АНБ рекомендует переходить на языки программирования, безопасно работающие с памятью
Агентство национальной безопасности США опубликовало отчёт с анализом рисков появления уязвимостей, вызванных ошибками при работе с памятью, такими как обращение к области памяти после её освобождения и выход за границы буфера. Организациям рекомендовано по возможности уйти от использования языков программирования, таких как Си и Си++, перекладывающих управление памятью на разработчика, в пользу языков, обеспечивающих автоматическое управление памятью или выполняющих проверки безопасной работы с памятью во время компиляции.
Выпуск EasyOS 4.5, самобытного дистрибутива от создателя Puppy Linux
Барри Каулер (Barry Kauler), основатель проекта Puppy Linux, опубликовал экспериментальный дистрибутив EasyOS 4.5, совмещающий технологии Puppy Linux с использованием контейнерной изоляции для запуска компонентов системы. Управление дистрибутивом производится через развиваемый проектом набор графических конфигураторов. Размер загрузочного образа 825 МБ.
Выпуск открытого движка Heroes of Might and Magic 2 - fheroes2 - 0.9.21
Доступен выпуск проекта fheroes2 0.9.21, который воссоздает движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить, например, из демо-версии Heroes of Might and Magic II или из оригинальной игры.
В Thunderbird появится переработанный календарь-планировщик
Разработчики почтового клиента Thunderbird представили новое оформление календаря-планировщика, которое будет предложено в следующем значительном выпуске проекта. Переработаны практические все элементы календаря, включая диалоги, всплывающие окна и подсказки. Оформление оптимизировано для повышения наглядности отображения загруженных графиков, в которых присутствует большое число событий. Расширены возможности для адаптации интерфейса под свои предпочтения.
Опубликован Shufflecake, инструментарий для создания скрытых шифрованных разделов на диске
Компания Kudelski Security, специализирующаяся на проведении аудита безопасности, опубликовала инструментарий Shufflecake, который позволяет создавать скрытые файловые системы, размазанные по имеющемуся свободному пространству в существующих разделах и не отличимые от случайных остаточных данных. Разделы создаются таким образом, что не зная ключ доступа существование их проблематично доказать даже при проведении криминалистического анализа. Код утилит (shufflecake-userland) и модуля ядра Linux (dm-sflc) написан на языке Си и распространяется под лицензией GPLv3, что делает невозможным включение опубликованного модуля ядра в основной состав ядра Linux из-за несовместимости с лицензией GPLv2, под которой поставляется ядро.
Релиз видеоплеера MPV 0.35
Состоялся выпуск открытого видеоплеера MPV 0.35, в 2013 году ответвившегося от кодовой базы проекта MPlayer2. В MPV основное внимание уделяется разработке новых возможностей и обеспечению постоянного переноса новшеств из репозиториев MPlayer, не заботясь о сохранении совместимости с MPlayer. Код MPV распространяется под лицензией LGPLv2.1+, некоторые части остаются под GPLv2, но процесс перехода на LGPL почти завершён и для отключения остающегося GPL-кода можно использовать опцию "--enable-lgpl".
Обновление открытого аудиокодека Lyra 1.3
Компания Google опубликовала выпуск аудиокодека Lyra 1.3, нацеленного достижение высокого качества передачи голоса в условиях ограниченного объёма передаваемой информации. Качество речи на битрейтах 3.2 kbps, 6 kbps и 9.2 kbps при использовании кодека Lyra примерно соответствует битрейтам 10 kbps, 13 kbps и 14 kbps при использовании кодека Opus. Для решения поставленной задачи помимо обычных методов сжатия звука и преобразования сигналов, в Lyra применяется речевая модель на базе системы машинного обучения, позволяющая воссоздать недостающую информацию на основе типовых характеристик речи. Эталонная реализация кода написана на C++ и распространяется под лицензией Apache 2.0.
Уязвимость в xterm, приводящая к выполнению кода при обработке определённых строк
В эмуляторе терминала xterm выявлена уязвимость (CVE-2022-45063), позволяющая добиться исполнения shell-команд при обработке в терминале определённых escape-последовательностей. Для атаки в простейшем случае достаточно вывести на экран содержимое специально оформленного файла, например, при помощи утилиты cat, или вставить строку из буфера обмена.
Выпуск Wine 7.21 и GE-Proton7-41
Состоялся экспериментальный выпуск открытой реализации WinAPI - Wine 7.21. С момента выпуска версии 7.20 было закрыто 25 отчётов об ошибках и внесено 354 изменения.
