IT-новости 26 января: Apple заплатила 100 тысяч долларов студенту за способ взлома Mac, Microsoft опубликовала дорожную карту развития Java в VS Code, GitHub улучшает функционал своего мобильного приложения
Apple заплатила рекордные 100 тысяч долларов студенту за способ взлома Mac
Американский студент Райан Пикрен получил рекордное вознаграждение от Apple в рамках программы обнаружения ошибок в ПО. Ему выплатили 100 тысяч долларов за найденный способ взлома Mac через браузер Safari.
Пикрен нашел способ получить несанкционированный доступ ко всем интернет-аккаунтам пользователя Apple Mac, от iCloud до PayPal, а также разрешение на использование микрофона, камеры и демонстрацию содержимого экрана. Используя файлы “webarchive” Safari, злоумышленник может получить полный доступ к файловой системе устройства.
По словам Пикрена, возможность совершения атаки с использованием уязвимости в веб-архиве Safari описывалась еще в 2013 году. И тот факт, что баг просуществовал так долго, означает, что Apple не считала взлом с помощью веб-архива реалистичным.
Источник: Apple Insider
Microsoft опубликовала дорожную карту развития Java в рамках Visual Studio Code
Компания Microsoft опубликовала дорожную карту развития направления Java в рамках Visual Studio Code. В этот план, помимо прочего, входит упрощение перехода на VS Code из других Java IDE.
По данным Microsoft, сейчас более 1,5 миллиона Java-разработчиков используют редактор кода Visual Studio Code. Дорожная карта на 2022 год включает поддержку Java 18, выход которой запланирован на март, а также углубление интеграции с Kubernetes и облачными сервисами, такими как Azure Spring Cloud. Дополнительно в план развития Java-направления Microsoft входит:
Повышение надежности Java Language Server и сокращение времени импорта проектов.
Улучшение взаимодействия с пользователем за счет упрощения поиска и использования функций.
Улучшение расширений Maven и Gradle.
Улучшение Junit-тестирования, импорта пакетов/создания проектов, связанных с приложениями Swing/JavaFX, и поддержка Live Share в VS Code Java.
Более простое создание компонентов Spring для Spring Boot.
В Microsoft также заявили об интеграции JRE в свои Java-расширения. Это означает, что разработчикам больше не нужно настраивать JDK для запуска расширений, а нужно лишь настроить JDK для своего проекта.
Источник: Infoworld
GitHub улучшает функционал своего мобильного приложения
Сервис совместной разработки и хостинга кода GitHub объявил о расширении функционала своего мобильного приложения за счет добавления в него встроенного механизма двухфакторной авторизации. Обновленная версия GitHub Mobile 2FA для iOS и Android появится в магазинах приложений в ближайшие дни.
GitHub Mobile 2FA дополняет существующие механизмы авторизации пользователей сервиса: ключи безопасности и WebAuthn, одноразовые коды доступа и SMS.
В GitHub уверяют, что GitHub Mobile 2FA позволит разработчикам отказаться от других вариантов двухфакторной авторизации, предлагаемых сторонними приложениями и через SMS. Поскольку механизм 2FA уже встроен в мобильное приложение GitHub Mobile, у клиентов сервиса не будет потребности использовать Google Authenticator и другие программы.
Источник: GitHub
Oracle расширяет набор инструментов на платформе OCI DevOps
Oracle добавляет возможности CI (continuous integration) в сервис OCI DevOps. Новый набор инструментов расширяет платформу CD (continuous deployment). Теперь разработчики могут делать коммиты исходного кода в репозитории DevOps, создавать и тестировать ПО, а также загружать проверенные версии в репозитории OCI для развертывания на платформах OCI.
Благодаря расширению функциональности DevOps OCI упрощается процесс развертывания ПО. Разработчики могут автоматизировать каждую фазу жизненного цикла приложений, обеспечивая ускорение выпуска релизов и снижение количества ошибок.
С появлением таких компонентов DevOps OCI как Code Repositories и Build Pipelines разработчики ПО получили полную платформу CI/CD, которая упрощает доставку программного обеспечения в рамках OCI и оптимизирует процессы разработки.
Источник: Oracle
Google отказалась от замены файлов cookie на протокол FLoC
Google отказалась от замены файлов cookie на протокол отслеживания браузера FLoC. Вместо этого для распространения персонализированной рекламы будут использовать новую API под названием Topics.
Принцип работы Topics API состоит в том, что рекламная служба Google, которая хочет показать контент посетителю веб-сайта, вызывает API на уровне браузера и получает до трех связанных интересов пользователя. Перечень интересов пользователя формируется из набора с пяти главных тем, которыми интересовался пользователь за последние три недели плюс совершенно случайная тема для добавления статистического шума.
Topics API способна отфильтровывать определенные темы для выдачи. Пользователь может отключить API в настройках или с помощью режима инкогнито. Также можно просто запретить доступ к тем или иным сайтам, если человек не желает, чтобы ему показывали рекламу на определенную тематику.
Источник: Google
Сторонних программистов обвинили во встраивании вредоносного кода в модули 1С
Исследователи RTM Group обнаружили вредоносный код в нескольких модулях 1C, которые дорабатывали сторонние компании. Вредоносная программа отправляла информацию о клиентах и платежах на заранее указанный адрес электронной почты.
Модули 1С содержат различные данные, но если в стандартном модуле нет нужных функций для бизнеса, компания отправляет его на доработку. В RTM Group считают, что сторонние программисты могли сами встроить вредоносное ПО в доработанные модули. Известно о нескольких десятках таких случаев — в основном пострадали торговые компании.
Решения от 1C широко используются российскими компаниями для бухгалтерского учета и автоматизации бизнеса. По состоянию на 2020 год 1С занимала 39,2% на рынке корпоративного ПО России. Язык программирования 1С используют в работе около 300 тысяч разработчиков.
Источник: Коммерсант
Пикрен нашел способ получить несанкционированный доступ ко всем интернет-аккаунтам пользователя Apple Mac, от iCloud до PayPal, а также разрешение на использование микрофона, камеры и демонстрацию содержимого экрана. Используя файлы “webarchive” Safari, злоумышленник может получить полный доступ к файловой системе устройства.
По словам Пикрена, возможность совершения атаки с использованием уязвимости в веб-архиве Safari описывалась еще в 2013 году. И тот факт, что баг просуществовал так долго, означает, что Apple не считала взлом с помощью веб-архива реалистичным.
Источник: Apple Insider
GitHub Mobile 2FA дополняет существующие механизмы авторизации пользователей сервиса: ключи безопасности и WebAuthn, одноразовые коды доступа и SMS.
В GitHub уверяют, что GitHub Mobile 2FA позволит разработчикам отказаться от других вариантов двухфакторной авторизации, предлагаемых сторонними приложениями и через SMS. Поскольку механизм 2FA уже встроен в мобильное приложение GitHub Mobile, у клиентов сервиса не будет потребности использовать Google Authenticator и другие программы.
Источник: GitHub
Принцип работы Topics API состоит в том, что рекламная служба Google, которая хочет показать контент посетителю веб-сайта, вызывает API на уровне браузера и получает до трех связанных интересов пользователя. Перечень интересов пользователя формируется из набора с пяти главных тем, которыми интересовался пользователь за последние три недели плюс совершенно случайная тема для добавления статистического шума.
Topics API способна отфильтровывать определенные темы для выдачи. Пользователь может отключить API в настройках или с помощью режима инкогнито. Также можно просто запретить доступ к тем или иным сайтам, если человек не желает, чтобы ему показывали рекламу на определенную тематику.
Источник: Google
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