شماره: IRCNE2015012413
تاريخ: 08/11/93

يك خطا در يك جزء بسيار معمول اغلب توزيع‌هاي لينوكس مي‌تواند به مهاجم اجازه دهد كه كنترل راه دور يك سيستم را پس از ارسال يك ايميل خرابكار در دست بگيرد.
به گزارش شركت امنيتي Qualys كه اين مسأله را روز سه‌شنبه كه بسياري از توزيع‌هاي لينوكس اصلاحيه دريافت كردند افشا كرد، اين آسيب‌پذيري كه Ghost نام گرفته است، در كتابخانه GNU C كه تحت عنوان glibc شناخته مي‌شود قرار دارد. Glibc يك كتابخانه C است كه فراخواني‌هاي سيستم را تعريف مي‌كند.
Red Hat، Debian، Ubuntu و Novell، ترميم دريافت كرده‌اند. به مديران سيستم‌ها توصيه شده است كه در اولين فرصت ممكن اصلاحيه‌ها را اعمال نمايند.
اين نقص نخستين بار در سال 2000 در glibc ظاهر شد. به گفته Qualys، در حقيقت اين آسيب‌پذيري در 21 مي 2013 و بين نسخه‌هاي 2.17 و 2.18 اصلاح شده بود. ولي در آن زمان اين نقص به عنوان يك خطر امنيتي شناسايي نشد. در نتيجه اغلب توزيع‌هاي لينوكس از جمله Debian 7، Red Hat Enterprise Linux نسخه‌هاي 6 و 7، CentOS نسخه‌هاي 6 و 7 و Ubuntu 12.04 بلافاصله اصلاح نشدند.
Qualys اين مشكل را در طول يك مميزي كد كشف كرد. هنوز مشخص نيست كه آيا مهاجمان از اين آسيب‌پذيري پيش از كشف آن سوء استفاده كرده‌اند يا خير.
نقص امنيتي Glibc يك سرريز بافر است كه مي‌تواند به صورت محلي و يا از راه دور در تابع gethostbyname فعال گردد.
تحليلگران Qualys يك كد سوء استفاده توليد كرده‌اند كه از طريق آن يك ايميل دستكاري شده خاص به يك ميل سرور Exim كه نسخه آسيب‌پذير glibc را اجرا مي‌كند ارسال مي‌گردد و يك ارتباط راه دور remote shell كه كنترل كامل دارد را در اختيار آنها قرار مي‌دهد.
Qualys زماني اين آسيب‌پذيري را افشا كرده است كه بيش از نيمي از سيستم‌هاي لينوكس، اصلاحيه مربوطه را نصب كرده‌اند.

شماره: IRCNE2015012412
تاريخ: 08/11/93

شركت ادوبي در سه روز گذشته شروع به قرار دادن اصلاحيه فلش‌پلير براي كاربراني كرده است كه به‌روز رساني خودكار را فعال كرده‌اند. اين اصلاحيه يك آسيب‌پذيري را كه توسط هكرها مورد سوء استفاده قرار گرفته بود ترميم مي‌نمايد.
كد سوء استفاده از اين آسيب‌پذيري با كيت سوء استفاده Angler مجتمع شده است. اين كيت ابزاري است كه توسط مجرمان سايبري براي اجراي حملات drive-by-download و به طور خاص از طريق تبليغات مخرب كه بر روي وب‌سايت‌هاي معتبر نمايش داده مي‌شوند مورد استفاده قرار مي‌گيرد.
اين آسيب‌پذيري كه تحت عنوان CVE-2015-0311 شناسايي مي‌شود، كاربراني را كه فلش‌پلير را در موزيلا و تمامي نسخه‌هاي IE در سيستم‌هاي ويندوز 8.1 و نسخه‌هاي قديمي‌تر ويندوز فعال كرده‌اند، تحت تأثير قرار مي‌دهد. پلاگين فلش‌پلير با كروم نيز مجتمع مي‌گردد، اما مكانيزم sandbox امنيتي اين مرورگر از اين سوء استفاده جلوگيري مي‌كند.
ادوبي در راهنمايي امنيتي روز شنبه خود نوشت كه كاربراني كه به‌روز رساني خودكار را براي فلش‌پلير فعال كرده‌اند، نسخه 16.0.0.296 را از روز 24 ژانويه به تدريج دريافت مي‌كنند.
اين شركت همچنين اعلام كرد كه نسخه جديد فلش‌پلير را در هفته براي دانلود در دسترس قرار خواهد داد. حتي اگرچه هنوز اين عرضه به طور رسمي اعلام نشده است، اما نسخه جديد هم اكنون نيز در سايت ادوبي در دسترس قرار دارد.
اين به‌روز رساني پس از عرضه يك نسخه ديگر فلش‌پلير در هفته گذشته كه يك آسيب‌پذيري ديگر را اصلاح مي‌كرد، انجام شده است. آسيب‌پذيري مذكور با شناسه CVE-2015-0310 شناسايي مي‌شود.
كاربران همچنين مي‌توانند با فعال كردن ويژگي click-to-play در مرورگرها كه از اجراي خودكار محتواي مبتني بر پلاگين بدون مجوز كاربر جلوگيري مي‌كند، از خود محافظت نمايند.

