На прошедшей выставке CES 2015 положительные отзывы специалистов заслужила компания Intel, которая показала несколько технических новинок, в том числе процессоры Broadwell 5-го поколения (на одном из них ноутбук Dell XPS отработал чистые 15 часов) и уникальное в своём роде устройство, которое сложно классифицировать: 10-сантиметровый «вычислительный блок» Intel Compute Stick. Он превращает любой монитор HDMI 1.4a в компьютер под Windows 8.1 или Ubuntu.

Intel Compute Stick расширяет концепцию «флэшек», добавляющих телевизору функциональность медиаплеера. Такие гаджеты представлены в широком ассортименте: Roku, Fire TV Stick, Chromecast и Mozilla Matchstick. Но зачем медиаплеер, если можно получить универсальный компьютер? Тем более, что такой ПК будет исключительно дешёвым: версию под Windows 8.1 планируют выпустить на рынок по цене $149, а версию под Ubuntu — и вовсе за смешные $89.

Что мы имеем за такие деньги? Четырёхъядерный процессор Atom Z3735F, 2 ГБ ОЗУ (1 ГБ в Linux-версии), 32 ГБ флэш-памяти (8 ГБ в Linux-версии), разъём microSD, Bluetooth 4.0, WiFi 802.11b/g/n и полноразмерный разъём USB. Разумеется, к блоку подключается сторонняя периферия (клавиатура, мышь) по «голубому зубу» или USB, хотя беспроводной вариант явно предпочтительнее. Единственный разъём USB лучше оставить для флэшки.

Продажи гаджета начнутся в марте, а эксперты предполагают, что к тому времени у него изменится название.

Прочитать полностью на сайте: Вычислительный блок Intel с интерфейсом HDMI

С января 2015 года компания Microsoft закрыла бесплатный сервис раннего предупреждения об угрозах Advance Notification Service (ANS). Он теперь доступен только для корпоративных подписчиков платного пакета Premium.

С помощью ANS все могли заранее узнать об уязвимых продуктах Microsoft, для которых скоро будут выпущены патчи. Люди могли заранее предпринять какие-то меры защиты, пусть даже не имея полной информации о багах. Теперь такая возможность осталась только у крупных компаний, которые способны оплатить дорогую подписку.

В это трудно поверить, но решение принято «на основании отзывов пользователей». По крайней мере, такое объяснение дал Крис Бец (Chris Betz), старший директор Microsoft Security Response Center. «Многие из наших крупных клиентов больше не используют ANS так, как они делали в прошлом, благодаря более оптимальным методологиям тестирования и внедрения. Хотя некоторые пользователи всё ещё полагаются на ANS, но абсолютное большинство просто ожидают второго вторника месяца, когда выпускается очередной набор патчей. Или не предпринимают никаких действий, полагаясь на автоматическую установку патчей», — объясняет Крис Бец.

В принципе, Microsoft стремится обеспечить ситуацию, когда абсолютно все клиенты будут полагаться на автоматические апдейты и не будет получать дополнительную информацию об этих апдейтах, а только нотификации, связанные с особенностями конкретной ИТ-конфигурации. Бец говорит, что сервисы вроде myBulletins помогут людям настроить систему оповещений на свой вкус.

Независимые специалисты по безопасности не разделяют оптимизм Беца. Например, Росс Барретт (Ross Barrett), старший менеджер Rapid7 по разработке в сфере информационной безопасности, уверен, что решение Microsoft «атакует ИТ и команды информационной безопасности». Тем более, что Microsoft не предупредила заранее о готовящемся шаге. Получается, что компания даёт понять свою политику: все должны слепо доверять ей в области информационной безопасности и быть уверены, что компания закроет каждую уязвимость. «Если честно, такой подход возмутителен», — добавил Барретт.

Прочитать полностью на сайте: Microsoft перестала бесплатно предупреждать об угрозах

Больше года назад хакерская компания WhiteHat Security выпустила новый браузер Aviator на основе открытого кода Chromium. Браузер разработан для всех, кто заботится о собственной безопасности и приватности. Изначально было заявлено несколько ключевых отличий от обычного Chromium.

