Проблема вызвана обращением к уже освобождённой памяти (use-after-free) в бэкенде к GnuTLS и может быть эксплуатирована при обращении к серверам, поддерживающим расширение "ESMTP CHUNKING" и команду BDAT для передачи порциями тела письма вместо передачи неделимым блоком при помощи команды DATA. Повреждение содержимого памяти процесса возникает при инициировании клиентом преждевременного завершения сеанса TLS при помощи команды close_notify во время передачи тела сообщения через BDAT и отправки следом в том же TCP-соединении одного байта без шифрования в открытом виде.

Получив команду close_notify в бекенде GnuTLS вызывается функция прерывания TLS-сеанса, которая освобождает связанные с сеансом буферы. Из-за ошибки в коде бэкенда, несмотря на освобождение TLS-буфера обработчик BDAT продолжает читать данные из потока и вызывает функцию ungetc(), что при отправке следом незашифрованных данных приводит к записи одного байта в уже освобождённый буфер. Данный байт повреждает метаданные аллокатора памяти в куче (heap), что было использовано для проведения экспериментов по созданию эксплоита, выполняющего произвольный код на сервере.

Вначале исследователи сгенерировали частично работающий эксплоит через AI, который позволил добиться выполнения кода, но был работоспособен только в тепличных условиях, на системах с отключённой защитой ASLR и PIE, и определённой версией библиотеки libc. Далее была предпринята попытка создания эксплоита при участии человека, в которой часть трудностей удалось преодолеть и добиться утечки адреса стека, но до запланированной даты раскрытия информации об уязвимости эксплоит не был доведён до конца. По мнению выявивших уязвимость исследователей AI-ассистенты ещё способны создавать эксплоиты для сложных продуктов, но надеются, что в будущем другие исследователи смогут довести их работу до конца и написать полноценно работающий эксплоит.

Из крупных дистрибутивов версии Exim 4.97+ используются в Debian 13, Ubuntu 24.04+, SUSE/openSUSE, Arch Linux, Alpine Linux 3.19+, ALT Linux p11, ROSA, Gentoo, OpenWRT, Fedora, EPEL (exim не входит в штатный репозиторий RHEL) и FreeBSD. Сборка Exim с GnuTLS применяется по умолчанию в Debian и Ubuntu, в других дистрибутивах требует уточнения. В качестве обходного пути блокирования уязвимости можно отключить расширение CHUNKING при помощи настройки chunking_advertise_hosts в файле конфигурации.

1. OpenNews: Обновление почтового сервера Exim 4.99.2 с устранением 4 уязвимостей
2. OpenNews: Раскрыты подробности критической уязвимости в Exim
3. OpenNews: Опубликован Exim 4.92.3 с устранением четвёртой за год критической уязвимости
4. OpenNews: Три критические уязвимости в Exim, позволяющие удалённо выполнить код на сервере
5. OpenNews: Обновление Exim 4.94.2 с устранением 10 удалённо эксплуатируемых уязвимостей

Уязвимость выявлена сотрудниками AMD, детали эксплуатации пока не приводятся. Заявлено, что проблема вызвана некорректной изоляцией совместно используемых ресурсов при выполнении операций с кэшем объектных кодов CPU. Через повреждение элементов в кэше атакующий может добиться изменения инструкций, выполняемых на другом уровне привилегий.

Уязвимость проявляется только в процессорах AMD на базе микроархитектуры Zen2 (Fam17h). Проблема затрагивает гипервизор Xen и может использоваться для обхода изоляции. Для веток Xen c 4.17 по 4.21 опубликованы патчи. Исправление для блокирования уязвимости также передано для включения в состав ядра Linux.

В десктопных и мобильных сериях CPU AMD Ryzen 3000, 4000, 5000, 7020, 7030 и Threadripper PRO 3000 WX уязвимость устранена осенью прошлого года. Во встраиваемых CPU AMD Ryzen Embedded V2000 уязвимость устранена в конце декабря. В процессорах серии AMD EPYC 7002 проблема остаётся неисправленной и её предлагается блокировать на уровне операционной системы.

1. OpenNews: CPU AMD Zen 5 подвержены уязвимости, допускающей изменение микрокода и обход изоляции SEV-SNP
2. OpenNews: Уязвимости в CPU AMD, позволяющие выполнить код на уровне SMM
3. OpenNews: Уязвимость в загрузчике микрокода в CPU AMD, позволяющая обойти изоляцию SEV-SNP
4. OpenNews: Sinkclose - уязвимость в CPU AMD, позволяющая получить доступ к SMM
5. OpenNews: Уязвимость в CPU AMD, позволяющая обойти механизм защиты SEV (Secure Encrypted Virtualization)

Интерфейс пользователя основан на реализованном в ветке Android 16 десктоп-режиме для больших экранов, позволяющем одновременно работать с окнами нескольких приложений по аналогии с традиционной средой рабочего стола.

