В результате компрометации процесса формирования релизов на базе GitHub Actions в проекте TanStack атакующим удалось опубликовать в репозитории NPM 84 вредоносные версии, охватывающие 42 NPM-пакета из стека TanStack. Некоторые из скомпрометированных пакетов насчитывали более 10 миллионов загрузок в неделю. Доступ к публикации релизов был получен из-за неверной настройки pull_request_target «Pwn Request» в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/‹pid›/mem. NPM-пакеты с вредоносными изменениями были опубликованы 11 мая с 22:20 до 22:26 (MSK), замечены … Читать далее В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь

В пакете Dnsmasq, объединяющем кэширующий DNS-резолвер, сервер DHCP, сервис для анонсов маршрутов IPv6 и систему загрузки по сети, выявлено 6 уязвимостей, позволяющих выполнить код с правами root, перенаправить домен на другой IP, определить содержимое памяти процесса и вызвать аварийное завершение сервиса. Проблемы устранены в выпуске dnsmasq 2.92rel2. Исправления также доступны в форме патчей. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, FreeBSD. Выявленные проблемы: CVE-2026-4892 — переполнение буфера в реализации DHCPv6, позволяющее атакующему, имеющему доступ к локальной сети, выполнить … Читать далее Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root

Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, подвёл итог применения AI-модели Claude Mythos для анализа уязвимостей в кодовой базе Curl. По мнению Дэниела, анонсированные компанией Anthropic прорывные возможности AI-модели Claude Mythos в области поиска уязвимостей, из-за которых компания ограничила доступ к модели, являются скорее маркетинговым приувеличением, так как при проверке кода Curl модель не показала существенных преимуществ по сравнению с AI-продуктами от других производителей. При этом Дэниел признал значительное повышение качества работы современных AI-анализаторов кода, которые превосходят традиционные статические анализаторы, умеют выявлять несоответствие кода описанию из комментариев, исследовать проблемы в сторонних зависимостях, учитывать … Читать далее AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl

Руководитель компании GitLab опубликовал обращение к клиентам и акционерам, в котором объявил о грядущем сокращении персонала и реструктуризации компании для перехода в «эру AI-агентов», в которой код будет создаваться, рецензироваться, исправляться и развёртываться при помощи AI, а люди сохранят за собой функции принятия решений и управления архитектурой. Предполагается, что создание программного обеспечения помощи AI-агентов значительно снизит стоимость и время разработки, и приведёт к увеличению числа создаваемых программных продуктов. Число увольняемых сотрудников не уточняется, но упоминается, что компания намерена уйти из 30% стран, где присутствовали небольшие команды сотрудников и переложить обслуживание клиентов в этих странах на партнёрскую сеть. Также планируют упростить … Читать далее GitLab объявил о сокращении персонала, реструктуризации и подготовке к эре AI-агентов

Компания NVIDIA опубликовала первый выпуск инструментария CUDA-oxide, позволяющего создавать на языке Rust параллельно исполняемые в GPU ядра CUDA SIMT (Single Instruction, Multiple Threads). Проект позволяет компилировать код на языке Rust, использующий штатную систему типов и модель владения Rust, напрямую в инструкции для выполнения в виртуальной машине CUDA PTX (Parallel Thread Execution) без применения промежуточных предметно-ориентированных языков (DSL) и обвязок. Код инструментария написан на языке Rust и распространяется под лицензией Apache 2.0. Первый выпуск позиционируется как начальная альфа-версия. Инструментарий включает в себя: Бэкенд генерации кода для компилятора rustc, позволяющий компилировать функции с атрибутом «#[kernel]» в параллельно исполняемые на GPU ядра в … Читать далее NVIDIA опубликовала CUDA-oxide, компилятор из Rust в CUDA

