crimea-karro


[Главная страница]
[Добавить в избранное]

Страницы: [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17]

Опубликован метод обхода ограничений загрузчика игровой приставки Nintendo Switch

Исследователи безопасности из групп fail0verflow и ReSwitched раскрыли информацию о методе эксплуатации уязвимости в игровой приставке Nintendo Switch, позволяющем обойти механизм верифицированной загрузки и запустить на устройстве любой код, в том числе установить Linux, модифицировать штатную прошивку или организовать выполнение нелицензионных игр.

Уязвимость затрагивает аппаратную платформу NVIDIA Tegra X1, которая используется в приставке. Для загрузки доступно два работающих прототипа эксплоита и специализированная сборка Linux для установки на Nintendo Switch (возможна двойная загрузка Linux и Switch OS). В июне также планируется выпустить кастомизированный вариант штатной прошивки на базе FreeBSD, который развивается под кодовым именем Atmosphere.

Примечательно, что уязвимость невозможно устранить через обновление прошивки, так как проблема присутствует в коде загрузчика Tegra Recovery Mode (RCM), находящегося в недоступном для изменений ПЗУ. Исправление может быть представлено только компанией NVIDIA на уровне производства новых SoC Tegra X1. Программным путём модифицировать загрузчик на уже выпущенных устройствах невозможно. По заявлению одного из авторов эксплоита, проблема не специфична для Tegra X1 и также проявляется на другх SoC NVIDIA семейства Tegra.

Эксплуатация сводится к перезагрузке устройства в режиме USB Recovery и инициировании переполнения буфера в USB-стеке через передачу определённых USB-команд. Для перехода в режим USB Recovery требуется закоротить два контакта (7 и 10) в правом разъёме Joy-Con и перезагрузить устройство удерживая кнопки Volume Up и Power.

Проблема вызвана использованием в USB-стеке команды memcpy для копирования данных с указанием размера, значение которого берётся из поля USB-запроса, которое может быть изменено атакующим. Подобрав аккуратно данные и размер для перезаписи буфера можно добиться сохранения своих данных в область исполняемого стека и выполнения кода в контексте BPMP (Boot and Power Management processor), на стадии до сброса привилегий и начала верификации прошивки.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48491

Выпуск серверной JavaScript-платформы Node.js 10 и пакетного менеджера NPM 6

Анонсирован релиз Node.js 10.0.0, платформы для выполнения высокопроизводительных сетевых приложений на языке JavaScript. Node.js 10.0 относится к веткам с длительным сроком поддержки, но данный статус будет присвоен только в октябре, после проведения стабилизации. Обновления для LTS-веток выпускаются в течение 4 лет. Поддержка прошлой LTS-ветки Node.js 8.0 продлится до 2021 года, а позапрошлой LTS-ветки 6.0 до 2020 года. Поддержка промежуточной ветки Node.js 9.0 будет прекращена в июле 2018 года.

Среди улучшений в Node.js 10.0:

Одновременно объявлено о выходе пакетного менеджера NPM 6, в котором отмечено существенное увеличение производительности - некоторые операции стали выполняться до 17 раз быстрее. В 2-3 раза ускорено выполнение команды "npm ci". Добавлена возможность настройки webhook (уведомления об изменении пакетов) непосредственно из CLI. Реализовано автоматическое разрешение конфликтов с файлами блокировки (lockfile) и упрощено создание повторяемых сборок.

