Number: IRCNE2015032442
Date: 2015/03/14

According to “zdnet”, Dropbox has patched a security flaw which allowed cyberattackers to steal new information uploaded to accounts through compromised third-party apps on Android devices.
The company announced the fix through the Dropbox Developer Blog on Wednesday. Dropbox, a firm which caters for over 300 million users and offers cloud-based file storage, said a minor security vulnerability in Android Core and Sync/Datastore SDKs was patched a few months ago.
Dropbox's Android Core and Sync/Datastore software development kits are issued to developers working on third-party apps which work with Dropbox services. The company says that most third-party apps now have updated Android SDKs, but requests that remaining Android developers update their apps to use Core API Android SDK v1.6.3 or Sync/Datastore Android SDK v3.1.2.
For the security vulnerability to impact users, a compromised third-party app would have to be installed on an Android device -- but not have the Dropbox for Android app installed -- and the user would need to visit a specific type of malicious web page targeting the vulnerable app. A cyberattacker would then be able to link their Dropbox account to the third-party app, which then could be used to capture new data a user saved to Dropbox via the third-party application.
"Every app works differently, so many apps using the affected SDKs weren't vulnerable at all or required additional factors to exploit. This vulnerability couldn't give attackers access to any existing files in a user's account, and users with the Dropbox app installed on their devices were never vulnerable. There are no reports or evidence to indicate the vulnerability was ever used to access user data," Dropbox says.
Researchers at IBM, Roee Hay and Or Peles, were first to detect and disclose this vulnerability.

Number: IRCNE2015032442
Date: 2015/03/08

According to “cnet”, a new report from Spanish firm Panda Security offers further evidence that last year was a nasty one in the fight against malicious software -- the worst ever, actually.
In an annual report released Monday, Panda said that in 2014 it detected and eliminated 75 million samples of malicious software -- harmful code also known as malware, which includes things like computer viruses and worms. That's more than double the 30 million new malware strains recorded in 2013 by the company, which provides both home and business computer-security services. On average, 200,000 new malware strains were detected daily in 2014, the firm said.
In 25 years tracking malware, Panda has detected 220 million specimens -- and 34 percent of those were coded in 2014, according to the report.
"Security threats will increase in 2015, and both companies and home users must prepare themselves to respond to them," said Panda Security Technical Director Luis Corrons in a statement. "It is not a question of whether their security will be compromised but rather when and how, so in this case prevention is key."
Panda is just the latest malware-watcher to document the spike this year in malware. AV-Test, a company that tests the effectiveness of antivirus software, reported last month that malware spiked in 2014 to more than 143 million detections, up 72 percent from last year. And Kaspersky Lab, another provider of home and business security products, saw four times more mobile malware attacks in 2014 than the year before.

Number: IRCNE2015032441
Date: 2015/03/08

According to “cnet”, computers running all supported releases of Microsoft Windows are vulnerable to "FREAK," a decade-old encryption flaw that leaves device users vulnerable to having their electronic communications intercepted when visiting any of hundreds of thousands of websites, including Whitehouse.gov, NSA.gov and FBI.gov.
The flaw was previously thought to be limited to Apple's Safari and Google's Android browsers. But Microsoft warned that the encryption protocols used in Windows -- Secure Sockets Layer and its successor Transport Layer Security -- were also vulnerable to the flaw.
"Our investigation has verified that the vulnerability could allow an attacker to force the downgrading of the cipher suites used in an SSL/TLS connection on a Windows client system," Microsoft said in its advisory.
Microsoft said it will likely address the flaw in its regularly scheduled Patch Tuesday update or with an out-of-cycle patch. In the meantime, Microsoft suggested disabling the RSA export ciphers.

Number: IRCNE2015032440
Date: 2015/03/07

According to “cnet”, Apple and Google are both working on fixes to a decade-old security flaw that could leave millions of users of the tech titans' mobile web browsers vulnerable to hacking.
The newly discovered encryption flaw known as "FREAK attack" left users of Apple's Safari and Google's Android browsers vulnerable to hackers for more than a decade, researchers told the Washington Post.
Researchers said there was no evidence hackers had exploited the vulnerability, which they blamed on a former US policy that banned US companies from exporting the strongest encryption standards available, according to the newspaper.
Apple and Google said they were creating software updates to address the vulnerability. Apple told CNET that it would distribute its fix next week, while Google told the newspaper it would provide its update to device makers and wireless carriers.
The flaw surfaced a few weeks ago when a group of researchers discovered they could force websites to use the intentionally weakened encryption, which they were able to break within a few hours. Once a site's encryption was cracked, hackers could then steal data such as passwords and hijack elements on the page, the newspaper reported.
Researchers have been alerting affected government and commercial websites for a few weeks in hopes of taking corrected measures before the vulnerability was publicized, the newspaper reported. Whitehouse.gov and FBI.gov have been repaired, but NSA.gov remains vulnerable, researchers told the newspaper.

