Компания Proxmox, известная разработкой продуктов Proxmox Virtual Environment и Proxmox Mail Gateway, опубликовала выпуск дистрибутива Proxmox Backup Server 4.0, который преподносится как готовое решение для резервного копирования и восстановления виртуальных окружений, контейнеров и начинки серверов. Установочный ISO-образ доступен для свободной загрузки. Специфичные для дистрибутива компоненты открыты под лицензией AGPLv3. Для установки обновлений доступен как платный репозиторий Enterprise, так и два бесплатных репозитория, которые отличаются уровнем стабилизации обновлений.
Системная часть дистрибутива базируется на пакетной базе Debian и OpenZFS. Программный стек для управления резервным копированием написан на языке Rust и поддерживает инкрементальные бэкапы (на сервер передаются только изменившиеся данные), дедупликацию (при наличии дубликатов хранится только одна копия), сжатие (используется ZSTD) и шифрование резервных копий. Система спроектирована на базе клиент-серверной архитектуры - Proxmox Backup Server может использоваться как для работы с локальными резервными копиями, так и в качестве централизованного сервера для резервного копирования данных с разных хостов. Предоставляются режимы быстрого выборочного восстановления и синхронизации данных между серверами.
Proxmox Backup Server поддерживает интеграцию с платформой Proxmox VE для резервного копирования виртуальных машин и контейнеров. Управление резервными копиями и восстановление данных осуществляется через web-интерфейс. Имеется возможность разграничения доступа пользователей к своим данным. Весь передаваемый трафик от клиентов к серверу шифруется с использованием AES-256 в режиме GCM, а сами резервные копии передаются уже зашифрованными при помощи асимметричного шифрования по открытым ключам (шифрование производится на стороне клиента, и компрометация сервера с резервными копиями не приведёт к утечке данных). Целостность резервных копий контролируется при помощи хэшей SHA-256.
Осуществлён переход на пакетную базу дистрибутива Debian 13, релиз которого ожидается 9 августа. По умолчанию поставляется ядро Linux 6.14.
Задействована версия OpenZFS 2.3.3, в которой реализовано добавление на лету новых дисков в существующий массив RAIDZ, что позволяет увеличить размер хранилища без остановки работы и без необходимости создания новой группы накопителей. Перераспределение избыточных данных с учётом новых дисков осуществляется автоматически.
Добавлен экспериментальный бэкенд для хранения резервных копий в хранилищах объектов, поддерживающих API Amazon S3.
Реализована возможность автоматического запуска синхронизации при монтировании извлекаемого накопителя. Для настройки автозапуска достаточно выставить флаг "run-on-mount" для работ синхронизации.
Разработчики дистрибутива AlmaLinux объявили о формировании пакетов с драйверами NVIDIA для веток AlmaLinux 9 и 10. Для установки также предложены пакеты с драйвером и стеком CUDA. Драйверы могут использоваться в конфигурациях с UEFI
Secure Boot.
Модули ядра из официального набора проприетарных драйверов от компании NVIDIA не могут быть загружены в режиме UEFI Secure Boot, так как они не заверены цифровой подписью дистрибутива. Данное ограничение
удалось обойти благодаря использованию открытых компанией NVIDIA модулей ядра, которые уже задействованы по умолчанию в наборе драйверов NVIDIA для GPU, начиная с микроархитектуры Turing (GeForce GTX 1600 и RTX 2000).
На базе открытых компанией NVIDIA компонентов сформирован собственный пакет nvidia-open-kmod с модулями, заверенными цифровой подписью AlmaLinux. Отдельно оформлен пакет almalinux-release-nvidia-driver с конфигурацией поддерживаемого компанией NVIDIA внешнего репозитория, из которого выполняется загрузка CUDA-драйверов и проприетарных компонентов драйвера NVIDIA, работающих в пространстве пользователя (по условиям лицензионного соглашения не разрешается переупаковывать проприетарные компоненты NVIDIA).
Компания Lansweeper сообщила о повышении популярности Linux в сетях корпоративных клиентов, использующих платформу инвентаризации Lansweeper. Сканирование примерно 18.5 миллионов устройств показало увеличение доли Linux на корпоративных ноутбуках и ПК с 1.6% в январе до 1.9% в июне. Если рассматривать только новые устройства, появившиеся после 1 марта, то доля систем с Linux достигла значения 2.5%. По мнению технического директора компании Lansweeper, наблюдаемое изменение не походит на единичный всплеск, а скорее отражает постоянный экспоненциальный рост.
