Компания Google внесла изменения в объявление о выпуске Chrome 149, в котором раскрыла сведения об устранении 429 уязвимостей. 22 уязвимости отмечены как критические, а 87 — как опасные. Критические проблемы позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, упомянуто только, что большая часть критических проблем вызвана переполнением буфера или обращением к уже освобождённой памяти в компонентах ANGLE, Ozone, Chromecast, Chromoting, GFX и процессе для взаимодействия с GPU. Наибольший размер вознаграждения за уязвимость составил 97 тысяч долларов. Дополнительно можно отметить публикацию июньского отчёта об уязвимостях в Android, в котором упомянуто 124 … Читать далее В Chrome устранено 429 уязвимостей, а в Android — 124

Опубликован выпуск инструментария Emscripten 6.0, позволяющего компилировать код на C/C++ и других языках, для которых имеются фронтэнды на базе LLVM, в универсальный низкоуровневый промежуточный код WebAssembly. Полученный результат можно использовать для интеграции с JavaScript-проектами, запуска в web-браузере, использования в Node.js или создания обособленных многоплатформенных приложений, запускаемых при помощи wasm runtime. Код проекта распространяется под лицензией MIT. В компиляторе используются наработки проекта LLVM, а для генерации WebAssembly и оптимизации задействована библиотека Binaryen. Основной целью Emscripten заявлено создание инструмента, позволяющего выполнять в Web код независимо от языка программирования, на котором этот код изначально написан. В компилируемых приложениях могут использоваться вызовы стандартных библиотек … Читать далее Доступен Emscripten 6.0, компилятор из C/C++ в WebAssembly

Alibaba, одна из крупнейших китайских IT-компаний, опубликовала открытую платформу Open Code Review с реализацией гибридной архитектуры рецензирования, сочетающей строгие методы проверки с гибкими возможностями больших языковых моделей. Проект основан на коде применяемой в Alibaba внутренней системы рецензирования изменений, написан на языке Go и распространяется под лицензией Apache 2.0. Система поддерживает интеграцию с различными большими языковыми моделями, допускает привязку комментариев к конкретным строкам в коде и содержит встроенные наборы правил для выявление типовых проблем и уязвимостей, таких как ошибки при синхронизации потоков, межсайтовый скриптинг и подстановка SQL-кода. Проверка на основе правил предоставляется для языков Java, TypeScript, Go, Python, Kotlin, C++ и … Читать далее Компания Alibaba опубликовала инструментарий Open Code Review для рецензирования кода

Компания Roku, производящая телевизоры, телеприставки и устройства для умного дома, представила открытую операционную систему Roku LT OS, нацеленную на использование в специализированных инженерных проектах и встраиваемые системах. Roku LT OS позволяет создавать собственные решения, способные работать в окружениях с ограниченными ресурсами и жёсткими требованиями к задержкам и предсказуемому времени выполнения операций. Код проекта написан на языке Си и распространяется под лицензией Apache 2.0. Поддерживается создание прошивок для чипов ESP32 и STMicro, а также запуск Roku LT OS поверх Linux. Для разработки решений на базе Roku LT OS поставляется SDK и примеры прошивок, а в качестве обучающего руководства предложен видеокурс. Roku … Читать далее Производитель телевизоров Roku опубликовал открытую операционную систему Roku LT OS

Компания Microsoft анонсировала первую публично доступную экспериментальную сборку дистрибутива Azure Linux 4.0, подготовленную для запуске в виртуальных машинах и контейнерах. В дальнейшем обещают опубликовать экспериментальные сборки для WSL (Windows Subsystem for Linux) и AKS (Azure Kubernetes Service). Ветка Azure Linux 4 преподносится как универсальное решение, оптимизированное для платформы Azure и пригодное для использования во всех связанных с ней сферах, от виртуальных машин и контейнеров до узлов в кластере Kubernetes и систем разработчиков. Специфичные для дистрибутива изменения поставляются под лицензией MIT. По сравнению с Azure Linux 3.0 новая ветка переведена с собственной пакетной базы на использование пакетов из дистрибутива Fedora 43. … Читать далее Microsoft анонсировал универсальный дистрибутив Azure Linux 4.0

Компания Google опубликовала релиз web-браузера Chrome 149. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 150 запланирован на 30 июня. Основные изменения в Chrome 149 (1, 2, 3, 4): В конфигуратор в секцию «Система» («System») добавлены настройки для управления … Читать далее Релиз Chrome 149

