Создан "де-Rust’ированный" форк Git ведущим разработчиком XLibre (популярного форка Xorg)
Форк описывается как "Git с применённым WD-40" – из него удалён код на Rust. Судя по всему, это делается в преддверии релиза Git 3.0, который ожидается позже в этом году и где Rust станет жёсткой зависимостью для сборки Git.
На просьбу прокомментировать ситуацию разработчик (Энрико Вайгельт) ответил:
Эта позиция перекликается с недавними опасениями по поводу внедрения Rust, которые высказывал давний разработчик проекта NetBSD.
https://github.com/Libre-WD-40/git
@linuxos_tg
Форк описывается как "Git с применённым WD-40" – из него удалён код на Rust. Судя по всему, это делается в преддверии релиза Git 3.0, который ожидается позже в этом году и где Rust станет жёсткой зависимостью для сборки Git.
На просьбу прокомментировать ситуацию разработчик (Энрико Вайгельт) ответил:
«Нужно гарантировать, что Git продолжит работать на любых платформах и CPU-архитектурах, оставаясь надёжным и стабильным, вместо того чтобы ограничиваться лишь несколькими архитектурами и зависеть от недоверенного компилятора, который даже невозможно полностью бутстрапнуть без использования какого-то недоверенного бинарника.»
Эта позиция перекликается с недавними опасениями по поводу внедрения Rust, которые высказывал давний разработчик проекта NetBSD.
https://github.com/Libre-WD-40/git
@linuxos_tg
😁96🔥57
В воскресенье Линус Торвальдс объявил, что следующий релиз ядра Linux будет иметь номер версии "7.0"
Ещё один коммит, также сделанный в воскресенье и относящийся к релизу Linux 7.0, содержал следующую пометку:
Иными словами: 7.0 станет первым релизом ядра Linux, в котором поддержка Rust больше не будет считаться "экспериментальной".
Любопытно, что мейнтейнеры Rust-направления в ядре Linux также отметили, что завершение "эксперимента с Rust" вовсе не означает, что "всё работает".
Коротко: в Linux 7.0 поддержка Rust теперь официальная и больше не имеет статуса experimental… но "не всё работает" и многое всё ещё "довольно экспериментально".
Официальный релиз Linux Kernel 7.0 ожидается уже 12 апреля. Это означает, что есть вероятность включения 7.0 в следующий релиз Ubuntu (26.04), запланированный на 23 апреля
@linuxos_tg
Ещё один коммит, также сделанный в воскресенье и относящийся к релизу Linux 7.0, содержал следующую пометку:
"– Завершить эксперимент с Rust."
Иными словами: 7.0 станет первым релизом ядра Linux, в котором поддержка Rust больше не будет считаться "экспериментальной".
Любопытно, что мейнтейнеры Rust-направления в ядре Linux также отметили, что завершение "эксперимента с Rust" вовсе не означает, что "всё работает".
«Во всех направлениях ещё предстоит огромный объём работы», — заявили разработчики Rust для Linux. «… более того, некоторые комбинации конфигураций по-прежнему остаются весьма экспериментальными».
Коротко: в Linux 7.0 поддержка Rust теперь официальная и больше не имеет статуса experimental… но "не всё работает" и многое всё ещё "довольно экспериментально".
Официальный релиз Linux Kernel 7.0 ожидается уже 12 апреля. Это означает, что есть вероятность включения 7.0 в следующий релиз Ubuntu (26.04), запланированный на 23 апреля
@linuxos_tg
Забавный факт о номерах версий Linux:
Смена мажорной версии (например, с "7.0") в Linux не означает появления каких-то серьёзных новых фич.
На практике повышение мажорного номера часто происходит просто потому, что Линус Торвальдс не любит, когда номера версий "разрастаются настолько, что их уже сложно нормально различать".
В 2015 году, готовясь к релизу ядра Linux 3.20, Торвальдс запостил опрос в Google+ (соцсеть, которая уже закрыта), где спросил сообщество, что делать с нумерацией версий.
В опросе было два варианта:
По итогам опроса Торвальдс решил перескочить с версии 3.19 сразу на 4.0, объяснив это так: "Я снова почти исчерпал запас пальцев на руках и ногах".
Теперь, в 2026 году, он продолжает эту традицию, перепрыгивая с 6.19 на 7.0.
@linuxos_tg
Смена мажорной версии (например, с "7.0") в Linux не означает появления каких-то серьёзных новых фич.
На практике повышение мажорного номера часто происходит просто потому, что Линус Торвальдс не любит, когда номера версий "разрастаются настолько, что их уже сложно нормально различать".
В 2015 году, готовясь к релизу ядра Linux 3.20, Торвальдс запостил опрос в Google+ (соцсеть, которая уже закрыта), где спросил сообщество, что делать с нумерацией версий.
В опросе было два варианта:
a) «Мне нравятся большие версии, и я не буду врать»
b) «v4.0, потому что я легко путаюсь»
По итогам опроса Торвальдс решил перескочить с версии 3.19 сразу на 4.0, объяснив это так: "Я снова почти исчерпал запас пальцев на руках и ногах".
Теперь, в 2026 году, он продолжает эту традицию, перепрыгивая с 6.19 на 7.0.
@linuxos_tg
❤127😁78👍31🤯25
Forwarded from IT Portal
Windows Notepad.exe теперь имеет уязвимость удалённого выполнения кода (RCE)
Да, вы всё правильно прочитали.
Notepad.exe, который раньше был обычным текстовым редактором, оброс таким количеством сетевых/онлайн-фич (включая ИИ и подписки через Microsoft Account)… что в итоге у него появились уязвимости безопасности
Данный CVE классифицирован как SEVERE и получил оценку 8.8.
https://cve.org/CVERecord?id=CVE-2026-20841
@IT_Portal
Да, вы всё правильно прочитали.
Notepad.exe, который раньше был обычным текстовым редактором, оброс таким количеством сетевых/онлайн-фич (включая ИИ и подписки через Microsoft Account)… что в итоге у него появились уязвимости безопасности
Данный CVE классифицирован как SEVERE и получил оценку 8.8.
https://cve.org/CVERecord?id=CVE-2026-20841
@IT_Portal
IT Portal
Windows Notepad.exe теперь имеет уязвимость удалённого выполнения кода (RCE) Да, вы всё правильно прочитали. Notepad.exe, который раньше был обычным текстовым редактором, оброс таким количеством сетевых/онлайн-фич (включая ИИ и подписки через Microsoft Account)……
Да, по сути вся эта история с RCE в Блокноте(он же Notepad.exe) Windows 11 оказалась до абсурда тупой. Настолько нелепой, что даже больно.
В Блокноте Windows 11, с этим "навороченным" Copilot AI, теперь появилась возможность обрабатывать разметку, то есть markup/Markdown… В общем, "mark-что-то", то, что используют в README. Ну вы поняли.
И вот один исследователь безопасности обнаружил, что если использовать Markdown в Notepad и вместо обычной гиперссылки с
Дальше он понял, что можно указать удалённый хост, откуда это будет выполняться, используя другой, специфичный для Microsoft протокол, который применяют для установки приложений. То есть если юзер кликнет по гиперссылке в Блокноте, она скачает и запустит программу с любого сайта… и никак не предупредит пользователя.
В нормальной реализации любой переход по ссылке на другой домен или попытка запуска файла должна сопровождаться алертом, диалоговым окном подтверждения или хотя бы каким-то предупреждением. Но инженеры Microsoft, по всей видимости, просто забыли реализовать это окно подтверждения.
С учётом того, что этот вектор атаки существовал как минимум 9 месяцев, злоумышленнику было достаточно отправить пользователю
Ещё абсурднее выглядит ситуация с точки зрения форензики: на уровне логов Windows или для анти-малварного решения всё выглядело так, будто Notepad скачивает что-то, а затем запускает программу. Это довольно уникальный кейс, с которым (насколько мне известно) большинство security-продуктов ранее не сталкивались. Теоретически это могло привести к тому, что файлы скачивались и исполнялись бы полностью мимо анти-малварной защиты, потому что инициатором выступал доверенный системный процесс — Блокнот. С чего антималвару вообще подозревать Блокнот?
В общем, я к тому, что не совсем понимаю, зачем Microsoft напихала в Блокнот столько новых фич. Новые фичи – это новая поверхность атаки (больше того, что можно абьюзить)
Как-то так... Думайте, Linux зовёт 🌝
@linuxos_tg
В Блокноте Windows 11, с этим "навороченным" Copilot AI, теперь появилась возможность обрабатывать разметку, то есть markup/Markdown… В общем, "mark-что-то", то, что используют в README. Ну вы поняли.
И вот один исследователь безопасности обнаружил, что если использовать Markdown в Notepad и вместо обычной гиперссылки с
https:// указать file:// (Windows-протокол для доступа к файлам, как в проводнике), то приложение выполнит этот ресурс произвольно. Без какого-либо промпта или предупреждения.Дальше он понял, что можно указать удалённый хост, откуда это будет выполняться, используя другой, специфичный для Microsoft протокол, который применяют для установки приложений. То есть если юзер кликнет по гиперссылке в Блокноте, она скачает и запустит программу с любого сайта… и никак не предупредит пользователя.
В нормальной реализации любой переход по ссылке на другой домен или попытка запуска файла должна сопровождаться алертом, диалоговым окном подтверждения или хотя бы каким-то предупреждением. Но инженеры Microsoft, по всей видимости, просто забыли реализовать это окно подтверждения.
С учётом того, что этот вектор атаки существовал как минимум 9 месяцев, злоумышленнику было достаточно отправить пользователю
.txt-файл. Если пользователь кликал по ссылке внутри файла, происходило автоматическое выполнение всего, что было прописано в гиперссылке.Ещё абсурднее выглядит ситуация с точки зрения форензики: на уровне логов Windows или для анти-малварного решения всё выглядело так, будто Notepad скачивает что-то, а затем запускает программу. Это довольно уникальный кейс, с которым (насколько мне известно) большинство security-продуктов ранее не сталкивались. Теоретически это могло привести к тому, что файлы скачивались и исполнялись бы полностью мимо анти-малварной защиты, потому что инициатором выступал доверенный системный процесс — Блокнот. С чего антималвару вообще подозревать Блокнот?
В общем, я к тому, что не совсем понимаю, зачем Microsoft напихала в Блокнот столько новых фич. Новые фичи – это новая поверхность атаки (больше того, что можно абьюзить)
Как-то так... Думайте, Linux зовёт 🌝
@linuxos_tg
❤142
Xorg теперь официально отказался от ветки "master" в своей реализации X11…
И перенёс всю разработку в новую ветку "main", созданную на основе двухлетней версии Xorg (февраль 2024 года), при этом в процессе были утрачены многочисленные улучшения (внесённые разработчиком XLibre).
Похоже, это было сделано для того, чтобы Xorg мог продемонстрировать "правильную позицию", удалив код, который сейчас успешно используется в XLibre (форке Xorg, набирающем популярность), поскольку контролирующие Xorg считают, что у этого проекта "неправильные политические взгляды"
https://cgit.freedesktop.org/xorg/xserver/commit/?id=0da4d2480066fb2c783325e7594902aacc23413e
@linuxos_tg
И перенёс всю разработку в новую ветку "main", созданную на основе двухлетней версии Xorg (февраль 2024 года), при этом в процессе были утрачены многочисленные улучшения (внесённые разработчиком XLibre).
Похоже, это было сделано для того, чтобы Xorg мог продемонстрировать "правильную позицию", удалив код, который сейчас успешно используется в XLibre (форке Xorg, набирающем популярность), поскольку контролирующие Xorg считают, что у этого проекта "неправильные политические взгляды"
https://cgit.freedesktop.org/xorg/xserver/commit/?id=0da4d2480066fb2c783325e7594902aacc23413e
@linuxos_tg
KDE сейчас перешёл в режим антикризисного пиара… и, по сути, врёт и переходит на личные наезды в адрес тех, кто задаёт неудобные вопросы.
Короткая предыстория: недавно KDE начал продвигать изменения, которые ограничивают перечень систем, способных запускать KDE Plasma (в частности, отказ от поддержки X11 в пользу обязательного Wayland, а также внедрение нового менеджера входа, завязанного на SystemD). Многие разработчики выразили обеспокоенность этими новыми ограничениями.
Теперь KDE выпустила официальный «FAQ», чтобы ответить на эти претензии (обозвав их «FUD»). В этом FAQ KDE заявляет, что дальше будет поддерживать FreeBSD.
Это заявление KDE не соответствует действительности. Проект фактически движется к жёсткому требованию использования Wayland повсеместно… а Wayland на FreeBSD в текущем виде не является жизнеспособным решением. Кроме того, отдельные компоненты KDE (например, новый менеджер входа) требуют наличия SystemD, который отсутствует на ряде систем.
