👩‍💻 В магазине Firefox обнаружено более 40 фейковых аддонов, которые нацелены на кражу крипты.

• Начиная с апреля злоумышленники размещают в магазине Firefox фейковые аддоны, которые являются клонами популярных криптокошельков. Расчет идет на невнимательность пользователей.

• Если юзер устанавливает такое расширение, то может легко потерять все свои средства, так как вредоносный код аддона перехватывает сид-фразы и отправляет их на свой сервер. А еще аддоны тщательно маскируют, указывая оригинальный логотип, накручивают рейтинг и отзывы. Так что будьте осторожны и внимательно проверяйте то, что скачиваете.

➡️ https://blog.koi.security/firefox [VPN].

#Новости #Firefox

💬 «Сидеть в системе под рутом через su небезопасно!», — говорили они. «Гораздо безопаснее использовать sudo !», — говорили они.

• В коде утилиты sudo, применяемой для организации выполнения команд от имени других пользователей, выявлена критическая уязвимость (CVE-2025-32463), позволяющая любому непривилегированному пользователю выполнить произвольный код с правами root, даже если пользователь не упомянут в конфигурации sudoers.

• Было выявлено, что проблеме подвержены дистрибутивы Linux, использующие файл конфигурации /etc/nsswitch.conf, например, возможность эксплуатации уязвимости продемонстрирована в Ubuntu 24.04 и Fedora 41.

• Уязвимость проявляется в конфигурации по умолчанию и подтверждена в версиях sudo с 1.9.14 по 1.9.17 и потенциально затрагивает все выпуски утилиты, начиная с номера 1.8.33.

• Проблема устранена разработчиками в обновлении sudo 1.9.17p1. Проверить состояние новой версии пакета или подготовки исправления в дистрибутивах можно тут: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo и Arch (1, 2).

• Проблема вызвана тем, что при применении опции «‑R» (‑chroot) для запуска команд в chroot‑окружении с выбранным пользователем корневым каталогом, файл /etc/nsswitch.conf загружался в контексте нового корневого каталога, а не системного каталога. Так как пользователь может использовать в качестве корневого каталога для chroot собственный каталог, он может разместить в нём файл конфигурации nsswitch.conf. Контролируя загружаемый подсистемой NSS (Name Service Switch) файл /etc/nsswitch.conf, пользователь может добавить в него настройки, приводящие к вызову дополнительных обработчиков. Подобные обработчики загружаются NSS в форме разделяемых библиотек, которые также можно разместить в подконтрольном пользователю каталоге. Подставив свою библиотеку пользователь может добиться выполнения из неё кода с правами root, так как обработка NSS производится до сброса привилегий.

• В версии sudo 1.9.17p1 разработчиками также устранена ещё одна уязвимость (CVE-2025-32462), позволяющая выполнить команды с правами root, но проявляющаяся только в конфигурациях sudoers, параметр host в которых выставлен в значение, отличное от ALL или имени текущего хоста. Уязвимость вызвана ошибкой, из‑за которой опция «‑h» (‑host) действовала не только в сочетании с опцией «‑l» (‑list) для вывода привязанных к хосту привилегий, но и при запуске команд. Таким образом пользователь мог указать при вызове sudo любой хост и обойти ограничения правил sudoers, привязанных к имени хоста.

➡ Первоисточник.
➡ Источник.

#Новости

👩‍💻 Linux Master.

• Нашел очень крутое приложение на Android, которое называется Linux Master - это такая интерактивная викторина, предназначенная для улучшения ваших знаний Linux за счет повышения уровней и рангов. Независимо от того, являетесь ли вы новичком или опытным пользователем, это приложение поможет вам отточить свои навыки по широкому кругу тем Linux. Обязательно попробуйте.

• Кстати, у разработчиков есть аналогичные приложения и по другим направлениям. Например есть KubePrep - поможет в обучении для освоения Kubernetes. Или есть System Design - познакомит вас с основными концепциями системной архитектуры.

• В общем и целом, вы обязательно найдете для себя полезное приложение из имеющихся: https://play.google.com/CodingShell

#Linux #DevOps #Kubernetes

💬 СПАМ!

• Знаете какой завтра день? Давайте напомню: 88 лет назад, 5 июля 1937 года, появился SPAM! Хотя в то время не существовало никакого ИТ. Тем не менее, именно в этот день произошло событие, которое спустя более чем полвека оказало значительное влияние на мир высоких технологий. А именно, американская компания Hormel Foods Corporation выпустила на рынок свой флагманский продукт, название которого знакомо теперь каждому айтишнику.

