Уязвимость позволяет выполнить свой код при открытии специально оформленной web-страницы, вызывающей функции кодирования в формате VP8. Проблема присутствует в libvpx и всех приложениях, использующих данную библиотеку, движок Chromium или платформу Electron, но для эксплуатации необходимо наличие возможности выполнения своего JavaScript-кода в приложении, т.е. проблема затрагивает в основном браузеры. Вероятно (пока не подтверждено) уязвимость также проявляется в Firefox, так как в данном браузере для обработки формата VP8 также используется библиотека libvpx. Исправление уязвимости пока доступно только в виде патча.

Напомним, что критическая уязвимость в libwebp, могла быть эксплуатирована при обработке специально оформленного изображения и затронула Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron, например, Discord, GitHub Desktop, Mattermost, Signal, Edge, Brave, Opera, Slack, Twitch, Visual Studio Code, Android, 1Password и Telegram.

Дополнительно можно отметить раскрытие информации об уязвимости в JIT-движке Firefox, позволявшей добиться выполнения кода при открытии пользователем специально оформленной страницы. Уязвимость (CVE не присвоен) была вызвана некорректной инициализацией памяти в коде преобразования булевых параметров в JIT. Уявзимость устранена в октябре прошлого года в выпуске Firefox 106.

Дополнение 1: Выпущены обновления Firefox 118.0.1, Firefox ESR 115.3.1, Firefox для Android 118.1.0 и Firefox Focus для Android 118.1.0 с устранением уязвимости в libvpx.

Дополнение 2: Сформирована версия библиотеки libvpx 1.13.1 с устранением уязвимости.

1. Главная ссылка к новости
2. OpenNews: Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP
3. OpenNews: Релиз Chrome 117
4. OpenNews: Поддержка VP8 и H.264 становится обязательной для браузеров с WebRTC
5. OpenNews: Выпуск библиотек для кодирования видео libvpx 1.8.0 и x265 3.0
6. OpenNews: Обновление LibreOffice с устранением уязвимости, эксплуатируемой через изображения WebP

В новой версии, которая продолжает основываться на Wine 8.0.1, vkd3d 1.8 и DXVK 1.10.3, улучшена совместимость с дистрибутивами Debian 13 (Debian Testing), openSUSE 15.1 и Ubuntu 23.10. В сборках для платформы macOS обеспечена совместимость с macOS 14 "Sonoma", реализована поддержка GStreamer и транслирующей прослойки из Game Porting Toolkit, добавлена настройка для использования D3DMetal вместо DXVK, решены проблемы при запуске игр, защищённых Denuvo, добавлена поддержка игры Baldur's Gate 3, улучшено качество и повышена производительность в играх Elden Ring, Hogwarts Legacy, Cyberpunk 2077, Armored Core VI Fires of Rubicon, Mortal Kombat 1, Deep Rock Galactic, Satisfactory, Monster Hunter Rise, God of War и Batman Arkham Knight.

1. Главная ссылка к новости
2. OpenNews: Проект Wine опубликовал Vkd3d 1.9 с реализацией Direct3D 12
3. OpenNews: Выпуск Wine 8.16
4. OpenNews: Apple представил инструментарий для портирования игр, основанный на Wine
5. OpenNews: Релиз CrossOver 23.0 для Linux, Chrome OS и macOS

Первая уязвимость (CVE-2023-42115) вызвана ошибкой в сервисе smtp и связана с отсутствием должных проверок данных, полученных от пользователя в процессе SMTP-сеанса и применяемых для расчёта размера буфера. В итоге, атакующий может добиться управляемой записи своих данных в область памяти за границей выделенного буфера.

Вторая уязвимость (CVE-2023-42116) присутствует в обработчике NTLM-запросов и вызвана копированием полученных от пользователя данных в буфер фиксированного размера без необходимых проверок размера записываемой информации.

Третья уязвимость (CVE-2023-42117) присутствует в процессе smtp, принимающем соединения на 25 TCP-порту, и вызвана отсутствием проверки входных данных, что может привести к записи переданных пользователем данных в область памяти за пределами выделенного буфера.

Уязвимости помечены как 0-day, т.е. остаются неисправленными, но в отчёте ZDI утверждается, что разработчики Exim были заранее уведомлены о проблемах. Последнее изменение в кодовой базе Exim произведено два дня назад и пока не ясно, когда проблемы будут устранены (производители дистрибутивов пока не успели среагировать так как информация раскрыта без деталей несколько часов назад). В настоящее время разработчики Exim готовятся к выпуску новой версии 4.97, но точных данных о времени её публикации пока нет. В качестве единственного на данный момент метода защиты упоминается ограничение доступа к SMTP-сервису на основе Exim.

