Number: IRCNE2014112366
Date: 2014/11/05

According to “zdnet”, the newest version of the OpenBSD operating system, version 5.6, replaces the ubiquitous OpenSSL library with LibreSSL, a fork of OpenSSL created by the OpenBSD team.
OpenSSL remains the dominant code base for SSL/TLS secure communications, rivaled only by Microsoft's CryptoAPI for Windows. But OpenSSL took a big credibility hit early this year with the revelation of the Heartbleed bug, a severe bug which exposed lax development and testing procedures in the OpenSSL project.
In fact, OpenSSL did not have a good reputation for code quality and usability by developers, but the issue gained no urgency until Heartbleed made it well-known.
To address these problems the OpenBSD project, most famous for the OpenBSD operating system and OpenSSH secure shell, create a fork of the OpenSSL code and called the project LibreSSL. LibreSSL has several goals, including API compatibility with OpenSSL and simplification through the removal of features considered off-mission.
OpenBSD use is well-behind that of Linux and commercial UNIX implementations, but the LibreSSL project can live on its own in Linux systems and may become popular if it can be demonstrated that it is compatible and works well.

شماره: IRCNE2014112364
تاريخ: 14/08/93

فناوري هاي امنيتي اپل براي Mac OS X هم چنان كرم iWorm را تشخيص نمي دهند. اين كرم، بدافزاري است كه اواخر ماه سپتامبر كشف شده است و هزاران كاربر مكينتاش را آلوده كرده است.
شركت اپل يك به روز رساني براي موتور آنتي ويروس XProtect خود منتشر كرد تا كرم iWorm را تشخيص دهد اما با اين به روز رساني آنتي ويروس XProtect تنها مي تواند زمانيكه نصب كننده كرم iWorm راه اندازي مي شود را تشخيص دهد.
Wardle، مدير تحقيقات Synack اظهار داشت كه شركت اپل تنها يك امضاء را منتشر كرده است و مشكل را برطرف نكرده است. در صورتي كه كاربران از آنتي ويروس هاي ديگر كه امضاي درست را دارند استفاده كنند به اين كرم آلوده نخواهند شد.
كرم iWorm يك راه نفوذ مخفي است كه مي تواند اطلاعات رايانه ها را به سرقت ببرد و بنا به گزارشات شركت امنيتي Dr. Web تاكنون بيش از 18000 رايانه را آلوده كرده است. اين كرم از هيچ آسيب پذيري بر روي Mac OS X سوء استفاده نمي كند بلكه تنها كاربران را به گونه اي فريب مي دهد تا آن ار بر روي رايانه خود نصب كنند.
Wardle گفت: متاسفانه اين كرم قادر است تا راهكارهاي تشخيص بدافزار اپل را به راحتي دور بزند. اين كرم نشان مي دهد كه بدافزارها براي سيستم هاي OS X يك مشكل محسوب مي شوند و اينگونه نيست كه رايانه هاي ميكنتاش از گزند آن ها در امان باشند.

شماره: IRCNE2014112363
تاريخ: 14/08/93

بنا به گزارشات يك آسيب پذيري جدي در OS X Yosemite كشف شده است كه "Rootpipe" خوانده مي شود و به مهاجمان اجازه مي دهد تا دسترسي root داشته باشند.
اين آسيب پذيري افزايش حق دسترسي توسط يك هكر سوئدي به نام Emil Kvarnhammar كشف شده است و شركت اپل از او خواسته بود كه تا ژانويه 2015 جزئيات آن را منتشر نكند.
Kvarnhammar گفت: Rootpipe يك آسيب پذيري افزايش حق دسترسي از ادمين به root است.
او ادامه داد: با شركت اپل توافق شده است كه تا اواسط ژانويه سال 2015 جزئيات اين آسيب پذيري منتشر نشود. اين امكان براي شركت اپل وجود دارد كه تا آن زمان اصلاحيه مورد نظر را منتشر نمايد و كاربران فرصت كافي براي اعمال به روز رساني را خواهند داشت.
اين هكر سوئدي اواسط اكتبر اين آسيب پذيري را در نسخه هاي پيشين سيستم عامل اپل كشف كرده است. در همان روز هشدارهايي را براي شركت اپل ارسال كرده است تا اين مشكل را برطرف نمايند. شركت اپل به روز رساني هايي را براي Mountain Lion، Mavericks، OS X Server نسخه هاي 2، 3 و 4 و iTunes منتشر كرد و 144 آسيب پذيري مجزا را در آن ها برطرف كرد اما هم چنان اين آسيب پذيري بدون اصلاحيه باقي ماند. برخي از اين اصلاحيه ها مربوط به آسيب پذيري هايي بوده است كه يك سال قبل گزارش شده است.
توصيه مي شود تا از حساب كاربري ادمين استفاده نشود. هم چنين بايد از FileVault استفاده نماييد. هم چنين سعي شود تا مجوزهاي ادمين را از حساب كاربري كه به طور روزانه از آن استفاده مي كنيد حذف نماييد.

