Исследователи из Калифорнийского университета в Риверсайде разработали (PDF) новый класс атак на беспроводные сети - AirSnitch. Атаки дают возможность обойти механизмы изоляции клиентов в Wi-Fi сети, не позволяющие клиентам напрямую обращаться друг к другу. При наихудшем сценарии атаки позволяют злоумышленнику перенаправить через себя трафик жертвы (MITM) для анализа или модификации незашифрованных запросов, а также подменить обращения к сайтам через отравление DNS-кэша.

Следом за выявленной в конце января уязвимостью, позволявшей подключиться под пользователем root без проверки пароля, в сервере telnetd из набора GNU InetUtils выявлено несколько способов повышения своих привилегий, ставших следствием неполного устранения уязвимости в 1999 году (CVE-1999-0073).

Андреас Клинг (Andreas Kling), основатель web-браузера Ladybird, объявил о решении задействовать язык Rust при разработке проекта и начале переписывания частей Ladybird на данном языке. В качестве эксперимента с C++ на Rust уже переписан javascript-движок LibJS. LibJS выбран из-за хорошего покрытия тестами, упрощающего оценку качества портирования.

Компания Oracle опубликовала выпуск операционной системы Solaris 11.4 SRU 90 (Support Repository Update), в котором предложена серия значительных изменений и улучшений для ветки Solaris 11.4. Для установки предложенных в обновлении исправлений достаточно выполнить команду 'pkg update'. Пользователи также могут воспользоваться бесплатной редакцией Solaris 11.4 CBE (Common Build Environment), развиваемой с использованием модели непрерывной публикации новых версий.

Альянс Open Media (AOMedia), курирующий разработку форматов кодирования видео AV1/AV2, формата объёмного звука IAMF и формата изображений AVIF, приступил к разработке звукового кодека Open Audio Codec (OAC), который преподносится как продолжение развития кодека Opus, разработанного организацией Xiph.Org. В качестве эталонной реализации кодировщика и декодировщика OAC под лицензией BSD предложена библиотека liboac, созданная на основе кода библиотеки libopus.

Реми Вершельде (Rémi Verschelde), один из ключевых сопровождающих открытого игрового движка Godot и сооснователь компании W4 Games, заявил, что нарастающий поток низкокачественных pull-запросов, сгенерированных при помощи больших языковых моделей, выматывает и деморализует разработчиков Godot, занимающихся рецензированием изменений. По словам Реми, проект Godot гордится своей открытостью для новых участников и предоставляет любому пользователю возможность повлиять на развитие движка. Сопровождающие Godot тратят много времени, помогая привести pull-запросы к должному состоянию, но при текущем обилии сомнительных изменений Реми не знает, сколько ещё команда сможет выдержать.

Представлены результаты анализа надёжности паролей, генерируемых большими языковыми моделями и AI-ассистентами. Исследователи попросили модели Claude, ChatGPT и Gemini сгенерировать надёжный 16-символьный пароль и во всех случаях получили результат, на первый взгляд отвечающий всем требованиям к безопасным паролям и признаваемый утилитами для проверки качества паролей как надёжный. Пароли сочетали в себе символы в разных регистрах, спецсимволы и числа, но лишь выглядели безопасными, а на деле имели минимальную энтропию, формировались по типовому шаблону и при повторных запросах образовывали закономерность.

С ростом популярности AI-ассистентов у разработчиков участились случаи утечки в публичные Git-репозитории конфиденциальных данных, оседающих среди информации, сохраняемой AI-инструментами в рабочее дерево проекта. AI-ассистенты Claude Code, Cursor, Continue, Aider, OpenAI Codex, Copilot, Sourcegraph Cody и Amazon Q в корневом каталоге проекта создают локальные файлы конфигурации и каталоги, в которых среди прочего может сохранятся история операций и данные о контексте.

