SMS-атака на Nexus; Обновление Яндекс.Диска поломало Windows; Взлом Adobe оказался на порядок крупнее.

#348, 03.12.2013

SMS-атака на Nexus
dl // 03.12.13 15:15
Голландский исследователь продемонстрировал атаку на смартфоны Nexus 4 и 5, использующую sms сообщения класса 0 (они же "flash message"). Подобные сообщения предназначены для немедленного показа пользователям, и в случае Nexus они выводятся поверх всех активных окон. С учетом того, что Nexus не извещает пользователя звуком об их приходе, атакующий может отправить подряд несколько сообщений, прежде чем получатель спохватится. И в районе 30 полученных подряд смсок наступает исчерпание ресурсов, приводящее либо к вылету приложения, либо к отваливанию интернет-доступа, либо вообще к перезагрузке смартфона.

Google была извещена об уязвимости более года назад.
Источник: The Register

Обновление Яндекс.Диска поломало Windows
dl // 03.12.13 00:08
После установки вышедшего в конце ноября обновления Яндекс.Диска 1.1.6 у ряда пользователей Windows 7 возникли многочисленные проблемы с системой - слет активации, потеря системных файлов, драйверов видеокарт и т.п. Выяснилось, что в некоторых ситуациях вместе с предыдущей версией инсталлятор Яндекс.Диска пытался удалить весь системный каталог (а по некоторым отзывам и вовсе весь системный раздел). Пользователям с включенным UAC повезло чуть больше, но и у них как минимум терялась активация (особенно "приятно" было тем, у кого все это обновление прошло автоматически).

Причем проблема с деинсталлятором, судя по всему, возникла несколько билдов назад, так что простое удаление версии 1.1.5, как и обновление 1.1.5->1.1.7, может привести к столь же печальным последствиям. Судя по всему, срочно выпущенная версия 1.1.8 все-таки разруливает ситуацию, хотя испорченные системы это уже не спасет, их все равно придется реанимировать вручную. Число пострадавших пока не поддается даже приблизительному подсчету - многие пользователи вообще не поняли, что проблемы связаны с ЯД, традиционно виня в них Windows или вирусы.

Все это не может не напомнить аналогичное головотяпство двухлетней давности.

Представители Яндекса в отдельных комментариях и личных письмах приносят свои извинения пострадавшим, признают проблемы с удалением версии 1.1.5, ранее установленной из-под администратора либо для всех пользователей, призывают ни в коем случае ее не удалять, а обновлять на стабильную версию 1.1.8. Блог ЯД пока хранит молчание, хотя пользователей стоило бы оповестить и не только через сторонние ресурсы.
Источник: ru-board

Взлом Adobe оказался на порядок крупнее
dl // 29.10.13 17:23
В первые дни после случившегося в начале месяца взлома Adobe сообщалось о компрометации почти трех миллионов пользовательских аккаунтов. Реальность оказалась еще суровее - теперь Adobe подтвердила, что речь идет уже о 38 миллионах аккаунтов активных пользователей и неизвестно о каком количестве неактивных.
Источник: cnet