Критическая уязвимость в популярном блоговом движке WordPress была найдена в сентябре финскими специалистами из компании Klikki Oy. Используя эту дыру, хакер может вести в качестве комментария к блогу специальный код, который будет выполнен в браузере администратора сайта при чтении комментариев. Атака позволяет скрытно перехватить управление сайтом и делать разные неприятные вещи под админским доступом. После получения прав администратора злоумышленник может запускать свои коды на сервере, где хостится атакованный блог – то есть развивать атаку по более широкому фронту. Стоит вспомнить, что буквально недавно банковским трояном, который распространялся через сайты на WordPress, были украдены данные о 800 тыс. кредитных карт. Данная уязвимость касается всех версий WordPress от 3.0 и выше. Проблема решается обновлением движка до версии 4, где такой проблемы нет. Представители Klikki Oy сообщили об уязвимости вендору 26 сентября. На текущий момент, через два месяца спустя после обнаружения, обновилось не более 16% пользователей WordPress (см. диаграмму). Получается, что все остальные 84%, то есть несколько десятков миллионов пользователей данного движка во всем мире, остаются потенциальными жертвами. На самом деле жертв будет меньше, потому что есть небольшое дополнительное условие для эксплуатации – нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако в данном случае интересно именно время жизни уязвимости - следить за статистикой обновления WordPress в реальном времени можно здесь. На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми – но если у вас старый WordPress, стоит все-таки обновиться. Источник:
12-14 ноября в ЦВК «Экспоцентр» на Красной Пресне состоялась 25-я выставка Softool, которая сыграла важную роль в становлении российской IT-индустрии, помогая вывести на рынок новые интересные продукты. В юбилейный год, которому сопутствовали важные изменения в отрасли, организаторы провели расширенную секцию на тему поддержки отечественного программного обеспечения и введения преференций российским разработчикам. В работе выставки приняли участие высокопоставленные представители Минкомсвязи, Совета Федерации, ведущих российских и зарубежных IT-компаний. В этом году экспозиция Softool впервые разместилась на одной площадке с Russian Interactive Week (RIW), тем самым объединив сразу несколько направлений в сфере IT и коммуникаций. Организатором Softool выступила Ассоциация разработчиков программных продуктов «Отечественный софт». Посетители выставки смогли ознакомиться как с широко-востребованными IT-продуктами, так и с нишевыми разработками отечественных и зарубежных компаний, специализирующихся в области комплексной автоматизации предприятий, частичной автоматизации бизнес-процессов, системах автоматизированного проектирования, производственной автоматизации. Выставка продемонстрировала серьезные намерения российских разработчиков расширить свое присутствие на рынке и занять достойное место среди иностранных продуктов. В рамках выставки были награждены победители конкурса на лучшее решение в области информационных технологий «Продукт года»: Продукт «Рули24» ООО «Илада» победил сразу в двух номинациях «Управление процессами» и «Управление проектами», Продукт – АИС «Е-услуги. Образование» ЗАО «Иртех» в номинации «Региональные и муниципальные системы», Продукт DataMobile компании «Сканпорт» в номинации «Мобильные технологии». Экспертное жюри конкурса традиционно возглавил член-корреспондент РАН, директор Института программных систем РАН Сергей Абрамов. В ходе круглого стола на тему «Опыт, проблемы и перспективы ИТ-образования в России» спикеры единодушно выразили мнение о том, что молодому специалисту нужно обязательно «пройти школу в крупной IT-компании» для того, чтобы получить азы бизнес-коммуникации и найти практическое применение своим знаниям. На секции также говорилось о том, что ВУЗы должны нести ответственность не только за качество выпускаемых специалистов, но и количественный показатель, который должен соответствовать запросам рынков. На сегодняшний момент в различных отраслях наблюдается высокий спрос на ИТ-работников, поэтому их трудовая судьба в ближайшие годы должна складываться по более оптимистичному сценарию в отличие от юристов и экономистов. Глава Минкомсвязи Николай Никифоров объявил долгосрочную задачу для миллиона российских программистов: стране нужен полный информационный суверенитет. Пока у нас только 350 тысяч квалифицированных ИТ-специалистов, так что реализация задачи займет от 3 до 7 лет. Источник:
На самом деле жертв будет меньше, потому что есть небольшое дополнительное условие для эксплуатации – нужна возможность комментирования постов или страниц (по умолчанию доступно без авторизации). Однако в данном случае интересно именно время жизни уязвимости - следить за статистикой обновления WordPress в реальном времени можно здесь. На данный момент попытки эксплуатации описанной уязвимости уже встречаются. Их пока нельзя назвать массовыми – но если у вас старый WordPress, стоит все-таки обновиться. Источник: 
В этом году экспозиция Softool впервые разместилась на одной площадке с Russian Interactive Week (RIW), тем самым объединив сразу несколько направлений в сфере IT и коммуникаций. Организатором Softool выступила Ассоциация разработчиков программных продуктов «Отечественный софт». Посетители выставки смогли ознакомиться как с широко-востребованными IT-продуктами, так и с нишевыми разработками отечественных и зарубежных компаний, специализирующихся в области комплексной автоматизации предприятий, частичной автоматизации бизнес-процессов, системах автоматизированного проектирования, производственной автоматизации. Выставка продемонстрировала серьезные намерения российских разработчиков расширить свое присутствие на рынке и занять достойное место среди иностранных продуктов. В рамках выставки были награждены победители конкурса на лучшее решение в области информационных технологий «Продукт года»: Продукт «Рули24» ООО «Илада» победил сразу в двух номинациях «Управление процессами» и «Управление проектами», Продукт – АИС «Е-услуги. Образование» ЗАО «Иртех» в номинации «Региональные и муниципальные системы», Продукт DataMobile компании «Сканпорт» в номинации «Мобильные технологии». Экспертное жюри конкурса традиционно возглавил член-корреспондент РАН, директор Института программных систем РАН Сергей Абрамов. В ходе круглого стола на тему «Опыт, проблемы и перспективы ИТ-образования в России» спикеры единодушно выразили мнение о том, что молодому специалисту нужно обязательно «пройти школу в крупной IT-компании» для того, чтобы получить азы бизнес-коммуникации и найти практическое применение своим знаниям. На секции также говорилось о том, что ВУЗы должны нести ответственность не только за качество выпускаемых специалистов, но и количественный показатель, который должен соответствовать запросам рынков. На сегодняшний момент в различных отраслях наблюдается высокий спрос на ИТ-работников, поэтому их трудовая судьба в ближайшие годы должна складываться по более оптимистичному сценарию в отличие от юристов и экономистов. Глава Минкомсвязи Николай Никифоров объявил долгосрочную задачу для миллиона российских программистов: стране нужен полный информационный суверенитет. Пока у нас только 350 тысяч квалифицированных ИТ-специалистов, так что реализация задачи займет от 3 до 7 лет. Источник: 