Компания Apple опубликовала инструментарий для разработки Android-приложений на языке Swift

Для разработчиков опубликована базовая инструкция по началу разработки кроссплатформенных мобильных приложений на языке Swift, способных работать на платформе Android, и несколько готовых примеров подобных приложений. Также предложены инструкции по портированию для Android ранее созданных для Swift пакетов. В текущем видео 27.9% пакетов (~9000), размещённых в каталоге Swift Package Index, уже успешно могут быть собраны для Android. Для обеспечения переносимости между языками Java и Swift предложен пакет swift-java, включающий генератор обвязок и библиотеку для обращения из Swift-кода к компонентам на языке Java и наоборот.

Язык Swift сочетает лучшие элементы языков C и Objective-C, и предоставляет объектную модель, совместимую с Objective-C (Swift-код может смешиваться с кодом на С и Objective-C), но отличается использованием средств автоматического распределения памяти, контроля переполнения переменных и массивов, защитой от использования неинициализированных переменных и блокированием доступа к памяти после её освобождения, что значительно увеличивает надёжность и безопасность кода. Swift также предлагает множество современных методов программирования, таких как замыкания, обобщённое программирование, лямбда-выражения, кортежи и словарные типы, быстрые операции над коллекциями, элементы функционального программирования.

Pеализация Swift построена с задействованием технологий проекта LLVM. Для обеспечения высокой производительности Swift-программы компилируются в машинный код, который в проведённых тестах демонстрирует производительность на 30% опережающую код на Objective-C. Вместо сборщика мусора в Swift используются средства подсчёта ссылок на объекты. В поставку входит пакетный менеджер Swift Package Manager, предоставляющий инструменты для распространения модулей и пакетов с библиотеками и приложениями на языке Swift, управления зависимостями, автоматизированной загрузки, сборки и связывания компонентов. Компилятор и инструментарий для языка Swift распространяется под лицензией Apache 2.0.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64119

Выпуск Embox 0.7, ОС для запуска отдельных Linux-приложений поверх оборудования

Ядро Embox разделено на серию библиотек, реализующих различные программные интерфейсы (управление памятью, планировщик задач, сетевой стек и т.п.). Благодаря модульности Embox позволяет использовать для запуска каждого приложения минимальный набор системных компонентов и библиотек, достаточный для запуска конкретного приложения. Для каждого приложения формируется самодостаточный образ, оптимизированный для определённой задачи и способный работать поверх оборудования без лишних прослоек и без применения универсальных ядер и системных окружений.

Подобная компоновка позволяет запускать существующие приложения с минимальными накладными расходами на устройствах с ограниченными ресурсами. Embox также обеспечивает дополнительный уровень защиты - приложения связываются с библиотекам статически и кроме изначально поставляемого приложения в сформированном окружении невозможно выполнить другие программы.

В качестве примеров применения Embox упоминается создание VoIP-телефона на базе микроконтроллера STM32F7 и библиотеки PJSIP, запуск на микроконтроллере STM32F7 графического интерфейса на базе Qt, выполнение на плате STM32F769i приложения для обработки визуальной информации при помощи OpenCV, обособленный запуск SSH-сервера Dropbear, запуск игры Quake3 и графических приложений, использующих Mesa.

Основные возможности Embox:

• Поддержка процессорных архитектур x86, ARM, RISC-V, Microblaze, SPARC, E2K, PowerPC и MIPS.
• Поддержка работы на микроконтроллерах STM32 и возможность запускать на них программы, использующие Qt, OpenCV, PJSIP и другие популярные фреймворки.
• Поддержка плат, подобных Raspberry Pi.
• Поддержка создания окружений для запуска приложений на языках C++, Java, Python, Lua, TCL, Lisp, Ruby, JavaScript и Scheme.
• POSIX-совместимость.
• Возможность использования файловых систем FAT и ext2/3/4.
• Стек TCP/IP с поддержкой сокетов и типовых сетевых протоколов (UDP, HTTP, ARP, NTP, ICMP).
• Доступность Unix-подобных утилит, таких как ls, cat и mount.

Среди изменений в новом выпуске:

• Реализована подсистема для беспроводного доступа.
• Реализована подсистема для управления через AT-команды.
• Улучшена поддержка архитектуры RISC-V. Добавлена поддержка платформ Milandr MDR1206FI, Baikal-Electronics Baikal-U и Syntacore SCR-5.
• Добавлена поддержка MIPS64-процессора KOMDIV-64.
• Модернизирована сборочная система.
• Добавлена поддержка платформы машинного обучения TensorFlow Lite.
• Добавлена поддержка фреймворка Ardupilot с реализацией автопилота.
• Добавлена поддержка протокола WebSocket.
• Улучшены подсистемы SPI, I2C и MMC.

Отчёт о разработке KDE за неделю

• В панель добавлена возможность изменения уровня громкости задачи, используя прокрутку колесом мыши на пиктограмме приложения.
• Реализована возможность передачи приложением свойства "position" при инициировании предоставления совместного доступа к экрану для улучшения работы в многомониторных конфигурациях.
• Виджет с часами переведён на использование библиотеки "libclock", что позволило избавиться от проблем с часовыми поясами и повысить эффективность работы с таймером.
• В меню приложений (Kickoff) реализовано визуальное разделение смежных выделенных категорий.
• В интерфейсе поиска при вводе запроса "winver", привычного пользователям Windows, обеспечен вывод страницы с информацией о системе.
• Реализовано отображение иконки сайта при управлении воспроизведением мультимедийного контента в браузере через виджет Media Player, когда не удалось получить картинку с обложкой альбома.
• В конфигураторе на странице настройки экрана унифицирован размер всех слайдеров.
• Изменена анимация переключения секций в окнах.
  
  

Дополнительно можно отметить исправления проблем, выявленных после релиза KDE Plasma 6.5.0, которые войдут в состав корректирующего выпуска 6.5.1:

• Устранено нарушение отображения курсора на системах со старыми GPU AMD.
• В меню приложений Kickoff налажено перемещение мышью элементов из секции с избранными приложениями (Favorites) без нарушения порядка расположения оставшихся элементов.
• В уведомлении о прогрессе выполнения операций убрана кнопка показа деталей для работ, охватывающих только один элемент. При просмотре истории уведомлений обеспечен показ всех уведомлений в выполнении работ, а не только трёх последних.
• Оптимизирована передача цветовых данных при ограниченной пропускной способности порта вывода, кабеля или GPU.
• Исправлена ошибка, мешавшая применению прямой отрисовки (direct scanout) в ситуациях, когда она должна была использоваться.
• Устранены две (1, 2) регрессии, приводящих к аварийному завершению KWin.
• Исправлена ошибка, в некоторых ситуациях приводящая к аварийному завершению Plasma при горячем подключении экранов.
• Обеспечено корректное скругление углов в меню приложений на базе GTK.

Доступен web-браузер qutebrowser 3.6.0

Браузер поддерживает систему вкладок, менеджер загрузок, режим приватного просмотра, встроенный просмотрщик PDF (pdf.js), систему блокировки рекламы (на уровне блокировки хостов), интерфейс для просмотра истории посещений. Для просмотра видео в YouTube можно настроить вызов внешнего видеопроигрывателя. Перемещение по странице осуществляется при помощи клавиш "hjkl", для открытия новой страницы можно нажать "o", переключение между вкладками производится через клавиши "J" и "K" или "Alt-номер вкладки". При нажатии ":" выводится приглашение командной строки, в которой можно осуществить поиск по странице и выполнить типовые команды, как в vim, например, ":q" для выхода и ":w" для записи страницы. Для быстрого перехода к элементам страницы предлагается система "хинтов", которыми помечаются ссылки и изображения.

В новой версии:

• В команду ":version" добавлен вывод информации об оконном менеджере X11 или композитном сервере Wayland и загруженных дополнениях WebExtensions.
• Добавлена поддержка подсказок (hint) для элементов, являющихся частью теневого DOM (Shadow DOM).
• В скрипте qutedmenu обеспечена сортировка истории по времени доступа.
• На системах с Qt 6.8.2+ по умолчанию включено аппаратное ускорение отрисовки 2D canvas.
• В окружениях на базе Wayland, в которых не используется ветка Qt 6.10, обеспечено выставление по умолчанию переменной окружения EGL_PLATFORM=wayland для решение проблем с включением аппаратного ускорения отрисовки.

Выпуск uutils 0.3, варианта GNU Coreutils на языке Rust

Rust Coreutils задействован по умолчанию в выпуске Ubuntu 25.10 и применяется в дистрибутивах AerynOS (Serpent OS) и Apertis (развивается компанией Collabora). В отличие от GNU Coreutils реализация на Rust распространяется под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL. Дополнительно той же командой разработчиков развиваются написанные на Rust аналоги наборов утилит util-linux, diffutils, findutils и procps, а также программ sed и login.

