Cybersecus дайджест #74

Накопилось очень много новостей, включая и присланные читателями, поэтому поехали!

Обнаружены сразу две уязвимости в недавно представленном протоколе Wi-Fi WPA3, позволяющие злоумышленникам получить пароль к беспроводной сети. Безопасное аутентификационное “рукопожатие” у WPA3 называется Dragonfly, поэтому уязвимости назвали DragonBlood. По сути, WPA3-устройства умеют работать в “переходном режиме”, обеспечивая совместимость с WPA2, и в таком случае исследователи заставляют устройства подключаться по 4-стороннему “рукопожатию” WPA2, которое уже уязвимо к взлому. Wi-Fi Alliance работает над исправлением проблемы в сертифицированных устройствах.
https://wpa3.mathyvanhoef.com

Большая статья у Bloomberg о том, что сотрудники Amazon имеют доступ к аудио-записям, которые делают устройства Amazon Echo. Amazon говорит, что речь идет о небольшом поднаборе записей, который используется для прослушивания, аннотации и последующего улучшения алгоритма. Также в Bloomberg пишут о том, что у Apple и Google тоже есть подобные живые слушатели записей голосовых записей, сделанных через соответствующие голосовые помощники. (В данном случае у Bloomberg есть и подтверждения этих материалов со стороны компаний. А вообще Bloomberg — это то издание, которое в прошлом году опубликовало материал о китайских чипах в серверах Apple и Amazon, и с тех пор так и не предоставило доказательств этого материала).
https://www.bloomberg.com/news/articles/2019-04-10/is-anyone-listening-to-you-on-alexa-a-global-team-reviews-audio
Continue reading

Про уязвимости Adobe, Apple, Microsoft

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

Flash всё, но не совсем

На этой неделе было своего рода эпохальное заявление со стороны компании Adobe, которая объявила, что к 2020 году для продукта и технологии Adobe Flash наступит так называемый end of life- конец жизненного цикла, после чего любая разработка Flash в компании будет прекращена.

Можно только порадоваться по поводу того, что в Adobe наконец-то нашли силы отключить системы жизнеобеспечения этому пациенту, потому что было понятно, что пациент не жилец уже давно. Многие помнят письмо Стива Джобса “Мысли о Flash“, в котором он излагал свои мысли о том, почему Flash не получил (и не получит) поддержку на iPhone. Это стало первым большим гвоздем в гроб Flash (если не считать громоздкость и ресурсоемкость технологии, несовместимую с мобильными платформами).
Continue reading

Apple против Adobe: Flash over

Стив Джобс бы, конечно, порадовался таким новостям. Adobe, еще в ноябре прошлого года объявившая о том, что прекращает разработку мобильной версии своей технологии Adobe Flash, в этот раз объявила, что теперь-то уж точно все-все, и с 15 августа планирует убрать мобильный плеер Flash из Google Play, так что новые пользователи даже не смогут установить его.

В принципе, даже логичный шаг для Adobe после того, как оказалось, что на Android 4.1 Jelly Bean даже нельзя установить плагин Flash для браузера. Насколько это логичный шаг для Google, которая потратила немало маркетинговых усилий (и, видимо, денег), доказывая важность Flash и ущербность iOS в связи с тем, что тот самый Flash там отсутствует, история умалчивает. По крайней мере, Adobe уже подтвердила свои намерения дальше двигаться в направлении HTML5 для планшетов и смартфонов, что, я думаю, означает, что в будущем и “обычный Flash” ждет похожая судьба — за ненадобностью, так как большинство пользователей в перспективе перейдет на мобильные устройства.
Continue reading

и, наверно, последний раз о мертвых…

Пока я много работал, мотался туда-сюда и вообще всячески был занят, на Appleinsider.ru опубликовали, можно сказать, прекрасное — откровения специалиста по Flash, который в интервью доказывает нужность и важность этой технологии, и рассказывает всевозможные мифы, сказки и небылицы по этому поводу.
Совершенно очевидно, что AppleInsider.ru подобные статьи нужны для трафикогенерации (“Ах, адепт Flash рассказал о том, что это лучшая в мире технология, а Джобс врал!”), а человек, потративший на эту технологию 10 лет своей жизни, будет доказывать ее необходимость и незаменимость. Но некоторые места в этом интервью настолько прекрасны, что мне захотелось их прокомментировать отдельно. Свое мнение по этому поводу можете оставлять при себе в комментариях. А вообще для пятницы, по-моему, самое то.

Continue reading

Mobile Flash is dead, baby!

(я не тормоз, просто у меня блог не работал) Вчерашней новостью дня, без сомнения, стала информация о том, что Adobe планирует прекратить разработку Adobe Flash (погодите, погодите, куда же вы чепчики зашвырнули — не весь Flash пока) для мобильных устройств.
А прошло ведь всего полтора года с того момента, как Стив Джобс написал свое знаменитое письмо “Мысли о Flash”, после которого в чем его только не обвиняли. В основном, правда, в искривлении реальности и том, что все совершенно не так, как пытается представить Стив, защищая платформу iOS от прекрасного, быстрого, экономного в плане батарейки (да что там, заряд аккумулятора только увеличивался от проигрывания Flash-контента на мобильных устройствах) Adobe Flash. И вот наступил момент, когда даже Adobe признала, что Стив Джобс был прав.
Continue reading

Когда на iPad появится Flash?

Вчера Engadget опубликовал первые впечатления от работы некой бета-версии Flash 10.2 на Motorola Xoom. Я позволю себе перевести здесь кусочек из их обзора:

И хотя эта ранняя версия Flash 10.2 весьма дергалась при воспроизведении HD-видео, видео качеством пониже проигрывалось на замечательной скорости, и мы могли поиграть в игры (вроде Nanaca Crash или Canabalt) до тех пор, пока они давали возможность играть с одной кнопкой. Для сравнения, Hulu не заработал (он все еще заблокирован), и в этой версии были какие-то заморочки в вопросах многозадачности — если с одним Flash-сайтом все было ок и можно было переключаться между вкладками, то чем больше вкладок мы открывали, тем медленнее каждая из них работала — вот поэтому на видео все так дергается. Интерфейс Adobe также с трудом понимает, когда мы хотим просматривать контент Flash на весь экран. Обычно, надо два раза тапнуть для увеличения, но иногда это не работает. А с некоторым Flash-контентом, мы обнаружили, что можно продолжительно нажать на окно, чтобы вызвать интерфейс, который бы позволил индивидуально сфокусироваться на содержимом.

Понятно, что все это — бета-версия, что в релизе часть этих ошибок будет исправлена, но в целом это должно давать представление о том, почему Apple отказывается от Adobe Flash. Motorola Xoom вышел уже несколько недель назад, но Flash для него до сих пор не вышел (а ведь поддержка Flash у Xoom — одно из преимуществ над iPad). Пока что Xoom не может даже свой собственный сайт просмотреть, так как сделан на Flash. В любом случае, читая вышеприведенные строки, я вспомнил об одной интересной статье из TechCrunch по поводу Flash, и решил ее перевести для читателей. Для тех, кто следит за темой, она особым откровением не станет, но вот тем, кто почему-то ждет появления Flash на iOS в ближайшее время, ее стоит перечитать.
Continue reading

Adobe+Microsoft против Apple

Безусловно, самой интересной новостью прошедшей недели стали слухи о возможном объединении активов компаний Microsoft и Adobe. Зачем? Для борьбы с общим врагом — Apple, хотя я подозреваю, что Microsoft не против задействовать ресурсы Adobe и для борьбы с Google. Если не брать во внимание шутки по поводу названия такой объединенной компании (самые рабочие варианты — это Microbe или Adosoft, первый забавен и русскоязычной аудитории, и западной, второй вызывает ухмылку больше у восточных шутников), тема сама по себе довольно интересна.

Интересна она хотя бы тем, что подобные слухи уже ходили несколько лет назад — тогда Баллмер присматривался к Adobe, и даже велись какие-то переговоры, но сделка дальше не продвинулась, в первую очередь из-за опасения, что антимонопольные органы в те времена не одобрили бы такую сделку. Теперь же ситуация существенно изменилась, и уровень влияния Google и Apple позволяет говорить о том, что возможное объединение не нанесет особого ущерба рынку и конкуренции. Поэтому эксперты соглашаются с тем, что если компании действительно сделают такую попытку, то DoJ (Department of Justice) вряд ли будет ее запрещать.
Continue reading

Провал мобильного Flash

Про Flash и мое отношение к нему на мобильных платформах я уже неоднократно писал, поэтому сейчас — просто слово человеку, который попользовался Flash на Android 2.2 и что у него из этого получилось.
—————-
Я последний человек на Земле, который хотел поверить Стиву Джобсу, когда тот ответил Волту Моссбергу на D8, что “Время Flash прошло”. Я считал показухой то, что Джобс поделился своими мыслями про Flash, где он написал, что “Flash — закрытая и проприетарная платформа, с серьезными техническими недостатками, и не поддерживает сенсорные устройства”. Проведя время с Flash Player 10.1 на Droid 2, первом Android-телефоне с системой 2.2 и встроенным Flash-плеером, мне грустно признать, что Стив Джобс был прав. То, что предлагает Adobe — поздно и не то.
Continue reading

Порно-индустрия — за iPad

Конечно же, все не совсем так, как я вынес в название статьи (кстати, в лучших традициях желтой прессы, но сегодня пятница, поэтому можно). Но в целом поворот событий очень интересен — представители порно-индустрии высказываются в поддержку формата HTML5 и против Flash, что, безусловно, пойдет на руку устройствам, HTML5 поддерживающим, то есть, в первую очередь — iPhone/iPad.
Битва Apple против Adobe, где главной целью является Flash (Apple хочет его убить, Adobe хочет затолкать его на i-устройства), тянется уже достаточно давно. Первые два-три года Adobe жаловалась на то, что Apple не пускает Flash на свои мобильные устройства, правда, компания при этом умалчивала, что Flash для мобильных устройств у нее пока не готов. Весной этого года Apple, устав от нытья Adobe, перешла в активную фазу, опубликовав у себя на сайте письмо Джобса, в котором он всем рассказал, что он думает про Flash. Наконец-то, в июне Flash вышел для Android, и теперь у HTC EVO, который продается в Штатах, есть уязвимость во Flash, через которую можно получить root-доступ к телефону и делать с ним что угодно. В общем, все как обычно.
Continue reading