В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка. Уязвимость также проявляется в форках библиотеки async-tar, таких как tokio-tar, krata-tokio-tar и astral-tokio-tar, а также в утилитах на их основе, например, в пакетном менеджере uv, развиваемом в качестве высокопроизводительной замены «pip» для проектов на языке Python. Из популярных проектов, использующих уязвимые библиотеки, также … Читать далее Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.2.4, в котором устранено 8 уязвимостей, подробности о которых пока не раскрываются. Указано только, что наиболее серьёзная проблема имеет уровень опасности 8.2 из 10. Кроме уязвимостей в новой версии представлено 6 изменений: В дополнениях для гостевых систем и хост-окружений с Linux реализована начальная поддержка ядра Linux 6.18. В дополнения для гостевых систем с Linux внесены исправления для поддержки пакетов с ядром из состава RHEL 9.6 и 9.7. В дополнениях для гостевых систем с Windows исправлены проблемы, возникающие при установке в гостевом окружении Windows XP SP2. Устранено аварийное завершение менеджера виртуальных машин при … Читать далее Обновление VirtualBox 7.2.4 с устранением уязвимостей

В кодовую базу ядра Linux, на основе которой формируется релиз 6.18, принята реализация механизма межпроцессного взаимодействия Binder, написанная на языке Rust. Binder используется в Android для организации коммуникаций между процессами и удалённого вызова методов (один процесс Android может вызвать метод или функцию в другом процессе Android, используя Binder для идентификации, вызова и передачи аргументов между процессами). Код Binder был переписан на Rust в рамках проекта по усилению защищённости, продвижению приёмов безопасного программирования и повышению эффективности выявления проблем при работе с памятью в Android (около 70% из всех опасных уязвимостей, выявленных в Android, вызваны ошибками при работе с памятью). Использование Rust … Читать далее В ядро Linux 6.18 принята реализация Binder IPC для Android, написанная на Rust

После четырёх месяцев разработки опубликован релиз среды рабочего стола KDE Plasma 6.5. Для оценки работы новых выпусков KDE можно воспользоваться сборками от проектов KDE Neon и openSUSE (Argon, основанный на openSUSE Leap, и Krypton, основанный на openSUSE Tumbleweed). Основные изменения в KDE Plasma 6.5: При использовании темы оформления Breeze окна теперь отрисовываются в KWin со скруглёнными нижними углами (ранее были скруглены лишь верхние углы, а нижние оставались прямыми). Новый вид окон предложен по умолчанию, но при желании может быть отключён в настройках. Добавлена поддержка динамических обоев рабочего стола, меняющихся в зависимости от времени суток. Идея в том, чтобы в светлое … Читать далее Релиз среды рабочего стола KDE Plasma 6.5

Компании Intel и AMD совместно развивают расширенный набор инструкций ChkTag (x86 Memory Tagging), который будет стандартизирован для унифицированной реализации в x86-процессорах различных производителей. По своим возможностям ChkTag напоминает расширение MTE (MemTag), уже поставляемое в процессорах ARM, и также позволяет блокировать эксплуатацию уязвимостей, вызванных обращением к уже освобождённым блокам памяти, переполнением буфера или обращением к памяти до инициализации. ChkTag предлагает новые процессорные инструкции, позволяющие на аппаратном уровне привязать теги к областям в памяти и организовать проверку корректности использования указателей. Заявлено, что применение данных инструкций компиляторами позволит обеспечить безопасную работу с памятью без снижения производительности приложений. При этом использующие ChkTag приложения останутся … Читать далее Intel и AMD стандартизируют механизм ChkTag для защиты от уязвимостей при работе с памятью

После почти трёх лет разработки опубликован релиз Supertuxkart 1.5, свободной гоночной игры с большим количеством картов, трасс и возможностей. Код игры распространяется под лицензией GPLv3. Бинарные сборки доступны для Linux, Android, Windows и macOS. В новом выпуске: Предложены три новые задачи поиска артефактов на треках Черный Лес (Black Forest), Райский остров (Gran Paradisio Island) и Старая Шахта (Old Mine). Для многопользовательской игры с гонками по футбольным полям добавлены три новых поля Oasis, Hole Drop и XR-4R3N4. В пользовательском интерфейсе предоставлена возможность изменения размера окна с игрой. Настройки с типовыми размерами, переключателем полноэкранного режима и параметрами камеры перенесены в новую вкладку … Читать далее Выпуск свободной гоночной игры SuperTuxKart 1.5