Платформа Googlebook преподносится как переход от традиционных операционных систем к умным системам, в которые тесно интегрированы AI-сервисы. Активация AI-ассистента Gemini осуществляется при помощи умного курсора - достаточно подёргать курсор из стороны в сторону, и курсор перейдёт в режим вывода контекстных подсказок, появляющихся при его наведении на любой интересующий контент на экране. Например, после наведения курсора на дату в письме AI-ассистент предложит назначить встречу, а при выборе курсором нескольких изображений можно сгенерировать новое изображение на их основе. Подобным образом также можно сравнивать контент и задавать AI-ассистенту вопросы о содержимом.

При помощи AI также осуществляется создание пользовательских виджетов - достаточно нажать кнопку создания виджета и естественным языком описать, что хочется получить. Для создания персонализированных виджетов, AI-ассистент Gemini может выполнить поиск в интернете и подключиться к приложениям Google, таким как Gmail и Calendar.

Поддерживается бесшовное взаимодействие со смартфонами на базе платформы Android и предоставляется возможность устанавливать созданные для Android приложения из каталога Google Play. Из интерфейса Googlebook также можно запускать приложения, установленные на связанном смартфоне, не доставая смартфон и не переустанавливая их на ноутбуке.

Для работы с файлами имеется полноценный файловый менеджер, через который можно не только осуществлять навигацию по файловой системе ноутбука, но и обращаться к содержимому смартфона и быстро переносить, просматривать и искать файлы на разных Android-устройствах пользователя.

В платформе задействованы перенесённые из Chrome OS интерфейс запуска приложений (Launcher), файловый менеджер, а также отдельные системные сервисы, приложения, элементы прошивки, фоновые процессы и библиотеки. Ядро Linux, GKI-модули (Generic Kernel Image), компоненты взаимодействия с оборудованием (HAL), Android Runtime, Android API, системные фоновые процессы, библиотеки и другие компоненты задействованы из Android.

1. OpenNews: Google подтвердил грядущее слияние Android и Chrome OS
2. OpenNews: Планы по слиянию Chrome OS и Android в одну платформу
3. OpenNews: Google намерен перевести Chrome OS на платформу Android
4. OpenNews: Google переводит ChromeOS на компоненты платформы Android
5. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года

Доступ к публикации релизов был получен из-за неверной настройки pull_request_target "Pwn Request" в GitHub Actions (указание маски в настройках привело к запуску pull_request_target для pull-запросов в сторонние форки), отравления кэша GitHub Actions через форк и возможности извлечения OIDC-токена из памяти запущенного runner-процесса (Runner.Worker) через чтение содержимого /proc/<pid>/mem.

NPM-пакеты с вредоносными изменениями были опубликованы 11 мая с 22:20 до 22:26 (MSK), замечены через 20 минут и блокированы спустя полтора часа. Для каждого из поражённых NPM-пакетов были выпущены по две вредоносные версии, в которые был интегрирован код для активации червя mini-shai-hulud, выполняющего поиск токенов и учётных данных в текущем окружении. В случае обнаружения токена подключения к каталогу NPM червь автоматически публиковал новые вредоносные релизы для разрабатываемых в текущем окружении пакетов, поражая дерево зависимостей. Таким способом было поражено более 400 NPM-пакетов, использующих пакеты TanStack в числе зависимостей.

Червь размещался в файле router_init.js и активировался при установке поражённого пакета вручную разработчиком или автоматизированно в окружении непрерывной интеграции при помощи команд "npm install", "pnpm install" или "yarn install". После активации червь выполнял поиск в системе токенов к NPM (~/.npmrc), AWS, GCP, Azure, HashiCorp и KubernetesK8s, а также закрытых ключей SSH. Найденные данные отправлялись злоумышленникам через децентрализованный P2P-мессенджер getsession.org.

В черве было предусмотрено совершение деструктивных действий в случае отзыва перехваченного NPM-токена - в системе настраивался периодический запуск скрипта ~/.local/bin/gh-token-monitor.sh, который каждые 60 секунд проверял активность токена через обращение к api.github.com/user и в случае отзыва токена выполнял команду "rm -rf ~/".

1. OpenNews: Анализ конфиденциальных данных, захваченных червём Shai-Hulud 2
2. OpenNews: При помощи червя Shai-Hulud скомпрометировано 600 NPM-пакетов
3. OpenNews: Скомпрометирован NPM-пакет axios, имеющий 100 млн загрузок в неделю
4. OpenNews: Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла
5. OpenNews: Раскрыты подробности захвата учётных данных сопровождающего NPM-пакет axios

Выявленные проблемы:

