Компания Google анонсировала включение в выпуске Chrome 154, намеченном на октябрь 2026 года, автоматического перенаправления HTTP-запросов на HTTPS. Для сайтов, не поддерживающих HTTPS, перед первым открытием по HTTP будет выводиться диалог для подтверждения операции. В настоящее время подобное поведение является опциональным и для включения требует выставления настройки "Always Use Secure Connections".
Изначально режим постоянного использования HTTPS
планировалось активировать по умолчанию ещё в 2023 году, но включение для всех пользователей было отложено и ограничено активацией в режиме "инкогнито" и точечными экспериментами. По статистики Google наиболее активный рост внедрений HTTPS пришёлся на 2015-2020 годы, после чего уровень поддержки HTTPS достиг 95-99% и удерживается на этом уровне.
Стопроцентный охват HTTPS пока недостижим, так как поддержка HTTP остаётся востребованной для доступа к внутренним сайтам, размещаемым в локальных сетях предприятий. Для подобных сайтов, использующих интранет-адреса типа 192.168.x.x и 10.x.x.x, проблематично получить заверенный удостоверяющим центром TLS-сертификат, поэтому для работы с ними продолжает использоваться HTTP или самоподписанные сертификаты. Если отбросить подобные ресурсы и рассматривать только публично доступные сайты, то доля внедрения HTTPS возрастает с 84% до 97% для установок на платформе Linux, с 95% до 98% на Windows и достигает 99% на Android и macOS.
Для того, чтобы не раздражать пользователей внутренних сайтов лишними подтверждениями операций режим постоянного использования HTTPS в Chrome 154 по умолчанию будет применяться только для публично доступных сайтов, но данное поведение можно изменить в настройках.
До включения для всех пользователей будет проведено пробное внедрение - в выпуске Chrome 147, намеченном на апрель 2026 года, опция постоянного использования HTTPS будет активирована по умолчанию для более миллиарда пользователей, включивших в настройках режим расширенной защиты (Enhanced Safe Browsing).
Опубликован релиз языка программирования Rust 1.91, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки).
Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.
Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.
Улучшена поддержка 64-разрядных ARM-систем с ОС Windows. Целевая платформа "aarch64-pc-windows-msvc" переведена со второго на первый уровень поддержки. Обеспечен второй уровень поддержки для архитектур aarch64-pc-windows-gnullvm и x86_64-pc-windows-gnullvm. Первый уровень поддержки подразумевает формирование бинарных сборок, проведение досконального тестирования и предоставление наивысшей гарантии поддержки платформы - каждое изменение в компиляторе проверяется выполнением полного тестового набора. Второй уровень поддержки включает формирование бинарных сборок и гарантию сборки, но не гарантирует прохождение тестового набора. Третий уровень охватывает базовую поддержку, но без автоматизированного тестирования, публикации официальных сборок и проверки возможности сборки кода.
Добавлено lint-предупреждение "dangling_pointers_from_locals" для выявления возвращения функциями висячих raw-указателей (dangling raw pointer), указывающих на данные, хранящиеся в локальных переменных, определённых в вызванной функции. Подобные переменные удаляются после завершения функции, а raw-указатели на связанные с этими переменными данные, становятся висячими, т.е. указывающими на освобождённую память. Последующее разыменование подобного указателя приводит к неопределённому поведению.
fn f() -> *const u8 {
let x = 0;
&x // warning: a dangling pointer will be produced because the local variable "x" will be dropped
}
Добавлено lint-предупреждение "integer_to_ptr_transmutes", информирующее о преобразовании целых чисел в указатели с помощью функции std::mem::transmute.
В пакетном менеджере Cargo стабилизирована поддержка параметра "build.build-dir", определяющего каталог для хранения временных сборочных артефактов, создаваемых cargo и rustc на этапе сборки.
Для ABI sysv64, win64, efiapi и aapcs стабилизирована поддержка объявления функций с переменным числом аргументов в стиле Си.
Стабилизирована поддержка inline-ассемблера для архитектуры LoongArch32.
В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
Представлен выпуск проекта Sculpt 25.10, развивающего операционную систему на базе технологий Genode OS Framework, которая сможет быть использована обычными пользователями для выполнения повседневных задач. Исходные тексты проекта распространяются под лицензией AGPLv3. Для загрузки предлагается системный образ, размером 35 МБ, который можно использовать на ПК, смартфоне PinePhone и ноутбуке MNT Reform. Поддерживается работа на системах с процессорами и графической подсистемой Intel с включёнными расширениями VT-d и VT-x, а также на системах ARM с расширениями VMM.
Реализован новый планировщик задач, нацеленный на минимизацию задержек и справедливое распределение ресурсов. Задействование нового планировщика привело к повышению производительности и отзывчивости интерфейса на маломощных платформах, таких как смартфон PinePhone.
Оптимизирована работа стека для работы с блочными устройствами и механизма установки пакетов.
Перенесённые из ядра Linux драйверы USB-контроллеров, Wi-Fi, Ethernet-адаптеров и GPU Intel синхронизированы с ядром 6.12 (ранее использоваться драйверы из ядра 6.6).
Предложен новый формат для конфигурации и отчётов, имеющий читаемый синтаксис и удобный для редактирования и анализа пользователем. Старый формат на основе XML пока продолжает использоваться по умолчанию, а новый доступен в качестве опции (в следующей версии его намерены включить по умолчанию). В механизме обновления системы реализована возможность переключения между старым и новым вариантами конфигурации.
Улучшена поддержка микроядра seL4 и устранены проблемы с его использованием с динамически загружаемыми драйверами Genode.
В реализации базового API вместо использования механизма исключений C++ задействована явная обработка ошибок с кодированием ошибок в Σ-типах (sum type). Также добавлены изменения для предотвращения случайной утечки указателей и явного определения владения объектами и времени жизни объектов.
Обновлены GCC 14.2 и binutils 2.44.
Реализована возможность запуска Goa SDK (инструментарий для разработки приложений для Genode) в sandbox-окружении.
Унифицирована интеграция поддерживаемых сетевых стеков - lwIP и TCP/IP стека из ядра Linux.
Улучшены графические драйверы для GPU Intel и VESA.
Система поставляется с графическим интерфейсом Leitzentrale, позволяющим выполнять типовые задачи по администрированию системы. В левом верхнем углу графического интерфейса отображается меню с инструментами для управления пользователями, подключения накопителей и настройки сетевого соединения. В центре присутствует конфигуратор для определения начинки системы в виде графа, показывающего взаимосвязь между системными компонентами. В интерактивном режиме можно удалять или добавлять компоненты, формируя состав системного окружения или виртуальных машин.
