Группа анонимных исследователей опубликовала сведения об универсальном ключе, позволяющем разблокировать любое устройство, защищённое при помощи технологии Secure Boot и использующее загрузчик Microsoft. В том числе ключ позволяет снять блокировку с любых планшетов и смартфонов, поставляемых с ОС Windows. Интересно, что ключ был найден в составе отладочного инструментария, который был забыт на одном из устройств. Изучение инструментария показало, что входящий в его состав ключ позволяет обойти верификацию Secure Boot на уровне загрузчика Windows. Важно подчеркнуть, что это не PKI-ключ, применяемый для формирования цифровых подписей к исполняемым файлам, а ключ для отключения проверки в загрузчике, не влияющий на надёжность работы прошивок UEFI. … Читать далее Утечка мастер-ключа Microsoft скомпрометировала защиту Secure Boot

Компания DrWeb сообщила о выявлении нового вредоносного ПО Linux.Lady.1, поражающего серверы на базе Linux с установленными незащищёнными конфигурациями СУБД Redis. Linux.Lady.1 написан на языке программирования Go. После получения контроля над уязвимым сервером Redis программа устанавливается в систему и используется злоумышленниками как звено в кластере майнинга биткоинов. Вредоносное ПО также может заниматься сбором и отправкой информации со скомпрометированного сервера и организовывать атаки на другие системы с целью расширения ареала своего распространения. После проникновения в систему Linux.Lady.1 устанавливает себя под видом исполняемого файла /usr/sbin/ntp, создаёт сервис /etc/systemd/system/ntp.service для автоматического запуска, добавляет в ~/.ssh/authorized_keys* свой SSH-ключ и устанавливает в /etc/ssh/sshd_config возможность входа по … Читать далее Выявлено вредоносное ПО, использующее уязвимые СУБД Redis для майнинга биткоинов

На конференции Usenix Security Symposium группа исследователей из Калифорнийского университета в Риверсайде и исследовательской лаборатории армии США обнародовали сведения о возможности совершения пассивных атак на TCP, позволяющих удалённо инициировать разрыв сетевого соединения или осуществить подстановку своих пакетов в TCP-поток к клиенту или серверу. В отличие от MITM-атак, новый метод не требует контроля за коммуникациями — для атаки достаточно знать IP-адрес сервера, IP-адрес клиента и сетевой порт сервера. В рамках доклада был продемонстрирован рабочий пример атаки, в результате которой в запрошенную одним из пользователей web-страницу с известного новостного сайта была осуществлена подстановка стороннего блока данных. Кроме того упомянута возможность применения атаки … Читать далее Уязвимость, позволяющая вклиниться в стороннее TCP-соединение

Компания Google объявила о форсировании продвижения технологий HTML5 путём введении новых ограничений по обработке Flash-контента в web-браузере Chrome. В сентябрьском релизе Chrome 53 будет осуществлена блокировка невидимого Flash-контента, такого как счётчики и генераторы идентификаторов. Ожидается, что блокирование данного вида контента сократит энергопотребление систем и увеличит отзывчивость при просмотре многих сайтов. Похожее решение ранее также было принято разработчиками Firefox. В декабрьском выпуске Chrome 55 по умолчанию будет продвигаться применение HTML5, за исключением сайтов, которые поддерживают только Flash. Вместо клика для активации конкретного контента при первом открытии подобных сайтов будет выводиться общее уведомление с предложением включить Flash. Читать далее В Chrome вводятся ограничения по воспроизведению Flash-контента

После восьми лет работы опубликован свободный анимационный фильм «Марья Моревна» (Marya Morevna), подготовленного в стиле «аниме» c сюжетом по мотивам русских народных сказок. Мультфильм опубликован под лицензией Creative Commons Attribution-ShareAlike 4.0. Исходные материалы, полученные в процессе создания мультфильма, будут опубликованы 23 августа под свободной лицензией, допускающей создание производных работ. В процессе производства мультфильма использовано только свободное программное обеспечение, и в частности пакет для векторной 2D-анимации Synfig, развиваемый в кооперации с создателями Моревна. При подготовке фильма на практике опробованы последние новшества экспериментальной ветки Synfig, такие как новый движок рендеринга Cobra и компоненты для интеграции с ПО Papagayo Lipsync. В ближайшее время … Читать далее Увидел свет свободный мультфильм Моревна, подготовленный в пакете Synfig

Состоялся первый релиз фреймворка Kirigami UI, развиваемого проектом KDE в качестве средства для быстрой разработки адаптивных приложений, работающих без изменения на настольных и мобильных системах. Фреймворк является надстройкой над Qt Quick Controls и использует в качестве основы уже предоставляемые в Qt Quick элементы, такие как кнопки и поля ввода текста. Со своей стороны Kirigami даёт возможность комбинировать данные элементы в готовые блоки построения интерфейса, например, позволяет построить интерфейс в форме набора горизонтально сдвигаемых страниц, которые отображаются по одной или группируются в зависимости от размера экрана. Приложения, использующие Kirigami, автоматически адаптируются к размеру экрана и доступным методам ввода, что позволяет комфортно … Читать далее Проект KDE опубликовал первый релиз Kirigami UI, фреймворка для построения интерфейса

Доступен релиз программы для управления коллекцией фотографий digiKam 5.1.0. Это второй значительный выпуск ветки 5.x, в которой осуществлён перевод на Qt 5 и KDE Framework 5. Кроме исправления ошибок в новой версии продолжена работа по интеграции средств для применения MySQL в качестве хранилища БД, внесены изменения для ускорения запуска программы, добавлена опция для отключения сканирования новых элементов при запуске, обновлены компоненты для обработки изображений в режиме RAW. Добавлена возможность применения RAW-режима в камерах: Canon 80D, 1300D, 1DX MkII Fujifilm X-Pro2, X70, X-E2S HTC One A9, M9 Leica M, X-U Nikon D5 Olympus Pen F, SH-3 Panasonic DMC-GX80/85, DMC-TZ80/81/85/ZS60, DMC-TZ100/101/ZS100 PhaseOne … Читать далее Выпуск программы для управления фотографиями digiKam 5.1

В системе Fedora Account System (FAS), используемой для авторизации и организации входа разработчиков Fedora в различные web-сервисы проекта, в том числе в репозитории git и Bugzilla, выявлена проблема с безопасностью (CVE-2016-1000038), позволяющая без авторизации выполнить HTTP-запрос от имени любого пользователя инфраструктуры. Уязвимость связана с логической ошибкой в коде, из-за которой web-приложение FAS может принять некорректный поддельный клиентский сертификат. При установке заголовка X-Client-Verify осуществлялось копирование логина из заголовка X-Client-CN, выставлялся флаг успешной авторизации и пропускалась стадия проверки пароля. Проблема решена в свежем выпуске FAS путём удаления кода поддержки авторизации по клиентским сертификатам, который выглядел скорее как заглушка, чем работающий код. При … Читать далее Серьёзная уязвимость в инфраструктуре проекта Fedora Linux

Студия OKAM опубликовала выпуск свободного игрового движка Godot 2.1, предоставляющего средства для создания 2D- и 3D-игр, простой для изучения API и язык задания игровой логики, удобную графическую среду для разработки и проектирования игр, систему развёртывания игр в один клик, богатые возможности анимации и симуляции физических процессов, мощный встроенный отладчик и систему выявления узких мест в производительности. Исходные тексты движка были открыты в 2014 году, после десяти лет развития проприетарного продукта профессионального уровня, который использовался для создания и публикации многих игр для PC, игровых консолей и мобильных устройств. Код игрового движка, среды проектирования игр и сопутствующих средств разработки (физический движок, звуковой … Читать далее Выпуск открытого игрового движка Godot 2.1

Поле четырёх месяцев разработки доступен релиз инструментария хKaitai Struct 0.4 — языка для описания форматов сериализации произвольных бинарных структур данных. Идея Kaitai Struct заключается в том, что формат данных описывается с помощью простого декларативного языка на основе YAML, а затем это описание можно скомпилировать в готовый код парсера на любом из поддерживаемых языков. Для облегчения отладки предлагается визуализатор, в котором можно наблюдать, как сериализованная в файле структура раскладывается в дерево взаимосвязанных объектов в соответствии с описанием. Основные новшества: Поддержка новых целевых языков: полностью поддерживается C#, предварительно поддерживается C++ (на основе стандартной библиотеки STL). Поддержка новых типов данных: типы с плавающей … Читать далее Релиз системы разбора произвольных бинарных файлов Kaitai Struct 0.4

