شماره: IRCNE2014112384
تاريخ: 29/08/93

شركت ادوب نسخه هاي جديد فلش پلير را براي ويندوز، مكينتاش و لينوكس منتشر كرد تا حفاظت هاي بهتري در برابر يك آسيب پذيري فراهم كند.
شركت ادوب توصيه مي كند تا تمامي كاربران فلش پلير اين اصلاحيه ها را اعمال نمايند. شركت مايكروسافت به روز رساني هاي فلش را در IE نسخه هاي 10 و 11 اعمال كرده است و هم چنين گوگل فلش پلير موجود در كروم را اصلاح كرده است. نسخه جديد فلش براي كاربران ويندوز و مكينتاش نسخه 15.0.0.239 خواهد بود. هم چنين نسخه جديد فلش پلير براي لينوكس نسخه 11.2.202.424 مي باشد.
كاربران براي مشاهده نسخه فلش پليري كه در حال حاضر از آن استفاده مي كنند بايد بر روي گزينه About Flash Player كليك نمايند. كاربران مي توانند اصلاحيه ها را از طريق Adobe Flash Player Download Center يا از طريق مكانيزم به روز رساني موجود در برنامه دريافت نمايند.
آسيب پذيري CVE-2014-8439 توسطSébastien Duquette از شركت امنيتي ESET گزارش شده است و شركت ادوب را آن را با عنوان آسيب پذيري استفاده پس از آزادسازي توصيف كرده است.
با توجه به گزارش ادوب، پيش از به روز رسانيAPSB14-22 كه در 14 اكتبر 2014 منتشر شد، هيچ گونه سوء استفاده از آسيب پذيري CVE-2014-8439 نشده است. در حال حاضر نيز هيچ گونه سوء استفاده اي از سيستم هايي كه به روز رساني APSB14-22 را نصب كرده اند نيز گزارش نشده است. به نظر مي رسد كه نسخه هاي جديد فلش پلير برخي محدوديت هايي كه در به روز رساني قبلي وجود داشت را برطرف مي كند.

Number: IRCNE2014112384
Date: 2014/11/27

According to “zdnet”, Adobe has released new versions of Flash Player for Windows, Mac and Linux to strengthen protections against a vulnerability originally mitigated without mention last month.
Adobe recommends that all Flash Player users update. Microsoft will be releasing updates to Internet Explorer 10 and 11 and Google to Chrome to fix the Flash Players embedded in them. The new version for Windows and Mac will be 15.0.0.239. The new Adobe Flash Player Extended Support Release version is 13.0.0.258. The new Flash Player for Linux version is 11.2.202.424.
To determine the version of Flash Player you are running, go to the About Flash Player page. Users can update by visiting the Adobe Flash Player Download Center, or via the update mechanism within the product when prompted.
The vulnerability is CVE-2014-8439, reported by Sébastien Duquette of ESET, Timo Hirvonen of F-Secure and Kafeine. Adobe describes the update as a use after free vulnerability.
According to Adobe, prior to the October 14, 2014 APSB14-22 update there were no known exploits of CVE-2014-8439. Currently there are no known exploits that will be successful on systems on which the APSB14-22 updates were applied. This new update appears to address some limitations in that earlier update.

