Security Week 04: зниклий ботнет, вразливість в Webex, патчі Apple

Важливої технічної новиною тижня в сфері ІБ стало дослідження (новина фахівця з безпеки в проекті Google Project Zero Тависа Орманди про уразливості в плагіні Cisco Webex для браузера Chrome. Тавис спеціалізується на неординарних вразливості (кілька патчів для продуктів «Лабораторії», до речі, випущені завдяки йому), але проблема в плагіні для популярного сервісу відеоконференцій відноситься до зовсім вже нестандартним.

Конференція Webex — це по суті окрема програма, яка запускається на вашому комп'ютері, після того як участь було ініційовано у браузері. Відповідно, для виконання нативного коду, плагін Cisco Webex використовує інтерфейс Native Messaging. Суть бага в тому, що якщо передати плагіну URL з певною магічною рядком», то він запустить будь-код, без жодних перевірок. Мабуть, слід назвати це фичей: явно було зроблено для спрощення процесу запуску потрібної програми без особливих церемоній. В результаті, користувач може зловити троян, відвідавши підготовлену веб-сторінку (будь-яку), і якшо один раз OK на пропозицію почати веб-конференцію.

Уразливість була пофикшена швидко, але, на думку ряду дослідників (включаючи самого Тависа), не до кінця. Нова версія плагіна для Chrome обмежує можливість запуску коду при наявності диво-рядки, тільки якщо URL починається з https://*.webex.com/. Очевидно, що це значно обмежує можливість експлуатації, але будь-яка XSS уразливість на webex.com може бути використана в парі з магічною рядком для атаки.

Читати далі →

Delphi зі смаком Cocoa

Delphi зі смаком Cocoa
У житті кожного чоловіка наступає момент, коли, окинувши поглядом свіжу світову статистику з використання операційних систем, він розуміє, що настав час великих змін. Будинок, роботу і дружину при цьому міняти зовсім не обов'язково, а от спробувати охопити аудиторію, яка помітно виросла за останній десяток років, все ж варто. Мова піде про розробку на Delphi для macOS (в дівоцтві OS X) і про те, як ми в компанії TamoSoft вибирали інструменти, освоювали нове, вчилися, підривалися на мінах і отримували задоволення від процесу.

Читати далі →

Впровадження NSTouchBar на Swift

Нещодавно Apple представила світу нову лінійку MacBook Pro. І однією з особливостей свіжої версії стало те, що верхній ряд системних кнопок в ній видалений – вірніше, замінений на мультитач екран. Розробникам це нововведення повинно бути цікаво в першу чергу, адже на панелі виділена область, яку можна використовувати у власних додатках. Компанія Apple навіть надала API для її використання. У цій статті ми розповімо і покажемо, як освоювали можливості NSTouchBar. Отримані знання ми надалі застосували в апдейте MaCleaner.



Читати далі →

З Днем програміста: 10 міфів про чарівника кодів і цифр

imageШановні користувачі Хабрасообщества, оскільки в Москві вже 1 хвилина першого, а стало бути настав наступний день, поспішаємо привітати вас з цим чудовим 256 днем року! До речі, якщо вірити вікіпедії в цьому році20 років, як ми відзначаємо День програміста.
З святом всіх причетних!

Читати далі →

Parallels Toolbox допоможе завантажити ролик з YouTube, вимкнути мікрофон, записати відео та багато іншого

image
Зовсім нещодавно ми представили Parallels Desktop 12 для Mac. Разом з нашої оновленої утилітою Мас-користувачі отримали набір інструментів Parallels Toolbox. У цій статті ми розповімо про основні його функції і постараємося відповісти на ваші питання в коментарях.
Читати далі →

Перевірка документів: чого не вистачає офісних додатків «для повного щастя»

image

Можливість електронної обробки різних документів, можна назвати однією з основних причин масового поширення персональних комп'ютерів, як серед домашніх користувачів, так і в корпоративному секторі.
У наш час практично будь-яка друкована продукція документи: дипломи або реферати, журнали або книги, заяви чи записки, звіти або презентації, створюються на комп'ютері.

Переважній більшості людей, коли-небудь садившемуся за комп'ютер, доводилося мати справу з обробкою текстових документів, а для багатьох з них це стало причиною першого знайомства з ПК.

Більш того, багато користувачів ставлять знак рівності між поняттями «програма для обробки документів» і Microsoft Office. Стандартних засобів для професійної, повноцінної обробки документів операційна система не надає. Але ж крім MS Office є продукти інших виробників.

Напевно, у кожного з них є свої недоліки. В даний час беззмінним лідером ринку є дітище Microsoft, а її конкуренти самовіддано над цим працюють. Однак у цій сфері поки прориву не сталося. Чого ж не вистачає існуючим продуктам «для повного щастя»?
Читати далі →

IPSec VPN для OS X і iOS. Без болю

VPN (англ. Virtual Private Network — віртуальна приватна мережа) — узагальнена назва технологій, що дозволяють забезпечити одне або кілька мережних з'єднань (логічну мережу) поверх іншої мережі (наприклад, Інтернет).
© Вікіпедія


VPN використовується для віддаленого підключення до робочого місця, для захисту даних, для обходу фільтрів і блокувань, для видачі себе за громадянина іншої країни і взагалі — штука незамінна. Практично повсюдно в якості простого засобу для організації інтерфейсу VPN використовується всім відомий OpenVPN, який використовував і я. Рівно до тих пір, поки у мене не з'явився Macbook і OS X на додачу. З-за того, що підхід Apple до конфігурації DNS сильно відрізняється від підходу інших *nix-систем, кидок DNS через VPN нормально не працював.

Після деяких досліджень у мене вийшло два варіанти:
— Використання DNS «повз» VPN, що дуже небезпечно, але вирішує проблему.
— Використання нативних для OS X VPN-протоколів: PPTP і сімейства IPSec.
Зрозуміло, я вибрав друге і зрозуміло — IPSec, а не застарілий PPTP.

Читати далі →

Відновлюємо права доступу під Mac OS X — EL Capitan

При переході на El Capitan ряд користувачів зіткнувся з проблемами прав доступу — непрацююче sudo, некоректна timezone, etc…

Коренем зла є спрощений доступ до /private/etc.

Для початку, вам варто перевірити свій. Відкрийте Terminal (це можна зробити через Spotlight) і введіть ls -la /private.

$ ls -la /private
total 0
drwxr-xr-x@ 6 root wheel 204 Oct 1 10:20 .
drwxr-xr-x 33 root wheel 1190 Nov 4 15:56 ..
drwxr-xr-x 106 root wheel 3604 Nov 13 18:04 etc
drwxr-xr-x 2 root wheel 68 Aug 23 02:28 tftpboot
drwxrwxrwt 14 root wheel 476 16 Nov 10:55 tmp
drwxr-xr-x 25 root wheel 850 Nov 4 17:02 var
$ 

Ось так «drwxr-xr-x» і повинні виглядати права etc. Якщо вони виглядають більше схожими на «drwx-----», то вам до нас.

Читати далі →

Visual Studio Code — еволюція кросплатформенного редактора коду на прикладі версії OS X



Visual Studio Code — редактор коду, з підтримкою понад 30 мов програмування і форматів файлів, а так само володіє рядом додаткових корисних можливостей.

Інструмент вийшов навесні цього року, і раніше ми вже встигли розказати про базові можливості цього міжплатформового редактора. Нагадаю, що використовувати VS Code можна на комп'ютерах під керуванням Windows, OS X та Linux.

Проте, за півроку існування інструмент регулярно оновлювався і продовжує оновлюватися раз на місяць, розширюючи свій функціонал, список підтримуваних мов, постійно покращуючи існуючі можливості, грунтуючись на відгуках і побажання користувачів.

Сьогодні ми поділимося оглядом наступних можливостей Visual Studio Code на прикладі використання в OS X: інтеграція з Unity3D, Visual Studio Online, GitHub, а так само детальними відео-матеріалами по установці, налаштуванні і комфортній роботі з VS Code на Mac.

Читати далі →

Збірка білдів Unity3D на Jenkins в Mac OS X. Частина 2

Першу частину можна знайти на тут.

Оновлення

Оновлювати потрібно як сам збирач, так і його плагіни. Сторінка налаштувань знаходиться за адресою 127.0.0.1:4242/manage (з поправкою на свої налаштування). У випадку наявності нової версії на сторінці буде висіти кнопочка з пропозицією оновитися. Рекомендую все ж завантажити свіжу версію самим, після чого акуратно вимкнути складальник, замінити jenkins.war файл і перезапустити його.
При оновленні jenkins.war може виникнути помилка, тому старий файл на всяк випадок бэкапим. Чому? Спочатку файлики з'являються на японському сервері (автор складальника — звичайний японський інженер, детальніше тут), потім поширюються по дзеркалах. Посилання:



Налаштувати плагіни можна на 127.0.0.1:4242/pluginManager/. Детальніше про плагіни буде у відповідному розділі, проте рекомендую оновити вже наявні.

Читати далі →