1. Главная ссылка к новости
2. OpenNews: Анализ распространённости дистрибутивов Linux в корпоративных сетях
3. OpenNews: Доля Linux-дистрибутивов в США и Германии превысила 5% по статистике StatCounter

Основные изменения в Chrome 139:

• Добавлена возможность использования AI-модели для формирования поисковых рекомендаций в адресной строке и на странице открытия новой вкладки. Для показа подобных AI-рекомендаций в адресную строку добавлена кнопка "AI Mode", а в списке рекомендаций вывод от AI помечен или выделен в отдельную секцию. Возможность пока активирована по умолчанию только для части пользователей.
• В централизованно управляемых системах расширена возможность создания собственных ярлыков быстрого поиска через адресную строку (можно создать ярлык "@имя" для поиска на определённом сайте). В новой версии добавлена дополнительная настройка, позволяющая разрешить переопределение, удаление или отключение пользователем ярлыков, заданных администратором.
• В версии для Android в режимах стандартной и расширенной защиты Google Safe Browsing реализована проверка безопасности загружаемых APK-пакетов. Проверка осуществляется через обращение к серверам Google. В случае, если файл признан опасным пользователю выводится соответствующее предупреждение, а доступ к файлу блокируется (в интерфейсе предусмотрена отдельная возможность доступа в обход блокировки).
• Удалена настройка ExtensionManifestV2Availability, позволявшая вернуть поддержку второй версии манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions. Для возвращения поддержки второй версии манифеста ещё остаётся возможность запуска исполняемого файла chrome с флагами "--disable-features=ExtensionManifestV2Unsupported,ExtensionManifestV2Disabled".
• В официальных стабильных сборках Chrome прекращена поддержка опций командной строки "--extensions-on-chrome-urls" и "--disable-extensions-except", позволявших отключить блокировку установки рискованных дополнений, например, подставляемых в браузер без спроса пользователя. В Chromium и тестовых сборках Chrome поддержка указанных опций сохранена.
• На странице открытия новой вкладки реализована нижняя панель, на которой показывается информация о дополнениях, влияющих на содержимое страницы новой вкладки, а также сведения о применяемых политиках централизованного управления.
• Добавлена защита от случайного удаления сохранённых паролей при выборе операции полной очистки данных. При наличии сохранённых паролей браузер теперь направляет пользователя на страницу менеджера паролей, на которой можно осмысленно и по-отдельности удалить пароли и ключи passkey.
• Отключена возможность автоматического отката на использование для WebGL системы программной отрисовки SwiftShader, программно реализующей API Vulkan. В случае отсутствия должного бэкенда на базе GPU создание контекста WebGL теперь будет возвращать ошибку, а не переключаться на SwiftShader. Прекращение использования SwiftShader позволит повысить безопасность, благодаря исключению выполнения сгенерированного JIT-компилятором кода в процессе, отвечающем за взаимодействие с GPU. На платформах Linux и macOS системы без GPU больше не смогут использовать WebGL. В Windows поддержка SwiftShader оставлена только для устройств без GPU или с проблемными GPU, добавленными в чёрный список.
• Во встроенном хранилище корневых сертификатов (Chrome Root Store) прекращено доверие к удостоверяющим центрам Chunghwa Telecom и Netlock из-за нарушений требований к удостоверяющим центрам. В связи с отсутствием действий по устранению выявленных недостатков, TLS-сертификаты, выданные Chunghwa Telecom и Netlock после 31 июля 2025 года, теперь воспринимаются в Chrome как не заслуживающие доверия. Сертификаты, выпущенные до 31 июля, продолжают восприниматься как нормальные.
• В API Web Speech добавлена поддержка распознавания речи, используя локально доступные на устройстве движки. Сайт может запросить наличие движков распознавания для необходимого языка, выбрать между локальными и облачными сервисами, запросить установку необходимых ресурсов для локального распознавания и убедиться, что распознавание будет выполнено на устройстве пользователя без отправки данных во внешние сервисы.
• В CSS, помимо задания радиуса скругления при помощи свойства border-radius, реализовано свойство "corner-shape" для управления формой и кривизной углов прямоугольных элементов. Например, при помощи "corner-shape" можно делать плавные переходы от квадрата к кругу (squircle), вогнутые углы (scoop), срезать фаску (bevel) и делать вырезы (notch), а также анимировать изменение формы углов.
• Добавлена поддержка спецификации Custom Functions, позволяющей создавать собственные функции для CSS, действующие по аналогии с собственными параметризованными CSS-свойствами. Отличие сводится к тому, что CSS-свойства могут вернуть только одно фиксированное значение, а CSS-функции могут возвращать значения на основе других собственных CSS-свойств, параметров и условий. Для определения CSS-функций добавлено правило "@function".

