​​Apple прекращает выпуск iPod

Apple прекращает производство музыкальных плееров iPod, которые выпускала более 20 лет. "Сегодня возможность вывести свою музыкальную библиотеку в мир интегрирована во всю линейку продуктов Apple наряду с доступом к более чем 90 миллионам песен и более 30 тысячам списков воспроизведения, доступных через Apple Music"

9 критических проблем затронули процессоры Intel Xeon, Pentium Silver, Rocket Lake Xeon, Core и Core X Series. Наиболее опасными являются 4 уязвимости повышения привилегий через локальный доступ CVE-2021-0154, CVE-2021-0153, CVE-2021-33123 и CVE-2021-0190 с оценкой CVSS 8,2.

Компания порекомендовала обновить подсистему Intel Converged Security and Management Engine (CSME) до последней версии, отключить функцию отладки процессора во время работы Intel Boot Guard и отключить бит BSP (Bootstrap Processor) INIT (DBI).

Google Chrome для Android не обновляется у пользователей из России

Российские пользователи Android-устройств столкнулись с невозможностью обновления браузера Chrome через Play Маркет. При попытке обновить Google Chrome система демонстрирует сообщение «Не удалось установить приложение» и блокирует скачивание новой версии веб-обозревателя. Такая же ошибка происходит при попытке обновить компонент Android System WebView.

Проблема носит массовый характер и не зависит от версии операционной системы Android, а также модели используемого устройства. В Google пока не давали никаких комментариев по данному поводу.

Основной целью этого нововведения является обеспечение безопасности платежной информации во время покупок в интернете. Функция позволит скрыть номер кредитной или дебетовой карты при совершении покупок в интернете.

Таким образом, для пользователей исчезнет необходимость вручную вводить данные карт (такие как CVV и номер) при оформлении заказа, а картами и транзакциями можно будет управлять через pay. google. com.

Ожидается, что нововведение сначала появится в США (этим летом) и будет поддерживать карты Visa, American Express, Mastercard и Capital One.

​​Уязвимость в межсетевых экранах Zyxel, позволяющая выполнить код без аутентификации

В устройствах Zyxel серий ATP, VPN и USG FLEX, предназначенных для организации работы межсетевых экранов, IDS и VPN на предприятиях, выявлена критическая уязвимость (CVE-2022-30525), позволяющая внешнему атакующему без аутентификации выполнить код на устройстве с правами пользователя nobody.

Для совершения атаки злоумышленник должен иметь возможность отправки на устройство запросов по протоколу HTTP/HTTPS. Компания Zyxel устранила уязвимость в обновлении прошивки ZLD 5.30. По данным сервиса Shodan в настоящее время в глобальной сети зафиксировано 16213 потенциально уязвимых устройств, принимающих запросы по HTTP/HTTPS.

​​Уязвимость в Python позволяет вызвать системные команды из изолированных скриптов

Опубликован метод обхода систем изолированного выполнения кода на языке Python, основанный на использовании давно известной ошибки, появившейся в Python 2.7, выявленной в 2012 году и до сих пор не исправленной в Python 3. Ошибка позволяет при помощи специально скомпонованного кода на языке Python инициировать обращение к уже освобождённой памяти (Use-After-Free) в СPython. Изначально предполагалось, что ошибка не представляет угрозы безопасности и лишь в очень редких случаях, как правило искусственно созданных, может привести к аварийному завершения скрипта.

Исследователи подготовили рабочий эксплоит, дающий возможность вызвать любую системную команду, не имея прямого доступа к методам вида os.system. Эксплоит реализован на чистом языке Python и работает без импорта внешних библиотек и без установки обработчика "code.__new__". Из hook-ов используется только "builtin.__id__", который обычно не запрещён. С практической стороны предложенный код может применяться для обхода механизмов изоляции в различных сервисах и окружениях (например, в обучающих средах, online-оболочках, встроенных обработчиках и т.п.), допускающих выполнение кода на языке Python, но ограничивающих доступные вызовы и не позволяющих обращаться к таким методам, как os.system.

Предложенный код представляет собой аналог вызова os.system, работающий через эксплуатацию уязвимости в CPython. Эксплоит работает со всеми версиями Python 3 на системах с архитектурой x86-64 и демонстрирует стабильную работу в Ubuntu 22.04, даже при включении режимов защиты PIE, RELRO и CET. Работа сводится к получению из кода на языке Python сведений об адресе одной из функций в исполняемом коде CPython. На основании этого адреса вычисляется базовый адрес CPython в памяти и адрес функции system() в загруженном в память экземпляре libc. В завершении инициируется прямой переход по определённому адресу system c подстановкой указателя первого аргумента на строку "/bin/sh".

Блокировать YouTube в России не планируют

Глава Минцифры Максут Шадаев заявил, что закрытие видеосервиса YouTube на территории России не планируется. Министр подчеркнул, что конкуренция — двигатель прогресса, а закрытие — крайняя мера».

Apple выпустила патчи против уязвимостей нулевого дня в Mac и Apple Watch

Apple выпустила срочные обновления безопасности для устранения уязвимости нулевого дня, которую злоумышленники могут использовать в атаках на компьютеры Mac и устройства Apple Watch.

