На соревновании Pwn2Own Automotive 2026 продемонстрировано 66 уязвимостей автомобильных систем

Суммарный размер выплаченных вознаграждений составил 955 тысяч долларов США. Наиболее успешная команда Fuzzware.io сумела заработать на соревнованиях 213 тысячи долларов США. Обладатели второго места (Team DDOS) получили 95 тысяч долларов, а третьего (Synacktiv) - 85 тысяч долларов.

В ходе соревнований продемонстрированы следующие атаки:

• Взлом окружения на базе дистрибутива Automotive Grade Linux ($4000 за эксплуатацию цепочки из трёх уязвимостей, связанных с чтением из области вне буфера, исчерпанием свободной памяти и переполнением буфера).
• 12 взломов информационно-развлекательной системы на базе платформы Alpine iLX-511 ($20000, 2 по $10000 и $5000 за эксплуатацию уязвимостей, приводящих к переполнению буфера; $10000, 2 по $5000 и 4 по $2500 за уязвимость, позволяющую получить доступ к опасному методу; $10000 за уязвимость, приводящую к подстановке команд).
• 12 взломов информационно-развлекательной системы Kenwood DNR1007XR ($20000 и $10000 за уязвимости, вызванные переполнением буфера; $8000 за эксплоит, использующий ранее известную, но не устранённую проблему с жёстко прописанными учётными данными, в сочетании с некорректными правами доступа к важному ресурсу и уязвимостью, приводящую к подстановке команд; $4000 за эксплоит, использующий ранее известные, но не устранённые проблемы с состоянием гонки и некорректными правами доступа; $8000 и 3 по $2500 за эксплуатацию уже известной уязвимости, оставшейся неисправленной; $8000 за эксплуатацию цепочки из 3 уязимостей - жёстко прописанные учётными данными, некорректно выставленные права доступа и отсутствие проверки символической ссылки; $6000, $5000 и $4000 за уязвимости, приводящие к подстановке команд).
• 4 взлома информационно-развлекательной системы Sony XAV-9500ES ($20000 за эксплоит, использующий цепочку из трёх ошибок; 3 по $10000 за эксплуатацию выхода за границу буфера).
• Взлом информационно-развлекательной системы автомобиля Tesla при подключении через USB-порт ($35000 за эксплоит, использующий утечку информации и переполнение буфера).
  
  
  
• 10 взломов зарядной станции Grizzl-E Smart 40A ($40000 за выявление жёстко прописанных в прошивке учётных данных и отсутствие проверки целостности загружаемого кода; $25000 и $10000 за уязвимость, приводящую к обходу аутентификации; $10000 за уязвимость, приводящую к переполнению буфера; $22500, $20000, 3 по $15000 и $5000 за эксплоиты, использующие цепочки из 3 или 2 ошибок).
• 7 взломов зарядной станции Phoenix Contact CHARX SEC-3150 ($50000 за эксплоит, использующий подстановку команд и состояние гонки; $50000, $20000 $19250 и $6750 за эксплоиты, использующие цепочки из 3, 5 и 6 ошибок; $20000 за эксплуатацию уязвимостей, позволивших обойти аутентификацию и повысить свои привилегии; $15000 за эксплоит, использующий цепочку из 3 ошибок).
• 4 взлома зарядной станции Autel MaxiCharger AC Elite Home 40A ($50000, $20000 и $10000 за уязвимости, позволившие обойти аутентификацию и проверку цифровой подписи; $30000 за уязвимость, приводящую к переполнению буфера).
• 4 взлома зарядной станции ChargePoint Home Flex CPH50-K ($40000, 2 по $30000 и $16750 за уязвимости, допускающие подстановку команд, и отсутствие должной обработки символических ссылок).
• 4 взлома зарядной станции Alpitronic HYC50 ($60000 за эксплуатацию уязвимости, приводящей к переполнению буфера; $40000 за уязвимость, позволяющую получить доступ к опасному методу; $20000 за уязвимость, вызванную состоянием гонки; $20000)

Кроме вышеотмеченных успешных атак, 9 попыток эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома устройств Kenwood DNR1007XR, Alpine iLX-F511, Autel MaxiCharger AC Elite Home 40A, EMPORIA Pro Charger Level 2, ChargePoint Home Flex, Sony XAV-9500ES и Grizzl-E Smart 40A.

В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64662

Выпуск Rust 1.93. Проекты Rex, Fjall 3 и Arti 1.9.0

Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• Встроенная в поставку Rust стандартная си-библиотека Musl, используемая при статической компоновке для целевых платформ "*-linux-musl" (aarch64-unknown-linux-musl, x86_64-unknown-linux-musl, powerpc64le-unknown-linux-musl и т.п.) на системах без Musl, обновлена до версии 1.2.5. Минимально поддерживаемая версия Musl при динамической компоновке также поднята до выпуска 1.2.5. Ранее в Rust использовалась версия Musl 1.2.3, в которой имелись проблемы в реализации DNS-резолвера. В версии Musl 1.2.4 в DNS-резолвер была добавлена возможность отправки запроса по TCP в случае неудачного обращения по UDP, что решило проблему с запросом больших DNS-записей и наладило совместимость с рекурсивными DNS-серверами, не поддерживающими отдачу части результата в обрезанных UDP-ответах. В версии Musl 1.2.5 в DNS-резолвере реализована обработка ответов с длинными последовательностями CNAME и решена проблема, из-за которой отбрасывались некоторые большие ответы, передаваемые через TCP.
• Стандартная библиотека переработана для решения проблем с реентерабельностью при использовании в глобальных аллокаторах памяти, написанных на Rust, макроса std::thread_local! и функции std::thread::current, приводивших к бесконечной рекурсии. Для исключения ситуации, когда std::thread_local! и std::thread::current при попытке выделения памяти вызывали тот же аллокатор в котором используются, в них теперь напрямую применяется системный механизм выделения памяти.
• Внутри блоков "asm!" с ассемблерным кодом разрешено использование атрибутов "cfg", что, например, позволяет управлять задействованием расширенных наборов команд CPU в контексте отдельных выражений внутри asm-блока (ранее атрибуты "cfg" могли задаваться только для asm-блока целиком).

     asm!( // или global_asm! или naked_asm!
         "nop",
         #[cfg(target_feature = "sse2")]
         "nop",
         // ...
         #[cfg(target_feature = "sse2")]
         a = const 123, // only used on sse2
     );
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • ‹[MaybeUninit‹T›]›::assume_init_drop
  • ‹[MaybeUninit‹T›]›::assume_init_ref
  • ‹[MaybeUninit‹T›]›::assume_init_mut
  • ‹[MaybeUninit‹T›]›::write_copy_of_slice
  • ‹[MaybeUninit‹T›]›::write_clone_of_slice
  • String::into_raw_parts
  • Vec::into_raw_parts
  • ‹iN›::unchecked_neg
  • ‹iN›::unchecked_shl
  • ‹iN›::unchecked_shr
  • ‹uN›::unchecked_shl
  • ‹uN›::unchecked_shr
  • ‹[T]›::as_array
  • ‹[T]›::as_array_mut
  • ‹*const [T]›::as_array
  • ‹*mut [T]›::as_mut_array
  • VecDeque::pop_front_if
  • VecDeque::pop_back_if
  • Duration::from_nanos_u128
  • char::MAX_LEN_UTF8
  • char::MAX_LEN_UTF16
  • std::fmt::from_fn
  • std::fmt::FromFn
• Целевая платформа "riscv64a23-unknown-linux-gnu" переведена на второй уровень поддержки, который подразумевает гарантию сборки, но отсутствие гарантий при прохождении тестового набора.

Дополнительно можно отметить несколько связанных с Rust проектов:

• Для ядра Linux развивается фреймворк Rex, позволяющий создавать дополнения для ядра Linux на языке Rust, которые можно использовать для расширения функциональности ядра вместо eBPF. Rex предоставляет те же гарантии безопасности, что и eBPF, но использует для изоляции и обеспечения безопасности возможности языка Rust и легковесный Runtime. Для подобных программ не применяется верификатор, а программы компилируются в нативный код компилятором Rust.

  В Rex-программах допускается использование подмножества языка Rust, предоставляющего гарантии безопасности. В текущем виде поддерживается 5 типов программ eBPF: kprobe, perf_event, tracepoint, xdp и tc. Имеется возможность вызывать вспомогательные функции eBPF, взаимодействовать с map-структурами eBPF, управлять ресурсами ядра, обрабатывать исключения и использовать обвязки и абстракции над структурами ядра.

• Доступен выпуск Fjall 3, написанного на Rust встраиваемого хранилища, работающего с данными в формате ключ-значение. Хранение данных производится в форме лога c использованием LSM-дерева (Log-Structured-Merge), как в RocksDB, при котором изменения записываются через добавление данных в конец файла. Для обращения к БД предлагается API в стиле BTreeMap. Поддерживаются такие возможности, как пространства имён, прямой и обратный поиск по диапазонам, встроенное сжатие, сериализируемые транзакции, раздельное хранение ключей и связанных с ними очень больших значений, автоматическое фоновое обслуживание БД. Код открыт под лицензией Apache 2.0.
• Проект Tor опубликовал выпуск Arti 1.9.0, реализации инструментария Tor, написанной на языке Rust. Когда код Arti достигнет уровня, способного полностью заменить вариант на Си, разработчики Tor намерены придать Arti статус основной реализации Tor и постепенно прекратить сопровождение реализации на Си. В новой версии продолжена реализация функциональности для релеев и серверов директорий (Directory Authority), улучшена поддержка работы с динамически назначаемыми портами (proxy.socks_listen = "auto"), добавлен экспериментальный API для управления ключами для onion-сервисов.

