Исследователи из нескольких университетов США и Австралии разработали две атаки класса Rowhammer — GDDRHammer и GeForge, позволяющие при выполнении непривилегированного ядра CUDA на GPU NVIDIA добиться искажения отдельных битов в чипах видеопамяти GDDR. В отличие от представленного в прошлом году метода GPUHammer, новые атаки не ограничиваются воздействием на данные, обрабатываемые в памяти GPU, а позволяют получить полный доступ ко всей основной памяти, относящейся к адресному пространству CPU. Исследователями продемонстрированы эксплоиты, предоставляющие root-доступ к основной системе при выполнении непривилегированного CUDA-ядра на GPU. Обе атаки добиваются преждевременной потери заряда в определённых ячейках видеопамяти, к которым у атакующих нет прямого доступа, что приводит … Читать далее Атаки GDDRHammer и GeForge, искажающие память GPU для доступа ко всей памяти CPU

Опубликован экспериментальный выпуск открытой реализации Win32 API — Wine 11.6. С момента выпуска 11.5 было закрыто 28 отчётов об ошибках и внесено 261 изменение. Наиболее важные изменения: Возобновлена работа над драйвером wineandroid, обеспечивающем работу на платформе Android. Добавлена эвристика определения порядка загрузки DLL-библиотек для улучшения поддержки модификаций игр. Продолжена работа по улучшению совместимости с VBScript. Решена проблема с аварийным завершением некоторых программ, скомпилированных с поддержкой инструкций AVX. Решена проблема с сохранением настроек приложений на базе платформы .NET. Закрыты отчёты об ошибках, связанные с работой приложений: Homesite+, Win3.1 Notepad, StarOffice51, Google Earth Installer, DigiCertUtil, PDFSam Installer, DVDFab, DCS World, HWiNFO 8.24, … Читать далее Выпуск Wine 11.6

Опубликован релиз платформы OpenCloud 6.0, позволяющей развернуть на своём сервере систему для обмена файлами и совместной работы над контентом. Проект преподносится как открытая альтернатива проприетарным системам Microsoft SharePoint, Google Drive и Dropbox, соответствующая требованиям действующего в Европейском союзе постановления GDPR. Проект основан как форк платформы OCIS (ownCloud Infinite Scale). В отличие от исходной кодовой базы ownCloud и ответвившегося от неё проекта NextCloud серверная часть OpenCloud была переписана с языка PHP на Go. Создатели OpenCloud попытались избавить кодовую базу от лишней функциональности и сосредоточиться на максимально качественной реализации основной задачи — совместной работы с файлами. Написанная на языке Go серверная часть … Читать далее Выпуск платформы обмена файлами OpenCloud 6.0

Представлен выпуск мобильной платформы /e/OS 3.6, сфокусированной на конфиденциальности пользовательских данных. Платформа основана Гаэлем Дювалем (Gaël Duval), создателем дистрибутива Mandrake Linux. Проект поддерживает 287 моделей смартфонов и формирует сборки прошивок для наиболее популярных из них. На базе смартфонов OnePlus, Fairphone, Teracube, HIROH и Pixel подготовлены собственные редакции устройств, распространяемые с предустановленной прошивкой /e/OS под брендами Murena One, Murena 2, Murena Fairphone 4/5/6, Murena Teracube 2e, Murena Pixel 5/7 и Murena SHIFTphone 8. Прошивка /e/OS развивается как ответвление от платформы LineageOS (на базе Android), избавленное от привязки к сервисам и инфраструктуре Google для исключения передачи телеметрии на серверы Google и повышения … Читать далее Выпуск мобильной платформы /e/OS 3.6

Представлен первый альфа-выпуск клиента для мгновенного обмена сообщениями Pidgin 3.0 (2.95). Выпуск отмечен как ещё не готовый для повседневного применения. Сборки подготовлены в формате Flatpak и размещены в beta-репозитории на Flathub. Ветка Pidgin 3 разрабатывается с 2011 года, а до этого ещё три года обсуждалась на уровне концепций и идей. В Pidgin 3 выполнен переход на систему типов GObject, библиотек GTK4 и Adwaita, сборочную систему Meson, GPlugin для обработки плагинов, SQLite для хранения истории чатов и GSettings для работы с настройками. Полностью переработан API. Для определения элементов интерфейса задействован GTK Builder XML, а для отображения истории чатов создана собственная библиотека … Читать далее Альфа-выпуск мессенджера Pidgin 3 и анонс мессенджера Gaim 3

В неофициальном Telegram-клиенте Nekogram выявлен обфусцированный код, скрыто отправляющий боту «@nekonotificationbot» номера телефонов пользователей, вошедших в приложение, в привязке к индентификатору пользователя. Изменение для сбора номеров телефонов присутствует только в готовых APK-пакетах, распространяемых через Google Play, GitHub и Telegram-канал проекта. В исходном коде на GitHub и в APK-пакенте из каталога F Droid собирающее телефоны изменение отсутствует. Бэкдор присутствовал в файле Extra.java. Предположительно, отправка осуществлялась начиная с версии Nekogram 11.2.3, первое время только для пользователей с китайскими номерами, а затем для всех. В программе также использовались osint-боты «@tgdb_search_bot» и «@usinfobot» для определения пользователей по их ID, но номера телефонов им не … Читать далее Неофициальный Telegram-клиент Nekogram отправлял номера телефонов боту разработчика

Сопровождающий NPM-пакет axios, для которого на днях были выпущены вредоносные обновления, раскрыл подробности атаки, в результате которой атакующим удалось получить доступ к его компьютеру и всем учётных данным. Атака была проведена с использованием типового метода социального инжиниринга, который ранее уже использовался для компрометации разработчиков криптокошельков и AI-платформ. Атакующий выдал себя за основателя известной компании и предложил организовать совместный проект. Вначале сопровождающего пригласили в рабочее пространство Slack, которое выглядело реалистично, содержало каналы с сообщениями из LinkedIn, имело фейковые профили работников компании и представителей других открытых проектов. Через какое-то время было назначено групповое обсуждение, организованное на базе платформы MS Teams. В ходе … Читать далее Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios

Александр Гомес Гайгалас (Alexandre Gomes Gaigalas), автор библиотеки coral для создания переносимых shell-скриптов, опубликовал C89cc.sh, компилятор для языка Си, написанный целиком на Shell. Компилятор поддерживает стандарт C89 и может генерировать исполняемые файлы в формате ELF64 для систем x86-64. Код содержит около восьми тысяч строк и открыт под лицензией ISC. Источник: http://www.opennet.ru/opennews/art.shtml?num=65133 Читать далее Компилятор для языка Си, написанный на Shell

Компания Google опубликовала новое семейство больших языковых моделей Gemma 4, основанных на технологиях модели Gemini 3. Gemma 4 распространяется под лицензией Apache в вариантах с 2.3, 4.5, 25.2 и 30.7 миллиардами параметров (E2B, E4B, 31B и 26B A4B). Варианты E2B и E4B подходят для использования на мобильных устройствах, системах интернета вещей (IoT) и платах типа Raspberry Pi, а остальные варианты пригодны для применения на рабочих станциях и системах с потребительскими GPU. Размер учитываемого моделью контекста составляет 128 тысяч токенов для моделей E2B и E4B, и 256 тысяч токенов для моделей 31B и 26B A4B. Модели многоязыковые и мультимодальные: из коробки … Читать далее Google выпустил открытую AI-модель Gemma 4, построенную на технологиях Gemini 3

В PX4, открытом стеке с реализацией автопилота для дронов и автономных транспортных средств, выявлена уязвимость (CVE-2026-1579), позволяющая выполнить на устройстве произвольные shell-команды без криптографической аутентификации при наличии доступа к интерфейсу MAVLink. Проблеме присвоен критический уровень опасности (9.8 из 10). Уязвимость вызвана тем, что протокол MAVLink по умолчанию не использует криптографическую аутентификацию, поэтому любые сообщения могут отправляться посторонним. Среди прочего, атакующий может отправить сообщение «SERIAL_CONTROL», предоставляющее доступ к выполнению кода в интерактивной командной оболочке. В качестве обходного пути защиты рекомендуется включить заверение сообщений MAVLink цифровой подписью для всех каналов связи, отличных от подключения через USB. Источник: http://www.opennet.ru/opennews/art.shtml?num=65129 Читать далее Уязвимость в автопилоте PX4, позволяющая выполнить код без аутентификации

Компания НТЦ ИТ РОСА опубликовала дистрибутив ROSA Fresh 13.2, построенный на платформе rosa 13. Дистрибутив распространяется свободно и разрабатывается с участием сообщества. Релиз ориентирован на широкий круг пользователей. Для загрузки доступны сборки с рабочими столами KDE 6 (4 ГБ). KDE 5 (4 ГБ, LXQt (3 ГБ) и GNOME (4 ГБ), а также сборки для серверов (2 ГБ) и виртуальных машин (753 МБ). В репозитории пакеты собраны для архитектур aarch64, e2kv4, i686, loongarch64, riscv64 и x86_64. Среди изменений: Реализован каталог приложений apps.rosa.ru, позволяющий выбрать программу в браузере и запустить процесс установки одним кликом. Добавлен графический интерфейс для настройки менеджера входа GDM … Читать далее Опубликован дистрибутив ROSA Fresh 13.2

После полугода разработки опубликован выпуск OpenSSH 10.3, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Основные изменения: Устранена уязвимость, позволяющая атакующему, контролирующему имя пользователя, передаваемое при запуске утилиты ssh, потенциально добиться выполнения произвольных shell-команд. Уязвимость проявляется в системах, использующих подстановку «%u» в некоторых директивах файла конфигурации, таких как «Match exec». Проблем вызвана проверкой спецсимволов в имени пользователя на стадии после выполнения %-подстановок в файле конфигурации ssh_config. Устранена проблема с безопасностью в sshd, вызванная некорректным сопоставлением опции authorized_keys principals=»» со списком имён (principal) в сертификате в ситуации, когда в именах указан символ «,». Для эксплуатации уязвимости … Читать далее Релиз OpenSSH 10.3

Опубликован инструментарий для оценки производительности web-браузеров JetStream 3, нацеленный на тестирование производительности движков JavaScript и WebAssembly при выполнении типовых web-приложений, осуществляющих интенсивные вычисления. Для достижения объективных и независимых результатов проект развивается совместно разработчиками конкурирующих браузерных движков из Google, Apple и Mozilla. Код доступен под лицензией BSD. В новой версии учтены современные тенденции и изменения, произошедшие в Web с момента релиза JetStream 2 в 2019 году, а также актуализированы тесты для соответствия шаблонам работы реальных web-приложений и отражения реальной производительности, а не синтетических результатов под которые точечно оптимизированы браузерные движки. В отличие от тестового набора Speedometer 3, в JetStream 3 упор … Читать далее Google, Apple и Mozilla опубликовали JetStream 3 для оценки производительности браузеров

Организация The Document Foundation (TDF), курирующая разработку офисного пакета LibreOffice, исключила из своих рядов всех сотрудников компании Collabora и партнёров. В последние дни марта из TDF исключено 43 участника (1, 2, 3), среди которых ключевые разработчики и сооснователи LibreOffice. Исключены 7 из 10 наиболее значимых разработчиков LibreOffice. Из оставшихся в TDF четырёх основателей трое не вовлечены в разработку основного кода. В 2025 году сотрудниками Collabora было внесено 45% от всех изменений в LibreOffice. Итало Виньоли (Italo Vignoli), один из основателей организации Document Foundation, пояснил, что участники из компании Collabora исключены в соответствии с недавно одобренным новым уставом, который не допускает … Читать далее Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora

Компания Cloudflare опубликовала систему управления контентом EmDash. Как и WordPress, новая система поддерживает расширение через плагины, позволяет использовать шаблоны для построения различных видов сайтов и предоставляет интерфейс для администрирования, но при этом может работать на платформах бессерверных вычислений и повышает безопасность за счёт применения языка TypeScript со статическими типами и изоляции плагинов в отдельных sandbox-окружениях. Код проекта написан на языке TypeScript c использованием web-фреймворка Astro и распространяется под лицензией MIT. EmDash может функционировать как в инфраструктуре Cloudflare, так и запускаться на собственных серверах при помощи Node.js. В качестве СУБД может использоваться SQLite, Turso/libSQL и PostgreSQL, а в качестве хранилища — … Читать далее Компания Cloudflare представила EmDash, альтернативу WordPress с изоляцией плагинов

Представлен выпуск пакета wayland-protocols 1.48, содержащего набор протоколов и расширений, дополняющих базовый протокол Wayland и предоставляющих возможности, необходимые для построения композитных серверов и пользовательских окружений. В новой версии: В категорию «staging» добавлен протокол xdg-session-management, предоставляющий возможности для восстановления состояния и позиции окон прерванного сеанса в окружениях на основе протокола Wayland, например, после аварийного завершения композитного сервера или приложения. Расширены возможности протокола text-input, позволяющий композитным серверам реализовывать методы ввода и отправлять текст в приложения. Например, добавлен флаг no_emoji для ввода без Emoji, реализована поддержка дополнительных действий помимо вставки текста, добавлен флаг language для передачи информации об языке, добавлены запросы для показа … Читать далее Выпуск Wayland-Protocols 1.48

Проект Gentoo подготовил экспериментальный системный образ с ядром GNU Hurd и опубликовал скрипты для самостоятельной сборки образа и облегчения дальнейшей разработки Hurd-порта. На будущее запланированы релизы stage и автоматизированная сборка образов, а также достижение паритета с Gentoo Linux на системах x86-64. Желающие могут попробовать готовый образ Gentoo GNU Hurd, запустив его с использованием QEMU: $ wget https://distfiles.gentoo.org/experimental/x86/hurd/hurd-i686-preview.qcow2.sig $ wget https://distfiles.gentoo.org/experimental/x86/hurd/hurd-i686-preview.qcow2 $ gpg —verify hurd-i686-preview.qcow2.sig hurd-i686-preview.qcow2 $ qemu-system-i386 -drive file=hurd-i686-preview.qcow2,format=qcow2 -m 2G -net user,hostfwd=tcp:127.0.0.1:2222-:2222 -net nic,model=ne2k_pci —enable-kvm -M q35 Логин: root, пароль: gnuhurdrox. После логина можно запустить ssd с помощью «./setup-net.sh» и «/etc/init.d/sshd restart». Отдавая дань первому апреля проект анонсировал переход … Читать далее Gentoo опубликовал системный образ с ядром GNU Hurd

Компания Anthropic по недосмотру опубликовала в составе выпуска NPM-пакета claude-code 2.1.88 полный необфусцированный и не очищенный от внутренних компонентов исходный код инструментария Claude Code на языке TypeScript. Код попал в релиз в составе map-файла cli.js.map, применявшегося в ходе отладки. Для предотвращения подобных утечек разработчикам рекомендуется не забывать добавлять маску «*.map» в файл «.npmignore». Архив с кодом имеет размер 59.8 МБ, включает 1884 файла и содержит более 500 тысяч строк кода. Энтузиасты начали тиражировать код на GitHub, но компания Anthropic инициировала рассылку DMCA-уведомлений для блокирования репозиториев с утешим кодом на основании действующего в США Закона об авторском праве в цифровую эпоху … Читать далее Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла

Компания Collabora представила Linux-дистрибутив Apertis 2026, изначально созданный для оснащения автомобильных систем, но затем переориентированный для более широкого спектра электронных устройств, встраиваемой техники и промышленного оборудования. Из устройств, на которых применяется Apertis, упомянуты игровая консоль Atari VCS, плата Raspberry Pi 4, автомобильные SoC R-car и сканер для обнаружения объектов в стенах Bosch D-tect 200. Эталонные системные образы распространяются для архитектур x86_64, arm64 и armhf. Дистрибутив модульный и позволяет производителям устройств самостоятельно формировать необходимую начинку системного окружения. Поддерживается как формирование сборок на базе традиционных deb-пакетов, так и монолитных атомарно обновляемых образов на основе OSTree. Время сопровождения каждого выпуска Apertis составляет 1 … Читать далее Выпуск дистрибутива Apertis 2026, позволяющего не использовать код под лицензией GPLv3

Злоумышленники смогли перехватить учётную запись сопровождающего и выпустить два вредоносных выпуска NPM-пакета axios, предлагающего реализацию HTTP-клиента для браузеров и Node.js. Пакет axios насчитывает более 100 млн загрузок в неделю и используется в качестве зависимости у 174 тысяч других пакетов. Вредоносные изменения были интегрированы в выпуски Axios 1.14.1 и 0.30.4 через подстановку фиктивной зависимости plain-crypto-js 4.2.1, содержащей код для загрузки компонентов, принимающих команды с управляющего сервера злоумышленников. Вредоносные выпуски предлагались для загрузки 31 марта в течение почти 3 часов — с 03:21 по 6:15 (MSK). Вредоносные версии были размещены в NPM напрямую с использованием учётных данных главного сопровождающего проекта axios («jasonsaayman«) … Читать далее Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю

Опубликован выпуск инсталлятора Archinstall 4.0, который с 2021 года в качестве опции входит в состав установочных iso-образов Arch Linux. Archinstall работает в консольном режиме и может использоваться вместо предлагаемого по умолчанию ручного режима установки дистрибутива. Код Archinstall написан на языке Python и распространяется под лицензией GPLv3. Archinstall предоставляет диалоговый (guided) и автоматизированный режимы работы. В автоматизированном режиме имеется возможность использования скриптов для развёртывания типовых конфигураций. Инсталлятор также поддерживает профили установки, например, профиль «desktop» для выбора рабочего стола (KDE, GNOME, Awesome) и установки необходимых для его работы пакетов, или профили «webserver» и «database» для выбора и установки начинки web-серверов и СУБД. … Читать далее Выпуск инсталлятора Archinstall 4.0, применяемого в дистрибутиве Arch Linux