При желании пользователь может переключиться в консольный режим управления, предоставляющий большую гибкость в управлении. Традиционный рабочий стол может быть получен через запуск дистрибутива TinyCore Linux в виртуальной машине с Linux. В данном окружении доступны браузеры Firefox и Aurora, текстовый редактор на базе Qt и различные приложения. Для запуска утилит командной строки предлагается окружение "Noux".
Фреймворк Genode предоставляет унифицированную инфраструктуру для создания пользовательских приложений, работающих поверх ядра Linux (32 и 64 бит) или микроядер NOVA (x86 с виртуализацией), seL4 (x86_32, x86_64, ARM), Muen (x86_64), Fiasco.OC (x86_32, x86_64, ARM), L4ka::Pistachio (IA32, PowerPC), OKL4, L4/Fiasco (IA32, AMD64, ARM). В состав входит паравиртуализированное Linux-ядро L4Linux, работающее поверх микроядра Fiasco.OC, позволяющее выполнять в окружении Genode обычные Linux-программы. Ядро L4Linux не работает с оборудованием напрямую, а использует сервисы Genode через набор виртуальных драйверов.
Для Genode портированы различные компоненты Linux и BSD, обеспечена поддержка Gallium3D, выполнена интеграция Qt, GCC и WebKit, реализована возможность создания гибридных Linux/Genode программных окружений. Имеется порт VirtualBox, работающий поверх микроядра NOVA. Многие приложения адаптированы для запуска напрямую поверх микроядра и окружения Noux, обеспечивающего виртуализацию на уровне ОС. Для запуска не портированных программ предлагается система виртуальных окружений, работающая на уровне отдельных приложений и позволяющая запускать программы в виртуальном Linux-окружении с использованием паравиртуализации.
Компания Google опубликовала релиз web-браузера Chrome 142. Одновременно доступен стабильный выпуск свободного проекта Chromium, выступающего основой Chrome. Браузер Chrome отличается от Chromium использованием логотипов Google, наличием системы отправки уведомлений в случае краха, модулями для воспроизведения защищённого от копирования видеоконтента (DRM), системой автоматической установки обновлений, постоянным включением Sandbox-изоляции, поставкой ключей к Google API и передачей RLZ-параметров при поиске. Для тех, кому необходимо больше времени на обновление, отдельно поддерживается ветка Extended Stable, сопровождаемая 8 недель. Следующий выпуск Chrome 143 запланирован на 2 декабря.
Включена защита от обращения к локальной системе при взаимодействии с публичными сайтами. При обращениях с сайта в публичной или внутренней сети (интранет) к IP-адресам локальной системы или loopback-интерфейсу (127.0.0.0/8) браузер будет выводить пользователю диалог с запросом подтверждения операции. Под действия защиты попадают попытки загрузки ресурсов, запросы fetch() и iframe-вставки. Защита пока не применяется для соединений через WebSockets, WebTransport и WebRTC, но будет добавлена для данных технологий позднее.
Обращение к внутренним ресурсам используются злоумышленниками для осуществления CSRF-атак на маршрутизаторы, точки доступа, принтеры, корпоративные web-интерфейсы и другие устройства и сервисы, принимающие запросы только из локальной сети. Кроме того, сканирование внутренних ресурсов может использоваться для косвенной идентификации или сбора сведений о локальной сети.
Предложен единый упрощённый интерфейс для привязки к учётной записи в Google и синхронизации данных, таких как сохранённые пароли и закладки. Синхронизация интегрирована с входом в учётную запись и не преподносится как отдельная возможность в настройках. Пользователи могут подключить Chrome к учётной записи в Google и использовать её для хранения паролей, закладок, истории посещений и вкладок. Возможность пока активирована для части пользователей, постепенно охват будет увеличиваться.
Задействована новая модель изоляции процессов - "Origin Isolation", при которой каждый источник контента (origin - связка из протокола, домена и порта, например, "https://foo.example.com"), изолируется в отдельном процессе отрисовки. Так как увеличение дробления изоляции может привести к повышению потребления памяти и росту нагрузки на CPU, новый режим изоляции включается только на системах, имеющих больше 4 ГБ ОЗУ. На маломощном оборудовании продолжит использоваться старый подход к изоляции, при котором в отдельном процессе изолируются все разные источники контента, связанные с одним сайтом (например, foo.example.com и bar.example.com).
На системах с Windows и macOS, в которых не применяется централизованное управление Chrome, реализовано автоматическое отключение принудительно установленных браузерных дополнений, в которых выявлены несущественные нарушения правил каталога Chrome Web Store. К несущественным нарушениям причисляется наличие потенциальных уязвимостей, навязывание дополнения без ведома пользователя, манипуляции с метаданными, нарушение правил работы с пользовательскими данными и введение в заблуждение о функциональности. При желании пользователь может вернуть отключённое дополнение.
В версии для Android, по аналогии со сборками для десктоп-систем, реализован вывод предупреждения о мошеннических страницах, выявленных большой языковой моделью на основе анализа содержимого. Использование AI применяется в режиме расширенной защиты браузера (Enhanced Safe Browsing). AI-модель выполняется на стороне клиента, но в случае выявления подозрений на сомнительный контент, выполняется дополнительная проверка на серверах Google.
В реализации протокола DTLS (Datagram Transport Layer Security, аналог TLS для UDP), применяемой для соединений WebRTC, включено использование алгоритмов постквантового шифрования.
Реализовано сохранение статуса активации, выставляемого при активности пользователя на странице, после перехода
на другую страницу с тем же доменом. Сохранение активации упростит разработку многостраничных web-приложений и решит такие проблемы, как выставление фокуса ввода при отображении сайтом своей виртуальной клавиатуры.
В CSS добавлены псевдо-классы ":target-before" и ":target-after" для определения предыдущих и следующих маркеров, относительно текущей позиции прокрутки (":target-current").
