Доступен язык программирования TypeScript 7.0 с компилятором, переписанным на Go
Компания Microsoft
опубликовала
релиз
TypeScript 7.0
, языка для разработки web-приложений, расширяющего возможности JavaScript, и связанного с ним инструментария. Выпуск примечателен поставкой нового компилятора
typescript-go
(tsgo), транслирующего код TypeScript в представление JavaScript, который был переписан на языке Go и теперь признан готовым для сборки рабочих проектов. Инструментарий
распространяется
под лицензией Apache 2.0, разработка ведётся в публичном репозитории через сервис GitHub.
Спецификации
языка открыты и опубликованы в рамках соглашения
Open Web Foundation Specification Agreement
.
Старый компилятор TypeScript был написан на языке TypeScript, что создавало проблемы с масштабированием при использовании в очень больших проектах. При загрузке и проверке кода подобных проектов в интегрированных средах разработки возникали большие задержки, что вынуждало разработчиков жертвовать удобством разработки в пользу сокращения задержек и отключать в редакторах возможности для проверки кода. В экосистеме также назрела потребность в инструментарии командной строки.
В новом компиляторе существенно увеличена скорость сборки, уменьшено потребление памяти и реализована новая архитектура, позволяющая распараллеливать выполнение многих операций, включая парсинг, проверку типов и генерацию кода. Парсинг и генерация кода теперь выполняются независимо для разных файлов.
Помимо этого предоставлен компактный инструментарии командной строки tsc, позволяющий быстро собирать код для проверки его работоспособности.
По функциональности язык TypeScript 7 близок к TypeScript 6 и данные ветки взаимозаменяемы, а компиляторы могут сосуществовать в одной системе. Все необходимые для ветки TypeScript 7 настройки по умолчанию были изменены в выпуске TypeScript 6, в котором также были переведены в разряд устаревших возможности языка, несовместимые с TypeScript 7.
Теоретически любой TypeScript-код, компилируемый в TypeScript 6.0, должен компилироваться и в TypeScript 7.0 при выставлении режима stableTypeOrdering и без использования флагов ignoreDeprecations. Какое-то время кодовые базы TypeScript 6.x и TypeScript 7.x будут параллельно сопровождаться и сосуществовать, пока ветка TypeScript 7 не достигнет зрелого состояния, готового полностью заменить старый инструментарий.
Что касается производительности компилятора, то по сравнению с прошлой веткой скорость сборки в TypeScript 7 возросла при пересборке vscode в 11.9 раз, sentry - в 8.9 раз, bluesky - 8.7 раз, playwright - 8.7 раз, tldraw - 7.7 раз. При этом потребление памяти уменьшилось при сборке vscode на 18%, sentry - 6%, bluesky - 26%, playwright - 11% и tldraw - 15%. Запуск в режиме проверки типов в TypeScript 7 производится в 10.6-16.7 раз быстрее, чем в TypeScript 6.
Язык Go выбран для написания нового компилятора как наиболее близкий к TypeScript по семантике и структуре кода, что позволило сохранить при портировании существующие шаблоны и упростило перенос изменений между кодовыми базами. При этом язык Go обеспечивает высокую производительность, развивается с оглядкой на многопоточное программирование, демонстрирует эффективную работу на многоядерных системах и имеет встроенные средства защиты от проблем при работе с памятью.
Язык TypeScript расширяет возможности JavaScript, оставаясь полностью обратно совместимым, что упрощает перевод существующих приложений на TypeScript. Итоговое приложение на TypeScript компилируется в обычный JavaScript, который можно выполнить в любом современном web-браузере или использовать c платформами Node.js, Bun и Deno. В программах на TypeScript можно использовать существующие JavaScript-библиотеки. От JavaScript язык TypeScript отличается средствами для явного определения типов, а также поддержкой использования полноценных классов. Статическая типизация позволяет избежать многих ошибок в процессе разработки, даёт возможность задействовать дополнительные техники оптимизации, упрощает отладку, делает код более читаемым и простым для доработки и сопровождения.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65873
Quake портирован для запуска внутри игрового мира Roblox
Энтузиаст
перевёл
исходный код 3D-шутера Quake образца 1996 года, а также многопользовательскую редакцию Quakeworld и моды на язык
Luau
и смог запустить их внутри игрового мира
Roblox
. Работа была выполнена при помощи AI-модели Claude Fable (затраты на токены составили $3000). Код порта
опубликован
под лицензией GPLv2.
Портированы оба многопользовательских движка Quake - NetQuake для совместного прохождения уровней и QuakeWorld для сражения с другими людьми. Возможно использование игровых ресурсов из shareware-версии Quake, полной версии Quake или LibreQuake. Реализована поддержка запуска немодицифированных модов QuakeC. Растеризатор Quake заменён на использование Roblox EditableMesh для отрисовки геометрии и lightmap для расчёта освещения. Сетевой стек на базе UDP заменён на систему сетевых событий Roblox (RemoteEvents).
Из специфичных для Roblox изменений добавлены аватары (игроки в Quake выглядят как персонажи Roblox), меню Roblox c управлением через сенсорный экран, управление матчами c возможностью запускать голосования во время матча, меню администратора для изменения правил игры, статистика с рейтингом лидеров, режим цензурированной отрисовки для детей.
<video><source src="https://github.com/user-attachments/assets/2ba6229f-9826-49f8-8965-2ca19b3d7fd4"></video>
Источник: https://www.opennet.ru/opennews/art.shtml?num=65875
На 31 августа намечено удаление из Chrome Web Store всех дополнений, использующих вторую версию манифеста
Компания Google
запланировала
на 31 августа удаление из каталога Chrome Web Store всех остающихся дополнений, использующих вторую версию манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions. Уже установленные дополнения останутся на системах пользователей, но не смогут получать обновления и их нельзя будет переустановить в случае удаления из браузера.
В опубликованном неделю назад выпуске Chrome 150 была удалена поддержка флага kExtensionManifestV2Disabled, позволявшего вернуть возможность установки дополнений с второй версией манифеста из каталога Chrome Web Store. В выпуске Chrome 151, намеченном на 28 июля, будет удалён параметр AllowLegacyMV2Extensions, позволяющий вручную в режиме разработчика загружать дополнения на базе второй версии манифеста.
На смену второй версии манифеста Chrome пришла третья версия, разработанная в рамках инициативы по упрощению создания безопасных и высокопроизводительных дополнений. Основное недовольство третьей версией манифеста вызвано переводом в режим только для чтения API webRequest, позволявшего подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик. Вместо API webRequest в третьей версии манифеста добавлен ограниченный по своим возможностям API declarativeNetRequest, предоставляющий доступ к встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65872
В среде рабочего стола Cinnamon реализована полноценная поддержка Wayland
Разработчики дистрибутива Linux Mint
объявили
о стабилизации поддержки протокола Wayland в среде рабочего стола
Cinnamon
. В кодовой базе, на основе которой формируется будущий стабильный выпуск Cinnamon 6.8 практически достигнут паритет в функциональности при работе с использованием X11 и Wayland. В Cinnamon 6.8 будет полностью поддерживаться как работа с использованием X11, так с Wayland. Намеченный на декабрь выпуск Linux Mint 23 станет первым, в котором поддержка Wayland в Cinnamon не будет рассматриваться экспериментальной.
Среди недавних улучшений в Cinnamon:
- При использовании Walyand обеспечен корректный выбор размера и позиционирование новых окон, всплывающих диалогов и контекстных меню.
- При работе через Walyand реализовано корректное переключение фокуса ввода.
- Устранены многие ошибки в Cinnamon, muffin, cinnamon-session и Xwayland, приводившие к аварийному завершению работы при использовании Wayland.
- Улучшена поддержка многомониторных конфигураций и KVM-переключателей мониторов в окружении c Wayland.
- В приложениях, использующих Wayland или запускаемых через Xwayland, а также в композитном сервере и десктоп-сеансе задействовано аппаратное ускорение графики, реализованное через Wayland-протоколы wl_drm и zwp_linux_dmabuf_v1, а также аппаратно ускоренную работу GBM поверх EGL на видеокартах NVIDIA.
- Предоставлена полная поддержка экранов с высокой плотностью пикселей (HiDPI) при использовании Wayland. Решены проблемы с масштабированием пиктограмм и курсоров мыши. Устранены ошибки, проявлявшиеся в приложениях на движке Chromium, таких как Slack и VSCode.
- При использовании Wayland реализована работа индикаторов прогресса выполнения операции, например, показа прогресса копирования файлов в кнопке на панели.
- Обеспечен запуск базовых приложений, запускаемых через pkexec, в качестве Wayland-клиентов без применения Xwayland.
- Добавлена команда "cinnamon-list-windows" для упрощения получения списка всех открытых окон и определения их позиции, размера, данных о HiDPI и связанных с ними приложениях и бэкендах.
- В композитном сервере Muffin обеспечено округление до целых чисел координат и размеров всех графических элементов библиотеки Clutter для более точного позиционирования и чёткой отрисовки апплетов и компонентов рабочего стола.
- Добавлена поддержка юнитов sustemd для пользовательских сеансов (graphical-session.target), активируемых для запуска сопутствующих сервисов в привязке к графическому сеансу.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65876
Выпуск межсетевого экрана firewalld 2.5.0
Сформирован
выпуск динамически управляемого межсетевого экрана
firewalld 2.5.0
, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и
распространяется
под лицензией GPLv2.
Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"). Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном через D-BUS API firewalld имеется в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.
Ключевые изменения:
- В графическом интерфейсе firewall-config реализована поддержка автоматического переключения на тёмную тему оформления в GNOME.
- Обеспечено отражение в логах изменений конфигурации.
- Добавлен сервис solr для одноимённого поискового движка, основанного на Apache Lucene (TCP-порт 8983).
- Реализовано срабатывание таймаутов при обработке правил фильтрации, разрешено указание таймаутов для опций "--add-disable", "--ingress-zone" и "--egress-zone".
- Проведена оптимизация производительности операций проверки зон и правил.
- В rpm-пакете из списка зависимостей удалён пакет dbus-x11.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65874
73% проектов на Flathub, созданных с помощью AI, были заброшены спустя несколько месяцев
После
запрета
размещения в каталоге Flathub приложений, сгенерированных при помощи AI, один из разработчиков
решил проверить
, не лишился ли Flathub из-за подобного запрета ценных участников. Для этого была изучена судьба проектов, отмеченных тегом "AI Slop", который начал применяться во в Flathub январе этого года, для пометки проектов, файл-манифест для которых создан при помощи AI или разработчики которых использовали AI при общении с рецензирующими.
В выборку попали 120 репозиториев проектов, добавленных с января по 1 апреля. После изучения последних коммитов в данных репозиториях выяснилось, что что с мая по июль активность наблюдалась лишь в 32 из них (27%), а 88 (73%) были заброшены или удалены. Многие проекты перестали обновляться почти сразу после подачи заявки во Flathub.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65871
Диверсия со стороны разработчика OpenMandriva, которая могла причинить вред пользователям
В результате конфликта с лидером проекта разработчик Давиде Беатричи (
Davide Beatrici
), имевший доступ к репозитоориям с правами администратора,
совершил диверсию
, которая привела к повреждению инфраструктуры разработки и нарушению работоспособности систем некоторых пользователей. Беатричи удалил часть GitHub-репозиториев, в которых велась разработка компонентов OpenMandriva, а также совершил вредоносные действия в репозитории Cooker, в котором ведётся разработка нестабильной ветке дистрибутива. В частности, он опубликовал пустой пакет, который переводил в категорию устаревших все пакеты GNOME и Cosmic, что могло нарушить работоспособность систем пользователей, использующих данные среды рабочего стола.