  
     @function --negative(--value) {
       result: calc(-1 * var(--value));
     }
  
     @function --shadow(--shadow-color <color> : inherit) {
       result: 2px 2px var(--shadow-color, black);
     }
  

• Добавлено CSS-свойство "caret-animation", позволяющее управлять анимацией изменения курсора в полях ввода (например, мигание курсора можно заменить на собственную анимацию).
• С целью соблюдения спецификации и улучшения совместимости с другими браузерами добавлено CSS-свойство "font-width", аналогичное ранее доступному свойству "font-stretch".
• При блокировке Service Worker-а из-за срабатывания правил CSP (Content Security Policy) теперь в асинхронном режиме отправляется событие "error", вместо генерации исключения SecurityError сразу после вызова конструктора "new Worker(url)" или "new SharedWorker(url)".
• Предоставлена возможность создания единого web-приложения, работающего с несколькими доменами верхнего уровня или разными поддоменами. Для настройки привязки к доменам в манифесте предусмотрено поле "scope_extensions".

  
     {
       "name": "Example",
       "display": "standalone",
       "start_url": "/index.html",
       "scope_extensions": [
         { "origin": "https://*.example.com" },
         { "origin": "https://example.co.uk" },
         { "origin": "https://*.example.co.uk" }
    ]
  }
  

• Реализовано определение всех корректных MIME-типов для данных JSON, отмеченных в спецификации WHATWG MIME Sniffing. В дополнение к традиционным MIME-типам "application/json" и "text/json" добавлена поддержка составных MIME-типов, таких как "text/html+json" и "image/svg+json".
• В API Invoker Commands добавлена команда "request-close" для принудительного закрытия диалога на базе HTML-элемента <dialog>, действие которой аналогично вызову JavaScript-метода requestClose().
• В WebGPU добавлена поддержка 3D-текстур, сжатых с использованием форматов BC и ASTC. Также добавлен экспериментальный (Origin Trial) режим обеспечения совместимости, предоставляющий урезанный API WebGPU, пригодный для работы с устаревшими графическими API, такими как OpenGL и Direct3D11.
• Для SVG-элементов <script> (SVGScriptElement) добавлена поддержка атрибута "async" для выполнения скриптов в асинхронном режиме.
• Для усложнения пассивной идентификации экземпляра браузера в HTTP-заголовке Accept-Language теперь перечисляются не все выбранные пользователем языки, а только наиболее приоритетные языки.
• Добавлен экспериментальный (Origin trials) API Prompt, предоставляющий вызовы для взаимодействия с большими языковыми моделями, позволяющие использовать в запросах текст, изображения и звуковой ввод. Результат возвращается в удобном для разбора структурированном виде. Среди примеров использования упоминаются генерация описания изображений, визуальный поиск, транскрибирование речи, классификация звуков, генерация текста по заданной инструкции и извлечение информации из текста.
• В инструментах для web-разработчиков проведена работа по устранению известных проблем c функциональностью и недоработок в интерфейсе пользователя. Благодаря проделанной работе, число открытых уведомлений о проблемах сокращено на 27%. Во встроенный AI-ассистент добавлена поддержка загрузки произвольных изображений. В панели инспектирования сети реализована возможность добавления столбцов для отображения состояния произвольных HTTP-заголовков.
• Прекращена поддержка операционной системы macOS 11, для работы теперь требуется как минимум выпуск macOS 12.
• В версии для Android прекращена поддержка платформ Android 8 (Oreo) и Android 9 (Pie).

Кроме нововведений и исправления ошибок в новой версии устранены 12 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 8 премий на сумму 18500 долларов США (одна премия $10000, три $2000, две $1000 и одна $500). Размер одного вознаграждения пока не определён.

Дополнительно можно отметить включение в кодовой базе, на основе которой формируется выпуск Chrome 140, режима OverrideDefaultOzonePlatformHintToAuto, активирующего автоматический выбор бэкенда в прослойке Ozone, абстрагирующей взаимодействие с графической подсистемой. Изменение позволит адаптивно активировать Wayland-бэкенд на системах с поддержкой Wayland, не привязываясь по умолчанию с бэкенду X11. Вручную включить автоматический выбор бэкенда можно и в выпуске Chrome 139 при помощи настройки "chrome://flags/#ozone-platform-hint" или флага командной строки "--ozone-platform-hint=auto".

1. Главная ссылка к новости
2. OpenNews: Выпуск web-браузера Chrome 138
3. OpenNews: За 10 месяцев в Chrome удалось на 22% повысить производительность в тесте Speedometer 3
4. OpenNews: Google отказался от навязывания блокировки сторонних Cookie в Chrome
5. OpenNews: Браузер Chrome переведён на шрифтовой движок Skrifa, написанный на Rust
6. OpenNews: В Chrome добавлен AI-режим для автоматической смены скомпрометированных паролей

Proxmox VE предоставляет средства для развёртывания полностью готовой системы виртуальных серверов промышленного уровня с управлением через web-интерфейс, рассчитанный на управление сотнями или даже тысячами виртуальных машин. Дистрибутив имеет встроенные инструменты для организации резервного копирования виртуальных окружений и доступную из коробки поддержку кластеризации, включая возможность миграции виртуальных окружений с одного узла на другой без остановки работы. Среди особенностей web-интерфейса: поддержка безопасной VNC-консоли; управление доступом ко всем доступным объектам (VM, хранилище, узлы и т.п.) на основе ролей; поддержка различных механизмов аутентификации (MS ADS, LDAP, Linux PAM, Proxmox VE authentication).

