The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

11.08.2020 Атака на пользователей Tor, в которую вовлечено четверть мощности выходных узлов (70 +13)
  Автор проекта OrNetRadar, занимающегося мониторингом подключения новых групп узлов к анонимной сети Tor, опубликовал отчёт о выявлении крупного оператора вредоносных выходных узлов Tor, который пытается манипулировать трафиком пользователей. В соответствии с приведённой статистикой 22 мая было зафиксировано подключение к сети Tor большой группы вредоносных узлов, в результате которого атакующие получили контроль над трафиком, охватывающим 23.95% от всех обращений через выходные узлы.

В пик своей активности вредоносная группа насчитывала около 380 узлов. Связав узлы на основе контактных email, указанных на серверах с вредоносной активностью, исследователям удалось выявить как минимум 9 разных кластеров вредоносных выходных узлов, действующих около 7 месяцев. Разработчики Tor попытались заблокировать вредоносные узлы, но атакующие быстро восстановили свою активность. В настоящее время число вредоносных узлов снизилось, но через них по-прежнему проходит более 10% трафика.

Из зафиксированной на вредоносных выходных узлах активности отмечается выборочное удаление перенаправлений на HTTPS-варианты сайтов при изначальном обращении к ресурсу без шифрования по HTTP, что позволяет злоумышленникам перехватывать содержимое сеансов без подмены TLS-сертификатов (атака "ssl stripping"). Подобный подход срабатывает у пользователей, которые набирают адрес сайта без явного указания "https://" перед доменом и после открытия страницы не акцентируют внимание на название протокола в адресной строке Tor Browser. Для защиты от блокирования перенаправления на HTTPS сайтам рекомендуется использовать HSTS preloading.

Для затруднения выявления вредоносной активности подмена осуществляется выборочно на отдельных сайтах, в основном связанных с криптовалютами. Если в незащищённом трафике выявляется bitcoin-адрес, то в трафик вносятся изменения для замены bitcoin-адреса и перенаправления транзакции на свой кошелёк. Вредоносные узлы размещаются у провайдеров, пользующихся популярностью при размещении нормальных узлов Tor, таких как OVH, Frantech, ServerAstra и Trabia Network.

  1. OpenNews: Представлен Tor2web 2.0, проект по созданию анонимных web-сервисов на базе технологий Tor
  2. OpenNews: Массовая атака на уязвимые почтовые серверы на основе Exim
  3. OpenNews: Выпуск новой стабильной ветки Tor 0.4.2
  4. OpenNews: Новый вид теоретической атаки по деанонимизации в Tor
  5. OpenNews: Предупреждение об атаках на Tor Browser с применением неисправленной уязвимости
Обсуждение (70 +13) | Тип: Проблемы безопасности |
10.08.2020 Плачевная ситуация с безопасностью спутникового интернета (117 +22)
  На прошедшей конференции Black Hat был представлен доклад, посвящённый проблемам с безопасностью в системах спутникового доступа к интернету. Автор доклада, используя недорогой DVB-приёмник, продемонстрировал возможность перехвата интернет-трафика, передаваемого через спутниковые каналы связи.

Клиент может подключаться к провайдеру спутниковой связи через асимметричные или симметричные каналы. В случае асимметричного канала исходящий трафик от клиента отправляется через наземного провайдера, а принимается через спутник. В симметричных каналах исходящий и входящий трафик проходит через спутник. Адресованные клиенту пакеты отправляются со спутника с использованием широковещательной передачи, включающей трафик разных клиентов, независимо от их территориального размещения. Подобный трафик перехватить не составило труда, но перехватить отправляемый через спутник исходящий от клиента трафик оказалось не так просто.

Для обмена данными между спутником и провайдером обычно используется сфокусированная передача, требующая чтобы атакующий находился в нескольких десятках километров от инфраструктуры провайдера, а также применяются иной частотный диапазон и форматы кодирования, анализ которых требует наличия дорогого провайдерского оборудования. Но даже если провайдер использует обычный Ku-диапазон, как правило частоты для разных направлений отличаются, что требует для перехвата в обоих направлениях применения второй спутниковой тарелки и решения задачи синхронизации потоков.

Предполагалось, что для организации перехвата спутниковых коммуникаций необходимо спецоборудование, которое стоит десятки тысяч долларов, но на деле подобную атаку удалось реализовать при помощи обычного DVB-S тюнера для спутникового телевидения (TBS 6983/6903) и параболической антенны. Общая стоимость набора для атаки составила приблизительно 300 долларов. Для направления антенны на спутники использовалась общедоступная информация о расположении спутников, а для обнаружения каналов связи применялось типовое приложение, предназначенное для поиска спутниковых телеканалов. Антенна направлялась на спутник и запускался процесс сканирования Ku-диапазона.

Каналы идентифицировались через определение пиков в радиочастотном спектре, заметных на фоне общего шума. После выявления пика DVB-карта настраивалась на интерпретацию и запись сигнала как обычной цифровой видеотрансляции для спутникового телевидения. При помощи пробных перехватов определялся характер трафика и отделялись интернет-данные от цифрового телевидения (применялся банальный поиск в выданном DVB-картой дампе по маске "HTTP", в случае нахождения которой считалось, что найден канал с интернет-данными).

Исследование трафика показало, что все проанализированные провайдеры спутникового интернета не применяют по умолчанию шифрование, что позволяет беспрепятственно прослушивать трафик. Примечательно, что предупреждения о проблемах с безопасностью спутникового интернета публиковались ещё 15 лет назад, но с тех пор ситуация не изменилась, несмотря на внедрение новых методов передачи данных. Переход на новый протокол GSE (Generic Stream Encapsulation) для инкапсуляции интернет-трафика и применение сложных систем модуляции, таких как 32-мерная амплитудная модуляция и APSK (Phase Shift Keying), не усложнили проведение атак, но стоимость оборудования для перехвата теперь снизилась с $50000 до $300.

Значительным недостатком при передаче данных через спутниковые каналы связи является очень большая задержка доставки пакетов (~700 ms), которая в десятки раз превышает задержки при отправке пакетов по наземным каналам связи. Данная особенность имеет два существенных негативных влияния на безопасность: нераспространённость VPN и незащищённость против спуфинга (подмены пакетов). Отмечается, что применение VPN замедляет передачу примерно на 90%, что с учётом самих по себе больших задержек делает VPN практически неприменимым со спутниковыми каналами.

Незащищённость от спуфинга объясняется тем, что атакующий может полностью прослушивать приходящий к жертве трафик, что позволяет определять идентифицирующие соединения номера последовательностей в TCP-пакетах. При отправке поддельного пакета через наземный канал он практически гарантировано придёт раньше реального пакета, передаваемого по спутниковому каналу с большими задержками и дополнительно проходящего через транзитного провайдера.

Наиболее лёгкой целью для атак на пользователей спутниковых сетей является DNS-трафик, незашифрованный HTTP и электронная почта, которые, как правило, используются клиентами без шифрования. Для DNS легко организовать отправку фиктивных DNS-ответов, привязывающих домен к серверу атакующего (атакующий может сгенерировать фиктивный ответ сразу после того как подслушал в трафике запрос, в то время как реальный запрос ещё должен пройти через провайдера, обслуживающего спутниковый трафик). Анализ почтового трафика позволяет перехватывать конфиденциальную информацию, например, можно инициировать процесс восстановления пароля на сайте и подсмотреть в трафике отправленное по email сообщение с кодом подтверждения операции.

