Изначально блокировку сторонних Cookie по умолчанию планировалось реализовать до 2022 года, но блокировка из года в год откладывалась из-за сопротивления отрасли и низкого уровня внедрения технологий, разработанных для замены методов отслеживания пользователей на основе Cookie. Весной этого года компания Google решила отказаться от данной инициативы и сохранить сложившийся подход. Теперь, спустя полгода, дополнительно решено отказаться и от продвижения многих API и технологий, разработанных для повышения конфиденциальности и обеспечения показа рекламы без идентификации пользователей на основе сторонних Cookie.

API и технологии, поддержка которых будет прекращена:

• IP Protection - позволяет скрыть IP-адрес пользователя от владельцев сайтов, благодаря отправке трафика не напрямую, а через цепочку прокси-серверов. При включении IP Protection целевой сервер видит в качестве входящего IP-адреса только адрес прокси, по аналогии с использованием VPN.
• API Topics (пришёл на смену API FLoC) - даёт возможность определять категории интересов пользователя, которые можно использовать для выделения групп пользователей со сходными интересами без идентификации отдельных пользователей при помощи отслеживающих Cookie. Интересы вычисляются на основе активности пользователя в браузере и сохраняются на устройстве пользователя. При помощи API Topics рекламная сеть может получить общие сведения об отдельных интересах без наличия информации о конкретной активности пользователя.
• API Attribution Reporting - позволяет оценивать такие характеристики эффективности рекламы, как переходы и конверсия (покупка на сайте после перехода). Для определения эффективности показываемой рекламы без нарушения конфиденциальности отдельных пользователей организация W3C совместно с производителями разных браузеров развивает новый API Ad Attribution, обеспечивающий накопление агрегированных статистических данных о конверсии показанной рекламы. Компания Google будет использовать данный API вместо собственного варианта.
• Private Aggregation - для агрегирования и получения сведений о данных, используемых разными сайтами (cross-site). Например, API позволяет формировать сводные отчёты об уникальности посетителей (первых и повторных открытиях сайта) и демографии пользователей.
• API Shared Storage - хранение данных в формате ключ-значение, без привязки к домену и с возможностью обращения к хранилищу с разных сайтов.
• API Protected Audience - решение задач ретаргетинга и оценки собственной аудитории (работа с пользователями, ранее уже посещавшими сайт).
• API Related Website Sets - определение взаимосвязи между сайтами, на основе которой браузеры могут допускать ограниченный межсайтовый доступ к данным.
• requestStorageAccessFor - расширение к API Storage Access для запроса полномочий для межсайтового доступа к хранимым данным.
• API Related Website Partition - позволяет внешним скриптам работать с группой связанных сайтов.
• API Select URL - позволяет выбирать показываемый URL на основе межсайтовых данных в хранилище Shared Storage, не раскрывая эти данные.
• API Protected App Signals - сохранение информации об активности пользователя при работе с приложениями, которая может быть полезной для показа рекламы, учитывающей интересы пользователя. Например, API позволяет накапливать информацию о числе установок, первом запуске, проведённом в приложении времени, совершённых покупках и выполненных действиях.
• SDK Runtime - даёт возможность запускать сторонние библиотеки в изолированном процессе отдельно от процесса Android-приложения, что не позволяет функциям библиотеки получить доступ к ресурсам и памяти процесса.
• On-Device Personalization - технология персонализации работы пользователя на Android-устройстве, использующая локально хранимые данные, не отправляемые на внешние серверы.

API, которые решено сохранить, так как они уже получили распространение и реализованы в других браузерах:

• FedCM (Federated Credential Management), позволяет создавать объединённые сервисы идентификации, обеспечивающие сохранение конфиденциальности и работающие без сторонних Cookie.
• CHIPS (Cookies Having Independent Partitioned State) - позволяет изолировать Cookie в привязке к домену первого уровня, используя атрибут "Partitioned". Если в обычных условиях сторонний код с сайта "C", встроенный на сайты "A" и "В", может обрабатывать общие для данных сайтов Cookie, то при указании атрибута "Partitioned", выставленные сайтом "C" Cookie, при загрузке кода с сайтов "A" и "В", будут полностью разделены.
• Private State Token - позволяет разделять разных пользователей без использования межсайтовых идентификаторов и передавать сведения о подлинности пользователя между разными контекстами. API полезен для отделения ботов от реальных посетителей без явной передачи данных идентификации. Суть работы с API сводится к тому, что определённый сайт, на котором пользователь прошёл аутентификацию или проверку капчей, может сгенерировать токен, хранимый на стороне браузера. Данный токен могут использовать другие сайты для того, чтобы удостовериться, что пользователь человек, а не бот.

1. OpenNews: Google отказался от навязывания блокировки сторонних Cookie в Chrome
2. OpenNews: Сопротивление внедрению API FLoC, продвигаемого Google вместо отслеживающих Cookie
3. OpenNews: Компания Google представила инициативу Privacy Sandbox
4. OpenNews: Разработчики Chromium предложили унифицировать и объявить устаревшим заголовок User-Agent
5. OpenNews: EFF считает, что замена отслеживающих Cookie на FLoC может привести к новым проблемам

Сервисом archive.org копии xubuntu.org были сделаны 11 и 18 октября - 11 октября страница ещё не была изменена, а 18 октября на странице уже имеется вредоносное изменение. Зеркала проекта, через которые распространяются iso-образы, судя по предварительному анализу контрольных сумм, не пострадали и соответствуют эталонному cdimage.ubuntu.com. Следы компрометации пока замечены только на сайте xubuntu.org, использующем систему управления контентом WordPress. Предположительно взлом был совершён через необновлённый плагин к WordPress, содержащий уязвимость.

Распространяемый злоумышленниками архив "Xubuntu-Safe-Download.zip" содержит исполняемый файл для платформы Windows, который преподносится как инсталлятор Xubuntu. Проверка указанного файла в сервисе VirusTotal показывает наличие вредоносного ПО.

