شماره: IRCNE2015032450
تاريخ: 25/12/93

اصلاحيه اين ماه مايكروسافت يكي از بزرگترين اصلاحيه هاي اين شركت بوده است كه در آن 14 به روز رساني امنيتي مجزا از كانال اصلاحيه هاي مايكروسافت منتشر شده است.
از اين ميان پنج اصلاحيه ( چهار اصلاحيه براي ويندوز و يك اصلاحيه براي آفيس) در رده امنيتي بحراني قرار دارند. مابقي 9 اصلاحيه در راه امنيتي مهم قرار گرفته اند.
دو اصلاحيه مربوط به آسيب پذيري هايي است كه در حال حاضر به صورت عمومي افشاء شده است.

• بولتن MS15-018 يك به روز رساني امنيتي تجميعي است كه 12 آسيب پذيري را در تمامي نسخه هاي IE برطرف مي كند و شامل آسيب پذيري اسكرپيت بين سايتي است كه به طور عمومي افشاء شده است.
• بولتن MS15-019، يك آسيب پذيري اسكريپتي را در برخي از نسخه هاي قديمي ويندوز ترميم مي كند. اين آسيب پذيري ويندوز نسخه 7 و نسخه هاي بعد از آن را تحت تاثير قرار نمي دهد.
• بولتن MS15-020، يك نقص را در مديريت اشياء حافظه توسط Microsoft Text Services و چگونگي مديريت بارگذاري فايل هاي DLL برطرف مي كند.
• بولتن MS15-021، مساله اي را در Adobe Font Driver اصلاح مي كند. اين آسيب پذيري ها منجر به اجراي كد از راه دور مي شوند.
• بولتن MS15-022، تمامي نسخه هاي آفيس مايكروسافت را تحت تاثير قرار مي دهد و سه آسيب پذيري شناخته شده را در اسناد آفيس و چندين آسيب پذيري اسكريپت بين سايتي را در SharePoint Server اصلاح مي كند.
• بولتن MS15-031، آسيب پذيري شناخته شده و معروف FREAK را اصلاح مي نمايد و اين بدان معناست كه پلت فرم مايكروسافت نسبت به اين آسيب پذيري ايمن است.

سيستم هايي با IE نسخه 11 نيز اصلاحيه هايي براي فلش پلير دريافت مي كنند.

شماره: IRCNE2015032449
تاريخ: 25/12/93

شركت ادوب چندين اصلاحيه را براي آسيب پذيري هاي امنيتي فلش پلير منتشر كرده است. روز پنج شنبه شركت ادوب جديدترين اصلاحيه هاي امنيتي خود را براي ادوب فلش پلير منتشر كرد. اين اصلاحيه ها براي كاربران ويندوز، لينوكس و مكينتاش مي باشد و آسيب پذيري هايي را برطرف مي نمايد كه به طور بالقوه به مهاجم اجازه مي دهد تا كنترل سيستم آلوده شده را در اختيار بگيرند.
اين بسته ها آسيب پذيري هاي تخريب حافظه و يك نوع آسيب پذيري تداخل را برطرف مي نمايند كه مي توانند منجر به اجراي كد از راه دور، دور زدن خط مشي هاي بين دامنه اي و دور زدن محدوديت هاي آپلود فايل شوند. علاوه بر اين، اصلاحيه هاي ديگري به منظور رفع آسيب پذيري هاي سرريز عدد صحيح و استفاده پس از آزادسازي كه منجر به اجراي كد از راه دور مي شوند منتشر شده است.
شركت ادوب توصيه مي كند كه كاربران محصولات خود را به آخرين نسخه ها ارتقاء دهند. كاربران مكينتاش و ويندوز بايد ادوب فلش پلير را به نسخه 17.0.0.134، كاربران ادوب فلش پلير Extended Support Release به نسخه 13.0.0.277 و كاربران لينوكس به نسخه 11.2.202.451 به روز رساني نمايند.
كاربران گوگل كروم و IE بر روي ويندوز 8.x اصلاحيه ها را به صورت خودكار دريافت مي كنند. ادوب فلش پلير نسخه 16.0.0.305 و نسخه هاي پيش از آن و نسخه هاي 13.0.0.269، 11.2.202.442 و هر دو نسخه 11.x و 13.x تحت تاثير آسيب پذيري هاي فلش قرار دارند و بايد اصلاحيه ها را اعمال نمايند.

