Pull to refresh

Пользователи Firefox относятся к безопасности серьёзнее, нежели пользователи других браузеров

Information Security *
Последняя статистика, которую проводила компания Secunia, показывает, что пользователи браузера Mozilla Firefox чаше занимаются веб-сёрфингом с установленными последними обновлениями безопасности, нежели пользователи Internet Explorer и Opera.
Читать дальше →
Total votes 20: ↑17 and ↓3 +14
Views 800
Comments 101

Релиз-кандидат SP3 для Windows XP

Software
Что бы сама Microsoft не говорила про необходимость миграции на Vista, народная любовь к Windows XP своей могучей силы не теряет. Да и в корпорации обещали поддерживать XP ещё несколько лет, так что от выпуска очередного набора патчей никуда не денешься. В частности, от Service Pack 3, который намедни обрёл-таки статус кандидата в релизы и был официально выложен на сайте Microsoft Весит SP3 RC 336 мегабайт. Впрочем, для некоторых привилегированных тестеров выход SP3 RC — не новость, ибо определённому кругу пользователей удалось ознакомиться с сервис паком несколькими неделями раньше. Теперь же набор исправлений доступен всем без исключения.

Финальная версия Service Pack 3 для Windows XP увидит свет лишь в первой половине следующего года. Это будет последний сервис пак для самой популярной в мире операционной системы.

via PC World
Total votes 18: ↑17 and ↓1 +16
Views 770
Comments 38

Сами вы пираты!

Lumber room
Именно так, при случае, может теперь сказать каждый в адрес крупного разработчика игр — французской компании Ubisoft. По сути, уважаемая студия была уличена в двойном пиратстве. Дело в том, что в этом месяце Ubisoft выпустила официальный патч к весьма популярному шутеру Rainbow Six: Vegas 2. Дополнение содержит в себе массу вкусностей, так что поклонники игры немедленно ринулись его скачивать. Но их радость омрачила одна маленькая недоработка. Проверка подлинности копии игры, по-тихому включенная в патч, начала требовать показать ей диск с оригинальной версией Vegas 2. Но с учетом того, что Ubisoft давно и успешно продает игры, давая возможность загрузить их прямо со своего сайта, у многих вполне честных пользователей возникли закономерные проблемы.

Волна недовольства накатила на форумы поддержки, и эффект не заставил себя долго ждать. Неизвестный пока сотрудник компании в главной ветке обсуждения проблемы выложил для скачивания фикс, заменяющий исполняемый файл игры и отменяющий проверку подлинности. И все были бы довольны, если бы дотошные интернетчики не обнаружили, что фикс представляет собой ни что иное, как часть пиратского NoDVD-релиза от группы Reloaded.

В данный момент в компании отказываются комментировать кто и зачем решил проблему с патчем таким оригинальным способом, вместо того, чтобы хотя бы начать раздавать оригинальный, незащищенный exe-файл игры.
Total votes 4: ↑2 and ↓2 0
Views 290
Comments 1

MS закрыла вчера 17 уязвимостей, в числе которых DLL Preloading/Hijacking и последняя незакрытая уязвимость из червя Stuxnet

Information Security *
MS выпустила вчера большое количество заплат, многие из этих уязвимостей известны уже не первый месяц. А некоторые из них уже вовсю использовались во вредоносных программах, собственно откуда и была получена информация о них.

MS10-090 (IE) — это комплексный пакет патчей закрывающий целую пачку брешей (CVE-2010-3340, CVE-2010-3342, CVE-2010-3343, CVE-2010-3345, CVE-2010-3346, CVE-2010-3348, CVE-2010-3962). Большинство из этих прелестных уязвимостей позволяют удаленное выполнение кода под IE6/IE7/IE8.

MS10-091 (Opentype Font driver) — это обновление также закрывает целый букет уязвимостей (CVE-2010-3956, CVE-2010-3957, CVE-2010-3959) в Opentype Font driver (OTF), которые могут привести к удаленному выполнению кода. Злоумышленник может создать специально подготовленный OpenType шрифт на сетевой шаре и при просмотре в Windows Explorer происходит выполнение произвольного кода, который будет выполняться с правами системы.
Читать дальше →
Total votes 38: ↑36 and ↓2 +34
Views 849
Comments 17

Патчи за март 2012 — уязвимость в Remote Desktop

«Лаборатория Касперского» corporate blog Information Security *
Привет, хабр!
Спешите видеть пост нашего эксперта Курта Баумгартнера о мартовском «Вторнике патчей»!


