Аргументы и функции, 21 ноября

Плагиновый бэкдор на WP-сайтах (снова), бессмысленность патча Spectre v2 (мнение Линуса) и релиз WebStorm 2018.3

Аргументы и функции, 21 ноября О чём сегодня разговор: об атаке на WP-сайты через плагин для ускоренных мобильных страниц; о бессмысленности патча Spectre v2 (так думает Линус); о релизе WebStorm 2018.3; об «облегчённой» системе синтеза от Mozilla. Об атаке на WP-сайты ИБ-специалисты предупредили владельцев сайтов на WordPress о широкомасштабной и автоматизированной XSS-атаке, которая эксплуатирует уязвимость в плагине AMP (генерирует ускоренные мобильные страницы). Дело в том, что старые версии этого дополнения не проверяют права пользователей на выполнение администраторских действий — этим бэкдором и пользуются злоумышленники. Под угрозой сайты, где установлен этот плагин и отключено автообновление. Вздохнуть спокойно могут те, у кого стоит версия AMP for WP от 0.9.97.20 и новее. О смысле патчей Линус Торвальдс обратил внимание сообщества на то, что включение патча от Spectre v2 (STIBP) по умолчанию в некоторых случаях может быть лишено смысла. Оказывается, он может вызвать падение производительности на 50 %, а чтобы исправить ситуацию, надо отключить аппаратную технологию одновременной многопоточности. Но отключение многопоточности само по себе защищает от Spectre v2, так что нужда в патче отпадает. Линус предложил давать пользователям ОС возможность самому включать и выключать механизм STIBP в зависимости от того, нужен он или нет. Если вы не хотите стать счастливым обладателем чёрной-чёрной ИБ-дыры в своём проекте, лучше озаботиться тематическим ликбезом заранее. Мы как раз и подборочку составили: почти два десятка книг, и все об этом. О третьей волне релизов от JetBrains Команда JetBrains приступила к третьей (и последней на этот год) волне обновлений своих продуктов. Сегодня рассказываем о релизе WebStorm 2018.3: там появилась поддержка TypeScript 3.1, формата JSON и pull-запросов для GitHub. Ещё мы готовим обзор GoLand 2018.3 — на сайте он появится позже вечером, а в рассылку попадёт только завтра. Оригинал уже можно прочитать в блоге GoLand. Об «облегчённом» синтезе речи Mozilla разработала систему синтеза речи, которая не так требовательна к ресурсам, как аналогичные решения. Разработчики LPCNet решили снять часть задач по моделированию с рекуррентной нейросети и выполнять их с помощью традиционных техник цифровой обработки сигналов (DSP). Систему можно использовать для передачи голосовых сообщений по низкоскоростным каналам связи, устранения шумов, фильтрации данных и восстановления утерянных при передаче фрагментов речи. ____________ Екатерина Никитина Поделиться Твитнуть +1 Переслать Вы получаете эти письма, потому что подписались на рассылку Tproger. Отписаться от рассылки.