Решено с 2035 года приостановить синхронизацию мировых атомных часов с астрономическим временем
На Генеральной конференции по мерам и весам принято решение как минимум начиная с 2035 года приостановить периодическую синхронизацию эталонных мировых атомных часов с астрономическим временем Земли. Из-за неоднородности вращения Земли астрономические часы немного отстают от эталонных и для синхронизации точного времени начиная c 1972 года атомарные часы раз в несколько лет приостанавливались на одну секунду, как только разница между эталонным и астрономическим временем достигала 0.9 секунд (последняя подобная корректировка была 8 лет назад). С 2035 года синхронизация будет прекращена и разница между мировым координированным временем (UTC) и астрономическим временем (UT1, среднее солнечное время) будет накапливаться.
Решено с 2035 года приостановить синхронизацию мировых атомных часов с астрономическим временем
На Генеральной конференции по мерам и весам принято решение как минимум начиная с 2035 года приостановить периодическую синхронизацию эталонных мировых атомных часов с астрономическим временем Земли. Из-за неоднородности вращения Земли астрономические часы немного отстают от эталонных и для синхронизации точного времени начиная c 1972 года атомарные часы раз в несколько лет приостанавливались на одну секунду,...
Уязвимость в Samba, приводящая к переполнению буфера
Опубликованы корректирующие выпуски пакета Samba 4.17.3, 4.16.7 и 4.15.12 с устранением уязвимости (CVE-2022-42898) в библиотеках Heimdal и MIT Kerberos, приводящей к целочисленному переполнению и записи данных за пределы выделенного буфера при обработке параметров PAC (Privileged Attribute Certificate). Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD.
Уязвимость в Samba, приводящая к переполнению буфера
Опубликованы корректирующие выпуски пакета Samba 4.17.3, 4.16.7 и 4.15.12 с устранением уязвимости (CVE-2022-42898) в библиотеках Heimdal и MIT Kerberos, приводящей к целочисленному переполнению и записи данных за пределы выделенного буфера при обработке параметров PAC (Privileged Attribute Certificate). Публикацию обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD.
Две уязвимости в GRUB2, позволяющие обойти защиту UEFI Secure Boot
Раскрыты сведения о двух уязвимостях в загрузчике GRUB2, которые могут привести к выполнению кода при использовании специально оформленных шрифтов и обработке определённых Unicode-последовательностей. Уязвимости могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot.
Опубликован Wa-tunnel для туннелирования трафика через мессенджер WhatsApp
Опубликован инструментарий Wa-tunnel, позволяющий пробрасывать TCP-трафик через другой хост, используя туннель, работающий поверх мессенджера WhatsApp. Подобные манипуляции могут оказаться полезными при необходимости получения доступа к внешней сети из окружений, в которых доступен только мессенджер, или для экономии трафика при подключении к сетям или провайдерам, предоставляющим безлимитные опции для трафика мессенджеров (например, неограниченный доступ к WhatsApp предоставляется в бортовых сетях самолётов некоторых авиакомпаний). Код написан на языке JavaScript с использованием Node.js и распространяется под лицензией MIT. Для взаимодействия с API WhatsApp используется библиотека Baileys.
Опубликован Wa-tunnel для туннелирования трафика через мессенджер WhatsApp
Опубликован инструментарий Wa-tunnel, позволяющий пробрасывать TCP-трафик через другой хост, используя туннель, работающий поверх мессенджера WhatsApp. Подобные манипуляции могут оказаться полезными при необходимости получения доступа к внешней сети из окружений, в которых доступен только мессенджер, или для экономии трафика при подключении к сетям или провайдерам, предоставляющим безлимитные опции для трафика мессенджеров...
