Наиболее заметные изменения:

• В состав включено 5 новых приложений:
  • Audex - программа для копирования треков со звуковых компакт-дисков.
  • Accessibility Inspector - интерфейс для выявления в приложениях проблем с поддержкой средств для людей с ограниченными возможностями.
  • Francis - программа для выработки навыка управления временем методом помидора, позволяющего добиться повышения продуктивности работы за счёт чередования фаз сконцентрированной работы (25 минут) и отдыха (5 минут).
  • Kalm - тренажёр различных техник дыхания.
  • Skladnik - вариант игры-головоломки Сокобан.
• В файловом менеджере Dolphin обеспечен показ дополнительной информации при навигации по специальным папкам, например, при переходе в папку с недавно используемыми файлами по умолчанию включается показ времени изменения файлов, а при переходе в папку с корзиной показывается время удаления файлов. Реализовано автоматическое сохранение открытых окон и вкладок, состояние которых теперь восстанавливается в случае аварийного завершения или перезапуска системы. Добавлена возможность управления показом файлов корзины и резервных копий вместе со скрытыми файлами. Реализована поддержка отсоединения содержимого разделённой панели (split view) в отдельное окно.

  В процессе поиска реализован показ специфичных для найденного контента деталей, например, для изображений показывается разрешение и время создания, а для звуковых файлов - данные об авторе, альбоме и продолжительности. Добавлена поддержка показа эскизов для каталогов, размещённых на удалённых хранилищах. Реализована анимация, сопутствующая выполняемым действиям (например, анимация пиктограммы папки при перемещении на неё файла или анимация появления и исчезновения панелей).
  
  

• Расширены возможности ассистента в путешествиях Itinerary. Добавлена информация о сервисах в поездах и автобусах, таких как наличие Wi-Fi и кондиционера. Началась работа над совместным проектом Transitous, предоставляющим независимую от поставщиков службу построения карты маршрутов общественного транспорта. Расширены возможности системы извлечения проездных документов из email и чатов.
• В программе для обмена сообщениями Neochat, использующей протокол Matrix, добавлено отдельное всплывающее окно для поиска чатов. Реализована функция сканирования отправляемых в чат PDF-документов и других типов файлов на предмет наличия в них проездных документов, и показа связанной с ними информации (сканирование производится на локальной системе без отправки данных на внешние серверы).
• В Tokodon, приложении с реализацией клиента к децентрализованной микроблогинговой платформе Mastodon, предоставлена возможность использования отдельного окна при написании нового сообщения, не блокирующего работу с приложением. В боковую панель добавлен счётчик запросов на подписку (follow).
• В видеоредакторе Kdenlive реализована поддержка групповых эффектов, которые можно применять сразу к нескольким клипам. Добавлен работающий на локальной системе механизм автоматического машинного перевода субтитров. Возвращена возможность записи звука с микрофона или приложений на локальной системе. Ускорена операция перемещения клипов инструментом Spacer. Переработаны возможности управления наборами ресурсов, таких как изображения, клипы, титры и анимации.
  
  
• В музыкальном проигрывателе Elisa появилась возможность переключения между отображением композиций в виде списка и сетки пиктограмм.
  
  
• В просмотрщике документов Okular добавлена поддержка отображения выпадающих меню, используемых в некоторых видах PDF-документов.
• Программа для создания скриншотов Spectacle переведена на использование типового стиля вкладок с инструментами. Предоставлены дополнительные подстановки для использования в именах файлов скриншотов и скринкастов, например, для подстановки эпохального времени и / для подстановки часов в 12-часовом формате. Добавлена функция сканирования QR-кодов и открытия закодированных в них ссылок.
• В калькуляторе KCalc рядом с результатом вычисления обеспечен показ, связанного с ним выражения, до этого введённого пользователем.
• В менеджере приложений Discover обеспечена обработка ситуации, когда приложение в пакете Flatpak помечено как прекратившее существование, и ему на смену пришло другое приложение. В подобной ситуации пользователю будет выведен запрос, оставить старое приложение или перейти на новое.
• В текстовом редакторе Kate изменена логика составления списка недавно использованных файлов. Для попадания в список теперь необходимо чтобы была выполнена операция записи или закрытия файла, что исключает появление в списке открытых в текущий момент файлов, над которыми продолжается работа.
• В программе для работы с архивами Ark добавлена возможность открытия и разархивирования самораспаковывающихся файлов, поставляемых с расширением exe.
• В календаре-планировщике Merkuro (бывший Kalendar) обновлён интерфейс выбора даты и времени, а также повышена производительность.
• В RSS-ридере Akregator предложена новая раскладка элементов и добавлена поддержка тёмных тем оформления.

1. OpenNews: Релиз KDE 6.0
2. OpenNews: Выпуск KDE Frameworks 6.1.0. Реализация Explicit Sync для KDE
3. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 6
4. OpenNews: Выпуск KDE Gear 23.08, набора приложений от проекта KDE

Часть подготовленных для ядра Linux изменений уже принята в состав выпусков 6.8 и 6.9, а оставшиеся возможности запланированы для включения в ядра 6.10 и 6.11. Из уже принятых в ядро возможностей отмечается поддержка звуковой системы, эталонной платы (CRD/QCP), PCIe/eDP/USB, SSD-NVMe поверх PCIe, Pinctrl (TLMM), таймеров (GCC/RPMHCC), SMMU, механизмов управления энергопотреблением, QUP (SPI/I2C/UART), системного кэша, PMC8380 PMIC, DWC3 и ADSP/CDSP. В ядрах 6.10 и 6.11 ожидается поддержка GPU, USB-хоста, контроллера экрана (eDP), памяти DCVS, механизма динамического управления частотой (CPUFreq), аккумулятора, интерфейсов для подключения внешних экранов, спящего режима, камеры и возможностей для ускорения декодирования видео.

Помимо патчей для ядра Linux совместно с компаниями Lenovo, Arm и Linaro развиваются драйвер DtbLoader для UEFI-прошивок на основе открытой платформы TianoCore EDK2, загрузчик на базе Grub и скрипты для создания собственных сборок Debian для некоторых устройств на базе SoC Snapdragon X Elite, а также уже выпускающихся SoC. Среди уже выпускаемых ноутбуков, для которых обеспечена поддержка загрузки Linux, отмечены Lenovo Yoga C630 (Snapdragon 850), Lenovo Flex 5G (Snapdragon 8cx Gen 1) и Lenovo ThinkPad X13s (Snapdragon 8cx Gen 3). В загрузчике реализована поддержка двойной загрузки Windows и Linux.

Из планов на ближайшие полгода упоминается добавление в Firefox и Chrome поддержки аппаратного ускорения декодирования видео, реализация поддержки камеры на базе стека libcamera-SoftISP, оптимизация производительности GPU и CPU, оптимизация средств для управления энегропотреблением. Также упоминается включение прошивки для нового SoC в набор Linux-firmware и поддержка использования на устройствах с Snapdragon X Elite инсталляторов Ubuntu и Debian.

В Mesa 24.0 доступна поддержка графического API Vulkan 1.3 в драйверах anv для GPU Intel, radv для GPU AMD, NVK для GPU NVIDIA, tu для GPU Qualcomm, в программном растеризаторе lavapipe (lvp) и в режиме эмулятора (vn). Поддержка Vulkan 1.0 реализована в драйверах v3dv (GPU Broadcom VideoCore VI из Raspberry Pi 4) и dzn (реализация Vulkan поверх Direct3D 12).

