#‫سیسکو به‌روزرسانی‌ امنیتی جهت رفع 17 #‫آسیب‌پذیری‌ با شدت «بالا» و «بحرانی» در چندین محصول خود منتشر ساخته است. یک مهاجم راه‌دور می‌تواند با سوءاستفاده از برخی از این آسیب‌پذیری‌ها، کنترل کامل سیستم را در دست گیرد. این آسیب‌پذیری‌ها برخی از محصولات سیستم محاسباتی یکپارچه‌ی (UCS) این شرکت، از جمله کنترل‌کننده‌ی مدیریت یکپارچه (IMC)، UCS Director و UCS Director Express برای داده‌های بزرگ را تحت‌تأثیر قرار می‌دهند.
بسیاری از این آسیب‌پذیری‌ها، کنترل‌کننده‌ی مدیریت یکپارچه (IMC) که یک کنترل‌کننده‌ی مدیریت مبتنی بر برد است را تحت‌تأثیر قرار می‌دهند. این کنترل‌کننده، مدیریت کارگزار تعبیه‌شده‌ای را برای کارگزارهای سیستم محاسباتی یکپارچه‌ی سیسکو فراهم می‌آورد.
اکثر این آسیب‌پذیری‌ها توسط خود سیسکو یافت شده‌اند؛ اما برخی از آن‌ها توسط محققی به نام Perdro Ribeiro گزارش شده‌اند.
Ribeiro جزئیات مربوط به سه آسیب‌پذیری از نقص‌های موجود در محصولات سیسکو را به همراه ماژول‌های Metasploit جهت سوءاستفاده از آن‌ها منتشر ساخته است.
یکی از این نقص‌ها، آسیب‌پذیری با شناسه‌ی CVE-2019-1935 است که از نظر شدت «بحرانی» رتبه‌بندی شده است و به یک مهاجم راه دور اجازه می‌دهد بااستفاده از حساب کاربری SCP (scpuser) که دارای اعتبارنامه‌‌های پیش‌فرض است، به واسط خط فرمان (CLI) یک سیستم آسیب‌پذیر وارد شود. کاربر SCP برای تشخیص و پشتیبانی از تکنیک‌ها طراحی شده است و به طور معمول نباید به GUI یا مدیر پوسته (shelladmin) دسترسی پیدا کند. اما Ribeiro دریافت که این کاربر می‌تواند از طریق SSH دارای گذرواژه‌ی پیش‌فرض، در صورتی که توسط مدیر سیستم تغییر نیافته باشد، وارد سیستم شود.
نقص دیگری که توسط Ribeiro شناسایی شده است، آسیب‌پذیری با شناسه‌ی CVE-2019-1936 است. این آسیب‌پذیری از نظر شدت، «بالا» رتبه‌بندی شده است و به یک مهاجم احرازهویت‌نشده اجازه می‌دهد دستورات دلخواه در پوسته‌ی زیرین Linux را با مجوزهای ریشه‌ای، اجرا کند. این آسیب‌پذیری برای اینکه مورد سوءاستفاده قرار گیرد نیاز به کاربر احرازهویت‌شده دارد. دورزدن احرازهویت نیاز به سوءاستفاده از آسیب‌پذیری بحرانی دیگری دارد. این آسیب‌پذیری دارای شناسه‌ی CVE-2019-1937 است و به مهاجم راه‌دور و احرازهویت‌نشده اجازه می‌دهد تا با دسترسی به یک نشانه‌ی (token) نشست معتبر با امتیازات مدیریتی، احرازهویت را دور بزند. یک مهاجم می‌تواند با ارسال یک سری درخواست‌های مخرب به دستگاه هدف، به این نشانه دست یابد.
به گفته‌ی Ribeiro، آسیب‌پذیری‌های CVE-2019-1936 و CVE-2019-1937 می‌توانند توسط یک مهاجم راه‌دور و بدون امتیاز در سیستم هدف، زنجیر شوند تا کدی را به عنوان ریشه اجرا کنند و کنترل کامل محصول متأثر را در دست گیرند.
Ribeiro دو ماژول metasploit نیز منتشر ساخته است. یک ماژول که از دورزدن و تزریق دستور و دیگری که از گذرواژه‌ی پیش‌فرض SSH سوءاستفاده می‌کند.