ID: IRCNE2015012413
Date: 2015-01-28

According to “ComputerWorld”, A fault in a widely used component of most Linux distributions could allow an attacker to take remote control of a system after merely sending a malicious email.
The vulnerability, nicknamed "Ghost," is in the GNU C Library known as glibc, according to security vendor Qualys, which disclosed the issue on Tuesday as many Linux distributions released patches. Glibc is a C library that defines system calls.
Red Hat, Debian, Ubuntu and Novell have issued fixes. It is advised administrators should patch as soon as possible.
The bug first appeared in glibc in 2000. It actually was fixed on May 21, 2013, in between versions 2.17 and 2.18, Qualys CTO Wolfgang Kandek wrote in ablog post.
But at the time, the flaw wasn't recognized as a security risk, Kandek wrote. Most stable and long-term support Linux distributions weren't immediately modified, including Debian 7, Red Hat Enterprise Linux 6 and 7, CentOS 6 and 7 and Ubuntu 12.04.
Qualys found the problem during a code audit. It's unclear whether attackers exploited the vulnerability before it was found by the company.
The flaw in Glibc exposes a buffer overflow that can be triggered locally and remotely in the "gethostbyname" functions. Applications using glibc get access to a DNS resolver, which converts hostnames into an IP address, Kandek wrote.
Qualys analysts developed a proof-of-concept exploit where they sent a specially crafted email to an Exim mail server running the vulnerable version of glibc and achieved a remote shell, giving them full control.
The company is not releasing the exploit until about half of all affected machines are patched, Kandek wrote.

ID: IRCNE2015012412
Date: 2015-01-28

According to “ComputerWorld”, Adobe Systems started pushing a critical Flash Player patch to users who have auto-update enabled over the weekend in order to fix a vulnerability that has been exploited by attackers since last week.
An exploit for the vulnerability has been integrated into the Angler Exploit Kit, a tool used by cybercriminals to launch mass drive-by-download attacks, primarily through malicious ads displayed on legitimate websites.
The vulnerability, tracked as CVE-2015-0311, affects users with Flash Player enabled in Mozilla Firefox and in all versions of Internet Explorer running on Windows 8.1 and earlier. The Flash Player plug-in bundled with Google Chrome also has the vulnerability, but the browser's security sandbox mechanism prevents its exploitation.
"Users who have enabled auto-update for the Flash Player desktop runtime will be receiving version 16.0.0.296 beginning on January 24," Adobe said in a security advisory Saturday.
The company also said that it will make the new Flash Player version available for manual download this week. Even though the release hasn't officially been announced yet, the new version is already available on its distribution site.
The update comes after Adobe released another Flash Player version last week to address a different zero-day, or exploited but unpatched, vulnerability. That one was tracked as CVE-2015-0310.
Users can also protect themselves by enabling the click-to-play feature in browsers which prevents plug-in-based content like Flash from running automatically without the user's consent.