В новой версии Rust Coreutils:

• Значительно повышена производительность некоторых утилит, например, по сравнению с GNU Coreutils утилита sort теперь быстрее в 3.72 раза при обычной сортировке и в 1.46 раз при сортировке чисел, base64 быстрее в 1.2 раза, expand в 1.8 раз, unexpand - в 1.5 раз, nl - в 1.57 раз, fold - в 1.19 раз, "uniq -c" в 1.13 раз.
• На базе инструментария CodSpeed создана инфраструктура для отслеживания производительности. В системе непрерывной интеграции обеспечено выявление регрессий в производительности. Добавлены тесты производительности для 15 утилит, среди которых sort, ls, uniq, du и base64.
• Для утилит rm, du, chmod и chgrp реализована безопасная работа с относительными путями директорий, основанная на использовании функций openat и unlinkat.
• Повышена безопасность за счёт использования crate-пакета nix вместо unsafe-вызовов libc.
• Улучшена обработка ошибок и приближена к GNU Coreutils обработка ошибок во многих утилитах.
• Улучшена совместимость с Coreutils при работе с файловыми путями, содержащими и не содержащими UTF8-символы.
• Улучшена совместимость с эталонным тестовым набором GNU Coreutils, при прохождении которого успешно выполнено 532 тестов (в прошлой версии 538), 68 (52) тестов завершилось неудачей, а 33 (27) теста было пропущено. Заявлен уровень совместимости 83.91% (было 87.06%). Снижение уровня совместимости объясняется добавлением в тестовый набор 16 новых тестов.
• В утилите date реализована опция "--reference=file" для показа времени модификации файла. Из-за отсутствия данной опции в Ubuntu перестал работать скрипт автоматической проверки наличия обновлений. В date также консолидирована логика парсинга времени, улучшена совместимость в GNU date в реализации опции "-d" и добавлен флаг "--resolution" для вывода данных о точности учёта времени.
• Реализованы опции: "basenc --base58", "id -a", "ls -f", "pinky --lookup", "realpath -E", "rm --progress".
• Расширены возможности, устранены проблемы и добавлены недостающие опции для утилит base64, basenc, chgrp, chmod, cksum, cp, csplit, date, df, dirname, du, expand, expr, fold, hashsum, hostname, id, install, ln, ls, mv, nl, nohup, numfmt, od, pinky, ptx, realpath, rm, seq, sort, stat, stdbuf, stty, tail, timeout, touch, tsort, unexpand, uniq, uname, wc, who, uucore.

Релиз программы для редактирования видео LosslessCut 3.66

Без перекодирования программа также может решать такие задачи как прикрепление звукового трека или субтитров к видео, вырезание отдельных сцен из роликов (например, вырезание рекламы из записей телепередач), раздельное сохранение фрагментов, привязанных к меткам/главам, перегруппировка частей видео, разделение звука и видео по разным файлам, изменение типа мультимедийного контейнера (например, из MKV в MOV), сохранение в форме изображений отдельных кадров видео, создание миниатюр, экспорт фрагмента в отдельный файл, изменение метаданных (например, данных о местоположении, времени записи, горизонтальной или вертикальной ориентации). Присутствуют средства для определения и автоматического вырезания пустых областей (чёрный экран на видео и фрагменты без звука в звуковых файлах), а также привязки к изменениям сцены.

Возможно соединение фрагментов из разных файлов, но файлы должны быть закодированы с использованием идентичного кодека и параметров (например, сняты одной камерой без изменения настроек). Возможно редактирование отдельных частей с выборочным перекодированием только изменяемых данных, но с оставлением в исходном видео остальной информации, не затронутой при редактировании. В процессе редактирования поддерживается откат изменений (undo/redo) и показ лога команд FFmpeg (можно повторить типовые операции из командной строки без использования LosslessCut). https://github.com/mifi/lossless-cut/

Ключевые изменения в новой версии:

• Реализованы маркеры для размещения закладок на временной шкале, которые могут быть экспортированы в форме скриншотов. Технически маркеры оформлены как сегменты видео, не имеющие времени окончания, исключаемые при экспорте и отображаемые по иному.
• Добавлена возможность одновременного воспроизведения нескольких звуковых дорожек.
• Обеспечено сохранение состояние выделенных сегментов внутри файлов ".llc".
• Добавлен режим разделения временной шкалы на основе размера контента. Например, файл, размером 4 ГБ может быть экспортирован в форме 4 файлов по 1 ГБ.
• Добавлена поддержка программного изменения сегментов, используя выражения на JavaScript.
• Реализовано запоминание параметров диалогов.
• Добавлена возможность выбора дорожек со звуком и видео для определения областей с тишиной и пустотой.
• Добавлены новые комбинации клавиш: shift+alt+up, shift+alt+down, shift+alt+pageup и shift+alt+pagedown для перемещения между сегментами.
• Улучшена отрисовка визуализации звуковой волны.
• Обновлена версия платформы Electron 38.
• Обновлён мультимедийный пакет FFmpeg 8.0. Значительно повышена производительность воспроизведения с использованием кодеков из FFmpeg.
• Повышена производительность интерфейса пользователя.
• Добавлены переменные CUT_DURATION, CUT_FROM_NUM и CUT_TO_NUM, которые можно подставлять при формировании имён файлов.
• Добавлены новые действия, к которым можно привязывать комбинации клавиш:
  • toggleDarkMode (включение/выключение тёмного режима),
  • toggleStripCurrentFilter (переключение треков, используя текущий фильтр),
  • toggleStripAll (оставить или исключить любые треки),
  • toggleStripSubtitle (оставить или исключить все треки с субтитрами),
  • toggleStripVideo (оставить или исключить все треки с видео).
• Добавлена начальная поддержка импорта формата OTIO (OpenTimelineIO).
• Добавлен экспериментальный режим кодирования с потерями, включаемый через опцию "--lossy-mode", например '--lossy-mode "{ videoEncoder: 'libx264' }"'.

На соревновании Pwn2Own продемонстрированы взломы смартфонов, NAS, принтеров и устройств умного дома

Суммарный размер выплаченных вознаграждений составил более миллиона долларов США ($1 024 750). Наиболее успешная команда Summoning Team сумела заработать на соревнованиях 187 тысяч долларов США. Обладатели второго места (ANHTUD) получили 76 тысяч долларов, а третьего (Synacktiv) - 90 тысяч долларов.

Осуществлённые атаки:

• Смартфон Samsung Galaxy S25: 2 успешных взлома c использованием шести разных уязвимостей, среди которых неправильная обработка входных данных. Выплачены две премии по $50 000.
• Умная розетка Amazon Smart plug: 1 успешный взлом c использованием трёх разных уязвимостей. Выплачена премия $20 000.
• Устройство домашней автоматизации Home Assistant Green: 6 успешных взломов. Выплачены премии $40 000, $20 000, $16 750, $15 000 и 2 x $12 500.
• Умный свет Phillips Hue Bridge: 10 успешных взломов. Выплачены премии $40 000, 3 x $20 000, $17 500, $16 000, 2 x $13 500, 2 x $10 000.
• Умные колонки Sonos Era 300: 1 успешный взлом c использованием уязвимости, связанной с переполнением буфера. Выплачена премия $50 000.
• Система видеонаблюдения Ubiquiti AI Pro: 1 успешный взлом. Выплачена премия $30 000.
• Принтер HP DeskJet 2855e: 1 успешный взлом c использованием уязвимостей, связанных с переполнением буфера. Выплачена премия $20 000.
• Принтер Canon imageCLASS MF654Cdw: 7 успешных взлома c использованием уязвимостей, связанных с переполнением буфера. Выплачены премии $20000, 6 x $10000, $5000
• Принтер Lexmark CX532adw: 4 успешных взлома c использованием уязвимостей, связанных с переполнением буфера и неправильной обработкой типов (Type Confusion). Выплачены премии $20 000, 2 x $10 000, $7 500.
• Сетевое хранилище Synology ActiveProtect Appliance DP320: 1 успешный взлом c использованием двух разных уязвимостей. Выплачена премия $50 000.
• Сетевое хранилище Synology BeeStation Plus: 1 успешный взлом c использованием уязвимостей, связанных с переполнением буфера. Выплачена премия $40 000.
• Сетевое хранилище Synology DiskStation DS925+: 2 успешных взлома. Выплачены премии $40 000 и $20 000.
• SOHO-инфраструктура на базе маршрутизатора QNAP Qhora-322 и сетевого хранилища QNAP TS-453E: Взлом с использованием 8 разных уязвимостей. Выплачена премия в $100 000.
• Сетевое хранилище QNAP TS-453E: 7 взломов с использованием подстановки команд, ошибки форматирования строки и жёстко прошитых параметров аутентификации. Выплачены премии в $40 000, 2 x $30 000, $20 000, 2 x $10 000.
• Камера Synology CC400W: 1 успешный взлом. Выплачена премия в $15 000

Кроме вышеотмеченных успешных атак, 3 попытки эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время. Неудачными оказались попытки взлома смартфона Samsung Galaxy S25, сетевого хранилища QNAP TS-453E и 3D-шлема Meta Quest 3S (атакующие смогли вызвать отказ в обслуживании, но не добились выполнения кода).

Невостребованной оказалась номинация по взлому мессенджера WhatsApp, за выявление в котором ошибки, позволяющей удалённо выполнить код без действия пользователя (0-click), была заявлена премия в миллион долларов. За удалённо эксплуатируемую уязвимость в WhatsApp, требующую действий пользователя (1-click), премия составляет 500 тысяч долларов, за уязвимость, приводящую к захвату учётной записи - $150 тысяч, а за получение удалённого доступа к данным пользователя, микрофону или камере - $130 тысяч.

Также не нашлось участников, способный продемонстрировать взломы смартфонов Google Pixel 9 и Apple iPhone 16 (премия 300 тысяч долларов) и умных очков Meta Ray-Ban (премия $150 тысяч).

В каких именно компонентах проблемы пока не сообщается. В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64111

Из-за ошибки в uutils в Ubuntu 25.10 перестала работать автоматическая проверка наличия обновлений

Проблема возникла из-за поставки утилиты "date" из набора uutils, в которой не была реализована опция "-r" ("--reference=file"), выводящая время изменения заданного файла. Указание данной опции в утилите "date" принималось парсером, но логика обработки опции отсутствовала в коде, поэтому вместо времени последнего изменения файла всегда возвращалось текущее время.

Команда "date" c опцией "-r" использовалась в ежедневно вызываемом скрипте "apt.systemd.daily" для определения времени модификации файла "/var/lib/apt/periodic/upgrade-stamp", которое использовалось для вычисления времени последней установки обновлений. Так как вызов "date" с опцией "-r" не приводил к выводу ошибки и возвращал текущее время, скрипт всегда считал, что в системе установлены самые свежие обновления.

