Рафаэль Шеель (Rafael Scheel), исследователь безопасности из компании Oneconsult, продемонстрировал практическую возможность совершения атаки на умные телевизоры, которая даёт возможность получить полный контроль за устройством через подстановку команд HbbTV при обработке потоков DVB-T (Digital Video Broadcasting — Terrestrial). По данным исследователя около 90% всех умных телевизоров потенциально подвержены подобным атакам. Стандарт HbbTV определяет средства для организации гибридного интерактивного телевидения, в том числе через HbbTV можно инициировать обработку на Smart TV произвольных web-страниц в формате CE-HTML, в котором допустимо применение JavaScript. Через подобные страницы могут быть эксплуатированы известные уязвимости в web-движках, применяемых на умных телевизорах. В используемом для демонстрации телевизоре Samsung … Читать далее Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения

Kyle E. Mitchell, юрист специализирующийся на коммерческом праве, опубликовал заслуживающую внимания таблицу, отражающую типичное представление бизнеса о различных открытых лицензиях. Лицензия Уровень неудобства использования в продуктах или сервисах компании Уровень неопределённости в толковании терминов и условий лицензии Мнения в отношении к лицензии AGPL-3.0 ! ! ! ? ? ? Вызывает страх и опасения. Прикрывает лазейки при использовании ПО в реализации сервисов. Не нравится. Относительно новая форма. Apache-2.0 ! ? Лучшая пермиссивная лицензия. Составлена профессионально. Учитывает право на использование запатентованных технологий. Artistic-1.0 ! ? ? Нишевая лицензия, связанная с Perl. Составлена слабо. Проверена в суде. Artistic-2.0 ! ? Нишевая лицензия, связанная … Читать далее Открытые лицензии глазами корпоративного юриста

Доступно обновление браузера Chrome 57.0.2987.133, в котором устранена порция уязвимостей. Четыре проблемы помечены как опасные, а одной присвоен статус критической уязвимости (CVE-2017-5055), позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Уязвимость присутствует в коде организации вывода на печать и вызвана обращением к области памяти после её освобождения. Сообщившему об уязвимости исследователю выплачено вознаграждение в размере 9337 долларов США. Из других исправленных уязвимостей можно отметить переполнение буфера в движке V8 (CVE-2017-5054), некорректное приведение типов в Blink (CVE-2017-5052), обращение к буферу после его освобождения в Blink (CVE-2017-5056) и доступ к памяти вне границ буфера в V8 … Читать далее Обновление Chrome 57.0.2987.133 с устранением критической уязвимости

Разработчики web-браузера Chrome рассматривают возможность ограничения диалогов, реализуемых средствами JavaScript и блокирующих просмотр контента. В основной массе подобные диалоги применяются для навязывания каких-то действий и вызывают значительное недовольство среди посетителей. Помимо раздражающих, но безвредных и одобренных владельцами ресурсов, всплывающих диалогов, в которых предлагается пройти различные опросы, обратиться к online-консультанту, подписаться на канал в социальной сети или подтвердить закрытие страницы, последнее время участились случаи использования данных диалогов для мошенничества или совершения вредоносных действий. Например, через рекламные сети или взлом сайтов продвигаются блоки, предлагающие обновить браузер чтобы продолжить просмотр страницы или установить поддельный антивирус под предлогом обнаружения в системе вируса, а также … Читать далее Разработчики Chrome намерены ограничить всплывающие диалоги на JavaScript

Опубликованы сведения о 0-day уязвимости в ядре Linux (CVE-2017-7184), которая была использована на соревновании Pwn2Own 2017 для демонстрации атаки на Ubuntu Linux, позволившей локальному пользователю выполнить код с правами root. Уязвимость вызвана ошибкой во фреймворке преобразования сетевых пакетов XFRM, применяемом для реализации IPsec. В функции xfrm_replay_verify_len(), вызываемой из xfrm_new_ae(), не выполнялась проверка заданного пользователем параметра replay_window, записываемого в буфер состояний. Манипулируя содержимым, связанным с данным параметром, атакующий может организовать запись и чтение данных в областях памяти ядра за пределами выделенного буфера. Несмотря на то, что эксплуатация была продемонстрирована в Ubuntu, проблема не специфична для данного дистрибутива и проявляется в любых … Читать далее Раскрыты подробности о root-уязвимости в ядре Linux, атакованной на Pwn2Own

