Подведены итоги трёх дней соревнований Pwn2Own Automotive 2026, проведённых на конференции Automotive World в Токио. На соревнованиях были продемонстрированы 66 ранее неизвестных уязвимостей (0-day) в автомобильных информационно-развлекательных платформах, операционных системах и устройствах зарядки электромобилей. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил 955 тысяч долларов США. Наиболее успешная команда Fuzzware.io сумела заработать на соревнованиях 213 тысячи долларов США. Обладатели второго места (Team DDOS) получили 95 тысяч долларов, а третьего (Synacktiv) — 85 тысяч долларов. В ходе соревнований продемонстрированы следующие атаки: Взлом окружения на базе … Читать далее На соревновании Pwn2Own Automotive 2026 продемонстрировано 66 уязвимостей автомобильных систем

Опубликован релиз языка программирования Rust 1.93, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и … Читать далее Выпуск Rust 1.93. Проекты Fjall 3, Rex и Arti 1.9.0

Проект Arduino, который в прошлом году поглотила компания Qualcomm, объявил о доступности нового варианта платы UNO Q, поставляемого с 4ГБ ОЗУ и eMMC-накопителем, размером 32ГБ. Стоимость UNO Q с 4ГБ ОЗУ и 32ГБ eMMC составляет 59 долларов. Для сравнения вариант с 2 ГБ ОЗУ и 16ГБ eMMC продаётся за 44 доллара. Новая комплектация позволяет подключить к устройству клавиатуру, мышь и монитор, и использовать плату в качестве персонального компьютера с графическим окружением на базе типовых дистрибутивов Linux. Наличие аппаратного AI-ускорителя и DSP также даёт возможность применять плату для решения более серьёзных задач машинного обучения, компьютерного зрения, робототехники и обработки звука, чем … Читать далее Представлена плата Arduino UNO Q с 4ГБ ОЗУ и 32ГБ eMMC

Разработчики из компании Mozilla объявили о создании официального репозитория с rpm-пакетами, позволяющими установить ночные сборки Firefox в openSUSE, SUSE, Fedora, RHEL, CentOS и различных RHEL-подобных дистрибутивах. Подобный репозиторий с deb-пакетами для Debian и Ubuntu предоставляется с 2023 года. Использование rpm-репозитория позволяет задействовать штатные для дистрибутивов возможности для установки и обновления пакетов. При сборке пакетов в компиляторе включены дополнительные оптимизации, а также флаги для усиления безопасности. Публикация сборок интегрирована в основной процесс подготовки релизов Firefox. В состав включён .desktop-файл для размещения ярлыка на рабочем столе и в меню дистрибутива. Для установки ночных сборок Firefox из репозитория можно использовать команды: Fedora: sudo … Читать далее Mozilla начала формирование rpm-пакетов с ночными сборками Firefox

Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab — 18.8.2, 18.7.2, 18.6.4, в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти проверку при двухфакторной аутентификации. Для совершения атаки злоумышленник должен знать идентификатор учётных данных жертвы. Уязвимость вызвана отсутствием должной проверки возвращаемого значения в сервисах аутентификации. Кроме того, в новых версиях устранены ещё 4 уязвимости, две из которых помечены опасными. Данные проблемы приводят к отказу в обслуживании при отправке специально оформленных запросов к компоненту для интеграции с Jira Connect (CVE-2025-13927), API управления релизами (CVE-2025-13928) и SSH (CVE-2026-1102), а также к зацикливанию при созданию специально оформленного Wiki-документа (CVE-2025-13335). Всем пользователям рекомендуется срочно установить … Читать далее Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию

Разработчики проекта LLVM утвердили правила применения AI-инструментов при разработке. Необходимость регламентирования использования AI объясняется увеличением числа мусорных изменений, предлагаемых для включения в кодовую базу LLVM. Под мусорными подразумеваются изменения, сгенерированные AI-инструментами и отправленные как есть, без понимая сути, проверки и придерживаясь позиции «мэйнтейнер сам разберётся». Подобная активность создаёт повышенную нагрузку на сопровождающих и вынуждает их тратить время на разбор бесполезного кода. При этом разработчики LLVM признают, что при должном использовании AI является полезным инструментом, ускоряющим разработку. Утверждённые в LLVM условия применения AI частично основаны на правилах, в прошлом году опубликованных проектом Fedora. Основная идея принятых правил в том, что разработчики … Читать далее LLVM ввёл правила применения AI-инструментов. Curl свернул выплаты за уязвимости из-за AI