ID: IRCNE2014112383
Date: 2014-11-24

According to “ComputerWorldUK”, Malware that Symantec says was probably developed by a nation state may have been used for as long as eight years, a length of time that underscores the challenges the security industry faces in detecting advanced spying tools.
On Sunday, the computer security company published a 22-page report and blog post on the Regin malware, which it described as a powerful cyberespionage platform that can be customized depending on what type of data is sought.
It was predominantly targeted at telecoms companies, small businesses and private individuals, with different modules customized for stealing particular kinds of information. Symantec found about 100 entities infected with Regin in 10 countries, mostly in Russia and Saudi Arabia, but also in Mexico, Ireland, India, Afghanistan, Iran, Belgium, Austria and Pakistan
A first version of Regin was active between 2008 and 2011. Symantec began analyzing a second version of Regin about a year ago that had been forwarded by one of its customers, said Liam O'Murchu, a Symantec researcher, in a phone interview Sunday.
But there are forensic clues that Regin may have been active as far back as 2006. In fact, Symantec didn't actually give Regin its name. O'Murchu said Symantec opted to use that name since it had been dubbed that by others in the security field who have known about it for some time.
If Regin does turn out to be 8 years old, the finding would mean that nation states are having tremendous success in avoiding the latest security products, which doesn't bode well for companies trying to protect their data. Symantec didn't identify who it thinks may have developed Regin.
Symantec waited almost a year before publicly discussing Regin because it was so difficult to analyze. The malware has five separate stages, each of which is dependent on the previous stage to be decrypted, O'Murchu said. It also uses peer-to-peer communication, which avoids using a centralized command-and-control system to dump stolen data, he said.
Regin is a back-door-type Trojan, "customizable with an extensive range of capabilities depending on the target," Symantec said, adding that "it provides its controllers with a powerful framework for mass surveillance." Its development probably took months "if not years" and "its authors have gone to great lengths to cover its tracks." It's also unclear exactly how users become infected with Regin. Symantec figured out how just one computer became infected so far, which was via Yahoo's Messenger program, O'Murchu said.
It is possible the user fell victim to social engineering, where a person is tricked into clicking on a link sent through Messenger. But O'Murchu said it is more likely that Regin's controllers knew of a software vulnerability in Messenger itself and could infect the person's computer without any interaction from the victim.
"The threat is very advanced in everything it does on the computer," O'Murchu said. "We imagine these attacks have quite advanced methods for getting it installed."
Telecom companies have been particularly hard hit by Regin. Some of the companies have been infected by Regin in multiple locations in multiple countries, Symantec found.
The attackers appear to have sought login credentials for GSM base stations, which are the first point of contact for a mobile device to route a call or request data. Stealing administrator credentials could have allowed Regin's masters to change settings on the base station or access certain call data.
Regin's other targets included the hospitality, airline and ISP industries, as well as government.
Symantec further believes that "many components of Regin remain undiscovered and additional functionality and versions may exist." Researchers are continuing their analysis and will provide public updates as additional discoveries about the malware are made, the company said.

