В Ubuntu Snap Store выявлены вредоносные пакеты

Компания Canonical объявила о временной приостановке использования в Snap Store автоматической системы проверки публикуемых пакетов из-за появления в репозитории пакетов с вредоносным кодом для кражи криптовалюты у пользователей. При этом непонятно, ограничивается ли инцидент публикацией вредоносных пакетов сторонними авторами или имеют место какие-то проблемы с безопасностью непосредственно репозитория, так как ситуация в официальном анонсе характеризуется как "потенциальный инцидент с безопасностью".

Дата: 30 Сентября 2023 19:57:25

Атака Marvin для расшифровки RSA на основе измерения времени операций

Хьюберт Карио (Hubert Kario), чешский исследователь безопасности, работающий в компании Red Hat, представил на завершившемся вчера Европейском симпозиуме по компьютерной безопасности технику атаки Marvin, позволяющую определить исходные данные через измерение задержек при выполнении операций расшифровки на базе алгоритма RSA. На практике предложенный метод позволяет расшифровать трафик или сформировать цифровые подписи без знания закрытого RSA-ключа. Для тестирования применимости атаки опубликован специальный скрипт для проверки TLS-серверов и инструментарий для выявления проблем в библиотеках.

Дата: 30 Сентября 2023 13:12:41

Выпуск DuckDB 0.9.0, варианта SQLite для аналитических запросов

Опубликован выпуск СУБД DuckDB 0.9.0, сочетающей такие свойства SQLite, как компактность, возможность подключения в форме встраиваемой библиотеки, хранение БД в одном файле и удобный CLI-интерфейс, со средствами и оптимизациями для выполнения аналитических запросов, охватывающих значительную часть хранимых данных, например, выполняющих агрегирование всего содержимого таблиц или слияние нескольких больших таблиц. Код проекта распространяется под лицензией MIT. Разработка пока находится на стадии формирования экспериментальных выпусков, так как формат хранилища пока не стабилизирован и меняется от версии к версии.

Дата: 29 Сентября 2023 14:20:37

Red Hat переходит с системы отслеживания ошибок Bugzilla на платформу Jira

Компания Red Hat объявила о переводе разработки Red Hat Enterprise Linux и CentOS Stream на новую систему отслеживания ошибок issues.redhat.com, построенную на основе проприетарной платформы Jira, развиваемой компанией Atlassian. Ранее в Red Hat применялась собственная редакция свободной платформы отслеживания ошибок Bugzilla (аналогичные отдельные редакции Bugzilla также поддерживают проекты Mozilla и SUSE). В настоящее время компания Red Hat уже перешла на приём новых сообщений об ошибках в RHEL 6-9 только через новую систему и в течение следующих нескольких недель планирует перенести из Bugzilla в Jira существующую базу сообщений об ошибках. Проект Fedora продолжит использование Bugzilla, несмотря на внедрение Jira в RHEL и CentOS Stream.

Дата: 29 Сентября 2023 09:47:05

Анонсирована плата Raspberry Pi 5

Спустя более четырёх лет с момента создания платы Raspberry Pi 4 организация Raspberry Pi Foundation представила плату нового поколения - Raspberry Pi 5, которая поступит в продажу в конце октября по цене $60 за вариант с 4 ГБ ОЗУ и $80 за вариант с 8 ГБ ОЗУ. Для сравнения плата Raspberry Pi 4 с 2 ГБ ОЗУ продавалась за $35, 4 ГБ ОЗУ - $55, а 8 ГБ ОЗУ - $75, но при этом заявлено, что производительность платы Raspberry Pi 5 в 2-3 раза выше Raspberry Pi 4.

Дата: 28 Сентября 2023 17:34:43

0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик видео VP8

Компания Google опубликовала обновление браузера Chrome 117.0.5938.132, в котором устранена уязвимость (CVE-2023-5217) в библиотеке libvpx, приводящая к переполнению буфера при использовании функций кодирования в формате VP8. В отличие от недавно выявленной уязвимости в декодировщике изображений в формате WebP, проблеме в кодировщике VP8 присвоен высокий, но не критический уровень опасности, т.е. проблема не позволяет обойти все уровни защиты браузера и для выполнения кода в системе за пределами sandbox-окружения требуется задействование ещё каких-то уязвимостей. При этом уязвимость выявлена в ходе анализа существующего в сети рабочего эксплоита, который применялся злоумышленниками для совершения атак (0-day).

Дата: 28 Сентября 2023 10:31:51

Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере

Проект Zero Day Initiative (ZDI) раскрыл сведения о неисправленных (0-day) уязвимостях (CVE-2023-42115, CVE-2023-42116, CVE-2023-42117) в почтовом сервере Exim, позволяющих удалённо выполнить свой код на сервере с правами процесса, принимающего соединения на 25 сетевом порту. Аутентификация для проведения атаки не требуется.