Порция патчей за март 2012 устраняет ряд уязвимостей в технологиях Microsoft, включая баг в службе Remote Desktop (pre-authentication ring0 use-after-free RCE), DoS-уязвимость в Microsoft DNS Server и несколько менее критичных локальных уязвимостей EoP.
Читать дальше →
Total votes 14: ↑4 and ↓10 -6
Views 5.6K
Comments 4

Mercurial: с чего начать внедрение и зачем нужны патчи

Version control systems *Mercurial *
Sandbox
Как ни странно, но среди программистов ещё довольно много тех, кто не видит смысла в системах контроля версий (СКВ) или попросту не знает о них. Хватает и тех, кто знает, но не в курсе с чего начать внедрение или, при использовании, проходят мимо очень удобных возможностей.
Читать дальше →
Total votes 35: ↑32 and ↓3 +29
Views 10K
Comments 168

Adobe разрешила пользователям старых версий Creative Suite не платить за патчи безопасности

Information Security *Image processing *
Любопытная ситуация сложилась за последние несколько дней вокруг нескольких флагманских продуктов компании Adobe.

Многие знают, что недавно была выпущена последняя версия пакета Creative Suite 6, включающего Photoshop, Illustrator, DreamWeaver и другие программы, который, кстати, отныне сможет работать по подписке, исключая необходимость покупать программу «навсегда». Незадолго до этого Adobe выпустила ряд исправлений безопасности, который самой компанией был помечен как критический; при этом оказалось, что патчи фактически обновляют старый Creative Suite 5.x до актуальной шестой версии и, чтобы получить безопасный продукт, пользователям следует заплатить за исправления. В частности, стоимость обновления для Photoshop CS6 составила $199, для Illustrator CS6 — $249, для Flash Professional CS6 — $99. Правда, Shockwave Player предлагалось обновить бесплатно.

Любопытно, что в Adobe заявили, что Photoshop не является излюбленной мишенью для хакеров и проблема "...if exploited would allow malicious native-code to execute" не должна никого особо взволновать.

Вероятно, возмущённые отклики пользователей на странную политику компании относительно обеспечения безопасности своих продуктов, не оставили руководство не тронутым. В Adobe не стали настаивать на своём и изменили решение — компания объявила, что все пользователи Creative Suite 5.x, которых не устраивает фактическая покупка новой версии программ под видом обновлений безопасности, всё-таки получат их бесплатно — именно для своей версии пакета.

Было ли это ленью программистов или просто желанием Adobe пересадить побольше пользователей за новую версию своего пакета, заодно заработав на этом, сказать трудно, однако факт того, что компания с мировым именем чутко прислушивается к мнению аудитории своих продуктов по крайней мере является примечательным.

Источник
Total votes 15: ↑8 and ↓7 +1
Views 3.1K
Comments 10

Как создавать патчи, основанные на доверчивой политике безопасности Android

Information Security *Debugging *

Приветствую тебя, уважаемый читатель!


Offtop

В этом топике я хотел бы рассказать о том, как можно получать доступ к тому, что принадлежит нам, но косвенно.
Любой софт — это чья-то собственность: кто-то сидел и шевелил своими мозгами, чтобы произвести на свет очередное «чудо».
Но вне наших девайсов речи о софте не может и быть. Понятие «софт», в таком случае, будет означать не более чем «мягкость».
Это очевидно.
Именно поэтому мы имеем право вытворять с любым программным кодом, выполняющимся на нашем устройстве, все, что пожелает душа…

Intro

Думаю, начать стоит с самого начала. Все началось с моего обнаружения пользовательской зависимости окружающих к небезызвестной игре 2048. Мне, конечно же, стало интересно, чем эта игра так захватывает людей, поэтому я решил сам ее попробовать. Через несколько минут я понял ее суть и мне эта игра тоже стала интересна.
Должен признаться, более 5000 очков мне набирать не удавалось никак, а до 2048 было еще слишком долго…
Тем временем окружающие «игроки» с легкостью набивали по 10-16тыс очков, а некоторым удавалось даже достигать 2048 в клетке.
Что ж, спустя некоторое время у меня возникла идея тупо взломать эту игру, чтобы не «убивать» время на ее прохождение( она слишком долгая в прохождении, но от этого не менее затягивающая ). А еще спустя пару дней, об этом же меня попросили и мои знакомые.
Это означало одно: пора браться за дело…



Читать дальше →
Total votes 27: ↑17 and ↓10 +7
Views 20K
Comments 27

Как DLC могут увеличить количество игроков: пример Street Fighter V

Game development *
Translation


В современную игровую эру патчи, DLC и расширения стали неотъемлемой частью жизненного цикла игры. С самого её выпуска, и даже со стадии разработки, DLC планируются, чтобы вдохнуть новый контент в течение жизни игры, чтобы сохранить её свежесть, привлекательность, баланс и актуальность. Однако патчи имеют у платящих потребителей дурную славу, они воспринимают их как индульгенцию для разработчиков на выпуск незавершённых игр и сокрытие возможностей игры за paywalls и микротранзакциями во благо получения прибыли.

О Street Fighter V (SFV) было много споров, потому что она, с точки зрения покупателей, сочетает в себе и хорошие, и плохие стороны. Я решил проанализировать SFV, потому что это моя любимая среди всех трансляций киберспортивная дисциплина. Мне нравятся не только спортсмены, но и люди, составляющие сообщество Fighting Game Community (прим. перев.: сообщество любителей файтингов, устраивающее собственные чемпионаты. Основано в 2000 году.), такие как Mike Ross, Gootecks, Floe, K-Brad, Justin Wong, GamerBee, Tokido, Infiltration, Daigo и Marn.
Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views 6.2K
Comments 15

Как пропатчить ядро без перезагрузки: livepatch, kpatch и Canonical Livepatch Service

Selectel corporate blog *nix *
Tutorial
pr-3322

Тему обновления патчей ядра без перезагрузки мы уже рассматривали в статье, опубликованной в 2014 году. В ней речь шла о KernelCare — инструменте, разработанном нашими партнёрами из компании Cloud Linux. На момент написания статьи KernelCare был чуть ли не единственным пригодным для полноценного использования инструментом для наложения патчей.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 15K
Comments 4

Разработчики Android добились уменьшения размера обновлений в среднем на 65%

Development of mobile applications *Development for Android *
image
Вчера в блоге Android была опубликована запись, в которой разработчики рассказывают о своей работе над уменьшением размера обновлений. Как отмечается в тексте, ежедневно миллионы пользователей обновляют свою систему и приложения, и многие из них внимательно следят за тем, сколько мобильного трафика на это уходит.

Для того, чтобы уменьшить размер обновлений, разработчики Android еще в июне 2016 года стали применять алгоритм bsdiff за авторством Колина Персиваля для патча бинарных файлов. Тогда это помогло снизить размер приложений и обновлений к ним, в среднем, на 47% относительно полного APK.

Теперь же команда Android хочет поделиться новым решением, которое позволяет снизить объем обновлений на, в среднем, 65% от первоначального размера. Речь идет о File-by-file patching.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 10K
Comments 39

Как удаленно и централизованно управлять патчами и обновлениями ПО в компании

Panda Security в России и СНГ corporate blog System administration *IT Infrastructure *Network technologies *Server Administration *


Своевременное обновление установленного в компании программного обеспечения и установка требуемых патчей – это одна из важных задач, выполнение которой позволяет избежать различных сбоев в работе программ, а также обеспечивать должный уровень безопасности. Как можно централизованно и удаленно управлять обновлениями и патчами ПО в компании? Рассмотрим на примере облачного RMM-решения Panda Systems Management.
Читать дальше →
Total votes 8: ↑6 and ↓2 +4
Views 7.5K
Comments 6

Вышла новая версия Panda Systems Management

Panda Security в России и СНГ corporate blog System administration *IT Infrastructure *Network technologies *Server Administration *


В феврале 2017 года вышла новая версия комплексного RMM-решения Panda Systems Management для централизованного и удаленного управления, контроля и обслуживания корпоративных сетей, устройств и ИТ-инфраструктуры. Представляем улучшения, реализованные в новой версии.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 2.4K
Comments 0

Грязные трюки в коде игр

Programming *Game development *Game testing *
Translation


[Когда график поджимает и проект уже пора выпускать, программисты могут прибегать к грязным трюкам, чтобы уже наконец выпихнуть игру за дверь. В этой статье собрано девять примеров таких «костылей» из реальной жизни.]

Обычно программисты — это методичные и аккуратные существа, всеми силами стремящиеся к чистому и красивому коду. Но когда ставки высоки, идеальный график разваливается на части, а игру пора выпускать, принцип «закончить любой ценой» может оказаться важнее элегантности.

В подобных случаях измученный и перерабатывающий программист скорее всего проигнорирует оптимальный подход, заменив его менее приемлемым решением, чтобы просто покончить с игрой. Мы собрали девять историй настоящих разработчиков о тех моментах, когда они не могли уложиться в график и им приходилось для спасения проекта прибегать к хитростям.
Читать дальше →
Total votes 145: ↑143 and ↓2 +141
Views 97K
Comments 58

Внимание! Linux-версия эксплойта EternalBlue

Cloud4Y corporate blog Configuring Linux *System administration *Antivirus protection *Network technologies *
Translation


В сетевом программном обеспечении Samba обнаружена критическая уязвимость 7-летней давности, обеспечивающая возможность удалённого выполнение кода. Эта брешь может позволить злоумышленнику взять под контроль уязвимые машины Linux и Unix.

