Se confirma la tendencia, más o menos. La semana pasada, WineHQ lanzó la primera RC de la séptima actualización mayor de su software para emular software de Windows en otros sistemas operativos, e hizo como en las versiones que lanza cada dos semanas, es decir, nos facilitó una lista con cientos de cambios. Este viernes, el equipo de desarrolladores ha lanzado WINE 7.0-rc2, y la nota de este lanzamiento tampoco es tan «tacaña» como las que publicaban ahora hace un año.

Aún así, ya que están en la congelación de funciones, WineHQ dice que han corregido 34 bugs e introducido muchos menos retoques, un total de 74 cambios. No destacan nada como digno de mención, ya que en esta fase del desarrollo ya no se introducirán funciones nuevas y todo el trabajo que van a hacer en las próximas semanas será para corregir lo que hicieron en las anteriores.

WINE 7.0 llegará a principios de 2022

Ya está disponible la versión de desarrollo Wine 7.0-rc2.

Las novedades de esta versión (véase más abajo para más detalles):
– Sólo correcciones de errores, estamos en la congelación del código.

WINE 7.0-rc2 es la segunda Release Candidate de la v7.0 de WINE, la próxima actualización mayor que llegará a principios de 2022. En esta fase del desarrollo, WineHQ lanza una RC cada siete días y, como se lee en la lista de novedades, ya no destacan nada. Para saber los cambios que han introducido, entre los que recordamos que no habrá nuevas funciones, hay que leer la lista de cambios.

WINE 7.0-rc2 ya está disponible desde este y este otro enlace, aunque el segundo tarda algo más de tiempo en estar operativo. El próximo viernes día 24, si no cogen vacaciones por ser nochebuena, lanzarán WINE 7.0-rc3, y la descripción será la misma que la que han facilitado en el anuncio de hoy.

from Linux Adictos https://ift.tt/3e02HxY
via IFTTT

Las instrucciones 3D Now! llegaron a AMD como una extensión multimedia para x86 y que mejoraba el conjunto MMX de Intel, ya que eran unas SIMD que podían manejar datos de coma flotante, además de enteros. El K6-2 de 1998 fue el primer microprocesador donde debutaron. Y desde entonces los principales sistemas operativos han incluido soporte para ellas, incluido Linux.

Cuando Intel creó SSE, similares a 3D Now!, poco a poco las extensiones de AMD fueron teniendo menor relevancia, hasta que finalmente la propia AMD las abandonó y ya no las incorpora en sus últimas microarquitecturas. Por tanto, desde hace unos años, los procesadores de esta firma ya han dejado de usarlas (en el AMD FX Bulldoer de 2011) y el soporte en el kernel Linux se hace cada vez más irrelevante.

Por tanto, para mantener un núcleo Linux más ligero e ir eliminando controladores de hardware antiguo y este tipo de código, ahora se eliminará del kernel Linux 5.17. Después de 24 años, ya es hora de que vayan dejando paso a otro código más actual y necesario. De hecho, no solo se van a eliminar estas, sino que se van a llevar a cabo algunas otras remodelaciones para hacer que el kernel funcione mejor.

Eliminar el código de soporte para el set de instrucciones multimedia 3D Now! de AMD supondrá eliminar nada menos que 500 líneas de código que han estado allí durante décadas. No son demasiadas si se comparan con otras partes mucho más monstruosas, pero es un «vacío» bastante relevante.

Ahora solo falta esperar a la versión final del kernel Linux 5.17 y ver qué otras sorpresas guarda, ya que no será lo único que se modifique para esta versión ni muchísimo menos… Se esperan correcciones, más drivers, optimizaciones del código ya existente, mejoras del rendimiento en la pila TCP de red, y un largo etc.

from Linux Adictos https://ift.tt/3sfRQrW
via IFTTT

El soporte para ciertos componentes gaming y de modding no estaban demasiado bien en plataformas GNU/Linux. Sin embargo, poco a poco se han ido agregando y mejorando los controladores para estos dispositivos, y proyectos como OpenRazer permiten facilitar la vida a los usuarios con dispositivos de la marca Razer.

Ahora llega OpenRazer 3.2.0, que permitirá que nuevos dispositivos Razer sin soporte oficial ahora puedan funcionar perfectamente en Linux. Las mejoras aportadas en esta versión de OpenRazer, combinados con la aplicación con GUI Polychromatic, resulta de lo más práctica y fácil de gestionar, con multitud de funciones de control de las que antes solo gozaban los usuarios de Windows.

Estos productos Razer son de los más aclamados en el mundo gaming, aunque también son bastante caros. Pero ofrecen grandes prestaciones para este tipo de usos.

