شماره: IRCNE2015012409
تاريخ: 06/11/93

كاربراني كه گوشي‌هاي هوشمند و تبلت‌هاي اندرويد دارند كه از نسخه‌هاي قديمي‌تر اين سيستم عامل استفاده مي‌كنند (حدود 60 درصد از كل كاربران اندرويد)، بايد با يك نقص امنيتي كه گوگل تصميم گرفته است آن را ترميم نكند زندگي كنند.
آدرين لودويگ، مدير امنيت گوگل براي اندرويد، روز جمعه اعلام كرد كه يك نقص امنيتي شناخته شده در مرورگر پيش‌فرض اندرويد 4.3 جلي‌بين و نسخه‌هاي قديمي‌تر سيستم عامل گوگل وجود دارد كه اصلاح نخواهد شد.
وي در گوگل پلاس خود نوشت كه به‌روز نگاه داشتن نرم‌افزار چالشي جدي در امنيت است. از آنجايي كه اين مرورگر مبتني بر نسخه دو سال پيش موتور وب‌كيت است، ترميم اين آسيب‌پذيري در اندرويد جلي‌بين و نسخه‌هاي قديمي‌تر اندرويد ديگر عملي نيست.
گوگل روز شنبه تأييد كرد كه اين جمله مدير امنيت اين شركت، تصميم رسمي اين شركت در اين مورد است.
اين تصميم گوگل، متخصصان امنيت را آشفته كرده است كه نگران اين موضوع هستند كه هكرها به سادگي صدها ميليون كاربر تلفن همراه و تبلت را كه از نسخه‌هاي قديمي اندرويد استفاده مي‌كنند هدف قرار دهند. لودويگ ادعا كرده است كه تعداد كاربراني كه تحت تأثير اين آسيب‌پذيري قرار دارند هر روز كم مي‌شود. اما به عقيده متخصصان امنيتي، اين كاهش به اندازه كافي سريع نيست.
بنا بر گزارش خود گوگل، 39.1 درصد از گوشي‌هاي هوشمند و تبلت‌هاي اندرويدي از نسخه جديدتر اندرويد 4.4 كيت‌كت استفاده مي‌كنند. جديدترين نسخه اين سيستم عامل يعني اندرويد 5.0 لولي‌پاپ كه در ماه نوامبر عرضه شد، كمتر از 0.1 درصد سيستم‌هاي اندرويد را تشكيل مي‌دهد. اين بدان معناست كه حدود 60 درصد از دستگاه‌هاي اندرويد از نسخه‌هاي قديمي اين سيستم عامل كه مرورگر آنها آسيب‌پذير است استفاده مي‌كنند.
لودويگ به كاربران اندرويد 4.3 و نسخه‌هاي قديمي‌تر اندرويد توصيه كرده است كه از مرورگر ديگري استفاده كنند. وي گوگل كروم و موزيلا را پيشنهاد كرده است.

شماره: IRCNE2015012408
تاريخ: 06/11/93

گروه امنيتي گوگل پس از افشاي آسيب پذيري هاي سيستم عامل ويندوز مايكروسافت، سه آسيب پذيري اصلاح نشده را در Apple OS X افشاء نمود.
هفته گذشته، گروه امنيتي گوگل جزئياتي را در خصوص مسائل امنيتي OS X منتشر كرد و اذعان داشت كه اين مسائل، جدي مي باشند.
اولين مشكل مربوط به دور زدن sandbox مي باشد. دومين آسيب پذيري مربوط به اجراي كد كرنل OS X IOKit است كه منجر به ارجاع به اشاره گر NULL در IntelAccelerator مي شود و در نهايت سومين آسيب پذيري مربوط به تخريب حافظه كرنل OS X IOKit مي باشد.
سوء استفاده از اين آسيب پذيري ها مستلزم آن است كه مهاجمي به يك سيستم مكينتاش دسترسي يابد. پس از دسترسي موفقيت آميز مهاجم مي تواند سطح دسترسي ها را افزايش دهد و كنترل كامل ماشين را در اختيار بگيرد. كدهاي سوء استفاه از اين آسيب پذيري ها موجود مي باشد.
اين مشكلات به شركت اپل گزارش شده است اما تاكنون اصلاحيه اي براي آن ها منتشر نشده است. پس از گذشت 90 روز از تاريخ افشاي اين آسيب پذيري ها، جزئيات آن ها به طور خودكار بر روي دامنه عمومي منتشر خواهد شد.
اولين بار نيست كه آسيب پذيري هاي كشف شده توسط گوگل بدون اصلاحيه مي ماند. چند هفته گذشته اين گروه امنيتي سه آسيب پذيري مجزا در سيستم عامل ويندوز مايكروسافت را منتشر كرده است اما تاكنون اين آسيب پذيري ها اصلاح نشده اند.

شماره: IRCNE2015012407
تاريخ: 06/11/93

يك محقق بدافزارها گزارش داده است كه مهاجمان در حال سوء استفاده از وب‌سايت‌ها براي استفاده از يك آسيب‌پذيري جديد و اصلاح نشده در فلش پلير هستند.
به گفته اين محقق كه نام آنلاين وي كافين است، اين آسيب‌پذيري در حملات drive-by-download كه با استفاده از يك كيت سوء استفاده به نام Angler انجام مي‌شوند مشاهده شده است.
كيت‌هاي سوء استفاده، برنامه‌هاي خرابكار وب هستند كه شامل كدهاي سوء استفاده كننده از آسيب‌پذيري‌هاي مرورگرها و پلاگين‌هاي مرورگرها مانند جاوا، فلش‌پلير، ادوب ريدر و سيورلايت هستند. مهاجمان با تزريق كدهاي مخرب به وب‌سايت‌هايي كه مورد سوء استفاده قرار مي‌دهند و همچنين با استفاده از تبليغات مخرب، بي سر و صدا مرورگرهاي كاربران را به نصب كيت سوء استفاده رهنمون مي‌شوند.
اين كيت‌ها بسته به مرورگر و پلاگين‌هاي آن، تصميم مي‌گيرند كه كدام كد را از مجوعه كدهاي خود بارگذاري نمايند. درصورت موفقيت‌آميز بودن اين عمليات، بدافزار مورد نظر نصب مي‌گردد. اين كار تحت عنوان حمله drive-by-download شناخته شده و براي كاربران قابل مشاهده نيست.
كيت‌هاي سوء استفاده معمولاً آسيب‌پذيري‌هاي شناخته شده را هدف قرار مي‌دهند. به همين دليل به‌روز نگاه داشتن پلاگين‌هاي مرورگر مانند فلش‌پلير از اهمين ويژه‌اي برخوردار است. اما درصورتي‌كه مهاجمان كدي براي سوء استفاده از يك آسيب‌پذيري جديد و اصلاح نشده (zero-day) داشته باشند، اين كار كمكي به كاربر نمي‌كند.
آسيب‌پذيري‌هاي zero-day براي هكرها ارزشمند هستند، به همين دليل اين آسيب‌پذيري‌ها بيشتر در حملات هدفمند مورد استفاده قرار مي‌گيرند كه هدف آن معمولاً جاسوسي سايبري است. مشاهده اين آسيب‌پذيري‌ها در حملاتي بدون هدف خاص مانند آنچه كه توسط Angler انجام شده است غيرمعمول است.
به گفته كافين، آسيب‌پذيري مورد استفاده در Angler بر روي آخرين نسخه فلش‌پلير و در سيستم‌هاي ويندوز 7 با IE8، ويندوز 8 با IE10، ويندوز 8 با IE10 و ويندوز XP با IE 6 تا 9 با موفقيت كار مي‌كند. وي گفت كه غيرفعال كردن فلش‌پلير براي چند روز مي‌تواند ايده خوبي باشد.
سخنگوي ادوب اعلام كرد كه ادوب از اين گزارش آگاه است و در حال تحقيق در مورد اين ادعا است. اما كافين ادعا كرده است كه اين مسأله را به اطلاع ادوب رسانده و اين شركت آن را تأييد كرده است.

ID: IRCNE2015012411
Date: 2015-01-26

According to “ComputerWorld”, Emergency updates for Flash Player released Thursday fix a vulnerability that is actively exploited by attackers, but leave a separate one unpatched.
Adobe Systems released Flash Player 16.0.0.287 for Windows and Mac, Flash Player 11.2.202.438 for Linux and Flash Player Extended Support Release 13.0.0.262. These updates address a vulnerability identified in the Common Vulnerabilities and Exposures database as CVE-2015-0310.
Adobe is aware of an exploit for this vulnerability "in the wild" being used to attack older versions of Flash Player, the company said in a security advisory.
On Wednesday, a French malware researcher who uses the online alias Kafeine reported on his blog that cybercriminals using the Angler Exploit Kit are targeting an unpatched vulnerability in Flash Player. That vulnerability, it seems, is not CVE-2015-0310 and remains unpatched.
Kafeine has since updated his blog post to reflect that the Angler exploit seen yesterday also works against the newly released Flash Player 16.0.0.287 for Windows and Mac. Moreover, the attackers have since corrected an error in their implementation and are now also targeting Firefox users who have Flash Player installed in addition to Internet Explorer users.
"Any version of Internet Explorer or Firefox with any version of Windows will get owned if Flash up to 16.0.0.287 (included) is installed and enabled," Kafeine said. Google Chrome, where Flash Player runs under the browser's security sandbox, is not targeted.
"We are investigating reports that a separate exploit for Flash Player 16.0.0.287 and earlier also exists in the wild," Adobe said.
Interestingly, the CVE-2015-0310 vulnerability that was patched Thursday was also used in attacks with the Angler Exploit Kit, but last week, according to Kafeine.
Firefox users can enable the browser's click-to-play feature in order to avoid Flash content from executing automatically. However, security researchers advise that it's better to disable the Flash Player plug-in entirely from the browser until a patched version is released.

ID: IRCNE2015012410
Date: 2015-01-26

According to “EWeek”, The risk of unpatched software is one that WordPress understands well and is taking aggressive steps to mitigate.
WordPress is a popular open-source content management and blogging system that is available in a hosted model on WordPress.com and as a self-hosted application that users can choose to host wherever they want. WordPress.com also offers the Jetpack plug-in for self-hosted WordPress users, which provides multiple services to help users manage and secure sites. WordPress is now beginning to disconnect self-hosted sites that have not updated the Jetpack plug-in.
"Last spring, we discovered a vulnerability in Jetpack and have been hard at work helping users update their sites to a secure version," WordPress wrote in an email sent to affected site administrators. "Your site has been running an old, highly insecure version (1.9.2) of the Jetpack plugin. To keep your site secure, we have disconnected it from WordPress.com."
The Jetpack 1.9 plug-in was first released in October 2012 and has been updated multiple times since. In April 2014, the Jetpack 2.9.3 update was released, providing a critical security update that fixed a vulnerability that impacted all versions of Jetpack from 1.9 and up. The vulnerability could have potentially enabled an attacker to bypass access controls and publish unauthorized posts.
Jetpack is a particularly valuable plug-in for self-hosted WordPress users in that it provides statistics, social media and site management features. More specifically on the security front, the Jetpack 3.3 update, which was released on Dec. 16, 2014, enables users to manage plug-in updates automatically. That is, with Jetpack 3.3 installed on a self-hosted WordPress CMS, a site administrator can choose to enable a feature that will automatically keep the self-hosted site's plug-ins updated.
The risk of outdated WordPress plug-ins is nontrivial. In December 2014, more than 100,000 WordPress sites were infected with the SoakSoak malware by way of an unpatched vulnerable plug-in.
WordPress has taken steps to help keep the core WordPress application updated as well. Starting with the WordPress 3.7 update that came out in October 2013, self-hosted WordPress sites are automatically updated to fix critical security vulnerabilities in WordPress.

ID: IRCNE2015012409
Date: 2015-01-26

According to “CNet”, People with Android smartphones and tablets running older versions of the mobile operating system -- around 60 percent of all Android users -- are going to have to live with a security flaw Google has decided not to fix.
A known security bug in the default, unbranded Web browser for Android 4.3 Jelly Bean and older versions of Google's mobile OS will go unpatched, Google's chief of security for Android wrote in aGoogle+ post on Friday.
"Keeping software up to date is one of the greatest challenges in security," Adrian Ludwig wrote. Because the browser app is based on a version of the WebKit browser engine that's now more than two years old, fixing the vulnerability in Android Jelly Bean and earlier versions is "no longer practical to do safely," he wrote.
Google confirmed on Saturday that Ludwig's post is the company's official position on the matter.
The company's decision has upset security experts, who worry hackers will be able to easily target the hundreds of millions of people using phones and tablets that run older versions of Android. Ludwig contends the number of people potentially affected by the vulnerability is "shrinking every day." But for security professionals, it's just not shrinking fast enough.
According to Google's own Android usage numbers, 39.1 percent of its smartphones and tablets run a newer, unaffected version of Android: 4.4 KitKat. The most recent version of the operating system, Android 5.0 Lollipop released in November, makes up less than one-tenth of 1 percent of Android devices in use. That means about 60 percent of Android devices run versions of the OS that included the susceptible browser by default.
Ludwig recommends people on Android 4.3 or older use a different Web browser. He suggests Google Chrome, which works on Android 4.0 Ice Cream Sandwich and newer, or Mozilla Firefox, which works on Android 2.3 Gingerbread and newer.

Number: IRCNE2015012408
Date: 2015/01/26

According to “zdnet”, Google's Project Zero security team have revealed the existence of three zero-day vulnerabilities found in Apple's OS X, following the disclosure of flaws in Microsoft's Windows operating system.
Over the past several days, the tech giant's Project Zero scheme has released details concerning three OS X security issues the team have dubbed severe.
The first flaw, "OS X networkd "effective_audit_token" XPC type confusion sandbox escape," which involves circumvention of commands in the network system, may be mitigated in OS X Yosemite, but there is no clear explaination of whether this is the case. The second vulnerability documents "OS X IOKit kernel code execution due to NULL pointer dereference in IntelAccelerator," and finally, the third, "OS X IOKit kernel memory corruption due to bad bzero in IOBluetoothDevice." includes an exploit related to OS X's kernel structure.
While each flaw requires an attacker to have access to a targeted Mac, each vulnerability could contribute to a successful attempt to elevate privilege levels and take over a machine. Each vulnerability disclosure, as with any disclosed by the Project Zero team, includes a proof-of-concept exploit.
The vulnerabilities have been reported to Apple but the flaws have not been fixed. Once Project Zero's 90-day deadline passes, details of vulnerabilities found in systems are automatically released into the public domain.
This isn't the first time Google's Project Zero has published vulnerabilities which are yet to be fixed. In the past several weeks, the tech giant's security team has published three separate security flaws in Microsoft's Windows operating system, which were unpatched at the time.

ID: IRCNE2015012407
Date: 2015-01-26

According to “ComputerWorld”, Attackers are using compromised websites to exploit a new and currently unpatched vulnerability in Flash Player, a malware researcher has reported.
The new exploit was observed in drive-by-download attacks launched with an exploit kit called Angler, according to an independent researcher who uses the online alias Kafeine.
Exploit kits are malicious Web applications that contain exploits for vulnerabilities in browsers and browser plug-ins such as Java, Flash Player, Adobe Reader and Silverlight. Attackers silently redirect users' browsers to exploit kit installations by inserting rogue code in compromised websites and malicious advertisements.
The kits choose which exploits to load from their arsenal depending on the visitor's browser and installed plug-ins. If successful, the exploits install malware. It's known as a drive-by-download attack and is typically transparent to users.
Exploit kits usually target known vulnerabilities, which is why it's important to keep browser plug-ins like Flash Player up to date. But that doesn't help if attackers have an exploit for a zero-day vulnerability -- one that's not been patched yet by the software vendor.
Zero-day exploits are valuable to hackers, which is why they're more commonly used in targeted attacks where the stakes are higher and the goal is usually cyberespionage. It's unusual to see them in mass attacks like those performed with Angler and other exploit kits.
The new zero-day exploit used in Angler worked successfully on the latest Flash Player version on Windows 7 with Internet Explorer 8, Windows 8 with Internet Explorer 10, and Windows XP with IE 6 to 9, Kafeine said in a blog post. Disabling Flash Player for some days might be a good idea, he said.
Adobe is aware of the report and investigating the claims, a spokeswoman said via email. However, Kafeine claims he shared the exploit with the company, and that Adobe has confirmed it.

شماره: IRCNE2015012406
تاريخ: 05/11/93

به روز رساني هاي بحراني اوراكل شامل به روز رساني هاي امنيتي و اصلاحيه هايي براي 169 مشكلي كه محصولات جاوا، Fusion Middleware، Enterprise Manager و MySQL را تحت تاثير قرار مي دهند، مي شود. هم چنين اين به روز رساني ها شامل اصلاح هشت آسيب پذيري در پايگاه داده اوراكل مي شود.
در مجموع 36 اصلاحيه جديد براي محصولات Oracle Fusion Middleware منتشر شده است و اكثر آن ها در رده امنيتي بسيار بالا قرار دارند. دو آسيب پذيري اصلاح شده در اين به روز رساني ها مي توانند باعث شوند تا افراد خرابكار كنترل سرور را در اختيار بگيرند.
10 اصلاحيه جديد مربوط به بسته Oracle E-Business، شش اصلاحيه مربوط به بسته Oracle Supply Chain، هفت اصلاحيه براي Oracle PeopleSoft Enterprise، يك به روز رساني براي Oracle JDEdwards EnterpriseOne، 17 اصلاحيه براي Oracle Siebel CRM و دو به روز رساني براي Oracle iLearning مي باشد.
از 19 آسيب پذيري، 15 مشكل مربوط به كلاينت ها، دو مشكل مربوط به كلاينت و سرور و دو مشكل مربوط به JSSE مي باشد. مهم ترين تهديدات شامل اجراي كد دلخواه و در اختيار گرفتن كنترل سرور مي شود در نتيجه داده هاي حساس كاربران در معرض خطر قرار مي گيرد و هم چنين اين آسيب پذيري ها به مهاجم اجازه مي دهند تا بدافزاري را نصب نمايد و از طريق سيستمي كه به مخاطره افتاده است سيستم هاي ديگر را آلوده نمايند.

شماره: IRCNE2015012405
تاريخ: 05/11/93

چندين آسيب پذيري در برخي از نسخه هاي VLC كشف شده است كه به مجرمان سايبري اجازه مي دهد تا حافظه را تخريب نمايند و به طور بالقوه كد دلخواه را اجرا نمايند.
با توجه به يافته هاي محقق امنيتي Veysel Hatas، يكي از اين آسيب پذيري ها مربوط به آسيب پذيري نقض دسترسي به DEP است و مابقي آسيب پذيري هاي مربوط به دسترسي نوشتن مي باشد.
اولين آسيب پذيري امنيتي 24 نوامبر سال گذشته كشف شده است و منجر به تخريب حافظه و اجراي كد دلخواه مي شود. دومين آسيب پذيري نيز همانند آسيب پذيري اول مي باشد. اين مشكلات در VLC نسخه 2.1.5 وجود دارد.
اين آسيب پذيري ها در 26 دسامبر سال 2014 به VideoLAN گزارش شده است اما هم چنان اصلاحيه اي براي آن ها منتشر نشده است.