Кроме вышеотмеченных критических уязвимостей раскрыта информация и о нескольких менее опасных проблемах:

• CVE-2023-42118 - целочисленное переполнение в библиотеке libspf2, проявляющееся при разборе макросов SPF. Уязвимость позволяет инициировать удалённое повреждение содержимого памяти и потенциально может использоваться для организации выполнения своего кода на сервере.
• CVE-2023-42114 - ошибка, приводящая к чтению из области памяти вне буфера в обработчике NTLM. Проблема может привести к утечке содержимого памяти процесса, обслуживающего сетевые запросы.
• CVE-2023-42119 - уязвимость в обработчике dnsdb, приводящая к утечке содержимого памяти процесса smtp.

Дополнение: 2 октября опубликован корректирующий выпуск Exim 4.96.1 с устранением уязвимостей CVE-2023-42114, CVE-2023-42115 и CVE-2023-42116. Проблемы CVE-2023-42117, CVE-2023-42118 и CVE-2023-42219 остаются неисправленными.

1. Главная ссылка к новости
2. OpenNews: Новая версия почтового сервера Exim 4.96
3. OpenNews: Обновление Exim 4.94.2 с устранением 10 удалённо эксплуатируемых уязвимостей
4. OpenNews: Опубликован Exim 4.92.3 с устранением четвёртой за год критической уязвимости
5. OpenNews: Раскрыты подробности критической уязвимости в Exim
6. OpenNews: Массовая атака на уязвимые почтовые серверы на основе Exim

Источником утечки информации выступает применяемая в современных GPU оптимизация, обеспечивающая сжатие графических данных. Проблема проявляется при использовании сжатия на всех протестированных интегрированных GPU (AMD, Apple, ARM, Intel, Qualcomm) и дискретных видеокартах NVIDIA. При этом исследователи обнаружили, что интегрированные GPU Intel и AMD всегда включают сжатие графических данных, даже если приложение специально не запрашивают применение подобной оптимизации. Применение сжатия приводит к тому, что трафик в DRAM и нагрузка на кэш коррелируют с характером обрабатываемых данных, которые можно попиксельно воссоздать через анализ по сторонним каналам.

Метод достаточно медленный, например, на системе с интегрированным GPU AMD Ryzen 7 4800U атака по определению имени, под которым пользователь в другой вкладке вошёл в Wikipedia, заняла 30 минут и позволила определить содержимое пикселей с точностью 97%. На системах с интегрированным GPU Intel i7-8700 аналогичная атака заняла 215 минут при точности 98%.

При проведении атаки через браузер целевой сайт циклично открывается в iframe для инициирования отрисовки. Для определения показываемой информации, вывод iframe преобразуется в черно-белое представление, к которому применяется SVG-фильтр, выполняющий последовательное наложение масок, вносящих и не вносящих большую избыточность при сжатии. На основании оценки изменения времени отрисовки эталонных образцов выделяется наличие в определённой позиции тёмных или светлых пикселей. Общее изображение воссоздаётся через последовательную попиксельную проверку с использованием подобных масок.

Производители GPU и браузеров были уведомлены о проблеме в марте, но ни один поставщик пока не подготовил исправление, так как проведение атаки на практике не в идеальных условиях сомнительно и проблема имеет больше теоретический интерес. Google пока не принял решение о целесообразности блокирования атаки на уровне браузера Chrome. Chrome уязвим так как разрешает загрузку iframe с другим сайтом без очистки Cookie, позволяет применить к iframe SVG-фильтры и делегирует выполнение отрисовки GPU. Firefox и Safari не подвержены уязвимости, так как не удовлетворяют данным критериям. Атака также не применима к сайтам, запрещающим встраивание через iframe на других сайтах (например, через выставление HTTP-заголовка X-Frame-Options в значение "SAMEORIGIN" или "DENY", а также через настройки доступа при помощи заголовка Content-Security-Policy).

