Аргументы и функции, 8 марта

Новости пятницы

Уязвимость в Chrome, которую разработчики пропатчили 1 марта, оказывается, работала на хакеров не в одиночку. В зафиксированных специалистами атаках эксплуатировалась также брешь в Windows 7. Именно она позволяла малвари выбираться из песочницы и проникать в систему.

А теперь угадайте тип уязвимости.

Да, дело снова в работе с памятью. Это уязвимость разыменования нулевого указателя, и кроется она в системном драйвере win32k.sys. Microsoft в курсе проблемы и разрабатывает патч.

Если у вас Windows 7, проверьте версию Chrome: она должна быть 72.0.3626.121 или выше.

***

Госдума в третьем и последнем чтении приняла два законопроекта: о фейковых новостях и оскорблении власти в Интернете. Мы писали о них, когда рассказывали о прошедшем первом чтении. У «Медузы» есть карточки об этих проектах (и о том, что с ними не так). Вкратце:

• Фейковая новость — это любая общественно значимая информация, опубликованная в Интернете и не прошедшая проверку на достоверность. За такую публикацию положен штраф. А если из-за неё ещё и люди пострадали, жди большого штрафа. Чётких определений достоверности или общественно значимой информации в законе вроде как и нет.
• С оскорблением властей тоже не особо понятно. Формально оскорблением считается опубликованное в Интернете мнение о российском обществе, государстве, властях, символах и так далее, выраженное «в неприличной форме». Что за неприличная форма — опять же, непонятно. Будут трясти бедных лингвистов.

***

История с переносом серверов Facebook в Россию (тех, что хранят данные россиян) тянется очень долго. Не дождавшись от соцсети конкретных действий, Роскомнадзор недавно перешёл на язык штрафов, дело может даже кончиться блокировкой.

И тут Цукерберг публикует длиннопост о развитии Facebook в сторону приватности и защиты данных. Один из принципов гласит, что соцсеть не будет хранить sensitive-данные в странах, где нарушаются права человека.

Связаны ли эти две вещи, неизвестно, но в карточках «Медузы» такая вероятность рассматривается.

Для вечера пятницы (тем более праздничной) предлагаем не нагружать сильно мозг, а потыкать в угадайку. Как думаете, кто нарисовал картину, нейросеть или художник?

Итоги недели

Небольшая поясниловка: во второй части пятничного обзора мы теперь будем напоминать о самых интересных и важных новостях недели. А по понедельникам ловите новости понедельника. Поехали.

***

Что случилось? «Ведомости» разведали, что мэрия Москвы уже несколько лет закупает у мобильных операторов данные о передвижениях абонентов.

Зачем? Чтобы адаптировать под существующий трафик транспортную систему. Но общественного контроля над использованием геоданных нет.

***

Что случилось? Microsoft наконец адаптировала для Windows гугловский патч от Spectre v2 — Retpoline. Но из-за сложности реализации он доступен только пользователям Windows 10 (версии 1809 и выше).

Почему это важно? Существующие патчи этой уязвимости сильно влияют на производительность устройства. Retpoline — нет.

***

Что случилось? Команда Google Project Zero нашла уязвимость в ядре macOS. Злоумышленник может изменить файлы в смонтированном образе файловой системы macOS без ведома самой файловой системы и добиться выполнения вредоносного кода.

Защита есть? Нет. Исследователи сообщили Apple о своей находке ещё в ноябре прошлого года, но за 90 дней компания решить проблему не смогла.

***

Что случилось? Google сообщила об уязвимости нулевого дня в Chrome, которую пропатчили в обновлении от 1 марта. В начале обзора было продолжение темы: что брешь работала на хакеров только в сочетании с брешью в Windows 7.

Подробности есть? Немного, в самой новости. Google не раскрывает детали, чтобы не подставлять под удар тех, кто ещё не обновился.

***

Что случилось? Появилась новая техника эксплуатации уязвимости в механизме спекулятивных вычислений, и этой технике плевать на существующие патчи. Называется Spoiler и, к счастью, работает только для Intel Core.

Защита есть? Нет, проблему надо решать на аппаратном уровне. Защита появится только в следующих поколениях процессоров после «существенной работы по перепроектированию».

***

Что случилось? WebAuthn стал официальным веб-стандартом, об этом заявили W3C и FIDO Alliance.

Почему это важно? Это шаг на пути к отказу от паролей. WebAuthn позволяет войти в учётную запись с помощью электронного ключа, биометрических данных или мобильного устройства.