Google начинает платить за найденные уязвимости; Ростелеком заподозрили в попытке перехвате трафика Apple; дваждыодиннадцатое.

#409, 01.09.2022

Google начинает платить за найденные уязвимости
dl // 31.08.22 20:16
Google объявила о запуске программы Open Source Software Vulnerability Rewards Program (OSS VRP), в рамках которой обещает платить от 100$ до 31337$ за уязвимости, обнаруженные в своих опенсорсных продуктах. Больше всего платить будут за найденные уязвимости в наиболее востребованных продуктах: Bazel, Angular, Golang, Protocol buffers, Fuchsia.
Источник: The Register

Ростелеком заподозрили в попытке перехвате трафика Apple
dl // 27.07.22 22:41
Группа MANRS (Mutually Agreed Norms for Routing Security), отслеживающая происходящее с интернет-маршрутизацией, заявила о загадочном перенаправлении части служебной сети Apple в сеть Ростелекома. Используя протокол BGP, Ростелекомовская сеть AS12389 анонсировала блок адресов 17.70.96.0/19, идентифицированный как AS714 APPLE-ENGINEERING. Таким образом, в течение целых 12 часов между 26 и 27 июля некоторые пользователи сервисов Apple могли гонять свои бесценные данные по жутким российским сетям. Apple пока никак не прокомментировала потенциальный перехват своего трафика. Ростелеком никто не спрашивал — и так понятно, что russians did it (подзаголовок статьи — «Land of Putin capable of attacking routes in cyberspace as well as real world»). Зато ему припомнили аналогичную позапрошлогоднюю историю. Хотя с учетом того, насколько ошибки в конфигурировании BGP легко и непринужденно кладут целые сети, далеко не факт, что дело в злом (или добром) умысле.
Источник: The Register

дваждыодиннадцатое
dl // 22.06.22 03:30
Если бы Windows 11 22H2 сразу вышла год назад, тогда на неё плевались бы гораздо меньше. Самое заметное изменение — в меню Start появились папки (не совсем, как в десятке, больше похоже на iOS/macOS), плюс там же теперь можно настраивать количество рядов иконок, от 2 до 4. В причёсанном Task Manager теперь можно задавать раздел по умолчанию. Панель Snap Assist теперь вылезает не только на кнопке максимизации (о чём многие и не знали), но и при перетескивании окна к верхней части экрана, причём начинает появлятся заранее, так что игнорировать её уже гораздо сложней.

Какие-то мелочи поменялось и под капотом. Во-первых, при установке на старое железо перестал работать трюк с удалением C:\$WINDOWS.~BT\Sources\appraiserres.dll, хотя его замена на версию от Windows 10 по-прежнему спасает.

Неприятное, но легко преодолимое — установленные с помощью какой-то матери и "bcdedit /set testsigning on" неподписанные драйверы (есть у меня один такой для отечественного RFID-считывателя) теперь ломают обновление, приходится либо их временно сносить, либо отключать устройство.

Из более неприятного для меня — отвалился ASUS'овский AI Suite 3, версия которого от десятки раньше более-менее работала, а теперь его инсталлятор просто тихо уходит в себя при запуске. Неприятно, потому что на моей материнской плате только его Fan Xpert 2 мог определять минимальную частоту вращения корпусного вентилятора, без чего BIOS и другие утилиты ставили ему минимум 60%, а это 792 rpm против 466 при 30%. И ушам эти лишние три сотни оборотов очень заметны. Тут спасло то, что хоть ASUS и не предлагает новые версии AI Suite для старых плат, он же от любой новой с поддержкой Windows 11 прекрасно работает и с моей древней Z87.

Самый простой способ установить на старое железо, не дожидаясь осени — собрать iso с помощью UUP dump, выбрав там Windows 11 22H2, редакцию и билд посвежее (сейчас это 22621.105 из канала Release Preview либо 22621.160 из Beta Channel). И да, на российских ip скачивание без VPN не пройдёт.