برای دومین بار در سال جاری، آسیب پذیری حیاتی از نوع RCE (با امکان حمله از راه دور) در سرویس‌دهنده‌ی ایمیل #EXIM شناسایی شده است. با سواستفاده از این آسیب‌پذیری مهاجم می تواند کد های مخرب خود را با سطح دسترسی root بر روی سرور میزبان اجرا کند.
نسخه های آسیب پذیر معرفی شده، شامل 4.92.1 و همه نسخه های قبل از آن می باشد.
در حال حاضر اطلاعات بیشتری از این آسیب پذیری بدست نیامده است. در صورت استفاده از این سرویس‌دهنده لازم است بی درنگ نسبت به بروزرسانی نسخه Exim خود به 4.92.2 اقدام نمایید. عمده سرویس دهنده‌های آسیب‌پذیر متعلق به شرکت‌های میزبانی (هاستینگ) است.

اولین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر در سامانه کلاه سفید با شرکت دو وبسایت متعلق به سازمان فناوری اطلاعات آغاز شد. وبسایت‌های شرکت کننده در مسابقه:

https://nama.ito.gov.ir
https://irannoafarin.ir

جزییات بیشتر از نحوه برگزاری مسابقه در صفحه اختصاصی آن در سامانه کلاه سفید در دسترس است:

