Проект HardenedBSD, занимающийся улучшением механизмов защиты FreeBSD и выпускающий защищённые сборки FreeBSD, представил первые результаты работы по предоставлению возможности использования компонентов пространства пользователя FreeBSD, написанных на языке Rust. Разработка ведётся в отдельной ветке hardened/current/rust-in-base.

В кодовую базу, которая будет использована в выпуске GNOME 49, принято изменение, отключающее по умолчанию сеанс X11 в дисплейном менеджере GDM (GNOME Display Manager), предоставляющем экран входа в систему. При сборке GDM также выставлена опция "-Dx11-support=false", отключающая по умолчанию компиляцию компонентов для поддержки X11. Ведётся работа над возможностью собирать конфигуратор GNOME Setting без поддержки X11. Через год в выпуске GNOME 50 намерены полностью удалить из GNOME код для работы сеанса на базе X11.

В стандартной Си-библиотеке Glibc выявлена уязвимость (CVE-2025-4802), позволяющая добиться выполнения кода с привилегиями другого пользователя, выставляемыми при запуске приложений с флагом suid. Опасность проблемы сводят на нет условия при которых она проявляется - разработчики Glibc на смогли найти не одной suid-программы к которой была бы применима найденная уязвимость. При этом не исключено, что в обиходе могут использоваться собственные suid-прогрммы, удовлетворяющие условиям совершения атаки.

Подведены итоги трёх дней соревнований Pwn2Own Berlin 2025, на которых были продемонстрированы 26 успешных атак с использованием 28 ранее неизвестных уязвимостей (0-day) в операционных системах, браузерах, AI-системах и платформах виртуализации. При проведении атак использовались самые свежие программы и операционные системы со всеми доступными обновлениями и в конфигурации по умолчанию.

Проект GNU представил свободную систему электронных платежей GNU Taler 1.0. Присвоение номера версии 1.0 связано с готовностью платформы для внедрения рабочих платёжных сервисов и стабилизацией программных интерфейсов, для которых в дальнейшем будет обеспечиваться обратная совместимость.

Компания Google объявила о включении в состав будущего выпуска Android 16 дополнительных возможностей для обеспечения защиты устройства. В настройках платформы появится режим.

В день празднования десятилетия с момента выпуска языка программирования Rust 1.0 (проект Rust был основан в 2006 году, выпуск 0.1 был сформирован в 2012 году, а первая стабильная версия предложена в 2015 году) опубликован релиз Rust 1.87. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки).

Разработчики проекта Tor представили утилиту Oniux, предназначенную для принудительного направления трафика отдельных приложений через сеть Tor. По своему назначению Oniux напоминает ранее доступную программу torsocks и отличается использованием для изоляции пространств имён (network namespace), предоставляемых ядром Linux, вместо подмены функций стандартной библиотеки через механизм LD_PRELOAD. Код утилиты написан на языке Rust и распространяется под лицензиями Apache 2.0 и MIT.

Разработчики открытой платформы совместной работы Nextcloud пояснили причины урезания функциональности мобильного приложения и выразили недовольство политикой компании Google, которая под предлогом опасений возникновения проблем с безопасностью ограничила права приложения Nextcloud, насчитывающего более миллиона установок. По требованию Google, для распространения через каталог Google Play приложение Nextcloud не должно запрашивать полномочия для полного доступа ко всем файлам. В версии, размещённой в каталоге F-Droid, полномочия сохраняются, но подавляющее большинство пользователей Nextcloud используют Google Play.

Группа исследователей из Амстердамского свободного университета выявила несколько новых уязвимостей класса Spectre-v2, опубликованных под кодовым именем Training Solo и позволяющих обойти механизмы изоляции памяти. В контексте систем виртуализации уязвимости дают возможность определить содержимое памяти хост-окружения из гостевых систем, а в контексте серверов - определить содержимое памяти ядра при выполнении эксплоита в пространстве пользователя. Примеры эксплоитов для совершения подобных атак опубликованы на GitHub. Представленные эксплоиты позволяют извлекать произвольные данные из памяти ядра со скоростью 17 KB/сек, а из памяти гипервизора - 8.5 KB/сек.

В консольном оконном менеджере (мультиплексоре терминалов) GNU screen, предоставляющем многооконный интерфейс в консоли, выявлено 5 уязвимостей. Наиболее опасная проблема (CVE-2025-23395) позволяет получить права root в системе. Исправление выключено в состав сегодняшнего выпуска screen 5.0.1.

После полутора лет разработки опубликован релиз интегрированной среды разработки Lazarus 4.0, основанной на компиляторе FreePascal и выполняющей задачи, сходные с Delphi. Среда рассчитана на работу с выпуском компилятора FreePascal 3.2.2. Готовые установочные пакеты с Lazarus подготовлены для Linux, macOS и Windows.

После трёх месяцев разработки представлен релиз свободной реализации API OpenGL и Vulkan - Mesa 25.1.0. Первый выпуск ветки Mesa 25.1.0 имеет экспериментальный статус - после проведения окончательной стабилизации кода будет выпущена стабильная версия 25.1.1.

После года разработки опубликован выпуск сканера сетевой безопасности Nmap 7.96, предназначенного для проведения аудита сети и выявления активных сетевых сервисов. Код проекта поставляется под лицензией NPSL (Nmap Public Source License), основанной на лицензии GPLv2, которая дополнена рекомендациями (не требованиями) по использованию программы OEM-лицензирования и покупке коммерческой лицензии, если производитель не желает открывать код своего продукта в соответствии требованиями копилефт-лицензии или намерен интегрировать Nmap в продукты, несовместимые с GPL.

Компания Canonical намерена в осеннем выпуске Ubuntu 25.10 задействовать по умолчанию аналог утилиты sudo, развиваемый проектом sudo-rs и написанный на языке Rust. В марте аналогичное решение было принято в отношении замены утилит GNU Coreutils на инструментарий uutils. На стадии рассмотрения находятся инициативы по замене zlib и ntpd на zlib-rs и ntpd-rs, а также задействованию Sequoia вместо GnuPG в пакетном менеджере APT.

Проект Open WebUI, развивающий платформу для развёртывания больших языковых моделей на своём оборудовании и взаимодействия с ними через web-интерфейс, перешёл на ограничивающую лицензию, запрещающую переименование. Изначально проект поставлялся под лицензией BSD-3, но начиная с выпуска 0.6.6 в текст лицензии были добавлены ограничивающие изменения. Кроме того, проектом введено обязательное подписание соглашения о передаче имущественных прав для участников из сообщества, желающих передавать свои изменения.

В библиотеке ADOdb, применяемой во многих PHP-проектах для абстрагирования доступа к СУБД и насчитывающей около 3 млн установок из репозитория Packagist, выявлена уязвимость (CVE-2025-46337), позволяющая выполнить подстановку своего SQL-запроса. Проблеме присвоен критический уровень опасности (10 из 10). Уязвимость устранена в выпуске ADOdb 5.22.9.

В системе инициализации finit выявлена уязвимость (CVE-2025-29906), позволяющая войти в систему под любым пользователем без проверки пароля. Эксплуатация уязвимости осуществляется через манипуляцию с приглашением входа (login) и требует наличия доступа к консоли. Уязвимость проявляется начиная с версии 3.0 (октябрь 2017 года) и устранена в выпуске finit 4.11. Следом уже сформирован выпуск 4.12 в котором устранено переполнение буфера в плагине urandom, которое не отмечено как уязвимость.