Основные новшества в Firefox 143 (1, 2, 3):

• Добавлена возможность закрепления вкладок в форме постоянно видимых ярлыков через перетаскивание вкладки мышью в начало панели вкладок, без необходимости использования контекстного меню. Для открепления вкладки также достаточно переместить закреплённый ярлык в основную область вкладок.
• При запросе сайтом полномочий для доступа к камере реализована возможность предпросмотра выводимой камерой картинки в диалоге подтверждения операции. Предпросмотр может быть полезен чтобы удостовериться в выборе нужного устройства в системах с несколькими камерами.
• В настройки добавлена опция для удаления файлов, загруженных в режиме приватного просмотра (Private Browsing), после закрытия окна. После закрытия окна приватного просмотра выводится запрос, в котором можно удалить или сохранить загруженные файлы.
• Добавлена поддержка показа в адресной строке важных дат и событий. Возможность пока включена для показа событий, таких как день матери, пользователям из США, Великобритании, Германии, Франции и Италии.
• Расширены возможности режима для защиты от скрытой идентификации пользователя (Fingerprinting Protection). Обеспечен возврат постоянных значений для параметров, которые могут применяться как дополнительный признак для идентификации. Например, из списка доступных шрифтов исключены локально установленные не системные шрифты.
• Добавлена поддержка воспроизведения звука в формате xHE-AAC (Extended High-Efficiency AAC, стандарт ISO/IEC 23003-3), который используется в потоковом вещании Netflix. Кодек xHE-AAC пока доступен только на платформах Windows 11 22H2+, macOS и Android 9+.
• В контекстное меню добавлена опция для поиска изображений через сервис Google Lens.
• В адресную строку добавлена поддержка вывода контекстных подсказок с информацией о стоимости акций и других ценных бумаг с фондового рынка.
• В список AI-чатботов, интегрируемых в боковую панель, добавлен Microsoft Copilot.
• В сборки для платформы Windows добавлена возможность работы с сайтами, как с web-приложениями, закреплёнными в панели задач. Кроме того, реализована поддержка API Windows UI Automation для улучшения инструментов для людей с ограниченными возможностями.
• В инструментах для web-разработчиков реализована настройка для отключения группировки похожих сообщений в web-консоли. В отладчике прекращено открытие новых вкладок для отформатированного контента после переключения между режимами неизменного и отформатированного показа исходного кода.
• Обновлён алгоритм вычисления размера элементов в CSS Grid, более точно соответствующий спецификации и обеспечивающий корректную отрисовку раскладок CSS Grid, в которых используется задание размера строк в процентах или имеются элементы с выставленным соотношением сторон.
• В элементах <input type=color> реализована возможность использования расширенных вариантов задания цветов, таких как "rgb(200 200 200)", помимо шестнадцатеричного формата (#ffffff).
• Убраны ограничения, не позволявшие выставлять CSS-свойства "display" для HTML-элементов "<details>". В CSS добавлен псевдоэлемент "::details-content" для настройки оформления сворачиваемого и раскрываемого блока.
• В версии для платформы Android добавлена настройка для включения DoH (DNS over HTTPS) и упрощён интерфейс для управления загрузками.

Кроме новшеств и исправления ошибок в Firefox 143 устранено 16 уязвимостей. 8 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц.

1. OpenNews: Релиз Firefox 142
2. OpenNews: Mozilla China прекращает предоставление сервисов для Firefox в Китае
3. OpenNews: Mozilla предупредила о фишинг-атаке на разработчиков дополнений к Firefox
4. OpenNews: Поддержка Firefox 115 ESR продлена до марта 2026 года
5. OpenNews: В Firefox решено прекратить поддержку 32-разрядных Linux-систем

Атака RowHammer позволяет исказить содержимое отдельных битов памяти DRAM путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. Если интенсивность чтения большая, то соседняя ячейка может потерять достаточно большой объём заряда и очередной цикл регенерации не успеет восстановить её первоначальное состояние, что приведёт к изменению значения сохранённых в ячейке данных.

Метод атаки Rowhammer был предложен в 2014 году, после чего между исследователями безопасности и производителями оборудования началась игра в "кошки-мышки" - производители чипов памяти пытались блокировать уязвимость, а исследователи находили новые способы её обхода. Например, для защиты от RowHammer производители чипов добавили механизм TRR (Target Row Refresh), но оказалось, что он блокирует искажение ячеек лишь в частных случаях, но не защищает от всех возможных вариантов атаки. Методы атаки были разработаны для чипов DDR3, DDR4 и DDR5 на системах с процессорами Intel, AMD и ARM, а также для видеопамяти, применяемой в видеокартах NVIDIA. Более того, были найдены способы обхода коррекции ошибок ECC и предложены варианты совершения атаки по сети и через выполнение JavaScript-кода в браузере.

Ключевым фактором для обхода защиты от искажения содержимого ячеек памяти в DRAM является понимание логики работы механизма TRR, который в основном полагается на скрытие деталей реализации и принцип "безопасность через неясность (security by obscurity). Для определения логики работы и проведения обратного инжиниринга исследователями созданы специальные платы на базе FGPA Arty-A7 и ZCU104, позволяющие тестировать модули DDR5-памяти SO-DIMM и RDIMM, выявлять шаблоны обращения к ячейкам памяти, определять какие низкоуровневые DDR-команды передаются после программных операций с памятью и анализировать реакцию на них.

Оказалось, что защита в проанализированных чипах DDR5 реализована без дополнительных команд управления частотой обновления памяти и полагается на схемы с вариативной частотой перезарядки ячеек. Для успешного проведения Rowhammer-атаки в этих условиях требуется точное отслеживание тысяч операция обновления ячеек. В таких условиях ранее существующие методы атаки Rowhammer оказались неприменимы и исследователями был разработан новый метод, осуществляющий самокоррекцию шаблонов доступа по мере выявления пропущенных операций обновления памяти во время проведения атаки.

Метод оказался эффективен и при проведении тестов позволил добиться контролируемого искажения бита памяти на всех из 15 протестированных чипах DDR5 от компании SK Hynix (занимает 36% рынка DRAM), произведённых с конца 2021 по конец 2024 года. Искажения одного бита оказалось достаточным для создания эксплоита, позволяющего получить root-доступ в системе при проведении атаки на системе с CPU AMD Ryzen 7 7700X и памятью SK Hynix DDR5 в течение 109 секунд. Для блокирования предложенного метода атаки рекомендовано увеличить частоту обновления памяти в три раза.

В качестве методов эксплуатации, позволяющих добиться получения прав root через искажение одного бита, рассмотрены следующие техники: изменение содержимого записей в таблице страниц памяти (PTE, page table entry) для получения привилегии ядра; повреждение хранящегося в памяти открытого ключа RSA-2048 в OpenSSH (можно привести открытый ключ в чужой виртуальной машине к соответствию закрытому ключу атакующего для подключения к VM жертвы); обход проверки полномочий через модификацию памяти процесса sudo. Метод с PTE оказался работоспособен для всех 15 протестированных чипов, атаку через RSA удалось провести для 11 чипов, а через sudo - для 5.

В эксплоите для размещения таблиц страниц памяти в выбранных ячейках DRAM задействована техника Rubicon, раскрытая одновременно с рассматриваемой атакой Phoenix. Rubicon манипулирует особенностями оптимизации в системе распределения памяти ядра Linux и позволяет добиться выделения памяти в областях с другим значением "migratetype", зарезервированных для привилегированных операций. Наличие проблемы подтверждено в ядрах Linux начиная с 5.4 и заканчивая 6.8, но теоретически уязвимость охватывает все ядра с механизмом выделения памяти Zoned Buddy Allocator.

Помимо упрощения совершения атак класса Rowhammer, техника Rubicon также применима для повышения эффективности микроархитектурных атак, таких как Spectre, и упрощения определения места размещения в памяти секретных данных, которые требуется извлечь через утечки при спекулятивном выполнением инструкций. Rubicon позволяет обойтись без длительной стадии сканирования памяти и определения файлов, таких как /etc/shadow. Вместо этого можно немедленно начать эксплуатацию микроархитектурных уязвимостей, благодаря предопределённому размещению файла по известному физическому адресу. Например, применение метода Rubicon позволило ускорить утечку данных на системе с CPU Intel i7-8700K c 2698 до 9.5 секунд (в 284 раза), а на CPU AMD EPYC 7252, c 189 до 27.9 секунд (в 6.8 раз).

Тем временем, другая группа исследователей из Университета Джорджа Мейсона, продемонстрировала применимость атак класса Rowhammer для компрометации AI-систем. Исследователями предложен метод OneFlip, позволяющий точечно изменить поведение AI-моделей через искажение в памяти 1 бита информации. Доступен пример кода для подстановки троянского изменения в нейронную сеть. Показано как изменение одного бита можно использовать для искажения работы модели автопилота для изменения интерпретации дорожного знака "Стоп" в знак "Ограничение скорости". Так же рассмотрено использование метода для обхода систем распознавания лиц. Для моделей, хранящих весовые коэффициенты в форме 32-разрядных целых чисел, успешность проведения атаки оценивается в 99.9% без влияния на исходные характеристики модели.

1. OpenNews: GPUHammer - вариант атаки Rowhammer на память GPU
2. OpenNews: FlippyRAM - дистрибутив для тестирования атаки Rowhammer
3. OpenNews: Применение метода атаки Rowhammer для создания уникальных идентификаторов
4. OpenNews: Новая техника атаки RowHammer на память DRAM
5. OpenNews: Чипы памяти DDR4 остаются уязвимы для атак RowHammer, несмотря на добавленную защиту

Как и AV1, новый формат кодирования видео не требует оплаты отчислений и основан на технологиях, патентах и интеллектуальной собственности участников альянса AOMedia, которые передают пользователям AV2 лицензию на безвозмездное использование своих патентов. В число участников AOMedia входят такие компании, как Google, Microsoft, Apple, Mozilla, Facebook, Amazon, Intel, IBM, AMD, ARM, Samsung, Adobe, Broadcom, Realtek, Vimeo, Cisco, NVIDIA, Netflix и Hulu. Применяемая в AOMedia модель лицензирования патентов напоминает подход организации W3C, используемый для создания не требующих отчисления Web-технологий.

Из особенностей AV2 отмечается оптимизация для применения в потоковом вещании, значительное улучшение по сравнению с AV1 производительности операций сжатия, расширенная поддержка возможностей для виртуальной и дополненной реальности, поддержка более широкого диапазона визуального качества. Также отмечается появление средств для одновременной доставки нескольких видео в рамках одного видеопотока, с возможностью их раздельного отображения на экране.

1. OpenNews: Альянс AOMedia опубликовал заявление, касающееся попыток сбора отчислений за AV1
2. OpenNews: Увидел свет первый выпуск открытого видеокодека нового поколения AV1

Параллельно силами сообщества c 2016 года развивался изначально открытый драйвер RADV, входящий в основной состав Mesa. Прекращение работы над AMDVLK объясняется новой стратегией унификации драйверов Vulkаn, в рамках которой компания AMD сосредоточит внимание на разработке единой высокопроизводительной кодовой базы и обеспечит полную официальную поддержку драйвера RADV.

Дэвид Эйрли (David Airlie), мэйнтейнер подсистемы DRM (Direct Rendering Manager) в ядре Linux и сооснователь драйвера RADV, приветствовал решение AMD и выразил надежду, что компания предоставит дополнительные инженерные ресурсы для развития проекта RADV и станет делиться информацией о технических деталях. Драйвер AMDVLK был представлен в 2017 году, когда RADV уже поставлялся в большинстве дистрибутивов Linux. За прошедшие годы AMDVLK так и не смог получить должного распространения и ограничивался поставкой в отдельно публикуемых наборах драйверов от AMD из-за сложности опакечивания в дистрибутивах и проблематичности передачи изменений в проект (AMDVLK разрабатывался внутри AMD с публикацией открытых релизов после их готовности).