Опубликован Wa-tunnel для туннелирования трафика через мессенджер WhatsApp
Опубликован инструментарий Wa-tunnel, позволяющий пробрасывать TCP-трафик через другой хост, используя туннель, работающий поверх мессенджера WhatsApp. Подобные манипуляции могут оказаться полезными при необходимости получения доступа к внешней сети из окружений, в которых доступен только мессенджер, или для экономии трафика при подключении к сетям или провайдерам, предоставляющим безлимитные опции для трафика мессенджеров (например, неограниченный доступ к WhatsApp предоставляется в бортовых сетях самолётов некоторых авиакомпаний). Код написан на языке JavaScript с использованием Node.js и распространяется под лицензией MIT. Для взаимодействия с API WhatsApp используется библиотека Baileys.
Уязвимость в Android, позволяющая обойти блокировку экрана
В платформе Android выявлена уязвимость (CVE-2022-20465), позволяющая отключить блокировку экрана путём перестановки SIM-карты и ввода PUK-кода. Возможность отключения блокировки продемонстрирована на устройствах Google Pixel, но так как исправление затрагивает основную кодовую базу Android, вероятно, что проблема касается и прошивок от других производителей. Проблема устранена в ноябрьском наборе исправлений проблем с безопасностью для Android. Обративший внимание не проблему исследователь получил от компании Google вознаграждение, размером 70 тысяч долларов.
Выпуск DXVK 2.0, реализации Direct3D 9/10/11 поверх API Vulkan
Доступен выпуск прослойки DXVK 2.0, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK требуется наличие драйверов с поддержкой API Vulkan 1.3, таких как Mesa RADV 22.0, NVIDIA 510.47.03, Intel ANV 22.0 и AMDVLK.
Microsoft опубликовал открытую платформу .NET 7
Компания Microsoft представила значительный выпуск открытой платформы .NET 7, созданной благодаря унификации продуктов .NET Framework, .NET Core и Mono. На основе .NET 7 можно создавать многоплатформенные приложения для браузера, облачных систем, рабочего стола, IoT-устройств и мобильных платформ, используя единые библиотеки и общий процесс сборки, не зависящий от типа приложения. Сборки .NET SDK 7, .NET Runtime 7 и ASP.NET Core Runtime 7 сформированы для Linux, macOS и Windows. .NET Desktop Runtime 6 поставляется только для Windows. Связанные с проектом наработки распространяются под лицензией MIT. Сопровождение ветки .NET 7 будут осуществляться в течение 18 месяцев до 14 мая 2024 года.
Опубликованы исходные тексты инженерного пакета RADIOSS
Компания Altair в рамках проекта OpenRADIOSS открыла исходные тексты пакета RADIOSS, который является аналогом LS-DYNA и предназначен для решения задач механики сплошных сред, таких как расчёт прочности инженерных конструкций в высоконелинейных задачах, связанных с большими пластическими деформациями исследуемой среды. Код в основном написан на языке Fortran и открыт под лицензией AGPLv3. Поддерживается работа в Linux и Windows.
Избавление ядра Linux от кода, меняющего поведение для процессов, начинающихся на символ X
Джейсон Доненфилд (Jason A. Donenfeld), автор VPN WireGuard, обратил внимание разработчиков на присутствующий в коде ядра Linux грязный хак, изменяющий поведение для процессов, имя которых начинается на символ "X". На первый взгляд подобные исправления обычно применяются в руткитах для оставления скрытой лазейки в привязке к процессу, но разбор показал, что изменение было добавлено в 2019 году для временного устранения всплывшего нарушения совместимости с пространством пользователя, в соответствии с принципом, что изменения в ядре не должны нарушать совместимость с приложениями.
Платформа совместной разработки SourceHut запрещает размещение проектов, связанных с криптовалютами
Платформа совместной разработки SourceHut анонсировала предстоящее изменение условий использования. Новые условия, которые начнут действовать с 1 января 2023 года, запрещают размещение содержимого, связанного с криптовалютами и блокчейном. После начала действия новых условий в том числе планируют удалить все ранее размещённые подобные проекты. По отдельному запросу в службу поддержки для легальных и полезных проектов может быть сделано исключение. Также допускается восстановление удалённых проектов после рассмотрения апелляций. Приём пожертвований в криптовалюте не подпадает под запрет, хотя и выделен как не рекомендованный способ поддержки.
Выпуск дистрибутива Clonezilla Live 3.0.2
Представлен релиз Linux-дистрибутива Clonezilla Live 3.0.2, предназначенного для быстрого клонирования дисков (копируются только используемые блоки). Задачи, выполняемые дистрибутивом сходны с проприетарным продуктом Norton Ghost. Размер iso-образа дистрибутива - 363 МБ (i686, amd64).