Раскрыта информация об уязвимости «HTTP/2 Bomb«, затрагивающей различные реализации протокола HTTP/2 и позволяющей добиться отказа в обслуживании через исчерпание всей доступной процессу памяти. Наличие проблемы подтверждено в HTTP-серверах nginx, Apache httpd (CVE-2026-49975), Microsoft IIS, Envoy (CVE-2026-47774) и Cloudflare Pingora в конфигурации по умолчанию. Уязвимость использует метод, напоминающий zip-бомбу, применяемую к функциональности сжатия заголовков в HTTP/2. Идея в том, что запрос может содержать тысячи сжатых заголовков, таких как «Cookie», без прикреплённых данных, каждый из которых в запросе представлен однобайтовой ссылкой в индексе HPACK, но на сервере требует полноценного выделения памяти под весь заголовок. Уровень расходования памяти в различных HTTP-серверах варьируется от … Читать далее Атака на реализации HTTP/2, приводящая к исчерпанию доступной памяти

В библиотеке libinput, предоставляющей унифицированный стек ввода для Wayland и X.Org Server, выявлена уязвимость (CVE не назначен), позволяющая добиться выполнения кода с правами root через подключение локальным пользователем виртуального устройства ввода, сэмулированного в пользовательском пространстве через uinput или uhid. Проблема устранена в выпусках 1.31.3 и 1.30.4. Уязвимость присутствует в udev-обработчике libinput-device-group и вызвана отсутствием должного экранирования спецсимволов в атрибутах, получаемых от устройств и передаваемых в подсистему udev в форме «ключ=значение». Через подстановку символа перевода строки («n») в атрибут, можно добиться добавления своего правила udev, например, через выполнение uinput-команды UI_SET_PHYS(«pocn‹SECOND_KEY›=‹value›»). Для выполнения произвольных команд с правами root достаточно подобным способом подставить … Читать далее Уязвимость в libinput, позволяющая повысить свои привилегии в системе

Опубликован релиз прокси-сервера Privoxy 4.2.0, предназначенного для создания персональных фильтров web-контента. При помощи Privoxy можно вырезать рекламные вставки, отбрасывать отслеживающие Cookie, удалять всплывающие диалоги, блокировать загрузку стороннего JavaScript-кода и вносить необходимые пользователю произвольные изменения в web-страницы. Privoxy поддерживает установку как на локальные системы отдельных пользователей, так и на серверы для создания централизованной инфраструктуры фильтрации контента в локальной сети. Код проекта написан на языке Си и распространяется под лицензией GPLv2+. Готовые сборки подготовлены для Linux (deb) и Windows. Из расширенных возможностей Privoxy можно отметить: возможность привязки тегов для изменения поведения фильтров в зависимости от отдельных клиентских и серверных HTTP-заголовков; режим инспектирования … Читать далее Выпуск фильтрующего прокси Privoxy 4.2.0

Администраторы почтовых серверов на базе Fedora Linux обратили внимание на возникновение проблем с работой почтового клиента Microsoft Outlook после обновления дистрибутива. Диагностика проблемы показала, что в новой версии пакета с IMAP/POP3-сервером Dovecot 2.4.3 в настройках по умолчанию была запрещена аутентификация по протоколам IMAP и POP3 с передачей пароля в открытом виде в сеансах без применения шифрования. У пользователей Outlook была включена опция для обращения к почтовому серверу с использованием шифрования, но почтовый клиент при её выставлении продолжал использовать сетевой порт 110 для POP3, вместо смены номера порта на 995, применяемого для TLS-сеанса к серверу POP3, и не использовал расширение STARTTLS … Читать далее Fedora Linux помог выявить проблему с безопасностью в почтовом клиенте Outlook

После выхода обновления утилиты для синхронизации файлов rsync 3.4.3 с исправлением 6 уязвимостей, отмечено появление регрессий, нарушающих работоспособность ранее используемых конфигураций. Помимо этого непонимание и недовольство вызвало добавление за последние две недели в репозитории rsync около 50 изменений, подготовленных с использованием AI-модели Claude. Некоторые пользователи связали появление регрессий с генерацией низкокачественных исправлений уязвимостей при помощи AI. Некоторые из регрессий в rsync 3.4.3: Начали завершаться с ошибкой команды для инкрементального создания резервных копий, в которых было указано несколько опций «—compare-dest»; Стало невозможно собрать rsync на системах с ядрами Linux до версии 5.6 из-за задействования системного вызов openat2 (коммит 1, коммит 2); … Читать далее Регрессии в rsync 3.4.3 и принятие изменений, подготовленных с использованием AI

