The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

15.02.2019 Уязвимость в библиотеке MatrixSSL (7 +7)
  В открытой криптографической библиотеке MatrixSSL, рассчитанной на использование во встраиваемых устройствах и лежащей в основе коммерческого продукта Inside Secure TLS Toolkit (GUARD TLS Toolkit), выявлена уязвимость, приводящая к переполнению буфера при обработке специально оформленных сертификатов X.509 на стороне клиента или сервера. Интересно, что идентичная уязвимость (CVE-2014-1569) была исправлена в библиотеке Mozilla NSS в 2014 году (проблема в MatrixSSL всплыла после проверки подверженности данной библиотеки старому эксплоиту для NSS). Более того, в 2014 году компания Intel после анализа уязвимости в NSS указала, что MatrixSSL имеет аналогичные проблемы в коде разбора сертификатов ASN.1, но все эти уязвимости так и остались неисправленными.

  1. OpenNews: Представлена техника атаки для определения ключей ECDSA и DSA
  2. OpenNews: Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов
  3. OpenNews: Новая техника атаки для выявления содержимого отдельных блоков SSL/TLS-соединений
  4. OpenNews: Критическая уязвимость в криптографической библиотеке MbedTLS (PolarSSL)
  5. OpenNews: Критическая уязвимость в библиотеке Libssh
Обсуждение (7 +7) | Тип: Проблемы безопасности |
15.02.2019 Представлен новый интерфейс браузера Opera (103 –12)
  Началось тестирование экспериментальной сборки Opera R3 (Reborn 3) с новым интерфейсом пользователя, который планируется включить в состав мартовского выпуска Opera 59. Для загрузки доступны пакеты в форматах deb и rpm.

Новый интерфейс преподносится как минималистичный, ориентированный на контент и сдвигающий навигационные элементы браузера на второй план. При этом дизайнеры попытались добиться эффекта минимализма без урезания функциональности и сохранили все прежние возможности. Интерфейс предложен в тёмном и светлом вариантах и отличается главным образом удалением рамок и разделителей. Цветовое оформление адресной строки и списка вкладок изменено так, что открытая вкладка выглядит как лежащая поверх других вкладок. В область рядом с адресной строкой перемещены кнопки быстрой настройки (EasySetup) и создания скриншотов (Snapshot).

Из функциональных изменений выделяется интеграция кошелька для работы с криптовалютой Ethereum. В остальном, несмотря на то, что Opera R3 преподносится как первый браузер, готовый для Web 3, в предложенном выпуске нет кардинальных изменений и в целом, за исключением исчезновения резких перепадов контраста, новый интерфейс не сильно отличается от прошлого варианта.

Было:

Стало:

  1. OpenNews: Стабильный выпуск web-браузера Otter 1.0 с интерфейсом в стиле Opera 12
  2. OpenNews: Выпуск web-браузера Opera 45 с интеграцией наработок проекта Opera Neon
  3. OpenNews: Утечка исходных текстов браузера Opera 12.15
  4. OpenNews: Взлом инфраструктуры Opera привёл к утечке синхронизированных паролей
  5. OpenNews: Opera и ARM проданы китайским и японским компаниям
Обсуждение (103 –12) | Тип: К сведению |
14.02.2019 Критическая уязвимость в WordPress-плагине "Simple Social Buttons" (52 +9)
  В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).

Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22.

  1. OpenNews: В WordPress 5.0.1 устранена уязвимость, приводящая к индексации паролей поисковыми движками
  2. OpenNews: Зафиксирована массовая атака на сайты с необновлённым движком WordPress
  3. OpenNews: Выявлена скупка плагинов к WordPress для распространения вредоносного кода
  4. OpenNews: Доля WordPress среди крупнейших сайтов достигла 30%
  5. OpenNews: В плагине Captcha к WordPress, имеющем 300 тысяч установок, выявлен бэкдор
Обсуждение (52 +9) | Тип: Программы |
14.02.2019 Выпуск GnuPG 2.2.13 (20 +13)
  Состоялся релиз инструментария GnuPG 2.2.13 (GNU Privacy Guard), совместимого со стандартами OpenPGP (RFC-4880) и S/MIME, и предоставляющего утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Напомним, что ветка GnuPG 2.2 позиционируется как развивающийся выпуск, в котором продолжают добавляться новые возможности, в ветке 2.1 допускаются только корректирующие исправления.

Основные изменения:

  • В утилите gpg реализована возможность поиска ключей по "keygrip" (идентификатор мастер-ключа), используя префикс "&";
  • Добавлена возможность генерации ключей Ed25519 на основе существующих ключей;
  • Добавлен вывод сообщения об ошибке в случае, если при указании опции "-k" не удалось найти ключи;
  • В утилите gpgsm в процессе интерактивной генерации ключей обеспечено отображение алгоритмов ключей, используемых на смарткарте, и их keygrip-идентификаторов.

  1. OpenNews: Выпуск GnuPG 2.2.12
  2. OpenNews: GnuPG признан пригодным для заверения нотариальных актов в штате Вашингтон
  3. OpenNews: Уязвимость в GnuPG
  4. OpenNews: В рамках проекта NeoPG развивается форк GnuPG 2
  5. OpenNews: В Libgcrypt/GnuPG выявлена уязвимость, позволяющая воссоздать RSA-ключи
Обсуждение (20 +13) | Тип: Программы |
13.02.2019 Обновление Firefox 65.0.1 и Tor Browser 8.0.6 (30 +19)
  Подготовлен корректирующий выпуск Firefox 65.0.1, в котором устранены три уязвимости и исправлено 8 ошибок. Уязвимости затрагивают входящую в состав библиотеку Skia и могут привести к целочисленному переполнению, обращению к уже освобождённой области памяти или переполнению буфера при обработке специально оформленных данных. Уязвимости также устранены в выпуске Firefox 60.5.1 ESR.

Среди исправленных ошибок:

  • При показе контекстных рекомендаций дополнений убрано случайное обращение к внешнему хосту addons.mozilla.org до того как пользователь нажал кнопку установки;
  • Улучшено воспроизведение интерактивных видео с сервиса Netflix;
  • Решена проблема с некорректным выбором размера диалога очистки недавней истории посещений;
  • Устранены задержки при выводе звука и видео в момент совершения вызовов по WebRTC;
  • Исправлен некорректный выбор размера видео для некоторых видеовызовов по WebRTC;
  • Устранено зацикливание запросов CONNECT при организации канала связи через прокси-сервер при использовании WebSockets поверх HTTP/2;
  • Решена проблема с неработоспособностью клавиши "Enter" в формах ввода паролей в Ubuntu и некоторых других дистрибутивах Linux.

Одновременно сформирован выпуск Tor Browser 8.0.6, в котором помимо вышеотмеченных исправлений уязвимостей обновлена версия дополнения HTTPS Everywhere 2019.1.31 и из списка доступных по умолчанию шлюзов удалён адрес 83.212.101.3 (уже несколько месяцев данный узел не работает).

Дополнительно можно отметить объявление о заключении соглашения с компанией Ubisoft по использованию при разработке Firefox системы сопровождения процесса разработки Clever-Commit, использующей методы машинного обучения для анализа качества кода и выявления ошибок во время рецензирования изменений, написания нового кода и тестирования продукта. Clever-Commit позволяет на самых ранних стадиях разработки выявлять типичные ошибки программистов, учитывая историю изменений, различные вспомогательные метрики и данные из системы отслеживания ошибок (система обучается на ранее допущенных ошибках и позволяет определять появление похожих проблем).

  1. OpenNews: Для Firefox развивается режим строгой изоляции страниц
  2. OpenNews: В Firefox 67 ожидается блокировщик скриптов для майнинга и скрытой идентификации
  3. OpenNews: WebRender для видеокарт AMD/Intel и защита от MITM-атак в Firefox
  4. OpenNews: Релиз Firefox 65
  5. OpenNews: В Firefox 66 по умолчанию в Linux будет включено декорирование окон на стороне клиента
Обсуждение (30 +19) | Тип: Программы |
12.02.2019 Релиз PyPy 7.0, реализации Python, написанной на языке Python (49 +7)
  Опубликован релиз проекта PyPy 7.0, в рамках которого развивается реализации языка Python, написанной на языке Python (используется статически типизированное подмножество RPython, Restricted Python). Выпуск подготовлен одновременно для веток PyPy2.7, PyPy3.5 и PyPy3.6 (альфа-версия), обеспечивающих поддержку синтаксиса Python 2.7, Python 3.5 и Python 3.6. Выпуск доступен для Linux (x86, x86_64, PPC64, s390x, ARMv6 или ARMv7 с VFPv3), macOS (x86_64), OpenBSD, FreeBSD и Windows (x86).

Особенностью PyPy является использование JIT-компилятора, на лету транслирующего некоторые элементы в машинный код, что позволяет обеспечить высокий уровень производительности - при выполнении некоторых операций PyPy в несколько раз обгоняет классическую реализацию Python на языке Си (CPython). Ценой высокой производительности и использования JIT-компиляции является более высокое потребление памяти - общее потребление памяти в сложных и длительно работающих процессах (например, при трансляции PyPy силами самого PyPy) превышает потребление CPython в полтора-два раза.

В новом выпуске:

  • Представлен первый альфа-выпуск новой ветки PyPy3.6, предоставляющей поддержку Python 3.6;
  • Добавлена возможность подключения обработчиков к сборщику мусора (GC hooks), позволяющих на низком уровне управлять поведением сборщика мусора, отключая его в моменты, требующие предсказуемой производительности или отсутствия задержек. Следует иметь в виду, что при отключении сборки мусора может наблюдаться неконтролируемый рост потребления памяти. Управление производится при помощи двух функций: gc.disable() для отключения автоматического сборщика мусора и gc.collect_step() для ручного выполнения отдельных шагов для сборки мусора;
  • Обновлены модули CFFI 1.12 (C Foreign Function Interface) и cppyy 1.4 с реализацией интерфейса для вызова функций, написанных на языках Си и C++. В ветках Py3.5 и Py3.6 появилась поддержка cppyy, ранее доступного только в PyPy2.7;
  • Реализованы специфичные для Python 3.6 функции и объекты Py_ReprEnter, Py_ReprLeave(), PyMarshal_ReadObjectFromString, PyMarshal_WriteObjectToString, PyObject_DelItemString, PyMapping_DelItem, PyMapping_DelItemString, PyEval_GetFrame, PyOS_InputHook, PyErr_FormatFromCause, __set_name__, __init_subclass__;
  • В основную ветку PyPy переведена разработка отладчика revdb с поддержкой отладки с возвратом к более ранним состояниям (reverse debugging);
  • Добавлена поддержка платформы GNU Hurd. Улучшена работа в окружении FreeBSD (в том числе теперь работоспособна система профилирования vmprof);
  • Код для перевода внутреннего представления строк на utf8 не вошёл в релиз.

  1. OpenNews: Релиз PyPy 6.0, реализации Python, написанной на языке Python
  2. OpenNews: Увидел свет язык программирования Python 3.7
  3. OpenNews: Выпуск Nuitka 0.6.0, компилятора для языка Python
  4. OpenNews: Утверждена новая модель управления разработкой Python
  5. OpenNews: Проект RustPython развивает реализацию интерпретатора Python на языке Rust
Обсуждение (49 +7) | Тип: Программы |
12.02.2019 Фонд свободного ПО опубликовал финансовый отчёт по итогам 2017 года (63 +9)
  Фонд свободного ПО представил третий ежегодный отчёт, в котором обобщил информацию о мероприятиях и финансовых показателях за 2017 финансовый год (с 1 октября 2016 по 30 сентября 2017).

За отчётный период Фонд СПО заработал 1,362 млн долларов, что на 3 тысячи меньше, чем в 2016 финансовом году. Из данных средств $1,294 млн составили пожертвования от частных лиц и компаний (Alibaba, Google, Private Internet Access, Bloomberg, GitHub и т.п.), $70 тысяч получены в качестве оплаты тех или иных работ и $14 тысяч получены в результате инвестиций.

