Последняя статистика, которую проводила компания Secunia, показывает, что пользователи браузера Mozilla Firefox чаше занимаются веб-сёрфингом с установленными последними обновлениями безопасности, нежели пользователи Internet Explorer и Opera.

Что бы сама Microsoft не говорила про необходимость миграции на Vista, народная любовь к Windows XP своей могучей силы не теряет. Да и в корпорации обещали поддерживать XP ещё несколько лет, так что от выпуска очередного набора патчей никуда не денешься. В частности, от Service Pack 3, который намедни обрёл-таки статус кандидата в релизы и был официально выложен на сайте Microsoft Весит SP3 RC 336 мегабайт. Впрочем, для некоторых привилегированных тестеров выход SP3 RC — не новость, ибо определённому кругу пользователей удалось ознакомиться с сервис паком несколькими неделями раньше. Теперь же набор исправлений доступен всем без исключения.

Финальная версия Service Pack 3 для Windows XP увидит свет лишь в первой половине следующего года. Это будет последний сервис пак для самой популярной в мире операционной системы.

via PC World

Именно так, при случае, может теперь сказать каждый в адрес крупного разработчика игр — французской компании Ubisoft. По сути, уважаемая студия была уличена в двойном пиратстве. Дело в том, что в этом месяце Ubisoft выпустила официальный патч к весьма популярному шутеру Rainbow Six: Vegas 2. Дополнение содержит в себе массу вкусностей, так что поклонники игры немедленно ринулись его скачивать. Но их радость омрачила одна маленькая недоработка. Проверка подлинности копии игры, по-тихому включенная в патч, начала требовать показать ей диск с оригинальной версией Vegas 2. Но с учетом того, что Ubisoft давно и успешно продает игры, давая возможность загрузить их прямо со своего сайта, у многих вполне честных пользователей возникли закономерные проблемы.

Волна недовольства накатила на форумы поддержки, и эффект не заставил себя долго ждать. Неизвестный пока сотрудник компании в главной ветке обсуждения проблемы выложил для скачивания фикс, заменяющий исполняемый файл игры и отменяющий проверку подлинности. И все были бы довольны, если бы дотошные интернетчики не обнаружили, что фикс представляет собой ни что иное, как часть пиратского NoDVD-релиза от группы Reloaded.

В данный момент в компании отказываются комментировать кто и зачем решил проблему с патчем таким оригинальным способом, вместо того, чтобы хотя бы начать раздавать оригинальный, незащищенный exe-файл игры.

Только не говорите, что это неправда — лично я дожидаюсь драйвера radeon с поддержкой 3D-ускорения для чипсета R600.

оригинал

MS выпустила вчера большое количество заплат, многие из этих уязвимостей известны уже не первый месяц. А некоторые из них уже вовсю использовались во вредоносных программах, собственно откуда и была получена информация о них.

MS10-090 (IE) — это комплексный пакет патчей закрывающий целую пачку брешей (CVE-2010-3340, CVE-2010-3342, CVE-2010-3343, CVE-2010-3345, CVE-2010-3346, CVE-2010-3348, CVE-2010-3962). Большинство из этих прелестных уязвимостей позволяют удаленное выполнение кода под IE6/IE7/IE8.

MS10-091 (Opentype Font driver) — это обновление также закрывает целый букет уязвимостей (CVE-2010-3956, CVE-2010-3957, CVE-2010-3959) в Opentype Font driver (OTF), которые могут привести к удаленному выполнению кода. Злоумышленник может создать специально подготовленный OpenType шрифт на сетевой шаре и при просмотре в Windows Explorer происходит выполнение произвольного кода, который будет выполняться с правами системы.

Привет, хабр!
Спешите видеть пост нашего эксперта Курта Баумгартнера о мартовском «Вторнике патчей»!

Порция патчей за март 2012 устраняет ряд уязвимостей в технологиях Microsoft, включая баг в службе Remote Desktop (pre-authentication ring0 use-after-free RCE), DoS-уязвимость в Microsoft DNS Server и несколько менее критичных локальных уязвимостей EoP.

Как ни странно, но среди программистов ещё довольно много тех, кто не видит смысла в системах контроля версий (СКВ) или попросту не знает о них. Хватает и тех, кто знает, но не в курсе с чего начать внедрение или, при использовании, проходят мимо очень удобных возможностей.

Любопытная ситуация сложилась за последние несколько дней вокруг нескольких флагманских продуктов компании Adobe.

Многие знают, что недавно была выпущена последняя версия пакета Creative Suite 6, включающего Photoshop, Illustrator, DreamWeaver и другие программы, который, кстати, отныне сможет работать по подписке, исключая необходимость покупать программу «навсегда». Незадолго до этого Adobe выпустила ряд исправлений безопасности, который самой компанией был помечен как критический; при этом оказалось, что патчи фактически обновляют старый Creative Suite 5.x до актуальной шестой версии и, чтобы получить безопасный продукт, пользователям следует заплатить за исправления. В частности, стоимость обновления для Photoshop CS6 составила $199, для Illustrator CS6 — $249, для Flash Professional CS6 — $99. Правда, Shockwave Player предлагалось обновить бесплатно.