Компания Microsoft представила порт набора утилит Coreutils для платформы Windows. В состав входит несколько десятков утилит, включая sort, cat, chmod, chown, cp, find, sleep, sort, tee, echo, uptime и ls. Инструментарий позволяет напрямую использовать в Windows типовые утилиты, доступные в Linux и macOS, без использования прослойки WSL. Целью проекта заявлено упрощение перехода между Unix-подобными системами, WSL, контейнерами и Windows, и предоставление единого набора команд, флагов и методов, позволяющих переносить существующие скрипты из других систем без переписывания. Код написан на Rust и PwerShell, и распространяется под лицензией MIT. Реализация основана на коде проекта uutils (Rust Coreutils), развивающего вариант GNU Coreutils на … Читать далее Microsoft представил Coreutils для Windows, эмулятор терминала Intelligent Terminal и контейнеры в WSL

Доступен выпуск дистрибутива Ubuntu Sway Remix 26.04 LTS, предоставляющего преднастроенный и готовый к использованию рабочий стол на основе мозаичного композитного менеджера Sway. Дистрибутив является неофициальной редакцией Ubuntu 26.04, созданной с оглядкой как на опытных пользователей GNU/Linux, так и новичков, желающих попробовать окружение мозаичных оконных менеджеров без необходимости в их долгой настройке. Для загрузки подготовлены сборки для архитектур amd64, arm64 и компьютеров Raspberry Pi. Окружение дистрибутива построено на основе Sway — композитного менеджера, использующего протокол Wayland и полностью совместимого с мозаичным оконным менеджером i3, а также панели Waybar, файлового менеджера Thunar, и утилит из проекта NWG-Shell, таких как менеджер обоев рабочего … Читать далее Выпуск дистрибутива Ubuntu Sway Remix 26.04 LTS

Опубликован инструментарий nbd-vram, позволяющий разместить область подкачки в видеопамяти графической карты NVIDIA. Подобный манёвр даёт возможность виртуально увеличить размер памяти в системе, работающей на ноутбуках с впаянной нерасширяемой оперативной памятью и GPU NVIDIA. Код написан на языке Си и распространяется под лицензией MIT. Например, на ноутбуке с 16 ГБ ОЗУ и видеокартой NVIDIA GeForce RTX/GTX с 8 ГБ VRAM через раздел подкачки можно задействовать дополнительные 7 ГБ памяти. В сочетании с применением модуля ядра zram для сжатого хранения раздела подкачки и подключением дополнительного раздела подкачки на SSD-накопителе общий размер адресуемой памяти в тестовой конфигурации доведён до 46 ГБ (при нехватке … Читать далее Расширение системной памяти через подкачку в видеопамяти NVIDIA

Дрю ДеВолт (Drew DeVault), автор пользовательского окружения Sway, почтового клиента Aerc, языка программирования Hare и платформы совместной разработки SourceHut, опубликовал первый выпуск Vim Classic, форка текстового редактора Vim 8.2, продолжающего сопровождение прошлой ветки. В качестве причин создания форка указано непринятие политики Vim в отношении использования AI. По задумке Дрю ДеВолта, Vim Classic 8.3 можно рассматривать как то, как мог бы выглядеть выпуск Vim 8.3, если бы разработчики Vim не создали ветку Vim 9 с новым скриптовым языком Vim9 Script, имеющим синтаксис, близкий к JavaScript, TypeScript и Java. От Vim 8.2 выпуск Vim Classic 8.3 отличается исправлением ошибок и портированием некоторых … Читать далее Первый выпуск редактора Vim Classic, продолжающего развитие ветки Vim 8.2

Сопровождающий открытый инструментарий ScanCode Toolkit, предназначенный для сканирования кода на предмет пересечений с чужими авторскими правами, выявления используемых лицензий и обнаружения неисправленных уязвимостей, раскритиковал проект, создавший при помощи AI клон продукта ScanCode, переписанный с Python на Rust (название клона не упоминается, но, судя по всем признакам, речь про проект Provenant). Утверждается, что в переписанном проекте нарушена торговая марка ScanCode и удалены упоминания об авторских правах и лицензиях. Претензии объясняются тем, что в переписанном клоне продолжено использование ключевых алгоритмов ScanCode, сохранена архитектура проекта и структура кода. По мнению сопровождающего ScanCode успешному созданию клона способствовало наличие у проекта исчерпывающего автоматизированного тестового набора, … Читать далее Проблемы с соблюдением авторского права при переписывании ScanCode на Rust при помощи AI

