В открытый доступ попал набор данных, в котором были найдены BootROM-ключи для игровой приставки Sony Playstation 5, применяемые для расшифровки и верификации начального загрузчика. При помощи данных ключей можно сформировать изменённый загрузчик, успешно проходящий верификацию, и применить его для запуска модифицированного варианта прошивки или загрузки Linux-дистрибутива вместо штатной прошивки. Ключи также могут способствовать разработке эмуляторов и обходу защиты от запуска пиратских копий игр.
Содержимое BootROM не может быть изменено программно или через обновление прошивки, поэтому уязвимость рассматривается как аппаратная проблема, которая останется во всех уже выпущенных приставках. Устранение проблемы возможно только через выпуск новых APU с новыми BootROM-ключами. Ранее похожие проблемы с ключами уже возникали приставках Nintendo Switch и Sony Playstation 3.
В Sony Playstation 5 используется APU AMD со встроенным сопроцессором PSP (Platform Security Processor), обеспечивающим управление ключами. На первой стадии загрузки запускается доступный только на чтение код из BootROM, использующий корневые ключи для верификации загрузчика по цифровой подписи, жёстко прошитые на этапе производства чипа. Если верификация прошла успешно, на второй стадии запускается загрузчик (Bootloader), который отвечает за запуск и верификацию ядра ОС или гипервизора.
Наличие BootROM-ключей позволяет расшифровать загрузчик, который до этого представлял собой чёрный ящик, и изучить используемые в нём механизмы обеспечения безопасности. Используемые ранее методы компрометации Sony Playstation 5, основанные на поиске уязвимостей в ядре и системных программах, сравниваются с умением взламывать замки, в то время как получение BootROM-ключей преподносится как получение универсального мастер-ключа. При этом BootROM-ключи лишь предоставляют полномочия для запуска кода на стадии загрузчика, но не решают проблему размещения необходимого кода.
Для успешной компрометации приставки требуется дополнительный вектор атаки, позволяющий получить доступ к системе. Для устройств с прошивкой 12.00 в качестве такого вектора может использоваться диск с ретро-игрой "Star Wars: Racer Revenge", содержащей уязвимость в обвязке с эмулятором Sony Playstation 2 (эмулятор используется для запуска игры, изначально созданной в 2002 году для приставок PlayStation 2). В коде загрузки сохранённых игровых сеансов имеется ошибка, приводящая к переполнению буфера при обработке специально оформленных save-файлов. Данное переполнение можно использовать для выполнения кода на уровне системы вне эмулятора.
После года разработки опубликован релиз прокси-сервера Privoxy 4.1.0, предназначенного для создания персональных фильтров web-контента. При помощи Privoxy можно вырезать рекламные вставки, отбрасывать отслеживающие Cookie, удалять всплывающие диалоги, блокировать загрузку стороннего JavaScript-кода и вносить необходимые пользователю произвольные изменения в web-страницы. Privoxy поддерживает установку как на локальные системы отдельных пользователей, так и на серверы для создания централизованной инфраструктуры фильтрации контента в локальной сети. Код проекта написан на языке Си и распространяется под лицензией GPLv2+. Готовые сборки подготовлены для Linux (deb) и Windows.
Из расширенных возможностей Privoxy можно отметить: возможность привязки тегов для изменения поведения фильтров в зависимости от отдельных клиентских и серверных HTTP-заголовков; режим инспектирования HTTPS, позволяющий фильтровать HTTPS-запросы и ответы; использование регулярных выражений в файлах конфигурации; возможность замены анимированных gif-ов на урезанные статические картинки. Privoxy может использоваться для блокирования рекламы и нежелательного контента на устройствах, на которых невозможно установить соответствующие браузерные дополнения.
Добавлена поддержка распаковки с использованием алгоритма Zstandard.
При сборке с криптографической библиотекой wolfssl код подключения к серверам переведён на использование функции wolfTLS_client_method() вместо wolfSSLv23_method() по аналогии с curl (у обоих методов имеются проблемы с отдельными сайтами, например, wolfTLS_client_method не работает с fsf.org, а wolfSSLv23_method с media.ccc.de и traxxas.com).
Функция create_hexadecimal_hash_of_host() переведена на использование snprintf() вместо sprint().
Обеспечено сохранение в лог адреса и порта обработки соединений.
Удалена поддержка библиотеки pcre1.
Добавлена защита от отслеживания подключения к социальным сетям, для определения которого оценивается наличие или отсутствие редиректа на страницу входа при попытке загрузки изображения с сайта социальной сети (если картинка загрузилась - имеется действующий сеанс, не нет - вход не произведён).
Отключены быстрые редиректы для ".bahn.de/" и "report.error-report.com/".
Добавлена блокировка обращений к "mv.outbrain.com/".
Убраны блокировки для "metrics.1aeo.com/" и ".crates.io/".
Отключена фильтрация по размеру баннеров для "github.com" и ".jwz.org/".
Прекращено преобразование анимированных gif-изображений для ".githubusercontent.com/".
Блокирующая маска 'metrics.' заменена на '.metricts.'.
Для применения в GNOME и Firefox предложены изменения, отключающие по умолчанию одну из полезных функций графических окружений в Linux - возможность быстрой вставки содержимого буфера обмена (PRIMARY selection) нажатием средней кнопки мыши. Изменения находятся на стадии рецензирования и пока окончательно не утверждены.
В качестве причины отключения разработчики Firefox упоминают непривычность данной возможности для новичков, которых приводит в замешательство случайное нажатие на колесо мыши. В качестве аргумента также упоминается wiki-страница на сайте freedesktop.org, в которой утверждается, что нормальное поведение при работе с буфером обмена в Linux соответствует поведению Windows и macOS, а вставка средней кнопкой мыши преподносится как «пасхальное яйцо» для опытных пользователей. В случае принятия изменения пользователям Firefox придётся вручную менять значение параметра "middlemouse.paste" на странице about:config.
Мотивом отключения вставки средней кнопкой мыши в GNOME является желание избавиться от специфичных возможностей X11 (в Wayland данная функция также поддерживается), приводящих к неожиданному поведению для пользователей других платформ и обычно используемых случайно. Предполагается, что пользователи, которым вставка средней кнопкой важна смогут вернуть её поддержку через изменение настроек командой "gsettings set org.gnome.desktop.interface gtk-enable-primary-paste true".
Эрик Мигиковски (Eric Migicovsky), основатель компании Pebble Technology, представил умные часы Pebble Round 2, которые будут выпускаться на базе открытой платформы PebbleOS. Новая модель дополнила выпущенную в августе упрощённую модель Pebble 2 Duo и запланированную на март модель Pebble Time 2, и отличается от них использованием круглого экрана. Схемы и проектные файлы (KiCad) для модели Pebble 2 Duo уже доступны на GitHub, а для моделей Pebble Time 2 и Pebble Round 2 будут опубликованы после полной готовности устройств.
Модель Pebble Round 2 оснащена цветным круглым 1.3-дюймовым сенсорным экраном на базе электронной бумаги, имеющим разрешение 260x260. Время автономной работы заявлено в две недели. Корпус выполнен из нержавеющей стали, оснащён 4 кнопками и имеет уровень защиты от попадания влаги, выдерживающий погружение на 30 метров. Устройство оснащено двумя микрофонами (один для подавления шумов), громкоговорителем, акселерометром и магнитометром, а также функциями отслеживания продолжительности сна и шагомера. Для вибросигнала применяется линейный резонансный привод, который тише и мощнее вибромотора.
Мобильное приложение для взаимодействия смартфона с умными часами поставляется для Android и iOS и распространяется под лицензией GPL 3.0. В каталоге Appstore имеется более 15 тысяч приложений и тем оформления экрана. Для разработки собственных программ доступен SDK. Цена по предзаказам - $199. Поступление в продажу намечено на май 2026 года.
Код используемой на умных часах операционной системы PebbleOS в январе 2025 года был открыт корпорацией Google после поглощения компании Fitbit. Платформа PebbleOS поддерживают все основные возможности старых часов Pebble, такие как вывод уведомлений и сообщений со смартфона (уведомления о входящих звонках и событиях календаря-планировщика, информация о новых SMS, email и сообщениях из популярных мессенджеров), списки действий, смена тем оформления экрана, будильник, таймер, календарь, управление воспроизведением музыки, функции фитнес-трекера, расширение функциональности через установку приложений.
Принципы, реализованные в умных часах Pebble:
Использование экрана на основе электронной бумаги, который хорошо читается при солнечном свете и не привлекает внимание окружающих своим свечением.
Длительная автономная работа от одной зарядки аккумулятора.
Простой интерфейс пользователя, предлагающий базовый набор наиболее часто используемых возможностей (показ времени, уведомления, управления воспроизведением музыки, будильник, прогноз погоды, календарь, шагомер и учёт времени сна).
Наличие кнопок, позволяющих совершать действия не смотря на экран (например, остановка воспроизведения музыки или переход к следующей композиции).
Доступность для модификации (hackable), расширения функциональности, создания своих надстроек и смены оформления.
Андреас Тилле (Andreas Tille), лидер проекта Debian, опубликовал отчёт, в котором упомянул о проблемах в команде Data Protection Team - три представителя, работавших в данной команде, одновременно сложили с себя полномочия. В качестве причины ухода упоминается отсутствие возможности и энтузиазма продолжать работу. Команда осталась без участников и проект срочно ищет добровольцев их замещения.
Команда Data Protection Team была создана в 2018 году для координации соблюдения европейского законодательства в области защиты данных (GDPR), реагирования на запросы о хранимых проектом данных, консультирования разработчиков Debian по вопросам обработки персональных данных и улучшения политики конфиденциальности. Желающие присоединиться участники должны иметь практические знания в области защиты данных и понимание требований GDPR.
Представлен первый экспериментальный выпуск проекта MiDesktop, развивающего форк среды рабочего стола KDE 1.1.2, адаптированный для работы в современных системах. Кодовая база KDE 1 портирована на фреймворк Qt 2 для решения проблем и ограничений лицензии, специфичных для ветки Qt 1. В рамках проекта Osiris теми же разработчиками развивается актуализированный форк Qt 2.3.2. Код MiDesktop распространяется под лицензией GPLv2. Готовые сборки сформированы для Debian 13 и Ubuntu 24.04.
Целью проекта заявлена модернизация кодовой базы KDE 1, не перегружая при этом окружение избыточной функциональностью. В MiDesktop намерены сохранить общий минималистичный подход к разработке десктоп-систем конца 1990-х и начала 2000-х годов, но избавив среду рабочего стола от недостатков, присущих системам того времени. Среди ключевых свойств MiDesktop упомянуты простота интерфейса, легковесность и высокая производительность.
Среди планов на будущее: создание редакции для Wayland; переработка KDM для запуска в современных системах; портирование KDE-приложений, таких как KEdit, KWrite, KCalc и KMix; решение проблем с прокруткой во всех приложениях; добавление в меню завершения работы с системой опций управления питанием (выключение, перезапуск и т.п.); поддержка звуковых эффектов и актуального звукового стека.
Из пока не решённых известных проблем называются некорректное изменение размера окон Firefox и Chrome; пропадание меню на панели задач; нераскрытие категорий в конфигураторе (KDE Control Center); раскрытие окон на все экраны в многомониторных конфигурациях.
Для запуска MiDesktop достаточно любой Linux-системы с glibc и X-сервером, таким как XWayland или X.Org Server, или прослойкой Wayback. Из зависимостей отмечены библиотеки libjpeg, libtiff, libpng,
Osiris Toolkit 2.4.4+, libxcb, libxkb и gettext. Для сборки необходимы CMake и GCC 12+.
Доступен выпуск проекта GNU Wget2 2.2.1, развивающего переписанный с нуля и полностью переработанный вариант программы для автоматизации рекурсивной загрузки контента GNU Wget. Wget2 предоставляет набор дополнительных опций, поддерживает загрузку в несколько потоков, позволяет использовать доступную функциональность через библиотеку libwget, поддерживает протоколы HTTP/2 и TLS 1.3, даёт возможность загружать только изменившиеся данные, может сохранять данные с серверов потокового вещания, корректно обрабатывает интернационализированные доменные имена и может перекодировать загружаемое содержимое. Утилита wget2 поставляется под лицензией GPLv3+, а библиотека под LGPLv3+.
В новой версии устранены две уязвимости:
CVE-2025-69194 - отсутствие должной проверки файловых путей при обработке контента в формате Metalink, применяемом для описания ссылок на файлы для загрузки. Используя последовательность "../" в файловых путях внутри блока <file name="…">, атакующий может добиться создания, очистки или перезаписи произвольных файлов за пределами базового каталога, в который производится загрузка. Например, атакующий может перезаписать содержимое ~/.ssh/authorized_keys или ~/.bashrc и добиться выполнения своего кода в системе.
CVE-2025-69195 - переполнение буфера в коде чистки имён файлов в функции get_local_filename_real(), потенциально способное привести к исполнению кода при обработке специально оформленных URL на загружаемых страницах или при обработке редиректов. Проблема проявляется при включении опции "--restrict-file-names=windows|unix|ascii" и вызвана выделением фиксированного 1024-байтового буфера без проверки фактического размера записываемых данных.
Из не связанных с безопасностью изменений можно отметить добавление опции "--show-progress" для индикации прогресса загрузки, использование локального времени при указании опции "--no-use-server-timestamps", поддержку префикса 'no_' в параметрах конфигурации и задействование libnghttp2 для тестирования HTTP/2.
Состоялся релиз проекта PCSX2 2.6.0, развивающего эмулятор игровой консоли PlayStation 2. Эмулятор позволяет на обычном ПК запускать игры, поставляемые для PlayStation 2, и использовать такие расширенные возможности, как изменение разрешения экрана с масштабированием вывода, создание виртуальных и совместно используемых карт памяти, сохранение состояния, наложение патчей на игры и запись видео с игровым процессом. Эмуляция CPU MIPS на системах x86 осуществляется c использованием рекомпиляции и интерпретации в виртуальной машине. Производительности и возможностей эмулятора достаточно для запуска 99% из протестированных 2500 игр, поставлявшихся для Sony Playstation 2, включая Final Fantasy X и Devil May Cry 3. Код проекта написан на языке C++ и распространяется под лицензией GPLv3.
В новой версии:
Интерфейс на базе Qt приближен по своим возможностям к режиму Big Picture.
Добавлена возможность размещения ярлыков на рабочем столе и в меню приложений для запуска определённых игр через PCSX2.
В режиме Big Picture обновлены пиктограммы и добавлена поддержка Emoji.
Добавлена поддержка установки произвольных фоновых изображений.
Значительно ускорена отрисовка с использованием Direct3D12. Для игры Hitman Blood Money прирост производительности составил 596%, а для игры Death by Degrees - 413%. Дополнительно оптимизирована отрисовка через Direct3D11, что позволило поднять производительность при запуске игры Enthusia на 9%. Качество и точность отрисовки текстур при использовании Direct3D11 и 12 приближены к отрисовке при помощи Vulkan и OpenGL.
Добавлено множество оптимизаций, позволивших повысить качество отрисовки и увеличить производительность при запуске многих игр.
После трёх лет разработки опубликован выпуск проекта Rigs of Rods 2026.02, развивающего реалистичный симулятор автомобилей, кораблей, самолётов, вертолётов, поездов и других видов транспорта. В проекте задействован графический движок OGRE и собственный движок физики деформируемых тел для симуляции движения, повреждений и деформации транспортных средств. Код написан на языке С++ и распространяется под лицензией GPLv3.
Симулятор начинал своё развитие как исследовательский проект Пиерра Мишеля-Рикорделя в области физики мягких тел. После того как проект привлёк внимание сообщества для симулятора были созданы тысячи различных карт и транспортных средств. Пользователю предоставляется окружение с полной свободой действий и возможностью использования разных карт и видов транспорта с реалистичной моделью движения и повреждений, вплоть до симуляции полного разрушения.
Реализована поддержка настраиваемых панелей. Панели теперь можно загружать из репозитория и выбирать в конфигураторе без ручного редактирования файлов. Добавлена возможность использования в панелях собственных шрифтов и альтернативных макетов.
Добавлена поддержка обособленных инструментов (гаджетов), созданных с помощью скриптов и загружаемых из репозитория. Вызов инструментов осуществляется через верхнее меню.
Добавлена поддержка внешних пакетов ресурсов (Assetpacks) для моддинга.
Предложен новый пакет "addonpart" для кастомизации транспортных средств, поддерживающий автоматическую подгонку узлов.
В верхнее меню добавлен новый пункт "Tuning" с реализацией полноценного редактора тюнинга, позволяющего создавать собственные конфигурации машин, добавлять/удалять отдельные компоненты из коллекции "addonparts", а также вносить ручные изменения.
Обновлён интерфейс с информацией о транспортном средстве - разрозненные панели объединены в одну панель на базе вкладок, в которой собраны все данные и характеристики машины.
Улучшен интерфейс управления репозиторием (Repository Manager), в котором детальные сведения о загружаемых модах синхронизированы с web-каталогом и включают такие данные, как описание, изображения и миниатюры, а файлы для загрузки предложены в отдельной боковой панели. Обеспечена загрузка модов в фоновом режиме без блокировки интерфейса.
Расширена поддержка звуков. Реализован реалистичный доплеровский эффект. Добавлена возможность привязки настроек реверберации к элементам ландшафта. Реализован эффект приглушения звука из‑за коллизий геометрии.
Переработан режим ремонта "Live Repair", для которого в интерфейсе предложен новый индикатор и включаемая панель подсказок.
Улучшен режим редактирования ландшафта. Добавлена поддержка сохранения в отдельный файл изменений, внесённых в ландшафт.
Встроенный редактор скриптов преобразован в полноценный инструмент (гаджет), поддерживающий сворачивание и форматирование кода, предлагающий каталог со сгруппированными по категориям примерами скриптов, наглядно информирующий об ошибках.
Добавлен новый инструмент "Engine Tool", позволяющий в реальном времени редактировать параметры и режимы двигателя.
Скрипт редактирования дорог преобразован в отдельный инструмент "Road Editor" и расширен возможностью использования парящей камеры с боковой прокруткой, похожей на реализацию камеры из стратегических игр.
Добавлен диагностический инструмент "OGRE Inspector" для отображения сцены с точки зрения 3D‑рендера OGRE.
А серверный API для скриптов добавлена функция для отправки внешних HTTP-запросов, используя cURL.
Опубликован релиз Phosh 0.52, экранной оболочки для мобильных устройств, основанной на технологиях GNOME и библиотеке GTK. Окружение изначально развивалось компанией Purism в качестве аналога GNOME Shell для смартфона Librem 5, но затем вошло в число неофициальных проектов GNOME и используется в postmarketOS, Mobian, Droidian, некоторых прошивках для устройств Pine64 и редакции Fedora для смартфонов. Phosh использует композитный сервер Phoc, работающий поверх Wayland, а также собственную экранную клавиатуру. Наработки проекта распространяются под лицензией GPLv3+.
В быстрые настройки добавлена кнопка для показа QR-кода с параметрами подключения к предоставляемой платформой беспроводной точке доступа (Wi-Fi hotspot).
Добавлена поддержка экранного жеста (скольжение двумя пальцами по горизонтали) для изменения яркости во время блокировки экрана.
Добавлен интерфейс DebugControl для управления отладочными опциями.
В композитный сервер Phoc добавлена возможность обработки разных радиусов закругления углов экрана. Проведена подготовка к поддержке Wayland-протокола xdg-cutouts.
В конфигуратор phosh-mobile-settings добавлена возможность открытия диалогов для конфигурации элементов в панели быстрых настроек. В conf-tweaks добавлен бэкенд для изменения параметров через sysfs.
В экранной клавиатуре Stevia по умолчанию включён вывод всплывающих подсказок с информацией о вводимых символах и обеспечено масштабирование клавиатуры.
В xdg-desktop-portal-phosh добавлена новая реализация портала для изменения фоновых изображений, написанная на Rust.
В gmobile, набор обработчиков для работы GNOME на мобильных устройствах, добавлена поддержка разных радиусов скругления углов.
Для смартфона Oneplus 6 задействованы разные радиусы скругления для верхних и нижних углов. Добавлены правила hwdb и udev для настройки минимальной яркости фонарика.
В интерфейсе выбора файлов pfs реализована генерации миниатюр при помощи сервиса mobi.phosh.Thumbnailer. В диалоге открытия файлов задействован интерфейс org.freedesktop.FileManager1.
Представлен релиз дистрибутива Manjaro Linux 26.0, построенного на основе Arch Linux и ориентированного на начинающих пользователей. Дистрибутив примечателен наличием упрощённого и дружественного пользователю процесса установки, поддержкой автоматического определения оборудования и установки необходимых для его работы драйверов. Manjaro поставляется в виде live-сборок с графическими окружениями KDE (5.4 ГБ), GNOME (5.2 ГБ) и Xfce (5.1 ГБ), сформированными для архитектуры x86_64 и различных плат на базе процессоров ARM. При участии сообщества дополнительноразвиваются сборки с Budgie, Cinnamon, Deepin, LXQt и i3.
Для управления репозиториями в Manjaro используется собственный инструментарий BoxIt, спроектированный по образу Git. Репозиторий поддерживается по принципу непрерывного включения обновлений (rolling), но новые версии проходят дополнительную стадию стабилизации. Кроме собственного репозитория, имеется поддержка использования репозитория AUR (Arch User Repository). Дистрибутив снабжён графическим инсталлятором и графическим интерфейсом для настройки системы.
Особенности выпуска:
Ядро Linux обновлено до версии 6.18 Дополнительно доступны пакеты с LTS-выпусками ядра 6.12 и 6.6.
Редакция на базе GNOME обновлена до выпуска GNOME 49.
Обновление дистрибутива Static Linux, основанного на пакетной базе Alpine Linux и предлагающего окружение на основе ядра Linux 6.18.3, стандартной библиотеки Musl и инструментария BusyBox. Графическое окружение основано на композитном сервере Labwc, использующем Wayland, файловом менеджере CoreFM, просмотрщике изображений CoreImage, текстовом редакторе CorePad, эмуляторе терминала CoreTerminal и видеопроигрывателе mpv. В состав также входят утилиты для восстановления данных (ddrescue, testdisk, photorec).
Ядро и корневая файловая система собраны в единый файл для запуска на системах с UEFI (Secure Boot не поддерживается). Для установки достаточно загрузить файл bootx64.efi (128 Мб) и разместить его в каталоге /efi/boot/ на диске c ФС FAT32. Для установки подготовлено около 170 статически собранных пакетов.
Графические приложения переведены на Qt6, задействован GCC 15.2.0, обновлены библиотеки, добавлено описание пересборки загрузочного файла.
6.13: режим ленивого вытеснения в планировщике задач, поддержка атомарной записи в XFS и Ext4, механизм "multigrain timestamps", адаптивный режим включения полинга в сетевой подсистеме, возможность сборки с оптимизациями AutoFDO, поддержка механизма защиты ARM65 Guarded Control Stack, изоляция виртуальных машин при помощи расширения ARM CCA, раздельные стеки в BPF, удаление ReiserFS, драйвер virtual-cpufreq, netlink API net-shaper, режим монтирования tmpfs без учёта регистра символов, поддержка POSIX-расширений в SMB3, драйвер AMD Cache Optimizer.
6.14: драйвер ntsync c примитивами синхронизации Windows NT, настройка балансировки операций чтения в Btrfs RAID1, поддержка reflink в XFS в режиме realtime, возможность некэшируемого буферизированного ввода/вывода, dmem cgroup для ограничения памяти GPU, задействование io_uring в FUSE, делегирование атрибутов в NFS, поддержка атомарной записи в Device mapper, ускорение символических ссылок, управление возможностью выполнения скриптов, поддержка чипов Qualcomm Snapdragon 8 Elite, драйвер для NPU AMD.
6.15: механизм аудита в Landlock, режим закрепления маппинга памяти, подсистема fwctl, драйвер Nova для GPU NVIDIA, реализация хост-системы для гипервизора Hyper-V, поддержка зонированных устройств хранения в XFS, оптимизация сетевой подсистемы, удаление опции HIGHMEM64G, scrub-проверка в Bcachefs, возможность контроля над операциями через io_uring.
6.16: драйвер для ускорения OpenVPN, механизм Kexec HandOver, включение по умолчанию пятиуровневых таблиц страниц памяти для x86, удаление протокола DCCP, блочный драйвер zloop, возможность отправки core-дампов через UNIX-сокет, поддержка атомарной записи в XFS, offload-обработка звука для USB-устройств, оптимизации в Ext4, виртуальный драйвер TPM (Trusted Platform Module), полноценная реализация Device Memory TCP, поддержка неименованных каналов в io_uring, подготовка к интеграции DRM-драйвера Asahi, механизм "usermode queue" в драйвере AMDGPU, поддержка Intel TDE (Trusted Domain Extensions) и Intel APE (Advanced Performance Extensions).
6.17: повышение производительности Btrfs, системные вызовы file_getattr() и file_setattr(), унификация однопроцессорных и многопроцессорных конфигураций в планировщике задач, модуль DAMON_STAT со статистикой доступа к памяти, поддержка Live-патчей на системах ARM64, отправка core-дампов через сокет AF_UNIX, лимитирование SCHED_EXT через cgroup, упрощённая настройка защиты от уязвимостей в CPU, сборка в Clang с инициализацией переменных в стеке, защита от подмены /proc, расширение подсистемы RV (Runtime Verification), ограничение сокетов AF_UNIX через AppArmor, алгоритм контроля перегрузок TCP DualPI2.
6.18: dm-pcache для дискового кэширования в энергонезависимой памяти (PMEM), удаление Bcachefs, online-режим проверки XFS, драйверы Binder (Android IPC) и Tyr (GPU Mali) на Rust, возможность создания USB-драйверов на Rust, оптимизация кэширования в аллокаторе памяти SLUB, адресация пространств имён по файловым дескрипторам, ускорение работы подкачки (swap), верификация BPF-программ по цифровой подписи, виртуализация Intel CET в KVM, сетевой протокол PSP (гибрид TLS и IPsec), поддержка IP-расширения AccECN, оптимизация UDP-стека.
За год на OpenNET было опубликовано 1520 новостей, на которые было оставлено 173 тысячи комментариев. Осенью 2025 года проекту OpenNET исполнилось 29 лет.
Опубликован релиз проекта Firejail 0.9.78, развивающего систему для изолированного выполнения графических, консольных и серверных приложений, позволяющую минимизировать риск компрометации основной системы при запуске не заслуживающих доверия или потенциально уязвимых программ. Программа написана на языке Си, распространяется под лицензией GPLv2 и может работать в любом дистрибутиве Linux с ядром старше 3.0. Готовые пакеты с Firejail подготовлены в форматах deb (Debian, Ubuntu) и rpm (CentOS, Fedora).
Для изоляции в Firejail используются пространства имён (namespaces), AppArmor и фильтрация системных вызовов (seccomp-bpf) в Linux. После запуска программа и все её дочерние процессы используют отдельные представления ресурсов ядра, таких как сетевой стек, таблица процессов и точки монтирования. Зависимые между собой приложения можно объединять в один общий sandbox. При желании Firejail можно применять и для запуска контейнеров Docker, LXC и OpenVZ.
В отличие от средств контейнерной изоляции firejail предельно прост в конфигурации и не требует подготовки системного образа - состав контейнера формируется на лету на основе содержимого текущей ФС и удаляется после завершения работы приложения. Предоставляются гибкие средства задания правил доступа к файловой системе, позволяющие определять к каким файлами и директориям разрешён или запрещён доступ, подключать для данных временные ФС (tmpfs), ограничивать доступ к файлам или директориям только на чтение, совмещать директории через bind-mount и overlayfs.
Для большого числа популярных приложений, в том числе для Firefox, Chromium, VLC и Transmission, подготовлены готовые профили изоляции системных вызовов. Для получения привилегий, необходимых для настройки изолированного окружения, исполняемый файл firejail устанавливается с флагом SUID root (после инициализации привилегии сбрасываются). Для выполнения программы в режиме изоляции достаточно указать имя приложения в качестве аргумента утилиты firejail, например, "firejail firefox" или "sudo firejail /etc/init.d/nginx start".
В файл конфигурации firejail.config добавлены опции arg-max-count, arg-max-len, env-max-count и env-max-len для изменения лимитов на число и размер опций командной строки и переменных окружения. По умолчанию число аргументов ограничено 128, число переменных окружения 256, а размер каждого аргумента - PATH_MAX из limits.h (в Linux 40196) + 32.
Добавлена опция "--xephyr-extra-params" для задания дополнительных опций к Xephyr (используется для создания sandbox-окружений X11 со своим X-сервером, запущенным в окне) в командной строке без изменения firejail.config.
Устанавливаемая в sandbox-окружение утилита bwrap (bubblewrap) заменена на прослойку fbwrap, запускающую программы без изоляции для решения проблем с запуском Firefox, Thunderbird, GIMP из-за вызова glycin 2.0.0 из gdk-pixbuf2 с использованием bwrap. Для копирования bwrap вместо прослойки добавлена опция "--allow-bwrap".
Обновлены таблицы системных вызовов для seccomp. Добавлены новые системные вызовы, такие как epoll_pwait2 и futex_wait.
Удалена сборочная опция "--disable-globalcfg", прекращена поддержка overlayfs ("--overlay") и режима IDS (Intrusion Detection System, "--ids").
Опубликован выпуск эмулятора Box64 0.4.0, предназначенного для запуска Linux-программ, собранных для архитектуры x86_64, на оборудовании с процессорами ARM64, RISC-V и Loongarch64. Проект уделяет большое внимание организации запуска игровых приложений и предоставляет возможность запуска Windows-сборок через Wine и Proton. Исходные тексты проекта написаны на языке Си и распространяются под лицензией MIT.
Особенностью проекта является применение гибридной модели выполнения, при которой эмуляция применяется только к машинному коду самого приложения и специфичных библиотек. Типовые системные библиотеки, включая libc, libm, GTK, SDL, Vulkan и OpenGL, подменяются на варианты, родные для целевых платформ. Таким образом, библиотечные вызовы выполняются без эмуляции, что позволяет добиться значительного увеличения производительности.
Эмуляция кода, для которого отсутствуют родные для целевой платформы замены, выполняется с использованием техники динамической перекомпиляции (DynaRec) из одного набора машинных инструкций в другой. По сравнению с интерпретацией машинных инструкций динамическая перекомпиляция демонстрирует в 5-10 раз более высокую производительность.
Представлен унифицированный декодировщик префиксов кода операций (prefix opcode decoder), задействованный в интерпретаторе и во всех бэкендах динамической перекомпиляции (DynaRec). Новый декодировщик более универсально обрабатывает редкие сочетания префиксов опкодов и позволяет обойтись без специфичных "хаков" и дублирования кода в интерпрететоре и бэкендах DynaRec. Переработка декодировщика привела к удалению лишнего кода, упрощению сопровождения кодовой базы и возможности работы DynaRec с нетипичными комбинациями префиксов опкодов.
Началась работа над механизмом для удаления из памяти блоков кода, сконвертированных в нативный код, но уже не используемых. Подобная оптимизация позволяет сократить потребление памяти при запуске приложений, выполняющих большой объём операций при запуске, таких как Steam и приложения, использующие libcef.
Улучшена поддержка архитектуры ARM64: Реализован сборочный профиль для CPU NVIDIA GB10. В бэкенде динамической перекомпиляции (DynaRec) продолжена реализация техник оптимизации циклов, таких как вынос операций выставления регистров XMM/YMM из тела цикла.
Повышена стабильность и производительность бэкенда динамической перекомпиляции для архитектуры RISC-V. Обеспечен корректный запуск Steam, Proton и Wine, но для работы с защищённым DRM-контентом, требующим эмуляции системных вызовов Windows, требуется оборудование с поддержкой 48-разрядного адресного пространства (SV48) или использование модифицированных сборок Wine и Proton.
Значительно продвинулась разработка бэкенда для архитектуры Loongarch, которая доведена до возможности запуска Steam, Wine и Proton, но пока отстаёт по функциональности от бэкенда для систем ARM64. Для работы пока требуется использование в ядре страниц памяти, размером 4K (по умолчанию для Loongarch обычно выставляется 16K). Производительности уже достаточно для запуска игр на CPU Loongarch 3A6000 (2.5 GHz c 4 физическими ядрами).
Повышена стабильность режима Box32, обеспечивающего поддержку 32-разрядных исполняемых файлов в Box64. В данном режиме отмечается повышение стабильность работы Steam на всех архитектурах и возможность использования внутриигровых оверлеев в некоторых OpenGL-играх.