Примечательно, что в git-репозитории uutils изменение с корректно работающей полной поддержкой опции "-r" было добавлено за месяц до релиза Ubuntu 25.10, но оно не было включено в пакет rust-coreutils0.2.2-0ubuntu2, вошедший в состав Ubuntu 25.10. Отсутствие вывода ошибки при вызове неработающей опции не позволило выявить проблему при автоматизированном тестировании. Проблема устранена в обновлении пакета rust-coreutils 0.2.2-0ubuntu2.1, для установки которого можно использовать команду "sudo apt install --update rust-coreutils".

Источник: https://www.opennet.ru/opennews/art.shtml?num=64108

В Fedora 44 в RPM намерены активировать проверку пакетов по цифровой подписи

Функциональность для верификации пакетов по цифровой подписи была реализована в пакетном менеджере RPM 6.0, но в Fedora 43, несмотря на переход на RPM 6, на уровне RPM продолжает использоваться только проверка целостности по хэшам, а подлинность пакетов из репозиториев проверяется на уровне высокоуровневых пакетных менеджеров YUM и DNF, в которых возможность верификации по цифровым подписям была реализована изначально и включена по умолчанию. Теперь подобную проверку намерены задействовать на уровне RPM. В случае одобрения изменения в Fedora 44 при установке пакетов через RPM будет выполняться как проверка целостности по хэшу, так и проверка подлинности по цифровой подписи, заверенной ключом сборщика пакета.

При попытке установки пакетов без подписи или с некорректной подписью по умолчанию будет выводиться ошибка, если пользователь явно не запустил rpm с флагом "--nosignature". Для работы с внешними репозиториями, не формирующими цифровые подписи, в пакетный менеджер DNF 5.2.14.0 добавлена возможность выборочного отключения в RPM верификации в привязке к отдельным пакетам. Данная возможность задействована в инструментарии Mock (mock-core-configs) для работы с новыми сборками пакетов. В Mock также добавлен плагин для формирования подписей для локальной собираемых пакетов, а в сервисе Copr (Community projects) реализована возможность автоматического формирования подписей.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64107

Mozilla вводит новые требования к Firefox-дополнениям, работающим с персональными данными

Информация о сборе данных также будет отображаться в менеджере дополнений (about:addons) в секции "Permissions and Data" и на странице дополнения в каталоге addons.mozilla.org.

Типы операций с персональными данными должны быть заданы в файле manifest.json через объект "browser_specific_settings.gecko.data_collection_permissions". Разработчиком может быть определены как всегда применимые методы работы с персональными данными, так и опциальные методы, которые могут быть отключены пользователем.

Среди документируемых видов персональных данных упоминаются идентифицирующая информация (ФИО, email, телефон, адрес, возраст и т.п.), финансовая информация (номера кредитных карт и счетов, история платежей), медицинская информация (данные о болезнях, анализах), параметры аутентификации (логины, пароли, PIN), персональные коммуникации (email, сообщения в чатах, посты в соцсетях), данные о местоположении (GPS, регион), активность в браузере (информация о просмотренных сайтах), содержимое сайтов (изображения и текст со страниц), взаимодействие с сайтами (информация о кликах, действиях с мышью и клавиатурой), поисковые запросы, информация о закладках, технические данные (информация об устройстве).

     "data_collection_permissions": {
          "required": [
             "locationInfo"
          ],
          "optional": [
             "technicalAndInteraction"
          ]
     }

Новым дополнениям, не собирающим или не передающим персональные данные, следует указать в объекте "data_collection_permissions" значение "none". Для дополнений, поддерживающих работу с Firefox до версии 140 для ПК и 142 для Android, сохраняется необходимость предоставления интерфейса для управления сбором и передачей данных.

Требование пока применимо только к новым дополнениям, впервые размещаемым в каталоге AMO и не распространяется на публикацию новых версий уже существующих дополнений. Использование нового способа декларирования сбора данных планируют сделать обязательным для всех дополнений в первой половине 2026 года. Дополнения не выполняющие новые требования или не корректно выставляющие объект "data_collection_permissions" не будут заверяться цифровой подписью и приниматься в каталог addons.mozilla.org.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64106

Выпуск СУБД MySQL 9.5.0

Основные изменения в MySQL 9.5:

• Добавлена опция "activate_mandatory_roles" для расширенного управления ролями - при отключённой настройке "activate_all_roles_on_login" и включённой "activate_mandatory_roles" в дополнение к стандартным ролям активируется поддержка обязательных ролей (автоматически назначаемых пользователю при подключении).
• В плагине MySQL Multilingual Engine в реализации языка JavaScript обеспечена поддержка спецификации ECMAScript 2025.
• Добавлена утилита mysqldm (MySQL Diagnostic Monitor), предназначенная для сбора диагностической информации (анализируется выполнение предопределённого набора запросов), которая может быть передана пользователем в службу поддержки для упрощения разбора проблем.
• Добавлена возможность одновременной установки бок о бок обычных и LTS-выпусков MySQL.
• В параметрах репликации по умолчанию включены расширенные настройки защиты, подразумевающие использование шифрования для всех соединений при репликации.
• В плагине MySQL Thread Pool реализована автоматическое выставление параметров для достижения максимальной производительности с учётом имеющейся аппаратной конфигурации.
• Изменено поведение параметра "innodb_log_writer_threads", включение которого по умолчанию теперь зависит от активного режима бинарных redo-логов (log_bin). При неактивном "log_bin" параметр "innodb_log_writer_threads" включается для систем с более чем 4 логическими CPU, а при активном - с более чем 31 логическим CPU.
• По умолчанию значение параметра "binlog_transaction_dependency_history_size" увеличено с 25 тысяч до миллиона. Максимально возможное значение для данного параметра увеличено с 1 до 10 миллионов.
• Значение параметра "caching_sha2_password_digest_rounds" по умолчанию увеличено до 10000.
• Объявлено устаревшим использование метода аутентификации SCRAM-SHA-1 при подключении к SASL LDAP. Вместо него следует использовать метод SCRAM-SHA-256, который теперь выставляется по умолчанию в параметре "authentication_ldap_sasl_auth_method_name".
• Прекращена поддержка переменных "group_replication_allow_local_lower_version_join" и "replica_parallel_type", ранее объявленных устаревшими.
• На платформе Solaris добавлена поддержка сборки с использованием Clang и GCC. Также добавлена возможность использования OpenSSL 3 в Solaris.
• Минимально поддерживаемая версия Cmake поднята до 3.17.5.
• Устранено 9 уязвимостей, наиболее серьёзным из которых присвоен уровень опасности 5.5 из 10. Подробности не сообщаются, указано лишь, что уязвимости присутствуют в InnoDB, DML и оптимизаторе. Для эксплуатации уязвимостей требуется аутентифицированный доступ к СУБД.

Фонд Sovereign профинансирует Scala, Servo, Drupal, PHP, OpenSSL, OpenPrinting, R и systemd

Проекты которым предоставлено финансирование в 2025 году:

• Servo - 545 тысяч евро на 2025 и 2026 годы.
• chatmail - 497 тысяч евро на 2025, 2026 и 2027 годы.
• OpenSSL - 405 тысяч евро на 2025 и 2026 годы.
• Let's Encrypt - 402 тысячи евро на 2025 и 2026 годы.
• systemd - 399 тысяч евро на 2025 и 2026 годы.
• R Project - 392 тысячи евро на 2025, 2026 и 2027 годы.
• Scala - 377 тысяч евро на 2025, 2026 и 2027 годы.
• Apache Arrow - 297 тысяч евро на 2025, 2026 и 2027 годы.
• conda - 247 тысяч евро на 2025, 2026 и 2027 годы.
• PHP - 223 тысячи евро на 2025 и 2026 годы.
• Open Web Docs - 220 тысяч евро на 2025 и 2026 годы.
• Drupal - 201 тысяча евро на 2025 и 2026 годы.
• Fedify - 192 тысячи евро на 2025 и 2026 годы.
• OpenPrinting - 190 тысяч евро на 2025 и 2026 годы.
• SDCC (Small Device C Compiler) - 98 тысяч евро на 2025 и 2026 годы.
• phpseclib - 50 тысяч евро на 2025 и 2026 годы.

Всего с 2022 года организацией STF профинансировано 87 открытых проекта, среди которых FreeBSD, GNOME, Samba, Rust, Pipewire, Eclipse, OpenStreetMap, Arch Linux и FFmpeg. Наибольший объем средств выделен проектам GNOME (миллион евро), Rust (826 тысяч евро) и Samba (688 тысяч евро).

Источник: https://www.opennet.ru/opennews/art.shtml?num=64105

AlmaLinux возобновил поддержку Btrfs, прекращённую в RHEL

Протестировать поддержку Btrfs можно в выпущенной несколько дней назад бета-версии AlmaLinux OS 10.1 или в сборках дистрибутива AlmaLinux OS Kitten, основанного на CentOS Stream 10. Работа по возвращению поддержки Btrfs выполнена совместно с разработчиками из проектов Fedora и CentOS, входящих в рабочие группы Fedora Btrfs SIG и CentOS Hyperscale SIG.

Компания Red Hat объявила ФС Btrfs устаревшей в выпуске RHEL 7.4 (2017 год) и полностью прекратила её поддержку в ветке RHEL 8 (2019 год), удалив из базовой поставки модуль ядра btrfs.ko, утилиты btrfs-progs и пакет snapper. При этом поддержка файловой системы Btrfs была продолжена в Oracle Linux.

