Подведены итоги трёх дней соревнований Pwn2Own Berlin 2025, на которых были продемонстрированы 26 успешных атак с использованием 28 ранее неизвестных уязвимостей (0-day) в операционных системах, браузерах, AI-системах и платформах виртуализации. При проведении атак использовались самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию. Суммарный размер выплаченных вознаграждений составил более миллиона долларов США ($1,078,750). Наиболее успешная команда TAR Labs SG сумела заработать на соревнованиях 320 тысяч долларов США. Обладатели второго места (Viettel Cyber Security) получили 155 тысяч долларов, а третьего (Reverse_Tactics) — 112 тысяч долларов. Осуществлённые атаки: Red Hat Enterprise Linux: 3 успешные атаки, позволившие … Читать далее На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Firefox, Redis и VirtualBox

Сформировано одиннадцатое корректирующее обновление дистрибутива Debian 12, в которое включены накопившиеся обновления пакетов и добавлены исправления в инсталлятор. Выпуск включает 81 обновление с устранением проблем со стабильностью и 45 обновлений с устранением уязвимостей. Из изменений в Debian 12.11 можно отметить обновление до свежих стабильных версий пакетов dpdk, nvidia-graphics-drivers, nvidia-settings, openssl, postgresql-15 и wireless-regdb. Удалены пакеты pidgin-skype (Skype прекратил существование) и viagee (больше не способен подключаться к Gmail). Для загрузки и установки «с нуля» подготовлены установочные сборки c Debian 12.11. Системы, установленные ранее и поддерживаемые в актуальном состоянии, получают обновления, присутствующие в Debian 12.11, через штатную систему установки обновлений. Исправления проблем … Читать далее Выпуск Debian 12.11 и первый кандидат в релизы инсталлятора Debian 13

Нейт Грэм (Nate Graham), разработчик, занимающийся контролем качества в проекте KDE, опубликовал очередной отчёт о разработке KDE. Дополнительно объявлено о переходе ветки KDE Plasma 6.4 на стадию бета-тестирования и заморозке кодовой базы от внесения функциональных изменений (допускается только приём исправлений). Релиз KDE Plasma 6.4 намечен на 17 июня. Улучшения, принятые в KDE Plasma 6.4 на этой неделе до заморозки кодовой базы: В композитном менеджере KWin реализована возможность включения расширенного динамического диапазона яркости для экранов, не поддерживающих HDR, на которых HDR имитируется при помощи изменения яркости подсветки. Добавлена настройка для ограничения максимальной глубины цвета Реализован виджет для калибровки HDR. Приложениям, использующим … Читать далее В KDE реализован интерфейс для калибровки HDR. Бета-выпуск KDE Plasma 6.4

Обновлён инструмент Shotstars 3.0, отслеживающий движение, исчезновение и появление фиктивных «звёзд» у проектов на GitHub. Штатные возможности GitHub не предоставляют пользователям информацию по убывающим «звёздам» в проекте и позволяют получить сведения только по их прибавлению. Проект написан на языке Python и распространяется под лицензией GPLv3+ Функциональность версии 3.0: Определение накрутки звёзд. Расчёт параметров: агрессивный маркетинг, тренд, фейковые звезды, пик популярности и его дата. Проверка репозиториев на предмет прибавления и убавления звезд со статистикой за выбранный период времени. Определение реальной даты создания репозитория (разработчики могут заявлять/подделывать/изменять дату создания своих проектов и коммитов). Вычисление размера любого публичного репозитория. Предоставление краткого описания репозитория. … Читать далее Обновление Shotstars 3.0, инструмента для отслеживания звёзд на GitHub

Опубликован экспериментальный выпуск открытой реализации Win32 API — Wine 10.8. С момента выпуска 10.7 было закрыто 18 отчётов об ошибках и внесено 231 изменение. Наиболее важные изменения: В библиотеке DbgHelp продолжена работа над новым бэкендом для формата PDB (Program database). Повышена производительность благодаря переносу в разделяемую память параметров пользователя. Улучшена поддержка изображений в формате TIFF. Закрыты отчёты об ошибках, связанные с работой приложений: Adobe Lightroom Classic 10.4, Vegas Pro 14, cmd, foobar2000, Caret. Закрыты отчёты об ошибках, связанные с работой игр: Defiance, Final Fantasy XI Online, Country Siblings. Дополнительно можно отметить выпуск проекта GE-Proton 10-1, в рамках которого энтузиастами формируются … Читать далее Релиз Wine 10.8 и GE-Proton 10.1