• CVE-2026-4892 - переполнение буфера в реализации DHCPv6, позволяющее атакующему, имеющему доступ к локальной сети, выполнить код с правами root через отправку специально оформленного пакета DHCPv6. Переполнение вызвано тем, что при записи DHCPv6 CLID в буфер не учитывалось то, что в пакете данные сохраняются в шестнадцатеричном представлении, в котором используется три байта "%xx" на каждый фактический байт CLID (например, сохранение 1000-байтового CLID приведёт к записи 3000 байт).
• CVE-2026-2291 - переполнение буфера в функции extract_name(), позволяющее атакующему подставить фиктивные записи в кэш DNS и добиться перенаправления домена на другой IP-адрес. Переполнение возникло из-за выделения буфера без учёта экранирования некоторых символов во внутреннем представлении доменного имени в dnsmasq.
• CVE-2026-4893 - утечка информации, позволяющая обойти проверку через отправку специально оформленного DNS-пакета с информацией о подсети клиента (RFC 7871). Уязвимость может использоваться для изменения маршрута DNS-ответа и перенаправления пользователей на домен атакующего. Уязвимость вызвана тем, что в функцию check_source() передавалась длина записи OPT вместо длины пакета, из-за чего функция всегда возвращала успешный результат проверки.
• CVE-2026-4891 - чтение из области вне границы буфера при валидации DNSSEC, приводящее к утечке в ответе данных из памяти процесса при обработке специально оформленного DNS-запроса.
• CVE-2026-4890 - зацикливание при валидации DNSSEC, позволяющее вызвать отказ в обслуживании через отправку специально оформленного DNS-пакета.
• CVE-2026-5172 - чтение из области вне буфера в функции extract_addresses(), приводящее к аварийному завершению при обработке специально оформленных DNS-ответов.

Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах (если страница недоступна, значит разработчики дистрибутива ещё не приступили к рассмотрению проблемы): Debian, Ubuntu, SUSE, RHEL, Gentoo, Arch, Fedora, OpenWRT, FreeBSD. Проект Dnsmasq задействован в платформе Android и специализированных дистрибутивах, таких как OpenWrt и DD-WRT, а также в прошивках беспроводных маршрутизаторов многих производителей. В обычных дистрибутивах Dnsmasq может устанавливаться при использовании libvirt для обеспечения работы DNS-сервиса в виртуальных машинах или активироваться в конфигураторе NetworkManager.

1. OpenNews: Проект Dnsmasq стал обладателем первой премии BlueHats
2. OpenNews: Уязвимости в Dnsmasq, позволяющие подменить содержимое в кэше DNS
3. OpenNews: Уязвимости в Dnsmasq, позволяющие удалённо выполнить код атакующего
4. OpenNews: Уязвимость в uClibc и uClibc-ng, позволяющая подменить данные в кэше DNS
5. OpenNews: Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC

Число увольняемых сотрудников не уточняется, но упоминается, что компания намерена уйти из 30% стран, где присутствовали небольшие команды сотрудников и переложить обслуживание клиентов в этих странах на партнёрскую сеть. Также планируют упростить управление в компании и убрать лишние уровни менеджмента для того чтобы руководители были ближе к исполнителям. В процессе реорганизации отделов R&D будет выделено 60 небольших автономных команд, которые будут нести полную ответственность за создаваемый продукт. Внутренние рутинные процессы будут оптимизированы с вовлечением AI-агентов для согласования решений, проверки выполнения работы и координации выполнения задач.

Объявлены три принципа, на основе которых будет формироваться новая система ценностей GitLab: скорость с качеством (работа малых команд короткими циклами с высокой планкой качества), мышление собственника (каждый сотрудник несёт ответственность за результат и ощущает себя владельцем компании) и клиентоориентированность (основное внимание на пользу для клиента). Для стимулирования сотрудников будет введена программа премий, которые будут составлять до 10% от зарплаты и зависеть от достигнутых результатов. Сотрудникам, не согласным с новой политикой компании, предлагается до 18 мая принять решение о добровольном увольнении.

Платформа GitLab будет оптимизирована для трёх режимов работы: разработка человеком, использование человеком AI-агентов и автономная работа AI-агентов. Помимо оплаты по подписке, будет внедрена возможность оплаты по факту потребления ресурсов, израсходованных AI-агентами. Средства непрерывной интеграции и доставки (CI/CD) будут расширены возможностями для координации работы AI-агентов, оценки результатов и проверки соблюдения ими правил.

Инфраструктура и Git будут расширены в плане предоставления API для AI-агентов и оркестровки работы AI-агентов, а также оптимизированы для нагрузок, создаваемых AI-агентами. В ядро платформы будут интегрированы инструменты для контроля и аудита. Планируется задействование единой AI-модели, доступной через API, которую можно будет использовать для написания кода, рецензирования изменений, планирования работы и проверки безопасности.

1. OpenNews: Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию
2. OpenNews: Взлом внутреннего GitLab-сервера Red Hat
3. OpenNews: Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab
4. OpenNews: GitLab рассматривает возможность продажи бизнеса
5. OpenNews: В Ubuntu намечена интеграция AI

Инструментарий включает в себя:

