Дневная сводка: jetbrains — 2026-04-17
День JetBrains-блога в архиве — два материала: security-advisory по YouTrack и большой технический пост о платформенных изменениях в IntelliJ.
Ключевые события и темы
CVE-2026-33392 в YouTrack
JetBrains опубликовали информационный пост об уязвимости, обнаруженной в марте 2026 года исследователем из команды Hacktron AI через coordinated disclosure. Ядро проблемы — sandbox bypass с возможностью выполнения кода, эксплуатация требует админских прав. YouTrack Cloud пропатчен в течение 48 часов, свидетельств эксплуатации не найдено. Уязвимы все версии до 2025.3.132953; админам Server-инстансов, работающих на более ранних версиях, рекомендуется обновление. В Cloud-среде вектор был особенно значим — обход границ изоляции между тенантами на общем железе. В Server-развёртывании уязвимость ограничена эскалацией привилегий в пределах административных ролей одного инстанса.
Ссылки:
- Эпизод: Security Issue in YouTrack (CVE-2026-33392)%20Upgrade%20Recommended%20for%20Server%20Versions%20Before%202025.3.13/)
- Источник
Путь к отзывчивым IntelliJ-based IDE
Многолетняя работа команды платформы по переносу write-действий с UI-потока (EDT) в фон. Базовое ограничение: один read-write-замок на всю платформу и исторически монолитный контракт — write может быть только на EDT. Первая попытка (2019) ввела write-intent, но была приостановлена в 2020; возобновлена в 2022 с крупным рефакторингом и новым отменяемым замком (совместно с JetBrains Research). В 2025 году последняя преграда — модальность — была решена через modality-aware locking, после чего в фон ушли сначала Workspace Model, потом VFS refresh (с аккуратной синхронной передачей критичных листенеров обратно на EDT через invokeAndWait), затем document commit. Результат: средняя доля времени EDT в write-действиях снизилась с 1.8276 % в 2025.2 до 0.5298 % в 2025.3 — примерно втрое. Направления дальнейшей работы: снять write-intent с EDT для набора текста, переосмыслить Actions/PSI/Documents.
Ссылки:
Итог
Редкий «двойной» день JetBrains: с одной стороны, security-процесс (CVE-раскрытие и напоминание про апгрейд), с другой — инженерная хроника многолетней архитектурной миграции платформы IntelliJ. Общий месседж — прозрачность и по security-раскрытию, и по техническому долгу.