В кодовую базу, на основе которой формируется выпуск Mesa 25.3, приняты изменения, существенно увеличивающих скорость работы движка выполнения больших языковых моделей Llama.cpp при использовании Vulkan-бэкенда на системах с GPU AMD и Mesa-драйвером RADV. Оптимизированный драйвер RADV в некоторых тестах llama-bench стал быстрее проприетарного драйвера AMDVLK и стека ROCm на 31% при обработке запросов (тесты «pp» — prompt processing) и на 4% при генерации токенов (тесты «tg» — token generation). Оптимизацию выполнил Рис Перри (Rhys Perry) из компании Valve, участвующий в разработке драйвера Vulkan RADV и компилятора шейдеров ACO. Источник: http://www.opennet.ru/opennews/art.shtml?num=64086 Читать далее Разработчик из Valve оптимизировал драйвер RADV для работы с Llama.cpp

Намджэ Чон (Namjae Jeon), участник проекта Samba, сопровождающий драйвер EXFAT и сервер KSMBD в ядре Linux, предложил включить в ядро новую реализацию файловой системы NTFS — ntfsplus. Предполагается, что более качественный и сопровождаемый NTFS-драйвер позволит улучшить совместимость Linux-систем с Windows-устройствами и упростить работу пользователей. В текущем виде поддержка NTFS в Linux ограничена старым NTFS-драйвером, удалённым из ядра Linux и поддерживавшим только чтение, а также нынешним драйвером NTFS3, у которого имеется много проблем, остающихся нерешёнными из-за плохого сопровождения. Из-за подобных проблем многие пользователи и дистрибутивы продолжают применять старый драйвер ntfs-3g, работающий в пространстве пользователя. В качестве основы драйвера ntfsplus использована кодовая … Читать далее Для ядра Linux предложен драйвер ntfsplus с новой реализацией NTFS

Опубликован первый отдельный выпуск браузероного движка Servo, написанного на языке Rust. До сих пор проектом формировались только ночные сборки. В примечании к выпуску отмечено только то, что по функциональности он аналогичен ночной сборке от 19 октября, для которой проведено дополнительное ручное тестирование. Выпуск также ознаменовал начало формирования сборок для систем Apple с macOS на базе процессоров с архитектурой ARM. Готовые сборки предоставлены для Linux, Android, macOS и Windows. Движок изначально развивался компанией Mozilla, но затем перешёл под покровительство организации Linux Foundation. Servo отличается поддержкой многопоточного рендеринга web-страниц, распараллеливанием операций с DOM (Document Object Model) и задействованием предоставляемых языком Rust механизмов … Читать далее Выпуск браузерного движка Servo 0.0.1

Вице-президент Google, курирующий проект Privacy Sandbox, объявил о сворачивании разработки и исключении из Chrome и Android части технологий, развиваемых для достижения компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей. Большинство API, разработанных проектом Privacy Sandboх, предназначались для использования вместо сторонних Cookie, поддержку которых планировали прекратить в Chrome. Изначально блокировку сторонних Cookie по умолчанию планировалось реализовать до 2022 года, но блокировка из года в год откладывалась из-за сопротивления отрасли и низкого уровня внедрения технологий, разработанных для замены методов отслеживания пользователей на основе Cookie. Весной этого года компания Google решила отказаться от данной инициативы и … Читать далее Chrome и Android прекратят использование многих технологий, созданных проектом Privacy Sandbox

Компания Аскон, занимающаяся разработкой САПР с 1989 года, объявила о проведении открытого бета-тестирования версии системы автоматизированного проектирования КОМПАС-3D для платформы Linux. Продукт предназначен для двухмерного и трёхмерного проектирования деталей, механизмов и конструкций, применяемых в машиностроении, приборостроении и строительстве. Поддерживается параметрическое моделирование и режимы объектного, листового, поверхностного и твердотельного проектирования. Ранее продукт выпускался только для Windows, но официально поддерживался запуск в Linux при помощи Wine. Предлагаемый для тестирования вариант примечателен переходом на использование нативной поддержки, работающей без прослоек и собираемой для Linux. Тестирование, которое продлится до 30 ноября, охватывает продукты КОМПАС-3D и КОМПАС-График 24 со всеми базовыми САПР-инструментами, а также приложения … Читать далее Началось бета-тестирование Linux-версии проприетарной САПР КОМПАС-3D

Официальный сайт дистрибутива Xubuntu скомпрометирован неизвестными злоумышленниками, которые на странице загрузки дистрибутива поменяли ссылки, ведущие на торренты, на файл «https://xubuntu.org/wp-content/Xubuntu-Safe-Download.zip». В итоге на странице загрузки остались только ссылки на вредоносный архив и доступные зеркала. Разработчики Xubuntu пока не прокомментировали ситуацию, но несколько часов назад удалили вредоносный архив и заблокировали доступ к разделу «xubuntu.org/download/», организовав перенаправление на главную страницу сайта. Сервисом archive.org копии xubuntu.org были сделаны 11 и 18 октября — 11 октября страница ещё не была изменена, а 18 октября на странице уже имеется вредоносное изменение. Зеркала проекта, через которые распространяются iso-образы, судя по предварительному анализу контрольных сумм, не пострадали. … Читать далее Взлом сайта Xubuntu с заменой ссылок на странице загрузки на вредоносное ПО

Состоялся релиз Node.js 25.0.0, платформы для выполнения сетевых приложений на языке JavaScript. Node.js 25.0 отнесён к промежуточным веткам, сопровождение которых осуществляется в течение 7 месяцев (до июня 2026 года). В ближайшие дни будет завершена стабилизация ветки Node.js 24, которая в конце октября получит статус LTS и будет поддерживаться до апреля 2028 года. Поддержка прошлых LTS-веток Node.js 22.x и 20.x продлится до апреля 2027 и 2026 годов соответственно. Основные улучшения: Движок V8 обновлён до версии 14.1, применяемой в Chromium 141. Из улучшений по сравнению с прошлым выпуском Node.js отмечено значительной повышение производительности метода JSON.stringify, оптимизация WebAssembly и JIT, реализация методов для … Читать далее Опубликована платформа Node.js 25.0.0

Нейт Грэм (Nate Graham), разработчик, занимающийся контролем качества в проекте KDE, опубликовал очередной отчёт о разработке KDE. Наиболее заметные изменения, развиваемые для выпуска KDE Plasma 6.6, запланированного на 12 февраля: По умолчанию осуществлён переход на хранение паролей от Wi-Fi в глобальном контексте, доступном только пользователю root, а не в привязке к отдельным пользователям. Изменение позволит новым пользователям сразу начать работу в сети, если в системе ранее уже осуществлялось подключение к Wi-Fi, без необходимости повторного входа. На странице входа также сразу будут работать функции, требующие интернет-подключения, такие как использование учётных записей через LDAP. В виджете с реализацией меню приложений (Application Dashboard) … Читать далее В KDE обеспечено глобальное хранение паролей от Wi-Fi и улучшено меню приложений

Опубликован экспериментальный выпуск открытой реализации Win32 API — Wine 10.17. С момента выпуска 10.16 было закрыто 17 отчётов об ошибках и внесено 367 изменений. Наиболее важные изменения: Движок Wine Mono обновлён до выпуска 10.3.0. Wine Mono представляет собой дистрибутив Framework Mono, предназначенный для использования в Wine вместо проприетарного компонента .NET Framework. Для OpenGL по умолчанию задействован бэкенд отрисовки, использующий EGL. Библиотека COMCTL32 (Common Control) разделена на отдельные модули для версий 5 и 6. В библиотеке odbc32 улучшена поддержка ANSI win32-драйверов, не рассчитанных на работу с Unicode. Реализованы функции SQLDriverConnectA(), SQLSpecialColumnsW(), SQLGetInfoW(), SQLGetInfoW(), SQLStatisticsW() и QLColumnsW(). В библиотеке ntdll для FreeBSD … Читать далее Выпуск Wine 10.17

Юкихиро Мацумото (Yukihiro Matsumoto), создатель языка Ruby, объявил о переводе GitHub-репозитория, в котором развиваются инструментарии RubyGems и Bundler для работы с каталогом пакетов rubygems.org, под управление основной команды разработчиков языка Ruby (Ruby Core Team). Основная команда разработчиков Ruby приняла решение опекать проекты RubyGems и Bundler вместо компании Ruby Central для обеспечения стабильности и преемственности в долгосрочной перспективе. Проекты RubyGems и Bundler являются важными элементами экосистемы Ruby, много лет поставляются вместе с языком Ruby и функционируют как часть стандартной библиотеки. При этом по историческим причинам данные компоненты разрабатывались в отдельном проекте на GitHub. В сентябре управление репозиторием взяла в свои руки … Читать далее Основные разработчики Ruby взяли на себя управление GitHub-репозиторием RubyGems

В ночных сборках Firefox, на основе которых 9 декабря будет сформирован релиз Firefox 146, началось тестирование режима «Split View» для просмотра бок о бок в одном окне двух вкладок. Режим активируется через параметр «browser.tabs.splitView.enabled» на странице about:config, после чего в контекстном меню, показываемом при клике правой кнопкой мыши на вкладках, появится пункт «Add Split View». При нажатии данной опции для отдельной вкладки содержимое окна разделяется на две части и в правой части открывается содержимое страницы новой вкладки. Если выбрать опцию для группы из двух вкладок, указанные вкладки сразу будут раскрыты рядом с друг другом. В режиме «Split View» допускается произвольное … Читать далее В Firefox реализована возможность одновременного просмотра двух вкладок

Инженер из компании Meta в списке рассылки разработчиков ядра Linux обратил внимание на проблему с работой инструкции RDSEED в процессорах AMD на базе микроархитектуры Zen 5. В проведённых тестах инструкция RDSEED, предоставляющая доступ к аппаратному генератору энтропии, в 10% случаев возвращала значение 0 с успешным флагом завершения операции (CF=1). Так как значение 0 также возвращается в случае невозможности вернуть корректное случайное число и подобное состояние выделяется иным значением флага завершения операции (CF=0), предполагается, что в процессорах AMD имеется ошибка, приводящая к неверному определению состояния операции. В ядре Linux инструкция используется как один из элементов для формирования энтропии в программном генераторе … Читать далее В некоторых процессорах AMD Zen 5 генератор случайных чисел RDSEED выдаёт 0 в 10% случаев

После года разработки состоялся релиз стабильной ветки открытой коммуникационной платформы Asterisk 23, используемой для развёртывания программных АТС, систем голосовой связи, VoIP-шлюзов, организации IVR-систем (голосовое меню), голосовой почты, телефонных конференций и call-центров. Исходный код проекта написан на языке Си и доступен под лицензией GPLv2. Asterisk 23 отнесён к категории выпусков с обычной поддержкой, обновления для которых формируются в течение двух лет. Поддержка LTS-ветки Asterisk 20 продлится до октября 2027 года, а Asterisk 22 — до октября 2029 года. Поддержка LTS-ветки 18.x будет прекращена 20 октября. При подготовке LTS-выпусков основное внимание уделяется обеспечению стабильности и оптимизации производительности, приоритетом же обычных выпусков является … Читать далее Релиз коммуникационной платформы Asterisk 23

Компания Google представила открытую платформу Coral NPU (Neural Processing Unit), предлагающую отрытый аппаратный ускоритель моделей машинного обучения и программный инструментарий для его использования с типовыми AI-движками. Coral можно использовать в качестве основы для создания энергоэффективных систем на кристалле (SoC), пригодных для использования в системах интернета вещей, Edge-вычислений и платах сбора информации с датчиков, а также в потребительских носимых устройствах со сверхнизким энергопотреблением, таких как наушники, очки дополненной реальности и умные часы. Наработки проекта распространяются под лицензией Apache 2.0. Coral NPU нацелен на обеспечение выполнения на стороне портативных устройств постоянно работающих AI-приложений с минимальным потреблением энергии. Базовая реализация Coral NPU обеспечивает … Читать далее Google представил Coral NPU, открытую платформу для создания AI-ускорителей

После года разработки опубликован выпуск музыкального проигрывателя Qmmp 2.3. В состав плеера входит два интерфейса: «простой», с использованием стандартных элементов, и «классический», который копирует интерфейс Xmms/Winamp/Audacious. Для вывода звука могут использоваться OSS4 (FreeBSD), ALSA (Linux), Pulse Audio, JACK, QtMultimedia, Icecast, WaveOut (Win32), DirectSound (Win32) и WASAPI (Win32). Код написан на языке C++ с использованием библиотеки Qt и распространяется под лицензией GPLv2. Готовые пакеты сформированы для Ubuntu. Параллельно выпущен набор дополнительных модулей Qmmp Plugin Pack 2.3, в который добавлена экспериментальная поддержка mpv. Среди изменений: Разработка проекта полностью переведена на Qt6 (поддержка Qt5 остаётся в ветке 1.7.x, для которой планируется только исправление … Читать далее Выпуск музыкального проигрывателя Qmmp 2.3