Уязвимость представляет собой проблему с записью за пределами памяти (CVE-2022-22675) в AppleAVD (расширение ядра для декодирования аудио и видео), которая позволяет приложениям выполнять произвольный код с привилегиями ядра.

Об ошибке сообщили анонимные исследователи, и она была исправлена Apple в macOS Big Sur 11.6., watchOS 8.6 и tvOS 15.5 с улучшенной проверкой границ.

В список затронутых устройств входят Apple Watch Series 3 или более поздней версии, компьютеры Mac с macOS Big Sur, Apple TV 4K, Apple TV 4K (2-го поколения) и Apple TV HD.

Налоговые льготы для IT

С 2021 года IT-компании в РФ получают различные льготы. А в этом году их стало еще больше!

Например, налог на прибыль снизился с 20% до 3%. По страховым взносам выплаты снизили с 30% до 7,6%. А НДС вообще платить не нужно!

Однако все не так просто. Рынок IT широкий, с натяжкой любое диджитал -агентство может причислить себя к айтишникам. Поэтому, помимо льгот, существует также список ограничений — кому эти льготы положены.

Все нюансы мы разобрали для вас в свежем материале — читайте, вдруг получится сэкономить?

4G-связь будет доминировать на рынке Интернета вещей до 2028 года

В настоящее время наблюдается стремительное развитие рынка 5G-устройств. Однако, полагают эксперты, в сегменте IoT до 2028 года будет доминировать технология 4G. Лишь только после этого поставки устройств Интернета вещей с поддержкой 5G обгонят по отгрузкам 4G-решения. Причём переход от 4G к 5G будет более быстрым по сравнению с миграцией отрасли с 2G/3G к LPWA/4G.

К 2030 году поставки сотовых модулей для оборудования IoT преодолеют отметку в 1,2 млрд. Показатель CAGR (среднегодовой темп роста в сложных процентах) до этого периода составит 12 %. При этом отгрузки изделий 5G для соответствующего сегмента будут расти в среднем на 60 %.

В России планируют легализовать криптовалюту

"Криптовалюта как платёжное средство будет легализована в России, это вопрос времени", - заявил глава Минпромторга РФ Денис Мантуров.

Мантуров подчеркнул, что криптовалюты должны будут использоваться «легально, корректно, в соответствии с теми правилами, которые будут сформулированы».

Intel Core i9-12900K на частоте 6644 МГц обновил рекорд y-cruncher Pi-1b

При помощи жидкого азота греческий оверклокер разогнал указанный процессор до 6644 МГц с сохранением активности восьми производительных ядер и сопутствующих 16 потоков. Это позволило в тесте y-cruncher Pi-1b получить результат 15,749 секунды и занять первое место среди моделей с восемью ядрами. Это второй результат в статистике со временем расчёта не более 16 секунд. Энтузиаст использовал материнскую плату ASUS ROG Maximus Z690 Apex и блок питания bequiet! мощностью 1500 Вт, а также термоинтерфейс Thermal Grizzly.

Заменив процессор на Core i9-12900KS, этот же автор смог разогнать его до 5400 МГц при помощи водоблока, а жидкий азот использовал для охлаждения видеокарты GeForce RTX 3090 Ti марки GALAX (KFA2). В тесте Unigine Superposition 8K Optimized это позволило занять первое место с результатом 11 355 баллов.

​​Российская Google начала процесс банкротства

ООО «Гугл» (российская структура Google) планирует обратиться в арбитражный суд с заявлением о признании банкротства — соответствующее уведомление было размещено на федеральном ресурсе.

Ещё с 22 марта «дочка» Google сообщила о том, что «предвидит собственное банкротство и невозможность исполнения денежных обязательств». На компанию по искам Роскомнадзора наложили оборотный штраф на сумму 7,2 миллиарда рублей.

Оплату штрафа нужно было произвести до 19 марта, а уже 1 мая приставы завели дело о принудительном взыскании задолженности с компании. Также стоит отметить, что в 2021 году российская Google получила чистый убыток в размере 26 миллиардов рублей.

​​Банк отправил хакерам дикпик после взлома

9 мая Центральный Банк Замбии подвергся хакерской атаке, после которой наблюдались «частичные сбои в некоторых ИТ-приложениях». Однако банк не только отказался платить злоумышленникам выкуп, но и высмеял их, а также прислал фото мужских гениталий.

Ответственность за случившееся взяла на себя вымогательская группировка Hive. Хакеры утверждали, что зашифровали NAS в сети банка и требовали выкуп за восстановление данных.

Вместо оплаты выкупа представитель банка высмеял никнейм злоумышленника «14m3-sk1llz» и отправил ему изображение мужских гениталий с комментарием: «От**си и перестань блокировать банковские сети, думая, что ты зарабатываешь. Научись зарабатывать», - добавил банк к отправленному изображению.

По словам технического директора банка Грега Нсофу, основные системы банка под защитой и нет необходимости взаимодействовать со злоумышленником.

«Мы ясно указали киберпреступнику, куда ему идти», - добавил Нсофу и тем самым подтвердил, что изображение отправил представитель банка.

