В NPM 12.0 по умолчанию отключён запуск скриптов при установке пакетов

Опубликован выпуск пакетного менеджера NPM 12.0, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Новая версия примечательна прекращением по умолчанию запуска скриптов во время установки пакетов. Предполагается, что изменение усложнит проведение атак через компрометацию зависимостей и замедлит распространение червей, активируемых из установочных скриптов. Для запрета автозапуска скриптов, указанных в package.json через параметры preinstall, install или postinstall, настройка allowScripts по умолчанию выставлена в значение «off». Выполнение подобных скриптов, а также запуск компиляции C/C++ кода утилитой node-gyp при наличии в пакете файла binding.gyp, теперь производится только при получении явной инструкции от пользователя. Помимо этого, параметры «—allow-git» и «—allow-remote» … Читать далее В NPM 12.0 по умолчанию отключён запуск скриптов при установке пакетов

Доступен язык программирования TypeScript 7.0 с компилятором, переписанным на Go

Компания Microsoft опубликовала релиз TypeScript 7.0, языка для разработки web-приложений, расширяющего возможности JavaScript, и связанного с ним инструментария. Выпуск примечателен поставкой нового компилятора typescript-go (tsgo), транслирующего код TypeScript в представление JavaScript, который был переписан на языке Go и теперь признан готовым для сборки рабочих проектов. Инструментарий распространяется под лицензией Apache 2.0, разработка ведётся в публичном репозитории через сервис GitHub. Спецификации языка открыты и опубликованы в рамках соглашения Open Web Foundation Specification Agreement. Старый компилятор TypeScript был написан на языке TypeScript, что создавало проблемы с масштабированием при использовании в очень больших проектах. При загрузке и проверке кода подобных проектов в интегрированных … Читать далее Доступен язык программирования TypeScript 7.0 с компилятором, переписанным на Go

Quake портирован для запуска внутри игрового мира Roblox

Энтузиаст перевёл исходный код 3D-шутера Quake образца 1996 года, а также многопользовательскую редакцию Quakeworld и моды на язык Luau и смог запустить их внутри игрового мира Roblox. Работа была выполнена при помощи AI-модели Claude Fable (затраты на токены составили $3000). Код порта опубликован под лицензией GPLv2. Портированы оба многопользовательских движка Quake — NetQuake для совместного прохождения уровней и QuakeWorld для сражения с другими людьми. Возможно использование игровых ресурсов из shareware-версии Quake, полной версии Quake или LibreQuake. Реализована поддержка запуска немодицифированных модов QuakeC. Растеризатор Quake заменён на использование Roblox EditableMesh для отрисовки геометрии и lightmap для расчёта освещения. Сетевой стек на … Читать далее Quake портирован для запуска внутри игрового мира Roblox

На 31 августа намечено удаление из Chrome Web Store всех дополнений, использующих вторую версию манифеста

Компания Google запланировала на 31 августа удаление из каталога Chrome Web Store всех остающихся дополнений, использующих вторую версию манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions. Уже установленные дополнения останутся на системах пользователей, но не смогут получать обновления и их нельзя будет переустановить в случае удаления из браузера. В опубликованном неделю назад выпуске Chrome 150 была удалена поддержка флага kExtensionManifestV2Disabled, позволявшего вернуть возможность установки дополнений с второй версией манифеста из каталога Chrome Web Store. В выпуске Chrome 151, намеченном на 28 июля, будет удалён параметр AllowLegacyMV2Extensions, позволяющий вручную в режиме разработчика загружать дополнения на … Читать далее На 31 августа намечено удаление из Chrome Web Store всех дополнений, использующих вторую версию манифеста

В среде рабочего стола Cinnamon реализована полноценная поддержка Wayland

Разработчики дистрибутива Linux Mint объявили о стабилизации поддержки протокола Wayland в среде рабочего стола Cinnamon. В кодовой базе, на основе которой формируется будущий стабильный выпуск Cinnamon 6.8 практически достигнут паритет в функциональности при работе с использованием X11 и Wayland. В Cinnamon 6.8 будет полностью поддерживаться как работа с использованием X11, так с Wayland. Намеченный на декабрь выпуск Linux Mint 23 станет первым, в котором поддержка Wayland в Cinnamon не будет рассматриваться экспериментальной. Среди недавних улучшений в Cinnamon: При использовании Walyand обеспечен корректный выбор размера и позиционирование новых окон, всплывающих диалогов и контекстных меню. При работе через Walyand реализовано корректное переключение … Читать далее В среде рабочего стола Cinnamon реализована полноценная поддержка Wayland

