Переработан интерфейс конфигуратора, в котором расширены возможности поиска настроек, крупные секции разделены на несколько отдельных страниц, улучшена навигация, обновлены метки и описание настроек.
Добавлена экспериментальная поддержка формата изображений JPEG XL, который стандартизирован в 2021 году (ISO/IEC 18181) как универсальная замена JPEG, превосходящая WebP, JPEG, PNG и GIF по эффективности сжатия и поддерживающая сжатие существующих JPEG-файлов без потери качества, HDR, анимацию, прозрачность, режим прогрессивной загрузки и многослойные изображения. Включение JPEG XL осуществляется в конфигураторе в секции "Firefox Labs".
В режиме приватного просмотра предоставлена возможность временного отключения блокировки кода отслеживания перемещений для сайтов, с которыми возникли проблемы из-за блокировки. Наличие возможных проблем определяется по перезагрузке пользователем страницы. Для перезагруженных страниц, на которых заблокированы трекеры, в верхней части появляется уведомление с предложением временно отключить блокировку трекеров в текущей вкладке.
Обеспечено дублирование в контекстном меню кнопок управления воспроизведением видео (воспроизведение, остановка, отключение звука, зацикливание и открытые в полноэкранном режиме), что позволяет сохранить возможность управления воспроизведением даже на сайтах, блокирующих кнопки в своих видеоплеерах (например, в Instagram и TikTok).
Добавлена возможность отключения звука разом во всех окнах через набор в адресной строке команд "mute", "shush" или "sssh"
В сборках для Linux и Windows появилась возможность копирования ссылки на страницу во вкладке через выбор "Share > Copy Link" в контекстном меню, показываемом при клике правой кнопкой мыши на вкладке (позволяет скопировать ссылку не переходя на вкладку). Если выделено несколько вкладок подобным образом можно сразу скопировать несколько ссылок.
В интерфейсе настройки содержимого панели (More Tools > Customize Toolbar) появилась возможность закрепления кнопки "Send tab".
Изменение масштаба страницы при помощи клавиатуры или мыши теперь производится меньшими шагами.
В случае закрытия страницы или переключения на другую вкладку после инициирования загрузки PDF-документа или другого напрямую показываемого файла, загруженное содержимое теперь открывается в фоновой вкладке.
В контекстное меню боковой панели со списком вкладок на других устройствах пользователя добавлены кнопки для открытия содержимого в новой вкладке или в новой группе вкладок.
В инструменты для web-разработчиков добавлена опция "Show comments" для включения и отключения показа комментариев (<!-- -->) в HTML при инспектировании страницы.
В API Notifications предоставлена возможность добавления кнопок с собственными действиями, показываемых под текстом уведомления.
Добавлено CSS-свойство field-sizing, позволяющее сделать размер элементов формы зависимым от их содержимого, например, для автоматического увеличения размера текстового поля по мере ввода данных.
В API Pointer Lock реализована опция unadjustedMovement, при установке которой данные о событиях движения мыши передаются в чистом виде, без корректировок и ускорения. Например, unadjustedMovement позволяет добиться более качественного движения в шутерах от первого лица.
В Firefox для Android добавлена AI-функция для резюмирования длинных статей одним касанием (пока поддерживается только английский язык). Реализована функция отправки просматриваемого PDF-файла или ссылки на него. Повышена производительность масштабирования щипком. Добавлен виджет World Cup для отслеживания текущего счёта, расписания и результатов матчей.
Кроме новшеств и исправления ошибок в Firefox 152 устранено 77 уязвимостей (17 собрано под CVE-2026-12328, 12 под CVE-2026-12327 и 11 под CVE-2026-12326). 60 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.
После четырёх месяцев разработки опубликован релиз среды рабочего стола KDE Plasma 6.7. Для оценки работы новых выпусков KDE можновоспользоваться сборками от проектов KDE Linux, KDE Neon и openSUSE (Argon, основанный на openSUSE Leap, и Krypton, основанный на openSUSE Tumbleweed).
Интегрирован унифицированный движок стилей Union, позволяющий использовать разные технологии стилевого оформления приложений, доступные в KDE. По умолчанию для стилей задействован формат CSS вместо ранее используемого SVG. Подготовлена новая реализация темы Breeze, оформленная в формате CSS.
Движок Union состоит из трёх слоёв:
Входной слой реализуется через подключаемые плагины, обеспечивающие разбор входных форматов файлов со стилями и их преобразование в абстрактное описание для отрисовки. Например, в качестве входного формата могут использоваться темы оформления в формате SVG или CSS.
Промежуточный слой оформлен в виде библиотеки, описывающей модель данных и методы для применения стилей к каждому элементу.
Выходной слой содержит плагины для преобразования сформированного промежуточным слоем универсального стиля в команды для отрисовки, специфичные для конкретного графического стека. Например, на выходе могут формироваться стили для QtQuick или Qt Widgets.
Реализована полноценная поддержка сохранения и восстановления сеансов при использовании Wayland, позволяющая восстановить состояние, привязку к виртуальным рабочим столам и позицию окон прерванного сеанса после перезагрузки или аварийного завершения работы. Реализация основана на добавленной в KWin поддержке протокола xdg-session-management, предложенного в выпуске Wayland-Protocols 1.48.
Добавлена возможность независимого переключения между виртуальными рабочими столами на каждом экране (ранее виртуальные рабочие столы переключались синхронно на всех мониторах, а теперь в привязке к каждому монитору).
Добавлен режим ввода с клавиатуры диакритических знаков и спецсимволов, отсутствующих на физической клавиатуре. При удержании нажатия клавиши, связанной со спецсимволом, теперь показывается всплывающая подсказка, позволяющая во время ввода быстро выбрать нужный спецсимвол. Выбор осуществляется клавишами управления курсором, нажатием упомянутых в подсказке цифр или кликом мыши. Режим реализован в модуле plasma-keyboard и требует включения виртуальной клавиатуры (System Settings > Keyboard > Virtual Keyboard).
Предоставлена возможность установки собственных звуковых тем из загруженных архивов, без необходимости их предварительной ручной распаковки в каталог .../share/sounds.
Добавленафункция для проверки настроек микрофона, позволяющая записать себя, а потом воспроизвести запись для оценки выставленной чувствительности микрофона.
В виджеты управления яркостью и цветопередачей добавлены кнопки для быстрого переключения между светлым и тёмным режимами оформления.
В виджет управления выводом на печать добавлена индикация числа активных и находящихся в очереди заданий вывода на печать по отдельности для каждого из принтеров.
Старый диалог для управления очередью вывода на печать заменён на вызов отдельного приложения plasma-print-queue, позволяющего наглядно управлять несколькими очередями для разных локальных или внешних принтеров.
В размещаемый на панели виджет вывода на печать добавлены метки о числе активных и находящихся в очереди работ.
В обзорном режиме, вызываемом комбинацией клавиш Meta + W, реализована возможность использования прокрутки или клавиш Page Up/Page Down для переключения между виртуальными рабочими столами.
В меню добавлена поддержка перемещения приложений в секцию "Избранное" и удаления из неё, путём перемещения мышью ярлыка из виджетов Application Launcher, Application Menu и Application Dashboard.
Изменён порядок секций на главной странице менеджера приложений Discover - секция "выбор редакции" перемещена на второе место и теперь следует после списка наиболее популярных пакетов. На странице обновлений задействован поиск без учёта регистра символов, а на странице со списком установленных программ по умолчанию включена разбивка на категории для упрощения поиска искомого приложения. Добавлена опция для автоматического выхода из программы после завершения установки обновлений. По умолчанию включена сортировка приложений по числу отзывов (сортировку по рейтингу можно вернуть в настройках). С главной страницы убран показ элементов, не связанных с приложениями. Переделано оформление области с параметрами приложений, в которую перенесена кнопка для установки.
Предоставлена возможность добавления дополнительных виджетов с часами для разных часовых поясов, которые среди прочего будут показывать отличия времени от текущего часового пояса.
Возвращена возможность выбора темы оформления Air Plasma, более легковесной, чем тема Oxygen.
Реализован скруглённый стиль выделения элементов в приложениях на базе QtWidgets, таких как Dolphin, Okular и KMail. Изменение позволило унифицировать внешний вид и повсеместно перейти к стилю выделения, ранее задействованному в приложениях на базе QtQuick.
Изменена анимация появления уведомлений, которые теперь выезжают из ближайшего края экрана. В уведомлениях, генерируемых рабочим столом Plasma, изменена пиктограмма и сокращён заголовок.
Предоставлена возможность выставления глобальной комбинации клавиш для очистки истории уведомлений.
В состав включён пользовательский интерфейс Plasma Bigscreen, предназначенный для использования на мультимедийных устройствах, подключаемых к телевизорам и проекторам. Окружение оптимизировано для работы с большими экранами и управления без клавиатуры c использованием пультов дистанционного управления или голосового помощника.
Реализована возможность выставления для дисплея цветового профиля ICC при включённом режиме HDR.
В композитный менеджер KWin добавлена возможность использования замещающих друг друга виртуальных фреймбуферов при работе с несколькими GPU (multi-GPU swapchain), а также реализована поддержка графического API Vulkan в DRM-бэкенде (Direct Rendering Manager), что после внесения оптимизаций в будущем позволит добиться увеличения производительности в конфигурациях с несколькими GPU. На текущем этапе производительность связок из встроенных GPU AMD и Intel с дискретными видеокартами AMD и NVIDIA при использовании Vulkan примерно соответствует OpenGL.
Добавлена поддержка портала (xdg-desktop-portal) "Background apps" (org.freedesktop.background.Monitor), позволяющего графическим приложениям переходить в фоновый режим со скрытием окон, оставляя лишь индикатор о своём состоянии в системном лотке.
Добавлена поддержка xdg-портала Notification для настройки и вывода уведомлений из изолированных приложений, например, поставляемых в формате Flatpak.
В KWin добавлена поддержка Wayland-протокола ext-background-effect-v1, дающего возможность
создавать такие эффекты, как размытие фона.
В композитном менеджере KWin реализована поддержка экспериментального Wayland-протокола xx-fractional-scale-v2, благодаря которому удалось избавиться от излишних зазоров между соседними элементами на экранах с высокой плотностью пикселей, например, между развёрнутым на весь экран окном и панелью. Протокол xx-fractional-scale предоставляет возможность масштабирования системы логических координат, значения в которой задаются целыми числами, для повышения точности позиционирования и увеличения разрешения логических координат до отдельных пикселей. Подобная возможность решает проблему с ограниченным разрешением системы логических координат, недостаточным для позиционирования на уровне отдельных пикселей, необходимого для полноценной реализации дробного масштабирования в KDE.
В KWin внесены оптимизации, повышающие производительность и эффективность энергопотребления в программах, осуществляющих отрисовку при помощи CPU. Оптимизация заметна в большинстве программ KDE и в приложениях, использующих QtWidgets (в QtWidgets для отрисовки применяется CPU, а в QtQuick задействовано ускорение через GPU). Например, при работе в KDevelop теперь всегда плавно двигается указатель, а нагрузка на CPU при прокрутке снизилась с 80-90% до 20%.
В KWin продолжена работа по реализации поддержки графического API Vulkan
в DRM-бэкенде (Direct Rendering Manager). Ожидается, что использование
Vulkan позволит добиться увеличения производительности в конфигурациях с несколькими GPU. Реализована возможность использования Vulkan для загрузки текстур из GPU в CPU.
На системах с драйверами i915 и Intel XE для GPU Intel в KWin включена поддержка аппаратных overlay-плоскостей (overlay plane), позволяющих отображать содержимое напрямую без прохождения через композитинг. Изменение повысило производительность и сократило энергопотребление приложений и игр, поддерживающих добавленную функциональность.
В KWin добавлена эвристика, определяющая целесообразность применения прямого вывода (direct scan-out) для повышения производительности и снижения энергопотребления при раскрытии окон на весь экран.
Для многих ноутбуков с процессорами AMD реализована возможность отключения драйвера адаптивной модуляции подсветки экрана или ручной регулировки параметров при его использовании. Указанный драйвер изменяет цвета на экране для улучшения видимости информации при низком уровне яркости.
В KWin добавлена поддержка 3D LUTs (3D Lookup Tables) для переназначения цветов, что снизило потребление ресурсов на GPU, предоставляющих функции для ускорения преобразования цветов.
В KWin добавлены оптимизации, снижающие энергопотребление при работе с полноэкранными окнами и эффектами, на которые не влияет применение прямого вывода (direct scan-out).
Прекращено создание контекстов OpenGL для приложений, не использующих OpenGL, что позволило снизить потребление памяти на 10-15 MB для каждого подобного приложения и сократить время запуска.
В KWin внесены оптимизации, повышающие производительность интерфейса переключения между окнами по Alt+Tab при включении эффекта "Highlight Window" и большом числе свёрнутых окон.
В Kwin реализовано запоминание для каждого экрана отступов между окнами в мозаичном режиме.
Упрощён интерфейс показа QR-кода в виджете работы с буфером обмена (кнопка копирования перенесена в заголовок).
Повышена точность позиционирования виджетов на рабочем столе. При перемещении виджета в область, в которую он не помещается, теперь выводится эскиз, показывающий ближайшее свободное место, в котором фактически окажется виджет.
В виджетах Task Manager и System Tray удалена опция для использования более крупных пиктограмм и увеличенных отступов на сенсорных экранах и планшетах. Указано, что данная опция не работала корректно и приводила к проблемам при отображении.
В виджетах и приложении System Monitor реализована поддержка отслеживания сетевой активности на платформе FreeBSD.
В виджете определения цвета пикселя (Color Picker) обеспечен вывод подсказки об отсутствии выбранного цвета (ранее показывалось, что выбран цвет #000000).
На рабочем столе обеспечено появление панели управления виджетами (Widget Explorer) рядом с указателем мыши, а не рядом с левым краем экрана.
В виджете "Disks & Devices" улучшена обработка устройств, примонтированных в loop-режиме.
В виджет с часами добавлена поддержка вьетнамского лунного календаря.
В виджетах для управления буфером обмена и сетевым подключением реализована унифицированная кнопка возврата на прошлую страницу (на вложенных страницах теперь не показываются две кнопки "Назад").
В виджете с реализацией глобального меню обеспечен показ меню для активного окна, даже если это окно размещено на другом экране. Для возвращения старого поведения, при котором меню пропадает после перемещения окна на другой экран, в настройки добавлена специальная опция.
В виджете с глобальным меню скруглены углы подсвечиваемых элементов меню.
В виджет System Tray добавлена опция для сортировки элементов в обратном порядке.
Виджет для вставки в панель разделителя теперь доступен через кнопку добавления новых элементов на странице настройки панели, а не через боковую панель со списком виджетов.
В виджет управления сетью добавлена поддержка создания дубликатов профилей сетевых соединений.
Убрано ограничение, отводившее 25 секунд на выбор цвета после вызова виджета с пипеткой (Color Picker).
В апплет, вызываемый при клике средней кнопки мыши на часах, добавлена опция для открытия календаря-планировщика.
В апплете настройки сети предоставлена возможность ограничения диапазона частот Wi-Fi (2.4 GHz или 5 GHz).
В меню, использующих тему оформления Breeze, реализовано изменение фона элементов при клике.
В меню приложений Kicker по аналогии с Kickoff появилась возможность использования не квадратных кнопок в панели.
В меню приложений Kickoff обеспечено мерцание секции меню "избранное" сразу после добавления приложения в "избранное" через контекстное меню, чтобы наглядно показать где теперь можно быстро найти приложение.
В KRunner по умолчанию включён плагин вывода информации о глобальных комбинациях клавиш.
При отключении активации KRunner при попытке набора с клавиатуры на рабочем столе, реализован вызов обработчика для выделения файлов по первым набранным буквам.
В контекстное меню, показываемое при клике правой кнопкой мыши на обоях рабочего стола, добавлен пункт для просмотра информации об изображении.
В меню приложений Kicker обеспечена маркировка специальным значком недавно установленных программ, по аналогии с тем как это делается в интерфейсе Kickoff.
В KRunner расширены возможности вычисления произвольных математических выражений, например, теперь можно вводить не только "sqrt(2) + 2", но и "2 + sqrt(2)".
Уменьшен размер анимированных GIF-изображений, создаваемых в приложениях, использующих библиотеку KPipeWire.
В меню приложений Kicker добавлена опция для отображения списка недавно открытых каталогов.
В конфигураторе реализована поддержка предпросмотра видео для тем оформления экрана входа SDDM.
В конфигураторе реализован показ страниц настройки игровых контроллеров, мыши и тачпада только при наличии данных устройств.
В конфигураторе страница с настройками удалённого рабочего стола (Remote Desktop) перенесена в группу "Безопасность и приватность".
Добавлена настройка для изменения задержки перед появлением интерфейса переключения между окнами после начала удержания Alt+Tab.
В настройки виджета просмотра списка окон добавлены опции для изменения порядка сортировки и группировки по виртуальным рабочим столам и комнатам (activitie).
В конфигураторе на странице настройки курсора при предпросмотре обеспечено приведение изображений курсоров к выбранному размеру.
При повторном открытии интерфейса выбора обоев рабочего стола обеспечен переход к тому месту, на котором пользователь остановился в прошлый раз.
В конфигураторе задействована более традиционная кнопка "< Back" для возвращения из подкатегорий (ранее было "< Название категории").
Добавлен отдельный интерфейс для конфигурирования сетевых принтеров, совместно используемых в Windows-сетях.
В конфигураторе на странице с настройками уведомлений реализована поддержка воспроизведения выбираемых звуков уведомлений, независимо от включения звука уведомлений.
В конфигураторе на страницу настройки сети добавлены опции для VPN L2TP.
Обновлён интерфейс для настройки OpenVPN, в который добавлена поддержка параметров для управления сжатием, MTU, NCP, TLS, таймаутами и шифрами.
В конфигураторе на странице настройки сетевого соединения объединены вкладки "Wi-Fi" и "Wi-Fi Security".
В конфигураторе на странице управления правами доступа приложений появилась кнопка для отзыва разом всех полномочий на запись приложениями скринкастов.
В конфигураторе на странице "Default Applications" появилась возможность выбора вызываемого по умолчанию приложения с реализацией календаря-планировщика.
В утилиту System Monitor и виджет показа информации о системе добавлено определение конфигураций с несколькими GPU, а так же предоставление статистики о полнодисковом шифровании и RAID.
В приложении System Monitor и виджете для отслеживания состояния системы учтён выбор единиц измерения информации, например, GB (миллиард байт) или GiB (2^30).
При поиске по слову "память" (memory) теперь в числе рекомендаций предлагается запустить приложение System Monitor.
В System Monitor обеспечено разделение GPU по названиям. Через контекстное меню, показываемое для приложения System Monitor, теперь можно напрямую вызвать конкретные режимы мониторинга, например, просмотр списка запущенных процессов.
При выводе информации о системе (Info Center) показания датчиков температуры теперь выводятся в единицах измерения, заданных в системных настройках.
Обеспечено изменение стиля всплывающих подсказок в соответствии с активной темой оформления.
Улучшена реализация эффекта Mouse Marks (превращение курсора в маркер, оставляющий линии на экране) на сенсорных экранах. Добавлена поддержка рисования одновременно нескольких линий на экранах с поддержкой мультитач.
В синхронизированные с Plasma Login Manager настройки добавлены параметры раскладки клавиатуры.
Реализован глобальный режим push-to-talk, при котором микрофон включается только во время нажатия и удержания определённой комбинации клавиш.
Улучшено редактирование элементов на рабочем столе на системах с сенсорным экраном.
В диалог завершения зависших процессов добавлен индикатор прогресса выполнения операции.
На системах с Wayland обеспечена синхронизация изображения указателя стилуса с указателем мыши и тачпада.
В KWin реализована возможность определения постоянных правил, исключающих содержимое определённых окон при записи скринкастов.
В программу для создания скриншотов Spectacle добавлена опция "--release-capture", эквивалентная опции "Accept on click-and-release" в настройках (создание скриншота сразу после отпускания кнопки мыши после выделения прямоугольной области, без отдельного подтверждения операции).
Реализовано округление уровня масштабирования экрана, близкого к 100%, 200% и 300%, до данных величин для повышения производительности.
В интерфейсе выбора Emoji варианты значков с разным цветом кожи сгруппированы в отдельный всплывающий диалог.
Подготовлен обработчик KIO S3, позволяющий напрямую из Dolphin и приложений KDE работать с файлами, хранимыми в S3-совместимых облачных хранилищах, таких как Amazon S3, Cloudflare R2, DigitalOcean Spaces и MinIO.
При мозаичной компоновке двух смежных окон они теперь равномерно центрируются во всём доступном экранном пространстве с учётом панелей (раньше ближайшее к панели окно сжималось больше, чем другое окно).
В изолированных приложениях повышена надёжность инициирования записи скринкастов и запросов к удалённым рабочим столам.
Налажено задействование 3D-ускорения в конфигурациях с несколькими GPU, один из которых не поддерживает OpenGL.
Решены проблемы работы с буфером обмена в некоторых приложениях на базе фреймворка wxWidgets, таких как KiCad и Audacity. Исправление включено в состав находящейся в разработке ветки wxWidgets 3.3.3.
В утилиту kscreen-doctor добавлена поддержка изменения свойства экранов "AutoRotatePolicy", определения активного экрана и одновременного включения/выключения поддержки HDR и расширенного диапазона цветов (Wide Gamut).
В диалоге выбора экрана для его трансляции на другие системы или предоставления совместного доступа улучшена визуализация эскизов и обеспечен показ обоев рабочего стола в качестве фона.
Предоставлена возможность определения отдельной клавиши-модификатора для перевода фокуса на панель.
Диалог для выбора каталогов унифицирован с диалогом, применяемым при сохранении и открытии файлов (вместо отдельного диалога для каталогов в штатный диалог открытия файлов добавлен режим показа только каталогов).
В инструмент для шифрования каталогов Plasma Vault добавлена индикация монтирования в режиме только для чтения.
На системах с несколькими GPU обеспечена корректная запись содержимого экрана в Spectacle и приложениях на базе KPipeWire (раньше могло использоваться не то устройство отрисовки).
Для многомониторных конфигураций добавлена опция, позволяющая отображать интерфейс переключения между окнами по Alt+Tab только на основном экране, независимо от того на каком экране находится фокус ввода.
В правила переопределения атрибутов окон приложений (KWin Window Rules) добавлена возможность привязки диалоговых окон к указанному родительскому окну.
Добавлена возможность переименования или перемещения типового каталога "Projects", который с недавних пор стал создаваться дистрибутивами в домашнем каталоге пользователя в дополнение к каталогам "Documents", "Downloads", "Desktop", "Videos", "Music" и "Pictures".
Добавлена функция увеличения содержимого экрана без заметной потери качества, основанная на эффекте Zoom в KWin.
При запросе X11-приложением, выполняемым через XWayland, прав на отправку программно сгенерированных событий мыши и клавиатуры, теперь отображается имя приложения. В конфигураторе обеспечен вывод списка приложений, которым ранее было предоставлено подобное полномочие.
Обеспечено применение стиля оформления KDE к диалогам, выводимым Qt-приложениями, использующими QML-тип MessageDialog (например, используется приложением Sticky Note в диалоге подтверждения).
Упрощено нажатие на кнопки в верхней части Widget Explorer (нажатие теперь срабатывает если кликнуть уперев курсор в границу экрана над кнопкой, без точного попадания по кнопке).
Реализован учёт дополнительных параметров при автоматическом изменении яркости экрана для более качественной работы в условиях часто меняющегося освещения.
После шести месяцев разработки сформирован релиз FreeBSD 15.1. Установочные сборки подготовлены для архитектур amd64, aarch64, armv7, powerpc64, powerpc64le и riscv64. Дополнительно поставляются сборки для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2, Google Compute Engine и Vagrant. Выпуск FreeBSD 15.1 будет поддерживаться до апреля 2027 года, а обновления для ветки 15.x будут выпускаться до 31 декабря 2029 года.
Драйверы беспроводных устройств rtw88 (Realtek 802.11n/ac), rtw89 (Realtek 802.11ax) и iwlwifi (Intel 02.11a/b/g/n/ac/ax/be) синхронизированы с ядром Linux 7.0.
В ядре реализован фреймворк для выбора планировщика задач. В конфигурации ядра на системах amd64 в дополнение к используемому по умолчанию планировщику SCHED_ULE активирована сборка классического планировщика задач SCHED_4BSD. Для выбора планировщика задач во время загрузки добавлен sysctl-параметр kern.sched.
Проведена работа по обеспечению поддержки стандарта C23 в кодовой базе для сборки компиляторами в режиме C23. Полная поддержка C23 ожидается в ветке FreeBSD 16. В новом стандарте добавлены константы nullptr, тип _BitInt(n) и ключевые слова bool, true и false, которые могли конфликтовать с заданными в старом коде одноимёнными идентификаторами. Поддержка C23 позволит использовать в коде FreeBSD новые возможности языка, такие как заголовочный файл stdbit.h, функция memalignment(), обновлённые limits.h и stdint.h с макросом _WIDTH и типом char8_t.
В пакетном фильтре ipfw реализована возможность задания произвольных масок в таблицах (lookup table), позволяющих игнорировать любые сочетания битов в ключах и элементах таблицы, например, можно использовать непоследовательные маски IP-адресов, такие как "lookup src-ip4:255.255.253.255". Удалён код для совместимости с версиями пакетного фильтра ipfw, поставлявшимися до выпуска FreeBSD 8.
Разрешено направление IPv6-пакетов в divert-сокеты, в которых ранее допускалась работа только с IPv4. В команду ifconfig добавлен флаг 'stableaddr' для генерации стабильных IPv6-адресов, неизменных для каждой подсети (Stateless Address Autoconfiguration, RFC 7217).
Командная оболочка по умолчанию для пользователей "root" и "freebsd" заменена с csh на sh.
Добавлена утилита setaudit для управления политиками системного аудита.
В утилиту find добавлены опции "-xattr" и "-xattrname" для поиска файлов с учётом расширенных атрибутов файлов.
В утилиту newfs добавлена опция "-u" для отключения механизма soft updates и журналирования для UFS2.
Убрана по умолчанию утилита ipfs, применявшаяся для сохранения и восстановления таблиц трансляции адресов, и отключена необходимая для её работы функциональность в ядре (можно вернуть в настройках сборки).
В скрипте bsdinstall включена по умолчанию установка pkgbase с компонентами, указанными в переменной COMPONENTS. Старый метод установки на базе distset остаётся доступен, если определена переменная DISTRIBUTIONS.
Добавлена библиотека libuvmem с реализаций механизма распределения памяти vmem, работающего в пользовательском пространстве и представляющего совместимый с vmem API для приложений.
В образы для виртуальных машин и облачных систем включён пакетный менеджер pkg и реализована поддержка атомарного обновления пакета с базовой системой при первой загрузке.
В конфигурацию ядра MINIMAL включён драйвер virtio_scsi, позволяющий загружать систему в виртуальных машинах на базе qemu/kvm.
Реализованы системные вызовы pdwait и pdfork для нового механизма создания и завершения процессов, использующего дескрипторы процессов.
В прослойку для совместимости с Linux добавлен fcntl F_DUPFD_QUERY, использующий kcmp KCMP_FILE для проверки файлового дескриптора в Linux-контейнерах.
Включена сборка драйвера iwx для беспроводных адаптеров Intel AX210/AX211/AX411 с поддержкой Wi-Fi 6E и Wi-Fi 7.
Обновлены драйверы. Добавлена поддержка сетевых адаптеров Intel E835-XXV-4 и Intel E835 Ethernet, RAID-контроллеров, используемых в серверах Fujitsu PRIMERGY, а также NVMe-накопителей, применяемых в Google Compute Engine C4. Улучшена поддержка плат Raspberry Pi. Добавлена поддержка счётчиков отслеживания производительности (hwpmc), предоставляемых в CPU Intel Alder Lake, Alder Lake-N и Emerald Rapids.
