- +

Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Темы - denkin

Страницы: [1] 2 3 ... 6
1
Цитировать
Представлена новая версия торрент-клиента qBittorrent 4.0.4, написанного с использованием тулкита Qt и развиваемого как открытая альтернатива µTorrent, приближенная к нему по интерфейсу и функциональности. Кроме исправления нескольких десятков ошибок в новом выпуске в контекстное меню добавлена опция для принудительной переотправки анонса. В интерфейсе для создания Torrent-ов максимальный размер элемента увеличен до 32 Мб и добавлено поле с источником данных.
Новость на Opennet.

2
Цитировать
Вил Кук (Will Cooke), менеджер по разработке десктоп-систем в компании Canonical, рассказал о намерении включить в Ubuntu 18.04 систему отправки на серверы Canonical сведений о конфигурации системы пользователя и используемых приложениях. Отправку статистики планируется включить по умолчанию, но предусмотреть опции для отключения.

По мнению разработчиков, наличие данных о конфигурации позволит оптимизировать состав дистрибутива и сосредоточить внимание на возможностях, востребованных большинством пользователей. Информация будет собрана в процессе установки и сохранена в файл, который будет отправлен по HTTPS на сервер Canonical после установки сетевого соединения при первой загрузке. Данные обещают хранить обезличенными - сведения об IP-адресе, с которого получена статистика, будут удаляться. Файл будет оставлен на локальной системе, что позволит пользователю проанализировать, какие данные были переданы.

Среди информации, которую планируется собирать: версия и редакция Ubuntu, наличие сетевого соединения, семейство CPU, размер ОЗУ и дисков, разрешение экрана, модель GPU, производитель оборудования, местоположение (выбранное пользователем при установке), время, затраченное на установку, выбор автоматического или парольного входа, выбранный вариант разметки диска, выбранные в процессе установки сторонние приложения, включение LivePatch, сведения о загрузке обновлений в процессе установки.

В систему также будет установлен пакет Popcon для передачи сведений о загрузке, установке, обновлении и удалении пакетов. Механизм формирования отчётов о крахах приложений Apport будет переработан для автоматической отправки анонимизированных отчётов без запроса подтверждения у пользователя. Опции для отключения отправки статистики планируется добавить в инсталлятор и конфигуратор GNOME Settings. Также будет предусмотрена загрузочная опция "diagnostics=false".

Кроме того, можно отметить включение в инсталлятор Ubuntu 18.04 режима минимальной установки (Minimal Install), при выборе которого после инсталляции будет оставлен только минимальный набор приложений. Так как инсталлятор Ubiquity выполняет установку через клонирование готового Live-окружения, вместо отдельной установки пакетов, то режим минимальной установки будет реализован путём удаления около 80 пакетов после завершения штатной установки. В том числе будут удалены такие приложения, как Thunderbird, Transmission, Rhythmbox, LibreOffice, Cheese и Shotwell. В итоге, в режиме Minimal Install будет предложено чистое графическое окружение для пользователей, которые предпочитают сами выбрать интересующий их набор приложений, не полагаясь на чужой вкус.
Новость на Opennet.

3
Новости / Выпуск медиаплеера VLC 3.0.0
« : Февраль 09, 2018, 21:12:22 »
Цитировать
После трёх лет разработки увидела свет новая значительная ветка медиапроигрывателя VLC 3.0.0. Готовые сборки сформированы для Linux, *BSD, macOS, Windows, Xbox, iOS, Windows Phone, Android). Для Ubuntu подготовлен самодостаточный пакет в формате Snap. Варианты для настольных систем и мобильных платформ построены на основе одного общего ядра - libVLC, обеспечивающего поддержку форматов видео и звука.
Новость на Opennet.
Spoiler: Подробности • показать

"Ключевые улучшения:

Задействование по умолчания механизмов аппаратного декодирования видео и ускорения вывода на экран. Поддержка аппаратного декодирования HEVC через DxVA2, D3D11, OMX и MediaCodec (Android). Поддержка аппаратного декодирования MPEG-2 и VC1/WMV3 на платформе Android. Задействование аппаратных возможностей устранения чересстрочности, регулировки резкости и цветности, доступных через VA-API, CoreImage, D3D9 и D3D11;
Новая система декодирования видео и отрисовки через VA-API для Linux. Задействование по умолчанию OpenGL для вывода видео в Linux и BSD-системах;
Возможность воспроизведения видео высокой чёткости с разрешением 4K и 8K;
Поддержка видео с широким динамическим диапазоном (HDR) и качеством цветопередачи 12-бит на канал;
Поддержка показа сферических панорамных фотографий и пространственного видео, снятых в режиме 360 градусов, что позволяет рассмотреть не только происходящее перед камерой, но и вокруг снимающего. Для управления поворотом виртуальной камеры можно использовать клавиатуру или мышь. Поддерживается масштабирование и несколько режимов свёрнутого просмотра (взгляд на шар и взгляд изнутри шара);

Поддержка 3D-звука с числом каналов более 8 и режима сферического объёмного звучания Ambisonics, востребованного в системах виртуальной реальности;
Поддержка проброса звука через HDMI для HD-кодеков, подобных E-AC3, TrueHD и DTS-HD;
Поддержка BD-J (BluRay Java), определяющего средства для организации интерактивного взаимодействия на языке Java для дисков Blu-Ray;
Возможность навигации по содержимому сетевых дисков и NAS в локальной сети, доступных через протоколы SMB, FTP, SFTP и NFS;
Ускорены операции смены позиции в видеопотоке;
Новая система отрисовки субтитров с возможностью корректировки размера субтитров на лету, поддержкой сложных начертаний и смены шрифтов. Добавлена поддержка субтитров в форматах webVTT (с оформлением через CSS), TTML, EIA-608/708 в MP4/mov, HDMV (субтитры BluRay), SBV;
Возможность вещания через устройства Chromecast, в том числе форматов, которые не имеют встроенной поддержки в Chromecast;

Улучшение поддержки медиаконтейнеров: переработаны распаковщики контента MP4, PS и TS. Расширена поддержка MKV. Добавлена поддержка HD-DVD .evo;
Новые декодировщики видео AV1, Daala, OggSpots. Добавлены декодировщики для форматов TDSC, Canopus HQX, Cineform, SpeedHQ, Pixlet, QDMC и FMVC;
Новый декодировщик звука для MPEG-1 & 2 (I, II, III) и MPEG 2.5 на базе libmpg123;
Новый декодировщик изображений в формате BPG на базе libbpg;
Встроен фильтр для преобразования частоты кадров (FPS) в видео;
Поддержка API вывода звука мобильной платформы Tizen;
Поддержка проброса звука в форматах EAC3 и TRUEHD для PulseAudio. Добавлен модуль с фильтром преобразования звуковых форматов и изменения частоты дискретизации, использующий библиотеку SoX Resampler. Добавлен звуковой фильтр Binauralizer с поддержкой пространственного звука Ambisonics или 5.1/7.1. Добавлен модуль для сдвига высоты тона;
В сборке для Android добавлена поддержка режима PiP (картинка в картинке), обеспечено определение файлов со списками воспроизведения, добавлена поддержка платформы Android Auto для автомобильных информационно-развлекательных систем, задействовано аппаратное декодирование HEVC через API MediaCodec, переработан код вывода видео, обеспечена возможность проброса звука через HDMI/SPDIF для WASAPI (AC3/DTS/DTSHD/EAC3/TRUEHD), полностью переписан вывод звука через API AudioTrack."
(ц)


4
Цитировать
Организация The Document Foundation объявила о выходе LibreOffice 6.0.1, первого корректирующего выпуска из семейства LibreOffice 6.0 "fresh". Версия 6.0.1 ориентирована на энтузиастов, опытных пользователей и тех, кто предпочитает самые свежие версии программного обеспечения. Для консервативных пользователей и предприятий пока рекомендуется использовать одновременно сформированный выпуск LibreOffice 5.4.5 "still". Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows.
Обновление включает 75 исправлений, в числе которых устранение уязвимости (CVE-2018-1055) в LibreOffice Calc, позволяющей незаметно отправить удалённому атакующему содержимое любого файла в системе при открытии специально оформленной электронной таблицы. Проблема связана с особенностью работы функции WEBSERVICE, которая позволяет получить данные по URL. Используя URL в форме "file://" можно встроить в таблицу содержимое локального файла без вывода уведомления о совершении данной операции. Далее, через WEBSERVICE можно организовать отправку на внешний сервер полученных данных, передавая их порциями в составе параметров запроса. В LibreOffice 5.4.5 и 6.0.1 функция WEBSERVICE ограничена применением только ссылок с http:// и https://.
Новость на Opennet.