https://kolahsefid.cert.ir/Contest/250.html

طبق گزارش‌های Trend Micro، نوع جدیدی از فعالیت‌های درب‌پشتی #Asruex مشاهده شده است که #‫آسیب‌پذیری‌های قدیمی در Microsoft Office و Adobe Reader و Acrobat 9.x را هدف قرار می‌دهد.
Asruex ابتدا در سال 2015 کشف شد و قبلاً با جاسوس‌افزار DarkHotel همراه بود. DarkHotel گروه شناخته‌شده‌ای است که بازدیدکنندگان تجاری هتل را از طریق شبکه‌ی WiFi هتل هدف قرار می‌دهد. به نظر می‌ر‌سد بدافزار Asruex علاوه بر قابلیت‌های درب‌پشتی، می‌تواند دو آسیب‌پذیری قدیمی با شناسه‌های CVE-2012-0158 و CVE-2010-2883 را نیز هدف قرار دهد.
آسیب‌پذیری CVE-2012-0158، یک نقص بحرانی سرریز بافر در یک مؤلفه‌ی ActiveX در نسخه‌های 2003، 2007 و 2010 است که سوءاستفاده از آن منجر به اجرای کد از راه دور می‌شود.
آسیب‌‌پذیری CVE-2010-2883، یک نقص سرریز بافر مبتنی بر پشته در محصولات Adobe است که می‌تواند برای تزریق کد به فایل‌های PDF مورد سوءاستفاده قرار گیرد. این نقص یک آسیب‌‌پذیری روزصفرم است که قبلاً زمانی که برای اولین بار کشف شد، به طور گسترده‌ای مورد سوءاستفاده قرار گرفته بود.
با توجه به اینکه ممکن است محققان فایل‌ها را برای آلوده‌سازی Asruex مورد بررسی قرار ندهند و فقط توجهشان به قابلیت‌های درب‌پشتی آن باشد، این قابلیت‌های منحصربه‌فرد آلوده‌سازی ، شناسایی حملات را به طور بالقوه دشوارتر می‌سازد.
به گفته‌ی Trend Micro، این نوع از بدافزار Asruex به گونه‌ای طراحی شده است که سازمان‌هایی که نسخه‌های وصله‌ی نشده‌ی Adobe Reader 9.x تا پیش از 9.4 و نسخه‌های Acrobat 8.x تا پیش از 8.2.5 را در Windows و Mac OS X استفاده می‌کنند، هدف قرار می‌دهد.
Asruex برای آلوده‌کردن ماشین‌ها، از یک فایل میانبر با یک اسکریپت دانلود Powershell استفاده می‌کند. این بدافزار، برای انتشار از درایوهای قابل جابجایی و درایوهای شبکه استفاده می‌‌کند.
نوع جدید این بدافزار، ابتدا در قالب یک فایل PDF مشاهده شد. این فایل PDF توسط عاملین پشت این تهدید ایجاد نشده بود؛ اما توسط نوعی Asruex آلوده شده بود.
اگر این فایل PDF توسط نسخه‌های قدیمی‌تر Adobe Reader و Adobe Acrobat باز شود، آلوده‌ساز را در پس‌زمینه چکانده (drop) و اجرا خواهد کرد. از آنجاییکه محتویات فایل میزبان PDF اصلی همچنان نمایش داده می‌شود، بعید است کاربر به چیزی مشکوک شود. برای این رفتار، از یک الگوی ساختگی خاص که از آسیب‌پذیری CVE-2010-2883 در حین افزودن فایل میزبان سوء‌استفاده می‌کند، استفاده می‌شود. این بدافزار شامل چندین ویژگی ضد اشکال‌زدایی و ضد تقلید است. این نوع بدافزار در صورت وجود Sandbox\WINDOWS\system32\kernel32.dll، آن را تشخیص می‌دهد و همچنین با بازبینی نام‌های رایانه، نام کاربر، توابع صادرشده توسط ماژول‌های بارگذاری‌شده، پروسه‌های در حال اجرا و رشته‌های خاص در نام‌های دیسک، بررسی می‌کند که آیا در یک محیط جعبه شنی اجرا می‌شود یا خیر. پس از گذراندن این بررسی‌ها، درب‌پشتی بدافزار نصب می‌شود و سرقت اطلاعات می‌تواند آغاز شود.
فایل PDF همچنین یک DLL که مناسب قابلیت‌های آلوده‌سازی و درب‌پشتی بدافزار است، به حافظه‌ی پردازش ویندوز تزریق می‌کند.
آسیب‌پذیری CVE-2012-0158 از سوی دیگر به مهاجمان اجازه می‌دهد کد دلخواه را از طریق یک سند Word یا وب‌سایت، از راه دور اجرا کنند. فرایند آلوده‌سازی این سند مشابه فایل‌های PDF است.
این بدافزار علاوه بر فایل‌های PDF و اسناد Word، فایل‌های اجرایی را نیز آلوده می‌سازد. فایل اجرایی یا میزبان اصلی را فشرده و رمزگذاری می‌کند و آن را به صورت بخش .EBSS خودش، ضمیمه می‌کند. بنابراین می‌تواند هم آلوده‌ساز را بچکاند و هم فایل میزبان را به صورت نرمال اجرا نماید.
این نوع بدافزار به دلیل استفاده از آسیب‌پذیری‌هایی که بیش از 5 سال پیش کشف شده‌اند، قابل توجه است، زیرا فقط یک سال است که ما شاهد این نوع بدافزارها در طبیعت هستیم. این امر نشان‌دهنده‌ی آن است که مجرمان سایبری این بدافزار که آن را ابداع کرده‌اند، می‌دانند هنوز کاربرانی هستند که نسخه‌های جدیدتری از نرم‌افزار Adobe Acrobat و Adobe Reader را وصله یا به‌روزرسانی نکرده‌اند. لذا، وجود چنین بدافزارهایی نیاز سازمان‌ها به استفاده از بهترین شیوه‌ها برای به‌روزرسانی و وصله‌کردن نرم‌افزارهای دارای آسیب‌پذیری‌های بحرانی را تأکید می‌کنند.

