Игра Яндекс Практикума
Игра Яндекс Практикума
Игра Яндекс Практикума

Аргументы и функции, 6 марта

Отредактировано

RCE-уязвимость в Chrome, обратный инжиниринг по-американски и библиотека для фоновых задач в Android.

525 открытий525 показов

Безопасность

Сегодня разработчики Chrome напомнили, что версия браузера 72.0.3626.121, вышедшая на прошлой неделе, содержала патч от критической уязвимости. На тот момент её активно эксплуатировали хакеры. Они советуют скорее обновиться.

Уязвимость воспроизводилась во всех версиях основных десктопных платформ и позволяла злоумышленнику выполнить на устройстве жертвы вредоносный код. Команда разработчиков не раскрывает подробности, чтобы не подставлять тех, кто ещё не обновился. Но известно, что дыра в безопасности была связана с ошибкой управления памятью в FileReader API.

Привет, Microsoft:

Аргументы и функции, 6 марта 1

В тему подоспел обзор исследования HackerOne (источник, PDF). Выявление таких вот ↑ ошибок часто является заслугой ребят, которые намеренно изучают продукты, сайты и сервисы на предмет уязвимостей. Они так профессионально развиваются и заодно зарабатывают себе на жизнь. Совместными усилиями за 2018 год «белые хакеры» получили вознаграждений на 19 миллионов долларов. Это чуть меньше совокупного профита за все предыдущие годы.

За всё время существования платформы HackerOne багхантеры получили 42 миллиона долларов. Есть интересная визуализация географического распределения вознаграждений. Слева география компаний, справа — хакеров, которым они платили.

Аргументы и функции, 6 марта 2

Однако аналитики посчитали, что у 93 % компаний из рейтинга Forbes 2000 вообще нет налаженной системы обработки баг репортов. А участники HackerOne признались, что сами не напрашиваются на совместную работу с организацией, которая особо не желает с ними насчёт сотрудничества общаться.

Если у вас есть небольшой проект, но нет денег на Bug Bounty, ознакомьтесь с советами эксперта из HackerU. Это основы основ, зато помогут уберечь код от самых популярных уязвимостей.

Немалую роль играют, конечно, инструменты анализа кода. Это плавно подводит нас к следующей новости: АНБ США выложило в открытый доступ Ghidra — это инструмент для обратного инжиниринга, которым ведомство пользовалось десять лет. Говорят, он пока доступен для скачивания только через официальный сайт (у нас он отчего-то не пашет), но разработчики также обещают выложить код на GitHub.

Буквально через минуту после релиза пришёл первый репорт об ошибке в инструменте, но он, по сообщению эксперта, исправляется в одну строчку. В целом, говорит ZDNet, ИБ-сообщество восприняло открытие Ghidra позитивно.

Превью видео 285b_DEmvHY

Мобильная разработка

На прошлогодней конференции конференции Google I/O компания представила WorkManager — это библиотека в Android Jetpack, предназначенная для назначения и контроля фоновых задач. При этом WorkManager сама выбирает для этого нужные механизмы и API в зависимости от версии Android.

Сегодня вышла первая стабильная версия. Вот основные фичи:

  • установка ограничений (подключение к сети, заряд батареи) для запуска задач;
  • поддержка асинхронных разовых и регулярных задач;
  • поддержка связанных задач с вводом и выводом;
  • гарантированное выполнение задач даже при перезапуске приложения или самого устройства;
  • поддержка Android с версии 4.0 (API 14 и выше).
Превью видео pe_yqM16hPQ
525 открытий525 показов