( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 68.

( читать дальше... )

>>> Подробности

В браузере Firefox обнаружена уязвимость CVE-2019-11707, по некоторым данным позволяющая атакующему с помощью JavaScript удалённо выполнить произвольный код. Mozilla заявляет, что уязвимость уже эксплуатируется злоумышленниками.

Проблема кроется в реализации метода Array.pop. Подробности пока не раскрыты.

Уязвимость исправлена в Firefox 67.0.3 и Firefox ESR 60.7.1. Исходя из этого, можно с уверенностью утверждать, что уязвимы все версии Firefox 60.x (вполне вероятно, что и более ранние тоже; если речь идёт об Array.prototype.pop(), то он реализован, начиная с самой первой версии Firefox).

>>> Подробности

Доступен выпуск Firefox 67.

( читать дальше... )

>>> Подробности

Прим. переводчика: для удобства читателей даты приведены по московскому времени

Недавно мы пропустили момент истечения срока действия одного из сертификатов, используемых для подписи дополнений. Это привело к отключению дополнений у пользователей. Теперь, когда по большей части проблема исправлена, я хотел бы рассказать о подробностях произошедшего и о проделанной работе.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 66.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 65.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 64.

( читать дальше... )

>>> Подробности

Open Source Summit 2018 проходил с 22 по 24 октября в Эдинбурге.

Консорциум The Linux Foundation опубликовал видеозаписи и слайды (на английском языке), некоторые из которых представляют особый интерес:

• Джонатан Корбет (создатель LWN.net) рассказывает о тенденциях развития ядра.
• Ральф Рамзауэр и Вольфганг Мауэрер (OTH Regensburg) вместе с Яном Кизской (Siemens) изучают влияние заплаток против Meltdown и Spectre на работу ядра в реальном времени.
• Кристоф Ламетер (Jump Trading LLC) рассказывает о работе подсистемы управления памятью в ядре, ментейнером которой он является.
• Александр Попов (Positive Technologies) докладывает о том, как обстоят дела безопасностью в ядре, и о внедрении PAX_MEMORY_STACKLEAK.
• Даррен Харт (VMware) объясняет в чём заключается сложность работы с Kconfig и как с этим бороться.
• Уилл Дикон (ARM) докладывает о примитивах ядра, устанавливающих порядок I/O и DMA-операций.
• Лукас Булвахн (BMW) делится подробностями применения ядра Linux в системах, требовательных к надежности.
• Стефан Хайноцзи (Red Hat) рассказывает о безопасности виртуализации средствами QEMU/KVM.
• Кейс Кук (Google) отчитывается о статусе Kernel Self-Protection Project (KSPP) — проекта по устранению в ядре целых классов уязвимостей и методов их эксплуатации.

Все доклады (113 штук) можно посмотреть на YouTube.

По неизвестным причинам некоторые видеозаписи были удалены. В частности, мы не увидим доклады Грега Кроа-Хартмана об эпопее с обнаружением и исправлением Meltdown/Spectre (и о реакции Intel), а также Мэтью Гаррета о патчах Kernel Lockdown (защита ядра от действий суперпользователя-злоумышленника) и о том, по каким политическим мотивам эти патчи не принимают в ядро, хотя они уже используются в основных дистрибутивах Linux.

>>> Подробности

Доступен выпуск Firefox 63.

( читать дальше... )

>>> Подробности

Две недели назад пользователь James Kyle (известный, в том числе, тем, что искореняет термины типа «master/slave» из программного обеспечения) предложил дополнить лицензию MIT проекта Lerna запретом использовать программный продукт ряду компаний. В их число вошли Microsoft, Amazon, Motorola, Dell, Xerox, Canon, LinkedIn и другие. Эти компании оказывают услуги иммиграционной и таможенной полиции США, которая обвиняется правозащитниками в разлучении детей нелегальных иммигрантов с родителями, против чего и протестует jamiebuilds.

Пулл-реквест приняли, после чего на проект обрушились с критикой видные члены СПО-сообщества. Эрик Рэймонд (сооснователь OSI и автор знаменитого эссэ «Собор и базар») указал на то, что расширив лицензию дополнительным требованием, Lerna перестала быть открытым программным обеспечением, ведь пятый пункт определения Open Source запрещает дискриминацию какой-либо группы людей. Вдобавок, такие действия привносят политику в разработку ПО, а это именно то, от чего стоит держаться подальше, иначе сообщество рискует расколоться из-за политических предпочтений отдельных его членов (примечание автора новости: с другой стороны, отделение политики от кода порой приводит к плачевным последствиям).

Кроме того, Фонд СПО неоднократно указывал на то, что ограничения на применение переводят лицензию в статус несвободной. В своё время это послужило причной удаления расширения JSON из PHP 5.5

Некоторые разработчики даже выразили желание изъять код, написанный ими для Lerna.

Менее чем через сутки проблемный пулл-реквест отменили и исключили James Kyle из проекта Lerna.

Перемещено Shaman007 из opensource

Доступен выпуск Firefox 62.

( читать дальше... )

>>> Подробности

Полтора года назад коммерческая компания SimilarWeb купила дополнение Stylish, портал userstyles.org и приступила к сбору обезличенной статистики, передаваемой дополнением.

Выяснилось, что, вопреки этим заявлениям, дополнение передаёт историю просмотра браузера и даже ссылки, содержащиеся на страницах, посещённых пользователем.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 61. Тем временем, доля Firefox среди браузеров упала ниже 10%.

• Распараллелен парсинг стилей (до этого параллельным было лишь вычисление стилей). Кроме того, Firefox теперь не перестраивает заново весь список отображаемых элементов, если изменилась лишь небольшая часть страницы. Это позволяет снизить потери кадров на величину до 40%.
• Ускорен переход между вкладками. Уже при наведении курсора на вкладку, браузер отрисовывает её в буфер.
• В меню действий (многоточие в адресной строке) появилась возможность добавить текущий сайт в качестве поисковой системы (при условии, что сайт поддерживает стандарт OpenSearch).
• HTML-страницам запрещено подгружать дочерние ресурсы по протоколу FTP. Это не затрагивает поддержку FTP в целом, однако, разработчики не исключают полного прекращения поддержки FTP когда-нибудь в будущем.
• При включении тёмной темы браузера тёмными теперь становятся также домашняя страница, главное меню, меню закладок и меню журнала.
• Дополнения WebExtensions получили возможность скрывать вкладки.
• Улучшена синхронизация закладок.
• В настройках появился новый раздел «Начало», где можно настроить внешний вид домашней страницы.
• Появилась возможность использовать отдельный контейнер при создании превьюшек.
• Шрифт EmojiOne, начиная с версии 3.0, не разрешает использование в коммерческих целях, поэтому он заменён на Twemoji.
• Некоторые пользователи (преимущественно с английской локалью) получат экспериментальное дополнение Firefox Monitor. Оно позволяет проверить почтовый адрес пользователя по базе скомпрометированных адресов и получать уведомления, если адрес окажется скомпрометирован в будущем. Используется k-анонимизация — математически обоснованный способ анонимизации — при котором вместо адреса на сервер отправляются 6 первых символов хэша SHA-1. В ответ сервер отправляет полные хэши, начало которых совпадает с присланным значением. Firefox локально сверяет присланные хэши с ранее вычисленным полным хэшем и уведомляет пользователя в случае совпадения. Таким образом, серверу не раскрывается адрес эл. почты пользователя.
• Окончательно удалена поддержка файлов JAR. Единственным известным приложением, которому это требовалось, было IBM iNotes, но и его переписали два года назад.
• В macOS дополнения теперь выполняются в отдельном процессе.
• Пользователи macOS теперь могут поделиться адресом текущей вкладки с помощью значка «многоточие» в адресной строке.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 60, который также является основой для нового выпуска с долгосрочной поддержкой (ESR). Поддержка предыдущей ветки ESR (52) закончится в сентябре этого года.

( читать дальше... )

>>> Подробности

Представитель AMD подтвердил, что уязвимости, о которых ранее в этом месяце сообщили исследователи стартапа CTS-Labs, действительно присутствуют в процессорах компании.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 59.

( читать дальше... )

>>> Подробности

Доступен выпуск Firefox 58.

( читать дальше... )

>>> Подробности

Вслед за обнаруженной уязвимостью в подсистеме Intel ME (позволяющей осуществить незаметное исполнение кода), обнародованы сведения об аналогичной уязвимости в прошивке процессоров AMD.

Процессоры AMD (APU, выпущенные после 2013 года, а также семейство Ryzen) содержат встроенное ARM-ядро, предоставляющее подсистему HVB, внутреннее хранилище для S3 BootScript, эмулятор TPM для реализации Measured Boot, генератор случайных чисел и ускоритель криптографических операций. Код, который исполняется на PSP, имеет полный доступ к вводу-выводу и системной памяти.

Прошивка PSP поставляется в бинарном виде без исходных кодов. Статический анализ позволил специалистам корпорации Google обнаружить переполнение стека, который может быть использован атакующим для компрометации системы. Действия злоумышленника невозможно отследить из пользовательского окружения.

Проблема отчасти смягчается тем, что для совершения временной атаки и кражи ключей шифрования злоумышленнику потребуется предварительное получение прав суперпользователя, а для создания постоянного руткита - физический доступ к ПК (необходима манипуляция перемычками на мат. плате).

AMD уже выпустила исправленную версию прошивки, пользователям рекомендуется следить за сайтом производителя мат. платы в ожидании выхода обновлений BIOS.

>>> Подробности

Доступен выпуск Firefox 57.

Разработчики с гордостью называют этот релиз Firefox Quantum. Благодаря новому многопоточному CSS-движку (Stylo), написанному на языке Rust, и полному переходу на мультипроцессный режим работы (отказу от старого API дополнений и прослоек совместимости) удалось удвоить показатели в тесте Speedometer 2.0 (по сравнению с Firefox 52 ESR) и обогнать Chrome. Кроме того, браузер заметно выигрывает у Chrome по потреблению памяти.

В будущем ожидается переход к многопоточной обработке DOM и JavaScript, а также включение новой системы рендеринга.

( читать дальше... )

>>> Подробности