• Решено включить в состав KDE Plasma 6.7 новый движок стилей Union, но пока не ясно будет ли он активирован по умолчанию или останется в форме опции, включаемой в настройках. Union предоставляет унифицированную систему обработки стилей, позволяющую использовать разные технологии стилевого оформления приложений, доступные в KDE.

  Движок состоит из трёх слоёв: входного, промежуточного и выходного. Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов со стилями и их преобразование в абстрактное описание для отрисовки. Промежуточный слой оформлен в виде библиотеки, описывающей модель данных и методы для применения стилей к каждому элементу. Выходной слой содержит плагины для преобразования сформированного промежуточным слоем универсального стиля в команды для отрисовки, специфичные для конкретного графического стека.

  Например, в качестве входного формата могут использоваться темы оформления в формате SVG или CSS, а на выходе формироваться стили для QtQuick или Qt Widgets. По умолчанию решено перейти на использование входного формата CSS вместо ранее используемого SVG. Подготовлена новая реализация темы Breeze, оформленная в формате CSS.

  
• В KWin внесены оптимизации, повышающие производительность и эффективность энергопотребления в программах, осуществляющих отрисовку при помощи CPU. Оптимизация заметка в большинстве программ KDE и в приложениях, использующих QtWidgets (в QtWidgets для отрисовки применяется CPU, а в QtQuick задействовано ускорение через GPU). Например, в при работе в KDevelop теперь всегда плавно двигается указатель, а нагрузка на CPU при прокрутке снизилась с 80-90% до 20%.
• В KWin добавлена эвристика, определяющая целесообразность применения прямого вывода (direct scan-out) для повышения производительности и снижения энергопотребления при раскрытии окон на весь экран.
• Реализована возможность выставления для дисплея цветового профиля ICC при включённом режиме HDR.
• Для многих ноутбуков с процессорами AMD реализована возможность отключения драйвера адаптивной модуляции подсветки экрана или ручной регулировки параметров при его использовании. Указанный драйвер изменяет цвета на экране для улучшения видимости информации при низком уровне яркости.
• В менеджере приложений Discover улучшены средства для выявления дублирующихся приложений, установленных из системных пакетов и из внешних каталогов в формате Flatpak.
• При выводе информации о системе (Info Center) показания датчиков температуры теперь выводятся в единицах измерения, заданных в системных настройках.
• В меню Kickoff добавлена поддержка удаления приложений из секции "Избранное", путём перемещения мышью ярлыка за пределы виджета.
  
  
• В виджет управления выводом на печать добавлена индикация числа активных и находящихся в очереди заданий вывода на печать по отдельности для каждого из принтеров.

1. Главная ссылка к новости
2. OpenNews: Ветка KDE Plasma 6.7 перешла на стадию мягкой заморозки
3. OpenNews: Опубликован KDE Gear 26.04, набор приложений от проекта KDE
4. OpenNews: Релиз среды рабочего стола KDE Plasma 6.6
5. OpenNews: Плагин к KWin для использования KDE в виртуальной реальности
6. OpenNews: Проект MiDesktop развивает форк KDE 1 для современных систем

Проблема вызвана переполнением буфера в системном вызове execve, возникающем при обработке префикса, указываемого в первой строке скриптов для определения пути к интерпретатору (например, "#!/bin/sh"). Переполнение возникает при вызове функции memmove из-за неверного составления математического выражения для вычисления размера копируемых в буфер аргументов. Вместо вычитания из "args->endp" значений "args->begin_argv" и "consume", из "args->endp" вычиталось только значение "args->begin_argv", а переменная consume прибавлялась к результату, а не вычиталась, т.е. в результате копировалось больше данных на два значения "consume".

	memmove(args->begin_argv + extend, args->begin_argv + consume,
-	    args->endp - args->begin_argv + consume);
+	    args->endp - (args->begin_argv + consume));

Переполнение позволяет перезаписать размещаемые в соседней области памяти элементы структуры "exec_map" от другого процесса. В эксплоите переполнение задействовано для перезаписи содержимого "exec_map" периодически запускаемых в системе привилегированных процессов. В качестве подобного процесса выбран sshd, который при каждой установке сетевого соединения ответвляет через вызов fork и execve процесс "/usr/libexec/sshd-session" с правами root.

Эксплоит подставляет для данного процесса переменную окружения "LD_PRELOAD=/tmp/evil.so", приводящую к загрузке в контексте sshd-session своей библиотеки. Подставляемая библиотека создаёт в файловой системе исполняемый файл /tmp/rootsh с флагом suid root. Вероятность успешного переполнения оценивается в 0.6%, но благодаря цикличному повтору попыток, успешная эксплуатация достигается примерно за 6 секунд на системе с 4-ядерным CPU.

Кроме того, во FreeBSD устранено ещё несколько уязвимостей:

• CVE-2026-35547, CVE-2026-39457 - переполнения буфера в библиотеке libnv, используемой в ядре и в приложениях из базовой системы для обработки списков в формате ключ/значение и для организации передачи данных при межпроцессном взаимодействии. Первая проблема вызвана неверным вычислением размера сообщения при обработке специально оформленных заголовков IPC-сообщений. Вторая проблема приводит к переполнению стека при обмене данных через сокет из-за отсутствия проверки соответствия размера дескриптора сокета размеру буфера, используемому в функции select(). Потенциально уязвимости могут использоваться для повышения своих привилегий в системе.
• CVE-2026-42512 - удалённо эксплуатируемое переполнение буфера в dhclient, возникающее из-за некорректного вычисления размера массива указателей, используемого для передачи переменных окружения в dhclient-script. Не исключается возможность создания эксплоита для удалённого выполнения кода через отправку специально оформленного DHCP-пакета.
• CVE-2026-7164 - переполнение стека в пакетном фильтре pf, возникающее при обработке специально оформленных пакетов SCTP. Проблема вызвана неограниченным рекурсивным разбором параметров SCTP.
• CVE-2026-42511 - возможность подстановки в dhclient.conf произвольных директив из-за отсутствия должного экранирования двойных скобок в BOOTP полях, получаемых от внешнего DHCP-сервера. При последующем разборе данного файла процессом dhclient, указанное атакующим поле передаётся в dhclient-script, что может использоваться для выполнения произвольных команд с правами root на системах, использующих dhclient, при обращении к подконтрольному атакующему DHCP-серверу.
• CVE-2026-6386 - отсутствие должной обработки больших страниц памяти в функции ядра pmap_pkru_update_range(). Непривилегированный пользователь, может заставить pmap_pkru_update_range() обработать память из пространства пользователя как страницу в таблице страниц памяти, и добиться перезаписи области памяти, к которой нет доступа.
• CVE-2026-5398 - обращение к уже освобождённой области памяти в обработчике TIOCNOTTY, позволяющее непривилегированному процессу получить права root.

1. Главная ссылка к новости
2. OpenNews: Удалённо эксплуатируемые уязвимости в ядре FreeBSD, Vim и Emacs
3. OpenNews: Удалённая root-уязвимость в обработчике автоконфигурации IPv6 во FreeBSD
4. OpenNews: Уязвимость в libnv во FreeBSD и уязвимости в Netfilter в Linux
5. OpenNews: Уязвимости во FreeBSD, позволяющие повысить свои привилегии или обойти изоляцию гостевой системы
6. OpenNews: Уязвимость в поставляемом во FreeBSD варианте OpenSSH, допускающая удалённое выполнение кода

Управление killswitch осуществляется через файл "/sys/kernel/security/killswitch/control", позволяющий настроить перехват обращений к функциям ядра по их именам. Например, для блокирования уязвимости Copy Fail достаточно записать в управляющий файл команду "engage af_alg_sendmsg -1" для включения перехвата вызова функции af_alg_sendmsg и вместо её выполнения возвращения кода ошибки "-1".

В качестве имён могут использоваться любые символы, поддерживаемые подсистемой kprobes. Многие из недавно найденных в ядре серьёзных уязвимостей присутствуют в подсистемах, используемых относительной небольшим числом пользователей (например, AF_ALG, ksmbd, nf_tables, vsock, ax25). Для большинства пользователей неудобство из-за прекращения работоспособности отдельных функций не сравнится с риском использования в работе ядра с известной неисправленной уязвимостью на время до установки исправления. Механизм killswitch особо актуален в контексте сегодняшней уязвимости Dirty Frag, эксплоит для которой был опубликован раньше, чем проблема была устранена в ядре.

1. Главная ссылка к новости
2. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
3. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
4. OpenNews: Уязвимость в ядре Linux, позволяющая повысить свои привилегии через VSOCK
5. OpenNews: Выпуск LKRG 1.0.0 для защиты от эксплуатации уязвимостей в ядре Linux

Отдельно компания Mozilla опубликовала отчёт о проверке кодовой базы Firefox при помощи AI-модели Claude Mythos, достигшей нового уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок. Отмечается, при использовании Mythos практически не было ложных срабатываний, в то время как прошлые попытки использования моделей GPT 4 и Sonnet 3.5 не рассматривались как успешные из-за обилия ложных отчётов. В апреле в Firefox было устранено 423 уязвимости, из которых 271 были выявлены сотрудниками Mozilla при помощи Claude Mythos. 180 уязвимостей из 271 признаны опасными, 80 присвоен умеренный уровень опасности, а 11 - низкий.

Не связанные с безопасностью исправления в Firefox 150.0.2:

• Исправлена проблема, приводившая к некорректной работе web-камеры при видеовызовах.
• Устранена ошибка, из-за которой на сайтах во внутренних или корпоративных сетях вместо запроса аутентификации показывалась пустая страница.
• Исправлена проблема во встроенном PDF-просмотрщике, из-за которой не работала функция выделения текста на отсканированных изображениях.
• Исправлена ошибка, из-за которой не исчезала метка "New" в элементе меню Split View.
• Решена проблема, приводившая к аварийному завершению процесса-обработчика вкладки после перетаскивания мышью вложенных каталогов на страницу.
• Устранено пропадание или некорректное отображение части содержимого при просмотре сайтов с продвинутыми 3D-эффектами.
• Исправлена ошибка, мешавшая корректному завершению процедуры создания локальной резервной копии.
• Устранено мерцание или сбои при отображении панели навигации и статусной строки при редактировании адреса страницы.
• Устранено искажение пиктограмм поисковых рекомендаций, показываемых при вводе в адресной строке.