Samba — это программное обеспечение с открытым исходным кодом (иная реализация сетевого протокола SMB), которое работает в большинстве доступных сегодня операционных систем, включая Windows, Linux, UNIX, IBM System 390 и OpenVMS.

Samba позволяет другим операционным системам, отличным от Windows, таким как GNU / Linux или Mac OS X, совместно использовать общие сетевые папки, файлы и принтеры с операционной системой Windows.

Недавно обнаруженная уязвимость удаленного выполнения кода (CVE-2017-7494) затрагивает все версии новее, чем Samba 3.5.0, которая выпущена 1 марта 2010 года.
Читать дальше →
Total votes 64: ↑64 and ↓0 +64
Views 53K
Comments 101

Внимание! Хакеры начали использовать уязвимость «SambaCry» для взлома Linux-систем

Cloud4Y corporate blog Configuring Linux *System administration *IT Infrastructure *Network technologies *
Translation


Помните SambaCry?

Две недели назад мы сообщали об обнаружении в сетевом программном обеспечении Samba (иная реализация сетевого протокола SMB) критической уязвимости 7-летней давности. Она обеспечивает возможность удалённого выполнение кода и позволяет злоумышленнику взять под контроль уязвимые Linux- и Unix-машины.

Чтобы узнать больше об уязвимости SambaCry (CVE-2017-7494), вы можете прочитать нашу предыдущую статью.

В то время было обнаружено, что в Интернете существует около 485 000 компьютеров с поддержкой Samba и открытым портом 445. Исследователи предсказывали, что атаки на основе уязвимости SambaCry могут распространяться так же как WannaCry ransomware.

Предсказание оказалось довольно точным. Компьютер-приманка, созданный командой исследователей из «Лаборатории Касперского», подцепил вирус, который использует уязвимость SambaCry для заражения компьютеров Linux — загрузки инструкций и криптомайнера.
Читать дальше →
Total votes 33: ↑32 and ↓1 +31
Views 31K
Comments 25

Разработчики о самых грязных программных трюках в играх

Game development *Game design *
Translation
image


Когда время заканчивается, разработчики выдохлись, а загадочные проблемы продолжают появляться, иногда требуются нестандартные решения. Когда вам любой ценой нужно завершить проект, то на кону стоит всё… В паре классических статей, изначально опубликованных в дружественном журнале Game Developer magazine, мы изучили несколько потрясающих примеров таких решений из реальной жизни. Эти нестареющие шедевры можно прочитать здесь (перевод на Хабре) и здесь.

Gamasutra ещё раз решила рассмотреть эту тему. Мы собрали со всей игровой индустрии необычные решения необычных проблем. Те, кто поделился с нами этими решениями, могут и не гордиться такими «исправлениями», но на самом деле гордиться им стоит. Им удалось выпустить игру, они ничего не испортили и, что важнее всего, никто ничего не заметил. По крайней мере, до этой статьи.

Насладитесь изобретательностью, подивитесь бесстрашию, научитесь на ошибках своих предшественников, и самое важное — выпускайте работающие игры, и тоже в срок.
Total votes 93: ↑91 and ↓2 +89
Views 81K
Comments 69

Security Week 6: «заколдованная буква» угрожает яблоководам, с миру по капче — жулику Monero, майнинг теперь и в Word

«Лаборатория Касперского» corporate blog Information Security *
Новость

Большинство из нас использует в быту максимум две раскладки клавиатуры и вряд ли задумывается о том, что приложения, которые мы ежедневно запускаем, для корректной работы должны понимать и правильно отображать тысячи символов из сотен языков. И если забыть хотя бы про один знак, вся программа может рухнуть подобно Вавилонской башне.
Читать дальше →
Total votes 11: ↑8 and ↓3 +5
Views 6.1K
Comments 2

Вечно открытый «Сезам», или Несколько лазеек в ваш ИТ-ландшафт

Инфосистемы Джет corporate blog Information Security *


Зубодробительные уязвимости вроде EthernalBlue или Heartbleed привлекают к себе очень много внимания, подпитывая идею о том, что главное – это своевременный «патчинг» системного ПО. Однако не все помнят о том, что критические дефекты конфигурации встречаются ничуть не реже и далеко не всегда исправляются простой установкой обновлений.

О нескольких таких брешах безопасности хочется сказать особо, поскольку они встречаются у каждого второго (если не первого) заказчика и не исправляются годами.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Views 6.1K
Comments 0