شماره: IRCNE2014112383
تاريخ: 3/9/93

بدافزاري كه سايمانتك معتقد است احتمالاً توسط يك حكومت ايجاد شده است، ممكن است براي مدت 8 سال مورد استفاده قرار گرفته باشد.
روز يكشنبه، اين شركت امنيت كامپيوتر يك گزارش 22 صفحه‌اي و يك پست در وبلاگ در مورد بدافزار Regin منتشر كرد كه تحت عنوان يك پلتفورم جاسوسي سايبري قوي شرح داده شده است كه مي‌تواند بسته به نوع داده‌هاي مورد نظر، سفارشي سازي شود.
اين بدافزار با ماژول‌هاي متفاوت سفارشي سازي شده براي سرقت انواع خاص اطلاعات، غالباً شركت‌هاي مخابراتي، كسب و كارهاي كوچك و افراد شخصي را هدف قرار داده است. سايمانتك حدود 100 نهاد را در 10 كشور كشف كرده است كه توسط Regin آلوده شده‌اند كه اغلب آنها در روسيه و عربستان سعودي قرار دارند. اما در مكزيك، ايرلند، هند، افغانستان، ايران، بلژيك، اتريش و پاكستان نيز مواردي از آلودگي به اين بدافزار مشاهده شده است.
به گفته يك محقق امنيتي سايمانتك به نام «ليام اومورچو»، نخستين نسخه Regin بين سال‌هاي 2008 تا 2011 فعال شد. سايمانتك تحليل نسخه ديگري از Regin را كه توسط يكي از مشتريان براي اين شركت ارسال شده بود حدود يك سال قبل آغاز كرد.
اما شواهد و ادله جرم‌شناسانه‌اي وجود دارد مبني بر اينكه Regin از سال 2006 فعال بوده است. در حقيقت سايمانتك نام Regin را براي اين بدافزار انتخاب نكرده است. به گفته اومورچو، سايمانتك اين نام را مورد استفاده قرار داده است چرا كه اين بدافزار توسط ديگراني كه در زمينه امنيت فعال هستند و پيش از اين در مورد اين بدافزار اطلاعاتي داشته‌اند، به اين نام ناميده شده است.
اگر Regin واقعاً 8 سال داشته باشد، اين بدان معناست كه حكومت‌ها و دولت‌ها به موفقيت عظيمي در دور زدن محصولات امنيتي دست يافته‌اند، كه نشانه چندان خوبي براي شركت‌هايي كه سعي مي‌كنند از داده‌ها محافظت كنند نيست. سايمانتك در مورد توليد كننده Regin نظري نداده است.
سايمانتك حدود يك سال براي عمومي كردن Regin صبر كرده است، چرا كه تحليل آن بسيار سخت بوده است. اين بدافزار 5 مرحله جداگانه دارد، كه هريك از آنها وابسته به رمزگشايي مرحله قبلي است. اين بدافزار همچنين از ارتباط نظير به نظير استفاده استفاده مي‌كند و از استفاده از يك سيستم مركزي دستور و كنترل براي جمع كردن داده‌هاي سرقتي خودداري مي‌كند.
Regin يك تروجان back-door است كه بسته به هدف، با گستره متنوعي از قابليت‌ها سفارشي‌سازي مي‌شود. به گفته سايمانتك، توليد اين بدافزار ماه‌ها و حتي سال‌ها زمان برده است و نويسندگان آن تمام سعي خود را براي پوشاندن ردپاي اين بدافزار كرده‌اند.
همچنين هنوز دقيقاً مشخص نيست كه كاربران چگونه توسط Regin آلوده مي‌شوند. به گفته اومورچو، سايمانتك فقط در مورد يك كامپيوتر كشف كرده است كه از طريق ياهو مسنجر آلوده شده است.
اين احتمال وجود دارد كه كاربر قرباني يك حمله مهندسي اجتماعي شده و بر روي لينكي كه از طريق مسنجر ارسال شده است كليك كرده باشد. اما احتمال بيشتري وجود دارد كه كنترل كنندگان Regin از يك آسيب‌پذيري در مسنجر آگاه بوده و بدون نياز به تعامل كاربر، سيستم وي را آلوده كرده باشند.
اومورچو معتقد است كه اين تهديد از نظر تمام كارهايي كه بر روي كامپيوتر انجام مي‌دهد بسيار پيشرفته است.
شركت‌هاي مخابراتي به طور خاص توسط اين بدافزار هدف قرار گرفته‌اند. يافته‌هاي سايمانتك نشان مي‌دهد كه برخي شركت‌ها در چندين مكان و چندين كشور توسط Regin آلوده شده‌اند.
به نظر مي‌رسد كه مهاجمان به دنبال اطلاعات لاگين براي ايستگاه‌هاي پايه (BTS) شبكه GSM بوده‌اند. اين ايستگاه‌ها نخستين نقطه تماس يك دستگاه موبايل براي مسيريابي يك تماس يا درخواست داده است. سرقت اطلاعات اعتباري administrator به صاحبان Regin اجازه داده است كه تنظيمات ايستگاه پايه را تغيير داده يا به داده‌هاي تماس‌هاي خاص دست يابند.
اهداف ديگر Regin شامل صنايع خطوط هوايي، ISP ها و بيمارستان‌ها بعلاوه دولت‌ها بوده است.
سايمانتك معتقد است كه بسياري از اجزاي Regin كشف نشده‌اند و هنوز ممكن است عملكردها و نسخه‌هاي ديگري از اين بدافزار وجود داشته باشد. محققان به تحليل‌هاي خود ادامه مي‌دهند و درصورت رسيدن به نتايج جديد، آن را به اطلاع عموم خواهند رساند.

Number: IRCNE2014112382
Date: 2014/11/18

According to “zdnet”, high volume DDoS spiked in use during Q3 2014, according to new research released by Verisign.
According to the Reston, Virginia-based firm's Q3 2014 DDoS Trends Report, through July to September this year there has been an increase in the frequency of DDoS attacks exceeding 10 Gbps in size, accounting for more than 20 percent of all mitigations conducted by the company.
Of these attacks, the largest was experienced by an online retailer, reaching 90Gbps in size. The cyberattack was aimed at disrupting the e-commerce capability of the victim.
"This highlights the need for more advanced DDoS protection capabilities other than the standard defenses of over-provisioning of bandwidth and on-premise mitigation devices, which are rendered ineffective the moment a DDoS attack exceeds an organization’s upstream bandwidth, or their Internet service provider’s capacity," Verisign says.
In addition, organizations unfortunate enough to be targeted are suffering an average of three separate attacks per customer, an increase of 60 percent quarter-on-quarter. This may be attributable to easier access to ready-made DDoS botnets and toolkits and the continual evolution and sophistication of cyberattacks -- a trend expected to continue.
The most frequently targeted organizations during the third quarter hailed from the media and entertainment industries, representing more than 50 percent of all mitigation activity, while the largest and most resource-heavy attacks were aimed at e-commerce establishments.