При запуске исполняемого файла показывается фиктивный интерфейс, включающий поля для выбора версии дистрибутива для загрузки и типа пакета, а также кнопку "Generate Download Link". При нажатии на кнопку в каталог "AppData Roaming" сохраняется файл "elzvcf.exe" и в реестре Windows настраивается его выполнение при запуске системы. По предварительной информации вредоносное ПО анализирует данные в буфере обмена и заменяет адреса криптокошельков Bitcoin, Litecoin, Ethereum, Dogecoin, Tron, Ripple и Cardano на кошельки злоумышленников.

Интересно, что 10 сентября один из пользователей пожаловался на появление записи в блоге на сайте xubuntu.org с рекламой казино, но данная запись в блоге была оперативно удалена и инцидент не получил развития (вероятно, посчитали, что реклама была подставлена вредоносным ПО на стороне пользователя).

1. OpenNews: Взломан официальный форум проекта Ubuntu
2. OpenNews: Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu
3. OpenNews: Несколько серверов Ubuntu были взломаны
4. OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором
5. OpenNews: Взлом внутреннего GitLab-сервера Red Hat

Основные улучшения:

• Движок V8 обновлён до версии 14.1, применяемой в Chromium 141. Из улучшений по сравнению с прошлым выпуском Node.js отмечено значительной повышение производительности метода JSON.stringify, оптимизация WebAssembly и JIT, реализация методов для преобразования между Uint8Array и данными в формате base64 или шестнадцатеричным представлением.
• В механизм Permission Model, позволяющий ограничить доступ к определённым ресурсам в процессе исполнения, добавлена опция "--allow-net" для обеспечения сетевого доступа (если не указана опция "--allow-net", запуск Node.js в режиме "--permission" будет выводить ошибку ERR_ACCESS_DENIED при попытке выполнения сетевых операций).
• Включён по умолчанию совместимый с браузерами API Web Storage, предназначенный для постоянного (класс localStorage) или временного (класс sessionStorage) хранения данных в формате ключ/значение. Убрана метка экспериментальной разработки с API Web Storage.
• В категорию глобально доступных (можно использовать без явного импорта) переведён класс ErrorEvent, предоставляющий совместимый с браузерами интерфейс для обработки событий с информацией об ошибках.
• Для WebAssembly включена поддержка API JSPI (JavaScript Promise Integration), позволяющего обращаться к асинхронным Web API из последовательно выполняемого кода, скомпилированного в WebAssembly.
• Добавлена опция "NODE_COMPILE_CACHE_RELATIVE_PATH" для переносимой работы с кэшем скомпилированных объектов. В данном режиме хэши для идентификации объектов вычисляются с использованием относительных путей к файлам, что позволяет перемещать и встраивать содержимое каталога с кодом вместе с кэшем.
• Добавлена возможность профилирования нагрузки на CPU.
• Пакетный менеджер NPM обновлён до версии 11.6.2.
• В сборочную систему добавлена поддержка Python 3.14. Обновлены требования к Clang и Xcode в качестве минимально поддерживаемых версий заявлены Clang 19 и Xcode 16.4.
• Прекращена поддержка объекта SlowBuffer, ранее объявленного устаревшим из-за потенциальных проблем с безопасностью. Вместо SlowBuffer следует использовать метод Buffer.allocUnsafeSlow().

Платформа Node.js может быть использована как для серверного сопровождения работы Web-приложений, так и для создания обычных клиентских и серверных сетевых программ. Для расширения функциональности приложений для Node.js подготовлена большая коллекция модулей, в которой можно найти модули с реализацией серверов и клиентов HTTP, SMTP, XMPP, DNS, FTP, IMAP, POP3, модули для интеграции с различными web-фреймворками, обработчики WebSocket и Ajax, коннекторы к СУБД (MySQL, PostgreSQL, SQLite, MongoDB), шаблонизаторы, CSS-движки, реализации криптоалгоритмов и систем авторизации (OAuth), XML-парсеры.

Для обработки большого числа параллельных запросов Node.js задействует асинхронную модель запуска кода, основанную на обработке событий в неблокирующем режиме и определении callback-обработчиков. В качестве способов мультиплексирования соединений поддерживаются такие методы, как epoll, kqueue, /dev/poll и select. Для мультиплексирования соединений используется библиотека libuv, которая является надстройкой над libev в системах Unix и над IOCP в Windows. Для создания пула потоков (thread pool) задействована библиотека libeio, для выполнения DNS-запросов в неблокирующем режиме интегрирован c-ares. Все системные вызовы, вызывающие блокирование, выполняются внутри пула потоков и затем, как и обработчики сигналов, передают результат своей работы обратно через неименованный канал (pipe).

Выполнение JavaScript-кода обеспечивается через задействование разработанного компанией Google движка V8. По своей сути Node.js похож на фреймворки Perl AnyEvent, Ruby Event Machine, Python asyncio и реализацию событий в Tcl, но цикл обработки событий (event loop) в Node.js скрыт от разработчика и напоминает обработку событий в web-приложении, работающем в браузере.

1. OpenNews: Опубликована платформа Node.js 24.0.0
2. OpenNews: Автор Node.js добивается отмены торговой марки JavaScript
3. OpenNews: Доступна платформа Deno 2.0, развиваемая автором Node.js
4. OpenNews: Доступна серверная JavaScript-платформа Bun 1.0, более быстрая, чем Deno и Node.js
5. OpenNews: Атака на Node.js через манипуляции с прототипами объектов JavaScript

Ключевыми особенностями платформы является низкое потребление ресурсов (может использоваться на плате Raspberry Pi или в дешёвых VPS) и простой процесс установки. Предоставляются типовые возможности работы с проектами, такие как управление задачами, отслеживание проблем (issues), pull-запросы, wiki, средства для координации групп разработчиков, подготовка релизов, автоматизация размещения пакетов в репозиториях, управление правами доступа, сопряжение с платформами непрерывной интеграции, поиск кода, аутентификация через LDAP и OAuth, доступ к репозиторию по протоколам SSH и HTTP/HTTPS, подключение web-хуков для интеграции со Slack, Discord и другими сервисами, поддержка Git-хуков и Git LFS, инструменты для миграции и зеркалирования репозиториев. Отдельно выделяется возможность использования протокола ActivityPub для объединения в федеративную сеть отдельных серверов разработчиков.

Основные изменения:

• Добавлены возможности для информирования администратора публично доступного сервера о нарушениях правил и размещении нежелательного содержимого. Жалобы могут направляться на пользователей, организации, репозитории, pull-запросы, сообщения о проблемах и комментарии.

  После отправки жалобы отображаются в отдельном разделе интерфейса администратора. Повторные жалобы группируются и сортируются в общем списке по числу уведомлений, отправленных разными участниками.

  
• Добавлен интерфейс для миграции проектов с системы совместной разработки Pagure, который может быть использован для переноса проектов в недавно запущенный сервис совместной разработки Fedora Forge, развиваемый для замены платформы Pagure, применяемой в Fedora для совместной работы c кодом и метаданными пакетов.
• Добавлена настройка "[security].GLOBAL_TWO_FACTOR_REQUIREMENT", включающая для пользователей или администраторов обязательное использование двухфакторной аутентификации, например, на базе одноразовых паролей (TOTP).
• Обеспечено удаление метаданных EXIF из файлов с изображениями, загружаемыми в качестве аватаров пользователей или картинок в репозиториях. Чистка позволяет предотвратить утечку конфиденциальных данных, таких как сведения о местоположении и устройстве пользователя. Для удаления метаданных EXIF из ранее загруженных изображений предложена команда "forgejo doctor avatar-strip-exif".
• Добавлена возможность просмотра лога прошлых попыток запуска Actions-обработчиков.
• В web-интерфейс добавлена поддержка статического анализа файлов с Actions-обработчиками для раннего выявления типовых опечаток и ошибок, таких как использование обработчика не в том контексте.
• При принудительном выполнении push-запроса обеспечен показ сведений о состоянии сборки всех коммитов в окружении непрерывной интеграции.
• В редактор текста в формате Markdown добавлены клавиатурные комбинации для использования жирного (Ctrl+B) и наклонного (Ctrl+I) начертаний в выделенном фрагменте.
• Обеспечен показ времени загрузки приложений к релизу, таких как готовые бинарные сборки.
• В списке коммитов реализован показ связанных с коммитами тегов.

1. OpenNews: Проект FFmpeg переходит на платформу совместной разработки Forgejo
2. OpenNews: Доступна платформа совместной разработки Forgejo 12.0
3. OpenNews: Проект Organic Maps перенёс разработку с GitHub на Forgejo
4. OpenNews: Fedora на пути к переводу Git-сервисов совместной разработки на платформу Forgejo
5. OpenNews: Платформа совместной разработки Forgejo полностью отделилась от Gitea

Основная команда разработчиков Ruby приняла решение опекать инструментарии RubyGems и Bundler вместо компании Ruby Central для обеспечения стабильности и преемственности в долгосрочной перспективе. Проекты RubyGems и Bundler отмечены, как важные элементы экосистемы Ruby, много лет поставляющиеся вместе с языком Ruby и функционирующие как часть стандартной библиотеки. При этом по историческим причинам данные компоненты разрабатывались в отдельном проекте на GitHub.

Компания Ruby Central согласилась с передачей репозиториев и отметила, что принятое решение отражает общую приверженность долгосрочной стабильности и росту экосистемы Ruby. Дальнейшая разработка и управление RubyGems и Bundler будет осуществляться в сотрудничестве Ruby Core Team, Ruby Central и сообщества.

Смена владельца не повлияет на условия лицензирования RubyGems и Bundler и не затронет имущественные права участников разработки. Для репозитория будет обеспечен прежний совместный и управляемый сообществом процесс разработки, приветствующий участие всех желающих. При этом, Ruby Central останется владельцем каталога rubygems.org и продолжит сопровождать связанную с ним инфраструктуру.

Напомним, что в сентябре управление GitHub-репозиторием RubyGems взяла в свои руки компанией Ruby Central, курирующая проведение конференций RubyConf и отвечающая за поддержание инфраструктуры сервиса RubyGems.org. После получения контроля за репозиторием компания RubyConf отстранила всех внешних мэйнтейнеров, что привело к конфликту в сообществе и созданию бывшими мэйнтейнерами альтернативного репозитория пакетов Gem Cooperative.

Некоторые участники восприняли действия Ruby Central как захват GitHub-репозитория, раннее контролируемого сообществом, в результате которого доступа лишились заслуженные люди, делом заработавшие свою репутацию и более десяти лет занимавшиеся сопровождением RubyGems и Bundler. Присвоение прав на репозиторий с кодом, который используется для запуска сервиса RubyGems.org, сравнивалось с присвоением прав на библиотеку функций на основании того, что она используется в приложении.

1. OpenNews: Отстранённые мэйнтейнеры RubyGems.org основали альтернативный репозиторий Gem Cooperative
2. OpenNews: Опубликован язык программирования Ruby 3.4.0
3. OpenNews: В кодовую базу Ruby принят новый JIT-компилятор ZJIT
4. OpenNews: Уязвимость в RubyGems.org, позволяющая подменить чужие пакеты
5. OpenNews: Шутка про возраст женщин привела к изменению кодекса поведения Ruby

В ядре Linux инструкция используется как один из элементов для формирования энтропии в программном генераторе псевдослучайных чисел. Источников энтропии несколько, поэтому проблема в RDSEED не влияет на общее качество выдаваемых ядром случайных чисел. Для ядра предложен патч, отключающий применение инструкции RDSEED на системах с некоторыми процессорами AMD на базе микроархитектуры Zen 5.

Изначально проблема была выявлена в CPU AMD EPYC Turin, но позднее повторена на другой модели CPU AMD с той же микроархитектурой, поэтому предложено вместо выборочной блокировки прекратить использование RDSEED на всех процессорах семейства AMD Zen 5. Примечательно, что тестирование корректности работы RDSEED на разных процессорах проведено в ходе разбора другой проблемы с RDSEED, возникшей в CPU Zen2 Cyan Skillfish и приводящей в некоторых ситуациях к возвращению только значения 0xffffffff. До этого в процессорах AMD возникали проблемы c нарушением работы инструкции RDRAND после возвращения из спящего режима.

1. OpenNews: Критическая уязвимость в генераторе случайных чисел GnuPG и Libgcrypt
2. OpenNews: Уязвимость в генераторе случайных чисел ядра Linux
3. OpenNews: Выявлена проблема с генерацией предсказуемых случайных чисел на процессорах MIPS
4. OpenNews: Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG, входившем в стандарт NIST
5. OpenNews: Google опубликовал инструментарий для анализа и изменения микрокода AMD

Asterisk 23 отнесён к категории выпусков с обычной поддержкой, обновления для которых формируются в течение двух лет. Поддержка LTS-ветки Asterisk 20 продлится до октября 2027 года, а Asterisk 22 - до октября 2029 года. Поддержка LTS-ветки 18.x будет прекращена 20 октября. При подготовке LTS-выпусков основное внимание уделяется обеспечению стабильности и оптимизации производительности, приоритетом же обычных выпусков является наращивание функциональности.

Среди изменений в Asterisk 23:

• Добавлена опция "log_unpause_on_reason_change", при включении которой в лог будет записываться информация о событиях UNPAUSE, когда вызов находится состоянии паузы, но причина паузы изменилась.
• В приложении диалплана WaitExten реализована возможность использования пользовательского тонального сигнала во время ожидания ввода цифр.
• В функцию диалплана TONE_DETECT для исключения возникновения состояния гонки добавлена опция 'e', автоматически отключающая обнаружение тональных сигналов после заданного числа срабатываний детектора тонального сигнала.
• В модуль sorcery добавлена настройка "update_or_create_on_update_miss", обеспечивающая воссоздание объектов, потерянных после выхода из строя одного из бэкендов.
• В модуле chan_websocket для приложения Dial реализована опция 'v', позволяющая добавлять дополнительные параметры в URI исходящего WebSocket-соединения.
• В приложения диалплана ChanSpy и ExtenSpy добавлена опция "N" для отключения автоматического ответа на звонок.
• В ARI (Asterisk REST Interface) добавлен обработчик "/channels/{channelId}/progress" для отправки информации о начале соединения ("Session Progress") до ответа на вызов.
• Прекращена поддержка файла конфигурации users.conf, вместо которого все настройки канальных драйверов должны определяться в специфичных для них отдельных файлах конфигурации.
• Удалено устаревшее приложение диалплана DeadAGI.

1. OpenNews: Релиз коммуникационной платформы Asterisk 21
2. OpenNews: Релиз дистрибутива FreePBX 16
3. OpenNews: Коммуникационная платформа Asterisk перешла в руки компании Sangoma
4. OpenNews: Релиз платформы VoIP-телефонии FreeSWITCH 1.2
5. OpenNews: Обновление VirtualPBX, системы для развертывания голосового сервиса на базе Asterisk

Coral NPU нацелен на выполнение на стороне портативных устройств постоянно работающих AI-приложений с минимальным потреблением энергии. Базовая реализация Coral NPU обеспечивает производительность в 512 миллиардов операций в секунду (GOPS) при потреблении всего нескольких милливатт энергии. NPU спроектирован для гибкой модификации архитектуры в зависимости от потребностей производителей SoC. Первым производителем, начавшим производство чипов на базе Coral NPU, станет компания Synaptics, которая анонсировала линейку процессоров для устройств интернета вещей Astra SL2610, включающую подсистему Torq NPU, реализованную на базе архитектуры Coral NPU.

Из типовых применений Coral NPU упоминается задействование AI для обработки изображений и звука, взаимодействия с пользователем и учёта контекста. Например, на устройствах могут выполняться большие языковые модели и приложения для распознавания лиц и объектов, визуального поиска, распознавания речи, живого перевода, транскрипции речи, выделения в речи ключевых слов, управления жестами и голосовыми командами, определения активности пользователя (ходьба, бег, сон) и типа окружения (дома, на улице).

В NPU задействована 32-разрядная архитектура набора команд RISC-V RV32IMF_Zve32x, шина AXI4, четырёхступенчатый конвейер обработки инструкций с упорядоченной диспетчеризацией, неупорядоченным завершением выполнения инструкций, четырёхпоточной скалярной и двухпоточной векторной диспетчеризацией. Процессор поддерживает SIMD-операции для одновременной обработки 128-битных векторов и оснащён 8 KB ITCM-памяти для инструкций и 32 KB DTCM-памяти для данных.

NPU включает в себя три совместно работающих процессорных компонента:

• Ядро для скалярных вычислений - легковесный программируемый на языке Си фронтэнд RISC-V, управляющий потоками данных к основным ядрам и использующий модель "выполнения до завершения" (run-to-completion) для обеспечения функциональности традиционных СPU и сверхнизкого потребления энергии.
• Векторный SIMD-сопроцессор, поддерживающий векторные расширения набора инструкций RISC-V (RVV v1.0) и позволяющий одновременно выполнять несколько операций над большими объёмами данных.
• Матричный сопроцессор, эффективно выполняющий операции совмещённого умножения-сложения (MAC) и разработанный для ускорения базовых операций нейронных сетей.

Для разработчиков приложений подготовлен набор компиляторов AI-моделей (IREE и TFLM), компилятор программ на языке Си и симулятор. Поддерживается компиляция моделей, используемых в AI-приложениях на базе фреймворков TensorFlow, JAX и PyTorch. Модель компилируется в универсальное промежуточное представление, которое затем при помощи LLVM преобразуется в низкоуровневый набор инструкций RISC-V, поддерживаемый в Coral NPU.

1. OpenNews: Google выпустил дистрибутив Mendel Linux 4.0 для плат Coral
2. OpenNews: Началось производство чипов на базе открытой платформы OpenTitan
3. OpenNews: Google представил проект Open Se Cura для создания защищённых программно-аппаратных систем
4. OpenNews: Google открыл код защищённой операционной системы KataOS
5. OpenNews: Представлена платформа Precursor для создания свободных мобильных устройств

Одновременно сформирован выпуск продукта ONLYOFFICE DesktopEditors 9.1, построенного на единой кодовой базе с online-редакторами. Десктоп-редакторы оформлены в виде приложений для рабочего стола, которые написаны на JavaScript с использованием web-технологий, но объединяют в одном наборе клиентские и серверные компоненты, оформленные для самодостаточного использования на локальной системе пользователя, без обращения к внешнему сервису. Для совместной работы на своих мощностях также можно использовать платформу Nextcloud Hub, в которой обеспечена полная интеграция с ONLYOFFICE.

В ONLYOFFICE заявлена полная совместимость с форматами MS Office и OpenDocument. Среди поддерживаемых форматов: DOC, DOCX, ODT, RTF, TXT, PDF, HTML, EPUB, XPS, DjVu, XLS, XLSX, ODS, CSV, PPT, PPTX, ODP. Предусмотрена возможность расширения функциональности редакторов через плагины, например, доступны плагины для создания шаблонов и добавления видео с YouTube. Готовые сборки сформированы для Windows и Linux (deb- и rpm-пакеты).

Основные новшества:

• В редактор PDF-файлов добавлена вкладка "Redact" с инструментами для скрытия конфиденциальной информации в документе. Для скрытия информации, которую требуется исключить из документа, достаточно нажать кнопку "Mark for Redaction", выделить необходимый фрагмент и нажать кнопку "Apply Redaction". Возможно скрытие слов или фраз с использованием поиска или срытие отдельных страниц или их диапазонов.
• Добавлены новые инструменты для аннотирования PDF-документов, позволяющие добавлять в документ метки, используя прямоугольники, круги, линии и стрелки. Возможно изменение ширины линий и цвета выводимых фигур.
• Реализована возможность добавления в PDF-документы диаграмм и рисунков SmartArt для визуального представления данных и выделения ключевых выводов.
• В редакторе электронных таблиц значительно ускорены функции поиска LOOKUP, VLOOKUP, HLOOKUP и XLOOKUP, улучшена логика работы со смешанными типами данных, сокращено потребление памяти при вычислении формул. До 4 раз ускорены операции точного поиска через VLOOKUP и линейного поиска через XLOOKUP.
• По мере ввода формулы в редакторе электронных таблиц обеспечена подсветка активных аргументов для упрощения отслеживания и редактирования вычислений.
• Настройки форматирования таблиц перенесены в отдельную вкладку "Table Design", появляющуюся при работе с таблицей.
• В сводных таблицах (Pivot Tables) реализована поддержка фильтров, упрощающих оценку тенденций и анализ данных, привязанных ко времени.
• Добавлена возможность открывать и отображать файлы, содержащие интерактивные элементы управления содержимым, такие как кнопки и полосы прокрутки, списки и элементы выбора значений.
• Добавлена возможность переименования листов электронной таблицы по месту чрез двойной клик на её имени.
• Добавлена функция для изменения направления текста (Left-to-Right и Right-to-Left) в отдельных ячейках.
• Во всех компонентах ONLYOFFICE реализована возможность настройки отображения в левой панели решённых и находящихся в обсуждении комментариев.
• Для двумерных круговых диаграмм (2D pie) и диаграмм-бубликов (doughnut) добавлена опция "Explosion", позволяющая визуально отделить сегменты диаграммы друг от друга. При копировании диаграмм между редакторами появилась возможность встроить файл или ссылку на источник данных. Разрешено включать или отключать определённые элементы диаграммы, такие как названия осей и метки.
• Для документов и слайдов реализован полноценный редактор диаграмм, позволяющий напрямую открывать файлы XLSX в обход кэша.
• В редакторе презентаций в отдельную вкладку перенесены настройки "Мастера слайдов" (Slide Master).
• Добавлена поддержка изображений в формате HEIF, а также просмотра и редактирования документов HWPMLL (Hangul Word Processor Markup Language).
• Добавлена поддержка преобразования PPTX-презентаций и PDF-документов в голый текст (TXT).
• Добавлена возможность вставки математических формул в формате MathML.
• В редакторе документов реализована поддержка разрыва разделов (section break) внутри блочных элементов управления контентом на любом уровне вложенности.
• В серверную версию ONLYOFFICE Docs добавлена панель администратора, через которую можно отслеживать состояние сервера и управлять настройками.
• Упрощена работа с шаблонами и добавлена поддержка предпросмотра шаблонов, размещённых в облачных хранилищах.
• В десктоп-версии ONLYOFFICE для вывода уведомлений о наличии обновлений или выставления файловых ассоциаций задействованы системные механизмы показа уведомлений вместо вывода своего модального окна.
• В сборках ONLYOFFICE Desktop Editors для macOS добавлена поддержка вставки в слайды презентации файлов со звуком и видео, а также реализована опция для отключения определения языка проверки правописания.
• Добавлен новый механизм восстановления несохранённых документов после аварийного завершения десктоп-сборок ONLYOFFICE, благодаря которому после перезапуска приложения открытые до этого документы будут автоматически восстановлены в состояние до возникновения сбоя.
• Устранены уязвимости, позволяющие записать произвольные файлы, насколько это позволяют права доступа, при преобразовании специально оформленных файлов в форматах x2t и EPUB. Устранён межсайтовый скриптинг (XSS) при обработке гиперссылок в документе. Исправлена уязвимость в endpoint-обработчике, позволяющая изменить конфигурацию сервера.

1. OpenNews: Выпуск офисного пакета LibreOffice 25.8
2. OpenNews: Опубликован офисный пакет ONLYOFFICE 9.0
3. OpenNews: Mozilla развивает Thunderbird Pro и сервис Thundermail в стиле Gmail и Office 365
4. OpenNews: Выпуск Apache OpenOffice 4.1.15

Уязвимость вызвана отсутствием должной проверки значений, передаваемых перед запуском приложения, указанного в параметре "wins hook". Данное приложение запускается через команду "sh -c" при каждом изменении имени через WINS. При использовании WINS в контроллере домена Active Directory, имена NetBIOS, передаваемые в числе аргументов командной строки при запуске hook-приложения, не очищались от спецсимволов, что позволяло добиться выполнения произвольных shell-команд через указание в запросе к WINS-серверу специально оформленного имени NetBIOS.

   cmd = talloc_asprintf(tmp_mem,
                      "%s %s %s %02x %ld",
                      wins_hook_script,
                      wins_hook_action_string(action),
                      rec->name->name,
                      rec->name->type,
                      (long int) rec->expire_time);
   ...
   execl("/bin/sh", "sh", "-c", cmd, NULL);

Клиент без аутентификации может отправить к WINS-серверу пакет регистрации и запросить любое имя NetBIOS, не превышающее 15 символов. Чистка таких символов, как '<', '>' и ';', в имени не производится. Соответственно при запуске hook-обработчика передача имени вида "name;id>file" приведёт к выполнению утилиты "id" и направлению вывода в файл "file".

Уязвимость проявляется на системах, в которых в smb.conf выставлен параметр 'wins hook' при использовании контроллера домена с активным сервером WINS (по умолчанию отключён и требует включения параметра "wins support = yes"). При использовании WINS-сервера в системах без контроллера домена уязвимость не проявляется. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно на следующих страницах: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo, Arch, FreeBSD, OpenBSD и NetBSD.

В опубликованных выпусках Samba также устранена менее опасная уязвимость (CVE-2025-9640), приводящая к утечке неинициализированной памяти. Проблема проявляется в модуле vfs_streams_xattr при возникновении сбоев выделения памяти, которые можно вызвать через совершение операций записи, создающих пустые области в файле. Уязвимость может быть эксплуатирована аутентифицированным пользователем.

1. OpenNews: Выпуск Samba 4.23.0 с поддержкой протокола QUIC и активацией Unix-расширений SMB3
2. OpenNews: Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера
3. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
4. OpenNews: Уязвимость в Samba, позволяющая поменять пароль любому пользователю
5. OpenNews: Удалённая root-уязвимость в Samba

Возможность компрометации Nixpkgs и подстановки своего кода в любой пакет была продемонстрирована исследователями безопасности в октябре прошлого года на конференции NixCon и сразу была устранена в инфраструктуре проекта. Тем не менее, подробности о проведённой атаке раскрыты только спустя год. Проблема была связана с использованием в GitHub-репозитории Nixpkgs обработчиков GitHub Actions, привязанных к событию "pull_request_target" и выполняющих автоматизированные проверки при поступлении новых pull-запросов.

В отличие от события "pull_request" в "pull_request_target" обработчикам предоставялется доступ на запись и чтение к сборочному окружению, что требует особого внимания при работе с данными, передаваемыми в pull-запросе. В одном из привязанных к "pull_request_target" обработчиков производилась проверка приведённого в pull-запросе файла "OWNERS", для чего собиралась и вызывалась утитита codeowners-validator:

   steps:
     - uses: actions/checkout@eef61447b9ff4aafe5dcd4e0bbf
       with:
         ref: refs/pull/$/merge
         path: pr
     - run: nix-build base/ci -A codeownersValidator
     - run: result/bin/codeowners-validator
       env:
         OWNERS_FILE: pr/ci/OWNERS

Проблема была в том, что в случае ошибки оформления файла OWNERS утилита codeowners-validator выводила содержимое некорректно оформленной строки в стандартный лог, доступный публично. Атака свелась к размещению в pull-запросе символической ссылки с именем OWNERS, ссылающейся на файл ".credentials", в котором в сборочном окружении размещаются учётные данные. Соответственно, обработка данного файла привела к ошибке и выводу в публичный лог первой строки, содержащей токен доступа к репозиторию.

Кроме того, была найдена ещё одна уязвимость в обработчике, выполняющем проверку правил editorconfig.

   steps:
     - name: Get list of changed files from PR
       run: gh api [...] | jq [ ... ] > "$HOME/changed_files"
     - uses: actions/checkout@eef61447b9ff4aafe5dcd4e0bbf5d482be7e7871
       with:
         ref: refs/pull/$/merge
     - name: Checking EditorConfig
       run: cat "$HOME/changed_files" | xargs -r editorconfig-checker

В данном случае проблема была в использовании утилиты "xargs" для запуска программы editorconfig-checker с каждым файлом из pull-запроса. Так как имена файлов не проверялись на корректность, атакующий мог разместить в pull-запросе файл со спецсимволами, которые были бы обработаны при запуске утилиты editorconfig-checker как аргументы командной строки. Например, при создании файла "--help" утилита editorconfig-checker вывела бы подсказку об имеющихся опциях.

1. OpenNews: Отставка команды модераторов NixOS из-за разногласий с управляющим комитетом
2. OpenNews: Уязвимости в пакетных менеджерах Nix, Lix и Guix
3. OpenNews: Ошибка в обработчике GitHub Actions привела к публикации вредоносных релизов Ultralytics
4. OpenNews: Выпуск дистрибутива NixOS 24.11, использующего пакетный менеджер Nix
5. OpenNews: Уязвимости в PCP и Nix, позволяющие поднять привилегии в системе

В качестве основы рабочего стола в Zorin OS используется GNOME с набором собственных дополнений и панелью на основе Dash to Panel и Dash to Dock. Для интеграции рабочего стола со смартфоном поставляется приложение Zorin Connect (на базе KDE Connect). Кроме пакетов в формате deb и репозиториев Ubuntu по умолчанию включена поддержка форматов Flatpak, AppImage и Snap с возможностью установки программ из каталогов Flathub и Snap Store.

В новой версии:

• Обновлена предлагаемая по умолчанию тема оформления. Задействованы более округлые формы, убран затемнённый фон у кнопок в меню, использованы более светлые цвета для некоторых элементов и увеличена насыщенность фона.
  
