Компания Google анонсировала переход на использование на сертифицированных Android-устройствах только зарегистрированных приложений от верифицированных разработчиков. Поддержка установки приложений из сторонних каталогов и из вручную загруженных apk-пакетов будет запрещена, если они созданы разработчиками, не зарегистрировавшим пакеты в Google и не подтвердившими свои персональные данные.

На конференции DEF CON 33 представлен метод атаки на браузерные дополнения, подставляющие свои элементы интерфейса в просматриваемую страницу. Применение атаки к дополнениям с менеджерами паролей может привести к утечке хранимой в менеджерах паролей информации, такой как параметры аутентификации, параметры кредитных карт, персональные данные и одноразовые пароли для двухфакторной аутентификации. Проблема затрагивает все протестированные менеджеры паролей, включая 1Password, Bitwarden, LastPass, KeePassXC-Browser, NordPass, ProtonPass и Keeper.

Разработчики дистрибутива Arch Linux сообщили о продолжающейся с 16 августа DDoS-атаке, в результате которой некоторые сервисы проекта периодически оказываются недоступны. Наблюдаются проблемы c работой основного сайта, репозитория AUR, Wiki, форума и платформы GitLab. Сведения о технических деталях атаки и предпринятых методах защиты пока не раскрываются, так как атака всё ещё продолжается.

Федеральный верховный суд Германии вернул на повторное рассмотрение судебное разбирательство против разработчиков блокировщика рекламы Adblock Plus. Инициатором разбирательства является медиаконцерн Axel Springer, который добивается запрета применения блокировщиков рекламы, мотивируя свою позицию тем, что подобные браузерные дополнения изменяют выдаваемый сайтами контент, что преподносится как нарушение авторских прав.

В NPM-пакете tar-fs выявлена.

Представлен релиз кроссплатформенного открытого генератора сценариев сборки CMake 4.1.0, выступающего в качестве альтернативы Autotools и используемого в таких проектах, как KDE, LLVM/Clang, MySQL, MariaDB, ReactOS и Blender. Код CMake написан на языке C++ и распространяется под лицензией BSD.

Исследователи безопасности из компании Google выявили в ядре Linux уязвимость (CVE-2025-38236), позволяющую повысить свои привилегии в системе. Среди прочего уязвимость даёт возможность обойти механизм sandbox-изоляции, применяемый в Google Chrome, и добиться выполнения кода на уровне ядра при выполнении кода в контексте изолированного процесса рендеринга Chrome (например, при эксплуатации другой уязвимости в Chrome). Проблема проявляется начиная с ядра Linux 6.9 и устранена в обновлениях ядра Linux 6.1.143, 6.6.96, 6.12.36 и 6.15.5. Для загрузки доступен прототип эксплоита.

Компания Mozilla сообщила о выявлении фишинг-атаки на разработчиков дополнений к Firefox. Как и в случае недавних атак на сопровождающих пакеты в репозиториях PyPI и NPM, участники каталога дополнений AMO (addons.mozilla.org) стали получать письма, стилизованные под уведомления от Mozilla и информирующие о необходимости обновления информации в профиле для продолжения доступа к возможностям каталога.

Представлен первый экспериментальный выпуск проекта Wayback 0.1, позволяющего запускать десктоп-окружения, завязанные на протокол X11, используя компоненты на базе Wayland. Wayback представляет собой урезанный композитный сервер Wayland, поддерживающий только возможности, необходимые для запуска полноэкранного сеанса X11 при помощи Xwayland (DDX-компонент (Device-Dependent X) для организации выполнения X11-приложений в окружениях на базе Wayland). Код проекта написан на языке Си и распространяется под лицензией MIT.

Представлен релиз HTTP-сервера Apache 2.4.65, в котором исправлена критическая ошибка в mod_rewrite из-за которой условия, заданные через выражение "RewriteCond", всегда возвращали значение "true", т.е. правила всегда срабатывали, независимо от проверяемых данных. Выражение "RewriteCond" является ключевым в mod_rewrite и применяется для проверки условий в большинстве ситуаций.

Энрико Вайгельт (Enrico Weigelt), руководитель проекта XLibre, после обсуждения с сообществом подготовил pull-запрос, интегрирующий в master-ветку X-сервера основные драйверы для X11. Причиной указывается рассинхронизация X-сервера и драйверов из-за меняющегося ABI, с которым взаимодействуют драйверы, а также желание сразу предоставлять все необходимые драйверы вместе с X-сервером без необходимости ручного поиска совместимых версий.

Опубликован выпуск библиотеки OpenAPV, предоставляющей эталонную реализацию видеокодека APV (Advanced Professional Video), предназначенного для профессиональной записи и обработки видео без потери качества. Код библиотеки написан на языке С и распространяется под лицензией BSD. Проект развивает организация Academy Software Foundation, учреждённая Академией кинематографических искусств (США) и организацией Linux Foundation с целью продвижение использования открытого ПО в процессе создания фильмов.

Зафиксирована фишинг-атака на сопровождающих javascript-библиотеки, в ходе которой от имени сервиса NPM было разослано сообщение, уведомляющее о необходимости подтвердить свой email. Проведённая атака позволила злоумышленникам.

После двух лет разработки организация OISF (Open Information Security Foundation) опубликовала релиз системы обнаружения и предотвращения сетевых вторжений Suricata 8.0, которая предоставляет средства инспектирования различных видов трафика. В конфигурациях Suricata допустимо задействование базы сигнатур, развиваемой проектом Snort, а также наборов правил Emerging Threats и Emerging Threats Pro. Исходные тексты проекта распространяются под лицензией GPLv2.

Компания ByteDance представила шрифт TikTokSans, оптимизированный для отображения мобильный интерфейсов на экранах с высокой плотностью пикселей и создания субтитров к видео (шрифт уже применяется по умолчанию при отображении субтитров в видео, размещаемом в сервисе TikTok). TikTokSans также хорошо подходит для применения в Web и в интерфейсах пользователя. Исходные компоненты шрифта открыты под лицензией OFL 1.1 (Open Font License), позволяющей неограниченно модифицировать шрифт, использовать его в том числе для коммерческих целей, печати и на сайтах в Web.

Компания AMD раскрыла информацию новом классе микроархитектурных атак на свои процессоры - TSA (Transient Scheduler Attack). Атака позволяет злоумышленнику обойти механизмы изоляции CPU и определить данные, обрабатываемые в других контекстах, например, из пространства пользователя определить информацию, обрабатываемую на уровне ядра, или из гостевой системы узнать данные, используемые в другой гостевой системе.

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 и 2.50.1, в которых устранены уязвимости, позволяющие выполнить свой код на системе пользователя при выполнение операции клонирования репозитория, подконтрольного атакующему.

После 13 месяцев разработки представлен стабильный релиз протокола, механизма межпроцессного взаимодействия и библиотек Wayland 1.24. Ветка 1.24 обратно совместима на уровне API и ABI с выпусками 1.x и содержит в основном исправления ошибок и незначительные обновления протокола. Наработки проекта распространяются под лицензией MIT. Эталонный композитный сервер Weston, предоставляющий код и рабочие примеры для использования Wayland в десктоп-окружениях и встраиваемых решениях, развивается в рамках отдельного цикла разработки.