Отмечается, что команда разработчиков OpenMandriva провела аудит активности Беатричи и не выявила других вредоносных действий, помимо вышеупомянутых. В настоящее время ведётся работа по восстаноавлению удаленных репозиториев и возвращению работоспособности пакетов, переведённых в разряд устаревших. Действия Беатричи стали реакцией на удаление из чата разработчиков его товарища, отличавшегося токсичным поведением, из-за которого до этого проект покинуло несколько участников.
Давиде Беатричи известен как один из главных разработчиков приложения для голосового общения Mumble и у команды OpenMandriva не было оснований не доверять ему. Вклад Беатричи в разработку OpenMandriva был не велик, но выступал с инициативой перевода инфраструктуры разработки с GitHub на принадлежащий ему сервер с платформой OneDev. Инициатива была воспринята неоднозначно, так как часть разработчиков была против перевода репозиториев на систему, контролируемую одним участником, и дело не продвинулось дальше создания зеркал на OneDev.
Вместе с Беатричи к проекту присоединились два его знакомых, один из которых через некоторое время стал вести себя токсично по отношению к другим разработчикам и пользователям, некоторые из которых после этого покинули проект. Токсичное поведение не было замечено сразу, так как по большей части проявлялось в личной переписке. После нападок на одного из участников в matrix-чате и в обсуждениях на GitHub, лидер проекта удалил абьюзера из чата.
Удаление вызвало недовольство двух участников, включая Беатричи, которые в знак протеста покинули проект. Не видя смысла поддерживать зеркала в инфраструктуре Беатричи было решено отключить для них доступ, что настолько разозлило Беатричи, что он злоупотребил остающимися у него правами администратора и скатился до вредительства.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65869
Anthropic на полгода предоставит бесплатную подписку Claude Max разработчикам значительных открытых проектов
Компания Anthropic
объявила
о
предоставлении
сопровождающим и ключевым разработчикам открытых проектов бесплатного 6-месячного доступа к своим сервисам в соответствии с тарифным планом
Claude Max 20x
($200 в месяц для платных подписчиков), который включает в 20 раз больше ресурсов, чем тариф Pro, и предоставляет без дополнительных подписок доступ к
Claude Code
и
Claude Cowork
.
Требования к участникам открытых проектов, которые могут отправить заявку на получение бесплатной 6-месячной подписки Claude Max 20x:
- Авторы и сопровождающие открытых библиотек, пакеты с которыми насчитывают более 200 тысяч загрузок из каталогов, таких как npm, PyPI, crates.io и RubyGems, или которые используются как минимум в 500 репозиториях или в 100 зависимых пакетах.
- Ключевые разработчики крупных открытых проектов, имеющие право коммита или входящие в число сопровождающих. В качестве примеров уровня проектов упомянуты CPython, Rust, Node.js, Apache, CNCF, Kubernetes, ядро Linux, Django и Rails.
- Активные участники разработки, от которых было принято более 100 pull-запросов в не аффилированные с ними проекты.
- Создатели сообществ, в разработке которых участвуют 20 и более сторонних разработчиков, от которых принимались pull-запросы за последний год.
- Репозитории, применяемые в работе критически важной инфраструктуры (вес 0.4+ в рейтинге OpenSSF).
Источник: https://www.opennet.ru/opennews/art.shtml?num=65865
Linux запущен на игровой приставке Atari Jaguar
Следом за
портированием
Linux на Sega MegaDrive
реализована
возможность запуска ядра Linux с набором утилит Busybox на игровой консоли
Atari Jaguar
, выпущенной в 1993 году. Приставка комплектовалась CPU
Motorola 68000
, поставлялась с 2 МБ ОЗУ и в качестве постоянного хранилища могла использовать картриджи, объёмом до 6 МБ. Устройство было оснащено двумя сопроцессорами: Tom (GPU c 32-разрядной архитектурой RISC + 64-разрядный процессор обработки видео + 64-разрядный процессор для выполнения логических операций) и Jerry (DSP с 32-разрядной архитектурой RISC для работы со звуком).
По аналогии с портом для Sega MegaDrive для выполнения ядра Linux на CPU Motorola 68000, не имеющем аппаратного модуля управления памятью (MMU), ядро 7.2.0-rc1 было собрано в применяемом для микроконтроллеров режиме "NOMMU", позволяющем использовать плоскую модель памяти с линейным адресным пространством. Проблема с нехваткой оперативной памяти была решена иначе, через задействование механизма execute-in-place (XIP), позволяющего напрямую выполнять код ядра из ПЗУ без копирования в оперативную память.
ОЗУ на устройстве отражено по адресу 0x000000, а ПЗУ (картридж) - по адресу 0x80000, соответственно компоненты ядра Linux были разделены на две отдельные области памяти: секции .rodata и .text с константами и кодом были размещены на картридже, а секции .data и .bss с изменяемыми данными в оперативной памяти. Так как CPU 68000 ищет таблицу векторов прерываний по адресу 0x0, а ядро фактически размещается на картридже, содержимое которого отражено по адресу 0x80000, дополнительно был применён хак с копированием векторов прерываний в ОЗУ.
Проблема с отсутствием таймера в CPU Motorola 68000 была решена через задействование таймеров, используемых в DSP для синтеза звука. Данные таймеры были применены для генерации прерываний для активации планировщика задач. Для вывода сообщений ядра во время загрузки был написан отдельный драйвер консоли, осуществлявший вывод с симуляцией параллельного порта через выводы TXD и RXD, управляемые через DSP-процессор.
Для сборки компонентов пространства пользователя был задействован инструментарий Buildroot с патчами от проекта LinuxMD. Для экономии памяти при инициализации напрямую вызывалась командная оболочка "/bin/busybox sh", функция malloc в библиотеке uClibc была заменена на упрощённый вариант malloc-simple, не сохраняющий дополнительные метаданные,
а вместо полноценного загрузчика, такого как U-Boot, выполнялась прямая передача управления ядру командой "jmp $80000".
Источник: https://www.opennet.ru/opennews/art.shtml?num=65866
Выпуск дистрибутива Deepin 25.2, развивающего собственное графическое окружение
Опубликован
релиз дистрибутива
Deepin 25.2
, развивающего собственный рабочий стол Deepin Desktop Environment (DDE), а также около 40 пользовательских приложений, среди которых музыкальный проигрыватель Deepin Music, видеоплеер Deepin Movie, инсталлятор и центр установки программ Deepin Store. Проект основан группой разработчиков из Китая, но трансформировался в международный проект и поддерживает русский язык. Репозиторий дистрибутива включает более 8000 пакетов. Все наработки
распространяются
под лицензией GPLv3. Размер загрузочных
iso-образов
6.5 ГБ (amd64, arm64, riscv64 и loongarch64).
Компоненты рабочего стола и приложения разрабатываются с использованием языков C/C++ и Go. Графический интерфейс построен с использованием библиотеки Qt. Ключевой особенностью рабочего стола Deepin является панель, которая поддерживает несколько режимов работы. В классическом режиме осуществляется более явное отделение открытых окон и предлагаемых для запуска приложений, отображается область системного лотка. Эффективный режим чем-то напоминает Unity, смешивая индикаторы запущенных программ, избранных приложений и управляющих апплетов (настройка громкости/яркости, подключённые накопители, часы, состояние сети и т.п.). Интерфейс запуска программ предоставляет два режима - просмотр избранных приложений и навигация по каталогу установленных программ.
Среди изменений:
- Значительно повышена стабильность экспериментального десктоп-окружения Treeland Desktop Environment, построенного на базе композитного сервера Treeland Window Compositor, отличающегося высокой производительностью анимированных эффектов и поддержкой управления жестами на тачпаде. Добавлены возможности для управления устройствами ввода, настройки параметров экрана, персонализации и управления энергопотреблением. Расширены средства для многомониторных конфигураций - появился режим клонирования вывода на несколько экранов, продления содержимого на другой экран, выставления разных разрешений экрана и коэффициентов масштабирования для подключённых мониторов. Обеспечена корректная работа динамических обоев рабочего стола и перехода в ждущий режим или отключения экрана при неактивности.
- Расширены возможности поиска. Добавлены настройки индексации файлов, позволяющие включать, отключать и обновлять индексы в разделе конфигурации файлового менеджера. Ускорен поиск по именами файлов. Реализован поиск по тексту, присутствующему на изображениях, что может быть полезным для поиска скриншотов и отсканированных документов (при индексации опционально может быть включено оптическое распознавание текста на изображениях). В результатах поиска для наглядности реализован показ отрывков текста и участков изображений, совпадающих с заданными в запросе ключевыми словами. Улучшено извлечение содержимого документов при поиске. Внесены изменения для повышения точности поиска.
- В файловом менеджере оптимизирована работа с совместными сетевыми хранилищами, повышена безопасность монтирования и отмонтирования, улучшена работа с внешними накопителями.
- В среде рабочего стола DDE (Deepin Desktop Environment) в панели задач в режиме раздельного показа окон реализовано отображение разных пиктограмм для разных окон одного приложения.
- В настройках экрана предоставлена возможность объединения нескольких рядом расположенных мониторов в один неразрывный логический экран, на котором, например, можно показывать презентации или визуализировать данные с систем мониторинга.
- Реализован умный режим выбора зеркал для загрузки обновлений, автоматически предлагающий наиболее близкое зеркало или позволяющий пользователю вручную выбрать зеркало после тестирования скорости загрузки.
- Оптимизированы операции, связанные с запуском программ, использованием сенсорного экрана, работой панели задач, выставлением фокуса ввода, показом всплывающих уведомлений и переключением между окнами. Оптимизирована логика определения доступных сетей и переключения между сетями в конфигурациях с несколькими сетевыми адаптерами.
- Обновлены пакеты с ядром, поставляемые с ветками 6.6 и 6.18. Обновлены версии Qt6, initramfs, ALSA, PipeWire, libvirt, os-config, deepin-debug-config, OpenSSL, OpenSSH, curl, poppler, xorg-server, xwayland, ffmpeg и других базовых пакетов.
- В эмуляторе терминала оптимизировано выполнение команд и применение темы оформления.
- В архиваторе оптимизирована обработка архивов, переделаны диалоги ввода пароля и улучшено извлечение файлов с длинными именами.
- В почтовом клиенте улучшен перенос учётных записей.
- В просмотрщике документов реализована построчная прокрутка с помощью стрелок управления курсором.
- Обновлён конфигуратор методов ввода, голосовой блокнот, просмотрщик логов, системный монитор и другие компоненты.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65864
Обновление X.Org Server 21.1.24, xwayland 24.1.13 и libXfont2 2.0.8 с устранением уязвимостей
Опубликованы
корректирующие выпуски X.Org Server 21.1.24 и DDX-компонента (Device-Dependent X)
xwayland 24.1.13
, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены
2 уязвимости
, которые потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH.
Исправленные уязвимости:
- CVE-2026-55999 - переполнение буфера в реализации архитектуры 2D-ускорения Glamor, затрагивающее функцию glamor_font_get(), выполняющую построение текстурного атласа шрифта через отрисовку каждого глифа в общем буфере. Проблема вызвана тем, что размер буфера определялся на основе заданных в шрифте параметров, а при создании копируемых в буфер данных использовались индивидуальные метрики каждого глифа. Для эксплуатации уязвимости атакующий может подготовить специально оформленный файл в формате PCF, в котором заданы неверные метрики глифа, выходящие за пределы выделенного для них размера памяти. Переполнение возникает на системах, использующих бэкенд glamor (Xorg с драйвером modesetting и Xwayland) при отрисовке текста проблемным шрифтом.
- CVE-2026-56000 - обращение к памяти после её освобождения в функции CommonMakeCurrent() при обработке GLX contextTags. Проблема вызвана тем, что при использовании функции realloc() данные массива cl->contextTags перемещались в новый буфер, но в обиходе оставался указатель, ссылающийся на старый буфер.
Для инициирования перемещения буфера клиент мог занять все выделенные для GLX-контекста элементы массива, после чего создать ещё один дополнительный контекст.
