• CVE-2026-45255 - в инсталляторе bsdinstall и конфигураторе bsdconfig отсутствовало экранирование спецсимволов в shell-скрипте, показывающем пользователю список доступных для подключения беспроводных сетей, определённых в результате сканирования. Атакующий может создать подставную точку доступа и назначить специально оформленный идентификатор сети (SSID), содержащий выполняемые в shell конструкции (например, "test`id`"). При вызове пользователем функции поиска беспроводных сетей, подставленные атакующим shell-команды будут выполнены на системе пользователя с правами root (выбор или подключение к сети атакующего не требуется, достаточно просто инициировать сканирование сетей).
• CVE-2026-45250 - переполнение стека в системном вызове setcred, позволяющее локальному непривилегированному пользователю добиться выполнения своего кода на уровне ядра. Проблема вызвана некорректной проверкой размера помещаемых в буфер данных - вместо "sizeof(gid_t)" было указано "sizeof(*groups)". Для обращения к системному вызову setcred нужны повышенные привилегии, но уязвимость присутствует в коде начального копирования в отдельный буфер переданного пользователем списка групп, выполняемого до проверки привилегий. Доступны прототипы эксплоитов.
• CVE-2026-45251 - обращение к уже освобождённой памяти (use-after-free) в системных вызовах select и poll, возникающее в случае закрытия переданного файлового дескриптора в момент до разблокировки потока, ожидающего файловые дескрипторы от системных вызовов select и poll. Успешная эксплуатация позволяет непривилегированному пользователю выполнить код на уровне ядра.
• CVE-2026-45253 - отсутствие должной проверки параметров, переданных в системный вызов ptrace при выполнении операции PT_SC_REMOTE. Уязвимость позволяет непривилегированному пользователю организовать выполнение произвольного кода в ядре, даже если целевой отлаживаемый процесс не имеет специальных привилегий.
• CVE-2026-39461 - переполнение стека в библиотеке libcasper, предоставляющей приложениям, изолированным при помощи механизма Capsicum, доступ к системным интерфейсам. При взаимодействии с обработчиком через UNIX-сокеты библиотека использует системный вызов select для ожидания поступления данных, но не проверяет соответствие дескриптора сокета действующему в select лимиту FD_SETSIZE (1024). Атакующий может инициировать выделение больших файловых дескрипторов в приложении на базе libcasper и вызвать переполнение стека. При подобных манипуляциях с setuid root программами можно добиться выполнения кода с правами root.
• CVE-2026-45254 - возможность обхода лимитов cap_net в приложении из-за того, что отсутствующий ключ воспринимается как "allow any" вместо блокировки.
• CVE-2026-45252 - переполнение буфера в модуле fusefs при обработке сообщений FUSE_LISTXATTR, позволяющее прочитать до 253 байт из области памяти ядра вне буфера или записать до 250 байт в неиспользуемую область кучи.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в системном вызове execve, предоставляющая root-доступ во FreeBSD
3. OpenNews: Проект по тестированию FreeBSD на ноутбуках
4. OpenNews: Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs
5. OpenNews: ChaosBSD - форк FreeBSD для тестирования драйверов
6. OpenNews: Продемонстрировано несколько способов обхода изоляции FreeBSD jail

Flipper One преподносится как подобие мультитула и сочетает возможности для создания беспроводных точек доступа и маршрутизаторов, эмуляции USB-устройств, запуска серверных процессов в контейнерах, анализа сетевых пакетов, создания VPN, интеграции с различными аппаратными датчиками и модулями через порт GPIO, использования в роли приёмопередатчика c программной модуляцией сигнала (SDR, Software Defined Radio), анализатора сетей 5G/LTE, повербанка, 5G/LTE-модема и мультимедийной телеприставки.

Проект по концепции напоминает уже поставляемое устройство Flipper Zero, но является полностью новым продуктом. Прошлая модель Flipper Zero была основана на микроконтроллере STM32WB55 (2 ядра Arm Cortex-M4 64 MHz, 256 KB ОЗУ и 1 MB Flash) и предназначена для анализа протоколов управления доступом на базе NFC, RFID, беспроводной радиосвязи на частотах ниже 1 Гигагерца, систем связи в инфракрасном диапазоне и проводных технологий подключения, таких как iButton, UART, SPI и I²C.

Flipper One включат как микроконтроллер, так и высокопроизводительный ARM-процессор, способный запускать Linux и обрабатывать мультимедийный контент. Новое устройство расширяет средства низкоуровневого анализа сигналов возможностями для проведения исследований на уровне сетевых технологий и протоколов, Wi-Fi, Ethernet, 5G и спутниковой связи. Производительности устройства достаточно для программного анализа радиосигналов и локального запуска моделей машинного обучения.

Поддерживается подключение внешних устройств и расширений через порты USB 3.0, PCI Express, SATA и GPIO. Например, через слот M.2 (PCI Express 2.1) можно подключить 5G/LTE-модем, SSD-накопитель или спутниковый NTN-модем. В базовом составе имеется 2 порта Gigabit Ethernet, USB Ethernet (5 Gbps), HDMI 2.1 (4K @ 120Hz) и Wi-Fi 6E (2.4/5/6 GHz) на базе чипа MediaTek MT7921AUN. Устройство оснащено SoC Rockchip RK3576 (4 высокопроизводительных ядра Cortex-A72 + 5 энергоэффективных ядра Cortex-A53, GPU Mali-G52, NPU для AI-моделей, 8 GB ОЗУ). В качестве микроконтроллера задействован RP2350 от проекта Raspberry Pi, для которого уже накоплен значительный объём готового кода.

В прошивке используется Linux-дистрибутив Flipper OS (на базе Debian) с собственным фреймворком FlipCTL для создания интерфейса пользователя, оптимизированного для 7-дюймового экрана. Интерфейс базируется на системе меню, навигация по которой осуществляется через D-pad и несколько управляющих кнопок. В меню предоставляются обвязки для запуска типовых приложений и утилит, таких как ping, nmap и traceroute. В дальнейшем FlipCTL намерены оформить в виде универсального пакета, пригодного для использования на любых встраиваемых устройствах, а не только на Flipper One. При подключении устройства к монитору через HDMI-порт предоставляется возможность запуска полноценного рабочего стола KDE.

Проект принципиально использует только открытое ПО без бинарных блобов, закрытых драйверов, завязанных на производителей BSP (board support package) и проприетарных прошивок. За реализацию открытых драйверов для SoC Rockchip RK3576 и интеграцию их в ядро Linux взялась компания Collabora. Большая часть драйверов к SoC RK3576 уже принята в основной состав ядра Linux, остаётся заменить бинарный блоб с кодом для инициализации ОЗУ, а также подготовить драйверы для NPU и ускорителей декодирования видео.

1. Главная ссылка к новости
2. OpenNews: Программно-аппаратная платформа CHERIoT 1.0 для повышения безопасности кода на языке Си
3. OpenNews: Открытый радар AERIS-10, способный отслеживать объекты на расстоянии до 20 км
4. OpenNews: Опубликован инструментарий LTESniffer для перехвата трафика в сетях 4G LTE
5. OpenNews: Проект Raspberry Pi представил платы Compute Module 5 и Pico 2 W
6. OpenNews: 10-гигабитный маршрутизатор Turris Omnia NG Wired, использующий OpenWRT

Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. Среди особенностей web-интерфейса: поддержка безопасной VNC-консоли; управление доступом ко всем доступным объектам (VM, хранилище, узлы и т.п.) на основе ролей; поддержка различных механизмов аутентификации (MS ADS, LDAP, Linux PAM, Proxmox VE authentication).