5
Цитировать
Компания Intel начала распространение среди OEM-производителей обновлённого варианта микрокода с реализацией функциональности IBRS (Indirect Branch Restricted Speculation), позволяющей разрешать и запрещать спекулятивное выполнение инструкций, что можно использовать в компиляторах для противостояния второму варианту уязвимости Spectre (CVE-2017-5715). Предложенное в начале января обновление микрокода было отозвано в связи с возникновением проблем с перезагрузками на системах с CPU Broadwell и Haswell.
Новость на Opennet.

6
Новости / Выпуск Wine 3.1
« : Февраль 03, 2018, 13:59:13 »
Цитировать
Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.1. С момента выпуска версии 3.0 было закрыто 29 отчётов об ошибках и внесено 346 изменений. Напомним, что начиная с ветки 2.x проект Wine перешёл на новую схему нумерации версий: каждый стабильный релиз приводит к увеличению первой цифры в номере версии (2.0.0, 3.0.0, 4.0.0), а обновления к стабильным релизам выпускаются с изменением третьей цифры (3.0.1, 3.0.2, 3.0.3). Экспериментальные версии, развиваемые в процессе подготовки следующего значительного релиза, выпускаются с изменением второй цифры (3.1, 3.2, 3.3).

Наиболее важные изменения:
Поддержка аутентификации при помощи Kerberos;
Для Common Controls 6 реализована возможность перенаправления класса Window;
Для X11 добавлена поддержка визуализации в формате ARGB;
Для запуска исполняемых файлов DOS теперь требуется DOSBox;
Закрыты отчёты об ошибках, связанные с работой игр и приложений: Jeskola Buzz, Grand Theft Auto V, Doom 4, DOOM 2016, Solus Project, Dying Light, Magic: The Gathering Online, WOLF RPG Editor, Touhou Shinpiroku.
Новость на Opennet.

7
Цитировать
Организация The Document Foundation опубликовала релиз офисного пакета LibreOffice 6.0. Готовые установочные пакеты подготовлены для различных дистрибутивов Linux, Windows и macOS, а также в редакции для развёртывания online-версии в Docker.
Новость на Opennet.
Spoiler: Подробности • показать

"Ключевые новшества:

Для Writer, Calc и Impress реализован новый вариант экспериментальной панели инструментов NotebookBar - Groupedbar Full, оформленный в стиле Ribbon. Для включения следует активировать опцию "Сервис / Параметры / LibreOffice / Расширенные возможности / Включить экспериментальные возможности" и переключения между режимами использовать меню "Вид / Toolbar Layout";



Для Writer также доступен ещё один вариант NotebookBar - Tabbed Compact, построенный с использованием вкладок;

На всех десктоп-платформах обеспечено использование ключей OpenPGP для формирования цифровых подписей для документов ODF. Добавлена экспериментальная поддержка шифрования содержимого документа при помощи OpenPGP. В Linux данная функциональность обеспечивается штатными пакетами gnupg/gpg, в Windows и macOS требуется установка сторонних реализаций OpenPGP;

В состав добавлен набор пиктограмм из темы оформления Elementary, ранее предлагаемый в Xubuntu;

Переработан диалог вставки спецсимволов. В диалог добавлен поиск, контекстное меню, список недавно выбранных символов и список часто выбираемых символов;

Расширены средства для адаптации интерфейса под свои предпочтения. Предложен двухпанельный интерфейс для компоновки содержимого панели инструментов, главного меню и контекстных меню;

На панель добавлена новая кнопка для вызова меню вставки спецсимволов;

Во Writer, Calc и Draw расширены возможности диалога сохранения встроенных изображений. При выборе в контекстном меню опции "Сохранить" теперь предлагается возможность выбора: сохранять исходное встроенное изображение или его модифицированный вариант (после применения фильтров, кадрирования и трансформаций);

Полностью переработан режим визуализации границ таблиц, который унифицирован для Writer, Draw, Impress и Calc, и более качественно отображает пересечения и наложения;

Изменения во Writer:
В Панель поиска добавлено выпадающее меню для выбора типа объектов для поиска;

В меню первого уровня (главное меню) добавлено подменю управления формами;
Представлен новый набор предлагаемых по умолчанию стилей нумерованных списков;
Добавлена возможность разделения секций внутри таблиц;

Двойной клик на поле ввода теперь приводит к открытию отдельного диалога для ввода, в котором показывается текущее поле, но имеется возможность перехода к следующему или предыдущему полям;
Добавлена возможность вращения встроенных изображений под любым углом. Доступен режим обтекания текстом повёрнутого изображения, отмены поворота, кадрирование с учётом поворота;

Мастер подготовки писем для рассылки (Mail merge) теперь может использовать документ из Writer и XLSX-файлы как источник (список имён или email) для формирования персонализированных документов для отправки;

Предложен новый стиль таблиц по умолчанию, который автоматически применяется для вставляемых в документ таблиц. Ширина границ таблицы увеличена c 0.05pt до 0.5pt. Добавлена новая коллекция стилей автоформатирования таблиц;

В форму настройки словаря добавлено новое поле для упрощения включения новых слов в словари, позволяющий указать уже имеющийся в словаре образец, на основании которого для добавляемого нового слова будут автоматически сгенерированы варианты с разными приставками и суффиксами. Например, при добавлении нового слова crowdfund можно указать как образец fund и оно будет использовано в Hunspell как эталон для генерации словоформ (crowdfund’s, crowdfunds, crowdfunder, crowdfunders и crowdfunding);

Изменения в Calc:
Добавлена новая команда для выделения незащищённых ячеек в защищённых или незащищённых страницах (Edit ▸ Select ▸ Select Unprotected Cells). На вкладки добавлен индикатор защиты вкладки (🔒);

Добавлен набор функций, совместимых со спецификацией ODFF 1.2: SEARCHB, FINDB и REPLACEB для определения начальной позиции или замены указанного текста (FINDB отличается от SEARCHB учётом регистра символов);
В диалог экспорта (File ▸ Export...) добавлена опция, позволяющая экспортировать в форматы PNG или JPG только выделенный список ячеек или группу изображений;
Добавлена команда для вставки в ячейку неформатированного текста из буфра обмена (Ctrl+Shift+Alt+V);
В Draw улучшен интерфейс для управления атрибутами слоёв: добавлены команды для переключения между скрытым и видимым слоями, блокировки/разблокировки слоёв и управлением выводом слоя на печать;

В Impress добавлено десять новых шаблонов презентаций и улучшена работа двух ранее доступных шаблонов. По умолчанию установлен формат презентации 16:9. Модернизирован диалог дублирования слайдов. Прекращена поддержка 3D-моделей;
В менеджер расширений добавлена возможность установки альтернативных наборов пиктограмм;
Изменён состав предлагаемых шрифтов: удалены шрифты Open Sans и PT_Serif, добавлены шрифты Noto (Noto Sans, Noto Serif, Noto Mono), Hebrew и Arabic;
Представлена новая реализации системы помощи, вместо wiki теперь используется online-справка на основе HTML и адаптивного дизайна, которая корректно отображается как на настольных, так и на мобильных системах;

Добавлена поддержка экспорта документов из Writer в формате EPUB. Добавлен новый фильтр для импорта в форматах QuarkXPress v.3 и v.4 (функциональность обеспечена библиотекой libqxp). Улучшены фильтры для импорта и экспорта в OOXML: расширены возможности SmartArt для формирования диаграмм, добавлена поддержка импорта и экспорта элементов ActiveX для DOCX, улучшена поддержка вложенных документов (DOCX/DOC) и электронных таблиц (XLSX/XLS) в файлах DOCX/DOC, обеспечено отображение состояния цифровой подписи, добавлена поддержка экспорта презентаций в формате PPTM (PPTX с макросами), обеспечен экспорт в DOCX перекрёстных ссылок на таблицы, изображения и другие объекты, обеспечен экспорт в DOCX/DOC полей MailMerge, добавлен экспорт цветовых схем в PPTX;

Полностью переписаны и расширены фильтры импорта формата EMF+ (Metafile Format Plus), используемого в .doc, docx, .xls, .xlsx, .ppt и .pptx. Добавлена поддержка полей EmfPlusRecordTypeFillRegion, ResetClip, EmfPlusRegionNode и OffsetClip;

Улучшен экспорт в формате XHTML: изображения теперь всегда экспортируются в читаемых браузерами форматах (обычно SVG или PNG);
Расширены возможности фильтров импорта из Adobe Freehand, MS Visio, MS Publisher, Adobe Pagemaker, FictionBook, Apple Keynote, Apple Pages, Apple Numbers, Quattro Pro и Abiword;
В серверной редакции LibreOffice Online, позволяющей организовать систему совместной работы с документами через Web, задействована фильтрация системных вызовов через механизм seccomp-bpf для sandbox-изоляции серверного обработчика и предоставлена возможность хэширования паролей. В web-интерфейсе добавлен новый метод авторизации через дополнительный HTTP-заголовок и предоставлена возможность указания картинок с аватарами пользователей документов. Добавлен упрощённый интерфейс переименования и записи с новым именем.

В в меню LibreOffice Online также отображено состояние отслеживания изменений, улучшена анимация появления комментариев, добавлены новые типы файлов для редактирования (PDF и HTML), добавлен диалог для поиска и замены, в консоли администратора добавлен отчёт о пользователях документа, в online-версиях Writer, Calc и Impress добавлена проверка правописания, обеспечена индикация текущего языка в строке состояния.


В online-версии Calc реализован простой редактор диаграмм и обеспечено отображение ссылки на активную ячейку;


В мобильном приложении LibreOffice Viewer для платформы Android появилась возможность создания нового документа, добавлена нижняя панель с режимами форматирования, реализована функция вставки изображений из файла, облачных хранилищ или приложения для работы с камерой, представлен интерактивный интерфейс для Calc и режим презентации в Impress;

Удалён VCL-плагин для интеграции с рабочим столом Trinity."
(ц)


8
Новости / Релиз ядра Linux 4.15
« : Январь 29, 2018, 20:39:23 »
Цитировать
После двух с половиной месяцев разработки Линус Торвальдс представил релиз ядра Linux 4.15. Среди наиболее заметных изменений: защита от атак Meltdown и Spectre, поддержка архитектуры RISC-V, интеграция прослойки DC (Display Core) в драйвер amdgpu, контроллер ресурсов CPU для cgroup2, поддержка технологии AMD Secure Encrypted Virtualization, оптимизация энергопотребления на системах с SATA ALPM, поддержка протокола ThunderboltIP, удаление звуковой подсистемы OSS.
Новость на Opennet.
Spoiler: Подробности • показать

"В новую версию принято около 15 тысяч исправлений от 1600 разработчиков, размер патча - 46 Мб (изменения затронули 13177 файлов, добавлено 611097 строк кода, удалено 287446 строк). Около 51% всех представленных в 4.15 изменений связаны с драйверами устройств, примерно 16% изменений имеют отношение к обновлению кода специфичного для аппаратных архитектур, 12% связано с сетевым стеком, 4% - файловыми системами и 3% c внутренними подсистемами ядра. 11.3% изменений внесено сотрудниками компании Intel, 10.7% изменений подготовлено сотрудниками AMD, 6.7% - Red Hat, 5.2% - Google, 3.4% - Linaro, 3.2% - IBM, 2.7% - Oracle, 2.2% - ARM, 2.1% - SUSE.

Основные новшества:

Память и системные сервисы
Включены патчи для оптимизации энергопотребления на системах с SATA AHCI-контроллерами, поддерживающими функцию ALPM (Aggressive Link Power Management). ALPM присутствует в системах с процессорами Intel на базе микроархитектур Haswell, Broadwell и Skylake. До сих пор на данных системах в Linux наблюдались проблемы c включением глубоких режимов энергосбережения из-за невозможности выставить параметры управления питанием для вывода интегрированной подсистемы SATA из активного состояния. Данные параметры не описаны в документации, а использование наугад приводило к проблемам с повреждением данных. В принятом в состав ядра 4.15 патче удалось подобрать параметры, при которых не замечено проблем, а время автономной работы при некоторых видах нагрузки существенно увеличивается;
Для cgroup реализован контроллер ресурсов CPU (CPU resource controller), позволяющий управлять расходованием ресурсов CPU группой задач, который завершил формирование функциональности единой унифицированной иерархии cgroup (Cgroup unified hierarchy или cgroup2). Сgroup2 был представлен в ядре 2.6.24 и объявлен стабильным в 4.5, но поддерживал только контроллеры памяти и ввода/вывода. Для реализации контроллера CPU требовалась поддержки гибкого управления потоками процесса (cgroup.type threaded), которая появилась только в ядре 4.14. В новом выпуске для cgroup2 также реализован код для учёта потребления ресурсов CPU, который может работать без включения контроллера ресурсов CPU;
В инфраструктуру LivePatch, предоставляющую универсальный API для динамического применения патчей к работающему ядру (без перезагрузки и без остановки работы приложений), добавлена поддержка механизма теневых переменных ("shadow variables"), позволяющего добавлять дополнительные данные в структуры ядра, что необходимо для горячего применения патчей, требующих изменения структуры данных. Кроме того, представлен callback-механизм для вызова кода ядра до или после применения патча к объекту (например, когда патч затрагивает глобальные данные или ассемблерный код);
Расширены возможности, связанные с BPF: Утилита bpftool расширена средствами для проверки и манипуляции BPF-программами. Добавлены точки входа (hook) для подключения LSM-модулей безопасности для организации контроля доступа к объектам BPF. Представлен новый контроллер устройств на основе BPF, использующий интерфейс cgroup2;
Лимит на число таблиц сопоставления UID или GID для пространства идентификаторов пользователей (User namespaces) поднят с 5 до 340;
В zRAM, подсистемы для хранения раздела подкачки в памяти в сжатом виде, добавлена поддержка алгоритма Zstd, обеспечивающего одно из лучших соотношений уровня сжатия к производительности. Zlib убран из списка рекомендованных алгоритмов;
Виртуализация и безопасность
В дополнение к появившейся в ядре 4.14 поддержке технологии AMD SME (Secure Memory Encryption), позволяющей автоматически зашифровывать и расшифровывать страницы памяти при записи и чтения из DRAM, в новой версии ядра реализована начальная поддержка механизма AMD Secure Encrypted Virtualization, который предоставляет средства шифрования памяти для виртуальных машин. AMD Secure Encrypted Virtualization позволяет защитить виртуальные машины от компрометации со стороны гипервизора или администратора хост системы. Суть метода защиты в интеграции в архитектуру виртуализации AMD-V возможности для прозрачного шифрования памяти виртуальных машин, при которой доступ к расшифрованным данным имеет только текущая гостевая система, а остальные виртуальные машины и даже гипервизор при попытке обращения к этой памяти получают зашифрованные данные. В версии 4.15 добавлены компоненты для использования Secure Encrypted Virtualization на стороне гостевой системы, компоненты для создания и управления защищёнными гостевыми системами появятся в одном из следующих выпусков ядра Linux;
Добавлена поддержка режима "User Mode Instruction Prevention" (UMIP), предоставляемого процессорами Intel. При включении данного режима на уровне CPU в пространстве пользователя запрещается выполнение некоторых инструкций, таких как SGDT, SLDT, SIDT, SMSW и STR, которые могут применяться в атаках, нацеленных на повышение привилегий в системе. Для корректной работы эмуляторов, таких как Wine и DOSEMU2, инструкции SGDT, SIDT и SMSW при включении режима эмулируются;
Включены последние наработки для блокирования атак Meltdown и Spectre. Для противодействия атаке Meltdown (CVE-2017-5754) на системах x86 с процессорами Intel (процессоры AMD данной атаке не подвержены) добавлена технология PTI (Page Table Isolation), обеспечивающая разделение таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Для процессоров PowerPC для защиты от Meltdown добавлен код на основе применения инструкции RFI (Return from Interrupt) для сброса кэша L1-D.
Для блокирования эксплуатации второго варианта уязвимости Spectre (CVE-2017-5715) добавлен механизм retpoline, основанный на применении специальной последовательности инструкций, исключающей вовлечение механизма спекулятивного выполнения для косвенных переходов (для работы защиты также требуется сборка версией GCC 7.3, в которой появилась поддержка режима "-mindirect-branch=thunk-extern"). Включение средств для обеспечения защиты от первого варианта атаки Spectre (CVE-2017-5753) и кода для блокирования Meltdown на процессорах ARM отложено до выпуска 4.16.