Расходы составили 1,236 млн долларов (в 2016 году - 1,308 млн, в 2015 году - $1,230 млн), из которых 1,076 млн долларов потрачено на различные программы, такие как проведение конференций, 65 тысяч долларов было потрачено на финансирование разработок (в 2016 году - $102 тысячи) и 95 тысяч долларов на управленческие и административные нужды (в 2016 году - $105 тысяч). Активы фонда составляют 1,496 млн долларов (в 2016 году - $1,380 млн).

За отчётный период было рассмотрено 331 обращение, связанное с авторскими правами, обработаны 670 вопросов по лицензированию, разобраны 54 жалобы на нарушение лицензии GPL, сертифицированы 18 устройств в рамках программы "Respect Your Freedom". Инфраструктура проекта насчитывает более 100 виртуальных машин и 11 серверов, работающих в 3 датацентрах. Проектом GNU поддерживается около 400 пакетов, для которых выпущено 234 новых релиза.

  1. OpenNews: Фонд свободного ПО опубликовал финансовый отчёт по итогам 2016 года
  2. OpenNews: Фонд Pineapple пожертвовал 1 миллион долларов Фонду свободного ПО
  3. OpenNews: Фонд СПО объявил обладателей ежегодной премии за вклад в развитие свободного ПО
  4. OpenNews: Сообщество Handshake пожертвовало миллион долларов Фонду свободного ПО
  5. OpenNews: Фонд СПО признал Hyperbola полностью свободным дистрибутивом
Обсуждение (63 +9) | Тип: Обобщение |
11.02.2019 В состав OpenBSD добавлена собственная реализация rsync (148 +22)
  В состав кодовой базы OpenBSD добавлен пакет openrsync, включающий реализацию утилиты для синхронизации файлов и резервного копирования rsync, полностью переписанной под лицензией BSD (оригинальный rsynс развивается под лицензией GPLv2).

На уровне протокола openrsync совместим с rsync 3.1.3, но пока поддерживает ограниченный набор опций командной строки и собирается только для OpenBSD (используются специфичные для данной системы функции для повышения безопасности, такие как pledge, unveil и arc4random). В будущем планируется расширить поддерживаемые команды и подготовить переносимую версию, которую можно будет установить в Linux и FreeBSD.

Утилита openrsync была подготовлена разработчиками OpenBSD в рамках проекта по созданию распространяемой под лицензией BSD реализации RPKI Validator (rpki-client), использующей протокол rsync для сбора данных из репозиториев и применяемой для верификации автономных систем в BGPSEC. Разработка профинансирована компаниями NetNod, IIS.SE, SUNET и 6connect, заинтересованными в обеспечении поддержки BGPSEC в OpenBGPD.

  1. OpenNews: Выпуск Rsync 3.1.2 c устранением уязвимости
  2. OpenNews: RIPE NCC поддержал разработку OpenBGPD
  3. OpenNews: Увидел свет Rsync 3.1.0
  4. OpenNews: Леннарт Поттеринг представил свой новый проект Casync
  5. OpenNews: Доступна утилита для резервного копирования rclone 1.39
Обсуждение (148 +22) | Тип: Программы |
11.02.2019 Обновление пакета с ядром для Ubuntu привело к проблемам с загрузкой на некоторых ноутбуках (120 +19)
  Компания Canonical выпустила обновление (4.18.0-15) пакетов с ядром для Ubuntu 18.04 и 18.10, в котором устранено регрессивное изменение, внесённое в предложенном за несколько дней до этого обновлении ядра с устранением уязвимости в реализации vsock (CVE-2018-14625). Некорректное устранение уязвимости привело к невозможности загрузить некоторые системы с GPU Intel (gen4/gen5) - при использовании обновлённого ядра система зависала на этапе загрузки драйвера i965.

Например, проблема проявляется на ноутбуках Samsung NP-R580, Lenovo X300, Lenovo 3000 g410, Thinkpad T510, ThinkPad T400, Sony Vaio VPCEB4E1E и Dell Inspiron 13 5000, а также на ПК c материнской платой Asus P7H55-M PRO. Пользователям рекомендуется оперативно установить обновление ядра 4.18.0-15, минуя выпуск 4.18.0-14.

  1. OpenNews: Установка Ubuntu 17.10 может привести к повреждению прошивок некоторых ноутбуков
  2. OpenNews: Выполнение rm -rf / может привести к неработоспособности UEFI-прошивки ноутбука
  3. OpenNews: Загрузка Linux в режиме UEFI выводит из строя некоторые модели ноутбуков Thinkpad
  4. OpenNews: В ноутбуках Lenovo выявлена проблема, не позволяющая установить Linux
  5. OpenNews: Раскрыты причины блокирования работы UEFI-прошивки ноутбуков Samsung
Обсуждение (120 +19) | Тип: К сведению |
10.02.2019 Выпуск файлового менеджера Double Commander 0.9.0 (116 +25)
  Доступна новая версия двухпанельного файлового менеджера Double Commander 0.9.0, пытающегося повторить функциональность Total Commander и обеспечить совместимость с его плагинами. Предлагается три варианта интерфейса пользователя - на базе GTK2, Qt4 и Qt5. Код доступен под лицензией GPLv2.

Из особенностей Double Commander можно отметить выполнение всех операций в фоновом режиме, поддержку переименования группы файлов по маске, интерфейс на базе вкладок, двухпанельный режим с вертикальным или горизонтальным размещением панелей, встроенный текстовый редактор с подсветкой синтаксиса, работа с архивами как с виртуальными директориями, расширенные средства поиска, настраиваемая панель, поддержка плагинов Total Commander в форматах WCX, WDX и WLX, функция ведения лога файловых операций.

Основные новшества Double Commander 0.9.0:

  • Сортировка по столбцам с данными от контентных плагинов (отображают дополнительные свойства файлов в списке, такие как mp3-теги и данные из EXIF);
  • В выводе плагинов файловой системы (предоставляют доступ к различным ресурсам как к файловой системе) теперь можно добавлять пользовательские столбцы;
  • Добавлена поддержка вычисления и проверки хэшей BLAKE2b и BLAKE2bp;
  • C помощью инструкций SSSE3 (x86_64) ускорена работа с хэшами SHA256 / SHA512, а с помощью инструкций SSE2 (x86_64) ускорена работа с хэшами BLAKE2s и BLAKE2sp;
  • В плагин для работы с FTP добавлена поддержка протокола SSH + SCP, возможность аутентификации с открытым ключом (SSH), поддержка прокси (SOCKS 4/5, HTTP CONNECT) и режим выполнения команд из командной строки (SSH);
  • В системе синхронизации каталогов предоставлена возможность выбора элементов в файловой панели и синхронизации только этих выбранных элементов;
  • В плагин SevenZip добавлена поддержка внешних кодеков (Windows);
  • Обеспечено отображение процессов, которые блокируют операцию удаления файла (Windows)
  • Добавлен тест для измерения производительности хэширования;
  • Обеспечена поддержка выпусков Lua 5.2 и 5.3, для кода на Lua добавлена библиотека для работы с UTF-8.

  1. OpenNews: Выпуск файлового менеджера Double Commander 0.8.0
  2. OpenNews: Доступен новый двухпанельный файловый менеджер JumpFm
  3. OpenNews: Доступен файловый менеджер GNOME Commander 1.8.0
  4. OpenNews: Выпуск файлового менеджера PCManFM 1.3.0, развиваемого проектом LXDE
  5. OpenNews: Выпуск двухпанельного файлового менеджера Krusader 2.7
Обсуждение (116 +25) | Автор: Аноним | Тип: Программы |
10.02.2019 Бета-выпуск дистрибутива OpenMandriva Lx 4 (137 +5)
  Сформирован бета-выпуск дистрибутива OpenMandriva Lx 4. Проект развивается силами сообщества после того как компания Mandriva S.A. передала управление проектом в руки некоммерческой организации "OpenMandriva Association". Для загрузки предлагаются Live-сборка размером 2.1 Гб (x86_64).