В новом выпуске:

• Осуществлён переход на пакетную базу дистрибутива Debian 13, релиз которого ожидается 9 августа. По умолчанию задействовано ядро Linux 6.14. Обновлены версии QEMU 10.0.2, LXC 6.0.4, OpenZFS 2.3.3 и Ceph Squid 19.2.3.
• Представлен новый web-интерфейс для мобильных устройств, написанный на языке Rust с использованием web-фреймворка Yew. Интерфейс автоматически применяется при доступе с мобильных устройств вместо штатного Proxmox VE GUI и позволяет быстро оценить состояние гостевых систем, задач, хранилищ и других ресурсов. Через мобильный web-интерфейс также можно изменять базовые настройки и выполнять типовые операции, такие как запуск и остановка виртуальных машин.
• Добавлена поддержка нового механизма создания снапшотов виртуальных машин, который можно использовать с любыми системами хранения, поддерживающими блочное хранилище, включая SAN на базе iSCSI и Fibre Channel. Функциональность реализована через снапшоты как цепочки томов (volume), в которых том, основанный на снапшоте, сохраняет только отличия по сравнению с родительским томом. Поддержка снапшотов на основе цепочек томов также доступна для хранилищ Directory, NFS и CIFS.
• Предложен новый механизм "HA affinity rules", позволяющий управлять распределением виртуальных машин в кластере и размещением ресурсов в отказоустойчивых конфигурациях. Механизм даёт возможность определять правила привязки ресурса к определённому узлу или закрепления ресурсов между собой. Например, зависящие друг от друга ресурсы, такие как сервер приложений и связанная с ним база данных, могут быть размещены вместе на одном физическом узле для минимизации задержек при обмене данными. С другой стороны, для сервисов, требующих максимальной избыточности, можно настроить разнесение обработчиков по разным узлам. Например, для обеспечения отказоустойчивости можно настроить запуск виртуальных машин, выполняющих одно и то же критически важное приложение, всегда на разных узлах.
• В стеке программно определяемых сетей (SDN, Software-Defined Networking) появилась функция SDN Fabric, упрощающая настройку и управление сложными маршрутизируемыми сетями из соединённых между собой узлов. Для повышения надёжности SDN Fabric может направлять межузловой трафик по разным маршрутам и автоматически обрабатывать сбои сетевых карт. SDN Fabric упрощает управление динамически маршрутизированными сетями, которые могут использоваться для создания кластера Ceph или в качестве основы для построения VPN-сети. Из протоколов маршрутизации поддерживаются OpenFabric и OSPF.
• Предоставлена возможность прозрачного обновления с ветки Proxmox VE 8.x до выпуска 9.0.
• В OpenZFS реализовано добавление на лету новых дисков в существующий массив RAIDZ, что позволяет увеличить размер хранилища без остановки работы и без необходимости создания новой группы накопителей. Перераспределение избыточных данных с учётом новых дисков осуществляется автоматически.

1. Главная ссылка к новости
2. OpenNews: Выпуск Proxmox VE 8.4, дистрибутива для организации работы виртуальных серверов
3. OpenNews: Доступен дистрибутив Proxmox Backup Server 3.3
4. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.2
5. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.0
6. OpenNews: Выпуск дистрибутива Proxmox Mail Gateway 8.0

• Аварийное завершение при запуске на некоторых Linux-системах со старыми версиями проприетарных драйверов NVIDIA.
• Невозможность запуска на некоторых системах c библиотекой GTK, собранной без поддержки Wayland.
• Регрессивное изменение, приводившее к возникновению несовместимостей из-за возможности перемещения мышью объектов canvas.
• Аварийное завершение при инспектировании страниц с элементами iframe через инструменты для web-разработчиков.
• Незначительные сбои при отрисовке интерфейса пользователя (1, 2, 3, 4).
• Нарушение навигации при помощи клавиатуры из-за ухода фокуса из области с содержимым при клике на закреплённой вкладке.

Кроме того, можно отметить новые возможности в ночных сборках Firefox:

• Поддержка предпросмотра свёрнутой группы вкладок при наведении курсора на имени группы (включается через browser.tabs.groups.hoverPreview.enabled в about:config).
• Возможность нахождения активной вкладки в свёрнутой группе вкладок (можно работать с отдельной вкладкой не раскрывая всю группу).
• Возможность загрузки своего аватара для профиля пользователя в браузере.

1. Главная ссылка к новости
2. OpenNews: Mozilla предупредила о фишинг-атаке на разработчиков дополнений к Firefox
3. OpenNews: Релиз Firefox 141
4. OpenNews: В Firefox и Safari будет включена поддержка WebGPU
5. OpenNews: Изменение правил в каталоге дополнений к Firefox

Syncspirit представляет собой независимую реализацию протокола синхронизации BEP, предложенного проектом Syncthing. Синхронизированные данные не загружаются в сторонние облачные хранилища, а напрямую реплицируются между системами пользователя при их одновременном появлении в online. Syncspirit совместим с Syncthing на уровне протокола и использует инфраструктуру Syncthing для определения участников сети.

В отличие от проекта Syncthing, который написан на языке Go и использует клиент-серверную архитектуру и REST-API (в качестве клиента выступает веб-браузер), syncspirit предоставляет как реализацию в виде фонового процесса syncspirit-daemon, так и отдельное приложение с графическим интерфейсом, позволяющее более экономно расходовать оперативную память.

Новшества в версии 0.4.1:

• Унифицированная модель разделяемых папок, позволяющих получить детальную информацию о любом файле, включая удалённые, из папки как на локальном, так и на сопряжённом устройстве.
• Возможность импорта содержимого папки. Актуально для случаев, когда файлы уже имеются локально и хотелось бы избежать сетевой синхронизации.
• Повышена производительность синхронизации большого количества маленьких файлов.
• Улучшена совместимость с протоколом BEP:
  • Возможность задавать тип синхронизации папки (folder_type): только получение изменений, только отправки и двунаправленная синхронизация.
  • Поддержка опции "disable_temp_indixes" для отключения информирования сопряжённых устройств о процессе скачивания больших файлов.
  • Поддержка синхронизации прав доступа к файлам (permissions) и возможность их игнорирования (ignore_permissions).
  • Возможность задания флага "ignore_deletes" для предотвращения локального удаления разделяемых файлов, если они были удалены на сопряжённом устройстве.
  • Возможность задания флага "auto-accept" для автоматической синхронизации ранее неизвестных файлов для доверенных устройств.
  • Возможность задания флага "introducer" для автоматического сопряжения с устройствами, которые известны ранее сопряжённому устройству.
  • Возможность сжатия исходящего трафика (данных и метаданных) с помощью алгоритма LZ4.
• Возможность сортировки файлов перед синхронизацией: в алфавитном порядке, по размеру или по дате модификации.
• Исправлены найденные ошибки.

1. Главная ссылка к новости
2. OpenNews: Выпуск P2P-системы синхронизации файлов syncspirit 0.4.0, совместимой с Syncthing
3. OpenNews: Выпуск открытой P2P-системы синхронизации файлов Syncthing 1.16
4. OpenNews: Выпуск утилиты для синхронизации файлов Rsync 3.3.0. Эндрю Триджелл возвращается в проект
5. OpenNews: Началось публичное тестирование технологии синхронизации компьютеров BitTorrent Sync
6. OpenNews: Основатель QEMU и FFmpeg развивает систему синхронизации файлов VFsync

Основные особенности openSUSE Leap 16:

• Задействован новый инсталлятор Agama, примечательный отделением пользовательского интерфейса от внутренних компонентов YaST и поставкой фронтэнда для управления установкой через web-интерфейс.
• В инсталляторе для установки предложены только среды рабочего стола, использующие Wayland. Предоставлена возможность использования варианта Xfce 4.20 поверх композитного менеджера labwc, использующего Wayland. Для организации работы экрана входа в систему вместо LightDM реализована возможность использования greetd и gtkgreet.
• Вместо традиционного стека YaST для управления системой задействован пакет Cockpit, а вместо YaST Software GUI предложен новый пакет Myrlyn.
• По умолчанию включена система мандатного контроля доступа SELinux. Поддержка AppArmor сохранена в качестве опции.
• Прекращена поддержка системы инициализации SysV. Возможно использование только systemd.
• Прекращена поддержка архитектуры x86-64-v1. Работа возможна только на системах x86 с архитектурой x86_64-v2, которая поддерживается процессорами примерно с 2009 года (начиная с Intel Nehalem) и отличается наличием таких расширений, как SSE3, SSE4_2, SSSE3, POPCNT, LAHF-SAHF и CMPXCHG16B.
• Обновлены версии пакетов.
• Для управления репозиториями задействован сервис на базе протокола RIS (Repository Index Service). Для сокращения размера метаданных репозитории разделены для каждой поддерживаемой архитектуры. Вместо нескольких репозиториев задействован один общий репозиторий пакетов repo-oss, включающий как пакеты из SUSE Linux Enterprise, так и пакеты, сопровождаемые сообществом.
• В пакетном менеджере Zypper реализована возможность распараллеливания загрузки пакетов и метаданных, а также предложен новый бэкенд, более оптимально повторно использующий уже установленные соединения и повышающий эффективность обработки метаданных. При обновлении 250 пакетов суммарным размером 100 МБ время загрузки после включения нового бэкенда и параллельного режима сократилось с 68.7 секунд до 13.1 секунды, а при обновлении 407 пакетов размером 1 ГБ - с 281.1 секунды до 119.6 секунд.
• В SUSE Linux Enterprise будет прекращена поддержка запуска 32-разрядных исполняемых файлов. Для продолжения возможности использования приложения Steam, которое существует только в 32-разрядной версии и требует для запуска наличия в системе установленных 32-битных зависимостей, в openSUSE реализован пакет grub2-compat-ia32, выставляющий параметр "ia32_emulation=1" при загрузке ядра Linux. Для работы Steam также потребуется установка пакета selinux-policy-targeted-gaming, не входящего в базовую поставку.

