За полчала до закрытия торгов на бирже во вторник в сеть попали финансовые результаты компании Twitter. Доходы компании не оправдали прогнозов аналитиков, в результате чего началось резкое падение стоимости её акций. Несмотря на приостановку торгов, их цена успела упасть на 18%.

Позитивным для Twitter результатом является первое в истории преодоление отметки в 300 млн. активных пользователей за месяц, итоговый показатель составил 302 млн. По сравнению с прошлым годом это значение выросло на 18% и с 288 млн. кварталом ранее. Что касается дохода, он равен $436 млн. против прогнозировавшихся $456,2 млн. Приобретение технологической маркетинговой компании TellApart в Twitter назвали одной из причин снижения дохода. Также генеральный директор Twitter винит показатели ряда новых продуктов «прямого реагирования».

В итоге убыток компании за квартал составил $162 млн. против $132 млн. убытка в прошлом году. Прогноз на доход в следующем квартале уже был снижен до отметки в $470-$485 млн.

Система управления контентом WordPress за неделю закрывает вторую критическую уязвимость, и администраторам рекомендовано обновиться до версии 4.2.1. Веб-сайты с плагином Background Update Tester установят обновление автоматически.

Любая уязвимость WordPress опасна за счёт популярности данной платформы. По собственной статистике, WordPress лежит в основе 23% веб-сайтов глобальной сети. Уязвимость нашёл сотрудник финской компании Klikki Oy и относится она к межсайтовому скриптингу при внедрении в комментарии вредоносного кода на JavaScript. Скрипт активируется при просмотре комментариев пользователями.

Если администратор сайта находится в системе при просмотре вредоносного комментария, злоумышленник может выполнить произвольный код на сервере через плагин и редакторы тем. Далее можно поменять пароль администратора, создать новые аккаунты администраторов и редактировать содержимое сайта. Эта же финская компания нашла другую уязвимость в ноябре прошлого года.

21 апреля была закрыта похожая уязвимость WordPress. Тогда межсайтовый скриптинг был возможен через комментарии, задействуя базу данных MySQL. Исследователь Седрик Ван Бокхавен написал код для добавления нового пользователя в список администраторов. Также уязвимость позволяла скачать плагин, который запускал на сервере вредоносный код.

Оринигал от 22.04.15.

Около тысячи приложений на мобильной операционной системе iOS оказались незащищёнными перед атаками типа «человек посередине» (man-in-the-middle) благодаря связанной с протоколом HTTPS уязвимости одной из сторонних библиотек. Она позволяет посторонним в ненадёжных беспроводных сетях, при взломе маршрутизаторов и другими методами получить доступ к персональной информации пользователей, включая сведения о банковских аккаунтах.

Все затронутые приложения используют являющуюся общедоступной сетевую библиотеку AFNetworking 2.5.1. Уязвимая версия была выпущена 9 февраля и 25 марта была обновлена до версии 2.5.2.

Уязвимость действует при вызове библиотеки приложением в процессе установки соединения HTTPS через протоколы SSL/TSL и относится к процедуре проверки сертификата SSL. Из-за ошибки проверка сертификата в версии 2.5.1 не выполняется и злоумышленник может послать поддельный сертификат, который будет принят. При этом не используется метод Certificate Pinning, следящий за тем, чтобы для зашифрованного соединения использовался только один сертификат.

Компания SourceDNA проанализировала около 100 тысяч использующих библиотеку приложений, из них 20 тысяч были обновлены или выпущены в тот промежуток времени, пока библиотека не была обновлена. Из этих 20 тысяч 55% использовали версию 2.5.0, ещё 40% не использовали уязвимый API, так что уязвимыми оказались 5% приложений.

В сумме приложения были скачаны несколько миллионов раз, в их число входят программы Movies by Flixster, Alibaba.com, Amazon, OneDrive, KYBankAgent, приложений от Yahoo и Microsoft. Проверить приложения на наличие уязвимости разработчики могут в базе данных SourceDNA.

Добавлено 28.04.15: SourceDNA сообщает, что в версии AFNetworking 2.5.2 также была найдена аналогичная уязвимость, и её потенциальными жертвами являются 25 тысяч iOS-приложений. 20 апреля была выпущена закрывающая уязвимость версия AFNetworking 2.5.3.

Очередной доклад Internet Security Threat от компании Symantec называет 17% приложений на мобильной операционной системе Android вредоносными. Специалисты нашли на платформе от Google 700 тысяч вредоносных программ, из них целью более чем трети было распространение рекламы.

Исследователи не уточняют, сколько из общего числа вредоносных приложений были найдены в магазине Google Play Store, однако они уверены, что это число не слишком велико. В Symantec считают, что Google делает хорошую работу по предотвращению попадания вредоносных приложений в магазин и по нахождению всё же сумевших проникнуть туда программ.

Зато сторонние магазины похвастаться такой же ответственностью не могут; также небезопасно скачивание приложений с сайтов производителей, через ссылки в электронной почте и на торрентах.

Для анализа в Symantec использовали программное обеспечение Norton Mobile Insight, которое исследовало более 200 магазинов, скачивая и анализируя более чем 50 тысяч приложений и их обновлений каждый день на протяжении 2014 года. Большая часть вредоносного ПО нацелена на кражу конфиденциальных данных, вроде номеров телефонов и списков контактов, которые затем продаются.

Не так давно была представлена мобильная операционная система Android 5.1 и пока она добралась до незначительного числа моделей. Производители только планируют обновить до неё свои аппараты; например, Motorola готовится выпустить Android 5.1 для смартфонов первого поколения Moto X в Бразилии.

Между тем, версия 5.1 уже не является самой современной. В менеджере Android SDK появилась версия Android 5.1.1, сведения о данной сборке представлены также на странице Google, упоминающей устройства Nexus 7 и Nexus 9.

Однако первым получателем обновления до последней версии станут не смартфоны или планшеты, как это обычно происходит, а Nexus Player - телевизионная приставка. Пока достоверно неизвестно, какие именно нововведения представлены в Android 5.1.1, но судя по номеру, масштабными они не будут, предлагая исправление ряда ошибок и повышение стабильности работы.

В Android 5.0 существовала проблема с утечкой памяти, которая не была исправлена в версии 5.1. Теперь в списке проблем AOSP данная неисправность помечена как решённая, и её решение должно быть представлено как раз в версии 5.1.1.