Методы работы с памятью в Rust нацелены на исключение ошибок при манипулировании указателями и защиту от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения сборки и управления зависимостями проектом развивается пакетный менеджер Cargo. Для размещения библиотек поддерживается репозиторий crates.io.

Безопасная работа с памятью обеспечивается в Rust во время компиляции через проверку ссылок, отслеживание владения объектами, учёт времени жизни объектов (области видимости) и оценку корректности доступа к памяти во время выполнения кода. Rust также предоставляет средства для защиты от целочисленных переполнений, требует обязательной инициализации значений переменных перед использованием, лучше обрабатывает ошибки в стандартной библиотеке, применяет концепцию неизменяемости (immutable) ссылок и переменных по умолчанию, предлагает сильную статическую типизацию для минимизации логических ошибок.

Основные новшества:

• В тип slice добавлен метод array_windows, создающий итератор для прохождения по срезам (slice) "окнами" фиксированного размера, сдвигающимися на один элемент за раз. В отличие от ранее доступного метола windows, метод array_windows оперирует постоянным размером окна и возвращает при каждой итерации ссылку на массив фиксированного размера (&[T; N]) вместо среза неопределённого размера (&[T]). Так как размер массива изначально известен компилятору, для повышения производительности можно обойтись без проверки границ массива на каждой стадии итерации.

  
     let slice = [0, 1, 2, 3];
     let mut iter = slice.array_windows();
     assert_eq!(iter.next().unwrap(), &[0, 1]);
     assert_eq!(iter.next().unwrap(), &[1, 2]);
     assert_eq!(iter.next().unwrap(), &[2, 3]);
     assert!(iter.next().is_none());
  

• В конфигурационных файлах пакетного менеджера Cargo (.cargo/config.toml) реализована директива "include", позволяющая по месту вставлять содержимое других файлов.

  
     include = [
         "frodo.toml",
         "samwise.toml",
     ]
     include = [
         { path = "required.toml" },
         { path = "optional.toml", optional = true },
     ]
  

• В файлы с манифестами и конфигурационные файлы добавлена поддержка новой версии языка разметки TOML 1.1, в которой появилась поддержка многострочных встроенных таблиц, escape-последовательностей "\xHH" для вставки шестнадцатеричного представления байтов и "\e" для замены "\u001B", возможности оставлять запятую в конце последнего элемента и пропускать указание секунд в значениях времени.

  
     serde = { version = "1.0", features = ["derive"] }
     теперь можно заменить на
     serde = {
         version = "1.0",
         features = ["derive"],
     }
  

• В разряд стабильных переведена новая порция API, в том числе стабилизированы методы и реализации типажей:
  • <[T]>::array_windows
  • <[T]>::element_offset
  • LazyCell::get
  • LazyCell::get_mut
  • LazyCell::force_mut
  • LazyLock::get
  • LazyLock::get_mut
  • LazyLock::force_mut
  • impl TryFrom<char> for usize
  • std::iter::Peekable::next_if_map
  • std::iter::Peekable::next_if_map_mut
  • Встроенные функции для x86-инструкций avx512fp16
  • Встроенные функции для AArch64-инструкций NEON fp16
  • f32::consts::EULER_GAMMA
  • f64::consts::EULER_GAMMA
  • f32::consts::GOLDEN_RATIO
  • f64::consts::GOLDEN_RATIO
• Признак "const" применён в функциях:
  • f32::mul_add
  • f64::mul_add
• Платформа riscv64im-unknown-none-elf переведена на третий уровень поддержки. Третий уровень охватывает базовую поддержку, но без автоматизированного тестирования, публикации официальных сборок и проверки возможности сборки кода.

Дополнительно можно отметить недавно анонсированные проекты и события, связанные с Rust:

• Айртон Муньос (Ayrton Muñoz), в своё время реализовавший поддержку платформы Sony PlayStation 1 в компиляторе Rust и занимавшийся портированием FreeBSD на компьютеры с чипами Apple Silicon, реализовал для FreeBSD возможность создания компонентов ядра и драйверов устройств на языке Rust. Для тестирования предложен набор KPI-обвязок (Kernel Programming Interface), позволяющих использовать код на Rust в ядре FreeBSD, а также созданные с использованием данных обвязок звуковой драйвер virtio (virtio_snd), HID‑драйвер DockChannel для клавиатуры в M2 MacBook и несколько низкоуровневых драйверов для подсистем компьютеров Mac на чипах Apple Silicon.

  Отмечается, что работа над Rust-обвязками ведётся с конца 2024 года. В обвязках пока реализована лишь часть C‑KPI и они позиционируются как не стабильные, но со временем уровень стабильности планируют довести до аналогичного интерфейса для языка Си. Предложенный в качестве примера драйвер virtio_snd пригоден для воспроизведения музыки в QEMU. Предполагается, что в 2026 году Rust-обвязки будут достаточно стабилизированы для того, чтобы заинтересованные разработчики могли начать использовать их для написания кода.

• Бенни Зигерт (Benny Siegert), участвующий в разработке NetBSD, попытался обосновать причины, по которым поддержка языка Rust не появится в ядре NetBSD: NetBSD поддерживает архитектуры, для которых Rust недоступен; поддержание имеющегося в pkgsrc инструментария Rust требует больших усилий и сопровождается лишь несколькими разработчиками; поддержка Rust в ядре требует включения компилятора Rust в базовую систему; при бутстрэпинге Rust в NetBSD используется прошлая версия бинарного пакета, что недопустимо для самодостаточных дистрибутивов, распространяемых в исходном коде; циклы формирования релизов Rust несовместимы с циклом разработки NetBSD и поддержки прошлых веток (например, продолжается поддерживаться ветка NetBSD 9, выпущенная в 2020 году, в этих условиях потребовалась бы поставка и поддержка компилятора Rust шестилетней давности).
• Опубликован выпуск встраиваемой в приложения СУБД Turso 0.5, написанной на языке Rust и совместимой с SQLite на уровне диалекта SQL, формата файлов БД и C API. Из расширенных возможностей отмечается механизм CDC (Change data capture) для отслеживания изменения БД в реальном времени, использование io_uring для асинхронного ввода/вывода в Linux, поддержка векторного поиска, наличие выражения ALTER для изменения схемы БД, возможность шифрования данных в БД, режим инкрементальных вычислений, конструкция "BEGIN CONCURRENT".
• Проект по предоставлению возможности использования стандартной библиотеки Rust в программах, выполняемых на стороне GPU.
• Emuko - эмулятор RISC-V, написанный на Rust, способный загружать Linux, поддерживающий JIT-компиляцию, способный сохранять и восстанавливать снапшоты состояния.
• RustConn (flatpak) - графический интерфейс для управления внешними сетевыми соединениями к другим хостам, поддерживающий SSH, RDP, VNC, SPICE, Telnet, Serial, Kubernetes, Zero Trust и SFTP. Код написан на Rust с использованием GTK4 и Wayland.
• Представлена новая ветка проекта zlib-rs 0.6, отмеченная как первая стабильная версия, полностью совместимая с zlib C API и пригодная для прозрачной замены zlib. Проект нацелен на создание защищённого аналога библиотеки сжатия данных zlib. Разработка ведётся с оглядкой на проект zlib-ng, развивающий высокопроизводительный вариант zlib.
• Представлен проект vcad, развивающий параметрическую систему автоматизированного проектирования (САПР), написанную на Rust и интегрируемую с AI-агентами при помощи протокола MCP. Поддерживается 3D-моделирование, симуляция, работа с 2D-эскизами, компонентная сборка, импорт в формате STEP и экспорт в форматах STL/GLB/STEP/DXF.
• Опубликована система распознавания речи, написанная на Rust и использующая AI-модель Mistral Voxtral Mini 4B Realtime и фреймворк машинного обучения Burn. Проект ориентирован на распознавание речи на лету для формирования транскрипции при потоковом вещании.
• Состоялся выпуск инструментария c2rust 0.22, предназначенного для трансляции Си-кода (C99) в unsafe-представление на Rust, близкое по своей структуре к изначальному коду на Си. Полученный рабочий каркас в дальнейшем можно использовать для постепенного перевода на идиоматический Rust и избавления от unsafe-блоков.