В ходе эксперимента было перехвачено около 4 ТБ данных, передаваемых 18 спутниками. Использованная конфигурация в определённых ситуациях не обеспечивала надёжного перехвата соединений из-за низкого соотношения сигнал-шум и получения неполных пакетов, но собираемой информации оказалось достаточно для компрометации. Некоторые примеры того, что удалось найти в перехваченных данных:

  • Перехвачена передаваемая на самолёты навигационная информация и другие данные авионики. Данные сведения не только передавались без шифрования, но и в одном канале с трафиком общей бортовой сети, через которую пассажиры отправляют почту и просматривают сайты.
  • Перехвачена сессионная Cookie администратора ветрогенератора на юге Франции, подключившегося к системе управления без шифрования.
  • Перехвачен обмен информацией о технических проблемах на египетском нефтяном танкере. Кроме сведений о том, что судно не сможет около месяца выйти в море, были получена данные об имени и номере паспорта инженера, ответственного за устранение неполадки.
  • Круизный лайнер передавал конфиденциальную информацию о своей локальной сети на базе Windows, включая данные о подключении, хранимые в LDAP.
  • Испанский юрист отправил клиенту письмо с деталями о предстоящем деле.
  • В ходе перехвата трафика к яхте греческого миллиардера был перехвачен отправленный по email пароль восстановления учётной записи в сервисах Microsoft.


  1. OpenNews: История о нарушении GPL провайдерами спутникового телевидения
  2. OpenNews: Атака на микрофоны систем голосового управления при помощи лазера
  3. OpenNews: Техника воссоздания речи через анализ вибрации лампы в подвесном светильнике
  4. OpenNews: Проект по созданию полностью открытого устройства для приема ТВ-каналов
  5. OpenNews: Продемонстрирована атака на Smart TV через подмену сигнала цифрового телевидения
Обсуждение (117 +22) | Тип: Проблемы безопасности |
09.08.2020 Доступен Akira, новый векторный графический редактор для Linux (134 +40)
  Опубликованы первые тестовые выпуски редактора векторной графики Akira, ориентированного на использование графическими дизайнерами и web-дизайнерами для создания макетов интерфейсов. Программа написана на языке Vala с использованием библиотеки GTK и распространяется под лицензией GPLv3. Сборки подготовлены в форме пакетов для elementary OS и в универсальных форматах snap и flatpak. Интерфейс спроектирован в соответствии с рекомендациями, подготовленными проектом elementary OS, и сфокусирован на высокой производительности, интуитивной понятности и современном внешнем виде.

Конечной целью проекта является создание профессионального инструмента для дизайнеров интерфейсов, чем то похожего на Sketch, Figma или Adobe XD, но сосредоточенного на использовании Linux в качестве основной платформы. В отличие от Glade и Qt Creator новый редактор не предназначен для генерации кода или рабочих интерфейсов с использованием определённых тулкитов, а нацелен на решение более общих задач, таких как создание макетов интерфейса, визуализиации и векторной графики. Akira не пересекается с Inkscape так как Inkscape в основном ориентирован на печатный дизайн, а не на разработку интерфейсов, и также отличается подходом к организации рабочего процесса.

Из особенностей Akira отмечается представление каждой фигуры, как отдельного контура с двумя уровнями редактирования: первый уровень (редактирование фигуры) включается при выделении и предоставляет средства для типовых трансформаций, таких как вращение, изменение размера и т.п. Второй уровень (редактирование контура) позволяет перемещать, добавлять и удалять узлы контура фигуры, используя кривые Безье, а также замыкать или разрывать контуры. Для сохранения файлов в Akira применяется собственный формат ".akira", представляющий собой zip-архив с SVG-файлами и локальным git-репозиторием с изменениями. Поддерживается экспорт изображений в SVG, JPG, PNG и PDF.

  1. OpenNews: Выпуск редактора векторной графики Inkscape 1.0
  2. OpenNews: Выпуск экспериментального векторного графического редактора VPaint 1.7
  3. OpenNews: Выпуск векторного графического редактора sK1 2.0RC2
  4. OpenNews: Объявлено о скором открытии кода векторного графического редактора Gravit
  5. OpenNews: Началось альфа-тестирование векторного графического редактора Skencil 1.0
Обсуждение (134 +40) | Тип: Программы |
08.08.2020 Новый вариант атаки Foreshadow, затрагивающий процессоры Intel, AMD, ARM и IBM (131 +42)
  Группа исследователей из Грацского технического университета (Австрия) и Центра Гельмгольца по информационной безопасности (CISPA), выявила (PDF) новый вектор применения атаки по сторонним каналам Foreshadow (L1TF), позволяющей извлечь данные из памяти анклавов Intel SGX, SMM (System Management Mode), областей памяти ядра ОС и виртуальных машин в системах виртуализации. В отличие от предложенной в 2018 году изначальной атаки Foreshadow новый вариант не специфичен для процессоров Intel и затрагивает CPU других производителей, таких как ARM, IBM и AMD. Кроме того, новый вариант не требует высокой производительности и атака может быть осуществлена даже при помощи запуска JavaScript и WebAssembly в web-браузере.

Атака Foreshadow пользуется тем, что при доступе к памяти по виртуальному адресу, приводящему к исключению (terminal page fault), процессор спекулятивно рассчитывает физический адрес и загружает данные, если они имеются в L1-кэше. Спекулятивное обращение выполняется до завершения перебора таблицы страниц памяти и независимо от состояния записи в таблице страниц памяти (PTE), т.е. до проверки наличия данных в физической памяти и их доступности для чтения. После завершения проверки доступности памяти, в случае отсутствия флага Present в PTE операция отбрасывается, но данные оседают в кэше и их можно извлечь при помощи методов определения содержимого кэша по сторонним каналам (через анализ изменения времени доступа к прокэшированным и не прокэшированным данным).

Исследователи показали, что имеющиеся методы защиты от Foreshadow неэффективны и реализованы с неверной трактовкой проблемы. Уязвимость Foreshadow может быть эксплуатирована независимо от применения в ядре механизмов защиты, которые ранее считались достаточными. В итоге исследователями была продемонстрирована возможность совершения атаки Foreshadow в системах с относительно старыми ядрами, в которых включены все имеющиеся режимы защиты от Foreshadow, а также с новыми ядрами, в которых отключена только защита от Spectre-v2 (используется опция ядра Linux nospectre_v2).

Было обнаружено, что эффект упреждающей загрузки не связан с программными инструкциями prefetch или аппаратным эффектом упреждающей загрузки в процессе доступа к памяти, а возникает при спекулятивном разыменовании регистров пространства пользователя в ядре. Подобное неверное толкование причины возникновения уязвимости изначально привело к предположению, что утечка данных в Foreshadow может произойти только через кэш L1, в то время как наличие в ядре определённых отрывков кода (prefetch-гаджетов) может способствовать утечке данных вне L1-кэша, например, в кэш L3.

Выявленная особенность также открывает возможности по созданию новых атак, нацеленных на процессы трансляции виртуальных адресов в физические в изолированных окружениях и определение адресов и данных, сохранённых в регистрах CPU. В качестве демонстраций исследователи показали возможность использования выявленного эффекта для извлечения данных из одного процесса в другой с производительностью около 10 бит в секунду на системе с CPU Intel Core i7-6500U CPU. Также показана возможность утечки содержимого регистров из анклава Intel SGX (на определение 32-разрядного значения, записанного в 64-разрядный регистр ушло 15 минут). Некоторые виды атак оказалось возможным реализовать на JavaScript и WebAssembly, например, удалось определить физический адрес JavaScript-переменной и заполнить 64-разрядные регистры значением, контролируемым атакующим.