В контейнерах стилей ("@container") и функции "if()" разрешено использование синтаксиса диапазонов (Range Syntax), определённого в спецификации Media Queries Level 4 и позволяющего использовать обычные математические операторы сравнения и логические операторы для определения диапазонов значений. Например, теперь можно указывать "@container style(--inner-padding > 1em)" и "background-color: if(style(attr(data-columns, type<number>) > 2): lightblue; else: white);"
В элементы "<button>" и "<a>" добавлена поддержка атрибута "interestfor", при помощи которого можно организовать вызов действий, например, показать всплывающее окно, в ситуациях когда пользователь проявит интерес к элементу. Признаками проявления интереса браузер считает такие ситуации, как наведение и удержание указателя на элементе, нажатие горячих клавиш или удержание касания на сенсорном экране. При выявлении интереса на элементе с атрибутом "interestfor" браузер генерирует событие InterestEvent.
Внесены улучшения в инструменты для web-разработчиков. В верхний правый угол добавлена кнопка для быстрого вызова AI-ассистента. Элемент контекстного меню "Ask AI" переименован в "Debug with AI" и расширен возможностью выполнения непосредственных действий в зависимости от контекста. В web-консоли и панели с кодом AI-ассистент Gemini теперь может генерировать рекомендации с кодом.
В инструментах для web-разработчиков обеспечена интеграция с сервисом GDP (Google Developer Program). Разработчик теперь сможет подключаться к своему профилю в GDP непосредственно из Chrome DevTools и получать бонусы за выполнение определённых работ в данном интерфейсе.
Кроме нововведений и исправления ошибок в новой версии устранены 20 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google учредила 20 премий на сумму 130 тысяч долларов США (две премии 50 тысяч долларов, по одной премии в $10000 и три премии $3000, две премии $2000 и три премии $1000). Размер 8 вознаграждений пока не определён.
Дополнительно можно отметить выявление ещё не исправленной уязвимости "Brash" в движке Blink, которая приводит к аварийному завершению и зависанию браузеров на движке Chromium при выполнении определённого JavaScript-кода. Уязвимость вызвана архитектурными проблемами в движке отрисовки, связанными с отсутствием ограничения на интенсивность операций обновления свойства "document.title". Отсутствие ограничений позволяет использовать "document.title" для внесения в DOM десятков миллионов изменений в секунду, что через несколько секунд приводит к зависанию интерфейса из-за блокировки основного потока и значительного потребления памяти из-за приостановки активации сборщика мусора, а через 15-125 cекунд браузер аварийно завершает работу. Firefox и Safari проблеме не подвержены.
Опубликован первый выпуск pgbalancer, балансировщика нагрузки PostgreSQL на основе искусственного интеллекта с REST API и MQTT. Pgbalancer обеспечивает обработку пула соединений и балансировку нагрузки для PostgreSQL, управляется по протоколу HTTP и поддерживает потоковую передачу событий в режиме реального времени. Проект создан как форк pgpool-II с серьёзными улучшениями для умной маршрутизации запросов. Код написан на языке Си и распространяется под открытой лицензией PostgreSQL.
Основные возможности и особенности:
Пул соединений и балансировка нагрузки.
Автоматическое аварийное переключение с поддержкой сторожевого таймера watchdog.
Мониторинг работоспособности и кэширование запросов.
Аутентификация SSL/TLS, PAM/LDAP.
Совместимость с PostgreSQL 13-18.
Является частью утилит pgElephant, обеспечивающих высокую доступность. Может интегрироваться с pgraft для Raft-консенсуса, поддерживается мониторинг pgSentinel.
Балансировка нагрузки на базе ИИ.
Алгоритмы машинного обучения для умной маршрутизации запросов.
Обучение подстраивается в зависимости от времени отклика запросов и состояния ресурсов сервера.
Оценивается состояние в реальном времени и предсказывается балансировка запросов.
Настраиваемые параметры весов для скорости обучения и скорости предположений случайных событий.
Возможность интеграции с платформами мониторинга Prometheus и Grafana.
Управление через REST API.
17 функций HTTP/JSON для полного управления кластером.
Интегрированный сервер API, работающий на порту 8080.
Аутентификация токенами JWT HMAC-SHA256.
Получение статистик и метрик состояния режима исполнения.
Время отклика менее 10 мс.
Потоковая передача событий MQTT.
MQTT используется для публикации изменений состояния узлов, аварийного переключения и проверок состояния ресурсов в реальном времени.
Можно настроить топики MQTT для различных типов событий.
Интеграция с Mosquitto, EMQX или любым MQTT-брокером.
Обеспечивает автоматическое оповещение о нештатных событиях и предоставляет транспортный канал для оркестровки кластера.
Утилита командной строки bctl:
Единый интерфейс, заменяющий более 10 отдельных команд "pcp_*".
3 формата вывода: таблицы, JSON или формат без изменений.
Вывод отформатированных таблиц с обрамлением для runtime-данных pgbalancer.
Удалённое управление и режим расширенного вывода.
GitHub Actions Workflow:
build-matrix.yml: Сборки на нескольких платформах (Ubuntu, macOS, Rocky Linux).
Поддержка PostgreSQL 13-18.
DEB-пакеты для Ubuntu 22.04/24.04, Debian 11/12.
RPM-пакеты для Rocky 9, AlmaLinux 9, CentOS Stream 9.
GitHub опубликовал отчёт с анализом статистики за 2025 год. Основные тенденции:
Язык TypeScript вырвался на первое место в рейтинге языков программирования, наиболее часто используемых разработчиками. Практически все основные фреймворки для разработки фронтэндов по умолчанию перешли на использование TypeScript. Python и JavaScript переместились на второе и третье места. За год число разработчиков, использующих TypeScript увеличилось на 1 миллион (+66%), Python - на 850 тысяч (+48%), а JavaScript - на 427 тысяч (+25%).
В рейтинге наиболее быстро набирающих популярность языков лидируют
Luau (3600 разработчиков, +194%), Typst (3600 разработчиков, +108%), Astro (45600 разработчиков, +78%), Blade (91100 разработчиков, +67%) и TypeScript (2.6 млн разработчиков, +67%).
По популярности в новых репозиториях лидируют языки JavaScript (9.3 млн, +14.57%), Python (9.2 млн репозиториев, +53.41%), TypeScript (5.4 млн, 78.10%), Java (3.5 млн, 9.35%), C++ (1.7 млн, 11.82%), C# (1.5 млн, 10.61%).
При разработке AI-проектов наиболее популярны Python, Jupyter Notebooks, JavaScript и TypeScript.
Общее число проектов на GitHub достигло отметки в 640 млн, что на 121 млн больше чем год назад. Число публично доступных репозиториев с открытым кодом достигло 395 млн, что на 72 млн больше, чем год назад (рост 19%). Число приватных репозиториев увеличилось на 58 млн (рост 33%).
