Умный программист: it, программирование, hi-tech. Страница 52

На сайте агентства кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) появилось предупреждение о трех уязвимостях. Одна из них — CVE-2022-22718 — находится в компоненте службе печати Windows Print Spooler. 8 февраля 2022 года Microsoft уже устранила 4 уязвимости, связанные с повышением прав, в которые входила брешь в Windows Print Spooler. Но, по словам CISA, уязвимость в службе печати всё ещё активно эксплуатируется хакерами в атаках. Она получила оценку в 7,8 балла из 10 по шкале CVSS. Возможно, атакованные с помощью этой уязвимости жертвы не скачали февральское обновление, поэтому были взломаны.

VK Cloud Solutions представила обновленную платформу для интернета вещей – Cloud IoT Platform. На ее основе можно создавать приложения для умных домов и умных городов, подключенных автомобилей и смарт-сервисов ЖКХ, автоматизации и роботизации промышленности. Платформа позволяет ускорять разработку IoT-приложений и значительно сокращать время их вывода на рынок. Cloud IoT Platform агрегирует, обрабатывает и визуализирует данные с умных устройств и выступает в качестве единой базы для построения систем интернета вещей. При этом решение поддерживает стандартизированные протоколы обмена данными и обеспечивает безопасность подключенных устройств. https://vk.company/ru/press/releases/11141/

Браузер Brave представил встроенную функцию, позволяющую обходить страницы Google AMP. Режим будет автоматически перенаправлять пользователя на исходную страницу. В компании считают, что это поможет сохранить приватность юзеров. Google AMP (Accelerated mobile pages) — технология, позволяющая Google кэшировать веб-страницы и запускать их в браузере быстрее. В Brave рассказывают, что если пользователь делает запрос «главные новости The New York Times», то в этот момент Google загрузит большую часть статей в фоновом режиме, а по клику будет открывать их. При этом юзеру будет казаться, что он находится на сайте новостного издания, но материал будет отправлен с ресурсов Google.

По информации Bleeping Computer, в штатную прошивку ПО UEFI сотен моделей ноутбуков Lenovo попали заводские предустановки и драйвера под названием SecureBackDoor, которые вообще не должны были выйти за производственный периметр. Сейчас у пользователей на руках находятся миллионы ноутбуков, включая IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05, которые имеют штатные встроенные уязвимости. Используя эти программные проблемы, злоумышленник может при локальном использовании устройства выполнять на ноутбуке произвольный код с повышенными привилегиями. Также бэкдоры Lenovo позволяют отключить защиту микросхемы флэш-памяти SPI, в которой хранится прошивка UEFI, и разблокировать функцию безопасной загрузки UEFI, обеспечивающую загрузку оригинального кода, которому доверяет производитель оборудования.

Апелляционный суд девятого округа США признал законность веб-скрейпинга — сбора данных со страниц веб-ресурсов. Суд постановил, что соцсеть LinkedIn не имеет права запрещать компании hiQ Labs собирать публичные данные о ее пользователях. Решение суда стало итогом разбирательства, тянувшегося пять лет. В 2017 году LinkedIn потребовала у небольшой компании по анализу данных hiQ Labs прекратить собирать информацию из общедоступных профилей LinkedIn.

LinkedIn объявила, что наиболее часто используемые основные аспекты Feathr, его хранилища функций для продуктивного машинного обучения (ML), переходят в открытый доступ. Feathr работает над решением проблемы перегрузки команд растущими затратами на поддержку конвейеров подготовки функций. Feathr работает как уровень абстракции, который предоставляет пользователям общее пространство имен функций для определения функций и общую платформу для вычисления, обслуживания и обращения к ним «по имени» из рабочих процессов машинного обучения. Feathr также обеспечивает расширенную поддержку преобразования функций, что позволяет пользователям экспериментировать с новыми функциями на основе необработанных наборов данных.

Это второй вебинар из серии мероприятий от направления программирования Яндекс Практикума. В этом вебинаре расскажем, какие профессии есть в программировании, подробно разберём несколько популярных специальностей и посоветуем, с чего начать путь в разработке. После этого спикеры ответят на вопросы слушателей. 22 апреля 19:00 Зарегистрироваться

Coalition for Content Provenance and Authenticity (C2PA), в которую входят Adobe, Microsoft, Arm, Intel TruePic и BBC, объявила о разработке стандарта подтверждения подлинности видео и фото. C2PA намеревается внедрить этот стандарт повсеместно. Коалиция считает, что это уменьшит распространение ложной информации в глобальной сети. В основу механизма будет заложена технология блокчейн. Давно не секрет, современные нейросети создают правдоподобные видео и фото, которые легко использовать для распространения фейков и дезинформации. Также их используют хакеры, которые с помощью технологии дипфейк крадут денежные средства и личную информацию. Вероятно, разработанные C2PA инструменты будут применяться в борьбе с мошенничеством.

Исследователь выложил на GitHub пример использования эксплойта на уязвимость CVE-2022-29072 в популярной и бесплатной программе 7-Zip для версий на ОС Windows. С помощью данной уязвимости локальный пользователь с ограниченными правами может повысить привилегии в системе до уровня SYSTEM. Уязвимость до сих пор, как оказалось, не закрыта разработчиками. Ей подвержены все поддерживаемые версии 7-Zip, включая последнюю 21.07. Разработчик выяснил, что проблема заключается в переполнении буфера в процессе 7zFM.exe и неверной настройки прав для библиотеки 7z.dll. Он советует системным администраторам при использовании этого приложения удалить файл помощи 7-zip.chm и ограничить для всех пользователей использование приложения 7-zip: дать ему разрешения только на чтение и запуск.

Отключение Atlassian, начавшееся 5 апреля, вероятно, продлится немного дольше для нескольких сотен затронутых клиентов. Представитель компании сообщил, что работы по восстановлению могут продлиться еще две недели. Инженеры запустили скрипт для удаления устаревших данных в рамках планового обслуживания облачных продуктов. Но сценарий вышел за рамки, разгромив все подряд. Atlassian также заявила, что ожидает, что «восстановление большинства сайтов произойдет с минимальной потерей данных».

Для разработчиков ботов Telegram представили средства для создания интерфейсов на JavaScript. Таким образом, Telegram-бот нового поколения станет полноценной заменой любому сайту, обещают разработчики мессенджера. Техническая документация по Bot API доступна в открытом доступе. Теперь добавить бота в группу или канал пользователя можно не выходя из профиля бота — и сразу настроить права и разрешения. В каналы ботов можно добавлять только как администраторов, а в группы — администраторов и участников.

TenChat, первый российский SuperApp, активно набирает аудиторию. За март количество пользователей выросло на 530% и приближается к 1 миллиону. Соцсеть сочетает в себе лучшие инструменты Meta (признанной экстремисткой в РФ) и WeChat. В приложение интегрировано множество сервисов для карьеры и бизнеса, а алгоритм "Зевс" формирует ленту на основе интересов и типа аккаунта пользователя: от лайфстайла до разработки. Пробуем, зарабатываем: https://tenchat.app

По информации TorrentFreak, 15 апреля поисковый сервис DuckDuckGo удалил из поисковой выдачи ссылки на популярные пиратские сайты и даже на основной сайт открытого инструмента youtube-dl. Сейчас часть этих ограничений снято. DuckDuckGo не пояснил причины введения и снятия ограничений в выдаче. DuckDuckGo на некоторое время перестал показывать в выдаче ссылки на The Pirate Bay, 1337x.to, NYAA.se, Fmovies.to, Lookmovie.io, 123moviesfree.net. Только часть ссылок стали отображаться на RarBG.to и Fitgirl-repacks. Также поисковик убрал из выдачи ссылки на стриминговые сервисы Flixtor и Primewire, инструменты для работы с видеороликами 2conv.com, Flvto.bid и даже youtube-dl. Сейчас на DuckDuckGo разблокирована выдача по запросам о thepiratebay.org и youtube-dl.org.

Google объявила о выпуске внеочередного обновления для браузера Chrome — речь идёт о десктопной версии для платформ Windows, Linux и macOS. Разработчик был вынужден оперативно отреагировать из-за обнаружения двух уязвимостей, одна из которых эксплуатировалась хакерами. Более опасная из двух уязвимостей зарегистрирована под номером CVE-2022-1364 — она активно эксплуатировалась злоумышленниками. Природа уязвимости связана с так называемой путаницей типов в движке JavaScript Chromium V8. Подобные ошибки обычно вызывают сбои в работе браузера, однако с использованием некоторых языков, включая C и C++, данная ошибка превращается в уязвимость, которая может обеспечить доступ к памяти вне выделенного диапазона, а также позволить выполнение произвольного кода.

По информации WSJ, многие иностранные IT-компании в марте и начале апреля в срочном порядке перевезли своих сотрудников из Москвы в ОАЭ. В Дубай переехали специалисты Google, Goldman Sachs, McKinsey, Boston Consulting, JPMorgan и Rothschild & Co и других филиалов зарубежных компаний в РФ. Все это время ОАЭ оперативно выдавали визы российским сотрудникам и помогали иностранным работодателям.

По информации Bleeping Computer, Atlassian раскрыла причину запуска скрипта, удалившего данные части клиентов и вызвавшего глобальный сбой в работе сервисов Jira и Confluence. Причиной инцидента стал некорректный скрипт в процедуре планового обслуживания IT-инфраструктуры, который «непреднамеренно» отключил небольшое количество сайтов и платформ от Atlassian, заблокировав доступ клиентам к своим решениям и данным. Проблемы возникли и продолжают наблюдаться у сервисов Jira Software, Jira Work Management, Jira Service Management, Confluence, Opsgenie, Statuspage и Atlassian Access.

У Тинькофф появилась стипендиальная программа для студентов технических специальностей! В отборе могут участвовать студенты бакалавриата, специалитета и магистратуры (кроме выпускного курса) технических специальностей из всех городов и вузов. Стипендия выдается на один учебный год и составляет 25 000 ₽ в месяц. Кроме этого — доступ к лекциям и общение с менторами. Есть два трека — «Академический» и «Индустриальный» — для успевающих в учебе призеров олимпиад или чемпионатов по программированию и хакатонов. Выбирайте подходящий для себя и подавайте заявку по ссылке!

Некоторые пользователи, установившие апдейт Windows, жалуются на невозможность запустить Chrome, Edge или Firefox. Ошибка появляется, когда пользователи пытаются запустить Chrome.exe, msedge.exe и Firefox.exe. Судя по всему, проблема заключается в конфликте обновления и антивирусных решений, таких как ESET. Помочь в таком случае может удаление установленного недавно обновления ОС или решение конфликта с антивирусом. Например, ESET уже советует в качестве временной меры отключить функцию «Безопасный браузер» LiveGrid в настройках. Остается неясным, влияет ли ошибка на какие-либо другие антивирусные решения. Пользователям, которые используют другие программы, рекомендуют удалить накопительное обновление или отключить расширения безопасности в браузере.