Для блокирования атаки Foreshadow через кэш L3 эффективен метод защиты Spectre-BTB (Branch Target Buffer), реализованный в наборе патчей retpoline. Таким образом, исследователи считают необходимым оставить retpoline включённым даже на системах с новыми CPU, в которых уже имеется защита от известных уязвимостей в механизме спекулятивного выполнения инструкций CPU. При этом представители Intel заявили, что не планируют добавлять в процессоры дополнительные меры защиты от Foreshadow и считают достаточным включения защиты от атак Spectre V2 и L1TF (Foreshadow).

  1. OpenNews: LVI - новый класс атак на механизм спекулятивного выполнения в CPU
  2. OpenNews: L1TF - три новые уязвимости в механизме спекулятивного выполнения CPU Intel
  3. OpenNews: Выявлен новый вариант атаки Zombieload на процессоры Intel
  4. OpenNews: L1DES (CacheOut) и VRS - новые уязвимости в микроархитектурных структурах CPU Intel
  5. OpenNews: Две атаки на механизм предсказания каналов кэша в процессорах AMD
Обсуждение (131 +42) | Тип: Проблемы безопасности |
08.08.2020 Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI (385 +33)
  Китай внедрил блокировку всех HTTPS-соединений, в которых используется протокол TLS 1.3 и TLS-расширение ESNI (Encrypted Server Name Indication), обеспечивающее шифрование данных о запрашиваемом хосте. Блокировка осуществляется на транзитных маршрутизаторах как для соединений, устанавливаемых из Китая во внешний мир, так и из внешнего мира в Китай.

Для блокировки выполняется отбрасывание пакетов от клиента к серверу, а не подстановка пакетов с флагом RST, которая ранее выполнялась при выборочной блокировке по содержимому SNI. После срабатывания блокировки пакета с ESNI в течение от 120 до 180 секунд также блокируются все сетевые пакеты, соответствующие связке из исходного IP, целевого IP и номера порта назначения. HTTPS-соединения на основе старых версий TLS и TLS 1.3 без ESNI пропускаются как обычно.

Напомним, что для организации работы на одном IP-адресе нескольких HTTPS-сайтов было разработано расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет добиться полной конфиденциальности при применении HTTPS.

Новое TLS-расширение ECH (ранее ESNI), которое может применяться совместно с TLS 1.3, устраняет этот недостаток и полностью исключает утечку сведений о запрашиваемом сайте при анализе HTTPS-соединений. В сочетании с обращением через сеть доставки контента применение ECH/ESNI также даёт возможность скрыть от провайдера и IP-адрес запрашиваемого ресурса. Системы инспектирования трафика будут видеть только обращения к CDN и не смогут применить блокировку без подмены TLS-сеанса, в случае которой в браузере пользователя будет показано соответствующее уведомление о подмене сертификата. Возможным каналом утечки остаётся DNS, но для скрытия обращения к DNS клиентом может применяться DNS-over-HTTPS или DNS-over-TLS.

Исследователи уже выявили несколько обходных путей для преодоления китайской блокировки на стороне клиента и сервера, но они могут потерять актуальность и их следует рассматривать лишь как временную меру. Например, в настоящее время блокируются только пакеты с идентификатором расширения ESNI 0xffce (encrypted_server_name), который использовался в пятой версии черновика стандарта, но пока пропускаются пакеты с актуальным идентификатором 0xff02 (encrypted_client_hello), предложенным в седьмом черновике спецификации ECH.

Другим вариантом обхода является использование нестандартного процесса согласования соединения, например, блокировка не срабатывает при предварительной отправке дополнительного SYN-пакета с неверным номером последовательности, манипуляциями с флагами фрагментирования пакетов, отправке пакета с одновременно выставленными флагами FIN и SYN, подстановке RST-пакета с некорректной контрольной суммой или отправке до начала согласования соединения пакета с флагами SYN и ACK. Описанные методы уже реализованы в форме плагина к инструментарию Geneva, развиваемого для обхода методов цензурирования.

  1. OpenNews: Опубликован RFC для TLS 1.3
  2. OpenNews: Проект Geneva развивает движок для автоматизации обхода цензурирования трафика
  3. OpenNews: В Казахстане ряд крупных провайдеров внедрил перехват HTTPS-трафика
  4. OpenNews: Mozilla, Cloudflare, Fastly и Apple работают над применением шифрования для SNI
  5. OpenNews: В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике
Обсуждение (385 +33) | Тип: К сведению |
08.08.2020 Facebook представил Pysa, статический анализатор для языка Python (67 +6)
  Facebook представил открытый статический анализатор Pysa (Python Static Analyzer), предназначенный для выявления потенциальных уязвимостей в коде на языке Python. Новый анализатор оформлен в виде надстройки над инструментарием для проверки типов Pyre и размещён в его репозитории. Код опубликован под лицензией MIT.

Pysa обеспечивает анализ потоков данных в результате выполнения кода, что позволяет выявлять многие потенциальные уязвимости и проблемы с конфиденциальностью, связанные с использованием данных в тех местах, где они не должны фигурировать. Например, Pysa может отследить использование неочищенных внешних данных в вызовах, приводящих к запуску внешних программ, в файловых операциях и в конструкциях SQL.

Работа анализатора сводится к определению источников поступления данных и опасных вызовов, в которых исходные данные не должны применяться. В качестве источника рассматриваются данные из web-запросов (например, словарь HttpRequest.GET в Django), а в качестве опасных применений вызовы типа eval и os.open. Pysa отслеживает прохождение данных по цепочке вызовов функций и связывает исходные данные с потенциально опасными местами в коде. В качестве типовой уязвимости, выявленной при помощи Pysa, упоминается проблема с открытым редиректом (CVE-2019-19775) в платформе обмена сообщениями Zulip, вызванная передачей неочищенных внешних параметров при выводе миниатюр.

Возможности Pysa по отслеживанию потоков данных могут применяться для проверки корректности использования дополнительных фреймворков и для определения соответствия политики использования данных пользователя. Например, Pysa без дополнительных настроек может применяться для проверки проектов, использующих фреймворки Django и Tornado. Pysa также может выявлять типовые уязвимости в web-приложениях, такие как подстановка SQL-кода и межсайтовый скриптинг (XSS).

В Facebook анализатор применяется для проверки кода сервиса Instagram. За первый квартал 2020 года Pysa помог выявить 44% из всех проблем, найденных инженерами Facebook в серверной кодовой базе Instagram. Всего в процессе автоматизированной проверки изменений при помощи Pysa было выявлено 330 проблем, 49 (15%) из которых были оценены как значительные, а 131 (40%) неопасные. В 150 случаях (45%) проблемы были отнесены к ложным срабатываниям.

  1. OpenNews: Выпуск Psalm 3.12, статического анализатора для языка PHP. Альфа выпуск PHP 8.0
  2. OpenNews: Yandex опубликовал статический анализатор файлов конфигурации nginx
  3. OpenNews: Facebook открыл RacerD, статический анализатор для многопоточного кода на Java
  4. OpenNews: Релиз свободного статического анализатора кода frama-clang 0.0.5
  5. OpenNews: Релиз статического анализатора cppcheck 2.1
Обсуждение (67 +6) | Тип: Программы |
07.08.2020 Уязвимость в чипах Qualcomm и MediaTek, позволяющая перехватить часть трафика WPA2 (41 +22)
  Исследователи из компании Eset выявили новый вариант (CVE-2020-3702) уязвимости Kr00k, применимый к беспроводным чипам Qualcomm и MediaTek. Как и первый вариант, которому были подвержены чипы Cypress и Broadcom, новая уязвимость позволяет дешифровать перехваченный Wi-Fi трафик, защищённый с использованием протокола WPA2.