شماره: IRCNE2015032447
تاريخ: 23/12/93

يك نقص امنيتي در پلاگين معروف وردپرس اصلاح شده است. اين نقص به هكرها اجازه مي داد تا به طور بالقوه كنترل نصب كل وب سايت را در اختيار بگيرند.
Yoastف طراح پلاگين معروف "wordpress-seo" اظهار داشت كه يك نقص درخواست بين سايتي كه به مهاجم اجازه حملات SQL را ميداد، برطرف شده است.
سوء استفاده از اين آسيب پذيري مستلزم انجام برخي اقدامات توسط كاربر خرابكار مي باشد. براي سوء استفاده از اين نقص، بايد يك كاربر مجاز وردپرس را به گونه اي فريب داد تا بر روي يك لينك دستكاري شده خاص كليك نمايد.

شماره: IRCNE2015032446
تاريخ: 23/12/93

روز سه شنبه شركت مايكروسافت اصلاحيه اي براي رفع آسيب پذيري امنيتي "FREAK" منتشر كرد. هم چنين اين اصلاحيه كه در ميان 14 بولتني بود كه طبق برنامه زمانبندي اصلاحيه ها در سه شنبه اصلاحيه مايكروسافت منتشر مي شوند، شامل يك اصلاحيه براي استاكس نت نير بود. بولتن "FREAK" در رده امنيتي مهم (دومين رده بندي امنيتي مايكروسافت) قرار دارد و كمتر از يك هفته از افشاي آن و تاييد مايكروسافت مي گذرد. شركت مايكروسافت اعلام كرده بود كه تمامي نسخه هاي ويندوز نسبت به اين نقص، آسيب پذير مي باشند.
در بولتن منتشر شده براي اصلاح اين آسيب پذيري، شركت مايكروسافت اعلام كرده است كه مرورگرهاي سافاري اپل و اندرويد گوگل نيز تحت تاثير اين آسيب پذيري قرار دارند.
محققان اظهار داشتند كه تاكنون شواهدي مبني بر سوء استفاده از اين آسيب پذيري گزارش نشده است.
در به روز رساني هاي منتشر شده توسط مايكروسافت نيز كرم استاكس نت مورد بازنگري قرار گرفت. اين كرم علاوه بر سرقت اطلاعات مي تواند راه نفوذ مخفي براي دسترسي از راه دور ايجاد نمايد. شركت مايكروسافت مشكل سرقت اطلاعات را در سال 2010 با بستن حفره اي كه براي اين منظور استفاده مي شد، برطرف كرد و روز سه شنبه نيز آسيب پذيري هاي كد اجر از راه دور آن را اصلاح كرد.

شماره: IRCNE2015032445
تاريخ: 23/12/93

محققان امنيتي يك آسيب پذيري را در كنسول ادمين گوگل افشاء كردند كه به مجرمان سايبري اجازه مي دهد تا ايميل هاي جعلي را كه معتبر به نظر مي رسند ارسال نمايند.
ماه گذشته، Security Week، Patrik Fehrenbach و بهروز صادق پور گزارشي را منتشر كردند كه در آن يك نقص امنيتي در كنسول ادمين گوگل كشف شده بود و به كاربران اجازه مي داد تا ايميل هاي جعلي را ارسال نمايند.
به منظور بررسي اين ادعا، Fehrenbach و صادق پور خود گوگل را به عنوان قرباني در نظر گرفتند و فرض كردند كه دامنه هايgstatic.com وytimg.com مي توانند ايميل هاي جعلي ارسال نمايند.

شماره: IRCNE2015032444
تاريخ: 23/12/93

Dropbox يك اصلاحيه امنيتي را منتشر كرد كه به مجرمان سايبري اجازه مي دهد تا اطلاعات جديد آپلود شده از طريق برنامه هاي متفرقه بر روي حساب كاربري را به سرقت ببرند.
شركت Dropbox انتشار اين اصلاحيه را روز پنج شنبه از طريق وبلاگ Dropbox Developer اعلام كرد. Dropbox شركتي است كه يك ذخيره فايل مبتني بر ابر را ارائه مي دهد و 300 ميليون كاربر دارد.
بسته هاي توسعه Dropbox's Android Core و Sync/Datastore براي توسعه دهندگاني كه بر روي برنامه هاي ثالثي كه با سرويس Dropbox كار مي كنند منتشر شده است. اين شركت اعلام كرد كه در حال حاضر اغلب Android SDKهاي برنامه هاي كاربردي به روز رساني شده است و پيشنهاد مي دهد كه مابقي توسعه دهندگان اندرويد برنامه هاي خود را براي استفاده از Core API Android SDK v1.6.3 يا Sync/Datastore Android SDK v3.1.2به روز رساني نمايند.
براي سوءاستفاده از اين آسيب پذيري، يك برنامه كاربردي به مخاطره افتاده بايد بر روي دستگاه اندرويد نصب شود (و برنامه Dropbox بر روي گوشي نصب نشده است) و كاربر بايد وب سايت مخربي كه از آسيب پذيري اين برنامه سوء استفاده مي كند را مشاهده نمايد. سپس مجرم سايبري مي تواند حساب كاربري Dropbox كاربر را به برنامه كاربردي مخرب متصل نمايد و نسخه اي از داده هاي جديدي كه كاربر از طريق اين برنامه بر روي Dropbox ذخيره مي كند را بدست آورد.
اين آسيب پذيري توسط Roee Hay و Or Peles از IBM شناسايي و افشاء شده است و تاكنون شواهد و گزارشي مبني بر سوء استفاده از اين آسيب پذيري مشاهده نشده است.

در تاريخ ۳ مارچ ۲۰۱۵، آسيب پذيري جديد SSL/TLS با نام حمله FREAK (CVE 2015-0204)معرفي گرديد. ‌اين آسيب پذيري به مهاجم امكان مي دهد بين ارتباط HTTPS كاربران و سرورهاي آسيب پذير قرار گيرد و آن ها را مجبور به استفاده از رمزنگاري ضعيف تر نمايد، در نتيجه اطلاعات حساس دستكاري يا دزديده خواهد شد. با توجه به اين كه تعداد بسيار بالايي از سايت ها در دنيا و در ايران داراي اين آسيب پذيري هستند لذا لازم است هرچه سريع تر نسبت به رفع آن اقدام گردد. علاوه بر سرورهاي آسيب پذير، AKAMAI هم ميزبان تعداد بسيار بالاي از سايت هاي آسيب پذير بوده است كه از آن هامي توان به FACEBOOK و FBI اشاره كرد. اين وب سايت ها بي درنگ نسبت به رفع آن اقدام نمودند.

نسخه هاي آسيب پذير

• كتابخانه هاي TLS CLIENT آسيب پذير به شرح ذيل است:
• OPENSSL (CVE-2015-0204): نسخه هاي قبل از 1.0.1K آسيب پذير هستند.
• BORINGSSL: نسخه هاي قبل از ۱۰ نوامبر ۲۰۱۴ آسيب پذير هستند.
• LIBRESSL: نسخه هاي قبل از 2.1.2 آسيب پذير هستند.
• SECURETRANSPORT: آسيب پذير است و راه حل در راه بررسي است.
• SCHANNEL: آسيب پذير است. راه حل در حال بررسي است
• MONO: نسخه هاي قبل از 3.12.1 آسيب پذير هستند
• IBM JSSE: آسيب پذير است و راه حل در راه بررسي است.

ديگر موارد
مرورگرهاي وب كه از كتابخانه هاي TLS بالا استفاده مي كنند، آسيب پذير هستند، شامل:

• CHROME: نسخه هاي قبل از 41 آسيب پذير هستند. آن را به CHROME 41 بروزرساني كنيد.
• INTERNET EXPLORER: آسيب پذير است. منتظر وصله براي رفع آسيب پذيري هستيم.
• SAFARI: آسيب پذير است. منتظر وصله براي رفع آسيب پذيري هستيم.
• ANDROID BROWSER: آسيب پذير است. آن را به CHROME 41 بروزرساني كنيد.
• BLACKBERRY BROWSER: آسيب پذير است. منتظر وصله براي رفع آسيب پذيري هستيم.
• OPERA: روي MAC و ANDROID آسيب پذير است. آن را به OPERA 28 بروزرساني كنيد.
• ديگر برنامه هاي كاربردي CLIENT(مانند EMAIL) كه از كتابخانه هاي TLS آسيب پذير استفاده مي كنند هم آسيب پذير هستند.

نحوه شناسايي آسيب پذير بودن
با استفاده از وب سايت هاي ذيل مي تواند آسيب پذير بودن سايت خود را شناسايي كنيد:

https://tools.keycdn.com/freak
https://www.ssllabs.com/ssltest

نحوه رفع آسيب پذيري
اگر سرور داريد:شما بايستي فوراً پشتيباني از كتابخانه هاي رمزنگاري TLS export را غيرفعال كنيد. درحالي كه در آن هستيد شما بايد ديگر مجموعه كه ناامن شناخته شده اند غيرفعال و انتقال امن را فعال كنيد. براي شناخت چگونگي امن سازي نرم افزار سرور HTTPS مي توانيد به راهنماي تنظيمات امنيتي موزيلا و توليد كننده تنظيمات SSL مراجعه كنيد. براي تست تنظيمات و اطمينان از آسيب پذير نبودن مي توانيد از لينك هاي قسمت قبل استفاده كنيد.
اگر از مرورگر استفاده مي كنيد:اطمينان حاصل كنيد كه از آخرين نسخه هاي مرورگرها و بروزرساني آن ها استفاده كرده ايد.
اگر مديرسيستم يا توسعه دهنده هستيد:اطمينان حاصل كنيد نسخه هاي كتابخانه TLS‌مورد استفاده شما بروز باشد. OpenSSL، Microsoft Schannel و Apple SecureTransport كه وصله جديد ندارند، هنوز آسيب پذيرند. توجه كنيد كه اين كتابخانه ها مورد استفاده برخي از برنامه ها مانند wget و curl هم هست. شما همچنين بايد اطمينان حاصل كنيد كه نرم افزار شما export كتابخانه هاي رمزنگاري را پيشنهاد ندهد، حتي اگر به عنوان آخرين راه حل باشد. چون در اين صورت ممكن است حتي را در صورت وصله شدن كتابخانه TLS مورد سوء استفاده قرار گيرد. در لينك https://freakattack.com/clienttest.html ابزارهايي براي توسعه دهندگان نرم افزار كه براي تست مفيد است قرار داده شده است.
منابع:

https://cve.mitre.org/CGI-BIN/CVENAME.CGI?NAME=CVE-2015-0204
https://www.smacktls.com/
https://freakattack.com/
https://cve.mitre.org/CGI-BIN/CVENAME.CGI?NAME=CVE-2015-0204
https://tools.keycdn.com/FREAK
https://www.smacktls.com/freak

شماره: IRCNE2015032448
تاريخ: 23/12/93

شركت امنيتي ترندميكرو يك تروجان روسي جديد كشف كرده است كه سعي مي‌كند به عنوان مقدمه اي براي جمع آوري داده هاي دستگاه‌هاي يك شبكه، به كنسولهاي ادمين مسيريابهاي پهن باند دسترسي پيدا كند.
حملاتي كه مسيريابهاي خانگي را هدف قرار مي دهند در سالهاي اخير معمول شده اند، اما اين نمونه كمي غيرمعمول به نظر ميرسد و هدف نهايي آنها چندان واضح نيست.
تروجان Vicepass.a به جاي اينكه از يك آسيب‌پذيري نرم افزاري شناخته شده براي نفوذ به سيستم ادمين استفاده كند، يك به روز رساني جعلي فلش پلير را مورد استفاده قرار مي دهد تا خود را به سيستم كاربر برساند. اين تروجان سپس با استفاده از نامها و كلمات عبور معمول ادمين مانند 1234567 و zaq123wsx سعي مي كند به مسيرياب شبكه وارد شود.
اين تروجان در صورت دستيابي به موفقيت، به دنبال دستگاه هاي مختلفي مانند كامپيوترهاي شخصي، تلفنهاي آي‌پي، كنسولهاي بازي، سرورها، پرينترها، بريج‌ها و ساير مسيريابها مي‌گردد. اين تروجان حتي دستگاههاي اپل را نيز مورد توجه قرار مي دهد.
فعاليت نهايي اين تروجان اين است كه اطلاعات جمع آوري شده را به صورت رمز شده به يك سرور دستور و كنترل ارسال مي كند و سپس خود را از سيستمهاي آلوده حذف كرده و هر ردپايي از خود را نيز پاك مي كند.
محققان ترندميكرو معتقدند كه اين تروجان پيشاهنگ حملات ديگر بوده و اطلاعات جمع آوري شده توسط آن، در حقيقت گام نخست حملات جديتر است. اين اطلاعات مي تواند براي حملات CSRF آتي مورد استفاده قرار گيرد.

شماره: IRCNE2015032443
تاريخ:19/12/93

آخرين نسخه سيستم عامل موبايل اپل، يك نقص امنيتي جدي را براي آيفون و آيپد برطرف مي‌كند كه درصورتي‌كه مورد سوء استفاده قرار گيرد، مي‌تواند منجر به نفوذ به ارتباطات رمز شده توسط مهاجم گردد.
iOS 8.2 روز دوشنبه و در پي افشاي نقص امنيتي FREAK در تعدادي از محصولات اين شركت، عرضه شد.
اين نقص امنيتي مي‌تواند به مهاجم اجازه دهد كه حملات man-in-the-middle را در شبكه‌هاي رمز شده معمولي از جمله ارتباطات SSL و TLS هدايت نمايد.
شركت‌هاي بزرگ ديگر مانند مايكروسافت و گوگل نيز محصولاتي دارند كه تحت تأثير اين نقص امنيتي قرار دارند.
اپل در راهنمايي امنيتي خود نوشته است كه اين نقص امنيتي، iPhone 4s و نسخه‌هاي پس از آن، iPod touch و نسخه‌هاي پس از آن و iPad 2 و نسخه‌هاي پس از آن را تحت تأثير قرار مي‌دهد.
كاربراني كه فكر مي‌كنند كه تحت تأثير اين نقص امنيتي قرار دارند مي‌توانند هرچه سريعتر سيستم عامل خود را به iOS 8.2 ارتقاء دهند.

مطالب مرتبط:
آسيب پذير بودن سيستم هاي ويندوز به نقص رمزگذاري 'FREAK'
آسيب پذيري FREAK
كاربران اپل و اندرويد تحت تاثير آسيب پذيري امنيتي 'FREAK'

ID: IRCNE2015032448
Date: 2015-03-14

According to “TechWorld”, Trend Micro has discovered a new Russian Trojan that attempts to access the admin consoles of the broadband routers as a prelude to collecting data on other devices using the same network.
Attacks targeting home routers have become more common in recent years but this one still counts as unusually enigmatic in that its ultimate purpose it unclear.
Rather than target the router directly using a known software vulnerability to breach the admin system as have other attacks, Vicepass.a poses as a bogus Flash Player update to launch itself on the user’s PC. It then attempts to log into the network router using a common admin names and passwords such as ‘1234567’ as well as less common ones such as ’zaq123wsx’.
If successful, the Trojan looks for the first dozen or so devices by IP address. As well as PCs, it notices IP telephones, games consoles, servers, printers, bridges nd other routers. It even notices Apple devices.
Its final act is to send the information it has collected in encrypted form to a command and control server before deleting itself from the infected PC to erase any trace of the incursion.
Trend believes the attack is most likely a form of reconnaissance, a hunt for low-hanging fruit.
“Based on its routines, the malware might be used by cybercriminals as a ‘scout’ for bigger campaigns,” suggests Trend researcher, Kenney Lu.
“The intelligence gathering could be the first step in more severe attacks. The information could be stored and used for future cross-site request forgery (CSRF) attacks similar to the one discussed here,” he said.