Компания System76, разрабатывающая Linux-дистрибутив Pop!_OS, опубликовала выпуск среды рабочего стола COSMIC 1.0.3, а также объявила о доступности сформированного на прошлой неделе обновления 1.0.2. Пакеты с COSMIC 1.0.3 доступны в дистрибутиве Pop!_OS 24.04 и в ближайшее время ожидаются в Fedora, NixOS, Arch Linux, openSUSE, Serpent OS, Redox и CachyOS. COSMIC развивается как универсальный проект, не привязанный к конкретному дистрибутиву и соответствующий спецификациям Freedesktop. Для построения интерфейса в COSMIC задействована библиотека Iced, которая использует безопасные типы, модульную архитектуру и модель реактивного программирования, а также предлагает архитектуру, привычную для разработчиков, знакомых с языком декларативного построения интерфейсов Elm. Предоставляется несколько движков отрисовки, поддерживающих Vulkan, … Читать далее Обновление среды рабочего стола COSMIC 1.0.3

Компания Oracle сформировала новую ветку СУБД MySQL 9.6.0. Сборки MySQL Community Server 9.6.0 подготовлены для всех основных дистрибутивов Linux, FreeBSD, macOS и Windows. В соответствии с внедрённой в 2023 году моделью формирования релизов, MySQL 9.6 отнесён к веткам «Innovation». Innovation-ветки рекомендованы для тех, кто хочет раньше получать доступ к новой функциональности, публикуются каждые 3 месяца и поддерживаются только до публикации следующего значительного релиза (например, после появления ветки 9.6 прекращена поддержка ветки 9.5). В дальнейшем планируют сформировать LTS-релиз 9.7, рекомендованный для внедрений, которым необходима предсказуемость и длительное сохранение неизменного поведения. Следом за LTS-выпуском будет сформирована новая Innovation-ветка — MySQL 10.0. Список … Читать далее Выпуск СУБД MySQL 9.6.0

Опубликован релиз web-браузера Pale Moon 34.0.0, ответвившегося от кодовой базы Firefox для обеспечения более высокой эффективности работы, сохранения классического интерфейса, минимизации потребления памяти и предоставления дополнительных возможностей по настройке. Сборки Pale Moon формируются для Windows и Linux (x86_64). Код проекта распространяется под лицензией MPLv2 (Mozilla Public License). Проект придерживается классической организации интерфейса, без перехода к интегрированным в Firefox 29 и 57 интерфейсам Australis и Photon, и с предоставлением широких возможностей кастомизации. Из удалённых компонентов можно отметить DRM, Social API, WebRTC, PDF-просмотрщик, Сrash Reporter, код для сбора статистики, средства для родительского контроля и людей с ограниченными возможностями. По сравнению с Firefox, … Читать далее Выпуск браузера Pale Moon 34.0.0

В сервере telnetd из набора GNU InetUtils выявлена уязвимость, позволяющая подключиться под любым пользователем, включая пользователя root, без проверки пароля. CVE-идентификатор пока не присвоен. Уязвимость проявляется начиная с версии InetUtils 1.9.3 (2015 год) и остаётся неисправленной в актуальном выпуске 2.7.0. Исправление доступно в форме патчей (1, 2). Проблема вызвана тем, что для проверки пароля процесс telnetd вызывает утилиту «/usr/bin/login», передавая в качестве аргумента имя пользователя, указанного клиентом при подключении к серверу. Утилита «login» поддерживает опцию «-f», позволяющую осуществить вход без выполнения аутентификации (подразумевается, что эта опция используется, когда пользователь уже прошёл проверку). Таким образом, если добиться подстановки опции «-f» в … Читать далее Уязвимость в telnetd, позволяющая подключиться с правами root без аутентификации