Так как механизмы защиты приводят к снижению производительности, предусмотрены опции для их отключения, которые могут применяться на системах с минимальным риском атаки, например на однопользовательских рабочих станциях. Для отключения PTI во время загрузки ядру можно передать опцию pti=off, а для отключения retpoline - опцию "spectre_v2=off". В состав ядра также добавлен диагностический вызов в sysfs для быстрого определения степени устранения уязвимостей Meltdown и Spectre, который привязан к директории /sys/devices/system/cpu/vulnerabilities/:


   $ grep . /sys/devices/system/cpu/vulnerabilities/*
   /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
   /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
   /sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic SM retpoline
В Xen реализован фронтэнд для протокола PV Calls, позволяющего перенаправлять POSIX-вызовы, инициированный из приложения на стороне гостевой системы (DomU), для обработки на стороне хост-системы (Dom0) или другой гостевой системы;
Добавлена реализация криптографического хэша OSCCA SM3, стандартизированного для учреждений Китая;
Интерфейс /sys/kernel/security/evm расширен возможностью информирования о загрузки RSA-ключа для блокирования загрузки других ключей в случае компрометации (ключ можно загрузить только один раз);
Дисковая подсистема, ввод/вывод и файловые системы
В XFS добавлена начальная поддержка проверки целостности файловой системы на лету (online), которая пока не готова для широкого использования. В XFS также осуществлён переход на структуру b+tree для встроенного списка экстентов, которая позволяет избежать выделения крупных непрерывных блоков и исключить подтормаживания в условиях применения огромных списков экстентов (например, при работе с сильно фрагментированными файлами);
В EXT4 улучшена масштабируемость генерации inode на SMP-системах. Добавлена поддержка изменения размера на лету для ФС, в которых используется bigalloc;
В Btrfs добавлена возможность указания уровня сжатия для zlib (-o compress=zlib:9). Добавлена дополнительная эвристика для быстрой приблизительной оценки степени сжимаемости данных. Проведена оптимизация операции send для больших файлов. Добавлена новая версия ioctl "extent to inode mapping", позволяющая ценой снижения точности получить больше данных для постобработки в пространстве пользователя, например, для оценки состояния утилитами дефрагментации или дедупликации. Реализована отладочная опция ref-verify для верификации учёта ссылок на экстенты;
В OverlayFS добавлена возможность применения индексации при использовании Btrfs в качестве ФС для базового слоя. В модулях безопасности Smack обеспечена возможность работы с многослойной файловой системой OverlayFS;
В блочном драйвере для устройств NVMe появилась встроенная поддержка multipath, позволяющая применять распараллеливание ввода/вывода для высокопроизводительных систем;
В системном вызове mmap() реализованы флаги MAP_SYNC и MAP_SHARED_VALIDATE для обеспечения прямой записи в ФС на устройствах энергонезависимой памяти. MAP_SYNC предоставляет механизм, позволяющий приложениям в пространстве пользователя управлять сбросом кэша для энергонезависимой памяти. При установке MAP_SYNC метаданные для файла в ФС сбрасываются на накопитель до возвращения ядром fault-обработчика для mmap, что гарантирует соответствие представления раскладки файла для приложения и ядра. Флаг MAP_SHARED_VALIDATE обеспечивает проверку поддержки MAP_SYNC в mmap() для выбранной ФС;
В cramfs обеспечена поддержка работы с ФС, отражённой напрямую в память (например, в NVRAM). В сочетании с применением несжатых областей памяти данная возможность позволяет организовать "выполнение на месте" (execute-in-place) без дополнительного копирования в ОЗУ. Добавлена поддержка mmap и произвольного позиционирования блоков с данными;
В файловой системе AFS добавлена поддержка пространств имён сетевой подсистемы (network namespaces) и обеспечена доступность на запись mmap-областей;
В f2fs улучшена поддержка квот, реализована система мягкого резервирования блоков, расширены сведения о состоянии ФС в sysfs, добавлена поддержка динамического размера встраиваемых блоков xattr (ранее применялся фиксированный размер), обеспечено применение операций discard для диапазонов блоков;
В device mapper модуль log-writes добавлена поддержка механизма DAX (прямой доступ к ФС в обход страничного кэша без применения уровня блочных устройств);
Для loop-устройств обеспечена работа с учётом cgroup;
Сетевая подсистема
В сетевую подсистему добавлена поддержка протокола "ThunderboltIP", используемого для передачи IP-пакетов через интерфейс на базе хост-контроллера Thunderbolt;
Добавлена поддержка планировщиков потока для протокола SCTP. В настоящее время доступно три планировщика: FCFS, priority и round-robin;
К большинству sysctl-настроек, связанных с TCP (sysctls tcp_*), теперь применяется изоляция через пространства имён (network namespace);
В подсистему управления сетевыми очередями добавлен модуль CBS (credit-based shaper) с реализацией алгоритма резервирования пропускной способности для разных классов трафика, определённого в главе 8.6.8.2 стандарта 802.1Q-2014;
Для TCP подготовлена реализации очереди повторной передачи пакетов на базе структуры RB-tree, которая позволяет минимизировать задержки при обработке очередей огромного размера (например, с размером окна перегрузки в 1GB на каналах 100Gb);
В механизм определения потери пакетов RACK, который отталкивается от времени передачи, добавлена поддержка адаптивного окна упорядочивания, позволяющего добиться повышения пропускной способности в условиях нарушения порядка поступления пакетов. Ранее применявшийся алгоритм определения потери и нарушения порядка следования пакетов FACK, работа которого была основана на анализе последовательности прихода пакетов, отключен по умолчанию в пользу более эффективного механизма RACK;
Добавлена опция сокетов TCP_FASTOPEN_KEY для назначения разных ключей быстрого открытия TCP-соединений для разных слушающих сокетов;
Поддержка архитектур
Обеспечена базовая поддержка архитектуры RISC-V, достаточная для загрузки, но пока недостаточная для практического использования в силу отсутствия драйверов устройств. RISC-V предоставляет открытую и гибкую систему машинных инструкций, позволяющую создавать микропроцессоры для произвольных областей применения, не требуя при этом отчислений и не налагая условий на использование. RISC-V позволяет создавать полностью открытые SoC и процессоры. В настоящее время на базе спецификации RISC-V разными компаниями и сообществами развивается 7 вариантов ядер микропроцессоров (Rocket, ORCA, PULPino, OPenV/mriscv, VexRiscv, Roa Logic RV12, SCR1) и три SoC (lowRISC, Rocket Chip, Briey), которые разрабатываются под различными свободными лицензиями (BSD, MIT, Apache 2.0);
Для процессоров AMD Zen Ryzen, Threadripper и EPYC обеспечена корректная обработка данных с датчиков температуры;
В код для поддержки архитектуры OpenRISC добавлена поддержка многопроцессорных систем (SMP);
Для ахритектуры ARM64 (AArch64) добавлена поддержка механизма SVE (Scalable Vector Extension), предоставляющего расширенные инструкции для векторной обработки данных, дополняющие набор NEON средствами для ускорения операций векторизации для научных вычислений;
Для архитектуры SPARC реализована поддержка механизма vDSO (virtual dynamic shared objects), предоставляющего в пространство пользователя ограниченный набор системных вызовов, доступный без переключения контекста;
Оборудование
В DRM-драйвер AMDGPU добавлена прослойка AMD DC (Display Core), в которой представлен переработанный код для управления отображением, необходимый для обеспечения поддержки нового поколения GPU (uGPU) Vega и Raven. DC также адаптирован для управления видеорежимами и других GPU (CIK, VI, Polaris), уже ранее поддерживаемых драйвером AMDGPU. По умолчанию DC включен только для GPU Vega и Raven, а для остальных требует явного указания опции "amdgpu.dc=1". Кроме того, в AMDGPU также добавлен ряд новшеств, таких как поддержка DisplayPort MST (Multi-Stream Transport) и возможность вывода звука через HDMI и DisplayPort. Размер изменений в AMDGPU составил более 132 тысяч строк кода.
В DRM-драйвере Intel объявлена стабильной поддержка GPU чипов Coffee Lake. Добавлена поддержка датчиков температуры int340x, используемых в чипах Cannon Lake и Coffee Lake. Реализована поддержка Display IPC (Isochronous Priority Control). Обеспечена поддержка технологии Transparent Huge Page. Появилась возможность управления приоритетом контекста из пространства пользователя (I915_CONTEXT_PARAM_PRIORITY);
В В DRM-драйвере Nouveau появилась поддержка мониторинга температуры графических карт NVIDIA GeForce GTX 1000 (Pascal);
Добавлена поддержка ARM SoC/плат Allwinner R40 (Banana Pi M2 Ultra и Berry), CubieBoard 6 (Actions S500), Qualcomm MSM8974/Snapdragon 800 (Fairphone 2), Broadcom Hurricane 2, Khadas VIM2 (Amlogic S912), NanoPi NEO Plus2, Pistachio (NXP i.MX6), Renesas R-Car V3M, Amlogic Meson-AXG A113D;
Добавлена поддержка звуковой подсистемы APU AMD Stoney Ridge и AMD Raven Ridge;
Добавлена поддержка пятого поколения SATA-контроллеров Cavium;
Реализована шина ac97 с реализацией модели устройство/драйвер для чипов с поддержкой звуковых кодеков AC97. Шина предоставляет средства для автоматического обнаружения устройств AC97;
Удалён код для обеспечения поддержки звуковой подсистемы OSS (Open Sound System). Возможность сборки драйверов OSS (Open Sound System) была отключена по умолчанию в выпуске ядра 4.12. В нынешнем ядре драйверы OSS полностью удалены из состава ядра. В качестве причин удаления упоминается плохое сопровождение, невостребованность и желание избавиться от вызовов set_fs(), которые применяются в данных драйверах. Пользователям, которым необходим API OSS рекомендуется использовать уровень эмуляции OSS, предоставляемый звуковой подсистемой ALSA.
Одновременно Латиноамериканский Фонд свободного ПО сформировал вариант полностью свободного ядра 4.15 - Linux-libre 4.15-gnu, очищенного от элементов прошивок и драйверов, содержащих несвободные компоненты или участки кода, область применения которых ограничена производителем. В новом выпуске отключена загрузка несвободных прошивок в драйверах для сенсорных экранов и brcmstb (Broadcom STB SoC). Обновлён код чистки блобов в драйверах AMDGPU, i915, adreno, tegra, silead dmi и atomisp. Прекращена чистка драйверов ap1302 и oss, в связи с их удалением из ядра."
(ц)