1. Главная ссылка к новости
2. OpenNews: Обновления Firefox 150.0.1 и Chrome 147.0.7727.137 с устранением критических уязвимостей
3. OpenNews: В Firefox встроен движок блокирования рекламы adblock-rust, используемый в Brave
4. OpenNews: Уязвимость в API IndexedDB, позволяющая идентифицировать пользователей Firefox и Tor Browser
5. OpenNews: Релиз Firefox 150 с устранением 359 уязвимостей
6. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты

Для скрытия IP-адреса сервера, доступ к нему был организован через сеть доставки контента Cloudflare. В настоящий момент анонс Numbat уже удалён с канала, а при попытке открытия сайта ai-ubuntu.com компания Cloudflare выводит предупреждение о фишинге. При открытии сайта ai-ubuntu.com пользователям предлагалось привязать свой криптовалютный кошелёк к платформе, а также объявлялось о скором запуске своего криптовалютного токена и предоставлении возможности принять участие в его распределении среди пользователей.

1. Главная ссылка к новости
2. OpenNews: Сервисы Ubuntu и Canonical оказались недоступны из-за DDoS-атаки
3. OpenNews: В Ubuntu намечена интеграция AI
4. OpenNews: Релиз дистрибутива Ubuntu 26.04

Обновление Ubuntu Touch 24.04-1.3 в ближайшие дни будет сформировано для устройств Asus Zenfone Max Pro M1, F(x)tec Pro1 X, Fairphone 3/3+/4/5, Google Pixel 3a/3a XL, JingPad A1, Oneplus 5/5T/6/6T, OnePlus Nord N10 5G/N100, Sony Xperia X, Vollaphone X/22/X23, Xiaomi Poco X3 NFC / X3, Xiaomi Poco M2 Pro, Xiaomi Redmi Note 9 Pro/Pro Max/9S, Volla Phone Quintus, Volla Tablet, Lenovo Tab M10 HD 2nd Gen, Rabbit R1 и Xiaomi Redmi 9/9 Prime.

В выпуске Ubuntu Touch 24.04-1.3 в основном предложены исправления ошибок, приводивших к проблемам с запуском GTK4-программ, размещением окон X11-программ, воспроизведением голосовых сообщений, отправленных через MMS, масштабированием вывода некоторых Qt-приложений. Устранено проявляющееся на некоторых устройствах зависание при завершении работы. Добавлена поддержка запуска X11-программ вне окружения Lomiri. Улучшена работа с док-станциями, предоставляющими устройства ввода, такими как NexDock.

Дополнительно анонсировано начало разработки выпуска Ubuntu Touch 24.04-2.0. Наиболее заметным улучшением станет обновление web-браузера Morph Browser, который будет переведён с QtWebEngine 5.15.19 (QWE) на базе устаревшего движка Chromium 87, на современный стек Qt 6.x. Так как многие программы в Ubuntu Touch остаются на Qt 5 в выпуске Ubuntu Touch 24.04-2.0 будет поставляться одновременно Qt 5 и Qt 6, что приведёт к увеличению размера системного образа, который на некоторых поддерживаемых устройствах может не вместиться в зарезервированный для операционной системы раздел.

Отдельно можно отметить создание компанией Volla нового смартфона Volla Phone Plinius, который пришёл на смену модели Volla Phone X23 и поставляется в вариантах с Ubuntu Touch и Volla OS (сборка на основе открытой кодовой базы Android). Устройство оснащено защищённым от ударов пыле- и водо-непроницаемым корпусом. К смартфону можно подключить монитор, клавиатуру и мышь для его превращения в переносную рабочую станцию.

Начало массового производства намечено на начало июня. Стоимость модели с 8 ГБ ОЗУ и 128 ГБ хранилищем - €598, 12 ГБ ОЗУ и 256 ГБ хранилищем - €698. На момент поставки пользователь может выбрать версию с предустановленным Ubuntu Touch или Volla OS, но в разработке находится функция multi-boot в Volla OS, которая позволит установить Ubuntu Touch на карту памяти и загружать данную систему по желанию, не заменяя прошивку.

Характеристики Volla Phone Plinius:

• 6.67-дюймовый AMOLED-экран, 1080 x 2400, 120 Hz;
• 8-ядерный CPU MediaTek Dimensity 7300 (4x A78 + 4x A55) c NPU (Neural Processing Unit);
• 8 или 12 GB ОЗУ, 128 или 256 ГБ постоянного хранилища;
• Три задние камеры 64 MP, 8 MP со сверхширокоугольным объективом и 2 MP для макросъёмки;
• Селфи камера 32 MP;
• 1 Nano SIM + 1 eSIM;
• microSD;
• WiFi 6e (IEEE 802.11 a/b/g/n/ac/ax);
• Bluetooth 5.4;
• USB 2.0, USB-OTG;
• NFC;
• GNSS (Global Navigation Satellite System);
• Аккумулятор 5300 mAh.

1. Главная ссылка к новости
2. OpenNews: Релиз мобильной платформы Ubuntu Touch 24.04-1.2
3. OpenNews: Опубликована мобильная платформа Ubuntu Touch 24.04-1.0, переведённая на Ubuntu 24.04
4. OpenNews: Motorola и GrapheneOS объявили о сотрудничестве в области создания защищённых смартфонов
5. OpenNews: Проект postmarketOS представил Duranium, атомарно обновляемую редакцию для смартфонов
6. OpenNews: Выпуск Phosh 0.54.0, GNOME-окружения для смартфонов

Среди изменений:

• Добавлена поддержка устройств:
  • mediatek filogic: ASUS RT-AX52 PRO, D-Link AQUILA PRO AI E30, Huasifei WH3000 Pro, Keenetic KAP-630 / Netcraze NAP-630, Zbtlink ZBT-Z8106AX-T, Zyxel WX5600-T0.
  • ramips EDUP EP-RT2983, Cudy LT300 v3
  • x86: DFI ADN553, DFI ASL553
• Внесены исправления, связанные с работой платформ:
  • ath79 (Netgear WNDAP360, Extreme Networks WS-AP3805i, Mikrotik),
  • ipq50xx (Linksys MX5500),
  • lantiq (Netgear DGN3500),
  • mediatek (Bananapi BPI-R4, Keenetic KN-1812, Netgear EAX17, CMCC RAX3000M, Zbtlink ZBT-Z8103AX-D),
  • mvebu (ClearFog Base/Pro),
  • qualcommax (Xiaomi AX6000, Linksys MX5300),
  • ramips (Yuncore CPE200, Wavlink WL-WN575A3, Xiaomi Mi Router 4C).
• В uqmi / umbim добавлена опция "devpath" для выбора модема по пути к устройству USB.
• Для гостевых систем добавлены модули ядра kmod-vsock и kmod-vsock-virtio.
• Обновлены версии ядра Linux 6.12.85, mbedtls 3.6.6, OpenSSL 3.5.6, wireless-regdb 2026.03.18, wolfSSL 5.9.1 и xdp-tools 1.6.3.
• Устранены уязвимости в ядре Linux (CVE-2026-31431 - Copy Fail), mbedtls, OpenSSL и wolfSSL.

1. Главная ссылка к новости
2. OpenNews: 10-гигабитный маршрутизатор Turris Omnia NG Wired, использующий OpenWRT
3. OpenNews: Обновление OpenWrt 24.10.6 и 25.12.1
4. OpenNews: Релиз OpenWrt 25.12 с заменой пакетного менеджера и системой обновления прошивки
5. OpenNews: Опубликован инструментарий для запуска Debian на устройстве OpenWrt One
6. OpenNews: Представлен маршрутизатор Turris Omnia NG с прошивкой на базе OpenWRT

Dirty Frag охватывает две разные уязвимости: первая в модуле xfrm-ESP, используемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload), а вторая в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Каждая из уязвимостей по-отдельности позволяет добиться получения прав root. Уязвимость в xfrm-ESP проявляется в ядре Linux с января 2017 года, а уязвимость в RxRPC - с июня 2023 года. Обе проблемы вызваны оптимизациями, допускающими прямую запись в страничный кэш.

Для эксплуатации уязвимости в xfrm-ESP у пользователя должны быть права на создание пространств имён, а для эксплуатации уязвимости в RxRPC должна быть возможность загрузки модуля ядра rxrpc.ko. Например, в Ubuntu в правилах AppArmor непривилегированному пользователю запрещено создание пространств имён, но по умолчанию загружается модуль rxrpc.ko. В каких-то дистрибутивах отсутствует модуль rxrpc.ko, но не блокируется создание пространств имён. Выявивший проблему исследователь подготовил комбинированный эксплоит, способный атаковать систему через обе уязвимости, что позволяет эксплуатировать проблему во всех крупных дистрибутивах. Работа эксплоита подтверждена в Ubuntu 24.04.4 с ядром 6.17.0-23, RHEL 10.1 с ядром 6.12.0-124.49.1, openSUSE Tumbleweed с ядром 7.0.2-1, CentOS Stream 10 c ядром 6.12.0-224, AlmaLinux 10 с ядром 6.12.0-124.52.3 и Fedora 44 с ядром 6.19.14-300.

Как и в случае с уязвимостью Copy Fail, проблемы в xfrm-ESP и RxRPC вызваны выполнением расшифровки данных по месту c использованием функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. Смещения для операции записи рассчитывались без должных проверок, учитывающих использование прямой ссылки на элементы в страничном кэше, что позволяло через отправку специально оформленных запросов перезаписать 4 байта по выбранному смещению и изменить находящееся в страничном кэше содержимое любого файла.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root. Например, для получения прав root можно прочитать исполняемый файл /usr/bin/su для его помещения в страничный кэш, после чего добиться подстановки своего кода в загруженное в страничный кэш содержимого этого файла. Последующий запуск утилиты "su" приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Раскрытие информации об уязвимостях и скоординированный выпуск обновлений с устранением проблем было намечено на 12 мая, но из-за утечки информации сведения об уязвимости пришлось опубликовать до публикации исправлений. В конце апреля в публичном списке рассылки netdev были опубликованы патчи к rxrpc, ipsec и xfrm, без упоминания, что они связаны с устранением уязвимости. 5 мая мэйнтейнер подсистемы IPsec принял в git-репозиторий netdev изменение c предлагаемым исправлением в модуле xfrm-esp, описание к которому во многом повторяло описание проблемы, приведшей к уязвимости Copy Fail в модуле algif_aead. Один из исследователей безопасности заинтересовался этим исправлением, сумел создать рабочий эксплоит и опубликовал его, не зная о том, что на раскрытие сведений о проблеме до 12 мая введено эмбарго.

