Вслед за обнаруженной уязвимостью в подсистеме Intel ME (позволяющей осуществить незаметное исполнение кода), обнародованы сведения об аналогичной уязвимости в прошивке процессоров AMD.

Процессоры AMD (APU, выпущенные после 2013 года, а также семейство Ryzen) содержат встроенное ARM-ядро, предоставляющее подсистему HVB, внутреннее хранилище для S3 BootScript, эмулятор TPM для реализации Measured Boot, генератор случайных чисел и ускоритель криптографических операций. Код, который исполняется на PSP, имеет полный доступ к вводу-выводу и системной памяти.

Прошивка PSP поставляется в бинарном виде без исходных кодов. Статический анализ позволил специалистам корпорации Google обнаружить переполнение стека, который может быть использован атакующим для компрометации системы. Действия злоумышленника невозможно отследить из пользовательского окружения.

Проблема отчасти смягчается тем, что для совершения временной атаки и кражи ключей шифрования злоумышленнику потребуется предварительное получение прав суперпользователя, а для создания постоянного руткита - физический доступ к ПК (необходима манипуляция перемычками на мат. плате).

AMD уже выпустила исправленную версию прошивки, пользователям рекомендуется следить за сайтом производителя мат. платы в ожидании выхода обновлений BIOS.

>>> Подробности

Доступен выпуск Firefox 57.

Разработчики с гордостью называют этот релиз Firefox Quantum. Благодаря новому многопоточному CSS-движку (Stylo), написанному на языке Rust, и полному переходу на мультипроцессный режим работы (отказу от старого API дополнений и прослоек совместимости) удалось удвоить показатели в тесте Speedometer 2.0 (по сравнению с Firefox 52 ESR) и обогнать Chrome. Кроме того, браузер заметно выигрывает у Chrome по потреблению памяти.

В будущем ожидается переход к многопоточной обработке DOM и JavaScript, а также включение новой системы рендеринга.

( читать дальше... )

>>> Подробности

Mozilla совместно с Xiph.org ведёт разработку нейросети RNNoise. Цель — создание алгоритма, который превзойдёт по качеству шумоподавления конкурирующие решения, обладая способностью в реальном времени работать даже на устройствах наподобие Raspberry Pi.

Такой алгоритм будет полезен, например, при организации видеоконференций и других подобных сценариях, когда важна работа в реальном времени.

Протестировать работу алгоритма можно на специально созданной странице.

Для обучения нейросети требуется много образцов шума. Подходит шум, который записан в любом месте, где возможна голосовая связь. Требуется лишь нажать кнопку записи и помолчать минуту, а также указать, в каком окружении (авто, кафе, улица, поезд, офис) был записан образец.

>>> Подробности

Intel ME — проприетарная технология, опирающаяся на встроенный в чипсет микроконтроллер, который уже более 10 лет присутствует во всех чипсетах Intel (десктопы, ноутбуки, серверы, планшетные ПК).

Для работы Intel Management Engine достаточно лишь дежурного напряжения (когда система выключена, но подаётся электропитание), а сам он имеет доступ к содержимому оперативной памяти ПК, внеполосный доступ к сетевому интерфейсу (предположительно, это касается лишь интегрированных в мат. плату сетевых чипов от самой Intel), а также может незаметно для пользователя исполнять код, подписанный корпорацией Intel.

Начиная с чипсетов 100-й серии, ME аппаратно представляет из себя 3-ядерный процессор с архитектурой x86, работающий под управлением ОС MINIX. До этого использовались микропроцессоры ARCtangent-A4 и ARCtangent-A5 c ОС ThreadX.

Исследователи из компании Positive Technologies обнаружили уязвимость в ME 11.x (Skylake и более новые поколения), позволяющую обойти требование наличия цифровой подписи у выполняемого кода. Ранее эти же исследователи обнаружили недокументированный бит, позволяющий отключить работу Management Engine.

Подробности будут раскрыты в декабре этого года на конференции Black Hat Europe.

>>> Подробности

Доступен выпуск Firefox 56.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 55.

( Список изменений )

>>> Подробности

Доступен выпуск Firefox 54.

( Список изменений )

>>> Примечания к выпуску для разработчиков

>>> Подробности

Доступен выпуск Firefox 53.

( Список изменений )

>>> Примечания к выпуску для разработчиков

>>> Подробности

Доступен выпуск Firefox 52.