• Бэкенд генерации кода для компилятора rustc, позволяющий компилировать функции с атрибутом "#[kernel]" в параллельно исполняемые на GPU ядра в представлении CUDA PTX. При компиляции используется штатная для rustc цепочка преобразований на базе фреймворка Pliron: Rust -> MIR -> Pliron IR -> LLVM IR -> PTX.
• Унифицированная система сборки компонентов, выполняемых на хост-системе и на GPU, которая сводится к выполнению команд "cargo oxide build" и "cargo oxide run".
• Набор Rust-абстракций, который можно использовать в ядрах на стороне GPU. Например, доступны функции для индексации, использования разделяемой памяти и барьеров, атомарных операций, синхронизации групп потоков, TMA (Tensor Memory Accelerator). Возможен вызов обвязок над низкоуровневыми инструкциями, специфичными для архитектуры Blackwell (например, расширенные матричные операции).
• Crate-пакеты с выполняемыми на стороне хоста компонентами CUDA runtime, позволяющими управлять памятью, запускать ядра на GPU и взаимодействовать с выполняемыми на GPU функциями в асинхронном режиме.
• Коллекция примеров ядер, демонстрирующих такие возможности, как работа с векторами, умножение матриц (GEMM), атомарные операции, асинхронное выполнение, интеграция с библиотекой MathDx, применение дженериков и замыканий, взаимодействия с CUDA-ядрами на C++/CCCL.

Ядра для GPU создаются на обычном Rust (не диалект), но выполняются в окружении no_std и могут использовать только функции из библиотеки libcore и ранее отмеченные специализированные Rust-абстракции, без доступа к стандартной библиотеке Rust (libstd). Поддерживаются примитивные типы (u8..u64, f32, f64, bool), структуры, перечисления, кортежи, массивы ([T; N]) и слайсы (&[T]), операторы match / if / if let, циклы for и while, итераторы (.iter(), .enumerate()), замыкания и дженерики. Не поддерживаются типы String, Vec и Box, макросы format!, panic! и println!, Trait-объекты и реализуемые через обращение к операционной системе функции стандартной библиотеки (работа с файлами, ввод/вывод, сетевые операции).

Доступно три уровня обеспечения безопасности CUDA-ядер на Rust: защита через систему типов (safe), использование блоков unsafe и обращение к низкоуровневым аппаратным инструкциям. Производительность созданной на CUDA-oxide реализации матричного умножения (GEMM SoL) на GPU B200 достигает 868 триллионов операций в секунду, что составляет 58% от производительности оптимизированной библиотеки cuBLAS.

1. OpenNews: Атака GPUBreach, позволяющая получить root-доступ через выполнение CUDA-кода на GPU NVIDIA
2. OpenNews: Для Mesa предложен драйвер cluda, позволяющий реализовать OpenCL поверх NVIDIA CUDA
3. OpenNews: Выпуск ZLUDA 5, универсальной открытой реализации технологии CUDA
4. OpenNews: Проект LibreCUDA для запуска кода CUDA на GPU NVIDIA без проприетарного Runtime
5. OpenNews: NVIDIA препятствует разработке транслирующих прослоек для запуска CUDA на других платформах

Программа ориентирована на широкий круг пользователей и предоставляет типовые возможности для редактирования изображений, рисования кистями, наложения фильтров, применения градиентов и корректировки цвета. Поддерживается обработка группы изображений в пакетном режиме. Например Photoflare позволяет изменять формат и размер, применять фильтры, поворачивать изображение, выравнивать яркость и насыщенность сразу в нескольких выбранных файлах.

В новой версии:

• Осуществлён переход c Qt5 на ветку Qt6. Переработана система сборки, заменён устаревший API и обновлены зависимости.
• Реализована поддержка масштабирования на экранах с высокой плотностью пикселей (HiDPI). Инструменты выделения и реализации курсоров адаптированы для работы с HiDPI.
• Полностью переписан код отрисовки элементов на холсте, значительно повышена производительность рисования и применения фильтров, повышена гладкость отрисовки линий. Для снижения потребления памяти и снижения нагрузки на CPU обеспечена перерисовка только изменённых областей. По сравнению с прошлым движком отрисовки новый движок быстрее при работе с изображениями с разрешением 1920×1080 в 2-3 раза, 4K - в 5-10 раз и 9999×9999 - в 10-50 раз.
• Обеспечена полная интеграция с инструментарием для обработки изображений G'MIC и добавлена возможность применения предоставляемых в G'MIC эффектов и фильтров для обработки изображений. Добавлено отдельное меню Filters, включающее несколько сотен фильтров, разбитых на категории.
• Обновлён инструмент выделения областей на изображении, который теперь может применяться раздельно для каждой вкладки. Добавлена поддержка перемещения выделенной области при помощи мыши или клавиатуры. Реализованы новые типы выделения - "эллипс" для выделения овальных областей и "лассо" - для выделения произвольной формы.
• Добавлен режим редактирования, не выходя за границы выделенной области. Ограничение в данном режиме действует среди прочего для фильтров и манипуляций с цветом.
• Расширены инструменты рисования. Добавлен режим ограничения излома линий прямыми углами, активируемый при удержании клавиши Shift. В ластик добавлен режим стирания с заменой цвета на прозрачность. Для быстрого стирания теперь можно использовать правую кнопку мыши. Улучшена гладкость штрихов кисти.
• Помимо фильтров из набора G’Mic, в состав включено несколько собственных фильтров:

  Пикселизация

  

  Виньетирование

  

  Пиксельное рассеивание

  