1. Главная ссылка к новости
2. OpenNews: Метод идентификации системы пользователя на основе информации о GPU
3. OpenNews: Новая критическая уязвимость в GraphicsMagick и ImageMagick
4. OpenNews: Получение контроля над смартфоном после ремонта через комплектующие
5. OpenNews: Эксплуатация уязвимости в DRAM-памяти через локальную сеть

LMDE ориентирован на технически грамотных пользователей и предоставляет более новые версии пакетов. Целью развития LMDE является проверка того, что Linux Mint сможет продолжить существовать в том же виде даже в случае прекращения разработки Ubuntu. Кроме того, LMDE помогает проверять развиваемые проектом приложения на предмет их полноценной работы в системах, отличных от Ubuntu.

В поставку LMDE включено большинство улучшений классического релиза Linux Mint 21.2, а также оригинальные разработки проекта (менеджер приложений, система установки обновлений, конфигураторы, меню, интерфейс, текстовый редактор Xed, менеджер фотографий Pix, просмотрщик документов Xreader, просмотрщик изображений Xviewer). Дистрибутив полностью совместим с Debian GNU/Linux 12, но не совместим на уровне пакетов с Ubuntu и классическими релизами Linux Mint. Системное окружение соответствует составу Debian GNU/Linux 12 (ядро Linux 6.1, systemd 252, GCC 12.2, Mesa 22.3.6).

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Linux Mint Debian Edition 5
3. OpenNews: Релиз Debian 12 "Bookworm"
4. OpenNews: Выпуск пользовательского окружения Cinnamon 5.8
5. OpenNews: Релиз дистрибутива Linux Mint 21.2

TuxClocker позволяет изменять подаваемое напряжение и частоту работы видеопамяти и ядра GPU, настраивать скорость вращения кулера в зависимости от температуры, ограничивать максимальное энергопотребление в ваттах, создавать профили с сохранёнными настройками и наглядно отслеживать изменение температуры и энергопотребления на графиках. Имеется возможность работы с несколькими GPU (multi-GPU).

Новая версия почти полностью переписана. Реализована новая архитектура, в которой выполнение привилегированных операций и взаимодействия с оборудованием вынесено в отдельный фоновый процесс. Предоставлена возможность добавления поддержки нового оборудования через подключение плагинов. В текущем виде в TuxClocker пока поддерживаются только видеокарты NVIDIA (начиная с серии GeForce 600), но разработчики планируют в будущем добавить поддержку и карт AMD.

Для управления подготовлен новый интерфейс, использующий иерархическую компоновку, поддерживающую работу одновременно с несколькими GPU и несколькими кулерами. В интерфейсе унифицирована работа со свойствами доступными на запись или допускающими только на чтение. Добавлена возможность автоматического применения значений из профиля. Реализована поддержка рекурсивного сброса настроек в значения по умолчанию и привязки свойств, определяющих диапазоны значений, к любым свойствам, доступным только для чтения, что позволяет создавать гибкие правила разгона, выбирающие пограничные параметры потребления энергии в привязке к температуре. Управляющий интерфейс выполняется с правами непривилегированного пользователя и коммуницирует с фоновым процессом через DBus.

1. Главная ссылка к новости
2. OpenNews: Доступны графические интерфейсы для разгона видеокарт NVIDIA и AMD
3. OpenNews: Доступен GameMode 1.7, оптимизатор производительности игр в Linux
4. OpenNews: Утилита для "разгона" видеокарт AMD/ATI в Linux
5. OpenNews: NVIDIA дала официальный комментарий по поводу невозможности разгона Fermi под Linux
6. OpenNews: Для Linux представлена реализация разгона (overclock) GPU Intel

Установка гостевой системы с драйверами автоматизирована, а все необходимые компоненты оформлены в виде готового пакета wifibox, который запускается при загрузке при помощи поставляемого в комплекте rc-сервиса. Гостевая система запускается при помощи гипервизора Bhyve, в котором организуется проброс доступа к беспроводной карте. Для работы требуется система с поддержкой аппаратной виртуализации (AMD-Vi или Intel VT-d). Начинка гостевой системы основана на дистрибутиве Alpine Linux, построенного на базе системной библиотеки Musl и набора утилит BusyBox.

Для подключения к беспроводной сети используется пакет wpa_supplicant, файлы конфигурации для которого синхронизируются с настройками из основного окружения FreeBSD. Создаваемый для wpa_supplicant управляющий Unix-сокет пробрасывается в хост-окружение, что позволяет использовать штатные утилиты FreeBSD для подключения и работы с беспроводной сетью, среди прочего можно использовать утилиты wpa_cli и wpa_gui (net/wpa_supplicant_gui).

