Предоставляются возможности для создания визуально привлекательных интерфейсов: градиенты в обрамлении окон, размытие фона, анимационные эффекты и тени. Для расширения функциональности могут подключаться плагины, а для внешнего управления работой предоставляется IPC на базе сокетов. Настройка осуществляется через файл конфигурации, изменения в котором подхватываются на лету без перезапуска. Из функций также выделяются: динамически создаваемые виртуальные рабочие столы; режимы компоновки элементов на экране; глобальная обработка горячих клавиш; управление жестами на тачпаде/сенсорном экране.

В новой версии:

• Добавлена экспериментальная опция "render:new_render_scheduling", обеспечивающая динамическое включение тройной буферизации при нехватке ресурсов при выводе. При тройной буферизации используется три экранных буфера - в первый осуществляется отрисовка, из второго производится вывод на экран, а третий используется для продолжения непрерывного процесса отрисовки, если первый буфер был заполнен до завершения вертикальной развёртки. Новый режим позволяет заметно повысить частоту кадров на маломощных устройствах, ценой увеличения задержки вывода.
• Добавлено новое правило управления окнами "noscreenshare", позволяющее запретить показ содержимого выбранного окна при предоставлении совместного доступа к экрану (при трансляции вывода вместо окна будет чёрный прямоугольник).
• Введён в строй собственный тестовый инструментарий, запускающий набор тестов при каждом коммите для выявления возможных регрессий.
• Предложен упрощённый синтаксис настройки параметров монитора (monitorv2).
• Добавлена поддержка Wayland-расширения ext-workspace, реализующего события с информацией о состоянии виртуальных рабочих столов, а также возможности для активации и деактивации рабочих столов.
• Добавлена опция "cm_auto_hdr" для автоматического использования HDR.
• Реализованы новые правила для управления доступом к клавиатуре.
• Прекращена поддержка старых API отрисовки, для работы теперь требуется как минимум OpenGL ES 3.0.
• Убраны настройки для отключения механизма "explicit sync", дающего возможность снизить задержки и избавиться от появления артефактов.

1. Главная ссылка к новости
2. OpenNews: Проект Nitrux прекращает разработку рабочего стола NX Desktop в пользу Hyprland
3. OpenNews: Композитный сервер Hyprland удалён из Debian Testing и не войдёт в релиз Debian 13
4. OpenNews: Выпуск композитного сервера Hyprland 0.49
5. OpenNews: Выпуск miracle-wm 0.6, композитного менеджера на базе Wayland и Mir
6. OpenNews: Выпуск labwc 0.9.0, композитного сервера для Wayland

В Chrome поддержка WebGPU была предложена по умолчанию в версии 113, сформированной в мае 2023 года. В Safari поддержку WebGPU планируют включить по умолчанию этой осенью (экспериментальная поддержка доступна с ноября 2021 года). В Firefox экспериментальная поддержка WebGPU присутствовала с 2020 года, но была включена по умолчанию только в ночных сборках Firefox. Реализация WebGPU в Firefox основана на коде проекта WGPU, написанного на языке Rust и способного работать поверх графических API Direct3D 12, Vulkan, OpenGL и Metal.

WebGPU предоставляет схожий с Vulkan, Metal и Direct3D 12 программный интерфейс для выполнения операций на стороне GPU. Кроме 3D-графики WebGPU охватывает и возможности, связанные с выносом вычислений на сторону GPU и выполнением шейдеров. Концептуально WebGPU отличается от старой спецификации WebGL примерно так же, как графический API Vulkan отличается от OpenGL. При этом WebGPU не основывается на конкретном графическом API, а представляет собой универсальную прослойку, использующую те же низкоуровневые примитивы, что имеются в Vulkan, Metal и Direct3D.

WebGPU даёт возможность приложениям на языке JavaScript контролировать организацию, обработку и передачу команд к GPU, управлять связанными ресурсами, памятью, буферами, объектами текстур и скомпилированными графическими шейдерами. Подобный подход позволяет добиться более высокой производительности графических приложений за счёт снижения накладных расходов и повышения эффективности работы с GPU.

При помощи WebGPU можно создавать не привязанные к конкретным платформам сложные 3D-проекты, работающие не хуже, чем обособленные программы, напрямую использующие Vulkan, Metal или Direct3D. WebGPU также предоставляет дополнительные возможности для портирования нативных графических программ в форму, способную работать в браузерах, благодаря компиляции в WebAssembly.

