Финская ИТ-компания раскрыла информацию об ошибке безопасности в Wordpress 3, которая позволяет выполнять широкий спектр вредоносных скриптов, нацеленных на браузеры посетителей. Согласно статистике использования Wordpress, уязвимости могут быть подвержено 86 % сайтов на этом свободном движке.
Уязвимость была обнаружена Йоуко Пинноуном (Jouko Pynnone) из Klikki Oy. Она позволяет выполнить вредоносный JavaScript-код в комментариях. Атаке подвержены сайты, которые позволяют комментировать без аутентификации, а это стандартная настройка WordPress. Концепт атаки, созданный в Klikky Oy, позволил скомпрометировать сессию администратора и создать новый административный аккаунт WordPress с известным паролем, изменить текущий пароль администратора, а также выполнить вредоносный PHP-код на сервере. Это значит, что злоумышленник может полностью перехватить контроль над сайтом для своих целей.
«В первую очередь наши эксплоиты чистят следы инфицирования в базе данных, — пишет команда Klikki Oy в своём блоге, — затем переходят к выполнению пользовательских задач: меняют пароль администратора, создают нового или, используя редактор плагинов, выполняют предложенный PHP-код на сервере. Все операции проходят в фоновом режиме и пользователь не замечает чего-то странного. Если атакующий запишет код PHP для выполнения, другой AJAX-запрос может быть использован для мгновенного выполнения, в результате чего злоумышленник захватит контроль над операционной системой сервера».
Текущая версия WordPress 4.0, которая вышла в сентября 2014 года, этой уязвимости не подвержена.
Одна из двух компаний-партнёров по выпуску телефонов под управлением Ubuntu Phone — Bq — объявила о проведении пресс-релиза для презентации трёх новых продуктов.
Ещё в начале 2014 года Canonical представила первых двух партнёров по производству смартфонов на Ubuntu — Bq и Meizu. И если информация о смартфоне Meizu периодически появлялась в сети, то об устройстве Bq практически ничего не известно. Вот и запланированное мероприятие окутано завесой тайны: до сих пор неизвестно, что именно покажет Bq и будет ли среди новинок обещанный ранее «убунтуфон». Компания Bq обещает, что презентация «перепишет технологический сценарий» в Европе, а саму презентацию будет сопровождать видеоклип от «известного режиссёра Испании».
На текущий момент, код для устройства, аналогичного по характеристикам с моделью Aquaris E4.5, переведён из разряда «стабильный» в RTM-код (Release To Manufacturing — готовность к тиражированию и выпуску). Многочисленные логи разработчиков Canonical говорят о том, что в «начинке» устройства будет минимум отличий от модели Aquaris E4.5, если они будут вообще. А также ранее в этом году на мероприятии dConstruct в Великобритании Canonical показывала прототип Aquaris на Ubuntu. Смартфон Aquaris E4.5 известен под кодовым именем «Krillin» и обладает следующими характеристиками.
4,5-дюймовый экран с разрешением 540 x 960;
четырёхъядерный процессор ARM Cortex A7 с тактовой частотой 1,3 ГГц (Mediatek);
графический видеоускоритель Mali 400 с частотой 500 МГц (Mediatek);
1 Гб оперативной памяти и 8 Гб ПЗУ;
поддержка двух SIM-карт;
батарея ёмкостью 2150 мАч.
Модель с Android продаётся по цене 149 EUR. Несмотря на эти факты в недавнем интервью испанскому сайту El Confidencial заместитель руководителя Bq Родриго Прадо (Rodrigo Prado) выразил сомнения относительно возможности выпуска смартфона в 2014 году: «Для Ubuntu установлена дата выхода на 2014 год, но я думаю, что 2015 более реалистичная цифра». Нам с вами остаётся только ожидать подробности, тем более, что до проведения мероприятия остаётся недолго.
EFF объявила о намерение создать некоммерческую организацию Let’s Encrypt, которая будет раздавать бесплатные сертификаты и способствовать переводу сайтов на безопасные HTTPS-соединения.
«Весь наш интернет-сёрфинг подвержен угрозам: воровство аккаунтов, надзор со стороны корпораций и правительства, хакеры в сети, подмена контента, вредоносные инъекции и целенаправленная цензура», — говорит Питер Экерсли (Peter Eckersley) из EFF. В этих условиях, Let’s Encrypt — это попытка обезопасить веб. Организация начнёт работу летом 2015 года и будет раздавать бесплатные сертификаты HTTP-сайтам для перехода на более безопасный протокол — HTTPS.
Помимо безвозмездной раздачи сертификатов, Let’s Encrypt планирует автоматизировать их установку на сайт. Если сейчас вебмастеру, впервые устанавливающему сертификат на сайт, требуется порядка 2-3 часов, то в организации планируют сократить это время до 20-30 секунд для большинства сайтов. Для этого в Let’s Encrypt разрабатывается приложение Automated Certificate Management Environment или ACME, протокол, который займёт промежуток между веб-сервером и CA (удостоверяющим центром), он также будет включать новые, более жёсткие меры по проверке доменов. Такое ПО будет работать в фоновом режиме на сервере клиента и при необходимости автоматически обновлять сертификаты.
