Группа исследователей из четырёх американских университетов разработала технику атаки Pixnapping (CVE-2025-48561), позволяющую из непривилегированных Android-приложений, не запрашивающих дополнительных полномочий, определить содержимое, выводимое на экран другими приложениями. В качестве примера практического применения атаки продемонстрировано определение кодов двухфакторной аутентификации, показываемых приложением Google Authenticator. Так же показано как можно применить атаку для извлечения конфиденциальных данных, выводимых на экран при работе с Gmail, Signal, Venmo и Google Maps. Для определения содержимого экрана задействован метод попиксельного анализа, реализованный в 2023 году той же командой исследователей в атаке по сторонним каналам GPU.zip и впервые описанный ещё в 2013 году. Суть метода в том, что из-за присутствующих … Читать далее Атака Pixnapping, определяющая содержимое экрана для перехвата 2FA-кодов в Android

Компания Qt Company опубликовала релиз фреймворка Qt 6.10, в котором продолжена работа по стабилизации и наращиванию функциональности ветки Qt 6. В Qt 6.10 предоставлена поддержка платформ Windows 10+, macOS 13+, Linux (Ubuntu 22.04/24.04, openSUSE 15.6, SUSE 15 SP6, RHEL 8.10/9.4, Debian 11.6), iOS 16+, Android 9+(API 23+), webOS, WebAssembly, INTEGRITY, VxWorks, FreeRTOS и QNX. Исходные тексты компонентов Qt поставляются под лицензиями LGPLv3 и GPLv2. Qt 6.10 получил статус промежуточного выпуска, общедоступная поддержка которого будет осуществляться 6 месяцев (+ ещё 6 месяцев для коммерческих пользователей). Основные изменения в Qt 6.10: Добавлен QML-тип FlexboxLayout для адаптивной раскладки элементов интерфейса в соответствии с … Читать далее Релиз фреймворка Qt 6.10

По данным сервиса, осуществляющего мониторинг международных каналов связи, пропускная способность глобальной сети в 2025 году выросла на 25% и достигла 1835 Тбит/с, что более чем в два раза больше, чем было в 2021 году. Наибольший рост пропускной способности международных каналов связи за последние четыре года наблюдается в Африке (38%) и Ближнем Востоке (27%). Росту интернет-трафика последние годы способствовали такие факторы, как распространение потребительских устройств с доступом в интернет, проникновение широкополосного доступа в развивающихся странах и рост приложений, требовательных к полосе пропускания. Из факторов, которые могут повлиять на международный интернет-трафик в будущем, отмечены: облачные сервисы для AI и доступа к мощностям … Читать далее Общая пропускная способность международных каналов связи достигла 1835 Тбит/с

Компания Mozilla начала тестирование Firefox VPN, встроенного в Firefox бесплатного VPN-сервиса, позволяющего обращаться к сайтам не напрямую, а через промежуточные серверы в разных странах, скрывающие IP-адрес пользователя. VPN станет первым сервисом, реализованным в рамках инициативы по интеграции в Firefox дополнительных инструментов для защиты конфиденциальности и усиления безопасности. Сервис находится на ранней стадии внедрения и в ближайшие несколько месяцев в качестве эксперимента станет предлагаться для включения небольшому проценту случайно выбранных пользователей. Отмечается, что Firefox VPN не связан с платным сервисом Mozilla VPN, который является полноценным VPN для всей системы, в то время как Firefox VPN бесплатен и ограничен только одним браузером. … Читать далее Mozilla тестирует встроенный в Firefox бесплатный VPN

Кэрол Хербст (Karol Herbst) из компании Red Hat, принимающий участие в разработке Mesa, драйвера Nouveau и открытого стека OpenCL, предложил для включения в состав Mesa драйвер cluda, реализующий API Gallium поверх API CUDA, предоставляемого проприетарным драйвером NVIDIA. Gallium используется в Mesa для абстрагирования разработки драйверов и реализует типовые для драйверов программные интерфейсы, не специфичные для отдельных аппаратных устройств. В контексте cluda реализованы интерфейсы, связанные с вычислениями, которых достаточно для воплощения спецификации OpenCL поверх CUDA. Предполагается, что cluda поможет решить проблемы с использованием OpenCL поверх проприетарного драйвера NVIDIA. Использование дополнительной обвязки даёт возможность реализовать недостающие расширения OpenCL, отсутствующие в стеке NVIDIA … Читать далее Для Mesa предложен драйвер cluda, позволяющий реализовать OpenCL поверх NVIDIA CUDA

Представлен выпуск мобильной платформы LineageOS 23, основанный на кодовой базе Android 16. Отмечается, что ветка LineageOS 23 достигла паритета по функциональности и стабильности c веткой 22, и признана готовой для формирования первого релиза. Сборки подготовлены для 104 моделей устройств (на 28 устройств меньше, чем в LineageOS 22). LineageOS также можно запустить в эмуляторе Android Emulator, в QEMU и в среде Android Studio. Дополнительно, предоставлена возможность сборки в режиме Android TV и Android Automotive. Помимо публикации LineageOS 23 опубликовано обновление ветки LineageOS 22.2, для которой сформированы дополнительные сборки для 39 устройств. Также обновлена ветка LineageOS 20, в которую перенесены исправления, связанные … Читать далее Опубликована мобильная платформа LineageOS 23, основанная на Android 16

Проект GraphenOS, разрабатывающий альтернативную свободную прошивку Android, нацеленную на усиление безопасности и обеспечение конфиденциальности, сообщил о внесении компанией Google изменений в политику публикации исправлений уязвимостей для платформы Android и раскрытия информации об уязвимостях. Октябрьский отчёт об уязвимостях в Android опубликован пустым. Отныне Google изначально предоставляет исправления безопасности для Android исключительно OEM-производителям по закрытым каналам с соглашением о неразглашении, обязующем их не раскрывать исходный код с применением предоставленных патчей на срок 3 месяца с момента получения. В течение этого времени возможно распространение исключительно бинарных сборок с включением исправления. Сам код продолжает быть под открытой лицензией Apache, но на право распространения накладывается … Читать далее Google меняет политику публикации исправлений уязвимостей в Android

На конференции QoMEX (Quality of Multimedia Experience) в одном из докладов представлены результаты тестирования формата кодирования видео AV2, развиваемого альянсом Open Media (AOMedia) и идущего на смену формату AV1. При использовании метрик оценки качества VMAF (Video Multi-Method Assessment Fusion), разработанных компанией Netflix, использование кодека AV2 позволило добиться снижения битрейта на 32.59% по сравнению с кодеком AV1 при аналогичном уровне качества. При использовании метрик PSRN-YUV (Peak-Signal-to-Noise Ratio 14:1:1) битрейт удалось снизить на 28.63%. При тестировании задействован выпуск AVM 11.0 с эталонной реализацией AV2. Формат кодирования видео AV2 не требует лицензионных отчислений и позволяет безвозмездно использовать связанные с ним технологии, патенты и … Читать далее Кодек AV2 продемонстрировал снижение битрейта на 30% при уровне качества AV1

Опубликован выпуск проекта MicroPythonOS 0.0.11, разрабатывающего операционную систему для микроконтроллеров, таких как ESP32, написанную с использованием инструментария MicroPython. Операционная система оснащена графическим интерфейсом, развиваемым с оглядкой на Android и iOS, и поддерживающим управления через сенсорные экраны. Из областей применения MicroPythonOS упоминаются устройства интернета вещей (IoT), системы управления домашней автоматизацией, интерактивные панели, роботы и умные носимые устройства с управлением экранными жестами. Проект также может применяться для быстрой разработки прототипов новых устройств. Код написан на языках Си и Python и распространяется под лицензий MIT. Архитектура MicroPythonOS основана на использовании минимальной базовой системы, отвечающей за инициализацию и взаимодействие с аппаратным обеспечением, монтирование накопителей, … Читать далее MicroPythonOS — ОС с графическим интерфейсом для микроконтроллеров

Проект WSL-For-FreeBSD развивает редакцию инструментария WSL2 (Windows Subsystem for Linux), позволяющую вместо Linux запустить FreeBSD в Windows с минимальными изменениями в базовом окружении FreeBSD. По возможности вносимые изменения планируют передавать в основной состав открытой кодовой базы WSL2. Проект позиционируется как персональный и экспериментальный. На текущем этапе FreeBSD уже можно загрузить в WSL2 в консольном режиме. Основные компоненты FreeBSD успешно запускаются. В настоящее время работа сосредоточена на добавление поддержки сети, оптимизации ввода/вывода и управления процессами. Из планов на будущее упоминается нтеграция утилит FreeBSD c окружением Windows и подготовка документации. Развиваемый компанией Micrоsoft проект WSL2 предоставляет виртуальную машину с полноценным ядром Linux, … Читать далее Проект по адаптации подсистемы WSL2 для запуска FreeBSD в Windows

Опубликован релиз языка программирования Julia 1.12, сочетающего такие качества как высокая производительность, поддержка динамической типизации и встроенные средства для параллельного программирования. Синтаксис Julia близок к MATLAB с заимствованием некоторых элементов из Ruby и Lisp. Метод манипуляции строками напоминает Perl. Код проекта распространяется под лицензией MIT. Ключевые особенности языка: Высокая производительность: одной из ключевых целей проекта является достижение производительности близкой к программам на языке Си. Компилятор Julia основан на наработках проекта LLVM и генерирует эффективный нативный машинный код для многих целевых платформ; Поддержка различных парадигм программирования, включая элементы объектно-ориентированного и функционального программирования. Стандартная библиотека предоставляет в том числе функции для асинхронного … Читать далее Выпуск языка программирования Julia 1.12

Опубликован релиз языка программирования OCaml 5.4.0, промышленного функционального языка программирования с акцентом на выразительность и безопасность разрабатываемого программного обеспечения. В OCaml гармонично сочетается функциональное ядро, императивные возможности, продвинутая объектная система и неповторимая модульная система. Код инструментария для языка OCaml распространяется под лицензией LGPL. Среди множества языков программирования OCaml выделяется своей универсальностью и практичностью, делая тем самым его хорошим выбором для разработки сложных систем. Основные особенности OCaml включают автоматическое управление памятью, функции первого класса, статическую типизацию, полиморфизм, поддержку неизменяемых структур данных, автоматический вывод типов и мощные алгебраические типы данных с сопоставлением шаблонов, и многое другое. Основные изменения и улучшения в OCaml … Читать далее Доступен язык программирования OCaml 5.4.0

Спустя четыре дня после релиза OpenSSH 10.1 опубликован корректирующий выпуск OpenSSH 10.2, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В новой версии отмечены только исправления ошибок: В утилите ssh решена проблема с обработкой параметров терминала, приводившая к невозможности использования SSH-сеанса при активной настройке ControlPersist. В утилите ssh-keygen устранена проблема с загрузкой ключей из токенов PKCS#11. В ssh-keygen решена проблема с операциями формирования цифровых подписей при хранении ключа удостоверяющего центра в ssh-agent. Добавлена поддержка платформ без mmap, таких как WASM. Решены проблемы со сборкой во FreeBSD и MacOS ‹10.12. Прекращено использование PAM_RHOST если внешних хост … Читать далее Обновление OpenSSH 10.2

Исследователи из компании Legit Security разработали технику атаки на GitHub Copilot, позволяющую извлечь содержимое из приватных репозиториев при использовании чатбота для анализа присылаемых pull-запросов. В качестве примера продемонстрирована возможность определения хранимых в приватном репозитории ключей для доступа к облачному окружению AWS. Атака основывается на способности GitHub Copilot загружать внешние изображения в зависимости от обрабатываемого содержимого и возможности подставлять в pull-запросы скрытые комментарии, которые невидны в интерфейсе GitHub, но учитываются при анализе чатботом. Для организации утечки атакующий на своём сервере создаёт набор однопиксельных прозрачных изображений, каждое из которых соответствуют спецсимволу, цифре или букве алфавита. Далее жертве отправляется pull-запрос, в котором помимо … Читать далее Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев

Пользователи, перешедшие на выпуск Ubuntu 25.10, столкнулись с невозможностью установить или обновить Flatpak-пакеты. Проблема вызвана изменениями в AppArmor-правилах, применяемых при запуске утилиты fusermount3. Из-за некорректно выставляемых правил доступа попытки установки или обновления пакетов при помощи утилиты flatpak приводят к выводу ошибки о невозможности отмонтировать каталог /var/tmp/flatpak-cache-*. Проблеме присвоен критический уровень важности. В настоящее время подготовлено и проходит проверку обновление пакета с правилами AppArrmor, до готовности которого в качестве обходного пути для временного решения проблемы можно отключить Apparmor-профиль для fusermount3. Источник: http://www.opennet.ru/opennews/art.shtml?num=64028 Читать далее В Ubuntu 25.10 оказалась неработоспособна установка Flatpak-пакетов

Опубликован дистрибутив Ubuntu 25.10 «Questing Quokka», который отнесён к промежуточным выпускам, обновления для которых формируются в течение 9 месяцев. Готовые установочные образы созданы для Ubuntu, Ubuntu Server, Lubuntu, Kubuntu, Ubuntu Mate, Ubuntu Budgie, Ubuntu Studio, Xubuntu, UbuntuKylin (редакция для Китая), Ubuntu Unity, Edubuntu и Ubuntu Cinnamon. Основные изменения: Рабочий стол обновлён до выпуска GNOME 49. Прекращена поддержка сеанса GNOME на базе X11 и оставлен только сеанс на базе Wayland, в котором для запуска X11-приложений применяется XWayland. Пакеты с компонентами X.org и альтернативными десктоп-окружениями, использующими X11, продолжают поставляться в репозитории. В конфигуратор добавлен интерфейс для управления автозапуском приложений (Settings → Apps). … Читать далее Релиз Ubuntu 25.10