شماره: IRCNE2015032450
تاريخ: 25/12/93

اصلاحيه اين ماه مايكروسافت يكي از بزرگترين اصلاحيه هاي اين شركت بوده است كه در آن 14 به روز رساني امنيتي مجزا از كانال اصلاحيه هاي مايكروسافت منتشر شده است.
از اين ميان پنج اصلاحيه ( چهار اصلاحيه براي ويندوز و يك اصلاحيه براي آفيس) در رده امنيتي بحراني قرار دارند. مابقي 9 اصلاحيه در راه امنيتي مهم قرار گرفته اند.
دو اصلاحيه مربوط به آسيب پذيري هايي است كه در حال حاضر به صورت عمومي افشاء شده است.

• بولتن MS15-018 يك به روز رساني امنيتي تجميعي است كه 12 آسيب پذيري را در تمامي نسخه هاي IE برطرف مي كند و شامل آسيب پذيري اسكرپيت بين سايتي است كه به طور عمومي افشاء شده است.
• بولتن MS15-019، يك آسيب پذيري اسكريپتي را در برخي از نسخه هاي قديمي ويندوز ترميم مي كند. اين آسيب پذيري ويندوز نسخه 7 و نسخه هاي بعد از آن را تحت تاثير قرار نمي دهد.
• بولتن MS15-020، يك نقص را در مديريت اشياء حافظه توسط Microsoft Text Services و چگونگي مديريت بارگذاري فايل هاي DLL برطرف مي كند.
• بولتن MS15-021، مساله اي را در Adobe Font Driver اصلاح مي كند. اين آسيب پذيري ها منجر به اجراي كد از راه دور مي شوند.
• بولتن MS15-022، تمامي نسخه هاي آفيس مايكروسافت را تحت تاثير قرار مي دهد و سه آسيب پذيري شناخته شده را در اسناد آفيس و چندين آسيب پذيري اسكريپت بين سايتي را در SharePoint Server اصلاح مي كند.
• بولتن MS15-031، آسيب پذيري شناخته شده و معروف FREAK را اصلاح مي نمايد و اين بدان معناست كه پلت فرم مايكروسافت نسبت به اين آسيب پذيري ايمن است.

سيستم هايي با IE نسخه 11 نيز اصلاحيه هايي براي فلش پلير دريافت مي كنند.

شماره: IRCNE2015032449
تاريخ: 25/12/93

شركت ادوب چندين اصلاحيه را براي آسيب پذيري هاي امنيتي فلش پلير منتشر كرده است. روز پنج شنبه شركت ادوب جديدترين اصلاحيه هاي امنيتي خود را براي ادوب فلش پلير منتشر كرد. اين اصلاحيه ها براي كاربران ويندوز، لينوكس و مكينتاش مي باشد و آسيب پذيري هايي را برطرف مي نمايد كه به طور بالقوه به مهاجم اجازه مي دهد تا كنترل سيستم آلوده شده را در اختيار بگيرند.
اين بسته ها آسيب پذيري هاي تخريب حافظه و يك نوع آسيب پذيري تداخل را برطرف مي نمايند كه مي توانند منجر به اجراي كد از راه دور، دور زدن خط مشي هاي بين دامنه اي و دور زدن محدوديت هاي آپلود فايل شوند. علاوه بر اين، اصلاحيه هاي ديگري به منظور رفع آسيب پذيري هاي سرريز عدد صحيح و استفاده پس از آزادسازي كه منجر به اجراي كد از راه دور مي شوند منتشر شده است.
شركت ادوب توصيه مي كند كه كاربران محصولات خود را به آخرين نسخه ها ارتقاء دهند. كاربران مكينتاش و ويندوز بايد ادوب فلش پلير را به نسخه 17.0.0.134، كاربران ادوب فلش پلير Extended Support Release به نسخه 13.0.0.277 و كاربران لينوكس به نسخه 11.2.202.451 به روز رساني نمايند.
كاربران گوگل كروم و IE بر روي ويندوز 8.x اصلاحيه ها را به صورت خودكار دريافت مي كنند. ادوب فلش پلير نسخه 16.0.0.305 و نسخه هاي پيش از آن و نسخه هاي 13.0.0.269، 11.2.202.442 و هر دو نسخه 11.x و 13.x تحت تاثير آسيب پذيري هاي فلش قرار دارند و بايد اصلاحيه ها را اعمال نمايند.

شماره: IRCNE2015032447
تاريخ: 23/12/93

يك نقص امنيتي در پلاگين معروف وردپرس اصلاح شده است. اين نقص به هكرها اجازه مي داد تا به طور بالقوه كنترل نصب كل وب سايت را در اختيار بگيرند.
Yoastف طراح پلاگين معروف "wordpress-seo" اظهار داشت كه يك نقص درخواست بين سايتي كه به مهاجم اجازه حملات SQL را ميداد، برطرف شده است.
سوء استفاده از اين آسيب پذيري مستلزم انجام برخي اقدامات توسط كاربر خرابكار مي باشد. براي سوء استفاده از اين نقص، بايد يك كاربر مجاز وردپرس را به گونه اي فريب داد تا بر روي يك لينك دستكاري شده خاص كليك نمايد.

شماره: IRCNE2015032446
تاريخ: 23/12/93

روز سه شنبه شركت مايكروسافت اصلاحيه اي براي رفع آسيب پذيري امنيتي "FREAK" منتشر كرد. هم چنين اين اصلاحيه كه در ميان 14 بولتني بود كه طبق برنامه زمانبندي اصلاحيه ها در سه شنبه اصلاحيه مايكروسافت منتشر مي شوند، شامل يك اصلاحيه براي استاكس نت نير بود. بولتن "FREAK" در رده امنيتي مهم (دومين رده بندي امنيتي مايكروسافت) قرار دارد و كمتر از يك هفته از افشاي آن و تاييد مايكروسافت مي گذرد. شركت مايكروسافت اعلام كرده بود كه تمامي نسخه هاي ويندوز نسبت به اين نقص، آسيب پذير مي باشند.
در بولتن منتشر شده براي اصلاح اين آسيب پذيري، شركت مايكروسافت اعلام كرده است كه مرورگرهاي سافاري اپل و اندرويد گوگل نيز تحت تاثير اين آسيب پذيري قرار دارند.
محققان اظهار داشتند كه تاكنون شواهدي مبني بر سوء استفاده از اين آسيب پذيري گزارش نشده است.
در به روز رساني هاي منتشر شده توسط مايكروسافت نيز كرم استاكس نت مورد بازنگري قرار گرفت. اين كرم علاوه بر سرقت اطلاعات مي تواند راه نفوذ مخفي براي دسترسي از راه دور ايجاد نمايد. شركت مايكروسافت مشكل سرقت اطلاعات را در سال 2010 با بستن حفره اي كه براي اين منظور استفاده مي شد، برطرف كرد و روز سه شنبه نيز آسيب پذيري هاي كد اجر از راه دور آن را اصلاح كرد.

شماره: IRCNE2015032445
تاريخ: 23/12/93

محققان امنيتي يك آسيب پذيري را در كنسول ادمين گوگل افشاء كردند كه به مجرمان سايبري اجازه مي دهد تا ايميل هاي جعلي را كه معتبر به نظر مي رسند ارسال نمايند.
ماه گذشته، Security Week، Patrik Fehrenbach و بهروز صادق پور گزارشي را منتشر كردند كه در آن يك نقص امنيتي در كنسول ادمين گوگل كشف شده بود و به كاربران اجازه مي داد تا ايميل هاي جعلي را ارسال نمايند.
به منظور بررسي اين ادعا، Fehrenbach و صادق پور خود گوگل را به عنوان قرباني در نظر گرفتند و فرض كردند كه دامنه هايgstatic.com وytimg.com مي توانند ايميل هاي جعلي ارسال نمايند.

شماره: IRCNE2015032444
تاريخ: 23/12/93

Dropbox يك اصلاحيه امنيتي را منتشر كرد كه به مجرمان سايبري اجازه مي دهد تا اطلاعات جديد آپلود شده از طريق برنامه هاي متفرقه بر روي حساب كاربري را به سرقت ببرند.
شركت Dropbox انتشار اين اصلاحيه را روز پنج شنبه از طريق وبلاگ Dropbox Developer اعلام كرد. Dropbox شركتي است كه يك ذخيره فايل مبتني بر ابر را ارائه مي دهد و 300 ميليون كاربر دارد.
بسته هاي توسعه Dropbox's Android Core و Sync/Datastore براي توسعه دهندگاني كه بر روي برنامه هاي ثالثي كه با سرويس Dropbox كار مي كنند منتشر شده است. اين شركت اعلام كرد كه در حال حاضر اغلب Android SDKهاي برنامه هاي كاربردي به روز رساني شده است و پيشنهاد مي دهد كه مابقي توسعه دهندگان اندرويد برنامه هاي خود را براي استفاده از Core API Android SDK v1.6.3 يا Sync/Datastore Android SDK v3.1.2به روز رساني نمايند.
براي سوءاستفاده از اين آسيب پذيري، يك برنامه كاربردي به مخاطره افتاده بايد بر روي دستگاه اندرويد نصب شود (و برنامه Dropbox بر روي گوشي نصب نشده است) و كاربر بايد وب سايت مخربي كه از آسيب پذيري اين برنامه سوء استفاده مي كند را مشاهده نمايد. سپس مجرم سايبري مي تواند حساب كاربري Dropbox كاربر را به برنامه كاربردي مخرب متصل نمايد و نسخه اي از داده هاي جديدي كه كاربر از طريق اين برنامه بر روي Dropbox ذخيره مي كند را بدست آورد.
اين آسيب پذيري توسط Roee Hay و Or Peles از IBM شناسايي و افشاء شده است و تاكنون شواهد و گزارشي مبني بر سوء استفاده از اين آسيب پذيري مشاهده نشده است.