Выпуск межсетевого экрана firewalld 2.5.0

Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.5.0, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2. Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно … Читать далее Выпуск межсетевого экрана firewalld 2.5.0

73% проектов на Flathub, созданных с помощью AI, были заброшены спустя несколько месяцев

После запрета размещения в каталоге Flathub приложений, сгенерированных при помощи AI, один из разработчиков решил проверить, не лишился ли Flathub из-за подобного запрета ценных участников. Для этого была изучена судьба проектов, отмеченных тегом «AI Slop», который начал применяться во в Flathub январе этого года, для пометки проектов, файл-манифест для которых создан при помощи AI или разработчики которых использовали AI при общении с рецензирующими. В выборку попали 120 репозиториев проектов, добавленных с января по 1 апреля. После изучения последних коммитов в данных репозиториях выяснилось, что что с мая по июль активность наблюдалась лишь в 32 из них (27%), а 88 (73%) … Читать далее 73% проектов на Flathub, созданных с помощью AI, были заброшены спустя несколько месяцев

Диверсия со стороны разработчика OpenMandriva, которая могла причинить вред пользователям

В результате конфликта с лидером проекта разработчик Давиде Беатричи (Davide Beatrici), имевший доступ к репозитоориям с правами администратора, совершил диверсию, которая привела к повреждению инфраструктуры разработки и нарушению работоспособности систем некоторых пользователей. Беатричи удалил часть GitHub-репозиториев, в которых велась разработка компонентов OpenMandriva, а также совершил вредоносные действия в репозитории Cooker, в котором ведётся разработка нестабильной ветке дистрибутива. В частности, он опубликовал пустой пакет, который переводил в категорию устаревших все пакеты GNOME и Cosmic, что могло нарушить работоспособность систем пользователей, использующих данные среды рабочего стола. Отмечается, что команда разработчиков OpenMandriva провела аудит активности Беатричи и не выявила других вредоносных действий, помимо … Читать далее Диверсия со стороны разработчика OpenMandriva, которая могла причинить вред пользователям

Anthropic на полгода предоставит бесплатную подписку Claude Max разработчикам значительных открытых проектов

Компания Anthropic объявила о предоставлении сопровождающим и ключевым разработчикам открытых проектов бесплатного 6-месячного доступа к своим сервисам в соответствии с тарифным планом Claude Max 20x ($200 в месяц для платных подписчиков), который включает в 20 раз больше ресурсов, чем тариф Pro, и предоставляет без дополнительных подписок доступ к Claude Code и Claude Cowork. Требования к участникам открытых проектов, которые могут отправить заявку на получение бесплатной 6-месячной подписки Claude Max 20x: Авторы и сопровождающие открытых библиотек, пакеты с которыми насчитывают более 200 тысяч загрузок из каталогов, таких как npm, PyPI, crates.io и RubyGems, или которые используются как минимум в 500 репозиториях … Читать далее Anthropic на полгода предоставит бесплатную подписку Claude Max разработчикам значительных открытых проектов

Linux запущен на игровой приставке Atari Jaguar

Следом за портированием Linux на Sega MegaDrive реализована возможность запуска ядра Linux с набором утилит Busybox на игровой консоли Atari Jaguar, выпущенной в 1993 году. Приставка комплектовалась CPU Motorola 68000, поставлялась с 2 МБ ОЗУ и в качестве постоянного хранилища могла использовать картриджи, объёмом до 6 МБ. Устройство было оснащено двумя сопроцессорами: Tom (GPU c 32-разрядной архитектурой RISC + 64-разрядный процессор обработки видео + 64-разрядный процессор для выполнения логических операций) и Jerry (DSP с 32-разрядной архитектурой RISC для работы со звуком). По аналогии с портом для Sega MegaDrive для выполнения ядра Linux на CPU Motorola 68000, не имеющем аппаратного модуля … Читать далее Linux запущен на игровой приставке Atari Jaguar

Выпуск дистрибутива Deepin 25.2, развивающего собственное графическое окружение

Опубликован релиз дистрибутива Deepin 25.2, развивающего собственный рабочий стол Deepin Desktop Environment (DDE), а также около 40 пользовательских приложений, среди которых музыкальный проигрыватель Deepin Music, видеоплеер Deepin Movie, инсталлятор и центр установки программ Deepin Store. Проект основан группой разработчиков из Китая, но трансформировался в международный проект и поддерживает русский язык. Репозиторий дистрибутива включает более 8000 пакетов. Все наработки распространяются под лицензией GPLv3. Размер загрузочных iso-образов 6.5 ГБ (amd64, arm64, riscv64 и loongarch64). Компоненты рабочего стола и приложения разрабатываются с использованием языков C/C++ и Go. Графический интерфейс построен с использованием библиотеки Qt. Ключевой особенностью рабочего стола Deepin является панель, которая поддерживает … Читать далее Выпуск дистрибутива Deepin 25.2, развивающего собственное графическое окружение

Обновление X.Org Server 21.1.24, xwayland 24.1.13 и libXfont2 2.0.8 с устранением уязвимостей

Опубликованы корректирующие выпуски X.Org Server 21.1.24 и DDX-компонента (Device-Dependent X) xwayland 24.1.13, обеспечивающего запуск X.Org Server для организации выполнения X11-приложений в окружениях на базе Wayland. В новых версиях устранены 2 уязвимости, которые потенциально могут быть эксплуатированы для повышения привилегий в системах, в которых X-сервер выполняется с правами root, а также для удалённого выполнения кода в конфигурациях, в которых для доступа используется перенаправление сеанса X11 при помощи SSH. Исправленные уязвимости: CVE-2026-55999 — переполнение буфера в реализации архитектуры 2D-ускорения Glamor, затрагивающее функцию glamor_font_get(), выполняющую построение текстурного атласа шрифта через отрисовку каждого глифа в общем буфере. Проблема вызвана тем, что размер буфера определялся … Читать далее Обновление X.Org Server 21.1.24, xwayland 24.1.13 и libXfont2 2.0.8 с устранением уязвимостей

Стабильный релиз Proton 11.0, пакета для запуска Windows-игр в Linux

Компания Valve опубликовала релиз проекта Proton 11.0-1, основанного на кодовой базе проекта Wine и нацеленного на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Выпуск 11.0-1 отмечен как первый стабильный релиз ветки 11.0. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 8/9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. … Читать далее Стабильный релиз Proton 11.0, пакета для запуска Windows-игр в Linux

Большинство пользователей LineageOS используют устаревшие версии прошивок и запуск в Waydroid

Проект LineageOS ввёл в строй новый раздел со статистикой использования прошивок. Заявлено, что проект насчитывает почти 1.5 млн активных установок, из которых только 26% (374 тысячи) приходится на официальные сборки, а 74% (1.1 млн) затрагивают неофициальные сборки, собранные сторонними проектами. В рейтинге устройств лидирует не смартфон, а Waydroid — окружение для запуска Android-приложений в Linux. На втором месте смартфон Xiaomi Mi 8, который по числу установок более чем в 2 раза отстаёт от Waydroid. Наибольшее число установок приходится на США (339 тысяч установок), Китай (298 тысяч), Бразилию (280 тысяч), Россию (62 тысячи) и Вьетнам (55 тысяч). В России и в … Читать далее Большинство пользователей LineageOS используют устаревшие версии прошивок и запуск в Waydroid

Уязвимости во FreeBSD, допускающие повышение привилегий и удалённое выполнение кода

Во FreeBSD устранено 22 уязвимости, из которых одна потенциально позволяет удалённо выполнить код с правами root, а 13 дают возможность повысить свои привилегии в системе. Уязвимости устранены в обновлениях FreeBSD 15.1-RELEASE-p1, FreeBSD 15.0-RELEASE-p11, 14.4-RELEASE-p7 и 14.3-RELEASE-p16. Наиболее опасная уязвимость (CVE-2026-49420) вызвана переполнением буфера в библиотеке libalias, применяемой в работающем на уровне ядра пакетном фильтре ipfw и в выполняемом в пространстве пользователя фоновом процессе natd для трансляции адресов отправляемых или принимаемых сетевых пакетов. Переполнение возникает в обработчике протокола RTSP (Real Time Streaming Protocol), который перезаписывал исходящие сетевые пакеты с использованием буфера фиксированного размера без проверки того, помещается ли в него результат … Читать далее Уязвимости во FreeBSD, допускающие повышение привилегий и удалённое выполнение кода

Выпуск fheroes2 1.1.17, открытого движка Heroes of Might and Magic 2

Доступен выпуск проекта fheroes2 1.1.17, который воссоздаёт движок игры Heroes of Might and Magic II с нуля. Код проекта написан на C++ и распространяется под лицензией GPLv2. Для запуска игры требуются файлы с игровыми ресурсами, которые можно получить из оригинальной игры Heroes of Might and Magic II. В составе проекта поставляется скрипт для автоматической загрузки и извлечения ресурсов из демоверсии игры, которых достаточно для полноценной работы. Основные изменения: Добавлен режим автоматического тестирования карт в редакторе, позволяющий запускать автоматическое прохождение сценариев AI-игроками и наблюдать за развитием игры без участия пользователя. В редактор добавлена возможность переключения между объектами одной группы с помощью … Читать далее Выпуск fheroes2 1.1.17, открытого движка Heroes of Might and Magic 2