В Mesa также обеспечивается полная поддержка OpenGL 4.6 для драйверов iris (GPU Intel Gen 8+), radeonsi (AMD), Crocus (старые GPU Intel Gen4-Gen7), zink, llvmpipe, virgl (виртуальный GPU Virgil3D для QEMU/KVM), freedreno (Qualcomm Adreno), d3d12 (прослойка для организации работы OpenGL поверх DirectX 12) и asahi (GPU AGX, используемый в чипах Apple M1 и M2). Поддержка OpenGL 4.5 доступна для GPU AMD (r600) и NVIDIA (nvc0). Поддержка OpenGL 3.3 присутствует в драйверах softpipe (программный растеризатор) и nv50 (NVIDIA NV50).

Основные новшества:

• В драйвере asahi, развиваемом для GPU AGX, используемом в ARM-чипах Apple, обеспечена поддержка OpenGL 4.6 и OpenGL ES 3.2.
• Значительно улучшена работа драйвера NVK для GPU NVIDIA на базе микроархитектур Turing (серии GeForce GTX 16xx, RTX 20xx и Quadro RTX), Ampere (серии GeForce RTX 30xx и RTX A2000/4000/5000/6000) и Ada (серии GeForce RTX 4xxx, RTX 4000 SFF, RTX 4xxx/5000/6000 Ada). Драйвер признан готовым к повседневному использованию широким кругом пользователей. Поддержка Vulkan 1.3 в NVK сертифицирована консорциумом Khronos. Улучшена работа поверх NVK прослойки DXVK, предоставляющей реализацию Direct3D 9, 10 и 11.
• Добавлено изменение, позволяющее задействовать драйвер Zink (реализация OpenGL поверх Vulkan) для обеспечения поддержки OpenGL 4.6 на системах с новыми сериями видеокарт NVIDIA (начиная с GeForce RTX 20xx), с которыми могут наблюдаться проблемы в штатном OpenGL-драйвере Nouveau (NVC0). Для включения Zink вместо NVC0 следует выставить переменную окружения "NOUVEAU_USE_ZINK=1".
• В драйвере Panfrost добавлена поддержка GPU Mali G610, Mali G310 и Mali T600.
• Во всех Vulkan-драйверах реализована поддержка явной синхронизации (Explicit Sync) для Wayland и X11. Explicit Sync позволяет приложениям информировать композитный менеджер о готовности вывода кадра на экран, что позволяет добиться снижения задержек и избавиться от появления артефактов при выводе графики.
• Расширены возможности драйвера d3d12, предоставляющего прослойку с реализацией OpenGL поверх DirectX 12.
• В драйвере V3DV, развиваемом для GPU Broadcom VideoCore (применяется в платах Raspberry Pi), добавлена поддержка динамической отрисовки.
• Vulkan-драйвер ANV (Intel) переведён на использование асинхронных операций маппинга видеопамяти (Asynchronous VM_BIND). Для GPU на базе архитектуры Intel Xe, которая используется в видеокартах Intel семейства Arc и интегрированной графике, начиная с процессоров Tiger Lake, добавлена возможность сброса дампов состояния для отладки зависаний GPU. Проведена подготовка к поддержке GPU чипов Intel LunarLake (Xe 2).
• Добавлена поддержка новых расширений Vulkan:
  • VK_EXT_map_memory_placed для драйверов RADV, ANV и NVK
  • VK_KHR_shader_subgroup_rotate для RADV, ANV и NVK
  • VK_KHR_load_store_op_none для RADV, ANV, NVK и Turnip
  • VK_KHR_line_rasterization для RADV, ANV, NVK и Turnip
  • VK_KHR_index_type_uint8 для RADV, ANV, NVK и Turnip
  • VK_KHR_shader_expect_assume для всех Vulkan-драйверов
  • VK_KHR_shader_maximal_reconvergence для RADV, ANV и NVK
  • VK_KHR_shader_quad_control для RADV
  • VK_KHR_shader_subgroup_uniform_control_flow для NVK
  • VK_EXT_device_address_binding_report для RADV
  • VK_EXT_external_memory_dma_buf для lavapipe
  • VK_EXT_queue_family_foreign для lavapipe
  • VK_EXT_shader_object для RADV
  • VK_EXT_nested_command_buffer для NVK и RADV
  • VK_EXT_queue_family_foreign для NVK
  • VK_EXT_image_drm_format_modifier для NVK
• Устранена проблема, из-за которой не работало аппаратное ускорение в Chrome.

1. OpenNews: Релиз Mesa 24.0, свободной реализации OpenGL и Vulkan
2. OpenNews: В Mesa-драйвере radv реализована поддержка расширений Vulkan для кодирования видео h.265
3. OpenNews: В Mesa принят код NVK, открытого Vulkan-драйвера для видеокарт NVIDIA
4. OpenNews: Релиз Mesa 23.3, свободной реализации OpenGL и Vulkan
5. OpenNews: В написанной на Rust реализации OpenCL для Mesa обеспечена поддержка OpenCL 3.0

• Группировка вкладок.
• Возможность вертикального размещения списка вкладок и модернизированная боковая панель.
• Новая система управления профилями, позволяющая разделить разные виды активности (например, учёба, работа, персональные интересы), но при этом сделать их легко доступными (развитие идеи быстрого переключения между профилями).
• Поддержка настройки фона страницы, показываемой при открытии новой вкладки. Можно будет установить в качестве фона любую картинку или изменить цвет.
• Интуитивно понятные настройки конфиденциальности, упрощающие управления возможностями, связанными с защитой от отслеживания перемещения пользователя между сайтами.
• Модернизация меню, нацеленная на акцентирование внимания на наиболее важных элементах, снижение визуального беспорядка и выделение приоритетных действий.
• Продолжение работы над оптимизацией производительности, сокращением времени загрузки страниц, ускорением запуска, уменьшением энергопотребления при автономной работе. Отмечается, что уже проделанная работа позволила на 20% улучшить показатели прохождения теста Speedometer 3.
• Проект Interop, нацеленный на улучшение совместимости между браузерами, обеспечение согласованной поддержки web-технологий в разных браузерах, выявление расхождений в поведении браузеров и упрощение создания сайтов, работающих во всех браузерах.
• Интеграция возможностей, связанных с искусственным интеллектом, модели для которых выполняются на локальной системе без обращения к внешним сервисам. Например, в следующем квартале в Firefox будет добавлена поддержка генерации текстового описания для изображений внутри PDF-документов, упрощающая работу с информацией людьми, имеющими проблемы со зрением.

1. OpenNews: Тестирование вертикальной панели вкладок и контейнеров вкладок
2. OpenNews: В Firefox может появиться группировка вкладок и вертикальная навигация по вкладкам
3. OpenNews: В Firefox добавлена поддержка машинного перевода выделенных фрагментов текста
4. OpenNews: В Firefox предложена дополнительная защита от отслеживания с использованием редиректов
5. OpenNews: В Firefox появится группировка вкладок

Fluent Bit насчитывает более 10 миллиардов внедрений и применяется для обработки и сбора логов и метрик во многих компаниях и облачных платформах, например, среди пользователей отмечаются Google Cloud, AWS, DigitalOcean, vmWare, Cisco, Microsoft, Lyft, LinkedIn, Walmart, Couchbase, Swift и Dell. В течение марта было загружено 13 млн Docker-образов с Fluent Bit. По данным компании Tenable, выявившей уязвимости, многие облачные сервисы не блокируют доступ к Web API для получения внутренних метрик, таких как uptime, и для обработки обращений к подобным API используется Fluent Bit.

Уязвимость вызвана ошибкой во встроенном HTTP-сервере, проявляющейся при обработке внешних запросов через API-вызовы "/api/v1/traces" и "/api/v1/trace", позволяющие пользователям получать информацию о настроенных трассировках. Независимо от включения трассировки пользователь имеет возможность обратиться к данным API, если ему предоставлен соответствующий доступ. Во время разбора входящих запросов типы некоторых входных полей, передаваемых через массив в блоке JSON, определялись неверно и независимо от ожидаемого типа поля интерпретировались как тип MSGPACK_OBJECT_STR. Указание в массиве входных данных нестроковых значений, например, целочисленных параметров, приводило к повреждению памяти из-за того, что функция flb_sds_create_len() извлекала переданное целочисленное значение как поле с размером строки.

Пример запроса, вызывающего аварийное завершение:

   python3 -c 'print("{\"output\":\"stdout\", \"params\": {\"format\": \"json\"},\"inputs\":[\"" + "A"*8 + "\"," + str(0xffffffff) + ", \"" + "B"*500 + "\"]}")' > test
   curl -v http://:2020/api/v1/traces/ -H "Content-Type: application/json" -H "Expect: " --data "@test"

В процессе экспериментов исследователям удалось добиться аварийного завершения сервиса и определить остаточное содержимое памяти, используемой при обработке HTTP-запросов и содержащей, например, фрагменты конфиденциальных данных, таких как ключи доступа. Так как проблема приводит к зависящему от передаваемых параметров переполнению буфера, теоретически она может быть эксплуатирована для выполнения своего кода в системе, но выявившими проблему исследователями эта возможность не проверялась из-за отсутствия времени на работу над эксплоитом.

1. OpenNews: Треть Java-проектов на базе библиотеки Log4j продолжают использовать уязвимые версии
2. OpenNews: Обновление Log4j 2.17.1 с устранением ещё одной уязвимости
3. OpenNews: Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов
4. OpenNews: Критическая уязвимость в Apache Log4j 2, затрагивающая многие Java-проекты
5. OpenNews: 17 проектов Apache оказались затронуты уязвимостью в Log4j 2

Из возможностей языка Bend отмечается быстрое распределение объектов, возможность использования функций высшего порядка, замыканий, продолжений, неограниченной рекурсии, сопоставления с образцом, рекурсивных сопоставлений (fold) и циклов (bend), целочисленных, строковых и списочных типов. Поддерживается два варианта синтаксиса - в стиле Python и в стиле Haskell. В программах не требуется указание управляющих распаралелливанием аннотаций, явного создания потоков и выставления блокировок. Распараллеливание производится автоматически, например, при вычислении выражения "((1 + 2) + (3 + 4))", операции "1 + 2" и "3 + 4" будут выполнены параллельно.

Программы на языке Bend могут выполняться на оборудовании, обеспечивающем массовый пареллелизм, например, на GPU, демонстрируя практически линейный рост производительности в зависимости от числа вычислительных ядер. Код на языке Bend компилируется в низкоуровневое промежуточное представление HVM2 (Higher-order Virtual Machine 2), которое затем компилируется в представление на C и CUDA. В настоящее время проектом поддерживается только выполнение на GPU NVIDIA.

Что касается производительности, то тестовое приложение с реализацией битонной сортировки, при выполнении в одном потоке CPU Apple M3 Max было выполнено за 12.15 сек., при задействовании 16 потоков - за 0.96 сек., а при привлечении GPU NVIDIA RTX 4090 с 16k потоками - за 0.21 сек.

   def sort(d, s, tree):
     switch d:
       case 0:
         return tree
       case _:
         (x,y) = tree
         lft   = sort(d-1, 0, x)
         rgt   = sort(d-1, 1, y)
         return rots(d, s, lft, rgt)

   def rots(d, s, tree):
     switch d:
       case 0:
         return tree
       case _:
         (x,y) = tree
         return down(d, s, warp(d-1, s, x, y))
   ...

1. OpenNews: Представлен Rust GPU, инструментарий для разработки шейдеров на языке Rust
2. OpenNews: Сотрудник Google развивает язык программирования Carbon, нацеленный на замену C++
3. OpenNews: Apple опубликовал Pkl, язык программирования для определения конфигурации
4. OpenNews: Первый тестовый выпуск языка программирования Hare
5. OpenNews: Выпуск языка программирования Mojo 24.3

Некоторые выводы:

• Использование дополнений с блокировщиками рекламы, как правило, снижает нагрузку на CPU, уменьшает объём загружаемых данных и уменьшает потребление памяти. Например, дополнение uBlock Origin, насчитывающее 37 млн пользователей, снижает нагрузку на CPU с 57 до 4 сек. процессорного времени при просмотре протестированных страниц на одном из новостных сайтов с обилием рекламы. При этом снижение нагрузки на CPU при использовании наиболее популярных блокировщиков AdBlock (66 млн пользователей) и AdBlock Plus (45 млн пользователей) оказалось минимальным и не превысило 15%.
  
  
• При оценке экономии трафика при включении блокировщиков, наилучшие показатели продемонстрировал uBlock Origin, который позволил снизить размер загружаемых данных на протестированных сайтах в среднем с 41 до 3 МБ. Дополнение ScriptSafe оказалось в рейтинге выше, но подобное достигнуто за счёт полного отключения JavaScript.
  
  
• При тестировании влияния дополнений на потребление памяти наилучшие результаты оказались у дополнения DuckDuckGo Privacy Essentials. При использовании AdBlock Plus расход памяти увеличился.
  
  
• Из 336 дополнений, имеющих более 1 млн пользователей, 11 приводили к увеличению нагрузки при обработке каждой страницы более чем на 0.5 сек. времени CPU. Худшие показатели отмечены у дополнения Monica, имеющего 2 млн. установок, - при его использовании на обработку каждой страницы тратилось дополнительные 1.3 сек. Дополнение Read&Write, имеющее 17 млн установок, отнимало 0.8 секунд процессорного времени.
  
  
• Повтор теста на сайте Ikea позволил выявить замедляющие работу дополнения, решающие специфичные для интернет-магазинов задачи. Например, дополнение Honey, имеющее 20 млн пользователей, создавало задержку в 1.5 сек. процессорного времени.
  
  
• При расширении теста до 5000 самых популярных дополнений худшие показатели (2.3 сек. времени CPU) оказались у дополнения MaxAI, насчитывающего 800 тысяч пользователей.
  
  
• При тестировании 5000 дополнений на сайте Ikea худшие (почти 5 сек. времени CPU) показатели оказались у дополнения "superagent - Automatic cookie consent".
  
  
• 86% из протестированных дополнений создавали минимальную (менее 50 мс) нагрузку на CPU, 5.2% дополнений создавали нагрузку от 50 до 100 мс процессорного времени, 4.4% - от 100 до 250 мс, 2.4% - от 250 до 500 мс, 1.7% - более 500 мс.
  
  
• Тестирование замедления загрузки страниц (метрика FCP, First Contentful Paint) показало, что нет прямой корреляции между большой нагрузкой на CPU и задержками при загрузке страниц. Например, потребляющие много процессорного времени дополнения Coupert Coupon Finder и Merlin AI не замедляли загрузку страниц. Из наиболее сильно замедляющих загрузку страниц дополнений отмечены Monica AI, Klarna и Avast Safeprice, которые запускают обработчики при начале загрузки, а не после её завершения. Замедление также возникало при использовании дополнений, предлагающих доступ через VPN.

  Выборка из дополнений, имеющих более миллиона пользователей:
  
  

  

  Выборка из 5000 самых популярных дополнений:
  
  

  
• Тестирование задержек при работе со страницами (метрика INP, Interaction to Next Paint). Среди дополнений, имеющих более миллиона пользователей, выделился Avira Password Manager, который вносил задержку в 160 мс при каждом щелчке мышью (задержка проявляется только первые 5 секунд, пока не завершилась инициализация). Использование дополнений Microsoft Editor extension и Superb Copy вносило задержки на уровне 10 мс.
  
  
• Тестирование потребления дискового пространства. Из 5000 протестированных дополнений, 27 приводили к расходованию более 100 МБ места на диске. Лидером стало дополнение Meme Soundboard, которое требовало 600 МБ из-за сохранения 723 MP3-файлов. 87% дополнений занимают менее 10 МБ, 11.2% - более 10 МБ и 2.2% - более 50 МБ.
  
  
• 1.7% дополнений блокируют кэширование переходов между страницами (back/forward cache). Среди подобных дополнений: LastPass Password Manager, Avast Online Security, Avira Browser Safety, Norton Password Manager, Snap&Read и Microsoft Editor.
• Упреждающую загрузку и отрисовку (pre-loading и pre-rendering) блокируют 8 дополнений (0.2%), среди которых uBlock Origin, Windscribe и Privacy Badger.

1. OpenNews: Анализ влияния на производительность дополнений к Chrome
2. OpenNews: Оценка влияния на производительность популярных дополнений к Chrome
3. OpenNews: 111 Chrome-дополнений, загруженных 32 млн раз, уличены в загрузке конфиденциальных данных
4. OpenNews: Mozilla, Google, Apple и Microsoft объединили усилия в стандартизации платформы для браузерных дополнений
5. OpenNews: Оценка производительности браузерных дополнений для блокировки рекламы

Основные изменения в Chrome 125:

• Компания Google отложила ожидавшееся в конце года прекращение поддержки сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы (подобные Cookie применяются для отслеживания перемещений пользователя между сайтами в коде рекламных сетей, виджетов социальных сетей и систем web-аналитики). В новой версии для определения сайтов, осуществляющих использование сторонних Cookie, в адресную строку добавлен индикатор с изображением глаза, который при блокировке сторонних Cookie перечёркивается. Так как продолжается тестирование отключения сторонних Cookie на 1% пользователей и имеется возможности ручного отключения через настройку "chrome://flags/#test-third-party-cookie-phaseout", в контекстном меню предоставлена возможность временного возвращения поддержки сторонних Cookie для избранных сайтов. Отмена блокировки действует 90 дней после включения.
• При включении расширенной защиты браузера (Safe Browsing > Enhanced protection) реализовано автоматическое глубокое сканирование загружаемых файлов, выполняемое через загрузку информации на серверы Google (раньше перед отправкой выводился запрос для подтверждения внешней проверки, а сейчас проверка будет выполняться автоматически).
• Сборки для платформы Windows теперь предоставляются и для архитектуры ARM64.
• Добавлен новый механизм для обновления компонентов, требующих загрузки большого объёма данных. Речь про обновление моделей для недавно добавленных возможностей, использующих машинное обучение - режима умной группировки вкладок, генератора тем оформления и интерактивного помощника.
• Добавлено два новых типа потенциально проблемных дополнений, для которых пользователю будут выводиться предупреждения с рекомендацией подумать о целесообразности их дальнейшего использования: дополнения, установленные не из каталога Chrome Web Store, и дополнения, использующие обманные тактики для навязывания установки ненужного ПО.
• Поведение при отмене события "mousemove" приведено к соответствию с другими браузерами - отмена события больше не блокирует операции выделения текста и drag&drop (для блокировки выделения и drag&drop следует отменять события selectstart и dragstart).
• Добавлен набор CSS-свойств для управления показом элементов, привязанных к местоположению других элементов (CSS Anchor Positioning), без использования JavaScript, например, для прикрепления к элементам всплывающих окон (popover), появляющихся по аналогии со всплывающими подсказками. Для настройки привязки элемента к другому элементу и определения области вывода предложены свойства anchor-name, position-anchor и inset-area, для получения сведения о месте привязки добавлена функция anchor().
• В CSS добавлены математические функции round(), mod() и rem().
• Добавлен новый синтаксис для отражения состояния собственных HTML-элементов (custom element) в CSS, позволяющий использовать псевдо-класс ":state()".
  
  
• Добавлен API Compute Pressure, позволяющий получить высокоуровневую информацию о текущем состоянии аппаратного обеспечения, например, в общих чертах можно получить сведения о создаваемой нагрузке на CPU (указываются уровни: минимальная нагрузка с включением энергосбережения; допустимая нагрузка, позволяющая без проблем запускать дополнительные задания; высокая нагрузка, но в предельно допустимых значениях и не мешающая работе системы; критическая нагрузка, близкая к исчерпанию ресурсов).
• API Storage Access, применяемый для запроса у пользователя полномочий на получение доступа к хранилищу Cookie, если сторонние Cookie блокируются, расширен возможностью запроса доступа из сторонних обработчиков (например, из контента внутри <iframe>) к хранилищам, не связанным с Cookie, таким как indexedDB.
• Добавлена экспериментальная (origin trial) поддержка API Viewport Segments Enumeration, предназначенного для организации вывода на устройства со складными экранами.
• Предоставлена возможность использования схем URL HTTP и HTTPS в конструкторе WebSocket вместо схем "ws:" и "wss:".
• В JavaScript разрешено использовать модификаторы "?i", "?-i", "?m", "?-m", "?s", "?-s" внутри регулярных выражений для управления выставлением или отключением флагов "i", "s" и "m". Например, "?-i" в "re1 = /^[a-z](?-i:[a-z])$/i;" отключит применение "/i" (игнорирование регистра) для второго символа (re1.test("aB") вернёт false).
• Внесены улучшения в инструменты для web-разработчиков. В web-консоль добавлена кнопка для показа пояснения о сути ошибки или предупреждения, сформированного через обращение к AI-чатботу Gemini. В панели CSS добавлена поддержка правил "@position-try". В панели для редактирования и просмотра исходного текста страницы добавлены настройки для приведения в читаемый вид упакованных страниц и автоматического закрытия скобок при редактировании. В панели отслеживания сетевой активности добавлена поддержка HTTP-заголовков, используемых в ответах с кодом 103 "Early Hints". В панели для анализа производительности добавлена статистика по селекторам CSS.