В новом выпуске:

• Осуществлена синхронизация с пакетной базой Debian 13.5. Ядро Linux обновлено до выпуска 7.0. Задействованы новые выпуски QEMU 11.0, LXC 7.0, OpenZFS 2.4, Ceph 19.2.3/20.2.1.
• В планировщик ресурсов кластера CRS (Cluster Resource Scheduler) добавлен режим динамической балансировки нагрузки. В данном режиме на основе собираемых в реальном времени метрик о потреблении ресурсов узлами и гостевыми системами, осуществляется распределение гостевых систем по узлам в кластере. Среди прочего, гостевые системы, работающие в режиме высокой доступности, могут автоматически мигрировать с одного узла на другой для снижения дисбаланса в кластере. Поведение балансировки настраивается через панель управления высокой доступностью в web-интерфейсе.
• В стек программно определяемых сетей (SDN, Software-Defined Networking) добавлена поддержка протоколов WireGuard и BGP для организации сетевого взаимодействия между кластерами. Среди прочего возможна тонкая настройка фильтрации маршрутов BGP/EVPN с использованием route map и списков префиксов. Также добавлены дополнительные опции для настройки контроллеров EVPN и возможность использования IPv6 с EVPN.
• В Web-интерфейс в секцию "Datacenter → Guest Resources/Hardware" добавлены инструменты для создания, редактирования и удаления собственных моделей виртуальных CPU, определяющих то, какие возможности CPU будут предоставляться внутри виртуальных машин.
• Добавлена возможность временной деактивации режима высокой доступности для всего кластера, что может быть полезным при проведении обслуживания, например, для приостановки срабатывания HA-событий во время внесения изменений в сетевую инфраструктуру. После деактивации обработка событий лишь останавливается, а само состояние ресурсов сохраняется и после активации восстанавливается. Управление осуществляется при помощи новых команд "disarm-ha" и "arm-ha".
• В web-интерфейс и API добавлена возможность применения сертификатов Microsoft и Windows UEFI 2023.

1. Главная ссылка к новости
2. OpenNews: Доступен дистрибутив Proxmox Backup Server 4.2
3. OpenNews: Представлен Proxmox Datacenter Manager 1.0
4. OpenNews: Выпуск Proxmox VE 9.1, дистрибутива для организации работы виртуальных серверов
5. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.2
6. OpenNews: Выпуск XCP-ng 8.3, свободного варианта XenServer

В новой версии:

• Добавлена возможность замены темы оформления в процессе работы. В утилиту wlmtool добавлена функция поиска доступных тем оформления, которая также вынесена в корневое меню. В файл конфигурации Config.plist добавлена опция для выбора темы, загружаемой по умолчанию.
• Обеспечена поддержка тем оформления курсора, загружаемых из каталогов /etc/alternatives/x-cursor-theme и /usr/share/icons/default/index.theme.
• Предоставлена возможность настройки комбинации клавиш для перемещения окон.
• Реализован алгоритм для оптимальной расстановки окон.
• Добавлен интерфейс для управления подсветкой через утилиту brightnessctl, вызываемый из меню или через комбинацию клавиш.
• Добавлены настройки действий на тачпаде (касание для клика, прокрутка двумя пальцами и т.п.).
• В системный лоток добавлено приложение wlmbattery для показа уровня заряда аккумулятора и индикации подключения к стационарной электросети.
• Добавлены настраиваемые комбинации клавиш (Alt+) для эмуляции клика правой кнопкой мыши.

1. Главная ссылка к новости
2. OpenNews: Доступен Wayland 1.25
3. OpenNews: Выпуск композитных серверов Wayfire 0.10 и wlmaker 0.6, использующих Wayland
4. OpenNews: Выпуск Cage 0.3, композитного сервера на базе Wayland для создания киосков
5. OpenNews: Выпуск композитного сервера Niri 26.04, использующего Wayland
6. OpenNews: Выпуск композитного сервера Hyprland 0.55

Дистрибутив внимательно относится к сохранению конфиденциальности и предлагает ряд возможностей для защиты частной жизни пользователей. Например, доступен набор средств для шифрования данных на диске, в поставку входит Tor Browser, а для защиты от отслеживания действий пользователя в Web предустановлено дополнение Privacy Badger. В качестве браузера по умолчанию задействован PureBrowser (пересборка Firefox).

PureOS поддерживает режим "Convergence", предлагающий адаптивное пользовательское окружение для мобильных и настольных устройств. Интерфейс приложений динамически меняется в зависимости от размера экрана и доступных устройств ввода, что позволяет работать с одними и теми же приложениями как на сенсорном экране смартфона, так и на больших экранах ноутбуков и ПК. Дистрибутив поставляется по умолчанию на смартфонах, планшетах, ноутбуках, серверах и миниатюрных ПК серий Librem.

Основные изменения:

• Пакетная база обновлена до Debian 12 "Bookworm". GNOME обновлён до ветки 44 (была - 40), а KDE Plasma до выпуска 6.2 (в поставке также 5.27).
• В сборке с рабочим столом KDE Plasma, включены штатные приложения KDE, что позволило избавится от привязки к программе GNOME Software.
• В состав сборок с рабочими столами добавлен минимальный набор инструментов для разработчиков.
• Модернизирован стек для работы с камерой. Для постобработки фотографий задействован OpenGL. В приложении для работы с камерой Millipixels расширены возможности по сканированию штрих-кодов, обеспечен автоматический поворот снимков, улучшена синхронизация звука на видео и повышено качество выставления баланса белого.
• Налажена индикация об использовании аппаратных переключателей, которые на уровне разрыва цепей позволяют отключить камеру, микрофон, GPS, WiFi/Bluetooth и модуль Baseband.
• Подготовлено приложение PureOS Upgrade для упрощения обновления устройств до новой версии дистрибутива.

Основные требования к полностью свободным дистрибутивам:

• Включение в состав дистрибутива ПО с одобренными FSF лицензиями;
• Недопустимость поставки бинарных прошивок (firmware) и любых бинарных компонентов драйверов;
• Непринятие неизменяемых функциональных компонентов, но возможность включения нефункциональных, при условии разрешения копировать и распространять их в коммерческих и некоммерческих целях (например, CC BY-ND-карты к GPL-игре);
• Недопустимость использования торговых марок, условия использования которых мешают свободному копированию и распространению всего дистрибутива или его части;
• Соблюдение лицензионной чистоты документации, недопустимость документации, рекомендующей установку проприетарного ПО для решения определённых задач.