شماره: IRCNE2014112382
تاريخ: 29/08/93

با توجه به گزارش منتشر شده توسط Verisign، حجم حملات انكار سرويس توزيع شده در سه ماهه سوم 2014 افزايش چشمگيري داشته است.
با توجه به اين گزارش، از ماه ژوئيه تا سپتامبر امسال افزايش قابل توجهي در فراكانس حملات انكار سرويس توزيع شده مشاهده شده است و عليرغم افزايش 20 درصدي سازمان ها در استفاده از راهكارهاي كاهش خطرات، حجم اين حملات بالاتر از10 Gbps اعلام شده است.
در ميان اين حملات، بزرگترين حمله مربوط به يك فروشگاه آنلاين مي باشد. هدف اين حمله سايبري اختلال در قابليت تجارت الكترونيك قرباني بوده است.
در گزارش Verisign آمده است كه اين حملات نشان مي دهد كه سازمان ها بايد از قابليت هاي حفاظت DDoS پيشرفته استفاده نمايند. علاوه بر اين سازمان هايي كه در معرض هدف اين حملات قرار داشتند به طور ميانگين سه حمله مجزا را براي هر مشتري تجربه كرده اند و از هر سه ماهه تا سه ماهه ديگر 60 درصد افزايش در حملات مشاهده مي شود. اين امر باعث مي شود تا بات نت هاي DDoS راحت ايجاد شوند و سازمان ها را حملات سايبري پيچيده تري تهديد كند.
در سه ماهه سوم سازمان هايي كه بيشتر هدف اين حملات بوده اند از صنعت رسانه و سرگرمي بوده است در حالي كه بزرگترين حملات مربوط به موسسه هاي تجارت الكترونيك بوده است.

شماره: IRCNE2014112381
تاريخ: 29/08/93

در نسخه هاي جديد كروم چند آسيب پذيري برطرف شده است و هم چنين پروتكل SSL بهبود يافته است.
بسياري از اين مشكلات مربوط به آسيب پذيري POODLE مي باشد كه ماه گذشته كشف شد اما مشكلات ديگري نيز مربوط به استفاده از پروتكل هاي قديمي SSL و TLS در نسخه هاي جديد كروم برطرف شده است.
Adam Langley در پست ماه اكتبر اعلام كرد كه شركت گوگل برنامه فوري براي اصلاح مشكلSSL در نظر دارد. اين شركت به سرعت اصلاحيه اي براي حذف پشتيباني از SSL نسخه 3 كه عامل ايجاد آسيب پذيري POODLEمي باشد منتشر كرد. اين اصلاحيه بر روي نسخه جديد كروم كه روز گذشته از طريق كانال به روز رساني گوگل منتشر شد، اعمال شده است. Langley اعلام كرد كه در نسخه 40 كروم به طور پيش فرض پشتيباني از SSLV3 غيرفعال خواهد بود.
هم چنين در كروم نسخه 39 كد پروتكل هاي SSL و TLS بهبود يافته است كه اين بهبود BoringSSL ناميده شده است. به اشتراك گذاري اطلاعات از طريق OpenSSL و LibreSSL صورت مي گيرد. در نهايت قرار است از BoringSSL در پروژه هاي داخلي و اندرويد نيز استفاده شود.

