Для скрытия IP-адреса сервера, доступ к нему был организован через сеть доставки контента Cloudflare. В настоящий момент анонс Numbat уже удалён с канала, а при попытке открытия сайта ai-ubuntu.com компания Cloudflare выводит предупреждение о фишинге. При открытии сайта ai-ubuntu.com пользователям предлагалось привязать свой криптовалютный кошелёк к платформе, а также объявлялось о скором запуске своего криптовалютного токена и предоставлении возможности принять участие в его распределении среди пользователей.

1. OpenNews: Сервисы Ubuntu и Canonical оказались недоступны из-за DDoS-атаки
2. OpenNews: В Ubuntu намечена интеграция AI
3. OpenNews: Релиз дистрибутива Ubuntu 26.04

Dirty Frag охватывает две разные уязвимости: первая в модуле xfrm-ESP, используемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload), а вторая в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Каждая из уязвимостей по-отдельности позволяет добиться получения прав root. Уязвимость в xfrm-ESP проявляется в ядре Linux с января 2017 года, а уязвимость в RxRPC - с июня 2023 года. Обе проблемы вызваны оптимизациями, допускающими прямую запись в страничный кэш.

Для эксплуатации уязвимости в xfrm-ESP у пользователя должны быть права на создание пространств имён, а для эксплуатации уязвимости в RxRPC должна быть возможность загрузки модуля ядра rxrpc.ko. Например, в Ubuntu в правилах AppArmor непривилегированному пользователю запрещено создание пространств имён, но по умолчанию загружается модуль rxrpc.ko. В каких-то дистрибутивах отсутствует модуль rxrpc.ko, но не блокируется создание пространств имён. Выявивший проблему исследователь подготовил комбинированный эксплоит, способный атаковать систему через обе уязвимости, что позволяет эксплуатировать проблему во всех крупных дистрибутивах. Работа эксплоита подтверждена в Ubuntu 24.04.4 с ядром 6.17.0-23, RHEL 10.1 с ядром 6.12.0-124.49.1, openSUSE Tumbleweed с ядром 7.0.2-1, CentOS Stream 10 c ядром 6.12.0-224, AlmaLinux 10 с ядром 6.12.0-124.52.3 и Fedora 44 с ядром 6.19.14-300.

Как и в случае с уязвимостью Copy Fail, проблемы в xfrm-ESP и RxRPC вызваны выполнением расшифровки данных по месту c использованием функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. Смещения для операции записи рассчитывались без должных проверок, учитывающих использование прямой ссылки на элементы в страничном кэше, что позволяло через отправку специально оформленных запросов перезаписать 4 байта по выбранному смещению и изменить находящееся страничном кэше содержимое любого файла.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root. Например, для получения прав root можно прочитать исполняемый файл /usr/bin/su для его помещения в страничный кэш, после чего добиться подстановки своего кода в загруженное в страничный кэш содержимого этого файла. Последующий запуск утилиты "su" приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Раскрытие информации об уязвимостях и скоординированный выпуск обновлений с устранением проблем было намечено на 12 мая, но из-за утечки информации сведения об уязвимости пришлось опубликовать до публикации исправлений. В конце апреля в публичном списке рассылки netdev были опубликованы патчи к rxrpc, ipsec и xfrm, без упоминания, что они связаны с устранением уязвимости. 5 мая мэйнтейнер подсистемы IPsec принял в git-репозиторий netdev изменение c предлагаемым исправлением в модуле xfrm-esp, описание к которому во многом повторяло описание проблемы, приведшей к уязвимости Copy Fail в модуле algif_aead. Один из исследователей безопасности заинтересовался этим исправлением, сумел создать рабочий эксплоит и опубликовал его, не зная о том, что на раскрытие сведений о проблеме до 12 мая введено эмбарго.

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы, но доступны устраняющие проблемы патчи - xfrm-esp и rxrpc. CVE-идентификаторы не присвоены, что усложняет отслеживание обновления пакетов в дистрибутивах. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4, esp6 и rxrpc:

   sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Дополнение: Уязвимостям присвоены идентификаторы CVE-2026-43284 и CVE-2026-43500. Выпущены корректирующие релизы ядра Linux с устранением проблем: 7.0.5, 6.18.28, 6.12.87, 6.6.138, 6.1.172, 5.15.206, 5.10.255. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora, ROSA.

1. OpenNews: Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения
2. OpenNews: Критическая уязвимость в ядре Linux, уже эксплуатируемая злоумышленниками
3. OpenNews: В ядре Linux выявлен новый вариант уязвимости Dirty COW
4. OpenNews: Атака по определению состояния памяти процессов при помощи страничного кэша
5. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов

В Mesa 26.1 доступна поддержка графического API Vulkan 1.4 в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, HoneyKrisp (hk) для GPU Apple, Turnip для GPU Qualcomm, PanVK для GPU ARM Mali, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). В драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) и dzn (реализация Vulkan поверх Direct3D 12) поддерживается Vulkan 1.0, в драйвере kk (KosmicKrisp, Vulkan поверх Metal) - Vulkan 1.1, а драйвере pvr (GPU Imagination PowerVR) - Vulkan 1.2.

