Веб-браузеры являются неотъемлемой частью любого компьютерного устройства, являясь окном в Интернет. Подавляющее число пользователей знакомы с Chrome, Internet Explorer и Firefox, бросить вызов которым чрезвычайно сложно. Однако именно это постарается сделать браузер, разработчиков которого возглавляет один из основателей компании Opera Йон фон Течнер. На этой неделе была представлена версия Vivaldi 1.0.

По словам Течнера, рынку необходим отличающийся от других браузер, и он позиционирует его как продукт с богатой функциональностью для опытных пользователей. После долгого периода разработки и открытого тестирования финальная версия добралась до первых пользователей. Браузер даёт возможность перемещать панель вкладок с верхней части вниз или вбок для организации страниц по группам, веб-панели позволяют одновременно просматривать несколько страниц, есть инструмент создания заметок с поддержкой изображений, опционально доступен интерфейс с командной строкой.

Определённые действия можно связать с определёнными жестами мышью и сочетанием клавиш на клавиатуре. Vivaldi обладает обширными возможностями кастомизации - разработчики говорят более чем о миллионе вариантов настроек.

Браузер основан на движке Google Blink, при это расходует памяти меньше по сравнению с Chrome, Firefox и Safari, а также поддерживает большую часть расширений для Chrome. Пока что отсутствует синхронизация между разными устройствами и поддержка клиентов электронной почты, но разработчики уже трудятся над этим. Доступны версии браузера для Windows, Apple OS X и Linux, в будущем выйдет мобильная версия.

Компания Adobe в настоящее время работает над экстренным обновлением для Flash Player после того, как появилась информация об использовании уязвимости данного продукта. Уязвимость CVE-2016-1019 затрагивает Flash Player версии 21.0.0.197 на системах Windows, Mac, Linux и Chrome OS.

Уязвимость активно использовалась в системах Windows XP и 7 на версиях Flash Player 20.0.0.306 и более ранних. Успешное использование может вызвать падение приложения и захват злоумышленниками контроля над системой. Релиз патча может состояться уже в четверг, не дожидаясь следующей недели, когда будут выпущены ежемесячные вторничные патчи.

Flash Player представляет собой излюбленную цель хакеров, используясь на сотнях миллионов компьютеров по всему миру и обладая множеством уязвимостей. На Windows и Mac OS X Flash Player регулярно обновляется, однако мало выпустить обновления - пользователи ещё должны установить их, чего они часто не делают.

На протяжении многих лет Adobe старается сделать Flash более безопасным, однако для приложения возрастом в два десятилетия это трудная задача. В декабре Adobe признала, что HTML5 является будущим веб-анимации, и выпустила для разработчиков контента приложение Animate CC.

На конференции безопасности Black Hat Asia 2016 в Сингапуре два исследователя из США рассказали, как популярные расширения браузера Firefox могут быть использованы вредоносными расширениями для атак на пользователей. В последние два года эти специалисты создавали подобные вредоносные расширения, работающие на основе механизма «повторного использования расширений» (extension reuse).

Все обращения расширений в Firefox выполняются с повышенными привилегиями, что открывает перед злоумышленниками обширные возможности. Одно из расширений оказалось способно обойти процесс обзора со стороны Mozilla и попасть в магазин. Расширение не производит никаких обращений к наиболее чувствительным частям браузера Firefox, почему его и не видят ни автоматические средства анализа, ни при ручном процессе обзора. Исследователи смогли воспользоваться популярными расширениями GreaseMonkey (1,5 млн. активных установок), Video DownloadHelper (6,5 млн. активных установок) и NoScript (2,5 млн.).

Для эксперимента исследователи вручили Mozilla на осмотр безвредное расширение, которое задействует механизм повторного использования. Тестовое расширение ValidateThisWebsite содержит всего 50 строк кода и было одобрено сотрудниками Mozilla.

После исследователи показали персоналу Mozilla метод проведения атаки и исходный код фреймворка Crossfire, который поможет обнаруживать атаки подобного типа.

Исследователи из компании Check Point Software говорят об обнаружении уязвимости в интерфейсе Apple Mobile Device Management (MDM) на платформе iOS. Она может быть использована для получения полного контроля над устройствами. Атаки под названием SideStepper помогают взломать функции корпоративного управления и обойти систему безопасности.

Отправив ссылку на устройство, можно взять контроль над MDM, после чего устанавливать вредоносное ПО и вносить изменения в настройки. Необходимо зарегистрироваться в программе Apple Enterprise Developer и получить сертификат для подписания приложений. Далее методами социальной инженерии жертв вынуждают устанавливать приложения, показывающие настройки устройств и данные с них. Подобный метод использования сертификатов уже широко применяется в сторонних магазинах приложений для iOS. Для проверки уязвимости было создано вредоносное приложение, маскирующееся под программу iOS Newsstand. Оно позволило получить доступ к адресной книге, фотографиям и данным о местоположении.

Apple внесла в iOS 9 ряд изменений, затрудняющих атаки такого рода, в том числе более сложный процесс проверки при установке приложений. По умолчанию iOS не позволяет запускать приложения с недостоверными сертификатами, зато автоматически доверяет установленным через системы MDM программам. Между тем, интерфейс MDM в iOS 9 оказался уязвим перед атаками «человек посередине». Можно отправить новый профиль настроек через сообщение СМС, который перенаправит трафик с устройства на вредоносный прокси-сервер, позволяя отслеживать трафик MDM и самому отвечать под видом сервера MDM, используя API от Apple.

По мнению Apple, атаки такого типа не говорят о слабости системы iOS и возможны за счёт методов социальной инженерии - обмана пользователей.  Поскольку большинство обычных пользователей не используют MDM, им эта опасность не грозит, а те, кто используют, должны получить фишинговое текстовое сообщение и проигнорировать сообщение системы безопасности о вредоносном скачивании.

В 2014 году вредоносная программа Wirelurker также использовала возможности системы iOS по автоматической установке приложений на устройства на предприятиях, тогда большинство пострадавших были из Китая. Поскольку речь идёт не о программной уязвимости, а о системе распространения приложений среди корпоративных клиентов, просто закрыть проблему патчем не получится.

За минувшие восемь дней уровень падений операционной системы iOS 9.3 составлял всего 2,2%. В результате эта версия iOS оказалась самой стабильной из находящихся в обращении. Она сумела обойти даже хорошо зарекомендовавшую себя последнюю версию Android, результат которой равен 2,6%.

Другие крупные релизы iOS в марте испытывали больше проблем, особенно iOS 8, 9 и 9.2. Они оказались более склонны к непреднамеренному завершению работы, уровень перевалил за 3,2%. Примерно тогда же пик падений наблюдался и у iOS 9.3, хотя он был ощутимо ниже.

Во всех версиях с iOS 9.0.2 был баг с веб-ссылками, который оказался связанным с адресом Booking.com и соответствующими приложениями. Несмотря на это, Apple обещает исправить его в будущих программных обновлениях системы.

Проблемы были и в момент первоначального распространения iOS 9.3, когда пользователи некоторых моделей застревали на экране блокировки системы, плюс был баг с зависанием и падением приложений на iPhone 6s и iPhone 6s Plus. Второй вариант версии 9.3 избавился от этих недочётов, а привести пострадавшие аппараты в чувство можно через магазин iTunes при подключении к компьютеру.