Представлен выпуск Live-дистрибутива grml 2025.05, предлагающего подборку программ для выполнения работ, возникающих в практике системных администраторов, таких как восстановление данных после сбоя и разбор инцидентов. Дистрибутив основан на пакетной базе Debian GNU/Linux и в прошлом году отметил своё двадцатилетие. Графическое окружение построено с использованием оконного менеджера Fluxbox. По умолчанию предлагается командная оболочка Zsh. Размер полного iso-образа 960 МБ, сокращённого — 536 МБ. В новом выпуске: Пакеты синхронизированы с репозиторием Debian Testing по состоянию на 14 мая. Ядро Linux обновлено до выпуска 6.12. В состав Debian перенесены пакеты grml-hwinfo, grml-keyring и grml-paste, созданные разработчиками Grml. Задействована новая цифровая подпись для пакетов, … Читать далее Выпуск Grml 2025.05, Live-дистрибутива для системных администраторов

Компания Google объявила о включении в состав будущего выпуска Android 16 дополнительных возможностей для обеспечения защиты устройства. В настройках платформы появится режим «Advanced Protection«, позволяющий включить набор опциональных механизмов защиты, усиливающих безопасность при наличии рисков компрометации устройства или совершения целевых атак на пользователя. Режим охватывает как ранее доступные опции, так и новые возможности, такие как автоматическая перезагрузка смартфона после 3 дней неактивности, защита от проведения атак через USB и резервное копирование логов для аудита в случае взлома. Режим Advanced Protection охватывает следующие механизмы защиты: Защита на случай кражи, конфискации и получения физического доступа атакующего к устройству. Перезагрузка устройства, если экран … Читать далее Google добавит в Android режим расширенной защиты

В день празднования десятилетия с момента выпуска языка программирования Rust 1.0 (проект Rust был основан в 2006 году, выпуск 0.1 был сформирован в 2012 году, а первая стабильная версия предложена в 2015 году) опубликован релиз Rust 1.87. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти … Читать далее Выпуск Rust 1.87

В кодовую базу эталонной реализации языка Ruby добавлен новый JIT-компилятор ZJIT, позиционируемый как следующее поколение Ruby JIT. ZJIT войдёт в состав следующего значительного выпуска Ruby 3.5, в котором будет доступен в качестве опции параллельно с JIT-компилятором YJIT, а в версии Ruby 3.6 возможно заменит его. Как и YJIT новый JIT-компилятор написан на языке Rust. Оба JIT-компилятора созданы командой разработчиков из компании Shopify в рамках инициативы по увеличению производительности Ruby-программ, использующих фреймворк Rails и вызывающих очень много методов. В отличие от YJIT новый JIT-компилятор не транслирует байткод виртуальной машины YARV в низкоуровневое промежуточное представление (по сути почти напрямую в машинный код), … Читать далее В кодовую базу Ruby принят новый JIT-компилятор ZJIT

Доступен выпуск дистрибутива Whonix 17.3, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены образы виртуальных машин в формате ova для VirtualBox (2.3 ГБ c Xfce и 1.5 ГБ консольный), которые могут быть сконвертирован для использования с гипервизором KVM. Особенностью Whonix является разделение дистрибутива на два отдельно запускаемых компонента — Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Компоненты представляют собой отдельные системные окружения, поставляемые внутри одного загрузочного образа и запускаемые в разных виртуальных … Читать далее Выпуск Whonix 17.3, дистрибутива для обеспечения анонимных коммуникаций

Разработчики проекта Tor представили утилиту Oniux, предназначенную для принудительного направления трафика отдельных приложений через сеть Tor. По своему назначению Oniux напоминает ранее доступную программу torsocks и отличается использованием для изоляции пространств имён (network namespace), предоставляемых ядром Linux, вместо подмены функций стандартной библиотеки через механизм LD_PRELOAD. Код утилиты написан на языке Rust и распространяется под лицензиями Apache 2.0 и MIT. Oniux позволяет создать для любого приложения изолированный контейнер, трафик из которого принудительно перенаправляется только через сеть Tor. Для отправки трафика создаётся туннель на базе onionmasq, внутри контейнера выглядящий как виртуальный сетевой интерфейс (TUN). Доступ к доступным в основном окружении сетевым интерфейсам … Читать далее Проект Tor представил Oniux, утилиту для сетевой изоляции приложений

Разработчики открытой платформы совместной работы Nextcloud пояснили причины урезания функциональности мобильного приложения и выразили недовольство политикой компании Google, которая под предлогом опасений возникновения проблем с безопасностью ограничила права приложения Nextcloud, насчитывающего более миллиона установок. По требованию Google, для распространения через каталог Google Play приложение Nextcloud не должно запрашивать полномочия для полного доступа ко всем файлам. В версии, размещённой в каталоге F-Droid, полномочия сохраняются, но подавляющее большинство пользователей Nextcloud используют Google Play. Представители проекта Nextcloud отправляли в Google апелляции, поясняя, что функциональность для доступа ко всем файлам необходима для синхронизации файлов между системами и предоставления совместного доступа к файлам. Данные операции … Читать далее Google ограничил полномочия Android-приложения Nextcloud

Разработчики из компании Mozilla перевели основной репозиторий с исходным кодом Firefox с Mercurial на Git. Официальный Git-репозиторий Firefox размещён на GitHub. Через данный репозиторий теперь можно передавать изменения в форме pull-запросов. Некоторые отдельные Mercurial-репозитории объединены в единое Git-пространство и доступны через Git-ветки: репозиторий mozilla-central теперь стал веткой main в Git-репозитории Firefox, mozilla-beta — веткой beta, mozilla-release — release, mozilla-esr115 — esr-115, mozilla-esr-128 — esr-128, autoland — autoland. Использование сервисов Bugzilla, moz-phab, Phabricator и Lando будет продолжено без изменений. Старые Mercurial-репозитории пока остаются доступны, но переведены в режим синхронизированных зеркал. Решение о миграции на Git было принято осенью 2023 года. Предполагалось, … Читать далее Разработка Firefox перенесена с Mercurial на Git и GitHub. Обновление Firefox 138.0.3

Опубликован выпуск дистрибутива Nobara 42, основанного на пакетной базе Fedora Linux 42 и включающего дополнительные исправления для решения проблем с запуском компьютерных игр, потоковым вещанием и выполнением задач, связанных с созданием контента. Для загрузки подготовлены девять установочных образов: официальный со стилизованным KDE, дополнительные с чистыми окружениями GNOME и KDE, Steam-HTPC для Steam Deck на базе KDE и Steam-Handheld для носимых устройств, а также отдельные сборки первых четырёх образов с проприетарными драйверами NVIDIA. Целью проекта является предоставление готового к работе пользовательского окружения, не требующего выполнения дополнительных действий после установки и решающего основные проблемы, с которыми сталкиваются пользователи Fedora. Дистрибутив поставляется с … Читать далее Выпуск Nobara 42, редакции Fedora с патчами для игр и обработки контента

Компания Oracle представила Solaris 11.4.81 CBE (Common Build Environment), вариант операционной системы Solaris 11.4, нацеленный на использование разработчиками открытого ПО и применение в персональных целях. CBE упрощает доступ к актуальным версиям программ и обновлениям для тех, кто желает использовать Solaris бесплатно. Это второй выпуск серии CBE — первый был опубликован в 2022 году. В отличие от основных сборок Solaris 11.4, лицензия на которые допускает бесплатное использование для тестирования, разработки и применения в персональных проектах, редакция CBE отличается задействованием непрерывной модели публикации новых версий и близка к редакции Solaris 11.4 SRU (Support Repository Update). Сборка включает новые версии программ, расширенную функциональность … Читать далее Oracle опубликовал новую бесплатную редакцию Solaris 11.4 CBE

Группа исследователей из Амстердамского свободного университета выявила несколько новых уязвимостей класса Spectre-v2, опубликованных под кодовым именем Training Solo и позволяющих обойти механизмы изоляции памяти. В контексте систем виртуализации, уязвимости дают возможность определить содержимое памяти хост-окружения или других гостевых систем, а в контексте серверов — определить содержимое памяти ядра при выполнении эксплоита в пространстве пользователя. Примеры эксплоитов для совершения подобных атак опубликованы на GitHub. Представленные эксплоиты позволяют извлекать произвольные данные из памяти ядра со скоростью 17 KB/сек, а из памяти гипервизора — 8.5 KB/сек. В атаках класса Spectre-v2 для организации утечки данных используется подстановка значений в буфер адреса ветвления (Branch Target … Читать далее Training Solo — новые варианты атаки Spectre-v2, затрагивающие CPU Intel

В консольном оконном менеджере (мультиплексоре терминалов) GNU screen, предоставляющем многооконный интерфейс в консоли, выявлено 5 уязвимостей. Наиболее опасная проблема (CVE-2025-23395) позволяет получить права root в системе. Исправление выключено в состав сегодняшнего выпуска screen 5.0.1. Уязвимость CVE-2025-23395 проявляется только в ветке screen 5.0.0, которая поставляется в Fedora Linux, Arch Linux, NetBSD, OpenBSD и Alpine. В Debian, Ubuntu, RHEL (EPEL 9), Gentoo, FreeBSD, SUSE/openSUSE и OpenWrt продолжает поставляться ветка screen 4.x. Эксплуатация уязвимости возможна в системах, устанавливающих исполняемый файл screen с флагом setuid root, например, в Arch Linux и NetBSD. В Fedora утилита ставится с флагом setgid для получения прав группы screen, … Читать далее Уязвимость в GNU screen, позволяющая выполнить код с правами root

Проект Guix, развивающий одноимённый пакетный менеджер и дистрибутив GNU/Linux на его основе, объявил о переносе Git-репозиториев с GNU Savannah на Git-хостинг Codeberg, использующий платформу совместной разработки Forgejo (форк Gitea). На Codeberg также будут переведены системы рецензирования патчей и отслеживания сообщений об ошибках. До 7 июня все git-репозитории проекта будут переведены на использование Codeberg. Основной репозиторий Guix будет перенесён 25 мая, после чего в течение года старый репозиторий git.savannah.gnu.org/git/guix.git останется доступен в форме зеркала. Пользователям Guix потребуется заменить в файлах конфигурации channels.scm упоминание «git.savannah.gnu.org» на «https://codeberg.org/guix/guix.git», о чём будет выведена соответствующая подсказка при выполнении команды «guix pull». После завершения миграции появится … Читать далее Проект Guix переходит на Git-хостинг Codeberg

Опубликован выпуск проекта Dropbear 2025.88, развивающего сервер и клиент SSH, получивший распространение в беспроводных маршрутизаторах и компактных дистрибутивах, подобных OpenWrt. В новой версии устранена уязвимость (CVE-2025-47203) в реализации SSH-клиента (программа dbclient), позволяющая выполнить shell-команды при обработке специально оформленного имени хоста. Уязвимость вызвана отсутсвием экранирования спецсимволов в имени хоста и использованием командного интерпретатора при запуске команд в режиме multihop (несколько хостов, разделённых запятой). Уязвимость представляет опасность для систем, запускающих dbclient с непроверенным именем хоста. Источник: http://www.opennet.ru/opennews/art.shtml?num=63223 Читать далее Уязвимость в Dropbear SSH, допускающая подстановку команд в dbclient

Проект Planka, предлагающий запускаемый на собственном оборудовании сервис канбан-доски для организации командной работы и отслеживания задач, перешёл на несвободную лицензию. Изначально проект использовал лицензию Expat/MIT, в 2023 году перешёл на лицензию AGPLv3, а теперь задействовал несвободную лицензию «Fair Use License«, основанную на «Sustainable Use License«. Смена лицензии произведена во втором кандидате в релизы Planka 2.0, таким образом ветка 2.0 будет проприетарной. Автор проекта считает дискуссию о смене лицензии закрытой. Разработчики уверяют, что «для большинства пользователей community-версии продукта ничего не изменится», умалчивая о том, что новая лицензия не одобрена организацией OSI и Фондом СПО, так как не соответствует определению Open Source … Читать далее Проект Planka переходит на несвободную лицензию

Опубликован релиз видеоредактора Shotcut 25.05, развиваемого автором проекта MLT и использующего данный фреймворк для редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Код написан на C++ с использованием фреймворка Qt и распространяется под лицензией GPLv3. Готовые сборки доступны для Linux (AppImage, flatpak и snap), macOS и … Читать далее Выпуск видеоредактора Shotcut 25.05