نسخه اندرویدی برنامه محبوبCamScanner که بیش از یکصد میلیون کاربر دارد، محتوی بدافزاری است که به‌واسطه آن که هکرها می‌توانند از راه دور به دستگاه اندرویدی دسترسی داشته و داده‌های ذخیره شده روی سیستم را به سرقت ببرند!
پس از افشای این خبر، شرکت گوگل بلافاصله آن را از روی فروشگاه خود حذف نموده و به کاربران توصیه نموده تا این برنامه را از دستگاه خود حذف نمایند.
این ماژول مخرب روی کد اصلی این اپلیکیشن نیست، بلکه روی یکی از کتابخانه‌های خارجی است که برای تبلیغات استفاده می‌شود و جدیداً در این اپلیکیشن استفاده شده است. نکته جالب آن است که چون نسخه غیر رایگان CamScannerاز این کتابخانه استفاده نمی‌کند، این تروجان در آن وجود ندارد.
این مسأله زمانی کشف شد که کاربران زیادی از این اپلیکیشن رفتارهای مشکوکی مشاهده نموده و بازخوردهای منفی روی پلی‌استور ثبت کردند.
محققین احتمال داده‌اند که دلیل وجود این بدافزار، همکاری توسعه‌دهندگان این اپلیکیشن با تبلیغ‌کننده‌ای غیرقابل اعتماد بوده است.
برای اطلاع از جزئیات این بدافزار و نحوه عملکرد آن می‌توانید به گزارش تحلیلی شرکت کسپراسکی مراجعه نمایید.

https://securelist.com/dropper-in-google-play/92496/

دو آسیب‌پذیری جدی در دو سرویس دهنده‌ی VPN در تجهیزات شرکت فورتی‌نت و PulseSecure در روزهای اخیر بطور جدی مورد سوءاستفاده‌ی مهاجمین قرار گرفته است. قرار داشتن سرویس دهنده‌های VPN در لبه‌ی شبکه‌، خطر این آسیب‌پذیری‌ها رو بسیار بیشتر کرده است.
آسیب پذیری CVE-2018-13379برروی تجهیزات امنیتی فورتی‌گیت با سیستم عامل FortiOS و بر روی پورتال تحت وب VPN آن امکان اخذ دسترسی از راه دور را برای مهاجم فراهم می­کند. حمله از طریق ارسال یک بسته آلوده HTTP صورت می­گیرد. ضعف موجود در این سرویس از نوع path-traversalو با شماره CWE-22 است.
نسخه­‌های آسیب پذیر این سیستم عامل 5.6.3تا 5.6.7و 6.0.0تا 6.0.4 می­باشد و تنها در صورتی دستگاه آسیب پذیر است که سرویس VPNفعال باشد.
راهکار موقتی جلوگیری از آلوده شدن، غیرفعال سازی سرویس SSL VPN می­باشد که با دستور زیر می­توان این سرویس را غیرفعال کرد:

config vpn ssl settings
unset source-interface
end

آسیب پذیری CVE-2019-11510 نیز در محصول Pulse Connect Secure(PCS) کشف شده که به حمله کننده این امکان را می­دهد تا هر فایلی را از راه دور از روی سرور بخواند. به همین دلیل امنیت میزبانی که این سرویس دهنده برروی آن نصب شده باشد به خطر میافتد.

سرویس دهنده­های آسیب پذیر به شرح زیر می باشند :

• نسخه های قبل از 8.1R15.1
• نسخه های قبل از 8.2R12.1
• نسخه های قبل از 8.3R7.1
• نسخه های قبل از 9.0R3.4

لازم به توضیح است اطلاع رسانی به مالکین تجهیزات آسیب‌پذیر در جریان است.

منبع :

https://fortiguard.com/psirt/FG-IR-18-384
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11510

مرکز ماهر در راستای ماموریت‌های خود به منظور ارتقای امنیت در سامانه‌های کشور، اقدام به برگزاری مسابقات ارزیابی امنیتی و کشف باگ (Bug bounty) در سطح وب‌سایت‌ها و سامانه‌های دولتی تحت شبکه‌ی اینترنت کرده است. در این راستا سامانه‌ کلاه سفید مرکز ماهر (https://kolahsefid.cert.ir)، آماده ارزیابی امنیتی سامانه‌ها از طریق برگزاری مسابقات عمومی و خصوصی است.
برخلاف قراردادهای مرسوم و سنتی آزمون نفوذ، با استفاده از سامانه کلاه سفید، تنها به ازای آسیب‌پذیری‌های کشف‌شده توسط متخصصین امنیتی شرکت‌کننده در مسابقه و با داوری‌ تیم مرکز ماهر هزینه ارزیابی امنیتی پرداخت می‌شود. همچنین پس از برگزاری مسابقه و ارزیابی نهایی سامانه توسط داوران، گواهی تاییدیه ارزیابی امنیتی سامانه به سازمان مربوطه اعطا می‌گردد.
سامانه کلاه سفید با توجه به همین چالش‌ها، راهکار ارائه خدمات برگزاری مسابقه ارزیابی امنیتی را مطرح و بستری فراهم کرده است تا متخصصین مجرب امنیتی و سازمان‌ها و شرکت‌های تولید نرم‌افزار با حداکثر سرعت و حداقل هزینه در کنار یکدیگر قرار بگیرند. با توجه به تعداد بالای متخصصین این سامانه، که تعداد آن‌ها تا کنون به بیش از 500 نفر رسیده است، طیف وسیعی از دانش و مهارت مورد نیاز برای ارزیابی امنیتی فراهم شده است.
این مسابقات به دو صورت عمومی و خصوصی برگزاری می‌گردد. در مسابقات عمومی کلیه متخصصین عضوشده در سامانه کلاه سفید امکان مشاهده جزئیات و شرکت در آن را دارند و در مسابقه خصوصی تنها متخصصین شناخته‌شده و منتخب، امکان شرکت دارند.
در مرحله اول، طی روزهای آینده ارزیابی امنیتی برخی از سامانه‌های مرکز ماهر و سازمان فناوری اطلاعات به مسابقه گذاشته خواهد شد. سایر دستگاه‌های دولتی نیز می‌توانند در صورت تمایل جهت ارزیابی سامانه‌های خود در این مسابقات با مرکز ماهر تماس برقرار کنند.

شرایط و نحوه‌ی برگزاری مسابقات در مستند پیوست ارائه شده است.

دانلود معرفی سامانه کلاه سفید
قوانین و مقررات مسابقات کلاه سفید

#‫گوگل با انتشار وصله امنیتی اندرویدی ماه اوت 2019، انواع #‫آسیب‌پذیری‌هایی که به تازگی کشف شده‌اند را برطرف ساخته است. این وصله امنیتی برای تمامی سیستم‌‌عامل‌های تلفن همراه که اندروید 9 “Pie” را اجرا می‌کنند، در دسترس است.
وصله امنیتی ماه اوت سال 2019 اندروید، شامل دو سطح وصله‌ی امنیتی 2019-08-01 و 2019-08-05 است که 26 آسیب‌پذیری موجود در Android runtime، Media framework، Framework و اجزای سیستمی اندروید و همچنین ترکیبات Broadcom و Qualcomm را برطرف می‌سازد. شدیدترین آسیب‌پذیری از میان آسیب‌پذیری‌های رفع‌شده، یک آسیب‌پذیری امنیتی بحرانی در اجزای سیستمی است که به مهاجم راه‌دور اجازه می‌دهد با استفاده از یک فایل ساختگی خاص PAC، کد دلخواه را در متن یک فرایند ممتاز اجرا سازد. ارزیابی شدت این آسیب‌پذیری بر اساس تأثیری است که سوءاستفاده از آن ممکن است بر روی دستگاه آسیب‌پذیر داشته باشد. تاکنون گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری منتشر نشده است.
آسیب‌پذیری موجود در Android runtime با شناسه‌ی CVE-2019-2120 ردیابی می‌شود و از نظر شدت «بالا» رتبه‌بندی شده است. سوءاستفاده از این آسیب‌پذیری، به یک مهاجم داخلی اجازه می‌دهد الزامات تعامل کاربر را جهت دسترسی به مجوزهای بیشتر دور بزند.
در FrameWork، سه آسیب‌پذیری با شناسه‌‌های CVE-2019-2121 با شدت «بالا»، CVE-2019-2122 با شدت «بالا» و CVE-2019-2125 با شدت «متوسط» وجود دارد که در وصله‌ی امنیتی ماه اوت برطرف شده‌اند. شدیدترین آسیب‌پذیری در این بخش، برنامه کاربردی مخرب داخلی را قادر می‌سازد بااستفاده از یک فایل ساختگی خاص کد دلخواه را در متن یک فرایند ممتاز اجرا سازد.
آسیب‌پذیری‌های موجود در Media framework که در وصله امنیتی ماه اوت در سطح وصله امنیتی 2019-08-01 برطرف شده‌اند عبارتند از CVE-2019-2126 با شدت «بالا»، CVE-2019-2127 با شدت «بالا»، CVE-2019-2128 با شدت «بالا» و CVE-2019-2129 با شدت «بالا». شدیدترین آسیب پذیری در این بخش، مهاجم راه دور را قادر می‌سازد کد دلخواه را بااستفاده از یک فایل ساختگی خاص در متن یک فرایند غیرممتاز اجرا سازد.
آسیب‌پذیری‌های موجود در بخش اجزای سیستمی اندروید عبارتند از CVE-2019-2130 با شدت «بحرانی»، CVE-2019-2131 با شدت «بالا»، CVE-2019-2132 با شدت «بالا»، CVE-2019-2133 با شدت «بالا»، CVE-2019-2134 با شدت «بالا»، CVE-2019-2135 با شدت «بالا»، CVE-2019-2136 با شدت «بالا» و CVE-2019-2137 با شدت «بالا». شدیدترین آسیب‌پذیری‌ در این بخش، مهاجم راه دور را قادر می سازد کد دلخواه را بااستفاده از یک فایل ساختگی خاص PAC در متن یک فرایند ممتاز، اجرا نماید. این آسیب‌پذیری، شدیدترین آسیب‌پذیری از میان آسیب‌پذیری‌های رفع‌شده در این وصله امنیتی است.
آسیب‌پذیری موجود در اجزای Broadcom، یک آسیب‌پذیری بحرانی با شناسه‌ی CVE-2019-11516 در بخش بلوتوث دستگاه است که مهاجم راه‌دور را قادر می‌سازد بااستفاده از یک انتقال ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا نماید.
آسیب‌پذیری‌های موجود در اجزای Qualcomm عبارتند از:

• CVE-2019-10492 با شدت «بحرانی» در بخش HLOS،
• CVE-2019-10509 با شدت «بالا» در بخش BTHOST،
• CVE-2019-10510 با شدت «بالا» در بخش BTHOST،
• CVE-2019-10499 با شدت «بالا» در بخش MProc،
• CVE-2019-10538 با شدت «بالا» در بخش WLAN.

آسیب‌پذیری‌های موجود در اجزای متن‌بسته‌ی (closed-source) Qualcomm که در وصله امنیتی ماه اوت سال 2019 اندورید برطرف شده‌اند عبارتند از CVE-2019-10539 با شدت «بحرانی»، CVE-2019-10540 با شدت «بحرانی»، CVE-2019-10489 با شدت «بالا» و CVE-2019-2294 با شدت «بالا».
وصله امنیتی ماه اوت سال 2019 اندورید، همچنین رفع نقص امنیتی و بهبودهایی برای تمامی دستگاه‌های Pixel تحت پشتیبانی، به همراه آورده است. سه آسیب‌‌پذیری‌ CVE-2019-10538، CVE-2019-10539 و CVE-2019-10540 که مربوط به اجزای Qualcomm و اجزای متن‌بسته‌ی Qualcomm هستند، در دستگاه Pixel وجود دارند.
یکی از بهبودهای ارائه‌شده، مربوط به حالت sleep گوشی‌های هوشمند Pixel 3a و Pixel 3a XL است. تنظیمات شبکه‌ی وای‌فای برای دستگاه‌های Pixel، Pixel XL، Pixel 2، Pixel 2 XL، Pixel 3 XL، Pixel 3a XL و همچنین ثبات CaptivePortalLogin وای‌فای نیز در این وصله امنیتی بهبود یافته‌اند.
وصله امنیتی ماه اوت سال 2019، برای تمامی دستگاه‌های Pixel پشتیبانی شده منتشر شده است و به زودی برای دیگر گوشی‌های هوشمند اندرویدی سایر تولیدکنندگان نیز منتشر می‌شود. لازم است تمامی کاربران در اولین فرصت دستگاه‌های خود را به‌روزرسانی کنند.

#VMwareیک توصیه‌نامه‌ی امنیتی جهت رفع آسیب‌پذیری‌هایی که محصولات مختلف آن را تحت‌تأثیر قرار می‌دهد، منتشر ساخته است. مهاجم می‌تواند با سوءاستفاده از این آسیب‌پذیری‌ها کنترل سیستم متأثر را در دست گیرد.

محصولاتی که تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند عبارتند از:

• VMware vSphere ESXi (ESXi)
• VMware Workstation Pro/Player (Workstation)
• VMware Fusion Pro/ Fusion (Fusion)

VMware ESXi، Workstationو Fusionدارای آسیب‌پذیری‌های خواندن خارج از محدوده با شناسه‌ی CVE-2019-5521و نوشتن خارج از محدوده با شناسه‌ی CVE-2019-5684در عملکرد pixel shaderهستند. هر دوی این آسیب‌پذیری‌ها از نظر شدت «مهم» رتبه‌بندی شده‌اند. آسیب پذیری CVE-2019-5521دارای امتیاز CVSSv3 6.3-7.7و آسیب‌پذیری CVE-2019-5684دارای امتیاز CVSSv3 8.5است.
جهت سوءاستفاده از این آسیب‌پذیری‌ها، لازم است مهاجم به یک ماشین مجازی که گرافیک سه‌بعدی آن فعال است دسترسی داشته باشد. گرافیک سه‌بعدی در ESXi به طور پیش‌فرض فعال نیست؛ ولی در Workstationو Fusionبه طور پیش‌فرض فعال است.
سوءاستفاده‌ی موفق از آسیب‌پذیری خواندن خارج از محدوده (CVE-2019-5521)ممکن است منجر به افشای اطلاعات شود یا به مهاجمان دارای امتیاز دسترسی معمولی اجازه دهد یک حالت انکار سرویس در میزبان ایجاد نمایند.
آسیب‌پذیری نوشتن خارج از محدوده (CVE-2019-5684)تنها در صورتی می‌تواند مورد سوءاستفاده قرار گیرد که میزبان دارای درایو گرافیک NVIDIAکه تحت‌تأثیر آسیب‌پذیری قرار گرفته است، باشد. سوءاستفاده‌ی موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد در میزبان شود.
یکی از راه‌های مقابله با این آسیب‌پذیری‌ها، غیرفعال‌کردن ویژگی 3D-accelerationاست.
جهت رفع این آسیب‌پذیری‌ها لازم است وصله‌های لیست‌شده در جدول زیر با توجه به نسخه‌ی محصول آسیب‌پذیر، به کار گرفته شود.
 

از طرفی دیگر، آسیب‌‌پذیری CVE-2019-5684 را می‌توان با نصب درایو گرافیک NVIDIA به‌روزرسانی‌شده، برطرف ساخت.

خانواده‌ی جدیدی از #‫باج_افزار برای حمله به سیستم‌عامل تلفن همراه اندروید طراحی شده است که از پیام کوتاه برای انتشار خود استفاده می‌کند.
این باج‌افزار که "Android / Filecoder.C" نامگذاری شده‌ است، از طریق پست‌های مخرب در انجمن‌های برخط از جمله #Reddit و XDA-Developers منتشر می‌شود.
مهاجمان برای فریب کاربران برای کلیک کردن بر روی لینک‌های آلوده در پست‌های ارسالی، از مضامین غیراخلاقی و در برخی موارد، موضوعات مرتبط با تکنولوژی استفاده می‌کنند.
این باج‌افزار بعد از نصب بر روی تلفن همراه قربانی، با ارسال لینک بدافزار از طریق پیامک به تمامی مخاطبان موجود در فهرست مخاطبین قربانی، تعداد قربانیان خود را افزایش می‌دهد.
بسته به تنظیمات زبان دستگاه آلوده، پیام‌ها در یکی از 42 نسخه‌ی ممکن زبان ارسال می‌شوند و نام مخاطب نیز به‌صورت خودکار در پیام درج می‌شود.
پس از ارسال پیام‌ها، Filecoder دستگاه آلوده را اسکن می‌کند تا تمام فایل‌های ذخیره را پیدا و اکثر آن‌ها را رمزگذاری کند. Filecoder انواع فایل‌ها از جمله فایل‌های متنی و تصاویر را رمزگذاری می‌کند اما فایل‌هایی با ویژگی‌های زیر را رمزگذاری نخواهد کرد:

• فایل‌های موجود در مسیرهای حاوی رشته‌های ".cache"، "tmp" یا "temp"
• فایل‌های دارای پسوند ".zip" و ".rar"
• فایل‌های با اندازه‌ی بزرگ‌تر از ۵۰ مگابایت
• تصاویر دارای پسوند ".jpeg"، ".jpg" و ".png" و با اندازه‌ی کوچکتر از ۱۵۰ کیلوبایت
• فایل‌های اندرویدی مانند ".apk" و ".dex"

پس از آن، یک یادداشت دریافت باج نمایش داده می‌شود که مبلغ درخواستی آن حدود 98 تا 188 دلار و به صورت ارز رمزنگاری‌شده است.
این باج‌افزار برخلاف دیگر باج‌افزارهای اندرویدی، صفحه‌ی نمایش دستگاه را قفل نمی‌کند یا مانع از استفاده از تلفن هوشمند نمی‌شود، اما اگر قربانی برنامه را حذف کند، فایل‌ها رمزگشایی نخواهند شد.
Filecoder هنگام رمزگذاری محتویات دستگاه، یک کلید عمومی و یک کلید خصوصی ایجاد می‌کند. کلید خصوصی با یک الگوریتم RSA و یک مقدار به‌طور خاص کدگذاری شده، رمزگذاری شده است و برای مرکز کنترل و فرمان ارسال می‌شود. بنابراین اگر قربانی مبلغ درخواستی را پرداخت کند، مهاجم می‌تواند کلید خصوصی و در نتیجه فایل‌ها را رمزگشایی کند.
لازم به ذکر است که این بدافزار از آدرس‌های زیر به عنوان مرکز کنترل و فرمان خود استفاده می‌کند:

• http://rich۷.xyz
• http://wevx.xyz
• https://pastebin.com/raw/LQwGQ۰RQ

متخصصان امنیت سایبری معتقدند که می‌توان فرایند رمزگشایی را با استفاده از کلید خصوصی و بدون پرداخت هزینه، انجام داد. آن‌ها ادعا می‌کنند که می‌توان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه، ارایه می‌شود.
به دلیل هدف‌گیری محدود و نقص در اجرای برنامه و رمزگذاری آن‌، تأثیر این باج‌افزار جدید محدود است. با این وجود، اگر توسعه‌دهندگان، نقص‌ها را برطرف و اپراتورها شروع به هدف‌گیری گروه‌های وسیع‌تری از كاربران كنند، باج‌افزار Android / Filecoder.C می تواند تبدیل به یک تهدید جدی شود.
برای جلوگیری از آلودگی به این نوع از باج‌افزارها لازم است موارد زیر در نظر گرفته شوند:

• نصب برنامه‌ها از منابع معتبر
• به‌روزرسانی سیستم‌عامل دستگاه
• توجه به مجوزهای درخواستی برنامه‌ها
• نصب آنتی‌ویروس و به‌روزرسانی آن