При этом кодовая база AMDVLK приносила пользу сообществу, так как использовалась разработчиками RADV в качестве источника информации для уточнения технических деталей о работе GPU AMD и методах обхода специфичных проблем. По мнению Дэвида Эйрли, проект RADV стал демонстрацией того, что сообщество способно подготовить качественные драйверы, способные конкурировать с драйверами от производителя оборудования. Теперь производитель оборудования официально признал преимущество независимого открытого проекта и переключился на его использование.

1. OpenNews: В Mesa-драйверы radv и anv добавлена поддержка расширения Vulkan для декодирования видео VP9
2. OpenNews: В Mesa-драйвере radv реализована поддержка расширений Vulkan для кодирования видео h.265
3. OpenNews: Компания AMD открыла код драйвера с реализацией API Vulkan
4. OpenNews: В рамках проекта RADV развивается новый драйвер Vulkan для GPU AMD
5. OpenNews: В Mesa-драйвере RADV сертифицирована поддержка Vulkan 1.3 для старых GPU AMD

Прошивка /e/OS развивается как ответвление от платформы LineageOS (на базе Android), избавленное от привязки к сервисам и инфраструктуре Google для исключения передачи телеметрии на серверы Google и повышения уровня конфиденциальности. Среди прочего, блокируется и неявная отправка информации, например, обращения к серверам Google при проверке доступности сети, резолвинге DNS и определении точного времени.

В поставку входит пакет microG, предлагающий независимые аналоги сервисов Google, что позволяет обойтись без установки проприетарных компонентов. Для определения местоположения по Wi-Fi и базовым станциям (без GPS) прослойка UnifiedNlp, способная работать через BeaconDB, OpenWlanMap, openBmap, OpenCellID, lacells.db и другие альтернативные сервисы. Вместо поисковой системы Google предлагается метапоисковый сервис Murena Find на основе поискового движка Qwant. метапоисковый сервис на основе форка движка Searx, анонимизирующий отправляемые запросы.

Для синхронизации точного времени вместо обращения к NTP-серверу Google запросы отправляются на серверы из коллекции NTP Pool, а вместо DNS-серверов Google (8.8.8.8) используются DNS-серверы текущего провайдера. В web-браузере по умолчанию включён блокировщик рекламы и скриптов для отслеживания перемещений. Для синхронизации файлов и данных приложений разработан собственный сервис, совместимый с инфраструктурой на основе Nextcloud. Серверные компоненты основаны на открытом ПО и доступны для установки на подконтрольных пользователю системах.

Интерфейс пользователя включает собственное окружение для запуска приложений BlissLauncher, улучшенную систему уведомлений, новый экран блокировки и иное стилевое оформление. В BlissLauncher задействован разработанный для /e/OS набор автоматически масштабируемых пиктограмм и отдельная подборка виджетов (например, виджет для показа прогноза погоды).

Проектом также развивается собственный менеджер аутентификации, позволяющий использовать для всех сервисов единую учётную запись ([email protected]), регистрируемую в процессе первой установки. Учётную запись можно использовать для получения доступа к своему окружению с других устройств или через Web. В облаке Murena Cloud бесплатно предоставляется 1ГБ для хранения своих данных, синхронизации приложений и резервных копий.

Среди входящих в состав приложений: почтовый клиент Mail (форк K9-Mail), web-браузер Cromite (на базе Chromium), программа для работы с камерой OpenCamera, программа для отправки мгновенных сообщений QKSMS, система для ведения заметок nextcloud-notes, PDF-просмотрщик MJ PDF, планировщик opentasks, программа для работы с картами Magic Earth, галерея фотографий gallery3d, файловый менеджер, каталог приложений App Lounge.

Основные изменения в /e/OS 3.1:

• Для смартфоров Fairphone включены по умолчанию VoLTE и передача данных через сеть мобильного оператора (VoWiFi остаётся отключённым по умолчанию). В приложении для камеры реализована возможность создания фотографий с разрешением до 50 мегапикселей и улучшено качество звука в видеозаписях. Улучшена совместимость со сторонними приложениями. Добавлена поддержка установки платформы /e/OS через инсталлятор.
• В функции автоматического создания на лету субтитров к видео ("Live Caption") реализована поддержка изменения местоположение текста.
• Перенесены обновления и исправления из платформы LineageOS 22.2, основанной на кодовой базе Android 15 (/e/OS 3.0 базировался на LineageOS 20/Android 13).
• В web-браузере движок обновлён до Chromium 138.
• Пакет microG обновлён до версии 0.3.8.250932.
• Добавлена возможность использования в /e/OS приложений Revolut, Yuh, web.de, GMX и Yuka.

Дополнительно доступен для заказа новый смартфон Murena SHIFTphone 8, представляющий собой клон SHIFTphone 8, поставляемый с /e/OS. Смартфон примечателен модульным дизайном (состоит из 18 заменяемых компонентов) и наличием аппаратного выключателя камеры и микрофона.

1. OpenNews: Выпуск мобильной платформы /e/OS 3.0
2. OpenNews: Инициатива Mobifree, нацеленная на построение экосистемы открытых мобильных приложений
3. OpenNews: Samsung адаптирует мобильную платформу Tizen для архитектуры RISC-V
4. OpenNews: Выпуск мобильной ОС Sailfish 5.0
5. OpenNews: Компания LG опубликовала платформу webOS Open Source Edition 2.28

Библиотека libxml2 используется в операционных системах и продуктах компаний Apple, Google и Microsoft. Из открытых пакетов, упоминающих libxml2 в числе зависимостей, можно отметить GNOME, Xfce, Mate, Cinnamon, Budgie, LibreOffice, Epiphany, libvirt, BIND, VirtualBox, lldb, Flatpak, Evolution, clang-tools, xsltproc, PostgreSQL, Pacemaker, Apache httpd, Zypper, Scribus.

