В начале октября 2016 года компания Yahoo оказалась в центре скандала, который не утихает до сих пор. Тогда журналисты Reuters, со ссылкой на собственные источники, сообщили, что Yahoo с 2015 года шпионила за своими пользователями.
По данным агентства, еще в начале 2015 года спецслужбы США приказали руководству компании создать инструмент, при помощи которого можно было бы проверять все входящие письма на предмет «последовательностей символов, которыми пользуются шпионы». Затем подозрительные сообщения предписывалось сохранять для дальнейшего удаленного изучения. Reuters пишет, что соответственное предписание было получено компанией от ФБР или АНБ, и руководство компании предпочло безропотно его исполнить.
После первоначального сообщения эта история продолжила обрастать теориями и подробностями. В частности, издание Vice Motherboard сообщало, что всю почту пользователей проверял не просто некий сканер, но спецслужбы внедрили на серверы Yahoo мощный руткит.
Но пока СМИ и пользователи упражнялись в построении все более жутких теорий заговора, Yahoo почти не защищалась и хранила практически полное молчание. Лишь в самом начале скандала представители Yahoo заявили, что компания «не нарушила никаких законов», а также кратко сообщили, что почтового сканера, описанного Reuters, не существует.
19 октября 2016 года главный юрисконсульт Yahoo Рон Белл (Ron Bell) опубликовал в интернете письмо (PDF), которое компания, в его лице, направила лично Джеймсу Клэпперу (James Clapper), главе Национальной разведки США.
В письме Yahoo просит американское правительство «внести ясность» и рассказать гражданам о том, какие именно приказы отдавали интернет-компаниями представители органов госбезопасности. Белл подчеркивает, что хотя письмо в основном сконцентрировано вокруг Yahoo и обвинений, которые в последнее время выдвигают против компании, на самом деле, обращение Yahoo имеет более широкий смысл. По сути, это просьба к властям работать прозрачнее и предоставлять информацию гражданами и пользователям, особенно если их личные данные могли быть частью неких правительственных запросов,
«Ваше ведомство находится в идеальном положении, подходящем для прояснения данного вопроса и удовлетворения общественного интереса. Таким образом, мы призываем ваше ведомство рассмотреть следующие шаги для прояснения ситуации: подтвердите, существовало ли предписание, описываемое средствами массовой информации; снимите гриф секретности с данного предписания или его части, если таковое существует; предоставьте достаточно подробный публичный комментарий, проливающий свет на все предполагаемые факты и обстоятельства этого дела», — гласит документ.
Стоит отметить, что ранее письмо похожего содержания Джеймсу Клэпперу направили и члены Палаты представителей, которые так же очень хотят узнать, что на самом деле произошло между компанией Yahoo и спецслужбами, и на самом ли деле компания читала всю корреспонденцию миллионов пользователей.
Команда разработчиков Google Chrome выпустила стабильную версию браузера под номером 136 для Windows, macOS и Linux. Вроде бы очередное «техническое» обновление, но есть важная причина не откладывать его установку — в новой версии закрыли сразу восемь уязвимостей, включая одну очень серьёзную.
Главная звезда (и одновременно тревожный сигнал) в списке — CVE-2025-4096, уязвимость высокой степени риска в HTML-движке Chrome.
В двух словах: это heap overflow (переполнение буфера), которое может возникнуть при обработке веб-страниц. Если злоумышленник грамотно воспользуется этой брешью, он сможет выполнить произвольный код на вашем компьютере. То есть буквально получить доступ к системе. Неудивительно, что Google заплатила $5000 исследователю, который её обнаружил.
Апдейт также закрывает несколько менее опасных, но всё равно важных проблем:
CVE-2025-4050 — ошибка с выходом за границы памяти в DevTools (средняя опасность);
CVE-2025-4051 — недостаточная проверка данных в DevTools (тоже средней степени);
CVE-2025-4052 — некорректная реализация одной из функций (низкая опасность).
Что делать?
Обновиться как можно скорее! Обычно Chrome обновляется сам, но лучше перепроверить:
Откройте chrome://settings/help — и убедитесь, что у вас стоит последняя версия.
Google, кстати, намеренно не раскрывает технические детали уязвимостей до тех пор, пока большинство пользователей не установит патчи.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