​​Хакеры взяли в заложники страну

Президент Коста-Рики заявил, что находится в состоянии войны с хакерами Conti. Они проникли в 27 государственных учреждений. Люди не могут получить зарплату из-за взлома платежных систем. Атаки также затронули внешнюю торговлю страны. Все это продолжается больше месяца.

Conti требуют 20 миллионов долларов. Преступники разместили в сети призыв к костариканцам «выйти на улицу и потребовать оплаты». Группировка уже разместила в Интернете более 600 гигабайт правительственных данных и угрожает опубликовать еще больше.

«Осталось меньше недели, когда мы уничтожим ваши ключи, мы также работаем над получением доступа к другим вашим системам, у вас нет других вариантов, кроме как заплатить нам. Вы вынуждаете нас использовать ужасные методы…»

Президент провел пресс-конференцию, на которой изложил свой «План реализации мер кибербезопасности». Он не дал никаких указаний на то, что планирует заплатить выкуп. В стране введено чрезвычайное положение.

Новости финтеха на канале платежного агрегатора ENOT!

Подписывайтесь: @enot_fintech

​​Утечка данных о заказах пользователей Delivery Club

Delivery Club подтвердила факт утечки данных о заказах пользователей и другой информации о своих клиентах. «Данные включают в себя информацию о заказах и не затрагивают банковские реквизиты», — пояснили в Delivery Club.

Ранее эксперты DLBI сообщили, что в открытый доступ попала база данных клиентов службы доставки Delivery Club. Источник, сообщил, что у него есть база на 250 млн строк, а в свободный доступ он открыл только ее часть. В опубликованных данных есть следующая информация:
- имя клиента;
- номер телефона (827,758 уникальных номеров);
- адрес доставки, включая код домофона, этаж и номер подъезда;
- адрес электронной почты (183,852 уникальных адреса);
- состав заказа и стоимость услуг;
- IP-адрес клиента (507,673 уникальных адреса);
- дата и время заказа в утечке в диапазоне от 24.05.2020 до 04.07.2021.

Роскомнадзор запросил у Delivery Club информацию об утечке данных клиентов сервиса. В случае подтверждения фактов утечки персональных данных ведомство составит протокол на нарушение и отправит его в суд. Delivery Club грозит административный штраф от 60 тыс. рублей до 100 тыс. рублей.

«Технологии Доверия» приглашают на вебинар по локализации SAP!

ИТ-консультанты фирмы расскажут:

1) Как санкции могут повлиять на доступность инфраструктуры и информационных систем.
2) Что необходимо сделать, чтобы перенести инфраструктуру, мощности и сервера на территорию РФ.
3) Как перенести SAP-систему или часть SAP-системы для своей компании при отделении или выходе ее из партнерской сети или группы.

После вебинара участники получат полезные материалы.

Узнать больше: https://tedo.ru/lokalizatsiya-sap?utm_source=telegram&utm_medium=social&utm_campaign=godnotech

Опубликован MyBee 13.1.0, дистрибутив FreeBSD для организации работы виртуальных машин

Состоялся выпуск свободного дистрибутива MyBee 13.1.0, построенного на базе технологий FreeBSD 13.1 и предоставляющего API для работы с виртуальными машинами (через гипервизор bhyve) и контейнерами (на базе FreeBSD jail). Дистрибутив рассчитан на установку на выделенный физический сервер. Размер установочного образа - 1.7ГБ

Базовая инсталляция MyBee предоставляет возможности для создания, уничтожения, запуска и остановки виртуальных окружений. Создавая собственные микросервисы и регистрируя их endpoints в API (например, легко могут быть реализованы микросервисы снапшотов, миграции, чекпоинтов, клонирования, переименовывания и т.д.), пользователи могут конструировать и расширять API под любые задачи и создавать специфичные решения.

Кроме этого, в дистрибутив входит большое количество профилей современных ОС, таких как Debian, CentOS, Rocky, Kali, Oracle, Ubuntu, FreeBSD, OpenBSD, DragonflyBSD и NetBSD, готовых к немедленному использованию. Конфигурирование сети и доступа осуществляется посредством пакетов cloud-init (для ОС семейства *Unix) и cloudbase (для Windows). Также, проект предоставляет инструментарий для создания своих собственных образов. Один из примеров кастомизированного образа - кластер Kubernetes, также запускаемый через API (поддержка Kubernetes обеспечивается при помощи проекта K8S-bhyve).

Высокая скорость развёртывания виртуальных машин и работы гипервизора bhyve позволяет дистрибутиву в режиме однонодовой установки найти применение в задачах по тестированию приложений, а также в исследовательской деятельности. В случае объединения нескольких серверов MyBee в кластер, дистрибутив может найти применение в качестве базы для построения частных облаков и FaaS/SaaS платформ. Несмотря на наличие простейшей системы контроля доступа к API, дистрибутив рассчитан на работу только в доверенных (trusted) окружениях.

Дистрибутив развивается участниками проекта CBSD и примечателен отсутствием каких-либо привязок к коду, аффилированному с зарубежными компаниями, а также использованием полностью альтернативного стека технологий.