Опубликован очередной еженедельный отчёт о разработке KDE, в котором представлена порция изменений для ветки KDE Plasma 6.8, релиз которой запланирован на 14 октября. Среди недавних изменений:
Дополнительно можно отметить раскрытие информации об уязвимости в реализации действия "Open New Window", вызываемого через контекстное меню или кликом средней кнопкой мыши на пиктограмму приложения в панели для открытия нового окна уже запущенного приложения. Проблема в том, что при отсутствии desktop-файла для вычисления команды для повторного запуска приложения используется содержимое файла /proc/PID/cmdline, отражающего значение argv[0] (путь к исполняемому файлу). Так как приложение может изменить содержимое argv[0], то при вызове "Open New Window" вместо своего исполняемого файла можно организовать запуск любой команды в системе. Для обычных приложений подобная манипуляция лишена смысла, так как уже запущенная программа и без этого может выполнить любые команды, но во вредоносных Flatpak-пакетах, выполнение которых ограничено изолированным окружением, подобная возможность позволяет обойти изоляцию и добиться выполнения произвольных команд в основном системном окружении, если пользователь запустит подобную вредоносную программу и решит открыть новое окно через функцию "Open New Window". Информация о проблеме была направлена разработчикам KDE 1 апреля, но спустя 90 дней так и не была исправлена.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65840
- В композитном менеджере KWin прекращена поддержка десктопного графического API OpenGL в пользу использования только OpenGL ES. Поддержка OpenGL ES требуется для работы на некоторых старых GPU и, как оказалась, OpenGL ES достаточно для всех потребностей KWin, поэтому он оставлен в качестве базового внутреннего API, по крайней мере до тех пор, пока поддержка Vulkan не станет достаточно развита. Оставление только OpenGL ES позволило избавиться от периодически возникающих проблем, вызванных несовместимостями между OpenGL и OpenGL ES (код написанный и протестированный с одним API, приводил к проблемам с отрисовкой или сбоям при использовании другого API). В KWin реализована поддержка новой версии системы Emulated Input 1.6 (libei), применяемой для эмуляции ввода в окружениях на базе Wayland. Переработана анимация сдвига уведомлений, которая переведена на использование более естественной кривой регулирования плавности ускорения и замедления анимации во времени (easing curve).
Реализована более реалистично выглядящая анимация прыгающей пиктограммы приложения, показываемая рядом с курсором для индикации начала процесса запуска программы.
Набор символов в интерфейсе выбора Emoji обновлён до версии стандарта Unicode 17.

В менеджере приложений Discover категория "CD and DVD" переименована в "Disc Burning".

Убрана недокументированная комбинация клавиш Meta+Ctrl+x, применявшаяся для включения функции автоматического вызова действий в зависимости от содержимого буфера обмена. Так как комбинация Meta+Ctrl+x близка к часто используемой последовательности Ctrl+X многие пользователи нажимали её случайно и потом недоумевали как отключить диалог, который начал появляться при каждой вставке URL из буфера обмена. В конфигуратор добавлены настройки для управления появлением диалога показа альтернативных символов после удерживания нажатия клавиш.
Дополнительно можно отметить раскрытие информации об уязвимости в реализации действия "Open New Window", вызываемого через контекстное меню или кликом средней кнопкой мыши на пиктограмму приложения в панели для открытия нового окна уже запущенного приложения. Проблема в том, что при отсутствии desktop-файла для вычисления команды для повторного запуска приложения используется содержимое файла /proc/PID/cmdline, отражающего значение argv[0] (путь к исполняемому файлу). Так как приложение может изменить содержимое argv[0], то при вызове "Open New Window" вместо своего исполняемого файла можно организовать запуск любой команды в системе. Для обычных приложений подобная манипуляция лишена смысла, так как уже запущенная программа и без этого может выполнить любые команды, но во вредоносных Flatpak-пакетах, выполнение которых ограничено изолированным окружением, подобная возможность позволяет обойти изоляцию и добиться выполнения произвольных команд в основном системном окружении, если пользователь запустит подобную вредоносную программу и решит открыть новое окно через функцию "Open New Window". Информация о проблеме была направлена разработчикам KDE 1 апреля, но спустя 90 дней так и не была исправлена.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65840