Кроме нововведений и исправления ошибок в новой версии устранено 9 уязвимостей. Многие из уязвимостей выявлены в результате автоматизированного тестирования инструментами AddressSanitizer, MemorySanitizer, Control Flow Integrity, LibFuzzer и AFL. Уязвимость CVE-2024-4947, вызванная неправильной обработкой типов (Type Confusion) в движке V8 и отнесённая к категории опасных, до исправления применялась злоумышленниками для совершения атак (0-day). Компания Google пока не раскрывает детали по данной уязвимости, но независимые исследователи провели анализ и опубликовали технические детали, а также прототип эксплоита.

Критических проблем, которые позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 4 премии на сумму 8 тысяч долларов США (по одной премии в $7000, $1000). Размер двух вознаграждений пока не определён.

1. OpenNews: Выпуск web-браузера Chrome 124
2. OpenNews: Google отложил прекращение поддержки сторонних Cookie в Chrome
3. OpenNews: В Chromium экспериментируют с автоматическими микроплатежами для монетизации сайтов
4. OpenNews: Оценка эффективности применения MiraclePtr для предотвращения уязвимостей в Chrome
5. OpenNews: В Chrome планируют реализовать режим скрытия IP-адреса пользователя

В новом инсталляторе предоставляются возможности, необходимые для решения таких задач, как выбор начального набора приложений, настройка сетевого подключения, языка, клавиатуры, часового пояса и параметров локализации, подготовка устройства хранения и разбивка разделов, добавления пользователей в систему. Среди основных целей разработки Agama упоминается устранение имеющихся ограничений графического интерфейса, расширение возможностей по использованию функциональности YaST в других приложениях, уход от привязки к одному языку программирования и стимулирование создания альтернативных настроек представителями сообщества.

Для установки пакетов, проверки оборудования, разбивки дисков и прочих необходимых при инсталляции функций в Agama продолжают использоваться библиотеки YaST, поверх которых реализованы сервисы-прослойки, абстрагирующие доступ к библиотекам через унифицированный коммуникационный протокол на базе HTTP. В инсталляторе используется многопроцессная архитектура, благодаря которой интерфейс взаимодействия с пользователем не блокируется во время выполнения других работ. Базовый интерфейс для управления установкой построен с использованием web-технологий. Web-интерфейс написан на JavaScript с использованием фреймворка React и компонентов PatternFly. Сервис для обмена сообщениями, а также встроенный http-сервер, написаны на языке Ruby.

В новой версии предложена новая архитектура, ознаменовавшая переход от использования готовых модулей, развиваемых проектом Cockpit, в пользу независимого фреймворка и модернизированного интерфейса пользователя. Вместо D-Bus в качестве основного коммуникационного протокола для взаимодействия между компонентами Agama задействован HTTP. Замена D-Bus на HTTP расширила возможности проекта по интеграции с более крупными системами и упростила организацию установки в автоматизированном режиме.

Уход от привязки к Cockpit позволил исключить дополнительные внешние зависимости, например, Cockpit содержит в зависимостях компоненты на языках Python и Си, в то время как в Agama применяются языки Ruby и Rust. Прекращение использования Cockpit также избавило разработчиков от ограничений, с которыми они столкнулись при попытках реализовать автоматический режим установки и переработать интерфейс настройки хранилищ для достижения оптимального баланса простоты для начинающих и функциональности для опытных пользователей.

Кроме того, задействование новой архитектуры значительно сократило время запуска инсталлятора и повысило его производительность, сохранив при этом возможность использования уже проверенных низкоуровневых компонентов. Из возможностей, который пока не перенесены в новую реализацию упоминаются встроенный эмулятор терминала и инструменты для управления устройствами DASD (Direct Access Storage Device) и zFCP (SCSI-over-Fibre Channel).

Кроме новой архитектуры в Agama 8 предложен полностью переработанный и более функциональный интерфейс для настройки хранилища и разбивки дисковых разделов, в котором сохранены все базовые возможности классической системы настройки хранилищ YaST и оставлены средства для расширенной кастомизации, но при этом выполнена адаптация для упрощения восприятия новичками. Например, новый интерфейс позволяет выбрать место размещения каждого раздела или логического тома LVM, примонтировать или переформатировать ранее доступные файловые системы, настроить шифрование и параметры загрузки, изменить размер разделов.

Среди изменений также отмечается новый интерфейс для выбора наборов приложений, улучшение настройки полнодискового шифрования на базе TPM, полностью переписанный сетевой стек, модернизация некоторых виджетов, улучшение интерфейсов для редактирования параметров ФС и создания пользователей, более наглядная визуализация возникающих при установке проблем, перевод на 10 языков.

Через месяц ожидается выпуск Agama 9, в котором планируется провести значительную реорганизацию web-интерфейса, реализовать пропущенные при переходе на новую архитектуру возможности, а также расширить средства для установки в автоматическом режиме, проводимой без участия человека. Целью разработки является обеспечение совместимость с AutoYaST и предоставление возможности возможности использования Agama в качестве альтернативы AutoYaST.

1. OpenNews: Проект openSUSE раскрыл планы по развитию нового инсталлятора Agama
2. OpenNews: Проект openSUSE опубликовал альтернативный инсталлятор Agama 5
3. OpenNews: Третий прототип платформы ALP, идущей на смену SUSE Linux Enterprise
4. OpenNews: Дистрибутив openSUSE предложил протестировать новый инсталлятор
5. OpenNews: В Fedora Workstation 39 планируют задействовать новый инсталлятор на основе web-интерфейса

Порт развивается для систем, основанных на ядре RV64GC и поддерживающих ABI lp64d, таких как платы HiFive Unmatched, HiFive Unleashed, StarFive VisionFive v1/v2 и PolarFire SoC Icicle Kit. Отдельно поставляется экспериментальный пакет linux-sophgo, позволяющий использовать Arch Linux на плате Milk-V Pioneer (SG2042). Для экспериментов можно использовать порт в эмуляторе RISC-V на базе QEMU.

RISC-V предоставляет открытую и гибкую систему машинных инструкций, позволяющую создавать микропроцессоры для произвольных областей применения, не требуя при этом отчислений и не налагая условий на использование. RISC-V позволяет создавать полностью открытые SoC и процессоры. В настоящее время на базе спецификации RISC-V разными компаниями и сообществами под различными свободными лицензиями (BSD, MIT, Apache 2.0) развивается несколько десятков вариантов ядер микропроцессоров, более сотни SoC и уже производимых чипов. Поддержка RISC-V присутствует начиная с выпусков Glibc 2.27, binutils 2.30, gcc 7 и ядра Linux 4.15.

1. OpenNews: В Debian реализована официальная поддержка архитектуры RISC-V
2. OpenNews: Инициатива по улучшению поддержки архитектуры RISC-V в открытом ПО
3. OpenNews: Google намерен включить RISC-V в число первичных архитектур для Android
4. OpenNews: В Arch Linux обновлён пакетный менеджер Pacman 6.1 и инсталлятор Archinstall 2.7.2
5. OpenNews: В Arch Linux улучшили совместимость c Windows-играми, запускаемыми в Wine и Steam

Прошивка /e/OS развивается как ответвление от платформы Android (используются наработки LineageOS), избавленное от привязки к сервисам и инфраструктуре Google, что позволяет с одной стороны сохранить совместимость с Android-приложениями и упростить поддержку оборудования, а с другой стороны блокировать передачу телеметрии на серверы Google и обеспечить высокий уровень конфиденциальности. Блокируется и неявная отправка информации, например, обращение к серверам Google при проверке доступности сети, резолвинге DNS и определении точного времени.

Для взаимодействия с сервисами Google предустановлен пакет microG, который позволяет обойтись без установки проприетарных компонентов и предлагает вместо сервисов Google независимые аналоги. Например, для определения местоположения по Wi-Fi и базовым станциям (без GPS) задействована прослойка UnifiedNlp, способная работать через OpenWlanMap, Mozilla Location Service, openBmap, OpenCellID, lacells.db и другие альтернативные сервисы. Вместо поисковой системы Google предлагается собственный метапоисковый сервис на основе форка движка Searx, обеспечивающий анонимность отправляемых запросов.

Для синхронизации точного времени вместо Google NTP используется NTP Pool Project, а вместо DNS-серверов Google (8.8.8.8) - DNS-серверы текущего провайдера. В web-браузере по умолчанию включён блокировщик рекламы и скриптов для отслеживания перемещений. Для синхронизации файлов и данных приложений разработан собственный сервис, который может работать c инфраструктурой на базе NextCloud. Серверные компоненты основаны на открытом ПО и доступны для установки на подконтрольных пользователю системах.

Интерфейс пользователя существенно переработан и включает собственное окружение для запуска приложений BlissLauncher, улучшенную систему уведомлений, новый экран блокировки и иное стилевое оформление. В BlissLauncher задействован специально разработанный для проекта набор автоматически масштабируемых пиктограмм и подборка виджетов (например, виджет для показа прогноза погоды).

Проектом также развивается собственный менеджер аутентификации, позволяющий использовать для всех сервисов единую учётную запись (user@murena.io), регистрируемую в процессе первой установки. Учётную запись можно использовать для получения доступа к своему окружению через Web или на других устройствах. В облаке Murena Cloud бесплатно предоставляется 1ГБ для хранения своих данных, синхронизации приложений и резервных копий.

По умолчанию в состав входят такие приложения, как почтовый клиент (K9-mail), web-браузер (Bromite, ответвление от Chromium), программа для работы с камерой (OpenCamera), программа для отправки мгновенных сообщений (qksms), система для ведения заметок (nextcloud-notes), PDF-просмотрщик (MJ PDF), планировщик (opentasks), программа для работы с картами (Magic Earth), галерея фотографий (gallery3d), файловый менеджер (DocumentsUI).

Основные изменения в /e/OS 2.0:

• Обновлён интерфейс запуска программ (Launcher), обеспечен показ числа непрочитанных уведомлений и добавлена возможность установки динамических (live) обоев. В состав включены новые наборы пиктограмм приложений и фоновых изображений.
• Добавлена поддержка приложения Android Auto для подключения смартфона к информационно-развлекательным системам автомобилей.
• Переделано уведомление с информацией о лицензиях устанавливаемых приложений.
• В интерфейс для работы с камерой интегрирована функция для сканирования QR-кодов.
• Обновлён интерфейс пакета Advanced Privacy, передающего приложениям фиктивные данные о местоположении и IP-адресе, а также блокирующего встроенные в приложения системы отслеживания активности пользователя. На заглавную страницу добавлена секция "Стена позора" (Wall of Shame), в которой отмечены приложения, приводящие к утечкам информации и осуществляющие отслеживание.
• В приложении для ведения заметок (Notes) реализована работа без привязки к учётной записи.
• В менеджер приложений App Lounge добавлена поддержка фильтрации приложений по наличию трекеров, доступности исходного кода или использованию режиме PWA (Progressive Web Apps). Предоставлена возможность игнорирования обновлённых сессионных сообщений.
• До версии 1.5 обновлён пакет для синхронизации файлов eDrive.
• Браузер обновлён до движка Chromium 123.0.6312.122.
• В календаре-планировщике горизонт показа прошлых событий расширен с 3 месяцев до года.
• Из строки состояния интерфейса для совершения звонков удалена пиктограмма VoLTE, вводящая некоторых пользователей в заблуждение.
• Для PDF-просмотрщика добавлена собственная адаптивная пиктограмма.
• Активирована по умолчанию возможность включения фонарика через длительное нажатие на кнопку включения питания.
• Добавлены дополнительные настройки громкости, показываемые при воспроизведении музыки через Bluetooth.
• В прошивке для Fairphone 5 реализован упрощённый интерфейс для выбора типа приоритетной сети.
• Перенесены исправления из ветки LineageOS 20, основанной на Android 13. Пакет microG с компонентами для замены сервисов Google обновлён до версии 0.3.1.240913.

1. OpenNews: Доступны открытая мобильная платформа /e/OS 1.0 и смартфон Murena One на её основе
2. OpenNews: Первый бета-выпуск мобильной платформы /e/, развиваемой создателем Mandrake Linux
3. OpenNews: Выпуск мобильной платформы Android 14
4. OpenNews: Опубликована мобильная платформа LineageOS 21 на основе Android 14
5. OpenNews: Доступна мобильная платформа KDE Plasma Mobile 6

Изменения в Android 15 Beta 2 по сравнению со первой бета-версией:

• Расширены возможности для одновременной работы с несколькими приложениями на устройствах с большими экранами. Реализована поддержка добавления на экран панели задач для быстрого переключения между приложениями и закрепления ярлыков наиболее часто используемых программ.
• Добавлена возможность определения отдельной приватной секции с приложениями, появляющейся только после дополнительной аутентификации пользователя. Фактически приложения в данной секции хранятся в отдельном профиле, приостанавливаемом, когда доступ к приложениям не разблокирован (т.е. приложения из данного профиля активны только при разблокировке профиля). При просмотре списка приложений, содержимое приватной секции показывается в отдельном блоке. Связанные с приватными приложениями уведомления и настройки при блокировке скрываются, а созданные и загруженные с использованием данных приложений файлы отделены от файлов основного профиля (доступ к приватному контенту из приложений в основном профиле осуществляется через интерфейсы обмена файлами и доступа к изображениям).
• Предоставлена поддержка отображения персонализированных миниатюр. Приложения могут предоставлять виджетам релевантные для пользователя представления миниатюр, вместо выставленных по умолчанию заглушек.
• По умолчанию на уровне системы задействована визуализация при навигации при помощи экранных жестов, при помощи анимации предупреждающая пользователя о предстоящем действии, например, при сдвиге влево показывающая, что приложение будет свёрнуто и показан домашний экран.
• На базе прослойки ANGLE подготовлена реализация OpenGL ES, работающая поверх графического API Vulkan, который отмечен как приоритетный программный интерфейс для взаимодействия с GPU. Задействование прослойки ANGLE для OpenGL-приложений позволяет улучшить совместимость , а в некоторых ситуациях и повысить производительность. Для включения ANGLE в секцию настроек "Developer options/Experimental" добавлена опция "Enable ANGLE". В 2025 году реализацию OpenGL ES на базе ANGLE планируют активировать по умолчанию, а в 2026 году сделать единственно поддерживаемой.
• Обеспечено использование библиотеки dav1d для программного декодирования видео в формате AV1 на устройствах без поддержки аппаратного ускорения. Библиотека развивается участниками проектов VideoLAN и FFmpeg, и нацелена на достижение максимально возможной производительности декодирования и обеспечение качественной работы в многопоточном режиме. В проведённых тестах dav1d в три раза обгоняет по производительности ранее используемый программный декодировщик. Библиотека пока доступна в виде опции, но в одном из следующих обновлений будет предложена по умолчанию.
• В графическую подсистему добавлена поддержка класса Matrix44 для преобразования координат с использованием матрицы 4x4 при манипуляции 2D-поверхностями в 3D-пространстве. Также добавлена функция clipShader для наложения клипа с указанным шейдером.
• Проведена оптимизация работы механизма фоновых сервисов, позволяющего приложениям находиться в активном состоянии, когда с ними не взаимодействует пользователь. Фоновые сервисы, выполняющие синхронизацию данных (dataSync) или обработку мультимедийного контента (mediaProcessing), теперь принудительно останавливаются после работы в течение 6 часов.
• Добавлена поддержка устройств, на которых используются страницы памяти размером 16 КБ. Для задействования 16-килобайтных страниц достаточно просто пересобрать приложения, напрямую или косвенно использующие библиотеки NDK (Native Development Kit). Задействование страниц размером 16 КБ вместо 4 КБ позволяет повысить производительность программ, интенсивно работающих с памятью. Например, при использовании 16-килобайтных страниц время запуска подобных программ в среднем снизилось на 3.16% (для некоторых на 30%), а энегропотребление снизилось на 4.56%. Повторный запуск программы для работы с камерой ускорился на 4.48%, а общее время загрузки системы сократилось на 0.8 сек. (1.5%).
• При предоставлении частичного доступа к контенту в интерфейсе выбора фотографий реализована возможность пометки только фото и видео, которые уже выбирали в недавнем прошлом, что позволяет упростить работу с часто запрашиваемыми фото и видео.
• В конфигураторе (Settings → System → Languages & Input → System languages → Choose how you’re addressed) предоставлена возможность выставления предпочитаемого обращения к пользователю (мужчина, женщина, нейтральное обращение), используемая для адаптации грамматики в выдаваемых системой обращениях. Настройка пока доступна только для французского языка.
• Добавлены дополнительные элементы API для обеспечения плавного перехода в режим "картинка в картинке" программ с элементами интерфейса, отображаемыми поверх основного интерфейса пользователя.
• Предоставлена возможность выбора виброэффекта для предупреждения о поступлении нового уведомления.
• В хранилище Health Connect добавлена поддержка новых типов данных, применяемых при занятиях спортом и контроле за питанием. Например, добавлено поле для контроля за температурой кожи и реализована структура для определения плана тренировок.
• Обеспечена корректная обрезка текста, написанного с использованием шрифтов, воспроизводящих рукописный текст.

1. OpenNews: Первая бета-версия Android 15
2. OpenNews: Google экспериментирует с запуском Chromium OS в Android
3. OpenNews: Второй предварительный выпуск Android 15
4. OpenNews: Предварительный выпуск Android 15
5. OpenNews: Выпуск мобильной платформы Android 14

Из проблем Vim, побудивших к созданию Neovim, отмечается раздутая монолитная кодовая база, состоящая более чем из 300 тысяч строк кода на языке Си (C89). Во всех нюансах кодовой базы Vim разбирается всего несколько человек, а все изменения контролирует один мэйнтейнер, что затрудняет сопровождение и работу над усовершенствованием редактора. Вместо встроенного в ядро Vim кода для поддержки GUI в Neovim предлагается использовать универсальную прослойку, позволяющую создавать интерфейсы с использованием различных тулкитов.

Плагины к Neovim запускаются как отдельные процессы, для взаимодействия с которыми используется формат MessagePack. Взаимодействие с плагинами производится в асинхронном режиме, без блокирования базовых компонентов редактора. Для обращения к плагину может использоваться TCP-сокет, т.е. плагин может запускаться на внешней системе. При этом Neovim остаётся обратно совместимым с Vim, продолжает поддерживать Vimscript (в качестве альтернативы предлагается Lua) и поддерживает подключения большинства штатных плагинов Vim. Расширенные возможности Neovim могут быть использованы в плагинах, построенных с использованием API, специфичного для Neovim.

За время существования проекта подготовлено более тысячи специфичных плагинов, доступны биндинги для создания плагинов и реализаций интерфейсов с использованием различных языков программирования (C++, Clojure, Perl, Python, Go, Java, Lisp, Lua, Ruby) и фреймворков (Qt, ncurses, Node.js, Electron, GTK). Развивается несколько вариантов пользовательского интерфейса. GUI-надстройки во многом напоминают плагины, но, в отличие от плагинов, они инициируют вызов функций Neovim, в то время как плагины вызываются из Neovim.

Среди изменений в новой версии:

• По умолчанию предложена новая цветовая схема, в которой уменьшена яркость, задействованы более сбалансированные сочетания цветов и решены проблемы, возникающие у людей с отклонениями цветовосприятия.
• Изменены привязки клавиш: "K" - при включении LSP-клиента показывает информацию о функции и переменной, на которые указывает курсор, "[d" и "]d" - перемещение по диагностическим сообщениям, <C-W>d - вывод дополнительной информации о диагностическом сообщении.
• Встроена функциональность плагина vim-commentary для быстрого обрамления символами комментария строк и блоков с кодом, учитывая контекст (например, для содержимого тега <script> будут использоваться символы "//", а для HTML - "<!--" "-->"
• Добавлена опция 'termsync', включающая режим синхронизированного вывода, при котором для устранения мерцания и разрывов на экране осуществляется накопление обновлений интерфейса и их отображение в терминале одной порцией.
• Для записи в системный буфер обмена задействована escape-последовательность "OSC 52", если работа осуществляется в сеансе SSH, не включена настройка 'clipboard' и имеется эмулятор терминала, поддерживающий "OSC 52".
• Добавлена экспериментальная поддержка оформления гиперссылок при помощи escape-последовательности OSC 8. По умолчанию данная возможность применяется для выделения ссылок в документах Markdown, оформленных в виде "[example](https://example.com)".
• Обеспечено автоматическое определение поддержки терминалом 24-разрядного представления цветов ("truecolor").
• При использовании LSP (Language Server Protocol) обеспечен вывод подсказок по месту, в виде виртуального текста, показываемого другим цветом прямо в коде, но без фактического добавления в исходные тексты (на скриншоте подсказки отображаются тёмно серым цветом).
• Расширены возможности для инспектирования синтаксического дерева исходного кода. Добавлен интерактивный режим написания запросов к синтаксическому дереву, на лету применяемых к текущему коду.
• Добавлена возможность указания модификаторов в команде ":terminal", например, ":botright terminal" для открытия нового окна терминала в нижней правой части экрана.

1. OpenNews: Релиз текстового редактора Vim 9.1
2. OpenNews: Умер автор и ключевой разработчик Vim
3. OpenNews: Выпуск консольной среды разработки LazyVim 5
4. OpenNews: Доступен Vieb 9.4, web-браузер в стиле редактора Vim
5. OpenNews: Выпуск Neovim 0.7.0, модернизированного варианта редактора Vim

Предложенная техника атаки, которой присвоено имя SSID Confusion, позволяет обойти присутствующие в протоколе методы аутентификации точки доступа, защищающие от подмены идентификатора сети SSID и не позволяющие создавать подставные сети с именем сети, к которой подключается клиент. Причиной проблемы является определение в стандарте ситуаций, когда SSID может быть неаутентифицирован. В частности, для обозначения своего присутствия точка доступа отправляет в широковещательном режиме beacon-кадры, включающие сведения о SSID-сети. Для упрощения процесса поиска сети клиенты не аутентифицируют SSID в данных кадрах, так как предполагается, что проверка потребуется после того, как клиент решит подключиться к сети.

Для успешного совершения атаки требуется, чтобы пользователь инициировал подключение к определённой беспроводной сети, а поблизости была другая беспроводная сеть с теми же параметрами подключения, что и в первой сети. Подобное практикуется, например, когда для диапазонов 2.4GHz и 5GHz создаются разные сети, одна из которых слабо защищена и уязвима для типовых атак по перехвату трафика, таких как KRACK или Frag. Проблемная конфигурация также применяется в некоторых университетских сетях, поддерживающих сервис Eduroam. Атакующий должен находиться в зоне досягаемости сигнала для того, чтобы вклиниться между пользователем и целевой сетью (MitM). Для проведения атаки злоумышленнику не требуется знать учётные данные жертвы.

Атака сводится к созданию атакующим точки доступа (WrongAP на диаграмме), обеспечивающей на другом канале трансляцию обращений к менее защищенной подставной сети (WrongNet), к которой должен подключиться клиент вместо желаемой сети (TrustedNet). Точка доступа может быть создана на обычном ноутбуке и применяется для организации многоканальной MitM-атаки на жертву (MC MitM). Атака осуществляется в три этапа:

1. Определение сети (Network Discovery). MitM-система перехватывает пакеты, отправляемые в эфир жертвой и заслуживающей доверия точкой доступа (TrustedNet), заменяя в них SSID - в пакетах от точки доступа SSID заменяется на идентификатор менее защищённой сети, а в ответах жертвы на реальный, чтобы симулировать взаимодействие клиента и заслуживающей доверия точки доступа. В итоге устройство жертвы получает ответы и считает, что искомая сеть находится поблизости, несмотря на то, что эти ответы транслируются точкой доступа атакующего.
2. Захват аутентификации (Authentication hijacking). Атакующий симулирует успешную аутентификацию и вынуждает клиента подключиться к менее защищенной сети, вместо заслуживающей доверия. Как и на прошлой стадии атакующий перехватывает кадры, отправляемые при аутентификации клиентом, заменяет в них SSID и переотправляет точке доступа.
3. MitM. После согласования канала связи атакующий подменяет SSID c WrongNet на TrustedNet, создавая впечатление, что пользователь работает через заслуживающую доверия сеть, а не через менее защищенную сеть.

Воспользовавшись уязвимостью атакующий может вынудить клиента подключиться к менее защищённой сети, и при этом в интерфейсе будет отображаться SSID сети, к которой изначально намеревался подключиться пользователь, а не той, к которой он подключён фактически. Добившись подключения пользователя через не защищённую сеть атакующий может анализировать и вклиниваться в незашифрованные потоки трафика. При этом при использовании некоторых VPN, таких как WARP, hide.me и Windscribe, VPN не будет задействован при подключении к сетям, помеченным в настройках как заслуживающие доверия.

Атака применима к протоколам беспроводной аутентификации, использующим EAP (Extensible Authentication Protocol), SAE (Simultaneous Authentication of Equals) и 802.1X, а также в опциональном режиме работы протокола WPA3, в которых SSID не используется при формировании ключа PMK (Pairwise Master Key), что делается для исключения изначально известных данных при формировании ключа с целью защиты от различных криптоатак. Протокол FILS (Fast Initial Link Setup) уязвим при использовании PMK, созданного при согласовании соединения на базе EAP. Протоколы WPA1, WPA2 и FT (Fast BSS Transition) не подвержены проблеме, так как требуют корректного SSID при согласовании соединения.

Для защиты от атаки SSID Confusion на стороне точки доступа упоминается включение в стандарт 802.11 требования аутентификации SSID при подключении, что может быть реализовано через добавление SSID в функцию формирования ключа или включение SSID в число дополнительных данных, проверяемых во время согласования соединения. На стороне клиента защита может быть организована через обеспечение защиты beacon-кадров (будет применяться в WiFi 7). Создатели сетей могут предотвратить совершение атаки, отказавшись от использования общих учётных данных в сетях с разными SSID. Пользователи могут защитить себя, используя надёжные VPN при подключении через любые беспроводные сети.

1. OpenNews: Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP
2. OpenNews: Новые уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
3. OpenNews: FragAttacks - серия уязвимостей в стандартах и реализациях Wi-Fi
4. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
5. OpenNews: Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi

Изначально предполагалось, что атаковавшие серверы kernel.org злоумышленники оставались незамеченными 17 дней, но по данным ESET это время рассчитано с момента подстановки руткита Phalanx, а бэкдор Ebury находился на серверах с 2009 года и около двух лет мог использоваться для получения root-доступа к серверам. Вредоносное ПО Ebury и Phalanx установлено в рамках разных атак, не пересекающихся друг с другом и проводимых разными группами злоумышленников. Внедрение бэкдора Ebury затронуло как минимум 4 сервера в инфраструктуре kernel.org, два из которых были поражены приблизительно в течение двух лет, а остальные два - в течение 6 месяцев.

Атакующие получили доступ к хранящимся в /etc/shadow хэшам паролей 551 пользователя, среди которых были все мэйнтейнеры ядра (аккаунты использовались для доступа в Git; после инцидента пароли были заменены, а модель доступа была пересмотрена и переведена на использование цифровых подписей). Для 257 пользователей атакующим удалось определить пароли в открытом виде, предположительно путём подбора паролей по хэшам и через перехват вредоносным компонентом Ebury паролей, используемых в SSH.

Вредоносный компонент Ebury распространялся в виде разделяемой библиотеки, которая после установки перехватывала функции, используемые в OpenSSH, для организации удалённого подключения к системе c правами root. Атака была не целевой и, как и другие поражённые тысячи хостов, серверы kernel.org использовались как часть ботнета для рассылки спама, кражи учётных данных для распространения на других системах, перенаправления web-трафика и совершения другой вредоносной деятельности.

Для проникновения на серверы использовались неисправленные уязвимости в серверном ПО, например, уязвимости в хостинг-панелях, или перехваченные пароли (предполагается, что серверы kernel.org были взломаны в результате компрометации пароля одного из пользователей, имевшего shell-доступ). Для повышения привилегий использовались уязвимости, такие как Dirty COW.

Применяемые в последние годы новые версии Ebury кроме бэкдора включали в себя такие возможности, как модули к Apache httpd для проксирования трафика, перенаправления пользователей и перехвата конфиденциальной информации, модуль ядра для внесения изменений в транзитный HTTP-трафик, инструменты для скрытия собственного трафика от межсетевых экранов, скрипты для проведения AitM-атак (Adversary-in-the-Middle, двунаправленный MiTM) для перехвата учётных данных SSH в сетях хостинг-провайдеров.

1. OpenNews: Арестован подозреваемый во взломе kernel.org
2. OpenNews: Статус возрождения kernel.org: доступ к Git будет организован без shell доступа
3. OpenNews: Kernel.org подвергся взлому
4. OpenNews: Из-за недоступности kernel.org в ядре linux-next не хватает 89 веток
5. OpenNews: Оценка причин и последствий взлома kernel.org