Во FreeBSD выявлена уязвимость (CVE-2026-7270), позволяющая непривилегированному пользователю выполнить код с правами ядра и получить root-доступ к системе. Уязвимость затрагивает все выпуски FreeBSD, сформированные с 2013 года. В открытом доступе размещён эксплоит, работа которого проверена на системах с FreeBSD 11.0 по 14.4. Уязвимость устранена в обновлениях FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 и 13.5-RELEASE-p13. Для более старых веток можно использовать патч. Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, «#!/bin/sh»). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер … Читать далее Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD

Саша Левин (Sasha Levin) из компании NVIDIA, занимающийся сопровождением LTS-веток ядра Linux и входящий в консультативный совет организации Linux Foundation, подготовил набор патчей с реализацией механизма killswitch для ядра Linux. Предложенная возможность позволяет мгновенно отключить доступ к определённой функциональности работающего ядра. Предполагается, что killswitch будет полезен для временного блокирования уязвимостей на время до установки обновления ядра с исправлением. Управление killswitch осуществляется через файл «/sys/kernel/security/killswitch/control», позволяющий настроить перехват обращений к функциям ядра по их именам. Например, для блокирования уязвимости Copy Fail достаточно записать в управляющий файл команду «engage af_alg_sendmsg -1» для включения перехвата вызова функции af_alg_sendmsg и вместо её выполнения возвращения … Читать далее Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux

Доступен корректирующий выпуск Firefox 150.0.2, в котором устранено 27 уязвимостей (10 уязвимостей собрано под CVE-2026-8093 и 16 под CVE-2026-8092). Все уязвимости вызваны проблемами при работе с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Всем уязвимостям присвоен высокий уровень опасности. Отдельно компания Mozilla опубликовала отчёт о проверке кодовой базы Firefox при помощи AI-модели Claude Mythos, достигшей нового уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок. Отмечается, при использовании Mythos практически не было ложных срабатываний, в то время как прошлые … Читать далее Обновление Firefox 150.0.2. За апрель в Firefox устранено 423 уязвимости

Следом за DDoS-атакой на инфраструктуру компании Canonical злоумышленникам удалось получить контроль над каналом Ubuntu в социальной сети X.com (Twitter). В канале Ubuntu был размещён анонс AI-агента Numbat, который преподносился как децентрализованный AI, созданный на базе блокчейна и технологий криптовалюты Solana. Заявлялось, что AI-гент можно протестировать на сайте ai-ubuntu.com, который был зарегистрирован за несколько часов до размещения объявления. Оформление сайта было стилизовано под страницу ubuntu.com/ai, а в тексте использовались факты из анонсированного вице-президентом компании Canonical проекта по интеграции AI-технологий в Ubuntu. Для скрытия IP-адреса сервера, доступ к нему был организован через сеть доставки контента Cloudflare. В настоящий момент анонс Numbat уже … Читать далее Скомпрометирован официальный Twitter-канал Ubuntu

Представлено обновление прошивки Ubuntu Touch 24.04-1.3, основанной на пакетной базе Ubuntu 24.04. Прошивка развивается проектом UBports, взявшим в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical. Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri. Обновление Ubuntu Touch 24.04-1.3 в ближайшие дни будет сформировано для устройств Asus Zenfone Max Pro M1, F(x)tec Pro1 X, Fairphone 3/3+/4/5, Google Pixel 3a/3a XL, JingPad A1, Oneplus 5/5T/6/6T, OnePlus Nord N10 5G/N100, Sony Xperia X, Vollaphone X/22/X23, Xiaomi Poco X3 NFC / X3, Xiaomi Poco M2 Pro, Xiaomi Redmi Note 9 Pro/Pro Max/9S, … Читать далее Релиз мобильной платформы Ubuntu Touch 24.04-1.3. Смартфон Volla Plinius с Ubuntu Touch

Представлен корректирующий выпуск дистрибутива OpenWrt 25.12.3, развиваемого для сетевых устройств, таких как маршрутизаторы, коммутаторы и точки доступа. OpenWrt поддерживает более 2200 устройств и предлагает систему сборки, упрощающую кросс-компиляцию и создание собственных сборок. Подобные сборки позволяют формировать готовые прошивки с желаемым набором предустановленных пакетов, оптимизированные под конкретные задачи. Готовые сборки опубликованы для 41 целевой платформы. Среди изменений: Добавлена поддержка устройств: mediatek filogic: ASUS RT-AX52 PRO, D-Link AQUILA PRO AI E30, Huasifei WH3000 Pro, Keenetic KAP-630 / Netcraze NAP-630, Zbtlink ZBT-Z8106AX-T, Zyxel WX5600-T0. ramips EDUP EP-RT2983, Cudy LT300 v3 x86: DFI ADN553, DFI ASL553 Внесены исправления, связанные с работой платформ: ath79 (Netgear … Читать далее Обновление OpenWrt 25.12.3

В ядре Linux выявлены две уязвимости, по своей сути аналогичные несколько дней назад раскрытой уязвимости Copy Fail, но проявляющиеся в других подсистемах — xfrm-ESP и RxRPC. Серии уязвимостей присвоено кодовое имя Dirty Frag (также встречается упоминание Copy Fail 2). Уязвимости позволяют непривилегированному пользователю получить права root, перезаписав данные процесса в страничном кэше. Доступен эксплоит, работающий во всех актуальных дистрибутивах Linux. Информация об уязвимости раскрыта до публикации исправлений, но есть обходной метод блокирования проблемы. Dirty Frag охватывает две разные уязвимости: первая в модуле xfrm-ESP, используемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload), а вторая в … Читать далее Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux

После трёх месяцев разработки представлен релиз свободной реализации API OpenGL и Vulkan — Mesa 26.1.0. Первый выпуск ветки Mesa 26.1.0 имеет экспериментальный статус — после проведения окончательной стабилизации кода будет выпущена стабильная версия 26.1.1. В Mesa 26.1 доступна поддержка графического API Vulkan 1.4 в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, HoneyKrisp (hk) для GPU Apple, Turnip для GPU Qualcomm, PanVK для GPU ARM Mali, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). В драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) и dzn (реализация Vulkan поверх Direct3D 12) поддерживается Vulkan … Читать далее Релиз Mesa 26.1, свободной реализации OpenGL и Vulkan

Компания Valve опубликовала чертежи, модели и проектные данные корпуса игрового контроллера Steam Controller и док-станции Steam Controller Puck. Данные предложены в форматах STP и STL, и распространяются под лицензией CC BY-NC-SA 4.0 (Creative Commons Attribution-NonCommercial-ShareAlike 4.0), разрешающей копирование, распространение, использование в своих проектах и создание производных работ, но при условии указания авторства, сохранения лицензии и использования только для некоммерческих целей. Дополнительно можно отметить отчёт с анализом предпочтений пользователей сервиса доставки игр Steam за апрель. Доля активных пользователей Steam, использующих платформу Linux, в апреле составила 4.52%. Для сравнения в марте этот показатель был 5.33%, в феврале — 2.23%, в январе — … Читать далее Valve опубликовала CAD-файлы корпуса Steam Controller. Популярность Linux-систем в Steam

Разработчик M A Muqtadir, принимающий участие в работе над темой оформления Ubuntu Yaru и дистрибутивом Vanilla OS, представил первые результаты эксперимента по воссозданию пользовательской оболочки Unity c использованием современных компонентов стека GNOME и протокола Wayland. Продемонстрированный прототип построен на базе композитного менеджера Wayfire, использующего Wayland и позволяющего формировать нетребовательные к ресурсам интерфейсы пользователя c 3D-эффектами в стиле 3D-плагинов к Compiz. Боковая и верхняя панели, всплывающие диалоги и интерфейс Dash для навигации по установленным приложениям реализованы при помощи надстройки gtk4-layer-shell и виджетов, предоставляемых библиотекой libadwaita. Напомним, что разработчики проекта UBports развивают пользовательскую оболочку Lomiri (последнее обновление в 2025 году), ответвившуюся от … Читать далее Воссоздание пользовательской оболочки Unity с использованием Wayfire и Libadwaita

Компания Google опубликовала релиз web-браузера Chrome 148. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 149 запланирован на 2 июня. Основные изменения в Chrome 148 (1, 2, 3, 4): Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки … Читать далее Релиз Chrome 148

Удостоверяющий центр Digicert раскрыл информацию об инциденте с безопасностью, в результате которого злоумышленники смогли получить сертификаты, пригодные для формирования цифровых подписей к драйверам и приложениям для платформы Windows. Атакующие смогли организовать выполнение своего кода на двух компьютерах сотрудников Digicert, отправив в чат службы поддержки сообщения о проблеме c приложением ZIP-архива со скриншотами. Внутри архива был размещён исполняемый файл в формате scr, содержащий вредоносный код. В ходе первой атаки, проведённой 2 апреля, четыре попытки доставки вредоносного кода были блокированы внутренними системами обеспечения безопасности, но одна оказалась успешной. Проблема была выявлена и блокирована 3 апреля. После получения жалоб от сторонних исследователей безопасности … Читать далее Атакующие получили 27 сертификатов, скомпрометировав ПК сотрудников удостоверяющего центра Digicert

Джарред Самнер (Jarred Sumner), создатель и основной разработчик серверной JavaScript-платформы Bun, создал Git-ветку, в которой приступил к переписыванию Bun с языка Zig на Rust. Переписывание ведётся с использование AI-ассистента Claude, для которого сформировано отдельное руководство по портированию. По словам Джарреда пока это лишь эксперимент, а не официальный порт, и высока вероятность, что дальше эксперимента дело не зайдёт и переписанный код не будет использован. Портирование ещё не завершено, и на текущем этапе весь интерес к проекту сосредоточен на том, что бы оценить насколько работоспособным получится порт, будет ли он проходить набор тестов основного проекта и сложно ли будет сопровождать новый код. … Читать далее Автор платформы Bun проводит эксперимент по переписыванию с Zig на Rust

Произошёл массовый сбой в работе доменной зоны «DE», применяемой в Германии. Проблемы возникли из-за ошибки в настройке DNSSEC для корневой зоны «DE», совершённой организацией DENIC, отвечающей за домен первого уровня «DE». С 5 мая 22:30 по 6 мая 1:30 (MSK) попытка резолвинга доменов в зоне «DE» через DNS-серверы, применяющие DNSSEC для проверки достоверности данных, завершалась ошибкой. На DNS-серверах, применяющих DNSSEC, сбой наблюдался и при резолвинге доменов, напрямую не использующих DNSSEC. Проблема затронула многие DNS-резолверы провайдеров и публичные DNS-сервисы, такие как 1.1.1.1 и 8.8.8.8. В качестве временной меры компания Cloudflare в своём DNS-сервисе 1.1.1.1 отключила проверку подлинности через DNSSEC для доменов … Читать далее Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC

Состоялся релиз Node.js 26.0.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 26.0 отнесён к веткам с длительным сроком поддержки, но данный статус будет присвоен только в октябре, после проведения стабилизации. Поддержка Node.js 26.x будет осуществляться до мая 2029 года. Сопровождение прошлой LTS-ветки Node.js 24.x будет осуществляться до 30 апреля 2028 года, а позапрошлой 22.x — до 30 апреля 2027 года. Сопровождение LTS-ветки 20.x прекращено 30 апреля 2026 года, а промежуточной ветки Node.js 25.x будет прекращено 1 июня 2026 года. Основные улучшения: Включён по умолчанию API Temporal, предлагающий альтернативный набор методов для работы с датами и временем. API позволяет … Читать далее Опубликована платформа Node.js 26.0.0

Разработчики языка программирования PHP направили в организацию OSI (Open Source Initiative) уведомление о добровольном выводе из обращения лицензии PHP License 3.01. Заявлено, что после нескольких лет работы код инструментария PHP полностью переведён на лицензию BSD-3 и в проекте больше не осталось кода под старой лицензией PHP License 3.01. Текст новой версии лицензии PHP License заменён на копию лицензии BSD-3. Ранее интерпретатор PHP и движок Zend Engine распространялись под разными лицензиями PHP License и Zend Engine License. Переход на общую лицензию BSD-3 упростит условия лицензирования, обеспечит совместимость с GPL и решит давние проблемы, сохранив при этом все права пользователей и разработчиков. … Читать далее Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License

Опубликован выпуск Unix-подобной операционной системы ToaruOS 2.3, написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Изначально проект развивался в Иллинойсском университете как исследовательская работа в области создания новых композитных графических интерфейсов, но затем трансформировался в отдельную операционную систему. Код проекта написан на языке Си и распространяется под лицензией BSD. Для загрузки подготовлен live-образ, размером 7.4 МБ, который можно протестировать в QEMU, VMware или VirtualBox. В основе ToaruOS лежит ядро, использующее гибридную модульную архитектуру, сочетающую монолитную основу и средства для использования загружаемых модулей, в виде которых … Читать далее Выпуск операционной системы ToaruOS 2.3

В пакетных менеджерах Nix и Lix выявлена уязвимость, позволяющая выполнить код с правами фонового процесса, который в NixOS и многопользовательских установках выполняется под пользователем root. Проблема (CVE не присвоен) проявляется в фоновом процессе nix-daemon, применяемом для организации доступа непривилегированных пользователей к сборочным операциям и хранилищу пакетов. Уязвимость возникает из-за отсутствия ограничения рекурсивной обработки директорий в коде для разбора архивов NAR (Nix Archive), что можно использовать для инициирования исчерпания стека сопрограмм и перезаписи содержимого кучи (heap), размещённой после стека без сторожевых страниц памяти. Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, … Читать далее Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе

Опубликован релиз дистрибутива OmniOS Community Edition r151058, основанного на наработках проекта Illumos, продолжающего развитие ядра, сетевого стека, файловых систем, драйверов, библиотек и базового набора системных утилит OpenSolaris. OmniOS примечателен предоставлением поддержки гипервизоров bhyve и KVM, виртуального сетевого стека Crossbow, файловой системы ZFS и средств запуска легковесных Linux-контейнеров. Дистрибутив может применяться для построения масштабируемых web-систем, виртуализации и создания систем хранения. Среди изменений в новом выпуске: Предложены новые фреймворки для поддержки интерфейсов GPIO, I2C и SMBus — в ядро добавлены драйверы i2cnex и kgpio, в пространство пользователя библиотеки libi2c.so.1 и libxpio.so.1, а также утилиты i2cadm и gpioadm. На базе новых фреймворков реализованы … Читать далее Выпуск дистрибутива OmniOS CE r151058, построенного на технологиях OpenSolaris

Представлен релиз HTTP-сервера Apache 2.4.67, в котором устранено 11 уязвимостей и внесено несколько исправлений. Наиболее опасная уязвимость (CVE-2026-23918) вызвана двойным освобождением памяти в модуле mod_http2 и потенциально может привести к удалённому выполнению кода на сервере через манипуляции с протоколом HTTP/2. Уязвимость проявляется только в выпуске 2.4.66. Проблеме присвоен уровень опасности 8.8 из 10. Ещё одна уязвимость (CVE-2026-24072) с уровнем опасности 8.8 присутствует в модуле mod_rewrite и позволяет локальным пользователям хостинга, имеющим право создавать файлы «.htaccess», прочитать содержимое любых файлов в системе с привилегиями пользователя под которым запущен процесс httpd. Менее опасные уязвимости: CVE-2026-28780 — переполнение буфера в mod_proxy_ajp, которое может … Читать далее В Apache httpd 2.4.67 устранена уязвимость в HTTP/2, не исключающая удалённое выполнение кода

Компания Amazon представила движок безопасного исполнения скриптов REX (Trusted Remote Execution), допускающий только разрешённые для каждого конкретного скрипта операции. Например, если скрипт рассчитан на разбор логов, то ему будет предоставлен только доступ на чтение лога, а несанкционированные попытки удаления или изменения файлов заблокируются. Код REX написан на языке Rust и открыт под лицензией Apache 2.0. REX может применяться для контроля и ограничения операций, выполняемых скриптами, генерируемыми AI-агентами в процессе выполнения запросов системной автоматизации. При помощи REX владелец хоста может блокировать выполнение нецелевых действий и управлять тем, какие именно операции разрешены, независимо от запросов, поступающих AI-агенту. Подобный подход даёт возможность защититься … Читать далее Amazon опубликовал REX, среду для контролируемого выполнения скриптов