В настоящее время помимо PureOS в список полностью свободных дистрибутивов GNU/Linux включены следующие проекты:

• Trisquel - основанный на Ubuntu специализированный дистрибутив для небольших предприятий, домашних пользователей и образовательных учреждений;
• Dragora - независимый дистрибутив, пропагандирующий идею максимального архитектурного упрощения;
• Dynebolic - специализированный дистрибутив для обработки видео и аудио данных (более не развивается - последний релиз был 8 сентября 2011 года);
• Guix - основан на пакетном менеджере Guix и системе инициализации GNU Shepherd (ранее известной как GNU dmd), написанными на языке Guile (одна из реализаций языка Scheme), который также используется и для определения параметров запуска сервисов.
• Hyperbola - основан на стабилизированных срезах пакетной базы Arch Linux с переносом из Debian некоторых патчей для повышения стабильности и безопасности. Проект развивается в соответствии с принципом KISS (Keep It Simple Stupid) и нацелен на предоставление пользователям простого, легковесного, стабильного и безопасного окружения.
• Parabola GNU/Linux - дистрибутив, основанный на наработках проекта Arch Linux.
• libreCMC (libre Concurrent Machine Cluster), специализированный дистрибутив, рассчитанный на использование во встраиваемых устройствах, таких как беспроводные маршрутизаторы.
• ProteanOS - обособленный дистрибутив, развивающийся в направлении достижения как можно более компактного размера;

1. Главная ссылка к новости
2. OpenNews: Доступен полностью свободный Linux-дистрибутив Trisquel 12.0
3. OpenNews: Представлен смартфон Liberty Phone, продолжающий развитие Librem 5
4. OpenNews: Релиз полностью свободного Linux-дистрибутива PureOS 10
5. OpenNews: Фонд СПО признал Hyperbola полностью свободным дистрибутивом

В панели инструментов размещены отдельные кнопки для перехода в режим приватного просмотра и использования встроенного VPN. Переработан интерфейс конфигуратора, в котором расширены возможности поиска настроек, крупные секции разделены на несколько отдельных страниц, улучшена навигация, обновлены метки и описание настроек.

Упрощён доступ к группировке вкладок, вертикальным вкладкам и режиму просмотра бок о бок двух вкладок. Возвращена возможность включения компактного режима, в котором элементы интерфейса занимают меньше экранного пространства.

Обновлены пиктограммы, которые теперь выглядят чище и более сбалансированы в светлых и тёмных темах. Изменена цветовая палитра, в которой задействованы оттенки фиолетового цвета и более светлые тёплые тона. Реализован эффект свечения вокруг кнопки активной вкладки. Переработана отступы между всеми элементами интерфейса.

Изменён не только интерфейс десктоп-сборок, но и интерфейс версии для Android.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 151
3. OpenNews: В Firefox встроен движок блокирования рекламы adblock-rust, используемый в Brave
4. OpenNews: До 10% аварийных завершений Firefox вызваны аппаратными проблемами с памятью
5. OpenNews: Макеты обновлённого интерфейса Firefox, развиваемого под кодовым именем Nova

Кроме непосредственно операционной системы, проект OpenBSD известен своими компонентами, которые получили распространение в других системах и зарекомендовали себя как одни из наиболее безопасных и качественных решений. Среди них: LibreSSL (форк OpenSSL), OpenSSH, пакетный фильтр PF, демоны маршрутизации OpenBGPD и OpenOSPFD, NTP-сервер OpenNTPD, почтовый сервер OpenSMTPD, мультиплексор текстового терминала (аналог GNU screen) tmux, демон identd с реализацией протокола IDENT, BSDL-альтернатива пакету GNU groff - mandoc, протокол для организации отказоустойчивых систем CARP (Common Address Redundancy Protocol), легковесный http-сервер, утилита синхронизации файлов OpenRSYNC.

OpenBSD 7.9 стал 60 релизом проекта. Основные изменения:

• В планировщике задач для архитектур amd64 и arm64 реализован механизм для управления использованием ядер CPU в зависимости от их производительности. Для исключения определённых типов ядер при работе планировщика предложена sysctl-переменная "hw.blockcpu", принимающая флаги: S для исключения логических ядер (SMT), P - обычных ядер, E - энергоэффективных ядер (медленее на 20-50%) и L - заторможенных ядер (самые медленные). По умолчанию выставляется значение SL.
• Реализована возможность отложенной гибернации (delayed hibernation) для предотвращения полного разряда батареи во время ждущего режима. Суть механизма в том, что вначале система переводится в ждущий режим, при котором оперативная память остаётся активной, и находится в таком состоянии время, заданное через sysctl-переменную machdep.hibernatedelay. После истечения данного времени систем пробуждается и сразу переводится в спящий режим (гибернация), в котором содержимое оперативной памяти сохраняется на постоянный накопитель.
• Реализация фреймворка drm (Direct Rendering Manager) и графических драйверов для GPU AMD и Intel синхронизирована с ядром Linux 6.18.22 (в прошлом выпуске - 6.12.50).
• Добавлена поддержка работы в качестве гостевой системы в системах виртуализации на базе Apple Hypervisor. Сборки OpenBSD для архитектуры arm64 могут использоваться в виртуальных машинах в macOS на оборудовании с ARM-чипами Apple Silicon.
• Добавлено миниатюрное ядро vmboot, позволяющее инициализировать окружение для виртуальной машины на базе гипервизора vmd после обновления через sysupgrade.
• PCI-драйверам предоставлена возможность изменять своё состояние энергопотребления, что задействовано в драйвере xhci для перехода в режим низкого энергопотребления и перевода сопутствующего контроллера USB4 в режим сна.
• Добавлена базовая реализация низкоуровневого API FUSE, достаточная для компиляции и запуска драйвера lowntfs-3g.
• Добавлена поддержка Wi-Fi 6 (802.11ax).
• Расширена поддержка оборудования и добавлены новые драйверы для контроллеров USB4, PCIe-контроллеров Cadence, Qualcomm SC7280, Qualcomm GENI UART, SPI-контроллера Intel LPSS, Quectel EC200A LTE modem.
• На системах amd64 добавлена возможность загрузки файлов с ядром из раздела EFI, что можно использовать для размещения загрузчика и bsd.rd в раздел EFI для запуска инсталлятора.
• Добавлен системный вызов __pledge_open, позволяющий libc открывать некоторые важные файлы, такие как устройство генератора псевдослучайных чисел и база часовых поясов, даже когда механизмы pledge и unveil это запрещают. При этом открытые таким образом файлы доступны только в режиме чтения и функции write, chmod, chflags, chown, ftruncate и fdpassing для них запрещены.
• В сетевое устройство veb (Virtual Ethernet Bridge) добавлена поддержка VLAN.
• Включена по умолчанию автоматическая конфигурация IPv6 (SLAAC).
• Обновлены OpenSSH, LibreSSL и OpenBGPD. Список изменений можно посмотреть в анонсах OpenSSH 10.3, LibreSSL 4.3 и OpenBGPD 9.1.
• Число портов для архитектуры AMD64 составило 13044 (было 12651), для aarch64 - 12883 (было 12506), для i386 - 10631 (было 10457). Среди версий приложений в портах:
  • Asterisk 22.9.0
  • Audacity 3.7.7
  • CMake 4.2.3
  • Chromium 147.0.7727.101
  • Emacs 30.2
  • FFmpeg 8.0.1
  • GCC 15.2.0
  • GNOME 49
  • Go 1.26.2
  • JDK 25.0.2
  • KDE Gear 25.12.3, KDE Frameworks 6.23.0, KDE Plasma 6.6.4
  • Krita 5.2.16
  • LLVM/Clang 21.1.8
  • LibreOffice 26.2.2.2
  • Lua 5.4.8
  • MariaDB 11.4.10
  • Mono 6.14.1
  • Firefox 150.0
  • Thunderbird 140.10.0
  • Node.js 22.22.2
  • OpenLDAP 2.6.13
  • PHP 8.5.5
  • Postfix 3.11.1
  • PostgreSQL 18.3
  • Python 3.13.13
  • Qt 6.10.2
  • Ruby 4.0.2
  • Rust 1.94.1
  • SQLite 3.51.3
  • Shotcut 26.2.26
  • Sudo 1.9.17p2
  • Suricata 7.0.7
  • Tcl/Tk 9.0.3
  • Vulkan 1.4.341.0
  • Wayland 1.24.0 с композитными серверами Labwc, Mango, Niri, Sway и Wayfire.
  • Xfce 4.20.0
• Обновлены компоненты от сторонних разработчиков, входящие в состав OpenBSD 7.9:
  • Графический стек Xenocara на базе X.Org 7.7 с xserver 21.1.21 + патчи, freetype 2.14.2, fontconfig 2.17.1, Mesa 25.0.7, xterm 406, xkeyboard-config 2.20, fonttosfnt 1.2.4.
  • LLVM/Clang 19.1.7 (+ патчи)
  • GCC 4.2.1 (+ патчи)
  • Perl 5.42.2 (+ патчи)
  • NSD 4.14.2
  • Unbound 1.24.2 (в данной версии присутствует критическая уязвимость в реализации DNSSEC, допускающая удалённое выполнение кода).
  • Ncurses 6.4
  • Binutils 2.17 (+ патчи)
  • Gdb 6.3 (+ патчи)
  • Awk 20250116
  • Expat 2.7.5
  • zlib 1.3.2 (+ патчи)