Результаты инициативы по обеспечению полноценной поддержки ARM64 в Ubuntu

Рави Шарма (Ravi Sharma) из команды Ubuntu Foundations Team подвёл итоги работы, проведённой за последний год для обеспечения полноценной поддержки архитектуры ARM64 в Ubuntu. Отмечается, что благодаря улучшению инструментария и инфрастурктуры, а также продвижению изменений в основной состав ядра Linux, за год удалось решить специфичные для ARM64 проблемы, такие как распространение пакетов через отдельный репозиторий, отсутствие поддержки live-патчей для ядра, ограниченные возможности для любителей компьютерных игр и недоступность Secure Boot на ноутбуках с чипами Qualcomm Snapdragon. Основные достижения: Пакеты для архитектуры ARM64 перенесены из портов (ports.ubuntu.com) в основной архив Ubuntu (archive.ubuntu.com), что позволило задействовать для их распространения ту же инфраструктуру, … Читать далее Результаты инициативы по обеспечению полноценной поддержки ARM64 в Ubuntu

Бэкдор в прошивках Tenda, позволяющий получить доступ с правами администратора

В прошивках, применяемых в потребительских и промышленных маршрутизаторах, коммутаторах, беспроводных точках доступа и системах видеонаблюдения компании Tenda, выявлен бэкдор (CVE-2026-11405), позволяющий получить доступ к web-интерфейсу с правами администратора в обход штатного процесса аутентификации и независимо от настроек учётной записи администратора. Предоставляемые права доступа позволяют управлять всеми настройками, манипулировать трафиком, отключить средства защиты и использовать устройство как плацдарм для атаки на системы в локальной сети. Для использования бэкдора достаточно наличие доступа для отправки запросов к устройству по HTTP или HTTPS. В качестве обходной меры защиты рекомендуется запретить обращение к встроенному в прошивки HTTP-серверу из внешних сетей. Проблема вызвана наличием в процессе … Читать далее Бэкдор в прошивках Tenda, позволяющий получить доступ с правами администратора

Доступен OpenSSH 10.4

После трёх месяцев разработки опубликован выпуск OpenSSH 10.4, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения: Добавлена экспериментальная поддержка комбинированной схемы формирования цифровых подписей «mldsa44-ed25519», сочетающий постквантовый алгоритм ML-DSA 44 и алгоритм на базе эллиптических кривых Ed25519. Для включения поддержки следует добавить «mldsa44-ed25519» в директивы HostKeyAlgorithms и PubkeyAcceptedAlgorithms. Для генерации ключей можно использовать команду «ssh-keygen -t mldsa44-ed25519». В ssh и sshd задействована новая реализация системы сопоставления по шаблону, основанная на недетерминированном конечном автомате и не подверженная проблеме экспоненциального роста сложности вычислений при использовании масок, содержащих много символов «*». Изменено поведение Linux-сборок sshd с … Читать далее Доступен OpenSSH 10.4

Релиз Chrome 150

Компания Google опубликовала релиз web-браузера Chrome 150. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 151 запланирован на 28 июля. Основные изменения в Chrome 150 (1, 2, 3, 4): Предложены первые результаты инициативы по обновлению оформления интерфейса на разных … Читать далее Релиз Chrome 150

Выпуск D7VK 1.12, реализации Direct3D 3-7 поверх API Vulkan

Опубликован выпуск проекта D7VK 1.12, развивающего реализацию графических API Direct3D 3, 5, 6 и 7, предложенных компанией Microsoft в 1996, 1997, 1998 и 1999 годах. D7VK работает через трансляцию вызовов в API Vulkan и позволяет при помощи Wine запускать в Linux ретро игры, завязанные на API Direct3D 3, 5, 6 и 7. Код проекта написан на языке C++ и распространяется под лицензией Zlib. В качестве основы при разработке использован код бэкенда d3d9 от проекта DXVK — D7VK преобразует API Direct3D 3, 5, 6 и 7 в вызовы Direct3D 9, которые затем транслируются в API Vulkan. Разработчик не намерен добиваться включения … Читать далее Выпуск D7VK 1.12, реализации Direct3D 3-7 поверх API Vulkan