  Было:
  
  Стало:
• По умолчанию задействован плавающий стиль нижней панели со скруглёнными углами. Кнопка для навигации по открытым окнам преобразована в индикатор рабочих столов, упрощающий переключение между задачами.
• По умолчанию задействован новый менеджер для мозаичной компоновки окон, позволяющий обойтись без запоминания сложных клавиатурных комбинаций. Достаточно перетащить окно в верхнюю часть экрана и выбрать желаемую раскладку в появившемся всплывающем окне. Возможно создание собственных мозаичных раскладок, использования автоматической компоновки и изменение поведения мозаичного режима (Zorin Appearance → Windows → Advanced Window Tiling).
• Обеспечена бесшовная интеграция с web-приложениями, которые могут существовать бок о бок с обычными программами. Например, в форме web-приложений можно работать на рабочем столе с такими сервисами, как Microsoft Office/365, MS Teams, Google Docs и Adobe Photoshop. Добавлена утилита Web Apps для превращения любого сайта в приложение. Создаваемые web-приложения сразу появляются в стартовом меню и доступны для вызова как обычные программы.
• В приложение "Online Accounts", предназначенное для управления подключением к внешним сервисам, добавлена поддержка подключения к сервису Microsoft OneDrive и просмотра сохранённых в нём файлов через боковую панель файлового менеджера.
• Расширена встроенная база данных для определения установщиков популярных Windows-приложений, охватывающая более 170 программ. Улучшен вывод информации о наличии альтернатив. Например, при попытке запуска инсталлятора Microsoft Office будет показан диалог о возможности запуска web-версии офисного пакета или использования LibreOffice.
• Добавлены две новые цветовые схемы: Yellow и Brown.
• В состав сборки Zorin OS 18 Education добавлены программы Gradebook (журнал оценок), Spedread (система скорочтения) и TurboWarp (обучение программированию).
• До ветки Wine 10 обновлён инструментарий для запуска программ, собранных для Windows.
• В файловом менеджере Nautilus (GNOME Files) обновлено оформление боковой панели и реорганизованы элементы управления. В верхний левый угол боковой панели добавлена кнопка "Search Everywhere" для глобального поиска файлов и документов по имени или содержимому (можно одновременно выполнять поиск в нескольких местах, заранее определённых в настройках).
• В конфигураторе переделаны и перегруппированы панели с настройками.
• В календарь-планировщик добавлена новая боковая панель со сводкой событий за месяц.
• Вместо приложения Cheese добавлена программа GNOME Snapshot для создания фотоснимков и видео, и позволяющая легко переключаться между разными камерами.
• Модернизирован интерфейс почтового клиента Evolution.
• В Zorin Menu добавлена поддержка многомониторного режима, при котором панель видна на более чем одном экране, и улучшено управление с сенсорных экранов.
• Добавлена поддержка удалённого подключения к рабочему столу при помощи протокола RDP (Settings app → System → Remote Desktop → Remote Login).
• По умолчанию окна теперь размещаются по центру экрана (старый режим можно вернуть в конфигураторе - Appearance → Windows → New Window Placement).
• По умолчанию для для работы со звуком задействован мультимедийный сервер PipeWire.
• По умолчанию задействован новый набор системных звуков.

1. OpenNews: Выпуск Zorin OS 17.3, дистрибутива для пользователей, привыкших к Windows или macOS
2. OpenNews: Выпуск дистрибутива elementary OS 8.0.2
3. OpenNews: Релиз дистрибутива Solus 4.7
4. OpenNews: Выпуск дистрибутива AerynOS 2025.08, ранее известного как Serpent OS
5. OpenNews: Проект Windowsfx подготовил сборку Ubuntu с интерфейсом, стилизованным под Windows 11

В качестве целей проекта заявлено достижение совместимости с приложениями macOS на уровне исходных текстов и исполняемых файлов. В первом случае подразумевается возможность перекомпиляции кода macOS-приложений для выполнения в ravynOS, в во втором - встраивание в ядро и инструментарий изменений для запуска исполняемых файлов Mach-O, собранных для архитектур x86-64 и arm64.

Из файловых систем поддерживается ZFS и применяемые в macOS ФС HFS+ и APFS. Помимо свойственных для FreeBSD иерархий /usr и /usr/local создаются специфичные для macOS каталоги /Library, /System и /Volumes. Домашние каталоги пользователей размещаются в иерархии /Users. В каждом домашнем каталоге имеется подкаталог ~/Library для приложений, использующих программный интерфейс Apple Cocoa.

Для совместимости с macOS предоставляется частичная реализация программного интерфейса Cocoa и Objective-C runtime (размещаются в каталоге /System/Library/Frameworks), а также дополнительно модифицированные для их поддержки компиляторы и компоновщики. Помимо слоя для совместимости с macOS в ravynOS также доступна возможность запуска приложений для Linux, основанная на предлагаемой во FreeBSD инфраструктуре эмуляции окружения Linux (Linuxulator).

Приложения могут оформляться в виде самодостаточных app-пакетов (App Bundle) в формате AppImage, размещаемых в каталогах /Applications или ~/Applications. Программы не требуют установки и использования пакетного менеджера - достаточно перетащить мышью и запустить AppImage-файл. При этом сохранена поддержка и традиционных для FreeBSD пакетов.

Графическое окружение построено на базе собственного оконного сервера, использующего урезанный композитный сервер labwc (удалена поддержка декорирования окон на стороне сервера и тем оформления), wlroots и протокол Wayland. В графических приложениях могут применяться фреймворки Qt и Cocoa. В интерфейсе используются типовые для macOS концепции, такие как верхняя панель с глобальным меню, идентичная структура меню, клавиатурные комбинации, похожий по стилю файловый менеджер Filer и поддержка таких команд, как launchctl и open.

Среди изменений по сравнению с выпуском 0.5:

• Базовая система обновлена до ветки FreeBSD 15-STABLE.
• Представлен минималистичный графический интерфейс с новой верхней панелью SystemUIServer и нижней Dock-панелью.
• В состав включён прототип эмулятора терминала Terminal.app.
• Обеспечен запуск менеджера входа LoginWindow сразу после загрузки. При загрузке в live-режиме в систему можно войти без пароля, используя логин liveuser.
• Добавлена возможность выхода из графического сеанса клавиатурной комбинацией Win-Shift-Q.

1. OpenNews: Выпуск BSD-системы helloSystem 0.8.1, развиваемой автором AppImage
2. OpenNews: Автор AppImage развивает дистрибутив helloSystem, использующий FreeBSD и напоминающий macOS
3. OpenNews: В рамках проекта Darling развивается аналог Wine для запуска программ Mac OS X
4. OpenNews: Предварительный выпуск ОС PureDarwin, основанной на коде Apple Darwin 9
5. OpenNews: Apple открыл инструментарий для запуска Linux-контейнеров в macOS

Наиболее популярными из 32-разрядных программ, поставляемых в формате flatpak, являются Wine и Steam. Отмечается, что прекращение поддержки 32-разрядного варианта GNOME Flatpak Runtime не отразится на указанных пакетах, так как в них не используются 32-разрядные сборки GTK 4, libadwaita и WebkitGTK.

В качестве причины прекращения поддержки 32-разрядных систем упоминается желание разгрузить инфраструктуру непрерывной интеграции и избавиться от проблем, всплывающих из-за недостаточного тестирования разработчиками проектов на 32-разрядных системах перед отправкой изменений в репозиторий. Возникают ситуации, когда сбои, проявляющиеся только на 32-разрядных системах, блокируют включение изменений в репозитории GNOME. Кроме того, пересборка приводит к дополнительной нагрузке на инфраструктуру, ресурсы которой ограничены, так как для каждого модуля как минимум два раза в день выполняется пересборка всего GNOME из Git, а также пересборка WebKitGTK, движка mozjs и нескольких библиотек и приложений на Rust.

Возникающие сбои раздражают разработчиков, которым приходится тратить своё время на поддержку сборок, которыми почти никто не пользуется. Оказалось, что 32-разрядный GNOME Flatpak Runtime в каталоге Flathub использует всего два пакета, плюс ещё один пакет во Flathub Beta. Разработчикам данных приложений направлены запросы с изменениями, переводящими пакеты на основной GNOME 49 Runtime. В Bottles запрос на изменение уже почти готов к слиянию, а в проектах Lutris и Minigalaxy ещё требует доработки.

Также упоминается, что после прекращения сборки GNOME Runtime для архитектур armv7 и i386, 32‑битные платформы перестали использоваться при тестировании качества перед выпусками GNOME. Если раньше, разработчики могли гарантировать, что все модули GNOME будут компилироваться для архитектуры i386/x86, то теперь ситуация изменилась и тестирование проводится на усмотрение разработчиков каждого отдельного модуля. Исправление проблем, специфичных для 32-разрядных систем, отныне осуществляется сопровождающими по желанию. Дистрибутивы, поставляющие 32-разрядные сборки GNOME, должны выполнять тестирование и исправление проблем для большинства проектов самостоятельно.

1. OpenNews: Выпуск среды рабочего стола GNOME 49
2. OpenNews: В Fedora намерены прекратить поддержку 32-разрядной архитектуры x86
3. OpenNews: Перед релизом GNOME 49 в GDM возвращена поддержка X11 по умолчанию
4. OpenNews: В GNOME будет усилена зависимость от systemd
5. OpenNews: Релиз системы самодостаточных пакетов Flatpak 1.16.0

Проект не будет заниматься разработкой новой свободной мобильной операционной системы или собственной редакции Android. В своей работе Librephone опирается на существующие открытые проекты и прошивки, но не станет присоединяться к ним, а будет использовать их в качестве базиса для расширения применения свободных технологий в мобильных устройствах. Инициатива преподносится как расширение ранее проводимой работы по продвижению свободного ПО для персональных компьютеров и серверов, которая теперь будет распространена и на мобильные устройства.

На первом этапе, который продлится примерно 6 месяцев, проект займётся исследованием проприетарных файлов, используемых в прошивках на базе платформы Android. Основное внимание будет уделяться проприетарным блобам, остающимся в открытых прошивках, таких как LineageOS. Исследование также позволит документировать то, как выявленные блобы используются ядром Linux, и понять как можно легально провести их обратный инжиниринг с использованием методологии "чистой комнаты".

На основании проведённых исследований будут сформулированы задачи проекта и подобрано лучшее устройство для дальнейшей работы. Идея в том, чтобы выявить смартфон с наименьшим числом блобов и наилучшей поддержкой свободных компонентов, после чего он будет использован в качестве эталона при разработке замены остающимся проприетарным компонентам.

В настоящее время участниками Librephone уже подготовлен инструментарий для извлечения проприетарных файлов, используемых для поддержки оборудования в прошивках LineageOS 22.2. Инструментарий задействован для анализа и сравнения применения проприетарных файлов в сборках для 210 устройств, поддерживаемых в LineageOS. В итоге формируется БД с метаданными о применении блобов во всех этих устройствах и набор скриптов для создания собственных сборок Lineage.

Первый этап работы профинансировал Джон Гилмор (John Gilmore), один из основателей правозащитной организации Electronic Frontier Foundation, учредитель компании Cygnus Solutions, создатель списка рассылки Cypherpunks и иерархии Usenet-конференций alt.*, один из авторов протокола DHCP, основатель свободных проектов Cygwin, GNU Radio, Gnash, GNU tar, GNU UUCP и FreeS/WAN, мэйнтейнер отладчика GDB. По словам Джона, он уже много лет использует смартфон с LineageOS, MicroG и F‑Droid, что избавляет от Spyware и дополнительного контроля со стороны Google. Так как при этом LineageOS продолжает использовать бинарные модули, копируемые из оригинальных Android-прошивок, Джон попытался найти единомышленников для замены подобных модулей на полностью свободные аналоги.

Для руководства проектом Librephone Фонд СПО трудоустроил Роба Савойа (Rob Savoye), обладателя премии за продвижение и развитие свободного ПО, создателя свободного Flash-плеера Gnash, участника разработки GCC, Debian, GDB, DejaGnu, Newlib, Cygwin, One Laptop Per Child и Expect.

1. OpenNews: Фонд свободного ПО отметил сорокалетие и представил проект LibrePhone
2. OpenNews: Выпуск Phosh 0.50.0, GNOME-окружения для смартфонов
3. OpenNews: Опубликован postmarketOS 25.06, Linux-дистрибутив для смартфонов и мобильных устройств
4. OpenNews: Смартфон FLX1s, поставляемый с Debian и оболочкой на базе GNOME
5. OpenNews: Опубликована мобильная платформа LineageOS 23, основанная на Android 16