9
Новости / Обновление web-браузера QupZilla 2.2.5
« : Январь 28, 2018, 22:26:14 »
Цитировать
Доступен релиз многоплатформенного web-браузера QupZilla 2.2.5, построенного с использованием библиотеки Qt и модуля QtWebEngine, основанного на браузерном движке Blink и элементах Chromium. Это последняя ветка под именем QupZilla и в форме независимого проекта, следующие версии будут распространяться под новым именем Falkon и развиваться в составе сообщества KDE.

В новой версии:

Добавлена опция Unload Tab для освобождения ресурсов открытой вкладки (перевод в состояние незагруженной страницы).
В область дополнения ввода в адресной строке добавлены кнопки поисковых систем.
В настройки добавлена возможность отключения автоматического заполнения полей ввода паролей.
По умолчанию включена поддержка плагинов (сразу доступен AdBlock).
В строку статуса возвращены пиктограммы AdBlock и GreaseMonkey, а также добавлены новый кнопки.
Налажена работы функции временного отключения JavaScript при помощи плагина StatusBarIcons.

Новость на Opennet.

10
Цитировать
Доступно обновление почтового клиента Thunderbird 52.6.0. В новой версии проведена работа по улучшению поиска содержимого сообщений в локальных папках и применения фильтров. Налажен поиск не-ASCII текста и поиск в блоках, закодированных методом base64. Решены проблемы с отображением дефектных сообщений, не содержащих корректных заголовков. В календаре-планировщике устранена недоработка, приводящая к непреднамеренному удалению задач при включенном Numlock. Устранено 10 уязвимостей, одна из которых имеет критический уровень опасности.
Новость на Opennet.
Spoiler: Подробности • показать

"Дополнительно разработчики Thunderbird сообщили о готовности Mozilla принять на работу в режиме полного рабочего дня инженера, задачей которого будет перевод модулей Thunderbird на новую платформу, перенос технологических новшеств из Firefox, исправление ошибок, сопровождение сборок, взаимодействие с участниками из сообщества и разработчиками из Mozilla. Напомним, что в настоящее время ведётся работа над бета-выпуском Thunderbird 58, в котором осуществлён переход на технологии Firefox Quantum, в том числе предложен обновлённый интерфейс и осуществлён переход на систему дополнений на базе WebExtension. Новый интерфейс соответствует концепции дизайна Photon и использует новую тему оформления Monterail."
(ц)


11
Цитировать
Несмотря на то, что в выпуске Ubuntu 17.10 на системах где это возможно по умолчанию предлагался сеанс GNOME на базе Wayland, в весеннем LTS-релизе Ubuntu 18.04 решено вернуться к использованию традиционного графического стека на основе X.Org Server. Сеанс на основе Wayland останется доступен, но будет предлагаться в качестве опции. В осеннем выпуске Ubuntu 18.10 сеанс на базе Wayland вновь будет предложен по умолчанию.
Новость на Opennet.
Spoiler: Подробности • показать

"Поставка Wayland по умолчанию в Ubuntu 17.10 стала своеобразным полигоном для проверки нового решения, перед тем как использовать его в LTS-выпуске, время поддержки которого составляет пять лет. Подобный шаг позволил выявить ряд проблем, специфичных при работе GNOME поверх Wayland. Данные проблемы важны для ограниченной категории пользователей и со временем будут устранены, но до выпуска Ubuntu 18.04 осталось всего три месяца, и у разработчиков не хватает времени, для реализации, стабилизации и качественного тестирования недостающей функциональности.

Выделяются три сильные стороны использования GNOME на базе X.Org, недоступные в сеансе на базе Wayland:

Поддержка предоставления совместного доступа к экрану (Screen sharing) в коммуникационных клиентах на базе WebRTC и приложениях, подобных Google Hangouts и Skype;
Наличие полноценного инструментария для удалённого доступа к рабочему столу, такого как решения на базе RDP и VNC;
Более качественная организация восстановления сеанса после краха GNOME Shell.
Проблемы с обеспечением совместного доступа к экрану и удалённым доступом к рабочему столу планируется решить внедрением мультимедийного сервера PipeWire и расширением протокола Wayland, но данная работа требует дополнительного времени на разработку и обеспечение поддержки в приложениях. Третья проблема касается урегулирования внештатных ситуаций при работе поверх Wayland.