شماره: IRCNE2015012411
تاريخ: 06/11/93

روز پنجشنبه چند به‌روز رساني اضطراري براي فلش‌پلير عرضه شد كه يك آسيب‌پذيري را كه به طور فعال توسط مهاجمان مورد سوء استفاده قرار گرفته است، ترميم مي‌كنند. اما همچنان يك آسيب‌پذيري ديگر اصلاح نشده باقي مانده است.
شركت ادوب، فلش‌پلير نسخه 16.0.0.287 را براي سيستم‌هاي ويندوز و مك، فلش‌پلير نسخه 11.2.202.438 را براي سيستم‌هاي لينوكس و فلش‌پليرExtended Support Release نسخه 13.0.0.262 را عرضه كرده است. اين به‌روز رساني‌ها يك آسيب‌پذيري شناخته شده با شناسه CVE-2015-0310 را برطرف مي‌كنند.
ادوب در يك راهنمايي امنيتي نوشت كه اين شركت از سوء استفاده گسترده از اين آسيب‌پذيري در نسخه‌هاي قديمي‌تر فلش‌پلير آگاه است.
روز چهارشنبه يك محقق فرانسوي در بلاگ خود گزارش داد كه مجرمان سايبري كه از كيت سوء استفاده Angler استفاده مي‌كنند، يك آسيب‌پذيري اصلاح نشده در فلش‌پلير را هدف قرار داده‌اند. اما به نظر مي‌رسد كه اين آسيب‌پذيري، CVE-2015-0310 نبوده و همچنان اصلاح نشده باقي مانده است.
اين محقق اعلام كرده است كه كيت Angler همچنان در مورد فلش‌پلير جديد 16.0.0287 در سيستم‌هاي ويندوز و مك كار مي‌كند. علاوه بر اين، مهاجمان اكنون اشتباهي را در پياده‌سازي خود تصحيح كرده‌اند و كاربران فايرفاكس را كه از فلش‌پلير استفاده مي‌كنند نيز هدف قرار داده‌اند.
وي گفت كه درصورت نصب و فعال‌سازي فلش، هر نسخه‌اي از IE يا فايرفاكس با هر نسخه‌اي از ويندوز تحت تأثير اين آسيب‌پذيري قرار دارند. اما گوگل كروم كه در آن فلش‌پلير در sandbox امنيتي مرورگر اجرا مي‌شود، هدف اين حملات قرار ندارد.
البته به گفته اين محقق امنيتي، آسيب‌پذيري CVE-2015-0310 نيز كه روز پنجشنبه اصلاح شد، در حملاتي كه با استفاده از كيت Angler انجام مي‌شوند مورد استفاده قرار مي‌گيرد.
ادوب اعلام كرد كه در حال تحقيق در مورد آسيب‌پذيري ديگري است كه همه نسخه‌هاي فلش‌پلير را تحت تأثير قرار مي‌دهد.
متخصصين امنيتي توصيه مي‌كنند كه بهتر است تا عرضه اصلاحيه مربوطه، پلاگين فلش‌پلير را به طور كلي غيرفعال نماييد.

شماره: IRCNE2015012410
تاريخ: 06/11/93

وردپرس يك سيستم مديريت محتوا و بلاگينگ متن‌باز مشهور است كه هم بر روي سرور و ميزبان وردپرس و هم بر روي هر ميزباني كه مورد نظر كاربر باشد قابل استفاده است. وردپرس، پلاگين Jetpack را براي كاربراني كه از ميزباني به جز وردپرس استفاده مي‌كنند توصيه كرده است كه چندين سرويس براي كمك به كاربران در مديريت و امن‌سازي سايت را ارائه مي‌دهد. اكنون وردپرس در حال قطع كردن سايت‌هايي است كه پلاگين Jetpack را به‌روز رساني نكرده‌اند.
وردپرس در ايميل ارسالي خود براي مديران سايت‌هاي تحت تأثير نوشته است: «بهار گذشته، ما يك آسيب‌پذيري در Jetpack كشف كرديم و تلاش كرديم به كاربران كمك نماييم كه سايت‌هاي خود را به يك نسخه امن به‌روز رساني نمايند. سايت شما از يك نسخه قديمي و به شدت ناامن پلاگين Jetpack (1.9.2) استفاده مي‌كند. براي امن نگه داشتن سايت شما، ما آن را از WordPress.com قطع كرده‌ايم.»
پلاگين Jetpack نسخه 1.9 نخستين بار در اكتبر 2012 عرضه شد و تا كنون چندين بار به‌روز رساني شده است. در آوريل 2014، به‌روز رساني 2.9.3 اين پلاگين عرضه شد كه شامل يك به‌روز رساني امنيتي حياتي بود كه يك آسيب‌پذيري را ترميم مي‌كرد كه تمامي نسخه‌هاي Jetpack از 1.9 به بالا را تحت تأثير قرار مي‌داد. اين آسيب‌پذيري مي‌تواند به مهاجم اين امكان را مي‌دهد كه كنترل‌هاي دسترسي را دور بزند و مطالب بدون مجوز منتشر نمايد.
Jetpack يك پلاگين ارزشمند براي كاربران وردپرس است كه از ميزبان‌هاي مورد نظر خود استفاده مي‌كنند، چرا كه ويژگي‌هاي آمار، رسانه‌هاي اجتماعي و مديريت سايت را در اختيار آنها قرار مي‌دهد. به طور خاص از جنبه امنيت، Jetpack 3.3 كه در 16 دسامبر 2014 عرضه شد، كاربران را قادر مي‌سازد به‌روز رساني‌هاي پلاگين‌ها را به طور خودكار مديريت نمايند.
خطر پلاگين‌هاي خارج از رده وردپرس چندان كم نيست. در دسامبر 2014، بيش از 100 هزار سايت وردپرس از راه يك پلاگين آسيب‌پذير اصلاح نشده، به بدافزار SoakSoak آلوده شدند.
وردپرس گام‌هايي براي كمك به به‌روز نگاه داشتن برنامه هسته‌اي وردپرس برداشته است. با به‌روز رساني وردپرس 3.7 در اكتبر 2013، سايت‌هاي وردپرسي كه از ميزبان مربوط به خود استفاده مي‌كنند به طور خودكار به‌روز رساني مي‌شوند تا آسيب‌پذيري‌هاي امنيتي بحراني در وردپرس را ترميم نمايند.

شماره: IRCNE2015012409
تاريخ: 06/11/93

كاربراني كه گوشي‌هاي هوشمند و تبلت‌هاي اندرويد دارند كه از نسخه‌هاي قديمي‌تر اين سيستم عامل استفاده مي‌كنند (حدود 60 درصد از كل كاربران اندرويد)، بايد با يك نقص امنيتي كه گوگل تصميم گرفته است آن را ترميم نكند زندگي كنند.
آدرين لودويگ، مدير امنيت گوگل براي اندرويد، روز جمعه اعلام كرد كه يك نقص امنيتي شناخته شده در مرورگر پيش‌فرض اندرويد 4.3 جلي‌بين و نسخه‌هاي قديمي‌تر سيستم عامل گوگل وجود دارد كه اصلاح نخواهد شد.
وي در گوگل پلاس خود نوشت كه به‌روز نگاه داشتن نرم‌افزار چالشي جدي در امنيت است. از آنجايي كه اين مرورگر مبتني بر نسخه دو سال پيش موتور وب‌كيت است، ترميم اين آسيب‌پذيري در اندرويد جلي‌بين و نسخه‌هاي قديمي‌تر اندرويد ديگر عملي نيست.
گوگل روز شنبه تأييد كرد كه اين جمله مدير امنيت اين شركت، تصميم رسمي اين شركت در اين مورد است.
اين تصميم گوگل، متخصصان امنيت را آشفته كرده است كه نگران اين موضوع هستند كه هكرها به سادگي صدها ميليون كاربر تلفن همراه و تبلت را كه از نسخه‌هاي قديمي اندرويد استفاده مي‌كنند هدف قرار دهند. لودويگ ادعا كرده است كه تعداد كاربراني كه تحت تأثير اين آسيب‌پذيري قرار دارند هر روز كم مي‌شود. اما به عقيده متخصصان امنيتي، اين كاهش به اندازه كافي سريع نيست.
بنا بر گزارش خود گوگل، 39.1 درصد از گوشي‌هاي هوشمند و تبلت‌هاي اندرويدي از نسخه جديدتر اندرويد 4.4 كيت‌كت استفاده مي‌كنند. جديدترين نسخه اين سيستم عامل يعني اندرويد 5.0 لولي‌پاپ كه در ماه نوامبر عرضه شد، كمتر از 0.1 درصد سيستم‌هاي اندرويد را تشكيل مي‌دهد. اين بدان معناست كه حدود 60 درصد از دستگاه‌هاي اندرويد از نسخه‌هاي قديمي اين سيستم عامل كه مرورگر آنها آسيب‌پذير است استفاده مي‌كنند.
لودويگ به كاربران اندرويد 4.3 و نسخه‌هاي قديمي‌تر اندرويد توصيه كرده است كه از مرورگر ديگري استفاده كنند. وي گوگل كروم و موزيلا را پيشنهاد كرده است.

شماره: IRCNE2015012408
تاريخ: 06/11/93

گروه امنيتي گوگل پس از افشاي آسيب پذيري هاي سيستم عامل ويندوز مايكروسافت، سه آسيب پذيري اصلاح نشده را در Apple OS X افشاء نمود.
هفته گذشته، گروه امنيتي گوگل جزئياتي را در خصوص مسائل امنيتي OS X منتشر كرد و اذعان داشت كه اين مسائل، جدي مي باشند.
اولين مشكل مربوط به دور زدن sandbox مي باشد. دومين آسيب پذيري مربوط به اجراي كد كرنل OS X IOKit است كه منجر به ارجاع به اشاره گر NULL در IntelAccelerator مي شود و در نهايت سومين آسيب پذيري مربوط به تخريب حافظه كرنل OS X IOKit مي باشد.
سوء استفاده از اين آسيب پذيري ها مستلزم آن است كه مهاجمي به يك سيستم مكينتاش دسترسي يابد. پس از دسترسي موفقيت آميز مهاجم مي تواند سطح دسترسي ها را افزايش دهد و كنترل كامل ماشين را در اختيار بگيرد. كدهاي سوء استفاه از اين آسيب پذيري ها موجود مي باشد.
اين مشكلات به شركت اپل گزارش شده است اما تاكنون اصلاحيه اي براي آن ها منتشر نشده است. پس از گذشت 90 روز از تاريخ افشاي اين آسيب پذيري ها، جزئيات آن ها به طور خودكار بر روي دامنه عمومي منتشر خواهد شد.
اولين بار نيست كه آسيب پذيري هاي كشف شده توسط گوگل بدون اصلاحيه مي ماند. چند هفته گذشته اين گروه امنيتي سه آسيب پذيري مجزا در سيستم عامل ويندوز مايكروسافت را منتشر كرده است اما تاكنون اين آسيب پذيري ها اصلاح نشده اند.

شماره: IRCNE2015012407
تاريخ: 06/11/93

يك محقق بدافزارها گزارش داده است كه مهاجمان در حال سوء استفاده از وب‌سايت‌ها براي استفاده از يك آسيب‌پذيري جديد و اصلاح نشده در فلش پلير هستند.
به گفته اين محقق كه نام آنلاين وي كافين است، اين آسيب‌پذيري در حملات drive-by-download كه با استفاده از يك كيت سوء استفاده به نام Angler انجام مي‌شوند مشاهده شده است.
كيت‌هاي سوء استفاده، برنامه‌هاي خرابكار وب هستند كه شامل كدهاي سوء استفاده كننده از آسيب‌پذيري‌هاي مرورگرها و پلاگين‌هاي مرورگرها مانند جاوا، فلش‌پلير، ادوب ريدر و سيورلايت هستند. مهاجمان با تزريق كدهاي مخرب به وب‌سايت‌هايي كه مورد سوء استفاده قرار مي‌دهند و همچنين با استفاده از تبليغات مخرب، بي سر و صدا مرورگرهاي كاربران را به نصب كيت سوء استفاده رهنمون مي‌شوند.
اين كيت‌ها بسته به مرورگر و پلاگين‌هاي آن، تصميم مي‌گيرند كه كدام كد را از مجوعه كدهاي خود بارگذاري نمايند. درصورت موفقيت‌آميز بودن اين عمليات، بدافزار مورد نظر نصب مي‌گردد. اين كار تحت عنوان حمله drive-by-download شناخته شده و براي كاربران قابل مشاهده نيست.
كيت‌هاي سوء استفاده معمولاً آسيب‌پذيري‌هاي شناخته شده را هدف قرار مي‌دهند. به همين دليل به‌روز نگاه داشتن پلاگين‌هاي مرورگر مانند فلش‌پلير از اهمين ويژه‌اي برخوردار است. اما درصورتي‌كه مهاجمان كدي براي سوء استفاده از يك آسيب‌پذيري جديد و اصلاح نشده (zero-day) داشته باشند، اين كار كمكي به كاربر نمي‌كند.
آسيب‌پذيري‌هاي zero-day براي هكرها ارزشمند هستند، به همين دليل اين آسيب‌پذيري‌ها بيشتر در حملات هدفمند مورد استفاده قرار مي‌گيرند كه هدف آن معمولاً جاسوسي سايبري است. مشاهده اين آسيب‌پذيري‌ها در حملاتي بدون هدف خاص مانند آنچه كه توسط Angler انجام شده است غيرمعمول است.
به گفته كافين، آسيب‌پذيري مورد استفاده در Angler بر روي آخرين نسخه فلش‌پلير و در سيستم‌هاي ويندوز 7 با IE8، ويندوز 8 با IE10، ويندوز 8 با IE10 و ويندوز XP با IE 6 تا 9 با موفقيت كار مي‌كند. وي گفت كه غيرفعال كردن فلش‌پلير براي چند روز مي‌تواند ايده خوبي باشد.
سخنگوي ادوب اعلام كرد كه ادوب از اين گزارش آگاه است و در حال تحقيق در مورد اين ادعا است. اما كافين ادعا كرده است كه اين مسأله را به اطلاع ادوب رسانده و اين شركت آن را تأييد كرده است.

ID: IRCNE2015012411
Date: 2015-01-26

According to “ComputerWorld”, Emergency updates for Flash Player released Thursday fix a vulnerability that is actively exploited by attackers, but leave a separate one unpatched.
Adobe Systems released Flash Player 16.0.0.287 for Windows and Mac, Flash Player 11.2.202.438 for Linux and Flash Player Extended Support Release 13.0.0.262. These updates address a vulnerability identified in the Common Vulnerabilities and Exposures database as CVE-2015-0310.
Adobe is aware of an exploit for this vulnerability "in the wild" being used to attack older versions of Flash Player, the company said in a security advisory.
On Wednesday, a French malware researcher who uses the online alias Kafeine reported on his blog that cybercriminals using the Angler Exploit Kit are targeting an unpatched vulnerability in Flash Player. That vulnerability, it seems, is not CVE-2015-0310 and remains unpatched.
Kafeine has since updated his blog post to reflect that the Angler exploit seen yesterday also works against the newly released Flash Player 16.0.0.287 for Windows and Mac. Moreover, the attackers have since corrected an error in their implementation and are now also targeting Firefox users who have Flash Player installed in addition to Internet Explorer users.
"Any version of Internet Explorer or Firefox with any version of Windows will get owned if Flash up to 16.0.0.287 (included) is installed and enabled," Kafeine said. Google Chrome, where Flash Player runs under the browser's security sandbox, is not targeted.
"We are investigating reports that a separate exploit for Flash Player 16.0.0.287 and earlier also exists in the wild," Adobe said.
Interestingly, the CVE-2015-0310 vulnerability that was patched Thursday was also used in attacks with the Angler Exploit Kit, but last week, according to Kafeine.
Firefox users can enable the browser's click-to-play feature in order to avoid Flash content from executing automatically. However, security researchers advise that it's better to disable the Flash Player plug-in entirely from the browser until a patched version is released.