В июне Ник Велнхофер снял с себя полномочия сопровождающего библиотеку libxslt и отказался от особого отношения к устранению уязвимостей - стал трактовать уязвимости в libxml2 как обычные ошибки, рассматриваемые по мере появления свободного времени. Ник также раскритиковал предъявление компаниями дополнительных требований к сопровождающим-волонтёрам, работающим без компенсации.

Перед объявлением об уходе Ник опубликовал релиз libxml2 2.15.0 и пообещал исправлять в нём регрессивные изменения до конца года. В новой версии отключены по умолчанию обвязки для языков Python и Schematron. Чтение сжатых данных в парсере теперь возможно только при указании опции XML_PARSE_UNZIP. Код сериализации HTML и обработки кодировок символов приближен к требованиям спецификации HTML5. Осуществлён переход на генерацию документации по API при помощи инструментария Doxygen.

1. OpenNews: Сопровождающий libxml2 отказался от особого отношения к устранению уязвимостей
2. OpenNews: Уязвимости в библиотеке libxml2, потенциально приводящие к выполнению кода
3. OpenNews: Критическая уязвимость в библиотеке Libxml2

Cloud Hypervisor сфокусирован на запуске современных дистрибутивов Linux с использованием паравиртуализированных устройств на базе virtio. Из ключевых задач упоминается: высокая отзывчивость, низкое потребление памяти, высокая производительность, упрощение настройки и сокращение возможных векторов для атак. Имеется возможность прямой загрузки ядра ОС без промежуточных загрузчиков, что позволяет очень быстро запускать виртуальные машины (до передачи управления приложениям в пространстве пользователя проходит менее 100 мс).

Поддержка эмуляции сведена к минимуму и ставка делается на паравиртуализацию. Проектом поддерживаются архитектуры x86_64, AArch64 и RISC-V. Из гостевых систем поддерживаются 64-разрядные сборки Linux и Windows 10/Windows Server 2019, а также предусмотрена возможность использования Cloud Hypervisor для запуска контейнеров в виртуальных машинах при помощи инструментария Kata Containers. Предусмотрена возможность live-миграции виртуальных машин между серверами и управления жизненным циклом виртуальных машин при помощи HTTP API.

В новой версии:

• Введены правила применения AI-инструментов при разработке, запрещающие принятие кода, сгенерированного с использованием больших языковых моделей и AI-ассистентов, таких как ChatGPT, Gemini, Claude и GitHub Copilot. В качестве причины называется желание избежать неоднозначности с соблюдением лицензионных требований (AI обучен на коде под различными лицензиями, и генерируемый код потенциально может трактоваться как производная работа). Запрет AI также обусловлен желанием снизить нагрузку на сопровождающих, избавив их от разбора неосмысленных исправлений, созданных с использованием AI.
• Добавлена экспериментальная поддержка устройства fw_cfg (Firmware Configuration), позволяющего передавать из хост-окружения в гостевую систему данные и настройки, такие как конфигурация загрузки виртуальной машины, информация о раскладке памяти в системе и таблицы ACPI.
• Добавлена экспериментальная поддержка устройства ivshmem для организации совместного доступа нескольких гостевых систем к общей области памяти.
• Добавлена поддержка загрузки систем RISC-V через передачу управления прошивке (Firmware Boot) вместо прямого запуска ядра ОС.
• Для хостов x86_64, использующих гипервизор KVM, лимит на число доступных виртуальных процессоров (vCPU) повышен с 254 до 8192.
• В устройстве virtio-blk реализована оптимизация, использующая группировку и обработку в пакетном режиме асинхронных запросов ввода/вывода. Изменение позволило повысить производительность работы с блоками небольшого размера (<=16КБ).
• Ускорено выполнение операции приостановки работы виртуальных машин, которое особенно заметно в виртуальных машинах с большим числом vCPU.
• Добавлена документация по запуску под управлением Cloud Hypervisor гостевых систем с Windows 11.
• Прекращена поддержка технологии Intel SGX (Software Guard Extensions).

1. OpenNews: Компания Intel перевела разработку Cloud Hypervisor в организацию Linux Foundation
2. OpenNews: Судебное разбирательство против Microsoft и OpenAI, связанное с генератором кода GitHub Copilot
3. OpenNews: Исследование влияния AI-ассистентов, подобных GitHub Copilot, на безопасность кода
4. OpenNews: Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях
5. OpenNews: Выпуск Kata Containers 3.4 с изоляцией на основе виртуализации

Причины роста популярности Perl не ясны, никаких значимых событий, связанных с данным языком, кроме очередного ежегодного релиза Perl 5.42, в этом году не происходило. По предположению руководителя TIOBE высокая позиция в рейтинге связана с большим числом книг по Perl, продаваемых в интернет-магазине Amazon (например, число книг по Perl в 4 раза превышает PHP и в 7 раз Rust).

Также упоминается учащение публикации промежуточных релизов Perl 5 и вытеснение Perl 6/Raku из поля зрения (Perl 6 занимает 129 место). Из гипотез также отмечается возвращение интереса к языку Perl из-за его возможностей обработки текста и продвинутых регулярных выражений, что стало востребовано с развитием AI-платформ. Пик популярности Perl пришёлся на март 2003 года, когда данный язык поднялся на 3 место в рейтинге, после чего началось постепенное снижение популярности Perl.

Из других набирающих популярность языков выделяется язык Си, который по сравнению с сентябрём прошлого года поднялся на 3 место, вытеснив на 4 место язык Java. Кроме того, с 11 на 9 место поднялся язык Pascal, с 15 на 13 - R, с 26 на 14 - Ada, с 21 на 17 - Assembler. Первое и второе места продолжают занимать Python и С++. Кроме Java популярность снизилась у языков SQL (с 9 на 11 место), Fortran (10 → 12), PHP (13 → 15), Rust (14 → 18), Matlab (12 → 19) и Kotlin (18 → 20).

Индекс популярности TIOBE строит свои выводы на основе анализа статистики поисковых запросов в таких системах, как Google, Bing, Wikipedia, Amazon, YouTube и Baidu.

В сентябрьском рейтинге PYPL, в котором используется Google Trends, за год языки C/C++ вытеснили JavaScript с 3 на 4 место, на 4 позиции выросла популярность Objective-C, на три - Ada, на две - Ruby, Lua, Julia и Pascal. Perl поднялся с 28 на 27 место, а Rust с 10 на 9 место. На 4 позиции снизилась популярность Groovy, на три - VBA и TypeScript, на две - Kotlin, Dart и Scala.

В 2025 году также обновлён рейтинг RedMonk, построенный на основе оценки популярности на GitHub и активности обсуждений на Stack Overflow, двадцатка лидеров выглядит следующим образом (по сравнению с прошлым годом CSS снизился на позицию, а C++ поднялся):

1 JavaScript 
2 Python
3 Java
4 PHP
5 C#
6 TypeScript
7 C++
8 CSS
9 Ruby
10 C
11 Swift
12 Go
12 R
14 Shell
15 Kotlin
16 Scala
17 Objective-C
18 PowerShell
19 Rust
20 Dart

Рейтинг IEEE Spectrum в 2025 году пока не обновлялся. Рейтинг IEEE Spectrum подготовлен Институтом инженеров электротехники и электроники (IEEE) и учитывает сочетание 12 метрик, полученных от 10 различных источников (в основе метода заложена оценка результатов поиска по запросу "{название_языка} programming", анализ упоминаний в Twitter, число новых и активных репозиториев в GitHub, число вопросов в Stack Overflow, число публикаций на сайтах Reddit и Hacker News, вакансии на CareerBuilder и EEE Job Site, упоминания в цифровом архиве журнальных статей и докладов с конференций). Распределение популярности за прошлый год:

1. OpenNews: Рейтинг языков программирования TIOBE за январь 2025 года
2. OpenNews: Опубликован рейтинг популярности СУБД
3. OpenNews: Рейтинг языков программирования от издания IEEE Spectrum
4. OpenNews: 7% разработчиков продолжают использовать Python 2
5. OpenNews: Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей

Библиотека libadwaita используется в сочетании с GTK4 и включает компоненты используемой в GNOME темы оформления Adwaita, которые были вынесены из GTK в отдельную библиотеку. Вынос элементов визуального оформления GNOME в отдельную библиотеку позволяет развивать необходимые для GNOME изменения отдельно от GTK, что даёт возможность разработчикам GTK сосредоточиться на базовых вещах, а разработчикам GNOME более быстро и гибко продвигать необходимые для себя изменения стилевого оформления, не затрагивая сам GTK.

В библиотеку входят типовые виджеты, охватывающих различные элементы интерфейса, такие как списки, панели, блоки редактирования, кнопки, вкладки, формы поиска, диалоговые окна и т.п. Предложенные виджеты позволяют создавать универсальные интерфейсы, которые органично функционируют как на крупных экранах ПК и ноутбуков, так и на небольших сенсорных экранах смартфонов. Интерфейс приложений динамически меняется в зависимости от размера экрана и доступных устройств ввода. Библиотека также включает набор стилей Adwaita, приводящих внешний вид в соответствие с рекомендациями GNOME, без необходимости выполнения ручной адаптации.

В новой версии:

• На смену классу GtkShortcutsWindow, объявленному устаревшим в GTK 4.18, в Libadwaita реализован новый класс AdwShortcutsDialog с реализацией диалога для навигации по доступным клавиатурным комбинациям. Новая реализация отличается полной переработкой и упрощением логики разделения на секции и группы. Разработчику предоставляется минимальный API, а для определения структуры и содержимого диалога применяются UI-файлы.

  Вместо GtkShortcutLabel для представления элементов предложен новый класс AwsShortcutLabel, который не поддерживает указание информации о экранных жестах и интеграцию пиктограмм, так как их использование приводило к путанице, а применение было ограничено (например, пиктограммы применялись только в приложении gnome-games для обозначения кнопок геймпадов).

  
• Добавлена возможность использования медиа-запросов CSS для для определения стилей тёмного и светлого оформления, а также обычного и контрастного представления одного и того же элемента. Разделены размеры шрифтов для контента (Adwaita Sans 12pt) и интерфейса (Adwaita Sans 11pt). Добавлен стилевой класс ".document" в котором для лучшей читаемости используется шрифт Adwaita Sans 12pt и увеличеный межстрочный интервал. Увеличен межстрочный интервал в стилевом классе ".body", который теперь применяется по умолчанию в некоторых штатных виджетах.
• Класс AdwPreferencesGroup разрешено использовать с моделями списков через метод adw_preferences_group_bind_model(). Также добавлена возможность добавлять во внутренний список строки, не являющиеся классом AdwPreferencesRow.
• В классе AdwPreferencesPage разрешено вставлять группы в любом месте, а не только в конце страницы.
• В классы AdwPreferencesGroup и AdwPreferencesPage добавлены методы adw_preferences_page_get_group() и adw_preferences_group_get_row() для инспектирования групп и строк.
• В класс AdwWrapBox добавлен метод adw_wrap_box_remove_all() для удаления всех дочерних элементов.
• Для дочерних элементов класса GtkFlowBox по умолчанию предоставлены стили для подсветки наведения мыши на элемент и активации элемента.
• В классе AdwHeaderBar реализована поддержка родных элементов управления окнами в macOS.
• Для повышения производительности сокращено использование теней для окон, диалогов и всплывающих окон.

1. OpenNews: Проект Linux Mint создал libAdapta, форк библиотеки libAdwaita
2. OpenNews: Выпуск библиотеки Libadwaita 1.5 для создания интерфейсов в стиле GNOME
3. OpenNews: Ardour прекратил поддержку сборки с GTK2 в пользу форка YTK
4. OpenNews: Доступен графический тулкит GTK 4.20
5. OpenNews: Перед релизом GNOME 49 в GDM возвращена поддержка X11 по умолчанию

Поставка с использованием DKMS позволит не привязываться к каждому обновлению ядра Linux и поддерживать реализацию Bcachefs в актуальном состоянии, в условиях прекращения приёма обновлений для Bcachefs в основной состав ядра. Сборки планируют формировать для основных дистрибутивов Linux. Так как модули, собранные через DKMS, можно включить в состав initramfs, у пользователей сохранится возможность использования Bcachefs для корневой ФС.

Отдельно отмечается, что Кент пообщался с сопровождающими пакеты с ядром в дистрибутивах Debian и openSUSE, которые собирались отключить сборку ядра с поддержкой BCachefs. Отключение в основном было связано с опасением, что BCachefs больше не будет поддерживаться, но теперь согласились повременить с отключением до готовности пакетов с Bcachefs на базе DKMS. Кроме того, проект близок к снятию признака экспериментальной ФС - с момента релиза ядра 6.16 в Bcachefs всплывали лишь несущественные ошибки.

Напомним, что в Bcachefs предпринята попытка создания файловой системы, сочетающей уровень производительности, надёжности и масштабируемости XFS с расширенной функциональностью, имеющейся в Btrfs и ZFS. Bcachefs поддерживает такие возможности, как включение в раздел нескольких устройств, многослойные раскладки накопителей (нижний слой с часто используемыми данными на базе быстрых SSD, а верхний слой с менее востребованными данными из жестких дисков), репликация (RAID 1/10), кэширование, прозрачное сжатие данных (режимы LZ4, gzip и ZSTD), срезы состояния (снапшоты), верификация целостности по контрольным суммам, возможность хранения кодов коррекции ошибок Рида—Соломона (RAID 5/6), хранение информации в зашифрованном виде (используются ChaCha20 и Poly1305). По производительности Bcachefs опережает Btrfs и другие ФС на базе механизма Copy-on-Write, и демонстрирует скорость работы, близкую к Ext4 и XFS.

1. OpenNews: В пакетах с ядром для openSUSE отключена поддержка BCacheFS
2. OpenNews: ФС Bcachefs в ядре Linux переведена в режим внешнего сопровождения
3. OpenNews: Bcachefs будет исключён из ядра Linux из-за конфликта между разработчиком и мэйнтейнерами
4. OpenNews: Автора BcacheFS временно отстранили от разработки ядра Linux из-за нарушения кодекса поведения
5. OpenNews: Код Bcachefs принят в основной состав ядра Linux 6.7

Ключевые изменения в Samba 4.23:

• Добавлена поддержка использования в качестве транспорта для SMB3 протокола QUIC, который представляет собой надстройку над протоколом UDP, поддерживающую мультиплексирование нескольких соединений и обеспечивающую методы шифрования, эквивалентные TLS/SSL. Протокол был создан в 2013 году компанией Google в качестве альтернативы связке TCP+TLS для Web, решающей проблемы с большим временем установки и согласования соединений в TCP и устраняющей задержки при потере пакетов в процессе передачи данных. Для настройки транспорта добавлены параметры конфигурации "client smb transports" и "server smb transport", например, для добавления возможности использования QUIC на сервере помимо TCP в файле конфигурации можно указать "server smb transports = +quic".

  Для использования QUIC на стороне сервера требуется загрузка модуля ядра quic.ko, который пока поставляется отдельно, но скоро будет принят в основной состав ядра Linux. На стороне клиента при отсутствии модуля ядра поддерживается применение реализации QUIC на базе библиотеки ngtcp2.

• Включена по умолчанию поддержка Unix-расширений для протокола SMB3, обеспечивающих переносимость с клиентами, использующими Linux и Unix-подобные ОС. Unix-расширения позволяют использовать на файловых серверах POSIX-семантику и такие возможности, как символические и жёсткие ссылки, блокировки, расширенные атрибуты, права доступа и специальные типы файлов.
• Модернизирована логика обновления данных о времени изменения файлов, которая приближена к поведению серверов на базе Windows 10 и Windows Server 2016. Ранее сведения о времени записи в файлы обновлялись с задержкой, а теперь будут отражаться сразу после выполнения операции записи.
• Добавлена новая утилита smb_prometheus_endpoint для экспорта метрик мониторинга в формате, совместимом с Prometheus.
• В команду "samba-tool domain backup" добавлена опция "--no-secrets" для создания резервных копий, в которые не включены пароли, ключи доступа и прочие секретные атрибуты (объекты msKds-ProvRootKey, msFVE-RecoveryInformation и msTPM-InformationObject).
• В компоненте CTDB, отвечающем за работу кластерных конфигураций, реализована возможность загрузки настроек из файлов /etc/ctdb/tunables.d/*.tunables в дополнение к файлу конфигурации /etc/ctdb/tunables.conf.
• Добавлена поддержка накопления раздельной статистики профилирования для каждого ресурса общего доступа (share), что позволяет администратору отдельно отслеживать активность каждого общего ресурса и выявлять узкие места при помощи утилиты smbstatus.

1. OpenNews: Выпуск Samba 4.22.0
2. OpenNews: В завтрашнем обновлении Windows Server будет нарушена совместимость с Samba
3. OpenNews: Фонд Sovereign инвестирует 688 тысяч евро в развитие проекта Samba
4. OpenNews: Выпуск Samba 4.21.0
5. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога

В памяти компонентов гипервизоров, работающих в пространстве пользователя, могут содержаться такие конфиденциальные данные, как ключи доступа к зашифрованным дисковым разделам. Злоумышленники также потенциально могут использовать подобные компоненты как источник утечки конфиденциальных данных, оставшихся в памяти в результата активности других гостевых систем. Исследователями подготовлен пример эксплоита, позволяющий из гостевой системы на базе KVM извлечь информацию о ключах шифрования из virtio-обработчика на базе QEMU, выполняемого на стороне хост-окружения в пространстве пользователя. Скорость утечки данных из процесса QEMU на системе с CPU AMD Zen 4 составила 32 байта в секунду.