Помимо добавления Btrfs в инсталлятор, установки модуля ядра и возвращения набора утилит btrfs-progs, в AlmaLinux также проведена работа по адаптации работы с Btrfs стека управления хранением данных и проверена корректность функционирования пакетов bcc, buildah, cockpit, ignition, libblockdev, libguestfs, osbuild, osbuild-composer, podman, pykickstart, python-blivet, skopeo, udisks2 и virt-v2v в окружениях с Btrfs.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64103

В Fedora утверждены правила использования AI-инструментов при разработке

Основные принципы использования AI-инструментов при подготовке изменений для Fedora:

• Разработчик, использующий AI-инструменты при подготовке изменений для Fedora, считается автором, несёт ответственность за переданное изменение и ручается за его качество, соответствие лицензиям и полезность. Независимо от того, подготовлено изменение человеком или AI, оно должно полностью соответствовать требованиям проекта к принимаемым изменениям.
• При передаче изменения, значительная часть которого сгенерирована AI-инструментами, в примечании к коммиту или pull-запросу обязательно требуется добавлять тег "Assisted-by: название AI-ассистента". Например, "Assisted-by: ChatGPTv5". При незначительных заимствованиях или при ручной переработке кода, предложенного AI-ассистентами, добавление маркировки желательно, но не обязательно. Не требует маркировки использование AI для выполнения рутинных задач, таких как исправление грамматических ошибок и приведение текста в порядок.
• При рецензировании изменений AI-инструменты можно использовать в процессе анализа изменения или для помощи в формировании отзывов. При этом запрещено использовать AI для полной автоматизации процесса рецензирования или вынесения суждения о предложенном изменении. Окончательное решение должен принимать человек, который несёт ответственность за санкционированное им одобрение и отклонение изменения.
• При управлении проектом AI-инструменты могут применяться для автоматизации рутинных задач, таких как фильтрация спама, автоматизированное тестирование и создание заметок, но их использование недопустимо для определения статуса участника сообщества, например, при оценке жалоб на нарушение кодекса поведения, обработке запросов финансирования и выборе кандидатов на руководящие должности.
• Крупномасштабные инициативы, способные значительно поменять механизмы работы проекта или привести к экспоненциальному росту изменений, должны обсуждаться отдельно с управляющим советом Fedora.

Компания Apple опубликовала код ядра и компонентов на базе СПО, используемых в macOS 26.0

По сравнению с macOS 15 обновлены версии пакетов:

• AvailabilityVersions-155
• Chess-560.3
• DiskArbitration-535.0.10
• Heimdal-710.0.1
• ICU-76133
• IOAudioFamily-700.2
• IOBDStorageFamily-26
• IOFireWireAVC-436
• IOFireWireFamily-492
• IOFireWireSBP2-454
• IOFireWireSerialBusProtocolTransport-262
• IOHIDFamily-2222.0.24
• IOKitUser-100222.0.4
• IONetworkingFamily-186
• IOPCIFamily-726.0.5
• IOSCSIParallelFamily-345
• IOStorageFamily-331
• KerberosHelper-165
• Libc-1725.0.11
• Libinfo-600
• Libnotify-344.0.1
• Libsystem-1356
• MITKerberosShim-88
• NFS-339
• OpenPAM-35
• OpenSSH-354.0.3
• PowerManagement-1846.0.25.0.1
• SMBClient-532
• Security-61901.0.87.0.1
• TimeZoneData-107
• WebKit-7622.1.22.11.14
• adv_cmds-237 @@ -61,111
• 61,111 @@
• bc-35
• bless-330
• bootp-527
• bzip2-47
• configd-1385.0.7
• copyfile-230.0.1.0.1
• cron-52
• cups-522
• diskdev_cmds-751
• dtrace-413
• dyld-1323.3
• eap8021x-368.0.3
• file_cmds-475
• files-968
• hfs-704.0.3.0.2
• kext_tools-779
• ksh-42
• less-50
• libarchive-158
• libdispatch-1542.0.4
• libedit-65
• libiconv-113
• libmalloc-792.1.1
• libpcap-144
• libplatform-359.1.2
• libpthread-539
• libresolv-93
• libutil-73
• libxml2-39.8
• libxslt-21.12
• lsof-76
• mDNSResponder-2881.0.25
• mail_cmds-41
• msdosfs-788.0.6.0.1
• network_cmds-726
• ntfs-166
• objc4-950
• pam_modules-217.0.1
• perl-173
• ppp-1020.1.1
• removefile-84
• rsync-170
• ruby-171
• security_certificates-55349.0.11
• sudo-114.0.2
• syslog-404
• system_cmds-1039
• tcpdump-153
• text_cmds-197
• top-144
• vim-163
• zlib-100
• zsh-110.1.1

Среди прочего доступен код ядра XNU, исходные тексты которого публикуются в виде срезов кода, связанных с очередным релизом macOS. XNU является частью открытого проекта Darwin и представляет собой гибридное ядро, сочетающее ядро Mach, компоненты от проекта FreeBSD и C++ API IOKit для написания драйверов.

Кроме того, опубликованы открытые компоненты, используемые в мобильной платформе iOS 26.0. Публикация включает два пакета - WebKit и libiconv.

Релиз OpenBSD 7.8

Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: LibreSSL (форк OpenSSL), OpenSSH, пакетный фильтр PF, демоны маршрутизации OpenBGPD и OpenOSPFD, NTP-сервер OpenNTPD, почтовый сервер OpenSMTPD, мультиплексор текстового терминала (аналог GNU screen) tmux, демон identd с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc, протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol), легковесный http-сервер, утилита синхронизации файлов OpenRSYNC.

Основные изменения:

• В порте для архитектуры ARM64 добавлена поддержка плат Raspberry Pi 5, реализован драйвер acpicpu, обеспечена работа apm (Advanced Power Management) и sysctl hw.cpuspeed на устройствах с чипами Qualcomm Snapdragon X Elite.
• Реализована поддержка флага FD_CLOFORK (close-on-fork) для закрытия файлового дескриптора для дочерних процессов после вызова функции fork(). По сравнению с остальными реализациями обеспечен сброс данного флага после вызова функции exec() из соображений безопасности и удобства.
• Добавлена подсистема для выполнения высокоуровневых операций выделения, планирования и диспетчеризации программных прерываний (soft interrupt dispatcher).
• Ядро переведено на использование наносекунд вместо тиков таймера при выполнении функции sleep, что позволяет избежать потери точности из-за преобразований из наносекунд в тики и обратно при инициировании операций из библиотечных функции в пространстве пользователя.
• Повышена совместимость с файловыми системами на базе механизма FUSE (Filesystem in Userspace), в реализации которых используется библиотека libfuse.
• Улучшена поддержка спящего и ждущего режимов. Обеспечено предварительное выделение рабочей области для спящего режима во время загрузки. Добавлена возможность использования ждущего режима при подключении устройств через GPIO. Добавлена поддержка перевода в ждущий режим ноутбуков с CPU AMD при использовании режима пониженного энергопотребления S0ix. Реализован sysctl ddb.suspend, позволяющий пропустить перевод в ждущий режим драйверов inteldrm и amdgpu, чтобы экран оставался активным. Повышена надёжность работы ждущего режима S3 при использовании графического драйвера amdgpu.
• Усовершенствована поддержка многопроцессорных систем (SMP). Обеспечено распараллеливание работы TCP-стека на разных ядрах CPU. Для обработки TCP-трафика и входящих сетевых пакетов теперь может использоваться до 8 потоков (но не больше, чем ядер CPU). Реализовано параллельное выполнение операций пересборки фрагментов IPv6-пакетов и разбора параметров маршрутизации IPv6. Избавлены от глобальной блокировки системные вызовы close() и listen().
• Реализация фреймворка drm (Direct Rendering Manager) синхронизирована с ядром Linux 6.12.50 (в прошлом выпуске - 6.12.21). Добавлены новые драйверы qcdrm и qcdpc для DRM-подсистемы чипов Qualcomm Snapdragon и DisplayPort-контроллера Qualcomm.
• Реализована поддержка работы OpenBSD в виртуальных машинах kvm/qemu при использовании для защиты гостевой системы расширения AMD SEV-ES (Encrypted State). В гипервизор vmd добавлена возможность запуска гостевых систем в режиме AMD SEV-ES, для включения которого в vm.conf добавлен параметр "seves". Обновлены эмулируемые Virtio-устройства network, block, entropy и scsi, в которых реализована поддержка спецификации Virtio 1.2.
• Утилита pkg-config переведена с собственной реализации на Perl на использование инструментария pkgconf 2.4.3, написанного на Си.
• В качестве утилиты watch, периодически запускающей команды и показывающей их вывод, задействована программа iwatch.
• В скрипт security, выполняющий периодическую проверку безопасности, добавлена функциональность для создания резервных копий GPT/MBR. Для восстановления копии GPT/MBR из файла в утилиту fdisk добавлена опция "-R".
• В фоновый процесс apmd добавлена опция "-w процент" и обработчик /etc/apm/warnlow для организации вывода предупреждения при снижении заряда аккумулятора ниже указанного уровня.
• Реализована новая система профилирования gprof, использующая системный вызов profil.
• Расширена поддержка оборудования и добавлены новые драйверы:
  • acpiwmi - Windows Management Instrumentation.
  • amdpmc - контроллер управления энергопотреблением AMD.
  • bcmmip - контроллер MSI BCM2712.
  • bcmstbgpio - контроллер GPIO Broadcom.
  • bcmstbintc - контроллер прерываний Broadcom.
  • bcmstbpinctrl - Broadcom pin multiplexing.
  • bcmstbrescal - Broadcom reset calibration controller.
  • bcmstbreset - Broadcom reset controller.
  • rpone - Raspberry Pi RP1 peripheral controller.
  • rpiclock - Raspberry Pi RP1 clock controller.
  • rpipwm - Raspberry Pi RP1 PWM controller.
  • rpirtc - Raspberry Pi real-time clock.
  • iasuskbd(4) - ASUS I2C HID.
• В драйвер web-камер uvideo добавлено поддержка кодека H.264.
• Добавлен фоновый процесс lldpd с реализацией протоколов LLDP (Link Layer Discovery Protocol) и утилита lldp для управления им.
• Добавлен фоновый процесс bpflogd для захвата сетевых пакетов при помощи bpf (Berkeley Packet Filter) и их записи в лог в формате tcpdump.
• В iked, реализации протокола IKEv2 для IPsec, добавлена возможность загрузки нескольких сертификатов из файла.
• Библиотека LibreSSL обновлена до версии 4.2.0, в которой предложен API для использования алгоритма обмена ключами ML-KEM (CRYSTALS-Kyber), стойкого к подбору на квантовом компьютере.
• Обновлён OpenSSH. Список изменений можно посмотреть в анонсах OpenSSH 10.1 и 10.2:
• Число портов для архитектуры AMD64 составило 12651 (было 12593), для aarch64 - 12506 (было 12446), для i386 - 10457 (было 10429). Среди версий приложений в портах:
  • Asterisk 22.5.2
  • Audacity 3.7.5
  • CMake 3.31.8
  • Chromium 141.0.7390.54
  • Emacs 30.2
  • FFmpeg 6.1.3
  • GCC 8.4.0 и 11.2.0
  • GHC 9.8.3
  • GNOME 48
  • Go 1.25.1
  • JDK 8u462, 11.0.28, 17.0.16, 21.0.8 и 25.0.0
  • KDE Applications 25.08.1
  • KDE Frameworks 6.18.0
  • KDE Plasma 6.4.5
  • Krita 5.2.13
  • LLVM/Clang 19.1.7, 20.1.8 и 21.1.2
  • LibreOffice 25.8.1.1
  • Lua 5.1.5, 5.2.4, 5.3.6 и 5.4.7
  • MariaDB 11.4.7
  • Mono 6.12.0.199
  • Mozilla Firefox 143.0.3 и ESR 140.3.1
  • Mozilla Thunderbird 143.3.1
  • Mutt 2.2.15 и NeoMutt 20250905
  • Node.js 22.20.0
  • OCaml 4.14.2
  • OpenLDAP 2.6.10
  • PHP 8.2.29, 8.3.26 и 8.4.13
  • Postfix 3.5.25 и 3.10.1
  • PostgreSQL 17.6
  • Python 2.7.18 и 3.12.11
  • Qt 5.15.16 (+ патчи от kde) и 6.8.3
  • R 4.5.1
  • Ruby 3.2.9, 3.3.9 и 3.4.6
  • Rust 1.90.0
  • SQLite 3.50.4
  • Shotcut 25.08.16
  • Sudo 1.9.17p2
  • Suricata 7.0.7
  • Tcl/Tk 8.5.19 и 8.6.16
  • TeX Live 2025
  • Vim 9.1.1706 и Neovim 0.11.4
  • Xfce 4.20.0
• Обновлены компоненты от сторонних разработчиков, входящие в состав OpenBSD 7.8:
  • Графический стек Xenocara на базе X.Org 7.7 с xserver 21.1.18 + патчи, freetype 2.13.3, fontconfig 2.15.0, Mesa 25.0.7, xterm 399, xkeyboard-config 2.20, fonttosfnt 1.2.4.
  • LLVM/Clang 19.1.7 (+ патчи)
  • GCC 4.2.1 (+ патчи) и 3.3.6 (+ патчи)
  • Perl 5.40.1 (+ патчи)
  • NSD 4.3.0
  • Unbound 1.24.0
  • Ncurses 6.4
  • Binutils 2.17 (+ патчи)
  • Gdb 6.3 (+ патчи)
  • Awk 20250116
  • Expat 2.7.3
  • zlib 1.3.1 (+ патчи)
  
  
  Источник: https://www.opennet.ru/opennews/art.shtml?num=64101

Опубликован Valkey 9.0, форк СУБД Redis

СУБД Valkey и Redis предоставляют функции для хранения данных в формате ключ/значение, расширенные поддержкой структурированных форматов данных, таких как списки, хэши и множества, а также возможностью выполнения на стороне сервера скриптов-обработчиков на языке Lua. БД хранится в памяти и синхронизируется с версией на диске или отражается в логе изменений на диске, что гарантирует сохранность данных в случае аварийного завершения работы. Поддерживаются транзакции, режим "публикация/подписка", команды для инкремента/декремента, операции над списками и множествами (объединение, пересечение), переименование ключей, master-slave репликация, множественные выборки и функции сортировки.

В новой версии:

• Для переноса данных между узлами в кластере задействована техника атомарной миграции слотов, при которой данные переносятся не на уровне отдельных ключей (один ключ за другим), а на уровне атомарного перемещения 16384 байтовых слотов хранения данных. Перенос осуществляется с использованием формата AOF, позволяющего отправлять отдельные элементы коллекций вместо всех данных, связанных с ключом. Подобный подход заметно повышает производительность, позволяет избежать перенаправлений и исключает задержки, возникавшие при доступе клиента к переносимому ключу.
• Добавлена возможность определения отдельного времени жизни для разных полей в хэшах, связанных с одним ключом (ранее время жизни привязывалось к ключу и охватывало разом все поля). Для управления временем жизни данных добавлены новые команды: HEXPIRE, HEXPIREAT, HEXPIRETIME, HGETEX, HPERSIST, HPEXPIRE, HPEXPIREAT, HPEXPIRETIME, HPTTL, HSETEX и HTTL.
• Предоставлена возможность использования в кластерном режиме нумерованных БД, в которых пространство ключей разделяется на несколько разных БД (по умолчанию 16).
• Повышена эффективность работы больших кластеров - продемонстрирован кластер из 2000 узлов, способный обрабатывать миллиард запросов в секунду.
• Добавлена оптимизация, позволяющая в некоторых ситуациях на 40% повысить пропускную способность за счёт упреждающей загрузки группируемых (pipelining) команд в память.
• Добавлена оптимизация, позволяющая в некоторых ситуациях на 20% повысить пропускную способность за счёт исключения копирования данных в памяти (zero copy) во время обработки крупных запросов.
• Добавлена поддержка технологии Multipath TCP для организации доставки пакетов одновременно по нескольким маршрутам через разные сетевые интерфейсы, привязанные к разным IP-адресам. Применение Multipath TCP позволяет в некоторых ситуациях снизить задержки на 25%.
• В BITCOUNT и HyperLogLog добавлены оптимизации, использующие процессорные инструкции SIMD, в некоторых ситуациях позволяющие увеличить пропускную способность на 200%.
• В геопространственные индексы добавлена поддержка запросов местоположения по координатам многоугольника.
• Добавлена команда "DELIFEQ" для удаления ключа, если связанное с ним значение соответствует указанному.
• В команде "CLIENT LIST" реализована возможность задания фильтров, отсеивающих элементы по имени, флагам, активности, БД, IP-адресу и полномочиям.
• Возобновлена поддержка 25 команд, ранее объявленных устаревшими.

Выпуск дистрибутива OpenWrt 24.10.4

Основные изменения в OpenWrt 24.10.4:

• В платформу ramips добавлена поддержка устройств Qding QC202 и Zbtlink ZBT-WG108.
• В платформе ath79 для устройств TP-Link Archer C59 v1 и TP-Link Archer C60 v1 решены проблемы с Wi-Fi 5 GHz.
• В платформе ipq40xx для устройств Linksys WHW01 улучшена настройка MAC-адреса и светодиодных индикаторов.
• В платформе mediatek добавлена поддержка новых вариантов устройств GL.iNet GL-MT2500/GL-MT2500A.
• В платформе mpc85xx решены проблемы с Flash на устройствах Aerohive BR200-WP.
• В платформе qualcommax повышена стабильность обновления маршрутизаторов Linksys MX4200/MX4300/MX5300/MX8500.
• В платформе ramips решены проблемы с MAC-адресом и настройкой пинов на устройствах Hongdian H7920.
• В платформе rockchip решены проблемы с PCIe.
• В беспроводном стеке mac80211/ath10k улучшена обработка ошибок "failed to flush transmit queue". Состояние подсистемы mac80211 синхронизировано с ядром 6.12.52.
• Пакет с ядром обновлён до версии 6.6.110 (была 6.6.104).
• Обновлены odhcpd 2025-10-02, ubus 2025-10-17, mbedtls 3.6.5 и openssl 3.0.18.
• Устранены уязвимости CVE-2025-62525 (локальное повышение привилегий через ltq-ptm) и CVE-2025-62526 (переполнение буфера в ubusd).

Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива

Уязвимость также проявляется в форках библиотеки async-tar, таких как tokio-tar, krata-tokio-tar и astral-tokio-tar, а также в утилитах на их основе, например, в пакетном менеджере uv, развиваемом в качестве высокопроизводительной замены "pip" для проектов на языке Python. Из популярных проектов, использующих уязвимые библиотеки, также отмечаются инструментарий testcontainers для запуска docker-контейнеров и WebAssembly runtime wasmCloud. В репозитории crates.is за последние 90 дней библиотека async-tar насчитывает 1.3 млн загрузок, tokio-tar - 2.2 млн, testcontainers - 2.9 млн.

Уязвимость вызвана некорректным выбором позиции при разборе разных значений размера в заголовках ustar и PAX. В tar-архивах в формате PAX для каждого файла внутри архива указываются два заголовка - классический ustar и расширенный PAX. Проблема вызвана тем, что уязвимые библиотеки при распаковке файлов вместо вычисления смещения на основе размера из расширенного заголовка PAX, брали размер из устаревшего заголовка ustar. При нулевом значении размера в заголовке ustar, идущее за ним содержимое файла обрабатывалось как корректный блок TAR-заголовков для следующего файла.

Для совершения атаки достаточно создать TAR-архив, в котором в ustar-заголовке указан нулевой размер, а в заголовке для формата PAX актуальный размер, из-за чего содержимое файла с другим tar-архивом будет обработано как часть основного архива. Пример кода для создания подобных архивов размещён на GitHub. Уязвимость устранена в выпусках tokio-tar 0.5.6 и uv 0.9.5. Для остальных библиотек исправления пока не опубликованы, но для astral-tokio-tar, async-tar и krata-tokio-tar отдельно подготовлены патчи.

Уязвимости в библиотеках присвоен уровень опасности 8.1 из 10, так как проблема может использоваться для перезаписи распаковываемых файлов (в уязвимых реализациях будут распакованы не те файлы, что были видны в архиве). При этом уязвимость в пакетном менеджере uv отмечена как неопасная, так как если атакующий может влиять на содержимое исходного архива, нет смысла усложнять атаку и эксплуатировать уязвимость через вложенный архив, когда можно добиться выполнения кода через сборочные сценарии в основном архиве.

Выявившие уязвимость исследователи предложили несколько гипотетических сценариев атак, позволяющих обойти проверки безопасности и добиться выполнения кода через замену файлов конфигурации или вмешательство в сборочный процесс. Подразумевается, что присланный архив сможет пройти автоматизированную проверку сканером безопасности и ручной аудит, в ходе которого проверяющий не обратит внимание на странный вложенный архив с другими файлами, после чего при распаковке при помощи Rust-библиотек из архива будет извлечено иное содержимое, чем ожидалось.

Например, атакующий может загрузить модифицированный архив в репозиторий PyPI, который пройдёт проверку на основе анализа содержимого основного архива, содержащего легитимный файл pyproject.toml. При обработке данного пакета при помощи утилиты uv легитимный pyproject.toml будет заменён на вредоносный вариант из вложенного архива, содержащий команды, которые будут выполнены при сборке на компьютере разработчика или в системе непрерывной интеграции. Аналогично, можно организовать перезапись файлов контейнера при извлечении образа контейнера при помощи инструментария testcontainers.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64093

В ядро Linux 6.18 принята реализация Binder IPC для Android, написанная на Rust

Использование Rust позволило решить некоторые проблемы с которыми сталкивались разработчики Binder, включая ошибки, связанные с подсчётом ссылок, блокировками и проверкой границ, а также значительно уменьшить сложность обработки ошибок. Реализация Binder на Rust аналогична по функциональности с изначальным вариантом на языке Си, проходит все тесты AOSP (Android Open-Source Project) и может использоваться для создания рабочих редакций Android-прошивок. Несмотря на продвинутые возможности и поддержку объектов со сложной семантикой владения, драйвер на Rust получился меньше варианта на Си - 5.5 против 5.8 тысяч строк кода.

В описании коммита автор упоминает следующие мотивы для переписывания Binder:

• Binder, развивается уже 15 лет и за это время его функциональность и сложность значительно возросли - проект находится на стыке всех компонентов Android и охватывает множество задач, выходящих за рамки IPC:
  • корректный анализ и преобразование содержимого транзакций, которые могут содержать несколько объектов разных типов (например, указатели, файловые дескрипторы), взаимодействующих друг с другом;
  • контроль размера пулов потоков в пользовательском пространстве и обеспечение назначения транзакций потокам таким образом, чтобы избежать взаимных блокировок при исчерпании потоков в пуле;
  • отслеживание счётчиков ссылок объектов, совместно используемых несколькими процессами, корректно пересылая изменения счётчиков ссылок между процессами;
  • обработка многочисленных сценариев возникновения ошибок и совмещение 13 различных блокировок, 7 счётчиков ссылок и атомарных переменных. При этом выполнять подобные задачи он должен максимально быстро и корректно.
• В старом коде накопился заметный технический долг, который усложнял как поиск ошибок, так и дальнейшую разработку. Например, в коре встречаются крупные функции на более чем тысячу строк кода, сомнительные методы обработки ошибок и запутанные структуры.
• Binder является критическим с точки зрения безопасности компонентом Android, так как элементы платформы, работающие в изолированных sandbox-окружениях, такие как процесс отрисовки в Chrome и SW Codec, имеют к нему прямой доступ, а уязвимость в Binder позволит обойти изоляцию. Высокая сложность вкупе с техническим долгом сильно осложняют поддержание высокого уровня безопасности в Binder.

Обновление VirtualBox 7.2.4 с устранением уязвимостей

• В дополнениях для гостевых систем и хост-окружений с Linux реализована начальная поддержка ядра Linux 6.18.
• В дополнения для гостевых систем с Linux внесены исправления для поддержки пакетов с ядром из состава RHEL 9.6 и 9.7.
• В дополнениях для гостевых систем с Windows исправлены проблемы, возникающие при установке в гостевом окружении Windows XP SP2.
• Устранено аварийное завершение менеджера виртуальных машин при возвращении хост-окружения из спящего режима.
• В трансляторе адресов устранены проблемы, проявляющиеся при использовании нескольких правил перенаправления портов.

Релиз среды рабочего стола KDE Plasma 6.5

Основные изменения в KDE Plasma 6.5:

• При использовании темы оформления Breeze окна теперь отрисовываются в KWin со скруглёнными нижними углами (ранее были скруглены лишь верхние углы, а нижние оставались прямыми). Новый вид окон предложен по умолчанию, но при желании может быть отключён в настройках.
  
• Добавлена поддержка динамических обоев рабочего стола, меняющихся в зависимости от времени суток. Идея в том, чтобы в светлое время суток автоматически показывать светлые обои, а в тёмное - тёмные. Улучшен интерфейс для предпросмотра динамических обоев (обои, меняющиеся в зависимости от светлой или тёмной темы, теперь помечаются специальным значком и показываются в двух вариантах).
• Реализован мастер начальной настройки системы (KISS - KDE Initial System Setup), который дополняет экран приветствия входа в систему (Welcome Center). В KDE Initial System Setup предложены системные операции, выполняется до первого входа в систему после установки, такие как как создание нового пользователя под которым будет осуществляться дальнейшая работа, выбор языка и часового пояса, настройка раскладки клавиатуры и конфигурирование сетевого доступа.
  
• В приложение Welcome Center добавлено пояснение по использованию комбинаций клавиш.
• В менеджер буфера обмена добавлена кнопка для копирования показываемого QR-кода в буфер обмена.
• Реализована возможность пометки звёздочкой важных записей в истории работы с буфером обмена. Помеченные записи защищены от автоматической очистки и могут быть отфильтрованы.
• В окне предпросмотра содержимого папок на рабочем столе для пустых папок обеспечен показ заглушки с информацией об отсутствии элементов (просто пустое окно создавало впечатление сбоя при отрисовке интерфейса).
• В конфигуратор добавлена поддержка настройки вращающихся регуляторов на графических планшетах. Подобные круглые регуляторы обычно используются в графических редакторах для масштабирования холста или изменения размера кистей, но в KDE дополнительно предоставлена возможность их использования как аналога колеса мыши для прокрутки содержимого или как аналога клавиш управления курсором для перемещения вверх и вниз.
• В конфигураторе на странице настройки принтеров улучшена информативность сообщений об ошибках, возникающих из-за отключённого сервиса. Реализовано отслеживание уровня чернил и вывод предупреждения в случае низкого уровня.
• В конфигураторе предоставлена возможность выбора глобальных тем оформления, которые будут доступны для переключения на странице быстрого изменения настроек (Quick Settings). На страницу быстрого изменения настроек также добавлена опция для автоматического переключения между дневной и ночной темами.
• Добавлена поддержка автоматического переключения в ночное время на отдельно выбранную тёмную тему оформления.
• Добавлена настройка для показа только светлых или только тёмных вариантов обоев рабочего стола. Также предоставлены опции для включения динамического изменения цвета обоев на основе выбранной цветовой схемы или времени дня, а также закрепления светлого или тёмного вариантов.
• В конфигураторе настройки инвертирования и масштабирования перенесены на страницу "Accessibility", на которой они более уместны, чем на странице десктоп-эффектов.
• В KCM (KDE Configuration Module) добавлена возможность управления полномочиями приложений, поставляемых в пакетах Flatpak (ранее была доступна лишь возможность изменения низкоуровневых параметров sandbox-изоляции пакетов Flatpak).
• В фильтры цветовой коррекции добавлен режим вывода в оттенках серого и возможность уменьшения насыщенности всех цветов.
• При настройке обоев рабочего стола в режиме слайд-шоу, показываемые изображения теперь можно выбирать кликом на самом изображении, без необходимости попадать указателем мыши в мелкую кнопку в углу.
  
  
• Модернизирован диалог добавления нового сетевого соединения.
• Настройки местоположения, применяемые для определения времени восхода и заката солнца, вынесены в конфигураторе на отдельную страницу, на которой собраны настройки дневного и ночного циклов. Подобные циклы применяются для автоматической смены светлой и тёмной версий обоев рабочего стола, а также для активации ночного режима, уменьшающего интенсивность синего цвета на экране для снижения напряжения глаз и сокращения факторов возникновения бессонницы при работе перед сном.
• В конфигураторе по умолчанию прекращён показ страницы настройки графических планшетов на системах, к которым не подключены подобные устройства.
• В конфигураторе реализован показ более релевантной информации об имеющихся игровых контроллерах.
• Настройки обработчиков, вызываемых при переводе указателя к краю экрана (Screen Edges), перенесены в группу настроек дисплея.
• В интерфейсе добавления нового пользователя реализована кнопка "Отмена" для закрытия диалогового окна.
• В мастере настройки Bluetooth по умолчанию включено скрытие неименованных устройств.
• В конфигураторе со страницы настройки эффектов рабочего стола удалены все отладочные эффекты, которые перенесены в окно с отладочными опциями KWin.
• Значительно повышена производительность прокрутки при просмотре списка доступных обоев рабочих столов в конфигураторе.
  
  
  
• В стилях Breeze обеспечена работа эффектов для анимации кликов на переключателях в приложениях на базе QtQuick и на страницах конфигуратора.
  
  
• В композитном менеджере KWin при показе HDR-контента задействована улучшенная кривая преобразования тона (HDR Tone Mapping).
• При использовании Wayland обеспечено раскрытие существующих окон при открытии через KRunner файлов в уже запущенных приложениях.
• При использовании Wayland в экранном ридере Orca реализовано распознание состояния режима Caps Lock.
• Добавлена поддержка Wayland-протокола xdg-pip (picture-in-picture), позволяющего корректно отображать постоянно видимые плавающие окна с мультимедийным контентом, такие как окно "картинка в картинке" в Firefox.
• При использовании Wayland реализована поддержка перегруппировки виртуальных рабочих столов через виджет Pager. Синхронизированы операции перегруппировки в обзорном режиме и виджете Pager.
• Добавлена поддержка Wayland-протокола pointer-warp, позволяющего приложению мгновенно переместить указатель в указанную позицию.
• В KWin изменена работа с таймером в цикле отрисовки, что позволило немного снизить потребление ресурсов.
• Добавлена поддержка второй версии портала xdg для задания общесистемных комбинаций клавиш.
• В KWin объединены взаимозависимые эффекты размытия (Blur) и изменения контраста фона (Background Contrast) - в эффекте Blur используется шейдер BackgroundContrast.
• Добавлена поддержка аппаратных overlay-плоскостей (overlay plane), позволяющих отображать содержимое напрямую без прохождения через композитинг. Для игр, запускаемых в оконном режиме, изменение позволяет повысить производительность и снизить задержки, а при воспроизведении видео - сократить энергопотребление.
  
  
  
• В KRunner началась работа над улучшением ранжирования результатов поиска. Из реализованных возможностей отмечено прекращение увеличения приоритета для приложений KDE и элементов из секции "Избранное".
• В KRunner при вычислении математических выражений обеспечена корректная обработка разделителей размерности чисел. Например, выражение "5,200 * 12,873" будет обработано как "5200 * 12873" на системах с локалями, использующими точку как разделитель нецелых значений.
• В виджете управления сетевым соединением обозначены выполняемые действия и состояния, такие как поиск беспроводной сети.
• Для многих виджетов в системном лотке реализована возможность показа доступных дополнительных действий при клике правой кнопкой мыши элементах списков.
• При поиске в меню приложений реализован показ заглушки с информацией об отсутствии найденных элементов.
• Виджеты управления подключением устройств, установки сетевого соединения и настройки Bluetooth переведены на штатный стиль заголовков секций.
• Значительно улучшен интерфейс виджета для заметок (Sticky Note). Добавлены такие возможности, как изменение размера, изменение цвета фона через контекстное меню и выставление прозрачного фона.
• В виджете управления сетевым соединением обеспечено постоянное отображение кнопки "Hotspot", даже если точку доступа в текущем состоянии создать невозможно. В подобной ситуации кнопка становится неактивной, а при подведении к ней курсора показывается подсказка с пояснением причины невозможности создать точку доступа.
• В виджет "Disks & Devices" добавлена возможность быстрого монтирования диска без проверки ошибок, а также опция для запуска процесса проверки без монтирования.
• В виджете с прогнозом погоды реализована загрузка прогноза с внешнего сервера сразу после выхода из спящего режима, если система находилась в нём дольше 30 минут.
• Добавлена поддержка прокрутки виджетов в панели, активируемая когда элементы не вмещаются в имеющееся пространство.
• В функцию показа QR-кода с параметрами подключения к текущей беспроводной сети добавлена возможность просмотра пароля доступа (для того чтобы узнать пароль больше не нужно отдельно переходить в конфигуратор).
• Улучшена навигация с использованием клавиатуры в виджете управления громкостью, на странице с настройками Flatpak и в окне управления обновлениями в Discover.
  
  
  
• При первом вызове интерфейса выбора Emoji (Meta+".") реализовано скрытие страницы с недавно выбранными значками, так как она на данном этапе пустая. Улучшен поиск в интерфейсе выбора Emoji - поле для поиска теперь показывается постоянно, а сам поиск охватывает полный набор символов, а не только содержимое текущей страницы.
• В программе для создания скриншотов Spectacle добавлена подсказка о возможности завершения записи скринкаста, нажатием комбинации клавиш, используемой для начала записи. Запись скринкастов отдельных окон теперь охватывает заголовок, рамки и тени окна, а также всплывающие окна, создаваемые данным окном.
  
  
• В истории уведомлений прекращён показ уведомления со сводкой о пропущенных событиях во время нахождения в режиме "Не беспокоить".
• В уведомление с информацией об уведомлениях, пропущенных из-за активации режима "Не беспокоить", добавлена кнопка для быстрого просмотра пропущенных уведомлений.
• При приглушении звука для всей системы тихий режим теперь отключается для всех устройств при любом изменении громкости (ранее тихий режим выключался только для активного устройства, но сохранялся для дополнительных звуковых устройств).
• Добавлена поддержка изменения размера боковых панелей менеджера приложений (Discover) и интерфейса с информацией о системе (System Monitor). Выбранный размер сохраняется в отдельном файле конфигурации, отражающем параметры состояния окна и не пересекающемся с файлом с общими настройками. Улучшена обработка состояния установки и обновления Flatpak-пакетов. Реализована возможность установки через Discover драйверов устройств.
• Добавлена поддержка перехода в спящий режим (suspend to disk) с экрана входа в систему на базе SDDM (ранее поддерживался только ждущий режим - suspend to ram).
• Во встроенном RDP-сервере реализована поддержка синхронизации между клиентом и сервером текста, находящегося в буфере обмена.
• В состав включена утилита командной строки kwindowprop для вывода информации о выбранном окне по аналогии с утилитой xprop.

Intel и AMD стандартизируют механизм ChkTag для защиты от уязвимостей при работе с памятью

ChkTag предлагает новые процессорные инструкции, позволяющие на аппаратном уровне привязать теги к областям в памяти и организовать проверку корректности использования указателей. Заявлено, что применение данных инструкций компиляторами позволит обеспечить безопасную работу с памятью без снижения производительности приложений. При этом использующие ChkTag приложения останутся совместимыми со старыми процессорами, не имеющими аппаратной поддержки ChkTag, что упростит внедрение защиты.

Реализованный метод защиты сводится к созданию для каждого блока памяти тега, который выступает подобием ключа для доступа к этой памяти (например, в реализации MTE для каждых 16 байт создаётся 4-битный тег). Тег генерируется приложением для выделяемой области памяти при помощи специальных инструкций CPU, а затем сохраняется в верхних неиспользуемых битах указателя, а также в зарезервированной и недоступной для приложений области линейной/виртуальной памяти. При обращении к памяти с использованием тегированного указателя процессор проверяет соответствие тега, привязанного к указателю, с тегами, привязанными к блокам памяти, и разрешает доступ только если теги совпадают.

Технология ChkTag разработана в рамках совместной работы Intel и AMD в группе EAG (x86 Ecosystem Advisory Group), образованной год назад для сотрудничества по обеспечению совместимости между платформами x86, стандартизации интерфейсов продуктов Intel и AMD, упрощения разработки программного обеспечения для систем x86 и выявления потребностей разработчиков в расширении архитектуры. Кроме Intel и AMD в число участников группы входят Линус Торвальдс, создатель ядра Linux, Тим Суини, основатель компании Epic Games и один из ключевых разработчиков игрового движка Unreal Engine, а также представители компаний Broadcom, Dell, Google, Hewlett Packard, Lenovo, Meta, Microsoft, Oracle и Red Hat.

Помимо ChkTag компании Intel и AMD также стандартизировали и унифицировали реализации модели обработки прерываний FRED (Flexible Return and Event Delivery), набора векторных инструкций AVX10 и расширений для умножения матриц ACE (Advanced Matrix Extensions).

Источник: https://www.opennet.ru/opennews/art.shtml?num=64091

Выпуск свободной гоночной игры SuperTuxKart 1.5

В новом выпуске:

• Предложены три новые задачи поиска артефактов на треках Черный Лес (Black Forest), Райский остров (Gran Paradisio Island) и Старая Шахта (Old Mine).
• Для многопользовательской игры с гонками по футбольным полям добавлены три новых поля Oasis, Hole Drop и XR-4R3N4.
• В пользовательском интерфейсе предоставлена возможность изменения размера окна с игрой. Настройки с типовыми размерами, переключателем полноэкранного режима и параметрами камеры перенесены в новую вкладку "Display". Для минимизации прокрутки и работы с различными размерами экрана адаптированы интерфейсы выбора картов, трасс и режимов игры. Улучшена поддержка экранов с нетипичными соотношениями сторон. Повышена контрастность некоторых элементов интерфейса. Улучшена навигация при помощи клавиатуры. Добавлены шесть новых тем оформления интерфейса. В классическую тему добавлен новый вариант "Desert", а в тему Cartoon пять разноцветных вариантов.
• Добавлена возможность пометки сердечком трасс и картов. Помеченные элементы выводятся в начале списков, а также доступны через вкладку "Избранное".
• Улучшено управление громкостью. Звуки активации артефактов теперь слышны всем игрокам, а не только владельцу.
• Для повышения качества текстур и исключения размытия задействована анизотропная фильтрация x16. Для повышения качества картинки также задействовано несколько новых шейдеров и улучшена логика отображения теней и выбора детализации. Добавлен эффект освещения прожектором. Реализована поддержка суперсэмплинга для повышения детализации на экранах с высоким разрешением.
• Добавлен режим измерения производительности, позволяющий оценить эффективность оптимизаций и влияние вносимых изменений.
• Добавлен частичный перевод на грузинский язык.

Разработчик из Valve оптимизировал драйвер RADV для работы с Llama.cpp

Для ядра Linux предложен драйвер ntfsplus с новой реализацией NTFS

В текущем виде поддержка NTFS в Linux ограничена старым NTFS-драйвером, удалённым из ядра Linux и поддерживавшим только чтение, а также нынешним драйвером NTFS3, у которого имеется много проблем, остающихся нерешёнными из-за плохого сопровождения. Из-за подобных проблем многие пользователи и дистрибутивы продолжают применять старый драйвер ntfs-3g, работающий в пространстве пользователя.

В качестве основы драйвера ntfsplus использована кодовая база удалённого из ядра классического драйвера ntfs, который был переработан, расширен возможностью записи данных и существенно доработан для поддержки современных возможностей, таких как использование фолиантов страниц памяти (folios) вместо структуры buffer_head. В новом драйвере реализовано отложенное выделение блоков, позволившее добиться высокой производительности операций записи и снижения фрагментации. Для буферизированных операций записи/чтения, прямого ввода/вывода, маппинга экстентов и операций страничной записи/чтения задействована библиотека iomap.

В отличие от существующего драйвера ntfs3, разработанного компанией Paragon Software, драйвер ntfsplus демонстрирует более высокую производительность и поддерживает такие возможности, как iomap, отложенное выделение блоков (delayed allocation) и маппинг идентификаторов пользователей при монтировании (idmap). После принятия в основной состав ядра в ntfsplus планируют реализовать полноценное журналирование (в ntfs3 создаётся только replay-журнал, который в тестах работает некорректно). Новый драйвер успешно проходит 287 тестов из набора xfstests, а также реализует возможности, необходимые для выполнения тестов производительности Bonnie++ (драйвер ntfs3 проходил 218 тестов xfstests и приводил к проблемам при запуске Bonnie++).

При выполнении тестов iozone драйвер ntfsplus оказался на 3-5% быстрее ntfs3 при записи в однопоточном режиме и на 35-110% при использовании 4 потоков. Скорость чтения ntfsplus и ntfs3 находится примерно на одном уровне. В тесте на вывод списка файлов (ls -lR) в каталогах со 100/200/400 тысячами файлов ntfsplus быстрее на 12~14%. По скорости монтирования ntfsplus быстрее в 5-6 раз. Высокая производительность достигается в ntfsplus за счёт применения асинхронных операций iomap, отложенного выделения блоков, оптимизации выделения новых кластеров, оптимизации слияния фрагментов, загрузки битовой карты кластеров в фоновом режиме, упреждающей загрузки блоков inode и информации о каталогах.

Отдельно для ntfsplus подготовлен набор утилит ntfsprogs-plus, работающих в пространстве пользователя и основанных на утилитах ntfsprogs от проекта ntfs-3g. Из ntfsprogs перенесены утилиты ntfsclone, ntfscluster и ntfsinfo. Проектом также разработана новая утилита ntfsck для проверки и восстановления повреждённых разделов с NTFS.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64084

Выпуск браузерного движка Servo 0.0.1

Движок изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов безопасного программирования. Servo изначально создан с поддержкой разбиения кода DOM и рендеринга на более мелкие подзадачи, которые могут выполняться параллельно и более эффективно использовать ресурсы многоядерных CPU. В Firefox уже интегрированы некоторые части Servo, такие как многопоточный CSS-движок и система отрисовки WebRender. На базе Servo развивается демонстрационный браузер ServoShell.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64083

Chrome и Android прекратят использование многих технологий, созданных проектом Privacy Sandbox

Изначально блокировку сторонних Cookie по умолчанию планировалось реализовать до 2022 года, но блокировка из года в год откладывалась из-за сопротивления отрасли и низкого уровня внедрения технологий, разработанных для замены методов отслеживания пользователей на основе Cookie. Весной этого года компания Google решила отказаться от данной инициативы и сохранить сложившийся подход. Теперь, спустя полгода, дополнительно решено отказаться и от продвижения многих API и технологий, разработанных для повышения конфиденциальности и обеспечения показа рекламы без идентификации пользователей на основе сторонних Cookie.

API и технологии, поддержка которых будет прекращена:

• IP Protection - позволяет скрыть IP-адрес пользователя от владельцев сайтов, благодаря отправке трафика не напрямую, а через цепочку прокси-серверов. При включении IP Protection целевой сервер видит в качестве входящего IP-адреса только адрес прокси, по аналогии с использованием VPN.
• API Topics (пришёл на смену API FLoC) - даёт возможность определять категории интересов пользователя, которые можно использовать для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей при помощи отслеживающих Cookie. Интересы вычисляются на основе активности пользователя в браузере и сохраняются на устройстве пользователя. При помощи API Topics рекламная сеть может получить общие сведения об отдельных интересах без наличия информации о конкретной активности пользователя.
• API Attribution Reporting - позволяет оценивать такие характеристики эффективности рекламы, как переходы и конверсия (покупка на сайте после перехода). Для определения эффективности показываемой рекламы без нарушения конфиденциальности отдельных пользователей организация W3C совместно с производителями разных браузеров развивает новый API Ad Attribution, обеспечивающий накопление агрегированных статистических данных о конверсии показанной рекламы. Компания Google будет использовать данный API вместо собственного варианта.
• Private Aggregation - для агрегирования и получения сведений о данных, используемых разными сайтами (cross-site). Например, API позволяет формировать сводные отчёты об уникальности посетителей (первых и повторных открытиях сайта) и демографии пользователей.
• API Shared Storage - хранение данных в формате ключ-значение, без привязки к домену и с возможностью обращения к хранилищу с разных сайтов.
• API Protected Audience - решение задач ретаргетинга и оценки собственной аудитории (работа с пользователями, ранее уже посещавшими сайт).
• API Related Website Sets - определение взаимосвязи между сайтами, на основе которой браузеры могут допускать ограниченный межсайтовый доступ к данным.
• requestStorageAccessFor - расширение к API Storage Access для запроса полномочий для межсайтового доступа к хранимым данным.
• API Related Website Partition - позволяет внешним скриптам работать с группой связанных сайтов.
• API Select URL - позволяет выбирать показываемый URL на основе межсайтовых данных в хранилище Shared Storage, не раскрывая эти данные.
• API Protected App Signals - сохранение информации об активности пользователя при работе с приложениями, которая может быть полезной для показа рекламы, учитывающей интересы пользователя. Например, API позволяет накапливать информацию о числе установок, первом запуске, проведённом в приложении времени, совершённых покупках и выполненных действиях.
• SDK Runtime - даёт возможность запускать сторонние библиотеки в изолированном процессе отдельно от процесса Android-приложения, что не позволяет функциям библиотеки получить доступ к ресурсам и памяти процесса.
• On-Device Personalization - технология персонализации работы пользователя на Android-устройстве, использующая локально хранимые данные, не отправляемые на внешние серверы.

API, которые решено сохранить, так как они уже получили распространение и реализованы в других браузерах:

• FedCM (Federated Credential Management), позволяет создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без сторонних Cookie.
• CHIPS (Cookies Having Independent Partitioned State) - позволяет изолировать Cookie в привязке к домену первого уровня, используя атрибут "Partitioned". Если в обычных условиях сторонний код с сайта "C", встроенный на сайты "A" и "В", может обрабатывать общие для данных сайтов Cookie, то при указании атрибута "Partitioned", выставленные сайтом "C" Cookie, при загрузке кода с сайтов "A" и "В", будут полностью разделены.
• Private State Token - позволяет разделять разных пользователей без использования межсайтовых идентификаторов и передавать сведения о подлинности пользователя между разными контекстами. API полезен для отделения ботов от реальных посетителей без явной передачи данных идентификации. Суть работы с API сводится к тому, что определённый сайт, на котором пользователь прошёл аутентификацию или проверку капчей, может сгенерировать токен, хранимый на стороне браузера. Данный токен могут использовать другие сайты для того, чтобы удостовериться, что пользователь человек, а не бот.

Началось бета-тестирование Linux-версии проприетарной САПР КОМПАС-3D

Ранее продукт выпускался только для Windows, но официально поддерживался запуск в Linux при помощи Wine. Предлагаемый для тестирования вариант примечателен переходом на использование нативной поддержки, работающей без прослоек и собираемой для Linux. Тестирование, которое продлится до 30 ноября, охватывает продукты КОМПАС-3D и КОМПАС-График 24 со всеми базовыми САПР-инструментами, а также приложения "Раскрой", "Размерные цепи", "Распознавание 3D-моделей" и "Каталог: Муфты".

Для установки подготовлены пакеты в формате DEB и RPM, проверенные в работе в дистрибутивах Альт Рабочая станция 11.0, Альт Рабочая станция К 11.0, Astra Linux SE 1.8 и РЕД ОС 8.0. Заявлена поддержка сред рабочего стола GNOME, Fly, KDE и Mate. Работа в других дистрибутивах и графических окружениях не ограничивается, но производитель не обеспечивает для них официальную поддержку и тестирование. Для загрузки пакетов требуется регистрация. Участникам тестирования предоставляется бесплатная временная лицензия на 60 дней.

Источник: https://www.opennet.ru/opennews/art.shtml?num=64078

Взлом сайта Xubuntu с заменой ссылок на странице загрузки на вредоносное ПО

Сервисом archive.org копии xubuntu.org были сделаны 11 и 18 октября - 11 октября страница ещё не была изменена, а 18 октября на странице уже имеется вредоносное изменение. Зеркала проекта, через которые распространяются iso-образы, судя по предварительному анализу контрольных сумм, не пострадали и соответствуют эталонному cdimage.ubuntu.com. Следы компрометации пока замечены только на сайте xubuntu.org, использующем систему управления контентом WordPress. Предположительно взлом был совершён через необновлённый плагин к WorkPress, содержащий уязвимость.

Распространяемый злоумышленниками архив "Xubuntu-Safe-Download.zip" содержит исполняемый файл для платформы Windows, который преподносится как инсталлятор Xubuntu. Проверка указанного файла в сервисе VirusTotal показывает наличие вредоносного ПО.

При запуске исполняемого файла показывается фиктивный интерфейс, включающий поля для выбора версии дистрибутива для загрузки и типа пакета, а также кнопку "Generate Download Link". При нажатии на кнопку в каталог "AppData Roaming" сохраняется файл "elzvcf.exe" и в реестре Windows настраивается его выполнение при запуске системы. По предварительной информации вредоносное ПО анализирует данные в буфере обмена и заменяет адреса криптокошельков Bitcoin, Litecoin, Ethereum, Dogecoin, Tron, Ripple и Cardano на кошельки злоумышленников.

Интересно, что 10 сентября один из пользователей пожаловался на появление записи в блоге на сайте xubuntu.org с рекламой казино, но данная запись в блоге была оперативно удалена и инцидент не получил развития (вероятно, посчитали, что реклама была подставлена вредоносным ПО на стороне пользователя).

Источник: https://www.opennet.ru/opennews/art.shtml?num=64079