En cuanto a las novedades de OpenRazer 3.2.0, las más relevantes son:

• Soporte para dispositivos Razer Blade 14 (2021).
• Agrega soporte para el Razer BlackWidow V3 Mini Hyperspeed.
• Razer Blade Pro 17 (2020) ahora tiene soporte.
  
• Razer Blade 17 Pro (2021) es compatible.
  
• Soporte para Razer BlackWidow V3.
• Controladores para Razer Thunderbolt 4 Dock Chroma.
• Compatibilidad para el Razer Viper de 8 kHz.
• Razer Blade 15 Base (2021) compatible con Linux.
  
• Incluye soporte para Razer BlackWidow V3 Pro (con cable).
• Y también el Razer DeathAdder Essential (2021) está ahora soportado.
  

Y no solo eso, también se han incorporado otras mejoras a OpenRazer, así como algunas correcciones de bugs o errores de los controladores que generaban algunos problemas a los usuarios y ya deberían estar eliminadas.

Por supuesto, creo que sobra decir que OpenRazer es gratuito y de código abierto. Y si te interesa, puedes visitar su sitio web. Y todo para que multitud de modelos de ratones, teclados, portátiles, keypads, auriculares gaming, y otros productos de Razer, sean compatibles y se pueda controlar parámetros como la iluminación RGB, etc.

from Linux Adictos https://ift.tt/3p3Co08
via IFTTT

Es lo que tiene esta distribución. Lo mismo se pasa casi un mes sin lanzar una versión estable que nos entrega una actualización seis días después de la anterior. Esta mañana han lanzado Manjaro 2021-12-16, una actualización sin muchas novedades destacadas, pero sí dos dignas de mención. Una de ellas es que la edición KDE ha recibido KDE Gear 21.12.0, la actualización de diciembre del set de aplicaciones del proyecto. La otra no es muy grande, pero sí importante.

Y es que el pasado día 6 The Document Foundation lanzó las actualizaciones LibreOffice 7.2.4 y 7.1.8 que sólo introducían una corrección de seguridad. TDF creyó que era lo suficientemente importante como para lanzar una nueva versión de su suite, y probablemente esto haya tenido algo que ver en que Manjaro 2021-12-16 se haya lanzado tan pronto. De hecho, al lanzar la actualización del día 10 hubo usuarios que mencionaban que la versión de LibreOffice incluida llegaba con el fallo de seguridad.

Novedades más destacadas de Manjaro 2021-12-16

• Se actualizaron algunos de los Kernels. 5.13 y 5.14 ya han llegado al final de su ciclo de vida, y Linux 5.13 ni siquiera está disponible.
• Se realizaron más cambios en el tema Breath.
• KDE Gear está ahora en 21.12.0.
• Thunderbird se renovó a 91.4.0.
• @Yochanan trabajó en la racionalización de las anulaciones de Manjaro en las extensiones y ajustes de GNOME. Los usuarios de esta edición deben asegurarse de reiniciar Gnome Shell o cerrar la sesión antes de informar de cualquier problema.
• LibreOffice se renovó a 7.1.8 y 7.2.4, que incluyen importantes correcciones de seguridad.
• Algunas actualizaciones a Deepin.
• Otras actualizaciones regulares de Upstream.

Manjaro 2021-12-16 es una actualización estable, lo que significa que está disponible para actualizar desde el mismo sistema operativo, bien desde el centro de software Pamac o con el comando sudo pacman -Syu. La próxima imagen ISO, de hecho ya está disponible la primera Release Candiate, ya será Manjaro 21.2 Qo’nos.

from Linux Adictos https://ift.tt/3mcMVEm
via IFTTT

Durante los últimos dias en la red se ha estado hablando bastante sobre la vulnerabilidad de Log4j en la cual se han descubierto diversos vectores de ataque y que ademas se han filtrado diversos exploits funcionales para poder explotar la vulnerabilidad.

La gravedad el asunto radica que este es un marco popular para organizar el registro en aplicaciones Java, que permite la ejecución de código arbitrario cuando se escribe un valor con formato especial en el registro en el formato «{jndi: URL}». El ataque se puede llevar a cabo en aplicaciones Java que registran valores obtenidos de fuentes externas, por ejemplo, al mostrar valores problemáticos en mensajes de error.

Y es que un atacante realiza una solicitud HTTP en un sistema de destino, que genera un registro usando Log4j 2 que usa JNDI para realizar una solicitud en el sitio controlado por el atacante. Luego, la vulnerabilidad hace que el proceso explotado llegue al sitio y ejecute la carga útil. En muchos ataques observados, el parámetro que pertenece al atacante es un sistema de registro de DNS, destinado a registrar una solicitud en el sitio para identificar sistemas vulnerables.