Представлен релиз платформы Electron 40.0.0, предоставляющей самодостаточный фреймворк для разработки многоплатформенных пользовательских приложений, использующий в качестве основы компоненты Chromium, V8 и Node.js. Среди изменений в новом выпуске: Обновлены версии браузерного движка Chromium 144, платформы Node.js 24.11.1 и JavaScript-движка V8 14.4 (в прошлой ветке использовались Chromium 142, Node.js 22.20.0 и V8 14.2). Добавлена поддержка признака завершения дочернего процесса «memory-eviction», применяемого при завершении процесса для предотвращения исчерпания свободной памяти в системе (OOM, out-of-memory). В режиме отрисовки в буфер (Offscreen Rendering) появилась поддержка вывода в формате RGBAF16 с цветовым пространством scRGB HDR . Добавлен метод app.isHardwareAccelerationEnabled() для проверки включения аппаратного ускорения. В API … Читать далее Выпуск Electron 40, платформы создания приложений на базе движка Chromium

Опубликован релиз легковесного дистрибутива MX Linux 25.1, созданного в результате совместной работы сообществ, образовавшихся вокруг проектов antiX и MEPIS. Выпуск основан на пакетной базе Debian с улучшениями от проекта antiX и пакетами из собственного репозитория. В дистрибутиве на выбор можно использовать системы инициализации sysVinit и systemd. Поставляются собственные инструменты для настройки и развёртывания системы. Для загрузки доступны 64-разрядные сборки (x86_64) с рабочим столом Xfce (2.8 ГБ), а сборки с рабочим столом KDE (3.3 ГБ) и сборки (2.3 ГБ) с оконным менеджером Fluxbox. В новом выпуске: Осуществлена синхронизация с пакетной базой Debian 13.3. Ядро Linux обновлено до версии 6.12. Обновлены сборки … Читать далее Выпуск дистрибутива MX Linux 25.1

Доступен выпуск свободной PaaS-платформы Cozystack 0.40, построенной на базе Kubernetes. Проект нацелен на предоставление готовой платформы для хостинг-провайдеров и фреймворка для построения частных и публичных облаков. Платформа устанавливается напрямую на серверы и охватывает все аспекты подготовки инфраструктуры для предоставления управляемых сервисов. Cozystack позволяет запускать и предоставлять кластеры Kubernetes, базы данных и виртуальные машины. Код платформы доступен на GitHub и распространяется под лицензией Apache-2.0. В качестве базового стека технологий используется Talos Linux и Flux CD. Образы с системой, ядром и необходимыми модулями формируются заранее, и обновляются атомарно, что позволяет обойтись без таких компонентов как dkms и пакетный менеджер, и гарантировать стабильную … Читать далее Выпуск Cozystack 0.40, открытой PaaS-платформы на базе Kubernetes

Некоммерческая организация Open Quantum Design (OQD), учреждённая исследователями из Института квантовых вычислений университета Ватерлоо (Канада), разрабатывает первый открытый квантовый компьютер. Рабочий прототип открытого квантового компьютера развивается как совместный проект, аккумулирующий ресурсы, знания и опыт групп исследователей из различных университетов, некоммерческих организаций и частных компаний, специализирующихся на разработках в области квантовых вычислений. Отмечается, что совместная работа даёт возможность ускорить достижение результата, способствует разностороннему рассмотрению путей решения проблем и позволяет принять участие в работе даже небольшим командам, не обладающим ресурсами для самостоятельных исследований в области квантовых систем. Все компоненты проекта, включая эмулятор квантового компьютера и стек для разработки приложений, распространяются на GitHub … Читать далее Проект по созданию открытого квантового компьютера

Для композитного менеджера KWin предложен экспериментальный плагин, превращающий KDE в среду рабочего стола для систем виртуальной реальности. Плагин позволяет формировать интерфейс не на физическом мониторе, а в форме виртуальных экранов в 3D-пространстве, работа с которым осуществляется через очки дополненной реальности или 3D-шлемы. Поддерживается работа с плавающими окнами, совмещение физических и виртуальных экранов, произвольное позиционирование экранов в 3D-пространстве, управление при помощи клавиатуры без необходимости использования мыши или VR-контроллеров, режим отслеживания положения пользователя. Для отрисовки задействован модуль Qt Quick 3D Xr, завязанный на runtime OpenXR. В качестве runtime опробована платформа Monado в сочетании с очками дополненной реальности Rokid Max и HP G2, … Читать далее Плагин к KWin для использования KDE в виртуальной реальности