В случае краха GNOME Shell при работе Mutter в роли композитного сервера Wayland, GNOME полностью закрывает сеанс, принудительно завершает все связанные с ним приложения и выводит экран входа в систему. При использовании X.Org имеется возможность отдельно перезапустить дисплейный сервер, не трогая запущенные приложения, т.е. после краха GNOME Shell работающие программы не будут закрыты. Для Wayland так поступить не получится, поэтому пока рассматриваются два варианта выхода из возникшего тупика: усиленная стабилизация кода для исключения крахов и изменение архитектуры. Оба варианта находятся в разработке, например изменение архитектуры развивается в рамках проекта GNOME Shell 4."
(ц)


12
Новости / Выпуск web-браузера Chrome 64
« : Январь 25, 2018, 21:29:13 »
Цитировать
Компания Google представила релиз web-браузера Chrome 64. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается использованием логотипов Google, возможностью загрузки модуля Flash по запросу, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого видеоконтента, системой автоматической установки обновлений и передачей при поиске RLZ-параметров.
Новость на Opennet.
Spoiler: Подробности • показать

"Основные изменения в Chrome 64:

В сборках для платформы Linux вывод уведомлений, отправленных через Notifications API или chrome.notifications, теперь производится через штатные механизмы пользовательских окружений (например, уведомления Chrome теперь выводятся как обычные уведомления KDE Plasma и GNOME);
Запрещено автоматическое перенаправление на ссылки из внешних iframe-блоков, что позволяет блокировать работу жульнических рекламных вставок, открывающих другие страницы без ведома пользователя. Предложенный способ позволяет бороться со ссылками, закамуфлированными под кнопки воспроизведения или закрытия, или активируемыми через наложение прозрачного слоя, перехватывающего любые клики. Например, будут блокироваться всплывающие предложения, в которых нажатие кнопки закрытия диалога приводит к открытию дополнительных окон или вкладок с рекламируемыми страницами.

Прекращено автоматическое воспроизведение видео со звуком на текущей вкладке, если в видеовставке по умолчанию не отключен звук (выставлен флаг mute или отсутствует звуковая дорожка). Для воспроизведения видео со звуком потребуется явный клик. Новое поведение позволит автоматически блокировать показ видеорекламы со звуком, которая создаёт неудобства и отвлекает пользователя при просмотре страниц. Блокировка будет сниматься для сайтов, на которых пользователь часто просматривает мультимедийный контент, которым пользователь предоставил специальные полномочия или которые добавлены на домашний экран в мобильной версии;
На 15 февраля намечено включение встроенного блокировщика рекламы, нацеленного на борьбу с рекламными блоками, мешающими восприятию содержимого и не соответствующими критериям, выработанным Коалицией по улучшению рекламы (перекрывающие контент всплывающие окна, реклама со счётчиком секунд до закрытия, отображаемая до загрузки контента, очень большие закреплённые блоки, мигание фона, агрессивное изменение цветов);
Помимо представленных в январском обновлении Chrome 63 мер про предотвращению эксплуатации уязвимостей Meltdown и Spectre (ограничена точность измерения интервалов времени функцией performance.now() и полностью отключена поддержка типа SharedArrayBuffer), в Chrome 64 внесены некоторые дополнительные изменения для противодействия подобным атакам на уровне движка V8. В частности, выполнена защита от обращения к памяти вне границ области, отведённой для WebAssembly и asm.js, а также доступной через массивы и строки JavaScript;
Внесена серия оптимизаций в движок V8: Производительность оператора instanceof возросла в 3.6 раза, что привело к увеличению производительности библиотеки uglify-js на 15–20%. Устранены некоторые узкие места с производительностью Function.prototype.bind. WeakMap и WeakSet переписаны на базе CodeStubAssembler, что отразилось пятикратным ростом их производительности. С использованием CodeStubAssembler также переписан Array.prototype.slice, что позволило ускорить его примерно в 4 раза;




Проведена работа по сокращению потребления памяти в движке V8 - при просмотре типичных сайтов расход памяти каждой вкладкой снизился на несколько сотен килобайт.

На страницу chrome://gpu добавлены сведения о доступных механизмах аппаратного ускорения декодирования и кодирования видео для различных форматов (h.264, vp8, vp9 и т.п.);
Добавлен API Resize Observer, позволяющий подключить обработчик, которому будут направляться уведомления об изменении размера указанных элементов на странице. Ключевое отличие нового API от window.onresize и CSS Media Queries, заключается в том, что можно определить факт изменения конкретного элемента на странице, а не всей видимой области, что позволяет отреагировать изменением только этого элемента без изменения всего видимого содержимого;
Представлено свойство import.meta, при помощи которого можно запросить метаданные с информацией об определённом используемом модуле. В настоящее время доступно только свойство import.meta.url, позволяющее узнать URL, с которого был загружен модуль (например, для определения базового адреса для загрузки ресурсов, связанных с модулем), но в дальнейшем ожидается появление и других свойств, таких как размер модуля;
Добавлена возможность создания анимации при помощи CSS-свойства offset-path, определив в данном свойстве геометрический путь по которому должен перемещаться элемент;
Добавлено CSS-свойство text-decoration-skip-ink для управления поведением отрисовки в случае если верхнее или нижнее подчеркивание накладывается на глиф в другой строке;
Координаты PointerEvent для курсора мыши (pointerType=mouse) теперь передаются в дробном виде, что позволяет определять позицию курсора с большей точностью;
В регулярных выражениях появилась поддержка именованных групп (named captures), позволяющий связать сопоставленные регулярным выражением части строки с определёнными именами вместо порядковых номеров совпадений (например, вместо "/(\d{4})-(\d{2})-(\d{2})/" можно указать "/(?‹year›\d{4})-(?‹month›\d{2})-(?‹day›\d{2})/" и получить доступ к году не через result[1], а через result.groups.year);
В регулярных выражениях добавлена возможность экранирования классов Unicode-символов при помощи конструкций \p{…} и \P{…}. Например, \p{Number} определяет все возможные знаки с изображением цифр (включая символы вида ①), \p{Alphabetic} - буквы (в том числе иероглифы), \p{Math} - математические символы и т.п.
Добавлен метод Intl.Numberformat.prototype.formatToParts(), позволяющий использовать форматирования с использованием правил текущей локали для строк, выдаваемых функциями форматирования NumberTimeFormat;
Для элементов video и audio включена по умолчанию упреждающая загрузка метаданных (вместо попытки загрузки самого ресурса), для соответствия с поведением других браузеров и экономии трафика;
Добавлена возможность воспроизведения HDR-видео (профиль HDR VP9 Profile 2 10-bit) на платформе Windows 10 в режиме HDR;
Для совместимости со спецификациями HTML браузер теперь возвращае ошибку "NotSupportedError" через DOMException, если для мультимедийного элемента заданы неподдерживаемые требования к пропускной способности (playbackRate), например, отрицательное значение;
Добавлен "Origin Trial" для API Media Capabilities, позволяющий получить доступ к статистике о производительности и эффективности потребления энергии во время воспроизведения звука или видео;
В объект Request добавлен атрибут cache для управления режимом кэшировани ("default", "no-store", "reload", "no-cache", "force-cache", "only-if-cached"). Для просмотра применяемого режима кэширования можно использовать свойство Request.prototype.cache;
Добавлена возможность применения Permissions API для получения информации о подтверждении пользователем доступа к камере и микрофону;
В Focus Management API добавлен атрибут preventScroll для установки фокуса на элементе без прокрутки экрана;
Для SVG добавлено CSS-свойство transform-box для трансформации и смены позиции преобразованного SVG-элемента;
Добавлена экспериментальная (chrome://flags/#enable-experimental-web-platform-features) поддержка API AudioWorklet для низкоуровневой обработки звука через определение собственных AudioNodes.
Вызов функции window.alert() теперь не приводит к выводу фоновой вкладки на передний план, вместо этого отображается специальный индикатор, а диалог выводится только после перехода на вкладку из которой было выведено предупреждение.
Кроме нововведений и исправления ошибок в новой версии устранено 53 уязвимости. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity и LibFuzzer. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 24 премии на сумму 22 тысячи долларов США (по одной премии в $4500, $3000 и $2500, две премии $2000, пять премий $1000, семь премий $500). Размер семи вознаграждений пока не определён."

(ц)

13
Цитировать
Разработчики из компании Intel предложили для включения в ядро Linux серию патчей для блокирования второго варианта уязвимости Spectre (CVE-2017-5715). Патчи Intel позиционируются в качестве альтернативы патчам retpoline. По мнению Intel предлагаемое решение будет эффективно на процессорах Skylake и более новых, на которых не исключается появление вариантов атаки Spectre, которую не смогут закрыть патчи retpoline. При этом на старых процессорах по сравнению с retpoline решение Intel обеспечивает заметное снижение производительности, но в будущих моделях CPU влияние на производительность обещают сделать минимальным.
Новость на Opennet.
Spoiler: Подробности • показать

"Патчи Intel базируются на использовании представленной в обновлении микрокода функциональности IBRS (Indirect Branch Restricted Speculation), позволяющей разрешать и запрещать спекулятивное выполнение инструкций. В предложенном патче IBRS применяется для адаптивного включения/выключения спекулятивного выполнения косвенных переходов во время обработки прерываний, системных вызовов, переключений контекста между процессами и между виртуальными машинами. В отличие от retpoline патч Intel для всестороннего обхода Spectre не требует изменений компонентов в пространстве пользователя при включении "полного" режима работы (IBRS_ALL), активирующего применение IBRS в userspace.

В ответ на предложение включить данный патч в ядро Линус Торвальдс вышел из себя и назвал патч Intel "полным и абсолютным мусором" (complete and utter garbage), а предпринятый метод значительно хуже, чем грязный хак. Появление IBRS указывает на то, что Intel не планирует грамотного решения проблемы со спекулятивным выполнением косвенных переходов. По впечатлению Торвальдса возникает ощущение, что Intel создаёт видимость работы во избежание судебных исков и прежде всего пытается решить свои юридические проблемы, что совсем не способствует созданию технически грамотных и качественных технологий и исправлений. Судя по всему, даже сама компания Intel не воспринимает предложенный режим защиты IBRS_ALL всерьёз, так как негативное влияние на производительность столь высоко, что он отключен по умолчанию, чтобы не портить результаты тестов.

Тем временем, в запланированный на следующий понедельник выпуск ядра Linux 4.15 войдут свежие наработки по блокированию атак Meltdown и Spectre. Для противодействия атаке Meltdown (CVE-2017-5754) на системах x86 с процессорами Intel (процессоры AMD данной атаке не подвержены) добавлена технология PTI (Page Table Isolation), обеспечивающая разделение таблиц страниц памяти ядра и пространства пользователя при переключении контекста во время системного вызова. Для процессоров PowerPC для защиты от Meltdown добавлен код на основе применения инструкции RFI (Return from Interrupt) для сброса кэша L1-D.

Для блокирования эксплуатации второго варианта уязвимости Spectre (CVE-2017-5715) добавлен механизм retpoline, основанный на применении специальной последовательности инструкций, исключающей вовлечение механизма спекулятивного выполнения для косвенных переходов (для работы защиты также требуется сборка модифицированной версией GCC с поддержкой режима "-mindirect-branch=thunk-extern"). Включение средств для обеспечения защиты от первого варианта атаки Spectre (CVE-2017-5753) и кода для блокирования Meltdown на процессорах ARM отложено до выпуска 4.16.

Так как механизмы защиты приводят к снижению производительности, предусмотрены опции для их отключения, которые могут применяться на системах с минимальным риском атаки, например на однопользовательских рабочих станциях. Для отключения PTI во время загрузки ядру можно передать опцию pti=off, а для отключения retpoline - опцию "spectre_v2=off". В состав ядра также добавлен диагностический вызов в sysfs для быстрого определения степени устранения уязвимостей Meltdown и Spectre, который привязан к директории /sys/devices/system/cpu/vulnerabilities/:


   $ grep . /sys/devices/system/cpu/vulnerabilities/*
   /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
   /sys/devices/system/cpu/vulnerabilities/spectre_v1:Vulnerable
   /sys/devices/system/cpu/vulnerabilities/spectre_v2:Vulnerable: Minimal generic SM retpoline
Дополнение: Компания Intel сообщила об определении причин проблем с перезагрузками на системах с CPU Broadwell и Haswell после установки нового микрокода. В настоящее время подготовлен начальный вариант обновлённого микрокода, который проходит тестирование среди OEM-производителей. После завершения тестирования будет предложено общедоступное обновление. До выхода данного обновления не рекомендуется использовать выпущенную в начале января версию микрокода."
(ц)


14
Новости / Стабильный релиз Wine 3.0
« : Январь 18, 2018, 23:02:17 »
Цитировать
После года разработки и 23 экспериментальных версий представлен стабильный релиз открытой реализации Win32 API - Wine 3.0, который вобрал в себя более 6000 изменений. Из ключевых достижений новой версии отмечается поддержка Direct3D 10 и 11, реализация обособленного потока обработки команд Direct3D, графический драйвер для платформы Android, улучшенная поддержка DirectWrite и Direct2D. Из возможностей которые отложены до следующей значительной ветки упоминаются поддержка Direct3D 12, Vulkan и реализация Direct3D через OpenGL ES на платформе Android.
Новость на Opennet.
Spoiler: Подробности • показать

"В Wine подтверждена полноценная работа 4580 программ для Windows, еще 3907 программ прекрасно работают при дополнительных настройках и внешних DLL. У 3301 программ наблюдаются небольшие проблемы в работе, которые не мешают использованию основных функций приложений.

Ключевые новшества Wine 3.0:

