• В корректирующем релизе мультимедийного фреймворка GStreamer 1.28.2 выявлено 11 уязвимостей, из которых 3 вызваны переполнением буфера и потенциально могут привести к выполнению кода при обработке специально оформленных мультимедийных контейнеров MKV (CVE не назначен) и MOV/MP4 (CVE-2026-5056), а также потоков в формате H.266/VVC (CVE не назначен). Остальные 8 уязвимостей вызваны целочисленным переполнением или разыменованием нулевого указателя, и могут привести к отказу в обслуживании или утечке информации при обработке данных в форматах WAV, JPEG2000, AV1, H.264, MOV, MP4, FLV, mDVDsub и SRT/WebVTT. Опасность уязвимостей в GStreamer усугубляется тем, что он применяется в GNOME для разбора метаданных при автоматической индексации новых файлов, т.е. для атаки достаточно добиться загрузки файла в индексируемый каталог ~/Downloads.
• В сервере печати CUPS выявлено 8 уязвимостей, две из которых (CVE-2026-34980, CVE-2026-34990) могут использоваться для организации удалённого выполнения своего кода с правами root через отправку специально оформленного запроса на сервер печати. Первая уязвимость позволяет неаутентифицированному атакующему добиться выполнения своего кода с правами пользователя lp, отправив специально оформленное задание вывода на печать (проблема вызвана некорректной обработкой экранированных символов перевода строки). Вторая уязвимость позволяет поднять привилегии с пользователя lp до root, добившись изменения файлов c правами root через подстановку фиктивного принтера. Обновление CUPS с устранением уязвимостей пока недоступно.
• Опубликован корректирующий релиз криптографической библиотеки wolfSSL 5.9.1, в котором устранена 21 уязвимость. Одной проблеме присвоен критический уровень опасности, а 9 - высокий (приводят к повреждению памяти). Критическая уязвимость (CVE-2026-5194) вызвана отсутствием проверки размера хэша и идентификатора OID, что позволяет указывать хэши, размером меньше допустимого для снижения стойкости алгоритмов формирования цифровой подписи ECDSA/ECC, DSA, ML-DSA, ED25519 и ED448, и обхода аутентификации на базе сертификатов. Уязвимость выявлена инженерами Anthropic в ходе проверки кода AI-моделью.
• Опубликованы корректирующие выпуски криптографической библиотеки OpenSSL 3.6.2, 3.5.6, 3.4.5 и 3.3.7, в которых устранено 7 уязвимостей. Наиболее опасная уязвимость (CVE-2026-31790) может привести к утечке конфиденциальных данных, оставшихся в буфере после прошлой операции. Проблема вызвана использованием неинициализированной памяти при инкапсуляции ключей RSA KEM RSASVE.

  Другая уязвимость (CVE-2026-31789) вызвана переполнением буфер и потенциально может привести к выполнению кода при выполнении операций по преобразованию строк в шестнадцатеричное представление при обработке специально оформленных сертификатов X.509. Проблема помечена как неопасная так как она проявляется только на 32-разрядных платформах. Остальные уязвимости вызваны чтением данных из области вне буфера, обращения к уже освобождённой памяти и разыменования нулевого указателя.

• В AI-агенте OpenClaw 2026.3.11, позволяющем AI-моделям взаимодействовать в системными окружениями (например, запускать утилиты и работать с файлами), устранена критическая уязвимость (CVE-2026-32922) с уровнем опасности 10 из 10. Уязвимость вызвана тем, что команда "/pair approve" должным образом не проверяла полномочия, из-за чего любой пользователь, имеющий привилегии сопряжения с хостом (самый низкий уровень привилегий, для которого достаточно доступа к OpenClaw), мог утвердить права администратора для самого себя и полностью контролировать окружение. Для совершения атаки достаточно подключиться к OpenClaw, запросить регистрацию фиктивного устройства с доступом operator.admin, после чего самому одобрить собственный запрос командой "/pair approve" и получить полное управление атакованным экземпляром OpenClaw и всеми связанными с ним сервисами.

  За несколько дней до этого в OpenClaw была выявлена похожая уязвимость (CVE-2026-33579), позволявшая обойти проверку прав доступа и получить права администратора. Выявившими проблему исследователями приводится статистика, в соответствии с которой в сети найдено 135 тысяч публично доступных экземпляров OpenClaw, из которых 63% позволяют подключиться без аутентификации.

• В пакетном менеджере Nix, применяемом в дистрибутиве NixOS, выявлена уязвимость (CVE-2026-39860), которой присвоен критический уровень опасности (9 из 10). Уязвимость даёт возможность перезаписать любой файл в системе, насколько позволяют права доступа фонового процесса Nix, который в NixOS и многопользовательских установках выполняется с правами root. Проблема вызвана некорректным устранением уязвимости CVE-2024-27297 в 2024 году. Эксплуатация осуществляется через подмену символической ссылкой каталога внутри изолированного сборочного окружения, в который записывался результат сборки. Уязвимость устранена в обновлениях nix 2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3 и 2.28.6.
• В ядре Linux устранено 5 уязвимостей, выявленных в ходе экспериментов с инструментарием Claude Code и затрагивающих подсистемы nfsd, io_uring, futex и ksmbd (1, 2). Уязвимость в драйвере NFS позволяет через отправку запросов к NFS-серверу узнать содержимое областей памяти ядра. Проблема вызвана ошибкой, проявляющейся начиная с ядра 2.6.0 (2003 год).