В Mesa также обеспечивается полная поддержка OpenGL 4.6 для драйверов iris (GPU Intel Gen 8+), radeonsi (AMD), Crocus (старые GPU Intel Gen4-Gen7.5), AMD (r600), zink, llvmpipe, virgl (виртуальный GPU Virgil3D для QEMU/KVM), freedreno (Qualcomm Adreno), d3d12 (прослойка для организации работы OpenGL поверх DirectX 12) и asahi (GPU AGX, используемый в чипах Apple M1 и M2). Поддержка OpenGL 4.5 доступна для GPU NVIDIA (nvc0). Поддержка OpenGL 3.3 присутствует в драйверах softpipe (программный растеризатор) и nv50 (NVIDIA NV50). В драйверах panfrost (GPU ARM Mali) и v3d (GPU Broadcom VideoCore) поддерживается OpenGL 3.1.

Основные новшества:

• В драйверы для GPU Intel (Iris, Crocus и ANV) добавлена возможность напрямую работать с GPU из виртуальных машин, используя нативные контексты (native context) в VirtIO-GPU. Нативные контексты позволяют повысить производительность работы с виртуальным GPU (virtio-gpu-gl) из гостевой системы за счёт прямой передачи команд в реальный хостовый GPU.
• Для GPU PowerVR добавлена поддержка OpenGL ES 2.0, реализованная через драйвер Zink, позволяющий получить аппаратно ускоренный OpenGL на устройствах, поддерживающих API Vulkan.
• Для OpenCL-драйвера rusticl теперь требуется статически собранная библиотека C++ stdlib для корректной работы с приложениями, использующими собственные C++ stdlib.
• В драйвер radeonsi (AMD) добавлена поддержка OpenGL-расширения GL_NV_timeline_semaphore.
• В драйвер panfrost (ARM Mali) добавлена поддержка OpenGL-расширения GL_EXT_shader_image_load_store.
• В драйвер v3d (Broadcom VideoCore) добавлена поддержка OpenGL-расширения GL_ARB_sample_shading.
• Добавлена поддержка Vulkan-расширений:
  • VK_ARM_scheduling_controls для panvk
  • VK_EXT_acquire_drm_display для panvk
  • VK_EXT_astc_decode_mode для panvk
  • VK_EXT_attachment_feedback_loop_dynamic_state для panvk
  • VK_EXT_attachment_feedback_loop_layout для panvk
  • VK_EXT_blend_operation_advanced для lavapipe
  • VK_EXT_color_write_enable для panvk
  • VK_EXT_conditional_rendering для panvk
  • VK_EXT_depth_clamp_control для panvk
  • VK_EXT_descriptor_heap для RADV (при выставлении 'export RADV_EXPERIMENTAL=heap')
  • VK_EXT_hdr_metadata для v3dv
  • VK_EXT_image_drm_format_modifier для pvr
  • VK_EXT_image_view_min_lod для panvk
  • VK_EXT_legacy_dithering для panvk
  • VK_EXT_map_memory_placed для panvk
  • VK_EXT_nested_command_buffer для panvk
  • VK_EXT_non_seamless_cube_map для pvr
  • VK_EXT_present_timing для RADV, NVK, Turnip, ANV, Honeykrisp, panvk
  • VK_EXT_primitive_restart_index для RADV
  • VK_EXT_rgba10x6_formats для panvk
  • VK_EXT_shader_atomic_float для panvk
  • VK_EXT_shader_stencil_export для panvk
  • VK_EXT_zero_initialize_device_memory для panvk
  • VK_KHR_copy_memory_indirect для nvk, RADV/GFX8+
  • VK_KHR_device_address_commands для RADV
  • VK_{KHR,EXT}_{surface,swapchain}_maintenance1 для panvk
  • VK_KHR_get_display_properties2 для panvk
  • VK_KHR_get_surface_capabilities2 для panvk
  • VK_KHR_internally_synchronized_queues для RADV
  • VK_KHR_maintenance4 для pvr
  • VK_KHR_pipeline_executable_properties для pvr
  • VK_KHR_present_id для panvk, v3dv
  • VK_KHR_present_wait для panvk, v3dv
  • VK_KHR_sampler_ycbcr_conversion для pvr
  • VK_KHR_shader_integer_dot_product для pvr
  • VK_KHR_shader_untyped_pointers для panvk
  • VK_KHR_swapchain_mutable_format для panvk
  • VK_QCOM_image_processing для Turnip
  • VK_VALVE_mutable_descriptor_type для panvk
  • VK_VALVE_shader_mixed_float_dot_product для RADV (Vega20, Navi14, RDNA2+)
• Реализованы OpenCL-расширения:
  • cl_khr_subgroup_ballot для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_clustered_reduce для asahi, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_extended_types для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_non_uniform_arithmetic для asahi, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_non_uniform_vote для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_rotate для asahi, llvmpipe и zink
• Драйвер VirGL с реализацией виртуального GPU для QEMU остался без сопровождения и будет удалён, если не найдётся желающий взять его сопровождение в свои руки.

1. OpenNews: Релиз Mesa 26.0, свободной реализации OpenGL и Vulkan
2. OpenNews: Для Mesa предложен драйвер cluda, позволяющий реализовать OpenCL поверх NVIDIA CUDA
3. OpenNews: AMD прекратил разработку Vulkan-драйвера AMDVLK в пользу драйвера RADV из Mesa
4. OpenNews: Из Mesa удалена поддержка API видеоускорения VDPAU в пользу VA-API
5. OpenNews: В Mesa-драйверы radv и anv добавлена поддержка расширения Vulkan для декодирования видео VP9

Основные изменения в Chrome 148 (1, 2, 3, 4):

• Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 148 реализована поддержка применения AI-режима для автозаполнения номеров кредитных карт и адресов (после разрешения пользователя). Возможность использования встроенного чат-бота Gemini расширена на 49 стран из Азиатско-Тихоокеанского региона. Отключить загрузку и запуск AI-моделей на локальной системе пользователя можно через настройки "Система > ИИ на устройстве".
• Добавлена возможность автозаполнения в web-формах номеров водительских удостоверений, паспортов, национальных идентификационных карт, KTN-номеров (Known Traveler Number) и RCN-номеров (Redress Control Number), сохранённых в Google Wallet.
• Изменено визуальное оформление интерфейса для создания профилей (функциональность осталась прежней).
• Для ChromeOS реализован режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. В прошлом выпуске данный режим был предложен для платформ Linux, macOS и Windows.
• В версии для Android реализована функция "Enhanced autofill", использующая AI-модель для понимания web-форм и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы.
• В версии для Android появился режим возвращения сайтам приблизительного, а не точного местоположения.
• Добавлены оптимизации, расширяющие применение протокола HTTP/3. Улучшено определение поддержки HTTP/3 на сайтах.
• Реализован API Prompt, предоставляющий вызовы для взаимодействия с большими языковыми моделями, позволяющие использовать в запросах текст, изображения и звуковой ввод. Результат возвращается в удобном для разбора структурированном виде. Среди примеров использования упоминаются генерация описания изображений, визуальный поиск, транскрибирование речи, классификация звуков, генерация текста по заданной инструкции и извлечение информации из текста. API реализован с использованием локальной выполняемой большой языковой модели Gemini Nano (модель занимает 4 ГБ, загружается автоматически и устанавливается в виде файла weights.bin в подкаталог OptGuideOnDeviceModel).
• В SharedWorker добавлена опция "extendedLifetime: true" для сохранения активности обработчика после отключения всех клиентов, что позволяет выполнять асинхронные работы после выгрузки страницы (unload) без необходимости использования Service Worker-ов.
• CSS-запросы "@container" теперь могут вызываться с использованием только имени контейнера (container-name) без указания типа (container-type).

  
     #container {
       container-name: --foo;
     }
     @container --foo {
       input { background-color: green; }
     }
  

• В CSS добавлено ключевое слово "revert-rule", позволяющее отменить текущее CSS-правило и применить предыдущее правило.

  
     div {
       display: if(style(--layout: fancy): grid; else: revert-rule);
     }
  

• Для CSS-свойства "text-decoration-skip-ink" реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами.
• В версии для Android добавлена возможность использования API Web Serial для подключения к устройствам с последовательным портом, включая последовательные порты поверх USB или Bluetooth.
• В элементах <video> и <audio> появилась возможность указания атрибута "loading=lazy" для загрузки видео и звука только после попадания этих элементов в видимую область во время прокрутки страницы.
• Добавлена поддержка второй версии расширения формата Open Font "avar" (Axis Variation table), которое позволяет шрифту изменять привязки между нормализованными и осевыми значениями.
• Внесены улучшения в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 127 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Трём проблемам (целочисленное переполнение в Blink, обращение к уже освобождённой памяти в Chromoting и Mobile) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 26 премий и выплатила 138 тысяч долларов США (по одной премии в $55000, $43000 и $8000, две премии $16000). Размер 21 вознаграждения пока не определён.