GitHub подвёл итоги третьего раунда инициативы "GitHub Secure Open Source Fund", нацеленной на финансирование работы по усилению безопасности открытых проектов. В третьем раунде финансирование получили 67 проектов, используемых при разработке или задействованных в современных AI-стеках.

Дэйв Эйрли (David Airlie), мэйнтейнер стека графических драйверов в ядре Linux, объявил о внедрении вспомогательной автоматизиованной системы рецензирования патчей, для проверки изменений в которой применяется AI-платформа Сlaude Opus 4.6. Система внедрена в качестве эксперимента для оценки возможности применения AI для оптимизации рабочих процессов сотрудников компании Red Hat.

Представлен релиз специализированного Linux-дистрибутива REMnux 8.0, предназначенного для изучения и обратного инжиниринга кода вредоносных программ. REMnux позволяет сформировать изолированное лабораторное окружение, в котором можно эмулировать работу атакуемого сетевого сервиса для изучения поведения вредоносного ПО в условиях приближенных к реальным.

Выпущена первая версия FRANK OS - операционной системы для компьютеров на базе микроконтроллера RP2350, основанной на FreeRTOS. Операционная система поддерживает окружение рабочего стола с оконным пользовательским интерфейсом, обеспечивает частичную совместимость с интерфейсом POSIX. Исходный код написан на языке C и доступен под лицензией GPL-3.0+.

Разработчики проекта IPFire, развивающего дистрибутив для создания маршрутизаторов и межсетевых экранов, представили серию списков блокировки IPFire DBL (Domain Block List) для отсеивания обращения к нежелательным доменным именам. Проект преподносится как поддерживаемое сообществом решение для управления содержимым, блокируемым в собственных сетях или на локальных системах.

Компании Google и Intel раскрыли результаты (PDF) совместной работы по аудиту безопасности механизма Intel TDX 1.5 (Trusted Domain Extensions). Технология Intel TDX реализует возможность шифрования памяти виртуальных машин для их защиты от вмешательства и анализа со стороны администратора хост-системы и физических атак на оборудование. В результате аудита выявлено 6 уязвимостей и 35 не влияющих на безопасность ошибок.

После шести месяцев разработки представлен релиз языка программирования Go 1.26, развиваемого компанией Google при участии сообщества. Язык сочетает высокую производительность, свойственную компилируемым языкам, с такими достоинствами скриптовых языков, как простота написания кода, высокая скорость разработки и защита от ошибок. Код проекта распространяется под лицензией BSD.

Компания Docker объявила о предоставлении бесплатного доступа к коллекции защищённых образов контейнеров DHI (Docker Hardened Images), насчитывающей более тысячи минималистичных сборок на базе Alpine и Debian c готовыми преднастроенными окружениями для запуска различных приложений, инструментариев, runtime и платформ. Образы распространяются под лицензией Apache 2.0 и сопровождаются силами Docker.

Представлен релиз анонимной сети I2P 2.11.0 и C++-клиента i2pd 2.59.0. I2P представляет собой многослойную анонимную распределенную сеть, работающую поверх обычного интернета, активно использующую сквозное (end-to-end) шифрование, гарантирующую анонимность и изолированность. Сеть строится в режиме P2P и образуется благодаря ресурсам (пропускной способности), предоставляемым пользователями сети, что позволяет обойтись без применения централизованно управляемых серверов (коммуникации внутри сети основаны на применении шифрованных однонаправленных туннелей между участником и peer-ами).

Кристиан Хергерт (Christian Hergert), автор интегрированной среды разработки GNOME Builder, эмулятора терминала Ptyxis и текстового редактора GNOME Text Editor, объявил, что в связи с переездом из США во Францию и изменением приоритетов в жизни, больше не сможет уделять должное внимание разработке GNOME. Кристиан являлся почти единственным активеным сопровождающим 16 модулей GNOME и более сорока часов в неделю уделял поддержке и развитию стека GNOME. Отмечается, что после переезда его возможности по участию в разработке будут сильно ограничены и основное время он будет уделять семье, новой деятельности и налаживанию быта на новом месте.