1. OpenNews: 10 уязвимостей в GStreamer, приводящих к удалённому выполнению кода
2. OpenNews: Уязвимости в PCP и Nix, позволяющие поднять привилегии в системе
3. OpenNews: Уязвимости в пакетных менеджерах Nix, Lix и Guix
4. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
5. OpenNews: Удалённо эксплуатируемые уязвимости в сервере печати CUPS

Основные изменения:

• Устранена ошибка, приводившая к повреждению БД. Проблема присутствовала начиная с версии SQLite 3.7.0 (2010 год), затрагивала БД в режиме WAL (Write-Ahead Logging) и проявлялась из-за состояния гонки при одновременном открытии двух и более соединений к БД, которые пытались записать или зафиксировать транзакции в одном экземпляре БД. Утверждается, что приводящее к сбою стечение обстоятельств проявляется крайне редко и его удалось повторить только в специально созданном тестовом сценарии.
• В команде "ALTER TABLE" разрешено удалять проверки "NOT NULL" и "CHECK".
• Добавлена команда "REINDEX EXPRESSIONS" для перестроения индексов на основе выражений, в которых в качестве элемента индекса используется функция над столбцом или операции над столбцами. Команда может применяться для восстановления протухших индексов.
• Внутри временных триггеров, создаваемых командой "CREATE TEMP TRIGGER" и применяемым к таблицам в других БД, разрешено изменение таблиц или запросы данных из таблиц.
• В команде "VACUUM INTO" при указании целевого файла через URL реализовано использование параметра "reserve=N" для определения числа создаваемых резервных копий БД.
• Реализованы новые SQL-функции json_array_insert() и jsonb_array_insert() для вставки элементов в массивы JSON.
• Добавлена и задействована в утилите командной строки библиотека QRF (Query Result Formatter) для форматирования результатов выполнения SQL-запросов в удобочитаемый вид.
• Изменения в утилите командной строки:
  • Значительно расширена команда ".mode".
  • Улучшено формирование вывода, например, включена по умолчанию отрисовка рамок, а числовые значения теперь выравниваются по правую границу при табулированном выводе.
  • Обеспечено игнорирование символов ";" после команд.
  • Содержимое указанных в командной строке файлов с расширениями *.sql и *.txt теперь читается и интерпретируется как наборы SQL-выражений и dot-команд.
  • В команду ".timer" добавлена поддержка значения "once" для применения таймера только к следующему SQL-выражению.
  • В команду ".progress" добавлена опция "--timeout S" для принудительного прерывания SQL-выражения после истечения таймаута.
  • В команде ".indexes" изменено поведение шаблонов, которые теперь применяются к именам индексов, а не к именам проиндексированных таблиц.
• Внесены оптимизации в планировщик запросов, ускорившие работу слияния таблиц и операций ЕXCEPT, INTERSECT и UNION.
• Повышена производительность функций преобразования чисел с плавающей запятой в текстовое представление.
• В реализацию, компилируемую в промежуточный код WebAssembly, добавлена VFS "opfs-wl", идентичная VFS "opfs", но использующая API Web Locks для работы с блокировками.
• В утилиту sqlite3_rsync добавлена опция "-p|--port".
• Прекращена поддержка платформы Windows RT.

1. Главная ссылка к новости
2. OpenNews: Выпуск СУБД SQLite 3.51
3. OpenNews: Предложение по переводу системных логов lastlog, btmp, utmp и wtmp на использование SQLite
4. OpenNews: Google использовал большую языковую модель для выявления уязвимости в SQLite
5. OpenNews: Проект Redka развивает реализацию протокола и API Redis поверх SQLite
6. OpenNews: Выпуск DuckDB 0.10.0, варианта SQLite для аналитических запросов

В новом выпуске:

• Добавлена поддержка горизонтальной (боковой) прокрутки, при которой содержимое сдвигается влево или вправо с шагом, соответствующим табуляции, при нажатии комбинаций клавиш "M-<" и "M->".
• Изменено поведение при выходе курсора за видимую правую границу окна - всё содержимое теперь сдвигается влево и область под курсором всегда остаётся в области видимости. Для восстановления старого поведения добавлена опция "--solosidescroll" и настройка 'set solosidescroll'.
• Предоставлена возможность переназначения комбинаций клавиш M-Left, M-Right, M-Up и M-Down.
• Обеспечена отмена создания нового макроса с сохранением ранее существовавшего макроса, если процесс записи нового макроса сразу отменён.
• При указании опций "--mouse" и "--indicator" разрешено кликать на полосу прокрутки для перемещения внутри буфера.