Ветка OpenMandriva Lx 4 примечательна переходом на пакетный менеджер RPMv4, консольный инструментарий DNF и графический интерфейс управления пакетами Dnfdragora. Ранее проектом использовалась отдельно развиваемая ветка RPMv5, инструментарий urpmi и GUI rpmdrake. RPMv4 поддерживается компанией Red Hat и используется в таких дистрибутивах, как Fedora, RHEL, openSUSE и SUSE. Ветка RPMv5 развивалась сторонними энтузиастами и уже много лет находится в стагнации - последний стабильный выпуск RPMv5 был сформирован в 2010 году, после чего разработка остановилась. В отличие от RPMv5, проект RPMv4 активно развивается и сопровождается, а также предоставляет более полноценный набор инструментов для управления пакетами и репозиториями. Переход на RPMv4 также позволит избавиться от применяемых ныне в OpenMandriva грязных хаков и вспомогательных Perl-скриптов.

Некоторые другие изменения в OpenMandriva Lx 4:

  • Компилятор Clang, используемый для сборки пакетов, обновлён до ветки LLVM 7.0. Обновлены версии ядра Linux 4.20.4 и Systemd 240;
  • Обновлён графический стек и пользовательские приложения: KDE Plasma 5.14.90, KDE Frameworks 5.54.0, KDE Applications: 18.12.1, Qt 5.12, Xorg 1.20.3, Mesa 18.3.3, LibreOffice 6.2, Firefox 65.0, Krita 4.1.7.101, DigiKam 6.0;
  • Для управления пользователями вместо userdrake задействован интерфейс Kuser, а для создания резервных копий вместо draksnapshot предложен KBackup;
  • Для информирования пользователя о наличии обновлений пакетов задействован апплет "Plasma software updates";
  • В загрузочное меню Live-окружения добавлены пункты для выбора языка и раскладки клавиатуры;
  • В базовый состав Live-образа включена карточная игра KPatience;
  • Обновлён инсталлятор Calamares. Добавлена опция для настройки раздела подкачки. Реализовано сохранение лога процесса установки на успешно установленную систему. После завершения установки обеспечено удаление всех лишних языковых пакетов, не соответствующих выбранным языкам. Добавлена проверка установки в окружении VirtualBox - если используется реальное оборудование, то обеспечено удаление вспомогательных пакетов для virtualbox.
  • Подготовлены порты для архитектур aarch64 (Raspberry Pi 3 и DragonBoard 410c) и armv7hnl;
  • Сформированы дополнительные сборки, специально оптимизированные для процессоров AMD (Ryzen, ThreadRipper, EPYC).

  1. OpenNews: Выпуск дистрибутива Mageia 6.1, форка Mandriva Linux
  2. OpenNews: Дистрибутив OpenMandriva переходит на RPMv4 и DNF
  3. OpenNews: Выпуск дистрибутива OpenMandriva Lx 3.03
  4. OpenNews: Релиз дистрибутива OpenMandriva Lx 3.0
  5. OpenNews: OpenMandriva переходит на Clang и новый инсталлятор
Обсуждение (137 +5) | Тип: Программы |
08.02.2019 Уязвимости в Android, FreeBSD, rdesktop и FreeRDP (55 +20)
  Несколько недавно анонсированных опасных уязвимостей:
  • Опубликован февральский набор исправлений проблем с безопасностью для платформы Android, в котором устранены 42 уязвимости. 11 проблемам присвоен критический уровень опасности. Наиболее опасными признаны уязвимости CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988, позволяющие удалённому атакующему выполнить свой код на устройстве при обработке специально оформленного изображения в формате PNG. Уязвимости могут быть эксплуатированы в любых приложениях, в которых используется предоставляемый системой обработчик PNG, в том числе в контексте привилегированных процессов.

    Кроме того, критические уязвимости устранены в Bluetooth-стеке, библиотеке libnvomx (NVIDIA), загрузчике Qualcomm и проприетарных драйверах Qualcomm, которые позволяют организовать выполнение кода с повышенными привилегиями при обработке специально подготовленных злоумышленником данных, в том числе поступающих извне. Например, уязвимости в Bluetooth-стеке могут быть эксплуатированы через отправку определённых запросов по Bluetooth, а уязвимость в libnvomx может проявиться при попытке обработки в данной библиотеке специально оформленных видеопотоков;

  • Во FreeBSD 12 устранена уязвимость (CVE-2019-5596), которую можно использовать для получения локальным пользователем root-привилегий или для выхода из изолированных окружений Jail. Проблема вызвана некорректной обработкой в ядре управляющих сообщений при передаче прав, что позволяет использовать UNIX-сокеты для передачи другому процессу прав, привязанных к файловым дескрипторам. Кроме того, во всех поддерживаемых ветках FreeBSD выявлена уязвимость (CVE-2019-5595) в реализации системных вызовов, которая может привести к утечке информации из структур ядра;
  • В свободных пакетах FreeRDP и rdesktop, реализующих протокол RDP для удалённого доступа к рабочему столу, выявлены 24 опасные уязвимости, при помощи которых можно организовать выполнение кода на стороне клиента при его подключении по протоколу RDP к рабочей станции, подконтрольной злоумышленнику. 6 проблем выявлено во FreeRDP и 19 в rdesktop. Уязвимости без раскрытия деталей были устранены в осеннем обновлении FreeRDP 2.0.0rc4 и январском обновлении rdesktop 1.8.4. С практической стороны уязвимости могут использоваться, например, для атаки на компьютеры администратора при получении контроля за одной из рабочих станций в корпоративной сети, или для атак на исследователей безопасности, использующих RDP для подключения к виртуальной машине с исследуемым вредоносным ПО.

  1. OpenNews: В 22 приложениях, загруженных из Google Play более 2 млн раз, выявлен вредоносный код
  2. OpenNews: Google планирует обязать OEM-производителей выпускать обновления безопасности для Android-устройств
  3. OpenNews: Серия критических уязвимостей в Android
  4. OpenNews: В Android и старых ядрах Linux устранена уязвимость, эксплуатируемая через отправку UDP-пакетов
  5. OpenNews: Приложения, использующие libpng, подвержены уязвимости
Обсуждение (55 +20) | Тип: Проблемы безопасности |
08.02.2019 Фонд свободного ПО сертифицировал материнскую плату и ПК Vikings D8 (100 +32)
  Фонд Свободного ПО представил третью материнскую плату, получившую сертификат "Respect Your Freedom", который подтверждает соответствие устройства требованиям обеспечения приватности и свободы пользователей и даёт право использовать специальный логотип в связанных с продуктом материалах, подчёркивающий предоставление пользователю полного контроля над устройством.

Сертификат получила материнская плата Vikings D8 (ASUS KCMA-D8) и построенная на её основе рабочая станция Vikings D8 Workstation. Материнская плата ориентирована на использование с выпускаемыми с 2011 года процессорами AMD Opteron 42xx на базе микроархитектуры Bulldozer. Все исходные тексты прошивок, загрузчика и компонентов операционной системы доступны в исходных текстах под свободной лицензией. Вместо проприетарного BIOS в качестве прошивки применяется очищенный от блобов вариант Coreboot. Плата полностью совместима с дистрибутивом Trisquel, который рекомендован для установки по умолчанию.

Для получения сертификата от Фонда СПО продукт должен удовлетворять следующим требованиям:

  • поставка свободных драйверов и прошивок;
  • всё поставляемое с устройством программное обеспечение должно быть свободным;
  • отсутствие ограничений DRM;
  • возможность полного контроля за работой устройства;
  • поддержка замены прошивок;
  • поддержка работы полностью свободных GNU/Linux дистрибутивов;
  • использование не ограниченных патентами форматов и программных компонентов;
  • наличие свободной документации.