Напомним, что уязвимость Kr00k вызвана некорректной обработкой ключей шифрования при отсоединении (диссоциации) устройства от точки доступа. В первом варианте уязвимости при отсоединении выполнялось обнуление сессионного ключа (PTK), хранимого в памяти чипа, так как дальнейшая отправка данных в текущем сеансе производиться не будет. При этом оставшиеся в буфере передачи (TX) данные шифровались уже очищенным ключом, состоящим только из нулей и, соответственно, могли быть легко расшифрованы при перехвате. Пустой ключ применяется только к остаточным данным в буфере, размер которого составляет несколько килобайт.

Ключевым отличием второго варианта уязвимости, проявляющейся в чипах Qualcomm и MediaTek, является то, что вместо шифрования нулевым ключом данные после диссоциации передаются вообще не зашифрованными, несмотря на то, что флаги шифрования устанавливаются. Из протестированных на наличие уязвимости устройств на базе чипов Qualcomm отмечены D-Link DCH-G020 Smart Home Hub и открытый маршрутизатор Turris Omnia. Из устройств на базе чипов MediaTek протестирован маршрутизатор ASUS RT-AC52U и IoT-решения на базе Microsoft Azure Sphere, использующие микроконтроллер MediaTek MT3620.

Для эксплуатации обоих вариантов уязвимостей атакующий может отправить специальные управляющие кадры, вызывающие диссоциацию, и перехватить отправляемые следом данные. Диссоциация обычно применяется в беспроводных сетях для переключения с одной точки доступа на другую во время роуминга или при потере связи с текущей точкой доступа. Диссоциацию можно вызвать отправкой управляющего кадра, который передаётся в незашифрованном виде и не требует аутентификации (атакующему достаточно достижимости Wi-Fi сигнала, но не требуется подключение к беспроводной сети). Проведение атаки возможно как при обращении уязвимого клиентского устройства к неуязвимой точке доступа, так и в случае обращения не подверженного проблеме устройства к точке доступа, на которой проявляется уязвимость.

Уязвимость затрагивает шифрование на уровне беспроводной сети и позволяет проанализировать лишь устанавливаемые пользователем незащищённые соединения (например, DNS, HTTP и почтовый трафик), но не даёт возможность скомпрометировать соединения с шифрованием на уровне приложения (HTTPS, SSH, STARTTLS, DNS over TLS, VPN и т.п.). Опасность атаки также снижает то, что за раз атакующий может расшифровать только несколько килобайтов данных, которые находились во время отсоединения в буфере передачи. Для успешного захвата отправляемых через незащищённое соединение конфиденциальных данных, атакующий либо должен точно знать момент их отправки, либо постоянно инициировать отсоединение от точки доступа, что бросится в глаза пользователю из-за постоянных перезапусков беспроводного соединения.

Проблема устранена в июльском обновлении проприетарных драйверов к чипам Qualcomm и в апрельском обновлении драйверов для чипов MediaTek. Исправление для MT3620 было предложено в июле. О включении исправлений в свободный драйвер ath9k у выявивших проблему исследователей информации нет. Для тестирования устройств на подверженность обоих вариантов уязвимости подготовлен скрипт на языке Python.


Дополнительно можно отметить выявление исследователями из компании Сheckpoint шести уязвимостей в DSP-чипах Qualcomm, которые применяются на 40% смартфонов, включая устройства от Google, Samsung, LG, Xiaomi и OnePlus. До устранения проблем производителями детали об уязвимостях не сообщаются. Так как DSP-чип представляет собой "чёрный ящик", который не может контролировать производитель смартфона, исправление может затянуться и потребует координации работ с производителем DSP-чипов.

DSP-чипы используются в современных смартфонах для совершения таких операций как обработка звука, изображений и видео, в вычислениях для систем дополненной реальности, компьютерного зрения и машинного обучения, а также в реализации режима быстрой зарядки. Среди атак, которые позволяют провести выявленные уязвимости, упоминаются: Обход системы разграничения доступа - незаметный захват данных, таких как фотографии, видео, записи звонков, данные с микрофона, GPS и т.п. Отказ в обслуживании - блокирование доступа ко всей сохранённой информации. Скрытие вредоносной активности - создание полностью незаметных и неудаляемых вредоносных компонентов.

  1. OpenNews: Уязвимость в Wi-Fi чипах Cypress и Broadcom, позволяющая расшифровать трафик
  2. OpenNews: Извлечение ключей устройств Qualcomm для атаки на зашифрованные разделы в Android
  3. OpenNews: Уязвимость в чипах Qualcomm, позволяющая извлечь закрытые ключи из хранилища TrustZone
  4. OpenNews: Уязвимость в чипах Qualcomm, позволяющая атаковать Android-устройство через Wi-Fi
  5. OpenNews: MediaTek пытается брать деньги за доступ к используемому в прошивках коду ядра Linux
Обсуждение (41 +22) | Тип: Проблемы безопасности |
07.08.2020 Утечка 20ГБ внутренней технической документации и исходных текстов Intel (203 +54)
  Тилли Котманн (Tillie Kottmann), разработчик для платформы Android из Швейцарии, ведущий Telegram-канал об утечках данных, опубликовал в открытом доступе 20 ГБ внутренней технической документации и исходных текстов, полученной в результате крупной утечки информации из компании Intel. Заявлено, что это первый набор из коллекции, переданной анонимным источником. Многие документы помечены как конфиденциальные, корпоративные секреты или распространяемые только по подписке о неразглашении.

Самые свежие документы датированы началом мая и включают информацию о новой серверной платформе Cedar Island (Whitley). Имеются также документы от 2019 года, например, описывающие платформу Tiger Lake, но большая часть информации датирована 2014 годом. Помимо документации в наборе также присутствует код, отладочные инструменты, схемы, драйверы, обучающие видео.

Некоторая информация из набора:

  • Руководства по Intel ME (Management Engine), утилиты для работы с flash и примеры для разных платформ.
  • Эталонная реализация BIOS для платформы Kabylake (Purley), примеры и код для инициализации (с историей изменений из git).
  • Исходные тексты Intel CEFDK (Consumer Electronics Firmware Development Kit).
  • Код FSP-пакетов (Firmware Support Package) и производственных схем различных платформ.
  • Различные утилиты для отладки и разработки.
  • Simics-симулятор платформы Rocket Lake S.
  • Различные планы и документы.
  • Бинарные драйверы для камеры Intel, изготовленной для SpaceX.
  • Схемы, документы, прошивки и инструменты для ещё не выпущенной платформы Tiger Lake.
  • Обучающие видео по Kabylake FDK.
  • Intel Trace Hub и файлы с декодировщиками для разных версий Intel ME.
  • Эталонная реализация платформы Elkhart Lake и примеры кода для поддержки платформы.
  • Описания аппаратных блоков на языке Verilog для разных платформ Xeon.
  • Отладочные сборки BIOS/TXE для разных платформ.
  • Bootguard SDK.
  • Симулятор процессов для Intel Snowridge и Snowfish.
  • Различные схемы.
  • Шаблоны маркетинговых материалов.

Компания Intel заявила, что начала разбирательство по поводу инцидента. По предварительным сведениям данные получены через информационную систему "Intel Resource and Design Center", на которой в ограниченном доступе размещается информация для клиентов, партнёров и других компаний, с которыми взаимодействует Intel. Наиболее вероятно, что сведения загрузил и опубликовал кто-то, имеющий доступ в данную информационную систему. Один из бывших сотрудников Intel высказал при обсуждении на Reddit свою версию, указав, что возможно утечка является следствием саботажа сотрудника или взлома одного из OEM-производителей материнских плат.

