Number: IRCNE2015092633
Date: 2015/09/23

According to “tripwire”, Adobe has issued an important security update which patches a total of 23 critical vulnerabilities in Flash Player.
On Monday, Adobe issued the firm's latest set of security updates, specifically targeting the Adobe Flash Player. The updates for Windows, Mac and Linux users address "critical vulnerabilities that could potentially allow an attacker to take control of the affected system," according to the software developer.
Adobe Flash Player Desktop Runtime and Adobe Flash Player Extended Support Release 18.0.0.232 and earlier, Adobe Flash Player for Google Chrome 18.0.0.233 and earlier, Adobe Flash Player for Microsoft Edge and Internet Explorer 11 18.0.0.232 and earlier on Windows 10 and Adobe Flash Player for Internet Explorer 10 and 11 18.0.0.232 and earlier on Windows 8 and 8.1 are all impacted, as well as Adobe Flash Player for Linux versions 18.0.0.199 and earlier.
In addition, AIR Desktop Runtime 18.0.0.199 and earlier for Windows and Mac, AIR SDK 18.0.0.180 and AIR SDK & compiler 18.0.0.180 and earlier on Windows, Android and iOS and AIR for Android 18.0.0.143 and earlier are affected by this update.
The security flaws fixed in this update, all deemed critical, include a type confusion vulnerability, use-after-free flaws, buffer overflow issues and memory corruption vulnerabilities which could lead to remote code execution.
The update also resolves memory leak security flaws, stack corruption and stack overflow vulnerabilities as well as a security bypass vulnerability which could lead to information disclosure.
Adobe recommends users accept automatic updates for the Chrome and Internet Explorer browsers relating to Flash. Users can also manually download updates from the Download Center. Users of the Adobe Flash Player Extended Support Release are encouraged to update to version 18.0.0.241.

شماره: IRCNE2015082631
تاريخ: 06/30 /94

پس از آنكه شركت اپل دريافت 40 برنامه كاربردي iOS توسط يك نسخه تغيير يافته از نرم افزار توليد شده اند و آلوده به بدافزار مي باشند، تعدادي زيادي از برنامه هاي كاربردي را از فروشگاه خود جمع آوري كرد.
كريستين مونوگان، سخنگوي اپل گفت: شركت اپل براي محافظت از مشتريان خود، برنامه هايي را از فروشگاه App Store جمع آوري كرده است كه با نرم افزار تقلبي توليد شده اند.
هفته گذشته Palo Alto Networks اعلام كرد كه بدافزار جديدي با نام XcodeGhost محيط ارتقاء Xcode براي ساخت برنامه هاي كاربردي اپل، آيفون و آي پد را آلوده كرده است.
اين شركت امنيتي دريافت كه بيش از 39 برنامه كاربردي از جمله بسياري برنامه معروف چيني آلوده به بدافزار مي باشند. اين برنامه ها شامل برنامه معروف چت WeChat، Didi Chuxing و اسكنر كارت تجاري CamCard مي باشند.
Tencent در بلاگي نوشت: اين آسيب پذيري تنها WeChat نسخه 6.2.5 براي iOS را تحت تاثير قرار مي دهد و نسخه هاي جديدتر اين برنامه تحت تاثير اين مشكل قرار ندارند.
بدافزار XcodeGhost كامپايلرها را هدف قرار مي دهد و اطلاعات را از روي دستگاه جمع آوري كرده و داده ها را به سرورهاي C&C ارسال مي كند.

Number: IRCNE2015092630
Date: 2015/09/18

According to “zdnet”, a researcher has revealed how a vulnerability within the AirDrop service can be exploited to compromise a victim's Apple device.
As the latest version of Apple's mobile operating system, iOS 9, becomes available, a serious security flaw present in previous versions makes updating crucial.
Australian security researcher Mark Dowd from Azimuth Security has demonstrated the existence of a serious issue impacting the AirDrop service which could leave users vulnerable to attack.
Speaking to Forbes, Dowd said the attack can take place when a hacker is in range of an AirDrop user. Once exploited, an attacker is able to issue a malware payload via a directory traversal attack.
The AirDrop service is proprietary software which enables the transfer of content including images, videos and GPS data with others nearby who also have an Apple device. While turned off by default, the platform can be enabled from the home screen.
The security problem has been fixed in iOS 9 and in Mac OS X El Capitan 10.11. Users should update their devices as soon as possible, and make sure the service is off until updates have been installed.

Number: IRCNE2015092629
Date: 2015/09/18

According to “zdnet”, a new, active malware campaign has compromised thousands of Wordpress websites in a matter of days, placing visitors at risk.
The new campaign, detected by SucuriLabs, began 15 days ago but the rate of compromised websites has spiked in the last few days, according to the security firm's CTO Daniel Cid.
From the 15th to 17th of this month, the rate of infection has surged from 1,000 compromised websites a day to approximately 6,000 -- and we are yet to see if this uptake slows down.
The hijacked websites are being compromised with the "visitorTracker_isMob" malware which redirects as many visitors as possible to a landing page infected with a Nuclear Exploit Kit.
The Nuclear Exploit kit is one of the most widely-used exploit delivery methods on the web and contains zero-day exploits for a variety of software.
Once a user lands on the malicious page, the kit probes the potential victim's system, seeking unpatched vulnerabilities which can be exploited by Nuclear's payloads. If unpatched and outdated software is discovered -- or zero-day vulnerabilities are being exploited -- the victim's machine becomes compromised, potentially leading to surveillance and data theft.
The malware campaign, dubbed VisitorTracker due to the function name used in all of the injected javascript files, appears to infect websites through new vulnerabilities within plugins installed on Wordpress.
Out of thousands of websites infected through the new campaign, the security researchers say 95 percent of them rely on Wordpress -- and 17 percent of them have already been blacklisted by Google.
Webmasters should make sure their plugins are all up-to-date to prevent exposure and blacklisting by the web's most popular search engine.

شماره: IRCNE2015082630
تاريخ: 06/29 /94

يك محقق امنيتي تشريح كرد كه چگونه يك آسيب پذيري در سرويس AirDrop مي تواند براي در اختيار گرفتن كنترل دستگاه اپل قرباني مورد سوء استفاده قرار بگيرد. اين آسيب پذيري در نسخه هاي پيش از iOS 9 وجود دارد.
Mark Dowd، محقق امنيتي استراليايي نشان داد كه وجود يك آسيب پذيري جدي در سرويس AirDrop مي تواند كاربران را در معرض خطر حمله قرار دهد.
Dowd گفت: اين حمله زماني اتفاق مي افتد كه مهاجم در محدوده كاربر AirDrop قرار داشته باشد. پس از سوء استفاده از اين آسيب پذيري، مهاجم قادر است تا بدافزاري را از طريق يك حمله پيمايش دايركتوري نصب نمايد.
سرويس AirDro يك نرم افزار اختصاصي است كه ارسال محتواهايي از قبيل عكس، ويدئو و داده هاي GPS را با افراد ديگري كه داراي دستگاه اپل هستند قادر مي سازد. اين سرويس به طور پيش فرض غيرفعال است اما مي توان از طريق صفحه home آن را فعال كرد.
اين مساله امنيتي در iOS 9 و Mac OS X El Capitan 10.11 اصلاح شده است. كاربران بايد دستگاه هاي خود را در اسرع وقت به آخرين نسخه به روز رساني نمايند و اطمينان حاصل كنند كه اين سرويس تا پيش از نصب اصلاحيه ها غيرفعال باشد.

شماره: IRCNE2015082629
تاريخ:06/29 /94

فعاليت كمپين بدافزاري جديد وردپرس هزاران سايت و بازديدكنندگان آن را در معرض خطر قرار داده است. اين كمپين جديد توسط SucuriLabs شناسايي شده و از 15 روز پيش شروع به فعاليت كرده است اما نرخ آلودگي وب سايت ها در چند ورز گذشته افزايش قابل توجهي داشته است.
از 15 سپتامبر تا 17 سپتامبر نرخ آلودگي ها از 1000 وب سايت در روز به 6000 وب سايت در روز افزايش يافته است.
وب سايت ها توسط بدافزار "visitorTracker_isMob" آلوده شده اند و اين بدافزار باعث مي شود تا بازديدكنندگان به سمت صفحه اي حاوي بسته سوء استفاده Nuclear Exploit Kit هدايت شوند.
بسته Nuclear Exploit Kit يكي از رايج ترين روش هاي سوء استفاده از وب مي باشدو حاوي كدهاي سوء استفاده از نرم افزاهاي مختلف است.
پس از آن كه كاربر به صفحه مخرب وارد شود، بسته سوء استفاده به طور بالقوه سيستم قرباني را بررسي كرده و آسيب پذيري هاي اصلاح نشده اي را كه مي تواند از آن ها سوء استفاده كند، جستجو مي كند. اگر نرم افزار اصلاح نشده و به روز نشده اي يا آسيب پذيري اصلاح نشده اي يافت شود، سيستم قرباني در معرض خطر قرار مي گيرد و به طور بالقوه مي تواند منجر به افشاي اطلاعات شود.
اين كمپين VisitorTracker ناميده شده است و وب سايت ها را از طريق آسيب پذيري هاي جديد موجود در پلاگين هاي نصب شده بر روي وردپرس آلوده مي كند. بنا به نظر محققان هزاران وب سايت به اين بدافزار جديد آلوده شده اند كه 95 درصد آن ها مبتني بر وردپرس مي باشد و از اين ميان 17 درصد از ليست سياه گوگل قرار گرفته است.
مديران وب سايت ها بايد اطمينان حاصل كنند كه تمامي پلاگين ها به آخرين نسخه به روز شده است.

شماره: IRCNE2015082628
تاريخ:06/27 /94

محققان Mandiant حمله اي را شناسايي كردند كه در آن ميان افزاري آسيب پذير بر روي مسيرياب هاي شركت هايي از چهار كشور نصب شده است.
در اين حمله كه SYNful Knock ناميده مي شود مهاجمان مي توانند با بالاترين حق دسترسي به دستگاه آلوده دسترسي داشته باشند. اين حمله با بدافزاري كه بر روي مسيرياب مشتريان شناسايي شد و مي تواند حافظه دستگاه را پاك كند تفاوت دارد.
SYNful Knock يك تغيير در سيستم عامل IOS است كه بر روي مسيرياب ها و سوئيچ هاي پيشرفته اجرا مي شود و توسط شركت سيسكو طراحي شده است. اين مساله توسط محققان Mandiant بر روي مسيرياب هاي سيسكو 1841، 8211 و 3825 كه توسط سازمان ها براي ارتباط بين شعبه هاي آن ها يا توسط ارائه دهندگان خدمات براي ارائه سرويس هاي شبكه استفاده مي شود شناسايي شده است.
اين محققان نسخه هاي تقلبي ميان افزار را بر روي 14 مسيرياب در كشورهاي مكزيك، اوكراين، هند و فيليپين مشاهده كرده اند.
مدل هايي كه تحت تاثير اين حمله قرار گرفته اند از شركت سيسكو خريداري نشده اند اما هيچ تضميني وجود ندارد كه مدل هاي جديدتر تحت تاثير آن قرار نگيرند.
شركت سيسكو در ماه اوت راهنمايي امنيتي منتشر كرد و در آن نسبت به حملات جديدي كه ميان افزارهاي تقلبي را بر روي مسيرياب هاي اين شركت نصب مي كند هشدار داد.
در حملاتي كه توسط محققان Mandiant شناسايي شده است، اين حملات ناشي از سوء استفاده از آسيب پذيري نبوده اند بلكه از طريق اعتبارنامه هاي مديريتي پيش فرض يا به سرقت رفته اجرا شده است. تغييراتي كه در تصاوير ميان افزار تقلبي صورت گرفته است به گونه اي است كه سايز اين ميان افزار با سايز ميان افزار اصلي يكسان باشد.
نسخه تقلبي اين ميان افزار داراي يك backdoor رمز عبور است كه مي توان به كنسول مديريتي دسترسي يافت و هم چنين دستورات حاوي بسته هاي TCP SYN دستكاري شده خاص را شنود كرد.
مسيرياب هايي كه تحت تاثير اين حمله قرار دارند مي توانند به مهاجمان اجازه دهند تا ترافيك شبكه را شنود كرده و يا تغيير دهند، كاربران را به سمت سايت هاي جعلي هدايت كنند و حملات ديگري را بر روي دستگاه ها، سرورها و رايانه هاي مستقر در شبكه هاي ايزوله راه اندازي نمايند.
محققان Mandiant راه هايي را ارائه دادند كه مي توان به كمك آن حملات SYNful Knock را بر روي مسيرياب هاي محلي و مسيرياب هاي شبكه شناسايي كرد.

شماره: IRCNE2015082627
تاريخ:06/24 /94

هكرها براي اطمينان از عدم شناسايي و تشخيص فعاليت هاي خرابكارانه خود از ماهواره ها سوء استفاده مي كنند.
روز چهارشنبه محققان كسپراسكي اعلام كردند كه يك گروه هكري خبره را با عنوان Turla شناسايي كردند كه با سوء استفاده از ضعف هاي سيستم هاي ماهواره اي، كمپين جاسوسي و جرائم سايبري راه اندازي كرده اند.
گروه Turla يك گروه پيشرفته اي است كه حداقل هشت سال مشغول فعاليت مي باشد. اين هكرها صدها سيستم رايانه اي را در 45 كشور از جمله روسيه، چين، ويتنام و امريكا آلوده كرده اند. دولت ها، سفارتخانه ها، گروه هاي نظامي، مراكز تحصيلي، محققان و صنعت داروسازي نيز هدف حملات اين گروه مي باشند.
اين گروه با سوء استفاده از آسيب پذيري هاي zero-day و روش هاي مهندسي اجتماعي قرباني خود را آلوده مي كند. اگر قربانيان سطح بالا هدف حمله اين گروه باشند از يك مكانيزم ارتباطي مبتني بر ماهواره استفاده مي كنند و از اين طريق امكان رديابي يا يافتن شاهدي براي حمله را از بين مي برند.
در مكان هايي كه از ارتباطات اينترنتي مبتني بر ماهواره استفاده مي كنند ارزانترين روش استقرار روش downstream مي باشد. در اين روش ترافيك ارسالي به سيستم رايانه رمزگذاري نمي شود. گروه Turla به منظور پنهان نمودن موقعيت مكاني سرور هاي C&C كه براي ارسال دستورات مخرب به سيستم هاي آلوده استفاده مي شوداز اين ضعف سوء استفاده مي كند.
اگر سرور C&C اي ردگيري و شناسايي شود، مراجع قانوني و شركت هاي امنيتي مي توانند بقيه زيرساخت مخرب را با تجزيه و تحليل سيستم بدست آورند.
گروه Turla با دانستن اين مساله و به منظور پنهان شدن و عدم شناسايي از ضعف سيستم هاي ماهواره اي سوء استفاده مي كند تا سرورهاي C&C خود را مخفي نگه دارد.

شماره: IRCNE2015082625
تاريخ:06/24 /94

محققان دريافتند كه برنامه معروف Applock كه خدمات رمزگذاري را ارائه مي كند داراي حفره هاي امنيتي است كه داده كاربران را در معرض خطر قرار مي دهد.
اين برنامه بيش از 100 ميليون بار دانلود شده است و يك برنامه مبتني بر اندرويد است كه براي قفل كردن دستگاه هاي اندرويدي در بيش از 50 كشور مورد استفاده قرار مي گيرد. اين برنامه توسط آزمايشگاه DoMobile طراحي شده است و پيام هاي متني، تماس ها و ساير برنامه ها از جمله فيس بوك، گالري تصاوير، تنظيمات و جي ميل را قفل مي كند و به كاربر اجازه مي دهد تا دسترسي به محتواهايي مانند ويدئو، تصاوير، فايل ها را با استفاده از سيستم امنيتي مبتني بر PIN محدود كند.
با اينحال، Noam Rathus از شركت امنيتي SecuriTeam بر اين باور است كه برنامه Applock داراي تعدادي آسيب پذيري است كه برنامه ها و داده هاي كاربران را در معرض خطر قرار مي دهد.
اين محقق اظهار داشت كه سه آسيب پذيري امنيتي جدي كاربران را تحت تاثير قرار مي دهد. اولين آسيب پذيري افشاء شده به عدم رمزگذاري تصاوير و عكس هاي ذخيره شده در ديوار PIN در يك "vault" اشاره مي كند. اين تصاوير به راحتي از ديد كاربران پنهان مي مانند و حتي مي توان بدون مجوز root تمامي آن ها را بازيابي كرد. از آنجايي كه فايل هاي vault در بخشي از فايل سيستم ذخيره مي شود كه دسترسي خواندن دارد اگر مهاجمي يك فايل مديريتي را نصب كند و فايل SQLite را دستكاري كند مي تواند مسير فايل vault را پيدا كرده و محتوي آن را بازيابي نمايد.
دومين آسيب پذيري مربوط به ضعف در مكانيزم قفل مي باشد و يك كاربر با دسترسي root مي تواند به راحتي كد PIN را از روي برنامه هاي كاربردي حذف نمايد و يا حتي آن را تغيير دهد.
آخرين آسيب پذيري جدي مساله دور زدن كد PIN است. بدون داشتن مجوز root و با وجود تمام برنامه هاي قفل و تنظيمات مربوط به مسدود نمودن دسترسي به دستگاه، اما با وجود اين آسيب پذيري مي توان كد PIN را reset كرد و هم چنين مي تواند به مهاجم اجازه دهد تا دسترسي كامل برنامه را در اختيار بگيرد.
اين مسائل امنيتي جدي مي باشند و شهرت برنامه Applock را در معرض خطر قرار دادند به خصوص كه هم چنان بدون اصلاحيه باقي ماندند.

شماره: IRCNE2015082626
تاريخ:06/24 /94

آسيب پذيري هاي جدي در محصولات كسپراسكي و FireEye مي تواند به افراد خرابكار اجازه دهد تا به رايانه كاربران نفوذ كنند. اين مسائل توسط دو محقق امنيتي شناسايي و افشاء شد.
يكي از آسيب پذيري ها توسط تاويس اورمندي از شركت گوگل شناسايي شده است. اين آسيب پذيري به عنوان يك سوء استفاده تراكنش از راه دور ازSYSTEM با پيكربندي پيش فرض توصيف مي شود. هكرها مي توانند به راحتي از اين آسيب پذيري سوء استفاده نمايند و سيستم مشتريان كسپراسكي را در معرض خطر قرار دهند.
شركت گوگل اعلام كرد كه اين آسيب پذيري سرريز بافر 24 ساعت پس از افشاء اصلاح شده است. اصلاحيه مربوط به اين آسيب پذيري از طريق به روز رساني هاي خودكار بر روي تمامي كلاينت ها و مشتريان توزيع شده است.
هم چنين چهار آسيب پذيري در محصولات FireEye توسط كريستين اريك هرمانسن، محقق مستقل كشف شد. اين محقق يكي از اين آسيب پذيري ها را به طور عمومي افشاء كرد. اين آسيب پذيري يك آسيب پذيري دسترسي غيرمجاز root از راه دور به فايل سيستم مي باشد كه مي تواند به هكرها اجازه دهد تا فايل هاي حساس شركت را افشاء نمايند.
شركت FireEye قصد دارد تا اين آسيب پذيري ها را برطرف نمايد اما تاكنون اصلاحيه اي منتشر نكرده است.