Удостоверяющий центр Digicert раскрыл информацию об инциденте с безопасностью, в результате которого злоумышленники смогли получить сертификаты, пригодные для формирования цифровых подписей к драйверам и приложениям для платформы Windows. Атакующие смогли организовать выполнение своего кода на двух компьютерах сотрудников Digicert, отправив в чат службы поддержки сообщения о проблеме c приложением ZIP-архива со скриншотами. Внутри архива был размещён исполняемый файл в формате scr, содержащий вредоносный код. В ходе первой атаки, проведённой 2 апреля, четыре попытки доставки вредоносного кода были блокированы внутренними системами обеспечения безопасности, но одна оказалась успешной. Проблема была выявлена и блокирована 3 апреля. После получения жалоб от сторонних исследователей безопасности … Читать далее Атакующие получили 27 сертификатов, скомпрометировав ПК сотрудников удостоверяющего центра Digicert

Джарред Самнер (Jarred Sumner), создатель и основной разработчик серверной JavaScript-платформы Bun, создал Git-ветку, в которой приступил к переписыванию Bun с языка Zig на Rust. Переписывание ведётся с использование AI-ассистента Claude, для которого сформировано отдельное руководство по портированию. По словам Джарреда пока это лишь эксперимент, а не официальный порт, и высока вероятность, что дальше эксперимента дело не зайдёт и переписанный код не будет использован. Портирование ещё не завершено, и на текущем этапе весь интерес к проекту сосредоточен на том, что бы оценить насколько работоспособным получится порт, будет ли он проходить набор тестов основного проекта и сложно ли будет сопровождать новый код. … Читать далее Автор платформы Bun проводит эксперимент по переписыванию с Zig на Rust

Произошёл массовый сбой в работе доменной зоны «DE», применяемой в Германии. Проблемы возникли из-за ошибки в настройке DNSSEC для корневой зоны «DE», совершённой организацией DENIC, отвечающей за домен первого уровня «DE». С 5 мая 22:30 по 6 мая 1:30 (MSK) попытка резолвинга доменов в зоне «DE» через DNS-серверы, применяющие DNSSEC для проверки достоверности данных, завершалась ошибкой. На DNS-серверах, применяющих DNSSEC, сбой наблюдался и при резолвинге доменов, напрямую не использующих DNSSEC. Проблема затронула многие DNS-резолверы провайдеров и публичные DNS-сервисы, такие как 1.1.1.1 и 8.8.8.8. В качестве временной меры компания Cloudflare в своём DNS-сервисе 1.1.1.1 отключила проверку подлинности через DNSSEC для доменов … Читать далее Доменная зона DE на несколько часов была выведена из строя из-за DNSSEC

Состоялся релиз Node.js 26.0.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 26.0 отнесён к веткам с длительным сроком поддержки, но данный статус будет присвоен только в октябре, после проведения стабилизации. Поддержка Node.js 26.x будет осуществляться до мая 2029 года. Сопровождение прошлой LTS-ветки Node.js 24.x будет осуществляться до 30 апреля 2028 года, а позапрошлой 22.x — до 30 апреля 2027 года. Сопровождение LTS-ветки 20.x прекращено 30 апреля 2026 года, а промежуточной ветки Node.js 25.x будет прекращено 1 июня 2026 года. Основные улучшения: Включён по умолчанию API Temporal, предлагающий альтернативный набор методов для работы с датами и временем. API позволяет … Читать далее Опубликована платформа Node.js 26.0.0

Разработчики языка программирования PHP направили в организацию OSI (Open Source Initiative) уведомление о добровольном выводе из обращения лицензии PHP License 3.01. Заявлено, что после нескольких лет работы код инструментария PHP полностью переведён на лицензию BSD-3 и в проекте больше не осталось кода под старой лицензией PHP License 3.01. Текст новой версии лицензии PHP License заменён на копию лицензии BSD-3. Ранее интерпретатор PHP и движок Zend Engine распространялись под разными лицензиями PHP License и Zend Engine License. Переход на общую лицензию BSD-3 упростит условия лицензирования, обеспечит совместимость с GPL и решит давние проблемы, сохранив при этом все права пользователей и разработчиков. … Читать далее Проект PHP перешёл на лицензию BSD-3 и изъял из обращения лицензию PHP License

Опубликован выпуск Unix-подобной операционной системы ToaruOS 2.3, написанной с нуля и поставляемой со своим ядром, загрузчиком, стандартной Си-библиотекой, пакетным менеджером, компонентами пространства пользователя и графическим интерфейсом с композитным оконным менеджером. Изначально проект развивался в Иллинойсском университете как исследовательская работа в области создания новых композитных графических интерфейсов, но затем трансформировался в отдельную операционную систему. Код проекта написан на языке Си и распространяется под лицензией BSD. Для загрузки подготовлен live-образ, размером 7.4 МБ, который можно протестировать в QEMU, VMware или VirtualBox. В основе ToaruOS лежит ядро, использующее гибридную модульную архитектуру, сочетающую монолитную основу и средства для использования загружаемых модулей, в виде которых … Читать далее Выпуск операционной системы ToaruOS 2.3

В пакетных менеджерах Nix и Lix выявлена уязвимость, позволяющая выполнить код с правами фонового процесса, который в NixOS и многопользовательских установках выполняется под пользователем root. Проблема (CVE не присвоен) проявляется в фоновом процессе nix-daemon, применяемом для организации доступа непривилегированных пользователей к сборочным операциям и хранилищу пакетов. Уязвимость возникает из-за отсутствия ограничения рекурсивной обработки директорий в коде для разбора архивов NAR (Nix Archive), что можно использовать для инициирования исчерпания стека сопрограмм и перезаписи содержимого кучи (heap), размещённой после стека без сторожевых страниц памяти. Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, … Читать далее Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе

Опубликован релиз дистрибутива OmniOS Community Edition r151058, основанного на наработках проекта Illumos, продолжающего развитие ядра, сетевого стека, файловых систем, драйверов, библиотек и базового набора системных утилит OpenSolaris. OmniOS примечателен предоставлением поддержки гипервизоров bhyve и KVM, виртуального сетевого стека Crossbow, файловой системы ZFS и средств запуска легковесных Linux-контейнеров. Дистрибутив может применяться для построения масштабируемых web-систем, виртуализации и создания систем хранения. Среди изменений в новом выпуске: Предложены новые фреймворки для поддержки интерфейсов GPIO, I2C и SMBus — в ядро добавлены драйверы i2cnex и kgpio, в пространство пользователя библиотеки libi2c.so.1 и libxpio.so.1, а также утилиты i2cadm и gpioadm. На базе новых фреймворков реализованы … Читать далее Выпуск дистрибутива OmniOS CE r151058, построенного на технологиях OpenSolaris

Представлен релиз HTTP-сервера Apache 2.4.67, в котором устранено 11 уязвимостей и внесено несколько исправлений. Наиболее опасная уязвимость (CVE-2026-23918) вызвана двойным освобождением памяти в модуле mod_http2 и потенциально может привести к удалённому выполнению кода на сервере через манипуляции с протоколом HTTP/2. Уязвимость проявляется только в выпуске 2.4.66. Проблеме присвоен уровень опасности 8.8 из 10. Ещё одна уязвимость (CVE-2026-24072) с уровнем опасности 8.8 присутствует в модуле mod_rewrite и позволяет локальным пользователям хостинга, имеющим право создавать файлы «.htaccess», прочитать содержимое любых файлов в системе с привилегиями пользователя под которым запущен процесс httpd. Менее опасные уязвимости: CVE-2026-28780 — переполнение буфера в mod_proxy_ajp, которое может … Читать далее В Apache httpd 2.4.67 устранена уязвимость в HTTP/2, не исключающая удалённое выполнение кода

Компания Amazon представила движок безопасного исполнения скриптов REX (Trusted Remote Execution), допускающий только разрешённые для каждого конкретного скрипта операции. Например, если скрипт рассчитан на разбор логов, то ему будет предоставлен только доступ на чтение лога, а несанкционированные попытки удаления или изменения файлов заблокируются. Код REX написан на языке Rust и открыт под лицензией Apache 2.0. REX может применяться для контроля и ограничения операций, выполняемых скриптами, генерируемыми AI-агентами в процессе выполнения запросов системной автоматизации. При помощи REX владелец хоста может блокировать выполнение нецелевых действий и управлять тем, какие именно операции разрешены, независимо от запросов, поступающих AI-агенту. Подобный подход даёт возможность защититься … Читать далее Amazon опубликовал REX, среду для контролируемого выполнения скриптов

Автор открытого редактора кода Notepad++ обратил внимание на появление неофициального порта «Notepad++ for macOS«, использующего без разрешения товарный знак Notepad++ и логотип проекта. Порт не имеет никакого отношения к основному проекту, но на своём сайте копирует оформление официального сайта Notepad++, использует на странице загрузки название «Notepad++ 1.0.5», а на странице с информацией о проекте упоминает создателя Notepad++ среди автора порта. По мнению создателя Notepad++ подобные действия вводят пользователей в заблуждение и создают впечатление, что порт для macOS является частью официального проекта, созданного при участии и с ведома автора Notepad++. Код порта написан сторонним энтузиастом с использованием AI-ассистента Claude. В репозитории … Читать далее Автор Notepad++ потребовал переименовать порт для macOS из-за нарушения товарного знака

Опубликован выпуск проекта Dropbear 2026.90, развивающего сервер и клиент SSH, получивший распространение в беспроводных маршрутизаторах и компактных дистрибутивах, подобных OpenWrt. Dropbear отличается низким потреблением памяти, возможностью отключения лишней функциональности на этапе сборки и поддержкой сборки клиента и сервера в одном исполняемом файле по аналогии с busybox. При статическом связывании с uClibc исполняемый файл Dropbear занимает всего 110kB. Dropbear поддерживает перенаправление X11, совместим с файлом ключей OpenSSH (~/.ssh/authorized_keys) и может создавать мультисоединения с пробросом через транзитный хост. Код проекта написан на языке Си и распространяется под лицензией, близкой к MIT. В новой версии исправлено несколько проблем с безопасностью: Неполное устранение в … Читать далее Выпуск Dropbear SSH 2026.90 с устранением уязвимостей

Опубликован выпуск торрент-клиента qBittorrent 5.2.0, написанного с использованием тулкита Qt и развиваемого в качестве открытой альтернативы µTorrent, приближенной к нему по интерфейсу и функциональности. Среди возможностей qBittorrent: интегрированный поисковый движок, возможность подписки на RSS, поддержка многих BEP-расширений, удалённое управление через web-интерфейс, режим последовательной загрузки в заданном порядке, расширенные настройки для торрентов, пиров и трекеров, планировщик пропускной способности и IP-фильтр, интерфейс для создания торрентов, поддержка UPnP и NAT-PMP. Код проекта написан на языке С++ и распространяется под лицензией GPLv2+. Сборки формируются для Linux, Windows и macOS. Среди изменений: Предоставлена возможность настройки цветов панелей с прогрессом загрузки и картой загрузки. Добавлена опция … Читать далее Выпуск qBittorrent 5.2.0

Разработчики проекта VideoLAN опубликовали первый предварительный выпуск библиотеки dav2d с реализацией альтернативного свободного декодировщика формата кодирования видео AV2. Код проекта написан на языке Си с ассемблерными вставками и распространяется под лицензией BSD. Реализована поддержка архитектур x86, x86_64, ARM64, Loongarch, PPC и RISC-V. Dav2d оптимизирован для достижения максимальной производительности и заявлен как самый быстрый из существующих декодировщиков AV2 для всех поддерживаемых платформ. Предполагается, что предложенная в dav2d программная реализация AV2 позволит компенсировать отсутствие аппаратных декодировщиков на ранней стадии продвижения кодека AV2. По своим целям и архитектуре новая библиотека dav2d напоминает существующий проект dav1d и отличается реализацией кодека AV2 вместо AV1. Некоторые … Читать далее Проект VideoLAN опубликовал dav2d, декодировщик для видео в формате AV2

Доступен релиз проекта Brython 3.14.1 (Browser Python) с реализацией языка программирования Python 3 для web-браузеров, позволяющей использовать Python вместо JavaScript для разработки скриптов для Web. Код проекта написан на языке Python и распространяется под лицензией BSD. Подключив библиотеки brython.js и brython_stdlib.js, web-разработчик может использовать язык Python для определения логики работы сайта на стороне клиента, применяя Python вместо JavaScript. Для включения Python-кода на страницы используется тег ‹script› с mime-типом «text/python». Допускается как встраивание кода на страницу, так и загрузка внешних скриптов (‹script type=»text/python» src=»test.py»›). Из скрипта предоставляется полный доступ к элементам и событиям DOM. Помимо доступа к стандартной библиотеке Python предлагаются … Читать далее Выпуск Brython 3.14.1, реализации языка Python для web-браузеров

Представлен релиз консольной пошаговой однопользовательской стратегической игры NetHack 5.0.0, реализованной в жанре Roguelike и предлагающей проходить динамически генерируемые подземные лабиринты, сражаясь с монстрами, находя артефакты и прокачивая свои возможности. Успешному прохождению уровней способствует изучение исходных текстов игры и обсуждение стратегии прохождения с другими игроками. Игра развивается с 1987 года. Прошлый значительный выпуск NetHack 3.6.0 был сформирован в 2015 году. Код написан на языке Си и распространяется под открытой лицензией NetHack. В новой версии предложено более 3100 исправлений и изменений, проведена значительная чистка кодовой базы, усовершенствована архитектура и переделан сборочный процесс. Код игры доведён до соответствия стандарту C99. Обеспечена поддержка кросс-компиляции … Читать далее Релиз классической игры NetHack 5.0.0

Разработчики дистрибутива Linux Mint начали публикацию обновлённых iso-образов, поставляемых с более новыми версиями ядра Linux. Для выпущенной в январе версии Linux Mint 22.3, изначально поставляемой с ядром 6.14, опубликовано HWE-обновление (Hardware Enablement) с версией ядра 6.17, перенесённой из Ubuntu 24.04.4 LTS. Предполагается, что публикация подобных промежуточных обновлений iso-образов решит возникающие у пользователей проблемы с поддержкой нового оборудования, на фоне продления цикла подготовки релизов и решении опубликовать следующий выпуск Linux Mint в конце декабря 2026 года, а не вначале сентября. Источник: http://www.opennet.ru/opennews/art.shtml?num=65350 Читать далее Linux Mint начал публиковать HWE-сборки с более новым ядром

Национальная служба здравоохранения Великобритании готовится закрыть доступ к почти всем своим репозиториям с открытым кодом в ответ на появление новых рисков, связанных с безопасностью. Подобные риски вызваны значительным прогрессом возможностей по выявлению уязвимостей при помощи больших языковых моделей, таких как Claude Mythos. Теренс Иден (Terence Eden), участвовавший в продвижения отрытых стандартов и открытого ПО в госучреждениях Великобритании, считает решение ошибочным и противоречащим действующему в Великобритании регламенту «Tech Code of Practice«, предписывающему применение открытых моделей разработки и использование отрытого кода. По мнению Теренса, риск переоценён и для большинства репозиториев, доступ к которым намерены ограничить, сканирование AI-инструментами не создаёт новых угроз безопасности, … Читать далее Служба здравоохранения Великобритании намерена закрыть свои репозитории с открытым кодом из-за AI

Состоялся первый публичный релиз мультимедийной библиотеки LDL (Little DirectMedia Layer), позволяющей создавать графические приложения, способные работать, как на современных, так и на устаревших системах (Windows 95+, дистрибутивы с ядром Linux 2.0+, FreeBSD 3.0+). Предоставляется простой кроссплатформенный API для управления окнами и обработки событий с устройств ввода. Для отрисовки может использоваться OpenGL 1.0-4.6. Код поставляется под лицензией LGPL 3.0. Выпуск примечателен переходом с использования языка C++98 на язык ANSI C (C89) для обеспечения максимальной переносимости и совместимости со старыми компиляторами и платформами, включая DOS, Windows 95 и PlayStation 1. Проект планируют развиваться постепенно — в первой версии предложены возможности для работы … Читать далее Релиз мультимедийной библиотеки LDL 0.1, оптимизированной для маломощных систем

Опубликован очередной еженедельный отчёт о разработке KDE, в котором представлены изменения для ветки KDE Plasma 6.7, релиз которой ожидается в июне. Несколько дней назад ветка KDE Plasma 6.7 переведена на стадию мягкой заморозки, на которой прекращён приём новых возможностей и внимание разработчиков переключено на оттачивание функциональности перед релизом и завершение принятия в ветку ранее намеченных изменений. Среди принятых за неделю изменений: Добавлена поддержка портала (xdg-desktop-portal) «Background apps» (org.freedesktop.background.Monitor), позволяющего графическим приложениям переходить в фоновый режим со скрытием окон, оставляя лишь индикатор о своём состоянии в системном лотке. Добавлена поддержка второй версии портала org.freedesktop.impl.portal.InputCapture, применяемого для организации доступа к захвату ввода … Читать далее Ветка KDE Plasma 6.7 перешла на стадию мягкой заморозки

Опубликован экспериментальный выпуск открытой реализации Win32 API — Wine 11.8. С момента выпуска 11.7 было закрыто 22 отчёта об ошибках и внесено 239 изменений. Наиболее важные изменения: Движок Wine Mono обновлён до выпуска 11.1.0. Wine Mono представляет собой дистрибутив Framework Mono, предназначенный для использования в Wine вместо проприетарного компонента .NET Framework. Улучшена поддержка раскладок клавиатуры, используя библиотеку libxkbregistry. Продолжена работа над реализацией библиотеки msxml (Microsoft XML Core Services), не использующей libxml2. Улучшена совместимость с VBScript. Закрыты отчёты об ошибках, связанные с работой приложений: Visio 2013, Hoot Sound Hardware Emulator, Altium Designer 18.x-20.x, Enigma Virtual Box, PLSQL Developer, ExamDiffPro. Закрыты отчёты … Читать далее Доступны Wine 11.8, Wine-staging 11.8 и Proton-CachyOS 11