1. OpenNews: Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения
2. OpenNews: 5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации
3. OpenNews: Chrome переходит на двухнедельный цикл подготовки релизов
4. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года
5. OpenNews: В Chromium решено удалить поддержку XSLT и прекратить использование libxslt и libxml2

В ходе первой атаки, проведённой 2 апреля, четыре попытки доставки вредоносного кода были блокированы внутренними системами обеспечения безопасности, но одна оказалась успешной. Проблема была выявлена и блокирована 3 апреля. После получения жалоб от сторонних исследователей безопасности о выявлении вредоносных приложений, заверенного сертификатами Digicert, 14 апреля был инициирован повторный разбор, показавший, что 4 апреля была скомпрометирована ещё одна рабочая станция аналитика, которая была установлена три года назад и не содержала ПО CrowdStrike, применяемое в Digicert для выявления и блокирования атак.

Добившись выполнения своего кода на внутренней системе атакующий получил доступ к порталу службы поддержки, на котором можно было просматривать заказы клиентов. Воспользовавшись данной возможностью атакующий узнал коды инициализации заявок на получение сертификатов "EV Code Signing", подтверждённых, но ещё не выданных клиентам. Данные коды были использованы для получения сертификатов от имени клиентов.

По результатам разбора инцидента было отозвано 60 сертификатов, из которых для 27 удалось отследить прямую связь с атакующим, а 33 отозваны превентивно, так как для них не удалось подтвердить получение клиентом. Часть сертификатов атакующие успели применить для заверения цифровой подписью вредоносного ПО семейства "Zhong Stealer".

1. OpenNews: Digicert отзывает 50 тысяч TLS-сертификатов с расширенной верификацией
2. OpenNews: Mozilla, Cloudflare и Facebook представили TLS-расширение для делегирования короткоживущих сертификатов
3. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
4. OpenNews: Разработчики Mozilla отложили прекращение доверия к сертификатам Symantec
5. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert

Портирование ещё не завершено, и на текущем этапе весь интерес к проекту сосредоточен на том, чтобы оценить насколько работоспособным получится порт, будет ли он проходить набор тестов основного проекта и сложно ли будет сопровождать новый код. В конечном счёте планируется провести сравнительное тестирование вариантов Bun на Zig и Rust.

В декабре прошлого года проект Bun поглотила компания Anthropic, поэтому у Джарреда есть ресурсы для вовлечения в портирование передовых AI-моделей Claude. Платформа Bun применяется в продуктах Claude Code и Claude Agent SDK, и компания Anthropic заинтересована в повышении её качества и развитии. Bun является одним из самых успешных проектов на языке Zig, при этом у разработчиков Zig и Bun расходятся мнения в отношении применения AI в процессе разработки. В проекте Zig утверждён жёсткий запрет применения больших языковых моделей при подготовке pull-запросов, issue и комментариев (запрещён даже перевод через AI неанглоязычных комментариев).

Введение подобных ограничений объясняется разработчиками Zig негативным опытом в рецензировании созданных через AI pull-запросов, которые отнимают ресурсы и время (например, отмечаются бессмысленные изменения, AI-галлюцинации и раздутые коммиты в 10 тысяч строк). Кроме того, проект Zig позиционирует себя как ориентированный на участников, а не вносимый ими вклад в разработку - главной целью принятия pull-запросов называется не добавление нового кода, а помощь в развитии новых участников.

Автор Bun не согласен с запретом AI в Zig и полагает, что AI-слоп останется ностальгическим пережитком 2025 и 2026 годов, а разработка открытого ПО эволюционирует до запрета приёма кода от людей. Люди будут обсуждать проблемы, ставить задачи и расставлять приоритеты, а написание кода и отправка изменений в репозитории станет уделом AI. В качестве причины экспериментов с переписыванием на Rust также отмечается желание устранить проблемы в Bun, вызванные утечками памяти, и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

Из-за запрета применения AI разработчики Bun вынуждены поддерживать собственный форк инструментария Zig, в котором благодаря применению AI удалось в 4 раза ускорить компиляцию за счёт распараллеливания семантического анализа и генерации кода. При этом судя по комментарию одного из разработчиков Zig причина отклонения патчей не в AI, а в том, что распараллеливание семантического анализа затрагивает не только компилятор, но и сам язык - чтобы реализовать предложенную функциональность без ошибок и несовместимостей, требуется внесение изменений в язык Zig. Вместо распараллеливания, разработчики Zig развивают инкрементальную компиляцию, которая по их предположению позволит на порядок повысить скорость компиляции.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

1. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js
2. OpenNews: JavaScript-платформа Bun перешла в руки компании Anthropic
3. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
4. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов
5. OpenNews: В JavaScript-платформе Bun добавлена поддержка вызова кода на языке Си

Проблема затронула многие DNS-резолверы провайдеров и публичные DNS-сервисы, такие как 1.1.1.1 и 8.8.8.8. В качестве временной меры компания Cloudflare в своём DNS-сервисе 1.1.1.1 отключила проверку подлинности через DNSSEC для доменов в зоне "DE". Пользователи DNS-резолверов, на которых DNSSEC отключён, не пострадали.

