Рубрика «патчи»

Надеемся, что очередной выходной посреди недели вас не расслабил и вы внимательно следили за «вторником обновлений», который фактически начинается в 9-10 вечера по Москве. Если же парад Победы и поездка на дачу немного выбили вас из рабочего ритма, то добро пожаловать под кат. Вендоры выкатили несколько важных патчей, закрывающих действительно серьезные уязвимости, так что рекомендуем обратить внимание.

Patch Tuesday: критически важные патчи, которые вы могли пропустить - 1

Само название Patch Tuesday придумали в Microsoft, поэтому с них и начнем.

В Microsoft Exchange устранены сразу 5 уязвимостей, одна из которых — CVE-2018-8154 — особенно выделяется: злоумышленнику достаточно отправить на почтовый сервер MS Exchange специальным образом созданное письмо, чтобы на сервере выполнился код с привилегиями уровня SYSTEM.
Читать полностью »

Новость
Security Week 9: майнер устраняет конкурентов, обманка для светофора и крайне взломоопасные камеры - 1Майнинг стал, пожалуй, самым частым поводом для новостей и самым модным развлечением киберпреступников. Однако где популярность — там и конкуренция: такими темпами скоро на каждом компьютере будет работать несколько зловредов разных разработчиков, не говоря уже о скриптах, встроенных в веб-страницы. А ресурсы CPU не резиновые.

Неизвестный умелец задумался о такой перспективе и решил подстраховаться: на просторах сети появился троян-майнер, который находит и останавливает конкурентов.Читать полностью »

Вечно открытый «Сезам», или Несколько лазеек в ваш ИТ-ландшафт - 1

Зубодробительные уязвимости вроде EthernalBlue или Heartbleed привлекают к себе очень много внимания, подпитывая идею о том, что главное – это своевременный «патчинг» системного ПО. Однако не все помнят о том, что критические дефекты конфигурации встречаются ничуть не реже и далеко не всегда исправляются простой установкой обновлений.

О нескольких таких брешах безопасности хочется сказать особо, поскольку они встречаются у каждого второго (если не первого) заказчика и не исправляются годами.
Читать полностью »

image

Когда время заканчивается, разработчики выдохлись, а загадочные проблемы продолжают появляться, иногда требуются нестандартные решения. Когда вам любой ценой нужно завершить проект, то на кону стоит всё… В паре классических статей, изначально опубликованных в дружественном журнале Game Developer magazine, мы изучили несколько потрясающих примеров таких решений из реальной жизни. Эти нестареющие шедевры можно прочитать здесь (перевод на Хабре) и здесь.

Gamasutra ещё раз решила рассмотреть эту тему. Мы собрали со всей игровой индустрии необычные решения необычных проблем. Те, кто поделился с нами этими решениями, могут и не гордиться такими «исправлениями», но на самом деле гордиться им стоит. Им удалось выпустить игру, они ничего не испортили и, что важнее всего, никто ничего не заметил. По крайней мере, до этой статьи.

Насладитесь изобретательностью, подивитесь бесстрашию, научитесь на ошибках своих предшественников, и самое важное — выпускайте работающие игры, и тоже в срок.
Читать полностью »

Внимание! Хакеры начали использовать уязвимость «SambaCry» для взлома Linux-систем - 1

Помните SambaCry?

Две недели назад мы сообщали об обнаружении в сетевом программном обеспечении Samba (иная реализация сетевого протокола SMB) критической уязвимости 7-летней давности. Она обеспечивает возможность удалённого выполнение кода и позволяет злоумышленнику взять под контроль уязвимые Linux- и Unix-машины.

Чтобы узнать больше об уязвимости SambaCry (CVE-2017-7494), вы можете прочитать нашу предыдущую статью.

В то время было обнаружено, что в Интернете существует около 485 000 компьютеров с поддержкой Samba и открытым портом 445. Исследователи предсказывали, что атаки на основе уязвимости SambaCry могут распространяться так же как WannaCry ransomware.

Предсказание оказалось довольно точным. Компьютер-приманка, созданный командой исследователей из «Лаборатории Касперского», подцепил вирус, который использует уязвимость SambaCry для заражения компьютеров Linux — загрузки инструкций и криптомайнера.

Специалист по безопасности Омри Бен Бассат независимо от «Лаборатории Касперского» также обнаружил этот вирус и назвал его «EternalMiner».Читать полностью »

Внимание! Linux-версия эксплойта EternalBlue - 1

В сетевом программном обеспечении Samba обнаружена критическая уязвимость 7-летней давности, обеспечивающая возможность удалённого выполнение кода. Эта брешь может позволить злоумышленнику взять под контроль уязвимые машины Linux и Unix.

Samba — это программное обеспечение с открытым исходным кодом (иная реализация сетевого протокола SMB), которое работает в большинстве доступных сегодня операционных систем, включая Windows, Linux, UNIX, IBM System 390 и OpenVMS.

Samba позволяет другим операционным системам, отличным от Windows, таким как GNU / Linux или Mac OS X, совместно использовать общие сетевые папки, файлы и принтеры с операционной системой Windows.

Недавно обнаруженная уязвимость удаленного выполнения кода (CVE-2017-7494) затрагивает все версии новее, чем Samba 3.5.0, которая выпущена 1 марта 2010 года.
Читать полностью »

Грязные трюки в коде игр - 1

[Когда график поджимает и проект уже пора выпускать, программисты могут прибегать к грязным трюкам, чтобы уже наконец выпихнуть игру за дверь. В этой статье собрано девять примеров таких «костылей» из реальной жизни.]

Обычно программисты — это методичные и аккуратные существа, всеми силами стремящиеся к чистому и красивому коду. Но когда ставки высоки, идеальный график разваливается на части, а игру пора выпускать, принцип «закончить любой ценой» может оказаться важнее элегантности.

В подобных случаях измученный и перерабатывающий программист скорее всего проигнорирует оптимальный подход, заменив его менее приемлемым решением, чтобы просто покончить с игрой. Мы собрали девять историй настоящих разработчиков о тех моментах, когда они не могли уложиться в график и им приходилось для спасения проекта прибегать к хитростям.
Читать полностью »

pr-3322

Тему обновления патчей ядра без перезагрузки мы уже рассматривали в статье, опубликованной в 2014 году. В ней речь шла о KernelCare — инструменте, разработанном нашими партнёрами из компании Cloud Linux. На момент написания статьи KernelCare был чуть ли не единственным пригодным для полноценного использования инструментом для наложения патчей.
Читать полностью »

image
Вчера в блоге Android была опубликована запись, в которой разработчики рассказывают о своей работе над уменьшением размера обновлений. Как отмечается в тексте, ежедневно миллионы пользователей обновляют свою систему и приложения, и многие из них внимательно следят за тем, сколько мобильного трафика на это уходит.

Для того, чтобы уменьшить размер обновлений, разработчики Android еще в июне 2016 года стали применять алгоритм bsdiff за авторством Колина Персиваля для патча бинарных файлов. Тогда это помогло снизить размер приложений и обновлений к ним, в среднем, на 47% относительно полного APK.

Теперь же команда Android хочет поделиться новым решением, которое позволяет снизить объем обновлений на, в среднем, 65% от первоначального размера. Речь идет о File-by-file patching.
Читать полностью »

Как DLC могут увеличить количество игроков: пример Street Fighter V - 1

В современную игровую эру патчи, DLC и расширения стали неотъемлемой частью жизненного цикла игры. С самого её выпуска, и даже со стадии разработки, DLC планируются, чтобы вдохнуть новый контент в течение жизни игры, чтобы сохранить её свежесть, привлекательность, баланс и актуальность. Однако патчи имеют у платящих потребителей дурную славу, они воспринимают их как индульгенцию для разработчиков на выпуск незавершённых игр и сокрытие возможностей игры за paywalls и микротранзакциями во благо получения прибыли.

О Street Fighter V (SFV) было много споров, потому что она, с точки зрения покупателей, сочетает в себе и хорошие, и плохие стороны. Я решил проанализировать SFV, потому что это моя любимая среди всех трансляций киберспортивная дисциплина. Мне нравятся не только спортсмены, но и люди, составляющие сообщество Fighting Game Community (прим. перев.: сообщество любителей файтингов, устраивающее собственные чемпионаты. Основано в 2000 году.), такие как Mike Ross, Gootecks, Floe, K-Brad, Justin Wong, GamerBee, Tokido, Infiltration, Daigo и Marn.
Читать полностью »