В репозитории организована проверка пакетов на наличие известных уязвимостей - при установке пакетов, содержащих неисправленные уязвимости, пользователю теперь выводится специальное предупреждение. Для проведения анализа на наличие уязвимостей в уже установленных пакетах и связанных с ними зависимостях добавлена новая команда "npm audit". Более наглядно предоставлена информация о целостности метаданных, что упрощает выявление вредоносных модификаций или повреждений в пакетах.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48490

Выпуск файлового менеджера PCManFM 1.3.0, развиваемого проектом LXDE

Разработчики проекта LXDE представили релиз файлового менеджера PCManFM 1.3.0 и связанной с ним библиотеки libfm. PCManFM поддерживает вкладки, совмещение вкладок в двухпанельное представление, обращение к удалённым директориям (ssh, sftp, webdav, smb и т.п.), режим Drag & Drop, расширенные средства поиска, позволяет быстро перемещаться по типовым директориям через систему закладок. Изначально интерфейс PCManFM базируется на использовании GTK+, но библиотека libfm абстрагирует выполнение основных операций и позволяет интегрировать функции PCManFM в сторонние приложения и создавать варианты файлового менеджера на базе других тулкитов. В частности, существует порт PCManFM на базе Qt.

Ключевые новшества:



Источник: http://www.opennet.ru/opennews/art.shtml?num=48487

В GitLab 10.7 открыт код Web IDE

Состоялся новый выпуск платформы для организации совместной работы с Git-репозиториями GitLab 10.7, которая по своим возможностям напоминает GitHub, но не привязана к конкретному сервису, распространяется в исходных текстах под свободной лицензией и позволяет развернуть web-сервис управления проектом на своём подконтрольном сервере. GitLab поддерживает создание отдельных проектов, отслеживание ошибок, обработку запросов на добавление кода (рабочий процесс основан на обработке merge-запросов), навигацию по веткам и тегам, контроль за изменениями, рецензирование кода, многоуровневое управление доступом, Wiki, обмен небольшими кусками кода, наглядный анализ различий между версиями кода, средства визуализации ветвления репозитория и многое другое. Код проекта написан на языке Ruby с использованием фреймворка Ruby on Rails и распространяется под свободной лицензией Expat (вариант лицензии MIT).

Новый выпуск интересен открытием исходных текстов Web IDE, встроенного редактора кода, позволяющего редактировать исходные тексты и вносить свои изменения не покидая интерфейс GitLab в web-браузере. Редактор снижает порог подключения к разработке (не требуется знание Git), существенно упрощает внесение мелких правок и делает более удобным проведение рецензирования кода. Web IDE даёт возможность редактировать сразу несколько файлов, позволяет совершать коммиты и рецензировать поступившие запросы на слияние (merge request) без промежуточного включения изменений и локального переключения ветвей.

Среди других новшеств GitLab 10.7:



Источник: http://www.opennet.ru/opennews/art.shtml?num=48479

Доступен Luminoth, тулкит для решения задач компьютерного зрения

Представлен выпуск тулкита Luminoth 0.1, предоставляющего инструменты для использования методов компьютерного зрения. В настоящее время функциональность Luminoth ограничена поддержкой распознавания и классификации объектов на изображениях и видео, но в будущем ожидается добавление новых методов обработки и анализа. Код проекта написан на языке Python и распространяется под лицензией BSD.

Для организации работы нейронных сетей с реализациями алгоритмов выделения объектов в Luminoth используется платформа машинного обучения TensorFlow и библиотека построения сложных нейронных сетей Sonnet (работает поверх TensorFlow). Для ускорения работы нейронной сети возможно привлечение GPU или Google Cloud ML Engine. Предоставляются две модели определения объектов - Faster R-CNN и SSD (Single Shot Multibox Detector).

Модель Faster R-CNN обеспечивает более точные результаты, но SSD работает значительно быстрее и может использоваться для определения объектов в режиме реального времени, например, для анализа видео (при использовании GPU в SSD обеспечивается скорость анализа до 60 кадров в секунду, в то время как Faster R-CNN может обработать лишь 2-5 кадров в секунду). Luminoth предоставляет готовые слепки данных моделей, уже натренированные с использованием наборов данных COCO и Pascal VOC. Для дополнительного обучения поддерживается формат наборов ImageNet. В ближайшее время ожидается интеграция поддержки моделей RetinaNet и Mask R-CNN.