Дата: 28 Сентября 2023 08:50:31

Атака GPU.zip, позволяющая воссоздать данные, отрисовываемые GPU

Группа исследователей из нескольких университетов США разработала новую технику атаки по сторонним каналам, позволяющую воссоздать визуальную информацию, обрабатываемую в GPU. При помощи предложенного метода, который получил название GPU.zip, атакующий может определить выводимую на экран информацию. Среди прочего атака может быть проведена через web-браузер, например, продемонстрировано, как открытая в Chrome вредоносная web-страница может получить информацию о пикселях, выводимых при отрисовке другой web-страницы, открытой в том же браузере.

Дата: 27 Сентября 2023 19:07:02

Выпуск Chrome OS 117

Доступен релиз операционной системы Chrome OS 117, основанной на ядре Linux, системном менеджере upstart, сборочном инструментарии ebuild/portage, открытых компонентах и web-браузере Chrome 117. Пользовательское окружение Chrome OS ограничивается web-браузером, а вместо стандартных программ задействованы web-приложения, тем не менее, Chrome OS включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Исходные тексты распространяются под свободной лицензией Apache 2.0. Сборка Chrome OS 117 доступна для большинства актуальных моделей Chromebook. Для использования на обычных компьютерах предлагается редакция Chrome OS Flex.

Дата: 27 Сентября 2023 08:41:51

Первый стабильный релиз ФС Composefs

Александр Ларсон (Alexander Larsson), создатель Flatpak, работающий в компании Red Hat, представил первый стабильный выпуск файловой системы Composefs, оптимизированной для эффективного совместного хранения содержимого нескольких примонтированных дисковых образов. На практике ФС Composefs может оказаться полезной для монтирования образов контейнеров и размещения Git-подобного репозитория OSTree. Код проекта написан на языке Си и распространяется под лицензией GPLv2.

Дата: 26 Сентября 2023 22:59:13

Релиз Firefox 118

Состоялся релиз web-браузера Firefox 118 и сформировано обновление ветки с длительным сроком поддержки - 115.3.0. На стадию бета-тестирования переведена ветка Firefox 119, релиз которой намечен на 24 октября.

Дата: 26 Сентября 2023 16:27:38

Уязвимость в CPU AMD Zen1, приводящая к утечке информации о прошлых операциях при делении на ноль

В процессорах AMD выявлена уязвимость (CVE-2023-20588), приводящая к утечке данных, используемых в ходе выполнения операций на том же ядре CPU при обработке процессором исключения #DE (Divide Error), возникающего при попытке деления на ноль. Уязвимость проявляется только в процессорах AMD на базе микроархитектуры Zen1, например, в сериях AMD EPYC 7001, AMD Athlon 3000, AMD Ryzen 3000 с GPU Radeon, AMD Athlon PRO 3000 c GPU Radeon Vega и AMD Ryzen PRO 3000 с GPU Radeon Vega.

Дата: 26 Сентября 2023 14:02:00

Доступна система проектирования печатных плат LibrePCB 1.0

Представлен выпуск свободного пакета для автоматизации проектирования печатных плат LibrePCB 1.0.0, который помечен как первый полноценный выпуск, избавленный от ограничений, мешавших созданию достаточно сложных печатных плат. LibrePCB позиционируется как интуитивно понятный пакет для быстрой разработки плат, который отстаёт по функциональности от KiCad, но гораздо проще в работе и при этом учитывает потребности не только начинающих, но и профессиональных инженеров. Программа поставляется в сборках для Linux (Flatpak, Snap, AppImage), FreeBSD, macOS и Windows. Код проекта написан на языке C++ (интерфейс на Qt) и распространяется под лицензией GPLv3.

Дата: 26 Сентября 2023 10:45:57

Увидел свет Wolvic 1.5, web-браузер для устройств виртуальной реальности

Опубликован релиз web-браузера Wolvic 1.5, предназначенного для использования в системах дополненной и виртуальной реальности. Проект продолжает развитие браузера Firefox Reality, ранее развивавшегося компанией Mozilla. После стагнации кодовой базы Firefox Reality в рамках проекта Wolvic его разработку продолжила компания Igalia, известная своим участием в разработке таких свободных проектов, как GNOME, GTK, WebKitGTK, Epiphany, GStreamer, Wine, Mesa и freedesktop.org. Код Wolvic написан на языках Java и C++, и распространяется под лицензией MPLv2. Готовые сборки сформированы для платформы Android. Поддерживается работа с 3D-шлемами Oculus, Huawei VR Glass, Lenovo VRX, Lenovo A3, HTC Vive Focus, Pico Neo, Pico4, Pico4E, Meta Quest Pro и Lynx (также ведётся портирование браузера для устройств Qualcomm).

Дата: 25 Сентября 2023 22:27:49

Опубликована P2P-платформа GNUnet 0.20

Представлен выпуск фреймворка GNUnet 0.20, предназначенного для построения защищённых децентрализованных P2P-сетей. Создаваемые при помощи GNUnet сети не имеют единой точки отказа и способны гарантировать неприкосновенность частной информации пользователей, в том числе исключить возможные злоупотребления со стороны спецслужб и администраторов, имеющих доступ к узлам сети.

Дата: 24 Сентября 2023 20:35:47