Tal y como ya compartio nuestro compañero Isaac:

Esta vulnerabilidad de Log4j permite explotar una validación de entrada incorrecta a LDAP, permitiendo ejecución remota de código (RCE), y comprometiendo el servidor (confidencialidad, integridad de datos y disponibilidad del sistema). Además, el problema o importancia de esta vulnerabilidad reside en la cantidad de aplicaciones y servidores que la usan, incluyendo software empresarial y servicios en la nube como Apple iCloud, Steam, o videojuegos tan populares como Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash, y un largo etc.

Hablando sobre el asunto, hace poco la Apache Software Foundation dio a conocer mediante una publicación un resumen de los proyectos que abordan una vulnerabilidad crítica en Log4j 2 que permite que se ejecute código arbitrario en el servidor.

Los siguientes proyectos de Apache se ven afectados: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl y Calcite Avatica. La vulnerabilidad también afectó a los productos de GitHub, incluidos GitHub.com, GitHub Enterprise Cloud y GitHub Enterprise Server.

En los últimos días se ha producido un aumento significativo de la actividad relacionada con la explotación de la vulnerabilidad. Por ejemplo, Check Point registró alrededor de 100 intentos de explotación por minuto en sus servidores ficticios en su punto máximo, y Sophos anunció el descubrimiento de una nueva botnet para la minería de criptomonedas, formada a partir de sistemas con una vulnerabilidad sin parchear en Log4j 2.

En cuanto a la informacion que se ha estado dando a conocer sobre el problema:

• La vulnerabilidad se ha confirmado en muchas imágenes oficiales de Docker, incluidas couchbase, elasticsearch, flink, solr, imágenes de tormenta, etc.
• La vulnerabilidad está presente en el producto MongoDB Atlas Search.
• El problema aparece en una variedad de productos de Cisco, incluidos Cisco Webex Meetings Server, Cisco CX Cloud Agent, Cisco
• Advanced Web Security Reporting, Cisco Firepower Threat Defense (FTD), Cisco Identity Services Engine (ISE), Cisco CloudCenter, Cisco DNA Center, Cisco. BroadWorks, etc.
• El problema está presente en IBM WebSphere Application Server y en los siguientes productos de Red Hat : OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse y AMQ Streams.
• Problema confirmado en Junos Space Network Management Platform, Northstar Controller / Planner, Paragon Insights / Pathfinder / Planner.
• Muchos productos de Oracle , vmWare , Broadcom y Amazon también se ven afectados .

Los proyectos de Apache que no se ven afectados por la vulnerabilidad Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper y CloudStack.

Se recomienda a los usuarios de paquetes problemáticos que instalen urgentemente las actualizaciones publicadas para ellos, actualicen por separado la versión de Log4j 2 o establezcan el parámetro Log4j2.formatMsgNoLookups en verdadero (por ejemplo, agregando la clave «-DLog4j2.formatMsgNoLookup=True» al inicio ).

Para bloquear el sistema es vulnerable al que no hay acceso directo, se sugirió explotar la vacuna Logout4Shell, que, a través de la comisión de un ataque, expone el ajuste de Java «log4j2.formatMsgNoLookups=true», «com.sun.jndi.rmi.object. trustURLCodebase=false » y» com.sun.jndi.cosnaming.object.trustURLCodebase=false «para bloquear más manifestaciones de la vulnerabilidad en sistemas no controlados.

from Linux Adictos https://ift.tt/3m6vDIX
via IFTTT

Hace poco la Fundación Linux dio a conocer mediante una publicación que blog que Intel ha cedido todos los derechos de Cloud Hypervisor, el cual es un hipervisor optimizado para la nube y que ahora estará bajo los auspicios de la Fundación Linux, cuya infraestructura y servicios se utilizarán en el desarrollo futuro.

Las características del proyecto Cloud Hypervisor incluyen conexión en caliente de CPU, memoria y periféricos, soporte para invitados de Windows y Linux, descarga de dispositivos con vhost-user y una huella mínima y compacta.

Con este movimiento por parte de Intel, este hipervisor pasar bajo el ala de la Fundación Linux y aliviará al proyecto de la dependencia de una empresa comercial separada y facilitará la colaboración con participantes externos. Empresas como Alibaba, ARM, ByteDance y Microsoft ya han anunciado su apoyo al proyecto, cuyos representantes, junto con desarrolladores de Intel, formaron una junta que supervisa el proyecto.