Любопытно, что в Adobe заявили, что Photoshop не является излюбленной мишенью для хакеров и проблема "...if exploited would allow malicious native-code to execute" не должна никого особо взволновать.

Вероятно, возмущённые отклики пользователей на странную политику компании относительно обеспечения безопасности своих продуктов, не оставили руководство не тронутым. В Adobe не стали настаивать на своём и изменили решение — компания объявила, что все пользователи Creative Suite 5.x, которых не устраивает фактическая покупка новой версии программ под видом обновлений безопасности, всё-таки получат их бесплатно — именно для своей версии пакета.

Было ли это ленью программистов или просто желанием Adobe пересадить побольше пользователей за новую версию своего пакета, заодно заработав на этом, сказать трудно, однако факт того, что компания с мировым именем чутко прислушивается к мнению аудитории своих продуктов по крайней мере является примечательным.

Приветствую тебя, уважаемый читатель!

Offtop

В этом топике я хотел бы рассказать о том, как можно получать доступ к тому, что принадлежит нам, но косвенно.
Любой софт — это чья-то собственность: кто-то сидел и шевелил своими мозгами, чтобы произвести на свет очередное «чудо».
Но вне наших девайсов речи о софте не может и быть. Понятие «софт», в таком случае, будет означать не более чем «мягкость».
Это очевидно.
Именно поэтому мы имеем право вытворять с любым программным кодом, выполняющимся на нашем устройстве, все, что пожелает душа…

Intro

Думаю, начать стоит с самого начала. Все началось с моего обнаружения пользовательской зависимости окружающих к небезызвестной игре 2048. Мне, конечно же, стало интересно, чем эта игра так захватывает людей, поэтому я решил сам ее попробовать. Через несколько минут я понял ее суть и мне эта игра тоже стала интересна.
Должен признаться, более 5000 очков мне набирать не удавалось никак, а до 2048 было еще слишком долго…
Тем временем окружающие «игроки» с легкостью набивали по 10-16тыс очков, а некоторым удавалось даже достигать 2048 в клетке.
Что ж, спустя некоторое время у меня возникла идея тупо взломать эту игру, чтобы не «убивать» время на ее прохождение( она слишком долгая в прохождении, но от этого не менее затягивающая ). А еще спустя пару дней, об этом же меня попросили и мои знакомые.
Это означало одно: пора браться за дело…

В современную игровую эру патчи, DLC и расширения стали неотъемлемой частью жизненного цикла игры. С самого её выпуска, и даже со стадии разработки, DLC планируются, чтобы вдохнуть новый контент в течение жизни игры, чтобы сохранить её свежесть, привлекательность, баланс и актуальность. Однако патчи имеют у платящих потребителей дурную славу, они воспринимают их как индульгенцию для разработчиков на выпуск незавершённых игр и сокрытие возможностей игры за paywalls и микротранзакциями во благо получения прибыли.

О Street Fighter V (SFV) было много споров, потому что она, с точки зрения покупателей, сочетает в себе и хорошие, и плохие стороны. Я решил проанализировать SFV, потому что это моя любимая среди всех трансляций киберспортивная дисциплина. Мне нравятся не только спортсмены, но и люди, составляющие сообщество Fighting Game Community (прим. перев.: сообщество любителей файтингов, устраивающее собственные чемпионаты. Основано в 2000 году.), такие как Mike Ross, Gootecks, Floe, K-Brad, Justin Wong, GamerBee, Tokido, Infiltration, Daigo и Marn.

Тему обновления патчей ядра без перезагрузки мы уже рассматривали в статье, опубликованной в 2014 году. В ней речь шла о KernelCare — инструменте, разработанном нашими партнёрами из компании Cloud Linux. На момент написания статьи KernelCare был чуть ли не единственным пригодным для полноценного использования инструментом для наложения патчей.

Вчера в блоге Android была опубликована запись, в которой разработчики рассказывают о своей работе над уменьшением размера обновлений. Как отмечается в тексте, ежедневно миллионы пользователей обновляют свою систему и приложения, и многие из них внимательно следят за тем, сколько мобильного трафика на это уходит.

Для того, чтобы уменьшить размер обновлений, разработчики Android еще в июне 2016 года стали применять алгоритм bsdiff за авторством Колина Персиваля для патча бинарных файлов. Тогда это помогло снизить размер приложений и обновлений к ним, в среднем, на 47% относительно полного APK.

Теперь же команда Android хочет поделиться новым решением, которое позволяет снизить объем обновлений на, в среднем, 65% от первоначального размера. Речь идет о File-by-file patching.