1. OpenNews: Выпуск Rust 1.93. Проекты Rex, Fjall 3 и Arti 1.9.0
2. OpenNews: Компания Meta переписала часть мессенджера WhatsApp на языке Rust
3. OpenNews: Для FreeBSD развивают опциональную поддержку компонентов базовой системы на Rust
4. OpenNews: Поддержка Rust переведена из экспериментальных в основные возможности ядра Linux
5. OpenNews: Разработчики FreeBSD обсуждают использование языка Rust в базовой системе

Postfix является одним из редких проектов, сочетающих одновременно высокую безопасность, надёжность и производительность, чего удалось добиться благодаря многопроцессной архитектуре, изолирующей отдельные обработчики, а также жёсткой политике оформления кода и аудита патчей. Для защиты от ошибок при работе с памятью в проекте используются защищённые варианты функции для выделения и освобождения памяти, а также набор абстрактных функций-обвязок для работы с буферами (проверяется выход за границы буфера и обращения к освобождённой памяти), файловыми операциями, форматирования вывода, буферизированного ввода/вывода и манипуляций со строками (включая возможности для работы со строками произвольного размера и автоматического изменения размера строк).

В соответствии с финальным автоматизированным опросом около 500 тысяч почтовых серверов (после июля 2025 года публикация отчётов прекращена), Postfix используется на 37.88% (год назад 36.81%) почтовых серверов, доля Exim составляет 55.59% (год назад 56.61%), Sendmail - 3.55% (3.60%), MailEnable - 1.81% (1.82%), MDaemon - 0.40% (0.40%), Microsoft Exchange - 0.20% (0.19%), OpenSMTPD - 0.12% (0.09%).

Основные новшества:

• Проведена работа по упрощению миграции с поисковых таблиц "hash:" и "btree:" на "lmdb:" или "cdb:" в связи с прекращением поставки библиотек BerkeleyDB в некоторых дистрибутивах Linux. Для сохранения совместимости с инструментарием Mailman, запускающим команду "postmap hash:/path/to/file" при добавлении или удалении списков рассылки, в Postfix добавлена поддержка автоматического перенаправления подобных команд на варианты с поддерживаемыми типами БД.
• По умолчанию включено подключение к SMTP-серверам с использованием TLS-шифрования. В настройках SMTP-клиента параметр smtp_tls_security_level выставлен в значение "may", если Postfix собран с поддержкой TLS. Значение "may" включает по умолчанию использование TLS для серверов с поддержкой шифрования, но допускает откат на передачу данных открытым текстом, если сервер не поддерживает TLS.
• В ESMTP реализована поддержка расширения "REQUIRETLS" (RFC 8689), позволяющего отправителю запросить гарантированное TLS-шифрование на всем пути доставки сообщения. В данном режиме любой SMTP и LMTP сервер, участвующий в перенаправлении письма, должен поддерживать REQUIRETLS и строгую аутентификацию через DANE или STS, а при передаче сообщения по цепочке другим серверам запрашивать использование REQUIRETLS.
• Обеспечено отражение в логах уровня безопасности TLS, т.е. если для передачи сообщения затребован уровень REQUIRETLS, информация об использовании REQUIRETLS теперь будет сохранена в логе.
• Добавлен параметр smtp_tls_enforce_sts_mx_patterns, включающий режим совместимости между SMTP-клиентом Postfix и плагинами MTA-STS (MTA Strict Transport Security), требующими включения поддержки TLSRPT для перенаправления атрибутов STS. При выставлении данного параметра, который активен по умолчанию, SMTP-клиент Postfix подключится к MX-серверу только если его имя соответствует шаблону, указанному в политиках STS. В противном случае будет использовано старое поведение - возможность соединения c MX-серверами на основании MX-записей в DNS при соответствии серверного сертификата политикам STS. Механизм MTA-STS позволяет информировать клиента, установившего соединение через незащищённый канал связи, о возможности и параметрах установки защищённого TLS-соединения. Поддержка параметра smtp_tls_enforce_sts_mx_patterns также добавлена в утилиты postfix-tlspol и postfix-mta-sts-resolver.
• Добавлена поддержка алгоритмов шифрования, стойких к подбору на квантовом компьютере, при сборке с OpenSSL 3.5 и более новыми выпусками.
• Переведены в разряд устаревших 16 параметров конфигурации, при использовании которых в лог теперь будет выводиться предупреждение об их удалении в одном из будущих выпусках. В число устаревших параметров, среди прочего, включены "virtual_maps", "fallback_relay", "postscreen_whitelist_interfaces" и "smtpd_client_connection_limit_exceptions".
• Добавлена поддержка вывода данных в формате JSON для команд: "postconf -j|-jM|-jF|-jP", "postalias -jq|-js", "postmap -jq|-js" и "postmulti -jl".
• Улучшена обработка ошибок в Milter-фильтрах (mail filter), возникающих при обработке сообщений, полученных через уже давно установленные SMTP-соединения. Значение параметра #milter_default_action изменено с "tempfail" на значение "shutdown", подразумевающее закрытие соединения с клиентом в случае, если от Milter не получен ответ.

1. OpenNews: Новая версия почтового сервера Exim 4.99
2. OpenNews: Доступен почтовый сервер Mox 0.0.15
3. OpenNews: Опубликован почтовый сервер Postfix 3.10.0
4. OpenNews: vSMTP - почтовый сервер со встроенным языком для фильтрации трафика
5. OpenNews: Представлен новый почтовый сервер Tegu

Основные изменения в OpenWrt 25.12:

• Осуществлён переход с инструментария opkg на пакетный менеджер APK (Alpine Package Keeper), развиваемый проектом Alpine. Переход расширил возможности управления пакетами, повысил эффективность работы с метаданными, позволил реализовать проверку цифровых подписей для локально установленных пакетов и модернизировал процесс обновления всей системы до новой версии дистрибутива. APK поддерживает большую часть возможностей opkg, но параметры командной строки у данных пакетных менеджеров отличаются.

  Из расширенных возможностей APK также выделяется: Команда "apk list --installed --orphaned", при помощи которой можно посмотреть все не используемые зависимости, которые без ущерба для системы могут быть удалены. Возможность обойтись без отдельной команды обновления индекса - операции opkg, требовавшие запуска разных команд, в apk могут быть сведены к одной команде, например, вместо "opkg update && opkg install dnsmasq-full" можно запустить "apk --update-cache add dnsmasq-full".

