Дыра кроется в относительно новой фиче, в поддержке OCI-артефактов. При обработке слоев такого артефакта Compose слепо доверяет аннотациям, которые указывают, куда распаковывать файлы. Он просто склеивает свой путь к кэшу с путем из аннотации, без какой-либо нормализации или проверки. Это позволяет атакующему подсунуть в аннотацию что-то вроде
../../etc/passwd, и Compose запишет файл за пределами своего кэша. Все, что нужно для атаки, так это заставить пользователя или CI-систему использовать вредоносный удаленный артефакт.Но это еще не всё, в установщике Docker Desktop для Windows нашли уязвимость подмены DLL. Инсталлятор при запуске ищет нужные ему библиотеки сначала в папке
Downloads, и только потом в системных каталогах. Это позволяет подсунуть в ту же папку вредоносную DLL, которую установщик подгрузит и выполнит. Исправления уже выпущены в Docker Compose v2.40.2 и Docker Desktop 4.49.0.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
✍23😱9❤2😁2🐳2🔥1🙏1
Forwarded from godnoTECH - Новости IT
Павел Дуров представил новый проект Cocoon — децентрализованную сеть для ИИ-вычислений. Сеть объединит владельцев мощных видеокарт и разработчиков, которым не хватает серверных ресурсов. GPU пользователей будут обрабатывать запросы нейросетей, а вознаграждение начисляться в TON.
Главная идея — освободить ИИ от контроля корпораций и регуляторов. Все данные в Cocoon будут шифроваться, чтобы никто не мог отследить, кто и что запускает. Первой площадкой станет Telegram, где экосистема уже готова к интеграции. Запуск сети запланирован на ноябрь.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥70🤔28❤4😁4👍3🌭3✍1🌚1
Исследователи обнаружили на дарк-форумах новый RAT-комбайн 💰
Главная фича - это скрытый удаленный рабочий стол (HRDP). Он создает невидимую теневую сессию, позволяя атакующему работать под носом у пользователя, используя его уже аутентифицированную сессию (и обходя MFA). Встроенный стилер ищет пароли и криптокошельки, а затем упаковывает их в ZIP-архив прямо в оперативной памяти, оставаясь невидимым для большинства антивирусов и DLP-систем. В реальном времени мониторится буфер обмена, перехватывая все, что копирует пользователь.
Также запилен перехват DNS на уровне хоста. Зловред может подменить IP-адрес для любого домена, незаметно перенаправляя пользователя на фишинговую копию корпоративного портала или банка. В качестве бонуса запилили встроенный сканер уязвимостей, который после заражения ищет на машине способы повысить привилегии.
Раньше для серьезной атаки нужны были серьезные навыки, а теперь нужен только бюджет на подписку👦
Типичный🥸 Сисадмин
Atroposia, который продают по подписке от $200 в месяц Главная фича - это скрытый удаленный рабочий стол (HRDP). Он создает невидимую теневую сессию, позволяя атакующему работать под носом у пользователя, используя его уже аутентифицированную сессию (и обходя MFA). Встроенный стилер ищет пароли и криптокошельки, а затем упаковывает их в ZIP-архив прямо в оперативной памяти, оставаясь невидимым для большинства антивирусов и DLP-систем. В реальном времени мониторится буфер обмена, перехватывая все, что копирует пользователь.
Также запилен перехват DNS на уровне хоста. Зловред может подменить IP-адрес для любого домена, незаметно перенаправляя пользователя на фишинговую копию корпоративного портала или банка. В качестве бонуса запилили встроенный сканер уязвимостей, который после заражения ищет на машине способы повысить привилегии.
Раньше для серьезной атаки нужны были серьезные навыки, а теперь нужен только бюджет на подписку
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😱57🔥14❤9
Please open Telegram to view this post
VIEW IN TELEGRAM
😱114🫡39😁16
Forwarded from Linux / Линукс
Шаттлворт о будущем Ubuntu
Марк Шаттлворт дал интервью, где рассказал, что происходит в Canonical. Если коротко, то на IPO компания выйдет, но торопиться не будет, денег у них и так хватает, а выходить на биржу с неподготовленными процессами он не хочет.
Интересный момент про штат... из 1400 сотрудников почти 900 инженеры. Шаттлворт говорит, что они сознательно тратят две трети ресурсов на исследования и создание новых технологий, чтобы поддерживать и расширять экосистему опенсорса для энтерпрайза.
Когда речь зашла о десктопе, Шаттлворт прошелся по больной теме. Он считает, что у Linux есть все шансы стать популярным, но сообществу пора перестать делать дистрибутивы под себя и сфокусироваться на том, чтобы всё просто работало для обычных людей. Он тепло отозвался о System76 и их COSMIC DE, но подтвердил, что в Ubuntu 26.04 LTS останется GNOME 48 на Wayland. Похоже, экспериментов в стиле Unity мы больше не увидим😗
Теперь понятно, куда уходят силы 900 инженеров. Они придумывают, как сделать Snap еще медленнее и прожорливее😏
Linux / Линукс🥸
Марк Шаттлворт дал интервью, где рассказал, что происходит в Canonical. Если коротко, то на IPO компания выйдет, но торопиться не будет, денег у них и так хватает, а выходить на биржу с неподготовленными процессами он не хочет.
Интересный момент про штат... из 1400 сотрудников почти 900 инженеры. Шаттлворт говорит, что они сознательно тратят две трети ресурсов на исследования и создание новых технологий, чтобы поддерживать и расширять экосистему опенсорса для энтерпрайза.
Когда речь зашла о десктопе, Шаттлворт прошелся по больной теме. Он считает, что у Linux есть все шансы стать популярным, но сообществу пора перестать делать дистрибутивы под себя и сфокусироваться на том, чтобы всё просто работало для обычных людей. Он тепло отозвался о System76 и их COSMIC DE, но подтвердил, что в Ubuntu 26.04 LTS останется GNOME 48 на Wayland. Похоже, экспериментов в стиле Unity мы больше не увидим
Теперь понятно, куда уходят силы 900 инженеров. Они придумывают, как сделать Snap еще медленнее и прожорливее
Linux / Линукс
Please open Telegram to view this post
VIEW IN TELEGRAM
The Register
Canonical CEO says no to IPO in current volatile market
Interview: 'We should be a public company,' Shuttleworth tells The Reg, just not 'with our trousers around our ankles'
👍26❤10🤷♂6🌚5😁3
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥119😁60🫡13🌚10😱5💯2
Новый способ остаться без Telegram. Похоже, начался новый этап частичных ограничений 🎩
По данным из СМИ и источников в телекоме, подрядчикам операторов связи дали команду прекратить доставку SMS и звонков с кодами авторизации для новых аккаунтов.
Причем, как всегда, сделано это не тотально, а через одно место. У кого-то на МегаФоне и МТС коды еще приходят, а на Билайне уже нет. Бьют не по самим мессенджерам, а по самому уязвимому звену, по механизму верификации нового пользователя. Уже существующие сессии работают, а вот сменить номер, залогиниться на новом устройстве без доступа к старому или завести новый аккаунт уже проблемно. На всякий случай уберу в шкаф старый ноутбук с активной сессией🎹
Роскомнадзор подтвердил лишь меры по частичному ограничению для борьбы с мошенничеством😬 , но про конкретный запрет на SMS/звонки - молчит. Неофициальная причина выглядит как постепенное удушение неугодных сервисов и создание проблем для их роста, чтобы подтолкнуть всех к нужным аналогам.
Что делать, чтобы однажды не остаться без доступа к своему аккаунту? Во-первых, держите активные сессии на нескольких устройствах (компьютер, второй телефон) и не выходите из них. В этом случае код для входа придет прямо в Telegram на другом устройстве. Во-вторых, есть вариант привязать почту для получения кодов авторизации.
Типичный🥸 Сисадмин
По данным из СМИ и источников в телекоме, подрядчикам операторов связи дали команду прекратить доставку SMS и звонков с кодами авторизации для новых аккаунтов.
Причем, как всегда, сделано это не тотально, а через одно место. У кого-то на МегаФоне и МТС коды еще приходят, а на Билайне уже нет. Бьют не по самим мессенджерам, а по самому уязвимому звену, по механизму верификации нового пользователя. Уже существующие сессии работают, а вот сменить номер, залогиниться на новом устройстве без доступа к старому или завести новый аккаунт уже проблемно. На всякий случай уберу в шкаф старый ноутбук с активной сессией
Роскомнадзор подтвердил лишь меры по частичному ограничению для борьбы с мошенничеством
Что делать, чтобы однажды не остаться без доступа к своему аккаунту? Во-первых, держите активные сессии на нескольких устройствах (компьютер, второй телефон) и не выходите из них. В этом случае код для входа придет прямо в Telegram на другом устройстве. Во-вторых, есть вариант привязать почту для получения кодов авторизации.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
😱31🌚10🤯8🙏5❤3👏2💔2🫡2💯1🗿1
Типичный Сисадмин
Новый способ остаться без Telegram. Похоже, начался новый этап частичных ограничений 🎩 По данным из СМИ и источников в телекоме, подрядчикам операторов связи дали команду прекратить доставку SMS и звонков с кодами авторизации для новых аккаунтов. Причем…
Дуров нашел способ обойти блокировки SMS
В Android-версии мессенджера появилась программа Peer-to-Peer Login (P2PL). Телега предлагает пользователям добровольно превратить свои телефоны в SMS-шлюзы. За это им обещают подарочный код на месячную подписку ТГ-Premium.
Как это работает? Вы соглашаетесь с условиями, и телефон начинает рассылать до 150 SMS с кодами авторизации (OTP) другим пользователям. Таким образом, Дуров строит децентрализованную и практически неубиваемую сеть доставки кодов, обходя блокировки операторских шлюзов.
Но есть нюансы👨🦳 Во-первых, вы оплачиваете все расходы на эти SMS, включая роуминг. Во-вторых, ваш номер телефона будет виден получателю SMS. Telegram снимает с себя любую ответственность за неудобства, преследования или вред, которые могут возникнуть в результате этого. Вам, в свою очередь, запрещено отвечать на любые сообщения от получателей, даже если они случайно ответят на SMS с кодом.
По сути, Дуров предлагает вам за свой счет и на свой страх и риск поработать на их инфраструктуру в обмен на прикольные эмодзи. Получилось красивое перекладывание рисков и расходов с корпорации на пользователей. Гениальный бизнес-план.
Типичный🥸 Сисадмин
В Android-версии мессенджера появилась программа Peer-to-Peer Login (P2PL). Телега предлагает пользователям добровольно превратить свои телефоны в SMS-шлюзы. За это им обещают подарочный код на месячную подписку ТГ-Premium.
Как это работает? Вы соглашаетесь с условиями, и телефон начинает рассылать до 150 SMS с кодами авторизации (OTP) другим пользователям. Таким образом, Дуров строит децентрализованную и практически неубиваемую сеть доставки кодов, обходя блокировки операторских шлюзов.
Но есть нюансы
По сути, Дуров предлагает вам за свой счет и на свой страх и риск поработать на их инфраструктуру в обмен на прикольные эмодзи. Получилось красивое перекладывание рисков и расходов с корпорации на пользователей. Гениальный бизнес-план.
Типичный
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚79😁55🤔16❤6👍5🎃4😱3🎉3😎1