opennet новости

Компания Google опубликовала релиз web-браузера Chrome 146. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 147 запланирован на 7 апреля.

Компания Qualys выявила 9 уязвимостей в системе мандатного управления доступом AppArmor, наиболее опасные из которых позволяют локальному непривилегированному пользователю получить права root в системе, выйти из изолированных контейнеров и обойти ограничения, заданные через AppArmor. Уязвимости получили кодовое имя CrackArmor. CVE-идентификаторы пока не назначены. Успешные примеры повышения привилегий продемонстрированы в Ubuntu 24.04 и Debian 13.

В применяемом во многих дистрибутивах Linux патче gssapi.patch, добавляющем в OpenSSH поддержку обмена ключей на базе GSSAPI, выявлена уязвимость (CVE-2026-3497), приводящая к разыменованию указателя, повреждению памяти и обходу механизма разделения привилегий (Privsep). Уязвимость может быть эксплуатирована удалённо на стадии до осуществления аутентификации. Выявивший проблему исследователь продемонстрировал инициирование аварийного завершения процесса через отправку на SSH-сервер одного модифицированного сетевого пакета. Не исключается, что помимо отказа в обслуживании, существуют более опасные варианты эксплуатации уязвимости.

В списке рассылки linux-api выставлено на обсуждение предложение (RFC) заменить устаревшие реализации бинарных форматов системных журналов lastlog, btmp, utmp и wtmp на новые разделяемые библиотеки, использующие SQLite в качестве бэкенда. Инициатива направлена на решение накопившихся проблем, среди которых переполнение 32-разрядных счётчиков времени в 2038 году, отсутствие расширяемости, низкая производительность запросов и отсутствие атомарности при записи.

Компания Google подвела итоги программы выплаты вознаграждений за выявление уязвимостей в Chrome, Android, приложениях Google Play, продуктах Google и различном открытом ПО. Общая сумма выплаченных в 2025 году вознаграждений составила 17.1 млн долларов, что на $5.3 млн больше, чем в 2024 году и на $7.1 млн больше, чем в 2023 году. Вознаграждения получили 747 исследователей (в 2024 году - 660, в 2023 - 632). С 2010 года суммарный размер выплат составил 81.6 млн долларов.

Основатель и основной разработчик игровой платформы Lutris, предоставляющей инструменты для упрощения установки, настройки и управления играми в Linux, прокомментировал принятие в кодовую базу проекта изменений, сгенерированных большими языковыми моделями. Разработчик заявил, что использование AI является проблемой только если человек не знает, что делает, или использует AI-инструменты низкого качества.

Энтузиасты написали собственный DSL на макросах, который работает как do-нотация из функциональных языков. Используются продвинутые возможности препроцессора. В представленном проекте реализована новая техника для парсинга DSL, что может поспособствовать созданию дальнейших DSL на препроцессоре C и C++. Код в репозитории написан на C++23 и открыт под лицензией MIT, а сама техника может быть использована и просто в си-препроцессоре.

Компания Igalia, известная своим участием в разработке таких свободных проектов, как GNOME, GTK, WebKitGTK, Epiphany, Maemo, GStreamer, Wine, Mesa и freedesktop.org, представила проект Moonforge, упрощающий создание и сопровождение собственных Linux-дистрибутивов для различных устройств и встраиваемых систем. Начинка дистрибутива формируется на основе сборочного инструментария и метаданных пакетов от проектов OpenEmbedded и Yocto. Специфичные для проекта наработки распространяются под лицензией MIT.

Компания Google подвела итоги включения оптимизации AutoFDO (Auto-Feedback-Directed Optimization) при сборке ядра Linux для платформы Android. AutoFDO использует результаты профилирования c информацией о частоте выполнения различных участков кода для повышения производительности часто выполняемых операций. Оптимизация AutoFDO задействована при сборке ядра Linux.

Опубликован выпуск проекта D7VK 1.5, развивающего реализацию графических API Direct3D 3, 5, 6 и 7, предложенных компанией Microsoft в 1996, 1997, 1998 и 1999 годах. D7VK работает через трансляцию вызовов в API Vulkan и позволяет при помощи Wine запускать в Linux ретро игры, завязанные на API Direct3D 3, 5, 6 и 7. Код проекта написан на языке C++ и распространяется под лицензией Zlib. В качестве основы при разработке использован код бэкенда d3d9 от проекта DXVK - D7VK преобразует API Direct3D 3, 5, 6 и 7 в вызовы Direct3D 9, которые затем транслируются в API Vulkan. Разработчик не намерен добиваться включения D7VK в состав DXVK, как это было с реализациями Direct3D 8 и Direct3D 9 поверх Vulkan.