Аноним, передавший документы для публикации, указал, что данные были загружены из незащищённого сервера, размещённого в Akamai CDN, а не из Intel Resource and Design Center. Сервер был обнаружен случайно в ходе массового сканирования хостов с использованием nmap и был взломан через уязвимый сервис.

Некоторые издания упомянули возможное обнаружение бэкдоров в коде Intel, но данные заявления беспочвенны и основаны лишь на присутствии фразы "Save the RAS backdoor request pointer to IOH SR 17" в комментарии в одном из файлов с кодом. В контексте ACPI RAS обозначает "Reliability, Availability, Serviceability". Сам код выполняет обработку определения и коррекции ошибок памяти с сохранением результата в 17 регистр I/O hub, а не содержит "бэкдор" в понимании информационной безопасности.

Набор уже разошёлся по BitTorrent-сетям и доступен через магнитную ссылку. Размер zip-архива около 17 ГБ (пароли для разблокировки "Intel123" и "intel123").

Дополнительно можно отметить, что в конце июля Тилли Котманн опубликовал в публичном доступе содержимое репозиториев, полученных в результате утечек данных из около 50 компаний. В списке присутствуют такие компании, как Microsoft, Adobe, Johnson Controls, GE, AMD, Lenovo, Motorola, Qualcomm, Mediatek, Disney, Daimler, Roblox и Nintendo, а также различные банки, финансовые, автомобильные и туристические компании. Основным источником утечки стала некорректная настройка DevOps-инфраструктуры и хранение ключей доступа в публичных репозиториях. Большинство репозиториев было скопировано из локальных DevOps-систем на базе платформ SonarQube, GitLab и Jenkins, доступ к которым не был ограничен должным образом (в доступных через Web локальных экземплярах DevOps-платформ использовались настройки по умолчанию, подразумевающие возможность публичного доступа к проектам).

Кроме того, в начале июля в результате компрометации сервиса Waydev, используемого для формирования аналитических отчётов об активности в Git-репозиториях, произошла утечка базы данных, в том числе включавшей OAuth-токены для доступа к репозиториям на GitHub и GitLab. Подобные токены могли использоваться для клонирования приватных репозиториев клиентов Waydev. Захваченные токены впоследствии были использованы для компрометации инфраструктур dave.com и flood.io.

Дополнение 1: Разбор содержимого набора.

Дополнение 2: По информации на телеграм канале появилась новая порция утечки под версией 1.5, размером около 450 Мб, доступная через магнитную ссылку.

  1. OpenNews: Утечка 28 млн записей, используемых в платформе биометрической идентификации BioStar 2
  2. OpenNews: L1DES (CacheOut) и VRS - новые уязвимости в микроархитектурных структурах CPU Intel
  3. OpenNews: Уязвимость в чипсетах Intel, позволяющая извлечь корневой ключ платформы
  4. OpenNews: CROSSTalk - уязвимость в CPU Intel, приводящая к утечке данных между ядрами
  5. OpenNews: Удалённо эксплуатируемые уязвимости в подсистемах Intel AMT и ISM
Обсуждение (203 +54) | Тип: К сведению |
06.08.2020 Выпуск системной библиотеки Glibc 2.32 (45 +12)
  После шести месяцев разработки опубликован релиз системной библиотеки GNU C Library (glibc) 2.32, которая полностью следует требованиям стандартов ISO C11 и POSIX.1-2017. В состав нового выпуска включены исправления от 67 разработчиков.

Из реализованных в Glibc 2.32 улучшений можно отметить:

  • Добавлена поддержка процессоров Synopsys ARC HS (ARCv2 ISA). Для работы порта требуется как минимум binutils 2.32, gcc 8.3 и ядро Linux 5.1. Поддерживается три варианта ABI arc-linux-gnu, arc-linux-gnuhf и arceb-linux-gnu (big-endian);
  • Реализована загрузка модулей аудита, указанных в секциях DT_AUDIT и DT_DEPAUDIT исполняемого файла.
  • Для архитектуры powerpc64le реализована поддержка типа IEEE128 long double, включаемая при сборке с опцией "-mabi=ieeelongdouble".
  • Некоторые API аннотированы с использованием GCC-атрибута 'access', позволяющего при компиляции в GCC 10 генерировать более качественные предупреждения при определении возможных переполнений буферов и других вариантов выхода за допустимые границы.
  • Для Linux-систем реализованы функции pthread_attr_setsigmask_np и pthread_attr_getsigmask_np, дающие приложению возможность указать маску сигнала для потоков, созданных при помощи pthread_create.
  • Данные кодировок, информация о типах символов и таблицы транслитерации обновлены для поддержки спецификации Unicode 13.0.0;
  • Добавлен новый заголовочный файл <sys/single_threaded.h>, определяющий переменную __libc_single_threaded, которую можно использовать в приложениях для однопоточных оптимизаций.
  • Добавлены функции sigabbrev_np и sigdescr_np, возвращающие сокращённое название и описание сигнала (например, "HUP" и Hangup" для SIGHUP).
  • Добавлены функции strerrorname_np и strerrordesc_np, возвращающие имя и описание ошибки (например, "EINVAL" и "Invalid argument" для EINVAL).
  • Для платформы ARM64 добавлен флаг "--enable-standard-branch-protection" (или -mbranch-protection=standard в GCC), задействующий механизм ARMv8.5-BTI (Branch Target Indicator) для защиты выполнения наборов инструкций, на которые не должны выполняться переходы при ветвлении. Блокирование переходов на произвольные участки кода реализовано для противодействия созданию гаджетов в эксплоитах, использующих приёмы возвратно-ориентированного программирования (ROP - Return-Oriented Programming, атакующий не пытается разместить свой код в памяти, а оперирует уже имеющимися кусками машинных инструкций, завершающихся инструкцией возврата управления, из которых выстраиваются цепочка вызовов для получения нужной функциональности).
  • Проведена большая чистка устаревших возможностей, в том числе удалены опции "--enable-obsolete-rpc" и "--enable-obsolete-nsl", заголовочный файл <sys/sysctl.h>. Объявлены устаревшими функции sstk, siginterrupt, sigpause, sighold, sigrelse, sigignore и sigset, массивы sys_siglist, _sys_siglist и sys_sigabbrev, символы sys_errlist, _sys_errlist, sys_nerr и _sys_nerr, NSS-модуль hesiod.
  • ldconfig по умолчанию переведён на использование нового формата ld.so.cache, который поддерживается в glibc уже почти 20 лет.
  • Устранены уязвимости:
    • CVE-2016-10228 - зацикливание в утилите iconv, проявляющееся при запуске с опцией "-c", в случае обработки некорректных многобайтовых данных.
    • CVE-2020-10029 - повреждение стека при вызове тригонометрических функций с псевдонулевым аргументом.
    • CVE-2020-1752 - обращение к области памяти после её освобождения (use-after-free) в функции glob при раскрытии ссылки на домашний каталог ("~user") в путях.
    • CVE-2020-6096 - некорректная обработка на платформе ARMv7 отрицательных значений параметра в memcpy() и memmove(), определяющего размер копируемой области. Позволяет организовать выполнение кода при обработке в функциях memcpy() и memmove() определённым образом оформленных данных. Показательно, что проблема оставалась неисправленной почти два месяца с момента публичного раскрытия информации и пять месяцев с момента уведомления разработчиков Glibc.

  1. OpenNews: Выпуск стандартной Си-библиотеки Musl 1.1.17 с устранением уязвимости
  2. OpenNews: Microsoft открыл код стандартной библиотеки С++, поставляемой в Visual Studio
  3. OpenNews: Выпуск системной библиотеки Glibc 2.31
  4. OpenNews: Критическая уязвимость в реализации функции memcpy для ARMv7 из состава Glibc
  5. OpenNews: Разработчики из Google предложили разработать свою libc для LLVM
Обсуждение (45 +12) | Тип: Программы |
06.08.2020 Релиз Ubuntu 20.04.1 LTS (208 +36)
  Компания Canonical представила первый корректирующий выпуск дистрибутива Ubuntu 20.04.1 LTS, в который включены обновления для нескольких сотен пакетов, связанные с устранением уязвимостей и проблем, влияющих на стабильность. В новой версии также исправлены ошибки в инсталляторе и загрузчике. Релиз Ubuntu 20.04.1 ознаменовал прохождение базовой стабилизации LTS-выпуска - пользователям Ubuntu 18.04 теперь будет предложено осуществить обновление до ветки 20.04.

Одновременно представлены аналогичные обновления Ubuntu Budgie 20.04.1 LTS, Kubuntu 20.04.1 LTS, Ubuntu MATE 20.04.1 LTS, Ubuntu Studio 20.04.1 LTS, Lubuntu 20.04.1 LTS, Ubuntu Kylin 20.04.1 LTS и Xubuntu 20.04.1 LTS. Использовать представленные сборки имеет смысл только для новых установок, системы, установленные ранее, могут получить все присутствующие в Ubuntu 20.04.1 изменения через штатную систему установки обновлений. Поддержка выпуска обновлений и исправлений проблем безопасности для серверной и десктоп редакций Ubuntu 20.04 LTS продлится до апреля 2025 года.

Из наиболее существенных изменений можно отметить:

  • Внесены оптимизации производительности. В zfs-linux бэкпортирована поддержка аппаратного ускорения AES-GCM.
  • В центре управления GNOME предложено новое оформление диалога настройки аутентификации по отпечаткам пальцев.
  • Добавлена поддержка VPN Wireguard.
  • Ядро Linux для OEM-поставок обновлено до ветки 5.6 (в Ubuntu 20.04 поставляется 5.4).
  • Для новых ноутбуков HP добавлена поддержка светодиодного индикатора отключения звука.
  • Добавлена поддержка серверной серии проприетарных драйверов NVIDIA.
  • В инсталляторе включена поддержка ZFS autotrim. В live-build добавлена поддержка riscv64.
  • Обновлены версии пакетов libreoffice (6.4.4), GNOME (3.36.2), snapd, evince, golang-1.14, curtin, nautilus, gedit, gnome-control-center, evolution-data-server, mutter, gnome-software, shotwell, netplan.io, OpenStack Ussuri, cloud-init, open-vm-tools, gtk+3.0, ceph, sosreport, libgphoto2.

Интеграция новой версии ядра, драйверов и компонентов графического стека ожидается в запланированном на февраль выпуске Ubuntu 20.04.2, так как данные компоненты будут импортированы из выпуска Ubuntu 20.10, который будет готов только осенью и потребует дополнительное время на тестирование.

  1. OpenNews: Из базовой поставки Ubuntu будет удалён компонент для отправки сведений о пакетах
  2. OpenNews: Поддержка CPU AMD EPYC Rome перенесена во все актуальные выпуски Ubuntu Server
  3. OpenNews: Утечка пароля от шифрованных разделов в логе инсталлятора Ubuntu Server
  4. OpenNews: Релиз дистрибутива Ubuntu 20.04 LTS
  5. OpenNews: Выпуск Ubuntu 18.04.4 LTS c обновлением графического стека и ядра Linux
Обсуждение (208 +36) | Тип: Программы |
06.08.2020 Джеффри Кнаут избран новым президентом Фонда СПО (262 +9)
  Фонд Свободного ПО объявил об избрании нового президента, после ухода с данного поста Ричарда Столлмана после обвинений в поведении, недостойном лидера движения СПО, и угроз разрыва отношений с СПО некоторых сообществ и организаций. Новым президентом стал Джеффри Кнаут (Geoffrey Knauth), входивший в совет директоров Фонда СПО с 1998 года и принимающий участие в работе проекта GNU с 1985 года.

Джеффри окончил Гарвардский университет со специализацией в области экономики, после чего посвятил свою деятельность компьютерным наукам, которые сейчас преподаёт в колледже Lycoming. Джеффри является сооснователем проекта GNU Objective-C. Кроме английского Джеффри владеет русским и французским языками, а также сносно говорит на немецком и немного на китайском языке. Из интересов также упоминается лингвистика (имеется работа по славянским языкам и литературе) и пилотирование.

Джеффри указал, что видит цель своей дальнейшей деятельности в оказании помощи сообществу в защите и развитии свободного ПО. Он также отметил важность поддержания здорового духа и разнообразия сообщества, так как различия жизненного опыта и мнений способствуют возникновению творчества и появлению новых идей. Движение СПО началось с энтузиазма, самоотверженности и преданности делу Ричарда Столлмана, но со временем сообщество выросло и теперь складывается из усилий и совместной работы тысяч людей по всему миру.

Джеффри призвал уважительно относиться друг к другу в случае разногласий и сообща вырабатывать наилучшие решения, а также помнить что объединяет и вдохновляет приверженцев СПО, так как это является важным для достижения намеченной цели. Он пообещал поддерживать честный диалог с сообществом и оказывать поддержку в стремлении обезопасить будущее СПО для грядущих поколений и сохранить постулаты, лежащие в основе движения СПО.

Фонд также объявил о включении в совет директоров нового участника - Одиль Бенасси (Odile Bénassy), французскую активистку, занимающуюся продвижением СПО. Одиль преподаёт математику, занимается исследованиями и разработкой ПО. В сообществе Одиль известна как лидер проекта GNU Edu. Отмечается, что Одиль стала первым директором Фонда из Европы.

  1. OpenNews: Столлман не допустит радикальных изменений в проекте GNU
  2. OpenNews: Мэйнтейнеры проектов GNU выступили против единоличного лидерства Столлмана
  3. OpenNews: Уход Столлмана с поста президента Фонда СПО не скажется на его руководстве проектом GNU
  4. OpenNews: Ричард Столлман покинул пост президента Фонда СПО
Обсуждение (262 +9) | Тип: К сведению |
05.08.2020 Выпуск свободного офисного пакета LibreOffice 7.0 (344 +65)
  Организация The Document Foundation представила релиз офисного пакета LibreOffice 7.0. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker. При подготовке выпуска 74% изменений внесены сотрудниками курирующих проект компаний, таких как Collabora, Red Hat и CIB, а 26% изменений добавлены независимыми энтузиастами.

Ключевые новшества:

  • Добавлена поддержка формата OpenDocument 1.3 (ODF), в котором добавлены новые возможности для обеспечения защиты документов, такие как заверение документа цифровой подписью и шифрование содержимого c использованием ключей OpenPGP. В новой версии также добавлена поддержка типов полиномиальной и скользящей средней регрессии для графиков, реализованы дополнительные методы форматирования цифр в числах, добавлен отдельный тип верхних и нижних колонтитулов для заглавной страницы, определены средства расстановки отступов параграфов в зависимости от контекста, улучшено отслеживание изменений в документе и добавлен новый тип шаблона для основного текста в документах.
  • Добавлена поддержка отрисовки текста, кривых и изображений с использованием 2D-библиотеки Skia и ускорения вывода с задействованием графического API Vulkan. Движок на базе Skia по умолчанию активирован только на платформе Windows вместо бэкенда, использующего OpenGL.
  • Улучшена совместимость с форматами DOCX, XLSX и PPTX. Добавлена поддержка сохранения документов DOCX в режимах MS Office 2013/2016/2019, вместо режима совместимости с MS Office 2007. Улучшена переносимость с разными версиями MS Office. Реализована возможность сохранения XLSX-файлов с именами таблиц, превышающими 31 символ, а также с checkbox-переключателями. Устранена проблема, приводившая к ошибке "invalid content error" при попытке открытия экспортированных файлов XLSX с формами. Улучшен экспорт и импорт в формате PPTX.
  • В VCL-плагинах kf5 (KDE 5) и Qt5, позволяющих использовать родные для KDE и Qt диалоги, кнопки, обрамления окон и виджетов, реализована поддержка масштабирования интерфейса на экранах с высокой плотностью пикселей (HiDPI).
  • По умолчанию для новых установок реализована блокировка перемещения панели, позволяющая избежать случайного удаления панели.
  • Добавлены новые галереи форм, которые могут быть легко отредактированы и стилизованы пользователем. Например, доступны новые стрелки, диаграммы, пиктограммы, символы, фигуры, элементы компьютерных сетей и блок-схемы.
  • Предложена новая тема пиктограмм Sukapura, соответствующая рекомендациям по визуальному оформлению macOS. Данная тема по умолчанию будет включена для новых установок LibreOffice на платформе macOS.
  • Обновлена тема пиктограмм Colibre, применяемая по умолчанию на платформе Windows. Пиктограммы переработаны для соответствия новому стилю MS Office 365.
  • Значительно обновлён и отточен набор пиктограмм Sifr. Из основного состава удалён набор пиктограмм Tango, который теперь будет поставляться в форме внешнего дополнения.
  • В установщике для Windows предложены новая картинка и пиктограммы.
  • В Writer добавлена возможность использования выравненных чисел в нумерованных списках и номерах страниц, т.е. имеющих одну ширину, с добавлением нуля перед цифрой в коротких номерах (08,09,10,11).

    Обеспечено выделение установленных закладок прямо в тексте (включается через Standard Toolbar ▸ Toggle Formatting Marks and Tools ▸ Options... ▸ LibreOffice Writer ▸ Formatting Aids ▸ Bookmarks).

    В Writer также добавлена возможность блокировки закладок и полей от изменения (Tools ▸ Protect Document), обеспечено отображение серым фоном пустых полей и улучшена обработка повёрнутого текста в строках таблиц.

  • В Calc добавлены новые функции RAND.NV() и RANDBETWEEN.NV(), которые в отличие от RAND() и RANDBETWEEN() генерируют результат один раз и не пересчитываются при каждом изменении ячейки. В функции, поддерживающие обработку регулярных выражений, добавлена поддержка флагов игнорирования регистра символов (?i) и (?-i). В функции TEXT() обеспечена поддержка передачи пустой строки в качестве второго аргумента. В фукнкции OFFSET() необязательные 4 и 5 параметры теперь должны быть больше нуля.

    В Calc также внесено несколько оптимизаций производительности: увеличена скорость открытия файлов XLSX с большим числом картинок, улучшена производительность поиска с использованием автофильтра, сокращено время операции отката изменений.

  • В Writer, Draw и Impress реализована поддержка полупрозрачного текста.
  • В Impress и Draw сдвиг надстрочного текста уменьшен с 33% до 8% относительно базисной линии. Ускорены операции ввода в списки с анимацией, редактирования таблиц и открытия некоторых PPT-файлов.
  • Переработан интерфейс экрана показа презентации и консоли презентаций в Impress.
  • В диалоге переименования страниц в Draw и слайдов в Impress добавлена всплывающая подсказка, предупреждающая об указании пустого или уже существующего имени.
  • В Draw и других модулях при экспорте в PDF добавлена возможность установки размера страницы больше 200 дюймов (508 см).
  • Большинство шаблонов в Impress переведены на использование соотношения сторон 16:9 вместо 4:3.
  • Добавлен инструмент "Tools ▸ Accessibility Check..." для проверки текста на удобство восприятия людьми с проблемами со зрением.
  • В фильтре импорта EMF+ появилась поддержка линейных градиентов, записей BeginContainer и собственных меток на диаграммах.
  • В фильтр экспорта в форматы DOCX и XLSX добавлена поддержка эффектов свечения и затухающих полупрозрачных краев.
  • Для русского и украинского языков реализована автозамена ASCII-кавычек с апострофом (’), указанных вместо закрывающейся кавычки (“). Если раньше слово "word'" заменялось на "word“", то сейчас будет заменено на "word’", но "„word'" продолжит заменяться на "„word“". Для украинского языка дополнительно реализована автозамена "<<word>>" на "«word»".
  • Обновлён орфографический словарь для английского, белорусского, латышского, каталонского и словацкого языков. Обновлён тезаурус для русского языка и выполнено преобразование орфографического словаря из кодировки KOI8-R в UTF-8. Добавлены шаблоны расстановки переносов для белорусского языка.
  • Добавлена поддержка Java-модулей (пока доступно только два модуля: org.libreoffice.uno и org.libreoffice.unoloader). Файлы juh.jar, jurt.jar, ridl.jar, and unoil.jar объединены в один архив libreoffice.jar.
  • Удалена поддержка Python 2.7, для выполнения скриптов теперь требуется Python 3. Удалён фильтр экспорта в Adobe Flash.



  1. OpenNews: В LibreOffice 7.0 решено не использовать метку "Personal Edition"
  2. OpenNews: Выпуск офисного пакета LibreOffice 6.4
  3. OpenNews: Выпуск офисного пакета LibreOffice 6.3
  4. OpenNews: LibreOffice прекращает формирование 32-разрядных сборок для Linux
  5. OpenNews: Доступен CODE 3.0, дистрибутив для развёртывания LibreOffice Online
Обсуждение (344 +65) | Тип: Программы |
05.08.2020 В Firefox приступили к включению защиты от отслеживания перемещений через редиректы (84 +20)
  Компания Mozilla объявила о намерении активировать механизм расширенной защиты от отслеживания перемещений ETP 2.0 (Enhanced Tracking Protection). Изначально поддержка ETP 2.0 была добавлена в Firefox 79, но была отключена по умолчанию. В ближайшие недели данный механизм планируется постепенно довести до всех пользователей.

Основным новшеством ETP 2.0 является добавление защиты от отслеживания через редиректы. Для обхода блокировки установки Cookie сторонними компонентами, загружаемыми в контексте текущей страницы, рекламные сети, социальные сети и поисковые системы при переходе по ссылкам стали перенаправлять пользователя на промежуточную страницу, с которой затем пробрасывать на целевой сайт. Так как промежуточная страница открывается сама по себе, вне контекста другого сайта, на такой странице можно беспрепятственно устанавливать отслеживающие Cookie.

Для борьбы с данным методом в ETP 2.0 добавлена блокировка по предоставляемому сервисом Disconnect.me списку доменов, использующих отслеживание через редиректы. Для сайтов, осуществляющих подобное отслеживание, Firefox будет ежедневно очищать Cookie и данные во внутренних хранилищах (localStorage, IndexedDB, Cache API и т.п.).

Так как подобное поведение может привести к потере аутентификационных Cookie на сайтах, домены которых применяются не только для отслеживания, но и для аутентификации, добавлено одно исключение. Если пользователь явно взаимодействовал с сайтом (например, прокручивал содержимое), то очистка Cookie будет происходить не раз в день, а раз в 45 дней, что, например, может потребовать повторного входа в сервисы Google или Facebook каждые 45 дней. Для ручного выключения автоматической очистки Cookie в about:config можно использовать параметр "privacy.purge_trackers.enabled".

Дополнительно можно отметить намерение Google включить сегодня блокировку неприемлемой рекламы, отображаемой при просмотре видео. Если Google не отменит ранее назначенные сроки внедрения, то в Chrome будет включена блокировка следующих видов рекламы: Рекламные вставки любой продолжительности, прерывающие показ видео в середине просмотра; Длительные рекламные вставки (дольше 31 сек.), отображаемые перед началом показа видео, без возможности их пропустить спустя 5 секунд после начала рекламы; Отображение больших текстовых объявлений или рекламных изображений поверх видео, если они перекрывают больше 20% видео или выводятся в середине окна (в центральной трети окна).

  1. OpenNews: Релиз Firefox 79
  2. OpenNews: Mozilla воспользовалась push-уведомлениями для распространения политической рекламы в Firefox
  3. OpenNews: В Firefox 80 реализована настройка для перенаправления с HTTP на HTTPS
  4. OpenNews: Mozilla приостановила работу сервиса Firefox Send из-за вредоносной активности
  5. OpenNews: В Firefox добавлено ускорение декодирования видео через VA-API для систем X11
Обсуждение (84 +20) | Тип: К сведению |
05.08.2020 В Fedora 33 начнёт поставляться официальная редакция для интернета вещей (30 +3)
  Питер Робинсон (Peter Robinson) из команды Red Hat Release Engineering Team опубликовал предложение о принятии варианта дистрибутива для интернета вещей в число официальных редакций Fedora 33. Таким образом, начиная с Fedora 33 Fedora IoT будет поставляться наравне с Fedora Workstation и Fedora Server. Официально предложение ещё не утверждено, но его публикация предварительно была согласована в комитете FESCo (Fedora Engineering Steering Committee), отвечающем за техническую часть разработки дистрибутива Fedora, поэтому его принятие можно считать формальностью.

Напомним, что редакция Fedora IoT предназначена для использования на устройствах интернета вещей (IoT) и базируется на тех же технологиях, что применяются в Fedora CoreOS, Fedora Atomic Host и Fedora Silverblue. Дистрибутив предлагает урезанное до минимума системное окружение, обновление которого производится атомарно через замену образа всей системы, без разбивки на отдельные пакеты. Для контроля целостности применяется заверение всего системного образа цифровой подписью. Для отделения приложений от основной системы предлагается использовать изолированные контейнеры (для управления применяется podman). Также возможна компоновка системного окружения для конкретных применений и определённых устройств.

Для формирования системного окружения используется технология OSTree, при которой системный образ атомарно обновляется из Git-подобного хранилища, позволяющего применять методы версионного контроля к компонентам дистрибутива (например, можно быстро откатить систему к прошлому состоянию). RPM-пакеты транслируются в репозиторий OSTree при помощи специальной прослойки rpm-ostree. Готовые сборки предоставляются для архитектур x86_64 и Aarch64 (в ближайшее время также обещают добавить поддержку ARMv7 ). Заявлена поддержка плат Raspberry Pi 3 Model B/B+, 96boards Rock960 Consumer Edition, Pine64 A64-LTS, Pine64 Rockpro64 и Rock64 и Up Squared, а также виртуальных машин x86_64 и aarch64.

  1. OpenNews: Объявлено о создании редакции Fedora для интернета вещей
  2. OpenNews: В Fedora рассматривают возможность прекращения поддержки BIOS при загрузке
  3. OpenNews: Утверждён переход Fedora Desktop на Btrfs и замена редактора vi на nano
  4. OpenNews: Доступен Mozilla WebThings Gateway 0.11, шлюз для умного дома и IoT-устройств
  5. OpenNews: Релиз Linux-дистрибутива Fedora 32
Обсуждение (30 +3) | Тип: К сведению |
04.08.2020 Предложение по блокировке драйверов-прослоек, предоставляющих доступ к GPL-вызовам ядра Linux (382 +40)
  Кристоф Хелвиг (Christoph Hellwig), известный разработчик ядра Linux, в своё время входивший в управляющий технический комитет организации Linux Foundation и выступавший истцом в связанном с GPL судебном разбирательстве с VMware, предложил ужесточить защиту от связывания проприетарных драйверов с компонентами ядра Linux, экспортируемыми только для модулей под лицензией GPL. Для обхода ограничения на экспорт GPL-символов производители проприетарных драйверов используют модуль-прослойку, код которой открыт и распространяется под лицензией GPLv2, но функции сводятся к трансляции доступа проприетарного драйвера к необходимым API ядра, запрещённым для использования из проприетарного кода напрямую.

Для блокирования подобного манёвра Кристоф Хелвиг подготовил для ядра Linux патчи, обеспечивающие наследование флагов, связанных с экспортом GPL-символов. Предложение сводится к наследованию флага TAINT_PROPRIETARY_MODULE во всех модулях, импортирующих символы из модулей с данным флагом. Таким образом, если GPL модуль-прослойка попытается импортировать символы из не-GPL модуля, то GPL-модуль унаследует метку TAINT_PROPRIETARY_MODULE и не сможет обращаться к компонентам ядра, доступным только для модулей под лицензией GPL, даже если модуль ранее импортировал символы из категории "gplonly".

При обсуждении также было высказано предложение по обратной блокировке - если модуль импортирует символы EXPORT_SYMBOL_GPL, любые экспортируемые данным модулем символы не должны импортироваться модулями, явно не заявляющими о совместимости с GPL. Т.е. если модуль импортирует символы EXPORT_SYMBOL_GPL, то все его экспортируемые символы должны обрабатываться как EXPORT_SYMBOL_GPL. Кристоф Хелвиг написал, что на 100% согласен с данным предложением, но такое изменение не пропустит Линус Торвальдс, так как оно приведёт к недоступности для проприетарных драйверов большей части подсистем ядра, из-за того, что при разработке драйверов подключаются базовые символы, экспортируемые под GPL.

Изменение предложено в ответ на публикацию инженером из Facebook серии патчей с реализацией новой подсистемы netgpu, позволяющей организовать прямой обмен данными (DMA zero-copy) между сетевой картой и GPU, при этом выполняя обработку протокола силами CPU. Недовольство разработчиков вызвала доступность реализации только для проприетарных драйверов NVIDIA через предоставляемую данными драйверами GPL-прослойку. В ответ на критику автор патчей указал, что подсистема не привязана к NVIDIA и её поддержка может быть обеспечена в том числе для программных интерфейсов к GPU AMD и Intel. В итоге продвижение netgpu в ядро было признано невозможным до появления рабочей поддержки на основе свободных драйверов, таких как AMDGPU, Intel i915 или Nouveau.

  1. OpenNews: Апелляционный суд встал на сторону VMware в деле о нарушении GPL
  2. OpenNews: Технология DMA-BUF не может быть использована в проприетарных видеодрайверах без перелицензирования
  3. OpenNews: Из Debian удалены сборки пакетов с драйверами NVIDIA из-за подозрений в несовместимости с GPL
  4. OpenNews: Линус Торвальдс пояснил, в чём проблемы реализации ZFS для ядра Linux
  5. OpenNews: Компания NVIDIA представила код для альтернативной организации поддержки PRIME
Обсуждение (382 +40) | Тип: Тема для размышления |
Следующая страница (раньше) >>



Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру