В жалобе, отправленной команде Debian Quality Assurance Team, ответственной за поддержание качества в Debian, указано, что подобное нештатное поведение не соответствует требованиям к программному обеспечению, которое может поставляться в Debian, так как может рассматриваться как дискриминация по принадлежности к определённой группе пользователей и дискриминация по области использования. В частности, xsnow изменяет поведение и направляет адресное обращение отдельной категории пользователей и меняет ожидаемую нейтральную функциональность в зависимости от окружения пользователя.

При этом упомянутые в жалобе пункты правил Debian определяют недопустимость дискриминации лишь в лицензиях на код, а не в поведении программы. Правила Debian не регламентируют действия в случае попыток продвижения в ПО политических заявлений и поведения, расходящегося с заявленной функциональностью. Формально подобная активность в Debian оказалась не запрещена.

В качестве варианта дальнейших действий рассматривается возможность трактовки выполняемых программой протестных действий как ошибки или недокументированного поведения, требующего применения патча для восстановления нейтральной и ожидаемой функциональности. Но ситуацию усложняет тот факт, что сопровождающий пакет xsnow в Debian является автором данной программы, добавившим рассматриваемое недокументированное поведение.

1. OpenNews: Уязвимость, позволяющая подставить escape-последовательности в чужие терминалы
2. OpenNews: В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Беларуси
3. OpenNews: Конфликт из-за поставки устаревшей версии XScreenSaver в Debian
4. OpenNews: Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектов

Ключевые улучшения:

• Повышены требования к 32-разрядным системам, для работы на которых теперь необходимо наличием CPU с поддержкой инструкций SSE2. Имя архитектуры для 32-разрядных iso-образов изменено с i586 на i686.
• Для обоев рабочего стола вместо JPG задействован формат JXL. Разрешение увеличено до 3840×2160, но благодаря более эффективному сжатию потребление дискового пространство осталось на том же уровне.
• В инсталляторе реализован запрос часового пояса при начале установки, добавлена поддержка беспроводных соединений и улучшен режим восстановления ранее установленной системы.
• В Live-сборках c GNOME и KDE Plasma по умолчанию предложены сеансы на базе Wayland. Реализованы опции для отката на X11 и использования несвободных драйверов. Добавлена предварительная поддержка DisplayLink, требующая установки пакета displaylink-native-evdi. Расширены возможности интерфейса draklive2, в котором упрощена настройка локализации, часовых поясов, сервисов и межсетевого экрана, добавлена сводная страница с общей информацией.
• Через репозитории RPM-MD (RPM MetaData) обеспечено предоставление метаданных AppStream, используемых в менеджерах приложений GNOME Software и Plasma Discover для поиска и управления приложениями.
• В Mageia Control Center в конфигураторе звука draksound упрощено переключение между звуковыми серверами PulseAudio и PipeWire (по умолчанию продолжает использоваться PulseAudio). Убрана функциональность родительского контроля (drakguard), требующая переработки.
• На базе python-manatools переработаны графические интерфейсы утилит для записи ISO-образов (isodumper), управления пакетами (dnfdragora) и настройки межсетевого экрана (manafirewall). Python-manatools предоставляет обвязку, позволяющую создавать универсальные интерфейсы, которые могут отрисовываться в графическом режиме через Qt6 и GTK4, а в текстовом режиме при помощи ncurses.
• Добавлен пакет remove-old-kernels с инструментарием для удаления старых ядер из системы и оставления только трёх последних обновлений пакетов с ядром. Чистка запускается автоматически раз в неделю или может быть вызвана через меню "Tools" -> "System tools".
• DHCP-клиент dhcp-client заменён на dhcpcd, а инструментарий для тестирования памяти PCMemTest заменён на Memtest86+.
• Приложение для ведения заметок Knotes заменено на Marknote. Пакет для голосового ввода и распознавания голосовых команд NoComprendo переведён на библиотеки и модели от проекта Vosk.
• В состав включены браузеры для протокола Gemini: Lagrange (SDL), Kristall (Qt), Offpunk (CLI).
• Прекращена поставка пакета Chromium из-за больших трудозатрат на сопровождение. Предлагается использовать пакет в формате flatpak или официальный RPM-пакет Chrome от Google.
• Доступ к утилите dmesg теперь разрешён только администратору.
• Обновлены версии пакетов, включая ядро Linux 6.18, RPM 4.20.1, DNF 5.4 (в качестве альтернативы urpmi), Docker 29.1.3, GRUB 2.12, Glibc 2.42, GCC 15.2, GDB 16.3, LLVM 20.1, Firebird 5.0.3 QEMU 10.2.2, Xen 4.20.2, VirtualBox 7.2.8, Python 3.13, Perl 5.42, Ruby 3.4.7, Rust 1.95.0, PHP 8.5.
• Обновлены компоненты графического стека: Mesa 3D 26.0.8, X.Org 21.1.23, XWayland 24.1.12, Qt 6.10.0, GTK4 4.20.4.
• Обновлены пользовательские приложения: LibreOffice 26.2.3, Blender 4.5.8, Firefox 140 ESR, Vim 9.2, NeoVim 0.11.5.
• Обновлены версии рабочих столов KDE Plasma 6.5.5 (по умолчанию с Wayland) + KDE Gear 25.12.1, GNOME 49. Xfce 4.20, LXQt 2.3, MATE 1.28, Cinnamon 6.6, Enlightenment E27.1.

1. OpenNews: Выпуск дистрибутива Mageia 9, форка Mandriva Linux
2. OpenNews: Скомпрометирована инфраструктура проекта Mageia
3. OpenNews: Серверная версия Mandriva будет развиваться на базе Mageia Linux
4. OpenNews: Из Mandriva ушли почти все разработчики и основали форк проекта - Mageia
5. OpenNews: Релиз дистрибутива OpenMandriva Lx 6.0

Среди предлагаемых для LuaJIT 3.0 расширений:

• Битовые операторы в виде встроенного синтаксиса вместо вызовов функций "bit.*": "~a" (NOT), "a & b" (AND), "a | b" (OR), "a ~ b" (XOR), "a << b`, "a >> b" (логический сдвиг) и "a ~>> b" (арифметический сдвиг). XOR обозначен как "~", поскольку символ "^" в Lua занят возведением в степень.
• Альтернативные ("привычные") операторы в стиле C/JavaScript: "!" (not), "&&" (and), "||" (or) и "!=" (~=).
• Оператор целочисленного деления "//" с округлением в сторону минус бесконечности и метаметодом "__idiv" (как в Lua 5.3+).
• Тернарный оператор "a ? b : c" с поддержкой сокращённого вычисления.
• Оператор безопасной навигации "?." ("a?.field", "a?.[key]", "f?.(...)", "obj?.:method(...)"), возвращающий "nil", если левый операнд равен "nil".
• Оператор объединения с nil "a ?? b", возвращающий "b", только если "a" равно "nil".
• Составные операторы присваивания: "+=", "-=", "*=", "/=", "//=", "%=", "&=", "|=", "~=", "<<=`, ">>=", "~>>=", "..=" и "??=". Индексное выражение в левой части вычисляется однократно.
• Оператор "continue" для перехода к следующей итерации цикла, оформленный как "мягкое" ключевое слово (можно продолжать использовать как имя переменной).
• Объявление "const" - блочная неизменяемая привязка локальной переменной; запрещены переприсваивание и повторное объявление в той же или вложенной области видимости (также "мягкое" ключевое слово).

В обсуждении дополнительно затрагиваются ещё не вошедшие в спецификацию идеи: выражение сопоставления с образцом через ключевое слово "in", индексируемый тип для vararg ("...varg", "varg[i]"), краткий синтаксис лямбд ("|x| -> expr"), оператор отложенного выполнения "defer" в стиле Go/Zig и присваивание в условии ("if local x = ... then").

Появление расширений вызвало и критику: часть участников отметила, что нововведения окончательно превращают LuaJIT в отдельный язык, несовместимый с эталонным Lua 5.1. На это Полл ответил, что "этот корабль уплыл уже очень давно".

Документацию по языку планируется консолидировать в отдельное самостоятельное описание, в котором каждое расширение будет помечено версией, в которой оно появилось.

1. OpenNews: Доступен язык программирования Lua 5.5
2. OpenNews: Lunatik - инструментарий для создания в ядре Linux обработчиков на языке Lua
3. OpenNews: Открыт код Luau, варианта языка Lua с проверкой типов
4. OpenNews: Компания Microsoft опубликовала реализацию Lua VM, написанную на языке Go
5. OpenNews: Выпуск LuaJIT 2.0.3, JIT-компилятора для языка Lua

Среди опубликованного материала встречаются как сомнительные проблемы (ghidra), так и серьёзные уязвимости (Floci, libssh2, FFmpeg, c-ares). По словам исследователя, на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов. CVE-идентификаторы не назначены. Среди раскрытых уязвимостей:

• Переполнение буфера в мультимедийном пакете FFmpeg, которое может привести к запуску кода атакующего при декодировании специально оформленных видеопотоков в формате RASC (дубликат CVE-2026-12706?).
• Две уязвимости в библиотеке libssh2, вызванные целочисленными переполнениями в парсере открытых ключей. Уязвимости приводят к записи данных за пределы выделенного буфера, что может использоваться для выполнения кода атакующего при обращении клиента к вредоносному SSH-серверу, в том числе на стадии до прохождения аутентификации.
• Уязвимость в эмуляторе облачных окружений Floci, позволяющая обойти IAM-ограничения и добиться удалённого выполнения кода через отправку HTTP-запроса к REST API при использовании сервиса API Gateway и наличии непривилегированного доступа к API.
• Уязвимость (use-after-free) в DNS-библиотеке c-ares, приводящая к запуску кода злоумышленника при обращении к подконтрольному атакующему DNS-серверу при вызове функции ares_getaddrinfo().
• Состояние гонки в Docker, которое можно использовать для записи файла в область вне целевого каталога при копировании администратором данных из контейнера в хост-окружение командой "docker cp <container>:/tmp/src <host-destination>.
• Уязвимость в сетевом сканере nmap, приводящая к целочисленному переполнению из-за некорректной обработки размера в коде для парсинга заголовков пакетов IPv6.
• Уязвимость в реализации AI-режима "Smart Window" в Firefox, приводящая к утечке конфиденциальных данных и истории посещений через подстановку инструкций для AI-агента в открываемый контент.
• Уязвимость в 7-Zip, которую можно использовать в Windows для подмены других файлов при распаковке специально оформленных RAR-архивов.
• Уязвимость в act_runner в платформе совместной разработки Gitea, позволяющая выйти из контейнера и получить root-доступ к хост-системе при наличии возможности выполнения своих обработчиков через Gitea Actions.
• Переполнение буфера в мультимедийном проигрывателе VLC, эксплуатируемое при декодировании специально оформленного видео в формате VP9.
• Уязвимость в PHP, вызванная неправильной обработкой типов (Type Confusion) и позволяющая добиться выполнения своего кода при обработке HTTP-ответа от вредоносного SOAP-сервера.
• Уязвимость в OpenVPN Connect для Windows, позволяющая добиться выполнения кода на стороне клиента при подключении к вредоносному VPN-серверу, после того как пользователь импортирует ovpn-профиль с настройками для подключения к этому серверу.
• Уязвимость класса HTTP Request Smuggling в библиотеке nghttp2 в реализации прокси-сервера nghttpx, позволяющая вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом (например, для подстановки вредоносного JavaScript-кода в сеанс другого пользователя с сайтом).
• Уязвимость в панели управления MyBB Admin CP, позволяющая модератору, имеющему право управления пользователями в форуме, создать учётную запись с правами главного администратора.
• Уязвимость в платформе удаленного управления RustDesk, позволяющая совершить MITM-атаку для отключения шифрования и подстановки нажатий клавиш в сеанс пользователя.
• Уязвимость в утилите objdump, позволяющая добиться выполнения кода при анализе утилитой специально оформленных объектных файлов в формате ELF/DLX.

1. OpenNews: Проект Akrites для координации оперативного устранения уязвимостей
2. OpenNews: OpenAI запустила инициативу Patch the Planet для поиска и исправления уязвимостей в открытом ПО
3. OpenNews: Фонд СПО предупредил о критической уязвимости в хостинге свободного кода GNU Savannah
4. OpenNews: Уязвимости в Unbound, Kata-Containers, BIND, PostgreSQL, HPLIP, MongoDB, Rsync, 7-zip, Yelp, qSnapper и Suricata

Допускается объединение окон в именованные группы, которые можно сворачивать, раскрывать на весь экран и индивидуально настраивать. Раскладка и выбранные позиции окон сохраняются после перезапуска, аварийного завершения приложений или перезагрузки системы.

Поддерживается создание отдельных рабочих пространств для определённых задач и переключения между ними через комбинации клавиш или наглядную 3D-навигацию, реализованную в форме мозаичной карты-глобуса. Возможно создание скриншотов и записи скринкастов, как для выбранных окон, так для выделенной области рабочего пространства, с охватом при записи изменения масштаба и перемещения по виртуальному экрану.

1. OpenNews: Первый тестовый выпуск композитного сервера Xfwl4 от проекта Xfce
2. OpenNews: Выпуск miracle-wm 0.10, композитного менеджера на базе Wayland и Mir
3. OpenNews: Выпуск labwc 0.20, композитного сервера для Wayland
4. OpenNews: Выпуск композитного сервера Hyprland 0.55
5. OpenNews: Выпуск композитного сервера Niri 26.04, использующего Wayland

Основные изменения:

• Реализована поддержка 31 материнской платы:
  • AMD Crater для SoC V2000A
  • AMD Jaguar для SoC Faegan
  • AMD Maple для SoC Strix Halo
  • ASRock H370M-ITX/ac, ASRock Z87 Extreme6
  • ASUS H81M-K, P8H61-I R2.0, P8H61-M LX2, PRIME H610M-K D4, Z87-K
  • ASUS Maximus VI EXTREME
  • ASUS Maximus VI FORMULA, VI HERO, VII IMPACT, VI IMPACT, VII RANGER
  • Framework Laptop 13 (Intel Core Ultra Series 1)
  • Framework Laptop 13 Pro (Intel Core Ultra Series 3)
  • Lenovo ThinkPad X61 / X61s
  • Star Labs Byte Mk I (Ryzen 7 5800U), StarBook Mk VI (Ryzen 7 5800U)
  • System76 bonw15-b, gaze20
  • 8 плат, применяемых в различных устройствах с Chrome OS или на серверах Google.
• Прекращена поддержка материнских плат AMD Crater Renoir (заменена на AMD Crater для SoC V2000A) и Google Myst.
• Добавлена начальная поддержка SoC Intel Nova Lake (NVL). Реализованы bootblock, romstage, ramstage, FSP-M и FSP-S (Firmware Support Package), добавлены определения выводов GPIO и таблицы ACPI, обеспечена поддержка PCIe и Flash. Обновлены утилиты ifdtool и spd_tools. Из ограничений - пока не поддерживается DDR5.
• Добавлена начальная поддержка SoC Intel Panther Lake (PTL) с возможностью inline-шифрования UFS.
• Добавлена начальная поддержка SoC AMD Strix Halo c демонстрацией загрузки на материнской плате AMD Maple.
• Добавлена начальная поддержка SoC Qualcomm Calypso и основанных на данном SoC материнских плат Google Calypso, Mensa и C1nv. Имеется поддержка ARM Trusted Firmware, PCIe, инициализации таймера QUPv3, драйвера SPMI, загрузки прошивок CPUCP и PDP.
• Для чипов AMD добавлена поддержка механизма ROM Armor, реализующего защиту от неавторизированной модификации системного SPI Flash.
• Для чипов AMD реализована поддержка механизма A/B Recovery, обеспечивающего сохранение резервной копии при обновлении прошивки для загрузки старой прошивки в случае невозможности загрузиться с новой версии или при проблемах с верификацией целостности прошивки. Добавлена возможность загрузки со второго Flash-чипа и сохранения флага восстановления между перезагрузками.. В утилитах amdfwtool и amdfwread обеспечена поддержка разделения директорий и парсинга A/B-разделов.
• Для плат на чипах Qualcomm, таких как Google Bluey и Calypso, реализованы расширенные возможности управления зарядом и аккумулятором. Реализованы: плавный переход от медленной к быстрой зарядке, мониторинг температуры, режим загрузки без аккумулятора, оптимизированная подача питания на NVMe.
• Расширена поддержка устройств на базе чипов Intel Haswell и Broadwell. Унифицирован код поддержки платформ Haswell и Broadwell, и реализована общая инициализация графики. Добавлена начальная поддержка вариантов чипов Broadwell для ПК. Добавлен драйвер для искусственного снижения напряжения (undervolt) и переопределены лимиты мощности PL1/PL2. Добавлена поддержка материнских плат ASUS на чипах Haswell, таких как Maximus VI/VII, Z87-K и H81M-K.
• В драйвер Intel FSP 2.0 добавлена поддержка алгоритма сжатия Zstd.
• Предоставлена возможность включения нескольких изображений логотипов c разным разрешением для их отображения в зависимости от разрешения экрана.
• Продолжена работа по адаптации кода для поддержки стандарта C23.
• Обновлены версии GCC 15.2.0, NASM 3.01, binutils 2.45.1 и ACPICA 20251212.
1. OpenNews: Выпуск Coreboot 25.12, открытой альтернативы проприетарным прошивкам
2. OpenNews: Релиз загрузочного менеджера GNU GRUB 2.14
3. OpenNews: Проект U-Boot перешёл под крыло организации Software Freedom Conservancy
4. OpenNews: Выпуск загрузочных прошивок Libreboot 26.01 и Canoeboot 26.01
5. OpenNews: Истекает время жизни сертификата, которым заверен загрузчик для UEFI Secure Boot в дистрибутивах Linux

Получаемые в случае успешной эксплуатации уязвимости права давали атакующему возможность внести изменения в ссылки на релизы Python и метаданные для проверки корректности загружаемых файлов, размещённые на странице python.org/downloads. При этом уязвимость не позволяла изменить содержимое имевшихся файлов с релизами.

Аудит базы данных и логов не выявил следов эксплуатации уязвимости. Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.

Уязвимость присутствовала в коде с 2014 года и была вызвана смешиванием в одном коде обработчиков для гостевых входов и аутентификации по ключам для API. В случае сбоя аутентификации по ключу доступа к API, в коде выполнялся откат на использование гостевого доступа.

Уязвимость была выявлена 23 февраля и устранена на следующий день, после чего было проведено несколько проверок целостности инфраструктуры: 25 февраля были проанализированы логи и резервные копии БД, все доступные для загрузки ресурсы были проверены с использованием цифровых подписей из лога Sigstore и PGP-ключей, собственными силами был проведён аудит кодовой базы используемых сервисов. 23 апреля кодовая база дополнительно была проверена при помощи AI-инструментов, а 1 июня для внешнего аудита инфраструктуры python.org и процессов формирования релизов Python была привлечена компания Trail of Bits.

1. OpenNews: Опубликована информация о взломе wiki.python.org
2. OpenNews: Атакующие получили доступ к 174 учётным записям в каталоге PyPI
3. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
4. OpenNews: Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI

• PEdit-CoW (CVE-2026-46331, эксплоит 1, эксплоит 2) - ошибка при применении механизма copy-on-write в коде изменения заголовков пакетов (act_pedit), используемом в планировщике сетевых пакетов (net/sched), позволяет записать данные за пределы выделенного буфера, что может использоваться для перезаписи данных в страничном кэше по выбранному смещению. Ошибка вызвана тем, что проверка допустимой области для записи данных производилась без учёта того, что смещение на редактируемые поля может измениться во время выполнения операции.

  Проблема проявляется начиная с ядра Linux 5.18 и устранена в выпусках 7.1, 7.0.13, 6.18.36 и 6.12.94. Заявлена возможность эксплуатации проблемы в RHEL 8/9/10, Debian 11/12, openSUSE Leap 15.6, SUSE Linux 15-SP7/16.0 и Ubuntu 18.04-25.10 (в версии Ubuntu 26.4 по умолчанию заблокировано создание user namespace). В качестве обходного пути защиты рекомендуется заблокировать загрузку модуля ядра act_pedit (перестанут работать правила ограничения трафика и перезапись заголовков через "tc pedit")"

  
     echo "blacklist act_pedit" > /etc/modprobe.d/blacklist-act-pedit.conf
     rmmod act_pedit
  

• DirtyClone (CVE-2026-43503, эксплоит) - обходной путь эксплуатации уязвимости Dirty Frag в модуле xfrm-ESP, применяемом для ускорения операций шифрования в IPsec с использованием протокола ESP (Encapsulating Security Payload). Для клонирования структуры skb в новом эксплоите используется манипуляция с TEE-расширением к netfilter (модуль xt_TEE), выполняющим операцию клонирования сетевых пакетов.

  Уязвимость устранена в выпусках ядра Linux 7.1, 7.0.10, 5.10.257, 5.15.208, 6.1.174, 6.6.141, 6.12.91 и 6.18.33. Проблема проявляется в Debian, Ubuntu, Fedora, RHEL и SUSE. В качестве обходного пути блокирования уязвимости можно запретить загрузку модулей ядра esp4 и esp6.

Для эксплуатации обеих уязвимостей требуются права доступа CAP_NET_ADMIN, которые непривилегированный пользователь может получить через создание пространств имён идентификаторов пользователей (user namespace). В Ubuntu подобная операция по умолчанию запрещена, но может быть разрешена через sysctl "kernel.apparmor_restrict_unprivileged_userns=0" или профили AppArmor. В остальных дистрибутивах доступность "user namespace" непривилегированным пользователям зависит от выставления sysctl "kernel.unprivileged_userns_clone" (если 0, то запрещено).

Эксплуатация уязвимостей сводится к чтению файла программы /bin/su с флагом suid root, для его оседания в страничном кэше, и замене в страничном кэше части кода программы кодом для запуска /bin/sh. Последующий запуск программы приведёт к тому, что в память будет загружен не оригинальный исполняемый файл с накопителя, а изменённая копия из страничного кэша.

Дополнительно можно отметить создание эксплоита для уязвимости CVE-2026-23111 в подсистеме nf_tables, устранённой в февральских обновлениях ядра Linux. Уязвимость вызвана обращением к памяти после её освобождения (use-after-free) и позволяет непривилегированному пользователю получить права root в системе. Для атаки и у пользователя должна быть возможность создания пространств имён идентификаторов пользователей (user namespace). Работа эксплоита продемонстрирована в Debian 12/13 и Ubuntu 22.04/24.04.

1. OpenNews: DirtyDecrypt - очередная уязвимость класса Copy Fail, предоставляющая права root в Linux
2. OpenNews: Fragnesia - уязвимость в ядре Linux, позволяющая получить root через изменение страничного кэша
3. OpenNews: Уязвимости Dirty Frag, изменяющие страничный кэш для получения root в любых дистрибутивах Linux
4. OpenNews: Copy Fail - уязвимость в ядре Linux, позволяющая получить root в большинстве дистрибутивов
5. OpenNews: GRO Frag - седьмая уязвимость класса Copy Fail, предоставляющая права root в Linux

Участники проекта предоставят финансирование, инженерные ресурсы и экспертизу в области компьютерной безопасности для создания совместной команды реагирования на инциденты (SIRT, Security Incident Response Team). Созданная команда будет заниматься выявлением новых уязвимостей, разбором и проверкой отчётов об уязвимостях, подтверждением уровня опасности, разработкой исправлений совместно с сопровождающими открытых проектов и координацией процесса раскрытия информации об уязвимостях. Раскрытие сведений об уязвимостях будет синхронизировано с выпуском исправлений в основных проектах, дистрибутивах и зависимых продуктах.

Отмечается, что если раньше для создания эксплоитов требовались экспертные знания и длительный процесс разработки, то современные возможности AI-инструментов позволяют неквалифицированным злоумышленникам создать рабочий эксплоит за считанные часы, используя информацию о патче с устранением проблемы. В случае, если исправление для уязвимости выпущено без явной огласки о связи с проблемами безопасности, пользователи и разработчики зависимых проектов могут проигнорировать обновление, а злоумышленники при помощи AI-инструментов быстро подготовить эксплоит и начать атаковать необновлённые системы.

В подобных условиях становится важным оперативность устранения проблемы, предотвращение утечек информации во время разработки патчей, одновременное с публикацией исправления раскрытие сведений об уязвимости и доведение до пользователей информации о необходимости установки обновления. Отдельно будет проводиться работа по информированию об уязвимостях операторов критической инфраструктуры, важных сервисов и проектов, так как с точки зрения блокирования потенциальных атак важна не столько публикация патча, сколько его оперативное применение.

Помимо этого проект ставит перед собой цель снятия нагрузки с сопровождающих, беря на себя такую работу, как отсеивание дублирующихся отчётов о проблемах, подтверждение наличия уязвимостей и оказание помощи в разработке и тестировании исправлений. При выявлении уязвимостей в важных пакетах, оставшихся без активных сопровождающих, проект Akrites будет брать на себя работу по подготовке и интеграции в них исправлений.

1. OpenNews: IBM и Red Hat вложат $5 млрд в обеспечение безопасности открытого ПО
2. OpenNews: Защита от мусорных AI-изменений на GitHub. Оценка влияния вайб-кодинга на экосистему открытого ПО
3. OpenNews: Anthropic анонсировал AI-модель Claude Mythos, умеющую создавать рабочие эксплоиты
4. OpenNews: Служба здравоохранения Великобритании намерена закрыть свои репозитории с открытым кодом из-за AI
5. OpenNews: При помощи AI-модели Mythos выявлены 23 тысячи уязвимостей в открытом ПО

Основные изменения:

• Для всех поддерживаемых шейдерных моделей задействован компилятор шейдеров dxbc-spirv. Компиляция шейдеров перенесена из основного потока в отдельные потоки. Реализовано кэширование на диске промежуточного представления шейдеров (кэш сохраняется в подкаталоге AppData/Local в текущем префиксе Wine). Использование dxbc-spirv позволило снизить потребление памяти, сократить время запуска, исключить подвисания и избавиться от ряда проблем, проявлявшихся в играх Postal: Brain Damaged, Snowrunner, Overwatch, God of War, Days Gone и Final Fantasy XIV, которые не удавалось устранить в старом коде трансляции шейдеров.
• Для D3D9 реализована поддержка шейдерных моделей 1-3.
• По умолчанию задействовано Vulkan-расширение VK_EXT_descriptor_heap. По сравнению с ранее применявшимся хранилищем дескрипторов на базе Vulkan-расширения VK_EXT_descriptor_buffer, новая реализация обеспечивает тот же уровень производительности операций, выполняемых на CPU, но снижает нагрузку на GPU, особенно при использовании видеокарт NVIDIA. Для работы на системах с видеокартами NVIDIA требуется как минимум версия проприетарных драйверов NVIDIA 595.84. Реализация на базе VK_EXT_descriptor_buffer объявлена устаревшей и будет удалена в одном из следующих выпусков.
• В реализации Direct3D 9 вместо генерации шейдеров на лету теперь используются uber-шейдеры, оптимизированные версии которых компилируются в фоне, что решило проблемы с подвисанием некоторых старых игр, таких как Unreal Tournament 2004. Обеспечена загрузка буферов по необходимости, как в Windows, вместо заблаговременного размещения в видеопамяти, что устранило аварийные завершения некоторых 32-разрядных D3D9-игр из-за ограниченного адресного пространства.
• Обеспечена корректная работа мультисэмплинга (MSAA) в режиме D3DRS_MULTISAMPLEANTIALIAS на системах с поддержкой Vulkan-расширений VK_EXT_sample_locations и VK_EXT_extended_dynamic_state3, что решило проблемы с рендерингом в Anno 1701, Men of War и других играх при включении MSAA.
• Обеспечена поддержка работы с общими ресурсами (Shared resources) в штатных версиях Wine без дополнительных патчей от проекта Proton.
• Удалена переменная окружения DXVK_FRAME_RATE, применявшаяся для ограничения частоты кадров (Frame rate limiter), вместо которой рекомендуется использовать внешние ограничители, такие как Gamescope и Mangohud. Для активации встроенного ограничителя можно использовать настройку "dxvk.maxFrameRate = n".
• Решены проблемы в играх:
  • Bioshock Infinite
  • Borderlands 2
  • Colin McRae Rally 3
  • Dirt Rally 2
  • Fallout New Vegas
  • Insurgency & Counter-Strike
  • Jump Space
  • Max Payne
  • Railroad Tycoon 3
  • Resident Evil 6
  • Sang-Froid: Tales of Werewolves
  • Sea Dogs
  • Splinter Cell 4
  • The I of the Dragon
  • The Sims 3
  • Total War: Pharaoh
  • Witch on the Holy Night
  • World of Final Fantasy
  • Vietcong
• Требования к минимальной версии графического API повышены до Vulkan 1.4. Для работы теперь требуются как минимум версии драйверов AMD RADV 25.0, NVIDIA 575.51.02, NVIDIA 25.1 и Intel ANV 25.1.

1. OpenNews: Выпуск DXVK 2.7, реализации Direct3D 8/9/10/11 поверх API Vulkan
2. OpenNews: Выпуск DXVK-Sarek 1.11.0, реализации Direct3D 8/9/10/11 для GPU без поддержки Vulkan 1.3
3. OpenNews: Бета-версия Proton 11.0
4. OpenNews: Релиз Proton 10.0-4, пакета для запуска Windows-игр в Linux
5. OpenNews: Выпуск D7VK 1.8, реализации Direct3D 3-7 поверх API Vulkan

Си-программы с расширениями SPMD компилируются для выполнения на вычислительных блоках SIMD, предоставляемых CPU и GPU, что позволяет задействовать механизмы векторизации SIMD без низкоуровневых оптимизаций и явного применения в коде SIMD-инструкций. Для написания распараллеливаемых функций используется привычный синтаксис и идиомы языка Си - SPMD-функции напрямую взаимодействуют с функциями и структурами, написанными на C/C++. Для отладки программ могут применяться существующие отладчики.

В качестве бэкенда для генерации кода и оптимизации в ISPC используется инфраструктура LLVM. Поддерживаются векторные инструкции x86 (SSE2, SSE4, AVX, AVX2, AVX512) и ARM (NEON), а также вынос вычислений на сторону GPU (Intel Gen9 и Xe). На архитектурах с векторными блоками SSE, обрабатывающими по 4 элемента за раз, применение ISPC даёт возможность добиться ускорения выполнения программы в 3 или более раз, а на архитектурах с векторными блоками AVX, обрабатывающими по 8 элементов за раз, ускорение может достигать 5-6 раз. При этом помимо размера векторного блока, масштабирование также обеспечивается за счёт выполнения на разных процессорных ядрах.

Основные новшества, добавленные в версии ISPC 1.31:

• Добавлена экспериментальная поддержка 64-разрядной little-endian архитектуры PowerPC (ppc64le). По умолчанию осуществляется сборка для POWER ISA 2.7 (POWER8+) с расширениями VSX (Vector Scalar Extension).
• Добавлены новые сборочные цели avx10.2nvl-x4, avx10.2nvl-x8, avx10.2nvl-x16, avx10.2nvl-x32 и avx10.2nvl-x64, реализующие поддержку расширенный наборов инструкций AVX10.2 (Advanced Vector Extensions) и APX (Advanced Performance Extensions) для процессоров на базе микроархитектуры Intel Nova Lake.
• В диспетчеризаторе обеспечен выбор вариантов сборочных целей с поддержкой AMX (avx512spr, avx512gnr, avx10.2dmr) только при реальной поддержке расширений AMX (Advanced Matrix Extensions) в операционной системе и CPU.
• Добавлена опция "--opt=disable-apx" для выборочного отключения отдельных возможностей x86 APX (egpr, ndd, push2pop2, ppx, ccmp, cf, nf, zu и jmpabs), которые по умолчанию включены в поддерживающих APX сборочных целях, таких как avx10.2dmr и avx10.2nvl.
• Добавлены сбалансированный ("balanced") и агрессивный ("aggressive") режимы оптимизации математических вычислений, включаемые через опцию "--opt=fast-math" и более агрессивные по сравнению с применяемым по умолчанию режимом оптимизации.
• В стандартную библиотеку добавлены новые математические функции: erf, erfc (функции ошибок Гаусса), expm1 (точное вычисление "exp(x)-1"), log1p ("log(1+x)"), sinh, cosh и tanh (гиперболические синус, косинус и тангенс). Повышена точность и производительность функций asin, acos, atan и log.
• Значительно повышена производительность 32-битных операций перестановки (shuffles) для сборочной цели avx2-i32x16 и вычислений popcnt для целей avx2-i8x32, avx512skx-x32 и avx512skx-x64.
• Инструментарий LLVM обновлён до находящейся в разработке ветки 23.

1. OpenNews: Выпуск компилятора ISPC 1.26, развиваемого Intel для языка Си с расширениями SPMD
2. OpenNews: Cheerp 3.0, компилятор C/C++ в JavaScript, переведён на лицензии Apache 2.0 и LLVM
3. OpenNews: Доступен Vcc, C/C++ компилятор для Vulkan
4. OpenNews: Linux ядро адаптировано для сборки компилятором Intel C/C++
5. OpenNews: Intel представил nGraph, компилятор для систем машинного обучения

Новая версия примечательна реализацией экспериментального инструментария Deno Desktop, позволяющего создавать пользовательские приложения с графическим интерфейсом, построенные с использованием web-технологий, по аналогии с платформой Electron. Логика и интерфейс приложения определяются на языке JavaScript или TypeScript с использованием типовых web-фреймворков, а работа организуется с использованием браузерного движка. Приложение поставляется в форме самодостаточного исполняемого файла и по взаимодействию с пользователем не отличается от классических программ с графическим интерфейсом.

