Компания Qualys, специализирующаяся на проблемах информационной безопасности, заявила о том, что в стандартной для многих операционных систем библиотеке языка C — glibc — была обнаружена серьёзная уязвимость под названием GHOST, позволявшая злоумышленнику выполнить произвольный код на компьютере жертвы или сервере. Особую пикантность ситуации придал тот факт, что одна из компаний-разработчиков Linux-дистрибутива давно знала об уязвимости, но не сообщила о ней никому.

Проводя аудит безопасности, специалисты Qualys обнаружили, что в функции __nss_hostname_digits_dots() библиотеки libc была возможность произвести атаку как локально, так и удалённо, связанную с переполнением буфера. В случае если разработчик программы использовал подфункцию gethostbyname*() для доступа к преобразовывателю адресов DNS (конвертирует адрес сайта в IP-адрес), то из-за ошибок проектирования появлялась возможность для выполнения произвольного кода. Специалисты Qualys разработали рабочий эксплойт для демонстрации возможности атаки по всем векторам и связались с разработчиками популярных дистрибутивов Linux, как коммерческих, так и поддерживаемых сообществом. Эксплойт был в состоянии обойти все технологии защиты, включая ASLR, NoeXecute-bit, PIE и SELinux. С публикацией данных об уязвимости, получившей название GHOST (gethostbyname/ghost — привидение), были одновременно выпущены и патчи для большинства Linux-систем, включая Red Hat Linux, Oracle Enterprise Linux, Debian, Ubuntu и других.

Рассказ об уязвимости от инженеров Qualys (на англ. яз.)

Впрочем, позднее выяснилось, что единственной Linux-системой, использующей glibc и не подверженной уязвимости, оказалась Google Chrome OS. Принявшиеся искать причины этой устойчивости энтузиасты пришли к выводу, что компания Google знала об уязвимости, как минимум, с апреля прошлого года. Патч, закрывающий уязвимость, был добавлен в публичные репозитории исходных кодов Chromium 17 апреля, но по каким-то причинам не был замечен никем, а сама Google не разослала уведомлений ни в Linux Foundation, ни команде разработчиков glibc. В корпорации никак не прокомментировали сложившуюся ситуацию. Другая ОС от Google — Android — не подвержена дефекту, так как вместо glibc в ней используется собственная разработка компании — Bionic. Также устойчивы другие альтернативные библиотеки — uclibc и musl. Специалисты в области сетевого стека Linux заявили, что несмотря на то, что уязвимости присвоен высочайший уровень опасности по шкале NIST, эксплуатировать GHOST трудно из-за того, что вызов gethostbyname*() является устаревшим из-за отсутствия поддержки IPv6, и сейчас разработчиками программ используются другие вызовы.

Среди множества огласивших на этой неделе финансовые результаты последнего квартала и всего 2014 года компаний отметилась и Facebook. Для неё год оказался вполне удачным благодаря росту как доходов, так и числа пользователей. Социальная сеть выросла на 13%, число ежемесячно активных пользователей составляет сейчас 1,39 млрд. человек. Ежедневно на сайт Facebook заходят 890 млн. пользователей.

Поскольку продажи мобильных устройств растут, а ПК падают, именно мобильное направление является для Facebook приоритетным. Исключительно с мобильных устройств в социальную сеть регулярно выходят 526 млн. пользователей. Год назад их было лишь 296 млн., рост составил 78%.

Всего же в среднем за сутки с мобильных устройств Facebook посещают 745 млн. пользователей, среди них многие заходят также с ПК. Компания намеревается увеличивать этот показатель, готовя приложение Facebook Lite, которое пригодится при отсутствии высокоскоростного подключения.

Доходы компании за год выросли на 58% и составили $12,47 млрд., прибыль $701 млн. Доля дохода от рекламы на мобильных устройствах за год выросла в общей сумме рекламных доходов с 53% до 69%.

Компания Google по итогам 4-го квартала минувшего года не сумела оправдать ожидания аналитиков, показав более низкие результаты по доходу и прибыли. Кроме того, рост основного для компании рекламного бизнеса также оказался медленнее ожидавшегося.

Доход за 4-й квартал составил $18,1 млрд., что на 15% выше результата годичной давности. Однако если принять во внимание стоимость трафика, доход составил $14,48 млрд., тогда как финансовые аналитики рассчитывали на $14,61 млрд. Валовая прибыль за квартал равна $4,76 млрд., рост за год на 40%.

Прибыль в пересчёте на акцию составила $6,88 вместо $6,7 годом ранее, однако аналитики ждали уровня $7,08. Стоимость акций в первые часы после оглашения финансовых результатов снизилась на $1,93% до отметки $500,79.

Средняя стоимость клика на сайте Google и её партнёров выросла на 14%, однако темпы роста этого показателя у Google снижаются на протяжении нескольких последних кварталов. Что касается дохода за весь 2014 год, он у Google составил $66 млрд. (+19%).

Технология HTML5 отныне заменила Flash на сервисе YouTube в качестве настройки по умолчанию при воспроизведении видео. Это относится к работе в браузерах Chrome, Internet Explorer 11, Safari 8 и бета-версиям Firefox. Таким образом, процесс уменьшения популярности Flash продолжается.

YouTube поддерживает HTML5 с 2010 года, хотя тогда эта поддержка была ограничена; например, в ней недоставало адаптивного битрейта. Теперь этот недостаток исправлен, помогая сократить процесс буферизации и осуществлять вещание на игровые приставки, устройства вроде Chromecast и в браузеры. Преимуществами от перехода на HTML5 называются рост стабильности, производительности, безопасности и продолжительности автономной работы устройств.

HTML5 позволит пользователям получить доступ к кодеку VP9, который на CES 2014 демонстрировала в процессе потокового вещания видео формата 4K. Предположительно, этот шаг позволит улучшить доступность форматов HD и 4K при 60 кадрах/с. Кроме того, трансляция видео начинается на 15-80% быстрее.

Для тех, кто встраивает размещённое на YouTube видео, рекомендуется переходить на теги <iframe> вместо признанного устаревшим <object>.

Новостное информационное агентство Bloomberg сообщает, что российский социальный сервис знакомств Topface стал жертвой утечки конфиденциальной информации в виде адресов электронной почты и имён (логинов) пользователей. Источником данных стала компания сетевой безопасности Easy Solutions. Число пострадавших аккаунтов оценивается в 20 млн., общее число зарегистрированных пользователей  - около 90 млн.

Специалисты Easy Solutions обнаружили, что украденные данные продаются на сетевом аукционе, где обычно фигурирует добытая подобным незаконным образом информация. В самой Topface говорят, что ни о каких взломах своей системы безопасности им не известно и что этот вопрос внимательно изучается.

Также говорится о том, что большая часть затронутых аккаунтов использует для входа на сайт сторонние сервисы, вроде профилей в социальной сети Facebook. На серверах Topface не хранится конфиденциальной информации пользователей, такой как данные о платежах (использующихся для продвижения профилей) и пароли.

Вероятно, пароли не были украдены (по крайней мере, в виде простого незашифрованного текста). Это уменьшает опасность данной утечки, однако не устраняет её полностью. Имеющаяся информация может использоваться специальными программами на других сайтах или платёжных системах для входа в аккаунты пользователей, которые используют те же самые логины/пароли на множестве ресурсов. Используя известные логины, злоумышленники могут попытаться подобрать простые пароли к ним.

50% пострадавших аккаунтов принадлежат пользователям на территории России, ещё 40% пользователям из Европы. Большинство адресов (7 млн.) электронной почты относятся к сервису Microsoft Hotmail, ещё 2,5 млн. используют Yahoo.com, а 2,3 млн. Gmail.com.