1. Главная ссылка к новости
2. OpenNews: Релиз OpenBSD 7.8
3. OpenNews: В OpenBSD реализована поддержка запуска под управлением Apple Hypervisor
4. OpenNews: В OpenBSD переименовали поле в pfsync после ложного AI-отчёта об уязвимости
5. OpenNews: Для OpenBSD подготовлен порт с классической средой рабочего стола CDE
6. OpenNews: MinC - похожее на Cygwin окружение для Windows с утилитами из OpenBSD

Проект ставит своей задачей создание настраиваемого и функционального браузера, сохраняющего приватность данных пользователей. В число основных функций входит блокировщик слежки и рекламы, менеджеры заметок, истории и закладок, приватный режим просмотра, синхронизация, защищённая сквозным шифрованием, режим группировки вкладок, боковая панель, конфигуратор с большим числом настроек, режим горизонтального отображения вкладок, а также встроенный почтовый клиент, RSS-ридер и календарь.

В новой версии полностью унифицирован интерфейс браузера - все панели инструментов теперь находятся в одной визуальной плоскости, охватывающей весь браузер без разделения на фреймы.

Пользователям предоставлена возможность выбора одного из 6 предустановленных вариантов компоновки браузера, позволяющих быстро получить необходимую конфигурацию. Выбор осуществляется в процессе начальной настройки новой установки браузера или через настройки уже установленных экземпляров (Settings → Appearance → Layout).

Доступны следующие варианты компоновки:

• Легковесный интерфейс с вкладками сверху.
• Классический интерфейс c панелью инструментов и боковой панелью как в прошлых версиях)
• Размещение вкладок вертикально в левой части окна и боковая панель, появляющаяся при при подведении курсора к правой границе окна.
• Размещение вкладок вертикально в правой части окна и боковая панель, появляющаяся при при подведении курсора к левой границе окна.
• Автоскрытие панелей инструментов, панели вкладок, боковой панели и адресной строки. По умолчанию всё пространство отдано под содержимое страницы, а панели появляются при наведения курсора на один из краёв окна.
• Отображение панели вкладок и адресной строки в нижней части окна.

1. Главная ссылка к новости
2. OpenNews: Состоялся релиз браузера Vivaldi 7.9 для десктопов
3. OpenNews: Началось альфа-тестирование браузера Orion для Linux
4. OpenNews: Выпуск браузера Pale Moon 34.0.0
5. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
6. OpenNews: В Firefox встроен движок блокирования рекламы adblock-rust, используемый в Brave

Пакеты RHEL не размещены в публичном репозитории git.centos.org и предоставляются клиентам компании только через закрытый раздел сайта, на котором действует пользовательское соглашение (EULA), запрещающее редистрибуцию данных, загруженных через клиентский портал, что создаёт юридические риски при использовании этих пакетов для создания производных дистрибутивов. Исходные тексты RHEL остаются доступны в репозитории CentOS Stream, но он не полностью синхронизирован с RHEL и версии пакетов в нём не всегда совпадают с пакетами из RHEL. Rocky Linux, Oracle и SUSE воспроизводят исходные тексты rpm-пакетов релизов RHEL в рамках проекта OpenELA.

Основные изменения в RHEL 10.2 (большинство из отмеченных изменений присутствует и в RHEL 9.8):