Представлена плата Arduino UNO Q с 4ГБ ОЗУ и 32ГБ eMMC

Новая комплектация позволяет подключить к устройству клавиатуру, мышь и монитор, и использовать плату в качестве персонального компьютера с графическим окружением на базе типовых дистрибутивов Linux. Наличие аппаратного AI-ускорителя и DSP также даёт возможность применять плату для решения более серьёзных задач машинного обучения, компьютерного зрения, робототехники и обработки звука, чем те, которые можно было задействовать на плате с 2 ГБ ОЗУ. В качестве дистрибутива рекомендуется использовать Debian GNU/Linux.

Оба варианта платы поставляются с процессором Qualcomm Dragonwing QRB2210 и микроконтроллером STM32U585. Процессор QRB2210 имеет 4 ядра Cortex-A53 (2.0 GHz), оснащён GPU Adreno 702 (с поддержкой OpenGL ES 3.1, Vulkan 1.1 и OpenCL 2.0 и аппаратными декодировщиками H.264, H.265 и VP9) и двухядерным DSP c функциями ускорителя выполнения AI-моделей и обработки звука. Микроконтроллер STM32U585 включает ядро Arm Cortex-M33 160 MHz с поддержкой технологии TrustZone, DSP и FPU, и может использоваться для управления дополнительным оборудование в режиме реального времени. Плата оснащена USB-C, Wi-Fi 2.4/5 GHz, Bluetooth 5.1. Форм-фактор платы, коннекторы и поддержка периферийных устройств аналогичны модели Arduino Uno.

Mozilla начала формирование rpm-пакетов с ночными сборками Firefox

Использование rpm-репозитория позволяет задействовать штатные для дистрибутивов возможности для установки и обновления пакетов. При сборке пакетов в компиляторе включены дополнительные оптимизации, а также флаги для усиления безопасности. Публикация сборок интегрирована в основной процесс подготовки релизов Firefox. В состав включён .desktop-файл для размещения ярлыка на рабочем столе и в меню дистрибутива.

Для установки ночных сборок Firefox из репозитория можно использовать команды:

Fedora:

   sudo dnf config-manager addrepo --id=mozilla --set=baseurl=https://packages.mozilla.org/rpm/firefox --set=gpgcheck=0 --set=repo_gpgcheck=0
   sudo dnf makecache --refresh
   sudo dnf install firefox-nightly

openSUSE, SUSE Linux:

   sudo zypper ar -G https://packages.mozilla.org/rpm/firefox mozilla
   sudo zypper refresh
   sudo zypper install firefox-nightly

RHEL, CentOS, Rocky Linux, Alma Linux, Oracle Linux

   sudo tee /etc/yum.repos.d/mozilla.repo > /dev/null ‹ EOF
   [mozilla]
   name=Mozilla Packages
   baseurl=https://packages.mozilla.org/rpm/firefox
   enabled=1
   repo_gpgcheck=0
   gpgcheck=0
   EOF

   sudo dnf makecache --refresh
   sudo dnf install firefox-nightly

Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию

Кроме того, в новых версиях устранены ещё 4 уязвимости, две из которых помечены опасными. Данные проблемы приводят к отказу в обслуживании при отправки специально оформленных запросов к компоненту для интеграции с Jira Connect (CVE-2025-13927), API управления релизами (CVE-2025-13928) и SSH (CVE-2026-1102), а также к зацикливанию при созданию специально оформленного Wiki-документа (CVE-2025-13335).

Всем пользователям рекомендуется срочно установить обновление. Детали проблемы пока не раскрываются и станут доступны публично спустя 30 дней после публикации исправления. Сведения об уязвимостях переданы в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64657

LLVM ввёл правила применения AI-инструментов. Curl свернул выплаты за уязвимости из-за AI

При этом разработчики LLVM признают, что при должном использовании AI является полезным инструментом, ускоряющим разработку. Утверждённые в LLVM условия применения AI частично основаны на правилах, в прошлом году опубликованных проектом Fedora. Основная идея принятых правил в том, что разработчики не должны перекладывать на сопровождающих работу по рецензированию кода, созданного в AI-ассистентах.

В дополнение к упоминаемой в правилах Fedora ответственности за переданное изменение в правилах LLVM введено требование обязательного ручного рецензирования кода, сгенерированного в AI, перед тем как предложить изменение в проект. Кроме того, подготовивший изменения должен хорошо разбираться в коде и быть готовым ответить на связанные с ним вопросы. Рекомендуется вручную составлять описания к pull-запросам, а не доверять подготовку сопроводительного текста AI.

При передаче изменения, значительная часть которого сгенерирована AI-инструментами, в примечании к pull-запросу необходимо добавить сведения о применении AI, например, добавив тег "Assisted-by: название AI-ассистента". Запрещено использование автоматизированных AI-инструментов, таких как интегрированный с GitHub AI-агент @claude, выполняющих действия или отправляющих комментарии без участия человека.

Принятые правила распространяются не только на код в запросах на внесение изменений, но и на RFC-документы с предложением новой функциональности, сообщения об уязвимостях и ошибках, комментарии и отзывы к pull-запросам.

Дополнительно можно отметить решение Дэниела Cтенберга (Daniel Stenberg), автора утилиты для получения и отправки данных по сети curl, о прекращении действия программы выплаты денежных вознаграждений за раскрытие информации об уязвимостях в Curl. Выплата вознаграждений будет прекращена в конце января из-за обилия мусорных заявок, сгенерированных в AI-ассистентах и отправленных без проверки фактического наличия уязвимости.

Сообщается, что за первые две недели января было подано 20 заявок на получение вознаграждения, утверждающих о наличии уязвимостей. Разбор данных заявок показал, что ни в одной из них не выявлено реальных уязвимостей. Авторам отчётов об уязвимостях рекомендуется не сообщать о проблеме, если они не понимают её суть и не могут воспроизвести ошибку. Проверка подобных заявок отнимает много времени у команды, отвечающей за безопасность. Предполагается, что прекращение выплаты вознаграждений снизит мотивацию людей присылать мусорные и плохо проверенные отчёты об уязвимостях, независимо от того, сгенерированы они в AI или нет.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64655

Обновление среды рабочего стола COSMIC 1.0.3

COSMIC развивается как универсальный проект, не привязанный к конкретному дистрибутиву и соответствующий спецификациям Freedesktop. Для построения интерфейса в COSMIC задействована библиотека Iced, которая использует безопасные типы, модульную архитектуру и модель реактивного программирования, а также предлагает архитектуру, привычную для разработчиков, знакомых с языком декларативного построения интерфейсов Elm. Предоставляется несколько движков отрисовки, поддерживающих Vulkan, Metal, DX12, OpenGL 2.1+ и OpenGL ES 2.0+. Разработчикам предлагается готовый набор виджетов, возможность создавать асинхронные обработчики и использовать адаптивную компоновку элементов интерфейса в зависимости от размера окна и экрана.

Помимо использования языка Rust из особенностей COSMIC выделяются режимы гибридной мозаичной компоновки окон и стекового закрепления окон (группировка окон по аналогии со вкладками в браузере), которые могут включаться в привязке к виртуальным рабочим столам. Проектом также разрабатывается композитный сервер cosmic-comp на базе Wayland.

Основные изменения в выпусках 1.0.1, 1.0.2 и 1.0.3:

• Реализована поддержка скругления углов для всех окон, а не только для приложений COSMIC. Добавлена возможность отображения теней для окон, среди прочего и при мозаичной компоновке. Для выбора вида углов и теней окон в настройки внешнего вида добавлена секция "Settings > Desktop > Appearance > Window shadow and corners".
• В композитном сервере реализована активация окон X11-клиентами, работающими через XWayland, что позволяет индикаторам в системном лотке переключать фокус на окна в других виртуальных рабочих столах. Размер пиктограмм для X11-приложений адаптирован для выставленного уровня масштабирования.
• В файловом менеджере добавлена функция открытия нескольких каталогов в отдельных вкладках. Добавлена опция для переноса времени создания и изменения файла при копировании. Реализована возможность ввода сетевых путей в панели. Добавлено автодополнение ввода пути в панели нажатием клавиши Tab или Shift-Tab. Добавлен диалог подтверждения операции очистки корзины.
• В мультимедийном проигрывателе cosmic-player обеспечено отключение звука при показе миниатюр с изображением кадра, соответствующего выбранной позиции на полосе прокрутки.
• В конфигураторе реализована функция быстрой активации поиска - начало набора на клавиатуре приводит к появлению строки поиска в любом разделе конфигуратора. Добавлена возможность применения тем оформления в формате RON (Rusty Object Notation) через интерфейс командной строки. На страницу настройки комбинаций клавиш добавлен подраздел с параметрами для людей с ограниченными возможностями. Добавлен комбинация Super+Alt+S для активации экранного ридера. Включена по умолчанию симуляция клика касанием к тачпаду. Добавлена поддержка VPN-соединений, требующих двухфакторной аутентификации.
• В эмуляторе терминала реализована загрузка паролей в память только при открытии страницы работы с паролями и удаление паролей из памяти при её закрытии. Добавлена поддержка выделения содержимого кликом с удержанием клавиши Shift.
• В интерфейсе начальной настройки (COSMIC Initial Setup) добавлена поддержка систем с несколькими мониторами и активирован по умолчанию экранный ридер.
• В менеджере приложений (COSMIC Store) появилась опция для очистки данных Flatpak-приложений после их удаления.
• В интерфейсе переключения виртуальных рабочих столов реализована зацикленная прокрутка при использовании колеса мыши, аналогичная поведению апплета переключения рабочих столов на панели. Улучшена скорость прокрутки эскизов рабочих столов при помощи тачпада.
• В текстовом редакторе добавлена поддержка выделения текста комбинацией Shift+клик.
• В программе для создания скриншотов обеспечено запоминание выделенной области экрана.

Выпуск СУБД MySQL 9.6.0

Список значимых изменений в MySQL 9.6 полностью повторяет отчёт об изменениях в MySQL 9.5. В нём также упоминается отмеченное ранее изменение поведения параметра "innodb_log_writer_threads", изменение значения по умолчанию парамтера "binlog_transaction_dependency_history_size", объявление устаревшим метода аутентификации SCRAM-SHA-1 и прекращение поддержки переменных "group_replication_allow_local_lower_version_join" и "replica_parallel_type". Общий список исправлений отличается и содержит следующие заметные изменения:

• Переработана система аудита, в которой реализована модульная подсистема Audit Log, позволяющая отдельно устанавливать и управлять различными компонентами для ведения лога аудита, а также упрощающая настройку формата логов, размещения файлов аудита и параметров буферизации. Для изменения системной переменной audit_log_rotate_on_size system теперь требуются привилегии AUDIT_ADMIN.
• Задействована новая структура данных и новая встроенная библиотека функций для работы с наборами глобальных идентификаторов транзакций (GTID, Global Transaction ID), используемых при репликации. Новая реализация отличается более высокой производительностью и упрощением кода.
• В хранилище InnoDB повышена эффективность генерации уникальных идентификаторов rowid в таблицах без первичных ключей. Решена проблема с некорректным восстановлением состояния транзакций, которые на момент аварийного завершения имели статус "PREPARED".
• Добавлена новая опция "--container_aware", во время запуска включающая определение выставленных в контейнере ограничений на CPU и память.
• Расширены возможности по отладке репликации.
• SQL-функции MD5() и SHA1() выделены в отдельный компонент "classic_hashing", который можно отключить при желании блокирования использования небезопасных алгоритмов хэширования.
• Устранено 14 уязвимостей, из которых две могут быть эксплуатированы удалённо. Наиболее серьёзная проблема имеет критический уровень опасности (9.8) и присутствует в официальном Docker-образе c MySQL. Менее опасные уязвимости затрагивают OpenSSL, InnoDB, оптимизатор, DDL, парсер, Pluggable Auth и Thread Pooling.

Уязвимости в Java SE, MySQL, VirtualBox и других продуктах Oracle

Некоторые проблемы:

• 11 проблем с безопасностью в Java SE. Все уязвимости в Java SE могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Наиболее опасные проблемы в Java SE имеют уровень опасности 7.5 и затрагивают JavaFX (WebKitGTK, libxslt), AWT и систему защиты. Уязвимости устранены в выпусках Java SE 25.0.2, 21.0.10, 17.0.18, 11.0.30, 8u481.
• 14 уязвимостей в сервере MySQL, из которых две могут быть эксплуатированы удалённо. Наиболее серьёзная проблема имеет критический уровень опасности (9.8) и присутствует в официальном Docker-образе c MySQL. Менее опасные уязвимости затрагивают OpenSSL, InnoDB, оптимизатор, DDL, парсер, Pluggable Auth и Thread Pooling. Проблемы устранены в выпусках MySQL Community Server 9.6.0 и 8.0.45.
• 14 уязвимостей в VirtualBox, пять из которых помечены как опасные (8.2 из 10). Одна из уязвимостей может быть эксплуатирована удалённо. Детали о характере уязвимостей не раскрываются. Проблемы будут устранены в выпуске VirtualBox 7.2.6, который ожидается в течение дня.
• 4 уязвимости в Solaris, которые затрагивают драйверы, ядро и файловую систему (максимальный уровень опасности 5.8 из 10). Уязвимости устранены в обновлении Solaris 11.4 SRU89. В новой версии Solaris также обновлены версии пакетов Wireshark 4.6.2, Firefox 140.6.0esr, Thunderbird 140.6.0esr, Unbound 1.24.2, Apache httpd 2.4.66, OpenSSH 10.2, Django 5.2.9 и squid 7.3.

Выпуск браузера Pale Moon 34.0.0

Проект придерживается классической организации интерфейса, без перехода к интегрированным в Firefox 29 и 57 интерфейсам Australis и Photon, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox, в браузер возвращена поддержка расширений, использующих XUL, и сохранена возможность применения как полноценных, так и легковесных тем оформления.

Основные изменения:

• Обновлена тема оформления, применяемая по умолчанию в Windows. Обеспечена интеграция оформления с Windows 11 и улучшена поддержка тёмных акцентных цветов.
• Реализован объект WeakRef для определения слабых ссылок (weak reference) на объекты JavaScript, позволяющие сохранить ссылку на объект, но не блокирующие удаление связанного объекта сборщиком мусора.
• Добавлен метод URL.canParse(), упрощающий разбор и проверку корректности URL.
• Добавлены CSS-свойства inset-block и inset-inline.
• Добавлена настройка "privacy.forgetaboutsite.clearPasswords" для очистки паролей при вызове функции очистки информации о сайте в менеджере полномочий.
• Генератор псевдослучайных чисел в JavaScript переведён на алгоритм Xoroshiro128+.
• Возвращена поддержка каскадных слоёв CSS (@layer) и CSS-функции color-mix.
• Решена проблема с сайтами, использующими CSS-свойство "overflow-x: clip" без выставления "overflow-y".
• Добавлена поддержка CSS-свойства "appearance".
• Обновлены версии NSS 3.90.9, ICU 78.1, Unicode 17 и expat 2.7.3.
• Добавлена поддержка сборки на оборудовании LoongArch64, Sparc64 и Mac PowerPC.
• Добавлена поддержка запуска во FreeBSD 15.
• Возвращена возможность выполнения NPAPI-плагинов внутри основного процесса.
• Повышена стабильность JavaScript-движка IonMonkey на ARM и Mac SoC.
• Linux-сборки с GTK теперь всегда собираются с gio, поддержка gconf удалена.

Уязвимость в telnetd, позволяющая подключиться с правами root без аутентификации

Проблема вызвана тем, что для проверки пароля процесс telnetd вызывает утилиту "/usr/bin/login", передавая в качестве аргумента имя пользователя, указанного клиентом при подключении к серверу. Утилита "login" поддерживает опцию "-f", позволяющую осуществить вход без выполнения аутентификации (подразумевается, что эта опция используется, когда пользователь уже прошёл проверку). Таким образом, если добиться подстановки опции "-f" в имени пользователя, можно подключиться без проверки пароля.

При обычном подключении использовать имя пользователя вида "-f root" не получится, но в telnet имеется режим автоматического подключения, активируемый опцией "-a". В данном режиме имя пользователя берётся не из командной строки, а передаётся через переменную окружения USER. При вызове утилиты login значение данной переменной окружения подставлялось без дополнительной проверки и без экранирования спецсимволов. Таким образом, для подключения под пользователем root достаточно выставить в переменную окружения USER значение "-f root" и подключиться к telnet-серверу, указав опцию "-a":

   $ USER='-f root' telnet -a имя_сервера  

Приведшее к уязвимости изменение было добавлено в код telnetd в марте 2015 года и было связано с устранением проблемы, не позволявшей определить имя пользователя в режиме autologin без аутентификации в Kerberos. В качестве решения была добавлена поддержка передачи имени пользователя для режима autologin через переменную окружения, но проверку корректности имени пользователя из переменной окружения добавить забыли.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64649

Выпуск Electron 40, платформы создания приложений на базе движка Chromium

Среди изменений в новом выпуске:

• Обновлены версии браузерного движка Chromium 144, платформы Node.js 24.11.1 и JavaScript-движка V8 14.4 (в прошлой ветке использовались Chromium 142, Node.js 22.20.0 и V8 14.2).
• Добавлена поддержка признака завершения дочернего процесса "memory-eviction", применяемого при завершении процесса для предотвращения исчерпания свободной памяти в системе (OOM, out-of-memory).
• В режиме отрисовки в буфер (Offscreen Rendering) появилась поддержка вывода в формате RGBAF16 с цветовым пространством scRGB HDR .
• Добавлен метод app.isHardwareAccelerationEnabled() для проверки включения аппаратного ускорения.
• В API net.request добавлена опция bypassCustomProtocolHandlers для игнорирования вызова дополнительных обработчиков протокола.
• Добавлены методы для выборочного включения средств для людей с ограниченными возможностями.
• Добавлена возможность импорта внешних текстур в виде объекта VideoFrame, представляющего видеокадр.
• На платформе Linux появилась возможность использования свойства systemPreferences.getAccentColor для получения информации о системных акцентных цветах, применяемых для выделения активных элементов, а также цвета границы активного окна.
• Добавлена поддержка предоставления доступа к API File System, ограниченного текущим сеансом.
• Добавлена поддержка динамической загрузки ESM-модулей в предварительно загружаемых скриптах (preload), для которых отключена изоляция контекста (contextIsolation = false).
• Объявлена устаревшей возможность доступа к API Сlipboard из процессов, выполняющих отрисовку.

Платформа Electron позволяет создавать любые графические приложения с использованием браузерных технологий, логика работы которых определяется на JavaScript, HTML и CSS, а функциональность может быть расширена через систему дополнений. Разработчикам доступны модули Node.js, а также расширенный API для формирования нативных диалогов, интеграции приложений, создания контекстных меню, интеграции с системой вывода уведомлений, манипуляции окнами, взаимодействия с подсистемами Chromium.

В отличие от web-приложений, программы на базе Electron поставляются в виде самодостаточных исполняемых файлов, не привязанных к браузеру. При этом разработчику не нужно заботиться о портировании приложения для различных платформ, Electron обеспечит возможность сборки для всех систем, поддерживаемых в Chromium. Electron также предоставляет средства для организации автоматической доставки и установки обновлений (обновления можно доставлять как с отдельного сервера, так и напрямую с GitHub).

Из программ, построенных на базе платформы Electron можно отметить редакторы Atom и Visual Studio Code, почтовый клиент Mailspring, инструментарий для работы с Git GitKraken, систему ведения блогов WordPress Desktop, BitTorrent-клиент WebTorrent Desktop, а также официальные клиенты к таким сервисам, как Signal, Slack, Basecamp, Twitch, Ghost, Wire, Wrike и Discord. Всего в каталоге программ Electron представлено 612 приложений. Для упрощения разработки новых приложений подготовлен набор типовых демонстрационных приложений, включающих примеры кода для решения различных задач.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64648

Выпуск дистрибутива MX Linux 25.1

В новом выпуске:

• Осуществлена синхронизация с пакетной базой Debian 13.3. Ядро Linux обновлено до версии 6.12.
• Обновлены сборки с расширенной поддержкой оборудования (AHS), которые поставляются с Xfce, ядром 6.18 c патчами от проекта liquorix и Мesa 25.3.3.
• Возобновлено формирование совмещённых iso-образов, в которых на выбор доступны системы инициализации systemd и sysVinit. В Live-сборках пользователь может выбрать желаемую систему инициализации в загрузочном меню.

Выпуск Cozystack 0.40, открытой PaaS-платформы на базе Kubernetes

В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную работу. Предоставляется простой метод установки в пустом дата-центре с помощью PXE и debian-подобного установщика talos-bootstrap. В рамках платформы можно по клику разворачивать Kafka, FerretDB, PostgreSQL, Cilium, Grafana, Victoria Metrics и другие сервисы.

Платформа включает свободную реализацию сетевой инфраструктуры (fabric) на базе Kube-OVN, и использует Cilium для организации сервисной сети, MetalLB для анонса сервисов наружу. Хранилище реализовано на LINSTOR, где предлагается использование ZFS в качестве базового слоя для хранилища и DRBD для репликации. Имеется преднастроенный стек мониторинга на базе VictoriaMetrics и Grafana. Для запуска виртуальных машин используется технология KubeVirt, которая позволяет запускать классические виртуальные машины прямо в контейнерах Kubernetes и уже имеет все необходимые интеграции с Cluster API для запуска управляемых Kubernetes-кластеров внутри "железного" Kubernetes-кластера.

В новом выпуске:

• Добавлен планировщик LINSTOR для оптимального размещения pod-ов. Собственный "scheduler extender" для Kubernetes работает совместно со стандартным планировщиком Kubernetes и помогает оптимально размещать pod-ы на узлах с хранилищем LINSTOR. Когда pod запрашивает том LINSTOR, планировщик узнает у контроллера LINSTOR, на каких узлах есть локальные реплики нужных томов. Приоритет отдаётся узлам, где данные уже присутствуют, что минимизирует сетевой трафик и повышает I/O-производительность. Дополнительно реализован admission-вебхук, который автоматически направляет pod-ы, использующие CSI-тома LINSTOR, на собственный планировщик, обеспечивая бесшовную интеграцию без ручной настройки.
• Хранилище SeaweedFS SeaweedFS обновлено до версии 4.05, в которой проведена оптимизация S3-трафика (traffic locality): запросы теперь уходят на ближайшие серверы, что сокращает задержки и ускоряет работу хранилища. Также появился новый admin-компонент с веб-интерфейсом и поддержкой авторизации, и worker-ы для выполнения распределённых задач. В Grafana добавлены продвинутые дашборды, позволяющие следить за bucket-ами, вызовами API и производительностью. Добавлена поддержка TLS-сертификатов для компонентов admin и worker.
• Механизм valuesFrom из FluxCD заменил lookup-функции в Helm-чартах. Такое архитектурное улучшение обеспечивает более чистую передачу параметров и устраняет необходимость в контроллерах принудительной синхронизации (reconciliation). Конфигурация из ConfigMaps и ссылок на сервисы теперь централизованно управляется через ключ cozystack-values в каждом пространстве имён.
• В компонента для интеграции с LINSTOR реализована поддержка функции auto-diskful, переводящей бездисковые (diskless) узлы в дисковые (diskful), если те удерживают ресурсы DRBD в состоянии Primary более 30 минут.
• Внедрены системы автоматического управления версиями для PostgreSQL, Kubernetes, MariaDB и Redis, которые отслеживают обновления в апстрим-репозиториях и предоставляют механизмы автоматического обновления версий.

Проект по созданию открытого квантового компьютера

Отмечается, что совместная работа даёт возможность ускорить достижение результата, способствует разностороннему рассмотрению путей решения проблем и позволяет принять участие в работе даже небольшим командам, не обладающим ресурсами для самостоятельных исследований в области квантовых систем. Все компоненты проекта, включая эмулятор квантового компьютера и стек для разработки приложений, распространяются на GitHub под лицензией Apache. Проектом также создан сайт с документацией.

Аппаратная реализация квантового компьютера находится на стадии сборки и тестирования. Схемы и проектные файлы, необходимые для сборки аналогичной системы, будут открыты в соответствии с принципами Open Hardware под лицензией близкой к Apache 2.0. При разработке задействованы наработки существующих открытых проектов в области квантовой физики, таких как платформа для проведения экспериментов с квантовыми системами ARTIQ (Advanced Real-Time Infrastructure for Quantum physics) и аппаратные решения от сообщества Sinara.

Для работы над проектом сформировано шесть рабочих групп, занимающихся программным стеком (компилятор для квантового компьютера, трансляторы высокоуровневых алгоритмов, утилиты для оценки производительности и верификации корректности работы), методами коррекции ошибок и снижения влияния шумов в квантовых системах, разработкой моделей для симуляции, написанием обучающих материалов, разработкой AI-технологий для оптимизации и генерации квантовых алгоритмов, созданием интерфейса для удалённого проведения экспериментов с квантовым компьютером.

В аппаратной реализации развивается система квантовых вычислений на ионных ловушках (Ion Trap), в которой атомы выступают в роли кубитов. В разрабатываемом квантовом компьютере ионы изолируются от внешней среды в вакууме при помощи электромагнитных полей и переводятся в квантовое состояние путём охлаждения до температур близких к абсолютному нулю. Состояние ионов меняется при помощи лазерных импульсов, а состояние кубита определяется по интенсивности свечения иона под воздействием лазерного луча. Развиваются прототипы на ионах иттербия (¹⁷¹Yb⁺) и бария (¹³⁸Ba⁺), в которых планируют реализовать 30-50 и 16 кубитов.

Плагин к KWin для использования KDE в виртуальной реальности

Поддерживается работа с плавающими окнами, совмещение физических и виртуальных экранов, произвольное позиционирование экранов в 3D-пространстве, управление при помощи клавиатуры без необходимости использования мыши или VR-контроллеров, режим отслеживания положения пользователя. Для отрисовки задействован модуль Qt Quick 3D Xr, завязанный на runtime OpenXR. В качестве runtime опробована платформа Monado в сочетании с очками дополненной реальности Rokid Max и HP G2, а также сервер WiVRn c 3D-шлемом Quest 3.

Для организации ввода реализовано устройство KwinVrInputDevice, позволяющее перемещать указатель по аналогии с мышью, но не ограничиваясь границами области вывода. Для размещения окон в 3D-пространстве задействованы штатные возможности KWin, немного изменённые для всплывающих окон и расширенные возможностью перемещать окна за пределы области вывода. Для работы требуется применение патчей к Qt и XWayland. Большинство патчей уже приняты в кодовую базу Qt и войдут в состав выпусков 6.10.2 и 6.11, не перенесёнными остаются только 4 патча.

В базовую систему NetBSD вернули компилятор языка Fortran

Захват контроля над snap-пакетами, связанными с просроченными доменами

Получив контроль за существующей учётной записью атакующие могут разместить вредоносное обновление ранее опубликованных заслуживающих доверия приложений, обойдя расширенные проверки, применяемые к новым участникам, и избежав добавления предупреждающих меток о новых проектах. Алан Поуп выявил как минимум два домена (enstorewise.tech и vagueentertainment.com), выкупленных злоумышленниками для захвата учётных записей, но предполагается, что таких случаев намного больше.

В прошлом злоумышленники ограничивались регистрацией собственных учётных записей, под которыми публиковались вредоносные пакеты, выдающие себя за официальные сборки популярных программ, или использующие имена, похожие на уже существующие пакеты (тайпсквоттинг). В ответ компания Canonical ввела ручную проверку новых имён пакетов, впервые размещаемых в Snap Store. После этого основная активность распространителей вредоносного ПО сосредоточилась на размещении оригинальных пакетов, их рекламировании в социальных сетях и публикации через какое-то время вредоносного обновления, пытающегося обойти имеющиеся в Snap Store автоматизированные проверки и фильтры.

Теперь вектор атаки сместился в сторону перекупки просроченных доменов, так как в репозитории Snap Store не была реализована проверка актуальности доменных имён, используемых в email-адресах. В прошлом году с подобной проблемой столкнулся репозиторий PyPI (Python Package Index), который начал автоматически переводить email с просроченными доменами в состояние неподтверждённых. В PyPI было заблокировано более 1800 подобных email-адресов.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64641

Выпуск Chrome 144. Тестирование JPEG XL, вертикальных вкладок и отключения AI

Отдельно можно отметить добавление в тестовую ветку Chrome Canary, на основе которой будет сформирован выпуск Chrome 147, настройки для отключения AI-возможностей в браузере, завязанных на выполнение AI-моделей на локальной системе пользователя. В конфигураторе в секции "System" появилась опция "On-device GenAI Enabled", обеспечивающая удаление всех локально выполняемых генеративных моделей и отключение связанных с ними возможностей, таких как определение вредоносного контента в режиме расширенной защиты.

В Chrome Canary также добавлена поддержка формата изображений JPEG XL, о готовности возвращения которого представители Google упоминали в ноябре. Для декодирования JPEG XL задействована (1, 2) библиотека jxl-rs с реализацией JPEG-XL на языке Rust. Для включения JPEG XL добавлен параметр "chrome://flags/#enable-jxl-image-format".

В ветку Chrome Beta, на основе которой будет сформирован релиз Chrome 145, добавлен режим вертикального отображения вкладок. Для замены верхней горизонтальной панели с кнопками вкладок на боковую панель с вертикальными вкладками предложена настройка "chrome://flags/#vertical-tabs". После активации данной опции в контекстном меню, показываемом при клике правой кнопкой мыши на пустой области в панели вкладок, появится кнопка "Show tabs on the side".

Основные изменения в Chrome 144:

• Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки.

  В Chrome 144 расширены возможности встроенного чат-бота Gemini, в котором появилась поддержка загрузки в Gemini изображений (через контекстное меню) и генерации на их основе новых изображений. Добавлена возможность применения AI-режима в контексте нескольких вкладок - AI может отвечать на вопросы о содержимом выбранных вкладок, сравнивать содержимое, резюмировать и искать информацию.

  

  Ранее AI-режим был доступен только на платформах macOS и Windows, но теперь кнопка "AI Mode" и активация клавишей табуляция перед началом ввода в адресной строке появились и в сборах для Linux (судя по всему, пока не для всех пользователей). На странице "chrome://flags" можно управлять включением AI через опции "ai-mode").

  
• Для части пользователей активировано новое упрощённое оформление страницы, показываемой при открытии новой вкладки. Новый вариант избавлен от визуальных излишеств и предоставляет больше настроек для управления внешним видом. Удалена поддержка скрытия отдельных блоков контента кнопкой "Dismiss", вместо которой теперь предлагается отключать целые категории (например, вместо скрытия конкретного рецепта предлагается скрыть показ всех рецептов).
• В конфигурациях на базе ОС Windows, в которых применяется централизованное управление Chrome, реализована защита от неавторизированного изменения важных настроек, например, изменения вредоносным ПО поисковой системы. При выявлении фактов изменения настроек сторонним ПО подобные настройки теперь автоматически сбрасываются в состояние по умолчанию.
• Реализована третья версия алгоритма Happy Eyeballs, применяемого для для выбора оптимального протокола при подключении к хостам, одновременно доступным по адресам IPv4 и IPv6. При использовании алгоритма Happy Eyeball клиент сразу резолвит адреса IPv4 и IPv6 для хоста и отправляет запрос на соединение по IPv6, а затем пытается параллельно подключиться по другим привязанным к хосту адресам, не дожидаясь результата предпринятых ранее попыток подключения. Активным оставляется соединение, которое было установлено первым, а остальные закрываются. Третья версия протокола помимо DNS-записей A (IPv4) и AAAA (IPv6) анализирует DNS-записи SVCB (Service Binding) и HTTPS для определения поддержки HTTP/3 и HTTPS. При доступности более приоритетными считаются протокол QUIC и расширение TLS ECH.
• В API Direct Sockets, позволяющий устанавливать прямые TCP- и UDP-соединения с внешними системами, а также создавать слушающие сокеты для приёма соединений, добавлена поддержка многоадресной передачи (multicast). Изолированные web-приложения (IWA, Isolated Web Apps) теперь могут подписываться на multicast-группы и получать отправляемые в них многоадресные UDP-пакеты.
• Объявлены устаревшими и в Chrome 150 запланированы к удалению программные интерфейсы и технологии, развивавшиеся в рамках инициативы Privacy Sandbox: API Topics (пришёл на смену API FLoC), API Protected Audience, API Shared Storage, API Attribution Reporting, Private Aggregation, API Related Website Sets и requestStorageAccessFor. Подробнее см. анонс планов Google в отношении Privacy Sandbox.
• В CSS добавлен псевдо-элемент "::search-text", позволяющий менять цвет, фон и элементы декорирования текста, подсвеченного в результате локального поиска на странице, по аналогии с ранее доступными псевдо-элементами "::highlight", "::spelling-error" и "::grammar-error", позволяющими менять стиль выделения текста и пометки ошибок.
• Добавлено CSS-свойство "caret-shape", позволяющее настраивать внешний вид курсора в редактируемых полях.
• Добавлено событие "clipboardchange", генерируемое при изменении содержимого в буфере обмена и позволяющее обойтись от ресурсоёмкого периодического опроса изменений кодом на JavaScript.
• Добавлен новый HTML-элемент ‹geolocation›, предназначенный для вставки на страницу кнопок и ссылок для вызова интерфейса подтверждения доступа к информации о местоположении пользователя, предоставляемой соответствующим JavaScrip API.
  
  
• Добавлен JavaScript-объект Temporal, реализующий альтернативный набор метод для работы с датами и временем. Новый API позволяет манипулировать датами с учётом и без учёта часовых поясов, конвертировать время, форматировать вывод и выполнять арифметические операции со временем. Время может задаваться в независимом от часового пояса представлении (Temporal.PlainDate, Temporal.PlainTime, Temporal.PlainDateTime), с привязкой к часовому поясу (Temporal.ZonedDateTime) и в эпохальном представлении (Temporal.Instant - число наносекунд с 1 января 1970 года).
• Внесены улучшения в инструменты для web-разработчиков. На страницу инспектирования контента (chrome://inspect) добавлена опция для запуска сервера удалённой отладки, не требующая перезапуска браузера (ранее подобный сервер мог быть запущен только через опцию командной строки). В панели Styles разрешено редактирование CSS-правил "@font-face" и "@font-feature-values". В интерфейсе инспектирования сети панель "Request blocking" переименована в "Request conditions" и теперь позволяет не только блокировать, но и ограничивать скорость отдельных сетевых запросов.
  
  

Кроме нововведений и исправления ошибок в новой версии устранены 10 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 10 премий и выплатила 18.5 тысяч долларов США (по одной премии в $8000, $4000, $3000, $2000, $1000 и $500). Размер 4 вознаграждений пока не определён.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64639

Выпуск пакета для создания 2D-анимации Synfig 1.5.4

Synfig примечателен наличием средств для композитинга на основе слоёв - в качестве слоёв можно использовать геометрические фигуры, градиенты, фильтры, искажения, преобразования, фракталы и т.п.). Редактор также поддерживает контурные градиенты, позволяющие добавлять мягкое затенение анимации без необходимости рисовать его на каждом кадре. Возможно рисование с использованием планшетов, среди прочего с изменением толщины линии в зависимости от интенсивности нажатия.

Плавность анимации достигается благодаря автоматической интерполяции изменений изображений между ключевыми кадрами. Для обеспечения корректной цветопередачи и большого диапазона яркости применяется технология HDRI (High Dynamic-Range Imaging) и вычисления с плавающей запятой. Поддерживается работа с импортированными растровыми изображениями и векторными объектами, позволяющими создавать работы не зависящие от экранных разрешений.

Ключевые новшества Synfig 1.5.4:

• Добавлен преобразователь углов, поддерживающий целые числа.
• Реализованы комбинации клавиш для блокировки и разблокировки прошлых и следующих ключевых кадров.
• Предложен новый режим "Alpha Intersection" для смешивания слоёв c прозрачностью.
• Улучшена функциональность для переноса значений палитры через буфер обмена.
• Добавлена начальная поддержка SVG-элементов с текстом в и слоёв Lottie c текстом.
• На использование более быстрого движка отрисовки Cobra переведены слои Bevel, Noise, HalfTone2 и HalfTone3.
• Оптимизирован импорт последовательностей изображений.
• Улучшена передача параметров по ссылке.
• Устранены артефакты при отрисовке контуров.
• Исправлено неопределённое поведение операций Undo/Redo после преобразования значений.
• Устранены аварийные завершения при импорте некорректных PNG-изображений.
• Улучшен импорт изображений в формате SVG.
• Устранены проблемы с отрисовкой шрифтов.

Выпуск JavaScript-библиотеки jQuery 4.0

Выпуск jQuery 4.0 содержит изменения, нарушающие обратную совместимость, но по заверению разработчиков большинство пользователей смогут безболезненно перейти на новую версию с минимальными изменениями в своём коде. Для упрощения миграции можно использовать специальный плагин. Нарушения обратной совместимости связаны с удалением устаревшего кода, удалением некоторых внутренних недокументированных параметров, прекращением поддержки некоторого излишне усложнённого поведения и прекращением поддержки API, ранее объявленных устаревшими. Удаление устаревших API и браузеров позволило сократить размер gzip-архива с библиотекой на 3 КБ (slim-версия теперь занимает 19.5 КБ, а полная - 27.5 КБ).

Среди изменений:

• Прекращена поддержка браузера IE 10 и более старых версий (поддержка IE 11 сохранена, но будет удалена в Query 5.0), а также других старых браузеров таких как Edge Legacy, Android Browser и Firefox до ветки 115.
• Встроена поддержка API Trusted Types, развиваемого для защиты от манипуляций с DOM, приводящих к межсайтовому скриптингу (DOM XSS), например, при некорректной обработке полученных от пользователя данных в блоках eval() или вставках ".innerHTML", что может привести к выполнению JavaScript-кода в контексте определённой страницы. В методы jQuery теперь может передаваться HTML-код в форме объектов TrustedHTML.
• Код jQuery переведён на использование JavaScript-модулей ESM (ECMAScript Module) и может поставляться и импортироваться как модуль.
• Удалены функции, ранее помеченные устаревшими: jQuery.isArray, jQuery.parseJSON, jQuery.trim, jQuery.type, jQuery.now, jQuery.isNumeric, jQuery.isFunction, jQuery.isWindow, jQuery.camelCase, jQuery.nodeName, jQuery.cssNumber, jQuery.cssProps и jQuery.fx.interval. Вместо данных функций рекомендуется использовать штатные JavaScript-функции Array.isArray(), JSON.parse(), String.prototype.trim() и Date.now()
• Удалены недокументированные внутренние методы объекта Array - push, sort и splice.
• Порядок обработки событий смены фокуса приведён к соответствию спецификации W3C - blur, focusout, focus и focusin.
• Размер урезанного варианта (slim), не содержащий модули ajax и effects, сокращён до 19.5k за счёт прекращения поставки объектов Deferred (рекомендуется использовать штатные Promises) и Callbacks.

ChaosBSD - форк FreeBSD для тестирования драйверов

Отмечаются четыре стадии продвижения драйвера: достижение возможности сборки; избавление от ошибок и стабилизация; проведение чистки и создание документации; передача в основной состав FreeBSD. ChaosBSD рассматривается как платформа для тестирования, не гарантирующая сохранение истории изменений и коммитов - периодически репозиторий сбрасывается, синхронизируется с кодовой базой FreeBSD и состояние восстанавливается.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64636

Выпуск nvtop 3.4.0, утилиты для мониторинга GPU и аппаратных ускорителей

В новой версии реализована поддержка AI-ускорителей Enflame GCU (General Computing Unit) и Rockchip NPU, а также GPU MetaX. Улучшена поддержка GPU Mali, AMD и NVIDIA. Расширены сведения о памяти в режиме вывода сводного отчёта. Добавлена комбинация CTRL + L для сброса интерфейса. Добавлена более наглядная метрика нагрузки, вычисляемая как процент текущей нагрузки от максимальной нагрузки. Добавлен график энергопотребления для Intel Battelmage.

Источник:

Бета выпуск KDE Plasma 6.6 и начало разработки KDE Plasma 6.7

Новшества, развиваемые для KDE Plasma 6.7:

• Реализован глобальный режим push-to-talk, при котором микрофон включается только во время нажатия и удержания определённой комбинации клавиш.
• В виджеты управления яркостью и цветопередачей добавлены кнопки для быстрого переключения межу светлым и тёмным режимами оформления.
  
  
• В менеджере приложений Discover в разделе "Игры" обеспечен показ отдельных подкатегорий для лаунчеров и утилит.
• В конфигураторе реализован показ страниц настройки игровых контроллеров, мыши и тачпада только при наличии данных устройств.
• Улучшено редактирование элементов на рабочем столе на системах с сенсорным экраном.
• При поиске по слову "память" (memory) теперь в числе рекомендаций предлагается запустить приложение System Monitor.
• В виджетах и приложении System Monitor реализована поддержка отслеживания сетевой активности на платформе FreeBSD.

Среди изменений в бета-версии KDE Plasma 6.6:

• Добавлена новая экранная клавиатура plasma-keyboard, которая разрабатывается на смену виртуальной клавиатуре Maliit. Plasma-keyboard базируется на коде экранной клавиатуры Qt Virtual Keyboard, входящей в состав Qt. Реализация от KDE расширена возможностями для интеграции с рабочим столом Plasma, решает некоторые проблемы с удобством использования и применяет новый алгоритм масшабирования, позволивший улучшить отображение клавиатуры на узких экранах.
  
• Добавлен новый менеджер входа plasma-login-manager, развиваемый для замены дисплейного менеджера SDDM (Simple Desktop Display Manager) и решающий специфичные для него архитектурные проблемы. Plasma-login-manager использует бэкенд на основе урезанной версии SDDM и механизм запуска, идентичный тому, что применяется для запуска сеанса рабочего стола KDE Plasma. Оформление экрана входа приближено к существующему блокировщику экрана KDE, а настройки унифицированы с KDE Plasma. Вместо использования QML для кастомизации тем оформления предложено использовать существующие плагины обоев рабочего стола, цветовых схем и тем оформления Plasma.
• Добавлен новый мастер начальной настройки plasma-setup, который дополняет экран приветствия входа в систему (Welcome Center). В plasma-setup предложены системные операции, которые выполняются до первого входа в систему после установки, такие как создание нового пользователя, под которым будет осуществляться дальнейшая работа, выбор языка и часового пояса, настройка раскладки клавиатуры и конфигурирование сетевого доступа.
• В приложение System Monitor добавлена поддержка выставления приоритетов выполнения процессов, по аналогии с тем, как это можно делать в старом приложении KSysGuard.
• По умолчанию прекращена проверка ошибок в файловой системе при монтировании внешнего накопителя, данная операция теперь вызывается по желанию через отдельную опцию.
• В диалог выбора экрана добавлено поле для поиска и фильтрации, позволяющее быстро найти экран по названию при наличии большого числа открытых окон.
• В интерфейс калибровки HDR добавлена сводная страница с настройками для Windows-приложений и игр.
• В приложениях воспроизведения мультимедийного контента реализована поддержка прокрутки вперёд и назад при помощи соответствующих специализированных кнопок на клавиатуре.
• В композитный менеджер kwin добавлена поддержка Wayland-протокола color-management-v2, предоставляющего возможности для управления цветом.
• Устранено появление визуальных артефактов в Firefox при включении в нём режима HDR.
• Добавлена возможность сохранения текущих настроек внешнего вида в форме новой темы оформления.
• В виджет управления Bluetooth добавлена кнопка "Forget device" для быстрого удаления сопряжённого устройства без перехода в конфигуратор.
  
  
• В приложение System Monitor встроена функция для поиска процессов с учётом не только имени, но и опций командой строки, а также расширен диалог для настройки показываемых столбцов.
• На экран завершения работы добавлено предупреждение о том, что перезапуск приведёт к загрузке другой операционной системы.
• В виджет управления питанием добавлена информация о видах блокировки, применённых к отдельным приложениям (блокировка перехода в спящий режим или блокировка запуска хранителя экрана).
• В конфигураторе реализован показ страниц настройки Thunderbolt и сенсорного экрана только при наличии данного оборудования.
• При просмотре миниатюр окон в виджете управления задачами реализовано фокусирование на активном окне для его выделения на фоне других открытых окон.
• В меню Kickoff реализована поддержка прокрутки списка избранных приложений, в случае если они не вмещаются в отведённую для них область.
• Добавлена поддержка провайдера хранения паролей oo7, поддерживающего API Secret Service.
• В эффект увеличения областей экрана добавлен режим, позволяющий центрировать вывод относительно позиции курсора (при увеличении курсор всегда остаётся в центре экрана).
  
  
• В интерфейс выбора Emoji добавлена опция для изменения цвета кожи при изображении людей и рук.
• Добавлена настройка для отключения индикаторов таймаута автоскрытия в уведомлениях (на некоторых системах подобная индикация на 15% увеличивает нагрузку на CPU)
• Использование игрового контроллера теперь воспринимается как активность, блокирующая переход в спящий режим и запуск хранителя экрана.
• Во всплывающий интерфейс компоновки дисплеев в многомониторных конфигурациях добавлена кнопка для вызова полноценного конфигуратора.
• В размещаемых в панели виджетах улучшена читаемость текстовых меток.
• Улучшена поддержка платформы OpenBSD (1,2,3).
• Улучшено использование Wayland-протокола xdg-activation для переключения фокуса ввода между приложениями.
• В конфигураторе улучшен интерфейс цветокоррекции для людей с нарушением восприятия цветов.
• На странице настройки прав доступа приложений обеспечен показ идентификатора Flatpak-приложения (например, "com.github.wwmm.easyeffects") вместо номера версии. Добавлена возможность выделения текста для помещения в буфер обмена.
• По умолчанию включено хранение паролей от Wi-Fi в глобальном контексте, доступном только пользователю root, а не в привязке к отдельным пользователям. Изменение позволит новым пользователям сразу начать работу в сети, если в системе ранее уже осуществлялось подключение к Wi-Fi, без необходимости повторного входа. На странице входа также сразу будут работать функции, требующие интернет-подключения, такие как использование учётных записей через LDAP.
• В виджете с реализацией меню приложений (Application Dashboard) учтена выбранная цветовая схема для показа в светлых тонах при светлом режиме оформления (по умолчанию меню продолжает отображаться тёмным). Добавлена возможность изменения размера секций с избранными (Favorites) и обычными приложениями, чтобы выделить одной из них больше места на экране.
• Предоставлена возможность временного отключения шаблонов и команд в менеджере буфера обмена Klipper без их удаления из списка.
• Закруглены углы маркера, выделяющего активный элемент верхнего меню в приложениях.
• Обеспечено корректное отображение соотношения сторон эскизов изображений при использовании сервиса смены обоев рабочего стола "Bing Picture of the Day" - вместо использования для изображений только портретного формата адаптивно выбирается альбомное или портретное представление.
• В настройках дополнения для интеграции с web-браузером теперь используется тёмный фон, если в браузере включён тёмный режим оформления.
• В команде "kcmshell6 --list" задействована сортировка в алфавитном порядке.
• В KRunner отключено динамическое изменение приоритета вывода результатов поиска в зависимости от частоты их использования, что позволит добиться более предсказуемой сортировки. В панель добавлена возможность изменения уровня громкости задачи, используя прокрутку колесом мыши на пиктограмме приложения.
• Реализована возможность передачи приложением свойства "position" при инициировании предоставления совместного доступа к экрану для улучшения работы в многомониторных конфигурациях.
• Виджет с часами переведён на использование библиотеки "libclock", что позволило избавиться от проблем с часовыми поясами и повысить эффективность работы с таймером.
• В меню приложений (Kickoff) реализовано визуальное разделение смежных выделенных категорий.
• В интерфейсе поиска при вводе запроса "winver", привычного пользователям Windows, обеспечен вывод страницы с информацией о системе.
• Реализовано отображение иконки сайта при управлении воспроизведением мультимедийного контента в браузере через виджет Media Player, когда не удалось получить картинку с обложкой альбома.
• В конфигураторе на странице настройки экрана унифицирован размер всех слайдеров.
• Изменена анимация переключения секций в окнах.
  
  
• Ограничение на максимальное число виртуальных рабочих столов увеличено с 20 до 25 (позволяет отображать виртуальные рабочие столы в сетке 5x5).
• Добавлена поддержка портала xdg для доступа к USB-устройствам из изолированных приложений.
• Добавлена поддержка настройки визуального выделения рамок и контуров элементов интерфейса, для которых используется тема оформления Breeze. Среди прочего возможно полное отключение разделителей элементов или контрастное разделение выбранным цветом.
• На системах с ядром Linux 6.20, разработка которого ещё не началась, и соответствующей аппаратной поддержкой реализована возможность корректировки чёткости всего содержимого экрана.
• В интерфейс выбора обоев рабочего стола для показа в режиме слайдшоу добавлены кнопки установки и снятия выделения со всех миниатюр.
• В конфигураторе переделан интерфейс настройки Bluetooth. Добавлены рамки для кнопок элементов списка, добавлен текст на кнопки "Connect" и обеспечено скрытие вкладки с параметрами активного устройства при выключенном Bluetooth.
• В конфигураторе на странице выбора обоев реализованы дополнительные отступы.
• Улучшено отображение содержимого на страницах с информацией о системе.
• Добавлена комбинация клавиш Meta+I для вызова конфигуратора.
• Реализована возможность использования ключевого слова "dxdiag", привычного пользователям Windows, для вывода информации о графической подсистеме при поиске.
• В текстовых полях задействован стандартный стиль кнопок для встроенных действий.
• В Discover добавлена кнопка для повторной проверки наличия обновлений, показываемая в диалоге после завершения очередной установки обновлений и вывода запроса на перезагрузку.
• В GTK-теме Breeze GTK по аналогии с Qt-темой Breeze прекращено использование градиентов на кнопках.
• Унифицирован размер слайдеров на странице настройки экрана в конфигураторе.
• Внесены оптимизации, позволившие снизить потребление оперативной памяти в KDE Plasma более чем на 100 МБ за счёт выгрузки из памяти неиспользуемых изображений, формируемых для показа обоев рабочего стола. Ценой оптимизации стала невозможность использования мозаичного режима (tiled) отображения обоев, применяемых для воссоздания ретро-оформления в стиле KDE 1. Функциональность для работы с подобными обоями вынесена из основного кода работы с изображениями в отдельный плагин "Tiled".
• Реализована настройка "KWin Scripts -> Enable Virtual Desktops Only on Primary", допускающая привязку окон к виртуальным рабочим столам только на первичном экране - на вторичных дисплеях окна всегда остаются видимыми, независимо от активного виртуального рабочего стола.
• В виджет управления сетевым соединением добавлена кнопка для подключения к сети с получением параметров Wi-Fi через сканирование QR-кода.
• В конфигураторе на странице с настройками подключения к удалённым рабочим столам в основном интерфейсе обеспечено отображение предупреждения о возникновении ошибок без необходимости открытия лога в случае сбоев.
• В DrKonqi, утилите для отправки отчётов о сбоях, реализован учёт аварийных завершений приложений, не связанных с KDE, а также возможность отправки отчётов о сбоях в подобных программах разработчикам или сопровождающим в дистрибутиве.
• При использовании "пипетки" (color picker) для определения цвета пикселя на экране теперь передаётся исходное RGB-значение цвета, а не значение после обработки фильтрами (например, фильтра для ночного режима) или использования профиля ICC.
• При отображении GTK-приложений с использованием темы оформления Breeze реализованы дополнительные отступы для панелей инструментов (крайние элементы панелей касались краёв окна) и исключено появление неэстетичных чёрных линий-разделителей.
• Обеспечена обработка активных углов (Hot-corner) для вызова действий на всех экранах в многомониторных конфиграциях, а не только на первом экране. При желании новое поведение можно отключить в настройках.
• В виджет калибровки HDR добавлена страница для определения максимальной усреднённой яркости при отображении в полноэкранном режиме.
• Улучшена работа операций drag-and-drop между окнами приложений на базе Wayland и XWayland.
• В программу для создания скриншотов Spectacle встроена функция оптического распознавания символов (OCR), позволяющая преобразовывать присутствующие на изображении слова в выделяемый текст. В текущем виде функциональность OCR ограничена Spectacle, но в дальнейшем её планируют выделить в библиотеку и задействовать в других приложениях KDE. Распознавание текста осуществляется при помощи пакета Tesseract и активируется только при его наличии в системе.
  
  
• Переработано оформление диалогов подтверждения полномочий и выбора приложения для обработки определённого контента.
• Переработан интерфейс настройки виджета с таймером (вместо двух страниц предложен унифицированный блок настроек).
• Объединены на одной странице разрозненные настройки системного лотка.
• В интерфейсе смены темы оформления предоставлена возможность предпросмотра тёмных вариантов тем оформления GTK.
• Обеспечено запоминание отказа регистрации последовательности клавиш, запрашиваемой при запуске приложения (при последующих запусках повторные запросы больше не выводятся).
• Обеспечено сохранение позиции пиктограммы на рабочем столе после переименования файла или каталога.
• Повышено качество и чёткость отображения информации при использовании дробного коэффициента масштабирования в сочетании с программным рендерингом.
• Цикличное аварийное завершение процесса больше не приводит к исчерпанию памяти и зависанию системы.
• В набор пиктограмм Breeze добавлена пиктограмма для файлов с кодом на языке Nim. В KDE Plasma и KWin значительно повышена плавность анимации при использовании экранов с частотой обновления больше 60Hz.
• Проведена оптимизация KWin, сократившая выполнение лишних действий при композитинге.
• Предоставлена возможность пометки отдельных окон для их исключения при захвате содержимого экрана (в скринкастах подобные окна и связанные с ними всплывающие окна будут скрыты). Окно можно пометить через контекстные меню в заголовке и менеджере задач, а также в редакторе оконных правил.
• Предоставлена возможность настройки насыщенности фона для эффекта размытия содержимого. В тёмной цветовой схеме по умолчанию реализовано более тёмное размытие, а насыщенность увеличена на 150%.
• Модернизирован интерфейс диалогового окна для управления удалённым доступом (1, 2, 3, 4).
• При прокручивании сгруппированных пиктограмм в менеджере задач, окна теперь выводятся в порядке последнего обращения к ним, без приоритезации полноэкранных задач.
• В редакторе меню (KMenuEdit) реализована поддержка выделения одновременно нескольких элементов для ускорения массового удаления.
• Из виджета буфера обмена (klipper) убрана кнопка для показа диалога просмотра QR-кода - QR-код теперь сразу показывается в интерфейсе.
• В конфигураторе при попытке удаления целиком группы ярлыков реализован запрос на подтверждение операции с подсветкой подлежащих удалению элементов.
• В композитном менеджере KWin реализована эмуляция расширения XRandr, применяемого для динамического изменения разрешения, вращения, трансформации и зеркалирования содержимого экрана. Реализованная поддержка решила проблемы с отображением полноэкранных X11-приложений на широкоформатных экранах при использовании XWayland.
• Продолжена модернизация диалоговых окон для доступа изолированных приложений к внешним ресурсам (XDG portal). Упрощён интерфейс для выбора окон и экрана.
• В web-браузер и виджет управления громкости добавлена кнопка закрепления (pin) для оставления открытыми всплывающих окон, вызываемых из панели.
• Улучшено отображение состояния дисков на странице SMART-диагностики в конфигураторе.
• В приложениях на базе фреймворка Kirigami и QtWidgets унифицированы высота заголовков и отступы между элементами в списках.
• В панельном виджете с меню приложений (Kicker) налажен показ подменю при быстром перемещении курсора по элементам меню верхнего уровня. Обеспечено раскрытие подменю по левую сторону от родительского элемента в случае размещения виджета в правой боковой панели.
• В меню приложений Kickoff добавлена возможность использования клавиш управления курсором для возвращения из области с результатами поиска к полю для ввода поискового запроса.
• Добавлена возможность назначения глобально действующих комбинаций клавиш для перемотки воспроизводимого контента вперёд или назад на 5 и 30 секунд. Комбинации назначаются пользователем и поддерживаются в мультимедийных проигрывателях, реализующих протокол удалённого управления MPRIS.
• В виджете со списком окон реализованы настройки для показа меню при наведении курсора мышью и скрытия пиктограммы окна (останется только название окна).
• Реализована возможность настройки порядка показа пиктограмм в виджете завершения сеанса и блокировки экрана.
• Убран вывод уведомления об ошибке в случае отмены вставки файлов на рабочий стол из буфера обмена.
• Повышена производительность выделения элементов на рабочем столе при помощи расширяемой мышью прямоугольной рамки.
• При отключении анимации в системных настройках реализовано автоматическое выставление опции "reduced-motion", информирующей приложения о необходимости минимизировать использование анимации. Добавлена возможность автоматической настройки яркости экрана на устройствах с датчиком освещённости.
• В конфигураторе на страницу настройки сетевого подключения и Wi-Fi добавлена информация о подключённых беспроводных сетях, аналогичная сведениям, показываемым в панельном апплете.
• В менеджере приложений Discover реализовано отображение информации о числе доступных обновлений.
• Обходным путём решена проблема с некорректным отображением цветов при запуске Windows-игр с поддержкой HDR в Wine или Proton.
• В уведомления о скриншотах добавлена кнопка "Open Containing Folder" для открытия каталога, в который сохраняются скриншоты.
• В виджет со списком окон добавлена возможность исключения окон, открытых на других экранах и виртуальных рабочих столах.
• В обработчик сворачивания всех окон добавлено действие Meta+Shift+O для минимизации всех окон, кроме текущего.
• В сеансе на базе Wayland значительно улучшена поддержка зеркалирования содержимого на нескольких экранах.
• Добавлена возможность использования в Wayland-сеансе утилиты kscreen-doctor для добавления собственных режимов экрана.
• Добавлена возможность перемещения окон стилусом графического планшета (смещение стилуса при удержании клавиши Meta).
• Решены проблемы с аварийным завершением при использовании в Plasma стороннего плагина WallpaperEngineKDE.
• Сокращено возникновение пропусков кадров (frame drop) на мониторах с очень высокой частотой обновления.
• В приложениях, использующих xdg-desktop-portal-kde, добавлена возможность предотвращения завершения сеанса, например, из-за наличия несохранённых документов.

Уязвимость в Android-прошивке, позволяющая выполнить код через отправку сообщения

В эксплоите задействованы две уязвимости: в библиотеке Dolby Unified Decoder (CVE-2025-54957) и драйвере bigwave для ядра Linux (CVE-2025-36934). Ранее для эксплуатации уязвимостей в кодеках было необходимо, чтобы пользователь прослушал или просмотрел полученный вредоносный контент. После интеграции AI-помощников в последних выпусках Android-прошивок полученный мультимедийный контент автоматически декодируется после получения, что существенно увеличивает поверхность атак, не требующих действий от пользователя (0-click). В контексте звуковых SMS- и RCS-сообщений, приложение Google Messages при помощи сервиса com.google.android.tts автоматически формирует транскрипцию для применения к звуковым сообщениям текстового поиска, что позволяет без участия пользователя эксплуатаировать уязвимости в имеющихся звуковых кодеках.

Проблема в Dolby Unified Decoder вызвана целочисленным переполнением при расчёте размера буфера под обрабатываемые структуры данных syncframe, что может использоваться для записи за пределы выделенного буфера. В результате переполнения может быть перезаписан указатель, используемый при обработке следующего синхронизирующего кадра, изменение которого, в свою очередь, позволяет перезаписать контролируемыми атакующим данными указатель на функцию и организовать выполнение своего кода с правами "mediacodec", ограниченными через SELinux.

Для эксплуатации ядра Linux была задействована уязвимость в драйвере bigwave, отвечающем за работу с символьным устройством /dev/bigwave , к которому был открыт доступ из SELinux-контекста "mediacodec". Уязвимость позволяла перезаписать структуры ядра через манипуляции с ioctl-вызовом BIGO_IOCX_PROCESS и добиться выполнения кода с правами ядра.

Уязвимость в библиотеке Dolby Unified Decoder (libcodec2_soft_ddpdec.so), предоставляющей функции для декодирования форматов Dolby Digital (DD, AC-3) и Dolby Digital Plus (DD+, EAC-3), не специфична для Android и прошивки к Pixel 9, и также проявляется в других платформах (Samsung S24, MacBook Air M1, iPhone 17 Pro, Windows, ChromeOS и т.п.). В Android-репозитории AOSP и прошивке к Samsung S24 к процессам, запускаемым в контексте mediacodec, применяется seccomp-фильтр системных вызовов, затрудняющий дальнейшую эксплуатацию уязвимостей в ядре. В прошивке для Pixel 9 подобный фильтр отсутствовал. От атаки мог бы защитить механизм Memory Tagging (MTE), но он доступен для устройств Pixel 8+ только в форме опции, активируемой при включении режима "Advanced Protection". В macOS и iOS эксплуатацию затрудняет сборка библиотеки с флагом "-fbounds-safet", подставляющим дополнительные проверки выхода за границу массивов, которые снижают производительность.

Исследователями отдельно разбираются проблемы с доведением до пользователей исправления уязвимости в Dolby Unified Decoder. Сведения об уязвимости были раскрыты публично за 82 дня до доведения исправления до пользователей устройств Pixel. Компания Dolby была информирована о проблеме 26 июня 2025 года. Первое бинарное исправление было выпущено 18 сентября для ChromeOSб, но для устройств Android компания Dolby предоставила бинарные патчи лишь 8 октября. 15 октября была публично раскрыта информация об уязвимости. 12 ноября исправление выпустил Samsung и только 5 января было опубликовано исправление для устройств Pixel. Распространение патча для всех Android-устройств потребовало 139 дней.

В Dolby Unified Decoder уязвимость была выявлена менее чем за два дня, а в драйвере BigWave - менее чем за день рецензирования. Трудозатраты на разработку рабочего эксплоита для уязвимости в Dolby Unified Decoder оценены в 8 недель при работе одного исследователя, а для BigWave - 3 недели. В опубликованном 14 октября отчёте компании Dolby уязвимость в Dolby Unified Decoder была помечена как имеющая незначительный уровень опасности, несмотря на передачу деталей о разрабатываемом эксплоите. Уязвимости в BigWave присвоили в Android средний уровень опасности (Moderate), мотивировав это тем, что атака возможна только из привилегированного контента и недоступна для непривилегированных контекстов (спустя три месяца статус уязвимости был изменён на "опасная проблема").

Источник: https://www.opennet.ru/opennews/art.shtml?num=64632

Обновление Firefox 147.0.1. План прекращения поддержки старой боковой панели

• Временно отключён добавленный в выпуске 147 механизм "Compression Dictionary Transport" из-за проблем с совместимостью с некоторыми сайтами, использующими данную технологию. Например, наблюдается невозможность работы с сайтом ChatGPT. Для возвращения поддержки сжатия контента по переданным сервером словарям можно использовать настройку "network.http.dictionaries.enable" на странице about:config.
• Устранена ошибка в реализации спецификации Freedesktop.org XDG Base Directory. Из-за ошибки несмотря на перенос хранения профилей, дополнений, настроек и внутренних БД в каталог "~/.config/mozilla" браузер продолжал создавать пустой каталог "~/.mozilla/extensions".
• Решена проблема с определением формата времени в методе Intl.DateTimeFormat, приводившая к неверному отображению времени на некоторых сайтах (например, вместо "12 GMT-06:00" показывалось "12h GMT-06:00").

Дополнительно сообщается о решении прекратить в этом году поддержку старой боковой панели. В Firefox 136 была добавлена новая реализация боковой панели, которая может отображаться в свёрнутом виде с показом только кнопок доступных операций (в старой панели режимы менялись через выпадающее меню, а в новой через боковые кнопки). В ночных сборках Firefox 148 новая панель включена по умолчанию. Во втором квартале 2026 года все пользователи старой панели будут автоматически переведены на новую панель, но будет доступна опция для возвращения старой панели. В третьем квартале код старой панели и опция для её возвращения будут удалены из Firefox.

Let's Encrypt начал выдавать сертификаты для IP-адресов и 6-дневные сертификаты

Доступные с сегодняшнего дня сертификаты для IP-адресов выдаются на 6 дней и позволяют настроить защищённый шифрованный доступ к хостам не только при использовании доменных имён, но и при обращении напрямую по IP-адресу. Защищённое обращение к web-серверу по IP-адресу может быть полезно при взаимодействии с домашними устройствами; при начальной настройке или тестировании новых серверов; для организации шифрованных соединений между бэкендами во внутренней инфраструктуре; для создания показываемых при обращении по IP страниц-заглушек; при развёртывании личных серверов; для организации доступа к серверам DoH (DNS over HTTPS) напрямую по IP.

Сертификаты для доменов, время действия которых ограничено 6 днями, могут применяться для повышения безопасности инфраструктуры - в случае незаметной утечки сертификата в результате взлома, короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга.

Для запроса короткоживущего сертификата для домена и сертификата для IP-адреса требуется наличие в ACME-клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля "shortlived". Для подтверждения владения IP-адресом можно использовать только методы http-01 и tls-alpn-01 (метод dns-01 запрещён).

Источник: https://www.opennet.ru/opennews/art.shtml?num=64628