Для пользователей и разработчиков предоставляется простой интерфейс командной строки и Python API, позволяющие подключить готовые модели, при необходимости провести тренировку определения новых объектов и выполнить анализ наличия объектов (например, можно обучить систему по картинкам с динозаврами, после чего система будет сама определять есть ли на изображении динозавр, выдавать координаты выявленных объектов и при необходимости визуализировать результат).

     $ lumi predict image.png     Found 1 files to predict.     Neither checkpoint not config specified, assuming `accurate`.     Predicting image.jpg... done.     {       "file": "image.jpg",       "objects": [         {"bbox": [294, 231, 468, 536], "label": "person", "prob":  0.9997},         {"bbox": [494, 289, 578, 439], "label": "person", "prob":   0.9971},         {"bbox": [727, 303, 800, 465], "label": "person", "prob":   0.997},         {"bbox": [555, 315, 652, 560], "label": "person", "prob": 0.9965},         {"bbox": [569, 425, 636, 600], "label": "bicycle", "prob": 0.9934},         {"bbox": [326, 410, 426, 582], "label": "bicycle", "prob": 0.9933},         {"bbox": [744, 380, 784, 482], "label": "bicycle", "prob": 0.9334},         {"bbox": [506, 360, 565, 480], "label": "bicycle", "prob": 0.8724}         ]     }  


Источник: http://www.opennet.ru/opennews/art.shtml?num=48478

Выпуск мультимедиа-пакета FFmpeg 4.0

После шести месяцев разработки доступен мультимедиа-пакет FFmpeg 4.0, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и декодирование звуковых и видеоформатов). Пакет распространяется под лицензиями LGPL и GPL, разработка FFmpeg ведётся смежно с проектом MPlayer. Новый выпуск примечателен поддержкой видеокодека AV1, возможностью сборки с LibreSSL, реализацией порции новых фильтров и появлением декодировщиков и кодировщиков, использующих для ускорения NVIDIA NVDEC и AMD AMF.

Из изменений, добавленных в FFmpeg 4.0, можно выделить:



Источник: http://www.opennet.ru/opennews/art.shtml?num=48474

Компания Oracle представила универсальную виртуальную машину GraalVM

Компания Oracle анонсировала первый релиз проекта GraalVM, в рамках которого развивается универсальная виртуальная машина для запуска приложений, написанных на JavaScript (Node.js), Python, Ruby, R, любых языках для JVM (Java, Scala, Clojure, Kotlin) и языках, для которых может формироваться биткод LLVM (C, C++, Rust). Код проекта распространяется под лицензией GPLv2. Несмотря на анонс от Oracle, выпуск GraalVM 1.0 пока имеет статус кандидата в релизы.

GraalVM изначально развивалась как универсальная виртуальная машина, способная обеспечить высокопроизводительное выполнение кода на любых языках программирования и предоставляющая средства для организации взаимодействия между кодом на различных языках, дающая возможность создавать комбинированные приложения с компонентами на разных языках.

Вместо преобразования структур данных в подобных программах, GraalVM позволяет непосредственно обращаться к объектам и массивам из других языков, убирая изоляцию между языками и позволяя использовать общий runtime. Например, из JavaScript-кода для Node.js можно обращаться к библиотеке классов Java или из кода на Java вызывать функции обработки статистики на языке Python, или запускать код на языке R для создания сложных SVG-графиков. Используя GraalVM программист может сочетать в одном проекте разные языки, выбирая язык наиболее подходящий для каждого вида задач.

GraalVM может применяться как для создания обособленных исполняемых приложений, так и как часть платформ, подобных OpenJDK и Node.js, или даже встраиваясь как движок обработки данных в СУБД, таких как MySQL и Oracle. Для запуска приложений предлагается стандартизированное окружение для выполнения на базе HotSpot JVM. GraalVM предоставляет JIT-компилятор, который может на лету выполнять в JVM код любых скриптовых языков, включая JavaScript, Ruby, Python и R, а также даёт возможность запускать нативный код в JVM, преобразованный в биткод LLVM. Предоставляемый GraalVM инструментарий включает независимые от языков программирования отладчик, систему профилирования и анализатор распределения памяти.

Для языков на базе JVM имеется возможность создания скомпилированных нативных образов, которые можно выполнять напрямую с минимальным потреблением памяти. Для создания таких исполняемых образов применяется предварительный статический анализ для выявления всего кода, который охватывает выполнение основного Java-метода, после чего к этому коду применяется полноценная упреждающая компиляция (AOT, ahead-of-time). Функциональность управления памятью и потоками реализована через подключение специальной Substrate VM, которая может компилироваться в исполняемый код. В результате формируется исполняемый файл, включающий машинный код приложения, готовый к незамедлительному выполнению без громоздких прослоек, таких как HotSpot VM.

Источник: http://www.opennet.ru/opennews/art.shtml?num=48472

Компания Apple открыла код распределённой СУБД FoundationDB

Компания Apple перевела в разряд свободных проектов СУБД FoundationDB, относящуюся к классу NoSQL-систем, манипулирующих данными в формате ключ/значение. Особенностью FoundationDB является возможность создания больших распределённых хранилищ, в которых возможно использование полноценных транзакций, удовлетворяющих требованиям ACID (атомарность, согласованность, изолированность, надежность) для всех операций с данными. Код СУБД написан на языке С++ и поставляется под лицензией Apache 2.0.

Компания Apple поглотила FoundationDB в 2015 году и теперь намерена перейти к открытой модели разработки. Кроме публикации кода под открытой лицензией, началось становление сообщества и переход к открытой модели разработки, при которой все решения будут приниматься прозрачно и любой желающий сможет предложить свои изменения и улучшения. Наиболее активные разработчики из сообщества смогут принимать участие в принятии решений.

Разработчики заявляют, что FoundationDB является одной из самых хорошо протестированных и надёжных СУБД, что подтверждается активным применением данной системы в инфраструктуре Apple и некоторых других крупных компаний. FoundationDB позволяет создавать хранилища для обработки очень больших наборов структурированных данных, распределённых на узлах кластера из типовых серверов. Для обеспечения отказоустойчивости применяется репликация данных на несколько узлов.

Распределённое хранилище основано на архитектуре "shared-nothing", в которой каждый узел является независимым и самодостаточным звеном, а вся система лишена единой точки отказа. Хранилище хорошо подходит к нагрузкам с большим числом операций чтение/запись, но также обеспечивает отличную производительность и в условиях, в которых преобладают операции записи. Взаимодействие с СУБД производится при помощи API и биндингов для различных языков программирования (C/C++, Python, Perl, Ruby, Java, Go, Node.js, PHP).

Важной особенностью FoundationDB также является предоставление очень эффективного низкоуровневого интерфейса, позволяющего любым другим системам, использовать FoundationDB для распределённого хранения информации в согласованном состоянии. Например, на базе FoundationDB могут быть подготовлены фронтэнды для более крупных универсальных СУБД, для хранения различных моделей данных, для применения различных языков формирования запросов (например, SQL и документо-ориентированные системы), для хранения метаданных в распределённых ФС, для организаци распределённых очередей задач и т.п.

На системе разработчика СУБД FoundationDB может быть запущена в одноузловом режиме (single-server), который затем может быть расширен до кластера (для добавления нового узла достаточно скопировать на новый узел файл fdb.cluster с уже работающего узла).

Основные возможности:



Источник: http://www.opennet.ru/opennews/art.shtml?num=48468

Выпуск KDE Applications 18.04

Доступен релиз набора KDE Applications 18.04, включающего подборку пользовательских приложений, адаптированных для работы с KDE Frameworks 5. Набор KDE Applications пришёл на смену приложениям из состава KDE SC, которые теперь развиваются в рамках отдельного цикла разработки, не привязанного к веткам KDE, и выпускаются по новой схеме нумерации версий. Информацию о наличии Live-сборок с новым выпуском можно получить на данной странице.

Основные новшества: