В третий раз менее чем за полгода компания Lenovo столкнулась с проблемами безопасности своих устройств, вынудившими её обновлять предустановленные на компьютеры приложения. На прошлой неделе была представлена версия Lenovo System Update 5.07.0019, помогающего поддерживать актуальность драйверов и БИОСа инструмента, прежде носившего название ThinkVantage System Update. Закрыто две дающих возможность повышать привилегии в системе уязвимости, обнаруженные исследователями из компании IOActive.
Одна уязвимость располагается в справке приложения и позволяет обладателям учётной записи Windows с ограниченными правами запустить Internet Explorer с привилегиями администратора, нажав на ссылку URL. Приложение Lenovo System Update запускается под временной учётной записью администратора, которую оно создаёт при установке, и любой его процесс работает в рамках этой учётной записи. Отсюда атакующие имеют разные способы повышения своих полномочий в системе.
Вторая уязвимость тоже связана с временной учётной записью администратора, а именно с процессом создания имени пользователя и пароля. Имя пользователя создаётся по шаблону tvsu_tmp_xxxxxXXXXX, где х и Х представляют собой строчные и прописные случайно генерируемые буквы. Однако функция связана с текущем временем и результат её работы можно вычислить. При создании пароля используется два метода, один из которых также предсказуем. В результате имя и пароль могут стать известны хакерам.
Другие обновления Lenovo System Update вышли в июле и октябре, закрывая позволяющие выполнять в приложении различные команды и менять достоверные обновления на вредоносное ПО уязвимости.
В минувшие выходные Microsoft заменила ссылки на скачивание образов ISO ноябрьского обновления системы Windows 10 Threshold 2 ссылками на сборку RTM (10240) и сделала обновление недоступным в инструменте Media Creation Tool. Спустя несколько дней обновления возвращается, а компания рассказывает о причине его временного отсутствия.
Причиной этой стал небольшой баг, проявлявшийся у небольшого количества пользователей, при котором ряд настроек системы при обновлении сбрасывались до значений по умолчанию. Все настройки относятся к разделу конфиденциальности приложения Параметры: во вкладке «Общие»находятся «Позволить приложениям использовать мой идентификатор получателя рекламы» и «Включить фильтр SmartScreen для проверки веб-содержимого (URL), которые могут использовать приложения из магазина Windows. Другие две затронутые настройки - разрешение приложениям работать в фоновом режиме (конфиденциальность - фоновые приложения) и синхронизация между устройствами (конфиденциальность - другие устройства). По умолчанию все четыре настройки включены.
Поскольку по вопросу конфиденциальности на Microsoft в связи с Windows 10 обрушилось немало критики, автоматическое включение сбора данных, который пользователи прежде отключили, является чувствительным вопросом.
Исключительно для систем с установленным Threshold 2 Microsoft представила кумулятивное обновление KB3120677. Его рекомендуется установить как можно скорее, поскольку оно возвращает описанные выше настройки конфиденциальности в состояние, в котором они находились до установки Threshold 2. По такому случаю обновление сопровождается списком изменений, говорящим о «улучшении функциональности Windows 10 версии 1511».
Добавлено: довольно быстро стало известно о проблемах с данным обновлением у некоторых пользователей. У кого-то процесс скачивания зависает на 45%, у других выдаётся ошибка с кодом 0x800706d9, который никак не объясняет её причину. Решением проблемы является скачивание и установка обновления вручную.
Добавлено 2: незначительное число пользователей сообщают, что обновление KB3120677 у них вместо возвращения ранее заданных настроек конфиденциальности сбрасывает их (то есть активирует полный сбор данных), а заодно и приложения по умолчанию. Другие пишут, что в лучшем случае настройки конфиденциальности остаются без изменений, не возвращаясь к значениям, заданным до установки Threshold 2.
Это уже не первый случай сброса заданных по умолчанию приложений: само обновление Threshold 2 делает то же самое, как и ряд кумулятивных обновлений до него. Судя по росту числа сообщений в приложении Отзывы о Windows, многим пользователям такая практика Microsoft начинает надоедать.
Китайская компания Huawei представила свой очередной флагманский смартфон, модель Huawei Mate 8. Огромный аппарат обладает большим 6-дюймовым слегка изогнутым по краям IPS-экраном и приходит на смену прошлогоднему Huawei Mate 7.
Аппарат получил более тонкую рамку по краям экрана и стекло 2,5D. Смартфон работает на процессоре HiSilicon Kirin 950 с четырьмя ядрами Cortex-A72 2,3 ГГц и четырьмя Cortex-A53 1,8 ГГц, будучи созданным с использованием сочетания 14 нм и 16 нм технологических процессов. Разрешение экрана составляет 1080 х 1920 пикселей (плотность 367 ppi), объём оперативной памяти 3/4 Гб, флеш-памяти 32/64 Гб.
Используется задняя камера с разрешением 16 Мп и сенсором Sony IMX298 со светосилой f/2.0 (с фазовым автофокусом, размер пикселей 1,12 мкм), спереди 8 Мп (Sony IMX179 с f/2.4). Ёмкость аккумулятора равна 4000 мАч, используется операционная система Android 6.0 Marshmallow с интерфейсом Huawei Emotion UI.
Продажи аппарата в Китае начнутся в первом квартале 2016, до того ознакомиться с ним наверняка можно будет на выставке CES в начале января.
Операционная система Windows 10 в качестве основного браузера использует новый продукт Microsoft, браузер Edge, а Internet Explorer располагается где-то на задворках, призванный обеспечить совместимость со старыми сайтами и технологиями. Edge пока недостаёт некоторых стандартных для других браузеров возможностей, вроде поддержки расширений, и процесс его развития продолжается. Для ускорения этого развития Microsoft не помешают все имеющиеся людские ресурсы, поэтому компания постепенно прекращает поддержку IE.
Недавно было объявлено, что в январе 2016 года поддержки лишатся несколько версий Internet Explorer. Получать обновления продолжит только последняя версия, Internet Explorer 11, на поддерживаемых операционных системах - Windows 7, 8/8.1 и 10. Пользователи этих систем могут обновить свои браузера Internet Explorer до версии 11.
Как обычно в таких случаях, Microsoft говорит о необходимости обновить неподдерживаемые версии браузеров, которые станут представлять угрозу безопасности. Поскольку браузеры являются окном в Интернет, именно они зачастую первыми принимают на себя атаки вредоносного ПО и хакеров.
Даже поддерживаемый IE11 уже не будет получать функциональных обновлений, поскольку Microsoft будет выпускать только патчи для системы безопасности.
Компания Microsoft собирается начать продажи новых сотовых телефонов Nokia 230 и 230 Dual SIM на рынках развивающихся стран. Это уже не первые телефоны, которые Microsoft выпускает после покупки подразделения устройств Nokia, до них были представлены модели Nokia 105 и Nokia 130.
Устройства обладают экранами с диагональю 2,8 дюймов и разрешением 240 х 320 пикселей, будучи выполненными в поликарбонатных корпусах с алюминиевой задней крышкой. Объём оперативной памяти составляет 16 Мб, обе камеры имеют разрешения 2 Мп и светодиодные вспышки. Поддерживаются карты памяти вместимостью до 32 Гб, используется операционная система Series 30+. В аппараты встроены фонарик и радио, плюс приложения Opera Mini, Opera Store, Bing и MSN Weather.
В режиме ожидания Nokia 230 проработает 27 дней (Nokia 230 Dual SIM 22 часа), в режиме разговора 23 часа, ёмкость аккумулятора 1200 мАч. Поддерживаются Facebook, Twitter, GroupMe by Skype и IPv6. Стоимость составляет $55, продажи будут вестись в Индии, Среднем Востоке и Азии в декабре, а позднее и в других странах.