Представлен релиз платформы оркестровки контейнеров Kubernetes 1.6, позволяющей как единым целым управлять кластером Linux-контейнеров, созданных с использованием таких инструментариев как Docker и rkt. Платформа обеспечивает эффективное распределение контейнеров по узлам кластера, производя миграцию в зависимости от изменения нагрузки и потребности в сервисах. Код Kubernetes написан на языке Go и распространяется под лицензией Apache 2.0. Проект Kubernetes изначально был основан компанией Google и позиционируется как развиваемое сообществом универсальное решение, не привязанное к отдельным системам и способное работать с любыми приложениями в любых облачных окружениях. Предоставляются функции для развёртывания и управления инфраструктурой, такие как ведение базы DNS, балансировка нагрузки, проверка работоспособности на … Читать далее Выпуск Kubernetes 1.6, системы управления кластером изолированных контейнеров

В последнюю среду марта традиционно отмечается «День свободы документов«, в который по всему миру проводятся мероприятия, направленные на продвижение среди пользователей открытых стандартов и открытых форматов. Хранение документов в открытых форматах позволяет избавиться от зависимости от коммерческих производителей ПО и гарантирует возможность прочитать сохраненную информацию и через 20 лет. Как правило, намеченные мероприятия будут связаны с проведением встреч энтузиастов и чтением в университетах докладов с рассказом о преимуществах формата ODF. К сожалению, в России, Украине и Белоруссии в этом году не нашлось инициативных групп, готовых организовать проведение тематических встреч, по крайней мере данных стран нет в списке зарегистрированных мероприятий. Читать далее Сегодня отмечается День свободы документов

В ходе совместной работы инженеры из Collabora и Google подготовили прослойку «drm_hwcomposer», обеспечивающую работу графической подсистемы платформы Android поверх штатного графического стека ядра Linux и API DRM (Direct Rendering Manager). Код прослойки drm_hwcomposer принят в основной репозиторий проекта Chrome OS. Напомним, что в Android применяются специфичные видеодрайверы, работающие в пространстве пользователя и предоставляющие интерфейс для доступа к графическому оборудованию через API Hardware Composer (HWC). Прослойка «drm_hwcomposer» работает поверх mesa и libdrm, обеспечивая трансляцию API DRM в API HWC, что позволяет реализовать поддержку HWC на базе обычных DRM-драйверов. При этом SurfaceFlinger, композитный менеджер Android, продолжает использовать API HWC и не требует … Читать далее Для Android реализована возможность применения штатных видеодрайверов Linux

Компания Google представила новый сайт opensource.google.com, в рамках которого объединены разрозненные информационные ресурсы, рассказывающие о процессах разработки, использования и поддержки СПО в компании. На сайте также собраны ссылки на все открытые проекты Google (более 2000), поддерживаемые компанией организации, а также подробности о том, как Google участвует в разработке открытого ПО и использует его в своей инфраструктуре. Из впервые опубликованных новинок, можно отметить размещение внутренней документации Google, содержащей инструкции по организации процессов разработки открытых проектов. Рассматриваются такие особенности как подготовка релизов новых проектов, приём сторонних патчей, передача патчей внешним проектам, выбор лицензии, размещение анонсов и управление открытым кодом, который также применяется … Читать далее Google запустил отдельный сайт для своих открытых проектов

Доступен корректирующий выпуск Firefox 52.0.2 в котором устранено несколько не связанных с безопасностью ошибок: Решены проблемы, приводящие к крахам при запуске на системах с Linux; Устранены проблемы с загрузкой пиктограмм вкладок после восстановления сохранённого сеанса; Для новых установок возвращён по ошибке отключённый диалог, предлагающий использовать Firefox как браузер по умолчанию в системе. Читать далее Обновление Firefox 52.0.2

После года разработки сформирован стабильный выпуск пакета NTFS-3G 2017.3.23, включающего в себя свободный драйвер, работающий в пространстве пользователя с использованием механизма FUSE, и комплект утилит ntfsprogs для манипуляций с разделами NTFS. Код проекта распространяется под лицензией GPLv2. Драйвер поддерживает чтение и запись данных в NTFS-разделах и может работать в широком спектре операционных систем, поддерживающих FUSE, в том числе в Linux, Android, OS X, FreeBSD, NetBSD, OpenBSD, Solaris, QNX и Haiku. Предоставляемая драйвером реализация файловой системы NTFS полностью совместима с операционными системами Windows XP, Windows Server 2003, Windows 2000, Windows Vista, Windows Server 2008, Windows 7, Windows 8 и Windows 10. … Читать далее Стабильный релиз NTFS-3G и ntfsprogs 2017.3.23

Представлен выпуск web-браузера Vivaldi 1.8, разрабатываемого на базе движка Chromium и продолжающего развитие идей классического браузера Opera, предоставляя широкий спектр возможностей, включая удобную систему группировки вкладок, боковую панель, конфигуратор с большим числом настроек, режим блокировки изображений и нежелательного контента, систему ведения заметок, режим горизонтального отображения вкладок. Интерфейс браузера написан на языке JavaScript с использованием библиотеки React, платформы Node.js, Browserify и различных готовых NPM-модулей. Сборки Vivaldi подготовлены для Linux, Windows и macOS. Для прошлых выпусков проект распространяет под открытой лицензией исходные тексты изменений к Chromium. Реализация интерфейса Vivaldi написана на JavaScript, доступна в исходных текстах, но под проприетарной лицензией. Основные новшества: … Читать далее Выпуск web-браузера Vivaldi 1.8

Некоммерческая организация Linux Foundation, курирующая широкий спектр работ, связанных с развитием Linux, объявила о вступлении в свои ряды компании ATT, которая получила статус платинового участника. Платиновые участники получают право вхождения представителя компании в совет директоров Linux Foundation, оплачивая при этом ежегодный взнос в размере 500 тыс. долларов. В рамках сотрудничества с Linux Foundation компания ATT открыла под лицензией Apache 2.0 исходные тексты платформы ECOMP (Enhanced Control, Orchestration, Management and Policy), которая насчитывает несколько миллионов строк кода, а также инициировала совместный свободный проект ONAP (Open Network Automation Platform), объединивший наработки ATT и OPEN-O в области автоматизации сетевой инфраструктуры. ECOMP позиционируется как … Читать далее Компания AT&T стала платиновым участником Linux Foundation и открыла код ECOMP

В утилите eject, предназначенной для инициирования операции извлечения съёмного накопителя (например, CD), обнаружена уязвимость (CVE-2017-6964), позволяющая локальному пользователю повысить свои привилегии в системе. Утилита dmcrypt-get-device (/usr/lib/eject/dmcrypt-get-device), которая вызывается при запуске eject, выполняется с флагом suid root. Расширенные права требуются только для открытия файла /dev/mapper/control, после чего привилегии сбрасываются и разбор данных от device mapper производится под обычным непривилегированным пользователем. Суть проблемы в том, что разработчики полагали, что выполнение setuid(getuid()) всегда выполнятся успешно и не выполняли проверку возвращаемого значения. Атакующий может создать условия, при которых setuid не сможет быть выполнен (например, из-за превышения лимитов RLimitMEM или RLimitNPROC) и тогда выполнение продолжится … Читать далее Уязвимость в утилите eject, позволяющая повысить свои привилегии

Компания Oracle представила релиз промышленного дистрибутива Oracle Linux 6.9, созданного на основе пакетной базы Red Hat Enterprise Linux 6.9. Дистрибутив доступен для бесплатной загрузки в сборках для архитектуры x86_64. Для пользователей Oracle Linux предоставляется неограниченный и бесплатный доступ к yum-репозиторию с бинарными обновлениями пакетов с устранением ошибок (errata) и проблем безопасности. Oracle Linux 6.9 является последним выпуском серии 6.x, в дальнейшем будут формироваться только обновления пакетов. В состав Oracle Linux 6.9 входит несколько вариантов пакетов с Linux-ядром: классический вариант от компании Red Hat (kernel-2.6.32-696.el6 для i386 и x86_64), Unbreakable Enterprise Kernel Release 2 (kernel-uek-2.6.39-400.294.3.el6uek для i386) и Unbreakable Enterprise Kernel … Читать далее Обновление промышленного дистрибутива Oracle Linux 6.9

Принадлежащее компании Nokia подразделение Alcatel-Lucent, совместно с исследовательским центром Nokia Bell Laboratories, открыли доступ к исходным текстам трёх последних редакций операционной системы Unix (оригинальный Research UNIX от Bell Labs), выпущенных в 1985, 1986 и 1989 годах. Код опубликован на условиях некоммерческого использования, без предоставления имущественных прав. В некоммерческих целях разрешается копирование, распространение, изучение и создание производных работ. Читать далее Компания Alcatel-Lucent опубликовала код 8, 9 и 10 редакций Unix

Состоялся релиз LanguageTool 3.7, свободного расширения для LibreOffice и Apache OpenOffice, ПО для проверки грамматики, орфографии, пунктуации и стиля. Программа представлена в виде расширения для LibreOffice и Apache OpenOffice, дополнений к Google Chrome и Mozilla Firefox, а также в форме независимых консольного и графического приложений. Кроме того, на сайте https://languagetool.org/ru/ работает интерактивная форма проверки грамматики и орфографии. Код обособленных приложений написан на Java 8 и распространяется под лицензией LGPL. В новой версии: Доработаны модули проверки текстов для русского, украинского, португальского, бретонского, каталанского, английского, французского, немецкого, греческого и итальянского языков. Диалоги расширения LanguageTool для LibreOffice/Apache OpenOffice теперь используют системную тему оформления … Читать далее Релиз LanguageTool 3.7, программы для проверки грамматики, орфографии, пунктуации и стиля

В сообществе Drupal разразился конфликт между Дрисом Байтаертом (Dries Buytaert), создателем системы управления контентом Drupal и сооснователем компании Acquia, и Ларри Гарфилдом (Larry Garfield), одним из наиболее активных участников сообщества, представляющим Drupal в комитете PHP Framework Interoperability Group, ведущим конференций по Drupal, разработчиком архитектуры системы хранения данных в Drupal 7 и лидером команды Drupal 8 Web Services. Конфликт возник после того, как Дрис Байтаер в частном порядке попросил Ларри Гарфилда уйти из сообщества разработчиков Drupal, так как всплыла информация о том, что Ларри приверженец BDSM и субкультуры Gorean, сторонники которой проводят ролевые игры, в которых мужчины доминируют над женщинами по … Читать далее Конфликт в сообществе Drupal из-за расхождения личных взглядов и общественных ценностей

После восьми месяцев разработки подготовлен релиз DragonFlyBSD 4.8, операционной системы с гибридным ядром, созданной в 2003 году с целью альтернативного развития ветки FreeBSD 4.x. Из особенностей DragonFly BSD можно выделить распределённую версионную файловую систему HAMMER, поддержку загрузки «виртуальных» ядер системы как пользовательских процессов, возможность кэширования данных и мета-данных ФС на SSD-накопителях, учитывающие контекст вариантные символические ссылки, возможность заморозки процессов с сохранением их состояния на диске, гибридное ядро, использующее легковесные потоки (LWKT). Из наиболее существенных новшеств DragonFlyBSD 4.8 отмечается заметное увеличение производительности ядра, поддержка EFI в инсталляторе, новый драйвер NVMe, возможность загрузки с eMMC, обновление графических драйверов для GPU Intel, переход … Читать далее Релиз операционной системы DragonFly BSD 4.8

Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 2.5.2, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Особенности LibreSSL 2.5.2: Добавлена новая функция распределения памяти recallocarray(), которая теперь используется вместо reallocarray() в некоторых подсистемах, таких как CBB и BUF_MEM_grow. Новая функция отличается тем, что производит очистку содержимого выделяемых блоков памяти, по аналогии с calloc(), а также обнуляет или отдаёт системе (unmap) не распределённые блоки памяти; В список корневых сертификатов добавлен … Читать далее Выпуск LibreSSL 2.5.2

Состоялся релиз лёгкого и быстрого почтового клиента Claws Mail 3.15.0, который в 2005 году отделился от проекта Sylpheed (с 2001 по 2005 г. проекты развивались совместно, Claws использовался для тестирования будущих новшеств Sylpheed). Интерфейс Claws Mail построен с использованием GTK+, код распространяется под лицензией GPL. Ключевые новшества: В темы оформления добавлена возможность использования векторных пиктограмм в формате SVG; В настройках Display/Summaries расширен набор опций, предлагаемых для открытия выбранного сообщения; На странице составления сообщения обеспечен показ общего размера прикреплённых вложений, а в заголовке добавлена возможность выбора «Bcc»; В списке почтовых папок добавлена поддержка копирования папок первого уровня вложенности. В диалоге выбора … Читать далее Новая версия почтового клиента Claws Mail 3.15.0