Дополнительно можно отметить выпуск библиотеки libXfont 2.0.8, используемой в X-сервере. В обновлении устранены 3 уязвимости (CVE-2026-56001, CVE-2026-56002, CVE-2026-56003), приводящие к переполнению буфера при разборе специально оформленных шрифтов в формате PCF.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65863
Стабильный релиз Proton 11.0, пакета для запуска Windows-игр в Linux
Компания Valve
опубликовала
релиз проекта
Proton 11.0-1
, основанного на кодовой базе проекта Wine и нацеленного на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Выпуск 11.0-1 отмечен как первый стабильный релиз ветки 11.0. Наработки проекта
распространяются
под лицензией BSD.
Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 8/9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы "esync" (Eventfd Synchronization) и "futex/fsync".
Среди изменений в новой версии Proton:
- Выполнена синхронизация с выпуском Wine 11.0.
- До версии 2.7.1 обновлена прослойка DXVK, транслирующая вызовы в API Vulkan. VKD3D-Proton, ответвление от vkd3d, созданное Valve для улучшения поддержки Direct3D 12 в Proton, обновлено до состояние репозитория от 10 апреля.
- Обновлены wine-mono 11.0.0, vkd3d 1.19, dxvk-nvapi 0.9.1, Xalia 0.4.9.
- Добавлена поддержка Steamworks SDK 1.64.
- Для запуска x86-игр на системах ARM64EC задействован эмулятор FEX 2605.
- Добавлена поддержка игр:
- Blaite
- Breath of Fire IV
- DCS World Steam Edition
- Deadly Premonition
- Dino Crisis
- Dino Crisis 2
- Don't Die Dateless, Dummy!
- From Dust
- Gothic 1 Classic
- Metal Fatigue
- METAL GEAR SURVIVE
- Resident Evil (1996)
- Resident Evil 2 (1998)
- SHOGUN: Total War.
- Universe Generator: The Golden Sword
- Unknown Faces
- Warhammer: Vermintide 2
- X-Plane 12
- Решены проблемы в играх:
- Age of Empires II: Definitive Edition
- ARC Raiders
- Arma: Reforger
- BIRDCAGE
- Blazblue Centralfiction
- Brighter Shores
- Call of Duty 2
- Call of Duty: WWII
- Chambers
- CHRONO TRIGGER
- Crimson Desert
- Cyberpunk 2077
- DEATH STRANDING 2: ON THE BEACH
- Disintegratio
- Duck Game
- Dungeon Siege
- Elder Scrolls IV: Oblivion Game of the Year Edition (2009)
- Grounded
- HELLDIVERS 2
- Hellsinker
- Hollow Knight Beta
- Idle Trillionaire
- Killer Inn
- METAL GEAR SOLID 2: Sons of Liberty
- Microsoft Flight Simulator
- No Man's Sky
- Pentiment
- Phasmophobia
- RAGE
- Rei and the Floating City
- Resident Evil 2
- RoBoRumble
- Satisfactory
- Sea of Solitude
- She Sees Red
- Space Engineers
- The Finals
- The King of Fighters XIII Global Match
- The Witcher 3
- Titanfall 2
- Добавлена поддержка использования игровых контроллеров в лаунчерах игр:
- Batman: Arkham Asylum GOTY
- BioShock
- Dino Crisis
- Dino Crisis 2
- Disney Bolt
- Disney Epic Mickey 2: The Power of Two
- Final Fantasy X/X-2 HD Remaster
- Hellsinker
- LocoCycle
- Metal Slug XX
- Mortal Kombat Komplete Edition
- Puddle
- Rayman: Raving Rabbids
- Red Faction: Armageddon
- Resident Evil (1996)
- Resident Evil 2 (1998)
- Resident Evil 3 Nemesis (1999)
- Rocket Knight
- Sonic the Hedgehog 4 - Episode II
- STAR WARS Starfighter
- Ys SEVEN
- Zero Escape: The Nonary Games
Источник: https://www.opennet.ru/opennews/art.shtml?num=65862
Большинство пользователей LineageOS используют устаревшие версии прошивок и запуск в Waydroid
Проект LineageOS
ввёл в строй
новый раздел со
статистикой
использования прошивок. Заявлено, что проект насчитывает почти 1.5 млн активных установок, из которых только 26% (374 тысячи) приходится на официальные сборки, а 74% (1.1 млн) затрагивают неофициальные сборки, собранные сторонними проектами. В рейтинге устройств лидирует не смартфон, а
Waydroid
- окружение для запуска Android-приложений в Linux. На втором месте смартфон Xiaomi Mi 8, который по числу установок более чем в 2 раза отстаёт от Waydroid.
Наибольшее число установок приходится на США (339 тысяч установок), Китай (298 тысяч), Бразилию (280 тысяч), Россию (62 тысячи) и Вьетнам (55 тысяч). В России и в США 2/3 установок произведено не на смартфоны: в США пользуются популярностью установки в Waydroid, Nintendo Switch и Raspberry Pi, а в России почти все установки приходятся на запуск в Waydroid. В Китае, Бразилии и Вьетнаме большая часть установок приходится на смартфоны: в Китае по числу установок с большим отрывом лидирует Xiaomi Mi 8, в Бразилии - Motorola moto g7, а во Вьетнаме - Samsung Galaxy S7.
Общий рейтинг применения LineageOS:
- Waydroid - 231 тысяча установок.
- Xiaomi Mi 8 - 111 тысяч.
- Motorola moto g7 power - 50 тысяч.
- Samsung Galaxy S7 - 42 тысячи.
- Motorola moto g7 play - 39 тысяч.
- Xiaomi Mi 10T и Xiaomi Redmi K30S Ultra - 38 тысяч.
- Samsung Galaxy S7 Edge - 27 тысяч.
- Xiaomi Mi 6 - 26 тысяч.
Только в 8.8% установок используется последняя версия LineageOS 23.2, а в 8.1% и 5.4% - версии 22.2 и 21.1, для которых оперативно формируются обновления с устранением уязвимостей.
73.4% установок приходится на устаревшие версии 20.0 (29.9%), 18.1 (23.7%), 17.1 (14.3%) и 19.1 (5.5%). Для веток LineageOS 18, 19 и 20 бэкпортирование патчей с устранением уязвимостей продолжается и на данный момент для них доступны исправления из июльского обновления Google. Для веток LineageOS 14, 15, 16 и 17 процесс бэкпортирования существенно усложнён из-за изменений в кодовых базах. Для веток LineageOS 16 и 17 пока доступны обновления по состоянию на ноябрь 2025 года. Для веток LineageOS 14 и 15 в ближайшие время планируют адаптировать патчи за ноябрь 2025 года.
Из других последних достижений LineageOS можно отметить начало разработки LineageOS 24 на базе Android 17 и появление web-интерфейса для установки прошивки через браузеры на движке Chromium, поддерживающие API WebUSB. Возможна перепрошивка в режимах ADB (Recovery mode),
Fastboot (Fastboot / Fastbootd) и Odin (Samsung).
Также упоминается значительное обновление приложения Updater, в котором задействован новый интерфейс, использующий концепцию дизайна Material 3 Expressive. Осуществлён переход на использование по умолчанию на использование пакетов A/B OTA-обновлений, которые распаковываются в неактивный системный раздел по мере загрузки, без предварительного сохранения в файл, что снижает снизило потреблением памяти и ускорило установку обновлений.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65861
Уязвимости во FreeBSD, допускающие повышение привилегий и удалённое выполнение кода
Во FreeBSD
устранено
22 уязвимости, из которых одна потенциально позволяет удалённо выполнить код с правами root, а 13 дают возможность повысить свои привилегии в системе. Уязвимости устранены в обновлениях FreeBSD 15.1-RELEASE-p1, FreeBSD 15.0-RELEASE-p11, 14.4-RELEASE-p7 и 14.3-RELEASE-p16.
Наиболее опасная уязвимость (CVE-2026-49420) вызвана переполнением буфера в библиотеке libalias, применяемой в работающем на уровне ядра пакетном фильтре ipfw и в выполняемом в пространстве пользователя фоновом процессе natd для трансляции адресов отправляемых или принимаемых сетевых пакетов. Переполнение возникает в обработчике протокола RTSP (Real Time Streaming Protocol), который перезаписывал исходящие сетевые пакеты с использованием буфера фиксированного размера без проверки того, помещается ли в него результат перезаписи пакета.
Во время обработки на NAT-шлюзе специально оформленного RTSP-трафика может возникнуть переполнение стека, потенциально способное привести к удалённому выполнению кода на уровне ядра или процесса natd, выполняемого в системе с правами root.
В качестве обходных путей для блокирования уязвимости можно блокировать загрузку модуля ядра alias_smedia.ko и убрать упоминание обработчика libalias_smedia.so из файла конфигурации /etc/libalias.conf. Если не используется протокол RTSP на межсетевом экране можно заблокировать трафик на сетевые порты 554 и 7070 в правилах, указанных до срабатывания правил NAT.
Уязвимости, приводящие к получению прав root непривилегированным локальным пользователем:
Выпуск fheroes2 1.1.17, открытого движка Heroes of Might and Magic 2
Доступен
выпуск проекта
fheroes2 1.1.17
, который воссоздаёт движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и
распространяется
под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить из оригинальной игры Heroes of Might and Magic II. В составе проекта поставляется
скрипт
для автоматической загрузки и извлечения ресурсов из демоверсии игры, которых достаточно для полноценной работы.
Основные изменения:
- Добавлен режим автоматического тестирования карт в редакторе, позволяющий запускать автоматическое прохождение сценариев AI-игроками и наблюдать за развитием игры без участия пользователя.
- В редактор добавлена возможность переключения между объектами одной группы с помощью прокрутки колеса мыши.
- Улучшено поведение искусственного интеллекта: герои теперь используют возможность оставаться в замках для получения бонуса к передвижению, эффективнее сражаются против призванных фантомов и корректно применяют заклинание "Телепорт" на существах под действием "Берсерка".
- Ускорены ходы AI без изменения логики его поведения.
- Добавлено плавное инерционное перемещение камеры на карте приключений.
- Внесены улучшения в режим "Битва" и исправлены различные проблемы интерфейса.
- Улучшен генератор случайных карт, исправлены ошибки размещения объектов.
- Владельцы Android-устройств теперь могут извлекать игровые ресурсы напрямую из установщика GOG.
- Сокращено время запуска игры и оптимизировано использование оперативной памяти.
- Закрыто свыше 30 уведомлений об ошибках и предложений по улучшению проекта.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65858
Результаты инициативы по обеспечению полноценной поддержки ARM64 в Ubuntu
Рави Шарма (
Ravi Sharma
) из команды
Ubuntu Foundations Team
подвёл
итоги
работы, проведённой за последний год для обеспечения полноценной поддержки архитектуры ARM64 в Ubuntu. Отмечается, что благодаря улучшению инструментария и инфрастурктуры, а также продвижению изменений в основной состав ядра Linux, за год удалось решить специфичные для ARM64 проблемы, такие как распространение пакетов через отдельный репозиторий, отсутствие поддержки live-патчей для ядра, ограниченные возможности для любителей компьютерных игр и недоступность Secure Boot на ноутбуках с чипами Qualcomm Snapdragon.
Основные достижения:
- Пакеты для архитектуры ARM64 перенесены из портов (ports.ubuntu.com) в основной архив Ubuntu (archive.ubuntu.com), что позволило задействовать для их распространения ту же инфраструктуру, что используется для архитектуры x86_64. Пакеты для ARM64 теперь доставляются через первичную систему зеркал, что повысило скорость и надёжность при их загрузке. Миграция потребовала внесения изменений в пакеты cloud-init, live-build, livecd-rootfs и ubuntu-release-upgrader. Изменения вошли в состав Ubuntu 26.04 и в процессе бэкпортирования для Ubuntu 24.04 LTS.
- Cервис Livepatch, позволяющий вносить исправления в ядро Linux на работающей системе без перезагрузки, распространён на системы на базе архитектуры ARM64. Ранее Live-патчи распространялись только для архитектуры x86_64, так как в ядре Linux для архитектуры ARM64 отсутствовала поддержка надёжных трассировок стека (CONFIG_HAVE_RELIABLE_STACKTRACE) для выявления активности, связанной с обработкой прерываний, а в инструментарии objtool и kpatch отсутствовали полноценные возможности для оценки состояния до и после применения патча. Поддержка Live-патчей для ARM64 предоставлена для Ubuntu 26.04 LTS и Ubuntu Core 26.
- Сформирован стабильный snap-пакет с клиентом Steam, собранный для архитектуры ARM64. Так как клиент Steam для Linux доступен только для архитектуры x86, для его запуска на системах ARM64 задействован слой эмуляции на базе пакета FEX. При эмуляции поддерживается проброс GPU и использование Wine, Proton, DXVK и vkd3d для выполнения компьютерных игр, собранных для архитектуры x86_64 и распространяемых через каталог Steam. Работа snap-пакета протестирована на ноутбуках с чипами Qualcomm Snapdragon X Elite, NVIDIA DGX Spark и Radxa Orion O6.
- Добавлена поддержка ноутбуков на базе чипов Qualcomm Snapdragon X Elite, таких как Lenovo Thinkpad X13s/T14s и Dell XPS 9345. Изначально поддержка данных устройств была добавлена в базовый iso-образ для систем ARM64, но его невозможно было использовать для загрузки в режиме Secure Boot из-за использования отдельных конфигураций Device Tree, которые прошивка ноутбуков не передавала ядру Linux. Необходимые настройки Device Tree загружались загрузчиком GRUB из отдельного файла, который не охватывался цифровой подписью.
Для решения проблемы ядро и база данных Device Tree были объединены в одном монолитном EFI-файле, похожем на UKI (Unified Kernel Image), подписанном цифровой подписью дистрибутива. Для загрузки этого файла была создана новая EFI-прослойка "stubble", при загрузке определяющая модель устройства через SMBIOS, выбирающая нужные данные Device Tree и подставляющая их в ядро, не нарушая цепочку доверия Secure Boot. Ведётся работа над реализацией поддержки ноутбуков на чипах Snapdragon X2 Elite.
- Подготовлен прототип загрузочного образа на базе Ubuntu 26.04 для ноутбуков на ARM64 SoC CIX P1, который в отличие от Snapdragon использует определение конфигурации через таблицы ACPI без использования Device Tree.
- Компания Google анонсировала публикацию официальных сборок Chrome для Linux-систем на базе архитектуры ARM64, что позволит запускать в ARM64-сборках Ubuntu браузер Chrome, содержащий CDM-модуль (Content Decryption Module) Widevine, который недоступен в Chromium. Поставка Widevine позволит без сторонних патчей просматривать медиаконтент, защищённый авторскими правами (DRM), размещаемый на таких сервисах, как Netflix, Spotify и Disney+. Кроме того, поддержку Widevine намерены интегрировать в snap-пакеты с Firefox и Spotify.
- Добавлены новые сборки приложений, доступные в формате snap для архитектуры ARM64. Среди прочего, для ARM64 началась публикация snap-пакетов с OnlyOffice, FreeCAD и Teams for Linux.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65857
Бэкдор в прошивках Tenda, позволяющий получить доступ с правами администратора
В прошивках, применяемых в потребительских и промышленных маршрутизаторах, коммутаторах, беспроводных точках доступа и системах видеонаблюдения компании
Tenda
,
выявлен
бэкдор (
CVE-2026-11405
), позволяющий получить доступ к web-интерфейсу с правами администратора в обход штатного процесса аутентификации и независимо от настроек учётной записи администратора. Предоставляемые права доступа позволяют управлять всеми настройками, манипулировать трафиком, отключить средства защиты и использовать устройство как плацдарм для атаки на системы в локальной сети.
Проблема вызвана наличием в процессе /bin/httpd недокументированной функциональности, встроенной в функцию login(). В случае неудачного завершения штатной проверки пароля по хэшу на основе алгоритма MD5 для любого логина, в коде вызывалась функция GetValue("sys.rzadmin.password"), проверяющая совпадение пароля со значением, предопределённым в прошивке в открытом виде. В случае совпадения, независимо от указанного логина, создавался сеанс с правами администратора.
Для использования бэкдора достаточно наличия доступа для отправки запросов к устройству по HTTP или HTTPS. В качестве обходной меры защиты рекомендуется запретить обращение к встроенному в прошивки HTTP-серверу из внешних сетей.
Наличие проблемы подтверждено в прошивках:
- US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD
- US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE
- US_AC10V1.0re_V15.03.06.46_multi_TDE01
- US_AC5V1.0RTL_V15.03.06.48_multi_TDE01
- US_AC6V2.0RTL_V15.03.06.51_multi_TDE01
Источник: https://www.opennet.ru/opennews/art.shtml?num=65856
Доступен OpenSSH 10.4
После трёх месяцев разработки
опубликован
выпуск
OpenSSH 10.4
, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные
изменения
:
Релиз Chrome 150
Компания Google
опубликовала
релиз web-браузера
Chrome 150
. Одновременно доступен стабильный выпуск свободного проекта
Chromium
, выступающего основой Chrome. Браузер Chrome
отличается
от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей
RLZ-параметров
при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 151 запланирован на 28 июля.
Основные изменения в Chrome 150 (1, 2,
3, 4):
- Предложены первые результаты инициативы по обновлению оформления интерфейса на разных операционных системах и его избавления от излишеств. Задействованы новые пиктограммы с более сглаженными границами и анимационные эффекты для кнопок, таких как кнопки открытия главного меню и перезагрузки страницы. Упрощена структура контекстных меню, из которых исключены редко используемые или дублирующиеся элементы. Задействовано более современное оформление конфигуратора, менеджера загрузок и страницы для навигации по закладкам.
- Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. В новой версии добавлена возможность подключения Chrome к AI-агенту Gemini Spark для автономного выполнения действий в текущей активной вкладке в процессе решения поставленных задач, требующих взаимодействия с web-контентом (нажатие на кнопки, переход по ссылкам, заполнение форм и т.п.). Кроме того, добавлен вывод контекстных рекомендаций по задействованию Gemini при работе с браузером, например, при открытии большой статьи Chrome предложит резюмировать информацию при помощи Gemini, а при редактировании текста в форме порекомендует проверить или исправить текст через Gemini.
- У части пользователей задействован единый упрощённый интерфейс для привязки к учётной записи в Google и синхронизации данных, таких как сохранённые пароли и закладки. Синхронизация интегрирована с входом в учётную запись и не преподносится как отдельная возможность в настройках. Пользователи могут подключить Chrome к учётной записи в Google и использовать её для хранения паролей, закладок, истории посещений и вкладок. Данные для автозаполнения адресов и автодополнения ввода теперь не синхронизируются между устройствами и хранятся только на локальной системе.
- У части пользователей, активировавших режим расширенной защиты браузера (Enhanced Safe Browsing), включена функция "HTTPS-First", выполняющая автоматическое перенаправление HTTP-запросов на HTTPS. Для обеспечения работы с сайтами, не поддерживающими HTTPS, реализован откат на HTTP, если после перенаправления не удаётся выполнить запрос по HTTPS или возникают проблемы с сертификатами. При попытке открытия сайта по HTTP выводится специальное предупреждение. В Chrome 154 режим планируют включить по умолчанию для всех публично доступных сайтов, размещаемых не в интранет сетях, таких как 192.168.0.1 и 10.0.0.0/8.
- Удалена поддержка флага kExtensionManifestV2Disabled, позволявшего вернуть возможность установки из каталога Chrome Web Store дополнений, использующих вторую версию манифеста Chrome. В следующем выпуске Chrome 151 будет удалён параметр AllowLegacyMV2Extensions, позволявший вручную в режиме разработчика загружать дополнения на базе второй версии манифеста. Отмеченные флаги позволяли обходным путём установить дополнение uBlock Origin.
- Обработчики Web Worker, созданные с использованием URI "data:" (например, через "new Worker('data:text/javascript....')", теперь изолируются от страницы, на которой были созданы, и не имеют доступа к локальным хранилищам и Cookie в контексте текущего домена. Изменение позволяет блокировать использование Web Worker-ов, не загруженных с сервера, а на лету созданных через "data:", для доступа к конфиденциальным данным в процессе XSS-атак.
- Реализована защита от атак, манипулирующих ограничением на максимальное число соединений к прокси в качестве скрытого канала связи между JavaScript-кодом, выполняемым в разных вкладках, или для определения посещался ли определённый сайт ранее. Например, атакующий может занять все доступные соединения к прокси, оставив не занятым лишь один сокет, после чего анализировать его доступность при обращении к статичному ресурсу - если сокет не занят, ресурс с проверяемого сайта отдан из кэша, т.е. пользователь уже загружал его ранее. Лимит на максимальное число соединений к TCP-сокетам прокси теперь варьируется случайным образом.
- Запрещено применение SVG-фильтров к чужим (cross-origin) или изолированным (sandboxed) iframe-блокам, а также к плагинам (например, встроенному PDF-просмотрщику). Ограничение позволяет защититься от атак по сторонним каналам, типа GPU.zip, и атак класса SVG Clickjacking, при которых SVG-фильтры используются для наложение прозрачного содержимого на другой контент с целью подстановки невидимой кнопки, например, поверх кнопки закрытия окна с рекламой.
- Для обособленных web-приложений (PWA, Progressive Web App) предоставлена возможность переноса на новый поддомен в пределах одного базового домена (например, замены drive.example.com на fileman.example.com) без участия пользователя (ранее PWA-приложение привязывалось к исходному домену и в случае смены подомена, например, при ребрендинге или реструктуризации, ручная переустановка).
- В TLS включена по умолчанию поддержка алгоритма формирования цифровой подписи ML-DSA (CRYSTALS-Dilithium), стойкого от подбора на квантовом компьютере.
- В версии для Android реализована поддержка стандарта FIDO Alliance Credential Exchange, позволяющего импортировать и экспортировать сохранённые пароли и параметры биометрической идентификации с использованием сквозного шифрования на стороне клиента, например, для защищённого переноса между Google Password Manager и сторонними менеджерами паролей.
- В версии для Android в конфигураторе предложен новый унифицированный интерфейс для управления сохраняемыми паролями и данными автозаполнения форм. Идея в том, чтобы пользователь разом мог получить информацию о разных классах сохраняемых браузером конфиденциальных данных, таких как пароли, данные биометрической аутентификации, адреса и паспортные данные.

- Добавлено CSS-свойство "text-fit" для автоматического масштабирования размер шрифта, чтобы текст вписывался в ширину родительского контейнера (например, когда нужно разместить заголовок в заданной области без переноса хвоста на другую строку или адаптировать шрифт для разных разрешений экрана).
- В CSS-свойствео"background-clip добавлена поддержка параметра "border-area", упрощающего создание границ с градиентом, благодаря отрисовке фона элемента строго в зоне, которую занимает рамка.
- Добавлена CSS-функция image(), позволяющая сгенерировать изображение с заливкой заданным цветом.
- В режиме Origin trials началось тестирование протокола EVP (email verification protocol) для автоматического криптографического подтверждения владения email без необходимости отправки на почту одноразовых кодов подтверждения.
- Добавлен HTML-атрибут focusgroup для декларативного управления переключением фокуса ввода с клавиатуры внутри составных компонентов, таких как меню, без использования JavaScript. Например, после выхода из группы элементов клавишей Tab и возвращения обратно, браузер вернёт фокус на последний активный элемент, а не на первый элемент в списке.
- Внесены улучшения в инструменты для web-разработчиков. Добавлены возможности для инспектирования и отладки инструментария WebMCP, применяемого для интеграции сайтов с AI-агентами при помощи протокола MCP. В панели со стилями разрешено редактирование по месту
правил "@container", "@counter-style" и "@function".
<iframe src="https://www.youtube.com/embed/wBNCPp5gdqg"></center>
</li>
<p>Кроме нововведений и исправления ошибок в новой версии устранено <a href="https://issues.chromium.org/issues?q=customfield1223088:0-M150">433 уязвимости</a>. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами <a href="https://github.com/google/sanitizers/wiki/AddressSanitizer">AddressSanitizer</a>, <a href="https://github.com/google/sanitizers/wiki/MemorySanitizer">MemorySanitizer</a>, <a href="https://www.chromium.org/developers/testing/control-flow-integrity/">Control Flow Integrity</a>, <a href="https://chromium.googlesource.com/chromium/src/+/master/testing/libfuzzer/README.md">LibFuzzer</a> и <a href="https://lcamtuf.coredump.cx/afl/">AFL</a>. Двадцати проблемам присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. 14 критических проблем вызваны обращением к уже освобождённой памяти (use-after-free), 3 - недостаточной проверкой не заслуживающих доверия входных данных, 2 - переполнением буфера и 1 - неправильной обработкой типов (Type Confusion). В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 319 тысяч долларов США (одна премия в 250 тысяч долларов (CVE-2026-14382 в библиотеке ANGLE), три премии по $10000, $2500, $2000 и $1000, две премии $3000 и по одной премии $8000, $5000 и $4000.
<br /><br>Источник: <b><a href="https://www.opennet.ru/opennews/art.shtml?num=65814">https://www.opennet.ru/opennews/art.shtml?num=65814</a></b></br></p></li></li></li></li></li></a></center></li></li></li></li></li></li></li></li></li></li></center></li></center></li></ul></p>
Выпуск D7VK 1.12, реализации Direct3D 3-7 поверх API Vulkan
Опубликован
выпуск проекта
D7VK 1.12
, развивающего реализацию графических API
Direct3D 3, 5, 6 и 7
, предложенных компанией Microsoft в 1996, 1997, 1998 и 1999 годах. D7VK работает через трансляцию вызовов в API Vulkan и позволяет при помощи Wine запускать в Linux ретро игры, завязанные на API Direct3D 3, 5, 6 и 7. Код проекта написан на языке C++ и
распространяется
под лицензией Zlib. В качестве основы при разработке использован код бэкенда d3d9 от проекта
DXVK
- D7VK преобразует API Direct3D 3, 5, 6 и 7 в вызовы Direct3D 9, которые затем транслируются в API Vulkan. Разработчик не намерен добиваться включения D7VK в состав DXVK, как это было с реализациями
Direct3D 8
и
Direct3D 9
поверх Vulkan.
В новом выпуске:
- Реализована серия оптимизаций производительности, в основном касающихся кода API, выполняемого на CPU. Показатели производительности D3D6 в тесте 3DMark 99 Max увеличились с 70685 баллов в D7VK 1.2 до 75283 в D7VK 1.12, а D3D7 в тесте 3DMark 2000 v1.1 с 45267 в D7VK 1.0 до 69566 в D7VK 1.12. В отдельных ситуациях внесённые микрооптимизации позволили значительно повысить FPS на системах со слабыми CPU, например, в игре Unreal Tournament FPS вырос с 256 до 484, а нагрузка на GPU снизилась с 37% до 18%.
- Упрощена реализация прозрачности на основе ключевого цвета (Color Key) без использования полноценного альфа-канала.
- В D3D6/5/3 оптимизированы преобразования цвета при очистке вьюпорта.
- Для снижения
количества используемых дескрипторов (handles) выделение дескрипторов текстур и материалов теперь осуществляется после запроса приложением, а не в момент создания текстуры или материала.
- Осуществлён переход на работу поверх выпуска DXVK 3.0.1.
- Внесены исправления, улучшающие поддержку игр Matrox TechDemo 3D, Star Trek: Starfleet Academy и The Sims: Complete Collection.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65851
Выпуск Phosh 0.56.0, GNOME-окружения для смартфонов
Опубликован
релиз
Phosh 0.56
, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в
postmarketOS
,
Mobian
,
ALT Mobile
,
Droidian
, некоторых прошивках для устройств Pine64 и редакции
Fedora для смартфонов
. Phosh использует композитный сервер
Phoc
, работающий поверх Wayland, а также собственную экранную клавиатуру. Наработки проекта
распространяются
под лицензией GPLv3+.
Среди изменений:
- В верхнюю панель добавлен плагин с индикатором, показывающим график изменения нагрузки на CPU. Это первый рабочий плагин, использующий API для интеграции плагинов в верхнюю панель.
- Предоставлена возможность скрытия пиктограмм приложений из меню приложений (app-grid) без их удаления из системы. Приложения скрываются через контекстное меню, показываемое при длительном касании к пиктограмме, и могут быть возвращены через интерфейс со списком скрытых приложений, вызываемый из того же контекстного меню. Скрытие может быть полезным в системах без менеджера приложений GNOME Software, например, в атомарно обновляемых дистрибутивах postmarketOS Duranium и BengalOS (образы для тестирования ночных сборок Phosh) с неделимым системным окружением.
<iframe src="https://peertube.debian.social/videos/embed/aDYiAXZz2DibyV6PfFCDoe?autoplay=0&controlBar=1&loop=0&muted=0&p2p=1&peertubeLink=1&title=1&warningTitle=1"></center>
<li class="l"> В конфигуратор добавлена новая панель для управления обновлением дистрибутивов, поставляемых с монолитным атомарно обновляемым системным окружением. На базе <a href="https://www.freedesktop.org/software/systemd/man/systemd-sysupdate.html">systemd-sysupdate</a> реализован бэкенд для обновления системы.
<br /><br>
</br><center>
<iframe title="" width="320" height="640" src="https://peertube.debian.social/videos/embed/f9pJ6WHQ6UzRbuttWmKru8?autoplay=0&controlBar=1&loop=0&muted=0&p2p=1&peertubeLink=1&title=1&warningTitle=1" frameborder="0" allowfullscreen="" sandbox="allow-same-origin allow-scripts allow-popups allow-forms" style="max-width: 100%;" loading="lazy" /></center>
<li class="l"> В phosh-session-services добавлен сервис для проверки наличия обновления системы.
<li class="l"> При помощи виджета AdwSidebar переделана боковая панель в конфигураторе. Мелкие настройки (conf-tweaks) перемещены в отдельную область боковой панели.
<li class="l"> В секцию c информацией о системе (About) добавлены сведения о версии системного образа для проверки актуальности состояния системы в атомарно обновляемых дистрибутивах.
<li class="l"> Добавлена поддержка док-станции <a href="https://nexdock.com/">NexDock 2025</a> для превращения смартфона в ноутбук.
<li class="l"> В настройки добавлена опция для включения плагина синхронизации файлов, реализованного на базе P2P-системы <a href="https://www.opennet.ru/opennews/art.shtml?num=63722">Syncthing</a>.
<li class="l"> Добавлена возможность поворота содержимого экрана блокировки системы на планшетах. Модернизирован стиль экрана блокировки.
<li class="l"> В композитном сервере Phoc проведена чистка внутренних компонентов и осуществлён переход на выпуск библиотеки <a href="https://gitlab.freedesktop.org/wlroots/wlroots/">wlroots 0.20.1</a>. Реализован Wayland-протокол <a href="https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/xdg-toplevel-tag">xdg-toplevel-tag-v1</a> для прикрепления Wayland-клиентами тегов к поверхностями верхнего уровня, которые композитный сервер может использовать для восстановления позиции, размера и свойств окон после перезапуска, а также для определения особых правил для отдельных видов окон.
<li class="l"> В экранной клавиатуре Stevia предоставлена возможность активации по умолчанию отдельных раскладок клавиатуры в привязке к приложениям (например, для Emacs можно по умолчанию включать раскладку, оптимизированную для работы в терминале). В панель быстрого ввода комбинаций клавиш добавлены кнопки для управления курсором. Для управления вставкой из буфера обмена задействован Wayland-протокол <a href="https://gitlab.freedesktop.org/wayland/wayland-protocols/-/tree/main/staging/ext-data-control?ref_type=heads">ext-data-control-v1</a>.
<li class="l"> В phosh-first-boot и libpms для экранной клавиатуры обеспечено автоматическое добавление раскладок клавиатуры, соответствующих выставленной локали.
<li class="l"> Обновлены версии зависимостей:
callaudiod 0.1.10,
Calls 50.0,
cellbroadcastd 0.0.3,
feedbackd 0.8.9,
feedbackd-device-themes 0.8.9,
GNOME 50,
iio-sensor-proxy 3.9,
mmsd-tng 2.6.4,
ModemManager 1.25.95,
wlroots 0.20.1,
wys 0.1.12.
</li>
<br /><br>Источник: <b><a href="https://www.opennet.ru/opennews/art.shtml?num=65850">https://www.opennet.ru/opennews/art.shtml?num=65850</a></b></br></li></li></li></li></li></li></li></li></li></li></li></center></li></ul></p></center>
Выпуск DXVK 3.0.1, реализации Direct3D 8/9/10/11 поверх API Vulkan
Доступен
выпуск прослойки
DXVK 3.0.1
, предоставляющей реализацию DXGI (DirectX Graphics Infrastructure), Direct3D 8, 9, 10 и 11, работающую через трансляцию вызовов в API Vulkan. Для использования DXVK
требуется
наличие драйверов с поддержкой API Vulkan 1.4, таких как NVIDIA 575.51.02, Mesa AMD RADV 25.0, NVIDIA 25.1 и Intel ANV 25.1. DXVK может применяться для запуска 3D-приложений и игр в Linux при помощи Wine, выступая в качестве более высокопроизводительной альтернативы встроенных в Wine реализаций Direct3D, работающих поверх OpenGL.
Основные изменения:
- На всех десктопных GPU отключено использование вторичного буфера команд, что немного снизило производительность в небольшом числе игр с неоптимальными шаблонами MSAA-сглаживания, но решило некоторые проблемы с отрисовкой и зависанием GPU.
- Устранены регрессии при отрисовке, проявлявшиеся в играх на базе D3D9, таких как Black Mesa, Gothic 3 и GTA IV.
- Устранено аварийное завершение при выгрузке D3D-библиотек пир активном D3D-устройстве.
- Обходным путём блокировано проявление ошибки в Mesa-драйвере ANV, приводивший к зависанию GPU в некоторых играх на системах с Intel Alchemist и более старыми GPU. На системах с подобными GPU по умолчанию включены буферы дескрипторов, что негативно повлияло на производительность.
- Решены проблемы в играх:
Опубликован BSDun, модуль для запуска исполняемых файлов FreeBSD в Linux
Опубликован проект
BSDun
, развивающий модуль для ядра Linux, позволяющий распознавать, загружать и запускать в Linux немодифицированные исполняемые файлы в формате ELF, собранные для FreeBSD. Для запуска применяется эмулируемое окружение FreeBSD, размещаемое в каталоге /compat/freebsd. В целом проект является полной противоположностью FreeBSD
Linuxulator
. Код
распространяется
под лицензией GPLv2+ и написан с использованием AI-ассистента Claude Code.
При помощи BSDun удалось успешно запустить в Linux многие приложения из пакетов FreeBSD, среди которых pkg, nginx, mc, ping, xeyes, xfce4-panel, Thunar, xfce4-terminal, Libreoffice, Midori, Epiphany, Chromium и VScode. Для запуска Chromium и VScode требуется отключение sandbox-изоляции и ограничение размера видеопамяти при помощи опций "--no-sandbox --force-gpu-mem-available-mb=1024".
Модуль не претендует на включение в основной состав ядра, поскольку с момента удаления ABI Solaris архитектура ядра Linux не допускает включения иных обработчиков исполняемых файлов (OS Personalities) и предусматривает наличие только одной таблицы системных вызовов. Для обхода этой проблемы в BSDun был задействован механизм kprobe, перехватывающий все системные вызовы.
При помощи kprobe cистемные вызовы FreeBSD отделялись от системных вызовов Linux и заворачивались в отдельную таблицу. Одна часть системных вызовов FreeBSD напрямую привязывалась к системным вызовам Linux, для другой выполнялась переупаковка структуры параметров и результата, третья заменялась заглушками (например, связанные с Capcicum), а четвёртая реализовывалась на основе внутренних структур ядра Linux.
Для реализации механизма kevent/kqueue поверх epoll() отдельно была применена модификация компонентов в пространстве пользователя, автоматически осуществляемая при загрузке каждого исполняемого файла FreeBSD.
В общей сложности реализовано около 250 системных вызовов. Также реализованы SystemV IPC, сетевые функции, futex-ы, sysctl MIB, prctl, таймеры и ioctl. Для разграничения файловых систем использовано chroot-окружение на стороне Linux (в процессе экспериментов без chroot автор выполнив "pkg install ..." перезаписал содержимое /usr/local/* в Linux). Тем не менее, некоторые утилиты все ещё могут работать без chroot.
Предложенный модуль может применяться для разработки, сборки и портирования ПО для FreeBSD без использования виртуальных машин. Краткая инструкция по использованию:
make
make load
./bsdun-freebsd-root-resetup.sh
./bsdun-freebsd-enter.sh
uname -a
FreeBSD host 16.0-CURRENT FreeBSD 16.0-CURRENT (bsdun) amd64
Источник: https://www.opennet.ru/opennews/art.shtml?num=65846
В ReactOS продемонстрирован запуск игры Half-Life 2 и реализован первый системный вызов из Windows Vista
Разработчики открытой операционной системы ReactOS, нацеленной на обеспечение совместимости с программами и драйверами Microsoft Windows,
добились
успешного запуска игры Half-Life 2, который был
продемонстрирован
на реальном оборудовании. Игра была запущена с разрешением 2560x1440 на компьютере с видеокартой NVIDIA GeForce GTX 960 и звуковой карой SoundBlaster Audigy, для работы с которыми был задействован проприетарный видеодрайвер NVIDIA 368.61 и звуковой драйвер из набора Audigy SupportPack 7.0. Месяц назад в ReactOS
удалось
запустить игры Half-Life и Unreal Tournament 2004.
<iframe src="https://www.youtube.com/embed/a_my1_xyPM0"></center>
<p>Помимо этого несколько дней назад в состав ReactOS была <a href="https://github.com/reactos/reactos/pull/9184">принята</a> реализация системного вызова <a href="https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-kegetcurrentprocessornumberex">cbNtGetCurrentProcessorNumberEx</a>, позволяющего определить номер CPU, на котором выполняется программа, отправившая запрос. cbNtGetCurrentProcessorNumberEx <a href="https://x.com/reactos/status/2072786194350461068">стал первым</a> реализованным в RectOS системным вызовом из ядра NT 6, применявшегося в Windows Vista и Windows Server 2008. Ранее проект ReactOS ограничивался обеспечением совместимости с ядром NT 5.2, используемым в Windows XP и Windows Server 2003.
<br /><br>Источник: <b><a href="https://www.opennet.ru/opennews/art.shtml?num=65848">https://www.opennet.ru/opennews/art.shtml?num=65848</a></b></br></p>
В ядре Linux намерены прекратить поддержку старых ARM-платформ, ФС EFS и 32-разрядных MSR-интерфейсов
Арнд Бергман (Arnd Bergmann), отвечающий за пакеты с ядром в SUSE,
предпринял
вторую попытку проведения чистки ядра Linux от кода для поддержки устаревших платформ ARM, которые почти не используются и мешают сопровождению актуальных подсистем. Первая попытка
была предпринята
в августе 2024 года, но забуксовала, несмотря согласие разработчиков ядра провести чистку в 2025 или 2026 годах после формирования соответствующих LTS-веток ядра. Во втором наборе патчей Арнд актуализировал информацию и добавил в файлы конфигурации предупрежения о переводе платформ в разряд устаревших. Фактически удалить отмеченные платформы предлагается в ядре 7.4, ожидаемом в начале 2027 года.
Намечены к удалению:
- Все файлы поддержки плат, не переведённые на использование структуры Device Tree. Исключение будет сделано только для платформ OMAP1 и S3C (ARCH_S3C64XX), так как код для поддержки OMAP1 находится в процессе перевода на Device Tree, а платы S3C ещё продолжают активно использоваться. Среди прочего по умолчанию будет отключена поддержка структуры ATAGS (ARM Tag-Area), которая использовалась для передачи информации о конфигурации до Device Tree.
- Поддержка расширенного набора инструкций iWMMXt, который был объявлен устаревшим, начиная с GCC 14.
- Архитектура ARMv6/ARM1136r0, которая используются в таких SoC, как ARM1136r0p (NXP i.MX31) и OMAP24xx (Nokia N8xx). Удаление не затрагивает архитектуру ARMv6K (ARM1136r1/ARM1176).
- Микроконтроллеры на базе процессоров Cortex-M3/M4/M7 (stm32, imxrt, lpc18xx, samv7) - последние поддерживаемые в ядре чипы без блока управления памятью (MMU).
- RiscPC - старейшая из поддерживаемых в ядре платформ.
- Платформы LSI Axxia.
- Эмулятор для выполнения операций с плавающей запятой NWFPE (No Floating Point Emulator), OABI и режим совместимости с OABI (OABI_COMPAT), позволяющий выполнять исполняемые файлы, собранные для OABI, используя ядро с EABI. Данные подсистемы применяются только на устройствах с процессорами StrongARM на базе архитектуры ARMv4 и будут удалены в оставаться в ядре до удаления поддержки StrongARM.
- Структура param_struct, используемая до ATAGS (ARM Tag-Area), объявленная устаревшей в 2001 году и намеченная на удаление ещё в 2006 году.
- Помечена как устаревшая и неработоспособная (broken) поддержка режима BE8 (big-endian ARMv7), который пока не планируют удалять так, как он представляет интерес для тестирования компонентов пространства пользователя на системах big-endian. Поддержка big-endian варианта ARMv5 сохраняется, так как он используется в процессорах ixp4xx, находящихся в обиходе.
Кроме того, в ядре Linux 7.3 намерены удалить файловую систему EFS, которая применялась в ранних версиях ОС IRIX, перестала использоваться около 30 лет назад и уже более 20 лет находится без сопровождения. Для тех кому необходим доступ к информации на разделах с EFS существуют утилиты, работающие в пользовательском пространстве.
Также началась работа по прекращению использования в ядре 32-разрядного интерфейса rdmsr() для доступа к регистрам MSR (Model Specific Register) в CPU, позволяющего по отдельности читать содержимое старших и младших 32-разрядных значений из 64-разрядных регистров MSR. Планируется полностью удалить код 32-разрядного интерфейса и перевести ядро на 64-разрядный интерфейс rdmsrq(), что позволит заменить все высокоуровневые макросы, обращающиеся к MSR, на inline-функции.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65847
Возобновлена публикация Android-прошивки CalyxOS, не привязанной к сервисам Google
Опубликован
выпуск проекта
CalyxOS 7.2.2.0
, развивающего прошивку на основе платформы Android, избавленную от привязок к сервисам Google и предоставляющую дополнительные средства для обеспечения конфиденциальности и безопасности. CalyxOS 7.2.2.0 стал первым стабильным выпуском после
приостановки
публикации обновлений в августе прошлого года, вызванной необходимостью переработки процесса формирования релизов, проведения полного аудита и изменения криптографических ключей после ухода основателя проекта и технического лидера, имевших доступ к ключам для цифровых подписей. Новый выпуск переведён на кодовую базу
Android 16
и
доступен
в сборках для устройств Pixel 4-9, Fairphone 4/5, Motorola Moto G32-G84 и SHIFTphone 8.
Вместо сервисов Google в CalyxOS предлагается набор microG c альтернативной реализацией API Google Play, Google Cloud Messaging и Google Maps, не требующей установки проприетарных компонентов Google. Вместо Google Network Location Provider для определения местоположения по Wi-Fi и базовым станциям задействована прослойка, использующая сервисы Positon или BeaconDB. Для преобразования адресов в местоположение (Geocoding Service) задействован Nominatim от проекта OpenStreetMap.
Для управления доступом к сети применяется межсетевой экран Datura, позволяющий ограничивать доступ к сети в привязке к отдельным приложениям, методам подключения (Wi-Fi, мобильная сеть, VPN) и активности (например, можно запретить доступ приложений, выполняемых в фоне). Имеется интерфейс для отслеживания полномочий приложений. По умолчанию используется браузер Calyx Chromium с поисковым движком DuckDuckGo, а в качестве опции доступен Tor Browser. Для установки приложений предлагаются F-Droid и Aurora Store (альтернативный анонимный клиент для Google Play).
Другие особенности CalyxOS:
- Ориентированный на приватность интерфейс совершения звонков, имеющий встроенную возможность осуществления вызовов через мессенджеры Signal и WhatsApp с использованием сквозного шифрования. Обеспечено скрытие из журнала звонков конфиденциальных номеров телефонов, таких как телефоны доверия.
- Блокировка по умолчанию неизвестных USB-устройств.
- Функция отключения Wi-Fi, Bluetooth, микрофона и камеры после определённого времени неактивности.
- Режим блокировки доступа к сети недавно установленных приложений.
- Возможность использования профилей для разделения рабочей и личной активности с изоляцией данных и приложений между профилями.
- Интегрированная поддержка VPN c предустановкой приложений для Tor и Riseup. Возможность использования телефона в режиме точки доступа (USB или Wi-Fi) с пробросом трафика через VPN или Tor.
- Верификация системы по цифровой подписи для защиты от подмены или вредоносного изменения прошивки.
- Автоматическая ежемесячная доставка обновлений в режиме OTA (over-the-air).
- Кнопка Panic для экстренной чистки данных и удаления определённых приложений.
- Автоматическая система создания резервных копий приложений, позволяющая сохранять резервные копии на USB-накопитель или в облачное хранилище Nextcloud c шифрованием на стороне клиента.
- Использования CoMaps для работы с картами, OnionShare для обмена файлами и Thunderbird для электронной почты.
Из изменений в новом выпуске, помимо перехода на Android 16, отмечается реализация поддержки смартфона SHIFTphone 8 и обновление версий встроенных приложений. Сборки заверены цифровой подписью на базе нового закрытого ключа, хранимого в переработанной инфраструктуре на базе аппаратного HSM-модуля (Hardware Security Module) YubiHSM 2, прошедшей аудит безопасности и не подконтрольной отдельным участникам. Из планов отмечается возобновление публикации регулярных корректирующих OTA-обновлений и выпуск CalyxOS 8 на базе Android 17.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65845
Возвращение в Ubuntu утилиты cp из Rust Coreutils привело к сбою при сборке livecd-rootfs
Разработчики Ubuntu
вернули
вариант утилиты cp из набора GNU Coreutils после выявления
несовместимости
в реализации cp из состава Rust Coreutils, из-за которой
стал завершаться
ошибкой скрипт для сборки Live-образов (livecd-rootfs).
В релизе Ubuntu 24.04 из-за выявленных уязвимостей были возвращены утилиты cp, mv и rm из GNU Coreutils, но в обновлении пакета coreutils-from-uutils 0.0.0~ubuntu26 было возобновлено использование утилит из набора Rust Coreutils. Проблема возникла из-за вызова в сборочном скрипте утилиты cp с опциями "-afL", которые нормально обрабатывались в GNU Coreutils, но в Rust Coreutils привели к возвращению ошибки "cp: -r not specified; omitting directory ‹dir-name›".
Ошибка возникала из-за иного поведения при обработке конфликтующих между собой опций "-L" и "-a". Опция "-L" предписывает разыменовывать символические ссылки, в то время как составная опция "-a", заменяемая на "-dR --preserve=all", содержит опцию "-d", запрещающую разыменование символических ссылок. В Rust Coreutils составная опция "-a" отбрасывалась целиком вместо отдельного удаления конфликтующего флага "-d", что приводило к пропаданию флага "-R", необходимого для рекурсивного копирования директорий, а также флага "--preserve=all", используемого для сохранения прежних атрибутов в копии.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65842
Ядро Linux оказалось на первом месте по числу CVE-идентификаторов уязвимостей
Грег Кроа-Хартман (Greg Kroah-Hartman), отвечающий за поддержку стабильной и "staging" веток ядра Linux,
сообщил
, что за первые 6 месяцев 2026 года в ядре Linux было выявлено 2308 уязвимостей, которым присвоены отдельные CVE-идентификаторы. Таким образом ядро Linux поднялось со второго на первое место по числу присвоенных CVE-идентификаторов среди производителей ПО. Подобный показатель не является объективным, так как большинство производителей присваивают CVE-идентификаторы только опасным уязвимостям, в то время как в ядре Linux
учитываются
все потенциальные уязвимости, независимо от степени опасности.
Число присвоенных CVE с группировкой по производителям:
В KDE улучшена анимация и прекращена поддержка OpenGL в KWin. Уязвимость в обработчике "Open New Window"
Опубликован
очередной еженедельный отчёт о разработке KDE, в котором представлена порция изменений для ветки KDE Plasma 6.8, релиз которой запланирован на 14 октября. Среди недавних изменений:
- В композитном менеджере KWin прекращена поддержка десктопного графического API OpenGL в пользу использования только OpenGL ES. Поддержка OpenGL ES требуется для работы на некоторых старых GPU и, как оказалась, OpenGL ES достаточно для всех потребностей KWin, поэтому он оставлен в качестве базового внутреннего API, по крайней мере до тех пор, пока поддержка Vulkan не станет достаточно развита. Оставление только OpenGL ES позволило избавиться от периодически возникающих проблем, вызванных несовместимостями между OpenGL и OpenGL ES (код написанный и протестированный с одним API, приводил к проблемам с отрисовкой или сбоям при использовании другого API).
- В KWin реализована поддержка новой версии системы Emulated Input 1.6 (libei), применяемой для эмуляции ввода в окружениях на базе Wayland.
- Переработана анимация сдвига уведомлений, которая переведена на использование более естественной кривой регулирования плавности ускорения и замедления анимации во времени (easing curve).
<video><source src="https://blogs.kde.org/2026/07/04/this-week-in-plasma-better-animations/notification-easing-curve.webm"></video>
- Реализована более реалистично выглядящая анимация прыгающей пиктограммы приложения, показываемая рядом с курсором для индикации начала процесса запуска программы.
<video><source src="https://blogs.kde.org/2026/07/04/this-week-in-plasma-better-animations/nicer-bouncing.webm"></video>
- Набор символов в интерфейсе выбора Emoji обновлён до версии стандарта Unicode 17.
- В менеджере приложений Discover категория "CD and DVD" переименована в "Disc Burning".
- Убрана недокументированная комбинация клавиш Meta+Ctrl+x, применявшаяся для включения функции автоматического вызова действий в зависимости от содержимого буфера обмена. Так как комбинация Meta+Ctrl+x близка к часто используемой последовательности Ctrl+X многие пользователи нажимали её случайно и потом недоумевали как отключить диалог, который начал появляться при каждой вставке URL из буфера обмена.
- В конфигуратор добавлены настройки для управления появлением диалога показа альтернативных символов после удерживания нажатия клавиш.
В ветке KDE Plasma 6.7 сформирован корректирующий релиз 6.7.2, в котором повышена производительность полноэкранного отображений видео в приложениях на базе движка Chromium. Устранены проблемы, такие как аварийное завершение KWin при включении адаптивного изменения частоты обновления экрана (VRR, variable refresh rate) на системах с несколькими мониторами, нарушение работы RDP-сервера при использовании systemd и зависания приложений на движке Chromium при включении опции показа поверх других окон.
Началась подготовка выпуска KDE Plasma 6.7.3, в котором устранена регрессия в KWin, приводившая к повышению нагрузки на CPU (процесс kwin_wayland начинал потреблять 5% CPU в режиме простоя) на некоторых системах Intel при включении атомарного переключения видеорежимов (KWIN_DRM_ATOMIC).
При поиске закладок в KRunner снижено потребление ресурсов и реализована поддержка двухсимвольных запросов (например, "Qt"). Улучшена расстановка отступов вокруг содержимого при настройке действий в виджете управления буфером обмена. Отключён по умолчанию системный сервис Kameleon из-за проблем с изменением цвета подсветки клавиш на клавиатуре. В Spectacle обеспечено скрытие в сохраняемых скриншотах всплывающей подсказки с размерами выбранной области экрана.
Дополнительно можно отметить раскрытие информации об уязвимости в реализации действия "Open New Window", вызываемого через контекстное меню или кликом средней кнопкой мыши на пиктограмму приложения в панели для открытия нового окна уже запущенного приложения. Проблема в том, что при отсутствии desktop-файла для вычисления команды для повторного запуска приложения используется содержимое файла /proc/PID/cmdline, отражающего значение argv[0] (путь к исполняемому файлу).
Так как приложение может изменить содержимое argv[0], то при вызове "Open New Window" вместо своего исполняемого файла можно организовать запуск любой команды в системе. Для обычных приложений подобная манипуляция лишена смысла, так как уже запущенная программа и без этого может выполнить любые команды, но во вредоносных Flatpak-пакетах, выполнение которых ограничено изолированным окружением, подобная возможность позволяет обойти изоляцию и добиться выполнения произвольных команд в основном системном окружении, если пользователь решит открыть новое окно через функцию "Open New Window".
Источник: https://www.opennet.ru/opennews/art.shtml?num=65840
В Fedora приостановлена деятельность "Community Initiatives"
Управляющий совет проекта Fedora (
Fedora Council
)
объявил
о приостановке деятельности процесса
Community Initiatives
, созданного для реализации в дистрибутиве крупных долгосрочных проектов, внедрение которых не укладывается в рамки шестимесячного цикла подготовки релизов Fedora Linux. Предполагалось, что Community Initiatives направит усилия сообщества на реализацию крупных идей, а также позволит получить необходимые ресурсы и поддержку от управляющего совета. Проекты, уже запущенные в рамках процесса Community Initiatives, такие как
Fedora Forge
,
Atomic
и
Fedora Docs 2026
, продолжат работу при полной поддержке управляющего совета и будут доведены до конца в соответствии с намеченным планом.
Причиной приостановки Community Initiatives стали проблемы с отсутствием должной обратной связи с сообществом, всплывшие в процессе утверждения проекта Fedora AI Developer Desktop, который был одобрен, несмотря на существенные возражения при обсуждении в сообществе. Ожидалось, что участники из сообщества обратятся к представителям управляющего совета в случае опасений по тем или иным предстоящим решениям, но на деле совет не был уведомлен о возможных проблемах и голосовал без учёта мнения сообщества.
Процесс Community Initiatives признан не эффективным и приостановлен до создания нового механизма, позволяющего открыто и прозрачно продвигать стратегические проекты, учитывая мнение сообщества. Предполагается, что новый механизм будет привлекать сообщество к совместному обсуждению проектов на раннем этапе продвижения идей, а не ставить перед фактом после уже принятого решения.
В качестве одного из возможных вариантов реформирования рассматривается предложение по созданию "песочницы" для упрощения тестирования новых идей и экспериментирования с новыми технологиями в дистрибутиве, без риска снижения стабильности основного проекта. Песочница позволит развивать инновационные идеи по развитию дистрибутива бок о бок с основным дистрибутивом.
Развиваемые в песочнице проекты будут интегрироваться в основной состав дистрибутива после выполнения определённых условий, подтверждения ценности для проекта и наличия интереса других разработчиков. Жизненный цикл экспериментальных технологий подразумевает наличие нескольких этапов становления с рецензированием в контрольных точках, привязанных ко времени, и переходом на другой этап после достижения соответствия определённым для каждого этапа критериям.
Что касается проекта Fedora AI Developer Desktop по созданию атомарно обновляемых десктоп-редакций Fedora Linux для разработчиков, использующих и разрабатывающих AI-технологии, то его обсуждение закрыто их-за неэффективности механизма Community Initiative. Инициаторам данного проекта рекомендовано попытаться реализовать его другим путём. Когда проект созреет, то сможет получить статус официальной редакции Fedora через признание Remix-редакции после отправки соответствующей заявки по согласования товарных знаков и утверждения в техническом комитете FESCo. До этого инициатива будет оставаться независимой разработкой, а не официальным проектом Fedora.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65838
Уязвимость в пакетном менеджере Guix, допускающая удалённое выполнение кода в системе
В пакетном менеджере Guix
выявлены
уязвимости (CVE не назначены) в реализации внутренней команды "guix substitute", автоматически вызываемой фоновым процессом guix-daemon при выполнении операций установки пакетов. Команда применяется для загрузки уже собранных бинарных пакетов с внешних серверов с проверкой их целостности при помощи цифровой подписи. Наиболее опасная уязвимость позволяет удалённо организовать выполнение кода на системе пользователя с правами под которыми выполняется фоновый процесс guix-daemon.
Проблема затрагивает все конфигурации с процессом guix-daemon, независимо от того, запускается он с правами root или под непривилегированным пользователем. Для эксплуатации уязвимости достаточно любой попытки загрузки готовых бинарных пакетов с сервера, подконтрольного атакующему. При этом вредоносный сервер не обязательно должен быть явно выбран или указан в настройках пользователя - он может быть определён при помощи опции "--discover", что позволяет осуществить подстановку сервера в ходе MITM-атаки. В конфигурациях, в которых guix-daemon запущен с повышенными привилегиями, локальный пользователь может совершить атаку при возможности подключения к фоновому процессу по Unix-сокету (по умолчанию доступен всем пользователям).
Уязвимость присутствует в обработчике "restore-file", применяемом для распаковки по мере загрузки пакета, не дожидаясь его полной загрузки и верификации загруженного архива по цифровой подписи. Проблема вызвана отсутствием проверки наличия символов ".", "/" и ".." в размещённых в архиве файловых путях. Через подстановку в архив некорректных имён файлов атакующий может добиться записи произвольного файла в любую область файловой системы, насколько позволяют права под которыми выполняется фоновый процесс guix-daemon.
Для организации выполнения своего кода в системе, например, можно добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile, или изменить файл ~/.ssh/authorized_keys с ключами SSH. Если в многопользовательской системе guix-daemon выполняется под пользователем root, атакующим может перезаписать файл с паролями или системные скрипты.
Возможность создания подставных серверов для распространения вредоносных пакетов вызвана тем, что процедура загрузки мета-данных (narinfo) о доступных бинарных пакетах (fetch-narinfos) не осуществляла проверку сертификата сервера, полагаясь на то, что основная часть метаданных заверяются цифровой подписью. Как оказалось, подпись не охватывала URL для загрузки пакета, что позволяло подменить его не нарушая целостности метаданных. В конечном счёте подставной пакет был бы отброшен из-за непрохождения проверки его содержимого по хэшу, заверенному цифровой подписью, но данная проверка производилась после этапа распаковки, на котором проявлялась проблема со спецсимволами в именах файлов.
Помимо команды "guix substitute", уязвимый обработчик "restore-file" задействован в работе команд "guix offload", "guix archive --extract" и "guix challenge", через которые также можно эксплуатировать уязвимость. В качестве обходного пути для блокирования уязвимости предлагается явно указывать опцию "--no-substitutes" во всех командах guix. Исправление уязвимости принято в состав кодовой базы Guix. Пользователям рекомендуется незамедлительно установить сформированные разработчиками обновления guix и guix-daemon.
Помимо отмеченной проблемы в Guix устранено ещё три уязвимости:
- Возможность подмены запрошенных бинарных пакетов из-за отсутствия проверки соответствия запрошенного пакета в возвращёнными метаданными в обработчике fetch-narinfos. Уязвимость может использоваться для отдачи устаревшей уязвимой версии запрошенного пакета.
- Определение содержимого первой строки произвольных файлов в системе через передачу локальным пользователем запроса с URI "file://" ("--substitute-urls file:///etc/shadow"). Если guix-daemon выполняется с правами root, то он прочитает запрошенный файл, определит, что он не является метаданными и выведет ошибку, в тексте которой будет упомянута строка, которую не удалось разобрать.
- Указание специально оформленного имени внешнего репозитория ("../../../../newfile") при выполнении команд
"guix pull" и "guix time-machine" позволяет записать данные с информацией о коммите в произвольный существующий файл в файловой системе, если его содержимое напоминает список строк на языке Scheme. Уязвимость может применяться для DoS-атак, но не исключено, что через хитрые манипуляции с псевдо-ФС /proc можно добиться более опасных манипуляций с системой.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65837
Представлен новый движок симуляции физических процессов Box3D
Эрин Катто (Erin Catto), автор проекта
Box2D
,
объявил
о создании нового движка симуляции физических процессов
Box3D
, который представляет собой форк Box2D, имеющий идентичную архитектуру, но переработанный и расширенный для использования в трёхмерных играх. Код проекта написан на языке Си и
распространяется
под лицензией MIT. Поддерживается сборка для Linux, Windows и macOS.
Движок Box3D создан в процессе разработки студией Kintsugiyama нового 3D-шутера The Legend of California, в работе над которым участвует Эрин. В игре применяется игровой движок Unreal Engine, но разработчиков не устроил предлагаемый в нём штатный физический движок Chaos. Проблемы возникли с отсутствием учёта гирокоспических крутящих моментов (тонкие объекты неестественно долго вращались), непрерывным обнаружением столкновений (нереалистичное поведение падающих деревьев) и низкой производительностью при обработке сотен тысяч объектов.
Вначале проблемы планировали решить создав форк физического движка Jolt, но затем по совету создателя движка Rubikon, задействованного в игре Half-Life, за основу был взят разработанный в качестве хобби упрощённый вариант Rubikon-Lite, который был переработан, используя код и оптимизации из Box2D для совмещения имевшихся 3D-возможностей с наработками из движка Box2D. В итоге почти все API, структуры данных и алгоритмы в Rubikon-Lite были заменены на код из Box2D, а от Rubikon-Lite остались лишь алгоритмы построения выпуклой оболочки и обработки 3D-столкновений. Получившийся движок с ведома автора Rubikon-Lite и компании Kintsugiyama было решено опубликовать как отдельный открытый проект Box3D.
В настоящее время опубликован первый выпуск Box3D 0.1, который отмечен, как имеющий качество альфа-версии. Основная запланированная функциональность реализована, но требуется доработка документации и тестирование. Помимо игры
The Legend of California, новый движок уже задействован в игровой платформе s&box, открытом игровом движке Esoterica и многопользовательской космической игре Space Game, рассчитанной на 1000 игроков.
Для 3D-игр в новом движке добавлены такие возможности, как расчёт столкновений с полигональной сеткой (мешем) и высотными картами, используемыми при генерации ландшафта, что позволило реализовать в игре The Legend of California реалистичные эффекты падения деревьев на воксельные поверхности. Добавлена поддержка предварительно просчитанных (baked) составных столкновений, скомпонованных из нескольких простых форм, значительно снизившая потребление ресурсов при симуляции столкновений огромного числа типовых мелких объектов.
Среди перенесённых в Box3D возможностей, ранее имевшихся в Box2D:
- Непрерывное определение столкновений (обработка движения объекта как непрерывной траектории), фильтрация столкновений и генерация событий при соприкосновении объектов. Поддержка сферических, капсульных и оболочечных форм для определения столкновений. Оптимизированный при помощи SIMD-инструкций обработчик соприкосновения объектов.
- Sub-stepping Solver для повышения точности симуляции за счёт разделения этапов симуляции на несколько более мелких шагов.
- Использование метода раскраски графов для обработки больших групп связанных объектов.
- Контроллер персонажа, отвечающий за обработку движения, столкновений и взаимодействия персонажа с окружающими объектами.
- Поддержка трассировки лучей, трассировки форм и проверки пересечений при сканировании окружающего пространства. Система сенсоров для обнаружения объектов в пространстве.
- Soft Step Solver для расчёта физики твёрдых тел при сложных взаимодействиях.
- Поддержка заморозки состояния групп неактивных или статичных объектов для экономии ресурсов.
- Поддержка разнообразных соединений и типов связей между объектами, включая шарниры, пружины, моторы, сварку и колёса, с возможностью
гибкой настройки каждого соединения. Расчёт сил сжатия и растяжения, с которыми объекты воздействуют друг на друга.
- Возможность генерации событий при начале движении, остановке или стабилизации объекта.
- Хуки для многопоточной обработки с опциональным внутренним планировщиком.
- Использование для координат типа double, позволяющего создавать огромные миры.
- Кроссплатформенный детерминизм, обеспечивающий получение идентичного результата на разных аппаратных платформах.
- Поддержка записи и воспроизведения симуляции.
- C API и Си-код соответствующий стандарту C17.
Из планов на будущее упоминается расширение возможностей, связанных с движениям персонажей, усовершенствование механизмов предотвращения "призрачных" столкновений (ghost collision), внесение оптимизаций и улучшение обработки соединений (joint solver). В репозитории намерены предоставить возможность отправки pull-запросов с изменениями от представителей сообщества после подписания соглашения о передаче имущественных прав на код (CLA).
<iframe src="https://www.youtube.com/embed/jr_Fzl2XwKU?si=igjpeT9ougrAfLhY"></center>
<br /><br>Источник: <b><a href="https://www.opennet.ru/opennews/art.shtml?num=65835">https://www.opennet.ru/opennews/art.shtml?num=65835</a></b></br></center></p></li></li></li></li></li></li></li></li></li></li></li></li></li></ul></p></p></p></p></p>
Представлен crustc - компилятор rustc, переведённый на язык Си
Опубликован
crustc
, компилятор для языка Rust, созданный путём трансляции кода штатного компилятора rustc 1.98.0-nightly на язык Си. На выходе получилось 46 млн строк кода на Си, которые можно собрать при помощи GCC и утилиты make. Собранный таким способом компилятор успешно проходит тесты компиляции Rust-кода, такого как стандартные rust-библиотеки.
Проект демонстрирует возможности находящегося в разработке компилятора cilly, позволяющего транслировать проекты с языке Rust на язык Си. Целью подобной трансляции является предоставление возможности сборки кода, изначально написанного на Rust, в системных окружениях и на архитектурах, не поддерживаемых компилятором rustc. На выходе генерируется код на ANSI С (C89), что потенциально позволит собирать проекты на устаревших системах, которые не поддерживаются в LLVM и GCC, но для которых имеется компилятор ANSI С. Компилятор cilly пока не доступен публично и будет опубликован после его доведения до готовности к широкому тестированию. Работа над проектом ведётся одним энтузиастом на протяжении трёх лет.
Cilly реализован в форме бэкенда для rustc, который транслирует внутреннее представление Rust в исходный код на языке Си. Особенностью cilly является то, что каждая трансляция производится с учётом конкретной платформы и целевого Си-компилятора, которым планируется собирать программу. На стадии проверки cilly формирует профиль целевого Си-компилятора, применяя тестирование на основе сборки набора мини-программ, оценивающих поддержку тех или иных возможностей (например, _Thread_local) и определяющих такие особенности платформы, как размеры типов, выравнивание данных в памяти и раскладка структур.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65834
Firefox обогнал Safari по статистике StatCounter
По
данным
рейтинга StatCounter, осуществляющего мониторинг общемировой статистики использования web-браузеров, доля браузера Firefox за месяц выросла с 3.79% до 6.44%, что позволило обогнать в рейтинге браузер Safari, доля которого оценена в 5.19%. Лидером рейтинга остаётся Chrome с долей 72.24%, а второе место занимает Edge (10.45%). Рейтинг замыкают Opera (1.81%) и Samsung Internet (1.41%). Год назад доля Firefox составляла 5.84%, Safari - 7.34%, Chrome - 66.59%, Edge - 13.06%, Opera - 2.63%. Статистика
собрана
на основании счётчика, размещённого на более чем миллионе сайтов.
По данным сервиса Cloudflare Radar доля Firefox составляет 3.5%, Safari - 17.7% (Safari Desktop - 3%, Mobile Safari - 12.6%, Safari Webview - 2.1%), Edge - 6.3%, Chrome - 68%.
По данным Wikipedia доля Firefox оценивается в 6.1%, Safari - 24.3% (desktop 4.8% + mobile 19.5), Chrome - 49.6%.
По статистике PornHub доля Firefox на настольных системах составляет 8.4%, Safari - 13.3%, Chrome - 56.9%, Edge - 12.2%, Opera - 7%. На мобильных системах доля Firefox составляет 0.7%, Chrome - 68.6%, Safari - 23.1%.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65833
Проблемы с очисткой ключей шифрования диска из ОЗУ при переходе Linux в ждущий режим
В ходе портирования для NixOS инструментария
cryptsetup-suspend
была
выявлена
ошибка в подсистеме дискового шифрования LUKS (Linux Unified Key Setup), из-за которой начиная с ядра Linux 6.9 (
проблемный коммит
), выпущенного в мае 2024 года, переслала работать очистка ключей шифрования из оперативной памяти при переходе системы в ждущий режим.
Инструментарий cryptsetup-suspend используется в Debian для автоматической блокировки LUKS-разделов перед переходом в режим сна. Предполагается, что в случае кражи ноутбука, переведённого в режим сна, злоумышленник будет лишён возможности получить доступ к данным, так как при выходе из сна потребуется ввести пароль для восстановления доступа к зашифрованным данным. Из-за ошибки в ядре Linux после блокировки LUKS-раздела командой "cryptsetup luksSuspend" ключи не очищались из оперативной памяти и оставались видны через /proc/keys, что позволяло атакующему извлечь их, например, методом "холодной перезагрузки", и использовать для доступа к данным.
Отсутствие очистки ключей было выявлено в ходе отладки состояния гонки, из-за которого возникали проблемы с переходом в ждущий режим.
Ошибка возникла после проведения в ядре 6.9 рефакторинга, в результате которого ключи привязывались к вызывающему потоку и должны были удаляться при его завершении, но на деле оставались в памяти. Для включения в ядро Linux предложен однострочный патч, устраняющий допущенную ошибку.
Данный патч не принят в ядро, так как в нём выявлена недоработка - патч действует только для физических накопителей, но не работает для виртуальных loop-устройств. Вместо исправления проблемы на стороне ядра разработчиками инструментария cryptsetup был предложен обходной путь очистки ключей. Данное изменение уже принято и войдёт в состав выпуска cryptsetup 2.8.7.
Помимо этого, для NixOS была создана собственная реализация скриптов для блокировки шифрованных дисков пред переходом в ждущий режим, в котором задействован старый патч к ядру, не принятый в 2015 году, принудительно очищающий ключи из памяти перед переходом в режим сна.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65831
На kernel.org по ошибке удалили со всех зеркал архивы с кодом ядра
Из-за ошибки при настройке нового первичного зеркала сайта kernel.org и внесении изменений в инфраструктуру, обеспечивающую работу первичных и вторичных зеркал, на существующих зеркалах
оказалась удалены
все данные в иерархии
kernel.org/pub/
, в которой среди прочего хранились
архивы
с кодом всех выпусков ядра, патчи и файлы со списками изменений. Эталонные данные не пострадали, удалены оказались лишь копии на зеркалах, что привело к показу пустого каталога при обращении к kernel.org/pub/. В настоящее время
ведётся
работа по восстановлению содержимого зеркал.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65830