Direct3D
Реализована значительная часть возможностей Direct3D 10 и 11, в том числе вычислительные и тесселяционные шейдеры, потоковый вывод, инструкции и модификаторы интерполяции для моделей шейдеров 4 и 5, непрямого (indirect) рендеринга, структурированных и побайтово адресуемых буферов, многослойной отрисовки на трёхмерных текстурах и массивах текстур, создания уровней mip-map и т.д.
Реализация обособленного потока обработки команд Direct3D, позволяющего выполнять отрисовку в асинхронном режиме с распараллеливанием на многоядерных системах. В настоящее время работа сосредоточена на обеспечении корректной отрисовки в многопоточном режиме, но в будущем ожидается проведение работы по увеличению производительности. В секцию реестра "HKCU\Software\Wine\Direct3D" добавлен новый ключ "csmt" (REG_DWORD), через который можно включить (0x1) или выключить (0x0, по умолчанию) поддержки многопоточной обработки команд Direct3D;
Улучшена поддержка применения базовых контекстов OpenGL в Direct3D, которые уже используются по умолчанию для обеспечения работы приложений Direct3D 10 и 11 на системах с графическими картами AMD и Intel, что позволяет при наличии OpenGL-драйверов Mesa обойтись без установки в реестре параметра"MaxVersionGL" для включения Direct3D 10 и 11;
Увеличено число графических карт, распознаваемых для WineD3D;
Графическая подсистема
В Direct2D реализована поддержка контуров геометрических объектов, кистей с линейными и радиальными градиентами, вычисления границ геометрических объектов, упрощения геометрических объектов;
Обеспечена совместимость Direct2D с GDI;
Список поддерживаемых расширений OpenGL обновлён до OpenGL 4.6;
Частично реализована библиотека GLU (OpenGL Utility Library). Системная библиотека GLU необходима только при использовании системы рендеринга Nurbs, во всех остальных случаях функции GLU предоставляются в Wine;
В GdiPlus обеспечена обработка графических операций, включающих трансформации;
В GdiPlus добавлена поддержка воспроизведения большинства специфичных для GdiPlus типов записей metafile, помимо стандартных записей metafile;
В WindowsCodecs добавлена поддержка кодирования форматов изображений, включающих палитру;
Обеспечение работы Wine в окружении платформы Android
Появилась возможность сборки Wine в виде пакета в формате APK и установки как обычного приложения для Android;
Подготовлен полноценный графический драйвер (GDI) для Android. Из-за ограничений API Android возможна работа только в полноэкранном режиме;
Реализован полноценный звуковой драйвер для Android;
Обеспечена поддержка OpenGL, ограничивающаяся возможностями API OpenGL ES. Direct3D в окружении Android пока не поддерживается, так как не может быть полноценно реализовано поверх OpenGL ES;
Ядро
Заявленная по умолчанию версия Windows поднята до Windows 7;
Реализована полная семантика именованных каналов, включая режим обмена сообщениями для именованных каналов. Обработка именованных каналов теперь целиком производится на стороне сервера Wine;
Поддержка исполняемых файлов в формате POE (Position Independent Executables), как для исполняемого файла Wine, так как для запуска внешних исполняемых файлов;
Автоматическое создание устройств для параллельных и последовательных портов (могут быть переопределены через ключ HKLM\Software\Wine\Ports);
Реализован и включен по умолчанию безопасный режим поиска DLL (для отключения следует в разделе реестра HKLM\System\CurrentControlSet\Control\Session Manager установить переменную "SafeDllSearchMode" в 0);
Реализован безопасный режим поиска процессов, который отключен по умолчанию (включается через установку переменной HKLM\System\CurrentControlSet\Control\Session Manager\SafeProcessSearchMode в 1);
Увеличена производительность асинхронного ввода/вывода, благодаря сокращению числа обращений к серверу;
На 64-разрядных платформах обеспечена возможность выделения областей виртуальной памяти произвольного размера;
Интерфейс пользователя
Выполнен редизайн курсоров мыши, которые также предложены в более высоком разрешении для экранов с высокой плотностью пикселей (high DPI);
Для экранов с высокой плотностью пикселей адаптированы Shell Explorer, RichEdit и все основные диалоги;
Для переопределения DPI экрана предложена настройка "LogPixels", доступная в секции реестра "HKEY_CURRENT_USER\Control Panel\Desktop";
В режиме рабочего стола добавлена поддержка более высоких разрешений с различным коэффициентом соотношения сторон;
Реализована панель задач (Task Dialog);
В MSI добавлена поддержка внутреннего интерфейса (IUI, Internal User Interface);
Добавлен режим отрисовки тем оформления с применением двойной буферизации;
В библиотеку TWAIN добавлена поддержка диалога для выбора доступного сканера;
Добавлена возможность сохранения в OLE Data Cache платформонезависимых битовых карт и metafile;
Интеграция с рабочим столом
В desktop-файлах обеспечена возможность определения поля StartupWMClass для обеспечения привязки к исполняемому файлу Windows;
Для определения изменений в буфере обмена X11-приложений задействована библиотека Xfixes, вместо периодической проверки буфера; * В компонент RichEdit добавлена поддержка вставки в форме metafile;
Добавлена поддержка Progman DDE (компонент с DDE-сервером для Program Manager);
Активирован по умолчанию HID-сервис для определения устройств с поддержкой PNP;
Для macOS обеспечена поддержка 4 версии протокола вывода уведомлений;
Текст и шрифты
В API Uniscribe добавлена поддержка контекстной замены глифов;
Таблицы символов переведены на использование стандарта Unicode 10;
Поддержка шрифтов приведена к
Обеспечена совместимость со шрифтовым движком FreeType 2.8.1;
DirectWrite
Обеспечена симуляция наклонных и жирных начертаний символов;
Улучшена обработка разрывов строк;
Улучшена отрисовка подчёркиваний
Улучшена поддержка режима работы в оттенках серого;
Улучшена поддержка сглаживания и преобразования шрифтов;
Реализованы методы применения равномерного и пропорционального межстрочного интервала;
Кэш адаптирован для использования в многопоточных приложениях;
Реализована поддержка загрузки файлов шрифтов в память;
D3DX
Улучшена поддержка прешейдеров (preshader);
Добавлена возможность определения в приложениях D3DX 9 движков применения эффектов (ID3DXEffectStateManager);
Реализован пул эффектов для совместного использования параметров между разными эффектами D3DX 9;
Сетевые возможности
В WebServices добавлена поддержка приёма TCP- и UDP-соединений;
В Web Services добавлена поддержка протокола .NET Message Framing Protocol и формата .NET Binary Format, включая расширение для таблиц символов;
В Web Services включена поддержка приёма сообщений в асинхронном режиме;
Переработан код обработчика событий HTML для обеспечения режима соответствия стандарту;
Добавлена поддержка нескольких стандартных HTML API;
В компонент WebBrowser добавлена поддержка файлов MHTML;
Улучшена поддержка встраивания HTML-документов в приложения .NET;
В WinHTTP налажен корректный разбор атрибутов Cookie;
Криптография
Добавлена встроенная реализация криптографических хэшей (вместо использования внешней библиотеки GnuTLS);
Добавлена поддержка симметричного алгоритма блочного шифрования AES;
В список известных сертификатов добавлен корневой сертификат Microsoft от 2011 года;
Дополнительные пакеты с Mono и Gecko теперь проверяются при помощи контрольных сумм SHA256;
Платформа ARM
На системах ARM по умолчанию выставлен ABI 'softfp' для совместимости с исполняемыми файлами Windows;
Добавлена поддержка предварительной загрузки (Preloader) на платформе ARM64;
Добавлена возможность использования режима отладки relay на системах ARM64;
Встроенные приложения
В RegEdit для улучшения совместимости с Windows переработаны функции импорта и экспорта реестра. По умолчанию экспорт осуществляется в формате Unicode. 64-разряные представления в реестре теперь всегда снабжаются 64-разрядными префиксами;
В утилиту Reg.exe добавлены операции импорта и экспорта файлов с реестром;
В командном интерпретаторе добавлена команда MKLINK и обеспечена поддержка экранирования символов в командной строке;
В игре WineMine добавлен вывод диалога подтверждения операции перед сбросом лучших результатов;
Инструменты
В widl (компилятор IDL) обеспечена обработка возвратов функций C++ в виде, совместимом с MSVC;
В компилятор ресурсов (wrc) добавлена возможность преобразования версий ресурсов через po-файлы;
В отладчик (winedbg) добавлена поддержка вывода состояния регистров для SSE и вычислений с плавающей запятой;
Все Perl-скрипты, разбирающие XML, переведены на использование модуля XML::LibXML;
Удалена устаревшая утилита wineinstall;
Разное
В XAudio реализована поддержка звуковых форматов с плавающей запятой с числом каналов более двух;
В C++ runtime добавлена поддержка Scheduler и аналогичных классов;
В ODBC добавлена поддержка установки драйвера SQL;
Добавлена поддержка каталога ProgramData;
В движок Mono перенесены исправления из основного проекта и добавлена поддержка второй версии API профилирования;
В отладочных трассировках обеспечено отображение идентификатора потока;
Новые зависимости
В число зависимостей включена библиотека krb5, используемая в Kerberos Authentication Package;
Для получения уведомления об изменении содержимого буфера обмена задействована библиотека XFixes."
(ц)


15
Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Цитировать
Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 237 уязвимостей, в том числе в некоторые продукты внесены исправления для блокирования атак Spectre и Meltdown.

В выпусках Java SE 8u161/8u162 и 9.0.4 устранена 21 проблема с безопасностью. 18 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям присвоен уровень опасности 8.3, критических проблем с CVSS Score 9 и выше в этот раз не выявлено. 7 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

22 уязвимости в MySQL (максимальный уровень опасности 7.5), из которых 3 позволяют выполнить атаку удалённо без прохождения аутентификации. Проблемы устранены в выпусках MySQL Community Server 5.7.21, 5.6.39 и 5.5.59.
12 уязвимостей в VirtualBox (максимальная степень опасности 8.8). В том числе добавлена защита от проведения атаки Spectre. Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.2.6 и 5.1.32.
5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP).
Новость на Opennet.

Страницы: [1] 2 3 ... 6