Опубликованы корректирующие выпуски инструментария Tor 0.4.8.25 и 0.4.9.8, используемого для организации работы анонимной сети Tor. В релизе Tor 0.4.9.8 устранено 6 уязвимостей: TROVE-2026-011 — ошибка, приводившая к чтению данных из области за границей буфера при обработке специально оформленных сообщений (cell) END, TRUNCATE и TRUNCATED; TROVE-2026-008 — неправильная обработка сообщений BEGIN_DIR при использовании механизма conflux. TROVE-2026-010 — в механизме conflux при очистке очереди неупорядоченных сообщений неверно пересчитывались счётчики и переменные состояния. TROVE-2026-009 — аварийное завершение клиента, вызванное двойным закрытием цепочки при условии нехватки свободной памяти для работы очередей цепочек. TROVE-2026-006 — разыменование нулевого указателя, которое может произойти при обработке специально оформленного … Читать далее Обновления Tor 0.4.8.25 и 0.4.9.8 с устранением уязвимостей. Выпуск Arti 2.3.0

После двух с половиной лет разработки и почти семи лет с прошлого значительного выпуска опубликован релиз редактора изображений Photoflare 1.7.0, разработчики которого пытаются найти оптимальный баланс между функциональностью и удобством интерфейса. Изначально проект был основан как попытка создания открытой и многоплатформенной альтернативы Windows-приложению PhotoFiltre. Код проекта написан на языке С++ с использованием библиотеки Qt и распространяется под лицензией GPLv3. Готовые сборки сформированы в формах AppImage и Flatpak. Программа ориентирована на широкий круг пользователей и предоставляет типовые возможности для редактирования изображений, рисования кистями, наложения фильтров, применения градиентов и корректировки цвета. Поддерживается обработка группы изображений в пакетном режиме. Например Photoflare позволяет изменять … Читать далее Выпуск редактора изображений Photoflare 1.7.0

Компания Google объявила о расширении программы выплаты вознаграждений за выявление уязвимостей в платформе Android, браузере Chrome и лежащих в их основе компонентах. Максимальный размер премии за создание экплоита для платформы Android, позволяющего добиться выполнения кода на уровне чипа Pixel Titan M2 без выполнения специальных действий пользователем (zero-click), установлен в 1.5 миллиона долларов, если атакующему удастся закрепиться в системе, и 750 тысяч долларов для атак, не устанавливающих постоянный контроль над системой. Дополнительно учреждены премии за извлечение защищённых конфиденциальных данных (до $375 тысяч) и программный обход экрана блокировки (до $150 тысяч). Максимальный размер вознаграждения за создание эксплоита для Chrome, позволяющего при открытии … Читать далее Google увеличил вознаграждение за выявление уязвимостей в Android до $1.5 млн, а в Chrome — до $500 тысяч

Компания Microsoft опубликовала ежемесячное обновление дистрибутива Azure Linux 3.0.20260506. Дистрибутив развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Собственные наработки проекта распространяются под лицензией MIT. Сборки пакетов формируются для архитектур aarch64 и x86_64. Размер установочного образа 770 МБ. Среди изменений в новой версии: В репозиторий (SPECS и SPECS-EXTENDED) добавлены пакеты ignition и rust-afterburn. Пакет с сетевым анализатором Wireshark пересобран с поддержкой языка Lua. При сборке пакета с ядром для архитектуры arm64 включён параметр CONFIG_IKCONFIG_PROC, включающий возможность получения доступа к сборочной конфигурации текущего ядра через файл /proc/config.gz. Улучшена поддержка live-миграции в QEMU. … Читать далее Microsoft опубликовал дистрибутив Azure Linux 3.0.20260506

Компания Google анонсировала новое поколение системы отсеивания ботов reCAPTCHA, применяемой на многих сайтах для проверки обращения человеком. В новой реализации reCAPTCHA вместо выбора картинок, соответствующих заданному вопросу, применяется подтверждение через сканирование QR-кода смартфоном. Проблема в том, что в числе требований к смартфонам, которые могут использоваться для прохождения капчи, заявлены относительно новые версии iPhone/iPad, а также устройства с платформой Android c установленным проприетарным пакетом Google Play Services. Устройства iPhone/iPad с iOS до версии 16.4, а также смартфоны с альтернативными прошивками на базе Android, поставляемые без сервисов Google (например, GrapheneOS), пройти новую капчу не смогут. Суть метода на основе QR-кода в подтверждении … Читать далее Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google

Представлен выпуск Nocturne 1.0, музыкального проигрывателя с возможностями управления музыкальной библиотекой и подключения к сетевым музыкальным сервисам. Код проекта написан на языке Python с использованием виджетов libadwaita и мультимедийной библиотеки gstreamer, и распространяется под лицензией GPLv3. Готовые сборки доступны в формате Flatpak. Основные возможности: Поддержка воспроизведения локальных файлов, а также музыки из потоковых сервисов и интернет-радио. Управление музыкальной библиотекой с использованием музыкального сервера Navidrome и возможностью группировки по альбомам, музыкантам и спискам воспроизведения. Наличие визуализатора звука и эквалайзера. Автоматическая загрузка и отображение текстов песен для проигрываемых композиций. Режим караоке с симуляцией пословного показа лирики. Возможность обращения к внешним музыкальным библиотекам … Читать далее Опубликован музыкальный проигрыватель Nocturne 1.0

Команда, отвечающая за формирование релизов Debian, объявила о переводе воспроизводимой пересборки пакетов в число обязательных возможностей. Вчера в сборочную систему внесены изменения, блокирующие перенос в репозиторий новых пакетов, не поддерживающих воспроизводимую сборку. В репозитории testing также запрещено обновление существующих пакетов, в которых выявлены регрессии с воспроизводимостью сборки. В Debian 13, насчитывающем 36427 исходных пакетов, поддержка повторяемых сборок составляет 96.9% для архитектуры x86_64 и 96.8% для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён в 94.5% для архитектуры ARM64 и 75.7% для x86_64 при пересборке 37809 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 1141 пакета … Читать далее В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов

Представлен первый бета выпуск языка программирования Mojo 1.0, который ознаменовал стабилизацию языка и реализацию всех базовых возможностей. Выпуск оценивается как почти готовый к повсеместному использованию. Финальный релиз Mojo 1.0 ожидается в начале осени. Использование данной ветки позволит начать разрабатывать крупные проекты, не опасаясь появления в языке изменений, нарушающих совместимость. В состав платформы включены компоненты, необходимые для разработки приложений на языке Mojo, включая компилятор, runtime, интерактивную REPL-оболочку для сборки и запуска программ, отладчик, дополнение к редактору кода Visual Studio Code (VS Code) с поддержкой автодополнения ввода, форматирования кода и подсветки синтаксиса, модуль для интеграции с Jupyter для сборки и запуска Mojo … Читать далее Бета-выпуск языка программирования Mojo 1.0

Опубликован проект lay, помогающий исправлять слова, набранные с использованием не той раскладки клавиатуры, в GNOME-окружении на базе Wayland. Утилита исправляет последнее слово, набранное в неправильной русской или английской раскладке, по двойному нажатию клавиши Shift. Код написан на языке Rust и распространяется под лицензией MIT. На данной стадии развития программа имеет качество бета-версии — приветствуется отправка отчётов об ошибках.. Основной сценарий использования: пользователь набрал, например, «ghbdtn» вместо «привет», нажал Shift два раза, и слово перепечатывается в другой раскладке. Замена осуществляется по месту, без копирования текста через буфер обмена (программа симулирует нажатие клавиши Backspace для затирания ошибочно введённого слова и затем повторяет … Читать далее Выпуск lay, автокорректора слов, введённых не в той раскладке, для GNOME c Wayland

Доступен композитный сервер Hyprland 0.55, использующий протокол Wayland. Проект ориентирован на мозаичную (tiling) компоновку окон, но поддерживает и классическое произвольное размещение окон, группировку окон в форме вкладок, псевдомозаичный режим и полноэкранное раскрытие окон. Код написан на языке С++ и распространяется под лицензией BSD. Предоставляются возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки … Читать далее Выпуск композитного сервера Hyprland 0.55

Опубликован очередной еженедельный отчёт о разработке KDE, в котором представлены изменения для ветки KDE Plasma 6.7, релиз которой ожидается в июне. Ветка KDE Plasma 6.7 находится на стадии мягкой заморозки. Среди принятых за неделю изменений: Решено включить в состав KDE Plasma 6.7 новый движок стилей Union, но пока не ясно будет ли он активирован по умолчанию или останется в форме опции, включаемой в настройках. Union предоставляет унифицированную систему обработки стилей, позволяющую использовать разные технологии стилевого оформления приложений, доступные в KDE. Движок состоит из трёх слоёв: входного, промежуточного и выходного. Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов … Читать далее В KDE ускорена программная отрисовка и реализован новый движок стилей Union

