Компонент Stagefright, отвечающий за обработку медиа-данных в Android, уже долгое время является главным фигурантом бюллютеней безопасности, которые выпускает Google. Но, как оказалось, от подобных уязвимостей оказалась не защищена и Apple, у которой в аналогичных подсистемах обнаружили множественные уязвимости.
Информацию об уязвимостях в продуктах Apple опубликовал отдел Talos корпорации Cisco, специализирующийся на разработке сетевых средств безопасности. Согласно размещённым пояснениям, у операционных систем iOS, macOS, tvOS и watchOS содержались ошибки и нестрогие проверки при обработке изображений для создания миниатюр. Так, например, компонент Image I/O API содержал дефекты, позволявшие привести к ошибкам типа переполнения буфера, из-за чего любая программа, обрабатывающая изображения формата TIFF, могла позволить злоумышленнику провести удалённое выполнение кода. Непосредственного вмешательства пользователя и не требовалось, так как ему достаточно было получить особым образом сформированное изображение со вшитым вредоносным кодом через MMS или сообщение iMessage. Похожие уязвимости были найдены в компонентах, обрабатывающих форматы OpenEXR и BMP в разных системах от Apple.
Согласно утверждениям Cisco Talos, информация об уязвимостях была опубликована только после того, как Apple была уведомлена о них и выпустила исправления. Специалисты Cisco считают, что графические элементы могут получить широкое распространение в качестве главного носителя вредоносного кода. По мнению исследователей пользователи постепенно понимают опасность запуска незнакомых исполняемых файлов, и злоумышленникам придётся искать новые методы для выполнения нужного им кода. В свете уязвимостей в Android Stagefright и Apple Image I/O API изображения, не требующие от пользователя никаких действий, становятся довольно опасным типом файлов. В Cisco считают, что эту проблему могут решить только разработчики операционных систем, которым стоит проводить более строгую инспекцию исходного кода своих медиа-фреймворков.
В статье речь идёт об уязвимостях с уникальными идентификаторами CVE-2016-4631, CVE-2016-4629, CVE-2016-4630, CVE-2016-1850 и CVE-2016-4637.
Американская поисковая корпорация Yahoo отчиталась о своих финансовых показателях за второй квартал текущего года. Впрочем, несмотря на то, что компания превзошла ожидания аналитиков по некоторым пунктам, этот отчёт может стать одним из последних у корпорации — Yahoo находится в поисках покупателя для всех собственных активов.
Согласно опубликованным данным, в прошедшем квартале Yahoo получила $1,3 млрд. выручки по стандартам отчётности GAAP, обеспечив 5% рост по сравнению с аналогичным периодом прошлого года. Но несмотря на рост выручки, расходы компании оказались довольно серьёзными — выплаты Microsoft в рамках партнёрского соглашения составили $466 млн., расходы на рекламу и маркетинг — $226 млн., на исследования и разработки — $280 млн. Кроме того, Yahoo списала в убыток $395 млн. на поглощение Tumblr, которое теперь можно официально признать неудачным. Вместе с остальными расходами компания зафиксировала чистый убыток в размере $438 млн.
Акционеры компании уже некоторое время выражают открытое недовольство деятельностью Мариссы Майер на посту генерального директора, поэтому в Yahoo официально начат процесс поиска покупателя. По данным журналистов, главным претендентом является телекоммуникационный гигант Verizon Wireless, приобрёвший в прошлом году другого пионера Интернет-рынка AOL и ищущий возможность навязать конкуренцию Google. Сама Майер на конференц-колле заявила, что пока ей нечего сказать по поводу продажи Yahoo, и объявление будет сделано только после достойного предложения со стороны потенциальных покупателей. Сама Майер, в случае продажи компании, по контракту получит $55 млн. компенсирующих выплат. В случае, если покупателей не найдётся, у компании есть запасной план на основе жёсткой оптимизации расходов — в компании идут массовые сокращения, и в данный момент в компании работают около 8800 человек, что соответствует числу сотрудников в 2002 году. Кроме того, Yahoo создала дочернюю компанию Excalibur LLC для продажи около 4000 патентов, которые не относятся к поисковому и рекламному бизнесу.
С августа компания Mozilla начнёт блокировать часть контента Flash в своём браузере Firefox, сделав ещё один шаг на пути избавления веба от данной небезопасной технологии. Как и Google в браузере Chrome, Mozilla продолжит поддерживать Flash в целом, но будет блокировать определённый контент, без которого пользователи смогут обходиться при просмотре страниц. В 2017 году по умолчанию Flash в Firefox будет отключен, его потребуется включать вручную. Будет также блокироваться невидимое содержимое Flash.
Плагин Flash для браузеров является известным источником багов и уязвимостей, периодически вынуждая разработчиков браузеров временно блокировать его. Многие эксперты по информационной безопасности советуют пользователям отключить или удалить Flash, но многие крупные сайты продолжают использовать его для отображения видео.
Mozilla обещает, что данный шаг улучшит безопасность работы в вебе, повысит продолжительность автономной работы, увеличит скорость загрузки страниц и отзывчивость браузера. Mozilla работает над полным избавлением веба от плагинов, в прошлом году анонсировав прекращение поддержки плагинов Netscape Plugin Application Programming Interface (NPAPI) в марте 2017, за исключением Flash. Oracle в сентябре прекратит поддержку плагина Java.
Сайтам на Flash и Silverlight Mozilla советует переходить на HTML. Это позволит поддерживать воспроизведение аудио и видео, потоковое вещание, графику 2D и 3D, доступ к микрофону и камере.
Корпорация Google, попавшая под пристальное внимание Европейской Комиссии, изо всех сил старается спасти свою репутацию в глазах европейских политиков. По данным авторитетной газеты The New York Times на эту цель американская корпорация потратит около $450 млн. в период с 2015 по 2017 года.
Текущая политика Европейского союза в отношении американских компаний, в особенности занятых в сфере разработки программных продуктов, отличается довольно жёстким характером, граничащим в какой-то степени с жестокостью. В недавнем прошлом любимым «клиентом» Европейской Комиссии по вопросам конкуренции была корпорация Microsoft, которую штрафовали с завидной регулярностью, но теперь эта проблема стала головной болью для руководства холдинга Alphabet, контролирующего Google. Так, обвинения различных европейских структур включают в себя и нарушения законов о конкуренции, и уклонение от уплаты налогов, и невыполнение законов об обеспечении конфиденциальности пользователей. Google всё это, естественно, отрицает, но это нисколько не меняет сложившуюся ситуацию — Google находится в юридической осаде.
Для того, чтобы исправить ситуацию, Google использует самые разные методы. Так, например, даже при вынесении обвинительных постановлений суммы штрафов могут быть существенно сокращены для компаний, если они занимаются общественно значимой деятельностью — инвестициями в государственные проекты, благотворительностью, образованием, культурой и подобным. Именно в этом направлении и пытается работать Google — в 2014 году были проведены годовые бесплатные курсы для преподавателей вузов в Ирландии для адаптации образования в цифровую эпоху, в 2015 — была запущена европейская партнёрская программа для печатных издателей по переносу их данных в Интернет, в марте этого года была проведена выставка произведений эпохи Возрождения с использованием виртуальной реальности в Брюссельском музее искусств. Подобные мероприятия Google проводит по всей Европе и надеется с их помощью повысить свой престиж.
Не обходится без работы и непосредственно с политиками. Траты на официальное лоббирование своих интересов в одном только Брюсселе в 2014 году составили около $4,2 млн., что в три раза больше, чем траты в 2013 году. Подобные траты у Google фактически во всех столицах ведущих стран Евросоюза, и год от года они только растут. Впрочем, пока эффективность данных усилий под значительным вопросом, так как давление Еврокомиссии не уменьшается, а продолжает уверенно расти. Тем не менее, пока никаких мер в отношении Google принято не было, и по прогнозам юридических специалистов в этом году американской корпорации вряд ли грозят какие-либо серьёзные санкции. Но все текущие расследования безусловно должны будут закончиться, и решения по ним могут быть приняты довольно жёсткие.
По оценкам аналитиков на основе текущей официальной отчётности и анализа тенденций, Google в ближайшие два года потратит ещё, как минимум, около $300 млн. на эти нужды.
Правительственные запросы данных пользователей Google достигли максимальных высот во второй половине 2015 года, о чём компания сообщила в понедельник. С июля по декабрь 2015 правительства по всему миру сделали 40677 запросов относительно 81311 аккаунтов. Рост по сравнению с первым полугодием составил 18%, тогда было затронуто 68908 пользователей. Большинство запросов были из США - 12523 относительно 27157 аккаунтов.
Google предоставляет эту статистику каждые полгода со второй половины 2009. Число запрашиваемых аккаунтов компания начала называть в первой половине 2011. Поскольку число пользователей Google растёт, растёт и число запросов.
Со второй половины 2010 Google называет количество удовлетворённых запросов. На этот раз таких было 64%. Уровень остаётся примерно одинаковым с 2013 года, слегка уменьшаясь. Запросов из США было удовлетворено 79%.
Компания получила в США 211 запрос по IP-адресам и номерам телефонов 439 аккаунтов. Информация была выдана в 92% случаев. Запросов в рамках Акта о негласном наблюдении в целях внешней разведки (FISA) было получено между 500 и 999 на 16000-16499 пользователей. На «письма национальной безопасности» пришлось менее 500 запросов на 500-999 аккаунтов.