  Эскиз

  
• На холст добавлены вертикальная и горизонтальная линейки, которые можно включать и отключать через меню View.
• Предложен новый набор пиктограмм для тёмного режима оформления.
• Обеспечено сохранение исходных метаданных Exif и их просмотр в диалоге со свойствами изображения.
• При вставке изображений из файла или буфера обмена обеспечен показ опций для поворота и масштабирования вставленного изображения. В панель добавлены кнопки для вставки как нового изображения. Реализована поддержка перемещения изображений мышью в режиме drag&drop.
• Добавлена опция для изменения размера изображения в процентах.
• Добавлена возможность панорамирования после увеличения масштаба через перемещение курсора, удерживая среднюю кнопку мыши.
• Обеспечено сохранение позиции панелей и виджетов, а также выбранных цветов между перезапусками. Настройки инструментов при перезапуске сбрасываются в состояние по умолчанию.
• В панель инструментов добавлены кнопки для увеличения и уменьшения масштаба, а также изменения настроек координатной сетки.
• Добавлен переносимый режим, при котором настройки размещаются в одном каталоге с исполняемым файлом.
• Реализована начальная поддержка расширения функциональности через плагины.

Отдельно авторами Photoflare анонсировано создание расширенного коммерческого редактора PhotoFlare Studio, который попытается занять нишу между GIMP и Affinity Photo, и будет интересен тем, кто считает работу в GIMP слишком сложной, но не нуждается в продвинутых возможностях Affinity Photo. В PhotoFlare Studio будут реализованы такие возможности, как слои, режимы смешивания недеструктивное редактирование, профессиональная работа с кистями через libmypaint, встроенные AI-инструменты на базе локально выполняемых моделей, работа с RAW-изображениями.

1. OpenNews: Релиз программы для обработки фотографий Darktable 5.4.0
2. OpenNews: Релиз программы для обработки фотографий RawTherapee 5.12
3. OpenNews: Релиз программы для рисования MyPaint 2.0.0
4. OpenNews: Релиз инструментария для обработки изображений G'MIC 3.6
5. OpenNews: Выпуск редактора RAW-изображений RapidRAW 1.4.9

Устройства iPhone/iPad с iOS до версии 16.4, а также смартфоны с альтернативными прошивками на базе Android, поставляемые без сервисов Google (например, GrapheneOS), не смогут пройти новую капчу. Суть метода на основе QR-кода в подтверждении обладания сертифицированным устройством. В случае с Android, подтверждение осуществляется при помощи API Play Integrity, предоставляемого в Play Services для аттестации аппаратного обеспечения, и позволяющего убедиться, что устройство не модифицировано и сертифицировано в Google. Для устройств Apple используется API App Attest.

Дополнение: Проект GrapheneOS, разрабатывающий защищённую свободную прошивку на базе Android, считает, что продвижение API аттестации аппаратного обеспечения, на фоне усложнения их обхода и навязывания пользователям других ОС через капчу в Web, следует рассматривать как действия по подавлению конкуренции и построению компаниями Apple и Google дуополии в сфере мобильных устройств. По мнению разработчиков GrapheneOS, аттестация оборудования не должна применяться для привязки пользователей к определённому оборудованию и операционным системам. Отмечается, что для верификации через reCAPTCHA в GrapheneOS можно использовать сервисы Google Play, запущенные в изолированном sandbox-окружении, но Google блокирует использование в GrapheneOS сервиса Play Integrity, так как проект не лицензировал пакет Google Mobile Services и отказывается выполнять антиконкурентные правила, уже признанные незаконными в Южной Корее и некоторых других странах.

1. OpenNews: GrapheneOS отказался верифицировать возраст
2. OpenNews: Motorola и GrapheneOS объявили о сотрудничестве в области создания защищённых смартфонов
3. OpenNews: Давление французских силовых ведомств на GrapheneOS из-за отказа интегрировать бэкдор
4. OpenNews: Опубликован код для определения reCaptcha с точностью 85%
5. OpenNews: По статистике Cloudflare 6.8% интернет-трафика является потенциально мусорным

В Debian 13, насчитывающем 36427 исходных пакетов, поддержка повторяемых сборок составляет 96.9% для архитектуры x86_64 и 96.8% для архитектуры ARM64. В репозиториях Debian Testing уровень повторяемых сборок оценён в 94.5% для архитектуры ARM64 и 75.7% для x86_64 при пересборке 37809 исходных пакетов. Тест повторяемых сборок в репозитории Debian Testing провален для 1141 пакета (3%), а у 7952 пакетов (21%) возникли общие проблемы при компиляции из исходного кода.

Повторяемые сборки дают возможность пользователю сформировать собственные сборки, побитово совпадающие с предлагаемыми для загрузки готовыми сборками. Пользователь может лично убедиться, что распространяемые в пакетах и загрузочных образах бинарные файлы собраны из предоставляемых исходных текстов и не содержат скрытых изменений. Проверка тождественности бинарной сборки позволяет не полагаться лишь на доверие к сборочной инфраструктуре дистрибутива, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.

При формировании повторяемых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.

1. OpenNews: В Arch Linux обеспечена воспроизводимая сборка образов контейнеров
2. OpenNews: openSUSE тестирует поддержку повторяемых сборок
3. OpenNews: В Live-образах Debian 12 реализована поддержка повторяемых сборок
4. OpenNews: Утверждено обеспечение повторяемых сборок в Fedora 43

Основные возможности:

• Поддержка воспроизведения локальных файлов, а также музыки из потоковых сервисов и интернет-радио.
• Управление музыкальной библиотекой с использованием музыкального сервера Navidrome и возможностью группировки по альбомам, музыкантам и спискам воспроизведения.
• Наличие визуализатора звука и эквалайзера.
• Автоматическая загрузка и отображение текстов песен для проигрываемых композиций. Режим караоке с симуляцией пословного показа лирики.
• Возможность обращения к внешним музыкальным библиотекам при помощи протоколов OpenSubsonic и Jellyfin.
• Поддержка протокола MPRIS (Media Player Remote Interfacing Specification) для управления воспроизведением (например, для управления из панельных виджетов).
• Возможность работы в offline-режиме.

Среди изменений в выпуске Nocturne 1.0:

• Поддержка изменения максимального битрейта.
• Поддержка нормализации громкости (ReplayGain).
• Настройка для отображения плеера в боковой панели.
• Режим воспроизведения без пауз между треками (Gapless).
• Возможность группировки песен в альбоме в привязке к дискам.
• Опция для динамической смены фона основного окна.
• Возможность динамической загрузки списков воспроизведения и альбомов.
• Поддержка технологии входа Quick Connect в Jellyfin.

1. OpenNews: Новая версия музыкального проигрывателя DeaDBeeF 1.10.1
2. OpenNews: Выпуск музыкального проигрывателя Qmmp 2.3
3. OpenNews: Выпуск музыкального проигрывателя Audacious 4.5
4. OpenNews: Выпуск музыкального проигрывателя Amarok 3.3
5. OpenNews: Опубликован музыкальный проигрыватель Aqualung 2.0, переведённый на GTK3

В состав платформы включены компоненты, необходимые для разработки приложений на языке Mojo, включая компилятор, runtime, интерактивную REPL-оболочку для сборки и запуска программ, отладчик, дополнение к редактору кода Visual Studio Code (VS Code) с поддержкой автодополнения ввода, форматирования кода и подсветки синтаксиса, модуль для интеграции с Jupyter для сборки и запуска Mojo notebook. Исходный код стандартной библиотеки Mojo открыты под лицензией Apache 2.0 c исключениями от проекта LLVM, допускающими смешивание с кодом под лицензией GPLv2. Исходный код компилятора планируют открыть после завершения стабилизации внутренней архитектуры.

Язык Mojo развивается под руководством Криса Латнера (Chris Lattner), основателя и главного архитектора проекта LLVM и создателя языка программирования Swift. Синтаксис Mojo основан на языке Python, а система типов близка к C/C++. Проект преподносится как язык общего назначения, расширяющий возможности языка Python средствами системного программирования, подходящий для широкого круга задач и сочетающий простоту применения для исследовательских разработок и быстрого создания прототипов с пригодностью для формирования высокопроизводительных конечных продуктов.

Простота достигается благодаря использованию привычного синтаксиса языка Python, а разработке конечных продуктов способствуют возможность компиляции в машинный код, механизмы безопасной работы с памятью и задействование средств для аппаратного ускорения вычислений. Для достижения высокой производительности поддерживается распараллеливание вычислений с задействованием всех имеющихся в системе аппаратных ресурсов гетерогенных систем, таких как GPU, специализированные ускорители для машинного обучения и векторные процессорные инструкции (SIMD). При интенсивных вычислениях распараллеливание и задействование всех вычислительных ресурсов даёт возможность добиться производительности, превосходящей приложения на C/C++.

Язык поддерживает статическую типизацию и средства для безопасной низкоуровневой работы с памятью, напоминающие возможности языка Rust, такие как отслеживание времени жизни ссылок и проверка заимствования переменных (borrow checker). При этом в языке доступны и возможности для низкоуровневой работы, например, возможно прямое обращение к памяти в режиме unsafe с использованием типа Pointer, вызов отдельных SIMD-инструкций или доступ к аппаратным расширениям, таким как TensorCores и AMX.

Mojo может использоваться как в режиме интерпретации с использованием JIT, так и для компиляции в исполняемые файлы (AOT, ahead-of-time). В компилятор встроены современные технологии автоматической оптимизации, кэширования и распределённой компиляции. Исходный код на языке Mojo преобразуются в низкоуровневый промежуточный код MLIR (Multi-Level Intermediate Representation), развиваемый проектом LLVM. Компилятор позволяет применять для генерации машинного кода различные бэкенды, поддерживающие MLIR.

Среди изменений в Mojo 1.0.0b1:

• Ключевое слово "fn" объявлено устаревшим - для объявления функций следует использовать ключевое слово "def" (возможности "fn" и "def" объединены, и в "def" реализована семантика "fn" без генерации исключений).
• Унифицирована реализация замыканий (closure). Не учитывающие контекст замыкания (stateless closure) теперь автоматически преобразуются в функции верхнего уровня и могут использоваться как callback-вызовы в FFI (Foreign Function Interface). Добавлена поддержка захвата по ссылке (ref capture). При объявлении функций добавлен признак "thin" для объявления простого типа указателя на функцию без захвата состояния.
• Указатели с типом UnsafePointer теперь не могут принимать значение null по умолчанию, а для работы с null-указателями необходимо использовать "Optional[UnsafePointer[...]]", что позволяет исключить накладные расходы при работе с null-указателями и сохранить возможность безопасного применения в FFI.
• По умолчанию в коде для CPU в коллекциях включена проверка допустимых границ (на GPU проверка отключена для производительности, но может быть включена при сборке с "mojo build -D ASSERT=all"). Прекращена поддержка указания отрицательных значений в индексах (запрещено "x[-1]", но можно указывать "x[len(x)-1]").
• Из стандартной библиотек удалён тип NDBuffer, вместо которого следует использовать TileTensor.
• Расширена поддержка работы с GPU через графический API Metal на системах Apple (например, появилась поддержка print() и матричных инструкций M5). Добавлена поддержка ускорителей AMD MI250X и NVIDIA B300.
• Идентификаторы примитивов GPU (индексы потоков и блоков) переведены на возвращение типа Int вместо UInt.
• Контекст CPU ('DeviceContext(api="cpu")') стал потокозависимым (stream-ordered). Для упорядоченного выполнения задач добавлены функции enqueue_cpu_function() и enqueue_cpu_range().
• В типах String и StringSlice добавлена поддержка графемных кластеров (Unicode UAX #29), позволяющая корректно вычислять длину и обрезать строки с emoji и комбинированных символов. Добавлены методы graphemes() и count_graphemes(), а также синтаксис слайсов "[grapheme=...]".
• Реализовано уточнение типов (Type Refinement) на этапе компиляции для автоматического сужения типов внутри выражений "where", "if" и "assert" (позволяет обойтись без явного указания trait_downcast).
• Предложен унифицированный API рефлексии, в котором предложена новая функция reflect[T](), возвращающая Reflected[T] и заменяющая семейство функций struct_field_* и старые методы get_type_name().

Одновременно сформирован выпуск движка MAX Framework 26.3, предлагающего платформу для разработок в области машинного обучения. MAX Framework дополняет инструментарий Mojo средствами для разработки и отладки приложений, использующих модели машинного обучения в различных форматах (TensorFlow, PyTorch, ONNX и т.п.). В новой версии MAX Framework добавлена возможность генерации видео, расширена поддержка работ с использованием нескольких GPU, значительно повышена производительность интерпретатора (некоторые операции стали выполняться быстрее в 10-20 раз).

1. OpenNews: Сотрудник Google развивает язык программирования Carbon, нацеленный на замену C++
2. OpenNews: Программно-аппаратная платформа CHERIoT 1.0 для повышения безопасности кода на языке Си
3. OpenNews: Выпуск языка программирования Hare 0.26
4. OpenNews: Компания Apple опубликовала язык программирования Swift 6.3
5. OpenNews: Выпуск языка программирования Nim 2.2.10

Основной сценарий использования: пользователь набрал, например, "ghbdtn" вместо "привет", нажал Shift два раза, и слово перепечатывается в другой раскладке. Замена осуществляется по месту, без копирования текста через буфер обмена (программа симулирует нажатие клавиши Backspace для затирания ошибочно введённого слова и затем повторяет ввод в правильной раскладке). В смешанном тексте lay старается не трогать уже корректные соседние слова, например, "good ntrcn" будет преобразовано в "good текст", а "wi-fi ye" в wi-fi ну". Возможна точная автоподмена слов по пользовательскому словарю.

Проект состоит из фонового процесса, который работает с evdev/uinput, и небольшого дополнения к GNOME Shell, обеспечивающего переключение раскладки в GNOME на базе Wayland. По умолчанию программа работает локально и не использует облако, буфер обмена или большие языковые модели. В качестве опции доступен экспериментальный режим "--smart", в котором для автоматического определения ошибочного ввода применяется локально выполняемая AI-модель. В состав также входит отдельная утилита командной строки для преобразования текста не в другой раскладке. Поддержка в настоящее время ориентирована на GNOME Wayland и русский/английский языки.

