Компания Google представила стабильный релиз веб-браузера Chrome 55.

Компания Google выпустила новую версию браузера Chrome 55 на основном канале. Разработчики провели очень серьёзную работу по оптимизации расхода оперативной памяти. Потребление ОЗУ на вкладках с включенным или отключенным блокировщиком рекламы сократилось примерно на 30%.

Основные изменения в новой версии:
• Множество исправлений в области безопасности, в частности устранены уязвимости XSS, а также ошибки в PDFium, движке для отображения PDF.
• Оптимизация обработки JavaScript: при работе с различными сайтами потребление оперативной памяти снизилось на 35-50 %.
• Из меню убран выбор кодировки страницы; пользователи, которым необходима данная возможность, могут использовать специальное дополнение.
• Переработано оформление меню информации о безопасности страницы («замочек» в правой части адресной строки), теперь оно выполнено в стиле Material Design.
• Появились новые ограничения использования Flash: по умолчанию используется HTML5 на всех сайтах, кроме тех, которые поддерживают исключительно Flash — для них выводится уведомление о включении соответствующего плагина.
• В Chrome для Android добавлен менеджер загрузок, а также возможность загружать HTML5 аудио и видео с помощью специальной кнопки.
В экспериментальном режиме добавлен менеджер использования памяти Memory Coordinator. При нехватке оперативной памяти он позволяет выгружать неактивные вкладки, сохранив в памяти нужные.

Выпуск платформы Android 7.1

Представлен выпуск платформы Android 7.1 (7.1.1), который в основном направлен на устранение ошибок и незначительную модернизацию API. OTA-обновления будут доставлены для актуальной линейки устройств Nexus, а также для моделей Pixel и Pixel XL. Также доступны сборки для желающих осуществить перепрошивку не дожидаясь OTA-обновления. Связанные с новым выпуском исходные тексты размещены в Git-репозиторий проекта AOSP (Android Open Source Project).

Основные новшества:
• API для управления ярлыками, позволяющий динамически создавать дополнительные ярлыки для задействования определённой функциональности приложения;
• Поддержка круглых пиктограмм;
• Возможность определения расширенных свойств для фоновых изображений, такие как описание, данные об авторе и связанный URL;
• Поддержка панелей выбора изображений (Image keyboard) и новый API для отправки изображений приложениям;
• Интерфейс управления хранилищем, позволяющий приложениям направить пользователя на новый экран конфигуратора для проведения чистки неиспользуемых файлов и освобождения дополнительного пространства на накопителе;
• Новые API с реализацией дополнительных опций настройки телефонии;
• Режим ночной подсветки экрана;
• На устройствах с датчиком отпечатков пальцев, касание к датчику во время работы может использоваться для открытия или сворачивания области уведомлений;
• Добавлены пиктограммы Emoji с изображением профессий.

Локальная root-уязвимость в ядре Linux.

В ядре Linux обнаружена локальная уязвимость (CVE-2016-8655), позволяющая локальному непривилегированному пользователю выполнить код с правами root. В том числе, уязвимость может быть использована для выхода за пределы изолированных контейнеров, работающих с использованием пространств имён идентификаторов пользователей. Рабочий прототип эксплоита подготовлен для Ubuntu 14.04/16.04 c ядром Linux 4.4 и работает независимо от активации механизмов защиты SMEP/SMAP (Supervisor Mode Execution Prevention/Supervisor Mode Access Prevention).

Для атаки пользователь должен иметь полномочия по созданию сокетов AF_PACKET, которые предоставляются при наличии прав CAP_NET_RAW. В Debian, Red Hat Enterprise Linux и, возможно, в некоторых других дистрибутивах (требуется уточнение информации) проблема проявляется только при предоставлении администратором прав CAP_NET_RAW и активации поддержки пространств имён идентификаторов пользователей (user namespaces, sysctl kernel.unprivileged_userns_clone=1), которая отключена по умолчанию. В Ubuntu и Fedora режим user namespaces включен по умолчанию, но для атаки по-прежнему требуется получение полномочий CAP_NET_RAW. На платформе Android право создавать сокеты AF_PACKET имеет процесс mediaserver, через который может быть эксплуатирована уязвимость.

Также продолжается история с уязвимостями в GStreamer: чтобы показать, что упомянутые в первом отчёте проблемы не единичны, Крис Эванс (Chris Evans) выявил ещё шесть уязвимостей в декодировщиках форматов FLIC и vmnc, позволяющие организовать выполнение кода при открытии специально оформленных файлов. Также предложен пример создания нового работающего эксплоита для прошлой уязвимости, некорректно исправленной в Fedora Linux.

Первый выпуск AsteroidOS, открытой ОС для умных часов, использующей Qt5 и Wayland.

Представлен первый альфа-выпуск операционной системы AsteroidOS, развиваемой для портативных носимых устройств, таких как умные часы. Базовая оболочка и прикладные приложения в AsteroidOS написаны с использованием библиотки Qt 5.6, компонентов qml-asteroid и технологии QtQuick, использование которой, по мнению разработчиков, позволяет добиться оптимального баланса между удобством и скоростью разработки приложений и обеспечением должной производительности и низкой ресурсоёмкости итогового решения.

Вывод информации организован с применением QtWayland и протокола Wayland. Работу пользовательского интерфейса обеспечивает композитный сервер asteroid-launcher, реализованный на основе фреймворка Lipstick (также применяется для создания пользовательского интерфейса в Sailfish). При желании asteroid-launcher может быть заменён на интерфейс Glacier от проекта Mer или альтернативные оболочки от производителей устройств.

Сборки подготовлены для устройств LG G Watch, LG G Watch Urbane, Sony Smartwatch 3 и Asus Zenwatch 2. Кроме того, началось или намечено портирование AsteroidOS для Samsung Gear Live, Motorola Moto 360, Asus Zenwatch и Huawei Watch. Код низкоуровневых компонентов платформы написан на языках Си и C++, для построения интерфейса используется QML. Наработки проекта распространяются под лицензиями BSD (композитный менеджер) и GPL (приложения).

Основные принципы разработки AsteroidOS:
• Свобода - сосредоточение на поставке свободного ПО;
• Соблюдение конфиденциальности - нейтральное отношение к данным пользователя и области применения устройств;
• Вовлечение сообщества и энтузиастов в создание продукта;
• Переносимость - поддержка работы на как можно большем числе устройств;
• Модульность - предоставление пользователю возможности настраивать систему под свои предпочтения и собирать собственные варианты;
• Переносимость - обеспечение взаимодествия с другими устройствами.

Проект openSUSE прекращает поддержку пакетов с драйвером AMD Catalyst.

Разработчики дистрибутива openSUSE сообщили о прекращении поддержки rpm-пакетов с классическим драйвером AMD Catalyst (fglrx), который не обновлялся компанией AMD с декабря прошлого года и поддерживает работу только с X-server 1.17 и ядрами Linux до 3.19.

Пакеты для ныне развиваемого в AMD гибридного проприетарного драйвера AMDGPU-PRO, построенного на базе модуля AMDGPU, поддерживать не планируется. Пользователям современных графических карт AMD на базе архитектуры GCN, рекомендуется перейти на использование открытых драйверов AMDGPU/RadeonSI, для работы со старыми сериями GPU AMD можно применять открытые mesa-драйверы radeon и r600 в связке с drm-модулем ядра radeon.

Если бы наш мир создавали линуксоиды.

В Беларуси введена блокировка анонимной сети Tor.

Разработчики анонимной сети Tor сообщили о появлении аномалий в работе на территории Республики Беларусь, которые оказались связаны с блокировкой доступа на уровне ключевого оператора связи Белтелеком. Блокировка осуществлена через подстановку TCP RST-пакетов для обрыва соединения при обращении к публичным шлюзам сети Tor. Доступ к серверам директорий Tor не блокируется (порт DirPort остаётся открытым, но обращения к ORPort обрываются).

Для обхода блокировки можно использовать не отмеченные в основном каталоге Tor скрытые шлюзы, поставляемые в базе BridgeDB. Кроме использования BridgeDB для обхода блокировки также можно настроить игнорирование TCP-пакетов с флагом RST на стороне локального пакетного фильтра.

Особенностью блокировки является отправка первого RST-пакета с неверным номером последовательности (поля SEQ и ACK заполнены нулями), что приводит к его отбрасыванию TCP/IP-стеком клиента. Подобный пакет может использоваться как маркер для обнаружения попыток подстановки пакетов. В целом, метод блокировки напоминает ранний опыт блокировки Tor в Китае, который последнее время существенно продвинулся в плане выявления и блокирования узлов Tor.