Компания Google опубликовала релиз web-браузера Chrome 139. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 140 запланирован на 2 сентября.
Добавлена возможность использования AI-модели для формирования поисковых рекомендаций в адресной строке и на странице открытия новой вкладки. Для показа подобных AI-рекомендаций в адресную строку добавлена кнопка "AI Mode", а в списке рекомендаций вывод от AI помечен или выделен в отдельную секцию. Возможность пока активирована по умолчанию только для части пользователей.
В централизованно управляемых системах расширена возможность создания собственных ярлыков быстрого поиска через адресную строку (можно создать ярлык "@имя" для поиска на определённом сайте). В новой версии добавлена дополнительная настройка, позволяющая разрешить переопределение, удаление или отключение пользователем ярлыков, заданных администратором.
В версии для Android в режимах стандартной и расширенной защиты Google Safe Browsing реализована проверка безопасности загружаемых APK-пакетов. Проверка осуществляется через обращение к серверам Google. В случае, если файл признан опасным пользователю выводится соответствующее предупреждение, а доступ к файлу блокируется (в интерфейсе предусмотрена отдельная возможность доступа в обход блокировки).
Удалена настройка ExtensionManifestV2Availability, позволявшая вернуть поддержку второй версии манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions. Для возвращения поддержки второй версии манифеста ещё остаётся возможность запуска исполняемого файла chrome с флагами "--disable-features=ExtensionManifestV2Unsupported,ExtensionManifestV2Disabled".
В официальных стабильных сборках Chrome прекращена поддержка опций командной строки "--extensions-on-chrome-urls" и "--disable-extensions-except", позволявших отключить блокировку установки рискованных дополнений, например, подставляемых в браузер без спроса пользователя. В Chromium и тестовых сборках Chrome поддержка указанных опций сохранена.
На странице открытия новой вкладки реализована нижняя панель, на которой показывается информация о дополнениях, влияющих на содержимое страницы новой вкладки, а также сведения о применяемых политиках централизованного управления.
Добавлена защита от случайного удаления сохранённых паролей при выборе операции полной очистки данных. При наличии сохранённых паролей браузер теперь направляет пользователя на страницу менеджера паролей, на которой можно осмысленно и по-отдельности удалить пароли и ключи passkey.
Отключена возможность автоматического отката на использование для WebGL системы программной отрисовки SwiftShader, программно реализующей API Vulkan. В случае отсутствия должного бэкенда на базе GPU создание контекста WebGL теперь будет возвращать ошибку, а не переключаться на SwiftShader. Прекращение использования SwiftShader позволит повысить безопасность, благодаря исключению выполнения сгенерированного JIT-компилятором кода в процессе, отвечающем за взаимодействие с GPU. На платформах Linux и macOS системы без GPU больше не смогут использовать
WebGL. В Windows поддержка SwiftShader оставлена только для устройств без GPU или с проблемными GPU, добавленными в чёрный список.
Во встроенном хранилище корневых сертификатов (Chrome Root Store) прекращено доверие к удостоверяющим центрам Chunghwa Telecom и Netlock
из-за нарушений требований к удостоверяющим центрам. В связи с отсутствием действий по устранению выявленных недостатков, TLS-сертификаты, выданные Chunghwa Telecom и Netlock после 31 июля 2025 года, теперь воспринимаются в Chrome как не заслуживающие доверия. Сертификаты, выпущенные до 31 июля, продолжают восприниматься как нормальные.
В API Web Speech добавлена поддержка распознавания речи, используя локально доступные на устройстве движки. Сайт может запросить наличие движков распознавания для необходимого языка, выбрать между локальными и облачными сервисами, запросить установку необходимых ресурсов для локального распознавания и убедиться, что распознавание будет выполнено на устройстве пользователя без отправки данных во внешние сервисы.
В CSS, помимо задания радиуса скругления при помощи свойства border-radius, реализовано свойство "corner-shape" для управления формой и кривизной углов прямоугольных элементов. Например, при помощи "corner-shape" можно делать плавные переходы от квадрата к кругу (squircle), вогнутые углы (scoop), срезать фаску (bevel) и делать вырезы (notch), а также анимировать изменение формы углов.
Добавлена поддержка спецификации Custom Functions, позволяющей создавать собственные функции для CSS, действующие по аналогии с собственными параметризованными CSS-свойствами. Отличие сводится к тому, что CSS-свойства могут вернуть только одно фиксированное значение, а CSS-функции могут возвращать значения на основе других собственных CSS-свойств, параметров и условий. Для определения CSS-функций добавлено правило "@function".
Добавлено CSS-свойство "caret-animation", позволяющее управлять анимацией изменения курсора в полях ввода (например, мигание курсора можно заменить на собственную анимацию).
С целью соблюдения спецификации и улучшения совместимости с другими браузерами добавлено CSS-свойство "font-width", аналогичное ранее доступному свойству "font-stretch".
При блокировке Service Worker-а из-за срабатывания правил CSP (Content Security Policy) теперь в асинхронном режиме отправляется событие "error", вместо генерации исключения SecurityError сразу после вызова конструктора "new Worker(url)" или "new SharedWorker(url)".
Предоставлена возможность создания единого web-приложения, работающего с несколькими доменами верхнего уровня или разными поддоменами. Для настройки привязки к доменам в манифесте предусмотрено поле "scope_extensions".
Реализовано определение всех корректных MIME-типов для данных JSON, отмеченных в спецификации WHATWG MIME Sniffing. В дополнение к традиционным MIME-типам "application/json" и "text/json" добавлена поддержка составных MIME-типов, таких как "text/html+json" и "image/svg+json".
В API Invoker Commands добавлена команда "request-close" для принудительного закрытия диалога на базе HTML-элемента <dialog>, действие которой аналогично вызову JavaScript-метода requestClose().
В WebGPU добавлена поддержка 3D-текстур, сжатых с использованием форматов BC и ASTC. Также добавлен экспериментальный (Origin Trial) режим обеспечения совместимости, предоставляющий урезанный API WebGPU, пригодный для работы с устаревшими графическими API, такими как OpenGL и Direct3D11.
Для SVG-элементов <script> (SVGScriptElement) добавлена поддержка атрибута "async" для выполнения скриптов в асинхронном режиме.
Для усложнения пассивной идентификации экземпляра браузера в HTTP-заголовке Accept-Language теперь перечисляются не все выбранные пользователем языки, а только наиболее приоритетные языки.
Добавлен экспериментальный (Origin trials) API Prompt, предоставляющий вызовы для взаимодействия с большими языковыми моделями, позволяющие использовать в запросах текст, изображения и звуковой ввод. Результат возвращается в удобном для разбора структурированном виде. Среди примеров использования упоминаются генерация описания изображений, визуальный поиск, транскрибирование речи, классификация звуков, генерация текста по заданной инструкции и извлечение информации из текста.
В инструментах для web-разработчиков проведена работа
по устранению известных проблем c функциональностью и недоработок в интерфейсе пользователя. Благодаря проделанной работе, число открытых уведомлений о проблемах сокращено на 27%. Во встроенный AI-ассистент добавлена поддержка загрузки произвольных изображений. В панели инспектирования сети реализована возможность добавления столбцов для отображения состояния произвольных HTTP-заголовков.
Прекращена поддержка операционной системы macOS 11, для работы теперь требуется как минимум выпуск macOS 12.
В версии для Android прекращена поддержка платформ Android 8 (Oreo) и Android 9 (Pie).
Кроме нововведений и исправления ошибок в новой версии устранены 12 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 8 премий на сумму 18500 долларов США (одна премия $10000, три $2000, две $1000 и одна $500). Размер одного вознаграждения пока не определён.
Дополнительно можно отметить включение в кодовой базе, на основе которой формируется выпуск Chrome 140, режима OverrideDefaultOzonePlatformHintToAuto, активирующего автоматический выбор бэкенда в прослойке Ozone, абстрагирующей взаимодействие с графической подсистемой. Изменение позволит адаптивно активировать Wayland-бэкенд на системах с поддержкой Wayland, не привязываясь по умолчанию с бэкенду X11. Вручную включить автоматический выбор бэкенда можно и в выпуске Chrome 139 при помощи настройки "chrome://flags/#ozone-platform-hint" или флага командной строки "--ozone-platform-hint=auto".