شماره: IRCNE2014112361
تاريخ: 11/08/93

آسيب پذيري هاي بحراني Shellshock كه ماه گذشته در پوسته Bash Unix كشف شد، باعث شد تا محققان بررسي هاي خود را براي يافتن آسيب پذيري هاي قديمي مشابه آغاز نمايند.
اين هفته دو آسيب پذيري اجراي دستور از راه دور در عامل دانلود wget و كلاينت tnftp براي سيستم هاي مانند يونيكس اصلاح شد. اين اصلاحيه ها پيرو كشف آسيب پذيري هاي اجراي كد از راه دور در كتابخانه اي كه توسط strings، objdump، readelf و ساير ابزارهاي خط فرمان مورد استفاده قرار مي گيرد انجام شد.
GNU Wget يك ابزار براي دانلود فايل ها و منابع مبتني بر وب بر روي سيستم لينوكسي كه از واسط خط فرمان استفاده مي كند است. علاوه بر اين wget به صورت دستي توسط اسكريپت هاي مشتريان و وظائف زمانبندي شده فراخواني مي شود.
HD Moore، سرپرست تحقيقات در Rapid7 كه اين آسيب پذيري را كشف كرده است گفت: نسخه هاي پيش از 1.16 ابزار Wget هنگام اجرا در حالت هاي بازگشتي با يك FTP، نسبت به يك حمله symlink آسيب پذير است.
Moore توضيح داد: اين آسيب پذيري به مهاجم اجازه مي دهد تا از يك سرور FTP مخرب براي ايجاد فايل ها، دايركتوري ها و symlinkهاي دلخواه بر روي فايل سيستم هاي كاربر سوء استفاده نمايد. حمله symlink باعث مي شود تا محتوي فايل از جمله فايل هاي باينري بازنويسي شود و بتوان با مجوزهايي برابر با كاربري كه در حال اجراي wget است به كل فايل سيستم دسترسي يافت. در نهايت، سوء استفاده از اين آسيب پذيري منجر به اجراي كد از راه دور مي شود.
كاربران بايد از wget نسخه هاي پس از 1.16 استفاه نمايند. هم چنين مي توان به صورت دستي و با افزودن خط "retr-symlinks=on" به تنظيمات فايل /etc/wgetrc or ~/.wgetrc تاثيرات اين آسيب پذيري را كاهش داد.
هم چنين اين هفته آسيب پذيري در Tnftp برطرف شد كه به يك سرور مخرب اجازه مي دهد تا دستورات دلخواه را بر روي سيستم كاربر اجرا نمايد. اين آسيب پذيري با عنوان CVE-2014-8517 شناسايي شده است.
Tnftp يك پورت بين پلت فرمي از كلاينت اصلي BSD FTP است. Tnftp يك كلاينت FTP پيش فرض در NetBSD، FreeBSD، DragonFly BSD و Mac OS X مي باشد.

شماره: IRCNE2014112362
تاريخ: 14/8/93

از اين پس فيس‌بوك سعي نخواهد كرد كه جلوي كاربران Tor را كه مي‌خواهند به اين شبكه اجتماعي دسترسي پيدا كنند بگيرد.
تا كنون سياست‌هاي امنيتي فيس‌بوك از دسترسي افراد به اين سايت از طريق چيزي كه به آن «وب تاريك» مي‌گويند جلوگيري مي‌كرد.
كاربران قادر خواهند بود اين سايت را از طريق يك مرورگر امن و با استفاده از شبكه Tor مشاهده كنند تا محل كاربر نامشخص باقي بماند. Tor با اضافه كردن چندين لايه رمزنگاري داده و بازپخش اين اطلاعات از طريق كامپيوترهاي تصادفي در سراسر جهان كار مي‌كند.
به گفته فيس‌بوك، اين تغيير در سياست به اين معناست كه كاربران مي‌توانند بدون از دست دادن محافظت‌هاي رمزنگاري، به اين سايت دسترسي پيدا كنند.
كاربران مي‌توانند از طريق https://facebookcorewwwi.onion/ به‌صورت ناشناس به فيس‌بوك دسترسي پيدا كنند و از اين آدرس براي جلوگيري از افشاي اطلاعات مكان يا ساير اطلاعات خود استفاده كنند.
پيش از اين فيس‌بوك اين نوع ترافيك را به علت ترس از حمله از طريق يك بات‌نت مسدود كرده بود.
يك مهندس نرم‌افزار ساختار امنيتي فيس‌بوك به نام «الك موفت» در وبلاگ خود نوشت كه Tor برخي فرضيات مكانيزم‌هاي امنيتي فيس‌بوك را به چالش مي‌كشد.
براي مثال از منظر سيستم ما در صورتي‌كه فردي در يك لحظه از استراليا متصل شود و چند لحظه بعد در سوئد يا كانادا مشاهده شود، بدين معناست كه يك حساب هك شده از طريق يك بات‌نت در حال استفاده است. در حاليكه براي Tor اين يك مسأله كاملاً عادي است.
اين دسترسي همچنين از امنيت SSL در لايه بالايي Tor استفاده مي‌كند، چرا كه صرفنظر از هر نگراني امنيتي، معماري فيس‌بوك براي قبول اين ارتباط به اين مسأله نياز دارد.