Аудитория GitHub за год выросла на 36 млн пользователей и достигла 180 млн (в прошлом году подключилось 30 млн, позапрошлом - 20, три года назад - 20 млн). На первом месте по числу разработчиков находится США (28 млн), на втором - Индия (21.9 млн), на третьем - Китай (10.7 млн), на четвёртом Бразилия (6.89 млн), на пятом - Великобритания (4.8 млн). По сравнению с прошлым годом Россия опустилась с шестого на девятое место, уступив Японии, Германии и Индонезии. Наибольший рост числа разработчиков наблюдается в Индии - за год более 5 млн новых разработчиков (14% от всех новых учётных записей). Прогнозируется, что к 2030 году Индия займёт первое место в рейтинге, сместив США на второе место.
Вклад в открытые и публично доступные проекты оценён в 1.12 миллиарда действий (коммиты, issue, pull-запросы, обсуждения, рецензии и т.п.), а в приватные - 4.97 миллиарда (81.5%), при этом доля приватных репозиториев составляет 37%, а публичных 63%.
За год принято более 518 млн pull-запросов (43.2 млн в месяц), что на 23% больше чем в прошлом году. Число коммитов оценено в 986 млн, что на 25.1% больше по сравнению с 2024 годом. В августе был побит рекорд по числу коммитов в месяц - принято около 100 млн изменений. Число созданных issue по сравнению с прошлым годом увеличилось на 20.4%, число комментариев к issue и pull-запросов не изменилось (+0.35%), а число комментариев в коммитам уменьшилось на 27%.
Число проектов, связанных с AI, достигло 4.3 млн. В 1.1 млн публично доступных репозиториев используется один из SDK для работы с большими языковыми моделями, при этом 693 тысячи из этих репозиториев созданы за последние 12 месяцев (рост 178%). 80% новых разработчиков использовали AI-ассистент GitHub Copilot в первую неделю после регистрации на GitHub.
Наиболее быстрорастущими открытыми проектами стали Zen Browser, Cline, vllm, uv и vscode.
Репозитории, пользующиеся наибольшей популярностью у новых пользователей:
Общее потребление ресурсов при выполнении обработчиков GitHub Actions по сравнению с прошлым годом выросло на 30%.
Среднее время исправления критических уязвимостей по сравнению с прошлым годом снизилось на 30%, а среднее время устранения уязвимости сократилось с 37 до 26 дней.
Наиболее часто выявляемой уязвимостью стала проблема с управлением доступом. За год подобные проблемы выявлены в 151 тысяче репозиториев, что на 172% больше чем за прошлый год.
Представлен выпуск специализированного браузера Tor Browser 15.0, в котором осуществлён переход на ESR-ветку Firefox 140. Браузер сосредоточен на обеспечении конфиденциальности и безопасности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix). Сборки Tor Browser подготовлены для Linux, Android, Windows и macOS.
Для дополнительной защиты в Tor Browser включена настройка «HTTPS Only», позволяющая использовать шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript. Для борьбы с блокировкой и инспектированием трафика применяются fteproxy и obfs4proxy. Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты.
Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, WebAudio, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.
В новой версии:
Осуществлён переход на кодовую базу Firefox 140 ESR (ранее использовался Firefox 128). Дополнение NoScript обновлено до версии 13.2.2. В процессе перехода проведён аудит изменений в Firefox, в ходе которого проанализированы и устранены более 200 потенциальных проблем, которые могли негативно повлиять на конфиденциальность и безопасность.
Задействованы новые возможности, реализованные за последний год в Firefox, такие как поддержка группировки вкладок, вертикального размещения вкладок, навигации по закладкам из боковой панели и унифицированной кнопки поиска в адресной строке
В версию для Android добавлена функция блокировки экрана, не позволяющая посмотреть открытые вкладки до введения кода разблокировки устройства или прохождения биометрической аутентификации. Блокировка включается в настройках "Settings > Tabs" и автоматически активируется при каждом переключении на другое приложение.
Для блокировки технологии WebAssembly, которая по умолчанию применяется при выборке уровней безопасности Safer and Safest, задействовано дополнение NoScript. Ранее для блокировки изменялась глобальная настройка "javascript.options.wasm", но после использования WebAssembly во встроенном PDF-просмотрщике, данный метод стал приводить к блокировке PDF-просмотрщика.
В Tor Browser 15.0 продолжена поддержка Android 5.0+, но следом за изменениями в Firefox в выпуске Tor Browser 16.0 требования к платформам будут повышены и для работы потребуется как минимум Android 8. Аналогично в Tor Browser 16.0 будет прекращена поддержка 32-разрядных CPU x86 в сборках для Linux и Android.
Опубликован релиз почтового сервера Exim 4.99, в который внесены накопившиеся исправления и добавлены новые возможности. Код проекта написан на языке Си и распространяется под лицензией GPLv2+. В соответствии с автоматизированным опросом около 500 тысяч почтовых серверов, доля Exim составляет 56% (год назад 59.06%), Postfix используется на 37.45% (34.68%) почтовых серверов, Sendmail - 3.53% (3.42%), MailEnable - 1.84% (1.81%), MDaemon - 0.40% (0.37%), Microsoft Exchange - 0.20% (0.17%).
Добавлена поддержка ESMTP-команды "ATRN" (Authenticated TURN), позволяющей менять роли сервера и клиента в процессе доставки сообщений. Команду можно использовать для организации доставки писем на системы с динамическими IP-адресами или с непостоянным интернет-доступом. Подобная система может подключиться к SMTP-серверу в роли клиента, а затем при помощи команды ATRN взять на себя роль сервера для приёма накопившихся сообщений. Команду можно использовать только после успешного прохождения аутентификации и при наличии разрешающего ACL (acl_smtp_atrn).
Большинство компонентов Exim теперь могут быть собраны в форме загружаемых модулей. Например, в виде загружаемых модулей могут быть оформлены lookup-движки JSON и LDAP, фильтры, драйверы аутентификации и маршрутизации, компоненты PAM, RADIUS, perl, SPF, DKIM, DMARC и ARC, а также все виды транспорта, за исключением SMTP.
Реализована возможность отключения поддержки фильтров Exim и Sieve на стадии сборки.
Добавлена поддержка DNS-записей SRV (Service Location Record) для определения поддержки TLS (Transport Layer Security) почтовыми серверами получателей.