• Начало этой истории известно, наверное, всем. После окончания Второй Мировой войны на складах компании Hormel Foods осталось огромное количество консервированной ветчины со специями — Spiced Ham, или, сокращенно, SPAM. Эти консервы изначально предназначались для снабжения солдат, но к тому времени остались невостребованными. Пока продукт не испортился окончательно, производитель решил распродать запасы как можно быстрее, и затеял для этого масштабную рекламную кампанию. Реклама консервированной ветчины появилась буквально повсюду: на уличных плакатах, на автобусах, на вывесках магазинов и кафе.

• Несмотря на то, что бешеный период популярности продукта уже давно прошел, известности он не потерял. В США в городе Остин с населением 24700 человек находится улица под названием Spam Boulevard и ресторан «Johnny's SPAMarama», меню которого посвящено исключительно SPAMу. И все потому, что именно здесь предприниматель Джордж А. Хормел в 1891 году основал свою скотобойню и предприятие по упаковке мяса, которое позже превратилось в Hormel Foods.

• На Гавайях каждый год проходит большой спам-фестиваль. Нет, на нем не зачитывают вслух письма от нигерийских принцев. Там собираются повара и любители SPAMа, чтобы посоревноваться в приготовлении блюд с использованием этого продукта. На последнем SPAM-Фестивале собрались более 24 000 посетителей, чтобы попробовать кукурузные похлебки, пиццы, блюда различных кухонь, главным ингредиентом которых стал SPAM. Вообще, на Гавайях эти мясные консервы возводятся чуть ли не в культ и употребляются в количестве семи миллионов банок ежегодно, а местные рестораны McDonald's включают их в состав местных бургеров. Как оказалось, SPAM популярен не только в США. В Южной Корее консервы с ветчиной раздают в качестве подарков на Лунный Новый год.

• Так вот, в компьютерную среду спам пришел благодаря Дэйву Родесу, который в 1986 году разослал в конференциях Usenet множество рекламных сообщений о новой финансовой пирамиде. Заголовок гласил: «Заработай кучу денег», а в письмах содержалась инструкция, как это сделать. Тексты настолько приелись юзерам, что они начали ассоциировать их с рекламой, которая была повсюду. Так за словом «спам» и закрепилось его новое, современное значение.

• Естественно, компании, создающие софт и различный инструментарий для борьбы с почтовой рекламой, поспешили добавить новомодное словечко в свои торговые марки, что очень не понравилось Hormel Foods Corporation. Корпорация оказалась недовольна таким использованием своего товарного знака, и в период с 2002 по 2007 год подала серию исков против таких компаний, как Spam Arrest, Spambuster и Spam Cube, — и все суды с треском проиграла. В итоге Hormel Foods пришлось смириться с тем, что название ее продукта стало общеупотребительным словом с другим значением.

• В России одним из наиболее одиозных спамеров до сих пор считается «Центр американского английского», действовавший в начале двухтысячных. Пользователям настолько не полюбились массовые рассылки рекламы курсов иностранного языка, что они постоянно подвергали сайт Центра DDоS-атакам, пытались его взломать, звонили по телефонам компании, чтобы занять линию и поиздеваться над сотрудниками… А основатель центра позже и вовсе был убит при невыясненных обстоятельствах.

• А ведь всё началось с ветчины ))

#Разное

⚡ Отличные новости: разыгрываем 3 книги для изучения Linux.

• 10 победителей этого конкурса получат по 3 книги в бумажной версии, которые будут полезны как начинающим, так и опытным специалистам:

- Linux. От новичка к профессионалу.
- Командная строка Linux.
- Linux глазами хакера.

• Итоги подведём 12 июля в 18:30 случайным образом при помощи бота. Доставка для победителей бесплатная в зоне действия СДЭК.

Для участия нужно:

1. Быть подписанным на наш канал: Infosec.
2. Подписаться на канал наших друзей: Мир Linux.
3. Нажать на кнопку «Участвовать»;
4. Ждать результат.

Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».

#Конкурс

• Доброе утро... держите лайфхак, который поможет выжить в эту рабочую неделю🫠

#Понедельник

▶️ БЕСПЛАТНЫЙ практический вебинар по пентесту и поиску уязвимостей с Александром Медведевым!

Хотите научиться находить уязвимости в веб-приложениях и эксплуатировать их, как настоящий хакер? Тогда наш вебинар «Поиск уязвимостей и эксплуатация: от разведки до повышения привилегий» — для вас!

🟧 8 июля в 19:00 (мск) БЕСПЛАТНО
🟧 Регистрация

Что разберём?
🟧 Структура и особенности наших курсов по пентесту и информационной безопасности
🟧 Практические задания из лабораторий WAPT — как в реальных пентестах
🟧 Поиск уязвимостей в веб-приложениях и применение эксплойтов
🟧 Ошибки конфигурации, которые приводят к взлому
🟧 Техники повышения привилегий – как закрепиться в системе

Для кого?
🟧 Начинающие пентестеры и специалисты по кибербезопасности
🟧 Разработчики, которые хотят понимать уязвимости, и не допускать их в своих продуктах
🟧 Все, кто интересуется взломом и защитой веб-приложений

Спикер: Александр Медведев – эксперт с 10+ годами опыта в ИБ, OSWE, OSCP, PNPT, CEH, CWAPT, 5-кратный победитель Standoff (Codeby)

Не пропустите! 😎 Регистрация здесь.

🚀 Трудности с регистрацией? Пишите @Codeby_Academy

📼 Elcaset: гигантские аудиокассеты и забытый аудиоформат...

• Задолго до появления форматов кассет для звукозаписи на магнитную ленту в Японии появился собственный формат кассет, получивший название Elcaset (на фото). Его предложили специалисты компании Sony в 1976 году. Японцы утверждали, что кассета нового типа позволяет записывать и воспроизводить музыку в более высоком качестве, чем обычная компакт-кассета.

• 50 лет назад три крупных японских компании, занимающиеся разработкой электронных устройств, договорились совместными усилиями решить проблему низкого качества музыки на компакт-кассетах. Эти три компании — Panasonic, Sony и Teac. Объединенная команда специалистов решила использовать формат магнитной ленты, ширина которой равна ширине магнитной ленте в катушечных магнитофонах — 6,35 мм. Скорость протяжки ленты было решено увеличить вдвое по сравнению с кассетной техникой — до 9,53 см/с. Размер кассеты нового типа составил 152×106×18 мм.

• Отличительной особенностью аудиокассеты Elcaset стал не только размер. В отличие от компакт-кассеты, лента которой всегда находится внутри корпуса, ленту Elcaset вытягивал за пределы корпуса специальный механизм. Этот принцип используется и в кассетном видеомагнитофоне.

• Благодаря особенностям своей конструкции кассета Elcaset позволяла воспроизводить качественный звук с верхним диапазоном частот 25 000 Гц. Нижний диапазон частот составил 15 Гц. Компакт-кассета обеспечивала максимальную частоту звука в 16 000 Гц. Кассеты формата Elcaset позволили снизить уровень стороннего шума при воспроизведении записи. Представители Sony утверждали, что на средних частотах динамический диапазон Elcaset превосходит компакт-кассету на 10-15 децибел.

• У Sony, Teac, и Panasonic были собственные модели магнитофонов. Sony выпускала и портативную модель EL-D8, которая помещалась в сумку. Чуть позже к тройке производителей аудиосистем формата Elcaset присоединилась и компания Hitachi. Системы начали неплохо продаваться и получать отличные отзывы. Устройство стоило от 500 до 1000 долларов США.

• Но продажи устройств формата Elcaset быстро сошли на нет. Причина — в том же 1976 году, когда появились первые устройства нового формата, были представлены компакт-кассеты с пленкой, покрытой оксидом хрома (CrO2). Эти кассеты обеспечивали воспроизведение значительно более качественного звука, чем обычные компакт-кассеты. Использовать их можно было в стандартных кассетных магнитофонах. Стоила кассета CrO2 на 40% больше, чем обычная, но любителям музыки было все равно. Выгоднее было купить более дорогую кассету, которую можно было слушать на обычном недорогом магнитофоне, чем новый магнитофон с поддержкой стандарта Elcaset.

• Еще одной проблемой для кассетников Elcaset стали Hi-Fi проигрыватели компакт-кассет производства японской компании Nakamichi, которые вскоре начали считаться лучшими в мире. По итогу, и без того отличное звучание музыки можно было дополнительно улучшить в случае использования кассеты с CrO2 лентой.

• Постепенно на рынке стали появляться недорогие проигрыватели компакт-кассет, которые на хромовой ленте обеспечивали такое же или лучшее звучание, чем кассетники Elcaset. Рынок начал реагировать, количество продаж Elcaset-устройств стало падать. Обычные покупатели, не аудиофилы, вовсе перестали покупать системы Elcaset, что снизило и без того не слишком высокий уровень продаж этих устройств.

• Все это привело к тому, что в 1979 году выпуск устройств и кассет формата Elcaset был прекращен. У японских производителей осталось несколько тысяч проигрывателей, которые продали с аукциона финской оптовой компании Hirvox. Вся эта техника (около 2000 систем Elcaset) была распродана в Финляндии по цене от $140 до $230, причем к проигрывателям прилагались 25 чистых кассет. По этой причине в Финляндии формат просуществовал еще какое-то время. В других странах об Elcaset забыли очень быстро.

• Сейчас деки Elcaset можно встретить только на аукционах для коллекционеров.

➡️ https://www.computerra.ru/Elcaset

#Разное