Во FreeBSD выявлена уязвимость (CVE-2026-7270), позволяющая непривилегированному пользователю выполнить код с правами ядра и получить root-доступ к системе. Уязвимость затрагивает все выпуски FreeBSD, сформированные с 2013 года. В открытом доступе размещён эксплоит, работа которого проверена на системах с FreeBSD 11.0 по 14.4. Уязвимость устранена в обновлениях FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 и 13.5-RELEASE-p13. Для более старых веток можно использовать патч. Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, «#!/bin/sh»). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер … Читать далее Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD

Саша Левин (Sasha Levin) из компании NVIDIA, занимающийся сопровождением LTS-веток ядра Linux и входящий в консультативный совет организации Linux Foundation, подготовил набор патчей с реализацией механизма killswitch для ядра Linux. Предложенная возможность позволяет мгновенно отключить доступ к определённой функциональности работающего ядра. Предполагается, что killswitch будет полезен для временного блокирования уязвимостей на время до установки обновления ядра с исправлением. Управление killswitch осуществляется через файл «/sys/kernel/security/killswitch/control», позволяющий настроить перехват обращений к функциям ядра по их именам. Например, для блокирования уязвимости Copy Fail достаточно записать в управляющий файл команду «engage af_alg_sendmsg -1» для включения перехвата вызова функции af_alg_sendmsg и вместо её выполнения возвращения … Читать далее Предложен killswitch для экстренного отключения уязвимой функциональности в ядре Linux

Доступен корректирующий выпуск Firefox 150.0.2, в котором устранено 27 уязвимостей (10 уязвимостей собрано под CVE-2026-8093 и 16 под CVE-2026-8092). Все уязвимости вызваны проблемами при работе с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Всем уязвимостям присвоен высокий уровень опасности. Отдельно компания Mozilla опубликовала отчёт о проверке кодовой базы Firefox при помощи AI-модели Claude Mythos, достигшей нового уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок. Отмечается, при использовании Mythos практически не было ложных срабатываний, в то время как прошлые … Читать далее Обновление Firefox 150.0.2. За апрель в Firefox устранено 423 уязвимости

Следом за DDoS-атакой на инфраструктуру компании Canonical злоумышленникам удалось получить контроль над каналом Ubuntu в социальной сети X.com (Twitter). В канале Ubuntu был размещён анонс AI-агента Numbat, который преподносился как децентрализованный AI, созданный на базе блокчейна и технологий криптовалюты Solana. Заявлялось, что AI-гент можно протестировать на сайте ai-ubuntu.com, который был зарегистрирован за несколько часов до размещения объявления. Оформление сайта было стилизовано под страницу ubuntu.com/ai, а в тексте использовались факты из анонсированного вице-президентом компании Canonical проекта по интеграции AI-технологий в Ubuntu. Для скрытия IP-адреса сервера, доступ к нему был организован через сеть доставки контента Cloudflare. В настоящий момент анонс Numbat уже … Читать далее Скомпрометирован официальный Twitter-канал Ubuntu

Представлено обновление прошивки Ubuntu Touch 24.04-1.3, основанной на пакетной базе Ubuntu 24.04. Прошивка развивается проектом UBports, взявшим в свои руки разработку мобильной платформы Ubuntu Touch, после того как от неё отстранилась компания Canonical. Проектом также развивается экспериментальный порт рабочего стола Unity 8, который переименован в Lomiri. Обновление Ubuntu Touch 24.04-1.3 в ближайшие дни будет сформировано для устройств Asus Zenfone Max Pro M1, F(x)tec Pro1 X, Fairphone 3/3+/4/5, Google Pixel 3a/3a XL, JingPad A1, Oneplus 5/5T/6/6T, OnePlus Nord N10 5G/N100, Sony Xperia X, Vollaphone X/22/X23, Xiaomi Poco X3 NFC / X3, Xiaomi Poco M2 Pro, Xiaomi Redmi Note 9 Pro/Pro Max/9S, … Читать далее Релиз мобильной платформы Ubuntu Touch 24.04-1.3. Смартфон Volla Plinius с Ubuntu Touch