Добавлена экспериментальная сборочная опция "EXPERIMENTAL_SPF_PERL", включающая альтернативную реализацию механизма аутентификации SPF (Sender Policy Framework), использующую Perl-модуль Perl Mail::SPF вместо библиотеки libspf2, у которой наблюдаются проблемы с сопровождением.
Добавлена экспериментальная сборочная опция "EXPERIMENTAL_NMH" с реализация lookup-движка для проверки IP-адресов в хранилище NMH (Net-Masked Hero).
В файл конфигурации добавлена настройка "tls_early_banner_hosts" для определения хостов, к которым будет применяться механизм "TLS Early Data" (0-RTT) для отправки SMTP-баннера на стадии до завершения согласования соединения TLS.
Добавлена опция "sieve_inbox" для задания имени mailbox-файла, в который будут сохранены сообщения, перенаправляемые при помощи настройки "redirect_router" в фильтры на языке Sieve.
Добавлена переменная "connection_id", содержащая идентификатор принятого соединения. Переменную можно использовать при настройке формата вывода в лог.
Реализованы события smtp:fail:protocol и smtp:fail:syntax, позволяющие отслеживать ошибки, связанные с протоколом и синтаксисом команд SMTP.
Транспорт "socks_proxy" теперь может принимать значение пустой строки, что будет восприниматься как отсутствие проксирования.
Добавлены переменные $dmarc_alignment_spf и $dmarc_alignment_dkim, отражающие результаты проверок SPF и DKIM.
Добавлена возможность использования соединений IPv6 при обращении к СУБД MySQL и PostgreSQL.
Разрешено использовать адрес отправителя (envelope-from), заданный в параметрах транспорта, для прямых доставок (cutthrough deliveries) и проверок существования получателей.
Добавлена возможность использования использования переменных и выражений для динамического формирования опций "hosts_randomize" в маршрутизаторе "manualroute" и транспорте "smtp". Аналогично добавлена поддержка динамического формирования опций "fallback_hosts" во всех маршрутизаторах и транспорте "smtp".
В файл конфигурации добавлена опция "log_ports" для фильтрации отражаемых в логах номеров портов. Например, при указании "log_ports = !25 : !587" в лог будут выводиться записи outgoing_port и incoming_interface, не связанные с портами 25 и 587.
Добавлена возможность отражения в логе доставки информации о командах и ответах, переданных при установке SMTP-соединения, а также сведений об использовании TLS при соединении (метка "tls_on_connect").
Добавлена опция "no_wr", отключающая запись в кэш результатов выполнения lookup-операций.
Добавлена опция командной строки "-dS" для вывода отладочной информации на стадии до разбора файла конфигурации.
В связанные со сбоем аутентификации сообщения в логе добавлены теги "H=" и "U=", отражающие хост и имя пользователя.
Рабочий стол в Fedora Workstation обновлён до ветки GNOME 49, а в Fedora KDE Plasma Desktop Edition до KDE Plasma 6.4 и KDE Gear 25.08. Обновлены версии пользовательских окружений Sway 1.11, Budgie 10.9.3, COSMIC-beta.
Из репозиториев удалены пакеты, используемые для работы GNOME поверх X-сервера. Все пользователи GNOME, использовавшие X11, будут принудительно переключены на сеанс GNOME на базе Wayland. Возможность запуска X11-приложений при помощи XWayland остаётся без изменений.
На системах с архитектурой x86 оставлена только возможность использования таблиц разделов GPT (GUID Partition Table) во всех установках Fedora, использующих UEFI. Поддержка установки Fedora в режиме UEFI на диски с таблицами разделом MBR (Master Boot Record) прекращена на системах x86, но оставлена на системах ARM и RISC-V. Размер раздела /boot увеличен с 1 до 2 ГБ.
Осуществлён переход на пакетный менеджер RPM 6, примечательный поддержкой нового формата, позволяющего создавать пакеты размером более 4 ГБ. Включение по умолчанию появившихся в RPM6 средств проверки подлинности пакетов с использованием цифровой подписи отложено до выпуска Fedora 44.
Все spin-сборки и Fedora KDE Plasma Desktop Edition переведены на новый вариант инсталлятора Anaconda, в котором вместо интерфейса на основе библиотеки GTK используется web-интерфейс, допускающий взаимодействие через web-браузер для удалённого управления установкой. В прошлом выпуске новый инсталлятор был задействован в Fedora Workstation. Вместо главного экрана с перечнем действий в новом интерфейсе работа организована в форме мастера (Wizard), подразумевающего последовательное выполнение определённых шагов без возвращения к основному экрану. В качестве базового предлагается автоматизированный (guided) режим разбивки диска, при котором инсталлятор сам выбирает параметры создания или изменения разделов на основе настроек, выбранных пользователем. Имеются опции для переустановки дистрибутива и установки в режиме двойной загрузки на системах с несколькими ОС.
Инсталлятор переведён на использование пакетного менеджера DNF5 при установке RPM-пакетов (в системе DNF5 используется начиная с Fedora 41). Базовая функциональность управления пакетами в DNF5 вынесена в отдельную библиотеку libdnf5, вместо привязок к PackageKit задействован DNF Daemon, а компоненты на Python переписаны на С++.
Из инсталлятора удалена поддержка отдельно обновляемых модулей, жизненный цикл которых не привязан к основной начинке дистрибутива, а сопровождение осуществляется независимо от релизов дистрибутива, что позволяло обеспечить сосуществование пакетов с разными версиями одного и того же приложения.
В Fedora Kinoite, атомарно обновляемом варианте Fedora c KDE, включено по умолчанию автообновление системы. Обновления теперь загружаются без спроса пользователя в фоне и применяются после перезагрузки. В настройках имеются опции для отключения автообновления и изменения интервала проверки наличия обновлений.
В разряд устаревших переведён ассемблер YASM, последнее обновление для которого было выпущено в 2019 году.
Пакеты, в которых YASM использовался для сборки (включая Firefox) переведены на сборку при помощи NASM.
Разделена на несколько пакетов поставка GnuPG - программа gpg, вспомогательные утилиты и сервисы GnuPG теперь распространяются в отдельных пакетах (gnupg2, gnupg2-dirmngr, gnupg2-g13, gnupg2-gpgconf, gnupg2-gpg-agent, gnupg2-keyboxd, gnupg2-scdaemon, gnupg2-smime, gnupg2-wks, gnupg2-utils и gnupg2-verify).
Реализована возможность использования механизма Intel TDX (Trusted Domain Extensions) для шифрования оперативной памяти гостевых систем (AMD SEV поддерживается с Fedora 41).
Добавлены пакеты с инструментарием для языка программирования Hare, развиваемого автором пользовательского окружения Sway. Язык оптимизирован для решения низкоуровневых задач, таких как разработка операционных систем, компиляторов, сетевых приложений и системных утилит, для которых требуется достижение максимальной производительности и полный контроль над выполнением. В языке применяется ручное управление памятью и статическая система типов, при которой каждой переменной явно должен быть присвоен определённый тип.
При сборке пакетов на языке Go задействован инструментарий Go Vendor Tools,
при котором копии используемых библиотек включаются в состав src-пакета, а не применяются отдельно поставляемые пакеты с зависимостями (т.е. не используются общие для всей системы версии библиотек).
Выполнен переход на использование шрифтов Noto Color Emoji в векторном формате COLRv1 вместо растрового представления. Использование COLRv1 позволило добиться повышения качества отрисовки и уменьшения размера файлов со шрифтами.
Для сжатия образов начального RAM-диска (initrd) задействован алгоритм Zstd при сборке с использованием Dracut. Переход с
xz на zstd позволил сократить на несколько мегабайт размер initrd и ускорить загрузку.
Задействован вариант инструментария Greenboot, переписанный на языке Rust (старая версия была написана на bash). Greenboot применяется в атомарно обновляемых вариантах Fedora для проверки состояния системы при загрузке и отката на прошлую версию при обнаружении проблем.
Для Fedora 43 введены в строй репозитории "free" и "nonfree" от проекта RPM Fusion, в которых доступны пакеты с дополнительными мультимедиа приложениями (MPlayer, VLC, Xine), видео/аудио кодеками, поддержкой DVD, проприетарными драйверами AMD и NVIDIA, игровыми программами и эмуляторами.
Организация FreeBSD Foundation объявила о реализации поддержки воспроизводимых сборок, позволяющих убедиться, что распространяемые бинарные файлы собраны из предоставляемого исходного кода и не содержат скрытых изменений. Одновременно заявлено о предоставлении возможности сборки FreeBSD в непривилегированных окружениях, не требующих наличия прав root. Избавление от компонентов, выполняемых во время сборки с правами root, позволит повысить безопасность инфраструктуры для формирования релизов FreeBSD, снизить поверхность атаки на сборочное окружение и упростить организацию автоматизированных сборок.
На этапе сборки права root были необходимы для создания файлов устройств, выставления прав доступа и монтирования дополнительных файловых систем (например, при создании дисковых образов). Изменения для замены подобных действий на операции, не требующие прав root, добавлены в находящуюся в экспериментальную ветку FreeBSD, но в дальнейшем будут перенесены и в ветку, на основе которой формируется релиз FreeBSD 15.0. Помимо сборки релиза из исходного кода, без прав root теперь также могут создаваться такие артефакты, как iso-образы для создания установочных и загрузочных Flash-накопителей, системные образы для виртуальных машин и облачных платформ.
Что касается воспроизводимых сборок, то они позволяют добиться идентичности бинарных файлов, формируемых из исходного кода в разных сборочных окружениях. Любой желающий теперь может лично убедиться, что распространяемые бинарные файлы собраны из предоставляемых исходных текстов, не полагаясь лишь на доверие к сборочной инфраструктуре проекта, компрометация компилятора или сборочного инструментария в которой может привести к подстановке скрытых закладок.
При формировании воспроизводимых сборок учитываются такие нюансы, как точное соответствие зависимостей; использование неизменного состава и версий сборочного инструментария; идентичный набор опций и настроек по умолчанию; сохранение порядка сборки файлов (применение тех же методов сортировки); отключение добавления компилятором непостоянной служебной информации, такой как случайные значения, ссылки на файловые пути и данные о дате и времени сборки. На воспроизводимость сборок также влияют ошибки и состояния гонки в инструментарии.
Организация Python Software Foundation, курирующая разработку языка программирования Python, отказалась от получения гранта в 1.5 млн долларов, одобренного Национальным научным фондом США в рамках программы "Безопасность, защита и конфиденциальность Open Source экосистем". Заявка на получение гранта была подана в январе и после многомесячного процесса проверки и согласования была одобрена на предоставление финансирования. Грант подразумевал выделение 1.5 млн долларов в течение двух лет, что является ощутимой для Python Software Foundation суммой, так как общий готовой бюджет данной организации составляет около 5 млн долларов в год при 14 трудоустроенных сотрудниках.
Причиной отказа от гранта стали условия, которые необходимо было принять в случае получения денег. В течение срока действия гранта участникам предписывалось не осуществлять инициативы, продвигающие или поддерживающие политику DEI (разнообразие, равенство и инклюзивность) или иную дискриминационную идеологию равенства, нарушающую федеральные антидискриминационные законы США (Дональд Трамп объявил программы DEI незаконными, аморальными и дискриминационными). Ограничение распространяется не только на финансируемые грантом работы, но и на всю деятельность организации, получившей грант.
Данное требование создаёт финансовые риски, так как Национальный научный фонд имеет право отозвать уже перечисленные средства, в случае нарушения условий предоставления гранта, т.е. уже потраченные средства могут быть затребованы назад. Кроме того, отмеченное требование идёт вразрез с миссией проекта Python, в которой разнообразие, равенство и инклюзивность упоминаются среди ключевых ценностей. По заявлению представителей Python Software Foundation, принятие условий и отказ от поддержки DEI стало бы предательством сообщества и объявленной миссии.
Выделяемые средства планировали потратить на разработку новых инструментов для автоматизированного рецензирования пакетов, загружаемых в каталог PyPI (Python Package Index). Вместо ныне применяемой "reactive" схемы, подразумевающей проверку после того как пакет уже доступен в каталоге, намеревались внедрить "proactive" схему, при которой проверка выполняется до того, как пакет станет доступен пользователям. Для выявления вредоносных пакетов планировали использовать анализ функциональности, учитывающий типовые элементы известного вредоносного ПО. Предполагалось, что развиваемый инструментарий не ограничится защитой PyPI и его можно будет адаптировать для каталогов других открытых проектов, таких как NPM и Crates.io.
Некоммерческая организация Open 3D Foundation (O3DF) представила открытый игровой 3D-движок Open 3D Engine 25.10 (O3DE), пригодный для разработки современных игр класса AAA и высокоточных симуляторов, способных работать в режиме реального времени и обеспечивать качество кинематографического уровня. Код написан на С++ и опубликован под лицензией Apache 2.0. Имеется поддержкаплатформLinux, Windows, macOS, iOS и Android.
Исходный код движка O3DE был открыт в июле 2021 года компанией Amazon и основан на коде ранее развиваемого проприетарного движка Amazon Lumberyard, построенного на технологиях движка CryEngine, лицензированных у компании Crytek в 2015 году. После открытия кодовой базы развитие движка курирует некоммерческая организация Open 3D Foundation, созданная под эгидой Linux Foundation. Помимо Amazon к совместной работе над проектом подключились такие компании, как Epic Games, Adobe, Huawei, Microsoft, Intel и Niantic.
Движок включает в себя интегрированную среду для разработки игр, многопоточную систему фотореалистичного рендеринга Atom Renderer с поддержкой Vulkan, Metal и DirectX 12, расширяемый редактор 3D-моделей, систему анимирования персонажей (Emotion FX), систему разработки полуфабрикатов (prefab), движок симуляции физических процессов в реальном режиме времени и математические библиотеки, использующие инструкции SIMD. Для определения игровой логики может использоваться среда визуального программирования (Script Canvas), а также языки Lua и Python.
Проект изначально рассчитан на возможность адаптации под свои нужды и имеет модульную архитектуру. Предлагается несколько десятков модулей, поставляемых в виде отдельных библиотек, пригодных для замены, интеграции в сторонние проекты и использования по отдельности. Например, благодаря модульности разработчики могут заменить рендер графики, звуковую систему, поддержку языков, сетевой стек, физический движок и любые другие компоненты.
Переработан процесс установки. Добавлена возможность ручной установки необходимых зависимостей. Размер установочного пакета сокращён на 26% для Windows и на 40% для Linux. Значительно сокращён размер собранных бинарных файлов - на 54.50% для Windows и на 72.31% для Linux.
Повышена эффективность сборочного процесса.
Расширены и оптимизированы возможности для отладки: до 50% снижено потребление памяти в интерфейсе редактирования, ускорен процесс сборки в отладочном режиме, c минут до секунд сокращена продолжительность итераций при отладке (исправление -> компиляция -> запуск -> тестирование).
Обеспечена совместимость со стандартом C++ 20.
Повышена производительность и улучшено определение зависимостей в Asset Processor.
Расширены возможности симуляции для роботов. Компоненты, предназначенные для использования при разработке роботов, вынесены из модуля ROS2 в новые модули ROS2Controllers, ROS2Robot и ROS2Sensors.
Базовые библиотеки AzCore, AzFramework и AzToolsFramework преобразованы для динамического, а не статического связывания.
На платформе Linux реализована поддержка механизма MOC (Masked Occlusion Culling) для исключения отрисовки объектов, перекрываемых другими объектами.
Добавлена возможность применения эффекта смазывания движущихся объектов (Motion Blur) на стадии пост-процессинга.
Добавлена поддержка одновременного затенения нескольких видов сцены в одном проходе рендеринга.
Добавлена поддержка дополнительных форматов представления вершин для трассировки лучей.
В модуль OpenXR добавлены компоненты для контроллеров виртуальной реальности. Для систем Linux включён модуль OpenXR.
Компания Apple объявила о публикации предварительного варианта инструментария Swift SDK для платформы Android. SDK подготовлен рабочей группой, созданной в июне для продвижения Swift в качестве языка для разработки мобильных приложений для Android. Сборки Swift SDK для разработки Android-приложений подготовлены для macOS, Linux и Windows.
Для разработчиков опубликована базовая инструкция по началу разработки кроссплатформенных мобильных приложений на языке Swift, способных работать на платформе Android, и несколько готовых примеров подобных приложений. Также предложены инструкции по портированию для Android ранее созданных для Swift пакетов. В текущем виде 27.9% пакетов (~9000), размещённых в каталоге Swift Package Index, уже успешно могут быть собраны для Android. Для обеспечения переносимости между языками Java и Swift предложен пакет swift-java, включающий генератор обвязок и библиотеку для обращения из Swift-кода к компонентам на языке Java и наоборот.
Язык Swift сочетает лучшие элементы языков C и Objective-C, и предоставляет объектную модель, совместимую с Objective-C (Swift-код может смешиваться с кодом на С и Objective-C), но отличается использованием средств автоматического распределения памяти, контроля переполнения переменных и массивов, защитой от использования неинициализированных переменных и блокированием доступа к памяти после её освобождения, что значительно увеличивает надёжность и безопасность кода. Swift также предлагает множество современных методов программирования, таких как замыкания, обобщённое программирование, лямбда-выражения, кортежи и словарные типы, быстрые операции над коллекциями, элементы функционального программирования.
Pеализация Swift построена с задействованием технологий проекта LLVM. Для обеспечения высокой производительности Swift-программы компилируются в машинный код, который в проведённых тестах демонстрирует производительность на 30% опережающую код на Objective-C. Вместо сборщика мусора в Swift используются средства подсчёта ссылок на объекты. В поставку входит пакетный менеджер Swift Package Manager, предоставляющий инструменты для распространения модулей и пакетов с библиотеками и приложениями на языке Swift, управления зависимостями, автоматизированной загрузки, сборки и связывания компонентов.
Компилятор и инструментарий для языка Swift распространяется под лицензией Apache 2.0.
Опубликован выпуск модульной операционной системы Embox 0.7, нацеленной на обособленный запуск поверх оборудования приложений, изначально созданных для Linux, но без использования Linux. Система способна работать в режиме реального времени (RTOS) на различных классах устройств, от обычных систем x86, до маломощных плат и микроконтроллеров. Код проекта написан на языке Си и распространяется под лицензией BSD.
Ядро Embox разделено на серию библиотек, реализующих различные программные интерфейсы (управление памятью, планировщик задач, сетевой стек и т.п.). Благодаря модульности Embox позволяет использовать для запуска каждого приложения минимальный набор системных компонентов и библиотек, достаточный для запуска конкретного приложения. Для каждого приложения формируется самодостаточный образ, оптимизированный для определённой задачи и способный работать поверх оборудования без лишних прослоек и без применения универсальных ядер и системных окружений.
Подобная компоновка позволяет запускать существующие приложения с минимальными накладными расходами на устройствах с ограниченными ресурсами. Embox также обеспечивает дополнительный уровень защиты - приложения связываются с библиотекам статически и кроме изначально поставляемого приложения в сформированном окружении невозможно выполнить другие программы.
В качестве примеров применения Embox упоминается создание VoIP-телефона на базе микроконтроллера STM32F7 и библиотеки PJSIP, запуск на микроконтроллере STM32F7 графического интерфейса на базе Qt, выполнение на плате STM32F769i приложения для обработки визуальной информации при помощи OpenCV, обособленный запуск SSH-сервера Dropbear, запуск игры Quake3 и графических приложений, использующих Mesa.
Основные возможности Embox:
Поддержка процессорных архитектур x86, ARM, RISC-V, Microblaze, SPARC, E2K, PowerPC и MIPS.
Поддержка работы на микроконтроллерах STM32 и возможность запускать на них программы, использующие Qt, OpenCV, PJSIP и другие популярные фреймворки.
Поддержка плат, подобных Raspberry Pi.
Поддержка создания окружений для запуска приложений на языках C++, Java, Python, Lua, TCL, Lisp, Ruby, JavaScript и Scheme.
POSIX-совместимость.
Возможность использования файловых систем FAT и ext2/3/4.
Стек TCP/IP с поддержкой сокетов и типовых сетевых протоколов (UDP, HTTP, ARP, NTP, ICMP).
Доступность Unix-подобных утилит, таких как ls, cat и mount.
Среди изменений в новом выпуске:
Реализована подсистема для беспроводного доступа.
Реализована подсистема для управления через AT-команды.
Улучшена поддержка архитектуры RISC-V. Добавлена поддержка платформ
Milandr MDR1206FI, Baikal-Electronics Baikal-U и Syntacore SCR-5.
Подведены итоги трёх дней соревнований Pwn2Own Ireland 2025, на которых были продемонстрированы 46 успешных атак с использованием 73 ранее неизвестных уязвимостей (0-day) в смартфонах, маршрутизаторах, устройствах для умного дома, принтерах, сетевых хранилищах и системах видеонаблюдения. При проведении атак использовались самые свежие прошивки и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.
Суммарный размер выплаченных вознаграждений составил более миллиона долларов США ($1 024 750). Наиболее успешная команда Summoning Team сумела заработать на соревнованиях 187 тысяч долларов США. Обладатели второго места (ANHTUD) получили 76 тысяч долларов, а третьего (Synacktiv) - 90 тысяч долларов.
Осуществлённые атаки:
Смартфон Samsung Galaxy S25: 2 успешных взлома c использованием шести разных уязвимостей, среди которых неправильная обработка входных данных. Выплачены две премии по $50 000.
Умная розетка Amazon Smart plug: 1 успешный взлом c использованием трёх разных уязвимостей. Выплачена премия $20 000.
Устройство домашней автоматизации Home Assistant Green: 6 успешных взломов. Выплачены премии $40 000, $20 000, $16 750, $15 000 и 2 x $12 500.
Умный свет Phillips Hue Bridge: 10 успешных взломов. Выплачены премии $40 000, 3 x $20 000, $17 500, $16 000, 2 x $13 500, 2 x $10 000.
Умные колонки Sonos Era 300: 1 успешный взлом c использованием уязвимости, связанной с переполнением буфера. Выплачена премия $50 000.
Система видеонаблюдения Ubiquiti AI Pro: 1 успешный взлом. Выплачена премия $30 000.
Принтер HP DeskJet 2855e: 1 успешный взлом c использованием уязвимостей, связанных с переполнением буфера. Выплачена премия $20 000.
Принтер Canon imageCLASS MF654Cdw: 7 успешных взлома c использованием уязвимостей, связанных с переполнением буфера. Выплачены премии $20000, 6 x $10000, $5000
Принтер Lexmark CX532adw: 4 успешных взлома c использованием уязвимостей, связанных с переполнением буфера и неправильной обработкой типов (Type Confusion). Выплачены премии $20 000, 2 x $10 000, $7 500.
Сетевое хранилище Synology ActiveProtect Appliance DP320: 1 успешный взлом c использованием двух разных уязвимостей. Выплачена премия $50 000.
Сетевое хранилище Synology BeeStation Plus: 1 успешный взлом c использованием уязвимостей, связанных с переполнением буфера. Выплачена премия $40 000.
Сетевое хранилище Synology DiskStation DS925+: 2 успешных взлома. Выплачены премии $40 000 и $20 000.
SOHO-инфраструктура на базе маршрутизатора QNAP Qhora-322 и сетевого хранилища QNAP TS-453E: Взлом с использованием 8 разных уязвимостей. Выплачена премия в $100 000.
Сетевое хранилище QNAP TS-453E: 7 взломов с использованием подстановки команд, ошибки форматирования строки и жёстко прошитых параметров аутентификации. Выплачены премии в $40 000, 2 x $30 000, $20 000, 2 x $10 000.
IP-камера Synology CC400W: 1 успешный взлом. Выплачена премия в $15 000
Кроме вышеотмеченных успешных атак, 3 попытки эксплуатации уязвимостей завершились неудачей, во всех случаях из-за того, что команды не успели уложиться в отведённое для атаки ограниченное время.
Неудачными оказались попытки взлома смартфона Samsung Galaxy S25, сетевого хранилища QNAP TS-453E и 3D-шлема Meta Quest 3S (в последнем случае атакующие смогли вызвать отказ в обслуживании, но не добились выполнения кода).
Невостребованной оказалась номинация по взлому мессенджера WhatsApp, за выявление в котором ошибки, позволяющей удалённо выполнить код без действия пользователя (0-click), была заявлена премия в миллион долларов; за удалённо эксплуатируемую уязвимость в WhatsApp, требующую действий пользователя (1-click) - 500 тысяч долларов; за уязвимость, приводящую к захвату учётной записи - $150 тысяч; за получение удалённого доступа к данным пользователя, микрофону или камере - $130 тысяч.
Также не нашлось участников, способных продемонстрировать взломы смартфонов Google Pixel 9 и Apple iPhone 16 (премия 300 тысяч долларов) и умных очков Meta Ray-Ban (премия $150 тысяч).
В каких именно компонентах проблемы пока не сообщается. В соответствии с условиями конкурса детальная информация о всех продемонстрированных 0-day уязвимостях будет опубликована только через 90 дней, которые даются на подготовку производителями обновлений с устранением уязвимостей.