В Deno Desktop предлагаются бэкенды для работы поверх двух браузерных движков - предоставляемого операционной системой WebView и интегрируемого в приложение CEF (Chromium Embedded Framework). Бэкенд на базе WebView позволяет уменьшить размер исполняемых файлов за счёт работы поверх системного браузерного движка WebView2 в Windows и WebKit в macOS и Linux, а бэкенд CEF даёт возможность добиться одинаковой отрисовки интерфейса на платформах Linux, macOS и Windows, но ценой существенного увеличения размера исполняемых файлов.

Размер исполняемого файла тестового приложения при использовании WebView оценивается в 40 МБ, а при использовании CEF - 150 МБ. Для сравнения для Electron этот показатель составляет 100 МБ, Electrobun - 61 МБ, а Tauri - 2-10 МБ (в Electron применяется встраиваемый в приложение CEF, а в Electrobun и Tauri системный WebView). В разработке находится механизм совместного использования общего движка CEF в разных приложениях, который даст возможность снизить размер исполняемых файлов.

В Deno Desktop реализована полная совместимость с Node.js, экосистемой NPM и такими web-фреймворками, как Next.js, Astro, Fresh, Remix, Nuxt, SvelteKit, SolidStart, TanStack Start и Vite SSR. Предоставляется API для доступа к нативным десктопным API, например, можно из программы управлять размером, позицией и видимостью окна, создавать меню, прикреплять свои обработчики, выставлять пиктограммы для системного лотка и панелей, выводить родные для ОС диалоги. Возможна сборка web-приложений в форме десктоп-программ без изменения их кода, а также автоматическое определение используемых web-фреймворков и кросс-компиляция на одной системе для Linux x64/arm64, Windows x64 и macOS x64/arm64. Для Linux могут генерироваться пакеты в форматах AppImage, deb и rpm.

В отличие от Electron, Electrobun и Tauri в Deno Desktop применяется не многопроцессная модель выполнения с IPC на базе сокетов, а многопоточная модель для CEF или модель на основе групп процессов для WebView с взаимодействием между бэкендом и кодом графического интерфейса через каналы внутри одного процесса. Имеется встроенный механизм проверки и автоматической установки обновлений, для экономии трафика загружающий только изменившиеся относительно прошлой версии данные (применяются бинарные патчи на базе bsdiff) и поддерживающий откат на прошлую версию в случае сбоя при запуске новой версии.

Среди других новшеств Deno 2.9:

• Поддержка в команде "deno install" прямого чтения lock-файлов для упрощения миграции на Deno с npm, pnpm, yarn и Bun.
• Поддержка импорта CSS-модулей.
• Реализация совместимости с платформой Node.js 26.
• Новые команды "deno link", "deno unlink" и "deno list".
• Поддержка API Web Locks для выставления блокировок на ресурсы.
• Включение по умолчанию 24-часовой задержки (min-release-age=24h) перед установкой новых версий зависимостей для защиты от атак через компрометацию зависимостей.
• Сокращение времени запуска (~2x), снижение потребления памяти (~2.2x) и повышение пропускной способности при работе с HTTP (~1.2x).
  1. OpenNews: Выпуск Electron 40, платформы создания приложений на базе движка Chromium
  2. OpenNews: Tauri 1.0 - конкурирующая с Electron платформа для создания пользовательских приложений
  3. OpenNews: В библиотеку ANGLE, используемую в Chrome и Android, добавлена поддержка Wayland
  4. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js
  5. OpenNews: Доступна платформа Deno 2.0, развиваемая автором Node.js

Особенность проекта в том, что он реализует работу с форматом RAR без использования кода утилиты unrar, распространяемой под несвободной лицензией, которая запрещает использовать код unrar для воссоздания алгоритма сжатия RAR или разработки RAR-совместимого архиватора. Из-за данного ограничения большинство свободных архиваторов ограничивались лишь функциями распаковки RAR-файлов, а для создания RAR-архивов приходилось использовать проприетарный инструментарий от RARLAB.

Отдельно создан репозиторий rar-research в котором опубликованы спецификации для форматов RAR 1.3/1.4, RAR 1.5-4.x и RAR 5.0/7.0, а также заметки по используемым алгоритмам, фильтрам, методам проверки и восстановления целостности, шифрованию, разбиению на тома и механизмам защиты. Так как на момент создания проекта rars официальной полноценной спецификации не существовало, документация была воссоздана по коду распаковщиков, старым реализациям, тестовым архивам и анализу бинарных версий RAR для DOS и Windows.

Реализация была создана с использованием AI-инструментов OpenAI Codex 5.5 и Claude Opus 4.7 в свободное от работы время примерно за пять недель. На первом этапе модели применялись для систематизации информации о формате и восполнения пробелов в описании, после чего по восстановленной спецификации был сгенерирован код на языке Rust. Для уточнения спецификации и оттачивания реализации использовалась проверка работы на реальных архивах и сравнение с эталонными реализациями.

Отмечается, что AI-инструменты хорошо справились с переносом формального описания в код и с рутинной реализацией большого объёма функциональности, но не смогли обеспечить архитектурный контроль. Без жёсткого надзора AI-модели были склонны обходить тесты, усложнять код и пропускать очевидные проблемы, влияющие на удобство работы. По оценке автора, в проекте такого масштаба тесты, документация и комментарии стали не только инструментами проверки, но и способом направлять генерацию кода в нужное русло.

Форсировать разработку удалось после появления в OpenAI Codex режима "/goal", позволяющего AI-агенту длительное время работать над одной задачей, сжимая контекст и продолжая выполнение после его переполнения. В таком режиме Codex несколько раз работал больше чем 6 часов и один раз около 16 часов, реализуя значительную часть оставшейся функциональности, такой как восстановление данных, шифрование и многотомные архивы. С учётом значительной субсидии на токены было потрачено 40 фунтов стерлингов.

По уровню сжатия rars в среднем на 5-10% отстаёт от WinRAR. По скорости сжатия и распаковки rars существенно медленнее WinRAR из-за отсутствия полноценных оптимизаций. При этом в проекте уже имеется режим "--features fast", применяющий оптимизации на основе SIMD-инструкций для ускорения сжатия и распаковки, но завязанный на экспериментальный API std::simd, доступных только в тестовых сборках инструментария Rust. Также реализован режим "--features parallel", использующий библиотеку Rayon для распараллеливания сжатия отдельных файлов.

Евгений Рошал, создатель RAR, прокомментировал использование обратного инжинирига старых бинарных файлов RAR при разработке rars, что запрещено лицензионным соглашением. По словам Евгения, он пока не определился, что с этим делать и намерен дождаться мнения компании win.rar GmbH.

1. OpenNews: Выпуск архиватора RAR 7.0
2. OpenNews: Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива
3. OpenNews: В рамках проекта TheUnarchiver решены проблемы с использованием архивов RARv3 в свободных проектах
4. OpenNews: Переписывание кода при помощи AI для перелицензирования открытых проектов

На выбор предлагаются варианты: QSOE/N с собственным микроядром Skimmer и QSOE/L на базе микроядра seL4, имеющего формальную верификацию надёжности для архитектуры RISC-V. Помимо этого развиваются загрузчик mr-bml на базе GRUB 2.13, стандартная библиотека libc и набор программ quser. В состав набора программ входит командная оболочка qsh на базе mksh, система инициализации и набор типовых unix-утилит, таких как ls, сat, ps, lspci и login.

Микроядро Skimmer использует заимствованную у проекта DragonFly BSD реализацию легковесных потоков в ядре (LWKT, Light Weight Kernel Threads) с привязанными к CPU рабочими очередями и примитивами передачи сообщений msgport. QSOE позволяет использовать разные ядра с одним пользовательским окружением и набором драйверов, не меняющимся при смене ядра. В привязке к ядрам собираются только менеджер задач (taskman) и библиотека libc, выступающая в роли обвязки над QNX-подобными API, предоставляемыми микроядрами.

┌──────────────────────────────────────────────────────────┐
│  qsh + drivers + utils (dynamically linked)              │
├──────────────────────────────────────────────────────────┤
│  libc.so   (shared body; LQ-specific seam in lq/libc/)   │
│  rtld      (FreeBSD-derived; BSD-2-Clause)               │
├──────────────────────────────────────────────────────────┤
│  taskman   process / memory / path manager               │
│  libtaskman   portable taskman body (path / cred /       │
│               syscfg / sync / reloc / cpio / elf)        │
├──────────────────────────────────────────────────────────┤
│  seL4 microkernel  (RISC-V Sv39, formally verified)      │
│  elfloader         (loads kernel + taskman)              │
└──────────────────────────────────────────────────────────┘

Первый выпуск QSOE примечателен достижением возможности загрузки и входа в командную оболочку на реальной плате SiFive Unmatched (FU740) c накопителем NVMe. Успешная загрузка реализована для конфигураций с обоими ядрами (QSOE/L и QSOE/N).

1. OpenNews: Разработчики ОС QNX представили QNX Developer Desktop на основе Xfce и Wayland
2. OpenNews: Операционная система QNX стала бесплатной для некоммерческого использования
3. OpenNews: Микроядро seL4 математически верифицировано для архитектуры RISC-V
4. OpenNews: Выпуск Muen 1.0, открытого микроядра для создания высоконадёжных систем
5. OpenNews: Микроядро Xous и открытый чип Baochip-1x для создания безопасных встраиваемых систем

Изменение веса с "COSTS_N_INSNS (2)" до "COSTS_N_INSNS (2) + 3" увеличивает значимость ошибки предсказания c 2 до 5 условных инструкций, что лучше отражает особенности конвейеров обработки команд (pipeline) в современных CPU, в которых ошибки предсказания ветвления более затратны. Изменение веса приводит к форсированию преобразования компилятором выражений "if" в условные команды без переходов, такие как CMOV, исключающие приостановки при неверном предсказании ветвления, вызванные необходимостью сброса состояния конвейера. Ранее вес "COSTS_N_INSNS (2) + 3" указывался в GCC только для процессоров Intel Ice Lake и Alder Lake, а теперь выставлен для общего (generic) профиля процессоров x86.

Примечательно, что после принятия патча всплыла регрессия, из-за которой тест "Hint" стал выполняться у одного из разработчиков GCC на 30% медленнее при сборке с опциями "-march=generic -mtune=znver5" и "-march=generic -mtune=graniterapids". Производительность прохождения тестов SPEC2017 и SPEC2026 после внесения изменения осталась на прежнем уровне. Наличие регрессии подтверждено автором изначального коммита, по его данным замедление прохождения теста Hint составляет 14% при сборке с опциями "-O2 -mtune=generic -march=x86-64-v3".

Замедление объясняется тем, что в коде теста Hint имеется только одна условная конструкция, преобразуемая GCC в представление на базе CMOV. Данная конструкция выполняется достаточно редко (в 3%) и её оптимизация не влияет на производительность. При этом изменение режима генерации кода привело к побочному эффекту, замедлившему выполнение более часто выполняемого кода.

1. OpenNews: В GCC утверждено добавление бэкенда для WebAssembly
2. OpenNews: Релиз набора компиляторов GCC 16
3. OpenNews: Представлен бэкенд TPDE-LLVM, работающий в 10-20 раз быстрее LLVM в режиме без оптимизации
4. OpenNews: В ядрах для платформы Android включена оптимизация AutoFDO