Скрыть

После выпуска очередного мультфильма под названием Caminandes: Gran Dillama, в Blender Foundation было реше создать полноценный мультфильм — Gooseberry. Над мультфильмом будут занимается около 60-80 человек в течение 18 месяцев. Для работы на данным мультфильмом будут привлечены люди из 12 студий — Autour de Minuit (студия из Франции), Character Mill (студия из Австралии), CG Cookie (студия из США), Gecko Animation (студия из Великобретании), IdeasFijas (студия из Аргентины), Kampoong Monster (студия из Индонезии), Studio Lumikuu (студия из Финляндии), MAD Entertainment (студия из Италии), Ovni VFX (студия из Бразилии),Pataz Studio (студия из Коста-Рике) ,Pitchi Poy (студия из Израиля), Vivify (студия из Индии).

>>> Мультфильм Caminandes: Gran Dillama на Youtube.com
>>> Трейлер Gooseberry на Youtube.com

>>> Подробнее

Скрыть

Обнаружены две уязвимости в emacs, которые могут привести к исполнению произвольного кода.

Когда включен режим ‘global-ede-mode’, EDE в Emacs автоматически загружает Project.ede файл из директории проекта (CVE-2012-0035).

Когда ‘enable-local-variables’’ установлена в значение ‘:safe’, Emacs автоматически обрабатывает выражения (CVE-2012-3479).

Удалённый взломщик может соблазнить пользователя.

>>> Подробнее

Скрыть

Очень хотелось разместить эту новость в раздел "Apple", но, к сожалению, это Mozilla :). Ряд разработчиков-пида.. нетрадиционной сексуальной ориентации объявил бойкот Mozilla в связи с назначением Брендена Айка, создателя языка JavaScript, на пост руководителя компании. Возникает недоумение, они там на работе работе код пишут, или в попу гуляют? Оказывается, недовольство лагеря ЛГБТ вызвала позиция Брендена против однополых браков - шесть лет назад Бренден пожертвовал тысячу долларов на продвижение поправки в конституцию штата Калифорнии, определяющей брак только как союз между мужчиной и женщиной. По мнению ЛГБТ человек выступавший за ущемление их прав не может отстаивать принципы свободы, открытости и равных возможностей.

Сторонники Брендена Айка совершенно справедливо указывают на то, что политика никак не связана с миссией Mozilla и человек имеет право на выражение свой личной позиции. Если личная позиция не пересекается с профессиональной деятельностью, она не может ставится ему в вину. Представители сообщества Mozilla, недовольные деятельностью ЛГБТ, наоборот, указывают на то, что возникшая ситуация только укрепило уважение к Брендену Айку и повысило его авторитет в их глазах.

Тем временем на сайте Mozilla опубликован пресс-релиз, в котором указано, что проект Mozilla всегда с уважением относился к разнообразию сексуальной ориентации и убеждений среди работников и представителей сообщества. Также указано, что ЛГБТ пары, работающие в Mozilla, получают тот же набор льгот и страховых выплат, что и традиционные разнополые семейные пары.

>>> Подробнее

Скрыть

Исследователи из Индианского университета и компании Microsoft опубликовали статью (PDF), в которой описали новый класс уязвимостей в платформе Android, который затрагивает все её версии, включая полностью открытую версию Android - Android Open Source Project. Уязвимыми на данный момент являются все аппараты, работающие под управлением Android.

Суть уязвимости заключается в следующем. Разные версии ОС Android имеют разный набор разрешений для приложений, и в новых версиях ОС этот набор расширяется. Злоумышленник может подготовить приложение, запрашивающее доступ к привилегированным операциям, появившимся в свежей версии платформы. При установке такого приложения на старых версиях Android данные неизвестные привилегии будут проигнорированы. При обновлении операционной системы до более новой версии сервис Package Management Service (PMS), который отвечает за обновления, автоматически задействует все разрешения, которые есть в приложении, ибо он считает, что раз приложение уже установлено, то пользователь уже согласился на все присутствующие в нём разрешения, даже на те, которые не поддерживались в старых выпусках ОС. Таким образом, при обновлении ОС приложения Android могут скрыто получить недоступные ранее полномочия, включая системные.

Для выявления попыток эксплуатации уязвимости исследователи выпустили своё собственное приложение, которое сканирует систему в поиске программ, которые "ждут" обновления ОС с тем, чтобы получить расширенный доступ. Масштаб проблемы, однако, не настолько серьёзен, как утверждают исследователи. Огромное количество выпускаемых под Android аппаратов вообще никогда не получают обновление ОС, или получают только обновления, которые не увеличивают основную ревизию, например, с 4.2 до 4.2.2.

