Аргументы и функции, 8 марта

Новости пятницы и главное за неделю

Тру ньюс и итоги недели Если вы заинтересовались вебинаром о работе за рубежом, но вчерашняя ссылка привела на 404 страничку, кликайте сюда. Новости пятницы Уязвимость в Chrome, которую разработчики пропатчили 1 марта, оказывается, работала на хакеров не в одиночку. В зафиксированных специалистами атаках эксплуатировалась также брешь в Windows 7. Именно она позволяла малвари выбираться из песочницы и проникать в систему. А теперь угадайте тип уязвимости. Да, дело снова в работе с памятью. Это уязвимость разыменования нулевого указателя, и кроется она в системном драйвере win32k.sys. Microsoft в курсе проблемы и разрабатывает патч. Если у вас Windows 7, проверьте версию Chrome: она должна быть 72.0.3626.121 или выше. *** Госдума в третьем и последнем чтении приняла два законопроекта: о фейковых новостях и оскорблении власти в Интернете. Мы писали о них, когда рассказывали о прошедшем первом чтении. У «Медузы» есть карточки об этих проектах (и о том, что с ними не так). Вкратце: Фейковая новость — это любая общественно значимая информация, опубликованная в Интернете и не прошедшая проверку на достоверность. За такую публикацию положен штраф. А если из-за неё ещё и люди пострадали, жди большого штрафа. Чётких определений достоверности или общественно значимой информации в законе вроде как и нет. С оскорблением властей тоже не особо понятно. Формально оскорблением считается опубликованное в Интернете мнение о российском обществе, государстве, властях, символах и так далее, выраженное «в неприличной форме». Что за неприличная форма — опять же, непонятно. Будут трясти бедных лингвистов. *** История с переносом серверов Facebook в Россию (тех, что хранят данные россиян) тянется очень долго. Не дождавшись от соцсети конкретных действий, Роскомнадзор недавно перешёл на язык штрафов, дело может даже кончиться блокировкой. И тут Цукерберг публикует длиннопост о развитии Facebook в сторону приватности и защиты данных. Один из принципов гласит, что соцсеть не будет хранить sensitive-данные в странах, где нарушаются права человека. Связаны ли эти две вещи, неизвестно, но в карточках «Медузы» такая вероятность рассматривается. Для вечера пятницы (тем более выходной) предлагаем не нагружать сильно мозг, а потыкать в угадайку. Как думаете, кто нарисовал картину, нейросеть или художник? Итоги недели Небольшая поясниловка: во второй части пятничного обзора мы теперь будем напоминать о самых интересных и важных новостях недели. А по понедельникам ловите новости понедельника. Поехали. *** Что случилось? «Ведомости» разведали, что мэрия Москвы уже несколько лет закупает у мобильных операторов данные о передвижениях абонентов. Зачем? Чтобы адаптировать под существующий трафик транспортную систему. Но общественного контроля над использованием геоданных нет. *** Что случилось? Microsoft наконец адаптировала для Windows гугловский патч от Spectre v2 — Retpoline. Но из-за сложности реализации он доступен только пользователям Windows 10 (версии 1809 и выше). Почему это важно? Существующие патчи этой уязвимости сильно влияют на производительность устройства. Retpoline — нет. *** Что случилось? Команда Google Project Zero нашла уязвимость в ядре macOS. Злоумышленник может изменить файлы в смонтированном образе файловой системы macOS без ведома самой файловой системы и добиться выполнения вредоносного кода. Защита есть? Нет. Исследователи сообщили Apple о своей находке ещё в ноябре прошлого года, но за 90 дней компания решить проблему не смогла. *** Что случилось? Google сообщила об уязвимости нулевого дня в Chrome, которую пропатчили в обновлении от 1 марта. В начале обзора было продолжение темы: что брешь работала на хакеров только в сочетании с брешью в Windows 7. Подробности есть? Немного, в самой новости. Google не раскрывает детали, чтобы не подставлять под удар тех, кто ещё не обновился. *** Что случилось? Появилась новая техника эксплуатации уязвимости в механизме спекулятивных вычислений, и этой технике плевать на существующие патчи. Называется Spoiler и, к счастью, работает только для Intel Core. Защита есть? Нет, проблему надо решать на аппаратном уровне. Защита появится только в следующих поколениях процессоров после «существенной работы по перепроектированию». *** Что случилось? WebAuthn стал официальным веб-стандартом, об этом заявили W3C и FIDO Alliance. Почему это важно? Это шаг на пути к отказу от паролей. WebAuthn позволяет войти в учётную запись с помощью электронного ключа, биометрических данных или мобильного устройства. Екатерина Никитина /*празднующая день солидарности женщин в борьбе за равные права*/ Поделиться Твитнуть Переслать Вы получаете эти письма, потому что подписались на рассылку Tproger. Отписаться от рассылки.