Уязвимость в Android, позволяющая обойти блокировку экрана
В платформе Android выявлена уязвимость (CVE-2022-20465), позволяющая отключить блокировку экрана путём перестановки SIM-карты и ввода PUK-кода. Возможность отключения блокировки продемонстрирована на устройствах Google Pixel, но так как исправление затрагивает основную кодовую базу Android, вероятно, что проблема касается и прошивок от других производителей. Проблема устранена в ноябрьском наборе исправлений проблем с безопасностью для Android. Обративший внимание не проблему исследователь получил от компании Google вознаграждение, размером 70 тысяч долларов.
Уязвимость в Android, позволяющая обойти блокировку экрана
В платформе Android выявлена уязвимость (CVE-2022-20465), позволяющая отключить блокировку экрана путём перестановки SIM-карты и ввода PUK-кода. Возможность отключения блокировки продемонстрирована на устройствах Google Pixel, но так как исправление затрагивает основную кодовую базу Android, вероятно, что проблема касается и прошивок от других производителей. Проблема устранена в ноябрьском наборе исправлений проблем с безопасностью для Android....
Платформа совместной разработки SourceHut запрещает размещение проектов, связанных с криптовалютами
Платформа совместной разработки SourceHut анонсировала предстоящее изменение условий использования. Новые условия, которые начнут действовать с 1 января 2023 года, запрещают размещение содержимого, связанного с криптовалютами и блокчейном. После начала действия новых условий в том числе планируют удалить все ранее размещённые подобные проекты. По отдельному запросу в службу поддержки для легальных и полезных проектов может быть сделано исключение. Также допускается восстановление удалённых проектов после рассмотрения апелляций. Приём пожертвований в криптовалюте не подпадает под запрет, хотя и выделен как не рекомендованный способ поддержки.
Платформа совместной разработки SourceHut запрещает размещение проектов, связанных с криптовалютами
Платформа совместной разработки SourceHut анонсировала предстоящее изменение условий использования. Новые условия, которые начнут действовать с 1 января 2023 года, запрещают размещение содержимого, связанного с криптовалютами и блокчейном. После начала действия новых условий в том числе планируют удалить все ранее размещённые подобные проекты. По отдельному запросу в службу поддержки для легальных...
Компания NVIDIA выпустила открытый движок симуляции физических процессов PhysX 5
После почти четырёх лет с момента прошлой ветки компания NVIDIA опубликовала исходные тексты движка симуляции физических процессов PhysX 5, который стал вторым значительным выпуском после перевода проекта в разряд открытых. Код проекта распространяется под лицензией BSD и поддерживает платформы Linux, macOS, iOS, Windows и Android. Кроме непосредственно движка под лицензией BSD также открыт код и связанного с ним инструментария PhysX SDK.
Компания NVIDIA выпустила открытый движок симуляции физических процессов PhysX 5
После почти четырёх лет с момента прошлой ветки компания NVIDIA опубликовала исходные тексты движка симуляции физических процессов PhysX 5, который стал вторым значительным выпуском после перевода проекта в разряд открытых. Код проекта распространяется под лицензией BSD и поддерживает платформы Linux, macOS, iOS, Windows и Android. Кроме непосредственно движка под лицензией BSD также открыт код и связанного с ним инструментария...
Компании Google и Valve перевели реализацию сервиса доставки игр Steam для платформы Chrome OS на стадию бета-тестирования. Бета-выпуск Steam уже предложен в тестовых сборках Chrome OS 108.0.5359.24 (включается через chrome://flags#enable-borealis). Возможность использования Steam и предлагаемых в нём игровых приложений доступна для устройств Chromebook производства Acer, ASUS, HP, Framework, IdeaPad и Lenovo, оснащённых как минимум CPU Intel Core i3 или AMD Ryzen 3 и 8GB ОЗУ (рекомендуется i5 / Ryzen 5 и 16GB ОЗУ). По сравнению с ранее предлагавшимися альфа-выпусками в бета-версии в три раза увеличено число поддерживаемых Chromebook, упрощён интерфейс, повышена производительность и улучшена совместимость с играми (в список проверенных игр добавлено 50 новых игр).