Ключевые особенности WebGPU и отличия от WebGL:

• Раздельное управление ресурсами, подготовительными работами и передачей команд в GPU (в WebGL один объект отвечал за всё разом). Предоставляется три отдельных контекста: GPUDevice для создания ресурсов, таких как текстуры и буферы; GPUCommandEncoder для кодирования отдельных команд, включая стадии рендеринга и вычисления; GPUCommandBuffer для передачи в очередь на выполнение в GPU. Результат может быть отрисован в области, связанной с одним или несколькими элементами canvas, или обработан без вывода (например, при запуске вычислительных задач). Разделение стадий упрощает разнесение создания ресурсов и подготовительные операции в разные обработчики, которые могут выполняться в разных потоках.
• Иной подход при обработке состояний. В WebGPU предлагается два объекта - GPURenderPipeline и GPUComputePipeline, позволяющих комбинировать различные состояния, заранее определённые разработчиком, что даёт возможность браузеру не тратить ресурсы на проведение дополнительной работы, такой как перекомпиляция шейдеров. Среди поддерживаемых состояний: шейдеры, раскладки вершинных буферов и атрибутов, раскладки прикреплённых групп, смешивание, глубина и шаблоны, форматы вывода после рендеринга.
• Модель связывания, во многом напоминающая присутствующие в Vulkan средства группировки ресурсов. Для объединения ресурсов в группы в WebGPU предоставляется объект GPUBindGroup, который во время записи команд можно связать с другими такими же объектами для использования в шейдерах. Создание подобных групп даёт возможность драйверу заранее выполнить необходимые подготовительные действия, а браузеру позволяет значительно быстрее менять привязки ресурсов между вызовами отрисовки. Раскладка привязок ресурсов может быть определена заранее при помощи объекта GPUBindGroupLayout.

1. Главная ссылка к новости
2. OpenNews: W3C представил черновой вариант стандарта WebGPU
3. OpenNews: В ночные сборки Firefox добавлена поддержка WebGPU
4. OpenNews: Объявлено о выходе спецификации WebGL 1.0
5. OpenNews: Началось открытие исходных текстов WebGL-движка браузера Microsoft Edge
6. OpenNews: В Firefox для Wayland обеспечено аппаратное ускорение WebGL и видео

Проект активно развивался в 2020 году, после чего впал в стагнацию и не вошёл в состав KDE Plasma 6, так как не был переведён на использование библиотек KDE 6 и Qt 6 и был привязан к прекратившему существование голосовому помощнику Mycroft. Вместе с Plasma Bigscreen почти остановилась и разработка сопутствующих проектов - web-браузера Aura и мультимедийного проигрывателя Plank, поддерживающих навигацию с использованием телевизионного пульта. В сентябре прошлого года Plasma Bigscreen был переведён на технологии KDE 6 и Qt 6, но публикация новых выпусков не была возобновлена и проект опять оказался заброшен.

Пару месяцев назад несколько разработчиков решили возродить проект и провели работу по модернизации интерфейса и доработке конфигуратора. Интерфейс был переведён на плоский стиль, удалены тени и фоновая заливка панелей, добавлены подсказки для индикаторов. Реализованы крупные экранные часы. Для вывода списков задействован QML-тип ListView и обеспечено кэширование отрисовки элементов. Обеспечено размывание фоновых объектов, находящихся не в фокусе.

Было:

Стало:

Реализована функция поиска, основанная на KRunner, позволяющая находить приложения без необходимости ручного пролистывания полного списка приложений.

Переработано оформление конфигуратора, в который добавлена боковая панель со списков категорий. Подготовлена библиотека для унификации оформления модулей к конфигуратору и применения горизонтальной раскладки элементов на экране. На новую библиотеку переведены модули для настройки экрана, звуковой подсистемы, Wi-Fi, оформления Bigscreen и взаимодействия со смартфоном (KDE Connect). Добавлен сервис Envmanager, позволяющий управлять настройками, специфичными для различных режимов работы KDE Plasma, и переключаться между режимами (декстоп, мобильный интерфейс и TV).

Публикацию пакетов с Plasma Bigscreen планируют наладить начиная с выпуска Plasma 6.5. До этого можно использовать сценарий сборки Plasma Bigscreen для postmarketOS или пакет plasma-bigscreen для дистрибутива Arch Linux из репозиториев nightly и AUR. Для управления через игровые контроллеры и пульты ДУ может применяться фоновый процесс из репозитория plasma-remotecontrollers. Из приложений, помимо web-браузера Aura и мультимедийного проигрывателя Plank, для управления с пульта могут использоваться flatpak-пакеты с медиацентром Kodi и интерфейсом к YouTube VacuumTube. Поддержка виртуальной клавиатуры пока отсутствует (экранная клавиатура находится в процессе разработки)

1. Главная ссылка к новости
2. OpenNews: Проект KDE представил окружение Plasma Bigscreen для телевизоров
3. OpenNews: Релиз пользовательского окружения KDE Plasma 5.26
4. OpenNews: Прогресс в разработке мобильной платформы KDE Plasma Mobile
5. OpenNews: Планы KDE по прекращению поддержки сеанса X11
6. OpenNews: Сравнение производительности сеансов KDE Plasma на базе X11 и Wayland