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы, но доступны устраняющие проблемы патчи - xfrm-esp и rxrpc. CVE-идентификаторы не присвоены, что усложняет отслеживание обновления пакетов в дистрибутивах. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4, esp6 и rxrpc:

   sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

Дополнение: Уязвимостям присвоены идентификаторы CVE-2026-43284 и CVE-2026-43500. Выпущены корректирующие релизы ядра Linux с устранением уязвимости в xfrm-esp (уязвимость в rxrpc остаётся неисправленной): 7.0.5, 6.18.28, 6.12.87, 6.6.138, 6.1.172, 5.15.206, 5.10.255. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Debian, Ubuntu, SUSE/openSUSE, RHEL, Gentoo, Arch, Fedora, ROSA.

1. Главная ссылка к новости
2. OpenNews: Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения
3. OpenNews: Критическая уязвимость в ядре Linux, уже эксплуатируемая злоумышленниками
4. OpenNews: В ядре Linux выявлен новый вариант уязвимости Dirty COW
5. OpenNews: Атака по определению состояния памяти процессов при помощи страничного кэша
6. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов

В Mesa 26.1 доступна поддержка графического API Vulkan 1.4 в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, HoneyKrisp (hk) для GPU Apple, Turnip для GPU Qualcomm, PanVK для GPU ARM Mali, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). В драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) и dzn (реализация Vulkan поверх Direct3D 12) поддерживается Vulkan 1.0, в драйвере kk (KosmicKrisp, Vulkan поверх Metal) - Vulkan 1.1, а драйвере pvr (GPU Imagination PowerVR) - Vulkan 1.2.

В Mesa также обеспечивается полная поддержка OpenGL 4.6 для драйверов iris (GPU Intel Gen 8+), radeonsi (AMD), Crocus (старые GPU Intel Gen4-Gen7.5), AMD (r600), zink, llvmpipe, virgl (виртуальный GPU Virgil3D для QEMU/KVM), freedreno (Qualcomm Adreno), d3d12 (прослойка для организации работы OpenGL поверх DirectX 12) и asahi (GPU AGX, используемый в чипах Apple M1 и M2). Поддержка OpenGL 4.5 доступна для GPU NVIDIA (nvc0). Поддержка OpenGL 3.3 присутствует в драйверах softpipe (программный растеризатор) и nv50 (NVIDIA NV50). В драйверах panfrost (GPU ARM Mali) и v3d (GPU Broadcom VideoCore) поддерживается OpenGL 3.1.

Основные новшества:

• В драйверы для GPU Intel (Iris, Crocus и ANV) добавлена возможность напрямую работать с GPU из виртуальных машин, используя нативные контексты (native context) в VirtIO-GPU. Нативные контексты позволяют повысить производительность работы с виртуальным GPU (virtio-gpu-gl) из гостевой системы за счёт прямой передачи команд в реальный хостовый GPU.
• Для GPU PowerVR добавлена поддержка OpenGL ES 2.0, реализованная через драйвер Zink, позволяющий получить аппаратно ускоренный OpenGL на устройствах, поддерживающих API Vulkan.
• Для OpenCL-драйвера rusticl теперь требуется статически собранная библиотека C++ stdlib для корректной работы с приложениями, использующими собственные C++ stdlib.
• В драйвер radeonsi (AMD) добавлена поддержка OpenGL-расширения GL_NV_timeline_semaphore.
• В драйвер panfrost (ARM Mali) добавлена поддержка OpenGL-расширения GL_EXT_shader_image_load_store.
• В драйвер v3d (Broadcom VideoCore) добавлена поддержка OpenGL-расширения GL_ARB_sample_shading.
• Добавлена поддержка Vulkan-расширений:
  • VK_ARM_scheduling_controls для panvk
  • VK_EXT_acquire_drm_display для panvk
  • VK_EXT_astc_decode_mode для panvk
  • VK_EXT_attachment_feedback_loop_dynamic_state для panvk
  • VK_EXT_attachment_feedback_loop_layout для panvk
  • VK_EXT_blend_operation_advanced для lavapipe
  • VK_EXT_color_write_enable для panvk
  • VK_EXT_conditional_rendering для panvk
  • VK_EXT_depth_clamp_control для panvk
  • VK_EXT_descriptor_heap для RADV (при выставлении 'export RADV_EXPERIMENTAL=heap')
  • VK_EXT_hdr_metadata для v3dv
  • VK_EXT_image_drm_format_modifier для pvr
  • VK_EXT_image_view_min_lod для panvk
  • VK_EXT_legacy_dithering для panvk
  • VK_EXT_map_memory_placed для panvk
  • VK_EXT_nested_command_buffer для panvk
  • VK_EXT_non_seamless_cube_map для pvr
  • VK_EXT_present_timing для RADV, NVK, Turnip, ANV, Honeykrisp, panvk
  • VK_EXT_primitive_restart_index для RADV
  • VK_EXT_rgba10x6_formats для panvk
  • VK_EXT_shader_atomic_float для panvk
  • VK_EXT_shader_stencil_export для panvk
  • VK_EXT_zero_initialize_device_memory для panvk
  • VK_KHR_copy_memory_indirect для nvk, RADV/GFX8+
  • VK_KHR_device_address_commands для RADV
  • VK_{KHR,EXT}_{surface,swapchain}_maintenance1 для panvk
  • VK_KHR_get_display_properties2 для panvk
  • VK_KHR_get_surface_capabilities2 для panvk
  • VK_KHR_internally_synchronized_queues для RADV
  • VK_KHR_maintenance4 для pvr
  • VK_KHR_pipeline_executable_properties для pvr
  • VK_KHR_present_id для panvk, v3dv
  • VK_KHR_present_wait для panvk, v3dv
  • VK_KHR_sampler_ycbcr_conversion для pvr
  • VK_KHR_shader_integer_dot_product для pvr
  • VK_KHR_shader_untyped_pointers для panvk
  • VK_KHR_swapchain_mutable_format для panvk
  • VK_QCOM_image_processing для Turnip
  • VK_VALVE_mutable_descriptor_type для panvk
  • VK_VALVE_shader_mixed_float_dot_product для RADV (Vega20, Navi14, RDNA2+)
• Реализованы OpenCL-расширения:
  • cl_khr_subgroup_ballot для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_clustered_reduce для asahi, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_extended_types для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_non_uniform_arithmetic для asahi, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_non_uniform_vote для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_rotate для asahi, llvmpipe и zink
• Драйвер VirGL с реализацией виртуального GPU для QEMU остался без сопровождения и будет удалён, если не найдётся желающий взять его сопровождение в свои руки.

1. Главная ссылка к новости
2. OpenNews: Релиз Mesa 26.0, свободной реализации OpenGL и Vulkan
3. OpenNews: Для Mesa предложен драйвер cluda, позволяющий реализовать OpenCL поверх NVIDIA CUDA
4. OpenNews: AMD прекратил разработку Vulkan-драйвера AMDVLK в пользу драйвера RADV из Mesa
5. OpenNews: Из Mesa удалена поддержка API видеоускорения VDPAU в пользу VA-API
6. OpenNews: В Mesa-драйверы radv и anv добавлена поддержка расширения Vulkan для декодирования видео VP9

Дополнительно можно отметить отчёт с анализом предпочтений пользователей сервиса доставки игр Steam за апрель. Доля активных пользователей Steam, использующих платформу Linux, в апреле составила 4.52%. Для сравнения в марте этот показатель был 5.33%, в феврале - 2.23%, в январе - 3.38%, в декабре 2025 года - 3.58%, в апреле 2025 года - 2.27%, в апреле 2024 года - 1.9%

Наибольшую долю среди Linux систем занимает платформа SteamOS Holo, основанная на Arch Linux - 23.05% (в марте - 24.48%). Доля Linux Mint составляет 8.98% (8.8%), Arch Linux - 8.78% (8.78%), CachyOS - 8.37%, Ubuntu - 7.47% (5.25%), Bazzite - 4.74%, Fedora - 3.15%, Manjaro - 1.42% (1.45%), Debian 1.40%.

1. Главная ссылка к новости
2. OpenNews: Доля пользователей Linux в Steam по статистике Valve превысила 5%
3. OpenNews: Компания Valve представила приставку Steam Machine и VR-шлем Steam Frame, поставляемые с Linux
4. OpenNews: Valve опубликовала сетевую библиотеку GameNetworkingSockets 1.5.0
5. OpenNews: Компания Valve опубликовала дистрибутив для игровых консолей SteamOS 3.7
6. OpenNews: Выпуск Bazzite 44, дистрибутива для любителей компьютерных игр

Напомним, что разработчики проекта UBports развивают пользовательскую оболочку Lomiri (последнее обновление в 2025 году), ответвившуюся от Unity 8, а дистрибутив Ubuntu Unity взял в свои руки разработку кодовой базы Unity 7 (последнее обновление в 2022 году). Ветка Unity 7 построена с использованием GTK и технологий GNOME. В Ubuntu 16.10 в дополнение к Unity 7 в состав была включена оболочка Unity 8, переведённая на библиотеку Qt5 и дисплейный сервер Mir. Изначально компания Canonical планировала заменить оболочку Unity 7 на Unity 8, но планы изменились и в Ubuntu 17.10 был осуществлён возврат на штатный GNOME с панелью Ubuntu Dock, а развитие Unity 8 было прекращено.

