В 2010 году компания Google начала программу поощрения сторонних независимых специалистов, выявляющих уязвимости в продуктах компании. Начавшись в качестве небольшого эксперимента, программа под названием VRP в дальнейшем начала охватывать не только приложения поисковой корпорации, но и множество проектов с открытым исходным кодом. Сейчас Google подвела итоги 2014 года и рассказала о новых возможностях для сторонних исследователей.

Как сообщил сотрудник отдела Google Security Эдуардо Вела Нава, в прошедшем году было выплачено в общей сложности более $1.5 млн. USD (всего около $4 млн. с 2010 года) более чем 200 независимым исследователям за обнаружение и/или исправление более 500 уязвимостей в разных продуктах. Максимальная награда составила $150 тыс., и она досталась известному хакеру Джорджу Хотцу, который после этого решил стать сотрудником Google в рамках инициативы Project Zero. Наиболее пристальное внимание исследователи уделяли браузеру Google Chrome, при этом более половины обнаруженных в нём уязвимостей были обнаружены на этапе тестирования в бета-версиях и из канале для разработчиков, потому значительная часть дефектов так и не дошла до обычных пользователей.

Три наиболее активных участника VRP в 2014 году в офисе Google.

Для стимулирования дальнейших изысканий, компания в новом году анонсирует две новых инициативы в рамках программы. Первое нововведение заключается во внедрении практики грантов. Отдел безопасности Google мотивировал это решение пониманием того, что исследователи могут тратить значительное время на поиск уязвимостей, которое может мешать как основной работе, так и досугу, поэтому исследователи должны быть поощрены даже до того, как обнаружат что-либо. Гранты будут делиться на три категории: анализ недавно выпущенных продуктов, анализ продуктов с конфиденциальной информацией, анализ эффективности патчей. Максимальная сумма гранта составляет $3113.7, но один человек может получить несколько грантов на один продукт, или же, наоборот, один грант на несколько продуктов, в зависимости от сложности задачи. По итогам завершенного исследования хакер может не обнаружить никаких уязвимостей, но в этом случае грант всё равно останется у него, и он не лишится возможности получить новый. Присоединиться к программе грантов в данный момент может только человек, участвовавший ранее в любой из инициатив Google по поиску уязвимостей.

Второй инициативой стало очередное расширение продуктов, подпадающих под награды. Теперь энтузиасты могут приступить к испытанию на прочность приложений Google для операционных систем Android и iOS. Максимальная стандартная награда составит $20 тысяч.

Компания Qualys, специализирующаяся на проблемах информационной безопасности, заявила о том, что в стандартной для многих операционных систем библиотеке языка C — glibc — была обнаружена серьёзная уязвимость под названием GHOST, позволявшая злоумышленнику выполнить произвольный код на компьютере жертвы или сервере. Особую пикантность ситуации придал тот факт, что одна из компаний-разработчиков Linux-дистрибутива давно знала об уязвимости, но не сообщила о ней никому.

Проводя аудит безопасности, специалисты Qualys обнаружили, что в функции __nss_hostname_digits_dots() библиотеки libc была возможность произвести атаку как локально, так и удалённо, связанную с переполнением буфера. В случае если разработчик программы использовал подфункцию gethostbyname*() для доступа к преобразовывателю адресов DNS (конвертирует адрес сайта в IP-адрес), то из-за ошибок проектирования появлялась возможность для выполнения произвольного кода. Специалисты Qualys разработали рабочий эксплойт для демонстрации возможности атаки по всем векторам и связались с разработчиками популярных дистрибутивов Linux, как коммерческих, так и поддерживаемых сообществом. Эксплойт был в состоянии обойти все технологии защиты, включая ASLR, NoeXecute-bit, PIE и SELinux. С публикацией данных об уязвимости, получившей название GHOST (gethostbyname/ghost — привидение), были одновременно выпущены и патчи для большинства Linux-систем, включая Red Hat Linux, Oracle Enterprise Linux, Debian, Ubuntu и других.

Рассказ об уязвимости от инженеров Qualys (на англ. яз.)

Впрочем, позднее выяснилось, что единственной Linux-системой, использующей glibc и не подверженной уязвимости, оказалась Google Chrome OS. Принявшиеся искать причины этой устойчивости энтузиасты пришли к выводу, что компания Google знала об уязвимости, как минимум, с апреля прошлого года. Патч, закрывающий уязвимость, был добавлен в публичные репозитории исходных кодов Chromium 17 апреля, но по каким-то причинам не был замечен никем, а сама Google не разослала уведомлений ни в Linux Foundation, ни команде разработчиков glibc. В корпорации никак не прокомментировали сложившуюся ситуацию. Другая ОС от Google — Android — не подвержена дефекту, так как вместо glibc в ней используется собственная разработка компании — Bionic. Также устойчивы другие альтернативные библиотеки — uclibc и musl. Специалисты в области сетевого стека Linux заявили, что несмотря на то, что уязвимости присвоен высочайший уровень опасности по шкале NIST, эксплуатировать GHOST трудно из-за того, что вызов gethostbyname*() является устаревшим из-за отсутствия поддержки IPv6, и сейчас разработчиками программ используются другие вызовы.

Среди множества огласивших на этой неделе финансовые результаты последнего квартала и всего 2014 года компаний отметилась и Facebook. Для неё год оказался вполне удачным благодаря росту как доходов, так и числа пользователей. Социальная сеть выросла на 13%, число ежемесячно активных пользователей составляет сейчас 1,39 млрд. человек. Ежедневно на сайт Facebook заходят 890 млн. пользователей.

Поскольку продажи мобильных устройств растут, а ПК падают, именно мобильное направление является для Facebook приоритетным. Исключительно с мобильных устройств в социальную сеть регулярно выходят 526 млн. пользователей. Год назад их было лишь 296 млн., рост составил 78%.

Всего же в среднем за сутки с мобильных устройств Facebook посещают 745 млн. пользователей, среди них многие заходят также с ПК. Компания намеревается увеличивать этот показатель, готовя приложение Facebook Lite, которое пригодится при отсутствии высокоскоростного подключения.

Доходы компании за год выросли на 58% и составили $12,47 млрд., прибыль $701 млн. Доля дохода от рекламы на мобильных устройствах за год выросла в общей сумме рекламных доходов с 53% до 69%.

Компания Google по итогам 4-го квартала минувшего года не сумела оправдать ожидания аналитиков, показав более низкие результаты по доходу и прибыли. Кроме того, рост основного для компании рекламного бизнеса также оказался медленнее ожидавшегося.

Доход за 4-й квартал составил $18,1 млрд., что на 15% выше результата годичной давности. Однако если принять во внимание стоимость трафика, доход составил $14,48 млрд., тогда как финансовые аналитики рассчитывали на $14,61 млрд. Валовая прибыль за квартал равна $4,76 млрд., рост за год на 40%.

Прибыль в пересчёте на акцию составила $6,88 вместо $6,7 годом ранее, однако аналитики ждали уровня $7,08. Стоимость акций в первые часы после оглашения финансовых результатов снизилась на $1,93% до отметки $500,79.

Средняя стоимость клика на сайте Google и её партнёров выросла на 14%, однако темпы роста этого показателя у Google снижаются на протяжении нескольких последних кварталов. Что касается дохода за весь 2014 год, он у Google составил $66 млрд. (+19%).

Ситуация с видеокартами Nvidia GeForce GTX 970 продолжает набирать обороты. Поначалу неправильно заявленные спецификации и некоторое падение производительности при использовании более 3 Гб видеопамяти казались малозначительной проблемой. В конечном счёте, от того, что Nvidia поменяла на своём официальном сайте пару строк в спецификациях, уже купленная карта не стала работать медленнее, а вопрос с памятью затрагивает незначительное число пользователей с мониторами с разрешением 4K.

Однако в Европе пользователи относятся к своим правам зачастую довольно щепетильно, чему способствует местное законодательство. Согласно ему, розничные сети обязаны принимать товар обратно и полностью возмещать его стоимость, если характеристики не соответствуют заявленным и если они не способны исправить их. Очевидно, что проблему с памятью продавцы исправить никак не могут.

Портал Techspot сообщает, что ситуацией спешит воспользоваться компания AMD, снизившая стоимость видеокарты Radeon R9 290X до $299 вместо прежних $330-350. Производительность у 290Х и GTX 970 сопоставимая, а рекомендуемая цена GTX 970 составляет $330. Однако к числу минусов R9 290X относится заметно большее энергопотребление и тепловыделение (что зачастую приводит к более шумной работе системы охлаждения).

Techspot сообщает, что цены остальных карт остались без изменения: R9 290 стоит $270, 280X - $240, R9 285 - $210. Однако WCTech пишет, что специально для желающих обменять свою GTX 970 AMD предлагает по сниженным ценам не только R9 290X. Ссылаясь на сообщение в Твиттере представителя AMD Роя Тейлора, говорится, что по специальной цене предлагаются все карты с объёмом памяти 4 Гб. Сложно сказать, насколько все эти инициативы AMD применимы к российской рознице.

Кроме того, в AMD не упустили случая сделать выпад в сторону своего конкурента, который показан на изображении выше.