Основные новшества Audacious 4.5:

• В сборки на базе GTK включён плагин для визуализации громкости (VU Meter).
• Добавлен плагин для просмотра истории воспроизведения (пока доступен только в версии на базе Qt).
• В версиях на основе Qt и GTK обеспечен паритет в функциональности диалога "Jump to Song".
• Добавлена поддержка загрузки тегов с информацией об авторах альбома из метаданных в формате APEv2.
• Для файлов в формате Opus возвращена поддержка тегов с информацией для нормализации громкости (ReplayGain).
• Улучшен плагин для вывода через мультимедийный сервер PipeWire.
• Добавлена поддержка извлечения лирики из сервиса lrclib.net.
• Обеспечено включение тёмного режима оформления на основе соответствующих настроек GNOME.
• Для скинов Winamp реализована отрисовка состояния переключателей.
• В состав включены дополнительные скины Glare и Winamp 2.9.
• Добавлена настройка действия при клике средней кнопкой мыши на пиктограмме состояния.
• Удалён неподдерживаемый экспериментальный плагин Moonstone.
• При импорте списка воспроизведение обеспечено создание нового списка в отдельной вкладке вместо перезаписи текущего.
• В плагине FFmpeg заявлена поддержка файлов в формате AAC.
• В плагине MPRIS реализован информационный диалог.
• На системах с поддержкой PipeWire и PulseAudio по умолчанию задействован плагин PipeWire.
• В плагине SDL добавлена поддержка вывода через библиотеку SDL3. Прекращена поддержка SDL1.
• Изменены пиктограммы в конфигураторе.

1. Главная ссылка к новости
2. OpenNews: Выпуск музыкального проигрывателя Amarok 3.3
3. OpenNews: Новая версия музыкального проигрывателя DeaDBeeF 1.10.0
4. OpenNews: Опубликован музыкальный проигрыватель Aqualung 2.0, переведённый на GTK3
5. OpenNews: Музыкальный проигрыватель Decibels принят в основной состав GNOME
6. OpenNews: Выпуск музыкального проигрывателя Audacious 4.3

Некоторые проблемы:

• 9 проблем с безопасностью в Java SE. Все уязвимости в Java SE могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Наиболее опасные проблемы в Java SE имеют уровень опасности 8.6-7.5 и затрагивают сетевые функции, 2D, libxml2 и libxslt. Уязвимости устранены в выпусках Java SE 24.0.2, 21.0.8, 17.0.16, 11.0.28, 8u461.
• 30 уязвимостей в сервере MySQL, из которых одна может быть эксплуатирована удалённо при наличии доступа для отправки запросов к СУБД. Четыре наиболее серьёзных проблемы имеют уровень опасности 6.5 и связаны с уязвимостями в DML и оптимизаторе. Менее опасные уязвимости затрагивают InnoDB, оптимизатор, хранимые процедуры, LDAP Auth и систему репликации. Проблемы будут устранены в выпусках MySQL Community Server 9.4.0, 8.4.6 и 8.0.43.
• 7 уязвимостей в VirtualBox, три из которых помечены как опасные (8.2 из 10). Уязвимости CVE-2025-53024, CVE-2025-53027 и CVE-2025-53028 вызваны целочисленным переполнением в VMSVGA, некорректным использованием блокировок в OHCI USB и переполнением буфера в VMSVGA, и позволяет привилегированному пользователю гостевой системы выполнить код на уровне гипервизора. Уязвимости CVE-2025-53025 и CVE-2025-53026, которым присвоен уровень опасности 6 из 10, приводят к утечке остаточного содержимого памяти компонентов хост-окружения из-за отсутствия должной инициализации памяти в модулях LSILogic и BusLogic. Проблемы устранены в обновлении VirtualBox 7.1.12.
• В Solaris в июльском отчёте уязвимостей не отмечено.

1. Главная ссылка к новости
2. OpenNews: Обновление VirtualBox 7.1.12
3. OpenNews: Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей
4. OpenNews: Выпуск СУБД MySQL 9.3.0
5. OpenNews: Выпуск Java SE 24 и OpenJDK 24

• CVE-2025-53024 - целочисленное переполнение в реализации виртуального устройства VMSVGA, приводящее к записи данных за пределы выделенного буфера при обработке получаемых от пользователя данных. Уязвимость позволяет привилегированному пользователю гостевой системы выполнить код на уровне гипервизора и получить доступ к хост-окружению.
• CVE-2025-53027 - некорректное использование блокировок в реализации виртуального контроллера OHCI USB, позволяющее через выполнение манипуляций с гостевой системой выполнить свой код на уровне гипервизора.
• CVE-2025-53028 - переполнение буфера в реализации виртуального устройства VMSVGA, позволяющее через манипуляции с гостевой системой добиться выполнения кода на уровне гипервизора.

Уязвимости CVE-2025-53025 и CVE-2025-53026, которым присвоен уровень опасности 6 из 10, приводят к утечке остаточного содержимого памяти компонентов хост-окружения из-за отсутствия должной инициализации памяти в модулях LSILogic и BusLogic.

Не связанные с безопасностью изменения:

• В дополнения для хостов и гостевых систем c Linux внесены исправления для поддержки находящегося в разработке ядра Linux 6.16.
• В дополнениях для гостевых систем с Linux устранены проблемы, проявлявшиеся при использовании в гостевых системах ядер Linux до версии 3.10, а также ядер серии 2.6.x.
• В дополнениях для хост-систем на базе Linux устранена проблема, уводящая ядро в состояние panic при использовании сетевых мостов с сетевым интерфейсом на базе драйвера ixgbe.
• В менеджере виртуальных машин решены проблемы при вложенном запуске виртуальных машин.
• В NAT исправлена ошибка, приводившая к сбою при запуске виртуальных машин с длинным именем.
• В дополнениях для хост-систем на базе Windows улучшена установка драйверов и добавлено информирование гостевых систем о поддержке расширений AVX/AVX2 при использовании гипервизора Hyper-V. Решена проблема, приводящая к "синему экрану смерти" при закрытии GUI VirtualBox после удаления пакета с компонентами VirtualBox для хост-окружений.
• Решена проблема, приводившая к невозможности запуска гостевых систем с Windows при включении записи вывода в настройках экрана.

1. Главная ссылка к новости
2. OpenNews: Второй бета-выпуск VirtualBox 7.2
3. OpenNews: Началось бета-тестирование VirtualBox 7.2.0
4. OpenNews: Обновление VirtualBox 7.1.10
5. OpenNews: На соревновании Pwn2Own в Берлине продемонстрированы взломы RHEL, Firefox, Redis и VirtualBox
6. OpenNews: Обновление Java SE, MySQL, VirtualBox, Solaris и других продуктов Oracle с устранением уязвимостей

Лицензия BSD-3 совместима с GPL и широко признана в сообществе, в отличие от ранее применявшихся лицензий. Лицензия PHP License одобрена организацией Open Source Initiative (OSI), но признана несовместимой с GPL Фондом СПО из-за пункта, не позволяющего без получения письменного разрешения использовать слово PHP для продвижения производных продуктов. Разработчики Debian критиковали лицензию PHP из-за привязки к продуктам PHP Group.

Изначально ветки PHP 1.x и 2.x поставлялись под лицензией GPLv2, но ветка PHP 3 была переведена на использование двух лицензий - PHP License и GPL. В PHP 4 лицензия была изменена ещё раз - основной код стал распространяться только под лицензией PHP License, а движок Zend Engine, являющийся основной интерпретатора PHP, был размещён в подкаталоге "Zend/" под отдельной лицензией Zend Engine License. Zend Engine License, как и PHP License, содержит ограничения в отношении использования слова Zend в производных продуктах, но дополнительно требует упоминания использования движка в рекламных материалах.

После перехода на новую лицензию авторские права всех участников разработки сохранятся, а права пользователей останутся без изменений. Новая лицензия не налагает дополнительных ограничений и не ущемляет имеющихся прав по использованию, модификации и распространению продукта. Лицензии PHP и Zend основаны на тексте 4-пунктовой лицензии BSD и переход на лицензию BSD-3 лишь приведёт к удалению пунктов, определяющих требования в отношении использования бренда "PHP", а также к прекращению действия условия, предписывающего упоминать об использовании свободного проекта PHP в производных продуктах.

Переход на лицензию BSD-3 нуждается в утверждении со стороны компании Perforce Software, которой принадлежит компания Zend Technologies. Отмечается, что вопрос смены лицензии уже неформально согласован с Perforce и осталось лишь получить официальное юридически значимое письменное подтверждение. При этом смена лицензии не потребует получения отдельного согласия от каждого разработчика, так как в тексте лицензий PHP и Zend определены полномочия, позволяющие PHP Group вносить изменения в лицензию и выпускать новые версии лицензии. Процесс перехода на новую лицензию будет оформлен как обновление кода до версий PHP License v4 и Zend Engine License v3, текст которых будет совпадать с текстом лицензии BSD-3.

1. Главная ссылка к новости
2. OpenNews: Возобновлена работа над лицензией Copyleft-next, развиваемой на смену GPLv3
3. OpenNews: Компания SUSE открыла AI-модель для анализа лицензионной чистоты кода
4. OpenNews: Объявлено о создании организации PHP Foundation
5. OpenNews: Предварительный выпуск проекта PXP, развивающего расширенный диалект языка PHP
6. OpenNews: Релиз языка программирования PHP 8.4

Из достоинств нового проекта отмечается забота о конфиденциальности пользователей (видеоролики редактируются на локальной системе и не передаются вовне) и бесплатное распространение, не требующее покупки отдельных функций или платной подписки для отключения водяного знака. Среди заявленных возможностей: монтаж видео на основе временной шкалы, предпросмотр в режиме реального времени и многотрековое редактирование. К разработке уже присоединилось более 40 участников и проект набрал почти 22 тысяч звёзд на GitHub.

На текущем этапе разработки завершено создание базовых компонентов построения интерфейса пользователя и ведётся работа над основной функциональностью, такой как масштабирование шкалы времени, изменение продолжительности клипов, выделение областей и навигации по фрагментам, а также возможностями для экспорта, предпросмотра и отрисовки видео. На следующем этапе планируют приступить к разработке фильтров, инструментов для работы с текстом и эффектов.

Изначально проект был создан под именем AppCut, но затем был переименован в OpenCut. Вероятно, разработчики будут вынуждены переименовать программу ещё раз, так как проекту предъявлены претензии о нарушении торговой марки OpenCut, зарегистрированной в прошлом году и уже используемой в одноимённом online-редакторе видео.

1. Главная ссылка к новости
2. OpenNews: Доступен видеоредактор Flowblade 2.22
3. OpenNews: Выпуск видеоредактора Shotcut 25.05
4. OpenNews: Релиз программы для редактирования видео LosslessCut 3.65.0
5. OpenNews: Выпуск свободного видеоредактора OpenShot 3.2.0
6. OpenNews: Релиз свободного видеоредактора Avidemux 2.8.0

Дистрибутив позиционируется как переносная лаборатория с окружением для экспертов по безопасности и криминалистов, основное внимание в которой уделяется средствам для проверки облачных систем и устройств интернета-вещей. В состав также включены криптографические инструменты и программы обеспечения защищённого выхода в сеть, среди прочего предлагаются TOR, I2P, anonsurf, gpg, tccf (Two Cents Cryptography Frontend), zulucrypt, veracrypt, truecrypt и luks.

В новом выпуске:

• Обновлены версии специализированных пакетов, например: metasploit 6.4.71, airgeddon 11.50, beef-xss 0.5.4.0, powershell-empire 6.1.2, starkiller 3.0.0, netexec 1.4.0, caido 0.48.1, Seclists 2025.2, Seclists-lite 2025.2, gbp-gef 2025.1, enum4linux-ng 1.3.4 и ruby-cms-scanner 0.15.0.
• Ядро Linux обновлено до версии 6.12.32. Обновлены системные пакеты, такие как systemd 254.26б, mesa 25.0.4 и busybox 1.35.0.
• Предоставлена возможности установки предоставляемых компанией Microsoft утилит через штатный репозиторий проекта. Добавлена официальна поддержка Powershell 7.5 и платформы .NET с 5 по 9 версии.
• В репозиторий добавлен инструментарий Rocket, позволяющий запускать приложения в отдельных контейнерах Docker. Добавлена поддержка запуска в контейнерах приложений Caido, John The Ripper, Katana, Subfinder и WPScan.
• Обновлено содержимое меню и добавлены новые элементы, такие как Sliver и Rocket.
• В состав набора parrot-tools включены утилиты netcat-openbsd, goshs, dbd и starkiller.
• Пакет parrot-firefox-profiles обновлён до новой ESR-ветки Firefox 140.
• Переписаны и улучшены некоторые сборочные скрипты.

1. Главная ссылка к новости
2. OpenNews: Выпуск дистрибутива для исследователей безопасности Kali Linux 2025.2
3. OpenNews: Доступны дистрибутивы для тестирования безопасности BackBox 9 и Parrot 6.2
4. OpenNews: Выпуск BackBox Linux 8.1, дистрибутива для тестирования безопасности
5. OpenNews: Выпуск BlackArch 2020.06.01, дистрибутива для тестирования безопасности
6. OpenNews: Релиз CAINE 11.0, дистрибутива для выявления скрытых данных

Ранее официальные представители Google открыто не упоминали планы по объединению Chrome OS и Android, информация о котором в ноябре 2024 года была неофициально получена от некоторых сотрудников Google. В качестве причины объединения упоминалось желание усилить конкуренцию с iPad и более эффективно использовать инженерные ресурсы, чтобы не распылять усилия на две операционные системы.

Косвенным подтверждением намерений Google стала начатая в прошлом году работа по переводу системного окружения ChromeOS на вариант ядра Linux, фреймворки и системные компоненты платформы Android. В то же время в последних выпусках платформы Android началось активное развитие режима рабочего стола и возможностей для работы на устройствах с большими экранами.

Операционная система ChromeOS напоминает по своей архитектуре атомарно обновляемые дистрибутивы Linux, использует ядро Linux со специфичными патчами, системный менеджер upstart и сборочный инструментарий ebuild/portage из Gentoo Linux. Несмотря на то, что пользовательское окружение ChromeOS сосредоточено на использовании web-браузера, а вместо стандартных программ задействованы web-приложения, платформа включает в себя полноценный многооконный интерфейс, рабочий стол и панель задач. Для запуска приложений, созданных для Linux и Android, используются виртуальные машины, запускаемые при помощи гипервизора CrosVM, основанного на KVM.

По умолчанию в Chrome OS применяется шифрование дисковых разделов c пользовательскими данными (при помощи fscrypt), а системные разделы монтируются в режиме только для чтения, верифицируются по цифровой подписи и обновляются атомарно (два корневых раздела, рабочий и для установки обновления, которые меняются местами). Вывод на экран осуществляется при помощи графического стека Freon и оконного менеджера Aura (проектом также развивается композитный сервер Exo на базе Wayland, работающий поверх Aura). Исходный код распространяются под свободной лицензией Apache 2.0.

1. Главная ссылка к новости
2. OpenNews: Google намерен перевести Chrome OS на платформу Android
3. OpenNews: Google переводит ChromeOS на компоненты платформы Android
4. OpenNews: Google развивает новую систему ARCVM для запуска Android-приложений в Chrome OS
5. OpenNews: В ChromeOS намечено разделение браузера и системного интерфейса
6. OpenNews: Google добавит в Chrome OS технологию облачного выполнения классических приложений

До сих пор создание атак класса Rowhammer для видеопамяти было затруднено из-за сложности определения физической раскладки памяти в чипах GDDR, больших задержек при доступе к памяти (в 4 раза медленнее) и более высокой частоты обновления памяти. Кроме того, проведению исследований мешало задействование в чипах GDDR проприетарных механизмов защиты от манипуляций, приводящих к преждевременной потере заряда, для анализа которых требовалось создание специальных аппаратных тестовых стендов на базе FPGA.

Для изучения видеопамяти исследователями была создана новая техника обратного инжиниринга GDDR DRAM, а в самой атаке задействованы применяемые для организации параллельных вычислений оптимизации доступа к памяти, которые были использованы в качестве усилителей интенсивности доступа к отдельным ячейкам. Для проведения атаки на GPU NVIDIA использован низкоуровневый код CUDA.

В пользовательском коде CUDA не выполняется обращение по физическим адресам памяти, но в драйвере NVIDIA производилось отражение виртуальную памяти в одну и ту же физическую память, чем и воспользовались исследователи для вычисления смещения виртуальной памяти и определения раскладки банков памяти. Распознание обращений к разным банкам памяти было произведено через анализ задержек, которые отличались при доступе к одному или разными банкам памяти.

В системах, совместно использующих GPU, таких как серверы для выполнения моделей машинного обучения, атака позволяет одному пользователю изменить содержимое видеопамяти с данными другого пользователя. В качестве меры защиты компания NVIDIA рекомендует включить коды коррекции ошибок (ECC, Error Correction Codes) командой "nvidia-smi -e 1" или использовать серии видеокарт с поддержкой OD-ECC (On-Die ECC), такие как GeForce RTX 50, RTX PRO, GB200, B200, B100, H100, H200, H20 и GH200.

По данным исследователей включение ECC на системах с GPU A6000 приводит к снижению производительности выполнения моделей машинного обучения примерно на 10% и уменьшению объёма памяти на 6.25%. Инструментарий для проведения атаки и выполнения обратного инжиниринга низкоуровневой раскладки видеопамяти на системах с GPU NVIDIA опубликован на GitHub.

Атака RowHammer позволяет исказить содержимое отдельных битов памяти DRAM путём цикличного чтения данных из соседних ячеек памяти. Так как память DRAM представляет собой двухмерный массив ячеек, каждая из которых состоит из конденсатора и транзистора, выполнение непрерывного чтения одной и той же области памяти приводит к флуктуации напряжения и аномалиям, вызывающим небольшую потерю заряда соседних ячеек. Если интенсивность чтения большая, то соседняя ячейка может потерять достаточно большой объём заряда и очередной цикл регенерации не успеет восстановить её первоначальное состояние, что приведёт к изменению значения сохранённых в ячейке данных.

Метод атаки Rowhammer был предложен в 2014 году, после чего между исследователями безопасности и производителями оборудования началась игра в "кошки-мышки" - производители чипов памяти пытались блокировать уязвимость, а исследователи находили новые способы её обхода. Например, для защиты от RowHammer производители чипов добавили механизм TRR (Target Row Refresh), но оказалось, что он блокирует искажение ячеек лишь в частных случаях, но не защищает от всех возможных вариантов атаки. Методы атаки были разработаны для чипов DDR3, DDR4 и DDR5 на системах с процессорами Intel, AMD и ARM. Также были найдены способы обхода коррекции ошибок ECC и предложены варианты совершения атаки по сети и через выполнение JavaScript-кода в браузере.

1. Главная ссылка к новости
2. OpenNews: FlippyRAM - дистрибутив для тестирования атаки Rowhammer
3. OpenNews: ZenHammer - метод атаки для искажения содержимого памяти на платформах AMD Zen
4. OpenNews: SnailLoad - атака по определению открываемых сайтов через анализ задержек доставки пакетов
5. OpenNews: Mayhem - атака, искажающая биты в памяти для обхода аутентификации в sudo и OpenSSH
6. OpenNews: Воссоздание RSA-ключей через анализ SSH-соединений к сбойным серверам

Приложение позволяет масштабировать вывод игровых приложений, рассчитанных на запуск в отдельном окне, для их отображения в полноэкранном режиме. Утилита также может потребоваться для избавления от размытого вывода при масштабировании с использованием штатной графической подсистемы или для обхода ограничений в играх, завязанных на фиксированные разрешения экрана. Кроме того, имеется возможность повышения плавности вывода и увеличения частоты кадров в играх, не рассчитанных на высокий FPS, путём подстановки дополнительных промежуточных кадров, созданных на основе интерполяции соседних кадров.

Для воссоздания недостающих деталей и масштабирования в LSFG могут использоваться как собственные оригинальные алгоритмы, так и существующие технологии на основе машинного обучения, такие как AMD FidelityFX Super Resolution и NVIDIA Image Scaling. Выбор алгоритма зависит от типа игровых приложений. Например, для современных игр рекомендуется использовать собственный алгоритм LS1 или технологию суперсэмплинга AMD FSR. Для старых игр с пиксельной графикой предложены алгоритмы Integer Scaling и xBR, а для игр в стиле мультфильмов и аниме доступен алгоритм Anime4K. Кроме непосредственно игр, модификация вывода может применяться и к эмуляторам для запуска ретро-игр и игр для приставок.

Масштабирование и подстановка кадров осуществляется на лету и не требует внесения изменений в игры. В варианте для Linux для подстановки кадров и вклинивания в вывод игры используется подключение обработчика в форме дополнительного слоя Vulkan, при помощи которого выполняется перехват, выполнение и модификация существующих функций Vulkan. Для использования lsfg-vk достаточно установить библиотеку liblsfg-vk.so и настроить её параметры через переменные окружения.

Оригинальный LSFG представляет собой скомпилированное приложение для Windiows на базе API D3D11. Для воссоздания функциональности LSFG в Linux реализация была транслирована в представление, использующее API Vulkan. Для переноса шейдеров был добавлен обработчик, перехватывающий вызовы D3D11 и сохраняющий шейдеры на диск, а также парсер для динамического извлечений шейдеров из исполняемых файлов в формате PE (Portable Executable). Для переноса графического конвейера, управляющего выполнением шейдеров, из приложения были выделены компоненты на базе API D3D11 и при помощи DXVK была обеспечена их работа в Linux. После получения рабочего варианта на базе D3D11 и DXVK, при помощи отладчика RenderDoc была получена точная раскладка вызовов Vulkan, на основе которой был подготовлен финальный вариант, напрямую использующий API Vulkan.

1. Главная ссылка к новости
2. OpenNews: Выпуск DXVK 2.7, реализации Direct3D 8/9/10/11 поверх API Vulkan
3. OpenNews: Компания Valve выпустила Proton 9.0-4, пакет для запуска Windows-игр в Linux
4. OpenNews: Обновление Steam Client для Linux с включением по умолчанию Proton для запуска Windows-игр
5. OpenNews: AMD опубликовал код технологии суперсэмплинга FidelityFX Super Resolution 2.2

До ветки 8.x проект развивал собственный дистрибутив для быстрого развёртывания типовых серверов, основанный на CentOS, а начиная с выпуска NethServer 8 трансформирован в универсальную платформу, устанавливаемую поверх дистрибутивов Rocky Linux 9, CentOS Stream 9, AlmaLinux 9 и Debian 12. Вместо установки компонентов в форме RPM-пакетов в NethServer 8 задействован запуск в изолированных контейнерах самодостаточных образов с различными серверными приложениями. Код платформы написан на языках Vue, Go и Python, и распространятся под лицензией GPLv3. Для установки в облачных окружениях и виртуальных машинах поставляются готовые сборки в форматах qcow2 (QEMU/Proxmox) и vmdk (VMWare), сформированные на базе Rocky Linux 9.

