Отдельно компания Mozilla опубликовала отчёт о проверке кодовой базы Firefox при помощи AI-модели Claude Mythos, достигшей нового уровня в таких областях, как выявление уязвимостей, поиск и исправление ошибок. Отмечается, при использовании Mythos практически не было ложных срабатываний, в то время как прошлые попытки использования моделей GPT 4 и Sonnet 3.5 не рассматривались как успешные из-за обилия ложных отчётов. В апреле в Firefox было устранено 423 уязвимости, из которых 271 были выявлены сотрудниками Mozilla при помощи Claude Mythos. 180 уязвимостей из 271 признаны опасными, 80 присвоен умеренный уровень опасности, а 11 - низкий.

Не связанные с безопасностью исправления в Firefox 150.0.2:

• Исправлена проблема, приводившая к некорректной работе web-камеры при видеовызовах.
• Устранена ошибка, из-за которой на сайтах во внутренних или корпоративных сетях вместо запроса аутентификации показывалась пустая страница.
• Исправлена проблема во встроенном PDF-просмотрщике, из-за которой не работала функция выделения текста на отсканированных изображениях.
• Исправлена ошибка, из-за которой не исчезала метка "New" в элементе меню Split View.
• Решена проблема, приводившая к аварийному завершению процесса-обработчика вкладки после перетаскивания мышью вложенных каталогов на страницу.
• Устранено пропадание или некорректное отображение части содержимого при просмотре сайтов с продвинутыми 3D-эффектами.
• Исправлена ошибка, мешавшая корректному завершению процедуры создания локальной резервной копии.
• Устранено мерцание или сбои при отображении панели навигации и статусной строки при редактировании адреса страницы.
• Устранено искажение пиктограмм поисковых рекомендаций, показываемых при вводе в адресной строке.

1. Главная ссылка к новости
2. OpenNews: Обновления Firefox 150.0.1 и Chrome 147.0.7727.137 с устранением критических уязвимостей
3. OpenNews: В Firefox встроен движок блокирования рекламы adblock-rust, используемый в Brave
4. OpenNews: Уязвимость в API IndexedDB, позволяющая идентифицировать пользователей Firefox и Tor Browser
5. OpenNews: Релиз Firefox 150 с устранением 359 уязвимостей
6. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты

Для скрытия IP-адреса сервера, доступ к нему был организован через сеть доставки контента Cloudflare. В настоящий момент анонс Numbat уже удалён с канала, а при попытке открытия сайта ai-ubuntu.com компания Cloudflare выводит предупреждение о фишинге. При открытии сайта ai-ubuntu.com пользователям предлагалось привязать свой криптовлютый кошелёк к платформе, а также объявлялось о скором запуске своего криптовалютого токена и предоставлении возможности принять участие в его распределении среди пользователей.

1. Главная ссылка к новости
2. OpenNews: Сервисы Ubuntu и Canonical оказались недоступны из-за DDoS-атаки
3. OpenNews: В Ubuntu намечена интеграция AI
4. OpenNews: Релиз дистрибутива Ubuntu 26.04

Обновление Ubuntu Touch 24.04-1.3 в ближайшие дни будет сформировано для устройств Asus Zenfone Max Pro M1, F(x)tec Pro1 X, Fairphone 3/3+/4/5, Google Pixel 3a/3a XL, JingPad A1, Oneplus 5/5T/6/6T, OnePlus Nord N10 5G/N100, Sony Xperia X, Vollaphone X/22/X23, Xiaomi Poco X3 NFC / X3, Xiaomi Poco M2 Pro, Xiaomi Redmi Note 9 Pro/Pro Max/9S, Volla Phone Quintus, Volla Tablet, Lenovo Tab M10 HD 2nd Gen, Rabbit R1 и Xiaomi Redmi 9/9 Prime.

В выпуске Ubuntu Touch 24.04-1.3 в основном предложены исправления ошибок, приводивших к проблемам с запуском GTK4-программ, размещением окон X11-программ, воспроизведением голосовых сообщений, отправленных через MMS, масштабированием вывода некоторых Qt-приложений. Устранено проявляющееся на некоторых устройствах зависание при завершении работы. Добавлена поддержка запуска X11-программ вне окружения Lomiri. Улучшена работа с док-станциями, предоставляющими устройства ввода, такими как NexDock.

Дополнительно анонсировано начало разработки выпуска Ubuntu Touch 24.04-2.0. Наиболее заметным улучшением станет обновление web-браузера Morph Browser, который будет переведён с QtWebEngine 5.15.19 (QWE) на базе устаревшего движка Chromium 87, на современный стек Qt 6.x. Так как многие программы в Ubuntu Touch остаются на Qt 5 в выпуске Ubuntu Touch 24.04-2.0 будет поставляться одновременно Qt 5 и Qt 6, что приведёт к увеличению размера системного образа, который на некоторых поддерживаемых устройствах может не вместиться в зарезервированный для операционной системы раздел.

Отдельно можно отметить создание компанией Volla нового смартфона Volla Phone Plinius, который пришёл на смену модели Volla Phone X23 и поставляется в вариантах с Ubuntu Touch и Volla OS (сборка на основе открытой кодовой базы Android). Устройство оснащено защищённым от ударов пыле- и водо-непроницаемым корпусом. К смартфону можно подключить монитор, клавиатуру и мышь для его превращения в переносную рабочую станцию.

Начало массового производства намечено на начало июня. Стоимость модели с 8 ГБ ОЗУ и 128 ГБ хранилищем - €598, 12 ГБ ОЗУ и 256 ГБ хранилищем - €698. На момент поставки пользователь может выбрать версию с предустановленным Ubuntu Touch или Volla OS, но в разработке находится функция multi-boot в Volla OS, которая позволит установить Ubuntu Touch на карту памяти и загружать данную систему по желанию, не заменяя прошивку.

Характеристики Volla Phone Plinius:

• 6.67-дюймовый AMOLED-экран, 1080 x 2400, 120 Hz;
• 8-ядерный CPU MediaTek Dimensity 7300 (4x A78 + 4x A55) c NPU (Neural Processing Unit);
• 8 или 12 GB ОЗУ, 128 или 256 ГБ постоянного хранилища;
• Три задние камеры 64 MP, 8 MP со сверхширокоугольным объективом и 2 MP для макросъёмки;
• Селфи камера 32 MP;
• 1 Nano SIM + 1 eSIM;
• microSD;
• WiFi 6e (IEEE 802.11 a/b/g/n/ac/ax);
• Bluetooth 5.4;
• USB 2.0, USB-OTG;
• NFC;
• GNSS (Global Navigation Satellite System);
• Аккумулятор 5300 mAh.

1. Главная ссылка к новости
2. OpenNews: Релиз мобильной платформы Ubuntu Touch 24.04-1.2
3. OpenNews: Опубликована мобильная платформа Ubuntu Touch 24.04-1.0, переведённая на Ubuntu 24.04
4. OpenNews: Motorola и GrapheneOS объявили о сотрудничестве в области создания защищённых смартфонов
5. OpenNews: Проект postmarketOS представил Duranium, атомарно обновляемую редакцию для смартфонов
6. OpenNews: Выпуск Phosh 0.54.0, GNOME-окружения для смартфонов

Среди изменений:

• Добавлена поддержка устройств:
  • mediatek filogic: ASUS RT-AX52 PRO, D-Link AQUILA PRO AI E30, Huasifei WH3000 Pro, Keenetic KAP-630 / Netcraze NAP-630, Zbtlink ZBT-Z8106AX-T, Zyxel WX5600-T0.
  • ramips EDUP EP-RT2983, Cudy LT300 v3
  • x86: DFI ADN553, DFI ASL553
• Внесены исправления, связанные с работой платформ:
  • ath79 (Netgear WNDAP360, Extreme Networks WS-AP3805i, Mikrotik),
  • ipq50xx (Linksys MX5500),
  • lantiq (Netgear DGN3500),
  • mediatek (Bananapi BPI-R4, Keenetic KN-1812, Netgear EAX17, CMCC RAX3000M, Zbtlink ZBT-Z8103AX-D),
  • mvebu (ClearFog Base/Pro),
  • qualcommax (Xiaomi AX6000, Linksys MX5300),
  • ramips (Yuncore CPE200, Wavlink WL-WN575A3, Xiaomi Mi Router 4C).
• В uqmi / umbim добавлена опция "devpath" для выбора модема по пути к устройству USB.
• Для гостевых систем добавлены модули ядра kmod-vsock и kmod-vsock-virtio.
• Обновлены версии ядра Linux 6.12.85, mbedtls 3.6.6, OpenSSL 3.5.6, wireless-regdb 2026.03.18, wolfSSL 5.9.1 и xdp-tools 1.6.3.
• Устранены уязвимости в ядре Linux (CVE-2026-31431 - Copy Fail), mbedtls, OpenSSL и wolfSSL.

1. Главная ссылка к новости
2. OpenNews: 10-гигабитный маршрутизатор Turris Omnia NG Wired, использующий OpenWRT
3. OpenNews: Обновление OpenWrt 24.10.6 и 25.12.1
4. OpenNews: Релиз OpenWrt 25.12 с заменой пакетного менеджера и системой обновления прошивки
5. OpenNews: Опубликован инструментарий для запуска Debian на устройстве OpenWrt One
6. OpenNews: Представлен маршрутизатор Turris Omnia NG с прошивкой на базе OpenWRT

Dirty Frag охватывает две разные уязвимости: первая в модуле xfrm-ESP, используемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload), а вторая в драйвере RxRPC, реализующем семейство сокетов AF_RXRPC и одноимённый RPC-протокол, работающий поверх UDP. Каждая из уязвимостей по-отдельности позволяет добиться получения прав root. Уязвимость в xfrm-ESP проявляется в ядре Linux с января 2017 года, а уязвимость в RxRPC - с июня 2023 года. Обе проблемы вызваны оптимизациями, допускающими прямую запись в страничный кэш.

Для эксплуатации уязвимости в xfrm-ESP у пользователя должны быть права на создание пространств имён, а для эксплуатации уязвимости в RxRPC должна быть возможность загрузки модуля ядра rxrpc.ko. Например, в Ubuntu в правилах AppArmor непривилегированному пользователю запрещено создание пространств имён, но по умолчанию загружается модуль rxrpc.ko. В каких-то дистрибутивах отсутствует модуль rxrpc.ko, но не блокируется создание пространств имён. Выявивший проблему исследователь подготовил комбинированный эксплоит, способный атаковать систему через обе уязвимости, что позволяет эксплуатировать проблему во всех крупных дистрибутивах. Работа эксплоита подтверждена в Ubuntu 24.04.4 с ядром 6.17.0-23, RHEL 10.1 с ядром 6.12.0-124.49.1, openSUSE Tumbleweed с ядром 7.0.2-1, CentOS Stream 10 c ядром 6.12.0-224, AlmaLinux 10 с ядром 6.12.0-124.52.3 и Fedora 44 с ядром 6.19.14-300.