1. Главная ссылка к новости
2. OpenNews: Дистрибутив openSUSE опубликовал альтернативный инсталлятор Agama 15
3. OpenNews: openSUSE прекращает поставку Deepin из-за установки небезопасных компонентов в обход RPM
4. OpenNews: Компания SUSE попросила прекратить использование бренда SUSE в проекте openSUSE
5. OpenNews: SUSE и openSUSE рассматривают прекращение поддержки загрузки на системах с BIOS
6. OpenNews: Дистрибутив openSUSE Tumbleweed перешёл на использование SELinux по умолчанию

1. Главная ссылка к новости
2. OpenNews: Представлен Proton Authenticator, генератор одноразовых паролей для двухфакторной аутентификации
3. OpenNews: Утечка пароля от шифрованных разделов в логе инсталлятора Ubuntu Server
4. OpenNews: GitHub и Twitter по ошибке сохраняли открытые пароли в логе
5. OpenNews: В публичных логах Travis CI выявлено около 73 тысяч токенов и паролей открытых проектов

Среди изменений по сравнению с прошлой тестовой версией инсталлятора:

• Обновлён основной список зеркал.
• В сборки для архитектуры ppc64el добавлен пакет linux-image-powerpc64le-64k.
• Проведена чистка udeb для сокращения размера установочных образов.
• Ядро Linux обновлено до версии 6.12.38+deb13.
• Улучшены образы, формируемые при помощи инструментария depthcharge.
• В скриптах hw-detect убрано систематическое копирование файлов прошивок, которые встроены в initramfs инсталлятора.

1. Главная ссылка к новости
2. OpenNews: Второй кандидат в релизы инсталлятора Debian 13
3. OpenNews: Debian 13 вошёл в фазу жёсткой заморозки перед релизом
4. OpenNews: Выпуск Debian 12.11 и первый кандидат в релизы инсталлятора Debian 13
5. OpenNews: В Live-образах Debian 12 реализована поддержка повторяемых сборок
6. OpenNews: Началось альфа-тестирование инсталлятора Debian 13

Сопровождающий пакет StarDict в Debian ответил, что подобное поведение является штатным. По умолчанию в StarDict включён режим автоматического поиска в словарях выделенного текста и активированы как локальные, так и внешние словари. Серверы dict.youdao.com и dict.cn предоставляют англо-китайские словари, подключаемые через плагины, по умолчанию включаемые при установке пакета stardict-plugin, который является рекомендованной зависимостью для пакета stardict-gtk. Тем, кого подобное поведение не устраивает, рекомендовано в настройках отключить сетевые словари или функцию автоматического поиска при выделении.

Обративший внимание на проблему пользователь возразил, что подобное поведение ни при каких условиях не должно активироваться по умолчанию, так как оно приводит к утечке информации. Пользователь может выделять в приложениях текст с конфиденциальным содержимым, например, паролями и личными данными. При этом информация не только потенциально оседает в логах на серверах dict.youdao.com и dict.cn и видна их администраторам, но и становится доступна для перехвата трафика из-за использования HTTP, а не HTTPS.

911565 write(16, "GET HTTP://dict.youdao.com/fsearch?q=выделенный текст HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: */*\r\nHost: dict.youdao.com\r\nConnection: close\r\n\r\n", 171) = 171

911565 write(17, "GET HTTP://dict.cn/ws.php?utf8=true&q=выделенный текст HTTP/1.0\r\nUser-Agent: Mozilla/4.0(compatible;MSIE 5.00;Windows 98)\r\nAccept: */*\r\nHost: dict.cn\r\nConnection: close\r\n\r\n", 164) = 164

Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. Теперь данная функциональность опять возвращена.

1. Главная ссылка к новости
2. OpenNews: После десятилетнего перерыва опубликован GoldenDict 1.5.0
3. OpenNews: Загадочное исчезновение проекта StarDict с SourceForge.net
4. OpenNews: Debian запрещает использование в пакетах секции со специфичными для вендоров патчами
5. OpenNews: Прецедент с удалением пакета из репозитория Debian из-за пошлого названия
6. OpenNews: В Debian разрешено встраивание зависимостей в пакет Kubernetes

Основные новшества Squid 7:

• В ACL улучшена настройка перекрывающихся диапазонов IP-адресов и определения масок доменов.
• Удалена поддержка языка разметки ESI (Edge Side Includes).
• Убран доступ к Cache Manager с использованием схемы cache_object:// (оставлен только доступ по HTTP).
• Удалена утилита squdclient, вместо которой следует использовать "curl http://хост/squid-internal-mgr/menu".
• Удалён обработчик cachemgr.cgi.
• Удалена утилита purge, вместо которой следует использовать HTTP-метод PURGE.
• Прекращена поддержка протокола Ident.
• Удалены обработчики basic_smb_lm_auth и ntlm_smb_lm_auth, вместо которых рекомендовано использовать ntlm_auth от проекта Samba.

