В клиенте Skype для Mac OS найдена опасная уязвимость
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

В клиенте Skype для Mac OS найдена опасная уязвимость

Изъян обнаружил исследователь из австралийской группы PureHacking. Соответствующее сообщение было опубликовано им вчера, 6 мая. Согласно имеющимся данным, Skype подтверждает наличие угрозы и де-факто уже подготовила исправление.


Уязвимость, о которой идет речь, относится к типу 0-day и позволяет злоумышленнику спровоцировать удаленное исполнение кода на целевом компьютере под управлением операционной системы от Apple, после чего установить над ним контроль. Никакое прямое или косвенное содействие жертвы при этом не требуется. Сам исследователь, Гордон Мэддерн, охарактеризовал ошибку как "чрезвычайно опасную" и высокопатогенную.

Технические подробности эксплуатации изъяна специалист оглашать не стал, сообщив, что сначала необходимо дождаться выпуска требуемого исправления для Mac-версии Skype. Он, однако, пояснил вкратце суть проблемы: по его словам, ошибка была найдена случайно, в процессе разговора с одним из его коллег. Обсуждая с ним программное обеспечение, заказанное некоторым клиентом, г-н Мэддерн послал ему кусок кода, который, к удивлению обоих участников беседы, выполнился в контексте Skype-клиента получателя.

Исследователь изучил проблему и установил, что она является специфической именно для Mac-версии программы - в сборках для Windows и Linux найти уязвимость не удалось. Г-н Мэддерн построил тестовый образец эксплойта и убедился, что он вполне успешно срабатывает, открывая вероятному злоумышленнику довольно эффективный путь к нападению. Результаты своих изысканий специалист передал в Skype еще в начале прошлого месяца, однако до сих пор не увидел внятной реакции - что, собственно, и подвигло его на публикацию уведомления об изъяне.

Представители компании в тот же день отозвались блог-сообщением, в котором заявили, что на момент получения письма г-на Мэддерна им уже было известно об уязвимости, и они вели работу по ее исправлению. В итоге 14 апреля был готов экстренный патч, но сотрудники Skype решили не посылать пользователям сигнал о необходимости его установки, а просто включить "заплатку" в состав ближайшего планового пакета обновлений, который должен выйти в начале следующей недели. Аргументировали они свое решение тем, что "на тот момент не было никаких сообщений об эксплуатации изъяна в реальной вирусной среде".

Теперь, впрочем, доступ к патчу все же открыт. Пользователям, желающим установить его, необходимо запустить поиск обновлений в своем клиенте Skype или загрузить новую версию с сайта компании.

V3.co.uk

Письмо автору

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На XX юбилейной конференции разработчики ПО обменялись идеями и опытом

XX юбилейная конференция разработчиков свободного программного обеспечения прошла 4-6 октября 2024 года в Переславле-Залесском. В мероприятии поучаствовали более 2 тыс. слушателей очно и онлайн. Организаторами выступили «Базальт СПО» и Институт программных систем имени А.К. Айламазяна РАН (ИПС РАН).

Участники обсудили:

  • инструменты и перспективы разработки нативных приложений под Linux для ПК и мобильных устройств, мультиплатформенных веб-приложений и телеграм-ботов;
  • условия разработки самостоятельных дистрибутивов и особенности лицензирования свободного программного обеспечения (СПО);
  • математические методы алгоритмизации;
  • разработка распределённых систем хранения данных;
  • развитие инструментов администрирования операционных систем;
  • состояние и перспективы мобильных операционных систем «Аврора» и Alt Mobile и многое другое.

Запись трансляции конференции доступна на канале «Базальт СПО».

«20 лет назад, когда мы начали проводить конференцию, очень немногие знали о самом существовании свободного ПО. А сейчас трудно назвать корпорацию, которая не использует СПО или не занимается его разработкой. Свободная разработка — хороший способ обеспечения кооперации, в том числе между конкурентами, которые могут совместно выделять ресурсы на решение задачи и пользоваться результатом на условиях той или иной свободной лицензии. На конференции собрались разработчики из крупных и небольших компаний, студенты и преподаватели вузов и все представили очень интересные доклады», - отметил Алексей Смирнов, один из основателей конференции, председатель совета директоров «Базальт СПО».