Официально причины инцидента пока не объявлены. Предполагается, что проблема возникла из-за ошибки при обновлении цифровой подписи для зоны "DE", произведённом 5 мая в 20:49 (MSK). Применяемый для верификации домена первого уровня ключ является корнем доверия для остальных ключей, используемых в доменах второго уровня, и, в свою очередь, использует ключ домена "." в качестве вышестоящего для подтверждения своего доверия.

В результате проведённой в доменной зоне "DE" операции криптографическая подпись (RRSIG - Resource Record Signature) для DNS-записи NSEC3 оказалась некорректной. Запись NSEC3 применяется для подтверждения подлинности DNS-ответов об отсутствии домена, чтобы исключить атаки по подстановке ответов NXDOMAIN для существующих доменов. В случае проблем с цифровой подписью для записи NSEC3 DNS-сервер не может удостовериться в подлинности хэшей с данными о существовании доменов и, соответственно, не может произвести проверку, считает ответ поддельным и на запросы о любом домене выдаёт ошибку.

1. OpenNews: Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC
2. OpenNews: Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC
3. OpenNews: Ошибка при обновлении ключей DNSSEC привела к нарушению работы доменной зоны NZ
4. OpenNews: ICANN призывает к повсеместному внедрению DNSSEC
5. OpenNews: Попытка получения TLS-сертификатов для чужих доменов mobi, используя просроченный домен с WHOIS-сервисом

Основные улучшения:

• Включён по умолчанию API Temporal, предлагающий альтернативный набор методов для работы с датами и временем. API позволяет манипулировать датами с учётом и без учёта часовых поясов, конвертировать время, форматировать вывод и выполнять арифметические операции со временем. Время может задаваться в независимом от часового пояса представлении (Temporal.PlainDate, Temporal.PlainTime, Temporal.PlainDateTime), с привязкой к часовому поясу (Temporal.ZonedDateTime) и в эпохальном представлении (Temporal.Instant - число наносекунд с 1 января 1970 года).
• Движок V8 обновлён до версии 14.6, применяемой в Chromium 146. Из улучшений по сравнению с прошлым выпуском Node.js отмечена возможность объединять несколько итераторов в один с помощью метода Iterator.concat(), а также реализация спецификации "upsert" для упрощения работы с коллекциями пар ключ/значение в JavaScript-объектах Map и WeakMap.
• HTTP-клиент undici обновлён до ветки 8.x.
• Удалён метод http.Server.prototype.writeHeader(), вместо которого следует использовать http.Server.prototype.writeHead().

Платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей, в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.

Для обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv, которая является надстройкой над libev в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio, для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares. Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe).

Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8. По своей сути Node.js похож на фреймворки Perl AnyEvent, Ruby Event Machine, Python asyncio и реализацию событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере.

1. OpenNews: Опубликована платформа Node.js 25.0.0
2. OpenNews: Автор Node.js добивается отмены торговой марки JavaScript
3. OpenNews: Опубликована платформа Node.js 24.0.0
4. OpenNews: Доступна платформа Deno 2.0, развиваемая автором Node.js
5. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js

Ранее интерпретатор PHP и движок Zend Engine распространялись под разными лицензиями PHP License и Zend Engine License. Переход на общую лицензию BSD-3 упростит условия лицензирования, обеспечит совместимость с GPL и решит давние проблемы, сохранив при этом все права пользователей и разработчиков. Ранее применявшиеся лицензии были признаны Фондом СПО несовместимыми с GPL из-за пункта, не позволяющего без получения письменного разрешения использовать слово PHP при продвижении производных продуктов.

Изначально ветки PHP 1.x и 2.x поставлялись под лицензией GPLv2, но ветка PHP 3 была переведена на использование двух лицензий - PHP License и GPL. В PHP 4 лицензия была изменена ещё раз - основной код стал распространяться только под лицензией PHP License, а движок Zend Engine, являющийся основной интерпретатора PHP, был размещён в подкаталоге "Zend/" под отдельной лицензией Zend Engine License. Zend Engine License, как и PHP License, содержит ограничения в отношении использования слова Zend в производных продуктах, но дополнительно требует упоминания использования движка в рекламных материалах.

После перехода на лицензию BSD-3 авторские права всех участников разработки сохранились, а права пользователей остались без изменений. Новая лицензия не налагает дополнительных ограничений и не ущемляет имеющихся прав по использованию, модификации и распространению продукта. Лицензии PHP и Zend основаны на тексте 4-пунктовой лицензии BSD и переход на лицензию BSD-3 лишь привёл к удалению пунктов, определяющих требования в отношении использования бренда "PHP", а также к прекращению действия условия, предписывающего упоминать об использовании свободного проекта PHP в производных продуктах.