  Сравнение некоторых команд apk и opkg для выполнения типовых действий:

  apk update	opkg update
  apk add pkg	opkg install pkg
  apk del pkg	opkg remove pkg
  apk list	opkg list
  apk list P	opkg list P
  apk list --installed [P]	opkg list-installed
  apk list --upgradeable [P]	opkg list-upgradable
  apk list --providers [P]	opkg -A whatprovides P
  apk info P	opkg info P
  apk info --all P	нет эквивалента
  apk info --contents P	opkg files P

• Включён по умолчанию сервис ASU (Attended SysUpgrade), позволяющий обновить прошивку до новой версии системы без потери имеющихся настроек и установленных пользователем пакетов. Через web-интерфейс LuCI или инструментарий командной строки пользователь отправляет запрос на формирование обновлённого образа прошивки, указывая установленные в его системе пакеты. Через какое-то время сервер ASU формирует образ, соответствующий заказанному содержимому, после чего пользователь загружает его и прошивает его на своё устройство. Дополнительно предоставляется опция, позволяющая сохранить в обновлённой прошивке имеющиеся настройки.
• Обеспечено сохранение истории операций в командной строке между сеансами. История операций сохраняется в RAM-диске и не теряется после повторного входа. Хранение истории в оперативной памяти позволяет избежать лишних операций записи на Flash-накопители, но в качестве опции можно включить сохранение истории и на постоянном носителе, отредактировав скрипт '/etc/profile.d/busybox-history-file.sh'.
• В базовой поставке включён репозиторий, содержащий Qt5, GTK, SDL3, wlroots, wayland и прочие библиотеки для создания графических интерфейсов и организации запуска графических приложений.
• Shell-скрипты для работы с Wi-Fi и управления сетевой конфигурацией переписаны на языке uCode, имеющем синтаксис близкий к JavaScript. uCode отмечен как более безопасный и производительный язык, упрощающий сопровождение и позволяющий обеспечить прямую интеграцию с ubus и UCI.
• Добавлена поддержка более 180 новых устройств. Общее число поддерживаемых устройств превысило 2200.
• Для устройств на чипах Realtek расширена поддержка Ethernet-коммутаторов, включая 10-гигабитные варианты.
• В платформу qualcommax добавлена поддержка SoC ipq50xx и ipq60xx.
• Добавлена новая платформа siflower для SoC Siflower SF21A6826/SF21H8898.
• Добавлены платформы sunxi/arm926ejs и microchipsw/lan969x для SoC Allwinner F1C100/200s и коммутаторов Microchip LAN969x.
• Обновлены версии пакетов, включая musl 1.2.5, glibc 2.41, gcc 14.3.0, binutils 2.44, dnsmasq 2.91, dropbear 2025.89 и busybox 1.37.0.
• Ядро Linux обновлено до выпуска 6.12.71 с беспроводным стеком cfg80211/mac80211, портированным из ядра 6.18.7 (в прошлой ветке поставлялось ядро 6.6 с беспроводным стеком из ядра 6.12).

1. OpenNews: Доступен дистрибутив OpenWrt 24.10
2. OpenNews: Опубликован инструментарий для запуска Debian на устройстве OpenWrt One
3. OpenNews: Представлен маршрутизатор Turris Omnia NG с прошивкой на базе OpenWRT
4. OpenNews: Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt
5. OpenNews: Дистрибутив OpenWrt переходит на пакетный менеджер APK

Проект OpenTitan предоставляет платформу для создания заслуживающих доверия аппаратных компонентов (RoT, Root of Trust), применяемых там, где нужно гарантировать целостное состояние аппаратных и программных элементов системы. OpenTitan основан компанией Google в 2018 году, но в 2019 году был передан некоммерческой организации lowRISC, после чего к его разработке присоединились такие компании, как Western Digital, Seagate, Nuvoton Technology, Winbond, Rivos, zeroRISC и G+D Mobile Security. Связанный с проектом код и спецификации аппаратных компонентов опубликованы под лицензией Apache 2.0. В основу решений, применяемых в OpenTitan, заложены технологии уже используемые в криптографических USB-токенах Google Titan и TPM-чипах для обеспечения верифицированной загрузки, устанавливаемых на серверах в инфраструктуре Google, а также на устройствах Chromebook и Pixel.

В отличие от существующих реализаций Root of Trust, OpenTitan развивается в соответствии с концепцией "безопасность через прозрачность", подразумевающей доступность кода и схем, а также применение полностью открытого процесса разработки, не привязанного к конкретным поставщикам и производителям чипов. OpenTitan стал первой выпущенной на рынок открытой реализацией Root of Trust, в которой имеется поддержка постквантового механизма безопасной загрузки, основанного на использовании алгоритма формирования цифровых подписей SLH-DSA (Sphincs+), стойкого от подбора на квантовых компьютерах.

Чипы на базе OpenTitan могут использоваться в серверных материнских платах, сетевых картах, потребительских устройствах, маршрутизаторах и устройствах интернета вещей для верификации прошивок и загружаемых компонентов (защита от модификации критически важных частей системы), для генерации криптографически уникальных идентификаторов системы (защита от подмены оборудования), для предоставления связанных с безопасностью сервисов, для защиты криптографических ключей (изоляция ключей в случае получения злоумышленником физического доступа к оборудованию) и для ведения изолированного лога аудита, который невозможно отредактировать или стереть.

OpenTitan включает логические блоки, востребованные в RoT-чипах, такие как открытый микропроцессор на базе архитектуры RISC-V (RV32IMCB Ibex), криптографические сопроцессоры, аппаратный генератор случайных чисел, менеджер ключей с поддержкой DICE, механизм защищённого хранения данных в постоянной и оперативной памяти, технологии защиты, блоки ввода/вывода и компоненты безопасной загрузки. Устройство также предоставляет блоки с реализацией типовых алгоритмов шифрования, таких как AES и HMAC-SHA256, и ускоритель математических операций, применяемых в алгоритмах для работы с цифровыми подписями на базе открытых ключей.

1. OpenNews: Представлен первый чип на базе открытой платформы OpenTitan
2. OpenNews: Google представил проект Open Se Cura для создания защищённых программно-аппаратных систем
3. OpenNews: Завершено RTL-проектирование OpenTitan, платформы для заслуживающих доверия чипов
4. OpenNews: Google открыл код защищённой операционной системы KataOS
5. OpenNews: Представлена платформа Precursor для создания свободных мобильных устройств

Основные новшества Android 16 QPR3 (1, 2, 3, 4):

• Добавлен режим рабочего стола, активируемый при подключении устройства к внешнему большому экрану. По аналогии с традиционной средой рабочего стола новый режим позволяет одновременно работать с окнами нескольких приложений, менять размер окон и использовать для навигации панель задач, показывающую активные приложения и допускающую закрепление ярлыков наиболее часто используемых программ.

  Возможно подключение клавиатуры и мыши, и назначение собственных комбинаций клавиш. На внешнем экране создаётся новый сеанс рабочего стола, а на телефоне можно продолжать работать в мобильном интерфейсе. Возможность включения десктоп-режима при подключении к внешнему экрану заявлена для смартфонов Google Pixel серии 8, 9 и 10, а также устройств Samsung S26, Fold7, Flip7 и Tab S11.

  

  При использовании режима на планшетах, таких как Samsung Galaxy Tab S11, десктоп-режим можно применять и на основном экране устройства, а внешний монитор использовать как дополнение к экрану планшета. В этом случае создаётся многомониторная конфигурация с единым виртуальным экраном, позволяющая перемещать курсор и окна приложений между основным и внешним экраном.

  

  Мобильные приложения, созданные с использованием механизмов построения адаптивного интерфейса, в десктоп-режиме выглядят как типовые настольные приложения. Из возможностей для создания адаптивных приложений отмечены объект Display (позволяет отслеживать изменение настроек экрана и перемещения приложения на другой экран) и API для обработки событий с клавиатуры и мыши. В оконный менеджер Jetpack WindowManager добавлены новые классы экранов - Large и Extra-large. Добавлены библиотеки Navigation 3 и Compose Material 3 Adaptive для создания интерфейсов, подстраивающихся под размер экрана.

• Обеспечена интеграция мессенджера Google Messages с Find Hub, позволяющая делиться информацией о своём местоположении во время чата и отслеживать нахождение друзей на карте в режиме реального времени. Возможно ограничение времени доступа к местоположению и досрочное прекращение передачи сведений.
  
  
• В Find Hub добавлена функция поиска местоположения потерянного авиакомпанией багажа, через отслеживание позиции размещённого в багаже Android-устройства и передачу службе поддержки авиакомпании ссылки, позволяющей увидеть информацию о местоположении в любом браузере.
  
  
• В Google Play добавлена поддержка отображения видео при навигации по каталогу приложений для более наглядного ознакомления с возможностями программ.
  
  
• Добавлена поддержка создания визитной карточки с фотографией и текстом, которые будут показаны получателю исходящего звонка.
  
  
• В Android Auto добавлен набор одобренных учителями обучающих игр для детей в возрасте от 3 до 12 лет, запускаемых на панели автомобильной информационной системы.
  
  
• В область уведомлений добавлена возможность показа краткой выжимки непрочитанной переписки в чате и помещения неважных уведомлений в отдельную группу.
• Добавлена возможность изменения формы пиктограмм на домашнем экране и применения ко всем пиктограммам монохромной темы оформления.
• В прошивках для устройств Google Pixel реализованы такие новшества, как поддержка распознавания одновременно нескольких объектов в Circle to Search, использование AI-ассистента Gemini для выполнения повседневных задач (например, можно заказывать продукты и взаимодействовать с программами на смартфоне), новое приложение Now Playing для распознания звучащих поблизости музыкальны треков, вывод в виджете At a Glance информации о курсах акций, пробках и счёта спортивных матчей, AI-генерация собственного стиля пиктограмм для домашнего экрана.

1. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года
2. OpenNews: Google оставит в Android возможность установки неверифицированных сторонних приложений
3. OpenNews: Выпуск платформы Android 16 QPR2 с поддержкой запуска графических Linux-приложений
4. OpenNews: Google переходит к публикации кода Android дважды в год
5. OpenNews: Вторая бета-версия Android 17

Целью сокращения цикла разработки называется желание более оперативно доводить новые возможности, исправления ошибок и оптимизации до пользователей и разработчиков web-приложений. Предполагается, что более частая публикация релизов не повлияет на качество, снизит риск сбоев при обновлении и упростит отладку, так как в каждом выпуске будет предлагаться меньше изменений.

Сокращённый цикл разработки начнёт действовать 8 сентября, после формирования по старому графику выпуска Chrome 153. Последующие стабильные выпуски и бета-версии, в которых осуществляется стабилизация перед релизом, начнут публиковаться каждые две недели. Цикл разработки веток Dev и Canary останется прежним, т.е. работа по разработке новой функциональности будет осуществляться в прежнем темпе (публикация ежедневных сборок Canary и формирование 1-2 раза в неделю dev-сборок, прошедших автоматизированное тестирование).

1. OpenNews: Chrome сокращает цикл подготовки релизов
2. OpenNews: Chrome сокращает цикл подготовки релизов и вводит в обиход редакцию Extended Stable
3. OpenNews: Поставка ОС Aluminium намечена на 2028 год. Поддержка ChromeOS сохранится до 2034 года
4. OpenNews: Выпуск Chrome 145
5. OpenNews: Google Chrome меняет режим выпуска релизов

Из отличий Gram от Zed отмечается прекращение поставки AI-инструментов и кода для отправки телеметрии, удаление привязок к проприетарным серверным обработчикам, сторонним сервисам и компонентам, применяемым для организации совместной работы с кодом и автоматической установки обновлений. Пользователям Gram не навязываются отдельные условий использования (Terms of Service) и платные подписки.

Дальнейшую разработку форка планируют вести в консервативном стиле, независимо от Zed и корпораций, и уделяя основное внимание обеспечению стабильности. Приём изменений в Gram осуществляется без необходимости подписания соглашения о передаче имущественных прав (CCA, Contributor License Agreement). Изменения под лицензией Apache 2.0 в Gram приниматься не будут, для нового кода можно использовать только лицензии GPLv3 и AGPLv3 (Zed поставлялся под тремя лицензиями Apache 2.0, GPLv3 и AGPLv3, что позволяло использовать его код в проприетарных продуктах без открытия изменений).

Одновременно опубликован первый релиз Gram, в котором удалён код, связанный с AI, телеметрией, загрузкой и установкой обновлений, совместной работой над кодом, привязкой к учётной записи. Из дополнительных возможностей в редактор встроена документация, добавлена поддержка языков программирования Gleam, Zig и Odin, реализована система автодополнения ввода в стиле Vim Supertab. Устанавливаемые дополнения в Gram должны собираться из исходного кода и автоматически не обновляются. Для загрузки LSP- (Language Server) и Node-компонентов введено обязательное подтверждение операции пользователем. Готовые сборки подготовлены для Linux и macOS.

Примечательно, что это не первый форк Zed - проект Zedless развивает форк, сфокусированный на обеспечении конфиденциальности и обособленной локальной работе без обращения к сторонним серверам. В Zedless также как в Gram убраны привязки к проприетарным облачным сервисам, удалён код для отправки телеметрии и автоматически генерируемых отчётов об аварийном завершении работы, не требуется CLA-соглашение. При этом функциональность совместной работы не удалена, а сосредоточена на развёртывании собственной инфраструктуры, но пользователь может вернуть использование внешних сервисов на своё усмотрение.

Проект Zed развивается под руководством Натана Собо (Nathan Sobo), автора редактора Atom (основа VS Code) при участии команды бывших разработчиков редактора Atom, платформы Electron и библиотеки для разбора синтаксиса Tree-sitter. При разработке учтён опыт создания Atom и предпринята попытка воплотить некоторые идеи о том, как должен выглядеть идеальный редактор для программиста. Zed совмещает в одном продукте легковесный текстовый редактор и функциональность современных интегрированных сред разработки. Большое внимание уделяется производительности и отзывчивости интерфейса - по задумке создателей проекта все действия при редактировании должны выполняться мгновенно, а задачи кодирования решаться наиболее эффективным способом. Высокая производительность Zed достигается благодаря активному использованию многопоточности с задействованием всех доступных ядер CPU и вовлечению GPU в процесс отрисовки.

1. OpenNews: В разработку редактора кода Zed инвестировано $42 млн. Создан Zedless, форк Zed
2. OpenNews: В многопользовательском редакторе кода Zed обеспечена поддержка Linux
3. OpenNews: Открыт редактор Zed, поддерживающий совместное написание кода
4. OpenNews: Первый выпуск проекта Pulsar, подхватившего разработку редактора кода Atom
5. OpenNews: GitHub сворачивает разработку редактора кода Atom

Отмечается, что сотрудничество будет способствовать продвижению нового поколения технологий конфиденциальности и безопасности, созданных благодаря совмещению новаторских наработок GrapheneOS, богатого опыта Motorola в области поддержания безопасности, понимания потребностей реальных пользователей и задействования решений ThinkShield от компании Lenovo (c 2014 года компания Motorola Mobility принадлежит компании Lenovo).

GrapheneOS развивает ответвление от кодовой базы AOSP (Android Open Source Project), включающее многие экспериментальные технологии, связанные с усилением изоляции приложений, детальным управлением доступом, блокированием проявления уязвимостей и усложнением работы эксплоитов. Среди прочего, в платформе задействована собственная реализация malloc, модифицированный вариант libc с защитой от повреждения памяти и более жёсткое разделение адресного пространства процессов. В ядре Linux включены дополнительные механизмы защиты, такие как канареечные метки в slub для блокирования переполнения буферов. Для усиления изоляции приложений задействованы SELinux и seccomp-bpf.

Пользователю предоставлена возможность выборочного управления доступом отдельных приложений к сетевым операциям, датчикам, адресной книге и периферийным устройствам (USB, камере). По умолчанию запрещено получение сведений об IMEI, MAC-адресе, серийном номере SIM-карты и других аппаратных идентификаторах. Чтение из буфера обмена разрешено только приложениям, в которых в данный момент активен фокус ввода. Включены дополнительные механизмы изоляции процессов, связанных с Wi-Fi и Bluetooth, и предотвращения утечек в результате беспроводной активности.

В GrapheneOS применяется криптографическая верификация загружаемых компонентов и шифрование данных на уровне файловых систем ext4 и f2fs, а не блочного устройства. Данные в системных разделах и в каждом профиле пользователя шифруются разными ключами. На экране блокировки отображается кнопка завершения сеанса, после нажатия которой ключи для расшифровки сбрасываются и хранилище переводится в неактивированное состояние. Пользователю предоставлена возможность задания дополнительного деструктивного пароля и PIN-кода, ввод которых приведёт к очистке всех ключей в аппаратных хранилищах, включая ключи, используемые для шифрования данных на накопителе, а также к очистке eSIM и перезагрузке.

В состав GrapheneOS принципиально не включаются приложения и сервисы Google, а также альтернативные реализации сервисов Google, такие как microG. При этом имеется возможность установки сервисов Google Play в отдельном изолированном окружении, не имеющем специальных привилегий. Проектом развивается несколько собственных приложений, сфокусированных на защите информации и приватности, таких как браузер Vanadium на базе Chromium, защищённый PDF-просмотрщик, межсетевой экран, приложение Auditor для верификации устройств и выявления вторжений, приложение для работы с камерой и система создания шифрованных резервных копий Seedvault.

Дополнение: На вопрос будет ли на новых смартфонах Motorola возможность разблокировки загрузчика разработчики GrapheneOS ответили, что соглашение с Motorola включает поддержку установки сторонних ОС на новые устройства. Среди прочего, пользователи смогут использовать собственные сборки GrapheneOS. Вероятно GrapheneOS будет создавать дополнительно защищённые варианты прошивок и драйверов, которые будут распространяться через официальные каналы распространения прошивок. Использование этих компонентов не потребует извлечения информации из предоставляемых готовых образов GrapheneOS и Motorola OS.

1. OpenNews: Давление французских силовых ведомств на GrapheneOS из-за отказа интегрировать бэкдор
2. OpenNews: В Android-платформе GrapheneOS появилась возможность создания деструктивного PIN-кода
3. OpenNews: Google добавит в Android режим расширенной защиты
4. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
5. OpenNews: Раскол среди создателей проекта CopperheadOS

Среди улучшений в Clang 22:

• Добавлена поддержка токенов выделения памяти (Allocation Token) для маркировки уникальным идентификатором операций выделения памяти, осуществляемых при помощи таких функций, как malloc. Идентификаторы дают возможность структурировать информацию в куче (heap), упростить выявление утечек в памяти и реализовать группировку объектов на основе назначения или характера изменений (например, разделять "горячие" или "холодные" данные). Для включения следует использовать флаг "-fsanitize=alloc-token".
• Возможности, связанные с языком С:
  • Реализован черновик спецификации, определяющей механизм отложенного выполнения "defer", дающий возможность выполнить действия в момент выхода из текущей области видимости. Для включения поддержи "defer" добавлен флаг "-fdefer-ts".
  • Добавлена встроенная функция __builtin_stack_address(), повторяющая аналогичную функцию в GCC. Функция возвращает адрес в стеке, разделяющий область стека текущей функции, вызвавшей __builtin_stack_address(), и в последующем вызываемыми функциями.
• Возможности, развиваемые для будущего стандарта C2y:
  • Добавлена поддержка именованных циклов, позволяющих присваивать имена циклам и оператору switch, которые можно указывать в операторах break и continue для явного определения цикла, из которого производится выход.

    
       outer:
       for (int i = 0; i < IK; ++ i) {
         for (int j = 0; j < JK; ++ j) {
            continue;       // переход к CONT1
            continue outer; // переход к CONT2
            // CONT1
         }
         // CONT2
       }
    

  • Расширена и включена в стандарт реализация встроенного макроса "__COUNTER__", предназначенного для генерации уникальных имён идентификаторов. Выставлен лимит в 2147483647 вызовов данного макроса, после превышения которого будет выведена ошибка.
  • Убран вывод предупреждения (-Wstatic-in-inline) при использовании статических функций или переменных внутри функций, объявленных как "extern inline".
• Возможности, определённые в Си-стандарте C23:
  • В заголовочный файл float.h добавлена поддержка макросов FLT_SNAN, DBL_SNAN и LDBL_SNAN, реализующих сигнальные (вызывающие исключение при использовании в арифметических операциях) значения NaN для типов float, double и long double.
  • Исправлена ошибка, из-за которой разные неименованные типы обрабатывались как совместимые в пределах одной единицы трансляции, если у них совпадали поля.
  • Флаг "-MG", используемый для игнорирования отсутствия заголовочных файлов при сканировании зависимостей, распространён на директивы "#embed" и теперь подавляет вывод ошибки "file not found" при отсутствии файла, указанного в директиве "#embed".
• Возможности, связанные с С++:
  • Добавлена развиваемая в спецификации C++2с (C++26) возможность использования структурированных привязок (structured binding) в контексте "constexpr", т.е. ссылки на константные выражения теперь сами могут быть константными выражениями. Поддержка реализована для массивов и простых структур (кортежи пока не поддерживаются).

    
       constexpr int arr[] = {1, 2};
       constexpr auto [x, y] = arr; 
    

  • В соответствии с требованием стандарта C++20 обеспечено преобразование ограничений (constraints) в стандартную форму перед проверкой их выполнения, что позволяет выдавать более точные диагностические сообщения и правильно обрабатывать ошибки подстановки в аргументах шаблона, используемых только в concept-ids.
  • Добавлено семейство встроенных функций "__builtin_[lt|gt|le|ge]_synthesizes_from_spaceship", позволяющих узнать, были ли операторы сравнения "<", ">", "<=" и ">=" синтезированы из оператора "<=>".
  • Параметр "-Wincompatible-pointer-types" переведён на вывод ошибки вместо предупреждения. Для возвращения старого поведения следует использовать опцию "-Wno-error=incompatible-pointer-types".
• Добавлены встроенные функции __builtin_bswapg, __builtin_elementwise_ldexp, __builtin_elementwise_fshl, __builtin_elementwise_fshr, __builtin_elementwise_minnumnum, __builtin_elementwise_maxnumnum, __builtin_masked_load, __builtin_masked_expand_load, __builtin_masked_store, __builtin_masked_compress_store, __builtin_masked_gather, __builtin_masked_scatter и __builtin_dedup_pack. Например, builtin_dedup_pack позволяет удалить дубликаты из списка типов:

  
     using MyTypeList = TypeList<__builtin_dedup_pack<int, double, int, char, double>...>;
     // результирующий тип будет TypeList<int, double, char>
  

• При отладке неопределённого поведения через UBSan (-fsanitize=undefined -fsanitize-trap=undefined) обеспечено добавление в генерируемую отладочную информацию сведений о причинах ошибок. Для задания уровня детализации информации об ошибках добавлен флаг "-fsanitize-debug-trap-reasons", который может принимать значение "basic" для общих описаний (например, "Integer addition overflowed") и "detailed" для включения развёрнутой информации (например, "signed integer addition overflow in 'a + b'").
• Добавлены новые флаги компилятора:
  • "-f[no-]sanitize-debug-trap-reasons" для управления встраиванием причин возникновения исключений (trap) в отладочную информацию при компиляции в режиме "-fsanitize-trap".
  • "-fsanitize=alloc-token", "-falloc-token-max", "-fsanitize-alloc-token-fast-abi" и "-fsanitize-alloc-token-extended" для управления токенами выделения памяти.
  • "-fmatrix-memory-layout" для управления размещением в памяти матричных типов (например, column-major - по столбцам, row-major - по строкам).
• Для функций реализован атрибут "malloc_span", похожий на атрибут malloc, но применяемый к функциям, возвращающим span-подобные структуры, содержащие указатель и поле с размером или указателем на конец блока.
• Добавлен атрибут "modular_format" для динамического выбора необходимой статически связываемой реализации функции printf во время компоновки.
• Расширены средства диагностики и статического анализа, добавлены новые проверки (несколько десятков улучшений, связанных с диагностикой).
• В бэкенд для архитектуры X86 добавлены дополнительные встроенные функции (Intrinsics) для расширений SSE, AVX и AVX512. Добавлены режимы сборки для CPU Intel на базе микроархитектур Wildcat Lake (-march=wildcatlake) и Nova Lake (-march=novalake).
• В бэкенд для архитектуры AArch64 добавлена поддержка процессоров Ampere Computing Ampere1C (ampere1c), Arm C1-Nano (c1-nano), Arm C1-Pro (c1-pro), Arm C1-Premium (c1-premium) и Arm C1-Ultra (c1-ultra). Добавлены дополнительные встроенные функции для инструкций FCVTZ[US], FCVTN[US], FCVTM[US], FCVTP[US], FCVTA[US]. Стабилизирована поддержка FMV (Function Multi-Versioning). Пользователям предоставлена возможность переопределения приоритета различных версий функций.
• Добавлена поддержка архитектуры LoongArch32 (LA32R, LA32S).
• Улучшены бэкенды для архитектур ARM, AMDGPU, RISC-V, LoongArch64, MIPS, WebAssembly и PowerPC.

1. OpenNews: LLVM ввёл правила применения AI-инструментов. Curl и Node.js ограничат выплаты за уязвимости из-за AI
2. OpenNews: Релиз набора компиляторов LLVM 21
3. OpenNews: В Clang намерены добавить режим усиленной безопасности
4. OpenNews: На базе Clang для языка Си реализован режим проверки границ буферов
5. OpenNews: Релиз набора компиляторов GCC 15

В законопроекте указано, что ответственные за разработку, лицензирование или установку операционной системы на компьютеры, мобильную технику и прочие устройства должны предоставить при создании учётной записи интерфейс для ввода данных о дате рождения и возрасте регистрируемого пользователя с целью передачи информации о категории возраста приложениям, получаемым через каталоги-магазины приложений. Под каталогом-магазином понимается любой публичный сайт, приложение, online-сервис или платформа для загрузки программ, созданных сторонними разработчиками.

Загруженные и запущенные приложения должны иметь возможность получать от операционной системы информацию о возрасте в 4 градациях: младше 13 лет, от 13 до 16 лет, от 16 до 18 лет, 18 лет и старше. Разработчик приложения должен использовать полученную информацию о возрасте для соблюдения законодательства о защите детей в интернете. За невыполнение требований предусмотрены штрафы до $2500 за неумышленное и до $7500 за умышленное нарушение в отношении каждого пострадавшего ребёнка.

Судя по всему, дистрибутивы Linux и используемые ими репозитории пакетов подпадают под действие принятого законопроекта. Вопрос обеспечения поддержи законопроекта в дистрибутивах Linux находится на стадии обсуждения. Некоторые участники считают, что будет достаточно написать на сайтах некоммерческих дистрибутивов, что продукт не предназначен для использования в Калифорнии.

Дополнение 1: Проект MidnightBSD добавил на страницу загрузки предупреждение, что начиная с 1 января 2027 года жителям штата Калифорния запрещается использовать MidnightBSD на территории штата из-за вступления в силу закона о верификации возраста. Указано, что из-за нехватки времени разработчики не планируют добавлять в MidnightBSD требуемые законом возможности.

Дополнение 2: Разработчики Ubuntu обсуждают добавление в дистрибутив API для запроса приложениями информации о возрасте пользователя. Рассматривается возможность реализации данного API через xdg-desktop-portal или сервис AccountsService с отправкой запросов через D-Bus.

1. OpenNews: Возобновлён судебный процесс о законности применения блокировщиков рекламы
2. OpenNews: Разработчики Debian опубликовали заявление, связанное с законопроектом Cyber Resilience Act
3. OpenNews: В закон DMCA внесены исключения, разрешающие замену прошивок маршрутизаторов
4. OpenNews: Калифорнийский законопроект делает скрытое использование ботов нелегальным
5. OpenNews: Компания Nintendo подала в суд иск против разработчиков эмулятора Yuzu

В первом эксперименте AI-ассистенту Claude Code была поставлена задача обнаружения проблем в кодовой базе DNS-сервера BIND 9, фокусируясь на проблемах с безопасностью и модернизации кода. Ни одно из предложенных исправлений не было принято в кодовую базу, так как Claude сгенерировал технически корректный, но практически бесполезный код. Например, в качестве проблем отмечались зарезервированные идентификаторы и потенциальные целочисленные переполнения, предотвращаемые компилятором и не требующие правки. Эксперимент признан бесполезной тратой времени.

Во втором эксперименте Ондржей попросил Claude написать систему телеметрии, интегрируемую с разными пакетами и минимизирующую утечки метаданных. Claude Code подготовил прототипы клиента и сервера, но без должного понимания окружения и возникающих в процессе тестирования проблем. Дополнительно для проверки были задействованы Google Gemini и ChatGPT, и каждая AI-модель находила ошибки в результате работы других моделей.

Для быстрого создания прототипа метод оказался пригоден, но Ондржей отметил, что при работе он чувствовал себя секретарём робота‑повелителя. Вначале быстрое получение прототипа внушало оптимизм, но в конце возникло ощущение, что весь процесс разработки с помощью AI занял больше времени, чем при написании кода вручную с нуля. Много времени было потрачено на разбор решения, предложенного AI, проверку наличия бессмысленных изменений и переработку - прототип пришлось переделать, так как качество кода после AI оказалось посредственным и код включал большое число повторяющихся конструкций.

Третьим экспериментом стала генерации балансировщика нагрузки на языке Rust с использованием crate-пакетов Domain и Tokio. Claude Code сумел сгенерировать запрошенный рабочий прототип, но Ондржей не настолько хорошо знает Rust и задействованные библиотеки, чтобы оценить качество проделанной работы.

Четвёртый эксперимент был связан с подготовкой в Google Gemini вспомогательных материалов, тестов и вопросов к курсу лекций, который Ондржей преподаёт в университете. Данный эксперимент признан наиболее успешным, хотя не обошлось без проблем - AI выдумал несуществующее чешское слово для термина по криптографии. Также отмечено обилие присылаемых ему студенческих работ, сгенерированных большими языковыми моделями, которые приходятся возвращать на переделку из-за несоответствия работы университетскому уровню и ссылок на некорректные источники.

Дополнительно можно отметить ещё один эксперимент, проведённый директором по инжинирингу компании Cloudflare. При помощи модели Claude Code, потратив примерно неделю времени и 1100 долларов на токены, удалось подготовить альтернативную реализацию API фреймворка Next.js, оформленную в виде плагина к инструментарию Vite. Проект получил название vinext и опубликован на GitHub. Новая реализация в четыре раза быстрее, чем сборка Next.js при помощи Turbopack, и формирует бандлы для фронтэндов, занимающие на 57% меньше места.