1. Главная ссылка к новости
2. OpenNews: Ubuntu Unity остался без разработчиков и новых релизов
3. OpenNews: Пользовательская оболочка Lomiri (Unity8) принята в Debian
4. OpenNews: Стабильный выпуск пользовательской оболочки Unity 7.6
5. OpenNews: Выпуск библиотеки Libadwaita 1.8 для создания интерфейсов в стиле GNOME
6. OpenNews: Выпуск композитных серверов Wayfire 0.10 и wlmaker 0.6, использующих Wayland

Основные изменения в Chrome 148 (1, 2, 3, 4):

• Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 148 реализована поддержка применения AI-режима для автозаполнения номеров кредитных карт и адресов (после разрешения пользователя). Возможность использования встроенного чат-бота Gemini расширена на 49 стран из Азиатско-Тихоокеанского региона. Отключить загрузку и запуск AI-моделей на локальной системе пользователя можно через настройки "Система > ИИ на устройстве".
• Добавлена возможность автозаполнения в web-формах номеров водительских удостоверений, паспортов, национальных идентификационных карт, KTN-номеров (Known Traveler Number) и RCN-номеров (Redress Control Number), сохранённых в Google Wallet.
• Изменено визуальное оформление интерфейса для создания профилей (функциональность осталась прежней).
• Для ChromeOS реализован режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. В прошлом выпуске данный режим был предложен для платформ Linux, macOS и Windows.
• В версии для Android реализована функция "Enhanced autofill", использующая AI-модель для понимания web-форм и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы.
• В версии для Android появился режим возвращения сайтам приблизительного, а не точного местоположения.
• Добавлены оптимизации, расширяющие применение протокола HTTP/3. Улучшено определение поддержки HTTP/3 на сайтах.
• Реализован API Prompt, предоставляющий вызовы для взаимодействия с большими языковыми моделями, позволяющие использовать в запросах текст, изображения и звуковой ввод. Результат возвращается в удобном для разбора структурированном виде. Среди примеров использования упоминаются генерация описания изображений, визуальный поиск, транскрибирование речи, классификация звуков, генерация текста по заданной инструкции и извлечение информации из текста. API реализован с использованием локальной выполняемой большой языковой модели Gemini Nano (модель занимает 4 ГБ, загружается автоматически и устанавливается в виде файла weights.bin в подкаталог OptGuideOnDeviceModel).
• В SharedWorker добавлена опция "extendedLifetime: true" для сохранения активности обработчика после отключения всех клиентов, что позволяет выполнять асинхронные работы после выгрузки страницы (unload) без необходимости использования Service Worker-ов.
• CSS-запросы "@container" теперь могут вызываться с использованием только имени контейнера (container-name) без указания типа (container-type).

  
     #container {
       container-name: --foo;
     }
     @container --foo {
       input { background-color: green; }
     }
  

• В CSS добавлено ключевое слово "revert-rule", позволяющее отменить текущее CSS-правило и применить предыдущее правило.

  
     div {
       display: if(style(--layout: fancy): grid; else: revert-rule);
     }
  

• Для CSS-свойства "text-decoration-skip-ink" реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами.
• В версии для Android добавлена возможность использования API Web Serial для подключения к устройствам с последовательным портом, включая последовательные порты поверх USB или Bluetooth.
• В элементах <video> и <audio> появилась возможность указания атрибута "loading=lazy" для загрузки видео и звука только после попадания этих элементов в видимую область во время прокрутки страницы.
• Добавлена поддержка второй версии расширения формата Open Font "avar" (Axis Variation table), которое позволяет шрифту изменять привязки между нормализованными и осевыми значениями.
• Внесены улучшения в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 127 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Трём проблемам (целочисленное переполнение в Blink, обращение к уже освобождённой памяти в Chromoting и Mobile) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 26 премий и выплатила 138 тысяч долларов США (по одной премии в $55000, $43000 и $8000, две премии $16000). Размер 21 вознаграждения пока не определён.

1. Главная ссылка к новости
2. OpenNews: Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения
3. OpenNews: 5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации
4. OpenNews: Chrome переходит на двухнедельный цикл подготовки релизов
5. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года
6. OpenNews: В Chromium решено удалить поддержку XSLT и прекратить использование libxslt и libxml2

Incus 7.0 LTS будет поддерживаться до июня 2031 года. Первые два года планируется выпуск корректирующих обновлений с исправлением ошибок и мелкими улучшениями, после чего проект перейдёт на стадию сопровождения c исправлением только критических уязвимостей. Текущая ветка Incus 6.0 LTS переведена в режим поддержки, при котором публикуются только исправления, связанные с безопасностью.

Основные изменения и новшества:

• Обработчик объектного хранилища S3 на базе Minio заменён на собственную встроенную реализацию.
• Добавлена опция "core.shutdown_action" для определения действий при выключении сервера.
• Реализован низкоуровневый API для создания резервных копий.
• Добавлена настройка "restricted.storage-pools.access", через которую можно ограничить пулы хранения, доступные для проекта.
• Добавлены скриптлеты для управления размещением инстансов при перебалансировке кластера.
• Поведение команд "incus file push" и "incus file pull" приближено к утилите "cp".
• Исправлено 9 уязвимостей, среди которых 7 имеют умеренную степень опасности (включая CVE-2026-35527 и CVE-2026-40195) и 2 - низкую.
• Прекращена поддержка cgroupv1 и iptables/ip6tables/ebtables (рекомендуется переход на nftables).
• Повышены минимальные системные требования к окружению.
• Среди улучшений, относительно LTS-ветки Incus 6.0: полноценная поддержка контейнеров в формате OCI, реализация зависимых томов хранения, поддержка наборов сетевых адресов (Network address sets), новые драйверы для хранилищ Linstor и TrueNAS, возможность определения базового уровня CPU для групп кластера.

