Популярная среди блогеров платформа WordPress получила обновление, закрывающее очередную критическую уязвимость, благодаря которой злоумышленники способны брать веб-сайты под свой контроль. В четверг была выпущена версия WordPress 4.2.3, которая устраняет уязвимость типа «межсайтовый скриптинг», позволяющую пользователям со статусами автор (Author) или участник (Contributor) получать доступ к сайту.

Хотя в данном случае для использования уязвимости нужна аутентификация на сайте, она всё же таит в себе немалую угрозу, поскольку получение доступа к одному не администраторскому аккаунту может повлечь за собой несанкционированный доступ к сайту. Также исправлена не столь значимая уязвимость, которая позволяет пользователям с разрешением Subscriber permission создавать посты при помощи функции Quick Draft, и 20 других не связанных с безопасностью ошибок. Администраторам веб-сайтов рекомендуется как можно оперативнее установить данное обновление, сайты с автоматическими обновлениями уже начинают получать его.

Сайты на WordPress являются популярной целью сетевых атак, даже не обладая важными сведениями в своих базах данных. Злоумышленники могут использовать их для распространения вредоносного ПО или проведения DoS-атак.

Компания Mozilla объявила о том, что браузер Firefox будет оптимизирован для работы с операционной системой Windows 10, и уже успела внести в него ряд изменений в преддверии 29 июля. Бета-версия Firefox 40 доступна для скачивания с рядом нацеленных на Windows 10 улучшений. В частности, речь идёт о модификациях пользовательского интерфейса, которые сочетаются с внешним видом Windows 10.

Внесены изменения в ряд иконок, для людей со слабым зрением увеличены адресная строка и панель поиска. Теперь размер шрифта в них не уступает размерам в других браузерах. Скачать браузер можно здесь.

Тем временем, инициатива компании Hewlett-Packard под названием Zero-Day обнаружила в браузере Internet Explorer четыре уязвимости нулевого дня - ZDI-15-359, 360, 361 и 362. Согласно политике компании, после 120 дней с того момента, как разработчики были поставлены в известность о наличии уязвимостей, данные о них публикуются в открытом доступе.

Уязвимости делают возможным удалённое исполнение кода и дают злоумышленникам повышенные привилегии. Для этого пользователей необходимо заманить на специально созданные страницы. Ряд экспертов рекомендуют на время прекратить использование Internet Explorer, пока уязвимости не будут закрыты. Напомним, что в выходящей на следующей неделе Windows 10 в качестве браузера по умолчанию используется Edge.

Один из наиболее популярных клиентов BitTorrent, приложение uTorrent, зарабатывает за счёт рекламы и программного обеспечения, которое предлагает установить при собственной установке. Именно это стороннее ПО и стало источником проблем приложения uTorrent, которое уже не впервые попало в категорию вредоносных, хотя раньше это происходило не столь масштабно.

По меньшей мере шесть антивирусов, включая Symantec и ESET, сейчас относят uTorrent к небезопасным приложениям. Сканирование связывает файл uTorrent.exe с трояном Trojan.Win32.Generic!BT и помечает идущее с ним в связке приложение OpenCandy как вредоносное.

Само приложение uTorrent вредоносным не называется, однако это не мешает браузеру Google Chrome блокировать связанные с ним страницы официального веб-сайта, а также с страницы другого программного обеспечения от разработчиков uTorrent (располагающейся в Сан-Франциско компании BitTorrent Inc.). Причиной называется скачивание и установка вредоносного программного обеспечения без согласия пользователя. Chrome помечает uTorrent как потенциально вредоносное ПО и блокирует попытки скачать его, хотя такое поведение зафиксировано не у всех пользователей этого браузера. Google обещает, что за счёт функции Safe Browsing в будущем пользователи будут получать больше уведомлений о нежелательных приложениях.

На прошлой неделе стало известно, что масштабный взлом компании Hacking Team привёл к утечке на торренты около 400 Гб данных, и среди них были сведения об уязвимостях в Flash Player и Windows. Теперь были обнаружены ещё две уязвимости Adobe Flash Player, их нашла компания FireEye.

В базе данных Common Vulnerabilities and Exposures уязвимости обозначены как CVE-2015-5122 и CVE-2015-5123. В компании Adobe их существование подтвердили и обещали закрыть на этой неделе. Компания Trend Micro пишет, что проблема затрагивает версии приложения на операционных системах Windows, OS X и Linux.

Эксплоиты Hacking Team использовались в программном обеспечении Remote Control System (RCS) для незаметного наблюдения за удалёнными компьютерами. Вредоносное ПО устанавливается на системы при посещении веб-сайта. Пока неизвестно, разработали специалисты Hacking Team эти приложения самостоятельно или они были приобретены. Попавшая в сеть переписка говорит о том, что вероятны оба сценария.

В свете таких находок глава безопасности Facebook Алекс Стамос считает, что Adobe должна объявить дату окончания жизненного цикла Flash Player, а браузеры подготовить прекращение поддержки. В 2012 году Adobe объявила о прекращении выпуска новых версий Flash Player для Android, iOS также не поддерживает данную технологию, YouTube прекратил поддержку в январе.

На этот призыв оперативно откликнулись в компании Mozilla, и теперь по умолчанию браузер Firefox блокирует все версии Flash. Пользователи в настройках могут включить поддержку Flash самостоятельно.

Компания Google представила вторую предварительную версию мобильной операционной системы Android M для разработчиков. Напомним, что первая была выпущена в мае после анонса на конференции разработчиков Google I/O.

Система доступна для установки на смартфоны Nexus 5 и 6 и планшеты Nexus 9, а также для Nexus Player. Как обычно в таких случаях, говорится об исправлении ошибок и повышении производительности и стабильности работы системы. Ряд изменений относятся к разрешениям, связанными с отпечатками пальцев, Bluetooth и Wi-Fi. Также обновлён комплект средств разработки с образами системы для создания и тестирования приложений.

Список проблем включает в себя падения приложения Messenger в 64-разрядном эмуляторе, проблему с синхронизацией контактов, невозможность делиться видео на YouTube, ошибки в функционировании рабочих профилей (Android For Work). Зато решена проблема с памятью, от которой страдают устройства на Android Lollipop. Инструмент управления памятью в настройках системы показывает список запущенных приложений и потребляемый ими объём памяти. Список приложений теперь прокручивается вертикально вместо прежнего горизонтального направления.

До релиза финальной версии осенью ожидается выпуск ещё одной предварительной версии Android M.