Cмена лицензии не потребовала получения отдельного согласия от каждого разработчика, так как в тексте лицензий PHP и Zend определены полномочия, позволяющие PHP Group вносить изменения в лицензию и выпускать новые версии лицензии. Для перехода на лицензию BSD-3 было достаточно одобрения членов PHP Group и получения письменного подтверждения от юристов компании Perforce Software, которой принадлежит компания Zend Technologies. Процесс перехода на новую лицензию оформлен как обновление кода до версий PHP License v4 и Zend Engine License v3, текст которых совпадает с текстом лицензии BSD-3.

1. OpenNews: Релиз языка программирования PHP 8.5
2. OpenNews: Копилефт лицензия CCAI, учитывающая применение для обучения AI-моделей
3. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов
4. OpenNews: Выпуск дистрибутива Apertis 2026, позволяющего не использовать код под лицензией GPLv3
5. OpenNews: Фонд СПО и SFC призвали ONLYOFFICE удалить ограничения, добавленные поверх лицензии AGPL

В основе ToaruOS лежит ядро, использующее гибридную модульную архитектуру, сочетающую монолитную основу и средства для использования загружаемых модулей, в виде которых оформлено большинство имеющихся драйверов устройств, таких как драйверы диска (PATA и ATAPI), ФС EXT2 и ISO9660, framebuffer, клавиатуры, мыши, сетевых карт (AMD PCnet FAST, Realtek RTL8139 и Intel PRO/1000), звуковых чипов (Intel AC'97), а также дополнений VirtualBox для гостевых систем. Ядро поддерживает Unix-потоки, TTY, виртуальную ФС, псевдо-ФС /proc, многопоточность, IPC, ramdisk, ptrace, разделяемую память, многозадачность и другие типовые возможности.

Cистема снабжена композитным оконным менеджером, поддерживает динамически связываемые исполняемые файлы в формате ELF, многозадачность, графический стек, может выполнять Python 3 и GCC. В качестве файловой системы применяется ext2. Загрузчик поддерживает BIOS и EFI. Сетевой стек позволяет использовать API сокетов в стиле BSD-систем и поддерживает сетевые интерфейсы, включая loopback.

Из собственных приложений выделяется похожий на Vi редактор кода Bim, который используется последние несколько лет для разработки специфичных для ToaruOS приложений, таких как файловый менеджер, эмулятор терминала, графическая панель с поддержкой виджетов, пакетный менеджер, а также библиотеки для поддержки изображений (PNG, JPEG) и TrueType-шрифтов. Для ToaruOS выполнено портирование таких программ, как Vim, GCC, Binutils, FreeType, MuPDF, SDL, Cairo, Doom, Quake, Super Nintendo emulator, Bochs и т.п.

Проектом также развивается собственный динамический язык программирования Kuroko, рассчитанный на замену Python при разработке утилит и пользовательских приложений для системы. Язык по синтаксису напоминает Python (позиционируется как сокращённый диалект Python с явным определением переменных) и отличается очень компактной реализацией. Поддерживается компиляция и интерпретация байткода. Интерпретатор байткода предоставляет сборщик мусора, поддерживает многопоточность без применения глобальной блокировки. Компилятор и интерпретатор могут быть собраны в форме небольшой разделяемой библиотеки (~500КБ), интегрируемой с другими программами и расширяемой через C API. Кроме ToaruOS язык может использоваться в Linux, macOS, Windows и запускаться в браузерах с поддержкой WebAssembly.

В новом выпуске:

• В эмулятор терминала добавлена поддержка вкладок, переключаться между которыми можно последовательностью Alt-цифра. Реализована эмуляция жирного начертания шрифтов через двойное наложение глифов. Добавлены подменю "Terminal state" для включения показа состояния различных режимов и "Send signal" для отправки сигналов фоновым процессам.
• Реализован просмотрщик системных руководств, поддерживающий man-страницы в формате roff.
• В контекстное меню добавлено подменю для управления мозаичной компоновкой окон.
• В ядре реализованы новые системные вызовы, среди которых pread/pwrite, sigsuspend, sigqueue, lchown, pipe2, dup3, getrusage и fcntl. Добавлена поддержка флагов FD_CLOEXEC и FD_CLOFORK. Реализована поддержка рандомизации адреса загрузки ядра. ABI системных вызовов переведено на использование инструкций syscall/sysret.
• Значительно расширены возможности виртуальной консоли (TTY), обеспечена эмуляция текстового режима VGA на базе фреймбуфера.
• В версии для архитектуры Aarch64 реализована возможность запуска в виртуальных машинах на базе QEMU.
• В сетевой стек добавлена поддержка одновременной работы с несколькими сокетами ICMP.
• В стандартную библиотеку libc добавлены функции getdelim, getline, scandir, telldir, rewinddir, seekdir, ftruncate, fchmod, fchown, popen, pclose, sig2str, str2sig.
• Добавлены новые стандартные утилиты rmdir, uniq, cmp, zcat, realpath, id, nohup, cksum. Добавлены новые опции в ls, grep и fgrep. Переписаны утилиты ps, top, pstree, killall и pidof, которые переведены на новую библиотеку libtoaru_procfs, унифицирующую работу с псевдо-ФС /proc. Расширен командный интерпретатор esh.
• Добавлена утилита check-image для проверки возможности загрузки изображения графической библиотекой и вывода размера изображения.
• Язык программирования Kuroko обновлён до версии 1.5rc2.
• До версии 3.2 обновлён текстовый редактор Bim, созданный с оглядкой на Vim. В новой версии улучшена подсветка синтаксиса, расширена поддержка скриптов на языке Kuroko и добавлена новая система автодополнения ввода.