1. Главная ссылка к новости
2. OpenNews: Проект Linux Containers представил атомарно обновляемый дистрибутив IncusOS
3. OpenNews: Выпуск инструментариев для управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1
4. OpenNews: Выпуск системы управления контейнерами Incus 0.3
5. OpenNews: Выпуск инструментариев для управления контейнерами LXC 7.0 и LXD 6.8

В ходе первой атаки, проведённой 2 апреля, четыре попытки доставки вредоносного кода были блокированы внутренними системами обеспечения безопасности, но одна оказалась успешной. Проблема была выявлена и блокирована 3 апреля. После получения жалоб от сторонних исследователей безопасности о выявлении вредоносных приложений, заверенного сертификатами Digicert, 14 апреля был инициирован повторный разбор, показавший, что 4 апреля была скомпрометирована ещё одна рабочая станция аналитика, которая была установлена три года назад и не содержала ПО CrowdStrike, применяемое в Digicert для выявления и блокирования атак.

Добившись выполнения своего кода на внутренней системе атакующий получил доступ к порталу службы поддержки, на котором можно было просматривать заказы клиентов. Воспользовавшись данной возможностью атакующий узнал коды инициализации заявок на получение сертификатов "EV Code Signing", подтверждённых, но ещё не выданных клиентам. Данные коды были использованы для получения сертификатов от имени клиентов.

По результатам разбора инцидента было отозвано 60 сертификатов, из которых для 27 удалось отследить прямую связь с атакующим, а 33 отозваны превентивно, так как для них не удалось подтвердить получение клиентом. Часть сертификатов атакующие успели применить для заверения цифровой подписью вредоносного ПО семейства "Zhong Stealer".

1. Главная ссылка к новости
2. OpenNews: Digicert отзывает 50 тысяч TLS-сертификатов с расширенной верификацией
3. OpenNews: Mozilla, Cloudflare и Facebook представили TLS-расширение для делегирования короткоживущих сертификатов
4. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
5. OpenNews: Разработчики Mozilla отложили прекращение доверия к сертификатам Symantec
6. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert

Портирование ещё не завершено, и на текущем этапе весь интерес к проекту сосредоточен на том, чтобы оценить насколько работоспособным получится порт, будет ли он проходить набор тестов основного проекта и сложно ли будет сопровождать новый код. В конечном счёте планируется провести сравнительное тестирование вариантов Bun на Zig и Rust.

В декабре прошлого года проект Bun поглотила компания Anthropic, поэтому у Джарреда есть ресурсы для вовлечения в портирование передовых AI-моделей Claude. Платформа Bun применяется в продуктах Claude Code и Claude Agent SDK, и компания Anthropic заинтересована в повышении её качества и развитии. Bun является одним из самых успешных проектов на языке Zig, при этом у разработчиков Zig и Bun расходятся мнения в отношении применения AI в процессе разработки. В проекте Zig утверждён жёсткий запрет применения больших языковых моделей при подготовке pull-запросов, issue и комментариев (запрещён даже перевод через AI неанглоязычных комментариев).

Введение подобных ограничений объясняется разработчиками Zig негативным опытом в рецензировании созданных через AI pull-запросов, которые отнимают ресурсы и время (например, отмечаются бессмысленные изменения, AI-галлюцинации и раздутые коммиты в 10 тысяч строк). Кроме того, проект Zig позиционирует себя как ориентированный на участников, а не вносимый ими вклад в разработку - главной целью принятия pull-запросов называется не добавление нового кода, а помощь в развитии новых участников.

Автор Bun не согласен с запретом AI в Zig и полагает, что AI-слоп останется ностальгическим пережитком 2025 и 2026 годов, а разработка открытого ПО эволюционирует до запрета приёма кода от людей. Люди будут обсуждать проблемы, ставить задачи и расставлять приоритеты, а написание кода и отправка изменений в репозитории станет уделом AI. В качестве причины экспериментов с переписыванием на Rust также отмечается желание устранить проблемы в Bun, вызванные утечками памяти, и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

Из-за запрета применения AI разработчики Bun вынуждены поддерживать собственный форк инструментария Zig, в котором благодаря применению AI удалось в 4 раза ускорить компиляцию за счёт распараллеливания семантического анализа и генерации кода. При этом судя по комментарию одного из разработчиков Zig причина отклонения патчей не в AI, а в том, что распараллеливание семантического анализа затрагивает не только компилятор, но и сам язык - чтобы реализовать предложенную функциональность без ошибок и несовместимостей, требуется внесение изменений в язык Zig. Вместо распараллеливания, разработчики Zig развивают инкрементальную компиляцию, которая по их предположению позволит на порядок повысить скорость компиляции.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

1. Главная ссылка к новости
2. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js
3. OpenNews: JavaScript-платформа Bun перешла в руки компании Anthropic
4. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
5. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов
6. OpenNews: В JavaScript-платформе Bun добавлена поддержка вызова кода на языке Си