• Предоставлена возможность использования интерфейса io_uring для операций асинхронного ввода/вывода.
• Добавлена поддержка стандарта WiFi7.
• В качестве опции предоставлена возможность использования AI-ассистента goose в командной строке. Пакеты с goose доступны через репозиторий "extensions".
• В инсталлятор Anaconda добавлена возможность автоматической установки пакетов в формате Flatpak в процессе инсталляции дистрибутива. Наличие Flatpak-пакетов зависит от выбранного окружения, например, при выборе "Server with GUI" устанавливается Flatpak-пакет с Firefox.
• В Kickstart добавлена новая команда "rdp" для включения графической установки с использованием протокола RDP (Remote Desktop Protocol), а также экспериментальная (Technology Preview) команда "bootc" для развёртывания загрузочных контейнеров.
• В графический интерфейс для сборки системных образов (image builder) добавлена поддержка создания загрузочных контейнеров и дисковых образов, а также образов для установки по сети с инсталлятором Anaconda.
• Добавлена команда "bootc upgrade --download-only" для загрузки обновлений систем на базе bootc без их автоматического применения. Для применения ранее загруженного обновления можно использовать команду " bootc upgrade".
• Добавлена возможность преобразования загрузочных образов контейнеров в виртуальные машины. Для запуска подобных эфемерных виртуальных машин предложена утилита bcvk.
• Добавлена поддержка создания образов для сетевой загрузки через PXE, не меняющих своё состояние (stateless-cборки для бездисковых систем), из существующих сборок контейнеров.
• В OpenSSH и libssh добавлена поддержка гибридных алгоритмов обмена ключами mlkem768nistp256-sha256 и mlkem1024nistp384-sha38, стойких для подбора на квантовом компьютере. В pki и системе сертификатов реализована поддержка ключей и цифровых подписей на базе алгоритма ML-DSA.
• Под защиту SELinux переведены сервисы systemd-oomd и redfish-finder. Из режима "permissive" в "enforcing" переключены контексты SELinux anaconda_generator_t, ktlshd_t, switcheroo_control_t, systemd_pcrextend_t, systemd_user_runtimedir_t и tuned_ppd_t. Настройки SELinux адаптированы для новых процессов OpenSSH - sshd-session и sshd-auth. В SELinux реализована поддержка сетевых протоколов DCCP (Datagram Congestion Control Protocol) и SCTP (Stream Control Transmission Protocol).
• В репозиторий CRB (CodeReady Builder) добавлен новый пакет "capnproto" с Cap'n Proto, высокопроизводительной системой обмена данными и удалённого вызова процедур (RPC), которая задействована в пакете rust-sequoia.
• Предложена новая реализация клиента и сервера FIDO Device Onboarding (FDO) go-fdo-client и go-fdo-server.
• Добавлен пакет greenboot-rs с реализацией инструментария Greenboot, переписанного на языке Rust (старая версия была написана на bash). Greenboot применяется в атомарно обновляемых вариантах RHEL для проверки состояния системы при загрузке и отката на прошлую версию при обнаружении проблем.
• Добавлена возможность использования API Nmstate и плагина NetworkManager-libreswan для настройки связывания нескольких подсетей при помощи одного туннеля IPsec. В NetworkManager-libreswan добавлена поддержка запуска соединений IPsec на базе Libreswan по мере необходимости (on-demand).
• В API epoll реализован режим IRQ suspension, в зависимости от периодов активности приложения адаптивно переключающийся между активным полингом (NAPI/busy polling, периодический опрос устройства ядром) и генерацией прерываний. Когда приложение находится в состоянии простоя (idle) используется обработка прерываний, а когда фиксируется высокая нагрузка - используется полинг. В некоторых ситуациях новый режим может до 30% сократить энергопотребление в датацентрах.
• Обеспечена полная поддержка протоколов PRP (Parallel Redundancy Protocol) и HSR (High-availability Seamless Redundancy), реализованная через модуль ядра hsr.
• В ядре Linux реализована опция командной строки "microcode=список флагов" для управления поведением загрузчика микрокода на системах x86 (например, можно задать минимально допустимую для загрузки версию микрокода).
• В nftables в обработчиках netdev добавлена поддержка масок в именах сетевых интерфейсов, например 'type filter hook ingress devices = { "vlan*", "veth0" }'.
• В пакет iproute добавлена утилита dpll для управления и мониторинга устройствами DPLL (digital phase-locked loop).
• В состав пакета kernel-modules-extra включены модули ядра fou и fou6 с реализацией протоколов FOU (Foo-over-UDP) и GUE (Generic Routing Encapsulation) для организации тунеллирования различных IP-протоколов поверх UDP.
• В firewalld добавлена поддержка наборов предопределённых правил (policy-sets). Например, набор правил "gateway" охватывает функциональность типового домашнего маршрутизатора (включает NAT, conntrack-обработчики и перенаправление трафика между зонами).
• Добавлена возможность сохранения дампов памяти ядра (vmcore) после сбоев на шифрованные разделы LUKS.
• В пакете tpm2-tools улучена совместимость с новыми чипами TPM 2.0 (Trusted Platform Module).
• Подсистема BPF синхронизирована с ядром 6.17, а Perf - с ядром 6.18. Добавлена поддержка отслеживания производительности на системах c CPU Fujitsu Monaka и Intel Clearwater Forest.
• В ftrace добавлена возможность использования трассировщика function_graph для отслеживания значений, возвращаемых функциями.
• В утилиту kpatch, используемую для наложения патчей на ядро без остановки работы, добавлена возможность просмотра списка CVE-идентификаторов уязвимостей, исправленных в активном ядре.
• Для групп разделов LVM (VG, volume group) реализована поддержка механизма Persistent Reservations, позволяющего резервировать области в совместно используемых хранилищах.
• Предоставлена возможность применения системных ролей (System Roles) к атомарно обновляемым системам, формируемым при помощи разных инструментариев, включая ostree. Изменение позволяет развёртывать и настраивать атомарно обновляемые системы с использованием тех же ролей, что используются для обычных систем.
• В пакет virtio-win добавлен драйвер viosock (Virtual Socket) для виртуальных машин с Windows, обеспечивающий взаимодействие между гостевой и хостовой системами. Добавлен сервис virt-secrets-init-encryption для шифрования используемых в libvirt ключей доступа для vTPM (virtual Trusted Platform Module). (vTPM).
• В QEMU реализовано нативное (без эмуляции) использование метода ввода/вывода FUA (Forced Unit Access), позволившее поднять производительность виртуальных хранилищ, например, при нагрузках, свойственных СУБД.
• Инструментарий Podman переведён c GnuPG на использование Sequoia-PGP, реализации OpenPGP, написанной на Rust. Предоставлена поддержка формирования цифровых подписей для контейнеров при помощи Sequoia-PGP.
• В Red Hat Container Registry добавлены контейнеры rhel10/ruby-40, rhel10/postgresql-18, rhel10/python-314-minimal, rhel10/mariadb-118 и rhel10/php-84.
• Добавлена экспериментальная возможность загрузки виртуальных машин в режиме Secure Boot на системах ARM64.
• Добавлена экспериментальная поддержка live-миграции виртуальных машин, использующих протокол S3-PR (SCSI3-Persistent Reservation) (S3-PR).
• Добавлена экспериментальная поддержка запуска контейнеров в легковесных microVM с использованием runtime krun (на базе crun).
• Добавлена экспериментальная возможность использования vsock (Virtual Socket) для проброса доступа к TCP-портам из хост окружения в гостевую систему без дополнительных настроек, например, можно пробросить доступ к SSH.
• Команда vi переведена на запуск vim-minimal вместо полноценного редактора Vim.
• Размер дискового раздела /boot по умолчанию увеличен c 1 до 2 ГБ.
• Добавлена поддержка серверов с процессорами Intel Xeon 6+ (CWF, Clearwater Forest). Добавлена поддержка аппаратных ускорителей Intel QAT (QuickAssist Technology) Gen6. Объявлена стабильной поддержка ускорителей IAA (In-Memory Analytics Accelerator), встроенных в CPU Intel Wildcat Lake.
• Добавлены новые драйверы:
  • qaic - для AI-ускорителей Qualcomm Cloud.
  • tpm_crb_ffa - для TPM CRB FFA driver
  • qat_6xxx для криптоускорителей Intel QuickAssist Technology GEN6.
  • imx-bus для Generic i.MX bus.
  • imx8m-ddrc для управления частотой контроллера i.MX8M DDR.
  • zl3073x для Microchip ZL3073x DPLL (Digital Phase Locked Loop).
  • gpio-usbio для Intel USBIO GPIO.
  • sil164 для Silicon Image sil164 TMDS.
  • mshv_root для Microsoft Hyper-V root partition VMM.
  • gpio_keys для подключения клавиатуры через GPIO.
  • mtd_intel_dg для Intel DGFX MTD.
  • rtw89_8922a для Realtek 802.11be wireless 8922A.
  • amd_hsmp для AMD HSMP (Host System Management Port).
  • amd_isp4 для AMD ISP4 (Image Signal Processor).
  • intel-oaktrail для Intel Oaktrail.
  • intel-sdsi для Intel On Demand (SDSi).
  • typec_thunderbolt для Thunderbolt 3 USB Type-C.
  • usbio для Intel USBIO.
• Обновлены версии пакетов для разработчиков: Python 3.14, Ruby 4.0, PHP 8.4, OpenJDK 25, LLVM Toolset 21, Go Toolset 1.26, Rust Toolset 1.92, Git 2.51, PostgreSQL 18, MariaDB 11.8, valgrind 3.26.0, SystemTap 5.4, Node.js 24.
• Обновлены серверные пакеты: NetworkManager 1.56.0, BIND 9.18.33, openwsman 2.8.1, iproute 6.17.0, nftables 1.1.5, OpenSSH 9.9, libreswan 5.3, chrony 4.8, podman 5.8.0, libvirt 11.10.0, QEMU 10.1.0, Samba 4.23.5, ipa 4.13.0, 389-ds-base 3.2.0, cockpit 356.
• Обновлены системные пакеты: chrony 4.8, setools 4.6.0, fapolicyd 1.4.3, libssh 0.12.0, OpenSCAP 1.4.3, librepo 1.19.0, rsyslog 8.2510.0, OpenSSL 3.5.5, Cockpit 356, cmake 3.31.8, sudo 1.9.17p2, fwupd 2.0.19.
• Среда рабочего стола обновлена до версии GNOME 49 (был GNOME 47). В композитный менеджер Mutter добавлен экспериментальный режим HDR (High Dynamic Range) для дисплеев, поддерживающих расширенный диапазон яркости. Обновлены Mesa 25.2.7, libinput 1.30 и PipeWire 1.4.9.
• В экран входа в систему GDM добавлена экспериментальная поддержка интерактивного выбора метода аутентификации, среди прочего можно использовать внешних провайдеров идентификации (EIdP), FIDO2-совместимые устройства и смарткарты.
• Firefox и Thunderbird переведены на поставку в формате Flatpak.