Инженер из компании SUSE предложил для включения в ветку linux-next, на основе которой формируется функциональность ядра Linux 7.1, серию патчей, убирающих возможность сборки стека IPv6 в форме модуля ядра. В качестве причин упоминается желание избавиться от усложнений и упростить сопровождение. Возможность сборки IPv6 в форме модуля остаётся в ядре в основном по историческим причинам и в современных дистрибутивах не применяется на практике (IPv6 либо встраивают в ядро, либо полностью отключают).

Представлена бета-версия дистрибутива Fedora Linux 44, ознаменовавшая переход на финальную стадию тестирования, при которой допускается только исправление критических ошибок. Релиз запланирован на 14 апреля. Выпуск охватывает Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Server, Fedora IoT, Fedora CoreOS, Fedora Cloud Base, Fedora IoT Edition, Fedora Silverblue, Fedora Kinoite и Live-сборки, поставляемые в форме спинов c пользовательскими окружениями Xfce, MATE, Cinnamon, LXDE, Phosh, Miracle, LXQt, Budgie, Sway и Cosmic. Сборки сформированы для архитектур x86_64, Power64 и ARM64 (AArch64).

Доступен выпуск uChmViewer 8.6, программы для просмотра электронных книг в форматах CHM и EPUB. Из особенностей просмотрщика отмечается улучшенная поддержка языков, отличных от английского, возможность отключения JavaScript, автоопределение кодировок, корректный поиск в chm-файлах с кириллицей, возможность использования сложных поисковых выражений, система установки закладок, сохранение истории операций в привязке к просматриваемым файлам, масштабирование размера текста. Код написан на С++ с использованием библиотеки Qt и поставляется под лицензией GPLv3. Пакеты cформированы для Debian, Fedora, Ubuntu и инсталлятор для Windows.

Спустя два года с момента формирования прошлого выпуска опубликован релиз серверного Linux-дистрибутива Zentyal 8.1, построенного на пакетной базе Ubuntu 24.04 LTS и специализирующегося на создании серверов для обслуживания локальной сети предприятий среднего и малого бизнеса. Среди прочего дистрибутив позиционируется в качестве альтернативы Windows Server и включает компоненты для замены служб Microsoft Active Directory и Microsoft Exchange Server. Размер iso-образа 4.5 ГБ. Отдельно поставляется коммерческая редакция дистрибутива, но пакеты с компонентами Zentyal доступны пользователям Ubuntu через штатный репозиторий Universe.

В мультимедийном фреймворке GStreamer, используемом в GNOME, выявлено 10 уязвимостей, все из которых помечены как допускающие удалённое выполнение кода при обработке некорректно оформленных мультимедийных данных в форматах AVI, RTP, H.266, JPEG, ASF и RealMedia, а также субтитров DVB-SUB. Двум проблемам присвоен уровень опасности 8.8 из 10, а остальным 7.8. Восемь уязвимостей приводят к записи данных за пределы буфера, а две к целочисленному переполнению.

Компания Oracle представила Solaris 11.4.90 CBE (Common Build Environment), вариант операционной системы Solaris 11.4, нацеленный на использование разработчиками открытого ПО и применение в персональных целях. CBE упрощает доступ к актуальным версиям программ и обновлениям для тех, кто желает использовать Solaris бесплатно. Это третий выпуск серии CBE - первый был опубликован в 2022 году. В отличие от основных сборок Solaris 11.4, лицензия на которые допускает бесплатное использование для тестирования, разработки и применения в персональных проектах, редакция CBE отличается задействованием непрерывной модели публикации новых версий и близка к редакции Solaris 11.4 SRU (Support Repository Update).

Издание Reuters получило сведения о подготовке корпорации EQT к продаже компании SUSE. На основании информации от источника, который не разглашается, шведская инвестиционная компания EQT наняла банк Arma Partners для обсуждения с группой инвесторов возможной продажи компании SUSE. Утверждается, что обсуждения находятся на ранней стадии и пока нет полной уверенности в том, что EQT осуществит сделку.

Доступен корректирующий выпуск Firefox 148.0.2, в котором устранено 5 уязвимостей. 4 уязвимости вызваны проблемами при работе с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Одно из переполнений буфера затрагивает код для воспроизведения звука и видео в версии для Android. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. Не связанная с памятью проблема присутствует в коде разбора CSS и позволяет обойти ограничения Same-origin.

Опубликован выпуск основной ветки nginx 1.29.6, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD.

Компания Cloudflare объявила об устранении трёх уязвимостей во фреймворке Pingora, двум из которых присвоен критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust и предназначен для разработки защищённых высокопроизводительных сетевых сервисов. Построенный при помощи Pingora прокси используется в сети доставки контента Cloudflare и обрабатывает более 40 млн запросов в секунду. Уязвимости устранены в выпуске Pingora 0.8.0.