Как и в случае с уязвимостью Copy Fail, проблемы в xfrm-ESP и RxRPC вызваны выполнением расшифровки данных по месту c использованием функции splice(), передающей данные между файловыми дескрипторами и каналами (pipe) без копирования, путём передачи ссылок на элементы в страничном кэше. Смещения для операции записи рассчитывались без должных проверок, учитывающих использование прямой ссылки на элементы в страничном кэше, что позволяло через отправку специально оформленных запросов перезаписать 4 байта по выбранному смещению и изменить находящееся страничном кэше содержимое любого файла.

Все операции чтения из файлов в первую очередь отдают содержимое из страничного кэша. В случае модификации данных в страничном кэше операции чтения из файла приведут к возвращению не реально хранимой на накопителе информации, а подменённых данных. Эксплуатация уязвимости сводится к изменению страничного кэша для исполняемого файла с флагом suid root. Например, для получения прав root можно прочитать исполняемый файл /usr/bin/su для его помещения в страничный кэш, после чего добиться подстановки своего кода в загруженное в страничный кэш содержимого этого файла. Последующий запуск утилиты "su" приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Раскрытие информации об уязвимостях и скоординированный выпуск обновлений с устранением проблем было намечено на 12 мая, но из-за утечки информации сведения об уязвимости пришлось опубликовать до публикации исправлений. В конце апреля в публичном списке рассылки netdev были опубликованы патчи к rxrpc, ipsec и xfrm, без упоминания, что они связаны с устранением уязвимости. 5 мая мэйнтейнер подсистемы IPsec принял в git-репозиторий netdev изменение c предлагаемым исправлением в модуле xfrm-esp, описание к которому во многом повторяло описание проблемы, приведшей к уязвимости Copy Fail в модуле algif_aead. Один из исследователей безопасности заинтересовался этим исправлением, сумел создать рабочий эксплоит и опубликовал его, не зная о том, что на раскрытие сведений о проблеме до 12 мая введено эмбарго.

Обновления с исправлениями для ядра Linux и пакетов с ядром в дистрибутивах пока не опубликованы, но доступны устраняющие проблемы патчи - xfrm-esp и rxrpc. CVE-идентификаторы не присвоены, что усложняет отслеживание обновления пакетов в дистрибутивах. В качестве обходного пути защиты можно заблокировать загрузку модулей ядра esp4, esp6 и rxrpc:

   sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true"

1. Главная ссылка к новости
2. OpenNews: Уязвимость в ядре Linux, позволяющая исказить файлы, доступные только для чтения
3. OpenNews: Критическая уязвимость в ядре Linux, уже эксплуатируемая злоумышленниками
4. OpenNews: В ядре Linux выявлен новый вариант уязвимости Dirty COW
5. OpenNews: Атака по определению состояния памяти процессов при помощи страничного кэша
6. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов

В Mesa 26.1 доступна поддержка графического API Vulkan 1.4 в драйверах ANV для GPU Intel, RADV для GPU AMD, NVK для GPU NVIDIA, HoneyKrisp (hk) для GPU Apple, Turnip для GPU Qualcomm, PanVK для GPU ARM Mali, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). В драйверах v3dv (GPU Broadcom VideoCore для Raspberry Pi 4+) и dzn (реализация Vulkan поверх Direct3D 12) поддерживается Vulkan 1.0, в драйвере kk (KosmicKrisp, Vulkan поверх Metal) - Vulkan 1.1, а драйвере pvr (GPU Imagination PowerVR) - Vulkan 1.2.

В Mesa также обеспечивается полная поддержка OpenGL 4.6 для драйверов iris (GPU Intel Gen 8+), radeonsi (AMD), Crocus (старые GPU Intel Gen4-Gen7), AMD (r600), zink, llvmpipe, virgl (виртуальный GPU Virgil3D для QEMU/KVM), freedreno (Qualcomm Adreno), d3d12 (прослойка для организации работы OpenGL поверх DirectX 12) и asahi (GPU AGX, используемый в чипах Apple M1 и M2). Поддержка OpenGL 4.5 доступна для GPU NVIDIA (nvc0). Поддержка OpenGL 3.3 присутствует в драйверах softpipe (программный растеризатор) и nv50 (NVIDIA NV50). В драйверах panfrost (GPU ARM Mali) и v3d (GPU Broadcom VideoCore) поддерживается OpenGL 3.1.

Основные новшества:

• В драйверы для GPU Intel (Iris, Crocus и ANV) добавлена возможность напрямую работать с GPU из виртуальных машин, используя нативные контексты (native context) в VirtIO-GPU. Нативные контексты позволяют повысить производительность работы с виртуальным GPU (virtio-gpu-gl) из гостевой системы за счёт прямой передачи команд в реальный хостовый GPU.
• Для GPU PowerVR добавлена поддержка OpenGL ES 2.0, реализованная через драйвер Zink, позволяющий получить аппаратно ускоренный OpenGL на устройствах, поддерживающих API Vulkan.
• Для OpenCL-драйвера rusticl теперь требуется статически собранная библиотека C++ stdlib для корректной работы с приложениями, использующими собственные C++ stdlib.
• В драйвер radeonsi (AMD) добавлена поддержка OpenGL-расширения GL_NV_timeline_semaphore.
• В драйвер panfrost (ARM Mali) добавлена поддержка OpenGL-расширения GL_EXT_shader_image_load_store.
• В драйвер v3d (Broadcom VideoCore) добавлена поддержка OpenGL-расширения GL_ARB_sample_shading.
• Добавлена поддержка Vulkan-расширений:
  • VK_ARM_scheduling_controls для panvk
  • VK_EXT_acquire_drm_display для panvk
  • VK_EXT_astc_decode_mode для panvk
  • VK_EXT_attachment_feedback_loop_dynamic_state для panvk
  • VK_EXT_attachment_feedback_loop_layout для panvk
  • VK_EXT_blend_operation_advanced для lavapipe
  • VK_EXT_color_write_enable для panvk
  • VK_EXT_conditional_rendering для panvk
  • VK_EXT_depth_clamp_control для panvk
  • VK_EXT_descriptor_heap для RADV (при выставлении 'export RADV_EXPERIMENTAL=heap')
  • VK_EXT_hdr_metadata для v3dv
  • VK_EXT_image_drm_format_modifier для pvr
  • VK_EXT_image_view_min_lod для panvk
  • VK_EXT_legacy_dithering для panvk
  • VK_EXT_map_memory_placed для panvk
  • VK_EXT_nested_command_buffer для panvk
  • VK_EXT_non_seamless_cube_map для pvr
  • VK_EXT_present_timing для RADV, NVK, Turnip, ANV, Honeykrisp, panvk
  • VK_EXT_primitive_restart_index для RADV
  • VK_EXT_rgba10x6_formats для panvk
  • VK_EXT_shader_atomic_float для panvk
  • VK_EXT_shader_stencil_export для panvk
  • VK_EXT_zero_initialize_device_memory для panvk
  • VK_KHR_copy_memory_indirect для nvk, RADV/GFX8+
  • VK_KHR_device_address_commands для RADV
  • VK_{KHR,EXT}_{surface,swapchain}_maintenance1 для panvk
  • VK_KHR_get_display_properties2 для panvk
  • VK_KHR_get_surface_capabilities2 для panvk
  • VK_KHR_internally_synchronized_queues для RADV
  • VK_KHR_maintenance4 для pvr
  • VK_KHR_pipeline_executable_properties для pvr
  • VK_KHR_present_id для panvk, v3dv
  • VK_KHR_present_wait для panvk, v3dv
  • VK_KHR_sampler_ycbcr_conversion для pvr
  • VK_KHR_shader_integer_dot_product для pvr
  • VK_KHR_shader_untyped_pointers для panvk
  • VK_KHR_swapchain_mutable_format для panvk
  • VK_QCOM_image_processing для Turnip
  • VK_VALVE_mutable_descriptor_type для panvk
  • VK_VALVE_shader_mixed_float_dot_product для RADV (Vega20, Navi14, RDNA2+)
• Реализованы OpenCL-расширения:
  • cl_khr_subgroup_ballot для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_clustered_reduce для asahi, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_extended_types для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_non_uniform_arithmetic для asahi, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_non_uniform_vote для asahi, iris, llvmpipe, radeonsi и zink
  • cl_khr_subgroup_rotate для asahi, llvmpipe и zink
• Драйвер VirGL с реализацией виртуального GPU для QEMU остался без сопровождения и будет удалён, если не найдётся желающий взять его сопровождение в свои руки.

1. Главная ссылка к новости
2. OpenNews: Релиз Mesa 26.0, свободной реализации OpenGL и Vulkan
3. OpenNews: Для Mesa предложен драйвер cluda, позволяющий реализовать OpenCL поверх NVIDIA CUDA
4. OpenNews: AMD прекратил разработку Vulkan-драйвера AMDVLK в пользу драйвера RADV из Mesa
5. OpenNews: Из Mesa удалена поддержка API видеоускорения VDPAU в пользу VA-API
6. OpenNews: В Mesa-драйверы radv и anv добавлена поддержка расширения Vulkan для декодирования видео VP9

Дополнительно можно отметить отчёт с анализом предпочтений пользователей сервиса доставки игр Steam за апрель. Доля активных пользователей Steam, использующих платформу Linux, в апреле составила 4.52%. Для сравнения в марте этот показатель был 5.33%, в феврале - 2.23%, в январе - 3.38%, в декабре 2025 года - 3.58%, в апреле 2025 года - 2.27%, в апреле 2024 года - 1.9%

Наибольшую долю среди Linux систем занимает платформа SteamOS Holo, основанная на Arch Linux - 23.05% (в марте - 24.48%). Доля Linux Mint составляет 8.98% (8.8%), Arch Linux - 8.78% (8.78%), CachyOS - 8.37%, Ubuntu - 7.47% (5.25%), Bazzite - 4.74%, Fedora - 3.15%, Manjaro - 1.42% (1.45%), Debian 1.40%.

1. Главная ссылка к новости
2. OpenNews: Доля пользователей Linux в Steam по статистике Valve превысила 5%
3. OpenNews: Компания Valve представила приставку Steam Machine и VR-шлем Steam Frame, поставляемые с Linux
4. OpenNews: Valve опубликовала сетевую библиотеку GameNetworkingSockets 1.5.0
5. OpenNews: Компания Valve опубликовала дистрибутив для игровых консолей SteamOS 3.7
6. OpenNews: Выпуск Bazzite 44, дистрибутива для любителей компьютерных игр

Напомним, что разработчики проекта UBports развивают пользовательскую оболочку Lomiri (последнее обновление в 2025 году), ответвившуюся от Unity 8, а дистрибутив Ubuntu Unity взял в свои руки разработку кодовой базы Unity 7 (последнее обновление в 2022 году). Ветка Unity 7 построена с использованием GTK и технологий GNOME. В Ubuntu 16.10 в дополнение к Unity 7 в состав была включена оболочка Unity 8, переведённая на библиотеку Qt5 и дисплейный сервер Mir. Изначально компания Canonical планировала заменить оболочку Unity 7 на Unity 8, но планы изменились и в Ubuntu 17.10 был осуществлён возврат на штатный GNOME с панелью Ubuntu Dock, а развитие Unity 8 было прекращено.

1. Главная ссылка к новости
2. OpenNews: Ubuntu Unity остался без разработчиков и новых релизов
3. OpenNews: Пользовательская оболочка Lomiri (Unity8) принята в Debian
4. OpenNews: Стабильный выпуск пользовательской оболочки Unity 7.6
5. OpenNews: Выпуск библиотеки Libadwaita 1.8 для создания интерфейсов в стиле GNOME
6. OpenNews: Выпуск композитных серверов Wayfire 0.10 и wlmaker 0.6, использующих Wayland

Основные изменения в Chrome 148 (1, 2, 3, 4):

• Продолжено развитие AI-режима, позволяющего взаимодействовать с AI-агентом из адресной строки или со страницы, показываемой при открытии новой вкладки. AI-режим даёт возможность задавать сложные вопросы на естественном языке и получать ответы на основе агрегирования информации из наиболее релевантных страниц на заданную тему. При необходимости пользователь может уточнять информацию наводящими вопросами. Режим также позволяет задавать вопросы о содержимом страницы прямо из адресной строки. В Chrome 148 реализована поддержка применения AI-режима для автозаполнения номеров кредитных карт и адресов (после разрешения пользователя). Возможность использования встроенного чат-бота Gemini расширена на 49 стран из Азиатско-Тихоокеанского региона. Отключить загрузку и запуск AI-моделей на локальной системе пользователя можно через настройки "Система > ИИ на устройстве".
• Добавлена возможность автозаполнения в web-формах номеров водительских удостоверений, паспортов, национальных идентификационных карт, KTN-номеров (Known Traveler Number) и RCN-номеров (Redress Control Number), сохранённых в Google Wallet.
• Изменено визуальное оформление интерфейса для создания профилей (функциональность осталась прежней).
• Для ChromeOS реализован режим вертикального отображения вкладок, заменяющий верхнюю горизонтальную панель с кнопками вкладок на боковую панель с вертикальными вкладками. В прошлом выпуске данный режим был предложен для платформ Linux, macOS и Windows.
• В версии для Android реализована функция "Enhanced autofill", использующая AI-модель для понимания web-форм и автоматического заполнения полей, отталкиваясь от того, как ранее пользователь заполнял похожие формы.
• В версии для Android появился режим возвращения сайтам приблизительного, а не точного местоположения.
• Добавлены оптимизации, расширяющие применение протокола HTTP/3. Улучшено определение поддержки HTTP/3 на сайтах.
• Реализован API Prompt, предоставляющий вызовы для взаимодействия с большими языковыми моделями, позволяющие использовать в запросах текст, изображения и звуковой ввод. Результат возвращается в удобном для разбора структурированном виде. Среди примеров использования упоминаются генерация описания изображений, визуальный поиск, транскрибирование речи, классификация звуков, генерация текста по заданной инструкции и извлечение информации из текста. API реализован с использованием локальной выполняемой большой языковой модели Gemini Nano (модель занимает 4 ГБ, загружается автоматически и устанавливается в виде файла weights.bin в подкаталог OptGuideOnDeviceModel).
• В SharedWorker добавлена опция "extendedLifetime: true" для сохранения активности обработчика после отключения всех клиентов, что позволяет выполнять асинхронные работы после выгрузки страницы (unload) без необходимости использования Service Worker-ов.
• CSS-запросы "@container" теперь могут вызываться с использованием только имени контейнера (container-name) без указания типа (container-type).

  
     #container {
       container-name: --foo;
     }
     @container --foo {
       input { background-color: green; }
     }
  

• В CSS добавлено ключевое слово "revert-rule", позволяющее отменить текущее CSS-правило и применить предыдущее правило.

  
     div {
       display: if(style(--layout: fancy): grid; else: revert-rule);
     }
  

• Для CSS-свойства "text-decoration-skip-ink" реализована поддержка значения "all", которое предписывает обязательный разрыв линии подчёркивания и зачёркивания при пересечении с текстовыми глифами.
• В версии для Android добавлена возможность использования API Web Serial для подключения к устройствам с последовательным портом, включая последовательные порты поверх USB или Bluetooth.
• В элементах <video> и <audio> появилась возможность указания атрибута "loading=lazy" для загрузки видео и звука только после попадания этих элементов в видимую область во время прокрутки страницы.
• Добавлена поддержка второй версии расширения формата Open Font "avar" (Axis Variation table), которое позволяет шрифту изменять привязки между нормализованными и осевыми значениями.
• Внесены улучшения в инструменты для web-разработчиков.

Кроме нововведений и исправления ошибок в новой версии устранено 127 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Трём проблемам (целочисленное переполнение в Blink, обращение к уже освобождённой памяти в Chromoting и Mobile) присвоен критический уровень опасности, подразумевающий, что уязвимости позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 26 премий и выплатила 138 тысяч долларов США (по одной премии в $55000, $43000 и $8000, две премии $16000). Размер 21 вознаграждения пока не определён.