1.Свободное ПО и общество: медицина, право, история и математика

Открыл конференцию Анатолий Якушин, практикующий хирург-травматолог и разработчик СПО с многолетним стажем. По его словам, разрабатывать и внедрять новое программное обеспечение в медицине достаточно сложно. Существуют развитые западные свободные системы управления медицинскими учреждениями. Но организация здравоохранения в России отличается так сильно, что адаптировать их  труднее, чем разработать новые системы с нуля. Импортное оборудование для рентгеновских и других исследований, как правило, поставляется с собственным закрытым ПО.

По мнению эксперта, свободным разработчикам необходимо уделять этой теме больше внимания, а медикам — повышать квалификацию в сфере информационных технологий.

Законодательную базу и практику защиты авторских прав разработчиков СПО в России и за рубежом проанализировал Владимир Харин, магистрант МГЮА им. О.Е. Кутафина. Он сделал вывод, что сообщество разработчиков должно занимать в этом процессе активную позицию, создавать объединения для отстаивания прав на открытый код и следить за правильностью его использования.

Николай Непейвода, главный научный сотрудник ИПС РАН им. Айламазяна, рассмотрел различные подходы к реализации условных операторов при последовательных и параллельных вычислениях.

Валерий Баканов, профессор Национального исследовательского университета «Высшая школа экономики» рассказал о методах оптимизации алгоритмов для процессоров со сверхдлинным машинным словом. Эта технология применяется для обработки цифровых сигналов, например, в модемах мобильных телефонов. Также на ней основаны процессоры «Эльбрус».

Возможности применения языка программирования «Рефал М» рассмотрел Даниил Исакевич, технический директор ООО «БизнесСофтСервис». Он продемонстрировал, как при помощи программы на этом языке можно переводить информацию с одного формального языка на другой. Также, по мнению докладчика, «Рефал М» подходит для описания процессов изменения и развития. Этот язык был создан в СССР в 1966 г. и позволяет использовать ключевые слова и имена на разных языках, в том числе на русском.

Аркадий Шейн, архитектор ОС «МСВСфера» из компании «Инферит» напомнил историю русификации операционных систем на ядре Linux в докладе «Как сделать хороший дистрибутив, чтобы не получился BolgenOS». Он перечислил отличия самостоятельного дистрибутива от слегка измененного клона сторонней операционной системы и условия, необходимые для разработки качественного продукта.

2.Сообщество ALT Gnome: приложения для пользователей, документация для сообщества и Telegram-боты для всех

Активными участниками конференции стали члены сообщества свободных разработчиков ALT Gnome. Они поделились опытом создания веб-приложений, работающих через браузеры на разных операционных системах, применения инструментов разработки пользовательских приложений Vala и Libadwaita, рассказали, как используют генератор статических сайтов VitePress для ведения документации сообщества.

Один из членов команды, Семен Фомченков, представил открытую модульную платформу для разработки Telegram-ботов «Каркас». Боты создаются из готовых блоков. Они могут модерировать чаты, вести статистику и выполнять другие необходимые функции. Дополнительные официальные блоки, созданные командой разработки платформы «Каркас», позволяют работать с нейросетевыми моделями, составлять стандартизированные отчёты об ошибках для bugzilla.altlinux.org.

При желании систему можно разместить на собственных серверах, делая данные более защищенными. Планируется сделать платформу совместимой с другими мессенджерами. Открытый код позволяет дорабатывать ее под собственные нужды.

3.Развитие ОС «Альт»: обновленный модуль управления, оптимизация для разработчиков, открытие кода «Эльбрусов», операционные системы на разных языках

Разработчики из компании-организатора конференции «Базальт СПО» рассказали об улучшениях, внесенных в операционные системы «Альт».

Конфигурацией операционных систем «Альт» можно управлять через графическое приложение «Альтератор». Михаил Чернигин рассказал о ходе создания новой версии «Альтератора», которая должна облегчить разработку приложений под ОС «Альт» и дать новые возможности системным администраторам.

Антон Мидюков представил усовершенствования в основном инструменте сборки операционных систем «Альт» — mkimage-profiles. Теперь дистрибутивы будут собираться быстрее и проще, это позволит чаще выпускать обновления и повысить их качество. Также добавлена защита от ошибочного удаления пакетов и внесен еще целый ряд технических новшеств.