Приложения в контейнерах могут запускаться на разных хостах и управляться через один централизованный web-интерфейс. Узлы связываются между собой через шифрованный VPN. Установка и введение в строй выбранных серверных компонентов производится в один клик и не требует знания особенностей настройки каждого сервиса. Поддерживается перенос контейнеров с приложениями между хостами. Резервные копии с данными запущенных приложений и настройками кластера могут сохраняться как на локальных накопителях, так на на внешних хранилищах, таких как Amazon S3, Backblaze B2 и Microsoft Azure. Для организации работы инфраструктуры используются Podman, WireGuard, firewalld и OpenLDAP.

Для установки предлагаются модули для быстрого запуска почтового сервера (Postfix, Dovecot, Rspamd, ClamAV), системы совместной работы (Collabora Online или NextCloud), сервера телефонии (Asterisk), SIP-сервера, системы обмена сообщениями (Mattermost), web-сервера (Nginx, PHP, SFTPGo), платформы взаимодействия с клиентами (Odoo), СУБД (MariaDB, PostgreSQL), Wiki (DokuWiki), системы обнаружения вторжений (CrowdSec), контроллера домена Active Directory (Samba), облачного хранилища (MinIO) и т.п. Возможен запуск на одном узле разных версий одного приложения.

Среди изменений в новой версии:

• В центре установки приложений предоставлена возможность установки файлового сервера на базе Samba и его настройки для работы в качестве члена контроллера домена Active Directory. Для определения наличия сервера в сети задействован сервис WSDD. Обеспечена визуализация состояния в форме графиков.
• В раздел настроек добавлена новая секция "Metrics", через которую можно настроить визуализацию при помощи Grafana и отправку уведомлений о сбоях на email. Для сбора и хранения метрик задействованы Prometheus и Loki. Добавлена визуализация всплесков активности в логах.
• В модуль с почтовым сервером добавлена возможность доставки всех писем, приходящих на определённый домен, на адрес одного пользователя или группы.
• Улучшен интерфейс управления TLS-сертификатами. В процедуру запроса сертификата добавлены проверки, для исключения запросов уже используемых имён.
• Реализована опция для добавления завершающего слэша к HTTP-маршрутам.
• Обновлены версии Webtop 5.28.6, PEC Bridge 5.4.8, NethVoice 1.3.4, Nextcloud 31, Collabora 25, Roundcube 1.6.11, SOGo 5.12, Mattermost 10.5.5, PostgreSQL 17.5, Netdata 2.4, Crowdsec 1.6.8, Ejabberd 25.4.

1. Главная ссылка к новости
2. OpenNews: Релиз дистрибутива для создания межсетевых экранов NethSecurity 8.3
3. OpenNews: Доступен серверный дистрибутив NethServer 7.9
4. OpenNews: Выпуск инструментариев для управления контейнерами LXC 6.0, Incus 6.0 и LXD 5.21.1
5. OpenNews: Amazon адаптировал инструментарий управлениями контейнерами Finch для работы в Linux
6. OpenNews: Выпуск Proxmox VE 8.4, дистрибутива для организации работы виртуальных серверов

Отмечается, что в дальнейшем Mesa планируют избавить и от поддержки других механизмов, потерявших актуальность после появления DMA-BUF. В частности, планируется прекратить поддержку EGL-расширения EGL_WL_bind_wayland_display, реализованного для Wayland. Для обмена пиксельными буферами между клиентом и сервером Wayland предлагается использовать Wayland-протокол linux_dmabuf. Поддержку EGL_WL_bind_wayland_display планируют отключить по умолчанию и активировать только при указании сборочного флага "legacy-wayland", после чего удалить через несколько выпусков.

1. Главная ссылка к новости
2. OpenNews: Релиз Mesa 25.1, свободной реализации OpenGL и Vulkan
3. OpenNews: Проект Mesa заменил OpenGL-драйвер Nouveau на Zink для новых GPU NVIDIA
4. OpenNews: Доступен Wayland 1.24

Пользователям NixOS в качестве альтернативы предлагается воспользоваться механизмом оверлеев, который даёт возможность заменить оригинальный X.Org Server на любой другой пакет, включая XLibre. В этом случае пользователь сам ответственен за устранение всех проблем, которые могут возникнуть на его системе. О состоянии поддержки XLibre в других дистрибутивах можно ознакомиться на странице "Are We XLibre Yet", которая периодически обновляется авторами форка.

Дополнение: создание пакетов для NixOS осуществляется силами сообщества Xlibre.

1. Главная ссылка к новости
2. OpenNews: Разработчик KWin объявил альтернативные X-серверы нежелательными в KDE
3. OpenNews: Дистрибутив Artix Linux начал поставку сборок с XLibre, форком X.Org Server
4. OpenNews: Релиз XLibre 25.0, форка X.Org Server
5. OpenNews: Проект X11Libre создал форк X.Org Server, избавленный от влияния корпораций
6. OpenNews: Разработчики САПР KiCad раскритиковали Wayland и рекомендовали использовать X11