Входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода. В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения. Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер. Уязвимость обнаружил Марк Маундер, после того, как его блог был взломан.
Вчера на сайте агентства Reuters появилось сообщение о том, что 3го августа правительство Соединённого Королевства сделает заявление о своём намерении легализовать копирование данных с приобретенных носителей в личных целях, сообщает habrahabr.ru. Это решение было в числе рекомендаций, выданных правительству профессором Иэном Харгрэйвсом после того, как он провёл анализ законодательства в области авторского права по запросу премьер-министра.
Подобные нормы права на данный момент существуют во всех европейских государствах, кроме Ирландии, Британии и Мальты. Правительство, однако, не сообщило, планируется ли последовать ещё одной рекомендации профессора Харгрэйвса — по созданию центральной цифровой «биржи» авторских прав, упрощающей процессы покупки/продажи лицензий на использование контента для коммерческих целей.
Эксперты компании McAfee, занимающейся информационной безопасностью, зафиксировали самую масштабную в истории серию хакерских атак. Об этом сообщает Reuters. Серия взломов затронула 72 различных компании, связанные с крупными международными организациями такими как ООН и Международный олимпийский комитет (МОК), а также правительственными структурами США, Канады, Тайваня, Южной Кореи и Вьетнама. В результате атак, длившихся от одного до 28 месяцев, хакерам удалось получить доступ к большому объему конфиденциальной информации. «Что происходит сейчас с этими данными — открытый вопрос, — заявил вице-президент McAfee Дмитрий Альперович (Dmitri Alperovitch). — Часть из них может быть использована в качестве конкурентного преимущества на том или ином рынке. Что означает серьезный экономический ущерб для пострадавшей стороны». Выйти на хакеров-рецидивистов McAfee удалось в марте 2011 года, когда специалисты компании обнаружили, что очередной взлом имеет много общего со случаями, которые им приходилось расследовать в 2009-м и 2006-м годах. При этом эксперты не исключают, что кампания длилась и больше пяти лет, просто более ранние взломы остались незамеченными. Специалисты McAfee установили, что за кампанией, которая продолжалась около пяти лет, стоит один заказчик. Эксперт Центра стратегических и международных исследований Джим Льюис (Jim Lewis), говоря об организаторе раскрытой McAfee серии атак, заявил, что с большой вероятностью им является Китай. «США или Великобритания имеют достаточные возможности для проведения таких акций, но вряд ли они бы стали шпионить сами за собой, — сказал Льюис. — Остаются Россия и Китай, при этом подавляющее большинство факторов, указывает на связь хакеров с китайскими властями». В частности, как отметил эксперт взломы баз данных МОК и международного антидопингового агентства были связаны с проведением в Пекине Олимпийских игр в 2008 году. Власти Китая неоднократно обвиняли в том, что они используют кибератаки для получения необходимой информации или оказания давления на отдельных пользователей сети. В частности, компания Google несколько раз заявляла о попытках взлома почтового сервиса Gmail — сначала речь шла о ящиках китайских правозащитников, а в последствии об аккаунтах правительственных чиновников США. Пекин все обвинения в свой адрес отрицал.
Минэкономразвития утвердило контрольные точки развития электронной карты россиян. К началу 2012 г. все должно быть готово к промышленному выпуску таких устройств, а еще через полгода — в конце июля 2012 г., выпуск карт с российскими чипами должен быть завершен. Министерство экономического развития приняло директивно-координационный план внедрения универсальных электронных карт (УЭК), которые в перспективе должны будут заменить большую часть гражданских документов. Полностью документ можно увидеть здесь. План разбит на 7 больших пунктов, пересекающихся по времени: подготовка и начало работ по выпуску УЭК (документальная работа, интеграция информационных систем), обеспечение готовности выпуска карт (сертификация криптоядра, разработка идентификационного приложения), ведомственное и отраслевое внедрение УЭК, развитие инфраструктуры в банковской сфере, региональное внедрение (call-центры пункты выдачи), маркетинговые и образовательные мероприятия и, наконец, опытная эксплуатация. Интересно, что выпуск карт с российским чипом должен завершиться вместе с июлем 2012 г. Для выпуска УЭК федеральная уполномоченная организация (ФУО, ей выступает учрежденная банками “Сбербанк” (34%), “Уралсиб” (33%) и “Ак Барс” (33%) компания “Универсальная электронная карта”) заключит соглашения с другими участниками проекта и интегрирует свое ПО с ними, а также системой межведомственного электронного взаимодействия (СМЭВ), через которую передаются данные между ведомствами. Напомним, что появление в России УЭК гражданина было прописано в принятом 27 июля 2010 г. федеральном законе 210-ФЗ “Об организации предоставления государственных и муниципальных услуг”. На карту записывается информация о ее владельце и с ее помощью он подтверждает свою личность, право на получение госуслуг. Ответственным исполнителем по большинству связанных с УЭК мероприятий является департамент корпоративного управления Минэкономразвития. В марте 2011 г. президент Дмитрий Медведев раздал поручения о внедрении УЭК, их список охватил период до конца 2011 г. Судя по этим поручениям, в первую очередь УЭК заменит водительское удостоверение, полис социального страхования, полис ОСАГО и удостоверение мигранта в системе ФМС. Напомним, что у банковской “Универсальной электронной карты” существует конкурент со стороны в части авторизации для получения электронных госуслуг и оплаты штрафов. Аналогичным проектом занялся «Ростелеком», в июне 2011 г. он подписал соглашения о сотрудничестве с платежными системами Visa и Mastercard. Тогда же оператор договорися с банками «Альфа-банк», «Банк Москвы», «ВТБ24» и «Банк Санкт-Петербурга» об использовании эмитируемых ими карт для доступа к порталу госуслуг.
Доля на рынке операционной системы Windows XP, по данным сервиса статистики NetMarketShare, сократилась до 49,69 процентов. Как сообщает Computerworld, ниже 50 процентов доля XP упала впервые за все время, пока NetMarketShare ведет наблюдения. При этом Windows XP по-прежнему остается самой популярной в мире ОС. Ей уступают Windows 7, доля которой составляет 27,92 процента, Vista (9,27 процентов) и Mac OS X 10.6 Snow Leopard (3,76 процентов). В общей сложности на операционные системы семейства Windows приходится около 87 процентов рынка. При этом сервис статистики StatCounter указывает, что в июле доля Windows XP составила 43,9 процента. Разница объясняется тем, что NetMarketShare и StatCounter используют разные алгоритмы сбора информации. «Возраст» Windows XP приближается к десяти годам — она вышла в октябре 2001 года. Microsoft выпустила для XP три крупных пакета обновлений, последний из которых появился в 2008 году. Из-за популярности Windows XP поддержка этой ОС была продлена до 2014 года. В начале июня 2011 года Microsoft анонсировала преемницу Windows 7 — операционную систему Windows 8. Ожидается, что Windows 8 выйдет в 2012 году.
Компания Apple полностью исключила из состава последней версии серверной ОС популярную открытую СУБД MySQL, заменив ее на PostgreSQL. Прежние версии Mac OS X Server предлагали доступ к MySQL как через графический интерфейс, так и через командную строку. Сейчас эта СУБД полностью исчезла из штатного набора программ. Доступ к PostgreSQL осуществляется только через командную строку. В компании EnterpriseDB, оказывающей финансовую поддержку PostgreSQL и предлагающей корпоративную версию этой системы, говорят, что не знали о предстоящих изменениях до момента выхода финальной версии операционной системы Mac OS X Lion Server. В EnterpiseDB говорят, что не работали с Apple над продвижением своего продукта и не знают, что сподвигло компанию на перемену основной СУБД для операционной системы, однако предполагают, что Apple отказалась от MySQL, так как эта СУБД сейчас оказалась под управлением Oracle. «Apple никогда не дружила с лицензиями типа GPL, вероятно, что компания исключила MySQL из состава ОС, чтобы однажды не стать объектом судебного преследования со стороны Oracle. Особенно это стало актуальным в свете последних исков Oracle по Google Android», — говорит Шон Доэрти, вице-президент EnterpriseDB по маркетингу. Напомним, что Oracle в прошлом году обвинила Google в нарушении прав на использование Java в мобильной ОС Android. По данным Oracle, в виртуальной Java-машине Dalvik, работающей в Android, нарушается ряд патентов принадлежавших Sun Microsystems, а теперь перешедших к Oracle. Кроме всего прочего, в EnterpriseDB говорят, что Oracle затягивает с публикацией дорожной карты по развитию MySQL, что затрудняет долгосрочное планирование проектов с участием этой СУБД. На сегодня система PostgreSQL распространяется под наиболее лояльной из всех популярных лицензий BSD. Ранее компания Apple отказалась от продажи собственных серверов XServe, а новая серверная ОС устанавливается на Mac Mini и продается по 50 долларов, против 500 долларов, которые приходилось платить прежде.
Google сегодня устранила около трех десятков уязвимостей в своем браузере Chrome и выплатив одни из самых высоких вознаграждений пользователям, сообщающим о найденных ошибках. Сегодня компания презентовала тринадцатую стабильную версию браузера Chrome, рекомендованную для массового использования. Как рассказали в Google, в браузере Chrome 13 появилась стабильная версия Instant Pages, позволяющая заранее загружать некоторые результаты на динамических страницах, что позволяет ускорить интернет-браузинг. Ранее Instant Pages прошла через все основные стадии разработки. Отметим, что прежде Google выпускала стабильную версию Chrome в начале июня. Этот браузер, как и Mozilla Firefox перешел на ускоренный цикл релизов, согласно которому новая стабильная версия браузера выходит каждые полтора-два месяца. По данным статистики, из 30 устраненных уязвимостей 14 имеют высокую степень опасности (не критическую) по 4-ступенчатой шкале угроз Google. Еще 9 обозначены как средней угрозы, остальные, как низкой. Ни одной уязвимости с критическим уровнем нет. Традиционно в критическую группу попадают угрозы, позволяющие удаленно получать доступ к данным в обход «песочницы» браузера. С начала года компания закрыла несколько таких уязвимостей. В рамках данного цикла релизов, компания Google выплатила 16 000 долларов десятерым независимым специалистам, включая 7500 долларов специалисту, известному как Miaubiz, а также 2000 долларов Сергею Глазунову. Всего с начала года Google выплатила 22 500 долларов за информацию о багах. Также отметим, что хотя Chrome 13 и доступен для всех трех основных ОС — Windows, Mac и Linux, функционал этих версий различается. К примеру, функция предварительного просмотра печати пока есть только в Windows и Linux, а в Mac она пока на тестировании.
Loading ...