Драйвер hid настроен для предоставления доступа пользователям группы game, что позволяет обращаться к игровым контроллерам без повышения привилегий, используя библиотеки, подобные libsdl.
В утилите mt обеспечена совместимость с ленточными накопителями, поддерживающими стандарты LTO-10 и LTO-10P (Linear Tape-Open Generation 10) .
В команду "zpool prefetch" добавлена поддержка метаданных BRT (Block Reference Table), повышающих производительность клонирования и освобождения блоков.
В клиент NFS добавлена поддержка экспортирования через NFS файловых систем, не учитывающих регистр символов в именах файлов и каталогов.
При бездисковой загрузке через NFSv4 реализована поддержка монтирования NFS-раздела в качестве корневой ФС и маппинга имён или идентификаторов пользователей через nfsuserd. Добавлена начальная поддержка расширения к NFSv4.2 с POSIX ACL. В сервер и клиент NFSv4 добавлена поддержка атрибута архивирования (UF_ARCHIVE), используемого в NFS-клиенте Windows.
В интерфейс splash добавлена возможность задания заставки в формате PNG, показываемой при завершении работы системы.
Добавлен sysctl net.inet.ipf.jail_allowed, позволяющий привязать к Jail-окружению собственный набор настроек и правил пакетного фильтра ipfilter.
Добавлен sysctl allow.vmm_ppt для проброса доступа к PCI-устройствам в изолированные окружения на базе гипервизора bhyve.
В GPU-драйвере на базе virtio реализована поддержка виртуальных окружений на базе Parallels Desktop.
Добавлена поддержка регистров FGT (Fine-Grained Trap), механизма Extended Destination ID и инструкций MOPS (Memory Operations), расширяющих возможности виртуализации и повышающих производительность на системах ARM64. Добавлена поддержка ARM64-расширения LASS (Linear Address Space Separation) для усиления изоляции между ядром и пространством пользователя.
В реализацию фреймбуфера гипервизора bhyve добавлена поддержка UNIX-сокетов, позволяющих пробросить графическую консоль в Jail-ы не по сети.
Консольный шрифт spleen обновлён до версии 2.2.0 и расширен дополнительными символами (длинное тире, короткое тире, дефис, угловые скобки, белый квадрат, крест и двойной крест). Улучшено выравнивание символов на экранах с высокой плотностью пикселей. Таблицы символов Unicode обновлены до версии 17.0.0, в которой добавлено 4803 символа.
Подсистема blacklist переименована в blocklist с фоновым процессом blocklistd. Старые настройки в rc-скриптах и правилах пакетного фильтра продолжают действовать, но приводят к выводу предупреждения.
Инструментарий OpenPAM перемещён в новый пакет FreeBSD-pam, а библиотека Zstandard и утилита zstd в пакет FreeBSD-zstd.
На системах, установленных через пакеты freebsd-base, заблокирован вызов сборочных сценариев installworld и installkernel для избежания рассогласования состояния системы с пакетами.
Прекращено формирование сборок в формате OCI (Oracle Cloud Infrastructure).
Объявлены устаревшими и будут удалены в ветке FreeBSD 16 утилиты fdisk, bsdlabel, lpr, lpd, lpc, lpq, lprm, lp, pac, lptest и chkprintcap. Для работы с дисковыми разделами вместо fdisk и bsdlabel рекомендуется использовать gpart или bsdinstall, а для организации вывода на печать следует задействовать порт print/cups или sysutils/LPRng. В FreeBSD 16 также намерены удалить sysctls hw.ata.rotating и hw.ata.unmapped_io, и драйверы hifn (криптоускорители Hifn 7751/7951/7811/7955/7956), safe (криптоускорители SafeNet SafeXcel 1141/1741), le (AMD Am7900 LANCE and Am79C9xx ILACC/PCnet Etherne), fdc (floppy disk controller) и agp (Accelerated Graphics Port).
Комитет, управляющий разработкой набора компиляторов GCC (GCC Steering Committee), утвердил включение в кодовую базу GCC бэкенда для WebAssembly. Решение касается общего одобрения поставки WebAssembly-бэкенда в составе GCC. Вопросы утверждения реализации и принятия переданного кода будет отдельно решать команда, отвечающая за рецензирование.
Бэкенд позволит использовать GCC для компиляции исходного кода на языках C/C++ в промежуточный код WebAssembly. Компиляцию в WebAssembly можно использовать для интеграции с JavaScript-проектами, запуска в web-браузере, использования в Node.js или создания обособленных многоплатформенных приложений, запускаемых при помощи WASM runtime. Бэкенд выступает генератором кода, использующим промежуточный код, подготовленный штатными фронтэндами GCC, выполняющими разбор исходного кода на поддерживаемых языках программирования и предоставляющими специфичные для них оптимизации.
Предложенная для включения в GCC реализация использует в качестве внешних зависимостей инструментарий wabt, реализацию libc для WebAssembly (wasi-libc) и компоновщик wasm-ld. Не вся запланированная функциональность реализована, например, отсутствует поддержка отладочной информации, ссылочных типов, таблиц, исключений, структуризации и операций setjump/longjump.
Компания Google рассказала о разработке в Калифорнийском университете в Сан-Диего вычислительного кластера, построенного из двух тысяч материнских плат бывших в употреблении смартфонов Google Pixel. Использование отслуживших своё смартфонов вместо покупки нового оборудования позволит почти без затрат построить рабочий кластер для экспериментов исследователей и студентов. Подобный подход рассматривается как один из способов снижения углеродного следа за счёт возможности обойтись без производства новых серверов для вычислительной инфраструктуры.
В среднем пользователи меняют смартфон каждые четыре года, при том, что смена вызвана социальными факторами и желанием получить новую модель, а не выходом из строя или устареванием вычислительных возможностей. Получается, что без дела остаются миллионы устройств с относительно мощными процессорами. Google предлагает давать подобным устройствам вторую жизнь и создавать из них кластеры для облачных вычислений.
Отмечается, что производительность процессорных ядер современных смартфонов при выполнении однопоточных задач сопоставима или превосходит производительность ядер современных серверов. Например, в большинстве проведённых однопоточных тестов SPEC 2017 высокопроизводительные ядра смартфона 2023 Pixel Fold превзошли по производительности (на графике синий) ядра типового сервера ASUS RS720A-E11 (на графике прозрачная рамка) при оценке производительности отдельных процессорных ядер. Ключевое отличие в том, что серверные процессоры оснащены большим числом высокопроизводительных многопоточных ядер, в то время как SoC смартфонов сочетают небольшое число высокопроизводительных и энергоэффективных ядер. С учётом числа ядер вычислительные возможности 25-50 смартфонов рассматриваются как эквивалент современному серверу.
При построении кластера использованы только материнские платы из смартфонов, а вместо Android установлен один из серверных дистрибутивов Linux. Так как смартфоны комплектуются относительно небольшим размером ОЗУ, возможности кластера ограничиваются задачами, для которых достаточно имеющейся в одном устройстве памяти. Для упрощения оркестровки выполнения задач образующие кластер смартфоны разделены на группы по 25–50 устройств, на которых запуск приложений производится в изолированных контейнерах, управляемых через Kubernetes.
Кластер планируют ввести в строй осенью этого года и использовать для сопровождения курсов по параллельным вычислениями и системному программированию. Проведённые эксперименты показали, что кластер из 20 смартфонов выдерживает нагрузку по сопровождению курсов для более чем 75 студентов, обеспечивая задержки ниже, чем у ранее применяемого бэкенда на базе AWS. Предполагается, что кластер из 2000 смартфонов будет способен предоставить вычислительные ресурсы для сопровождения сотен курсов.
После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 7.1. Среди наиболее заметных изменений: новый драйвер ntfsplus, первая стадия прекращения поддержки CPU i486, удаление старых Ethernet-адаптеров, удаление протоколов ISDN и AX.25, включение по умолчанию механизма Intel FRED, поддержка BPF-обработчиков в io_uring, оптимизация подсистемы подкачки, поддержка субпланировщиков в sched_ext, ввод/вывод в режиме zero-copy в драйвере ublk, ioctl-операция "shutdown" в Btrfs, динамическое переключение режима производительности в драйвере amd-pstate, поддержка xattr для Unix-сокетов.
В новую версию принято 17275 исправлений от 2589 разработчиков,
размер патча - 57 МБ (изменения затронули 13528 файлов, добавлено 751785 строк кода, удалено 405916 строк). В прошлом выпуске было 15624 исправлений от 2477 разработчиков, размер патча - 56 МБ. Около 41% всех представленных в 7.1 изменений связаны с драйверами устройств, примерно 12% изменений имеют отношение к обновлению кода, специфичного для аппаратных архитектур, 14% связано с сетевым стеком, 5% - с файловыми системами и 3% c внутренними подсистемами ядра.
Дисковая подсистема, ввод/вывод и файловые системы
В состав принята новая реализация файловой системы NTFS - ntfsplus, основанная на коде удалённого из ядра классического драйвера ntfs. Старый драйвер был переработан, расширен возможностью записи данных и адаптирован для поддержки современных возможностей, таких как использование фолиантов страниц памяти (folios) вместо структуры buffer_head. В новом драйвере реализовано отложенное выделение блоков, позволившее добиться высокой производительности операций записи и снижения фрагментации. Для буферизированных операций записи/чтения, прямого ввода/вывода, маппинга экстентов и операций страничной записи/чтения задействована библиотека iomap. В тестах iozone драйвер ntfsplus оказался на 3-5% быстрее ntfs3 при записи в однопоточном режиме и на 35-110% при использовании 4 потоков. Скорость чтения ntfsplus и ntfs3 находится примерно на одном уровне. Драйвер ntfs3 остаётся в составе ядра и в него внесены исправления и небольшие улучшения.
Добавлена поддержка генерации и верификации данных проверки целостности T10 на уровне файловой системы, а не блочного устройства, что позволяет добиться повышения производительности операций чтения.
В драйвер блочных устройств ublk, позволяющий вынести специфичную логику на сторону процесса в пространстве пользователя, добавлена поддержка ввода/вывода через разделяемую память без копирования данных между буферами (режим zero-copy).
Для самошифруемых блочных устройств SED-OPALдобавлены ioctl для управления режимом Single User и реализована команда STACK_RESET.
В Btrfs объявлена стабильной поддержка ioctl-операции "shutdown", позволяющей перевести ФС в состояние, при котором предпринимается попытка завершения выполнения уже запущенных операций, но блокируются все новые операции.
В exfat реализована возможность резервированием пустых областей через вызов fallocate().
В ФС CIFS добавлена поддержка создания временных файлов с флагом O_TMPFILE.
В системный вызов fsmount() добавлена опция FSMOUNT_NAMESPACE, создающая новое пространство имён точек монитирования для монтируемой файловой системы. В системные вызовы clone3() и unshare() добавлены флаги для возвращения нового пространства имён точек монитирования, содержащего только примонтированную пустую ФС-заглушку на базе nullfs, драйвер fs-dax c ФС-интерфейсом к устройствам DAX (Direct Access).
В NFS-сервер добавлена защита от атак по подбору файловых дескрипторов, реализованная через заверение дескрипторов криптографической подписью. Защита включается через опцию монтирования sign_fh.
Добавлен символьный драйвер fs-dax, предоставляющий интерфейс для взаимодействия с устройствами DAX (Direct Access), поддерживающими работу в обход страничного кэша. Указанный интерфейс необходим для интеграции в ядро файловой системы famfs, размещаемой в оперативной памяти.
В файловой системе Ceph реализован сбор метрик о вводе/выводе в привязке к подразделам.
Память и системные сервисы
Принята первая серия изменений для прекращения поддержки процессоров i486. Из Kconfig удалены опции для сборки ядра с поддержкой процессоров 486DX, 486SX и AMD ELAN (CONFIG_M486, CONFIG_M486SX и CONFIG_MELAN), а из Makefile исключены опции компиляции для систем i486 (-march=i486). Код для фактической поддержки работы на процессорах i486 пока оставлен в ядре, но сборка для подобных систем теперь потребует применения патчей к сборочным файлам. Причины удаления поддержки процессоров i486 обусловлены желанием избавить ядро от усложнённого кода, эмулирующего некоторые аппаратные операции, такие как CX8 (сравнить и обменять 8 байт) и TSC (счётчик циклов CPU, используемый в планировщике задач).
В драйвере amd-pstate, применяемом для управления энергопотреблением на системах с процессорами AMD, реализовано динамическое переключение настроек производительности и изменение поведения управления питанием в зависимости от работы от стационарного питания или аккумулятора. При стационарном подключении теперь активируется режим "performance", а при работе от аккумулятора - "balance_performance".
Задействован по умолчанию механизм Intel FRED (Flexible Return and Event Delivery), позволяющий повысить эффективность и надёжность доставки информации о низкоуровневых событиях. Повышение производительности и сокращение задержек обеспечивается благодаря возвращению событий при помощи процессорной инструкции IRET вместо передачи событий через таблицу IDT (Interrupt Descriptor Table). Повышение надёжности достигается благодаря раздельной обработке поступления события в контексте ядра и контексте пользователя, защиты от вложенного выполнения NMI и сохранения в расширенном кадре стека всех связанных с исключением регистров CPU.
В подсистему perf добавлена поддержка блоков мониторинга производительности памяти (PMU - Performance Monitoring Unit), используемых в SoC NVIDIA Tegra410.
Ускорено выполнение операций futex на системах ARM, благодаря задействованию инструкций Arm 9.6 LSUI, позволяющих ядру обращаться к памяти пространства пользователя без предварительного отключения режима защиты PAN (Privileged Access Never).
На системах с процессорами ARM улучшена поддержка расширения архитектуры набора команд MPAM (Memory System Resource Partitioning and Monitoring) и добавлена возможность её использования в пространстве пользователя для управления ресурсами через механизм resctrl. MPAM обеспечивает пометку каждого обращения к памяти идентификатором секции (PARTID, Partition ID) и идентификатором группы мониторинга (PMG, Monitoring Group ID). В привязке к PARTID можно ограничить потребление ресурсов, таких как пропускная способность памяти или размер кэша, чтобы какая-то группа задач не заняла все ресурсы. В контексте мониторинга сочетание PMG и PARTID можно использовать для отслеживание потребления ресурсов памяти при определённых видах нагрузки.
Добавлена возможность использования режима реального времени (PREEMPT_RT) на 32-разрядных процессорах ARM. Ранее поддержка PREEMPT_RT была обеспечена для архитектур x86 и x86-64, ARM64, RISC-V и LoongArch.
В системный вызов clone3() добавлены новые флаги: CLONE_NNP - запрет получения новых привилегий в созданном процессе; CLONE_AUTOREAP - автоматическое завершение процесса вместо его превращения в процесс-зомби до выполнения функции wait() родительским процессом;
CLONE_PIDFD_AUTOKILL - завершение дочернего процесса в случае закрытия связанного с ним дескриптора pidfd (например, при завершении родительского процесса).
Для каждого модуля ядра в каталог /sys/module добавлен файл import_ns, содержащий список импортированных пространств имён символов (symbol namespace).
В систему асинхронного ввода/вывода io_uring добавлена поддержка использования подсистемы BPF для создания обработчиков. Например, можно заменить основной цикл диспетчеризации на BPF-программу.
В подсистеме BPF модернизирован анализ использования стека, что значительно ускорило проверку верификатором многих BPF-программ.
С целью оптимизации производительности переписана подсистема hrtimer (high resolution timer). Планировщик задач теперь может использовать таймеры с высоким разрешением без потери производительности вместо менее точных таймеров.
Продолжен перенос изменений из ветки Rust-for-Linux, связанных с использованием языка Rust в качестве второго языка для разработки драйверов и модулей ядра (поддержка Rust не активна по умолчанию, и не приводит ко включению Rust в число обязательных сборочных зависимостей к ядру). До версии 1.85 (поставляется в Debian 13) повышены требования к версии Rust, необходимой для сборки компонентов ядра. Добавлена экспериментальная Kconfig-опция CONFIG_RUST_INLINE_HELPERS для встраивания Си-прослоек в Rust-код во время компиляции (оптимизация ускорила работу блочного драйвера null на 2%). Добавлен макрос 'const_assert!'. Расширены возможности модулей 'sizes', 'clk', 'ptr', 'sync', 'error'.
В механизм SCHED_EXT, позволяющий использовать BPF для создания планировщиков CPU, добавлена начальная возможность создания вложенных планировщиков (sub-scheduler), при помощи которых для каждого cgroup можно задействовать собственный планировщик задач.
Продолжена оптимизация подсистемы подкачки (swap). Удалена старая структура swap_map, заменённая на механизм "Swap Table". Изменение позволило повысить производительность и уменьшить потребление памяти в подсистеме подкачки.
В подсистему DAMON (Data Access MONitor), позволяющую отслеживать доступ процесса к данным в оперативной памяти (например, можно узнать к каким областям памяти обращался процесс, а какие области памяти остались невостребованными), добавлена поддержка разных алгоритмов автоматического тюнинга квот.
В подсистеме трассировки реализована концепция внешних кольцевых буферов, позволяющая получать данные трассировки из виртуальных машин. Возможность задействована в гипервизорах KVM и nVHE для передачи данных трассировки из гостевой системы на сторону хоста.
В подсистему RV (Runtime Verification), предназначенную для проверки корректности работы высоконадёжных систем, добавлены компоненты мониторинга "stall" для отслеживания задач, выполнение которых временно приостановлено или заблокировано, и "deadline" для анализа поведения планировщика задач.
Виртуализация и безопасность
По умолчанию выставлен флаг PROC_MEM_FORCE_PTRACE, допускающий обход прав доступа к памяти процесса через файл /proc/PID/mem только для процессов, применяющих для отладки системный вызов ptrace().
Добавлен новый набор hook-ов для LSM-модулей (Linux Security Module), упрощающий реализацию политик для стековых файловых систем, таких как overlayfs. В LSM также добавлен hook для управления доступом к Unix-сокетам, который задействован в LSM-модуле Landlock для назначения политик доступа к Unix-сокетам.
Во встроенную криптобиблиотеку lib/crypto, предоставляющую более простые и быстрые функции, чем в традиционном crypto API, добавлена поддержка алгоритмов AES-CMAC, AES-XCBC-MAC, AES-CBC-MAC, GHASH и SM3. Добавлена документация по lib/crypto.
Реализован режим pKVM (Protected KVM) для строгой изоляции анонимной памяти с использованием расширений виртуализации для архитектуры AArch64. В данном режиме страницы памяти гостевой исключаются из таблицы виртуальных адресов хостовой системы.
В гипервизор KVM добавлена поддержка пятой версии виртуального контроллера прерываний ARM (VGICv5 - ARM Virtual Generic Interrupt Controller v5).
Сетевая подсистема
Для unix-сокетов, создаваемых функцией socket(), реализована поддержка расширенных атрибутов файлов (xattr) "user.*". Из областей применения отмечается выставление меток через расширенные атрибуты к Unix-сокетам, используемым для IPC Varlink, с целью их выделения из общей массы для инспектирования и отладки работы IPC при помощи BPF-программ. В systemd-journald расширенные атрибуты намерены использовать для определения формата лога в привязке к сокету /dev/log.
Удалена поддержка протокола UDP-Lite (RFC 3828), допускающего доставку пакетов с неправильной контрольной суммой с расчётом на то, что, например, частично повреждённые аудио и видеоданные могут быть восстановлены на уровне кодека. Протокол удалён так как им никто не пользуется.
Убрана возможность сборки стека IPv6 в форме модуля ядра, которая не применялась на практике (IPv6 либо встраивают в ядро, либо полностью отключают), но усложняла сопровождение так как при сборке IPv6 модулем ядра (CONFIG_IPV6=m), множество подсистем вынуждены добавлять бесполезные обработчики на случай выгрузки модуля IPv6.
Оборудование
В драйвере AMDGPU включён новый дисплейный движок (DC) для APU AMD серии HD 7000 (Sea Islands, GCN 1.1).
В драйвер Nouveau добавлена начальная поддержка GPU NVIDIA GA100 на базе микроархитектуры Ampere.
Продолжена работа над drm-драйвером (Direct Rendering Manager) Xe для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake. Добавлена поддержка графической подсистемы процессоров Intel Nova Lake-P. Реализованы очищаемые буферные объекты (Purgeable Buffer Objects).
Продолжена интеграция компонентов драйвера Nova для GPU NVIDIA, оснащённых GSP-прошивками, используемыми начиная с серии NVIDIA GeForce RTX 2000 на базе микроархитектуры Turing. Драйвер написан на языке Rust. Добавлена начальная поддержка GPU на базе микроархитектуры Turing.
Добавлен DRM-драйвер corebootdrm для вывода графики через фреймбуфер прошивок на базе CoreBoot.
Добавлена поддержка звуковых ASoC AMD RPL DMIC, Cirrus Logic CS42L43, CS47L47, NVIDIA CPCAP и WM8962. Улучшена поддержка звуковых устройств с интерфейсом USB: Huawei Headset, Focusrite 18i20, MV-Silicon, Presonus Studio 1824 и Audiobox, Arturia AF16Rig, Hotone Audio, Feaulle Rainbow, Moondrop Ju Jiu.
Добавлен драйвер yogafan для отслеживания скорости вращения кулера на ноутбуках Lenovo Yoga, Legion и IdeaPad.
Добавлена поддержка ARM-плат, SoC и устройств: Qualcomm Glymur, Qualcomm Mahua, Qualcomm Eliza, Qualcomm IPQ5210, Qualcomm apq8084 и ipq806x, Axis ARTPEC-9, ARM Zena, ARM corstone-1000-a320, Microchip LAN9691, Microchip PIC64GX, Rockchip RV1103B, Renesas RZ/G3L, NXP S32N79.
Удалена поддержка применяемых в SoC Baikal-T1 контроллеров AHCI SATA и PCIe, а также драйверов таймера, памяти, physmap, шины, hwmon, dwc и bt1-rom. В качестве причины удаления называется отсутствие сопровождения и незавершённая интеграция в состав ядра компонентов платформы Baikal, производство которой в РФ свернули в ноябре 2025 года.
Удалены 12 драйверов для Ethernet-устройств с интерфейсами ISA и PCMCIA, выпускавшихся до 2002 года, для которых не нашлись пользователи, применяющие их в рабочих системах. Также из ядра исключены
подсистема ISDN, реализации протоколов AX.25, CAIF и Bluetooth CMTP (Common ISDN Application Programming Interface Message Transport Protocol), драйверы yellowfin (Yellowfin Gigabit-NIC), hamachi (Hamachi GNIC-II), hamradio (Amateur Radio), inport и logibm (busmouse). Причиной удаления стало отсутствие активных сопровождающих на фоне увеличения числа выявляемых при помощи syzbot и AI-инструментов ошибок, которые никто не берётся исправлять и вся нагрузка нa устранение серьёзных проблем ложится на сопровождающих основные сетевые подсистемы ядра. Всего удалено более 140 тысяч строк кода.
Разработчики Fedora Linux прояснили ситуацию, связанную с истечением в конце июня срока действия сертификата Microsoft, применяемого для заверения цифровой подписью прослойки Shim, используемой для верифицированной загрузки дистрибутивов Linux в режиме UEFI Secure Boot. Переход на новый сертификат должен пройти незаметно для пользователей так как фактически завершение времени жизни сертификата приведёт лишь к невозможности его использования для создания новых подписей. Во время загрузки UEFI Secure Boot срок действия сертификата не проверяется и имеет значение только отзыв скомпрометированных сертификатов.
Существующие системы без установки обновления shim продолжат загрузку до тех пор, пока открытый ключ сертификата не будет удалён из прошивки или не помещён в список отозванных сертификатов UEFI (DBX). Ключом Microsoft заверяется только загрузочная прослойка shim, в которой присутствует публичный ключ дистрибутива, применяемый для заверения загружаемых компонентов, таких как загрузчик GRUB2, ядро Linux, модули ядра и используемые при загрузке процессы, такие как fwupd. Подобный подход позволяет заверять в Microsoft только изменения в прослойке shim и самостоятельно обеспечивать верификацию процесса загрузки дистрибутива.
Сертификат Microsoft для заверения сторонних прошивок для UEFI Secure Boot действует с 2011 года. В 2023 году ему на смену сгенерирован новый сертификат, который стал применяться для формирования подписей с октября 2025 года. В репозиторий Fedora Rawhide, на базе которого формируется релиз Fedora 45, уже добавлен обновлённый shim, заверенный несколькими ключами для обеспечения максимальной совместимости с оборудованием (может использоваться как на старых прошивках без открытого ключа нового сертификата, так и на прошивках без открытого ключа старого сертификата).
Несмотря на то, что истечение срока действия сертификата Microsoft не должно повлиять на работоспособность загрузки, разработчики Fedora рекомендуют пользователям обновить БД c ключами для Secure Boot при появлении новых версий прошивок для их оборудования. Для определения факта загрузки системы в режиме UEFI Secure Boot можно использовать команду "mokutil --sb-state", а для отображения списка имеющихся в прошивке открытых ключей - "mokutil --db --short". Для просмотра ключей, которыми подписана прослойка shim можно запустить команду "sudo pesign -S -i /boot/efi/EFI/fedora/shimx64.efi", предварительно установив пакет pesign. Для проверки наличия обновления прошивки и его установки можно выполнить команду "sudo fwupdmgr update".
Следующая версия прослойки shim будет заверена только новым сертификатом Microsoft и обновление прошивки необходимо для подготовки своих систем к этому изменению. Обновление shim будет выпущено в случае выявления уязвимостей и серьёзных ошибок, что может произойти как через месяц, так и через год. За время существования shim в проекте находили критические уязвимости, при этом последний отчёт о проблемах c безопасностью в shim был выпущен лишь несколько дней назад.
В отчёте отмечены две недавно выявленные уязвимости CVE-2026-8863 и
CVE-2026-10797, позволяющие добиться выполнения своего кода на раннем этапе загрузки до передачи управления операционной системе, обойти защиту UEFI Secure Boot и реализовать загрузку незаверенных цифровой подписью компонентов ядра. Проблемы затрагивают версии shim до выпуска 0.9 включительно, сформированные до 2016 года. Атаке подвержены очень старые системы, такие как
RedHat Enterprise Linux 7.2, CentOS 7.2, Oracle Linux 7.2, ROSA Linux R10/R9 и openSUSE c shim 0.9. Прослойки shim до версии 0.9 включительно добавлены в базу отозванных цифровых подписей DBX (UEFI Forbidden Signature Database) и в случае обновления DBX в системе не смогут использоваться для загрузки в режиме UEFI Secure Boot.
Удостоверяющий центр GlobalSign, зарегистрированный в Бельгии и принадлежащий японской корпорации GMO Group, начал отзыв SSL-сертификатов, ранее выданных российским компаниям, подпадающим под действующие в Евросоюзе санкции. В письме к партнёрам компании GlobalSign, отправленном директором российского представительства, сказано, что отзыв сертификатов начался 13 июня в 04:10 (MSK) и будет проводиться поэтапно. В качестве причины указано утверждение консорциумом CA/Browser Forum, выступающим площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, новых требований по проверке организаций при выдаче сертификатов.
Речь ведётся о расширенных TLS-сертификатах уровня EV (Extended Validation), подтверждающих заявленные параметры идентификации и требующих не только проверки владения доменом, но и проведения удостоверяющим центром проверки существования и легального статуса компании, получающей сертификат. В браузерах при работе с сайтами, имеющими EV-сертификаты и сертификаты, полученные только через подтверждение домена, отображается одинаковый значок.
Указано, что во вступившей в силу 4 мая новой версии регламента выдачи EV-сертификатов содержится прямой запрет для удостоверяющих центров выдавать сертификаты компаниям из санкционных списков, а проверка по спискам блокировки стала не рекомендательной, а обязательной.
Данная информация не соответствует действительности, так как упомянутые требования были добавлены CA/Browser Forum в более ранней версии регламента (как минимум прослеживаются в версии 1.7.0 от 2019 года). В пункты 3.2.2.12.2 и 4.1.1.1, предписывающие проверку в санкционных списках, в новой версии документа изменения не вносились (версия 2.0.2 от 4 мая 2026 года, версия 2.0.1 от 6 мая 2024 года).
В пункте 4.1.1.1 среди условий прохождения проверки при получении EV-сертификата упомянуто отсутствие проверяемой компании в списках запрещённых организаций или организаций, подпадающих под эмбарго, в соответствии с законодательством страны, в которой зарегистрирован удостоверяющий центр. В пункте 3.2.2.12.2 указано, что удостоверяющий центр обязан проверить наличие запросившей сертификат организации в списках запрещённых персон и организаций, действующих в стране, в юрисдикции которой находится удостоверяющий центр, а также в странах, в которых удостоверяющий центр осуществляет свою деятельность.
Удостоверяющий центр обязан не выдавать EV-сертификат, если запросившая сертификат организация присутствует в подобных списках или если она ведёт деятельность или зарегистрирована в стране, с которой запрещено ведение бизнеса законодательством страны, в которой зарегистрирован удостоверяющий центр.
Компания GlobalSign зарегистрирована в Бельгии и обязана выполнять санкционные ограничения, действующие в Евросоюзе. Помимо индивидуальных санкций, в Евросоюзе также действует введённый в 14 пакете санкций запрет на предоставление корпоративного ПО и оказание IT-услуг российским юридическим лицам. Предполагается, что GlobalSign до сегодняшнего дня не выполнял данные требования, пользуясь введённым в законодательство исключением, позволявшим предоставлять подсанкционным компаниям услуги для обеспечения безопасности всего интернета. Теперь выдача SSL-сертификатов квалифицирована юристами GlobalSign или регулирующими органами как оказание коммерческих IT-услуг, что подпадает под санкционные запреты.
Компания Anthropic объявила об отключении доступа к AI-моделям Fable 5 и Mythos 5 для всех пользователей после получения от правительства США директивы об экспортном контроле, изданной с упоминанием полномочий в области национальной безопасности и без предоставления детальных пояснений. Директива запрещает доступ к моделям Fable 5 и Mythos 5 любым иностранным гражданам как на территории США, так и за её пределами, включая иностранных сотрудников компании Anthropic, в результате чего для соблюдения требований компания была вынуждена полностью отключить модели. Выполнение требования не повлияло на доступ к остальным моделям Anthropic.
По предположению Anthropic, поводом для предписания послужило обнаружение метода обхода защитных механизмов (jailbreak) модели Fable 5. В Anthropic заявили, что изучили продемонстрированную технику и пришли к выводу, что речь идёт об узкоспециализированном неуниверсальном обходе, позволяющем выявлять лишь небольшое число ранее известных незначительных уязвимостей, которые могут быть найдены и другими общедоступными моделями, например GPT-5.5, без какого-либо обхода ограничений.
Компания Anthropic подчинилась юридически обязательной директиве, но не согласна с тем, что обнаружение узкоспециализированного потенциального обхода защиты является основанием для отзыва коммерческой модели, развёрнутой для сотен миллионов пользователей, считает произошедшее недоразумением и работает над восстановлением доступа. До урегулирования ситуации новые сеансы в продуктах Claude будут запускаться с Opus 4.8 или выбранной пользователем AI-моделью, а существующие сеансы с Fable 5 будут завершены с выводом ошибки.
В намеченном на 30 июня выпуске Chrome 150 будет удалена поддержка флага kExtensionManifestV2Disabled, позволявшего вернуть возможность установки из каталога Chrome Web Store дополнений, использующих вторую версию манифеста Chrome. Позавчера из кодовой базы Chromium, на основе которой формируется выпуск Chrome 151, запланированный на 28 июля, дополнительно был удалён код с реализацией параметра AllowLegacyMV2Extensions, позволявшего вручную в режиме разработчика загружать дополнения на базе второй версии манифеста. За несколько дней до этого из кодовой базы Chromium также были удалены параметры kExtensionManifestV2Unsupported и ExtensionManifestV2Availability, которые около года назад были объявлены неподдерживаемыми.
Участники проекта uBlock Origin рекомендовали пользователям Chrome перейти на другие браузеры или переключиться на дополнение uBlock Origin Lite, которое развивается автором uBlock Origin и представляет собой вариант uBlock Origin, переведённый на предложенный в третьей версии манифеста Chrome декларативный API (declarativeNetRequest). Поддержка второй версии манифеста Chrome присутствует в Firefox и Safari, а также будет сохранена в браузерах Brave и Opera на базе движка Chromium.
Третья версия манифеста Chrome, определяющего возможности и ресурсы, доступные для дополнений, написанных с использованием API WebExtensions, разработана в рамках инициативы по упрощению создания безопасных и высокопроизводительных дополнений. Основноенедовольство третьей версией манифеста вызвано переводом в режим только для чтения API webRequest, позволявшего подключать собственные обработчики, имеющие полный доступ к сетевым запросам и способные на лету модифицировать трафик. Вместо API webRequest в третьей версии манифеста добавлен ограниченный по своим возможностям API declarativeNetRequest, предоставляющий доступ к встроенному движку для фильтрации, самостоятельно обрабатывающему правила блокировки, не разрешающему использовать собственные алгоритмы фильтрации.
Дополнение uBlock Origin Lite (uBOL) реализует лишь часть функциональности uBlock Origin. В uBlock Origin Lite оказалось проблематично перенести динамические фильтры контента и URL, фильтры HTTP-заголовков, средства для отключения скриптов, шрифтов и мультимедийных элементов большого размера в привязке к отдельным сайтам, многие опции фильтров (strict1p, strict3p, domain, redirect-rule, removeparam), защиту от манипуляций с DNS для обхода блокировки. Из-за необходимости получения дополнительных полномочий в uBlock Origin Lite по умолчанию отключены косметические фильтры для замены содержимого на странице ("##"), подстановки скриптов на сайты ("##+js"), фильтров для перенаправления запросов ("redirect="), фильтров заголовков CSP (Content Security Policy) и фильтров для удаления параметров запросов ("removeparam=").
Зафиксирована массовая компрометация пакетов в репозитории AUR (Arch User Repository), применяемом в Arch Linux для распространения приложений от сторонних разработчиков. Атакующие получили контроль над 4691577 пакетами и смогли внедрить в них вредоносный код для кражи паролей и ключей доступа с систем пользователей. Среди прочего, вредоносный код был интегрирован в поставляемый через AUR пакет ALVR, популярный у любителей компьютерных игр.
Атакующие взяли на себя сопровождение пакетов, имеющих статус "orphaned" и оставшихся без сопровождающих. В качестве имени указывалось имя последнего сопровождающего, но другой email, после чего добавлялся один коммит и публиковалось обновление. Коммит добавлял "npm" в список зависимостей PKGBUILD и вставлял в post_install-блок скрипта install.sh строку для установки нескольких NPM-пакетов. В числе устанавливаемых NPM-пакетов присутствовали один или несколько популярных легитимных пакетов и пакет atomic-lockfile или js-digest, содержащие скрытое вредоносное ПО. Добавление установки NPM-пакетов производилось во все скомпрометированные проекты, даже если в них не используется JavaScript и NPM.
После активации вредоносное ПО закреплялось в системе в виде сервиса systemd со случайным именем и при выполнении камуфлировалось под поток ядра. При запуске с правами root сервис создавался на системном уровне (/etc/systemd/system) и дополнительно активировал работающий на уровне ядра rootkit, а при выполнении с правами пользователя - запускался от имени пользователя (~/.config/systemd/user). Вредоносное ПО осуществляло сканирование и отправку на внешний сервер ключей и учётных данных VPN, Docker, Podman и SSH, а также извлечённых из браузера конфиденциальных данных, истории команд в shell, ключей криптовалютных кошельков, токенов доступа к Slack, Microsoft Teams, Discord, GitHub, NPM и Vault.
Дополнение 1: число пакетов в AUR, в которые была внедрена загрузка вредоносного NPM-пакета js-digest достигла 879. Общее число захваченных пакетов оценивается в 1577. Разработчики Arch Linux принимают меры для остановки волны захвата пакетов. До выработки окончательного решения могут наблюдаться проблемы с созданием новых учётных записей в AUR, отправкой обновлений пакетов и созданием новых пакетов.
Дополнение 2: Реализованных мер оказалось недостаточно и в AUR осуществлена подстановка вредоносного кода ещё в 54 пакета. На этот раз в зависимости добавлен bun, а в функцию post_install вставлена обфусцированная строка для установки вредоносных пакетов командой "bun add".
Опубликован первый значительный выпуск X11-сервера yserver, написанного с нуля на языке Rust и поддерживающего актуальные расширения протокола X11. Проект не ставит перед собой цель повторить все возможности Xorg Server и ограничивается только функциональностью, необходимой для запуска современных сред рабочего стола, оконных менеджеров, приложений и графических библиотек (GTK, Qt, SDL, GLFW). Из протестированных окружений отмечены MATE, Xfce и Cinnamon, а также оконные менеджеры FVWM3, e16 и wmaker. Код проекта распространяется под лицензией MIT.
В yserver решено не поддерживать устаревшие и специфичные возможности, такие как обработка нескольких X11-экранов в одном сервере (многомониторный вывод поддерживается), отличные от TrueColor режимы цветности, непрямой рендеринг (indirect GLX), API драйверов DDX, старые методы работы со шрифтами и подключение клиентов с другим порядком следования байтов (трансляция между big-endian и little-endian).