Компании Google и Valve перевели реализацию сервиса доставки игр Steam для платформы Chrome OS на стадию бета-тестирования. Бета-выпуск Steam уже предложен в тестовых сборках Chrome OS 108.0.5359.24 (включается через chrome://flags#enable-borealis). Возможность использования Steam и предлагаемых в нём игровых приложений доступна для устройств Chromebook производства Acer, ASUS, HP, Framework, IdeaPad и Lenovo, оснащённых как минимум CPU Intel Core i3...
Доступен релиз пользовательского окружения LXQt 1.2 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие черты обеих оболочек. Код размещён на GitHub и поставляется под лицензиями GPL 2.0+ и LGPL 2.1+. Появление готовых сборок ожидается для Ubuntu (LXQt по умолчанию предлагается в Lubuntu), Arch Linux, Fedora, openSUSE, Mageia, FreeBSD, ROSA и ALT Linux.
Доступен релиз пользовательского окружения LXQt 1.2 (Qt Lightweight Desktop Environment), развиваемого объединённой командой разработчиков проектов LXDE и Razor-qt. Интерфейс LXQt продолжает следовать идеям классической организации рабочего стола, привнося современное оформление и приёмы, увеличивающие удобство работы. LXQt позиционируется как легковесное, модульное, быстрое и удобное продолжение развития рабочих столов Razor-qt и LXDE, вобравшее лучшие...
Марк Сурман (Mark Surman), руководитель организации Mozilla Foundation, анонсировал создание венчурного фонда Mozilla Ventures, который будет заниматься инвестициями в стартапы, продвигающие продукты и технологии, соответствующие идеалам Mozilla и соответствующие манифесту Mozilla. Фонд начнёт действовать в первой половине 2023 года. Начальный размер инвестиций составит как минимум 35 млн долларов.
Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев
Компания Dropbox раскрыла сведения об инциденте, в результате которого злоумышленники получили доступ к 130 приватным репозиториям, размещённым на GitHub. Утверждается, что в скомпрометированных репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек, некоторые внутренние прототипы, а также утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность. Атака не затронула репозитории с кодом базовых приложений и ключевых элементов инфраструктуры, которые разрабатывались отдельно. Разбор показал, что атака не привела к утечке пользовательской базы и компрометации инфраструктуры.
Фишинг-атака на сотрудников Dropbox привела к утечке 130 закрытых репозиториев
Компания Dropbox раскрыла сведения об инциденте, в результате которого злоумышленники получили доступ к 130 приватным репозиториям, размещённым на GitHub. Утверждается, что в скомпрометированных репозиториях содержались модифицированные для нужд Dropbox ответвления от существующих открытых библиотек, некоторые внутренние прототипы, а также утилиты и файлы конфигурации, используемые командой, отвечающей за безопасность....
Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509
Опубликован корректирующий выпуск криптографической библиотеки OpenSSL 3.0.7, в котором устранены две уязвимости. Обе проблемы вызваны переполнением буфера в коде проверки поля с email-адресом в сертификатах X.509 и потенциально могут привести к выполнению кода при обработке специально оформленного сертификата. На момент публикации исправления разработчиками OpenSSL не было зафиксировано фактов наличия рабочего эксплоита, способного привести к выполнению кода атакующего.
Переполнение буфера в OpenSSL, эксплуатируемое при проверке сертификатов X.509
Опубликован корректирующий выпуск криптографической библиотеки OpenSSL 3.0.7, в котором устранены две уязвимости. Обе проблемы вызваны переполнением буфера в коде проверки поля с email-адресом в сертификатах X.509 и потенциально могут привести к выполнению кода при обработке специально оформленного сертификата. На момент публикации исправления разработчиками OpenSSL не было зафиксировано фактов наличия рабочего эксплоита,...
После года разработки Опубликован релиз Supertuxkart 1.4, свободной гоночной игры с большим количеством картов, трасс и возможностей. Код игры распространяется под лицензией GPLv3. Бинарные сборки доступны для Linux, Android, Windows и macOS.