1. Главная ссылка к новости
2. OpenNews: В прокси-сервере Squid выявлено 55 уязвимостей, 35 из которых пока не исправлены
3. OpenNews: Стабильный релиз прокси-сервера Squid 5
4. OpenNews: Уязвимость в прокси-сервере Squid, позволяющая обойти ограничения доступа
5. OpenNews: Стабильный релиз прокси-сервера Squid 4
6. OpenNews: Первый выпуск Sonar, веб-интерфейса для прокси-сервера Squid

Отмечается, что в настоящее время ведётся работа по добавлению возможностей для усиления безопасности в стандарты C и C++, но этот процесс не быстрый, при том, что в Сlang уже доступны отдельные опции с реализацией дополнительных механизмов защиты. Реализуемые методы защиты часто приводят к отдельным несовместимостям с существующим кодом или нарушению ABI, что не позволяет активировать их по умолчанию. Кроме того, подобные опции разрознены (флаги для управления компиляцией, флаги генерации машинных инструкций, привязанные к аппаратным архитектурам, предупреждения, режимы диагностики, макросы), плохо документированы и выпадают из поля зрения многих разработчиков.

Единая настройка унифицирует включение связанных с безопасностью опций и упростит их применение. Рассматривается несколько вариантов активации режима усиленной безопасности, например, обсуждается активация через флаг "-fhardened", набор настроек "--config=hardened", отдельный драйвер (clang --driver-mode) или раздельные опции "-fhardened, -mhardened и -Whardened", привязанные к компиляции, генерации кода и выводу предупреждений. Режим может охватывать:

• Возможности компилятора: -ftrivial-auto-var-init, -fPIE, -fcf-protection и т.п.
• Возможности, привязанные к генерации кода для целевых платформ: -mspeculative-load-hardening, -mlvi-hardening и т.п.
• Предупреждения: -Wall, -Wextra, -Werror=return-type и т.п.
• Режимы усиления безопасности в стандартной библиотеке функций.
• Макросы: _FORTIFY_SOURCE, _GLIBCXX_ASSERTIONS и т.п.
• Требование к явному выбору используемого стандарта языка.
• Отказ компилировать код с использованием устаревших стандартов C89 и C++98.
• Передача дополнительных флагов компоновщику, например, для включения рандомизации адресов.

1. Главная ссылка к новости
2. OpenNews: Проект LLVM развивает средства для безопасной работы с буферами в C++
3. OpenNews: Microsoft открыл CHERIoT, аппаратное решение для повышения безопасности кода на языке Си
4. OpenNews: Создатель C++ раскритиковал навязывание безопасных языков программирования
5. OpenNews: Проект TrapC развивает Си-подобный язык, безопасно работающий с памятью
6. OpenNews: Fil-C - компилятор для языков C и C++, гарантирующий безопасную работу с памятью

В новой версии большинство изменений связано с расширением функциональности файлового менеджера Qutiny и средств для работы с файлами на рабочем столе. Добавлен показ устройства (например, /dev/sdc1) в примечаниях к точкам монтирования, реализованы отдельные пиктограммы для точек монтирования, в боковую панель добавлен список примонтированных внешних носителей, в панель инструментов добавлена кнопка для показа точек монтирования. В диалоге подтверждения удаления обеспечен показ полного пути до удаляемого файла. В диалог со свойствами файла добавлена вкладка с хэшами и поле с данными о владельце файла. Переделано оформление диалога переименования файлов.

Особенности Orbitiny Desktop:

• Панель, поддерживающая расширение функциональности через плагины, манипуляцию в режиме Drag&Drop (например, можно переносить файлы с рабочего стола на панель, менять местами апплеты) и сохранение разных профилей, определяющих свой набор апплетов и настроек. Предоставляется 18 плагинов, таких как апплет с реализацией стартового меню для навигации по установленным приложениям.
• Поддержка экранных жестов, вводимых через очерчивание определённого контура на пустой области рабочего стола, удерживая кнопку мыши. Всего для каждой кнопки мыши можно определить до 12 экранных жестов. Например, к жесту можно привязать запуск требуемой программы.
• Cобственный набор утилит и приложений, таких как файловый менеджер, система вывода уведомлений, интерфейс поиска файлов и программа для создания скриншотов. Рабочий стол может быть запущен в любых существующих пользовательских окружениях, включая KDE и GNOME - в этом случае Orbitiny выводит на весь экран собственное окно с рабочим столом, перекрывающее имеющийся рабочий стол.
• Возможность использования любого каталога для размещения содержимого рабочего стола (отсутствие привязки к $HOME/Desktop). На каждом экране отображаются различные рабочие столы.
• Поддержка определения собственных контекстных меню, не блокирующих другие приложения. Встроенный в контекстное меню интерфейс для навигации по содержимому каталога (Directory Browser). Наличие в контекстном меню кнопки для запуска произвольной команды для обработки выбранного файла.
• Показ специальных меток на пиктограммах файлов, скопированных или перемещённых в буфер обмена. Метка также выводится при изменении содержимого каталога.
• Возможность объединения файлов через перетаскивание одного файла на другой мышью.
• Поддержка вставки из буфера обмена в конец или начало имеющегося файла. Если вставка производится в каталог - файл создаётся автоматически. Возможна вставка из буфера обмена сразу в несколько выделенных каталогов.
• Функция открытия эмулятора терминала для выбранного каталога (если выделено несколько каталогов могут разом быть открыты несколько терминалов).
• Поддержка определения действий, которые могут применяться для выделенных файлов.
• Сводное окно (Dashboard Window), показывающее выполняемые задачи и установленные приложения.
• Режим переносимости (Portable Mode), при котором все необходимые для работы файлы и программы размещаются в отдельном каталоге или на Flash-накопителе для воссоздания имеющегося окружения на другой системе.
• Встроенная поддержка Wine и DOSBOX - можно щёлкнуть мышью на exe-файле, и он запустится в Wine.
• Поддержка файлов MAFF (Mozilla Archive Format) для упаковки в одном архиве содержимого web-страниц.
• Возможность привязки сразу нескольких команд к одному ярлыку (например, одна команда для щелчка левой кнопки мыши, а другая для средней).
• Возможность изменения масштаба пиктограмм на рабочем столе через контекстное меню или комбинацию Ctrl+колесо мыши.
• Возможность привязки действий, вызываемых при двойном щелчке мышью на заданных пустых областях рабочего стола.
• Наличие менеджера устройств, позволяющего включать и отключать доступные аппаратные устройства на уровне загрузки и выгрузки модулей ядра.
• Встроенный конфигуратор (Control Panel).