1. OpenNews: Выпуск раскладки клавиатуры Ручей 2.0 с исправлениями от сообщества
2. OpenNews: Проблемы с лицензией на раскладку клавиатуры могут привести к ее удалению из Debian
3. OpenNews: Новый метод определения текста по звуку его набора на клавиатуре
4. OpenNews: Проект KDE развивает собственную виртуальную клавиатуру
5. OpenNews: Пакет StarDict в Debian отправляет выделенный текст на внешние серверы

Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, "#!/bin/sh"). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер аргументов. Вместо вычитания из "args->endp" значений "args->begin_argv" и "consume", из "args->endp" вычиталось только значение "args->begin_argv", а переменная consume прибавлялась к результату, а не вычиталась, т.е. в результате копировалось больше данных на два значения "consume".

	memmove(args->begin_argv + extend, args->begin_argv + consume,
-	    args->endp - args->begin_argv + consume);
+	    args->endp - (args->begin_argv + consume));

Переполнение позволяет перезаписать размещаемые в соседней области памяти элементы структуры "exec_map" от другого процесса. В эксплоите переполнение задействовано для перезаписи содержимого "exec_map" периодически запускаемых в системе привилегированных процессов. В качестве подобного процесса выбран sshd, который при каждой установке сетевого соединения ответвляет через вызов fork и execve процесс "/usr/libexec/sshd-session" с правами root.

Эксплоит подставляет для данного процесса переменную окружения "LD_PRELOAD=/tmp/evil.so", приводящую к загрузке в контексте sshd-session своей библиотеки. Подставляемая библиотека создаёт в файловой системе исполняемый файл /tmp/rootsh с флагом suid root. Вероятность успешного переполнения оценивается в 0.6%, но благодаря цикличному повтору попыток, успешная эксплуатация достигается примерно за 6 секунд на системе с 4-ядерным CPU.

Кроме того, во FreeBSD устранено ещё несколько уязвимостей:

• CVE-2026-35547, CVE-2026-39457 - переполнения буфера в библиотеке libnv, используемой в ядре и в приложениях из базовой системы для обработки списков в формате ключ/значение и для организации передачи данных при межпроцессном взаимодействии. Первая проблема вызвана неверным вычислением размера сообщения при обработке специально оформленных заголовков IPC-сообщений. Вторая проблема приводит к переполнению стека при обмене данных через сокет из-за отсутствия проверки соответствия размера дескриптора сокета размеру буфера, используемому в функции select(). Потенциально уязвимости могут использоваться для повышения своих привилегий в системе.
• CVE-2026-42512 - удалённо эксплуатируемое переполнение буфера в dhclient, возникающее из-за некорректного вычисления размера массива указателей, используемого для передачи переменных окружения в dhclient-script. Не исключается возможность создания эксплоита для удалённого выполнения кода через отправку специально оформленного DHCP-пакета.
• CVE-2026-7164 - переполнение стека в пакетном фильтре pf, возникающее при обработке специально оформленных пакетов SCTP. Проблема вызвана неограниченным рекурсивным разбором параметров SCTP.
• CVE-2026-42511 - возможность подстановки в dhclient.conf произвольных директив из-за отсутствия должного экранирования двойных скобок в BOOTP полях, получаемых от внешнего DHCP-сервера. При последующем разборе данного файла процессом dhclient, указанное атакующим поле передаётся в dhclient-script, что может использоваться для выполнения произвольных команд с правами root на системах, использующих dhclient, при обращении к подконтрольному атакующему DHCP-серверу.
• CVE-2026-6386 - отсутствие должной обработки больших страниц памяти в функции ядра pmap_pkru_update_range(). Непривилегированный пользователь, может заставить pmap_pkru_update_range() обработать память из пространства пользователя как страницу в таблице страниц памяти, и добиться перезаписи области памяти, к которой нет доступа.
• CVE-2026-5398 - обращение к уже освобождённой области памяти в обработчике TIOCNOTTY, позволяющее непривилегированному процессу получить права root.

1. OpenNews: Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs
2. OpenNews: Удалённая root-уязвимость в обработчике автоконфигурации IPv6 во FreeBSD
3. OpenNews: Уязвимость в libnv во FreeBSD и уязвимости в Netfilter в Linux
4. OpenNews: Уязвимости во FreeBSD, позволяющие повысить свои привилегии или обойти изоляцию гостевой системы
5. OpenNews: Уязвимость в поставляемом во FreeBSD варианте OpenSSH, допускающая удалённое выполнение кода

Управление killswitch осуществляется через файл "/sys/kernel/security/killswitch/control", позволяющий настроить перехват обращений к функциям ядра по их именам. Например, для блокирования уязвимости Copy Fail достаточно записать в управляющий файл команду "engage af_alg_sendmsg -1" для включения перехвата вызова функции af_alg_sendmsg и вместо её выполнения возвращения кода ошибки "-1".

В качестве имён могут использоваться любые символы, поддерживаемые подсистемой kprobes. Многие из недавно найденных в ядре серьёзных уязвимостей присутствуют в подсистемах, используемых относительной небольшим числом пользователей (например, AF_ALG, ksmbd, nf_tables, vsock, ax25). Для большинства пользователей неудобство из-за прекращения работоспособности отдельных функций не сравнится с риском использования в работе ядра с известной неисправленной уязвимостью на время до установки исправления. Механизм killswitch особо актуален в контексте сегодняшней уязвимости Dirty Frag, эксплоит для которой был опубликован раньше, чем проблема была устранена в ядре.

1. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
2. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
3. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии через VSOCK
4. OpenNews: Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в ядре Linux