Para quienes desconocen de Cloud Hypervisor, deben saber que este proporciona un monitor de máquina virtual (VMM) que se ejecuta sobre KVM y MSHV, escrito en el lenguaje Rust y construido sobre la base de los componentes del proyecto conjunto Rust-VMM , que le permite crear hipervisores para tareas específicas.

“ Cloud Hypervisor ha crecido hasta el punto de estar bajo el gobierno neutral de la Fundación Linux ”, dice Arjan van de Ven, miembro de Intel y patrocinador técnico fundador del proyecto. » Creamos el proyecto para proporcionar un VMM (Virtual Machine Manager) más seguro y actualizado para optimizar las cargas de trabajo en la nube modernas. Con menos modelos de dispositivos y un lenguaje moderno y más seguro.»

El proyecto permite ejecutar sistemas invitados (Linux, Windows) utilizando dispositivos paravirtualizados basados ​​en virtio, el uso de emulación se minimiza. Entre las tareas clave mencionadas se encuentran: alta capacidad de respuesta, bajo consumo de memoria, alto rendimiento, simplificación de la configuración y reducción de posibles vectores de ataque. Existe soporte para migrar máquinas virtuales entre servidores y máquinas virtuales de conexión en caliente con CPU, memoria y dispositivos PCI. Se admiten las arquitecturas x86-64 y AArch64.

“ Las cargas de trabajo en la nube modernas requieren una mayor seguridad, y el proyecto del hipervisor en la nube está diseñado intencionalmente para enfocarse en esta área crítica ”, dijo Mike Dolan, vicepresidente senior y gerente general de proyectos de la Fundación Linux. “ Esperamos apoyar a esta comunidad de proyectos, tanto a medida que comienza a construirse como a poner en marcha las estructuras de gobernanza adecuadas para sustentarla en los próximos años ” .

El proyecto cuenta con el apoyo de Alibaba, ARM, ByteDance, Intel y Microsoft y está representado por los miembros fundadores, incluidos el Sr. van de Ven y KY Srinivasan, vicepresidente de Microsoft, Michael Zhao, ingeniero de ARM Gerry Liu, ingeniero senior de Alibaba y Felix Zhang, ingeniero senior de ByteDance. El proyecto Cloud Hypervisor se centrará inicialmente en la seguridad y el funcionamiento moderno de la nube.

Finalmente, cabe destacar que Cloud Hypervisor se encuentra en su versión 20.0 y en la cual se realizaron los siguientes cambios:

• Para las arquitecturas x86_64 y aarch64, ahora se permiten hasta 16 segmentos PCI, lo que aumenta el número total de dispositivos PCI permitidos de 31 a 496.
• Se implementó la compatibilidad para vincular CPU virtuales a núcleos de CPU físicos (fijación de CPU). Para cada CPU virtual, ahora puede definir un conjunto limitado de CPU de host que se pueden ejecutar, lo que puede ser útil cuando se reflejan directamente (1:1) los recursos de host e invitado o al iniciar una máquina virtual en un nodo NUMA específico.
• Soporte mejorado de virtualización de E/S. Cada región de VFIO ahora se puede asignar a la memoria, lo que reduce la cantidad de cierres de sesión de la máquina virtual y permite un mejor rendimiento de los dispositivos de reenvío a la máquina virtual.
• En el código de Rust, se ha trabajado para reemplazar las secciones inseguras con implementaciones alternativas que se ejecutan en modo seguro. Para el resto de las secciones inseguras, se han agregado comentarios detallados que explican por qué el código inseguro dejado atrás puede considerarse seguro.

Fuente: https://www.linuxfoundation.org/

from Linux Adictos https://ift.tt/3GIRRJ0
via IFTTT

Hace algunos meses compartimos aquí en el blog la noticia sobre la adquisición de Arm por 40.000 millones de dólares por parte de Nvidia y que en su momento pasaría por una revisión para su aprobación dicha compra, pero tal parece que esto de momento no podrá ser posible, ya que la Comisión Federal de Comercio anuncio que emprenderá acciones legales para evitar que se lleve a cabo la fusión, por temor a que las empresas combinadas no repriman las tecnologías de la próxima generación que compiten entre sí.

La demanda se produce después de una investigación de la FTC sobre el acuerdo tras las quejas de Google, Microsoft y Qualcomm poco después de que se anunciara la fusión. A la FTC le preocupa que Nvidia pueda tener acceso a información confidencial de los licenciatarios de Arm que ya compiten con Nvidia, además de disuadir a Arm de trabajar en nuevos productos y diseños que entrarían en conflicto con los propios intereses de Nvidia al aprovecharse de los competidores.