Проект реализует 94% шестнадцати базовых API Next.js и может использоваться в качестве прозрачной замены Next.js и развёртывания проектов в платформе Cloudflare Workers без применения дополнительных прослоек, таких как OpenNext, и без привязки к Node.js. Ключевым назначением vinext называется предоставление возможности использования API Next.js на платформах, отличных от Vercel, и без развёртывания собственного сервера. В текущем виде поддерживается только Cloudflare Workers и имеется прототип для Vercel, но в будущем ожидается поддержка и других платформ бессерверных вычислений, с которыми может работать Vite, включая Netlify и AWS Lambda.

1. OpenNews: AI-модель Claude Opus 4.6 выявила более 500 ранее неизвестных уязвимостей
2. OpenNews: Anthropic опубликовал Си-компилятор, созданный AI-моделью Claude Opus и способный собрать ядро Linux
3. OpenNews: Компоненты браузера Ladybird начали переписывать на Rust при помощи AI
4. OpenNews: Сравнение числа ошибок в коде, написанном людьми и AI
5. OpenNews: Эксперимент по использованию AI для рецензирования изменений в DRM-подсистеме ядра Linux

В Open Source Endowment пожертвования напрямую не распределяются среди получателей грантов, а инвестируются в портфель ценных бумаг с низким уровнем риска. Для выплаты грантов используется только полученный от инвестиций доход, который составляет приблизительно 5% в год. Подобная модель работы некоммерческих фондов получила распространение для финансирования научных исследований в университетах. Отмечается, что мир Open Source во многом похож на исследовательский университет и имеет схожую культуру, основанную на репутации, и схожие функции - совместное создание интеллектуальной собственности для общественного блага, взаимное обучение внутри тематических сообществ и коммерциализация лишь небольшой части результатов.

Средства будут предоставляться наиболее значимым открытым проектам в форме микрогрантов, размером примерно $5000, нацеленных на проведение работы по повышению стабильности и увеличению безопасности или вознаграждение сопровождающих. Допускаются только независимые проекты, не связанные с корпорациями, не ассоциируемые со стартапами и не получающие венчурное финансирование. Первые выплаты намечены на второй квартал 2026 года.

Получатели грантов номинируются через специальную форму на сайте, после чего из полученных заявок при помощи модели оценки рисков и при участии сообщества выбираются победители, заслуживающие предоставления финансирования. При выборе учитываются такие показатели, как число загрузок, объём зависимых проектов, задействование в критических системах, размер кодовой базы, состояние безопасности, число активных участников, состояние с сопровождением, зависимость от отдельных лиц (фактор автобуса). Отобранные проекты получают подтверждение от жертвователей фонда, после чего окончательно утверждаются советом директоров.

Фонд основан Константином Виноградовым, венчурным инвестором, специализирующемся на открытом ПО, AI и инфраструктурных проектах, в прошлом являвшимся одним из партнёров в венчурном фонде Runa Capital. В состав совета директоров вошли Чад Витакре (Chad Whitacre, создатель инициатив Open Source Pledge и Fair Source), Максим Коновалов (сооснователь компании Nginx) и Константин Виноградов. Исполнительным директором назначен Джонатан Старр (Jonathan Starr, сооснователь SciOS и Института практик открытой науки). В надзорный комитет вошли Эми Паркер (Amy Parker, руководитель OpenSSL Foundation) и Влад-Стефан Харбуз (Vlad-Stefan Harbuz, сопровождающий Open Source Pledge и ключевой разработчик сервиса thanks.dev).

На данный момент размер собранного Фондом целевого капитала составляет 693 тысячи долларов. К проекту подключился 61 крупный жертвователь и 44 участника с размером пожертвований около тысячи долларов. Наиболее крупные пожертвования, превышающие 100 тысяч долларов, передали Игорь Сысоев (создатель Nginx), Митчелл Хашимото (Mitchell Hashimoto, сооснователь HashiCorp) и Кайлаш Надх (Kailash Nadh, технический директор Zerodha).

Среди участников, пожертвовавших от 10 до 100 тысяч долларов - Константин Виноградов, Максим Коновалов, Шей Банон (Shay Banon, основатель Elastic) и Эван Ю (Evan You, создатель Vue.js и Vite). Участие в проекте также приняли директор Apache Software Foundation, председатель совета директоров Open Source Initiative, директор по Gen AI в NVIDIA, технический директор Linux Foundation, бывший руководитель GitHub, а также основатели или сооснователи таких проектов, как ClickHouse, Apache Arrow, cURL, Archestra, n8n и Percona.

1. OpenNews: Проблемы с финансированием каталогов пакетов открытого ПО
2. OpenNews: Финансирование СПО за счет введения компенсационной платы за плохой код
3. OpenNews: Новые проекты Linux Foundation по финансированию, безопасности и совместной разработке СПО
4. OpenNews: Инициатива Maintenance Fee, предлагающая взимать плату за доступ к сборкам релизов открытых проектов
5. OpenNews: Flathub внедряет поддержку пожертвований и платных приложений

Для проведения атак злоумышленник должен иметь возможность подключиться к той же беспроводной сети, что и у жертвы, или к гостевой сети, обслуживаемой той же точкой доступа. Например, атаки могут применяться в публичных общественных беспроводных сетях. Из 9 протестированных моделей беспроводных точек доступа от Netgear, Tenda, D-LINK, TP-LINK, ASUS, Ubiquiti, LANCOM и Cisco, а также решений с прошивками DD-WRT и OpenWrt, все из устройств оказались подвержены как минимум одному методу атаки.

Выделяются три проблемы, позволяющие совершить атаку. Первая проблема позволяет обойти изоляцию между клиентами из-за некорректного управления ключами, используемыми для защиты широковещательных кадров. Вторая проблема связана с тем, что изоляция обычно применяется на уровне MAC или на уровне IP, но не на обоих уровнях одновременно. Третья проблема вызвана ненадёжной синхронизацией идентификаторов клиентов на уровне всего сетевого стека, что позволяет перехватывать входящий и исходящий трафик других клиентов.

Современные беспроводные точки доступа объединяют в себе функции радиопередатчика и сетевого коммутатора (Layer 2 Switch), при этом коммутатор, в отличие от проводных сетей, вместо привязки клиента к физическому порту, использует логическую привязку к беспроводному каналу. В качестве идентификатора при такой привязке используется MAC-адрес клиента, который отождествляется с каналом в специальной таблице MAC-адресов. В случае переключения клиента на иной диапазон частот (например, после перехода с 2.4 ГГц на 5 ГГц) данные в таблице обновляются.

Атака проводится на первом (физический, радиоканал) и втором (канальный, MAC-адрес) уровнях сетевой модели OSI, и сводится к тому, что злоумышленник, подключившийся к той же точке доступа, но использующий частотный диапазон не как у жертвы (например, 2.4 ГГц вместо 5 ГГц), отправляет запрос на согласование соединения (4-way handshake), указав в качестве своего MAC-адрес как у жертвы (подобие ARP-спуфинга в Ethernet-сетях). Так как клиенты идентифицируются по MAC-адресу, точка доступа считает, что клиент переключился на другой канал, и меняет запись в таблице MAC-адресов. После этого весь входящий трафик от точки доступа начинает отправляться на устройство атакующего.

Для организации двунаправленного перехвата атакующий, получив адресованные жертве данные, возвращает состояние таблицы MAC-адресов в исходное состояние. Для этого отправляется пакет "ICMP Ping" c указанием случайного MAC-адреса и шифрованием пакета ключом GTK (Group Temporal Key), общим для всех клиентов беспроводной сети. Точка доступа, получив данный пакет, возвращает привязку MAC-адреса жертвы к исходному беспроводному каналу. Вклинивание в трафик осуществляется через цикличную подмену и возвращение записи в таблице MAC-адресов.