В атаках класса Spectre-BTI (Branch Target Injection) для организации утечки данных используется подстановка значений в буфер адреса ветвления (BTB, Branch Target Buffer), применяемый при предсказании следующей операции ветвления. В ходе атаки создаются условия неверного предсказания перехода при спекулятивном выполнении инструкций. Задача атакующего в том, чтобы при выполнении спекулятивной операции ветвления адрес для перехода был взят из желаемой области памяти. После выполнения спекулятивного перехода, в процессорном кэше остаётся считанный из памяти адрес перехода (под видом адреса считываются необходимые атакующему данные из памяти). Для извлечения информации из кэша может применяться один из способов определения содержимого кэша на основе анализа изменения времени доступа к прокэшированным и не прокэшированным данным.

Процессоры и ядра ОС уже содержат защиту от атак Spectre-BTI, которая блокирует утечки между гипервизором и гостевой системой, а также между разными процессами. Но подобная защита не учитывала то, что компоненты гипервизоров, работающие в пространстве пользователя (например, процесс QEMU), и процессы в гостевой системе, выполняются на одном уровне защиты. Из-за этого записи в буфере адреса ветвления (BTB) при предсказании переходов смешивались для процессов гостевых систем и компонентов гипервизора, работающих в пространстве пользователя.

Для ядра Linux опубликованы корректирующие выпуски 6.16.7, 6.12.47, 6.6.106, 6.1.152, 5.15.193 и 5.10.244, включающие исправление для блокирования атаки программным путём. Защита реализована через вызов процессорных инструкций IBPB (Indirect Branch Prediction Barriers) для сброса состояния блока предсказания переходов после передачи исполнения от виртуальной машины к компонентам гипервизора в пространстве пользователя.

Включение защиты осуществляется через переменную командной строки ядра "vmscape={off|ibpb|force}" (опция ibpb включает защиту только для уязвимых CPU, а force - для всех). Подверженность CPU уязвимости и состояние включения защиты можно оценить через файл "/sys/devices/system/cpu/vulnerabilities/vmscape". Поддерживается два режима защиты: подстановка IBPB после каждой передачи управления от виртуальной машины в пространство пользователя (VMexit); подстановка инструкции IBPB после первой передачи управления от виртуальной машины в пространство пользователя.

Накладные расходы от применения защиты зависят от интенсивности передачи управления в пространство пользователя. При использовании эмулируемых устройств (по умолчанию в QEMU) интенсивность подобных переключений значительно выше, чем при применении виртуализированных устройств, и снижение производительности в среднем оценивается в 10%. При этом накладные расходы также сильно зависят от типа нагрузки, например, в тесте UnixBench на системе Zen 4 наблюдается снижение производительности на 1%, так как число переключений (VMexit) в нём минимально. В тесте на чтение и запись случайных данных с диска на базе virtio накладные расходы достигли 51%.

Уявзимость проявляется на всех процессорах AMD семейства Zen (включая 5 поколение), процессорах Hygon (на базе технологий AMD) и старых процессорах Intel, включая чипы на базе микроархитектуры Coffee Lake (2017 год). В списке частично подверженных уявзимости CPU упоминаются процессоры Intel на базе микроархитектур Cascade Lake и Alder Lake (возможность создания эксплоита для них не подтверждена). В последних поколениях процессоров Intel для изоляции хост-окружения и гостевой системы применяется технология eIBRS, но она лишь частично защищает от воздействия из гостевой системы на буфер с историей переходов (BHB, Branch History Buffer), что не исключает создание атак по подстановке значений через BHB.

Возможность совершения атаки VMScape пока продемонстрирована только на системах с гипервизором KVM и компонентами на базе QEMU (QEMU-KVM), эмулирующими различные устройства в пространстве пользователя. Гипервизор Xen проблеме не подвержен. Оценка VMware, Hyper-V и прочих гипервизоров не производилась, ожидается, что возможность атаки на них будет проанализирована производителями.

1. OpenNews: SnailLoad - атака по определению открываемых сайтов через анализ задержек доставки пакетов
2. OpenNews: CPU AMD Zen 5 подвержены уязвимости, допускающей изменение микрокода и обход изоляции SEV-SNP
3. OpenNews: Обход защиты от атак Spectre и эксплоит для извлечения данных из памяти другого процесса
4. OpenNews: BHI - новая уязвимость класса Spectre в процессорах Intel и ARM
5. OpenNews: GhostRace - атака на механизм спекулятивного выполнения в процессорах Intel, AMD, ARM и IBM

Название юридического лица Apache Software Foundation не изменилось и по-прежнему используется там, где это требуется по закону, например, в официальных документах, в футере сайта и при упоминании авторских прав. В остальных случаях, включая документацию и ссылки, для визуальной идентичности теперь будет использоваться акроним ASF. Проекты фонда, имеющие слово Apache в своих названиях (например, Apache HTTP Server), продолжат использование существующих имён.

Причиной прекращения использования былой символики стало недовольство организации Natives in Tech, отстаивающей интересы коренных народов. Данная организация считает неприемлемым использование индейской символики в логотипе Apache Software Foundation, и расценивает это как манипуляцию культурными ценностями национальных меньшинств, искажающую представление об индейцах и основанную на стереотипах. Кроме смены логотипа борцы за права индейцев также требовали переименовать организацию и прекратить использование слова Apache, но сообщество отказалось переименовывать организацию из-за больших затрат и юридических сложностей.

1. OpenNews: Фонд Apache анонсировал предстоящий ребрендинг
2. OpenNews: Фонд Apache уходит от системы зеркал в пользу CDN
3. OpenNews: Объединение индейцев добивается переименования проектов Apache

Среди изменений в новом выпуске:

• Обновлены версии браузерного движка Chromium 140, платформы Node.js 22.18.0 и JavaScript-движка V8 14.0 (в прошлой ветке использовались Chromium 138, Node.js 22.16.0 и V8 13.8).
• Предоставлена возможность изменения акцентных цветов, применяемых для выделения активных элементов, а также цвета границы активного окна.
• Добавлены вызовы tray.{get|set}AutosaveName для сохранения позиций пиктограмм в системном лотке после перезапуска (для macOS).
• Добавлен метод webFrameMain.fromFrameToken(processId, frameToken) для получения экземпляра WebFrameMain, указав связанный токен.
• Для платформ Windows и macOS добавлена поддержка метода app.getRecentDocuments().
• Для определения ресурсов через app.getPath задействован путь из переменной окружения DIR_ASSETS вместо DIR_MODULE/DIR_EXE.
• Добавлено событие "before-mouse-event" для перехвата и предотвращения обработки событий от мыши в классе WebContents.
• В метод window.open() добавлены опции "innerWidth" и "innerHeight".
• В метод net.request() добавлены опции "priority" и "priorityIncremental".
• Добавлены флаги "--no-experimental-global-navigator" и "--experimental-network-inspection".
• Удалена поддержка платформы macOS 11, события plugin-crashed и переменной окружения ELECTRON_OZONE_PLATFORM_HINT (по умолчанию включён режим автоматического определения платформы, для использования Wayland достаточно выставить переменную окружения "XDG_SESSION_TYPE=wayland").

Платформа Electron позволяет создавать любые графические приложения с использованием браузерных технологий, логика работы которых определяется на JavaScript, HTML и CSS, а функциональность может быть расширена через систему дополнений. Разработчикам доступны модули Node.js, а также расширенный API для формирования нативных диалогов, интеграции приложений, создания контекстных меню, интеграции с системой вывода уведомлений, манипуляции окнами, взаимодействия с подсистемами Chromium.

В отличие от web-приложений, программы на базе Electron поставляются в виде самодостаточных исполняемых файлов, не привязанных к браузеру. При этом разработчику не нужно заботиться о портировании приложения для различных платформ, Electron обеспечит возможность сборки для всех систем, поддерживаемых в Chromium. Electron также предоставляет средства для организации автоматической доставки и установки обновлений (обновления можно доставлять как с отдельного сервера, так и напрямую с GitHub).

Из программ, построенных на базе платформы Electron можно отметить редакторы Atom и Visual Studio Code, почтовый клиент Mailspring, инструментарий для работы с Git GitKraken, систему ведения блогов WordPress Desktop, BitTorrent-клиент WebTorrent Desktop, а также официальные клиенты к таким сервисам, как Signal, Slack, Basecamp, Twitch, Ghost, Wire, Wrike и Discord. Всего в каталоге программ Electron представлено 612 приложений. Для упрощения разработки новых приложений подготовлен набор типовых демонстрационных приложений, включающих примеры кода для решения различных задач.

1. OpenNews: Выпуск web-браузера Chrome 140 с поддержкой скрытия IP и блокировки скриптов
2. OpenNews: Опубликована платформа Node.js 24.0.0
3. OpenNews: В сборки Chromium и Electron будет добавлена поддержка Wayland
4. OpenNews: Tauri 1.0 - конкурирующая с Electron платформа для создания пользовательских приложений

Дистрибутив построен на пакетной базе Debian и использует открытую систему обнаружения атак Suricata. Поступающие из разных источников данные сохраняются в хранилище OpenSearch. Для отслеживания текущего состояния и выявленных инцидентов предлагается web-интерфейс, реализованный поверх интерфейса Kibana. Для управления правилами и визуализации связанной с ними активности применяется web-интерфейс Stamus. В состав также входят система захвата, хранения и индексации сетевых пакетов Arkime, интерфейс для оценки произошедших событий EveBox и коллектор данных Fluentd.

Последние 10 лет дистрибутив развивался под именем SELKS, но был переименован в Clear NDR после признания готовности продукта к применению в рабочих решениях для малых и средних предприятий, а также разделения дистрибутива на редакции Community и Enterprise. Enterprise-версия отличается интеграцией с системами машинного обучения, расширенными средствами классификации трафика, интеграцией со сторонними системами реагирования на угрозы, ежедневным обновлением правил обнаружения вторжений и технической поддержкой.

Основные изменения:

• Три варианта развёртывания: ISO-образ с графическим интерфейсом для тех кто предпочитает настройку через GUI, ISO-образ с консольным окружением для северов и версия для запуска в изолированных контейнерах.
• Система обнаружения и предотвращения сетевых вторжений Suricata до обновлена ветки 8.x.
• Выполнен переход с платформы поиска, анализа и хранения данных Elasticsearch на форк OpenSearach 2.
• Добавлена поддержка протокола MCP (Model Context Protocol) для интеграции с AI-платформами, позволяющего предоставить AI-ассистентам доступ к собранным данным и инструментам Clear NDR.
• В web-интерфейсе предложены новые dashboard-панели и модули визуализации данных. Предложено более 400 модулей визуализации и 58 новых dashboard-панелей.
• Добавлена поддержка автоматической обработки потоков информации об угрозах, не требующей ручного написания правил для Suricata.
• Ускорен процесс реагирования на инциденты безопасности. Добавлена возможность получить доступ в два клика к доказательствам, ассоциированным с инцидентом, таким как логи, записи потоков трафика, выявленные операции с файлами и PCAP-дампы.
• Обеспечена возможность интеграции интерфейса пользователя с другими системами.
• Расширены возможности для управления сроком хранения данных (Data Retention).
• Встроен механизм уведомления о появлении обновлений и новых релизов.

1. OpenNews: Релиз системы обнаружения атак Snort 3
2. OpenNews: Выпуск дистрибутива для создания межсетевых экранов OPNsense 24.1
3. OpenNews: Доступен SELKS 10, дистрибутив для создания систем обнаружения вторжений
4. OpenNews: Доступна система обнаружения атак Suricata 8.0