Компания Canonical представила инструментарий workshop, позволяющий одной командной быстро создавать в Ubuntu изолированные окружения для применения при разработке ПО и решения задач, связанных с машинным обучением и вовлечением AI-агентов. Начинка окружения определяется в одном файле конфигурации в формате YAML, который позволяет точно воспроизвести описанное окружение на любых компьютерах. Предполагается, что благодаря workshop разработчик может сосредоточиться на том, что он хочет получить, не тратя своё время на разбор зависимостей и настройку начинки. Инструментарий устанавливается в виде snap-пакета. Код проекта написан на языке Go и распространяется под лицензией GPLv3. Окружение формируется из независимых подключаемых элементов, оформляемых в виде SDK, которыми можно делиться … Читать далее Canonical опубликовал утилиту workshop для развёртывания окружений для разработки

Опубликованы корректирующие выпуски X.Org Server 21.1.23 и DDX-компонента (Device-Dependent X) xwayland 24.1.12, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены 9 уязвимостей. Некоторые уязвимости потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH. Исправленные уязвимости (CVE-идентификаторы не назначены): Переполнение буфера при обработке альтернативных названий шрифтов. Проблема вызвана разными ограничениями на размер имени шрифта в библиотеке libXfont2 и X-сервере — сервер выделял под имя 256 байт, … Читать далее Обновление X.Org Server 21.1.23 с устранением 9 уязвимостей

В результате компрометации процесса формирования релизов на базе GitHub Actions в принадлежащих компании Red Hat репозиториях RedHatInsights, злоумышленники смогли опубликовать в каталоге NPM 64 вредоносные версии, охватывающие 32 NPM-пакета для платформы Red Hat Cloud Services. Для каждого из поражённых NPM-пакетов были выпущены по две вредоносные версии, в которые был интегрирован код для активации нового варианта червя mini-shai-hulud, выполняющего поиск токенов и учётных данных в текущем окружении. Червь размещался в файле index.js и активировался через preinstall-обработчик, вызываемый при установке поражённого пакета. После активации червь выполнял поиск в системе токенов к NPM (~/.npmrc), PyPI, CircleCI, AWS, GCP, Docker, Azure, HashiCorp и KubernetesK8s, … Читать далее Атакующие встроили вредоносное ПО в 32 NPM-пакета Red Hat

Разработчики языка программирования Rust готовят к публикации правила применения AI-ассистентов в проекте. Предложенные правила отточены в ходе обсуждения, насчитывающего более 3000 сообщений, одобрены 4 сопровождающими и ожидают публикации. За отдельными исключениями, правила запрещают передачу кода, сгенерированного через AI, в основной репозиторий rust-lang/rust, но не распространяются на субмодули, подветки и зависимости из каталога crates.io, а также другие репозитории организации. При этом правила разрешают использование AI для анализа, изучения, рецензирования и проверки кода. Применение AI допускается в случаях, когда полученная через AI информация в частном прядке используется только одним разработчиком и не распространяется публично. Например, когда разработчик задаёт AI вопросы по коду, … Читать далее Разработаны правила использования AI в проекте Rust

Представлен выпуск проекта 86Box 6.0, развивающего эмулятор систем на базе архитектуры x86, при помощи которого можно запускать старые операционные системы и приложения, включая те, что применялись в начале 1980-годов на компьютерах IBM PC 5150 и IBM PS/2. Поддерживается точная низкоуровневая эмуляция систем, начиная с процессоров 8086 и заканчивая Intel Сeleron Mendocino. Код проекта написан на языке C и распространяется под лицензией GPLv2. Для управления работой предоставляется графический интерфейс c возможностями для настройки виртуальных машин. Доступна эмуляция различных периферийных устройств, таких как видеоадаптеры, звуковые карты, сетевые карты и контроллеры жёстких дисков. Среди поддерживаемых операционных систем: MS-DOS, Windows 3.11/95, OS/2, различные дистрибутивы … Читать далее Выпуск эмулятора 86Box 6.0