1. OpenNews: Релиз операционной системы FRANK OS 1.0
2. OpenNews: Обновление операционной системы MenuetOS 1.57.70, написанной на ассемблере
3. OpenNews: Операционная система Munal на Rust
4. OpenNews: Google открыл код операционной системы для умных часов Pebble
5. OpenNews: Пятый бета-выпуск операционной системы Haiku R1

Уязвимость возникает из-за отсутствия ограничения рекурсивной обработки директорий в коде для разбора архивов NAR (Nix Archive), что можно использовать для инициирования исчерпания стека сопрограмм и перезаписи содержимого кучи (heap), размещённой после стека без сторожевых страниц памяти. Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволяет поднять свои привилегии до пользователя root в многопользовательских установках Nix.

Проблема решена ограничением уровня рекурсии в 64 вложенных директории, добавлением сторожевых страниц памяти между стеком и кучей и реализацией дополнительных проверок символических ссылок в NAR. В Nix уязвимость проявляется начиная с версии 2.24.4 и устранена в выпусках 2.34.7, 2.33.6, 2.32.8, 2.31.5, 2.30.5, 2.29.4, 2.28.7. В Lix уязвимость появилась в выпуске 2.93.0 и устранена в обновлениях 2.93.4, 2.94.2 и 2.95.2. Пакетный менеджер Guix уязвимость не затрагивает.

Помимо этого в опубликованных обновлениях Nix устранена ещё одна уязвимость (CVE отсутствует), которой присвоен средний уровень опасности (4.3 из 10). Проблема проявляется начиная с выпуска Nix 2.24.7 и позволяет организовать запись файлов в область за пределами корневого каталога, в который осуществляется распаковка архива. Уязвимость эксплуатируется через создание в tar-файлах элементов с абсолютными файловыми путями. При распаковке подобных архивов командой "nix-prefetch-url --unpack" или "nix store prefetch-file --unpack" файлы с абсолютными путями извлекаются как есть, без преобразования в относительный путь.

1. OpenNews: Уязвимости в пакетных менеджерах Nix, Lix и Guix
2. OpenNews: В NixOS предложен метод защиты от подстановки бэкдоров, таких как в XZ
3. OpenNews: Уязвимости в PCP и Nix, позволяющие поднять привилегии в системе
4. OpenNews: Доступен дистрибутив NixOS 25.11, использующий пакетный менеджер Nix
5. OpenNews: Опасные уязвимости в GStreamer, CUPS, wolfSSL, OpenSSL, OpenClaw, Nix и ядре Linux

REX может применяться для контроля и ограничения операций, выполняемых скриптами, генерируемыми AI-агентами в процессе выполнения запросов системной автоматизации. При помощи REX владелец хоста может блокировать выполнение нецелевых действий и управлять тем, какие именно операции разрешены, независимо от запросов, поступающих AI-агенту. Подобный подход даёт возможность защититься от нового класса атак, в которых злоумышленники используют подстановку запросов AI-агентам для выполнения действий в системе.

Для написания скриптов в REX применяется язык Rhai, использующий динамическую типизацию и предоставляющий синтаксис, напоминающий смесь JavaScript и Rust. К скрипту привязываются правила на языке Cedar, регламентирующие каждую выполняемую скриптом системную операцию. Скрипты выполняются в изолированном sandbox-окружении, в котором допускаются только явно разрешённые правилами операции с файлами, сетевые возможности, средства управления процессами и прочие системные функции. Каждый системный вызов, такой как открытие, чтение или запись файла, перед выполнением авторизируется в соответствии с заданными правилами.

Модель обеспечения безопасности строится на том, что правила отделены от скриптов и определяются не создателями скриптов или запускающими скрипты, а владельцем сервиса. Для исключения состояния гонки в скриптах и атак через символические ссылки в скриптах по возможности используются файловые дескрипторы, а не пути. По умолчанию выполняемые движком REX скрипты не имеют прямого доступа к хосту и проводят операции через авторизированные Rust API.