1. Продвинутый защищенный режим (Protected Mode). Вся история серфинга, кэш, куки, автозаполнение и локальное хранилище автоматически удаляются после перезапуска. Как известно, куки могут храниться в 12 различных местах: Aviator зачищает их все.

2. Контроль соединений. По умолчанию блокируются IP-адреса в локальной сети (RFC 1918) для защиты от атак на маршрутизатор и другие устройства.

3. Блокировка рекламы и следящих куков через встроенное расширение Disconnect.me.

4. Блокировка сторонних куков по умолчанию.

5. Поиск DuckDuckGo по умолчанию вместо Google, по понятным причинам.

6. Блокировка рефереров при переходе на другой сайт. Как известно, при переходе по ссылке браузер сообщает сайту, с какой страницы он пришел. При этом может выдать конфиденциальную информацию из URL: токены сессий и т.д. Aviator передает реферер только в пределах одного домена.

7. Все плагины срабатывают по щелчку — эта опция активирована по умолчанию, так что Flash и Java не будут автоматически запускаться на странице. Это важно для безопасности, потому что многие атаки осуществляются через плагины.

8. Ограничение утечек информации в Google. По умолчанию настройки браузера изменены таким образом, чтобы передавать в Google как можно меньше данных. Речь идет о настройках «Использовать веб-службу для разрешения проблем, связанных с навигацией» и «Использовать подсказки для завершения поисковых запросов и URL, вводимых в адресную строку», которые в Chrome включены по умолчанию.

9. Параметр «Отправлять с исходящим трафиком запрос “Не отслеживать”» включен по умолчанию.

Единственным недостатком Aviator было отсутствие исходного кода в открытом доступе. Независимые специалисты посчитали это подозрительным. Что ж, не прошло и 15 месяцев с момента первого релиза, как WhiteHat Security решила исправить недостаток. Теперь исходный код Aviator опубликован под свободной лицензией BSD.

В первый же день после публикации исходников разработчики получили письмо от Google с замечанием, что они отстают по патчам от оригинального Chromium. Разработчики обиженно заметили, что Google получает $50 млрд дохода в год от рекламы, а у них самих нет возможности выпускать апдейты так часто.

Прочитать полностью на сайте: Опубликован исходный код браузера Aviator

Выставка CES 2015 выявила интересные тенденции среди компаний.

Во-первых, все частично или полностью превращаются в «цифровые» компании, то есть выпускают программное обеспечение. Этим активно занимаются даже автопроизводители, поскольку современный автомобиль — это сложный программно-аппаратный комплекс.

Во-вторых, фирмы начинают заниматься совершенно несвойственными разработками, которые никак не соответствуют основному направлению бизнеса. Кстати, отсюда и немыслимые альянсы между представителями совсем разных областей (например, альянс между производителем термостатов Nest, производителем стиральных машин Whirlpool и производителем автомобилей Ford).

В полном соответствии с этими трендами, компания Nvidia представила публике CES 2015 концептуальный автомобильный компьютер нового типа Drive PX на мобильном процессоре Tegra X1.

Nvidia Drive PX

Многие автомобили последних лет оснащаются камерами и сенсорами, которые позволяют реагировать на события окружающей действительности: например, автоматически включать тормоза или перехватывать рулевое управление, чтобы объехать внезапно возникшее препятствие. Правда, автомобили всё ещё не умеют распознавать объекты и совершать какие-то более интеллектуальные действия, чем заложенные в программу.

Nvidia Drive PX предлагает иной подход. Этот компьютер помогает интерпретировать получаемые данные и менять поведение автомобиля более продвинутым образом. Встроенное ПО реализует многие функции автономных и полуавтономных автомобилей. Самая впечатляющая из этих функций — алгоритмы машинного обучения (deep learning) для распознавания объектов. Есть ещё и генератор реалистичных 3D-карт и других изображений для дисплея на приборной панели.

Nvidia уже поставляет микросхемы многим автопроизводителям, но они используют их на своё усмотрение и сами пишут софт. С помощью Drive PX будет легче интегрировать компьютер в автомобильную систему и заставить его правильно обрабатывать информацию с сенсоров. Tegra X1 способен одновременно обрабатывать видеопоток с 12 камер.

Судя по всему, Drive PX — это первый массовый компьютер, подходящий для автономных автомобилей.

Прочитать полностью на сайте: Автомобильный компьютер Nvidia Drive PX

Microsoft сегодня выступила с публичной критикой компании Google за публикацию информации об уязвимости, для которой патч должны выпустить через два дня. По мнению Microsoft, конкуренты злорадно подвергают опасности пользователей Windows 8.1.

Уязвимость связана с багом в работе User Profile Service. Баг проявляется каждый раз при авторизации пользователя и допускает повышение привилегий в системе (а именно, даёт доступ к UsrClass.dat для любого пользователя, который зарегистрирован в системе). Уязвимость достаточно легко эксплуатируется.

Вместе с описанием уязвимости исследователи из Google выложили PoC-файл для Windows 8.1 (set_temp.bat), который создаёт директорию \Windows\faketemp.

Информация опубликована в соответствии с условиями программы Project Zero. По условиям, штатные хакеры Google ищут уязвимости в сторонних продуктах и публикуют их в открытом доступе через 90 дней после того, как уведомили разработчика. В данном случае Microsoft слегка не уложилась в отведённые 90 дней, так что теперь любой желающий может эксплуатировать этот достаточно опасный баг.

«Хотя публикация соответствует срокам, заявленным Google, но решение выглядит не столько соответствующим принципам, сколько своеобразному “ага, подловили”, — пишет Крис Бец (Chris Betz), старший директор Microsoft Security Response Center. — То, что хорошо для Google, не всегда является благом для пользователей. Мы призываем Google помнить о том, что защита пользователей — наша главная общая задача».

Прочитать полностью на сайте: Microsoft обиделась на Google за публикацию уязвимости

Несколько дней назад в торренты попала Red Star OS, официальная операционная система Северной Кореи. В комплекте с ней идёт штатный браузер Naenara 3.5, тоже довольно странная штука. Разработчики из компании WhiteHat Security (создатели браузера Aviator) решили разобраться, как работает Naenara.

Северокорейский браузер на практике оказался форком Firefox. По оценке WhiteHat Security, использовалась версия Firefox примерно пятилетней давности.

Все веб-страницы загружаются в браузер через IP-адрес 10.76.1.11, то есть северокорейский интернет больше похож на большую локальную сеть, а адрес 10.76.1.11 выполняет роль большого прокси-сервера для всего разрешённого внешнего интернета. И это не единственная странность.

При каждой установке браузера создаётся уникальный идентификатор (метка микровремени), который отправляется на удалённый сервер. Эту метку можно в дальнейшем использовать для идентификации каждого пользователя. Кстати, точно так делает браузер Chrome.

Все краш-репорты тоже отправляются на 10.76.1.11.

Исследователи предполагают, что браузер допускает установку расширений, плагинов и тем, хотя не совсем понятно, допускается установка оригинальных расширений или каких-то собственных. На это указывает содержимое следующих страниц.

Вся почта и другой трафик тоже проходит через единый прокси. Сюда же ссылается и поисковая система по умолчанию, указанная в настройках браузера (http://10.76.1.11/se/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&keyword=).

Браузер принимает только сертификаты, выданные в КНДР. Таким образом, внешние HTTPS-соединения легко прослушиваются местными властями, а шпионы из-за рубежа не имеют возможности для проведения MiTM-атак.

Браузер обновляется автоматически, причём эту функцию отключить невозможно. Отсутствует функция открытия файлов с локального диска, файл-менеджер ограничен в функциональности (но это можно обойти).

UserAgent браузера: “Mozilla/5.0 (X11; U; Linux i686; ko-KP; rv: 19.1br) Gecko/20130508 Fedora/1.9.1-2.5.rs3.0 NaenaraBrowser/3.5b4″.

Прочитать полностью на сайте: Разбор северокорейского браузера Naenara

Сегодня начинаются судебные слушания по делу Росса Уильяма Ульбрихта — предполагаемого владельца подпольного интернет-магазина Silk Road. Такие процессы проходят довольно редко, а этот имеет чрезвычайную важность для всего интернет-сообщества по нескольким причинам. В некоторых отношениях это вообще уникальное дело.

Процесс начинается через 15 месяцев после задержания Ульбрихта агентами ФБР в библиотеке Сан-Франциско. Всё это время он ожидал в камере и знакомился с материалами дела. Изъятые у него биткоины находятся в хранилище ФБР и будут проданы с аукциона, если так решит суд.

Преступление совершено в интернете, а преступника деанонимизировали в онлайне, так что за процессом с интересом будут следить все, кому интересны методы спецслужб по деанонимизации пользователей Tor, а также вопросы приватности в интернете и судебная практика относительно «цифровой» преступности.

Если Ульбрихт не заключит с обвинением сделку в последний момент, то слушания начнутся сегодня, 13 января 2015 года, в суде Нью-Йорка.

Silk Road — беспрецедентный эксперимент в области анонимной электронной коммерции запрещёнными товарами. И настойчивость 29-летнего Ульбрихта провести именно открытые слушания наталкивает на мысль, что ему действительно есть что сказать.

Обвиняемому грозит срок по нескольким статьям, в том числе за распространение наркотиков, компьютерный взлом и отмывание денег, а также особая статья, которую применяют против наркомафии. Улики довольно серьёзные: Ульбрихта задержали в библиотеке за ноутбуком, который был авторизован на сайте Silk Road под аккаунтом Mastermind, с доступом к статистике сайта и финансам. На жёстком диске также нашли файл, в котором Ульбрихт вёл записи своей деятельности.

В списке улик скриншоты с компьютера занимают центральное место.

Следователи проследили всю трёхлетнюю карьеру Ульбрихта, будто списанную со сценария сериала «Во все тяжкие»: от выращивания и продажи первых психоделических грибов до управления торговой империей с оборотом в сотни миллионов долларов.

Однако, адвокаты Ульбрихта, которые частично финансируются на пожертвования биткоин-сообщества, тоже имеют определённую стратегию. Это известные профессионалы под руководством Джошуа Дрателя (Joshua Dratel), они просто так не сдадутся. Возможно, им удастся найти доказательства применения ФБР запрещённых троянов, с помощью которых удалось деанонимизировать пользователя Tor.

Прочитать полностью на сайте: Начинается судебный процесс над Россом Ульбрихтом

На официальном FTP-сервере Mozilla выложены дистрибутивы браузера Firefox 35 для основных операционных систем. Автоматическое обновление пока не началось, но ожидается в ближайшие часы.

Список новых функций можно посмотреть на странице Firefox Beta Notes. Это список для бета-версии Firefox 35, которая практически полностью соответствует финальному релизу, за исключением незначительных исправлений и апдейтов безопасности.

Mozilla выделяет четыре наиболее важных новых функции:

1. Новая модель коммуникаций на основе «чат-комнат» для аудио- и видеочата Firefox Hello, который представили в Firefox 34.

«Комнаты» в Firefox Hello имеют ограничение на число участников, их нельзя сравнить с нормальными IRC-каналами. Но сходство в том, что комната продолжает функционировать даже в том случае, если инициатор соединения закрыл браузер.

2. Встроенная поддержка H264 (MP4) на Mac OS X Snow Leopard (10.6) и более новых версиях через нативные программные интерфейсы.

3. Улучшенная обработка динамических изменений стилей для повышения быстродействия браузера.

4. Реализована поддержка HTTP Public Key Pinning Extension (для аутентификации на зашифрованных каналах). Теперь не только вместе с браузером поставляется список самозаявленных центров сертификации для сайтов, которые участвуют в программе, но и каждый сайт может дополнительно заявить о поддержке через расширение HTTP Public Key Pinning Extension.

Для разработчиков анонсированы два наиболее существенных нововведения.

1. Поддержка инспектирования псевдоэлементов ::before и ::after.

2. Выделение при просмотре узлов, соответствующие селектору, на который наведён курсор.

Изменения в поддержке стандартов HTML5: исправленная семантика let для соответствия спецификациям ES6; реализация Resource Timing API; фильтры CSS активированы по умолчанию; WebSocket доступен для Workers; добавлена поддержка CSS Font Loading API.

Упоминается ряд исправлений и дополнений. Например, встроенный движок PDF-рендеринга PDF.js обновлён до версии 1.0.907, изменилось контекстное меню Show DOM Properties в Инспекторе, прекращена работа сервиса Plugin Finder, уменьшено потребление памяти при масштабировании изображений.

Как обычно, выход новой стабильной версии означает апдейт на всех остальных каналах, то есть Beta, Aurora, Nightly и Extended Support Release, так что там последними версиями теперь становятся Beta 36, Aurora 37, Nightly 38 и ESR 31.4.

Прочитать полностью на сайте: Вышел Firefox 35

Компания Google прекращает выпуск патчей для критических уязвимостей в Android 4.3 и более старых версиях. Около миллиарда пользователей останутся беззащитными.

Об этом печальном событии сообщили хакеры из Rapid7, постоянно выпускающие новые эксплойты для WebView — ключевого компонента, с помощью которого осуществляется рендеринг веб-страниц в Android.

Старая версия WebView исключительно глючная, для неё вышло уже 11 эксплойтов, и конца этому не видно, пишет Тод Бёрдсли (Tod Beardsley) из группы разработчиков Metasploit. В обновлении операционной системы Android KitKat (4.4) состоялся апгрейд на более совершенную версию WebView для Chrome, здесь уязвимости найти сложнее.

Тем не менее, до недавнего времени Google исправно выпускала патчи к старой версии WebView после появления каждого нового эксплойта. Оно и понятно, ведь “Jelly Bean” был самой популярной версией Android, да и выход Android 4.3 состоялся чуть более года назад. Не такой уж большой срок, если сравнить, например, со сроком поддержки операционной системы Windows XP, где Microsoft закрывала критические уязвимости в течение 13 лет.

Однако, ребята из Google решили, что с них хватит геморроя с Android 4.3. После нахождения очередной уязвимости и сообщения о ней в отдел безопасности Android в компании Google был получен ответ, что для WebView версий более ранних, чем 4.4, сама компания Google патчи обычно не выпускает, но приветствует стороннюю разработку таких патчей. «Кроме уведомления OEM-сборщиков мы не сможем предпринять никаких действий по этому поводу», — сказано в письме.

Таким образом, Google официально отказалась от поддержки Android 4.3. По крайней мере, критические патчи для WebView она выпускать более не намерена.

Это оставляет уязвимыми 60,9% пользователей, то есть более 930 млн человек, если учитывать статистику по рынку Android от Gartner, WSJ и Android Developer Dashboard.

Специалисты Rapid7 обращаются к Google с призывом передумать и изменить своё решение.

Прочитать полностью на сайте: Извини, Android 4.3, ты слишком стар

KeySweeper — скрытное устройство на базе Arduino или Teensy, замаскированное под зарядное устройство с интерфейсом USB. Оно работает как беспроводной снифер, расшифровывает, сохраняет и отправляет по GSM все нажатия клавиш с беспроводных клавиатур Microsoft. Такие клавиатуры используют проприетарный протокол на частоте 2,4 ГГц.

Разработанное программное обеспечение предусматривает отправку SMS в случае, если в логах встречаются заданные ключевые слова, имена пользователя или URL. Кроме того, KeySweeper перехватывает все пароли, введённые с клавиатуры.

Благодаря встроенному аккумулятору KeySweeper какое-то время продолжает работу даже в том случае, если его изымают из розетки. После повторного подключения аккумулятор перезаряжается.

Есть веб-панель для удалённого мониторинга нажатий клавиш жертвы.

В блоге автора приводится список необходимых комплектующих и ссылки на программное обеспечение. Всё это выложено на Github.

Прочитать полностью на сайте: KeySweeper: зарядное устройство с беспроводным кейлогером

Китайская компания Xiaomi c самого старта принялась подрывать устоявшиеся правила мобильного бизнеса. В то время как нормальные производители разрабатывают для начала линейку собственных гаджетов, а только потом начинают обвешивать их фирменным программным обеспечением, в Xiaomi поступили совершенно противоположным образом. Эта компания прежде всего занялась собственной операционной системой, и только после того, как MIUI пробила себе путь к использованию на самых разных мобильных устройствах, приступила к выпуску смартфонов и планшетов.

К слову сказать, такой подход оказался на редкость удачным. Привлекательная программная оболочка вместе с качественными и доступными гаджетами позволили китайской компании буквально на глазах ворваться в число лидеров. Многие пользователи всерьёз утверждают, что последняя (на сегодняшний день это уже шестая) версия MIUI гораздо удобнее Android, а по части дизайна интерфейса может на равных конкурировать с iOS. И у них есть для этого все основания, ведь список уникальных функций MIUI действительно впечатляет.

1. Широкие возможности изменения интерфейса

MIUI умеет менять свой внешний вид с помощью специальных тем, загружаемых из фирменного онлайнового каталога. При этом меняются не только обои на рабочем столе и иконки, а буквально все элементы оформления операционной системы. Количество доступных тем исчисляется сотнями, а их качество удовлетворит даже самого требовательного пользователя.

2. Функциональный локскрин

На экране блокировки MIUI могут отображаться сведения о пропущенных звонках, сообщениях, прогноз погоды, информация о воспроизводимом треке. Оформление и функции локскрина тоже изменяются в соответствии с установленной темой. Двойной тап вызывает появление органов управления плеером, так что вы сможете слушать музыку, даже не разблокировав смартфон.

3. Мощный музыкальный плеер

Встроенный музыкальный плеер оставляет отличное впечатление благодаря широкому набору возможностей. Он умеет загружать обложки альбомов, демонстрировать синхронизированные тексты песен, потрясающе выглядит и, конечно, качественно воспроизводит музыку.

4. Умные иконки

Мы привыкли, что иконки приложений — это обычные кнопки для запуска программ и ничего более. В MIUI функции иконок несколько расширены. Например, свайп по значку блокнота вызовет специальное окошко для добавления новой заметки, а по иконке плеера — покажет органы управления воспроизведением. Кроме этого, иконки некоторых приложений умеют изменяться для показа необходимой информации, так что на значке календаря ты всегда увидишь текущую дату, а на иконке погодного приложения — температуру за окном.

5. Встроенный фонарик

Вот вроде мелочь, а приятно. Встроенный фонарик MIUI вызывается удержанием кнопки «Домой» на экране блокировки или из панели переключателей.

6. Блокировка нежелательных звонков и сообщений

Если тебя иногда достают SMS-рекламой или нежелательными звонками, то ты по достоинству оценишь имеющуюся в этой операционной системе функцию блокировки. Буквально одним движением добавляем нежелательных абонентов в чёрный список и навсегда забываем об их существовании.

7. Мониторинг трафика

Эта функция очень пригодится тем, кто использует ограниченный платный тариф и вынужден следить за расходом трафика. Специальное приложение будет отслеживать передачу данных по мобильному интерфейсу и при приближении к указанной величине сделает предупреждение, а потом и вообще может заблокировать подключение.

8. Энергосбережение

Встроенная утилита «Питание» позволит твоему телефону дольше проработать на одной зарядке. Для этого она использует специальные энергосберегающие профили, переключение между которыми происходит в зависимости от заряда аккумулятора или времени суток.

9. Встроенный root и управление правами приложений

На какие только ухищрения не идут пользователи Android, чтобы получить права суперпользователя! В MIUI c этим настолько просто, что даже не интересно. Ты просто передвигаешь один ползунок в настройках, и root-права получены. А вместе с ними и куча вкусных возможностей, в том числе управление правами различных программ, управление автозапуском и так далее. Все эти настройки сосредоточены в одном системном приложении, которое так и называется — «Разрешения».

10. Блокировка рекламы

В Android тоже можно блокировать рекламу в приложениях, причём разными способами. Но для этого их необходимо сначала узнать, а затем установить соответствующее программное обеспечение. Компания Xiaomi решила облегчить жизнь пользователям и встроила блокиратор рекламы непосредственно в систему. Работает он достаточно надёжно и режет рекламные баннеры практически во всех программах.

11. Антивирус

Ну да, вирусов под Android вроде пока нет. Так вроде или пока?

В любом случае в MIUI есть собственный антивирус, который кушать не просит, что-то там проверяет и добавляет спокойствия пользователям одним своим присутствием.

12. Встроенная система резервного копирования

И если целесообразность присутствия антивируса для многих под вопросом, то необходимость резервного копирования уже ни у кого не вызывает сомнений. В MIUI она реализована на базе собственного облачного хранилища и умеет сохранять буквально все данные: от контактов, логов звонков и сообщений до установленных приложений и их настроек.

13. Очистка кэша и мусора

В операционной системе со временем накапливается достаточно временных файлов, остатков удалённых программ и прочего мусора. Встроенный чистильщик поможет справиться с этой проблемой и проследит за чистотой системы.

14. Запись звонков

Запись телефонных разговоров является очень востребованной функцией, которая, однако, из-за необходимости соблюдения приватности вряд ли появится в официальных прошивках Android. Наши китайские друзья всегда отличались лёгким отношением к разным запретам, поэтому в стандартной звонилке MIUI такая функция есть и прекрасно работает.

15. Блокировка от случайных нажатий

Эта функция не позволит твоему смартфону, находящемуся в сумке или кармане, разблокироваться от случайного прикосновения и самостоятельно принимать звонки, отсылать сообщения, запускать программы и так далее.

16. Приватные сообщения

Иногда бывают ситуации, когда необходимо сохранить переписку с определённым абонентом подальше от чужих глаз. Для этого в стандартном клиенте MIUI для обмена SMS есть особая приватная часть. Ты добавляешь в неё необходимого человека, и все послания от него не будут отображаться в общем списке сообщений.

17. Скорость передачи данных и заряд батареи в строке состояния

В MIUI ты легко можешь активировать отображение оставшегося заряда аккумулятора и скорости передачи данных прямо в строке состояния. Это довольно важные показатели, которые лучше всегда иметь перед глазами.

18. Обновления

В отличие от Android, выход новых версий которого представляет из себя целое событие, MIUI развивается гораздо интенсивнее, и её новые сборки выходят гораздо чаще. Да, зачастую вносимые изменения носят чисто косметический характер, но иногда появляются и довольно интересные свежие функции. Во всяком случае Xiaomi не даёт скучать своим пользователям, что тоже хорошо.

В этой статье перечислены далеко не все фирменные «фишки» MIUI, а только наиболее интересные. Несомненно, большинство этих функций можно реализовать и в Android. Но для этого придётся устанавливать дополнительные утилиты. А в MIUI мы получаем полный комплект специально оптимизированных для этой операционной системы функций плюс красивый интерфейс.

via ЛайфХакер, Дмитрий Горчаков

Прочитать полностью на сайте: Особенности мобильной операционной системы MIUI

Как выяснилось, многочисленные программы Corel допускают проведение атаки через загрузку стороннего DLL. Атака типа DLL hijacking позволяет заменить оригинальную динамическую библиотеку из папки с программой Corel на вредоносную динамическую библиотеку, которая будет тут же запущена в контексте приложения.

Список уязвимых продуктов

• Corel DRAW X7
• Corel Photo-Paint X7
• Corel PaintShop Pro X7
• Corel CAD 2014
• Corel Painter 2015
• Corel PDF Fusion
• Corel VideoStudio PRO X7
• Corel FastFlick

Другие версии программ тоже могут быть уязвимы, они ещё не проверялись.

В зависимости от динамической библиотеки, которая используется на компьютере жертвы при проведении атаки, уязвимость классифицируется по-разному.

• CVE-2014-8393 (wintab32.dll)
• CVE-2014-8394 (TD_Mgd_3.08_9.dll)
• CVE-2014-8395 (wacommt.dll)
• CVE-2014-8396 (quserex.dll)
• CVE-2014-8397 (u32ZLib.dll)
• CVE-2014-8398 (igfxcmrt32.dll”, “ipl.dll”, “MSPStyleLib.dll”, “uFioUtil.dll”, “uhDSPlay.dll”, “uipl.dll”, “uvipl.dll”, “VC1DecDll.dll” or “VC1DecDll_SSE3.dll)

Баг в программах Corel нашли исследователи из компании Core Security (Exploit Writers Team). О нём сообщили производителю 9 декабря 2014 года. Последующие попытки связаться с разработчиками из Corel 17 декабря и 2 января через почту и твиттер закончились неудачно, так что сейчас информация опубликована в открытом доступе. Патчей ещё нет.

Прочитать полностью на сайте: Уязвимость загрузки DLL в программах Corel