Nvidia es el mayor fabricante de procesadores gráficos y está expandiendo el uso del componente de juegos a nuevas áreas, como el procesamiento de inteligencia artificial en centros de datos y automóviles autónomos y la fusión de sus propias capacidades con las unidades centrales de procesamiento diseñadas por Arm podría permitirle ponerse al día o incluso adelantarse a Intel y Advanced Micro Devices, según Hans Mosesmann, analista de Rosenblatt Securities.

En abril, el gobierno británico decidió intervenir por razones de seguridad nacional. El Secretario de Estado Digital, Oliver Dowden, «emitió un Aviso de Intervención de Interés Público (PIIN) con respecto a la venta propuesta de Arm a NVIDIA».

Con ello la Comisión Federal de Comercio ha presentado una demanda para bloquear la adquisición de Arm por parte de Nvidia:

«El acuerdo vertical propuesto le daría a una de las mayores empresas de chips el control de la tecnología y los diseños informáticos. en los que las empresas rivales confían para desarrollar sus propios chips competidores. La queja de la FTC alega que la empresa combinada tendría los medios y los incentivos para sofocar las tecnologías innovadoras de próxima generación, incluidas las que se utilizan para administrar los centros de datos y los sistemas de asistencia al conductor en los automóviles.

«La FTC lanza una demanda para bloquear la fusión de chips semiconductores más grande de la historia para evitar que el conglomerado de chips ahogue la línea de innovación para las tecnologías de próxima generación», dijo Holly Vedova, directora de la oficina de competencia de la FTC, en un comunicado. “Las tecnologías del mañana dependen de la preservación de los mercados de chips avanzados y competitivos de hoy. Este acuerdo propuesto distorsionaría los incentivos de Arm en los mercados de chips y permitiría a la compañía combinada socavar injustamente a los competidores de Nvidia. La queja de la FTC debería enviar una fuerte señal de que actuaremos de manera agresiva para proteger nuestros mercados de infraestructura crítica contra las fusiones verticales ilegales que tienen efectos dañinos y de gran alcance sobre las innovaciones futuras. «

Dado que la tecnología de Arm es un insumo esencial que permite la competencia entre Nvidia y sus competidores en varios mercados, la demanda alega que la fusión propuesta le daría a Nvidia la capacidad y el incentivo para usar su control de esta tecnología para socavar a sus competidores, reduciendo así la competencia y lo que en última instancia resulta en una reducción de la calidad del producto, una reducción de la innovación, precios más altos y menos opciones, lo que perjudica a los millones de estadounidenses que se benefician de los productos basados ​​en Arm.

Según la denuncia, la adquisición dañará la competencia en tres mercados globales en los que Nvidia compite mediante el uso de productos basados ​​en Arm:

• sistemas avanzados de asistencia al conductor de alto nivel para turismos. Estos sistemas proporcionan funciones de conducción asistidas por computadora, como cambio de carril automático, mantenimiento de carril, entrada y salida de la autopista y prevención de colisiones.
• DPU SmartNIC, que son productos de redes avanzados que se utilizan para aumentar la seguridad y la eficiencia de los servidores del centro de datos
• Procesadores basados ​​en arm para proveedores de servicios de computación en la nube. Estos productos nuevos y emergentes aprovechan la tecnología de Arm para satisfacer las necesidades de rendimiento, eficiencia energética y personalización de los centros de datos modernos que brindan servicios de computación en la nube.

La demanda también alega que la adquisición dañará la competencia al darle a Nvidia acceso a la información competitiva sensible de los licenciatarios de Arm, algunos de los cuales son competidores de Nvidia, y que probablemente reducirá el incentivo para que Arm busque innovaciones que se perciba que entran en conflicto con Intereses comerciales de Nvidia.

Hoy en día, los licenciatarios de Arm, incluidos los competidores de Nvidia, comparten regularmente información sensible de la competencia con Arm. Los licenciatarios confían en Arm para recibir asistencia en el desarrollo, diseño, pruebas, depuración, resolución de problemas, mantenimiento y mejora de sus productos, según la denuncia. Los licenciatarios de Arm comparten su información competitiva sensible con Arm porque Arm es un socio neutral, no un fabricante de chips rival. Es probable que la adquisición resulte en una pérdida crítica de confianza en Arm y su ecosistema, según la denuncia.

También es probable que la adquisición perjudique la competencia de innovación al eliminar las innovaciones que Arm habría perseguido sin entrar en conflicto con los intereses de Nvidia. La empresa fusionada tendría menos incentivos para desarrollar o activar nuevas funciones o innovaciones beneficiosas si Nvidia determina que es probable que dañen a Nvidia, según la denuncia.

Fuente: https://www.ftc.gov/

from Linux Adictos https://ift.tt/3yzgPaN
via IFTTT

Hace poco se dio a conocer el lanzamiento de la nueva version del sistema de síntesis de voz abierto RHVoice 1.6.0, el cual fue inicialmente desarrollado para proporcionar soporte de alta calidad para el idioma ruso, pero luego adaptado para otros idiomas, incluidos inglés, portugués, ucraniano, kirguís, tártaro y georgiano.

Para quienes desconocen de RHVoice, les puedo decir que este proyecto utiliza los desarrollos del proyecto HTS (Sistema de Síntesis de Voz basado en HMM / DNN) y un método de síntesis paramétrica con modelos estadísticos (Síntesis Paramétrica Estadística basada en HMM – Modelo Oculto de Markov).

Las ventajas del modelo estadístico son los bajos costos generales y la baja demanda de energía de la CPU. Todas las operaciones se realizan localmente en el sistema del usuario. Se admiten tres niveles de calidad de voz (cuanto menor es la calidad, mayor es el rendimiento y menor es el tiempo de respuesta).

La desventaja del modelo estadístico es la calidad relativamente baja de la pronunciación, que no alcanza el nivel de los sintetizadores que generan el habla a partir de una combinación de fragmentos de habla natural, pero sin embargo el resultado es bastante legible y se asemeja a una emisión desde un altavoz. A modo de comparación, el proyecto Silero, que proporciona un motor abierto para la síntesis de voz basado en tecnologías de aprendizaje automático y un conjunto de modelos para el idioma ruso, es superior en calidad a RHVoice.

Hay 13 voces disponibles para el idioma ruso y las voces se forman sobre la base de grabaciones de voz natural. En la configuración, puede cambiar la velocidad, el tono y el volumen.

La biblioteca de Sonic se puede utilizar para cambiar el tempo . Es posible detectar y cambiar automáticamente el idioma basándose en el análisis del texto de entrada (por ejemplo, para palabras y citas en otro idioma, se puede utilizar el modelo de síntesis nativo del idioma dado). Se admiten perfiles de voz, que definen combinaciones de voz para diferentes idiomas.

El código está escrito en C++ y se distribuye bajo la licencia LGPL 2.1, ademas de que el sistema es admitido en GNU/Linux, Windows y Android. El programa es compatible con las interfaces típicas TTS (texto a voz) para convertir texto a voz: SAPI5 (Windows), Speech Dispatcher (GNU/Linux) y API de Android Text-To-Speech, pero también se puede utilizar en la pantalla NVDA.

Principales novedades de RHVoice 1.6.0

En esta nueva version del sistema se destaca como novedad principal que se agregan 5 nuevas voces para el habla rusa, ademas de que se ha implementado el apoyo al idioma albanés.

Otro de los cambios que se destaca de esta nueva version es que el diccionario fue actualizado para el idioma ucraniano y que el soporte se ha ampliado para expresar caracteres emoji.

Tambien se destaca el trabajo que se realizó en la corrección de errores en la aplicación de la plataforma Android, se simplificó la importación de diccionarios personalizados y se agregó el soporte para la plataforma Android 11.

Por otra parte, tambien podremos encontrar que se agregaron nuevas configuraciones y funcionalidades al núcleo del motor, incluidos g2p.case, word_break y compatibilidad con filtros de ecualización.

Finalmente si estás interesado en poder conocer más al respecto de esta nueva version, puedes consultar los detalles en el siguiente enlace.

Descargar RHVoice

Para aquellos que estén interesados en poder descargar este sistema de síntesis de voz, pueden obtener los paquetes de instalación desde el siguiente enlace.

Ademas se menciona en el anuncio de esta nueva version que para los usuarios de Android que cuenten con RHVoice ya está instalado en su dispositivo, este se actualizará automáticamente, si las actualizaciones automáticas están habilitadas, por lo que no hau necesidad de tener que hacer el proceso manualmente.

En el caso de tener las actualizaciones deshabilitadas y quieren tener la nueva version pueden activar la funcion de buscar actualizaciones manualmente.

Tan pronto como la RHVoice actualizada se ejecute de nuevo, intentará descargar los datos del nuevo idioma. Cuando se descargan los nuevos datos, RHVoice comenzará a usarlos.

from Linux Adictos https://ift.tt/3ISUJou
via IFTTT

Hace algunos dias investigadores de Checkpoint dieron a conocer la noticia de que han identificado tres vulnerabilidades (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) en el firmware de los chips DSP de MediaTek, así como una vulnerabilidad en la capa de procesamiento de audio de MediaTek Audio HAL (CVE- 2021-0673). En caso de una explotación exitosa de las vulnerabilidades, un atacante puede organizar la escucha clandestina del usuario desde una aplicación sin privilegios para la plataforma Android.

En 2021, MediaTek representa aproximadamente el 37% de los envíos de chips especializados para teléfonos inteligentes y SoC (según otros datos, en el segundo trimestre de 2021, la participación de MediaTek entre los fabricantes de chips DSP para teléfonos inteligentes fue del 43%).

Entre otras cosas, los chips MediaTek DSP se utilizan en los teléfonos inteligentes insignia de Xiaomi, Oppo, Realme y Vivo. Los chips MediaTek, basados ​​en el microprocesador Tensilica Xtensa, se utilizan en teléfonos inteligentes para realizar operaciones como procesamiento de sonido, imágenes y video, en computación para sistemas de realidad aumentada, visión por computadora y aprendizaje automático, así como para implementar carga rápida.

La ingeniería inversa del firmware para los chips DSP de MediaTek basados ​​en la plataforma FreeRTOS reveló varias formas de ejecutar código en el lado del firmware y obtener control sobre las operaciones DSP mediante el envío de solicitudes especialmente diseñadas desde aplicaciones sin privilegios para la plataforma Android.

Se demostraron ejemplos prácticos de ataques en un Xiaomi Redmi Note 9 5G equipado con MediaTek MT6853 SoC (Dimensity 800U). Se observa que los OEM ya han recibido correcciones de vulnerabilidades en la actualización de firmware de octubre de MediaTek.

El objetivo de nuestra investigación es encontrar una forma de atacar el DSP de audio de Android. Primero, debemos comprender cómo se comunica Android que se ejecuta en el procesador de aplicaciones (AP) con el procesador de audio. Obviamente, debe haber un controlador que espere las solicitudes del espacio de usuario de Android y luego, utilizando algún tipo de comunicación entre procesadores (IPC), reenvíe estas solicitudes al DSP para su procesamiento.

Usamos un teléfono inteligente Xiaomi Redmi Note 9 5G rooteado basado en el chipset MT6853 (Dimensity 800U) como dispositivo de prueba. El sistema operativo es MIUI Global 12.5.2.0 (Android 11 RP1A.200720.011).

Como solo hay unos pocos controladores relacionados con los medios presentados en el dispositivo, no fue difícil encontrar el controlador responsable de la comunicación entre el AP y el DSP.

Entre los ataques que se pueden llevar a cabo ejecutando su código a nivel del firmware del chip DSP:

• Escalada de privilegios y omisión del sistema de control de acceso: captura invisible de datos como fotos, videos, grabaciones de llamadas, datos de un micrófono, GPS, etc.
• Denegación de servicio y acciones maliciosas: bloquear el acceso a la información, deshabilitar la protección contra sobrecalentamiento durante la carga rápida.
• Ocultar actividad maliciosa: crear componentes maliciosos completamente invisibles e indelebles que se ejecutan a nivel de firmware.
• Adjuntar etiquetas para espiar a un usuario, como agregar etiquetas sutiles a una imagen o video para luego vincular los datos publicados al usuario.

Los detalles de la vulnerabilidad en MediaTek Audio HAL aún no se han revelado, pero las otras tres vulnerabilidades en el firmware DSP son causadas por una verificación de borde incorrecta al procesar mensajes IPI (Inter-Processor Interrupt) enviados por el controlador de audio audio_ipi al DSP.

Estos problemas permiten provocar un desbordamiento de búfer controlado en los manejadores proporcionados por el firmware, en los que la información sobre el tamaño de los datos transmitidos se tomó de un campo dentro del paquete IPI, sin verificar el tamaño real asignado en la memoria compartida.

Para acceder al controlador durante los experimentos, usamos llamadas ioctls directas o la biblioteca /vendor/lib/hw/audio.primary.mt6853.so, que son inaccesibles para las aplicaciones regulares de Android. Sin embargo, los investigadores encontraron una solución para enviar comandos basados ​​en el uso de opciones de depuración disponibles para aplicaciones de terceros.

Los parámetros especificados se pueden cambiar llamando al servicio de Android AudioManager para atacar las bibliotecas HAL de MediaTek Aurisys (libfvaudio.so), que proporcionan llamadas para interactuar con el DSP. Para bloquear esta solución, MediaTek eliminó la capacidad de usar el comando PARAM_FILE a través de AudioManager.

Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/30ARsJq
via IFTTT

Está claro que ningún sistema es perfecto y no está exento de ser vulnerado y por muy seguro que diga ser, siempre existirá la manera en la que se pueda acceder a este y ejemplo bastante burdo de ello es sobre el método que diseñaron el año pasado en el cual era posible poder conocer la información de un ordenador que apresar de estar desconectado de la red, con el simple hecho del sonido emitido por los ventiladores, se podía vulnerar.

Y bueno, hablado sobre ello hace poco se dió a conocer el informe anual «Hacker-Powered Security: Industry Insights» de HackerOne muestra que los piratas informáticos éticos identificaron más de 66.000 vulnerabilidades válidas el año pasado.

Para quienes desconocen de HackerOne, una plataforma global de seguridad colaborativa y está ha revelado que los hackers éticos han informado de más de 66.000 vulnerabilidades válidas este año, un 20% más que en 2020.

La seguridad colaborativa es una práctica en crecimiento, particularmente sostenida por un aumento muy significativo en las campañas de pentest (+ 264%). La pandemia ha resultado en una aceleración de la transformación digital y la migración a la nube, exponiendo a las organizaciones a más vulnerabilidades a medida que las superficies de ataque se expanden y los servicios continúan subcontratando.

El informe anual de información de la industria proporciona información de la base de datos de programas de errores y vulnerabilidades más grande del mundo
Generosidad. Nos dice este año que la cantidad de bonificaciones pagadas a los piratas informáticos por la detección de vulnerabilidades críticas va en aumento, y las organizaciones priorizan los errores de mayor impacto.

Las empresas también son más rápidas que nunca en la gestión y solución de vulnerabilidades, ya que estos temas se están convirtiendo en importantes problemas comerciales.

El informe finalmente revela las 10 vulnerabilidades más reportadas, proporcionando una comprensión de cómo priorizar los esfuerzos para remediar las vulnerabilidades y qué vulnerabilidades son más valiosas.

Chris Evans, CISO y recientemente nombrado Director de Hacking de HackerOne comenta:

«Hoy en día, incluso las organizaciones más conservadoras reconocen el valor agregado de la perspectiva externa que aportan los hackers eticos. Por ejemplo, estamos observando un fuerte crecimiento en las prácticas de seguridad colaborativas entre los actores financieros. Medir y cuantificar el riesgo es su actividad principal, y se dan cuenta de que el riesgo es menor cuando se trabaja con piratas informáticos. Nuestros clientes confían en los datos de informes de vulnerabilidad a lo largo de sus ciclos de desarrollo de software. Por lo tanto, pueden detectar fallas antes y corregirlas de forma económica «.

A continuación se muestran algunos hallazgos clave del informe:

La seguridad colaborativa continúa aumentando con un aumento del 34% en el número de programas de seguridad que involucran a hackers éticos en 2021.

Todas las industrias son parte de esta tendencia, incluidas las industrias más críticas, más tradicionalmente conservadoras.

En el sector financiero en particular, los programas de seguridad colaborativa aumentaron en un 62%. En el sector público, estas prácticas se han incrementado en un 89%, impulsadas por instituciones emblemáticas como el Ministerio de Defensa de Reino Unido o la agencia GovTech en Singapur.

Los hackers informaron un 20% más de vulnerabilidades que en 2020. Si bien la recompensa de errores tradicional experimentó un aumento del 10%, los programas de divulgación de vulnerabilidades (VDP) experimentaron un aumento del 47% y los informes de pruebas de penetración (pentests) aumentaron en un 264%.

El precio medio de una recompensa por encontrar una vulnerabilidad crítica aumentó en un 20%, de $ 2500 a $ 3000 en 2021. La cantidad promedio de una recompensa aumentó en un 13% para una vulnerabilidad crítica y un 30% para una vulnerabilidad muy crítica.

Durante el último año, el tiempo medio de resolución ha disminuido un 19%, de 33 días a 26,7 días, ya que algunos sectores como el retail y el comercio electrónico han visto caer el tiempo de resolución en más de 50 días.%.

El error más reportado en HackerOne sigue siendo Cross Site Scripting, sin embargo, otros tipos de errores han experimentado un aumento significativo desde 2020. La divulgación de información ha aumentado en un 58% y los errores de lógica empresarial han experimentado un aumento del 67%, lo que les da por primera vez un lugar en el Top 10.

Finalmente si estás interesado en conocer más al respecto puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/3F1AIKg
via IFTTT