شماره: IRCNE2014112360
تاريخ: 11/8/93

گوگل قصد دارد پشتيباني از پروتكل قديمي SSL 3.0 را در مرورگر كروم حذف نمايد.
اين تصميم به دنبال كشف يك نقص امنيتي خطرناك طراحي توسط محققان امنيتي گوگل در SSL 3.0 رخ داد. اين آسيب‌پذيري كه POODLE نام گرفته است، به مهاجم MitM اجازه مي‌دهد كه اطلاعات متني حساس مانند كوكي‌هاي احراز هويت را از يك ارتباط HTTPS رمز شده توسط SSLv3 بازيابي نمايد.
اگرچه POODLE بزرگترين مسآله امنيتي است كه تا كنون در SSL 3.0 كشف شده است، اما تنها ضعف اين پروتكل نيست. SSL 3.0 در اواسط دهه 1990 طراحي شد و رمزنگاري خارج از رده‌اي را پشتيباني مي‌كند كه اكنون از ديدگاه رمزنگاري امن نيست.
امروزه ارتباطات HTTPS نوعاً از TLS نسخه‌هاي 1.0، 1.1 يا 1.2 استفاده مي‌كنند. البته بسياري از مرورگرها و سرورها، پشتيباني از SSL 3.0 را در طول سال‌ها حفظ كرده‌اند.
اين موقعيت، همان چيزي است كه مدت‌هاست متخصصان امنيت انتظار ديدن آن را داشته‌اند و اكنون به لطف POODLE اين اتفاق مي‌افتد. تأثير اين نقص امنيتي با اين واقعيت چندين برابر مي‌شود كه مهاجماني كه مي‌توانند به ارتباطات HTTPS نفوذ كنند، مي‌توانند آن را از TLS به SSL 3.0 تنزل دهند.
بر اساس مطالعه منتشر شده در ماه اكتبر در پروژه SSL Pulse، 98 درصد از مشهورترين سايت‌هاي HTTPS علاوه بر يكي از نسخه‌هاي TLS، از SSL 3.0 هم پشتيباني مي‌كنند. به همين دليل براي مرورگرها ساده‌تر است كه پشتيباني SSL 3.0 را حذف كنند تا اينكه براي پيكربندي مجدد منتظر صدها هزار سرور بمانند.
به گزارش يك مهندس امنيتي گوگل، كروم 39 كه اكنون نسخه بتاي آن عرضه شده و در چند هفته آينده ارائه خواهد شد، ديگر از بازگشت به SSL 3.0 پشتيباني نخواهد كرد تا مهاجمان اجازه تنزل از TLS به SSL 3.0 را نداشته باشند.
همچنين برنامه‌ريزي شده است كه در كروم 40 نيز SSL 3.0 به طور كلي غيرفعال گردد.

شماره: IRCNE2014112359
تاريخ: 10/08/93

گزارش ها نشان مي دهد كه مهاجمان با سوء استفاده از مشكل Shellshock حملاتي را عليه سرورهاي SMTP راه اندازي كرده اند.اين كمپين به دنبال ايجاد يك بات نت IRC براي حملات انكار سرويس توزيع شده و ساير اهداف مي باشد.
آسيب پذيري Shellshock حدود يك ماه پيش كشف شد و فورا به عنوان يك مشكل جدي معرفي شد. اين مشكل به مدت 20 سال در پوسته Bashقرار داشته است و به طور گسترده در پيكربندي ها مورد استفاده قرار گرفته است.
CSO اعلام كرد سروري از سرورهاي IRC را پيدا كرده اند كه به عنوان ميزبان بات ها مورد استفاده قرار مي گيرد. در 24 اكتبر حدود 160 سرور به اين سرور آسيب پذير متصل شده است.

Number: IRCNE2014112364
Date: 2014/11/05

According to “techworld”, Apple's security technologies for Mac OS X may still miss iWorm, a piece of malware discovered in late September that infected thousands of computers.
Apple released an update for its XProtect antivirus engine to detect iWorm, but the update only detects when iWorm's installer is launched, which is a one-time operation, said Patrick Wardle, director of research with Synack, a computer security company based in Redwood City, California. He wrote a paper describing his findings.
Apple "released a signature, but it doesn't address the problem," Wardle said in a phone interview Tuesday. "Unless the user has another antivirus product installed that has a correct signature, those infections aren't going to go away."
iWorm, which is a backdoor that can steal data from a computer, infected more than 18,000 machines, according to security company Dr. Web. It does not exploit any vulnerabilities on Mac OS X but instead relies on tricking people to install it.
"Unfortunately, it [iWorm] is able to bypass Apple's malware mitigations really easily," Wardle said. "It illustrates that malware on OS X is a problem. It's not that Macs are immune to malware."

Number: IRCNE2014112363
Date: 2014/11/05

According to “zdnet”, details are finally emerging about a serious vulnerability in Apple's OS X Yosemite, called "Rootpipe" which allows root access by attackers.
The privilege escalation vulnerability was discovered by Swedish hacker Emil Kvarnhammar, who has been asked by Apple to withhold details until January 2015 -- since Apple likely wouldn't allow details until they have a fix, this is probably when users can expect a patch.
"Rootpipe is a privilege escalation from admin to root so switching to a non-admin account would clearly be a good thing," Kvarnhammar said.
Kvarnhammar said, "The current agreement with Apple is to disclose all details in mid-January 2015. This might sound like a long wait, but hey, time flies. It's important that they have time to patch, and that the patch is available for some time."
Kvarnhammar first found the exploit in previous versions of Apple's OS around mid-October.
The same day Kvarnhammar tweeted caution to give Apple time in pushing out a fix, somewhat coincidentally, Apple rolled out security updates for Mountain Lion, Mavericks, OS X Server versions 2, 3 and 4 (new version) and iTunes -- which added up to address a whopping 144 separate vulnerabilities. Some of the fixes were for vulnerabilities reported over a year ago.
Don't use an admin account daily.Needless to say, you should be using FileVault regardless.
Rootpipe's access is through an admin account, which is of course what everyone has to have on a Mac -- and it's what most people use for daily computer use. To clog Rootpipe, create a secondary admin account, one that you won't use every day. Then, through the admin account, you'll want to remove admin permissions from the account you’ll be using daily.

Number: IRCNE2014112361
Date: 2014/11/02

According to “techworld”,the critical Shellshock vulnerabilities found last month in the Bash Unix shell have motivated security researchers to search for similar flaws in old, but widely used, command-line utilities.
Two remote command execution vulnerabilities were patched this week in the popular wget download agent and tnftp client for Unix-like systems. This comes after a remote code execution vulnerability was found last week in a library used by strings, objdump, readelf and other command-line tools.
GNU Wget is the go-to utility for downloading Web-based files and resources on a Linux system using the command-line interface. In addition to being used manually, wget is commonly called by custom scripts and scheduled tasks -- cron jobs on Linux.
"Wget versions prior to 1.16 are vulnerable to a symlink attack (CVE-2014-4877) when running in recursive mode with a FTP target," said HD Moore, the chief research officer at Rapid7 who found the vulnerability, in a blog post Tuesday.
"This vulnerability allows an attacker operating a malicious FTP server to create arbitrary files, directories, and symlinks on the user's filesystem," Moore explained. "The symlink attack allows file contents to be overwritten, including binary files, and access to the entire filesystem with the permissions of the user running wget."
Ultimately, the vulnerability can lead to remote code execution.
Users should either upgrade to wget 1.16 or make sure their Linux distribution ships a wget package that has the CVE-2014-4877 patch applied. The flaw can also be mitigated by manually adding the line "retr-symlinks=on" in the /etc/wgetrc or ~/.wgetrc settings files, Moore said.
Tnftp is a cross-platform port of the original BSD FTP client. It is the default FTP client in NetBSD, FreeBSD, DragonFly BSD and Mac OS X.
A vulnerability patched this week in tnftp allows a malicious server to execute arbitrary commands on the user's system. The issue is being tracked as CVE-2014-8517.