1. OpenNews: Достижение выполнения кода при контроле над текстом комментария в Python-скрипте
2. OpenNews: Уязвимость в Glibc, эксплуатируемая через скрипты на PHP
3. OpenNews: Доступен ShellCheck 0.9, статический анализатор для shell-скриптов
4. OpenNews: Amazon опубликовал открытую криптографическую библиотеку для языка Rust
5. OpenNews: Amazon адаптировал инструментарий управлениями контейнерами Finch для работы в Linux

По мнению создателя Notepad++ подобные действия вводят пользователей в заблуждение и создают впечатление, что порт для macOS является частью официального проекта, созданного при участии и с ведома автора Notepad++. Код порта написан сторонним энтузиастом с использованием AI-ассистента Claude. В репозитории и на сайте не уточняется, что это сторонний проект, поэтому во многих заметках в социальных сетях, блогах и интернет-изданиях порт стали преподносить как появление в Notepad++ поддержки платформы macOS, а не как возникновение отдельного проекта, никак не связанного с разработчиками оригинального Notepad++.

Дон Хо (Don Ho), автор Notepad++, призвал прекратить использование логотипа Notepad++ и переименовать порт, чтобы у пользователей не возникали ложные ассоциации о его связи с основным проектом. В остальном Дон Хо приветствовал попытки адаптировать код для macOS и считает, что проведённая работа сможет помочь многим пользователям данной платформы. Дон Хо ничего не имеет против создания форков отрытого кода, но призывает не вводить в заблуждение их мнимой связью с исходными проектами.

1. OpenNews: Атака на проект Notepad++, приведшая к выборочной подмене обновлений
2. OpenNews: Notepad++ заблокирован в Китае
3. OpenNews: Сайт открытого проекта Notepad++ подвергся взлому

Dav2d оптимизирован для достижения максимальной производительности и заявлен как самый быстрый из существующих декодировщиков AV2 для всех поддерживаемых платформ. Предполагается, что предложенная в dav2d программная реализация AV2 позволит компенсировать отсутствие аппаратных декодировщиков на ранней стадии продвижения кодека AV2.

По своим целям и архитектуре новая библиотека dav2d напоминает существующий проект dav1d и отличается реализацией кодека AV2 вместо AV1. Некоторые общие возможности перенесены из кодовой базы dav1d. Библиотека dav2d будет поддерживать все возможности AV2, включая расширенные виды субдискретизации и все заявленные в спецификации параметры управления глубиной цвета. Проект находится на стадии разработки и пока не рекомендован для внедрения в рабочие системы, так как финальная спецификация для AV2 ещё не утверждена.

Кодек AV2 не требует лицензионных отчислений и развивается альянсом Open Media (AOMedia) в качестве преемника формата AV1. Особенности кодека AV2:

• оптимизация для применения в потоковом вещании;
• улучшенное предсказание межкадровых изменений;
• значительное улучшение по сравнению с AV1 производительности операций сжатия;
• расширенная поддержка возможностей для виртуальной и дополненной реальности;
• поддержка более широкого диапазона визуального качества;
• возможность одновременной доставки нескольких видео в рамках одного видеопотока с поддержкой их раздельного отображения на экране;
• дополнительные фильтры для подавления шумов, уменьшения артефактов от сжатия и сохранения детализации.

1. OpenNews: Выпуск кодировщика SVT-AV1 2.0 и декодировщика dav1d 1.4 для формата видео AV1
2. OpenNews: VideoLAN и FFmpeg разработали новый декодировщик для видеокодека AV1
3. OpenNews: Альянс AOMedia анонсировал видеокодек нового поколения AV2
4. OpenNews: На выставке CES 2026 продемонстрирован прототип VLC 4.0 с поддержкой видеокодека AV2
5. OpenNews: Кодек AV2 продемонстрировал снижение битрейта на 30% при уровне качества AV1

Теренс Иден (Terence Eden), участвовавший в продвижения открытых стандартов и открытого ПО в госучреждениях Великобритании, считает решение ошибочным и противоречащим действующему в Великобритании регламенту "Tech Code of Practice", предписывающему применение открытых моделей разработки и использование открытого кода. По мнению Теренса, риск переоценён и для большинства репозиториев, доступ к которым намерены ограничить, сканирование AI-инструментами не создаёт новых угроз безопасности, так как в этих репозиториях в основном размещены наборы данных, руководства, макеты интерфейса, а также внутренние и исследовательские инструменты, не задействованные в публичных сервисах.

При участии Теренса организовано резервное копирование репозиториев службы здравоохранения Великобритании. В случае удаления репозиториев, они будут повторно опубликованы в другом месте, так как открытые лицензии, под которыми распространяется содержимое, разрешают это.

1. OpenNews: SDL запретил приём кода от AI. Созданы форки Vim, избавленные от AI-изменений
2. OpenNews: Платформа Cal.com прекратила публиковать код из-за опасения выявления уязвимостей через AI
3. OpenNews: Anthropic опубликовал Си-компилятор, созданный AI-моделью Claude Opus и способный собрать ядро Linux
4. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов
5. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты