Number: IRCNE2015022435
Date: 2015/02/26

According to “zdnet”, over one million websites running the WordPress content management system are potentially at risk of being hijacked due to a critical vulnerability exposed in the WP-Slimstat plugin.
On Tuesday, a security advisory posted by researcher Marc-Alexandre Montpas from security firm Sucuri said the "very high risk" vulnerability found in versions of WP-Slimstat 3.9.5 and lower could lead to cyberattackers being able to break the plugin's "secret" key, perform an SQL injection and take over a target website.
The security bug is found in all versions of the analytics plugin except the latest 3.6 version.
WP-Slimstat uses a "secret" key to sign data sent to and from a visiting computer. However, Sucuri says the key is easily guessable, as it is just a hashed version of the plugin's installation timestamp -- and by using a website like Internet Archive, the key could be guessed within only minutes based on the year the site appeared online. According to the team, this would leave roughly 30 million values to test, something which is doable in only 10 minutes on modern computer systems.
Once this information has been acquired, an SQL injection can be performed.
The security researchers say the bug could lead to database exploits, hijacking and the theft of sensitive information including usernames, hashed passwords, and potentially access to WordPress Secret Keys which could lead to total site takeover.
WP-Slimstat is an analytics tool which includes a real-time website activity log, heatmaps, email reports, data exports, platform and browser detection as well as IP geolocation. The plugin is available in multiple languages and is free with premium bolt-ons.
According to the WordPress plugin library, WP-Slimstat has been downloaded over 1.3 million times. If you run this plugin on your website, you should make sure your CMS is up-to-date and download the latest version of the software.

شماره: IRCNE2015022434
تاريخ: 06/12/93

محققان امنيتي به كاربران نرم افزار سامبا هشدار دادند كه به منظور اصلاح يك آسيب پذيري، به روز رساني هاي امنيتي جديد اين نرم افزار را نصب نمايند. اين آسيب پذيري بحراني به مهاجمان اجازه مي دهد تا از راه دور و با حق دسترسي root كدي دلخواه را اجرا نمايند.
نرم افزار سامبا يك پياده سازي از پروتكل شبكه SMB/CIFS مي باشد كه باعث مي شود سيستم هاي شبيه يونيكس مانند لينوكس، BSD، سولاري و Mac OS X بتوانند فايل ها و پرنترها را با سيستم هاي ويندوز به اشتراك بگذارند. هم چنين اين نرم افزار باعث مي شود تا اين سيستم ها بتوانند با محيط اكتيو دايركتوري ويندوز يكپارچه شده و حتي به عنوان كنترل كننده دامنه عمل نمايند.
اين آسيب پذيري جديد در فايل سرور smbd قرار گرفته است و توسط Richard van Eeden از گروه تحقيقات آسيب پذيري ويندزو كشف شده است.
گروه امنيتي Red Hat در وبلاگي نوشت: اين آسيب پذيري مي تواند توسط يك كلاينت خرابكار سامبا و از طريق ارسال بسته هاي دستكاري شده خاص به سرور سامبا مورد سوء استفاده قرار بگيرد. براي سوء استفاده از اين نقص هيچگونه تاييد هويت نياز نيست. اين مساله مي تواند باعث شود تا مهاجمان بتوانند از راه دور و با دسترسي root كدي دلخواه را اجرا نمايند.
تمامي نسخه هاي سامبا از 3.5.0 تا4.2.0rc4 آسيب پذير مي باشند. گروه پروژه سامبا براي اصلاح اين مشكل نسخه هاي 4.2.0rc5، 4.1.17، 4.0.25 و 3.6.25 را منتشر كرده است.
براي سامبا نسخه 4.0.0 و نسخه هاي پس از آن يك چارچوب كاري دستي وجود دارد كه شامل افزودن يك خط كد rpc_server:netlogon=disabled به بخش [global] در فايل smb.conf مي باشد.
كاربران بايد در اسرع وقت به روز رساني هاي موجود براي سامبا را بر روي سيستم هاي خود نصب نمايند.

Number: IRCNE2015022434
Date: 2015/02/24

According to “computerworld”, security researchers are urging users to install new Samba security updates in order to address a critical vulnerability that allows attackers to execute arbitrary code with root privileges.
Samba is an implementation of the SMB/CIFS networking protocol that enables Unix-like systems, including Linux, BSD, Solaris and Mac OS X to share files and printers with Windows computers. It also allows such systems to be integrated into Microsoft Active Directory environments and even act as domain controllers.
The new vulnerability is located in the smbd file server and was discovered by Richard van Eeden of Microsoft Vulnerability Research.
"It can be exploited by a malicious Samba client, by sending specially-crafted packets to the Samba server," the Red Hat security team said in a blog post. "No authentication is required to exploit this flaw. It can result in remotely controlled execution of arbitrary code as root."
All versions of Samba from 3.5.0 to 4.2.0rc4 are vulnerable. The Samba project released versions 4.2.0rc5, 4.1.17, 4.0.25 and 3.6.25 to address the issue and also made code patches available.
For Samba 4.0.0 and above there is a manual workaround that involves adding the line rpc_server:netlogon=disabled to the [global] section in the smb.conf file.

شماره: IRCNE2015022433
تاريخ: 05/12/93

به كاربران آيفون و آي پد هشدار داده شده است كه يك حمله هكMasque Attack II وجود دارد و مي تواند به طور بالقوه دستگاه هاي آن ها را در معرض خطر سرقت اطلاعات قرار دهد.
محققان امنيتي FireEye براي اولين بار نقص Masque را در نوامبر 2014 كشف كردند كه ميتوانست به برنامه هاي كاربردي مخرب اجازه دهد تا جايگزين نوع enterprise خود بر روي دستگاه شوند. در حال حاضر محققان به نتايج كامل تري در خصوص اين نقص دست يافته اند.
اين گروه در وبلاگي توضيح داده اند: ما دريافتيم زماني كه يك الگوي iOS URL فراخواني مي شود، iOS برنامه هايenterprise-signed ثبت شده را براي مديريت الگوي URL بدون در نطر گرفتن اعتماد راه اندازي مي كند. اين مساله كه آيا قبلا اين برنامه هاي enterprise-signed توسط كاربر راه اندازي شده است يا خير اهميتي ندارد.
تيم تحقيقاتي FireEye اعلام داشت كه حتي اگر كاربر هميشه بر روي ‘Don't Trust' اين قبيل برنامه ها كليك كرده است، هم چنان iOS اين برنامه ها را مستقيما بر روي الگوي URL خود راه اندازي مي كند و اين بدين معناست كه مي تواند نتايج غيرمنتظره اي را شامل شود.
به بيان ديگر، هنگامي كه كاربر بر روي لينكي در SMS، mailiOS يا اينباكس گوگل كليك كند، iOS بدون تاييد گرفتن از كاربر در خصوص مورد اعتماد بودن يا نبودن برنامه، برنامه هاي enterprise-signed را راه اندازي مي كند.
اين مساله باعث مي شود تا نسخه هاي مخرب برنامه بتواند به جاي نسخه هاي امن آن اجرا شود و به طور بالقوه باعث شود تا هكرها داده هاي محرمانه كاربر را به سرقت برده يا دستگاه مذكور را با مشكل مواجه كند.
تيم تحقيقاتي FireEye به كاربران iOS هشدار مي دهد كه هنگام كليك كردن بر روي لينك هاي ناشناس به خصوص هنگامي كه اين لينك ها توسط پيام كوتاه، ايميل يا MMS ارسال شده است جانب احتياط را رعايت نمايند.
اين شركت اعلام كرد كه براي كاهش اثرات مخرب اين نقص امنيتي كاربران بايد در اسرع وقت دستگاه هاي خود را به نسخه 8.1.3 به روز رساني نمايند.

شماره: IRCNE2015022432
تاريخ: 05/12/93

شركت لنوو وعده داده است كه مشكل Superfish در محصولات آتي اين شركت وجود نخواهد داشت.
هفته گذشته گزارشي منتشر شد كه ادعا مي كرد نوت بوك هاي لنوو داراي يك نقص امنيتي مي باشند. در ابتدا شركت لنوو اظهار داشت كه اين يك مسئله امنيتي نيست اما در نهايت مشكل مذبور را پذيرفت.
روز شنبه، شركت لنوو در بيانيه اي اعلام كرد كه در خصوص اين آسيب پذيري امنيتي بالقوه اطلاعي نداشته است و اظهار داشت كه اين مساله ناشي از اشتباه شركت بوده است.
اين شركت اعلام كرد كه ما متوجه اشتباه خود شده ايم و در آينده چنين اتفاقي نخواهد افتاد و در حال كار براي برطرف كردن اين مساله هستيم.
در حال حاضر اين شركت ابزاري را براي حذف اين تبليغ افزار از روي محصولات خود منتشر كرده است و شركت هاي امنيتي از جمله مك آفي در حال كار براي افزودن اين نرم افزار به اسكنرهاي بدافزار خود مي باشند.
با توجه به راهنمايي امنيتي منتشر شده لنوو، Superfish بر روي محصولات نوت بوك منتشر شده در فاصله سپتامبر 2014 تا فوريه 2015 وجود داشته است. اين شركت فعاليت تمامي سرورهايي كه در رابطه با توليد اين محصولات بوده است را متوقف كرده است و وعده داده است كه اين تبليغ افزار بر روي محصولاتد آينده وجود نخواهد داشت.

شماره: IRCNE2015022431
تاريخ: 05/12/93

پلت فرم ابر گوگل برنامه هاي كاربردي را براي يافتن آسيب پذيري هاي امنيتي رايج اسكن مي كند. اين غول جستجو اعلام كرد كه اين بررسي كننده مشكلات امنيتي Google Cloud Security Scanner نام گرفته است و دو نقص امنيتي رايج از جمله مسئله اسكريپت بين سايتي و محتوي تركيبي را شناسايي مي كند.
Rob Mann، مدير مهندسي امنيت گوگل در وبلاگي نوشت:با استفاده از موتور پردازش گوگل، اين اسكنر بات نتي از صدها ايجادكننده كروم مجازي براي اسكن سايت كاربران ايجاد خواهد كرد.
در آزمايش ديگري براي مسئله اسكريپت بين سايتي كه به مهاجمان اجازه مي دهد تا كدي مخرب را به يك برنامه كاربردي وب ميزباني شده تزريق كند، گوگل با يك بارگذاري بي خطر به سايت حمله كرده تا از آسيب پذير بودن يا نبودن برنامه كاربردي وبي مطمئن شود.
در حال حاضر نسخه بتاي اين سرويس آماده است و مراحل تست را سپري مي كند.

Number: IRCNE2015022433
Date: 2015/02/23

According to “itpro”, iPad and iPhone users are being warned about the discovery of the Masque Attack II iOS hack, which could potentially leave their data open to theft.
FireEye researchers Hui Xue, Zhaofeng Chen, Song Jin, Yulong Zhang and Tao Wei discovered the first edition of the Masque flaw last November, which could allow malicious apps to replace existing enterprise ones on devices. Now the researchers have discovered a sequel.
The group explained in a blog post: "We find that when calling an iOS URL scheme, iOS launches the enterprise-signed app registered to handle the URL scheme without prompting for trust. It doesn't matter whether the user has launched that enterprise-signed app before."
FireEye said even if the user always clicks ‘Don't Trust' to such apps, iOS still launches that enterprise-signed app directly on calling its URL scheme, meaning it could cause unexpected results.
"In other words, when the user clicks on a link in SMS, iOS Mail or Google Inbox, iOS launches the target enterprise-signed app without asking for the user's ‘Trust' or even ignoring the user's ‘Don't Trust'," they continued.
This could enforce a malicious version of a real, safe enterprise app to launch instead, potentially causing the hackers to steal confidential data or corrupt the device.
FireEye is urging iOS users be cautious when clicking on unknown links, especially if they are sent to their device by SMS, email or MMS.
"Users should update devices to 8.1.3 as soon as possible to mitigate the risk as much as possible," the company said.

Number: IRCNE2015022432
Date: 2015/02/23

According to “zdnet”, Lenovo has promised not to include Superfish with products in the future.According to security researchers, the problem is worse than we thought.
Last week, reports surfaced which claimed that Lenovo Notebooks have been issued to consumers containing a preloaded security flaw. Originally, the Chinese tech giant said the Superfish adware was not a security concern -- however, eventually the company realized and admitted that the software was able to install its own self-signing man-in-the-middle (MITM) proxy service which has the potential to hijack SSL and TLS connections -- a severe, nasty security vulnerability.
On Saturday, Lenovo issued a statement saying the company "did not know about this potential security vulnerability," and admitted it was the company's mistake in allowing the adware to slip the net.
"We recognise that this was our miss, and we will do better in the future. Now we are focused on fixing it," Lenovo said.
Lenovo has now released a removal tool to eradicate the adware from the firm's products, and security companies including McAfee are working to add the software to malware scanners.
According to a Lenovo security advisory, Superfish came preloaded on notebook products shipped between September 2014 and February 2015. The firm has reached out to Superfish to "disable all server activity associated with their product," and promises not to preload this software on products in the future.

Number: IRCNE2015022431
Date: 2015/02/23

According to “zdnet”, Google's cloud platform will now scan developers' applications for common security vulnerabilities.
The search giant said Thursday the new security bug checker, dubbed the Google Cloud Security Scanner, will detect two common flaws, including cross-site scripting (XSS) issues, and mixed content.
Using Google's Compute Engine, the scanner will "create a botnet of hundreds of virtual Chrome workers to scan your site," said Rob Mann, Google security engineering manager, in a blog post.
In another test for cross-site scripting, which allows hackers to inject potentially malicious code into a hosted web app, Google will "attack" the site (albeit safely and in a controlled way) with a benign payload to determine if a web app is vulnerable.

شماره: IRCNE2015022430
تاريخ: 04/12/93

سازندگان كامپيوترهاي لنوو تبليغ افزاري را در كارخانه بر روي كامپيوترهاي خود نصب كرده اند. اين تبليغ افزار Superfish نام دارد و نه تنها تبليغات زيادي را بر روي مرورگر كاربر باز مي كند بلكه راه نفوذ مخفي را براي هكرها باز مي كند تا بتوانند بر روي جستجوهاي كاربر جاسوسي كرده و اطلاعات شخصي آن ها را به سرقت ببرند.
روز پنج شنبه، محققان امنيتي هشدار دادند كه تبليغ افزاري با نام Superfish كه از پيش بر روي برخي لپ تاپ هاي لنوو نصب شده است، مي تواند باعث آسيب پذير شدن دستگاه در برابر حملات هكرها شود. با اين وجود به نظر مي رسد كه اين طراحي و مكانيزم ردگيري ترافيك كه توسط اين تبليغ افزار استفاده مي شود، در برنامه هاي نرم افزاري ديگر نيز وجود دارد.
تبليغ افزار Superfish براي مداخله در ارتباطات HTTPS رمزگذاري شده از يك مولفه پروكسي MitM استفاده مي كند. اين تبليغ افزار توسط نصب گواهينامه روت خودش در ويندوز و استفاده از اين گواهينامه براي ثبت مجدد گواهينامنه هاي SSL نشان داده شده توسط وب سايت هاي معتبر، اين كار را انجام مي دهد.
محققان امنيتي دو مساله اصلي را در اين پياده سازي دريافتند. نخست آنكه اين نرم افزار از گواهينامه هاي روت يكساني بر روي تمامي سيستم ها استفاده مي كند و دومين مساله آن است كه كليد خصوصي متناظر با اين گواهينامه در برنامه تعبيه شده است و به راحتي مي توان آن را استخراج كرد.
هكرهاي خرابكار با اين كليد مي توانند از طريق شبكه هاي واي فاي عمومي حملات MitM را راه اندازي كنند و يا مي توانند مسيريابي كاربراني كه بر روي سيستم هاي آن ها اين تبليغ افزار نصب است را با مخاطره مواجه كنند.