Tag-Archive for » Entwickler «

Editor Vim 8.0 veröffentlicht

VimNach mehr als zehn Jahren haben die Entwickler des Editors Vim (Vi IMproved) jetzt die neue Hauptversion Vim 8.0 veröffentlicht.

Neu in Vim 8.0 sind Features wie die asynchrone Ein- und Ausgabe über sogenannte Channels für die Kommunikation zwischen Vim und externen Prozessen über Pipes und Sockets, Partials – also Funktionsreferenzen mit vorgegebenen Argumenten. Außerdem sind Fenster-IDs neu hinzugekommen, ebenso die drei Vimscript-Datentypen Special, Job und Channel, und darüber hinaus assert-Funktionen für Style-Tests.

Viele der Änderungen betreffen Plugin-Entwickler. Weil neu entwickelte Plug-ins bei bestimmten Funktionen nicht mit den älteren Versionen des Editors laufen können, wurde beschlossen, mit dem neuen Release einen großen Versionssprung zu vollziehen.

Zu den neuen Fähigkeiten des Editors gehört auch, dass Lua jetzt als benutzbare Skriptsprache aufgenommen wurde. Auch die Unterstützung für Lambda-Funktionen bzw. Closures haben die Entwickler mit Vim 8.0 erweitert. So gibt es unter anderem inzwischen mit test-functions eine passende Umgebung, um Funktionen und Skripte testen zu können

Weiterführende Informationen zum neuen Release gibt es in der Dokumentation.

Sicherheitsupdates für Ruby on Rails

rubyDas Entwickler-Team von Rails hat jetzt Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht. Die Updates mit den Versionsnummern 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View.

Über diese Sicherheitslücke waren Angriffe möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Das wird immer dann zum Problem, wenn Programme Benutzereingaben ohne weitere Überprüfung übernehmen wie bei dem nach folgendem Beispiel aus dem Bericht zu der als CVE-2016-6316 (Common Vulnerabilities and Exposures) markierten Schwachstelle:

content_tag(:div, "hi", title: user_input.html_safe)

Der Bericht weist auch darauf hin, dass einige der Helper-Funktionen wie beispielsweise sanitize Strings bei der Weitergabe als html_safe markieren und dadurch auch betroffen sind. Neben dieser Schwachstelle, die in allen Hauptversionen von 3 bis 5 zu finden sind, gibt es noch ein weiteres Problem, das nur die 4.2.x-Serie betrifft.

Das ist zwar weniger kritisch, erlaubt aber das Ausführen einerIS NULL-Abfrage durch das Einfügen eines [nil]-Wertes innerhalb eines Requests. Der CVE-2016-6317-Bericht weist darauf hin, dass Angreifer so keine beliebigen Werte in SQL-Abfragen einfügen, sondere nur nach NULL-Werten suchen oder WHERE-Bedingungen entfernen wollen und können.

Deshalb raten die Entwickler dringend zur Aktualisierung von Ruby on Rails. Weiterführende Informationen und die Checksummen der Updates finden Sie in der offiziellen Bekanntmachung.

Android Studio 2.0 für Entwickler

AndroidStudioEmulatorSchon vor seiner I/O-Konferenz im Mai hat Google soeben die nächste Version seiner Entwicklungsumgebung (IDE) für Android-Apps,  Android Studio Version 2.0, veröffentlicht.

Die merklich überarbeitete IDE basiert immer noch auf JetBrains‘ Java-Entwicklungsumgebung IntelliJ IDEA, und zwar auf der Version 15, und steht kostenlos zum Download für die Betriebssysteme Windows, OS X und Linux zur Verfügung.

Im neuen Release 2.0 finden sich viele Neuerungen, die im Wesentlichen die Produktivität verbessern. Weitergehende Details dazu finden Sie in einem Artikel bei Heise.

Build 2016: Ubuntu läuft unter Windows 10

UbuntuBashWin10Ein neues Windows-Subsystem erlaubt es, ein Linux-System unter dem Betriebssystem Windows 10 von Microsoft zu starten, ohne dafür eine Virtualisierungslösung nutzen zu müssen.

Bei einer Präsentation auf der Messe Build 2016 zeigte Microsoft als erste Anwendung des Gemeinschaftsprojektes mit Ubuntu-Hersteller Canonical die Bash- Shell, die unter diesem Linux-System läuft. Die Bash sei zu diesem Zweck nicht etwa cross-kompiliert worden, sondern laufe nativ in dem Ubuntu, unterstrich Microsoft. Der Linux-Editor Emacs wurde ebenfalls in dieser Umgebung vorgeführt.

Dieses Angebot richtet sich wohl vor allem an Web-Entwickler – warum sollte sich auch Normaluser die monochrome Kommandozeilenklempnerei unter Linux antun…

Chrome 49 schließt 26 Sicherheitslücken

Chrome-LogoHersteller Google hat gerade eine neue Version seines Browsers Chrome 49 zum Download bereitgestellt. Chrome 49 korrigiert viele Fehler und enthält zusätzlich auch neue Funktionen für Entwickler.

Hauptsächlich stopft das Update aber 26 Sicherheitslücken. Von mindestens acht der Anfälligkeiten geht ein hohes Risiko für Benutzer und Rechner aus. Angreifer könnten Schadcode einschleusen und auch ausführen.

Nutzer, die Chrome schon installiert haben, erhalten das Update automatisch – allerdings erst nach einem Neustart des Programms. Chrome 49 für Windows, Mac OS X und Linux kann alternativ auch von der Google-Website geladen werden.

Schwerwiegende Sicherheitslücke in Linux-Systemen

linuxAdministratoren von Linux-Systemen haben jetzt eine Sorge mehr: Mit gezielten DNS-Antworten lässt sich nämlich unter Umständen die Namensauflösung der Glibc-Bibliothek dazu mißbrauchen, unauthorisiert fremden Code auszuführen. Glibc ist die normalerweise auf Linux-Systemen genutzte Standard-C-Bibliothek.

Zu dem Problem schreibt das Sicherheitsteam von Google, dass es die Lücke eher zufällig gefunden habe, weil der SSH-Client eines Entwicklers des Konzerns mehrfach abgestürzt sei, wenn er versucht habe, sich mit einem bestimmten Host zu verbinden.

Die genauere Analyse habe dann ergeben, dass der Fehler nicht etwa wie zunächst vermutet in SSH, sondern in der Glibc-Bibliothek des Systems aufgetreten sei.

Dann stellten die Google-Entwickler fest, daß der Fehler im Bugtracker der Glibc schon eingetragen war, allerdings ging daraus nicht hervor, dass es sich um eine kritische Lücke handelte. Weitere technische Details zu diesem ernsten Linux-Problem finden Sie bei Golem.

Firefox 44 mit Videochat und besseren Fehlermeldungen

firefox-logoBisher wurde die Medienunterstützung für HTML5-Videos im Mozillas Browser Firefox je nach genutztem Codec und offiziell nur  getestet.

Mit der soeben veröffentlichten Version 44 von Mozillas  Browsers ist das aber inzwischen abgeschlossen. Firefox 44 nutzt jetzt als Voreinstellung den System-Dekoder für H.264, wenn er verfügbar ist. Macht das Probleme, wird stattdessen die Nutzung des freien Codec VP9 und des WebM-Containers aktiviert.

Verschönert wurden die Warnhinweise und Fehlermeldungen im Zusammenhang mit Zertifikaten und Verbindungen. Statt der bisher genutzten eher allgemeinen Texte mit schwer zu deutenden Symbolen zeigt der Firefox jetzt kurze und klare Fehlermeldungen in unaufdringlichem Design an.

Schon seit mehr als einem Jahr testet Mozilla seine Implementierung des WebRTC-Standards mit seinem eigenen, in den Browser eingebauten Videochat „Hello“. Wie man den Neuerungen für Entwickler entnehmen kann, hat Mozilla bei Firefox 44 die Hersteller-Präfixe seiner Implementierung von WebRTC jetzt entfernt. Das heißt also, dass die Implementierung jetzt standardkonform sein sollte. Deshalb ist der Hello-Client wohl auch nicht mehr als Beta-Version gekennzeichnet.

Google schaltet 5 APIs ab

google-chromeWer eine dieser fünf APIs zur Video- und Bildersuche von Google benutzt, muß seine Funktionen jetzt von dem Javascript-Interface auf die Custom Search API umstellen:

Das Abschalten dieser APIs kündigte Vijay Subramani, Technical Program Manger der Google Cloud Platform, auf dem Entwickler-Blog des Unternehmens für den 15. Februar an.

Sicherheitsupdates für libpng

LibPngSchlechte Nachrichten für Entwickler, die die beliebte freie Programmbibliotheklibpng zur Verarbeitung von PNG-Grafiken nutzen. Die Bibliothek ist verwundbar, denn über die Sicherheitslücke CVE-2015-8126 könnten Angreifer die Versionen bis 1.0.63, 1.2.53, 1.4.16, 1.5.23 und 1.6.18 attackieren und Programme über DoS-Attacken abstürzen lassen. Abgedichtete Versionen sind auf der Projektseite schon verfügbar.

Die Angriffe sollen nach Angaben der Entwickler über einen Pufferüberlauf möglich sein. Dabei überprüfe libpng PNG-Dateien mit einer geringeren Bittiefe als acht nicht wirklich korrekt. Der Exploit dazu soll vergleichsweise einfach zu nutzen sein. Über gezielte Angriffe ist derzeit aber noch nichts bekannt.

Update: SSH-Client PuTTY 0.66

puttyDer SSH-Client PuTTY ist unter Windows ziemlich beliebt, zum Beispiels für SSH-Verbindungen mit einem Server im Internet. Die neue Version 0.66 schließt insbesondere eine seit Version 0.54 vorhandene Sicherheitslücke im Terminal-Emulator.

Die Version 0.66, die der Entwickler Simon Tatham soeben veröffentlicht hat, ist aber kein reiner Sicherheitsupdate – sie bringt auch ein paar kleinere Bugfixes beispielsweise für das neue Microsoft-Betriebssystem Windows 10 und Funktionserweiterungen wie zusätzliche Kommandozeilenoptionen mit.