1. Главная ссылка к новости
2. OpenNews: Выпуск текстового редактора GNU nano 8.0
3. OpenNews: Проект IDEmacs подготовил окружение в стиле VSCode на базе редактора Emacs
4. OpenNews: Выпуск текстового редактора Neovim 0.10
5. OpenNews: Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs
6. OpenNews: Релиз текстового редактора Vim 9.2

Проект своими силами не формирует и не распространяет сборки, а содержит мета-данные со ссылками на оригинальные установочные файлы, подготовленные основными разработчиками представленных программ. В мета-данных также доступна сопутствующая информация, такая как описание, скриншоты, ссылки на репозитории и сайты. Для проверки подлинности и целостности загружаемых файлов для большинства проектов выполняется дополнительной верификация по SHA1-хэшу, отдельно сохранённому в мета-данных.

Приложения разделены на 7 категорий, при желании выбрать и загрузить программу можно без запуска графической оболочки каталога, найдя необходимую программу в нужном разделе в репозитории на Github и определив файл для загрузки из ini-файла с метаданными. При использовании приложения Lite Catalog возможна авто-установка переносимых сборок приложений - архивы (zip, 7z, rar) автоматически распаковываются по умолчанию в каталог C:\Programs\ с созданием ярлыков на рабочем столе.

Код графического интерфейса написан на языке Pascal и распространяется под ограничительной лицензией, разрешающей использование, распространение и изучение кода. Изменение кода допускается в оригинальном репозитории, но отдельное распространение изменённых версий требует получения разрешения у автора.

1. Главная ссылка к новости
2. OpenNews: Microsoft запрещает размещение свободного ПО в каталоге приложений для Windows Phone
3. OpenNews: Microsoft развивает новый открытый пакетный менеджер winget

Программа позволяет наглядно оценивать к каким хостам в данный момент обращаются приложения в системе, просматривать историю сетевой активности и отслеживать объём трафика. Возможно блокирование нежелательных соединений и подключение списков блокировки, как собственных, так и внешних списков, таких как oisd.nl, предназначенных для блокирования рекламы, отслеживающих сервисов, систем сбора телеметрии, фишинга и прочей нежелательной активности. Внешние списки могут автоматически обновляться. Блокировка производится на уровне IP-адресов, подсетей и доменных имён. Возможно создание белого списка приложений, которым разрешена сетевая активность.

Программа включается в себя загружаемый в ядро Linux BPF-обработчик и фоновый процесс littlesnitch. Управление производится через web-интерфейс, доступный при открытии в браузере страницы "http://localhost:3031/". Возможна работа с web-интерфейсом как с обособленным web-приложением (PWA - Progressive Web App). Поддерживается работа на системах с ядром Linux 6.12 и новее.

Дополнительно можно отметить, что существует открытый аналог Little Snitch для Linux - OpenSnitch, который позволяет в интерактивном режиме отслеживать сетевую активность приложений - при попытке установки приложениями сетевых соединений, не подпадающих под ранее установленные разрешения, OpenSnitch выводит пользователю диалог с предложением принять решение о продолжении сетевой операции или блокирования сетевой активности. Кристиан Старкйоханн (Christian Starkjohann), разработчик Linux-версии Little Snitch, отметил, что OpenSnitch не подошёл ему для решения задачи отслеживания сетевых соединения, устанавливаемых процессами, и блокировки соединений одним кликом.

1. Главная ссылка к новости
2. OpenNews: Доступны межсетевые экраны OpenSnitch 1.6.0 и firewalld 2.0
3. OpenNews: В рамках проекта OpenSnitch развивается динамический межсетевой экран для Linux
4. OpenNews: Опубликован межсетевой экран приложений Portmaster 1.0
5. OpenNews: Выпуск интерактивного межсетевого экрана TinyWall 2.0
6. OpenNews: Открыт код Douane, динамического межсетевого экрана для Linux

Основные изменения в Chrome 147 (1, 2, 3, 4):

• Добавлен режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. Вертикальные вкладки могут показываться в развёрнутом (пиктограмма + часть описания) и свёрнутом режимах (только пиктограммы). При наведения курсора на боковую вкладку показывается эскиз с её содержимым. Упрощено управление группами вкладок. В контекстное меню, появляющееся при клике правой кнопкой мыши на строке вкладок, добавлена опция "Показать вкладки вертикально" ("Show Tabs Vertically"). Если опция не появилась по умолчанию, её можно активировать через настройку "chrome://flags/#vertical-tabs".
• Переработан режим чтения (reading mode), при котором отображается только значимый текст страницы, а все сопутствующие управляющие элементы, баннеры, меню, навигационные панели и прочие не связанные с контентом части страницы скрываются. В новой версии по аналогии с Firefox значимое содержимое показывается во всей видимой области, а не как раньше в узком боковом окне рядом с исходной страницей. Если новый режим не применяется по умолчанию, его можно активировать через настройку "chrome://flags/#read-anything-immersive-reading-mode".
• В меню "Help" добавлена кнопка для отправки жалобы для занесения в список блокировки web-страниц, созданных для мошенничества или фишинга. Кнопка показывается при включённом режиме "Safe Browsing".
• Расширены средства защиты от обращения к локальной системе при взаимодействии с публичными сайтами. Обращения с сайтов к IP-адресам локальной сети (интранет или внутренние адреса) или loopback-интерфейсу (127.0.0.0/8) потребует подтверждения операции у пользователя. Под действие защиты теперь попадают не только попытки загрузки ресурсов по HTTP/HTTPS, запросы fetch() и iframe-вставки, но и установка соединений через WebSockets и WebTransport, а также fetch-запросы, инициированные через метод WindowClient.navigate(). Обращение к внутренним ресурсам используются злоумышленниками для косвенной идентификации и осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети.
• Функциональность для разбора XML переведена c libxml2 на новую библиотеку, написанную на языке Rust с оглядкой на обеспечение безопасности. Изменение касается только XML, как было объявлено ранее поддержка XSLT скоро будет прекращена.
  