Опубликован релиз Proxmox Virtual Environment 9.0, специализированного Linux-дистрибутива на базе Debian GNU/Linux, нацеленного на развертывание и обслуживание виртуальных серверов с использованием LXC и KVM, и способного выступить в роли замены таких продуктов, как VMware vSphere, Microsoft Hyper-V и Citrix Hypervisor. Размер установочного iso-образа 1.6 ГБ.
Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. Среди особенностей web-интерфейса: поддержка безопасной VNC-консоли; управление доступом ко всем доступным объектам (VM, хранилище, узлы и т.п.) на основе ролей; поддержка различных механизмов аутентификации (MS ADS, LDAP, Linux PAM, Proxmox VE authentication).
Осуществлён переход на пакетную базу дистрибутива Debian 13, релиз которого ожидается 9 августа. По умолчанию задействовано ядро Linux 6.14. Обновлены версии QEMU 10.0.2, LXC 6.0.4, OpenZFS 2.3.3 и Ceph Squid 19.2.3.
Представлен новый web-интерфейс для мобильных устройств, написанный на языке Rust с использованием web-фреймворка Yew. Интерфейс автоматически применяется при доступе с мобильных устройств вместо штатного Proxmox VE GUI и позволяет быстро оценить состояние гостевых систем, задач, хранилищ и других ресурсов. Через мобильный web-интерфейс также можно изменять базовые настройки и выполнять типовые операции, такие как запуск и остановка виртуальных машин.
Добавлена поддержка нового механизма создания снапшотов виртуальных машин, который можно использовать с любыми системами хранения, поддерживающими блочное хранилище, включая SAN на базе iSCSI и Fibre Channel. Функциональность реализована через снапшоты как цепочки томов (volume), в которых том, основанный на снапшоте, сохраняет только отличия по сравнению с родительским томом. Поддержка снапшотов на основе цепочек томов также доступна для хранилищ Directory, NFS и CIFS.
Предложен новый механизм "HA affinity rules", позволяющий управлять распределением виртуальных машин в кластере и размещением ресурсов в отказоустойчивых конфигурациях. Механизм даёт возможность определять правила привязки ресурса к определённому узлу или закрепления ресурсов между собой. Например, зависящие друг от друга ресурсы, такие как сервер приложений и связанная с ним база данных, могут быть размещены вместе на одном физическом узле для минимизации задержек при обмене данными. С другой стороны, для сервисов, требующих максимальной избыточности, можно настроить разнесение обработчиков по разным узлам. Например, для обеспечения отказоустойчивости можно настроить запуск виртуальных машин, выполняющих одно и то же критически важное приложение, всегда на разных узлах.
В стеке программно определяемых сетей (SDN, Software-Defined Networking) появилась функция SDN Fabric, упрощающая настройку и управление сложными маршрутизируемыми сетями из соединённых между собой узлов. Для повышения надёжности SDN Fabric может направлять межузловой трафик по разным маршрутам и автоматически обрабатывать сбои сетевых карт. SDN Fabric упрощает управление динамически маршрутизированными сетями, которые могут использоваться для создания кластера Ceph или в качестве основы для построения VPN-сети. Из протоколов маршрутизации поддерживаются OpenFabric и OSPF.
Предоставлена возможность прозрачного обновления с ветки Proxmox VE 8.x до выпуска 9.0.
В OpenZFS реализовано добавление на лету новых дисков в существующий массив RAIDZ, что позволяет увеличить размер хранилища без остановки работы и без необходимости создания новой группы накопителей. Перераспределение избыточных данных с учётом новых дисков осуществляется автоматически.
Доступен корректирующий выпуск Firefox 141.0.2, в котором устранено несколько проблем:
Аварийное завершение при запуске на некоторых Linux-системах со старыми версиями проприетарных драйверов NVIDIA.
Невозможность запуска на некоторых системах c библиотекой GTK, собранной без поддержки Wayland.
Регрессивное изменение, приводившее к возникновению несовместимостей из-за возможности перемещения мышью объектов canvas.
Аварийное завершение при инспектировании страниц с элементами iframe через инструменты для web-разработчиков.
Незначительные сбои при отрисовке интерфейса пользователя (1, 2, 3, 4).
Нарушение навигации при помощи клавиатуры из-за ухода фокуса из области с содержимым при клике на закреплённой вкладке.
Кроме того, можно отметить новые возможности в ночных сборках Firefox:
Поддержка предпросмотра свёрнутой группы вкладок при наведении курсора на имени группы (включается через browser.tabs.groups.hoverPreview.enabled в about:config).
Возможность нахождения активной вкладки в свёрнутой группе вкладок (можно работать с отдельной вкладкой не раскрывая всю группу).
Возможность загрузки своего аватара для профиля пользователя в браузере.
Доступен релиз программы syncspirit 0.4.1, позволяющей организовать автоматическую непрерывную синхронизацию файлов пользователя на нескольких устройствах. Проект решает задачи, сходные с проприетарной системой Resilio Sync (бывший BitTorrent Sync). Syncspirit написан на языке C++ и распространяется под лицензией GPLv3. Графический интерфейс построен с использованием библиотеки FLTK; для хранения БД используется отечественная встраиваемая СУБД libmdbx; для обработки событий применяется акторный фреймворк rotor. Готовые сборки доступны для Linux (x86_64, AppImage), Windows (поддерживается Windows XP) и macOS.
Syncspirit представляет собой независимую реализацию протокола синхронизации BEP, предложенного проектом Syncthing. Синхронизированные данные не загружаются в сторонние облачные хранилища, а напрямую реплицируются между системами пользователя при их одновременном появлении в online. Syncspirit совместим с Syncthing на уровне протокола и использует инфраструктуру Syncthing для определения участников сети.
В отличие от проекта Syncthing, который написан на языке Go и использует клиент-серверную архитектуру и REST-API (в качестве клиента выступает веб-браузер), syncspirit предоставляет как реализацию в виде фонового процесса syncspirit-daemon, так и отдельное приложение с графическим интерфейсом, позволяющее более экономно расходовать оперативную память.
Унифицированная модель разделяемых папок, позволяющих получить детальную информацию о любом файле, включая удалённые, из папки как на локальном, так и на сопряжённом устройстве.
Возможность импорта содержимого папки. Актуально для случаев, когда файлы уже имеются локально и хотелось бы избежать сетевой синхронизации.
Повышена производительность синхронизации большого количества маленьких файлов.
Представлен кандидат в релизы дистрибутива openSUSE Leap 16, построенного на технологиях следующей значительной ветки коммерческого дистрибутива SLES 16, переходящего на новую платформу SLFO (SUSE Linux Framework One), ранее известную под именем ALP (Adaptable Linux Platform). openSUSE Leap 16 сохранит черты классического дистрибутива, использующего традиционные пакеты, а для тех кому необходима атомарно обновляемая система с базовой начинкой в режиме только для чтения следует использовать редакцию openSUSE Leap Micro. Для тестирования доступны сборки для архитектур x86_64, ARM64, s390x и PowerPC. Релиз намечен на 1 октября 2025 года.
Основные особенности openSUSE Leap 16:
Задействован новый инсталлятор Agama, примечательный отделением пользовательского интерфейса от внутренних компонентов YaST и поставкой фронтэнда для управления установкой через web-интерфейс.
В инсталляторе для установки предложены только среды рабочего стола, использующие Wayland. Предоставлена возможность использования варианта Xfce 4.20 поверх композитного менеджера labwc, использующего Wayland. Для организации работы экрана входа в систему вместо LightDM реализована возможность использования greetd и gtkgreet.
Вместо традиционного стека YaST для управления системой задействован пакет Cockpit, а вместо YaST Software GUI предложен новый пакет Myrlyn.
По умолчанию включена система мандатного контроля доступа SELinux. Поддержка AppArmor сохранена в качестве опции.
Прекращена поддержка системы инициализации SysV. Возможно использование только systemd.
Прекращена поддержка архитектуры x86-64-v1. Работа возможна только на системах x86 с архитектурой x86_64-v2, которая поддерживается процессорами примерно с 2009 года (начиная с Intel Nehalem) и отличается наличием таких расширений, как SSE3, SSE4_2, SSSE3, POPCNT, LAHF-SAHF и CMPXCHG16B.
Обновлены версии пакетов.
Для управления репозиториями задействован сервис на базе протокола RIS (Repository Index Service). Для сокращения размера метаданных репозитории разделены для каждой поддерживаемой архитектуры. Вместо нескольких репозиториев задействован один общий репозиторий пакетов repo-oss, включающий как пакеты из SUSE Linux Enterprise, так и пакеты, сопровождаемые сообществом.
В пакетном менеджере Zypper реализована возможность распараллеливания загрузки пакетов и метаданных, а также предложен новый бэкенд, более оптимально повторно использующий уже установленные соединения и повышающий эффективность обработки метаданных. При обновлении 250 пакетов суммарным размером 100 МБ время загрузки после включения нового бэкенда и параллельного режима сократилось с 68.7 секунд до 13.1 секунды, а при обновлении 407 пакетов размером 1 ГБ - с 281.1 секунды до 119.6 секунд.
В SUSE Linux Enterprise будет прекращена поддержка запуска 32-разрядных исполняемых файлов. Для продолжения возможности использования приложения Steam, которое существует только в 32-разрядной версии и требует для запуска наличия в системе установленных 32-битных зависимостей, в openSUSE реализован пакет grub2-compat-ia32, выставляющий параметр "ia32_emulation=1" при загрузке ядра Linux.
Для работы Steam также потребуется установка пакета selinux-policy-targeted-gaming, не входящего в базовую поставку.
В представленном на прошлой неделе приложении Proton Authenticator, применяемом для аутентификации при помощи одноразовых паролей, выявлена проблема с конфиденциальностью - в сборках для мобильной платформы iOS забыли отключить детализированный отладочный лог, в котором открытым текстом сохранялись исходные секретные ключи для генерации одноразовых паролей. Подобный лог сводил на нет шифрование ключей и ограничение к ним доступа по PIN-коду или биометрической аутентификации. Проблема устранена в обновлении 1.1.1. В сборках для Android в лог сохранялся только идентификатор ключа, а не сам ключ.
Опубликован третий кандидат в релизы инсталлятора следующего значительного релиза Debian 13 "Trixie". Неделю назад ветка Debian 13 была переведена в состояние полной заморозки перед релизом, при которой остановлен перенос любых изменений пакетов в ветку Testing (исключение может быть сделано только после специального запроса и проведения ручного рецензирования командой, отвечающей за подготовку релиза). Релиз запланирован на 9 августа.
Среди изменений по сравнению с прошлой тестовой версией инсталлятора:
Обновлён основной список зеркал.
В сборки для архитектуры ppc64el добавлен пакет linux-image-powerpc64le-64k.
Проведена чистка udeb для сокращения размера установочных образов.
В предлагаемом в репозитории Debian Testing (будущий релиз Debian 13) пакете StarDict, реализующем интерфейс для поиска в словарях, выявлена проблема с конфиденциальностью - в конфигурации по умолчанию приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. Проблема проявляется только при работе в окружениях на базе протокола X11, при использовании Wayland по умолчанию применяется изоляция буфера обмена.
Сопровождающий пакет StarDict в Debian ответил, что подобное поведение является штатным. По умолчанию в StarDict включён режим автоматического поиска в словарях выделенного текста и активированы как локальные, так и внешние словари. Серверы dict.youdao.com и dict.cn предоставляют англо-китайские словари, подключаемые через плагины, по умолчанию включаемые при установке пакета stardict-plugin, который является рекомендованной зависимостью для пакета stardict-gtk. Тем, кого подобное поведение не устраивает, рекомендовано в настройках отключить сетевые словари или функцию автоматического поиска при выделении.
Обративший внимание на проблему пользователь возразил, что подобное поведение ни при каких условиях не должно активироваться по умолчанию, так как оно приводит к утечке информации. Пользователь может выделять в приложениях текст с конфиденциальным содержимым, например, паролями и личными данными. При этом информация не только потенциально оседает в логах на серверах dict.youdao.com и dict.cn и видна их администраторам, но и становится доступна для перехвата трафика из-за использования HTTP, а не HTTPS.
Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. Теперь данная функциональность опять возвращена.
Представлен стабильный релиз прокси-сервера Squid 7.1, готовый для использования в рабочих системах (выпуски 7.0.x имели статус бета-версий). После придания ветке 7.x статуса стабильной, в ней отныне будут производиться только исправления уязвимостей и проблем со стабильностью, также допускается внесение небольших оптимизаций. Разработка новых возможностей будет производиться в новой экспериментальной ветке 8.0. Пользователям прошлой стабильной ветки 6.x рекомендуется спланировать переход на ветку 7.x.
Аарон Баллман (Aaron Ballman), главный сопровождающий компилятор Clang и участник команд разработки стандартов WG21 (C++) и WG14 (C), начал обсуждение добавления в компилятор Clang режима усиления безопасности. Новый режим позволит разом активировать набор опций для усиления защиты по аналогии с добавленным в GCC 14 флагом "-fhardened", при котором включаются опции "-D_FORTIFY_SOURCE=3 -D_GLIBCXX_ASSERTIONS -ftrivial-auto-var-init=zero -fPIE -pie -Wl,-z,relro,-z,now -fstack-protector-strong -fstack-clash-protection -fcf-protection=full".
Отмечается, что в настоящее время ведётся работа по добавлению возможностей для усиления безопасности в стандарты C и C++, но этот процесс не быстрый, при том, что в Сlang уже доступны отдельные опции с реализацией дополнительных механизмов защиты. Реализуемые методы защиты часто приводят к отдельным несовместимостям с существующим кодом или нарушению ABI, что не позволяет активировать их по умолчанию. Кроме того, подобные опции разрознены (флаги для управления компиляцией, флаги генерации машинных инструкций, привязанные к аппаратным архитектурам, предупреждения, режимы диагностики, макросы), плохо документированы и выпадают из поля зрения многих разработчиков.
Единая настройка унифицирует включение связанных с безопасностью опций и упростит их применение. Рассматривается несколько вариантов активации режима усиленной безопасности, например, обсуждается активация через флаг "-fhardened", набор настроек "--config=hardened", отдельный драйвер (clang --driver-mode) или раздельные опции "-fhardened, -mhardened и -Whardened", привязанные к компиляции, генерации кода и выводу предупреждений. Режим может охватывать:
Возможности компилятора: -ftrivial-auto-var-init, -fPIE, -fcf-protection и т.п.
Возможности, привязанные к генерации кода для целевых платформ: -mspeculative-load-hardening, -mlvi-hardening и т.п.
Предупреждения: -Wall, -Wextra, -Werror=return-type и т.п.
Режимы усиления безопасности в стандартной библиотеке функций.
Макросы: _FORTIFY_SOURCE, _GLIBCXX_ASSERTIONS и т.п.
Требование к явному выбору используемого стандарта языка.
Отказ компилировать код с использованием устаревших стандартов C89 и C++98.
Передача дополнительных флагов компоновщику, например, для включения рандомизации адресов.
Опубликован четвёртый выпуск среды рабочего стола Orbitiny Desktop, написанной с нуля с использованием фреймворка Qt. Проект пытается совместить некоторые инновационные идеи, которые раньше не встречались в пользовательских окружениях, с традиционными элементами, такими как панель, меню и размещение пиктограмм на рабочем столе. Код написан на языке C++ и распространяется под лицензией GPL.
В новой версии большинство изменений связано с расширением функциональности файлового менеджера Qutiny и средств для работы с файлами на рабочем столе. Добавлен показ устройства (например, /dev/sdc1) в примечаниях к точкам монтирования, реализованы отдельные пиктограммы для точек монтирования, в боковую панель добавлен список примонтированных внешних носителей, в панель инструментов добавлена кнопка для показа точек монтирования. В диалоге подтверждения удаления обеспечен показ полного пути до удаляемого файла. В диалог со свойствами файла добавлена вкладка с хэшами и поле с данными о владельце файла. Переделано оформление диалога переименования файлов.
Особенности Orbitiny Desktop:
Панель, поддерживающая расширение функциональности через плагины, манипуляцию в режиме Drag&Drop (например, можно переносить файлы с рабочего стола на панель, менять местами апплеты) и сохранение разных профилей, определяющих свой набор апплетов и настроек. Предоставляется 18 плагинов, таких как апплет с реализацией стартового меню для навигации по установленным приложениям.
Поддержка экранных жестов, вводимых через очерчивание определённого контура на пустой области рабочего стола, удерживая кнопку мыши. Всего для каждой кнопки мыши можно определить до 12 экранных жестов. Например, к жесту можно привязать запуск требуемой программы.