Из ранее сертифицированных устройств можно отметить:

  1. OpenNews: Фонд свободного ПО сертифицировал Minifree Libreboot X200 Tablet
  2. OpenNews: Фонд свободного ПО сертифицировал программатор Zerocat Chipflasher
  3. OpenNews: Фонд свободного ПО сертифицировал 15 устройств компании Technoethical
  4. OpenNews: Фонд свободного ПО сертифицировал материнскую плату Vikings D16
  5. OpenNews: Фонд свободного ПО сертифицировал 3D-принтер LulzBot TAZ 6
Обсуждение (100 +32) | Тип: К сведению |
07.02.2019 В открытую платформу обмена сообщениями Mattermost инвестировано 20 млн долларов (143 +21)
  Стартап Mattermost, развивающий одноимённую открытую коммуникационную платформу для общения разработчиков, сообщил о получении первого раунда инвестиций от венчурных фондов Redpoint Ventures, S28 Capital и Y Combinator. Размер первого денежного вливания составил 20 млн. долларов. Деньги планируется потратить на приведение платформы к соответствию требованиям предприятий по обеспечению безопасности, конфиденциальности и совместимости с корпоративными системами, а также на расширение и поддержание сформированного вокруг проекта сообщества.

Mattermost позиционируется как открытая альтернатива системе организации коммуникаций Slack и позволяет получать и отправлять сообщения, файлы и изображения, отслеживать их историю и получать уведомления на смартфоне или ПК. Поддерживаются подготовленные для Slack модули интеграции, а также предоставлена большая коллекция собственных модулей для интеграции с Jira, GitHub, IRC, XMPP, Hubot, Giphy, Jenkins, GitLab, Trac, BitBucket, Twitter, Redmine, SVN и RSS/Atom. Код серверной части проекта написан на языке Go (web-приложение, мобильные приложения и десктоп-клиент написаны на JavaScript и React) и распространяется под лицензией MIT. В качестве СУБД могут применяться MySQL и Postgres.

  1. OpenNews: GitLab объявил о покупке Gitter и планирует открыть его код
  2. OpenNews: Выпуск открытой платформы для организации совместной разработки GitLab 8.0
  3. OpenNews: Открыт код сервиса мгновенного обмена сообщениями Gitter
  4. OpenNews: Выпуск платформы обмена сообщениями Zulip 1.9
  5. OpenNews: Пятый тестовый выпуск системы мгновенного обмена сообщениями от проекта Tor
Обсуждение (143 +21) | Тип: К сведению |
07.02.2019 Для Firefox развивается режим строгой изоляции страниц (73 +17)
  Разработчики Mozilla сообщили об успехах развития проекта Fission, в рамках которого предпринята попытка модернизации архитектуры Firefox для повышения защищённости браузера. По аналогии с изменениями, предложенными летом прошлого года в Chrome, в Firefox планируется реализовать режим строгой изоляции сайтов, при котором страницы разных сайтов всегда размещаются в памяти разных процессов, в каждом из которых применяется свой sandbox. Разделение осуществляется не по вкладкам, а по доменам, что позволит дополнительно изолировать содержимое внешних скриптов и iframe-блоков.

Проект развивается уже около года и в конце февраля достигнет состояния первого тестового выпуска (Milestone 1), в котором будет реализована возможность выноса выполнения содержимого iframe в отдельные процессы. В дальнейшем начнётся работа по адаптации подсистем Firefox для использования предложенной модернизированной архитектуры. В настоящее время Firefox запускает несколько процессов-обработчиков (от 1 до 7, в зависимости от настроек), каждый из которых обслуживает несколько вкладок, а также запускает отдельные процессы для WebExtension и интерфейса.

  1. OpenNews: Улучшение sandbox-изоляции в Firefox
  2. OpenNews: Выпуск sandboxed-tor-browser, прослойки для изоляции Tor Browser
  3. OpenNews: Усиление защиты Chrome
  4. OpenNews: Оценка потребления памяти Firefox в многопроцессном режиме
  5. OpenNews: Проект по интеграции поддержки Tor в Firefox
Обсуждение (73 +17) | Тип: К сведению |
Следующая страница (раньше) >>


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor