ID: IRCNE2014102347
Date: 2014-10-20

According to “ESecurityPlanet”, Unidentified hackers recently posted several hundred email address and password combinations for Dropbox accounts on Pastebin, claiming that a total of 6,931,081 accounts had been hacked and asking for Bitcoin donations.
"As more BTC is donated, more Pastebin pastes will appear," the hackers wrote.
In response, Dropbox security engineer Anton Mityagin stated in a blog post that Dropbox had not been hacked, and that any matching credentials were the result of password reuse, not a breach.
"Your stuff is safe," Mityagin wrote. "The usernames and passwords ... were stolen from unrelated services, not Dropbox. Attackers then used these stolen credentials to try to log in to sites across the Internet, including Dropbox. We have measures in place to detect suspicious login activity and we automatically reset passwords when it happens."
In a statement provided to The Next Web, the company added, "We'd previously detected these attacks and the vast majority of passwords posted have been expired for some time now."
"Attacks like these are one of the reasons why we strongly encourage users not to reuse passwords across services," Mityagin explained. "For an added layer of security, we always recommend enabling two step verification on your account."
Still, it may be difficult to do so in the short term -- several people posted comments on the Dropbox blog complaining that the two-step verification process wasn't working. "Dropbox says to enable 2-step auth... and it doesn't work," Josh S wrote. "Been trying it for 3 hours now. Never get the code."
In a similar breach last month, a hacker published login credentials for 4,929,090 Gmail accounts. In response, Google claimed that the leak was not the result of a Gmail breach.
"Often, these credentials are obtained through a combination of other sources," Google explained at the time. "For instance, if you reuse the same username and password across websites, and one of those websites gets hacked, your credentials could be used to log into the others."

شماره: IRCNE2014102346
تاريخ: 27/7/93

يك تكنولوژي جديد از اينتل، داده‌هاي در حال انتقال در دستگاه‌هاي كارت خوان را در برابر نرم‌افزارهاي خرابكاري كه بر روي اين دستگاه‌ها اجرا مي‌شوند محافظت مي‌كند.
فروشگاه‌هايي كه از ترمينال‌هاي كارت خوان استفاده مي‌كنند، از طريق بدافزارهايي كه بر روي اين دستگاه‌ها اجرا مي‌شوند در معرض خطر نشت داده‌ها قرار دارند. چنين ترمينال‌هايي معمولاً سيستم‌هاي ويندوز با سخت افزار خاصي هستند كه نرم‌افزار كارت خوان بر روي آن اجرا مي‌شود.
Data Protection Technology for Transactions اينتل، از تكنولوژي بارگذاري پوياي برنامه (DAL) كه در هسته نسل دو و سه و برخي پردازشگرهاي Atom وجود دارد استفاده مي‌كند. DAL به يك محدوده اجرايي محافظت شده CPU دسترسي پيدا مي‌كند كه تمامي ارتباطات از و به اين محدوده، از طريق رمزنگاري محافظت مي‌شود.
اين تكنولوژي جديد حتي از ارتباطات هر دستگاه پرداخت ديگري كه به كارت خوان متصل شده باشد محافظت مي‌كند. در نتيجه، نرم افزار كارت خوان كه در محيطهاي معمول ويندوز اجرا مي‌شود و همچنين بدافزاري كه بر روي كارت خوان مستقر است، هرگز داده‌هاي حساس را مشاهده نمي‌كنند. اينتل در توسعه Data Protection Technology for Transactions با NCR مشاركت داشته است كه در سال 2015 در اختيار فروشگاه‌ها قرار خواهد گرفت.
به طور خاص هنگامي كه اين روش جديد با ساير تكنولوژي‌هاي دفاعي مانند ليست سفيد نرم افزاري تركيب مي‌گردد، بسياري از تكنيك‌هاي حملات كه اخيراً مورد استفاده قرار گرفته‌اند را مسدود مي‌سازد.
اينتل در مورد اين تكنولوژي مي‌گويد كه تمامي اشكال جديد پرداخت شامل كارت خوان‌هاي EMV، نوارمغناطيسي و NFC را پشتيباني مي‌كند.

شماره: IRCNE2014102345
تاريخ: 27/7/93

گروه امنيتي Drupal گزارش داده است كه نسخه‌هايي از Drupal 7 تا پيش از 7.32 در برابر يك نقص امنيتي تزريق SQL بسيار حياتي آسيب‌پذير هستند. نسخه 7.32 اكنون براي پوشش دادن اين نقص امنيتي در دسترس قرار گرفته است و گروه Drupal به شكل جدي توصيه كرده است كه مديران Drupal 7 سايت‌هاي خود را فوراً به‌روز رساني نمايند. Drupal يك سيستم مديريت محتواي مشهور است كه رايگان و متن باز است.
يك فرد مهاجم مي‌تواند از اين آسيب‌پذيري براي دستيابي به حق دسترسي بالاتر يا اجراي كد PHP دلخواه سوء استفاده كند. همچنين گفته مي‌شود كه حملات نامشخص ديگري نيز با استفاده از اين آسيب‌پذيري ممكن مي‌شوند. در هنگام افشاي اين آسيب‌پذيري هيچ سوء استفاده‌اي از آن شناسايي نشده است. چنين حمله‌اي مي‌تواند توسط يك كاربر ناشناس صورت پذيرد كه اين بدان معني است كه هيچ مهندسي اجتماعي يا كار ديگري براي آن مورد نياز نيست.
گروه Drupal توصيه كرده است كه سايت‌ها آخرين نسخه اين سيستم را نصب نمايند، ولي يك اصلاحيه نيز براي كساني كه ترجيح مي‌دهند همچنان از نسخه فعلي خود استفاده كنند عرضه كرده است.
اين آسيب‌پذيري در API انتزاعي پايگاه داده وجود دارد، كه يكي از اهداف آن امن سازي درخواست‌هاي پايگاه داده عليه چنين حملاتي است.
آسيب‌پذيري مذكور توسط يك شركت آلماني امنيت PHP به نام سكشن انيس كشف شده است كه توسط يك مشتري ناشناس براي بررسي و مميزي Drupal به كار گرفته شده بود.
اين نقص امنيتي با شناسه CVE-2014-3704 شناخته مي‌شود.

شماره: IRCNE2014102344
تاريخ: 26/07/93

يك آسيب پذيري در استاندارد رمزگذاري وب SSL نسخه 3.0 توسط محققان امنيتي شركت گوگل كشف شده است كه اين پروتكل براي استفاده به صورت ناامني ارائه مي شود.
اين نقص Poodle نامگذاري شده است و مي تواند براي اجراي حملات MitM آنلاين مورد سوء استفاده قرار بگيرد.
شركت گوگل در پستي توضيح داد كه SSL نسخه 3.0 يك پروتكل 15 ساله است اما بسياري از برنامه ها از اين استاندارد استفاده مي كنند. تقريبا تمامي مرورگرها از اين پروتكل استفاده مي كنند.
در راهنمايي امنيتي آمده است كه عليرغم وجود پروتكل هاي جديدتر مانند TLS 1.0، TLS 1.1و TLS 1.2 اما پروتكل SSL 3.0 به طور گسترده استفاده مي شود.
اگر پروتكل SSL 3.0 بر روي وب سايت ها و در مرورگرهاي وب استفاده مي شود، اين مساله ميي تواند به طور بالقوه براي بسياري از كاربران ايجاد مشكل كند و هكرها راحت تر مي توانند اطلاعات حساس را به دست آورند.
در تنظيمات وب، اين ضعف SSL 3.0 مي تواند توسط يك هكر MitM براي رمزگشايي كوكي هاي امن HTTP مورد سوء استفاده قرار بگيرد.
براي اجتناب از اينگونه حملات، شركت گوگل توصيه مي كند كه كاربران استفاده از پروتكل SSL 3.0 را متوقف نمايند اگرچه گوگل پذيرفته است كه اين راه حل براي عملياتي كه نياز به اجراي سيستم هاي وراثتي دارد مناسب نيست.

ID: IRCNE2014102346
Date: 2014-10-19

According to “ZDNet”, a new technology from Intel will secure transaction data in point of sale endpoint devices from malicious software running on the device itself.
The retail industry has been hit by a plague of retail point of sale breaches involving malware running on the POS terminals themselves. Such terminals are generally Windows PCs with specialized hardware running point of sale software.
Intel's Data Protection Technology for Transactions utilizes the Dynamic Application Loader (DAL) technology available on second and third generation Core and some Atom processors. DAL accesses a protected execution area of the CPU, with all communications to and from it cryptographically protected.
The new technology protects even the communications from the point of card swipe or other payment device attached to the POS. As a result, the conventional POS software running in the conventional Windows environment never sees sensitive transaction data, and neither can malware on the terminal. Intel partnered with NCR in the development of the Data Protection Technology for Transactions, which will be available to retailers in 2015.
Especially when combined with other defensive technologies, such as software whitelisting, the new approach should block many of the attack techniques that have hit Target, Home Depot, KMart and others recently.
Intel states that the technology "...supports all modern forms of credit/debit payment including EMV, Magnetic Stripe and Near Field Communication (NFC) readers, including Apple Pay." It also supports all POS form factors, including tables, as long as they have a CPU that supports it.

ID: IRCNE2014102345
Date: 2014-10-19

According to “ZDNet”, the Drupal security team is reporting that versions of Drupal 7 prior to 7.32 are vulnerable to a "Highly Critical" SQL injection bug. Version 7.32 is now available to address the bug and the Drupal team strongly recommends that Drupal 7 admins update their sites immediately. Drupal is a popular content management system that is free and open source.
An attacker could exploit this vulnerability to achieve privilege escalation or execute arbitrary PHP code. Other unspecified attacks are said to be possible. At the time the vulnerability was disclosed no know exploits were being used. The attack can be launched by an anonymous user, meaning that no social engineering or other work is necessary to allow for it.
The Drupal team recommends that sites install the latest release, but a patch is also available for those who prefer it.
The vulnerability exists in the database abstraction API, one purpose of which is to sanitize database requests against just this sort of attack.
The vulnerability was found by Sektion Eins, a German PHP security firm that was hired to audit Drupal by an unnamed client.
The bug is also designated CVE-2014-3704.

Number: IRCNE2014102344
Date: 2014/10/19

According to “itpro”, a vulnerability in the SSL 3.0 web encryption standard has been uncovered by Google security researchers that renders the widely-used protocol unsafe to use.
The flaw has been dubbed Poodle by the Google research team,who have published details of how it could be exploited to carry out man-in-the-middle-type attacks online in a security advisory.
“SSL 3.0 is nearly 15 years old, but support for it remains widespread. Most importantly, nearly all browsers support it,” Google explained in a supporting blog post.
The advisory document states that, despite being made obsolete by newer protocols - such as TLS 1.0, TLS 1.1 and TLS 1.2 - SSL 3.0 is still widely used and many of these standards are backwards-compatible with it.
As SSL 3.0 is used on websites and within web browsers, the issue has the potential to cause problems for a number of users, and make it easier for hackers to acquire sensitive information.
“In the web setting, this SSL 3.0 weakness can be exploited by a man-in-the-middle attacker to decrypt ‘secure’ HTTP cookies,” the advisory adds.
To avoid this, Google’s researchers recommend that people stop using the SSL 3.0 protocol, although it admits this may not be an appropriate course of action for those that need to run legacy systems.

شماره: IRCNE2014102342
تاريخ: 26/07/93

شركت مايكروسافت يكي از به روز رساني هاي امنيتي خود را كه روز سه شنبه منتشر كرده بود حذف كرد زيرا بنا به گزارش كاربران نصب اين اصلاحيه باعث راه اندازي مجدد سيستم مي شود.
اصلاحيه منتشر شده در راهنمايي امنيتي مايكروسافت با شماره 2949927 توصيف شده است و يك الگوريتم درهم سازي SHA-2 را به ويندوز 7 و ويندوز سرور 2008 R2 اضافه مي كند. اين اصلاحيه يكي از سه ويژگي امنيتي پيشگيرانه بوده كه در روز سه شنبه منتشر شده است.
روز جمعه شركت مايكروسافت راهنمايي امنيتي 2949927 را بازبيني كرده است. در اين راهنمايي امنيتي آمده است كه شركت مايكروسافت توصيه مي كند تا كاربراني كه با اين مشكل مواجه شده اند اين به روز رساني را حذف نمايند. مايكروسافت در حال بررسي اين مشكل است و هنگامي كه اطلاعات كامل تري در اين خصوص بدست آورد، اين به روز رساني را اصلاحج و مجددا منتشر خواهد كرد.

شماره: IRCNE2014102342
تاريخ: 26/07/93

شركت اپل علاوه بر انتشار اصلاحيه هاي OS X 10.10 Yosemite، تعدادي از نرم افزارهاي ديگر خود را به روز رساني كرد. اين برطرف كننده هاي امنيتي عبارتند از: به روز رساني امنيتي 2014-005 براي OS X Mountain Lion نسخه 10.8.5 و OS X Mavericks نسخه 10.9.5، OS X Server نسخه 2.2.5، 3.3.2 و 4.0، و iTunes نسخه 12.0.1. در مجموع 144 آسيب پذيري در اين محصولات اصلاح شده است.
بسياري از اين به روز رساني هاي امنيتي ممكن است روز دوشنبه 20 اكتبر همزمان با انتشار iOS نسخه 8.1 منتشر شوند.
در سيستم عامل Yosemite، حدود 45 آسيب پذيري اصلاح شده است. اين به روز رساني ها شامل اصلاحيه اي براي مشكل Shellshock در Bash shell مي باشد. هم چنين يك اصلاحيه براي نقص POODLE در طراحي SSL نسخه 3 پروتكل منتشر شده است. شركت اپل اين مشكل را با غيرفعال كردن رمزگذاري CBC هنگامي كه برقراري ارتباط با TLS با مشكل مواجه مي شود، برطرف كرده است.
بسياري از آسيب پذيري هاي ديگر جدي مي باشند و مي توانند منجر به اجراي كد دلخواه با حق دسترسي بالا شوند و هم چنين به كاربري اجازه دهند تا به تيكت هاي Kerberos ديگران دسترسي يابد يا به يك دستگاه بلوتوث خرابكار اجازه دهند تا ارتباطي بدون زوج كليدها برقرار كند.
در همين زمان شركت اپل به روز رساني امنيتي 2014-005 را براي OS X Mountain Lion نسخه 10.8.5 و OS X Mavericks نسخه 10.9.5 منتشر كرده است. اين به روز رساني ها شامل تنها دو اصلاحيه براي POODLE و Shellshock مي باشند.
نرم افزار iTunes نسخه 12.0.1 بزرگترين منتشر كننده اصلاحيه مي باشد و در مجموع 83 آسيب پذيري در اين نرم افزار اصلاح شده است. تمامي اين مشكلات مربوط به مسائل تخريب حافظه در موتور WebKit مرورگر مي باشند.
شركت اپل 18 آسيب پذيري را در OS X Server نسخه 4.0 برطرف كرده است. اكثر اين مشكلات مربوط به مولفه هاي شركت هاي ثالث مانند PostgreSQL و Bind مي باشند.
هم چنين نسخه هاي 3.3.2 و 2.2.5 سيستم عامل OS X Server منتشر شده است كه در آن ها تنها مشكل POODLE برطرف شده است و مشكلات ديگر اين سيستم عامل هم چنان اصلاح نشده است.

شماره: IRCNE2014102341
تاريخ: 26/07/93
شركت ادوب اصلاحيه هايي را براي فلش پلير و ColdFusion منتشر كرده است. اين به روز رساني ها سه آسيب پذيري بحراني را در فلش پلير بر روي تمامي پلت فرم ها برطرف كرده است. در نسخه هاي جديد ColdFusion نيز سه آسيب پذيري با اولويت پايين اصلاح شده است.
در جدول زير فهرست محصولات آسيب پذير و نسخه هاي اصلاح شده آن نشان داده شده است:
 

براي آگاهي از نسخه فلش پليري كه بر روي سيستم شما در حال اجراست، بر روي محتوي اجرا شده با فلش پلير كليك راست نماييد و از منو گزينه "About Adobe (or Macromedia) Flash Player" را انتخاب كنيد.
شركت مايكروسافت در نسخه جديد IE آسيب پذيري فلش پلير را اصلاح نموده است. هم چنين شركت گوگل در نسخه جديد كروم مشكلات فلش پلير را برطرف كرده است.
در اصلاحيه جديد ColdFusion يك مسئله امنيتي مجوزها برطرف شده است كه مي تواند توسط يك كاربر تاييد هويت نشده براي دور زدن آدرس IP و دسترسي به ColdFusion Administrator مورد سوء استفاده قرار بگيرد. هم چنين اين اصلاحيه آسيب پذيري هاي اسكريپت بين سايتي و درخواست بين سايتي را برطرف كرده است.