Number: IRCNE2014102343
Date: 2014/10/18

According to “zdnet”, microsoft has withdrawn an update released this past Tuesday due to user reports of system reboots after installation.
The update released as described in Microsoft Security Advisory 2949927 added SHA-2 hash algorithm signing and verification for Windows 7 and Windows Server 2008 R2. It was one of three proactive security feature updates released on Tuesday in addition to the eight patches of Windows and Office.
On Friday, October 17 Microsoft revised the 2949927 advisory with the following statement:
Removed Download Center links for Microsoft security update 2949927. Microsoft recommends that customers experiencing issues uninstall this update. Microsoft is investigating behavior associated with this update, and will update the advisory when more information becomes available.

Number: IRCNE2014102342
Date: 2014/10/18

According to “techworld”, in addition to OS X 10.10 Yosemite, Apple released a number of other software updates on Thursday, largely for security fixes: Security Update 2014-005 for OS X Mountain Lion v10.8.5 and OS X Mavericks v10.9.5; OS X Server versions 2.2.5, 3.3.2 and 4.0; and iTunes 12.0.1. In total, 144 separate vulnerabilities are addressed in these updates.
More security updates may be coming on Monday, October 20 when Apple releases iOS 8.1. Expect many of the bugs fixed in Yosemite also to be fixed in iOS.
Yosemite fixes 45 vulnerabilities across many parts of the operating system. Included is the fix for the Shellshock bug in the Bash shell, patched separately at the end of September. There is also a fix for the POODLE flaw in the design of the SSL version 3 protocol; Apple addressed it by disabling CBC cipher suites when TLS connection attempts fail.
Many of the other vulnerabilities are severe, allowing arbitrary code execution with high privileges, giving one user access to another's Kerberos tickets or letting a malicious Bluetooth device establish a connection without pairing.
At the same time, Apple released Security Update 2014-005 for OS X Mountain Lion v10.8.5 and OS X Mavericks v10.9.5. This update contains only two fixes, those for Shellshock and for POODLE.
iTunes 12.0.1 is the busiest update released today with 83 vulnerabilities fixed, all of them memory corruption issues in the WebKit browser engine.
Apple released OS X Server 4.0 Thursday as well, fixing 18 vulnerabilities. Many are in third-party components such as PostgreSQL and Bind.
OS X Server versions 3.3.2 and 2.2.5 were also released, but these only include the TLS change to block the POODLE attack, not any of the other bugs in OS X Server.

Number: IRCNE2014102341
Date: 2014/10/18

According to “techworld”, Adobe has released updates for Flash Player and the ColdFusion web platform. The update fix three critical vulnerabilities in Flash Player on all platforms, as well as the AIR Runtime and SDK. The new versions of ColdFusion fix three lower-priority vulnerabilities.
The table below lists the affected and fixed versions of Flash Player and AIR:
 

To check the version of Flash Player you are running, access the About Flash Player page, or right-click on content running in Flash Player and select "About Adobe (or Macromedia) Flash Player" from the menu.
Microsoft will release a new version of Internet Explorer, which has Flash Player integrated since version 10, fixing this and other vulnerabilities later today. Google has already begun to release new versions of Chrome with the fixed Flash Player.
New hotfixes for ColdFusion address a security permissions issue that could be exploited by an unauthenticated local user to bypass IP address access control restrictions applied to the ColdFusion Administrator. The hotfix also fixes cross-site scripting and cross-site request forgery vulnerabilities.

ID: IRCNE2014102340
Date: 2014-10-15

According to “ZDNet”, Microsoft has released eight security bulletins and updates to address them. A total of 24 vulnerabilities are addressed in these updates, three of which are rated Critical.

• MS14-056, MS14-058 and MS14-060 all fix vulnerabilities which have been exploited in the wild for some time. MS14-056 and MS14-058 are rated Critical by Microsoft and MS14-060 gets a lesser Important rating. See Multiple active zero-day vulnerabilities patched today for more details on some of these attacks.
• MS14-056: Cumulative Security Update for Internet Explorer (2987107) — 14 of the 24 vulnerabilities fixed today are in this update. One of them has already been exploited in the wild. Note that today's new versions of IE 10 and 11 also include a new version of Adobe Flash Player.
• MS14-057: Vulnerabilities in .NET Framework Could Allow Remote Code Execution (3000414) — This update fixes three vulnerabilities, at least one of which affects all supported versions of .NET and Windows. The most severe is a remote control execution bug that could allow remote code execution if an attacker sends a specially crafted URI request containing international characters to a .NET web application.
• MS14-058: Vulnerability in Kernel-Mode Driver Could Allow Remote Code Execution (3000061) — This update fixes two vulnerabilities reported by FireEye which could be used to gain privileged access and to execute remote code.
• MS14-059: Vulnerability in ASP.NET MVC Could Allow Security Feature Bypass (2990942) — An attacker who convinced a user to click on a link to a malicious web site could then use that access to exploit other web sites.
• MS14-060: Vulnerability in Windows OLE Could Allow Remote Code Execution (3000869) — An attacker who convinced a user to open a malicious Office document could gain remote code execution.
• MS14-061: Vulnerability in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (3000434) — A malicious Word document could be used to compromise the user who opened it.
• MS14-062: Vulnerability in Message Queuing Service Could Allow Elevation of Privilege (2993254) — A specially crafted input/output control (IOCTL) request to the Message Queuing service could cause elevation of privilege.
• MS14-063: Vulnerability in FAT32 Disk Partition Driver Could Allow Elevation of Privilege (2998579) — Windows Server 2003, Windows Vista, and Windows Server 2008 could be compromised through improper management of FAT32 partitions.