Изменения mkimage-profiles тестировались на операционной системе Ximper Linux от Etersoft. Об этом рассказал генеральный директор компании Виталий Липатов. Дистрибутив создан на базе репозитория проекта «Сизиф» с графической средой GNOME.

Кирилл Изместьев из «Базальт СПО» показал, как делается перевод операционных систем инструментами СПО на другие языки на примере татарской локализации ОС «Альт Образование». Программное обеспечение можно переводить поэтапно, сохраняя его работоспособность. В уже работающий дистрибутив вносятся обновления, делающие его локализацию более полной.

4.ALT Mobile: поддержка новых устройств и управление доменом

Разработчики «Базальт СПО» рассказали об операционной системе для мобильных устройств ALT Mobile.

Андрей Савченко, поделился информацией о ходе разработки.

Валентин Соколов представил приложение, которое позволяет не только включать мобильные устройства в домен, но и выполнять с них работу администратора сети.

Артём Быстров рассказал, как продвигается обеспечение совместимости операционной системы с различными устройствами. Так, в 2024 году ALT Mobile была портирована на игровые консоли Anbernic.

5.Применение СПО для перевода ИТ-инфраструктуры с импортных решений на российские

Станислав Богатырев из компании Yadro рассказал о системе FrostFS для децентрализованного объектного хранения данных с использованием технологии блокчейн. Размещая свои данные в этой системе, пользователь сам определяет условия, например, в каких регионах он хочет их разместить, сколько реплик своих данных сделать и т. д. Хозяева узлов хранения назначают цену, а владельцы данных выбирают, сколько они готовы заплатить.

Михаил Шигорин из «Базальт СПО» проанализировал, как повлияло на сообщество разработчиков открытие части исходных кодов ядра процессора «Эльбрус». Он уверен, что для дальнейшего развития платформы и создания приложений силами свободного сообщества, необходимо перейти от существующей практики к широко распространенной в среде СПО инфраструктуре разработки с использованием git-репозиториев, bugzilla и wiki.

Во многих современных мобильных приложениях используются карты, поэтому разработчики приложений под мобильную операционную систему «Аврора» нуждаются в удобной и независимой картографической библиотеке. Дмитрий Лапшин, старший инженер-программист ООО «Открытая мобильная платформа» представил набор открытых программных библиотек, инструментов и примеров для решения задач картографии и навигации MFW.

Виталий Липатов, генеральный директор Etersoft, рассказал о расширении возможностей сервиса epm play. Сервис предназначен для скачивания и установки приложений, разработанных для различных ОС на ядре Linux на другие подобные ОС. Сейчас для установки на ОС «Альт» при помощи epm play доступно 250 программ. Планируется усовершенствовать механизм скачивания файлов и усилить меры безопасности.

6.Стенды: новинки и ретро-экспонаты

На стендах были показаны передовые разработки и решения:

  • VR-шлем под управлением ОС «Альт»,
  • AR-очки, подключенные к игровой консоли Fplus c установленной ОС «Альт»,
  • одноплатный компьютер Repka Pi с дистрибутивом Simply Linux,
  • картографическую библиотеку для ОС «Аврора» на телефонах, планшетах и ноутбуках и другое;
  • двухместная рабочая станция «Горыныч» на процессоре «Эльбрус-16С».

Приятные воспоминания у корифеев Linux-сообщества вызвали диски с первыми версиями русифицированных операционных систем на ядре Linux:

  • Black Cat Linux 6.2,
  • ASP Linux 9 и 11,
  • ОС Alt Linux Master 2.2,
  • Red Hat Linux 9 Cyrillic Edition,
  • Russian Fedora.

Эти раритеты привез Аркадий Шейн как материальную иллюстрацию своего доклада. На стенде он также выставил книги, руководства по Linux, изданные в 1990-е и начале 2000-х.

К «Горынычу» удалось подключить ретро-ноутбук Toshiba t3100e конца восьмидесятых из музея ИПС РАН. «Так он из двухголового стал трехголовым», — пошутили специалисты, наладившие связь между компьютерами с 40-летней разницей в возрасте.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru