В почтовом сервере Exim выявлена критическая уязвимость (CVE-2026-45185), позволяющая удалённо добиться выполнения кода на сервере. Проблема проявляется начиная с ветки Exim 4.97 при сборке с библиотекой GnuTLS («USE_GNUTLS=yes») и устранена в выпуске Exim 4.99.3. Сборки с OpenSSL и другими библиотеками, отличными от GnuTLS, уязвимость не затрагивает. Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS и может быть эксплуатирована при обращении к серверам, поддерживающим расширение «ESMTP CHUNKING» и команду BDAT для передачи порциями тела письма вместо передачи неделимым блоком при помощи команды DATA. Повреждение содержимого памяти процесса возникает при инициировании клиентом преждевременного завершения сеанса TLS при помощи … Читать далее Уязвимость в Exim, приводящая к удалённому выполнению кода на сервере

Опубликован выпуск приложения Scrcpy 4.0, позволяющего отзеркалить содержимое экрана смартфона в стационарном пользовательском окружении с возможностью управлять устройством, удалённо работать в мобильных приложениях с использованием клавиатуры и мыши, просматривать видео и прослушивать звук. Клиентские программы для управления смартфоном подготовлены для Linux, Windows и macOS. Код проекта написан на языке Си (мобильное приложение на Java) и распространяется под лицензией Apache 2.0. Подключение смартфона может быть произведено через USB или TCP/IP. На смартфоне запускается серверное приложение, которое взаимодействует с внешней системой через туннель, организуемый при помощи утилиты adb. Наличие root-доступа к устройству не требуется. Серверное приложение генерирует видеопоток (на выбор H.264, H.265 … Читать далее Выпуск Scrcpy 4.0, приложения для зеркалирования экрана Android-смартфона

Компания AMD раскрыла сведения об уязвимости (CVE-2025-54518) в процессорах на базе микроархитектуры Zen 2, вызывающей повреждение кэша объектных кодов. Успешная эксплуатация уязвимости позволяет выполнить инструкции CPU на более высоком уровне привилегий. На практике, проблема потенциально позволяет повысить свои привилегии в системе, например, из пространства пользователя добиться выполнения кода с правами ядра или получить доступ к хост-окружению из виртуальной машины. Уязвимость выявлена сотрудниками AMD, детали эксплуатации пока не приводятся. Заявлено, что проблема вызвана некорректной изоляцией совместно используемых ресурсов при выполнении операций с кэшем объектных кодов CPU. Через повреждение элементов в кэше атакующий может добиться изменения инструкций, выполняемых на другом уровне привилегий. … Читать далее Уязвимость в CPU AMD Zen 2, позволяющая повысить привилегии и обойти изоляцию виртуальных машин

Компания Google анонсировала ноутбуки Googlebook, поставляемые с редакцией платформы Android, развиваемой под кодовым именем Aluminium и сочетающей возможности Android и ChromeOS. Серия Googlebook идёт на смену устройствам Chromebook с операционной системой ChromeOS, сопровождение которых продлится до 2034 года. Время поступления в продажу первых моделей Googlebook не уточняется, указано лишь, что работа по их созданию ведётся с индустриальными партнёрами Acer, ASUS, Dell, HP и Lenovo. Заявлено, что все модели будут созданы с использованием премиальных материалов и представлены в различных формах и размерах. Общей отличительной чертой устройств GoogleBook станет светящаяся индикаторная полоса на крышке. Интерфейс пользователя основан на развиваемом в ветке Android … Читать далее Google представил ноутбуки Googlebook, поставляемые с платформой Android

В результате компрометации процесса формирования релизов на базе GitHub Actions в проекте TanStack атакующим удалось опубликовать в репозитории NPM 84 вредоносные версии, охватывающие 42 NPM-пакета из стека TanStack. Некоторые из скомпрометированных пакетов насчитывали более 10 миллионов загрузок в неделю. Доступ к публикации релизов был получен из-за неверной настройки pull_request_target «Pwn Request» в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/‹pid›/mem. NPM-пакеты с вредоносными изменениями были опубликованы 11 мая с 22:20 до 22:26 (MSK), замечены … Читать далее В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь

В пакете Dnsmasq, объединяющем кэширующий DNS-резолвер, сервер DHCP, сервис для анонсов маршрутов IPv6 и систему загрузки по сети, выявлено 6 уязвимостей, позволяющих выполнить код с правами root, перенаправить домен на другой IP, определить содержимое памяти процесса и вызвать аварийное завершение сервиса. Проблемы устранены в выпуске dnsmasq 2.92rel2. Исправления также доступны в форме патчей. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, FreeBSD. Выявленные проблемы: CVE-2026-4892 — переполнение буфера в реализации DHCPv6, позволяющее атакующему, имеющему доступ к локальной сети, выполнить … Читать далее Уязвимости в dnsmasq, допускающие отравление DNS-кэша и выполнение кода с правами root

Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, подвёл итог применения AI-модели Claude Mythos для анализа уязвимостей в кодовой базе Curl. По мнению Дэниела, анонсированные компанией Anthropic прорывные возможности AI-модели Claude Mythos в области поиска уязвимостей, из-за которых компания ограничила доступ к модели, являются скорее маркетинговым приувеличением, так как при проверке кода Curl модель не показала существенных преимуществ по сравнению с AI-продуктами от других производителей. При этом Дэниел признал значительное повышение качества работы современных AI-анализаторов кода, которые превосходят традиционные статические анализаторы, умеют выявлять несоответствие кода описанию из комментариев, исследовать проблемы в сторонних зависимостях, учитывать … Читать далее AI-модель Claude Mythos не продемонстрировала особых достижений при поиске уязвимостей в Curl

Руководитель компании GitLab опубликовал обращение к клиентам и акционерам, в котором объявил о грядущем сокращении персонала и реструктуризации компании для перехода в «эру AI-агентов», в которой код будет создаваться, рецензироваться, исправляться и развёртываться при помощи AI, а люди сохранят за собой функции принятия решений и управления архитектурой. Предполагается, что создание программного обеспечения помощи AI-агентов значительно снизит стоимость и время разработки, и приведёт к увеличению числа создаваемых программных продуктов. Число увольняемых сотрудников не уточняется, но упоминается, что компания намерена уйти из 30% стран, где присутствовали небольшие команды сотрудников и переложить обслуживание клиентов в этих странах на партнёрскую сеть. Также планируют упростить … Читать далее GitLab объявил о сокращении персонала, реструктуризации и подготовке к эре AI-агентов

Компания NVIDIA опубликовала первый выпуск инструментария CUDA-oxide, позволяющего создавать на языке Rust параллельно исполняемые в GPU ядра CUDA SIMT (Single Instruction, Multiple Threads). Проект позволяет компилировать код на языке Rust, использующий штатную систему типов и модель владения Rust, напрямую в инструкции для выполнения в виртуальной машине CUDA PTX (Parallel Thread Execution) без применения промежуточных предметно-ориентированных языков (DSL) и обвязок. Код инструментария написан на языке Rust и распространяется под лицензией Apache 2.0. Первый выпуск позиционируется как начальная альфа-версия. Инструментарий включает в себя: Бэкенд генерации кода для компилятора rustc, позволяющий компилировать функции с атрибутом «#[kernel]» в параллельно исполняемые на GPU ядра в … Читать далее NVIDIA опубликовала CUDA-oxide, компилятор из Rust в CUDA

Опубликованы корректирующие выпуски инструментария Tor 0.4.8.25 и 0.4.9.8, используемого для организации работы анонимной сети Tor. В релизе Tor 0.4.9.8 устранено 6 уязвимостей: TROVE-2026-011 — ошибка, приводившая к чтению данных из области за границей буфера при обработке специально оформленных сообщений (cell) END, TRUNCATE и TRUNCATED; TROVE-2026-008 — неправильная обработка сообщений BEGIN_DIR при использовании механизма conflux. TROVE-2026-010 — в механизме conflux при очистке очереди неупорядоченных сообщений неверно пересчитывались счётчики и переменные состояния. TROVE-2026-009 — аварийное завершение клиента, вызванное двойным закрытием цепочки при условии нехватки свободной памяти для работы очередей цепочек. TROVE-2026-006 — разыменование нулевого указателя, которое может произойти при обработке специально оформленного … Читать далее Обновления Tor 0.4.8.25 и 0.4.9.8 с устранением уязвимостей. Выпуск Arti 2.3.0

После двух с половиной лет разработки и почти семи лет с прошлого значительного выпуска опубликован релиз редактора изображений Photoflare 1.7.0, разработчики которого пытаются найти оптимальный баланс между функциональностью и удобством интерфейса. Изначально проект был основан как попытка создания открытой и многоплатформенной альтернативы Windows-приложению PhotoFiltre. Код проекта написан на языке С++ с использованием библиотеки Qt и распространяется под лицензией GPLv3. Готовые сборки сформированы в формах AppImage и Flatpak. Программа ориентирована на широкий круг пользователей и предоставляет типовые возможности для редактирования изображений, рисования кистями, наложения фильтров, применения градиентов и корректировки цвета. Поддерживается обработка группы изображений в пакетном режиме. Например Photoflare позволяет изменять … Читать далее Выпуск редактора изображений Photoflare 1.7.0

Компания Google объявила о расширении программы выплаты вознаграждений за выявление уязвимостей в платформе Android, браузере Chrome и лежащих в их основе компонентах. Максимальный размер премии за создание экплоита для платформы Android, позволяющего добиться выполнения кода на уровне чипа Pixel Titan M2 без выполнения специальных действий пользователем (zero-click), установлен в 1.5 миллиона долларов, если атакующему удастся закрепиться в системе, и 750 тысяч долларов для атак, не устанавливающих постоянный контроль над системой. Дополнительно учреждены премии за извлечение защищённых конфиденциальных данных (до $375 тысяч) и программный обход экрана блокировки (до $150 тысяч). Максимальный размер вознаграждения за создание эксплоита для Chrome, позволяющего при открытии … Читать далее Google увеличил вознаграждение за выявление уязвимостей в Android до $1.5 млн, а в Chrome — до $500 тысяч

Компания Google анонсировала новое поколение системы отсеивания ботов reCAPTCHA, применяемой на многих сайтах для проверки обращения человеком. В новой реализации reCAPTCHA вместо выбора картинок, соответствующих заданному вопросу, применяется подтверждение через сканирование QR-кода смартфоном. Проблема в том, что в числе требований к смартфонам, которые могут использоваться для прохождения капчи, заявлены относительно новые версии iPhone/iPad, а также устройства с платформой Android c установленным проприетарным пакетом Google Play Services. Устройства iPhone/iPad с iOS до версии 16.4, а также смартфоны с альтернативными прошивками на базе Android, поставляемые без сервисов Google (например, GrapheneOS), пройти новую капчу не смогут. Суть метода на основе QR-кода в подтверждении … Читать далее Новый reCAPTCHA не позволит пройти проверку на Android-устройствах без сервисов Google

Компания Microsoft опубликовала ежемесячное обновление дистрибутива Azure Linux 3.0.20260506. Дистрибутив развивается в качестве универсальной базовой платформы для Linux-окружений, используемых в облачной инфраструктуре, edge-системах и различных сервисах Microsoft. Собственные наработки проекта распространяются под лицензией MIT. Сборки пакетов формируются для архитектур aarch64 и x86_64. Размер установочного образа 770 МБ. Среди изменений в новой версии: В репозиторий (SPECS и SPECS-EXTENDED) добавлены пакеты ignition и rust-afterburn. Пакет с сетевым анализатором Wireshark пересобран с поддержкой языка Lua. При сборке пакета с ядром для архитектуры arm64 включён параметр CONFIG_IKCONFIG_PROC, включающий возможность получения доступа к сборочной конфигурации текущего ядра через файл /proc/config.gz. Улучшена поддержка live-миграции в QEMU. … Читать далее Microsoft опубликовал дистрибутив Azure Linux 3.0.20260506

Команда, отвечающая за формирование релизов Debian, объявила о переводе воспроизводимой пересборки пакетов в число обязательных возможностей. Вчера в сборочную систему внесены изменения, блокирующие перенос в репозиторий новых пакетов, не поддерживающих воспроизводимую сборку. В репозитории testing также запрещено обновление существующих пакетов, в которых выявлены регрессии с воспроизводимостью сборки. В Debian 13, насчитывающем 36427 исходных пакетов, поддержка повторяемых сборок составляет 96.9% для архитектуры x86_64 и 96.8% для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён в 94.5% для архитектуры ARM64 и 75.7% для x86_64 при пересборке 37809 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 1141 пакета … Читать далее В Debian утверждена обязательная поддержка воспроизводимых сборок пакетов

Представлен выпуск Nocturne 1.0, музыкального проигрывателя с возможностями управления музыкальной библиотекой и подключения к сетевым музыкальным сервисам. Код проекта написан на языке Python с использованием виджетов libadwaita и мультимедийной библиотеки gstreamer, и распространяется под лицензией GPLv3. Готовые сборки доступны в формате Flatpak. Основные возможности: Поддержка воспроизведения локальных файлов, а также музыки из потоковых сервисов и интернет-радио. Управление музыкальной библиотекой с использованием музыкального сервера Navidrome и возможностью группировки по альбомам, музыкантам и спискам воспроизведения. Наличие визуализатора звука и эквалайзера. Автоматическая загрузка и отображение текстов песен для проигрываемых композиций. Режим караоке с симуляцией пословного показа лирики. Возможность обращения к внешним музыкальным библиотекам … Читать далее Опубликован музыкальный проигрыватель Nocturne 1.0

Представлен первый бета выпуск языка программирования Mojo 1.0, который ознаменовал стабилизацию языка и реализацию всех базовых возможностей. Выпуск оценивается как почти готовый к повсеместному использованию. Финальный релиз Mojo 1.0 ожидается в начале осени. Использование данной ветки позволит начать разрабатывать крупные проекты, не опасаясь появления в языке изменений, нарушающих совместимость. В состав платформы включены компоненты, необходимые для разработки приложений на языке Mojo, включая компилятор, runtime, интерактивную REPL-оболочку для сборки и запуска программ, отладчик, дополнение к редактору кода Visual Studio Code (VS Code) с поддержкой автодополнения ввода, форматирования кода и подсветки синтаксиса, модуль для интеграции с Jupyter для сборки и запуска Mojo … Читать далее Бета-выпуск языка программирования Mojo 1.0

Опубликован проект lay, помогающий исправлять слова, набранные с использованием не той раскладки клавиатуры, в GNOME-окружении на базе Wayland. Утилита исправляет последнее слово, набранное в неправильной русской или английской раскладке, по двойному нажатию клавиши Shift. Код написан на языке Rust и распространяется под лицензией MIT. На данной стадии развития программа имеет качество бета-версии — приветствуется отправка отчётов об ошибках.. Основной сценарий использования: пользователь набрал, например, «ghbdtn» вместо «привет», нажал Shift два раза, и слово перепечатывается в другой раскладке. Замена осуществляется по месту, без копирования текста через буфер обмена (программа симулирует нажатие клавиши Backspace для затирания ошибочно введённого слова и затем повторяет … Читать далее Выпуск lay, автокорректора слов, введённых не в той раскладке, для GNOME c Wayland

Доступен композитный сервер Hyprland 0.55, использующий протокол Wayland. Проект ориентирован на мозаичную (tiling) компоновку окон, но поддерживает и классическое произвольное размещение окон, группировку окон в форме вкладок, псевдомозаичный режим и полноэкранное раскрытие окон. Код написан на языке С++ и распространяется под лицензией BSD. Предоставляются возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки … Читать далее Выпуск композитного сервера Hyprland 0.55

Опубликован очередной еженедельный отчёт о разработке KDE, в котором представлены изменения для ветки KDE Plasma 6.7, релиз которой ожидается в июне. Ветка KDE Plasma 6.7 находится на стадии мягкой заморозки. Среди принятых за неделю изменений: Решено включить в состав KDE Plasma 6.7 новый движок стилей Union, но пока не ясно будет ли он активирован по умолчанию или останется в форме опции, включаемой в настройках. Union предоставляет унифицированную систему обработки стилей, позволяющую использовать разные технологии стилевого оформления приложений, доступные в KDE. Движок состоит из трёх слоёв: входного, промежуточного и выходного. Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов … Читать далее В KDE ускорена программная отрисовка и реализован новый движок стилей Union

Во FreeBSD выявлена уязвимость (CVE-2026-7270), позволяющая непривилегированному пользователю выполнить код с правами ядра и получить root-доступ к системе. Уязвимость затрагивает все выпуски FreeBSD, сформированные с 2013 года. В открытом доступе размещён эксплоит, работа которого проверена на системах с FreeBSD 11.0 по 14.4. Уязвимость устранена в обновлениях FreeBSD 15.0-RELEASE-p7, 14.4-RELEASE-p3, 14.3-RELEASE-p12 и 13.5-RELEASE-p13. Для более старых веток можно использовать патч. Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, «#!/bin/sh»). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер … Читать далее Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD