В браузере Microsoft Internet Explorer был обнаружен программный баг, через который к злоумышленникам могут попасть вводимые адреса, поисковые запросы и всё остальное, что набирается в адресной строке. Программная ошибка позволяет любому сайту, на которой зашёл пользователь, видеть вводимый в адресную строку текст. Таким образом, достоянием владельцев сайтов может стать информацией, которой пользователи не собирались делиться с ними.

Об обнаружении уязвимости во вторник сообщил специалист по информационной безопасности Мануэль Кабальеро. Он показал пример использования этого бага. Его можно легко изменить для того, чтобы кража данных происходила незаметно для пользователей. Используются теги объектов HTML, которые можно внедрить в браузер через сайты или рекламу, добавляющие код HTML или JavaScript.

Как известно, у Microsoft есть новый браузер Edge, которому она и уделяет основное внимание. Этот браузер доступен только в операционной системе Windows 10, поэтому его доля значительно ниже, чем у Internet Explorer. Кабальеро в блоге пишет, что компания должна в плане обеспечения безопасности относиться к Internet Explorer так же серьёзно, как к Edge, или полностью избавиться от него.

В Microsoft в ответ на данное открытие ответили, что ведётся расследование и что стандартной политикой компании является закрытие подобных багов в рамках вторничных патчей.

Пользователи Twitter и не только они знают, что максимальная длина постов на этой платформе составляет всего 140 символов. Однако, на одних языках этот лимит значит совсем не то же самое, что на других. Разработчики собрали и проанализировали среднюю длину твитов на английском и японском языках, чтобы показать, что при одинаковой смысловой нагрузке на английском нужно больше символов.

На языках с иероглифами вроде японского и китайского один символ может содержать вдвое больше информации по сравнению с английским, португальским или испанским. Статистика показывает, что на английском лимит исчерпывают 9% пользователей, тогда как на японском таких всего 0,4%. Чтобы устранить этот недостаток, среди небольшой группы пользователей проводится эксперимент с 280 символами в твитах.

Таким образом, в будущем англоязычные и не только пользователи могут получить новый лимит на постоянной основе. Разработчики утверждают, что хотят обеспечить правильное сочетание лаконичности и полноценности информации. Пользователи в Корее, Японии, Китае и ряде других стран останутся с лимитом в 140 символов.

Прошло почти два года с момента исчезновения меток OneDrive из системы Windows 10, но вскоре они вернутся. В мае на конференции разработчиков Microsoft Build было анонсировано её возвращение под названием «Файлы по запросу» (File On-Demand). В июне она стала доступной участникам программы тестирования Windows Insider, а 17 октября появится у всех пользователей Windows 10 вместе с обновлением Fall Creators Update.

Новая функциональность будет выполнять синхронизацию файлов в облачном хранилище OneDrive, некоторые файлы и папки будут храниться на жёстком диске локально. Можно будет просматривать более 270 типов файлов не только в веб-версии, но и на компьютере, когда приложения с файлами таких разрешений не установлены.

Также будет улучшен пользовательский интерфейс, где на информационной панели можно будет увидеть, какие файлы доступны другим пользователям. Будут стандартизированы опции обмена файлами между Office Online, Office 2016 на Windows и macOS. OneDrive позволит делиться файлами и с теми, у кого нет учётной записи Microsoft.

Появится поддержка архивов ZIP, обмен уведомлениями между мобильными устройствами и ПК, восстановление файлов при удалении и атаках приложений-вымогателей и другие изменения.

Похоже, что в глобальной сети среди веб-сайтов появилась новая тенденция. Не так давно сообщалось, что на торрент-трекере Pirate Bay нашли скрытый майнер, который без спроса использовал процессоры посетителей для добычи криптовалюты Monero. Теперь то же самое произошло с сайтом американского кабельного телеканала Showtime.

Pirate Bay использовал майнер на основе JavaScript, который при заходе на некоторые страницы значительно увеличивал нагрузку на центральный процессор пользователей. Плагин от Coinhive использовался для добычи валюты Monero, представленной в 2014 году.

Coinhive забирает себе 30% прибыли и называет свой сервис законным способом монетизации сайтов. Законным он кажется только в том случае, если сначала у пользователей спрашивают разрешение на доступ к вычислительным ресурсам, поскольку это замедляет работу компьютера и повышает счета за электричество. На Pirate Bay тестировали майнер в качестве альтернативы рекламы на сайте, но быстро свернули свои эксперименты после того, как о них стало известно.

В выходные в Твиттере появилось сообщение, что код манера был обнаружен на сайте showtime.com и на сайте потоковой трансляции ShowtimeAnytime.com. Пока неизвестно, был майнер установлен сознательно или в результате взлома хакеров. Представители компании от комментариев отказались. Код майнера с сайта уже убран.

Недавно была обнаружена уязвимость в операционной системе macOS High Sierra и более ранних версиях, которая даёт возможность хакерам получить доступ к хранящимся в виде простого текста паролям. Об этом стало известно в тот же день, когда появилось очередное обновление macOS. Видео с демонстрацией использования уязвимости опубликовал бывший хакер АНБ Патрик Вордл.

Система управления паролями Keychain представляет собой встроенное программное обеспечение, к которому пользовательские приложения обычно не имеют доступа, по крайней мере без ввода мастер-пароля. Уязвимость в этой системе позволяет извлечь все пароли в виде простого текста без ввода главного пароля.

Вредоносная программа может автоматически отправить украденные ключи на сервер, от пользователя не требуется никакой помощи, кроме первоначальной установки этой программы на компьютер. Приложение работает незаметно и операционная система не уведомляет об атаке. Вредоносное приложение не имеет цифровой подписи Apple, поэтому при попытке установить его пользователи получают предупреждение. Однако, членство в программе Apple Development стоит всего $99 год, после чего можно подписать приложение.

Официальное заявление Apple содержит обычные в таких случаях фразы о том, что система разрабатывалась с прицелом на безопасность и что пользователям рекомендуется скачивать приложения только из надёжных источников, вроде магазина Mac App Store. Также следует обращать внимание на диалоговые окна системы безопасности.

Вордл уведомил Apple об обнаружении уязвимости несколько недель назад, но поскольку в новой системе она не была закрыта, он сделал её публично доступной. Apple платит до $200000 за обнаружение уязвимостей в операционной системе iOS, но программы поиск багов за вознаграждение для macOS у неё нет.