1. OpenNews: Атака Port Shadow, позволяющая перенаправлять соединения других пользователей VPN и Wi-Fi
2. OpenNews: Атака SSID Confusion, позволяющая подменить сеть Wi-Fi
3. OpenNews: Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi
4. OpenNews: Атака по деаутентификации камер наблюдения, использующих Wi-Fi
5. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети

Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 9.3, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE.

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

Основные новшества:

• Добавлена поддержка сохранения документов в формате Markdown (md).
• В редактор документов добавлен режим многостраничного просмотра, позволяющий одновременно бок о бок просматривать несколько страниц.
• Реализована возможность выделения комментариев разных пользователей своими цветами. Обеспечена пометка начала и конца каждого отрывка текста на который оставлен комментарий.
• Настройки верхнего и нижнего колонтитулов объединены и выделены в отдельную вкладку.
• Добавлена возможность быстрого выделения целиком слов или параграфов, используя двойной или тройной клик мышью.
• В редакторе PDF-форм расширены возможности для добавления подписей в документы. При загрузке изображения подписи в поле с подписью добавлена возможность удаления белого фона. Помимо загрузки изображения предоставлена поддержка подписания от руки непосредственно на экране, используя тачпад, сенсорный экран, графический планшет или мышь. Также появилась возможность ввода подписи текстом с отображением результата специальным шрифтом.
• В редактор PDF-документов добавлена поддержка редактирования полей, защищённых паролем.
• Реализована возможность создания и редактирования ссылок, указывающих на внешние ресурсы или имеющиеся в PDF-документе страницы.
• В редактор PDF добавлена поддержка работы с историей версий PDF-файлов, редактирования встроенных в PDF-документ шрифтов, настройки вывода страниц на печать. В PDF разрешено вставлять в ячейки таблиц изменяемые поля и использовать макросы для добавления/удаления/редактирования страниц, форм, аннотаций, таблиц, изображений и диаграмм.
• В редакторе электронных таблиц проведена оптимизация начальной отрисовки больших таблиц, занимающих более 3 МБ. Добавлен инструмент "Solver", который позволяет решать задачи линейного программирования прямо в таблице с использованием симплекс‑метода.
• Добавлены функции REGEXTEST, REGEXREPLACE и REGEXEXTRACT, позволяющих использовать регулярные выражения для поиска, извлечения и замены в тексте.
• Добавлена поддержка динамических массивов, через которые формулы могут возвращать набор из нескольких значений, автоматически разделяемых на серию соседних ячеек.
• В панель инструментов добавлена кнопка "Format" для быстрого доступа ко всем опциям форматирования и управления отображением таблиц, строк и столбцов.
• В редактор презентаций добавлена поддержка GIF-анимации при показе слайдшоу, что позволяет добавить в презентацию анимацию без вставки видео.
• Добавлена поддержка открытия для просмотра файлов в формате TSV (Tab-Separated Values).
• Реализована возможность добавления гиперссылок на изображения, фигуры и группы.
• Расширены возможности записи макросов для документов, электронных таблиц и презентаций.
• Добавлена кнопка для сброса изменения масштаба.
• Устранены уязвимости: межсайтовый скриптинг (XSS) при динамической загрузке макросов (CVE-2021-43446, CVE-2023-50883, CVE-2024-44085); чтение из области вне границ буфера и разыменование указателя при обработке специально оформленных файлов XLS; проблема в сервисе установки обновлений, позволяющая выполнить действия с системными привилегиями.

1. OpenNews: Выпуск офисного пакета LibreOffice 26.2
2. OpenNews: Опубликован офисный пакет ONLYOFFICE 9.2
3. OpenNews: Представлен открытый офисный пакет Collabora Office
4. OpenNews: Выпуск Apache OpenOffice 4.1.16 с устранением переполнения буфера при обработке CSV-файлов
5. OpenNews: Решено возобновить разработку LibreOffice Online, серверной версии для Web

Уязвимости вызваны наличием в telnetd возможности передачи клиентом переменных окружения на сервер при помощи опции ENVIRON. Подобные переменные окружения выставляются и обрабатываются в контексте процесса telnetd и передаются в запущенные им дочерние процессы, включая запускаемый с правами root процесс /bin/login. Уязвимость CVE-1999-0073 позволяла telnet-клиенту передать переменную окружения LD_LIBRARY_PATH, выставление которой приводит к загрузке указанной пользователем разделяемой библиотеки при запуске процесса login. При возможности загрузки файлов в систему, поддерживающую подключение по протоколу telnet, атакующий может загрузить специально оформленную библиотеку и организовать её загрузку с правами root.

В telnetd из набора GNU InetUtils уязвимость была устранена путём запрета опасных переменных окружения через фильтрацию по маскам "LD_", "LIBPATH", "ENV", "IFS" и "_RLD_". При этом незаблокированной оказалась переменная окружения "CREDENTIALS_DIRECTORY", обрабатываемая при запуске /usr/bin/login. При помощи данной переменной окружения пользователь мог изменить каталог с настройками учётных данных и разместить в новом каталоге файл login.noauth со значением "yes", активирующим вход без пароля (аналог передачи процессу login флага "-f"). Настройка действует для всех пользователей, включая root.

Атака сводится к созданию непривилегированным пользователем подкаталога в своём домашнем каталоге, загрузки в него файла login.noauth и попытки входа с выставлением переменной окружения "CREDENTIALS_DIRECTORY=созданный каталог" и передачей переменной окружения "USER=root" (в telnet имеется режим автоматического подключения, в котором имя пользователя берётся не из командной строки, а передаётся через переменную окружения USER). Пример эксплоита.

Следом выявлен ещё один способ получения root-доступа через telnetd, связанный с манипуляцией переменными окружения OUTPUT_CHARSET и LANGUAGE, обрабатываемыми библиотекой GNU gettext, и переменной окружения GCONV_PATH, используемой в glibc. Через выставление переменных окружения OUTPUT_CHARSET и LANGUAGE атакующий может активировать в gettext функциональность преобразования кодировки символов, вызывающей функцию iconv_open(). В свою очередь, при выполнении функции iconv_open() при загрузке конфигурационного файла gconv-modules, путь вычисляется с учётом переменной окружения GCONV_PATH. Через подстановку файла gconv-modules можно организовать загрузку собственной разделяемой библиотеки во время вывода локализированной строки процессом login.

CVE-идентификаторы отмеченным уязвимостям пока не присвоены. В качестве метода защиты рассматривается задействование белого списка допустимых значений ("TERM", "DISPLAY", "USER", "LOGNAME" и "POSIXLY_CORRECT") с блокированием всех остальных переменных окружения, по аналогии с тем как осуществляется работа с переменными окружения в OpenSSH. Уязвимости подтверждены в пакете GNU InetUtils, реализация сервера telnetd из которого поставляется в Debian, Ubuntu и производных дистрибутивах. Исправления для GNU InetUtils пока отсутствуют. В Rocky Linux 9 поставляется не подверженный уязвимости модифицированный telnetd, в котором вместо фильтрации опасных переменных окружения включена проверка по белому списку. Фильтрация по белому списку также реализована в telnetd из состава FreeBSD. В OpenBSD telnetd исключён из системы в 2005 году.

Дополнение: Назначен идентификатор уязвимости - CVE-2026-28372.

1. OpenNews: Уязвимость в telnetd, позволяющая подключиться с правами root без аутентификации
2. OpenNews: Во FreeBSD устранено 5 уязвимостей, включая критическую root-уязвимость в telnetd
3. OpenNews: Получение root привилегий через telnetd демон во FreeBSD (опубликован патч)
4. OpenNews: Критическая проблема безопасности в telnet сервисе Solaris
5. OpenNews: Уязвимость в KDE Konsole, позволяющая выполнить код при открытии страницы в браузере