شماره: IRCNE2014112380
تاريخ: 27/08/93

شركت مايكروسافت به روز رساني MS14-066 را مجددا منتشر كرد تا مشكل آن را برطرف نمايد.
در اصلاحيه جديد علاوه بر اصلاح يك آسيب پذيري بحراني در Schannel چندين رمزنگاري جديد از بسته TLS نيز اضافه شده است. رمزنگاري ها براي برخي از كاربران مشكلاتي را ايجاد كرده بود و شركت مايكروسافت دستوراتي را در خصوص چگونگي حذف اين اصلاحيه منتشر كرده بود.
در حال حاضر به نظر مي رسد كه رمزنگاري ها تنها بر روي سيستم هاي ويندوز 7، ويندوز سرور 2008 R2، ويندوز 8.x و ويندوز سرور 2012 قابل اعمال بوده است. شركت مايكروسافت اعلام كرد كه اين مشكل تنها بر روي ويندوز سرور 2008 R2، ويندوز سرور 2012 و تعداد معدودي از كاربران اين سيستم ها مشاهده شده است.
شركت مايكروسافت يك به روز رساني جديد را براي ويندوز سرور 2008 R2 و ويندوز سرور 2012 اضافه كرده است. اين به روز رساني باعنوان#3018238 از طريق كانال رايج توزيع اصلاحيه ها منتشر شده است و به طور خودكار با اصلاحيه امنيتي MS14-066 نصب مي شود. اگر در حال حاضر اصلاحيه MS14-066 بر روي سيستم كاربران نصب مي باشد، توصيه مي شود تا اطمينان حاصل شود كه به روز رساني جديد رمزنگاري نصب شده است.
اگر كاربران اين اصلاحيه را از Download Center براي ويندوز سرور 2008 R2 يا ويندوز سرور 2012 دانلود كرده اند، شركت مايكروسافت توصيه مي كند كه اين اصلاحيه را از طريق Download Center حذف نماييد. در Download Center بايد به روز رساني هاي 2992611 و 3018238 بررسي شوند. اعمال اصلاحيه هاي جديد نيازمند دوبار بوت شدن مجدد سيستم مي باشد.

شماره: IRCNE2014112379
تاريخ: 27/08/93

شركت مايكروسافت يك اصلاحيه خارج از نوبت را براي برطرف نمودن يك آسيب پذيري بسيار مهم در نسخه هاي سرور ويندوز شامل Server Core منتشر كرد.
اين آسيب پذيري (CVE-2014-6324) درKerberos Key Distribution Center ويندوز وجود دارد كه تيكت هاي نشست و كليدهاي موقت نشست را براي كاربران و رايانه ها در دامنه اكتيو دايركتوري تهيه مي كند. اين آسيب پذيري مي تواند به مهاجم اجازه دهد تا كاربر معمولي را به كاربر ادمين تغيير دهد و سطح دسترسي ها را ارتقاء دهد. اين مساله به مهاجم اجازه مي دهد تا هر رايانه يا كاربري را در دامنه مورد سوء استفاده قرار دهد. براي سوء استفاده از اين آسيب پذيري، مهاجم بايد اعتبارنامه هاي معتبر دامنه را داشته باشد.
هم چنين شركت مايكروسافت اعلام كرد كه از اين آسيب پذيري در حملات محدود و هدفمند سوء استفاده شده است.
تمامي نسخه هاي سرور ويندوز به خصوص ويندوز سرور 2003، ويندوز سرور 2008، ويندوز سرور 2008 R2، ويندوز سرور 2012 و ويندوز سرور 2012 R2 تحت تاثير اين آسيب پذيري قرار دارند. هم چنين Windows Server Technical Preview تحت تاثير اين آسيب پذيري قرار دارد.
اصلاحيه منتشر شده براي نسخه هاي دسكتاپ ويندوز است و شركت مايكروسافت اعلام كرده است كه اين اصلاحيه هيچ آسيب پذيري شناخته شده را اصلاح نمي كند و تنها يك دفاع در عمق اضافه تري را عرضه مي كند. اين اصلاحيه براي ويندوز RT قابل اعمال نيست زيرا اين ويندوز قابليت لاگين دامنه را ندارد.

Number: IRCNE2014112380
Date: 2014/11/18

According to “zdnet”, Microsoft has re-released the MS14-066 update in order to address problems it caused for some users.
In addition to fixing a highly critical vulnerability in Schannel (Microsoft's implementation of SSL/TLS), MS14-066 added several new ciphers to the TLS suite. The ciphers caused severe problems for some users and Microsoft released instructions on how to remove them.
It now appears that the ciphers apply only to Windows 7, Windows Server 2008 R2, Windows 8.x, and Windows Server 2012 systems. Microsoft says that the problems were observed only on Windows Server 2008 R2 and Windows Server 2012, and only by a few users on those.
As detailed in the update KB article, a new secondary update package has been added for Windows Server 2008 R2 and Windows Server 2012. This update will appear as #3018238 in the usual distribution channels and install automatically with the security update for MS14-066. If you already have the MS14-066 update installed, it will be reoffered to make sure that the new cipher update is installed.
If you downloaded this update from the Download Center for either Windows Server 2008 R2 or Windows Server 2012 and then applied it, Microsoft recommends that you also reinstall it from the Download Center. In the Download Center you will need to check boxes for updates 2992611 and 3018238. Applying these new updates will require two reboots.