В новом выпуске реализован режим "suspend_vmm", при включении которого осуществляется выгрузка модуля ядра vmm при переходе системы в спящий режим и его загрузка после после пробуждения системы. Предложенный режим позволят избавиться от проблем на системах, на которых из-за оборудования или гипервизора bhyve наблюдаются сбои при переходе в спящих режим с активным модулем vmm. Кроме того, в новом выпуске дополнена документация и добавлены команды start и stop для запуска и остановки обработчиков netif, консоли и vmm.

1. Главная ссылка к новости
2. OpenNews: Началось бета-тестирование FreeBSD 14. Загрузка ядра FreeBSD за 25 миллисекунд
3. OpenNews: Замена алгоритма сортировки в sysinit позволила ускорить загрузку FreeBSD
4. OpenNews: Проекту FreeBSD исполнилось 30 лет
5. OpenNews: Debian прекращает поддержку порта GNU/kFreeBSD
6. OpenNews: Доступен порт файловой системы HAMMER2 для NetBSD и FreeBSD

Основные изменения в Chrome OS 117:

• Добавлена отключаемая в настройках поддержка звуковой индикации заряда аккумулятора. При работе устройства в автономном режиме система теперь выдаёт звуковые сигналы, если заряд снижается до уровня, которого хватит на 15 и 5 минут работы. В момент подключения внешнего питания подаются звуковые сигналы, позволяющие понять текущий уровень заряда (разные сигналы для диапазонов заряда 0-15%, 16-79% и 80-100%). Если мощности подключённого зарядного устройства недостаточно и аккумулятор продолжает разряжаться предупреждения выдаются при снижении заряда до 10% и 5%.
• В интерфейс выбора emoji добавлена поддержка изображений в формате GIF.
• Оформление всех элементов интерфейса переработано в соответствии с концепцией дизайна Material 3. Добавлен новый набор тем оформления, динамически адаптирующихся к выбранному фону и стилю.
• Добавлено приложение Personalization для выбора стиля оформления и настройки цветов на свой вкус. По умолчанию цвета активных элементов (accent) выбираются на основе цвета обоев рабочего стола и текущего режима (светлого или тёмного).
• Добавлены настройки цветокоррекции, позволяющие добиться желаемой цветопередачи на используемом экране (например, люди с проблемами со зрением могут включить фильтры цветов или вывод в режиме оттенков серого).
• При поиске в интерфейсе запуска программ (Launcher) реализован вывод в результатах поиска системной информации, если запрос связан с ОЗУ, версией, аккумулятором, накопителем или CPU (например, системная информация выводится при запросах "version", "battery", "cpu", "storage" и "ram").
• Начался переход на новый Bluetooth-стек, основанный на стеке Fluoride, перенесённом из платформы Android и продолжающий развитие стека BlueDroid от компании Broadcom. Замена Bluetooth-стека будет производиться постепенно, охватывая всё новые категории устройств. Принудительно отключить новый стек можно через настройку "chrome://flags/#bluetooth-use-floss".
• В приложении для работы с камерой добавлен режим замедленной видеосъёмки (режим Time-Lapse). Скорость покадровой записи выбирается автоматически в зависимости от продолжительности записи. Запись может производиться до исчерпания свободного места на накопителе. Режим можно использовать для съёмки медленных процессов, таких как распускание цветка.
• Включена поддержка режима адаптивного заряда аккумулятора (Settings > Device > Power > Adaptive Charging), поддерживаемого в некоторых Chromebook. Суть режима в том, что вначале осуществляется заряд аккумулятор до 80%, после чего нелинейно доводится до 100% c использованием параметров зарядки, предлагаемых моделью машинного обучения, учитывающей поведение пользователя (часто отключает зарядку или держит ли устройство подолгу подключённым к зарядке). Режим позволяет продлить время жизни аккумулятора через снижение времени, при котором он постоянно находится в состоянии 100% заряда.
• Расширено меню доступа к истории буфера обмена. Добавлен показ дополнительных сведений об элементах в буфере обмена и предоставлена возможность обращения к истории из контекстного меню.
• В экранном ридере ChromeVox добавлена дополнительная информация о его назначении и особенностях активации для исключения ошибочного включения.
• В календарь-планировщик добавлено отображение предстоящих событий на экране с календарём и реализована новая кнопка "Join" для подключению к аудио- или видео-конференциям.
• В правом нижнем углу панели реализованы индикаторы включения камеры и микрофона.
• Переработано оформление экрана быстрых настроек (Quick Settings). Добавлена возможность доступа к уведомлениям из нового центра управления сообщениями. Обеспечена поддержка обращения ко всем кнопкам управления прямо из области быстрых настроек, включая возможность перезапуска. Добавлены переключатели для режима ночного освещения и автоматического создания субтитров на лету ("Live Caption").
• Исправлены уязвимости в ядре Linux, прошивке mwifiex, libwebp, Chromium и других компонентах системы.

1. Главная ссылка к новости
2. OpenNews: Релиз Chrome 117
3. OpenNews: Выпуск Chrome OS 116
4. OpenNews: Google отключил поддержку io_uring в ChromeOS и Android из-за плачевного состояния безопасности
5. OpenNews: В ChromeOS намечено разделение браузера и системного интерфейса
6. OpenNews: Google продлил до 10 лет время поддержки устройств на базе ChromeOS

Дополнительные приложения распространяются в форме модулей. Для управления пакетами используется свой пакетный менеджер PPM (Porteus Package Manager), учитывающий зависимости и позволяющий устанавливать программы из репозиториев Porteus, Slackware, и Slackbuilds.org. Для использования также доступны разработанные для Slackware пакетные менеджеры slapt-get, slackpkg и slpkg.

Интерфейс построен с оглядкой на возможность использования на устройствах, имеющих небольшое экранное разрешение. Для настройки используется собственный конфигуратор Porteus Settings Centre. Дистрибутив загружается из сжатого образа ФС, но все внесённые в процессе работы изменения (история браузера, закладки, загруженные файлы и т.п.) могут быть отдельно сохранены на USB-накопителе или на жестком диске. При загрузке в режиме 'Always Fresh' изменения не сохраняются.

В новой версии осуществлена синхронизация с репозиторием Slackware 15.0-patches, ядро Linux обновлено до версии 6.5.5. Предложены новые версии Sysvinit 3.07, BusyBox 1.36.1, mpv 0.36.0, VirtualBox 7.01, проприетарных драйверов NVIDIA 535 и 470. Perl перемещён в модуль 05-devel, а стек xcb в 002-xorg. Добавлен скрипт convertz для преобразования каталога с модулями, сжатыми с использованием xz, в модули, сжатые при помощи алгоритма zstd. Добавлена новая версия пользовательского окружения LXQt.

1. Главная ссылка к новости
2. OpenNews: Выпуск Porteus Kiosk 5.5.0, дистрибутива для оснащения интернет-киосков
3. OpenNews: Релиз дистрибутива Porteus 5.0
4. OpenNews: Slackware Linux исполнилось 30 лет
5. OpenNews: Выпуск дистрибутива Slackel 7.6
6. OpenNews: Опубликован Linux-дистрибутив Zenwalk 2023

В настоящий момент под крылом GNU развивается 385 свободных проектов, среди которых GCC, Glibc, Bash, Emacs, binutils, classpath, coreutils, sysutils, ddd, FreeFont, gawk, GDB, GetText, Ghostscript, GIMP, Gnash, Gnumeric, GnuPg, GnuTLS, Hurd, GRUB, Gzip, ядро linux-libre, MidnightCommander, Nano, MediaGoblin, ncurses, screen и wget.

Изначально центральными звеньями проекта выступали ядро GNU, инструментарий для разработчиков и набор приложений и утилит для пользовательского окружения, среди которых текстовый редактор, табличный процессор, командная оболочка и даже набор игр. Развиваемое проектом ядро не получило должного распространения, но пользовательское окружение и инструментарий разработки оказались востребованными и в сочетании с ядром Linux легли в основу дистрибутивов GNU/Linux.

1. Главная ссылка к новости
2. OpenNews: Манифесту GNU исполнилось 30 лет
3. OpenNews: Проекту GNU исполнилось 30 лет
4. OpenNews: Фонд свободного ПО пересмотрит взаимодействие с проектом GNU
5. OpenNews: Мэйнтейнеры проектов GNU выступили против единоличного лидерства Столлмана
6. OpenNews: Лидеры проектов GnuTLS, grep и sed выходят из проекта GNU в знак несогласия с политикой Фонда СПО

Уязвимость в libwebp затрагивает Chrome, Safari, Firefox, Thunderbird и многочисленные продукты, использующие libwebp, движок Chromium или платформу Electron. Например, косвенно уязвимость затронула такие популярные приложения, как Discord, GitHub Desktop, Mattermost, Signal, Edge, Brave, Opera, Slack, Twitch, Visual Studio Code, Android, 1Password и Telegram. Для тестирования публично доступен прототип эксплоита.

1. Главная ссылка к новости
2. OpenNews: Обновление Firefox 117.0.1 с устранением уязвимости в WebP
3. OpenNews: Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP
4. OpenNews: Проект LibreOffice перешёл на привязанную к датам нумерацию версий
5. OpenNews: Выпуск офисного пакета LibreOffice 7.6

Изначально реализация Composefs представляла собой отдельный модуль ядра Linux, но понимая сложность продвижения новой ФС в основной состав ядра, разработчики сменили тактику и переработали проект в виде надстройки над уже присутствующими в ядре ФС OverlayFS и EROFS, функциональность которых частично пересекается с Composefs. Таким образом, работа по интеграции поддержки Composefs в ядро Linux свелась к продвижению в OverlayFS и EROFS патчей, реализующих необходимые для Composefs специфичные возможности.

Функциональность EROFS (Extendable Read-Only File System) отвечает требованиям Composefs начиная с версии ядра 5.15. В OverlayFS изменения вносились в несколько этапов: в ядро 6.5 была включена поддержка слоёв "data-only", используемых только для данных (отдельно от метаданных). Оставшаяся часть изменений, связанная с возможностью сохранения хэшей fs-verity в расширенном атрибуте (xattr) overlay.verity, была недавно принята в состав тестового выпуска ядра 6.6-rc1, что ознаменовало включение в основной состав ядра Linux всей функциональности, необходимой для работы Composefs.

Принятие в состав ядра всех необходимых изменений позволило определить и зафиксировать финальный формат образов Composefs и опубликовать версию 1.0, стабилизирующую формат хранения и библиотечный API/ABI. Из функциональных отличий версии 1.0 от прошлого тестового выпуска упоминается внесение оптимизаций, повышающих эффективность формата хранилища; уход от использования встроенных в подсистеме ядра fs-verity средств для верификации цифровых подписей в пользу работающих в пространстве пользователя библиотек; добавление утилиты composefs-info для инспектирования файлов с образами Composefs и выявления несоответствий между метаданными и отдельно хранимыми данными.

Функциональность Composefs сводится к построению многослойных ФС, в которых произвольные деревья ФС в режиме только для чтения накладываются поверх штатных ФС Linux, выступающих в качестве нижнего слоя. От уже существующих похожих файловых систем, таких как SquashFS и EROFS, Composefs отличает поддержка совместного хранения содержимого разных образов и наличие функций для проверки подлинности читаемых данных. В Composefs применяется модель хранения с адресацией на основе содержимого, в которой первичным идентификатором является не имя файла, а хэш от содержимого файла. Подобная модель обеспечивает дедупликацию и позволяет хранить только одну копию одинаковых файлов, встречающихся в разных примонтированных разделах.

Образы контейнеров содержат множество типовых системных файлов и в случае применения Composefs каждый из этих файлов будет совместно использован всеми примонтированными образами, без задействования таких трюков, как проброс при помощи жёстких ссылок. При этом общие файлы не только хранятся в виде одной копии на диске, но и обходятся одной записью в страничном кэше, что даёт возможность экономить как дисковую, так и оперативную память.

Для экономии дисковой памяти данные и метаданные в Composefs разделены и при монтировании отдельно указывается бинарный индекс, в котором содержатся все метаданные файловой системы, имена файлов, права доступа и другие сведения. Индексы с метаданными создаются для каждого образа ФС и хранится в отдельном файле в формате EROFS (образ контейнера представляет собой монтируемый в loopback-режиме образ EROFS, в котором присутствуют только метаданные). Непосредственно файлы всех монтируемых образов хранятся в общем базовом каталоге в обычной ФС (ext4, xfs, btrfs) и связываются с образом при помощи расширенного атрибута rusted.overlay.redirect, на базе которого OverlayFS находит необходимые файлы по хэшу содержимого.

Для монтирования Composefs применяется загружаемый в пространстве пользователя FUSE-модуль composefs-fuse и утилита mount.composefs, а для создания ФС предоставляется утилита mkcomposefs. Для верификации содержимого отдельных файлов и всего образа в условиях общего хранения применяется механизм fs-verity, который при обращении к файлам проверяет соответствие указанных в бинарном индексе хэшей с фактическим содержимым - если злоумышленник внесёт изменение в файл в базовом каталоге или данные повредятся в результате сбоя, то подобная сверка выявит расхождение.

Из проектов, которые уже применяют Composefs упоминаются Ostree и Container Storage Library. В git-подобном хранилище Ostree полная поддержка Composefs, включая возможности верификации содержимого, реализована в выпусках Ostree 2023.6 и rpm-ostree 2023.6, но код пока остаётся помечен как экспериментальный. В Container Storage Library предложена начальная реализация бэкенда, использующего Composefs для хранения образов контейнеров. После завершения работы бэкенд можно будет использовать для применения Composefs для дедупликации и защиты от подмены образов, управляемых при помощи инструментария Podman.

1. Главная ссылка к новости
2. OpenNews: Composefs вместо развития отдельной ФС, теперь реализована поверх OverlayFS и EROFS
3. OpenNews: Релиз ядра Linux 6.5
4. OpenNews: Для Linux предложена файловая система Composefs
5. OpenNews: Компания Huawei предложила новую ФС EROFS для ядра Linux

Основные новшества в Firefox 118:

• Включена по умолчанию самодостаточная система автоматизированного машинного перевода с одного языка на другой, выполняющая перевод на локальной системе пользователя без обращения к внешним облачным сервисам. В системе перевода задействован открытый движок Bergamot, представляющий собой обвязку над фреймворком машинного перевода Marian, в котором применяется рекуррентная нейронная сеть (RNN) и языковые модели на основе трансформеров. Предоставляются модели для английского, болгарского, датского, немецкого, французского, испанского, польского, итальянского и португальского языков (русского в списке нет, но старую модель можно загрузить с GitHub).
• Реализация API Web Audio переведена на использование математической библиотеки FDLIBM, что позволило усилить защиту от применения косвенных методов идентификации пользователей.
• Для дополнительной защиты от косвенной идентификации пользователей в режиме приватного просмотра доступные для использования на сайтах шрифты ограничены системными шрифтами и шрифтами из штатных языковых наборов.
• При открытии в Firefox сервиса Google Meet обеспечена работа визуальных эффектов и добавлена поддержка размытия фона.
• В адресной строке добавлен показ рекомендуемых пользователю браузерных дополнений, выбранных на основе вводимых ключевых слов. Возможность пока включена только для пользователей из США.
• В CSS добавлено 10 новых математических функций: abs(), sign(), round(), mod(), rem(), pow(), sqrt(), hypot(), log() и exp().
• В CSS-свойстве font-size-adjust реализован параметр "from-font", указывающий об использовании метрик шрифта, взятых из первого доступного шрифта.
• В HTTP-заголовке Permissions-Policy добавлена поддержка значения publickey-credentials-get, разрешающего использование API Web Authentication для получения учётных данных на основе открытого ключа (navigator.credentials.get({publicKey})).
• По умолчанию включён механизм ORB (Opaque Response Blocking), позиционируемый как замена механизма CORB (Cross-Origin Read Blocking) для блокирования загрузки ресурсов при запросе со стороннего домена.
• Добавлена поддержка HTML-элемента "<search>", определяющего группу элементов, используемых для организации поиска или фильтрации содержимого (например, внутри <search> можно разместить элементы с формой отправки поискового запроса и отображаемыми результатами поиска).
• В MathML объявлены устаревшими все значения атрибута mathvariant, отличные от "normal".
• В версии для Android предоставлена возможность вывода страницы на печать. При нажатии на закреплённый ярлык его содержимое теперь открывается в существующей вкладке, если URL в уже открытой вкладке совпадает с URL ярлыка. Кнопка очистки связанных с сайтом локальных данных перемещена из раздела "Browsing history and site data" в меню "Cookies and site data".

Кроме новшеств и исправления ошибок в Firefox 118 устранено 16 уязвимостей. 13 уязвимостей (8 объединено под CVE-2023-5176), которые помечены как опасные, вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

1. Главная ссылка к новости
2. OpenNews: В Firefox появится дополнительная защита от скрытой идентификации пользователей
3. OpenNews: В адресной строке Firefox 119 изменится отображение сайтов, открытых по HTTP и HTTPS
4. OpenNews: Релиз Firefox 117
5. OpenNews: В Firefox реализована возможность импорта дополнений из других браузеров
6. OpenNews: В ночных сборках Firefox включена поддержка машинного перевода

Уязвимость вызвана тем, что при возникновении исключения #DE при делении на ноль, процессор спекулятивно перенаправляет результат предыдущей операции деления, так как на CPU с микроархитектурой Zen1 в конвейере присутствует только один делитель, обслуживающий операций в разных потоках. На уязвимых системах атакующий может определить результат предыдущей операции деления, в том числе выполненной на том же ядре CPU в других контекстах, например, в ядре, в других процессах или вне виртуальной машины.

С практической стороны уязвимость может использоваться для организации скрытого канала передачи данных между процессами, sandbox-окружениями или виртуальными машинами, позволяющего обмениваться данными в обход системных механизмов разграничения доступа и без обращения к системным вызовам. Уязвимость также позволяет из пространства пользователя определить результат предыдущего фактического или спекулятивного выполнения инструкции DIV, которая может применяться при обработке конфиденциальных данных на более высоком уровне привилегий (например, деление может использоваться при выполнении криптографических операций и атакующий может определить параметры этих операций).

Исправления для блокирования уязвимости подготовлены для ядра Linux и гипервизора Xen. Проблема устранена через перезапись буфера делителя во время переключения контекста. Исправление эффективно только при отключении симметричной многопоточности (SMT).

1. Главная ссылка к новости
2. OpenNews: Уязвимость Inception в CPU AMD, приводящая к переполнению микроархитектурного стека
3. OpenNews: Уязвимость в процессорах AMD Zen2, позволяющая определить содержимое регистров в других процессах
4. OpenNews: AMD опубликовал прототип openSIL, платформы для создания открытых прошивок
5. OpenNews: AMD опубликовал код прошивки для механизма защиты SEV (Secure Encrypted Virtualization)
6. OpenNews: Ошибка в CPU AMD EPYC 7002 приводит к зависанию после 1044 дней работы

Основные новшества:

• Задействован NVIDIA DeepStream 6.3, с исправлением ошибок и улучшениями в части кодирования видео;
• Улучшения в инструментах разработчика:
  • Поддержка OpenTelemetry для журналирования обработки каждого кадра;
  • Горячая перезагрузка изменённого кода Python в режиме разработки, что ускоряет процесс работы над конвейером;
  • Синхронный и асинхронный Client SDK для реализации тестов и собственных адаптеров доступа к данным;
  • Улучшенное логгирование с поддержкой выделения цветом.
• Улучшения в адаптерах:
  • Адаптер для обработки данных с использованием Kafka/Redis, предназначенный для реализации конвейеров с высокой нагрузкой, работающих в режиме отложенной обработки;
  • Адаптер для тестирования производительности конвейера (Multi-Stream Source Test Adapter);
  • Python SDK для разработки собственных адаптеров;
  • В адаптере трансляции видео по RTSP реализована возможность одновременной обработки нескольких потоков;
  • В адаптере доступа к камерам GigE Vision появилась оддержка HEVC-кодирования.
• Новый примеры и демонстрации:
  • Инстанс-сегментация в реальном времени (100+ FPS) на базе YOLOV8M-Seg;
  • Ре-идентификация по лицу с помощью YOLOV8-Face, AdaFace и HNSWlib;
  • Прогнозирование пола и возраста на базе YOLOV8-Face, MobileNet V2;
  • Улучшение примера Traffic Meter - добавлен детектор на базе YOLO8S, теперь можно выбрать один детектор из трёх - PeopleNet, YOLOV8S, YOLOV8M.
  • Вспомогательные примеры: использование OpenTelemetry; использование Client SDK; простой конвейер для определения совместимости RTSP-камеры с Savant; пример использования адаптеров Kafka/Redis.
• Закрыто 14 отчётов об ошибках.
• Выполнен переход с протокола передачи данных на базе Apache AVRO на протокол на базе Rust Rkyv (позволило уменьшить GIL contention, увеличить скорость сериализации и десериализации);
• Добавлена поддержка групп элементов, позволяющих комбинировать вариации обработки данных в рамках одного конвейера;
• Реализовано продвинутое конфигурирование логгирования с поддержкой разных уровней для различных компонентов;
• Добавлен программный кодировщик H.264 для карт A100, V100, A40, Nvidia Jetson Orin Nano;
• Добавлен детектор перегрузки конвейера.

1. Главная ссылка к новости
2. OpenNews: Выпуск Savant 0.2.4, фреймворка компьютерного зрения и глубокого обучения
3. OpenNews: Выпуск библиотеки компьютерного зрения OpenCV 4.7
4. OpenNews: Компания NVIDIA выпустила открытый движок симуляции физических процессов PhysX 5
5. OpenNews: Компания NVIDIA опубликовала код RTX Remix Runtime
6. OpenNews: Pixar, Adobe, Apple, Autodesk и NVIDIA начали совместное продвижение платформы OpenUSD