20 лет назад, когда был выпущен gcc4, компилятор g77 был заменён на gfortran. Однако из-за некоторых возникших с ним проблем он был исключён из базового образа NetBSD. Благодаря недавно внесённым изменениям в NetBSD-current, gfortran теперь снова поставляется в базовом образе операционной системы. В скором будущем планируют добавить соответствующие переменные в pkgsrc для компиляции программ с использованием этого системного компилятора, без необходимости установки пакета gcc12 из репозитория pkgsrc. Источник: http://www.opennet.ru/opennews/art.shtml?num=64642 Читать далее В базовую систему NetBSD вернули компилятор языка Fortran

Алан Поуп (Alan Pope), бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical, обратил внимание на новую волну атак на пользователей каталога приложений Snap Store. Вместо регистрации новых учётных записей, злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов. После перекупки домена злоумышленники перенаправляют почтовый трафик на свой сервер и получив контроль над email, инициируют процесс восстановления забытого пароля для доступа к учётной записи. Получив контроль за существующей учётной записью атакующие могут разместить вредоносное обновление ранее опубликованных заслуживающих доверия приложений, обойдя расширенные проверки, применяемые к новым участникам, и избежав добавления предупреждающих меток о новых проектах. Алан … Читать далее Захват контроля над snap-пакетами, связанными с просроченными доменами

Компания Google опубликовала релиз web-браузера Chrome 144. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 145 запланирован на 10 февраля. Отдельно можно отметить добавление в тестовую ветку Chrome Canary, на основе которой будет сформирован выпуск Chrome 147, настройки для … Читать далее Выпуск Chrome 144. Тестирование JPEG XL, вертикальных вкладок и отключения AI

После полутора лет разработки представлен выпуск проекта Synfig 1.5.4, развивающего редактор векторной 2D-анимации, используемый при производстве анимационного проекта «Моревна» (Morevna). Пакет разработан специально для анимации и позволяет создавать работы кинематографического качества без рутинной промежуточной прорисовки каждого кадра. Код проекта написан на С++ и распространяется под лицензией GPLv3. Сборки Synfig сформированы для Linux (AppImage), Windows и macOS. Synfig примечателен наличием средств для композитинга на основе слоёв (в качестве слоёв можно использовать геометрические фигуры, градиенты, фильтры, искажения, преобразования, фракталы и т.п.) и полной поддержкой контурных градиентов, которые позволяют добавлять мягкое затенение анимации без необходимости рисовать его на каждом кадре. Редактор также предоставляет … Читать далее Выпуск пакета для создания 2D-анимации Synfig 1.5.4

После почти 10 лет с момента публикации ветки 3.0 и спустя 20 лет после основания проекта состоялся релиз JavaScript-библиотеки jQuery 4.0, используемой по данным организации W3Techs на 70.9% из 10 млн наиболее посещаемых сайтов в сети. Код jQuery распространяется под лицензией MIT. Выпуск jQuery 4.0 содержит изменения, нарушающие обратную совместимость, но по заверению разработчиков большинство пользователей смогут безболезненно перейти на новую версию с минимальными изменениями в своём коде. Для упрощения миграции можно использовать специальный плагин. Нарушения обратной совместимости связаны с удалением устаревшего кода, удалением некоторых внутренних недокументированных параметров, прекращением поддержки некоторого излишне усложнённого поведения и прекращением поддержки API, ранее объявленных … Читать далее Выпуск JavaScript-библиотеки jQuery 4.0

Проект ChaosBSD развивает периодически синхронизируемый форк FreeBSD, нацеленный на тестирование драйверов перед их включением в основной состав FreeBSD. Проект предоставляет площадку для разработки и портирования новых драйверов, а также проверки, обкатки и стабилизации частично работоспособных, нестабилизиованных и недоделанных драйверов, состояние развития которых не позволяет включить их в основной состав FreeBSD. После стабилизации подобные драйверы будут переноситься во FreeBSD. Отмечаются четыре стадии продвижения драйвера: достижение возможности сборки; избавление от ошибок и стабилизация; проведение чистки и создание документации; передача в основной состав FreeBSD. ChaosBSD рассматривается как платформа для тестирования, не гарантирующая сохранение истории изменений и коммитов — периодически репозиторий сбрасывается, синхронизируется с … Читать далее ChaosBSD — форк FreeBSD для тестирования драйверов