Выпуск outline-ss-server 1.4, реализации Shadowsocks-прокси от проекта Outline
Опубликован выпуск прокси-сервера outline-ss-server 1.4, использующего протокол Shadowsocks для скрытия характера трафика, обхода межсетевых экранов и обмана систем инспектирования пакетов. Сервер развивается проектом Outline, дополнительно предоставляющим обвязку из клиентских приложений и управляющего интерфейса, позволяющего быстро развёртывать многопользовательские Shadowsocks-серверы на базе outline-ss-server в публичных облачных окружениях или на своём оборудовании, управлять ими через web-интерфейс и организовать доступ пользователей по ключам. Разработкой и сопровождением кода занимается Jigsaw, подразделение в Google, созданное для развития средств обхода цензуры и организации свободного обмена информацией.
Выпуск outline-ss-server 1.4, реализации Shadowsocks-прокси от проекта Outline
Опубликован выпуск прокси-сервера outline-ss-server 1.4, использующего протокол Shadowsocks для скрытия характера трафика, обхода межсетевых экранов и обмана систем инспектирования пакетов. Сервер развивается проектом Outline, дополнительно предоставляющим обвязку из клиентских приложений и управляющего интерфейса, позволяющего быстро развёртывать многопользовательские Shadowsocks-серверы на базе outline-ss-server в публичных...
Распространение вредоносных файлов через рекламу GIMP в Google
В поисковой системе Google выявлено появление рекламных записей, продвигающих свободный графический редактор GIMP и показываемых на первых местах поисковой выдачи. Рекламная ссылка оформлена таким образом, что у пользователей не возникает сомнений, что переход будет осуществлён на официальный сайт проекта www.gimp.org, но на деле осуществляется проброс на подконтрольные злоумышленникам домены gilimp.org или gimp.monster.
Распространение вредоносных файлов через рекламу GIMP в Google
В поисковой системе Google выявлено появление рекламных записей, продвигающих свободный графический редактор GIMP и показываемых на первых местах поисковой выдачи. Рекламная ссылка оформлена таким образом, что у пользователей не возникает сомнений, что переход будет осуществлён на официальный сайт проекта www.gimp.org, но на деле осуществляется проброс на подконтрольные злоумышленникам домены gilimp.org или gimp.monster.
Опубликован выпуск Unix-подобной операционной системы ToaruOS 2.1, написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Изначально проект развивался в Иллинойсском университете как исследовательская работа в области создания новых композитных графических интерфейсов, но затем трансформировался в отдельную операционную систему. Код проекта написан на языке Си и распространяется под лицензией BSD. Для загрузки подготовлен live-образ, размером 14.4 МБ, который можно протестировать в QEMU, VMware или VirtualBox.
Опубликован выпуск Unix-подобной операционной системы ToaruOS 2.1, написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Изначально проект развивался в Иллинойсском университете как исследовательская работа в области создания новых композитных графических интерфейсов, но затем трансформировался в отдельную...
Доступна документация к PostgreSQL 15.0 на русском языке
Компания Postgres Pro опубликовала (PDF, Epub) полный перевод на русский язык документации к СУБД PostgreSQL 15.0. Помимо перевода официальной документации выпущено несколько общедоступных русскоязычных книг по PostgreSQL - "Postgres: первое знакомство" (PDF), "PostgreSQL изнутри" (PDF), "PostgreSQL. Основы языка SQL" (PDF) и "Основы технологий баз данных" (PDF).
Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds.
Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub,...
Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
Опубликованы корректирующие выпуски пакета Samba 4.17.2, 4.16.6 и 4.15.11 с устранением двух уязвимостей. Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Arch, FreeBSD.
В кодовую базу Android добавлена начальная поддержка архитектуры RISC-V
В репозиторий AOSP (Android Open Source Project), в котором развиваются исходные тексты платформы Android, началось включение изменений, обеспечивающих поддержку устройств с процессорами на основе архитектуры RISC-V.