, возникающих при использовании общего для всех потоков кэша, и существенно поднять производительность выделения и освобождения небольших блоков памяти; Расширены возможности встроенного DNS-резолвера: реализовано определения изменения файла /etc/resolv.conf для оперативной загрузки изменённой конфигурации (для запрета автообновления предусмотрена опция «no-reload»); обеспечена возможность указания произвольного числа элементов в списке … Читать далее Релиз системной библиотеки Glibc 2.26

Компания Red Hat выпустила дистрибутив Red Hat Enterprise Linux 7.4. Ветка RHEL 7.x будет поддерживаться до июня 2024 года. Установочные образы RHEL 7.4 доступны для загрузки только зарегистрированным пользователям Red Hat Customer Portal и подготовлены для архитектур x86+64, IBM POWER7+, POWER8 (big endian и little endian) и IBM System z. Исходные тексты пакетов можно загрузить из Git-репозитория проекта CentOS. Основные новшества: Хранение данных В LVM реализована возможность смены уровня существующего раздела RAID и изменения свойств массива (reshaping), таких как алгоритм работы RAID, размер stripe-блока, число образов и т.п. Например, теперь можно в массив с распределением данных на 3 накопителя добавить … Читать далее Релиз Red Hat Enterprise Linux 7.4

Министерство связи и массовых коммуникаций Российской Федерации отклонило заявку на включение Linux-дистрибутива «ОСь» (OS-RT) в реестр отечественного программного обеспечения. Входящее в реестр программное обеспечение официально признаётся произведённым в Российской Федерации и относится к категории приоритетных продуктов, которые продвигаются в рамках законодательства, запрещающего госзакупки иностранного ПО при наличии российских аналогов. Проект ОСь развивается компанией «Национальный центр информатизации» (НЦИ), входящей в состав госкорпорации Ростех, и позиционируется как платформа для создания рабочих мест и серверов в органах государственной и муниципальной власти, а также в компаниях с государственным участием. Без включения проекта в реестр, ОСь не сможет поставляться в госучреждения, так как в госзакупках … Читать далее Минкомсвязи отказалось включить дистрибутив ОСь (OS-RT) в реестр отечественного ПО

В модулях управления телематикой (TCU, Telematics Control Module), оснащённых 2G-модемом на базе чипсета S-Gold 2 (PMB 8876), выявлены две уязвимости, которые позволяют выполнить код в контексте автомобильной информационной системы. TCU применяется для организации передачи данных о местоположении автомобиля, позволяя отслеживать перемещения через мобильное приложений или web-интерфейс. Наиболее опасная уязвимость (CVE-2017-9633) позволяет обойти проверку идентификатора подписчика (TMSI), получить доступ к памяти устройства и организовать выполнение своего кода на baseband-процессоре TCU. Вторая уязвимость (CVE-2017-9647) позволяет получить контроль над TCU через передачу AT-команд, при наличии физического доступа к автомобилю. По утверждению автопроизводителей проблемы ограничиваются контролем за информационно-развлекательной подсистемой автомобиля и не могут повлиять … Читать далее Уязвимость в модулях управления телематикой автомобилей BMW, Ford, Infiniti и Nissan

Министерство связи и массовых коммуникаций Российской Федерации отклонило заявку на включение Linux-дистрибутива «ОСь» (OS-RT) в реестр отечественного программного обеспечения. Входящее в реестр программное обеспечение официально признаётся произведённым в Российской Федерации и относится к категории приоритетных продуктов, которые продвигаются в рамках законодательства, запрещающего госзакупки иностранного ПО при наличии российских аналогов. Проект ОСь развивается компанией «Национальный центр информатизации» (НЦИ), входящей в состав госкорпорации Ростех, и позиционируется как платформа для создания рабочих мест и серверов в органах государственной и муниципальной власти, а также в компаниях с государственным участием. Без включения проекта в реестр, ОСь не сможет поставляться в госучреждения, так как в госзакупках … Читать далее Минкомсвязь отказался включить дистрибутив ОСь (OS-RT) в реестр отечественного ПО

Разработчики Mozilla представили новые возможности, доступные в рамках инициативы Test Pilot. Пользователям предоставлена возможность оценить и протестировать экспериментальные возможности, развиваемые для будущих выпусков Firefox. Для участия в программе необходимо установить специальное дополнение Test Pilot (учетная запись в системе Firefox Account при этом не обязательна), в котором будет доступен список предлагаемых для тестирования возможностей. В процессе работы Test Pilot осуществляется сбор и отправка обезличенной статистики о характере работы с тестируемыми дополнениями. В состав Test Pilot включены три новые функции: Send — инструмент для обмена файлами, позволяет загрузить файл, размером до 1 Гб. Файл загружается в зашифрованном виде (шифрование производится на стороне … Читать далее В Firefox началось тестирование отправки файлов, голосового ввода и заметок