Дополнительно можно отметить выявление опасной DoS-уязвимости в Android 2.3, 4.2.2, 4.3 и возможно других выпусках. Установка подготовленного злоумышленниками пакета APK может привести к неустраняемым зацикленным перезагрузкам, т.е. приводит к неработоспособности устройства до выполнения перепрошивки. Суть метода в заполнении поля "appname" в метаданных к пакету слишком большим значением, превышающим 387000 символов. Интересно, что выявивший уязвимость исследователь попытался протестировать возможность загрузки вызывающего уязвимость APK-пакета в Google Play, что привело к нарушению работы сервиса в процессе проверки корректности пакета и невозможности другим пользователям во время проверки загрузить приложения в Google Play.

>>> Подробнее

Скрыть

Завершена публикация перевода всех глав книги "Производительность приложений с открытым исходным кодом" ("The Performance of Open Source Application"), которая посвящена вопросам оптимизации и достижения высокой производительности в открытых проектах. В книге рассказано о способах достижения высокой производительности в таких проектах, как Chromium, Firefox, EtherCalc, Ninja, pugixml, Infinispan, Talos, Zotonic, Warp, Khmer. Текст книги распространяется в рамках лицензии Creative Commons Attribution 3.0 Unported.

>>> Подробнее

Скрыть

16 марта случился долгожданный релиз Python 3.4. С чем и поздравляю всех любителей нашего с вами Питона. Изменений и улучшений много, есть даже "долгожданные":

•  PEP 428: новый модуль «pathlib», обеспечивающий объектно-ориентированный интерфейс доступа к файловой системе;
•  PEP 435: стандартизирован модуль «enum»;
•  PEP 436: улучшена система сборки, добавлена возможность генерации информации самоанализа для встроенных компонентов;
•  PEP 442: улучшена семантика для финализации объектов;
•  PEP 443: добавлены общие функции одиночной диспетчеризации в стандартную библиотеку;
•  PEP 445: новый C API для создания собственных методов распределения памяти;
•  PEP 446: по умолчанию дочерние подпроцессы более не наследуют файловые дескрипторы;
•  PEP 450: новый модуль «statistics», добавляющий функции математической статистики;
•  PEP 451: стандартизирован тип «ModuleSpec», предоставляющий метаданный системе импорта модулей;
•  PEP 453: в дистрибутив добавлен установщик менеджера пакетов pip;
•  PEP 454: добавлен модуль «tracemalloc», обеспечивающий трассировку распределения памяти;
•  PEP 456: добавлен новый алгоритм хеширования для строковых и двоичных данных;
•  PEP 3154: реализован новый улучшенный протокол Pickle version 4 для модуля «pickle»;
•  PEP 3156: добавлен модуль «asyncio», представляющий из себя фреймворк для асинхронного ввода/вывода.

Особенно порадовало включение: PEP 453 (Дождались))) и PEP 3156 (Лопата для закапывания Tornado)))

>>> Подробнее

Скрыть

Компания Epic Games представила игровой движок Unreal Engine 4, примечательный полной доступностью исходных текстов для сторонних разработчиков. Код движка обещают разместить на GitHub и обеспечить возможность совместного участия в разработке. При этом кардинально изменена бизнес модель распространения движка - за 18 долларов в месяц предоставляется полный доступ ко всем компонентам продукта, включая среду Unreal Editor, примеры контента, шаблоны готовых игр и полные исходные тексты движка, написанного на языке C++.

Код движка может использоваться в любых коммерческих проектах, но с разработчиков данных проектов взимаются отчисления в размере 5% от дохода, полученного от продажи игры пользователям. Сбор отчислений с доходов от продажи делает движок Unreal Engine 4 интересным решением не только для крупных игровых проектов, но и для небольших стартапов и авторов бесплатных игр.

>>> Подробнее

Скрыть

В ядре Linux исправлена опасная уязвимость (CVE-2014-2523), позволяющая удаленному злоумышленнику выполнить код на уровне ядра. Проблема обусловлена ошибкой в коде conntrack (подсистемы, отслеживающей входящие, исходящие и транзитные сетевые соединения для обеспечения корректности процедур фильтрации и NAT), выполняющем обработку пакетов протокола DCCP. При помощи специально сформированного DCCP-пакета, удаленный злоумышленник может выполнить произвольный код с привилегиями ядра, либо инициировать крах системы.

Уязвимый участок кода существовал в Linux начиная с версии 2.6.26 (июль 2008 года) по 3.13 включительно. Несмотря на то, что исправление было принято в начале января 2014 года (и вошло в Linux 3.14-RC1), проблема была отмечена как уязвимость только в минувший понедельник. За выходом исправлений для популярных дистрибутивов можно проследить на следующих страницах: Fedora/RHEL, SuSE, Debian, Ubuntu.

В качестве временного исправления, можно заблокировать conntrack-обработку входящих и исходящих DCCP пакетов:

bash

iptables -t raw -I PREROUTING -p dccp -j NOTRACK
iptables -t raw -I OUTPUT -p dccp -j NOTRACK
 

>>> Подробнее

Скрыть

Новость, в принципе, посвящена не столько безопасности (хотя и этому также), сколько очередной наглядной демонстрации тенденций современного Интернета в частности и коммуникации между людьми в целом.

После 12 лет существования объявлено о закрытии списка рассылки full-disclosure, используемого для публикации информации о новых уязвимостях и их обсуждения. Кроме анонсов исправленных уязвимостей, список рассылки также был использован в качестве площадки для раскрытия данных о некоторых крупных 0-day уязвимостях.

В качестве причины закрытия списка рассылки называется потеря веры в сообщество и отсутствие желания по дальнейшему поддержанию ресурса, в условиях требований по удалению той или иной информации от лиц, не заинтересованных в её публичной доступности. Подобные запросы от компаний рассматривались как нечто неизбежное, но появление подобных требований от представителей сообщества разуверило создателей рассылки в необходимость продолжения её существования. Кроме того, упоминается груз в виде постоянного троллинга, публикации заявлений о мнимых достижениях, поддельных эксплоитов, а также общего падения проявления профессионализма, среди участников рассылки. В итоге, делается неутешительный вывод о невозможности поддержания открытой площадки для обсуждений в условиях сегодняшнего правового климата и усиления давления по регулированию тематики, связанной с компьютерной безопасностью.

>>> Подробнее

Скрыть

Компания ESET подготовила 69-страничный отчёт (PDF, 3.6 Мб) с анализом продолжающейся с 2011 года широкомасштабной атаки на серверы, работающие под управлением Linux, FreeBSD и других Unix-подобных систем. В ходе атаки, которой присвоено имя Операция Windigo, за три года был получен контроль над более чем 25 тысячами серверов, из которых 10 тысяч в настоящее время остаются поражёнными вредоносным ПО.

После проникновения, которое осуществлялось с использованием перехваченных или подобранных паролей, на сервер осуществлялась установка троянских компонентов, управляемых извне. В частности, программа ssh подменялась на вариант, перехватывающий пароли при обращении к другим серверам и отправляющий их злоумышленникам; устанавливались модули ядра или модифицировались исполняемые файлы http-серверов Apache, lighttpd или nginx для подстановки вредоносных вставок в http-трафик с целью организации атаки на клиентские системы; устанавливались компоненты для рассылки спама. На DNS-серверах зафиксировано использование модуля для подмены результатов резолвинга для определённых доменов без изменения конфигурации сервера.

Например, объём спама, отправляемый с поражённого сервера, доходил до 35 млн сообщений в день. Пользователи Windows перенаправлялись на страницы с exploit kit, пользователям OS X осуществлялась подстановка рекламы, а пользователи iOS перенаправлялись на порноресурсы. Бэкдор для SSH поставлялся только для Linux и FreeBSD, компоненты атаки на http серверы использовались для Linux, в то время как модуль рассылки спама был написан на Perl и работал на любых Unix-системах. Поражались системы не только на базе архитектуры x86, но зафиксировано размещение вредоносного ПО также на системах на базе архитектуры ARM. Примечательно, что в результате атаки не предпринимались попытки эксплуатации уязвимостей на серверах, для проникновения использовались только перехваченные параметры аутентификации.



Сообщается, что нашумевшие взломы cPanel, kernel.org и серверов Linux Foundation были совершены в рамках рассмотренной в отчёте атаки Windigo. Для проверки системы на предмет установки троянского ssh достаточно запустить "ssh -G", если будет выведено сообщение о недоступности иди некорректности опции, то система не поражена. В случае выявления факта подмены ssh рекомендуется переустановить операционную систему и приложения на сервере с нуля, а также поменять пароли и ключи доступа.

>>> Подробнее