В популярной библиотеке Java свыше девяти месяцев назад была обнаружена уязвимость, которая в настоящее время подвергает риску удалённых атак тысячи приложений и серверов. Библиотека Apache Commons содержит набор широко используемых компонентов, поддерживаемых организацией Apache Software Foundation. Эта библиотека используется по умолчанию в многочисленных продуктах, таких как Oracle WebLogic, IBM WebSphere, JBoss, Jenkins OpenNMS.

Уязвимость находится в компоненте Apache Commons под названием Collections и происходит от небезопасной десериализации объектов Java. Сериализацией в языках программирования называется процесс перевода данных в двоичный формат для их хранения в файле, памяти или отправки в сеть. Процесс обратного преобразования данных называется десериализацией.

В январе на конференции по сетевой безопасности об уязвимости рассказали исследователи Крис Фрохофф и Габриель Лоуренс. Должного внимания этой новости уделено не было; возможно, считается, что за предотвращение таких атак отвечают разработчики приложений, а не библиотек. Внимание к уязвимости в очередной раз было привлечено в минувшую пятницу, когда компания FoxGlove Security выпустила эксплоит для приложений WebLogic, WebSphere, JBoss, Jenkins и OpenNMS.

Компания Oracle в ответ на это во вторник выпустила временные инструкции для WebLogic Server, работая над закрывающим уязвимость патчем. Разработчики Apache Commons Collections также готовят своё обновление. Предположительно, проблема может затрагивать и другие компоненты Java. Уязвимость относится к классу InvokerTransformer и ещё три класса находятся сейчас под подозрением.

Одной из главных угроз современного Интернета являются ransomware-приложения, зашифровывающие пользовательские файлы и требующие выкуп за ключ для их расшифровывания. Этим программам столь трудно противостоять, что даже ФБР советует заплатить за возвращение своих данных. В интересах хакеров сохранять ключ шифрования в надежде продать его, однако иногда всё идет не так, как задумано.

Программа под названием Power Worm прежде нацеливалась на файлы Excel и Word, но недавно была обновлена и стала опасной и для файлов ряда других форматов. Опасность в буквальном смысле «смертельная» - ошибка в программе приводит к тому, что она забывает ключи, необходимые для разблокирования файлов своих жертв. Даже если эти жертвы заплатят, файлы обратно они не получат.

Ошибку в программе обнаружил исследователь Натан Скотт. Причиной ошибки стала попытка разработчика приложения упростить процесс дешифрования за счёт использования одного идентификатора и кода для каждого пользователя вместо уникальных параметров. В результате скрипт не может декодировать некоторые строки, выдавая результат NULL.

Единственная надежда жертв этой программы заключается в резервном копировании данных; при отсутствии резервных копий вернуть их не получится.

Пока компания Adobe делает доступной предварительную версию своего программного обеспечения Flash Player 20 и продолжает собирать негативные отзывы от исследователей компьютерной безопасности, для обычных пользователей также есть новости. Adobe представила версию Flash Player 19.0.0.245, которую традиционно рекомендуется скачать и установить как можно скорее, поскольку в ней закрыты ряд критических уязвимостей и исправлены некоторые ошибки.

В данный момент подробный список нововведений отсутствует, поскольку описываемая версия появилась на серверах Adobe совсем недавно. Случилось это во второй вторник месяца; в этот день Adobe выпускает обновления своего программного обеспечения, как и компания Microsoft. Flash Player входит в состав многих продуктов сторонних производителей, такие как браузеры Internet Explorer и Google Chrome, разработчики которых вынуждены каждый раз вручную обновлять свои продукты до новой версии плеера.

Несмотря на все угрозы безопасности и призывы крупных Интернет-компаний отказаться от использования Flash Player, его распространённость в данный момент остаётся весьма высокой, и ухода этого приложения со сцены в ближайшее время не произойдёт.

Пока Adobe продолжает разработку Flash Player, исследователи продолжают ставить под сомнение безопасность этого программного обеспечения. В понедельник были опубликованы результаты исследования компании Recorded Future, в котором рассматривалось более 100 комплектов эксплоитов. Они представляют собой встраиваемые в веб-страницы фреймворки, автоматически ищущие уязвимости программного обеспечения.

Из 10 основных найденных в эксплоитах уязвимостей 8 нацелены на плагин Flash, используемый на сотнях миллионов компьютеров для воспроизведения мультимедийного контента. Популярные комплекты эксплоитов (Angler, Neutrino, Nuclear Pack) и тематические форумы анализировались с января по сентябрь.

В результате исследователи, как и многие специалисты до них, ставят под вопрос необходимость использования Flash в безопасных операционных системах. Они говорят, что сам факт уязвимости Flash сомнений давно не вызывает, однако их масштабы впечатляют. Несмотря на попытки Adobe сделать свой продукт безопаснее (ежемесячно выпускаются обновления безопасности, а при необходимости и внеочередные закрывающие уязвимости нулевого дня патчи), полностью исправить приложение возрастом два десятка лет представляется слишком сложной задачей.

Среди тех, кто желает Flash схода со сцены, можно назвать Apple, Facebook, Google и ряд других компаний.

10 ноября по всему миру состоится релиз игры Fallout 4, однако только на персональных компьютерах геймеры получат любительские моды и прочие усовершенствования от фанатов. Приставки не поддерживают такого рода функциональности, которая значительно продлевает продолжительность интереса к играм. Достаточно взглянуть на игру The Elder Scrolls V: Skyrim с её примерно 16 тысячами модов, которыми пользователи наслаждаются на протяжение вот уже нескольких лет. Сама по себе игра в первоначальном виде также была удачной; благодаря сочетанию этих факторов через 5 лет после релиза Skyrim находится в десятке самых популярных игр сервиса Steam.

Первый мод для Fallout  4 делает окружающий мир более ярким и насыщенным красками. Создатель мода пишет, что его целью было сделать пустошь более притягательным для геймеров местом.

Компания Bethesda анонсировала намерение выпустить в будущем году инструменты для создания модов, однако поскольку в игре используется тот же движок Creation Engine, что и в Skyrim (хотя и обновлённый), моды появятся значительно раньше этого срока.

Помимо ПК, 10 ноября игра выйдет на PlayStation 4 и Xbox One.