1. Главная ссылка к новости
2. OpenNews: Релиз Red Hat Enterprise Linux 9.7 и 10.1
3. OpenNews: Релиз дистрибутива SUSE Linux Enterprise Server 16
4. OpenNews: Релиз дистрибутива Red Hat Enterprise Linux 10
5. OpenNews: Изменения в подготовке промежуточных выпусков Red Hat Enterprise Linux
6. OpenNews: Red Hat увеличил платное сопровождение промежуточных выпусков RHEL до 6 лет

Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 9.4, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE.

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

Основные новшества:

• Разработчики ONLYOFFICE прислушалась к пожеланиям Фонда СПО и организации Software Freedom Conservancy и удалили спорные условия, добавленные поверх лицензии AGPL и требующие сохранения в производных продуктах оригинального логотипа ONLYOFFICE. Дополнительные условия в обновлённой лицензии теперь сводятся к типовым пунктам о необходимости сохранять примечания об авторских правах, лицензии и авторах. При модификации предписано упоминать, что продукт основан на ONLYOFFICE, и показывать соответствующее уведомление в графическом интерфейсе. В лицензии также указано, что она не предоставляет прав на использование товарного знака ONLYOFFICE, который распространяется под отдельными условиями.
• В Community-версии ONLYOFFICE Docs (DocumentServer) убрано ограничение в 20 одновременных подключений и прекращено выполнение минификации публикуемого кода. Упрощена архитектура (все компоненты объединены в один процесс), а также убраны лишние зависимости и привязки к RabbitMQ и СУБД, что позволяет использовать ONLYOFFICE Docs на более слабом оборудовании.
• В редакторе электронных таблиц при выборе тёмной темы оформления реализована возможность переключения на тёмный фон рабочей области электронной таблицы.
• В редактор документов добавлена возможность вставки горизонтальных линий для наглядного разделения секций в документе и упрощения читаемости.
• Переработаны инструменты для заполнения форм. Добавлена поддержка привязки к форме определённых получателей и наглядного отслеживания состояния заполнения формы прямо в редакторе.
• Добавлена возможность сохранения изображения подписи для его быстрого прикрепления к нескольким документам без необходимости повторной загрузки для каждого документа (при заполнении полей с подписью теперь по умолчанию автоматически предлагается последнее выбранное изображение).
• В редакторе презентаций предложено 25 новых шаблонов оформления презентаций.
• В редакторе презентаций предложено 20 новых визуальных эффектов перехода между слайдами.
• Для всех редакторов доступна новая вкладка "Chart Design", сводящая воедино все настройки, связанные с диаграммами.
• Расширены возможности для вставки внешнего содержимого в документы, PDF-файлы и презентации, без нарушения исходного форматирования таблиц и текста с разметкой. В кнопку Paste в верхней панели добавлены опции для вставки из буфера обмена.
• В мобильное приложение добавлена отдельная кнопка для сохранения документа, позволяющая отключить автозапись и вручную контролировать сохранение на системах с неустойчивым сетевым соединением.

1. Главная ссылка к новости
2. OpenNews: Фонд СПО и SFC призвали ONLYOFFICE удалить ограничения, добавленные поверх лицензии AGPL
3. OpenNews: Создан Euro-Office, форк ONLYOFFICE. Проект ONLYOFFICE обвинил форк в нарушении лицензии
4. OpenNews: Опубликован офисный пакет ONLYOFFICE 9.3
5. OpenNews: Выпуск офисного пакета LibreOffice 26.2
6. OpenNews: Из курирующей LibreOffice организации TDF исключены все сотрудники Collabora

Причиной удаления стало отсутствие активности в группе сопровождающих deepinde-sig и заброшенный характер пакетов, остающихся длительное время без исправления серьёзных ошибок и предположительно имеющих неустранённые уязвимости. Некоторые из неисправленных ошибок приводили к проблемам со сборкой из исходного кода (FTBFS) или сбоям при установке (FTI).

Месяц назад участники FESCo приняли решение отсрочить удаление пакетов и попытались связаться с сопровождающими пакеты Deepin для уточнения состояния проекта. Разработчикам удалось связаться с главным сопровождающим, который пояснил, что не против удаления пакетов из репозитория, так как все участники группы deepinde-sig слишком загружены основной работой и у них нет времени на продолжение сопровождения пакетов с Deepin для Fedora, а попытки привлечь новых сопровождающих не увенчались успехом.

Год назад пакеты с Deepin были удалены из репозиториев openSUSE из-за того, что сопровождающий Deepin попытался обойти принятые в openSUSE правила рецензирования пакетов и не уведомив команду, отвечающую за безопасность, разместил в репозитории пакет "deepin-feature-enable", который устанавливал дополнительные компоненты, не прошедшие проверку и содержащие неустранённые проблемы с безопасностью. Если пользователь подтверждал операцию, в обход штатных механизмов установки системных компонентов осуществлялась распаковка в системные каталоги дополнительных файлов конфигурации D-Bus и политик Polkit из tar-архивов, включённых в состав пакетов deepin-daemon-dbus и deepin-daemon-polkit. В пакетах для Fedora подобные манипуляции не производились, но и не было требований по обязательному рецензированию безопасности сервисов D-Bus и политик Polkit (некоторые компоненты Deepin не прошли рецензирование в SUSE Security Team и сопровождающий пакеты в openSUSE организовал их установку обходным путём).

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива Deepin 25.1, развивающего собственное графическое окружение
3. OpenNews: openSUSE прекращает поставку Deepin из-за установки небезопасных компонентов в обход RPM
4. OpenNews: Выпуск дистрибутива UbuntuDDE 23.04 с рабочим столом Deepin

Для загрузки доступны две версии: полная (121 ГБ zip), включающая всю коллекцию из примерно 1700 виртуальных машин, охватывающих более 250 платформ и 570 ОС, и урезанная (14G), содержащая только Linux-систему, инсталлятор, набор эмуляторов и графическое приложение для динамической загрузкой выбранных системных образов операционных систем . Поддерживается загрузка виртуальной машины в QEMU, VirtualBox и UTM.

Все элементы коллекции преднастроены и готовы к ознакомительному запуску. Поддерживается откат окружений с тестируемыми ОС к исходному состоянию для восстановления работы в случае повреждения системы в ходе экспериментов. Графическое приложение, скрипты и метаданные распространяются под лицензией CC-BY-NC-SA, допускающей использование в некоммерческих целях.

Самый ранний экземпляр коллекции датирован 1948 годом (компьютер Manchester Baby). Для тестирования также доступны:

• Scheme A - первая ОС, выпущенная в 1951 году.
• IBM IBSYS, 1410 OS и 1410 POS, первые ОС от IBM, созданные с 1960 по 1971 год.
• B5000 MCP - первая ОС на высокоуровневом языке.
• CTSS - первая многопользовательская ОС (1961-72).
• Multics - первая ОС с иерархической файловой системой (1964), предок Unix.
• Различные ранние версии Unix (PDP-7 Unix "V0", PDP-11 Unix V1).
• ОС для мэйнфреймов.
• Xerox Alto OS и Smalltalk (1976-81) - первая ОС для рабочих станций и первый оконный графический интерфейс.
• Xerox ViewPoint/GlobalView - первый графический интерфейс с концепцией рабочего стола.
• Visi On (1983) - первый GUI для ПК.
• Разные редакции CP/M и DOS.
• Apple Lisa OS (1983-84) - первая графическая ОС от Apple, плюс разные ранние версии Mac OS и NeXTStep.
• Пререлизы старых ОС Windows.
• EPOC, Palm OS - ОС для первых карманных ПК.
• Linux-дистрибутивы 1990-х и 2000-х годов.
• Ранние версии Android (2007-11).
• Операционные системы, развиваемые энтузиастами.

1. Главная ссылка к новости
2. OpenNews: NsCDE, ретро-окружение в стиле CDE, поддерживающее современные технологии
3. OpenNews: cool-retro-term - эмулятор терминала, симулирующий вывод на ретро дисплеях
4. OpenNews: В рамках проекта OpenPacket.org создан "музей" сетевого трафика
5. OpenNews: Исходные тексты Lisa OS будут открыты и переданы в музей компьютерной истории

Основные новшества в Firefox 151 (1, 2, 3, 4):

• Обновлено оформление страницы, показываемой при открытии новой вкладки (логотип перемещён в центр, смещена вниз строка поиска, включено фоновое изображение, которое можно сменить в настройках). Новый дизайн оптимизирован для интеграции на страницу новых возможностей (например, виджеты и улучшение работы с ярлыками), включение которых ожидается в следующем релизе.
• В режиме приватного просмотра реализована новая кнопка "End Private Session" (пиктограмма с изображением огня справа от адресной строки), через которую можно мгновенно очистить все данные текущего приватного сеанса, не закрывая при этом окно браузера (сайты, до этого открытые в режиме приватного просмотра, закрываются и остаётся пустой сеанс).
• Во встроенном просмотрщике PDF реализована функция объединения нескольких страниц в документе.
• Встроенный интерфейс перевода с одного языка на другой теперь доступен для вызова через секцию "More Tools" в основном меню.
• Строка поиска в конфигураторе (about:preferences) расширена и теперь занимает всю доступную ширину.
• В сборках для Linux реализована поддержка резервного копирования профилей, позволяющая сохранить выбранный профиль в файл, после чего использовать этот файл для восстановления настроек на другой системе. Ранее данная функция была доступна только в Windows.
• При переносе каталога с профилем Firefox в другие части ФС или на системы с другими операционными системами обеспечено восстановление установленных дополнений и тем оформления.
• Усилена защита от скрытой идентификации пользователя (Fingerprinting Protection), применяемая при включении стандартной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Standard). Отмечается, что внесённые изменения позволили в среднем на 14% (49% для macOS) снизить долю пользователей, идентифицируемых с помощью типовых методов скрытой идентификации по сравнению с ранее имевшейся защитой.
• В интегрированный бесплатный VPN-сервис Firefox VPN добавлена возможность выбора страны используемого VPN-сервера. Сервис позволяет обращаться к сайтам не напрямую, а через промежуточные прокси-серверы в разных странах, скрывающие IP-адрес пользователя. Имеется возможность включать VPN только для выбранных сайтов. Для активации VPN необходима регистрация учётной записи в Mozilla. В VPN-сервисе действует ограничение в 50 гигабайт трафика в месяц.
• При запросе web-приложением доступа к данным о местоположении на платформе Windows теперь учитываются системные настройки предоставления подобного доступа.
• Добавлена возможность использования API Web Serial для управления микроконтроллерами, подключаемыми через последовательный порт. Например, после подтверждения полномочий можно из web-приложения программировать ESP чипы, платы Raspberry Pi Picos, 3D-принтеры и оборудование с ЧПУ. API Web Serial также можно использовать в браузерных дополнениях, но не из контекста moz-extension.
• Для всех пользователей включено применение спецификации LNA (Local Network Access) для ограничения обращений к локальной системе (loopback, 127.0.0.0/8) или внутренней сети (192.168.0.0/16, 10.0.0.0/8 и т.п.) при взаимодействии с публичными сайтами. Для обращения к внутренним ресурсам пользователь должен предоставить web-приложению специальные полномочия, так как подобная активность используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбору сведений о локальной сети. Ранее подобная защита действовала только при включении режима усиленной защиты от отслеживания перемещений (ETP, Enhanced Tracking Protection => Strict).
• Реализован API Fullscreen Keyboard Lock, добавляющий в метод requestFullscreen аргумент keyboardLock, позволяющий полноэкранным web-приложениям перехватывать обработку некоторых клавиш и клавиатурных комбинаций, например, можно перехватить обработку нажатия на клавишу Esc (в этом случае для выхода из полноэкранного режима потребуется не нажатие, а удержание Esc).
• Улучшена отрисовка элементов с абсолютным позиционированием внутри многоколоночных блоков или при выводе на печать.
• В правилах "@container" разрешено одновременное перечисление нескольких условий по аналогии с медиа-запросами.
• Внутри правил @container разрешено использование функции style() для проверки вычисленных значений CSS-свойств контейнера.
• Добавлено свойство CSSContainerRule.conditions, содержащие список всех условий контейнерного запроса. Старые свойства CSSContainerRule.containerName и CSSContainerRule.containerQuery объявлены устаревшими.
• Изменено поведение якорного позиционирования в CSS (CSS Anchor Positioning). Свойство position-anchor теперь по умолчанию принимает значением "normal", а при использовании свойства position-area неявные якоря применяются автоматически. Всплывающие окна (popovers), использующие anchor() или anchor-center, теперь требуют явного указания свойства "position-anchor: auto".
• Добавлена поддержка API Document Picture-in-Picture для открытия в режиме "картинка в картинке" произвольного HTML-содержимого, а не только видео. В отличие от открытия окна через вызов window.open(), окна создаваемые через новый API всегда отображаются поверх других окон, не остаются после закрытия исходного окна, не поддерживают навигацию и не могут явно определять позицию вывода.
• В API Permissions обеспечена корректная обработка временных полномочий, предоставленных сайту.
• Предоставлена возможность использования декларативного синтаксиса для определения того, как элементы распределяются в слоты внутри Shadow DOM.
• В Firefox для Android добавлена поддержка быстрого переключения между вкладками, используя вертикальный скользящий жест в области панели. В конфигуратор по аналогии с десктоп-версией добавлен переключатель для отключения всех функций, использующих AI, а также реализованы настройки для выборочного включения отдельных AI-функций.

Кроме новшеств и исправления ошибок в Firefox 151 устранено 154 уязвимости (65 собрано под CVE-2026-8973, 54 под CVE-2026-8974 и 7 под CVE-2026-8975). 146 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

В ночных сборках Firefox началось тестирование переделанного интерфейса конфигуратора, в котором расширены средства для поиска настроек, некоторые секции разделены на несколько отдельных страниц, улучшена навигация, обновлены метки и описание настроек.

1. Главная ссылка к новости
2. OpenNews: Релиз Firefox 150 с устранением 359 уязвимостей
3. OpenNews: Макеты обновлённого интерфейса Firefox, развиваемого под кодовым именем Nova
4. OpenNews: До 10% аварийных завершений Firefox вызваны аппаратными проблемами с памятью
5. OpenNews: В Firefox встроен движок блокирования рекламы adblock-rust, используемый в Brave
6. OpenNews: За апрель в Firefox устранено 423 уязвимости

Какое именно дополнение к VS Code было установлено не уточняется. Из недавних атак на пользователей VS Code можно отметить вчерашний инцидент с дополнением Nx Console, насчитывающим 2.2 млн установок. Злоумышленникам удалось перехватить информацию для подключения к учётной записи на GitHub одного из разработчиков Nx Console и опубликовать новый релиз 18.95.0, содержащий вредоносный код для кражи конфиденциальных данных, таких как пароли и токены доступа к GitHub, npm, AWS, HashiCorp Vault, Kubernetes и 1Password. Вредоносный выпуск был размещён в каталоге Visual Studio Marketplace 19 мая в 15:30 и удалён в 15:48 (MSK).

Дополнительно стоит упомянуть компрометацию 11 мая двух рабочих станций сотрудников компании OpenAI, установивших вредоносные обновления NPM-пакетов TanStack, содержащие саморастространяющийся червь. Вредоносные версии были опубликованы в результате атаки на процесс формирования релизов на базе GitHub Actions в проекте TanStack. В результате активности червя на сервер злоумышленников были отправлены учётные данные и ключи доступа, находящиеся на скомпрометированных компьютерах сотрудников OpenAI. Отмечается, что у скомпрометированных систем был ограниченный доступ к некоторым внутренним репозиториям OpenAI, в которых среди прочего хранились сертификаты для формирования цифровых подписей к продуктам для платформ Windows, macOS, iOS и Android. После выявления проблемы в OpenAI был инициирован процесс замены сертификатов, используемых для заверения цифровой подписью ChatGPT Desktop, Codex App, Codex CLI и Atlas.

Интересно, что это не первый подобный инцидент в OpenAI - системы сотрудников данной компании также были поражены вредоносным ПО в апреле после установки вредоносного релиза NPM-пакета Axios, который атакующим удалось опубликовать в результате перехвата учётных данных главного сопровождающего. После данного инцидента на компьютерах разработчиков была реализована защита от установки вредоносных зависимостей, но на системы сотрудников, впоследствии скомпрометированных через TanStack, её не установили.

Дополнение: GitHub подтвердил, что взлом произошёл через дополнение Nx Console.

1. Главная ссылка к новости
2. OpenNews: Компрометация GitHub-токена Grafana Labs привела к утечке закрытого кода
3. OpenNews: В ходе атаки на GitHub захвачены ключи для подписи приложений GitHub Desktop и Atom
4. OpenNews: Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла
5. OpenNews: Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios
6. OpenNews: В 42 NPM-пакета TanStack интегрирован самораспространяющийся червь

Ubuntu Core служит основой для запуска дополнительных компонентов и приложений, которые оформляются в виде самодостаточных надстроек в формате snap. Компоненты Ubuntu Core, включая базовую систему, ядро Linux и системные надстройки, также поставляются в формате snap и управляются инструментарием snapd. Технология Snap даёт возможность сформировать образ системы как единое целое, без разбиения на отдельные пакеты. Вместо поэтапного обновления на уровне отдельных deb-пакетов в Ubuntu Core применяется механизм атомарного обновления snap-пакетов и базовой системы, по аналогии с Fedora Atomic, ChromeOS, Endless и openSUSE Leap Micro. При обновлении базового окружения и snap-пакетов имеется возможность отката состояния до прошлой версии, в случае проблем, выявленных после обновления.

Для обеспечения безопасности каждый компонент системы верифицируется по цифровой подписи, что позволяет защитить дистрибутив от внесения скрытых модификаций или установки непроверенных snap-пакетов. Поставляемые в формате Snap компоненты изолируются при помощи AppArmor и Seccomp, что создаёт дополнительный рубеж для защиты системы в случае компрометации отдельных приложений. Базовая система включает только минимальный набор необходимых приложений, что не только позволило уменьшить размер системного окружения, но и положительно сказалось на безопасности за счёт уменьшения возможных векторов для атак.

Базовая файловая система монтируется в режиме только для чтения. Имеется возможность использования шифрования данных на накопителе с использованием TPM. Обновления выпускаются регулярно, доставляются в режиме ОТА (over-the-air) и синхронизированы с составом Ubuntu 26.04. Для минимизации трафика обновления поставляются в сжатом виде и включают только изменения, относительно прошлого обновления (delta-обновления). Автоматизация установки обновлений решает проблемы с поддержанием безопасности системы при использовании на встраиваемых устройствах.

Благодаря логическому отделению базовой системы от приложений, поддержанием кодовой базы Ubuntu Core в актуальном виде занимаются разработчики Ubuntu, а об актуальности дополнительных приложений заботятся разработчики приложений. Подобный подход позволяет снизить затраты на сопровождение продуктов, программное окружение которых построено на основе Ubuntu Core, так как их производителям не требуется заниматься выпуском и доставкой системных обновлений и достаточно сосредоточить внимание только на своих специфичных компонентах.

Основные новшества:

• Задействована новая система сборки на базе инструментария Chisel, позволяющего разделять и урезать Debian-пакеты с целью поставки только наиболее необходимых файлов. Chisel даёт возможность манипулировать не целыми пакетами, а слайсами (подмножеством пакетов) - наборами файлов, формируемых на основе содержимого и метаданных пакета. Каждый слайс может иметь своё содержимое и свой набор зависимостей, привязанный к другим слайсам. Каждый файл в файловой системе Ubuntu Core теперь привязан к слайсу и пакету с исходным кодом, что улучшает проверку целостности и отслеживания уязвимостей. Применение новой системы сборки позволило уменьшить размер базового системного образа на 7%.
• Сокращено время установки обновлений за счёт применения формата snap-delta для уменьшения размера загружаемых данных для большинства snap-пакетов. Например, размер файлов с обновлением базовых snap-пакетов сократился с 16 до 1.5 МБ.
• Обеспечено выполнение требований европейского закона CRA (Cyber Resilience Act), который вводит юридическую ответственность за несоблюдение требований безопасности.
• Добавлена возможность применения технологии Livepatch для внесения исправлений в работающее ядро Linux без перезагрузки и без остановки работы приложений.
• Обеспечена интеграция с инструментарием COS (Canonical Observability Stack), основанным на движке оркестровки Juju и платформе Kubernetes. Ubuntu Core теперь может передавать логи и метрики в централизованные системы мониторинга на базе Grafana, Loki и Prometheus.
• Добавлена поддержка компонентов, позволяющих разработчикам snap-пакетов распространять дополнительные крупные или не обязательные ресурсы, такие как отладочные данные, файлы с переводами и необязательные драйверы, отдельного от основного snap-пакета для сокращения размера базовой установки. Компонент формируется как образ в формате squashfs, монтируемый в окружение snap-пакета.
• В Snapd REST API обеспечена совместимость со спецификацией OpenAPI.
• В дисплейный сервер Ubuntu Frame, позволяющий создавать встраиваемые графические окружения (интернет-киоски, терминалы самообслуживания, информационные стенды, цифровые вывески), добавлена возможность размещения интерфейса нескольких приложений на одном экране. Добавлена возможность использования в приложениях GPU-ускорения.
• Добавлена системная настройка interface.allow-auto-connection для определения правил автоматического подключения интерфейсов.
• Добавлена поддержка механизма Confdb для централизованного определения настроек, не привязанных к конкретным snap-пакетам и устройствам.
• Из базового набора snap-пакетов исключён интерпретатор Python, который теперь следует устанавливать в форме отдельного плагина.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива Ubuntu 26.04
3. OpenNews: Компания Canonical опубликовала MicroCloud 3, инструментарий для развёртывания кластеров
4. OpenNews: Canonical готовит вариант Ubuntu Desktop, содержащий только пакеты Snap
5. OpenNews: Компания Canonical представила оболочку Ubuntu Frame
6. OpenNews: Компания Canonical опубликовала монолитный дистрибутив Ubuntu Core 24