1. Главная ссылка к новости
2. OpenNews: Релиз Chrome 147 с поддержкой вертикальных вкладок и переделанным режимом чтения
3. OpenNews: 5 критических уязвимостей в Chrome. Оценка работающих в Chrome методов скрытой идентификации
4. OpenNews: Chrome переходит на двухнедельный цикл подготовки релизов
5. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года
6. OpenNews: В Chromium решено удалить поддержку XSLT и прекратить использование libxslt и libxml2

Incus 7.0 LTS будет поддерживаться до июня 2031 года. Первые два года планируется выпуск корректирующих обновлений с исправлением ошибок и мелкими улучшениями, после чего проект перейдёт на стадию сопровождения c исправлением только критических уязвимостей. Текущая ветка Incus 6.0 LTS переведена в режим поддержки, при котором публикуются только исправления, связанные с безопасностью.

Основные изменения и новшества:

• Обработчик объектного хранилища S3 на базе Minio заменён на собственную встроенную реализацию.
• Добавлена опция "core.shutdown_action" для определения действий при выключении сервера.
• Реализован низкоуровневый API для создания резервных копий.
• Добавлена настройка "restricted.storage-pools.access", через которую можно ограничить пулы хранения, доступные для проекта.
• Добавлены скриптлеты для управления размещением инстансов при перебалансировке кластера.
• Поведение команд "incus file push" и "incus file pull" приближено к утилите "cp".
• Исправлено 9 уязвимостей, среди которых 7 имеют умеренную степень опасности (включая CVE-2026-35527 и CVE-2026-40195) и 2 - низкую.
• Прекращена поддержка cgroupv1 и iptables/ip6tables/ebtables (рекомендуется переход на nftables).
• Повышены минимальные системные требования к окружению.
• Среди улучшений, относительно LTS-ветки Incus 6.0: полноценная поддержка контейнеров в формате OCI, реализация зависимых томов хранения, поддержка наборов сетевых адресов (Network address sets), новые драйверы для хранилищ Linstor и TrueNAS, возможность определения базового уровня CPU для групп кластера.

1. Главная ссылка к новости
2. OpenNews: Проект Linux Containers представил атомарно обновляемый дистрибутив IncusOS
3. OpenNews: Выпуск инструментариев для управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1
4. OpenNews: Выпуск системы управления контейнерами Incus 0.3
5. OpenNews: Выпуск инструментариев для управления контейнерами LXC 7.0 и LXD 6.8

В ходе первой атаки, проведённой 2 апреля, четыре попытки доставки вредоносного кода были блокированы внутренними системами обеспечения безопасности, но одна оказалась успешной. Проблема была выявлена и блокирована 3 апреля. После получения жалоб от сторонних исследователей безопасности о выявлении вредоносных приложений, заверенного сертификатами Digicert, 14 апреля был инициирован повторный разбор, показавший, что 4 апреля была скомпрометирована ещё одна рабочая станция аналитика, которая была установлена три года назад и не содержала ПО CrowdStrike, применяемое в Digicert для выявления и блокирования атак.

Добившись выполнения своего кода на внутренней системе атакующий получил доступ к порталу службы поддержки, на котором можно было просматривать заказы клиентов. Воспользовавшись данной возможностью атакующий узнал коды инициализации заявок на получение сертификатов "EV Code Signing", подтверждённых, но ещё не выданных клиентам. Данные коды были использованы для получения сертификатов от имени клиентов.

По результатам разбора инцидента было отозвано 60 сертификатов, из которых для 27 удалось отследить прямую связь с атакующим, а 33 отозваны превентивно, так как для них не удалось подтвердить получение клиентом. Часть сертификатов атакующие успели применить для заверения цифровой подписью вредоносного ПО семейства "Zhong Stealer".

1. Главная ссылка к новости
2. OpenNews: Digicert отзывает 50 тысяч TLS-сертификатов с расширенной верификацией
3. OpenNews: Mozilla, Cloudflare и Facebook представили TLS-расширение для делегирования короткоживущих сертификатов
4. OpenNews: В Chrome планируют включить механизм Signed HTTP Exchanges (SXG)
5. OpenNews: Разработчики Mozilla отложили прекращение доверия к сертификатам Symantec
6. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert

Портирование ещё не завершено, и на текущем этапе весь интерес к проекту сосредоточен на том, чтобы оценить насколько работоспособным получится порт, будет ли он проходить набор тестов основного проекта и сложно ли будет сопровождать новый код. В конечном счёте планируется провести сравнительное тестирование вариантов Bun на Zig и Rust.

В декабре прошлого года проект Bun поглотила компания Anthropic, поэтому у Джарреда есть ресурсы для вовлечения в портирование передовых AI-моделей Claude. Платформа Bun применяется в продуктах Claude Code и Claude Agent SDK, и компания Anthropic заинтересована в повышении её качества и развитии. Bun является одним из самых успешных проектов на языке Zig, при этом у разработчиков Zig и Bun расходятся мнения в отношении применения AI в процессе разработки. В проекте Zig утверждён жёсткий запрет применения больших языковых моделей при подготовке pull-запросов, issue и комментариев (запрещён даже перевод через AI неанглоязычных комментариев).

Введение подобных ограничений объясняется разработчиками Zig негативным опытом в рецензировании созданных через AI pull-запросов, которые отнимают ресурсы и время (например, отмечаются бессмысленные изменения, AI-галлюцинации и раздутые коммиты в 10 тысяч строк). Кроме того, проект Zig позиционирует себя как ориентированный на участников, а не вносимый ими вклад в разработку - главной целью принятия pull-запросов называется не добавление нового кода, а помощь в развитии новых участников.