  
  
• Реализована возможность применения метода startViewTransition() не только для всей страницы, но и для отдельных HTML-элементов.
• Добавлена CSS-функция contrast-color(), возвращающая противоположный вариант для указанного цвета (для белого вернёт чёрный, а для чёрного - белый). Функцию можно использовать для подбора цвета фона для определённого цвета текста и наоборот.
• Добавлено CSS-свойство "border-shape", позволяющего создавать непрямоугольное обрамление элементов, например, использовать рамки круглой или многоугольной формы. CSS-свойство "border-shape" принимает те же виды форм, что и свойство "clip-path", но в отличие от последнего определяет контур, декодирует его и отсекает выходящее за контур содержимое.
• Добавлен интерфейс CSSPseudoElement, позволяющий работать с псеведоэлементами CSS из JavaScript.
• В элементе link реализована возможность применения атрибута "rel=modulepreload" для упреждающей загрузки не только скриптов, но и модулей с CSS-стилями (<link rel="modulepreload" as="style" href="...">) и данными JSON (<link rel="modulepreload" as="json" href="...">).
• Изменено поведение при вычислении ширины рамок и контуров в CSS-свойствах border-width, outline-width и column-rule-width, которое унифицировано с Firefox и браузерами на движке WebKit. До сих пор ширина в указанных свойствах обнулялась, независимо от выставленных в них значений, если свойства border-style, outline-style или column-rule-style имели значение "none" или "hidden". Теперь значения order-width, outline-width и column-rule-width всегда выставляют заданные разработчиком значения, независимо от содержимого свойств "*-style".
• Добавлен метод Math.sumPrecise() для вычисления суммы элементов массивов и других перечисляемых объектов с точностью, превышающей точность обычного суммирования в цикле (исключаются потери точности при промежуточном сохранении результатов).
• Добавлен атрибут Request.isReloadNavigation, позволяющий определить, что страница была перезагружена, например, после нажатия на кнопку "Refresh" или вызова методов location.reload() и history.go(0).
• Для снижения точности косвенной идентификации изменена логика округления размера памяти, возвращаемого через API Device Memory, позволяющего получить сведения о размере оперативной памяти. Данная информация может оказаться полезной для создания легковесных вариантов web-приложений, загружающихся для устройств с небольшим ОЗУ или для активации расширенных возможностей при наличии большого объёма памяти. В сборках для платформы Android размер памяти теперь округляется до 1, 2, 4 и 8 гигабайт, а для других платформ до 2, 4, 8, 16 и 32 гигабайт.
• Для изолированных web-приложений (IWA - Isolated Web Apps) реализован API Web Printing, предоставляющий методы для определения наличия принтеров, отправки документов на печать и управления очередью вывода на печать. Используемые в API имена атрибутов и семантика соответствуют протоколу IPP (Internet Printing Protocol).
• В режиме "Origin trials" реализован API WebNN, позволяющий использовать предоставляемые операционной системой сервисы для машинного обучения и связанные с этим аппаратные возможности.
• Внесены улучшения в инструменты для web-разработчиков. Во встроенном AI-ассистенте реализован автоматический выбор контекста. Модернизирована панель "Device Mode", применяемая для тестирования работы сайта на разных мобильных устройствах. В панели Network обеспечено автоматическое декодирование сжатого содержимого запросов, переданных с заголовком Content-Encoding: gzip или deflate. Предоставлена возможность применения регулярных выражений для фильтрации CSS-стилей.
  
  

Кроме нововведений и исправления ошибок в новой версии устранено 60 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Двум проблемам (переполнение буфера и целочисленное переполнение в WebML) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 60 премий и выплатила 118 тысяч долларов США (две премии $43000, две премии $11000 и по одной премии в $4000, $3000, $2000 и $1000. Размер 52 вознаграждений пока не определён.

1. Главная ссылка к новости
2. OpenNews: Выпуск Chrome 146. Анонсированы официальные Linux-сборки Chrome для ARM64
3. OpenNews: Chrome переходит на двухнедельный цикл подготовки релизов
4. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года
5. OpenNews: Инструментарий для удаления избыточной функциональности из Chrome, Edge и Firefox
6. OpenNews: Google представил AI-возможности Chrome

Пользователям предлагается сформировать и отправить отчёт о совместимости FreeBSD с их системами. Для создания отчёта предложены скрипт и инструкция с перечнем возможностей, которые следует проверить при загрузке на устройстве FreeBSD. Результаты необходимо отправить в форме pull-запроса в репозиторий проекта на GitHub.

Скрипт run_hwprobe.sh, который следует запустить после загрузки на своём устройстве FreeBSD, определяет имеющееся оборудование и выполняет ряд автоматизированных тестов для проверки его работоспособности. Собранные данные (пример) включают информацию о CPU, GPU, сетевых адаптерах, звуковых картах, Wi-Fi, Bluetooth, накопителях, USB-устройствах и загруженных модулях ядра.

Инструкция включает контрольный список с перечнем рекомендуемых ручных проверок, позволяющих субъективно оценить корректность перехода в спящий режим в разных условиях, работу индикаторов, срабатывание режимов экономии энергопотребления, поддержку GPU, вывод видео и звука через HDMI, задействование аппаратного декодирования видео, подключение к сети, работу высокоскоростных режимов Wi-fi, работу в KDE, подключение внешних мониторов и т.п.

1. Главная ссылка к новости
2. OpenNews: Отчёт FreeBSD по улучшению юзабилити и работы на ноутбуках
3. OpenNews: Улучшение работы FreeBSD на ноутбуках названо новой стратегической целью проекта
4. OpenNews: Первые итоги проекта по улучшению работы FreeBSD на ноутбуках
5. OpenNews: Проект по запуску программ FreeBSD в Linux
6. OpenNews: Релиз FreeBSD 15.0

Целью miracle-wm является создание композитного сервера, применяющего мозаичное управление окнами, но более функционального и стильного, чем такие продукты, как Swayfx. При этом проект позволяет использовать и классические приёмы работы с плавающими окнами, например, можно размещать отдельные окна поверх мозаичной сетки или закреплять окна к определённому месту на рабочем столе. Поддерживается виртуальные рабочие столы с возможностью выставления для каждого рабочего стола своего режима работы с окнами по умолчанию (мозаичная компоновка или плавающие окна).

Предполагается, что miracle-wm может оказаться полезным пользователям, которые отдают предпочтение мозаичной компоновке, но желают получить визуальные эффекты и более яркое графическое оформление с плавными переходами и цветами. Конфигурация определяется в формате YAML. Для установки miracle-wm можно использовать команду "sudo snap install miracle-wm --classic".

Основные новшества:

• Добавлена система плагинов, поставляемых в промежуточном коде WebAssembly и выполняемых в форме изолированных (sandbox) модулей. Плагины могу применяться для изменения и расширения возможностей композитного менеджера, среди прочего связанных с изменением логики размещения окон, обработкой и расширением конфигурации, перехватом событий ввода и указателя мыши, реализацией анимированных эффектов и подключением обработчиков, срабатывающих при создании, удалении или переключении рабочих столов. Плагины могут перезапускаться по отдельности без перезапуска композитного менеджера.
• Добавлен API для разработки плагинов на языке Rust.
• Добавлена поддержка тем оформления курсоров.
• Добавлены новые пиктограммы.
• Добавлена комбинация клавиш "Meta + Shift + R" для перезагрузки конфигурации.
• Концепция "мини-деревьев" (mini tree), применяемая для группировки связанных друг с другом плавающих окон, заменена более предсказуемое поведение с отдельными плавающими окнами.
• Проведена оптимизация производительности.
• Обеспечена автоматическая перезагрузка настроек дисплея после изменения конфигурации.
• Изменён формат настройки собственных обработчиков - в привязках вместо идентификаторов клавиш в стиле событий ввода ядра Linux теперь следует использовать имена в стиле XKbKeysyms, например, "D" вместо "KEY_D" и "Return" вместо "KEY_ENTER".

1. Главная ссылка к новости
2. OpenNews: Выпуск miracle-wm 0.8, композитного менеджера на базе Wayland и Mir
3. OpenNews: Выпуск композитного сервера Niri 25.11, использующего Wayland
4. OpenNews: Выпуск композитного сервера Weston 15.0
5. OpenNews: Выпуск композитных серверов Hyprland 0.54 и labwc 0.9.4
6. OpenNews: Выпуск River 0.4.0 с разделением композитного и оконного менеджеров

Блокировка произведена без предварительного предупреждения и без возможности подать апелляцию. В качестве причины лишь упомянуто несоответствие организации требованиям к прохождению верификации, без каких либо уточнений того, что именно не устраивает Microsoft. Автор VeraCrypt попытался несколькими способами связаться с Microsoft, но все попытки не ушли дальше автоматизированных ответов ботов.

К обсуждению блокировки VeraCrypt подключился автор VPN WireGuard, который рассказал, что его учётную запись тоже заблокировали и он также теперь не может формировать релизы для Windows. Как и в случае с VeraCrypt разработчику не было отправлено каких-либо предупреждений - готовя к публикации обновление WireGuard автор попытался войти в интерфейс для создания подписи и столкнулся с тем, что его учётная запись блокирована. Процесс рассмотрения апелляции занимает до 60 дней и его исход непредсказуем. В случае выявления критической уязвимости в WireGuard у автора теперь нет возможности оперативно выпустить исправление для Windows. При этом Microsoft сам использует Wireguard в продукте Azure Kubernetes Service.