1. Главная ссылка к новости
2. OpenNews: Третий экспериментальный выпуск среды рабочего стола Orbitiny
3. OpenNews: Выпуск среды рабочего стола Orbitiny 2
4. OpenNews: Опубликована среда рабочего стола Orbitiny, использующая Qt
5. OpenNews: В среде рабочего стола Budgie 10.10 будет оставлена только поддержка Wayland
6. OpenNews: Опубликована среда рабочего стола LXQt 2.2.0

Мероприятие примечательно готовностью выплатить миллион долларов за выявление в мессенджере WhatsApp ошибки, позволяющей удалённо выполнить код без действия пользователя (0-click). За удалённо эксплуатируемую уязвимость в WhatsApp, требующую действий пользователя (1-click), премия составляет 500 тысяч долларов, за уязвимость, приводящую к захвату учётной записи - $150 тысяч, а за получение удалённого доступа к данным пользователя, микрофону или камере - $130 тысяч.

В категории "мобильные телефоны" за удалённую эксплуатацию уязвимости в смартфонах Google Pixel 9 и Apple iPhone 16 назначена премия 300 тысяч долларов. При этом введена новая категория - взлом устройства при подключении по USB c размером премии $75 тысяч. За удалённый взлом 3D-шлема Meta Quest 3/3S и умных очков Meta Ray-Ban назначено вознаграждение в $150 тысяч. Максимальный размер премии за взлом устройств умного дома и сетевых хранилищ составляет $50 тысяч, систем видеонаблюдения - $30 тысяч, а принтеров - $20 тысяч.

1. Главная ссылка к новости
2. OpenNews: На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Firefox, Redis и VirtualBox
3. OpenNews: На соревновании Pwn2Own Automotive 2025 представлено 49 уязвимостей автомобильных систем
4. OpenNews: На соревнованиях Pwn2Own продемонстрированы взломы NAS, принтеров, умных колонок и IP-камер
5. OpenNews: На соревновании Pwn2Own 2024 продемонстрированы взломы Ubuntu, Firefox, Chrome, Docker и VirtualBox
6. OpenNews: Итоги соревнования Pwn2Own Automotive, посвящённого взлому автомобильных систем

Участвующие в конкурсе работы, с одной стороны, должны препятствовать анализу кода и пониманию сути решаемой задачи, но, с другой стороны, код должен быть интересен и чем-то примечателен (работы могут быть необычно оформлены или выделять неожиданные стороны языка Си). Размер исходного кода программы не должен превышать 4096 байт, а программа должна собираться и выполнять осмысленное действие.

Победители:

• Помощник в решении головоломки Wordle, в которой нужно угадать пятибуквенное слово за шесть попыток (код).
• Чат-бот, использующий модель llama2-7b-chat и OpenMP. Проект отмечен как самый компактный движок для выполнения больших языковых моделей (код всего 1800 байт).
• На первый взгляд программа возводит в квадрат числа от 1 до 10, но на деле показывается рецепт приготовления жареного лосося. Код 15 строк и содержит манипуляции с незаметными символами Unicode.
• Эмулятор CPU Intel 4004. Код 14 строк. Статья с разбором от автора.
• Генератор изображений деревьев в консоли. Код оформлен в виде дерева.
• Трассировщик лучей, реализованный целиком при помощи макросов Си-препроцессора (код).
• Физический движок, симулирующий вращение волчка. Код тоже в форме волчка.

  
  
  
                                         @@
                                        @@
                               @@@@@@@@@@@@
                           @@ @@@@@@@@@@@@@@@@
                          @@@@  @@@@@@@@@@@@@@@@
                         @@@@@@@    @@@@@@@@@@@  @
                         @@@@@@@@@@@           @@@
                          @@@@@@@@@@@@@@@@@@@@@@@@
                          @@@@@@@@@@@@@@@@@@@@@@@@
                           @@@@@@@@@@@@@@@@@@@@@
                           @@@@@@@@@@@@@@@@@@@@
                            @@@@@@@@@@@@@@@@
                            @@@@@@@@@@@@@
                             @@@@@@@@@
                               @@@@
                               @@
                              @@
  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
  
  

• Пародия на игру Oregon Trail. Код с огромным числом операторов goto.
• Переводчик с языка, использовавшегося радистами-шифровальщиками навахо (код).
• Текстовый редактор eh (код).
• Калькулятор, выражения в котором задаются словами (например, "два плюс два"). Код в виде калькулятора.
• Рисует текущую фазу луны в консоли. Код в форме луны.
• Утилита для удаления артефактов из JPEG-изображений. Код 42 строки.
• Виртуальная машина, способная запускать Doom 1/2 на современных ПК. Код 40 строк.
• Генератор Си-кода для вывода указанных данных. Код в виде спирали.
  
  
• Эмулятор CPU OpenRISC, способный запустить Linux. Код 73 строки.
• Интерпретатор языка JavaScript с поддержкой объектов, массивов, строк, чисел, функций и сборщиком мусора. Код 61 строка.
• Анимация танцующего Рика Эстли со звуковым сопровождением (код).
• Интерпретатор z3-файлов от игры Zork (код).
• Генератор пиктограмм в формате pbm из MD5-хэшей. Код - однострочник 135 байт.
• Генератор музыки (код).
• Симулятор смерча в 3D. Код в форме смерча.
• Программа для шифрования и дешифровки текста (код).

1. Главная ссылка к новости
2. OpenNews: Возобновлено соревнование по написанию запутанного кода на языке Си
3. OpenNews: Названы победители 27 конкурса по написанию запутанного кода на языке Си
4. OpenNews: Результаты 22 чемпионата по написанию запутанного кода на языке Си
5. OpenNews: Опубликованы работы, победившие на 21 чемпионате по написанию запутанного кода на языке Си
6. OpenNews: Опубликован код работ, победивших на соревновании по написанию самого запутанного кода на языке Си

Участники могли отправить сетевой запрос к Python-скрипту, который создавал новый Python-скрипт cо случайными именем, добавлял поступившие от пользователя данные в текст комментария, вырезав символы "\n" и "\r", и запускал этот скрипт командой "python3 имя.py". Контролируя только содержимое комментария, участник должен был извлечь строку из файла "/home/ctfuser/flag". Скрипт создавался следующим кодом:

   comment = input("> ").replace("\n", "").replace("\r", "")
   code = f"""print("hello world!")
   # This is a comment. Here's another:
   # {comment}
   print("Thanks for playing!")"""

Вместо "{comment}" подставлялись данные, поступившие от участника, и в итоге запускался следующий код:

   print("hello world!")
   # This is a comment. Here's another:
   # Данные, поступившие от участника соревнования
   print("Thanks for playing!")

Задание было сформировано по мотивам уязвимости в парсере CPython, который обрабатывал символ с нулевым кодом как окончание строки (уязвимость, например, можно было использовать для скрытия вредоносных действий в тексте комментария). Проблема была устранена в выпусках CPython 3.12.0 и 3.11.4. В применяемом в конкурсе обработчике вырезались только символы "\n" и "\r", но при использовании уязвимой версии СPython участник мог использовать символ "\0" как разделитель. Тем не менее этот трюк не сработал, так как в конкурсе использовалась уже исправленная версия CPython c расчётом на то, что в парсере могут оставаться ещё какие-то похожие ошибки и участники смогут их выявить.

Успешно справившийся с заданием участник не стал искать новые уязвимости в парсере, которые бы позволили разбить строку на части, а воспользовался особенностью выполнения в Python файлов по типу их содержимого. Например, вместо исходного кода в файл с расширением ".py" можно поместить прокэшированный байткод, сохраняемый в файлах с расширением ".pyc", и подобный файл будет выполнен. В рассматриваемом конкурсе участник мог контролировать только содержимое в середине файла, поэтому не мог добавить свой заголовок для искажения MIME-типа.

Задачу удалось решить, воспользовавшись тем, что Python начиная с ветки 2.6 может исполнять содержимое ZIP-архивов для поставки Python-пакетов в сжатом виде. Как и в случае с кэшем байт-кода, наличие zip-архива определяется по содержимому, а не по расширению файла, т.е. в "файл.py" можно поместить zip-архив, и при запуске командой "python файл.py" он будет обработан как сжатый Python-пакет. При этом ZIP-архивы в Python индексируются не по заголовку в начале файла, а по секции EOCD (End of Central Directory Record) в конце файла. При наличии в архиве файла "__main__.py" этот файл запускается автоматически при прямом запуске архива командой "python архив".

Конкурсная задача была решена генерацией подобного ZIP-архива и подстановкой его в текст комментария. Для сохранения корректности структуры файла в условиях наличия в конце исходного файла вызова 'print("Thanks for playing!")' было использовано наличие в EOCD-секции области комментария, размещаемой в самом конце.

1. Главная ссылка к новости
2. OpenNews: Google начнёт выплачивать вознаграждения за выявление уязвимостей в гипервизоре KVM
3. OpenNews: Google расширил программу стимулирования выявления уязвимостей в ядре Linux
4. OpenNews: Уязвимость в Python, проявляющаяся при обработке непроверенных дробных чисел в ctypes
5. OpenNews: Уязвимость в Python, позволяющая вызвать системные команды из изолированных скриптов
6. OpenNews: Универсальный способ DoS-атаки, затрагивающий PHP, Java, Ruby, Python и различные web-платформы