Автор Bun не согласен с запретом AI в Zig и полагает, что AI-слоп останется ностальгическим пережитком 2025 и 2026 годов, а разработка открытого ПО эволюционирует до запрета приёма кода от людей. Люди будут обсуждать проблемы, ставить задачи и расставлять приоритеты, а написание кода и отправка изменений в репозитории станет уделом AI. В качестве причины экспериментов с переписыванием на Rust также отмечается желание устранить проблемы в Bun, вызванные утечками памяти, и неприемлемая для крупных проектов политика Zig в отношении принятия в язык изменений, нарушающих совместимость.

Из-за запрета применения AI разработчики Bun вынуждены поддерживать собственный форк инструментария Zig, в котором благодаря применению AI удалось в 4 раза ускорить компиляцию за счёт распараллеливания семантического анализа и генерации кода. При этом судя по комментарию одного из разработчиков Zig причина отклонения патчей не в AI, а в том, что распараллеливание семантического анализа затрагивает не только компилятор, но и сам язык - чтобы реализовать предложенную функциональность без ошибок и несовместимостей, требуется внесение изменений в язык Zig. Вместо распараллеливания, разработчики Zig развивают инкрементальную компиляцию, которая по их предположению позволит на порядок повысить скорость компиляции.

JavaScript-платформа Bun развивается как высокопроизводительный аналог платформ Node.js и Deno. Проект разрабатывается с оглядкой на обеспечение совместимости с серверными приложениями для Node.js и поддерживает большую часть API Node.js. В состав платформы входит набор инструментов для создания и выполнения приложений на языках JavaScript и TypeScript, а также runtime для выполнения JavaScript-приложений без браузера, пакетный менеджер (совместимый с NPM), инструментарий для выполнения тестов, система сборки самодостаточных пакетов и прослойка для встраивания обработчиков, написанных на языке Си. По производительности Bun заметно обгоняет Deno и Node.js (в тестах на базе фреймворка React платформа Bun в 2 раза опережает Deno и почти в 5 раз Node.js). Для выполнения JavaScript задействован JavaScript-движок JavaScriptCore и компоненты проекта WebKit с дополнительными патчами.

1. Главная ссылка к новости
2. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js
3. OpenNews: JavaScript-платформа Bun перешла в руки компании Anthropic
4. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
5. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов
6. OpenNews: В JavaScript-платформе Bun добавлена поддержка вызова кода на языке Си

Проблема затронула многие DNS-резолверы провайдеров и публичные DNS-сервисы, такие как 1.1.1.1 и 8.8.8.8. В качестве временной меры компания Cloudflare в своём DNS-сервисе 1.1.1.1 отключила проверку подлинности через DNSSEC для доменов в зоне "DE". Пользователи DNS-резолверов, на которых DNSSEC отключён, не пострадали.

Официально причины инцидента пока не объявлены. Предполагается, что проблема возникла из-за ошибки при обновлении цифровой подписи для зоны "DE", произведённом 5 мая в 20:49 (MSK). Применяемый для верификации домена первого уровня ключ является корнем доверия для остальных ключей, используемых в доменах второго уровня, и, в свою очередь, использует ключ домена "." в качестве вышестоящего для подтверждения своего доверия.

В результате проведённой в доменной зоне "DE" операции криптографическая подпись (RRSIG - Resource Record Signature) для DNS-записи NSEC3 оказалась некорректной. Запись NSEC3 применяется для подтверждения подлинности DNS-ответов об отсутствии домена, чтобы исключить атаки по подстановке ответов NXDOMAIN для существующих доменов. В случае проблем с цифровой подписью для записи NSEC3 DNS-сервер не может удостовериться в подлинности хэшей с данными о существовании доменов и, соответственно, не может произвести проверку, считает ответ поддельным и на запросы о любом домене выдаёт ошибку.

1. Главная ссылка к новости
2. OpenNews: Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC
3. OpenNews: Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC
4. OpenNews: Ошибка при обновлении ключей DNSSEC привела к нарушению работы доменной зоны NZ
5. OpenNews: ICANN призывает к повсеместному внедрению DNSSEC
6. OpenNews: Попытка получения TLS-сертификатов для чужих доменов mobi, используя просроченный домен с WHOIS-сервисом

MyLibrary каталогизирует файлы книг в формате fb2, epub, pdf, djvu, odt, txt, md, как доступные напрямую, так и упакованные в архивы (zip, 7z, jar, cpio, iso, tar, tar.gz, tar.bz2, tar.xz, rar), и создаёт собственную базу данных, не изменяя исходные файлы и не меняя их положения. Для каталогизации также доступен формат fbd (файл книги, упакованный в архив вместе с файлом с расширением fbd, содержащем тег description формата fb2). В формате fbd могут храниться любые файлы, не только книги. Контроль целостности коллекции и её изменений осуществляется за счёт создания базы данных хэш-сумм файлов и архивов.

Реализован поиск книг по различным критериям (фамилия, имя, отчество автора, название книги, серия, жанр) и их чтение через программу, по умолчанию установленную в системе для открытия соответствующих форматов файлов. При выборе книги отображаются аннотация и обложка книги, если таковые доступны. Поддерживается отображение списка файлов, входящих в коллекцию; списка книг, входящих в конкретный файл; списка авторов коллекции; списка книг, для которых пользователь создал заметки.

Возможны различные операции с коллекцией: обновление (осуществляется проверка всей коллекции и сверка хеш-сумм доступных файлов), быстрое обновление (сличаются размеры файлов), экспорт и импорт базы данных коллекции, добавление книг в коллекцию и удаление книг из коллекции, добавление в коллекцию папок с книгами, добавление в коллекцию архивов с книгами, копирование книг коллекции в произвольную папку. Доступно ручное редактирование записей о книгах в базе данных. Создан механизм закладок для быстрого доступа к книгам. Есть возможность создавать пользовательские заметки к книгам. Доступен интерфейс для создания и подключения плагинов.

MyLibrary может работать с коллекциями, находящимися на внешнем сервере (соответствующие папки и файлы должны быть доступны по протоколу SMB и смонтированы на локальном компьютере с помощью gvfs, kio-fuse или их аналогов).

Значимые изменения:

• Проект переведён на использование нового типа базы данных (коллекции, закладки, заметки).
• Добавлен слой совместимости со старыми базами данных: коллекции, созданные в предыдущих версиях программы, загружаются и работают в режиме ограниченной функциональности (отключены функции редактирования базы данных и некоторые другие), закладки и заметки - без каких либо ограничений (старые базы будут автоматически преобразованы в новые при изменении заметок или закладок).
• Графический интерфейс переведён на использование Qt6.
• Изменено поведение функции создания коллекций - теперь в коллекцию можно добавлять произвольный набор папок и поддерживаемых файлов.
• Добавлена функция создания коллекций из inpx файлов. Содержимое inpx файлов будет загружаться "на лету" при переключении на соответствующую коллекцию. Inpx коллекции работают в режиме ограниченной функциональности (отключены функции редактирования базы данных и некоторые другие).
• Изменено поведение функции обновления коллекций. При попытке обновления устаревших и inpx коллекций они будут преобразованы в нативные. При обновлении нативных коллекций - в случае быстрого обновления - проверяются наличие и размеры файлов, если размер файла изменился - будет выполнен его повторный разбор. При обычном обновлении вместо размеров проверяются хеш-суммы файлов.
• Изменено поведение функции добавления книг в существующую коллекцию. Новые книги теперь добавляются в базу данных без перемещения соответствующих файлов.
• Улучшена работа поисковых алгоритмов.
• Ускорена работа функции отображения авторов коллекции.
• Переработан API библиотеки MLBookProc и библиотеки для подключения плагинов.
• Улучшена работа библиотеки разбора xml файлов, добавлена начальная поддержка формата html.
• Отключена возможность создания документации внутренних библиотек в формате pdf. Вместо неё добавлена документация в виде man страниц. Документация в формате html - без изменений.
• Для сборки теперь требуется поддержка компилятором стандарта C++20.
• В разряд обязательных переведена поддержка компилятором стандарта OpenMP.
• Изменены сценарии сборки и сборочные опции.
• Другие небольшие изменения и улучшения.

Дополнительно можно отметить обновление плагина MLFBDPlugin (доступен под лицензией GPLv3 на altlinux.space и GitHub, для пользователей Arch Linux доступен в AUR), предназначенного для создания файлов в формате fbd. В новой версии плагин переведён на использование Qt6.

Также можно отметить первый выпуск плагина MLArchiverPlugin. Плагин предназначен для создания и редактирования архивов и доступен (altlinux.space, GitHub, AUR) под лицензией GPLv3.

Репозитории плагина MLInpxPlugin переведены в архивный режим - функциональность плагина включена в состав основной программы.

1. Главная ссылка к новости
2. OpenNews: Релиз программы для шифрования текста и файлов Stirlitz
3. OpenNews: Выпуск каталогизатора домашней библиотеки MyLibrary 4.3
4. OpenNews: Выпуск p2p-мессенджера Communist 2.0 и библиотеки libcommunist 1.0

Основные улучшения:

• Включён по умолчанию API Temporal, предлагающий альтернативный набор методов для работы с датами и временем. API позволяет манипулировать датами с учётом и без учёта часовых поясов, конвертировать время, форматировать вывод и выполнять арифметические операции со временем. Время может задаваться в независимом от часового пояса представлении (Temporal.PlainDate, Temporal.PlainTime, Temporal.PlainDateTime), с привязкой к часовому поясу (Temporal.ZonedDateTime) и в эпохальном представлении (Temporal.Instant - число наносекунд с 1 января 1970 года).
• Движок V8 обновлён до версии 14.6, применяемой в Chromium 146. Из улучшений по сравнению с прошлым выпуском Node.js отмечена возможность объединять несколько итераторов в один с помощью метода Iterator.concat(), а также реализация спецификации "upsert" для упрощения работы с коллекциями пар ключ/значение в JavaScript-объектах Map и WeakMap.
• HTTP-клиент undici обновлён до ветки 8.x.
• Удалён метод http.Server.prototype.writeHeader(), вместо которого следует использовать http.Server.prototype.writeHead().

Платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей, в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.

Для обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv, которая является надстройкой над libev в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio, для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares. Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe).

Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8. По своей сути Node.js похож на фреймворки Perl AnyEvent, Ruby Event Machine, Python asyncio и реализацию событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере.

1. Главная ссылка к новости
2. OpenNews: Опубликована платформа Node.js 25.0.0
3. OpenNews: Автор Node.js добивается отмены торговой марки JavaScript
4. OpenNews: Опубликована платформа Node.js 24.0.0
5. OpenNews: Доступна платформа Deno 2.0, развиваемая автором Node.js
6. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js