Продолжаем делиться новостями о релизах, уязвимостях и интересных событиях в области безопасности и не только. Собрали за май если не всё самое важное, то точно то, о чём полезно знать. А начнём, пожалуй, с хороших новостей. Первые дни мая были относительно спокойными — кто-то мог даже легко найти пару поводов для праздника. И это не удивительно.
1 мая BASIC отметил 60 лет
Язык программирования BASIC, разработанный математиками Джоном Кемени и Томасом Курцом в 1964 году, быстро стал популярным среди новичков, а со временем вдохновил несколько поколений программистов на новые идеи.
В 1975 году Пол Аллен и Билл Гейтс адаптировали BASIC для персональных компьютеров, тем самым расширив охват BASIC — в процессе они основали Microsoft. В 1976 году Стив Возняк с нуля разработал интерпретатор BASIC для компьютера Apple I — год спустя он превратился в BASIC для Apple II; и BASIC (под названием Applesoft BASIC) оставался важным компонентом компьютеров Apple II на протяжении всей жизни платформы.
Сегодня BASIC почти не используется, но его влияние продолжает жить в современных языках программирования, таких как Python и JavaScript.
2 мая компании AMD исполнилось 55 лет
AMD, основанная Джерри Сандерсом и семью единомышленниками в 1969 году, отметила недавно свой 55-летний юбилей. Сандерс управлял компанией до 2002 года, затем его сменил Гектор Руиз.
Буквально пара слов об исторических вехах. AMD начала выпускать полупроводниковые компоненты после выхода на фондовый рынок в 1972 году. В 1996 году AMD приобрела разработчика процессоров NexGen и начала выпускать процессоры с архитектурой x86. В 2000 году был выпущен первый процессор Athlon. В этом же году AMD представили 64-битную версию архитектуры x86 — на процессорах с ней сегодня работает большинство компьютеров и серверов.
В 2003 году компания выпустила серверные процессоры Opteron. В 2006 году, после поглощения ATI Technologies, AMD стала производителем как центральных, так и графических процессоров. В 2013 году был выпущен первый графический процессор для PlayStation 4, а в 2017 году — процессоры Ryzen с архитектурой Zen.
Накануне своего юбилея компания отреставрировала и выложила видеоролик, который готовился к 40-летию, больше пока юбилей в публичном пространстве никак не отмечался.
Ну, а теперь, переходим к громким уязвимостям этого месяца.
Устранены пять серьёзных уязвимостей в Git
В системе Git были устранены пять уязвимостей в выпусках 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 и 2.39.4.
Самая серьёзная уязвимость (CVE-2024-32002) позволяла выполнять код злоумышленника при клонировании репозитория, подконтрольного атакующему. Уязвимость активна в файловых системах без учёта регистра и с символическими ссылками, как в Windows и macOS. Атака происходит через запись файлов в .git/ с помощью субмодулей и символических ссылок, что позволяет злоумышленнику запускать код через .git/hooks при клонировании.
Другие уязвимости включали выполнение кода при клонировании специально оформленного локального репозитория, выполнение hook-ов при клонировании из zip-архивов, возможность изменения файлов при создании локальных клонов репозитория и использование символических ссылок для создания жестких ссылок на произвольные файлы.
В новые версии были внесены изменения для повышения защиты от подобных уязвимостей. А кроме того, отдельно был опубликован подробный разбор эксплуатации уязвимости CVE-2024-32002.
Windows XP и 2000 быстро заражаются вирусами в интернете
Один популярный ютубер Эрик Паркер настроил виртуальные машины с Windows XP и Windows 2000 и подключил их к интернету без сторонних средств защиты, вроде антивируса или брандмауэра. Он хотел узнать, как быстро эти операционные системы будут заражены вирусами из сети. Хватило пары минут, чтобы обе системы «подцепили» различные вредоносы — некоторые из которых автоматически создавали новые учетные записи и проводили установку опасных сервисов.
Последующая установка антивируса на зараженную Windows XP выявила около восьми активных вирусов, возможно, их было больше — так как использовалась бесплатная ограниченная версия программы Malwarebytes.
Система Windows 2000 пострадала еще больше — после вирусной атаки произошел полный сбой ОС с появлением синего экрана смерти.
По словам экспериментатора, такая глобальная уязвимость систем обусловлена тем, что в устаревших версиях нет современных механизмов безопасности. Поэтому, если вам зачем-то понадобилось использовать старые версии Windows, то обязательно защищайте их с помощью брандмауэра, антивирусов и других средств.
Хакерская группа Head Mare взяла на себя ответственность за взлом СДЭК
Компания СДЭК сообщила о проблемах в работе вычислительных мощностей утром 26 мая — несколько дней компания не принимала и не выдавала посылки, не открывался сайт и приложение.
Хотя в компании уверяют, что причина происходящего — «обширный технический сбой», не исключен вариант и стороннего вмешательства. Группа Head Mare заявила, что взломала СДЭК, зашифровала данные и уничтожила бэкапы. По некоторым предположениям, это было сделано с помощью вируса-шифровальщика. От СДЭК в этом плане пока официальных заявлений не поступало, проводится внутреннее расследование.
По последней информации из телеграм-канала СДЭК, 29 мая начата выдача отправлений, находящихся на ПВЗ. По словам представителей, это первый большой шаг к восстановлению полноценной работы.
Docker hub перестал работать в России
По словам, одного из пользователей Хабра, при открытии сайт репозитория выдает 403 ошибку и сообщение о том, что компания вынуждена соблюдать правила экспортного контроля своей страны, поэтому блокирует IP-адреса других стран. При этом в списке Россия не значится.