Вывод графики организован через DRM/KMS и Vulkan-драйверы Mesa. Для управления сеансом и организации доступа к совместно используемым устройствам ввода и вывода используется библиотека libseat. Помимо обособленного X-сервера поставляется ynest - бэкенд для вложенного запуска, поддерживающий работу из Xwayland или другого X11-сервера.
Работа протестирована на системах в GPU AMD Ryzen 9 6900HX (Rembrandt, RDNA2, mesa-драйвер RADV), AMD RX580 (Polaris/GCN4, RADV), Intel i5-7200U (Kaby Lake, mesa-драйвер ANV), NVIDIA GTX 1050, Snapdragon X1 X1E80100 (Adreno X1, Turnip), Apple M1 MBA, M2 MBP, а также в системах виртуализации с virtio-gpu и виртуальным GPU Venus. В настоящее время поддерживается только работа в Linux, но в планах отмечено добавление поддержки FreeBSD.
Адам Уильямсон (Adam Williamson) из компании Red Hat, возглавляющий команду контроля качества в проекте Fеdora, обратил внимание на подозрительную активность Натана Джованнини (Nathan Giovannini), присоединившегося к проекту Fedora в 2016 году и некоторое время участвовавшего в работе команды Fedora Infrastructure Team. Не исключается, что деятельность, совершаемая за последние два месяца от имени Натана, была направлена на завоевание доверия через накопление истории принятых изменений и участие в исправлении ошибок, перед совершением вредоносных действий, как в инциденте с подстановкой бэкдора в пакет xz.
Подозрение вызвало то, что ранее особо не проявлявший себя разработчик в мае стал активно участвовать в обсуждении ошибок и отправлять патчи, при том, что в подобной активности прослеживались шаблоны, свойственные использованию AI. Например, в комментариях встречались созданные через AI обобщения, после которых Натана просили не злоупотреблять копированием выводов от AI-ассистента.
Кроме того, отмечались не несущие какого-то смыла переназначения на себя отчётов о проблемах в подсистемах, в которых Натан не является сопровождающим (1, 2, 3), изменения статуса или приоритета исправления проблем (1, 2), публикации созданных через AI рекомендаций авторам сообщений об ошибках (1, 2, 3) и отправки сгенерированных в AI патчей. В обход правил проекта Натан закрывал отчёты об ошибках сразу после передачи AI-патчей в вышестоящие проекты, не дожидаясь их принятия, или просто закрывал с флагом "NOTABUG" и рекомендацией перепроверить проявление проблемы.
Адам Уильямсон предположил, что Натан задействовал для работы AI-агента для исправления ошибок в Fedora и попросил прекратить использование AI-агента в автономном режиме. Натан ответил, что это не его AI-агент, его учётные данные были скомпрометирваны и кто-то посторонний действует от его имени. Следом Натан опубликовал сообщение, что он восстановил доступ к учётным записям в Fedora и GitHub, а также
написал, что его официальный аккаунт в GitHub - "nathangiovannini99".
Сообщение вызвало ещё больше вопросов, так как отмеченная учётная запись была создана за час до публикации письма и в GitHub всплыли ещё как минимум две учётные записи, ассоциированные с Натаном (leurus27-boop, nathan9513-aps). Не исключалось, что с разработчиками Fedora продолжает общаться злоумышленник, получивший доступ к email Натана. Доступ учётной записи Натана к Bugzilla был заблокирован и была запущена проверка всех совершённых им изменений.
Выяснилось, что подозрительная деятельность началась 7 апреля и некоторые отправленные Натаном патчи лишь создаваливидимость исправления. При этом подобные патчи были приняты в состав инсталлятора Anaconda и вошли в состав релиза Anaconda 45.5. Сопровождающий Anaconda отменил внесённые изменения и опубликовал релиз Anaconda 45.6 без этих патчей.
Помимо этого, отправленные от имени Натана исправления были приняты разработчиками утилиты osc (openSUSE Commander) с реализацией интерфейса командной строки для сборочной системы Open Build Service. Ещё один патч был передан для включения в пакет lxqt-policykit с привязкой к исправлению проблемы в Fedora, но разработчики Fedora успели предупредить сопровождающего до его принятия. Патчи не включали вредоносных действий, но предполагается, что они могли быть подготовкой к внесению вредоносных изменений в компоненты сборочной системы и сервиса, обеспечивающего выполнение привилегированных операций. Отправленные Натаном исправления также были замечены в проектах gwenview и easyeffects.
Опубликован первый стабильный выпуск проекта Euro-Office, развивающего платформу для совместного редактирования документов, электронных таблиц и презентаций. В основе Euro-Office лежит серверный компонент DocumentServer, предоставляющий online-редакторы, открываемые на клиентских системах в браузере. Проект является форком кодовой базы продукта ONLYOFFICE DocumentServer и полностью повторяет его функциональность. Как и исходный продукт Euro-Office распространяется под лицензией AGPLv3. Готовые сборки сформированы для архитектур x86_64 и ARM64 в форматах deb и rpm.
К разработке Euro-Office подключилось 12 европейских компаний и организаций, среди которых Nextcloud, IONOS, Eurostack, XWiki, OpenProject, Soverin, Abilian и BTactic. Проект преподносится как открытая, прозрачно развиваемая и независимая платформа для совместной работы с документами, рассчитанная на использование через Web и интеграцию со сторонними продуктами, такими как системы обмена файлами, wiki и инструментами управления проектами. Заявлена совместимость с форматами MS Office и OpenDocument (DOCX, PPTX, XLSX, ODT, ODS, ODP).
Среди причин создания собственного форка вместо присоединения к разработке открытого проекта ONLYOFFICE упоминаются:
Проблематичность передачи изменений в кодовую базу платформы ONLYOFFICE, разработчики которой не рецензируют присылаемые изменения, не принимают pull-запросы и не заботятся о корректности и актуальности инструкций по сборке.
Развивающая ONLYOFFICE компания периодически принимает спорные решения, такие как отключение редактирования в мобильном приложении и удаление панели администратора.
Отсутствие прозрачности - тексты в коммитах часто ссылаются на внутренние системы отслеживания ошибок, в поставку входят бинарные блобы и обфусцированный код. Часть комментариев в коде на русском языке, что затрудняет работу с кодом международными командами.
Мобильное приложение не полностью открыто и завязано на проприетарные компоненты.
Значительная часть разработчиков ONLYOFFICE находится в РФ, что усложняет совместную работу и подрывает доверие из-за политической ситуации, особенно когда процессы разработки непрозрачны и отгорожены.
Организация The Document Foundation, курирующая разработки офисного пакета LibreOffice, опубликовала открытое письмо с критикой проекта Euro-Office и методов его продвижения. Недовольство вызывает то, что в Euro-Office по умолчанию применяется формат OOXML, подконтрольный компании Microsoft. По мнению The Document Foundation, использование по умолчанию проприетарного формата OOXML вместо открытого стандарта OpenDocument расходится с заявленной целью формирования европейского цифрового суверенитета, так как Euro-Office укрепляет привязку к одному американскому производителю, не способствующему предоставлению пользователям свободы полностью контролировать собственный контент.
Также подвергаются критике заявления о том, что Euro-Office стал первым открытым офисным пакетом, разработанным в Европе. Первым европейскими открытыми офисными пакетами являются OpenOffice.org и LibreOffice, основанные на исходном коде StarOffice, разработанном немецкой компанией Star Division. Euro-Office же создан на волне роста популярности идей цифрового суверенитета в результате ребрендинга сторонней кодовой базы.
Компания ARM раскрыла информацию об уязвимости (CVE-2025-10263) в своих процессорах, позволяющей осуществить запись в ресурсы, принадлежащих более высокому уровню исключений (Exception Level), что потенциально позволяет добиться повышения привилегий в системе. В контексте гипервизора Xen уязвимость даёт возможность из гостевой системы осуществить запись в память, принадлежащую гипервизору.
Проблема проявляется только на многоядерных процессорах Arm C1-Ultra, C1-Premium, Neoverse V3 & V3AE, Neoverse V2, Neoverse V1, Neoverse N2, Neoverse N1, Cortex-X925, Cortex-X4, Cortex-X3, Cortex-X2, Cortex-X1 & X1C, Cortex-A710, Cortex-A78, A78AE & A78C, Cortex-A77, Cortex-A76 & A76AE и NVIDIA Olympus. Для блокирования проблемы обходным путём для ядра Linux предложен патч, который пока не вошёл в состав корректирующих обновлений. Исправление также выпущено для гипервизора Xen.
Уязвимость возникает в процессе выполнения операции TLBI (TLB Invalidation) для очистки записи в кэше трансляции виртуальных адресов в физические. Инструкция DSB (Data Synchronization Barrier), фиксирующая выполнение операции TLBI, на одном ядре может завершиться раньше, чем операция записи на другом ядре станет глобально видна всем ядрам. Таким образом, операция записи может быть завершена после того, как права доступа были изменены через TLBI.
Данная рассинхронизация состояния может применяться для обхода запрета доступа на уровне таблиц трансляции виртуальных адресов в физические (Stage 1) и трансляция адресов виртуальной машины (Stage 2), а также обхода механизма защиты целостности памяти GPT (Granule Protection Table). Например, гипервизор может выполнить инструкцию TLBI для запрета доступа к памяти для виртуальной машины, но гостевая система сможет продолжить писать в эту память, несмотря на подтверждение прекращения доступа.