Своевременное обновление установленного в компании программного обеспечения и установка требуемых патчей – это одна из важных задач, выполнение которой позволяет избежать различных сбоев в работе программ, а также обеспечивать должный уровень безопасности. Как можно централизованно и удаленно управлять обновлениями и патчами ПО в компании? Рассмотрим на примере облачного RMM-решения Panda Systems Management.

В феврале 2017 года вышла новая версия комплексного RMM-решения Panda Systems Management для централизованного и удаленного управления, контроля и обслуживания корпоративных сетей, устройств и ИТ-инфраструктуры. Представляем улучшения, реализованные в новой версии.

[Когда график поджимает и проект уже пора выпускать, программисты могут прибегать к грязным трюкам, чтобы уже наконец выпихнуть игру за дверь. В этой статье собрано девять примеров таких «костылей» из реальной жизни.]

Обычно программисты — это методичные и аккуратные существа, всеми силами стремящиеся к чистому и красивому коду. Но когда ставки высоки, идеальный график разваливается на части, а игру пора выпускать, принцип «закончить любой ценой» может оказаться важнее элегантности.

В подобных случаях измученный и перерабатывающий программист скорее всего проигнорирует оптимальный подход, заменив его менее приемлемым решением, чтобы просто покончить с игрой. Мы собрали девять историй настоящих разработчиков о тех моментах, когда они не могли уложиться в график и им приходилось для спасения проекта прибегать к хитростям.

В сетевом программном обеспечении Samba обнаружена критическая уязвимость 7-летней давности, обеспечивающая возможность удалённого выполнение кода. Эта брешь может позволить злоумышленнику взять под контроль уязвимые машины Linux и Unix.

Samba — это программное обеспечение с открытым исходным кодом (иная реализация сетевого протокола SMB), которое работает в большинстве доступных сегодня операционных систем, включая Windows, Linux, UNIX, IBM System 390 и OpenVMS.

Samba позволяет другим операционным системам, отличным от Windows, таким как GNU / Linux или Mac OS X, совместно использовать общие сетевые папки, файлы и принтеры с операционной системой Windows.

Недавно обнаруженная уязвимость удаленного выполнения кода (CVE-2017-7494) затрагивает все версии новее, чем Samba 3.5.0, которая выпущена 1 марта 2010 года.

Помните SambaCry?

Две недели назад мы сообщали об обнаружении в сетевом программном обеспечении Samba (иная реализация сетевого протокола SMB) критической уязвимости 7-летней давности. Она обеспечивает возможность удалённого выполнение кода и позволяет злоумышленнику взять под контроль уязвимые Linux- и Unix-машины.

Чтобы узнать больше об уязвимости SambaCry (CVE-2017-7494), вы можете прочитать нашу предыдущую статью.

В то время было обнаружено, что в Интернете существует около 485 000 компьютеров с поддержкой Samba и открытым портом 445. Исследователи предсказывали, что атаки на основе уязвимости SambaCry могут распространяться так же как WannaCry ransomware.

Предсказание оказалось довольно точным. Компьютер-приманка, созданный командой исследователей из «Лаборатории Касперского», подцепил вирус, который использует уязвимость SambaCry для заражения компьютеров Linux — загрузки инструкций и криптомайнера.

Когда время заканчивается, разработчики выдохлись, а загадочные проблемы продолжают появляться, иногда требуются нестандартные решения. Когда вам любой ценой нужно завершить проект, то на кону стоит всё… В паре классических статей, изначально опубликованных в дружественном журнале Game Developer magazine, мы изучили несколько потрясающих примеров таких решений из реальной жизни. Эти нестареющие шедевры можно прочитать здесь (перевод на Хабре) и здесь.

Gamasutra ещё раз решила рассмотреть эту тему. Мы собрали со всей игровой индустрии необычные решения необычных проблем. Те, кто поделился с нами этими решениями, могут и не гордиться такими «исправлениями», но на самом деле гордиться им стоит. Им удалось выпустить игру, они ничего не испортили и, что важнее всего, никто ничего не заметил. По крайней мере, до этой статьи.

Насладитесь изобретательностью, подивитесь бесстрашию, научитесь на ошибках своих предшественников, и самое важное — выпускайте работающие игры, и тоже в срок.

→ Новость

Большинство из нас использует в быту максимум две раскладки клавиатуры и вряд ли задумывается о том, что приложения, которые мы ежедневно запускаем, для корректной работы должны понимать и правильно отображать тысячи символов из сотен языков. И если забыть хотя бы про один знак, вся программа может рухнуть подобно Вавилонской башне.

Зубодробительные уязвимости вроде EthernalBlue или Heartbleed привлекают к себе очень много внимания, подпитывая идею о том, что главное – это своевременный «патчинг» системного ПО. Однако не все помнят о том, что критические дефекты конфигурации встречаются ничуть не реже и далеко не всегда исправляются простой установкой обновлений.

О нескольких таких брешах безопасности хочется сказать особо, поскольку они встречаются у каждого второго (если не первого) заказчика и не исправляются годами.