Дополнение: После общественного резонанса ситуацию прокомментировал Скотт Хансельман (Scott Hanselman), вице-президент Microsoft. По его словам он уже лично связался с авторами VeraCrypt и WireGuard, и компания разблокирует их учётные записи. В качестве причины упомянуто "я люблю подшучивать над своей компанией когда Microsoft делает что-то глупое, но иногда это лишь 'проверьте электронную почту и верифицируйте ваши аккаунты'.... Не всё является заговором, временами это просто бюрократические препоны".

1. Главная ссылка к новости
2. OpenNews: Выпуск системы шифрования дисковых разделов VeraCrypt 1.26.24
3. OpenNews: Представлена реализация VPN WireGuard для ядра Windows
4. OpenNews: Доступен VPN WireGuard 1.0.0
5. OpenNews: Microsoft удалил функциональность Hot Reload из открытого .NET для поставки только в Visual Studio 2022
6. OpenNews: В Microsoft C/C++ Extension включена блокировка работы в форках VS Code

Выпущенная в феврале AI-модель Claude Opus 4.6 достигла нового качественного уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок, рецензирование изменений и генерация кода. Эксперименты с данной AI-моделью позволили выявить более 500 уязвимостей в открытых проектах, и сгенерировать Си-компилятор, способный собрать ядро Linux. При этом модель Claude Opus 4.6 слабо справлялась с работой по созданию рабочих эксплоитов.

Модель следующего поколения "Claude Mythos" по заявлению Anthropic кардинально опережает Claude Opus 4.6 в области написания готовых эксплоитов. Из нескольких сотен попыток создания эксплоитов для уязвимостей, выявленных в JavaScript-движке Firefox 147, в Claude Opus 4.6 лишь две попытки увенчались успехом. При повторении эксперимента с использованием предварительного варианта модели Mythos рабочие эксплоиты удалось создать 181 раз - процент создания успешных эксплоитов вырос с околонулевых значений до 72.4%.

Помимо этого в Claude Mythos существенно расширены возможности по поиску ошибок и уязвимостей, что в сочетании с пригодностью для разработки эксплоитов создаёт новые риски для индустрии - эксплоиты для ещё неисправленных уязвимостей (0-day) могут создаваться непрофессионалами за считанные часы. Отмечается, что уровень возможностей модели Mythos по поиску и эксплуатации уязвимостей достиг профессионального качества и пока не дотягивает только до наиболее опытных профессионалов.

Так как открытие неограниченного доступа к AI-модели с подобными возможности требует подготовки индустрии, решено вначале открыть доступ к предварительной редакции узкому кругу экспертов для проведения работы по поиску и устранению уязвимостей в критических важных программных продуктах и открытом ПО. Для финансирования проведения инициативы выделена субсидия на оплату токенов, размером 100 млн долларов, а также решено распределить 4 млн долларов в качестве пожертвований организациям, занимающимся поддержанием безопасности открытых проектов.

В тестовом наборе CyberGym, оценивающем способность моделей выявлять уязвимости, модель Mythos показала уровень 83.1%, а Opus 4.6 - 66.6%. В тестах на качество написания кода модели продемонстрировали следующие показатели:

В ходе эксперимента компания Anthropic за несколько недель при помощи AI-модели Mythos смогла выявить несколько тысяч ранее неизвестных (0-day) уязвимостей, многие из которых отмечены как критические. Среди прочего была найдена 27 лет остававшаяся незамеченной уязвимость в TCP-стеке OpenBSD, позволяющая удалённо инициировать аварийное завершение работы системы. Также найдена существовавшая 16 лет уязвимость в реализации кодека H.264 от проекта FFmpeg, и уязвимости в кодеках H.265 и av1, эксплуатируемые при обработке специально оформленного контента.

В ядре Linux выявлено несколько уязвимостей, позволяющих непривилегированному пользователю получить права root. Связывание выявленных уязвимостей в цепочку дало возможность создать эксплоиты, позволяющие добиться получения прав root при открытии специальных страниц в web-браузере. Также создан эксплоит, позволивший выполнить код с правами root через отправку специально оформленных сетевых пакетов на NFS-сервер из состава FreeBSD.

В одной из систем виртуализации, написанной на языке, предоставляющем средства для безопасной работы с памятью, выявлена уязвимость, потенциально позволяющая через манипуляции в гостевой системе выполнить код на стороне хоста (название не приводится, так как проблема ещё не исправлена, но судя по всему уязвимость присутствует в unsafe-блоке в коде на Rust). Найдены уязвимости во всех популярных web-браузерах и криптографических библиотеках. Выявлены уязвимости, приводящие к подстановке SQL-кода, в различных web-приложениях.

1. Главная ссылка к новости
2. OpenNews: Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла
3. OpenNews: Linux Foundation распределит $12.5 млн на поддержание безопасности открытого ПО
4. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов
5. OpenNews: AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей
6. OpenNews: Anthropic опубликовал Си-компилятор, созданный AI-моделью Claude Opus и способный собрать ядро Linux

Уязвимость присутствует в D-Bus сервисе flatpak-portal, обеспечивающем запуск "порталов", которые применяются для организации доступа к ресурсам основного окружения из изолированных приложений. Проблема вызвана тем, что сервис flatpak-portal позволяет приложению указывать в опции sandbox-expose файловые пути, которые из-за отсутствия должных проверок могут быть символическими ссылками, указывающими на произвольные части ФС.

Перед монтированием сервис раскрывает символическую ссылку и монтирует в sandbox-окружение путь, на который она указывает, что позволяет обойти изоляцию и получить доступ на чтение и запись к файлам хост-окружения. Для организации выполнения своего кода в системе, например, можно добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile, или изменить файл ~/.ssh/authorized_keys с ключами SSH.

Статус устранения уязвимости в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora. В качестве обходного пути защиты можно отключить сервис flatpak-portal:

   sudo systemctl --global mask flatpak-portal.service && systemctl --user stop flatpak-portal.service

Помимо критической уязвимости, в новом выпуске устранено ещё три проблемы с безопасностью:

• Возможность (CVE-2026-34079) удаления произвольного файла в файловой системе хост-системы. Проблема вызвана тем, что flatpak при очистке устаревшего кэша ld.so, не проверяет фактическое нахождение удаляемого файла в каталоге с кэшем.
• Возможность чтения произвольных файлов в контексте system-helper на системах с настроенным репозиторием образов OCI через манипуляции с символическими ссылками.
• Возможность вмешательства в обработку запросов на отмену загрузки приложений, позволяющего одному пользователю помешать другому пользователю остановить загрузку.

Дополнение: Опубликованы корректирующие выпуски Flatpak 1.16.5 и 1.17.5, в который устранены регрессии (1, 2, 3, 4), возникшие после исправления уязвимости и проявляющиеся в пакетах со Steam, браузерами и приложениями на базе браузерных движков.

1. Главная ссылка к новости
2. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.16.0
3. OpenNews: Уязвимость во flatpak, позволяющая обойти sandbox-изоляцию
4. OpenNews: Обновление Flatpak с устранением двух уязвимостей
5. OpenNews: Уязвимость во Flatpak, позволяющая обойти режим изоляции
6. OpenNews: Уязвимость в snapd и flatpak, позволяющая обойти режим изоляции

Из изменений можно отметить:

• Добавлены новые команды "apt why" и "apt why-not". Команда "apt why" отслеживает причину автоматической установки указанного пакета в числе зависимостей (показывает цепочку зависимостей, которая привела к установке). Команда "apt why-not" показывает причины невозможности установить пакет из-за конфликтов или отсутствия зависимых пакетов. В отличие от похожих команд, предлагаемых в утилите aptitude, добавленные в apt команды выдают не потенциально самую вероятную, а фактическую причину, вычисленную анализатором зависимостей (solver).
• В файлы ".sources" добавлены опции "Include" и "Exclude", позволяющие загружать из репозитория только указанные пакеты (белый список) или не обрабатывать определённые пакеты в репозитории (чёрный список).
• Проведён рефакторинг и расширены возможности движка разрешения зависимостей Solver3. Использование Solver3 включено по умолчанию в утилитах командной строки. Solver3 примечателен задействованием алгоритма поиска с возвратом (backtracking) для разрешения конфликтов между зависимостями, улучшением выбора версий, поддержкой выполнения обновлений в несколько стадий, значительным повышением производительности (apt-test выполняется в два раза быстрее), опцией для установки экспериментальных версий, защитой от удаления вручную поставленных пакетов, более агрессивным автоматическим удалением неиспользуемых зависимостей.
• Реализована поддержка вариантов микроархитектуры CPU (amd64v1, amd64v2, amd64v3, amd64v4), которые можно указывать в поле "Architecture:" или включать через настройку APT::Architecture-Variants. Например, при указании 'APT::Architecture-Variants { "amd64v3"; "amd64v2" }' будут использоваться отдельные варианты пакетов с исполняемыми файлами, собранными с оптимизациями для архитектур x86-64-v2 и x86-64-v3 (foo_1_amd64v3.deb и foo_1_amd64v3.deb).
• Добавлены команды: "history-list" для разбора и вывода сведений из лога с историей транзакций с пакетами; "history-info" для показа информации по отдельным транзакциям; "history-undo", "history-redo" и "history-rollback" для отмены, повтора и отката транзакций с пакетами.
• В утилиту dselect добавлена поддержка HTTPS.
• Добавлена защита от перехода в спящий режим при выполнении dpkg.
• Добавлена возможность привязки запуска apt-daily к событию подключения ноутбука к стационарному питанию.
• Реализована возможность ведения лога со счётчиками производительности в формате JSONL.

1. Главная ссылка к новости
2. OpenNews: В Debian намерены добавить Rust в число обязательных зависимостей к APT
3. OpenNews: Релиз пакетного менеджера APT 3.0.0
4. OpenNews: Для Ubuntu 25.10 подготовлены варианты пакетов, оптимизированные для архитектуры x86-64-v3
5. OpenNews: Релиз пакетного менеджера RPM 6.0

В новом выпуске:

• Добавлена директива max_headers, ограничивающая максимальное число HTTP-заголовков в запросе. При превышении лимита возвращается ошибка 400 (Bad Request). Возможность перенесена из FreeNginx.
• Обеспечена совместимость с библиотекой OpenSSL 4.0, находящейся на стадии альфа-тестирования.
• Разрешено использовать маски в директиве "include", указанной внутри блока "geo".
• Исправлена ошибка в обработке HTTP-ответов с кодом 103 (Early Hints), возвращаемых проксируемым бэкендом.
• Устранено невыставление переменных $request_port и $is_request_port в подзапросах.

Дополнительно можно отметить публикацию релиза проекта FreeNginx 1.29.7, развивающего форк Nginx. Разработку форка ведёт Максим Дунин, один из ключевых разработчиков Nginx. FreeNginx позиционируется как некоммерческий проект, обеспечивающий разработку кодовой базы Nginx без корпоративного вмешательства. Код FreeNginx продолжает поставляться под лицензией BSD. В новой версии обеспечена совместимость с OpenSSL 4.0. Устранено переполнение буфера (CVE-2026-27654) в модуле ngx_http_dav_module, возникающее при обработке WebDAV-запросов COPY и MOVE при использовании в блоках "location" директивы "alias". Устранена возможность манипуляции с PTR-записями в DNS для подстановки данных атакующего (CVE-2026-28753) в запросы auth_http и команду XCLIENT в SMTP-соединении к бэкенду.

1. Главная ссылка к новости
2. OpenNews: Обновления nginx 1.29.7 и 1.28.3 с устранением 6 уязвимостей
3. OpenNews: Выпуск Angie 1.11.0, форка Nginx
4. OpenNews: Выпуск nginx 1.29.2 и форка FreeNginx 1.29.2

Не связанные с безопасностью изменения:

• Устранена ошибка, приводящая к прекращению реагирования панели инструментов на клики мышью после перетаскивания вкладки в Linux-системах с Wayland.
• Исправлена проблема с некорректным выводом на печать некоторых элементов страниц, таких как выпадающие меню и определённые стили.
• Решена проблема с показом неверной информации на страницах с ошибками, без отображения кода ошибки, возвращённого сервером.
• Устранено аварийное завершение, возникавшее при использовании некоторых ключей или возможностей WebAuthn для двухфакторной аутентификации.
• Исправлено некорректное смещение текста внутри SVG-графики.
• Решена проблема с неработой функции "Send to device", при её вызове из секции открытия вкладки на странице Firefox View.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 149 с VPN и режимом разделения экрана
3. OpenNews: GNOME и Firefox намерены отключить по умолчанию вставку средней кнопкой мыши
4. OpenNews: Макеты обновлённого интерфейса Firefox, развиваемого под кодовым именем Nova
5. OpenNews: До 10% аварийных завершений Firefox вызваны аппаратными проблемами с памятью
6. OpenNews: AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей

Rust Coreutils задействован по умолчанию в выпуске Ubuntu 25.10 и применяется в дистрибутивах AerynOS (Serpent OS) и Apertis (развивается компанией Collabora). В отличие от GNU Coreutils реализация на Rust распространяется под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL. Дополнительно той же командой разработчиков развиваются написанные на Rust аналоги наборов утилит util-linux, diffutils, findutils, procps и acl, а также программ sed и login.

В новой версии Rust Coreutils:

• Уровень совместимости с эталонным набором тестов GNU Coreutils составил 94.74% (было 94.59%). Успешно выполнено 630 тестов, что на 1 больше, чем в прошлой версии (629). 21 тест завершился неудачей (было 23), а 14 тестов было пропущено (было 13).
• В утилитах cat, df, wc, tty, tsort, tail, touch, date, mkdir и uucore вместо crate-пакета nix задействован rustix. Сокращён объём unsafe-кода в утилитах hostname, logname, who и nice.
• Проведены оптимизации производительности утилит dd (+45%), ls, sort, wc, cat, tee, numfmt (+3%) и pr. Сокращён размер исполняемых файлов true, false и echo.
• В более 70 утилит, включая ls, head, cat, cp, mv, sort и tail, добавлена поддержка сборки в формате WebAssembly и использования интерфейса WASI (WebAssembly System Interface). Подготовлен демонстрационный online-сервис с интерактивным терминалом, в котором можно запускать утилиты uutils.
• Расширены возможности, устранены проблемы и добавлены недостающие опции для утилит cat, chown, cksum, cp, cut, date, dd, df, env, expand, expr, factor, head, install, ln, ls, mkdir, nice, numfmt, od, pr, sort, split, stdbuf, stty, sync, tee, timeout, touch, tr, true, tsort, tty, wc, yes.

1. Главная ссылка к новости
2. OpenNews: Выпуск набора утилит GNU Coreutils 9.10
3. OpenNews: Из-за ошибки в uutils в Ubuntu 25.10 перестала работать автоматическая проверка наличия обновлений
4. OpenNews: Выпуск uutils 0.7, варианта GNU Coreutils на языке Rust
5. OpenNews: Уязвимости в snapd и Rust Сoreutils, позволяющие получить root-привилегии в Ubuntu