Компания Meta* представила инструментарий для сжатия и распаковки данных OpenZL, по сравнению с форматами Zstd и XZ демонстрирующий более высокий уровень сжатия и скорость работы. OpenZL разработан для эффективного сжатия структурированных наборов данных, например, применяемых при машинном обучении, а также хранилищ, содержащих поля с различными повторяющимися типами информации. Код OpenZL написан на C/C++ и открыт под лицензией BSD. При сжатии БД с астрономическим каталогом звёзд SAO, инструментарий OpenZL позволил сократить размер данных в 2.06 раза, в то время как алгоритм zstd сжал информацию в 1.31 раза, а XZ в 1.64 раза. При этом по скорости сжатия OpenZL опередил zstd в … Читать далее Система сжатия OpenZL, опережающая Zstd и XZ по скорости и уровню сжатия структурированных данных

После года разработки опубликован релиз новой стабильной ветки сетевого анализатора Wireshark 4.6. Программа поддерживает более тысячи сетевых протоколов и несколько десятков форматов захвата трафика. Предоставляется графический интерфейс для создания фильтров, захвата трафика, анализа сохранённых дампов и инспектирования пакетов. Поддерживаются такие расширенные возможности, как пересборка порядка следования пакетов, выделение и сохранение содержимого файлов, передаваемых с использованием разных протоколов, воспроизведение VoIP и RTP-потоков, расшифровка IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP и WPA/WPA2. Код проекта распространяется под лицензией GPLv2. Ключевые новшества Wireshark 4.6.0: В меню «Statistics» в секцию графиков добавлен режим «Plots». В отличие от ранее доступного режима «I/O Graphs» вместо гистограмм, отражающих … Читать далее Выпуск сетевого анализатора Wireshark 4.6.0

Один из сотрудников Amazon представил библиотеку Servo GTK, предназначенную для встраивания web-движка Servo в приложения, использующие GTK4. Библиотека реализует GTK-виджет, при помощи которого можно использовать Servo Webview для отрисовки web-контента. Из особенностей отмечается поддержка ускорения отрисовки при помощи OpenGL и возможность обработки событий в асинхронном режиме. Проект написан на языке Rust и распространяется под лицензией MPL 2.0. В качестве примера использования на базе библиотеки подготовлен простейший web-браузер с интерфейсом на базе GTK. Движок Servo изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и … Читать далее Представлена библиотека Servo GTK для интеграции движка Servo с GTK-приложениями

Исследователи из компании Wiz выявили в СУБД Redis уязвимость (CVE-2025-49844), позволяющую добиться удалённого выполнения кода (RCE) на сервере. Проблеме присвоен наивысший уровень опасности (CVSS score 10 из 10), при этом для эксплуатации уязвимости атакующий должен иметь возможность отправки запросов к СУБД Redis, допускающей выполнение пользовательских Lua-скриптов. Помимо публично доступных экземпляров Redis, предоставляющих доступ без аутентификации, уязвимость позволяет скомпрометировать облачные системы и платформы хостинга, поддерживающие сервисы для работы с Redis. По данным компании Wiz сканирование сети выявило около 330 тысяч принимающих соединения Redis-серверов, из которых около 60 тысяч принимают запросы без аутентификации. Предоставляемый проектом Redis официальный образ Docker-контейнера настроен для доступа … Читать далее Уязвимости в Redis и Valkey, позволяющие выполнить код на сервере при наличии доступа к БД

Опубликован релиз мета-дистрибутива T2 SDE 25.10, предоставляющего окружение для формирования собственных дистрибутивов, кросс-компиляции и поддержания версий пакетов в актуальном состоянии. Из популярных дистрибутивов, построенных на базе системы T2, можно отметить Puppy Linux. Проектом предоставляется 36 загрузочных iso-образов с минимальным графическим окружением в вариантах с библиотеками Musl, uClibc и Glibc. Для актуальных архитектур подготовлены сборки с графическим окружением на базе GNOME и Wayland. Платформа сосредоточена на создании сборок на базе ядра Linux, но отдельно развиваются прототипы, позволяющие собирать пакеты для различных ОС, включая macOS, Haiku и BSD-системы. В планах поддержка создания окружений на основе других ядер, например, на базе L4, Fuchsia … Читать далее Релиз T2 SDE 25.10, платформы для создания дистрибутивов