Окружной суд Гамбурга (Германия) отклонил иск против компании VMware, инициированный Кристофом Хелвигом (Christoph Hellwig), известным разработчиком ядра Linux, при поддержке правозащитной организацией Software Freedom Conservancy (SFC). Хелвиг не согласен с позицией суда и намерен подать апелляцию. Суд отклонил дело не из-за согласия с позицией VMware, а из-за отсутствия экспертизы и неопределённости с имущественными правами на код (ядро развивается руками тысяч разработчиков и возникает вопрос выделения авторских прав отдельных участников). По существу дела решения не вынесено. В качестве причины непринятия для рассмотрения примеров заимствования кода, отмечено несоответствие представленных данных требованиям к предоставлению доказательств — в отличие от судов США, в немецком … Читать далее Суд отклонил иск о нарушении компанией VMware лицензии GPL

Спустя три с половиной года с момента прошлого выпуска представлен релиз набора GNU Diffutils 3.4, включающего утилиты для оценки различий в файлах, такие как diff, diff3, sdiff и cmp. В новой версии представлено два значительных улучшения: Добавлена опция «—color», при помощи которой можно сформировать наглядное выделение различий цветом. Опционально поддерживается передача параметра, определяющего в каких ситуациях применять подсветку строк: «—color=always», «—color=auto» и «—color=never». Для настройки цветов предоставлена опция «—palette». Впервые с 1993 года внесены изменения в предлагаемый по умолчанию алгоритм выявления различий. Изменения позволили увеличить качество вывода результатов сравнения, ценой небольшого повышения нагрузки на CPU. Читать далее Выпуск GNU Diffutils 3.4 с поддержкой цветного вывода

Состоялся релиз лёгкого и быстрого почтового клиента Claws Mail 3.14.0, который отделился от проекта Sylpheed в 2005 году (с 2001 по 2005 г. проекты развивались совместно, Claws использовался для тестирования будущих новшеств Sylpheed). Интерфейс Claws Mail построен с использованием GTK+, код распространяется под лицензией GPL. Ключевые новшества: Добавлена возможность защиты сохранённых паролей при помощи мастер-пароля; Изменён метод хранения паролей — все пароли теперь хранятся в отдельном файле ~/.claws-mail/passwordstorerc с применением шифрования (используется AES-256-CBC с мастер-паролем или сгенерированным ключом PASSCRYPT_KEY). После обновления Claws Mail до версии 3.14.0 старые пароли будут перенесены в новый файл автоматически; В окне написания сообщения удалена полоса … Читать далее Выпуск почтового клиента Claws Mail 3.14.0

Доступен релиз SQLite 3.14.0, легковесной базы данных, оформленной в виде подключаемой библиотеки. Код SQLite распространяется как общественное достояние (public domain), т.е. может использоваться без ограничений и безвозмездно в любых целях. Финансовую поддержку разработчиков SQLite осуществляет специально созданный консорциум, в который входят такие компании, как Adobe, Oracle, Mozilla, Bentley и Bloomberg. Основные новшества: Возможность создавать виртуальные таблицы без идентификаторов строк (режим «WITHOUT ROWID«); В планировщик запросов внесены изменения, позволившие задействовать оптимизации выражения «OR» в виртуальных таблицах при наличии нескольких операторов LIKE, GLOB, REGEXP и MATCH; Добавлена виртуальная таблица CSV для упрощения импорта файлов в формате CSV; Добавлена функция carray(); Добавлено загружаемое … Читать далее Релиз СУБД SQLite 3.14.0

Компания Check Point раскрыла информацию о четырёх уязвимостях в платформе Android, представленных публике под кодовым именем «QuadRooter». Уязвимости проявляются на устройствах с чипами Qualcomm и позволяют выполнить код с правами root, в обход всех имеющихся механизмов защиты, включая SELinux. Уязвимость может быть эксплуатирована из пользовательского приложения, не требующего дополнительных полномочий. Две уязвимости (CVE-2016-2503, CVE-2016-2504) вызваны обращением к уже освобождённым блокам памяти (use-after-free) в специфичном для Android модуле ядра kgsl (Kernel Graphics Support Layer). Одна уязвимость (CVE-2016-2059) присутствует в модуле ipc_router, применяемом для организации обмена данными между различными компонентами Qualcomm. Ещё одна проблема (CVE-2016-5340) проявляется в модуле «ashmem«, который проходит тестирование … Читать далее В платформе Android выявлены 4 уязвимости, позволяющие получить root-доступ

Доступен Urho3D 1.6, новый релиз свободного игрового движка для 2D/3D. Код проекта распространяется под лицензией MIT. Urho3D поддерживает множество платформ (Windows, Linux, Mac OS X, Android, iOS, Raspberry Pi, HTML5), очень быстр, легковесен, позволяет создавать игры на языках C++, AngelSript и LUA. Существует также порт для платформы .Net. Принципы применения движка достаточно близки к Unity, что позволяет быстро освоить применение Urho3D разработчиками, знакомыми с Unity. Некоторые новшества Urho3D 1.6: Высокопроизводительная реализация PBR (Physically Based Rendering — физически корректный рендеринг). Шлейфы (Ribbon Trail). Новые методы рендеринга теней: Variance Shadow Mapping и Normal Offset Shadows. Поддержка тегов для узлов сцены и элементов … Читать далее Релиз свободного игрового движка Urho3D 1.6

В рамках проекта Crystal развивается новый язык программирования, разработчики которого намерены создать язык удобный как Ruby при разработке, но быстрый как Си при выполнении приложений. Код компилятора написан на языке Crystal и распространяется под лицензией Apache 2.0. Синтаксис Crystal очень близок к языку Ruby (без переработки выполняются некоторые ruby-программы), но разработчики не ставят целью обеспечение полной совместимости. В языке применяется статическая проверка типов, но без необходимости явного указания типов переменных и аргументов методов в коде. Программы на Crystal компилируются в исполняемые файлы, с вычислением макросов и генерацией кода во время компиляции. С производительностью не всё однозначно: на текущей альфа-стадии развития … Читать далее Язык Crystal пытается совместить производительность Си и удобство Ruby

После четырёх лет разработки увидел свет релиз легковесного окружения рабочего стола Lumina 1.0, развиваемого проектом TrueOS (бывший PC-BSD). Lumina 1.0 позиционируется как выпуск, ознаменовавший стабилизацию проекта и переход на новый график формирования релизов, которые будут выпускаться чаще, с еженедельными или ежемесячными промежуточными выпусками. Компоненты окружения написаны с использованием библиотеки Qt5 (без применения QML). В качестве оконного менеджера применяется Fluxbox, но в одном из следующих значительных выпусков планируется заменить его на оконный менеджер собственной разработки Код проекта написан на языке C++ и распространяется под лицензией BSD. Новый выпуск Lumina уже доступен через систему портов FreeBSD и добавлен в репозиторий PC-BSD «Edge» … Читать далее Первый стабильный выпуск рабочего стола Lumina

Firefox 49 перешёл на стадию бета-тестирования, что ознаменовало прекращение формирования базовой функциональности и сосредоточение всего внимания на выявлении ошибок и контроле качества. Одновременно сформирован выпуск Firefox Developer Edition 50, который заменил собой aurora-ветку, в рамках которой проводится оценка готовности тех или иных новшеств для последующего бета-выпуска. Загрузить бета-выпуск можно на данной странице, а Firefox Developer Edition здесь. Релиз Firefox 49 намечен на 13 сентября, а Firefox 50 на 8 ноября. Улучшения, представленные в бета-версии Firefox 49: В режим читателя (Reader Mode) добавлена возможность использования синтезатора речи для голосового чтения содержимого страницы. Имеется возможность регулирования темпа речи и выбора голосового набора … Читать далее Тестирование Firefox 49-beta и Firefox Developer Edition 50

Доступен выпуск Wifislax 4.12, специализированного Live-дистрибутива с подборкой инструментов для проверки безопасности систем, изучения работы WiFi-сетей и проведения криминалистического анализа. Дистрибутив построен на пакетной базе Slackware 14.2 и предлагает два графических окружения на базе KDE 4.14.3 и Xfce 4.12. В дистрибутиве задействовано ядро Linux 4.4.16. Ранее поставляемый Chrome заменён на Firefox из-за прекращения поддержки в Chrome 32-разрядных Linux-систем. Размер iso-образа 1.7 Гб. Читать далее Выпуск Wifislax 4.12, дистрибутива для тестирования Wi-Fi

Компания Canonical представила новый выпуск Snapd 2.11, инструментария для управлениями самодостаточными пакетами в формате snap, а также Snapcraft 2.13, утилит для формирования пакетов Snap. Новые версии уже включены в состав репозиториев Ubuntu 16.04. Основные улучшения: Добавлена команда «snap revert» позволяющая откатить обновление пакета до ранее установленной версии; В команду «snap find» добавлена опция «—private», при указании которой операция поиска охватывает только приватные пакеты, полученные не из публично доступных источников; Добавлена команда «snap buy», при помощи которой можно выбрать систему оплаты, используемую для покупки небесплатных snap-пакетов; Добавлена команда «snap disable», при помощи которой можно временно заблокировать определённый установленный пакет, после чего … Читать далее Обновление инструментов Snapd 2.11 и Snapcraft 2.13 для самодостаточных пакетов Snap