Основные изменения:

• Удалена поддержка NPAPI-плагинов (Silverlight, Java, Unity, Gnome Shell Integration, Google Hangouts). Исключение сделано лишь для Flash. Поддержка плагинов сохранена (но отключена по умолчанию, для включения необходимо воспользоваться настройкой plugin.load_flash_only = false) в Firefox 52 ESR, который будет получать обновления безопасности до марта 2018 года. Кроме того, Firefox 52 и 52 ESR станут последними выпусками, поддерживающими процессоры без SSE2 (Pentium 3, Athlon XP, VIA C3), операционные системы Windows XP/Vista и 32-разрядные версии Mac OS X. Пользователи этих операционных систем будут автоматически пересажены на ESR-выпуск, чтобы не остаться без обновлений безопасности.
• Если на http-странице содержится форма ввода пароля, то предупреждение о небезопасном вводе будет показано прямо возле соответствующего поля ввода, а автозаполнение будет отключено.
• Добавлена возможность отправки открытой вкладки с одного устройства на другое через синхронизацию.
• Улучшен интерфейс загрузок:
  • При неудаче выводится уведомление на панель инструментов.
  • Быстрый доступ к недавним загрузкам расширен с трёх до пяти элементов.
  • Увеличены кнопки отмены и перезапуска загрузки.
• Реализована спецификация Strict Secure Cookies, запрещающая небезопасным (http:) сайтам установку кук с атрибутом «secure».
• Включена поддержка чернового варианта спецификации TLS 1.3 (1310516).
• Удалена поддержка Battery Status API (1313580). Предполагалось, что веб-приложения и сайты смогут при низком уровне заряда аккумулятора устройства отдавать облегчённую версию контента или экстренно сохранять данные. На практике этой возможностью пользуются лишь для отслеживания пользователей (уровень заряда служит одним из параметров, позволяющих точно идентифицировать клиента), а некоторые сервисы могут повышать расценки для пользователей, чей телефон вот-вот разрядится.
• Движок обзавёлся поддержкой WebAssembly (эффективного низкоуровневого языка программирования, выполняющегося в браузере).
• Совместный доступ к экрану теперь поддерживает предварительный просмотр и больше не требует присутствия домена в белом списке.
• Прекращена поддержка SHA-1 сертификатов, выпущенных публичными удостоверяющими центрами. Кроме того, в Firefox 52 ESR отключена поддержка сервисных воркеров и пуш-уведомлений. Эти компоненты будут подвергнуты существенным изменениям, которые невозможно было бы портировать в ESR-выпуск, получающий лишь обновления безопасности.
• Включено автоматическое обнаружение captive portal. При обнаружении сети, использующей эту технологию, браузер выдаст предупреждение и откроет страницу входа в новой вкладке.
• Сервис отложенного чтения Pocket теперь полностью принадлежит корпорации Mozilla.
• На платформе Windows улучшена совместимость со сторонними раскладками клавиатуры, не входящими в стандартную поставку Windows. Также, без объяснения причин удалена поддержка DRM-модуля Adobe Primetime CDM.
• Устранены различные уязвимости.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 51.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 50.

( список изменений )

>>> Подробности

Доступен выпуск Firefox 49.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 48.

( читать дальше... )

>>> Подробности

Компания «Открытая мобильная платформа» (ОМП) договорилась о создании трёх версий смартфонов на операционной системе Sailfish. В этом году в продажу поступят устройства от Oysters и Jolla под управлением Sailfish Mobile OS RUS, а также промышленный смартфон «Ермак ОМП» для корпоративных пользователей и госсектора.

«Ермак ОМП» будет работать на 2-ядерном процессоре Qualcomm Snapdragon MSM 8960 с 1 Гб оперативной и 8 Гб встроенной памяти, ёмкостью аккумулятора 3450 мАч, дисплеем 4,5”.

Кроме того, ОМП подала заявку на включение своей мобильной операционной системы Sailfish Mobile OS RUS в реестр отечественного программного обеспечения.

На сайте omprussia.ru доступны изображения всех трёх смартфонов.

>>> Подробности

Asa Dotzler объявил о том, что многопроцессный режим наконец-то отлажен, достаточно стабилен, производителен, и постепенно будет включён в релизных версиях браузера. К сожалению, не все разработчики популярных дополнений адаптировались к многопроцессности, поэтому первыми её получат лишь те пользователи, которые не устанавливают дополнения.

Начиная с выпуска Firefox 48, многопроцессный режим будет включён у 1% пользователей, не имеющих установленных дополнений. Если всё пройдёт без эксцессов, то уже в Firefox 49 многопроцессность получат все пользователи (всё при том же условии, что они не устанавливали дополнения).

В бета-версиях многопроцессный режим будет включён у всех пользователей, без ограничений.

В настоящий момент, обработка всех страниц и интерфейса браузера происходит на одном ядре процессора. Несмотря на то, что сетевые операции, декодирование изображений, видео и звука вынесены за пределы основного цикла, работа с DOM, выполнение скриптов и парсинг HTML остаются однопоточными.

Многопроцессный режим подразумевает вынос обработки контента в отдельный процесс, независимый от процесса, в котором осуществляет работа интерфейса браузера. В отличие от Chromium, где господствует философия «каждая вкладка в отдельном процессе», в Firefox все вкладки будут обрабатываться в одном процессе. Но, не исключено, что в будущем каждая вкладка получит свой собственный процесс.

>>> Подробности

Доступен выпуск Firefox 47.

( читать дальше... )

>>> Подробности

Mozilla запустила программу Test Pilot, позволяющую пользователям попробовать и оценить экспериментальные возможности, которые в будущем могут появиться в Firefox.

Для участия требуется учётная запись Firefox (Firefox Account) и установка специального дополнения, позволяющего в любой момент включать и выключать тестируемые возможности.

Доступные улучшения:

• Activity Stream в будущем призван заменить содержимое новых вкладок. Он предлагает часто посещаемые страницы и закладки, представленные хронологически в виде временной шкалы.
• Tab Center размещает вкладки вертикально сбоку экрана. Панель автоматически сужается при уходе курсора, превращая вкладки в пиктограммы, и расширяется при наведении, показывая заголовки вкладок.
• Универсальный поиск объединяет адресную и поисковую строки. В поисковых подсказках отдельно выделяются сайты, ранее посещённые пользователем. Рекомендованные результаты включают в себя подробные сведения о сайте, например, основные новости с главной страницы сайта.

>>> Подробности

Из-за доминирования движка WebKit многие разработчики сайтов и веб-приложений используют экспериментальные свойства и возможности CSS с префиксом -webkit-. Поскольку «и так всё работает», они не переходят к использованию стандартных свойств даже тогда, когда экспериментальная разработка становится доступна в виде стандартной без префикса (поскольку движок сохраняет поддержку -webkit-версии).

Остальные браузеры (например, Firefox) даже начали внедрять поддержку -webkit-элементов для совместимости с существующими сайтами, хотя изначально этот префикс предназначался лишь для пометки экспериментальных возможностей (у Firefox аналогичную роль играет префикс -moz-).

Разработчики WebKit решили исправить ситуацию. Отныне, все новые экспериментальные свойства будут изначально реализовываться в том виде, в каком они прописаны в стандартах (без префикса), а их поддержка будет включаться runtime-флагами. Уже существующие -webkit-свойства будут постепенно избавлены от префикса, но каждый случай рассмотрят отдельно, поскольку разработчики не хотят резко потерять совместимость с сайтами и приложениями.

>>> Подробности

Доступен выпуск Firefox 46.

• Переход на GTK3 по умолчанию, что открывает дорогу к нормальной работе с Wayland и лучшему отображению на HiDPI-мониторах. Поддержка GTK2 пока полностью сохранена.
• Усилена безопасность компилятора JavaScript Just In Time (JIT). Применена технология W^X («Write XOR Execute», изобретена в OpenBSD), гарантирующая, что код, созданный JIT, не будет исполнен, пока не запрещена запись. Скорость работы JS-движка снизилась на 1-4%.
• Pocket, вслед за Hello, стал системным дополнением (не отображается в списке обычных дополнений) и вынесен в отдельный файл (/usr/lib/firefox/browser/features/firefox@getpocket.com.xpi). В следующей версии планируется сделать доступным отключение системных дополнений в интерфейсе браузера.
• Если системные кодеки H.264 и AAC недоступны, для воспроизведения этих форматов будет использоваться CDM-модуль (модуль для расшифровки DRM-содержимого, отсутствующий в Linux-версии).
• Автоматическая замена старого кода <embed> на страницах, встраивающих видео с YouTube, на новый <iframe>, что позволяет просматривать видео средствами HTML5. Функция пока не до конца протестирована и отключена по умолчанию, для использования нужно включить настройку plugins.rewrite_youtube_embeds.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 45.

• Переход на GTK3 отложен в очередной раз. Поддержка совместимого с Chrome API WebExtensions (разработка кроссбраузерных дополнений) тоже отложена.
• Чат Hello вынесен в отдельное дополнение, поставляемое с браузером. В следующем выпуске та же участь постигнет Pocket.
• Удалена функция группировки вкладок (Panorama). Сотой доле процента пользователей (по данным, полученным с помощью телеметрии), которым эта функция необходима, предлагается воспользоваться дополнениями.
• Возможность предоставить другому пользователю доступ к открытой вкладке браузера.
• Кнопка для отображения синхронизированных вкладок.
• При поиске в адресной строке синхронизированные вкладки будут показаны в выпадающей области.
• Добавлена настройка network.dns.blockDotOnion, блокирующая запросы к DNS-серверам при обращении браузера к сайтам в доменной зоне .onion. Скрытые сервисы Tor всё равно работают без DNS, а эта настройка предотвратит раскрытие DNS-серверу информации о том, что пользователь щёлкнул по .onion-ссылке.
• Добавлен режим временной установки неподписанных дополнений (установка из XPI-файла, после перезапуска браузера дополнение автоматически удаляется).
• Исправлено некорректное перенаправление по ссылкам, ведущим на IDN-домены (Unicode-format Internationalized Domain Name).
• Веб-содержимому запрещено использовать протокол jar:, который позволял напрямую обращаться к конкретному файлу внутри ZIP-архива. Остальные браузеры уже давно не поддерживают этот протокол; его поддержку можно включить, отключив настройку network.jar.block-remote-files (1215235).
• Исправлена регрессия, введённая в Firefox 41: воспроизведение звука порой заикалось из-за ошибок округления времени воспроизведения (1222866).
• Локализация на язык гуарани [gn].

( читать дальше... )

>>> Подробности