Cобственный набор утилит и приложений, таких как файловый менеджер, система вывода уведомлений, интерфейс поиска файлов и программа для создания скриншотов. Рабочий стол может быть запущен в любых существующих пользовательских окружениях, включая KDE и GNOME - в этом случае Orbitiny выводит на весь экран собственное окно с рабочим столом, перекрывающее имеющийся рабочий стол.
Возможность использования любого каталога для размещения содержимого рабочего стола (отсутствие привязки к $HOME/Desktop). На каждом экране отображаются различные рабочие столы.
Поддержка определения собственных контекстных меню, не блокирующих другие приложения. Встроенный в контекстное меню интерфейс для навигации по содержимому каталога (Directory Browser). Наличие в контекстном меню кнопки для запуска произвольной команды для обработки выбранного файла.
Показ специальных меток на пиктограммах файлов, скопированных или перемещённых в буфер обмена. Метка также выводится при изменении содержимого каталога.
Возможность объединения файлов через перетаскивание одного файла на другой мышью.
Поддержка вставки из буфера обмена в конец или начало имеющегося файла. Если вставка производится в каталог - файл создаётся автоматически. Возможна вставка из буфера обмена сразу в несколько выделенных каталогов.
Функция открытия эмулятора терминала для выбранного каталога (если выделено несколько каталогов могут разом быть открыты несколько терминалов).
Поддержка определения действий, которые могут применяться для выделенных файлов.
Сводное окно (Dashboard Window), показывающее выполняемые задачи и установленные приложения.
Режим переносимости (Portable Mode), при котором все необходимые для работы файлы и программы размещаются в отдельном каталоге или на Flash-накопителе для воссоздания имеющегося окружения на другой системе.
Встроенная поддержка Wine и DOSBOX - можно щёлкнуть мышью на exe-файле, и он запустится в Wine.
Поддержка файлов MAFF (Mozilla Archive Format) для упаковки в одном архиве содержимого web-страниц.
Возможность привязки сразу нескольких команд к одному ярлыку (например, одна команда для щелчка левой кнопки мыши, а другая для средней).
Возможность изменения масштаба пиктограмм на рабочем столе через контекстное меню или комбинацию Ctrl+колесо мыши.
Возможность привязки действий, вызываемых при двойном щелчке мышью на заданных пустых областях рабочего стола.
Наличие менеджера устройств, позволяющего включать и отключать доступные аппаратные устройства на уровне загрузки и выгрузки модулей ядра.
Проект Zero Day Initiative (ZDI), предоставляющий денежные вознаграждения за сообщения о неисправленных уязвимостях, анонсировал проведение соревнований Pwn2Own Ireland 2025, которые состоятся в середине октября в Ирландии. Участникам предложено продемонстрировать эксплоиты для ранее неизвестных уязвимостей (0-day) в смартфонах, мессенджерах, беспроводных точках доступа, устройствах для умного дома, принтерах, сетевых хранилищах, системах видеонаблюдения и устройствах виртуальной /дополненной реальности. Атака должна быть проведена на самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.
Мероприятие примечательно готовностью выплатить миллион долларов за выявление в мессенджере WhatsApp ошибки, позволяющей удалённо выполнить код без действия пользователя (0-click). За удалённо эксплуатируемую уязвимость в WhatsApp, требующую действий пользователя (1-click), премия составляет 500 тысяч долларов, за уязвимость, приводящую к захвату учётной записи - $150 тысяч, а за получение удалённого доступа к данным пользователя, микрофону или камере - $130 тысяч.
В категории "мобильные телефоны" за удалённую эксплуатацию уязвимости в смартфонах Google Pixel 9 и Apple iPhone 16 назначена премия 300 тысяч долларов. При этом введена новая категория - взлом устройства при подключении по USB c размером премии $75 тысяч.
За удалённый взлом 3D-шлема Meta Quest 3/3S и умных очков
Meta Ray-Ban назначено вознаграждение в $150 тысяч. Максимальный размер премии за взлом устройств умного дома и сетевых хранилищ составляет $50 тысяч, систем видеонаблюдения - $30 тысяч, а принтеров - $20 тысяч.