Также KDE позволил себе прямые и вводящие в заблуждение выпады в адрес критиков:
https://mastodon.social/@kde@floss.social/116080098875134756
@linuxos_tg
Короткая предыстория: недавно KDE начал продвигать изменения, которые ограничивают перечень систем, способных запускать KDE Plasma (в частности, отказ от поддержки X11 в пользу обязательного Wayland, а также внедрение нового менеджера входа, завязанного на SystemD). Многие разработчики выразили обеспокоенность этими новыми ограничениями.
Теперь KDE выпустила официальный «FAQ», чтобы ответить на эти претензии (обозвав их «FUD»). В этом FAQ KDE заявляет, что дальше будет поддерживать FreeBSD.
«В: И это продолжит работать на не-Linux системах, таких как FreeBSD?
О: Да, всё верно.»
Это заявление KDE не соответствует действительности. Проект фактически движется к жёсткому требованию использования Wayland повсеместно… а Wayland на FreeBSD в текущем виде не является жизнеспособным решением. Кроме того, отдельные компоненты KDE (например, новый менеджер входа) требуют наличия SystemD, который отсутствует на ряде систем.
Также KDE позволил себе прямые и вводящие в заблуждение выпады в адрес критиков:
«Есть жалкие люди, которые готовы на всё ради внимания и кликов, распространяют FUD и раздувают фейковые скандалы ради этого, включая вырывание комментариев из контекста в merge request’ах, выдачу личных мнений за официальную позицию и просто откровенную ложь. Не верьте FUD.»
https://mastodon.social/@kde@floss.social/116080098875134756
@linuxos_tg
Знакомьтесь – Kai Gritun
Kai Gritun создал аккаунт на GitHub 1 февраля (две недели назад). С тех пор Kai Gritun был чрезвычайно активен… сделал 234 коммита более чем в 100 репозиториях. Его код был успешно смёрджен в несколько крупных опенсорс проектов.
На этом фоне Kai Gritun начал предлагать платный консалтинг и разработку (с оплатой в криптовалюте).
Kai Gritun — не человек.
Kai Gritun — это AI-бот.
Это выяснилось после того, как "Kai Gritun" начал массово рассылать холодные письма разработчикам с предложением платных услуг. И в одном из таких писем "Kai Gritun" прокололся, назвав себя автономным AI-агентом.
https://github.com/kaigritun
https://kaigritun.com/services
https://socket.dev/blog/ai-agent-lands-prs-in-major-oss-projects-targets-maintainers-via-cold-outreach
@linuxos_tg
Kai Gritun создал аккаунт на GitHub 1 февраля (две недели назад). С тех пор Kai Gritun был чрезвычайно активен… сделал 234 коммита более чем в 100 репозиториях. Его код был успешно смёрджен в несколько крупных опенсорс проектов.
На этом фоне Kai Gritun начал предлагать платный консалтинг и разработку (с оплатой в криптовалюте).
Kai Gritun — не человек.
Kai Gritun — это AI-бот.
Это выяснилось после того, как "Kai Gritun" начал массово рассылать холодные письма разработчикам с предложением платных услуг. И в одном из таких писем "Kai Gritun" прокололся, назвав себя автономным AI-агентом.
https://github.com/kaigritun
https://kaigritun.com/services
https://socket.dev/blog/ai-agent-lands-prs-in-major-oss-projects-targets-maintainers-via-cold-outreach
@linuxos_tg
😁167
GhostBSD отказывается от Xorg и официально переходит на XLibre
https://ericbsd.com/addressing-xlibre-change-and-ghostbsd-future.html
@linuxos_tg
«Это техническое решение: MATE ещё не готов к Wayland, а Xorg деградирует»
«Похоже, всё, что связано с Red Hat, фактически принудительно переводят на Wayland. Меня давно беспокоит, что Xorg не демонстрирует прогресса. Учитывая текущее состояние MATE и Wayland, я отношусь к ситуации осторожно и не в восторге от попыток Wayland "убить" X11»
«Когда в Xorg откатывают код просто из-за личной неприязни к кому-то, не принимая во внимание сообщество, которое этим пользуется, — для меня это серьёзный тревожный сигнал»
https://ericbsd.com/addressing-xlibre-change-and-ghostbsd-future.html
@linuxos_tg
👍142