Finally, there is a new version of the Windows Malicious Software Removal Tool. As described by Microsoft, this version addresses many new families of malware: Win32/Hikiti, Win32/Mdmbot, Win32/Moudoor, Win32/Plugx, Win32/Sensode, and Win32/Derusbi.

شماره: IRCNE2014102339
تاريخ: 22/7/93

پس از كشف يك محقق امنيتي مبني بر اينكه بسياري از شركت‌هاي صاحب نام ملاقات‌هاي آنلاين خود را براي هركسي كه به آنها متصل شود باز گذاشته‌اند، سيسكو به مشتريان خود هشدار داده است كه WebEx را قفل كنند.
برايان كربس در بلاگ خود نوشت كه شركت‌ها و سازمان‌هاي بسياري را پيدا كرده است كه از كلمه عبور براي محافظت از ملاقات‌هاي WebEx استفاده نمي‌كنند و در نتيجه هركسي مي‌تواند به اين ملاقات‌هاي آنلاين متصل شده و از بحث‌ها و برنامه‌هاي داخلي اين شركت‌ها مطلع گردد.
به نوشته وي، برنامه‌هاي اين ملاقات‌ها از طريق مركز رويداد WebEx در دسترس قرار دارد.
به گفته يكي از مديران فروش سيسكو به نام آرون لويس، اين شركت گزينه‌هاي متنوعي براي برقرار كردن ملاقات‌هاي حساس و گزينه‌هاي مختلفي نيز براي برقراري ملاقات‌هاي عمومي در WebEx دارد. براي مثال سيسكو به طور پيش‌فرض براي تنظيم يك قرار ملاقات نياز به كلمه عبور دارد، اما كاربر مي‌تواند اين گزينه را غيرفعال نمايد.
قرار ملاقات‌هاي مهم و حساس همواره توسط يك كلمه عبور پيچيده محافظت مي‌گردند. در عين حال ممكن است شركت‌ها به طور عمومي ملاقات‌هايي را براي وبينارهايي كه هركسي مي‌تواند به آنها متصل شود تنظيم نمايند. اما توصيه مي‌شود فقط وقتي چنين قرارهايي تنظيم گردد كه دليل تجاري داشته باشد.
به گفته لويس، نكته ديگر اين است كه گزينه join before host را غيرفعال نماييد. همچنين فعال كردن host as presenter از پيوستن ديگران به قرار ملاقات و به اشتراك گذاشتن محتوا توسط وي جلوگيري مي‌كند.

ID: IRCNE2014102339
Date: 2014-10-14

According to “TechWorld”, Cisco has warned customers to lock down WebEx after a security researcher and journalist found many big-name companies left some online meetings open for anyone to join.
Brian Krebs wrote on his blog that he found companies and organizations that failed to password protect WebEx meetings, which allowed "anyone to join daily meetings about apparently internal discussions and planning sessions."
Meeting schedules for organizations were available through WebEx's "Event Center," he wrote.
Cisco has a variety of options for WebEx that are intended to accommodate sensitive meetings and ones intended for the public.
For example, Cisco requires a password to be set by default for a meeting, but that option can be turned off, wrote Aaron Lewis, who works in global social media marketing, on a company blog.
"The most secure meetings will always be protected by a complex password," Lewis wrote.
Companies may publicly list a meeting for webinars that anyone can join, but "if your WebEx site administrator or IT department allows listed meetings, then we recommend listing your meeting only if there is a true business reason," Lewis wrote.
Another tip is to disable the option "join before host," which will then give the host visibility on who has joined. Also, setting the "host as presenter" prevents someone else form joining the meeting and sharing content, Lewis wrote.

شماره: IRCNE2014102338
تاريخ: 19/7/93

محققان امنيتي هشدار داده‌اند كه كرم Selfmite كه گوشي‌هاي اندرويد را هدف حمله قرار مي‌دهد و پيام‌هاي متني ارسال مي‌كند، مجدداً ظاهر شده است و نسخه جديد آن خطرناكتر و شيوع آن بيشتر است.
به گزارش شركت امنيت فناوري AdaptiveMobile، اين كرم نخستين بار در ماه ژوئن ظاهر شده بود. اين نسخه جديد كه Selfmite.b نام دارد و كاربران بيشتري را آلوده كرده است، از تكنيك‌هاي متعددي براي گرفتن پول از قربانيان استفاده مي‌نمايد و متوقف كردن آن كار سختي است.
در ده روز گذشته حدود 150 هزار پيام رديابي شده‌اند كه توسط اين كرم در 16 كشور ارسال شده‌اند كه اين تعداد صد برابر تعداد پيام‌هاي توليد شده توسط نسخه قبلي اين بدافزار است.
Selfmite مانند نسخه قبلي خود، درصورتيكه كاربر بر روي لينكي كه در پيام متني قرار دارد كليك كند، تلفن وي را آلوده مي‌سازد. محتواي اين پيام به اشكال زير است:

Hi buddy, try this, its amazing u know
Hey, try it, its very fine

دنبال كردن اين لينك باعث نصب يك فايل APK مي‌شود كه يك برنامه تروجان شده گوگل پلاس است كه با اين كرم آلوده شده است.
اين كرم سپس با يك سرور راه دور ارتباط برقرار كرده و يك فايل پيكربندي حاوي داده‌هايي براي انتشار اين آلودگي دانلود مي‌نمايد.
درحاليكه نسخه قبلي فقط 20 شماره را در ليست دفترچه تلفن كاربر هدف پيام‌هاي خود قرار مي‌داد، اين نسخه جديد در يك حلقه يك پيام براي تمام ليست ارسال مي‌كند تا جاييكه اپراتور موبايل مشكلي تشخيص دهد و پيام را مسدود نمايد.
اين كرم از چندين نقطه لمس براي ترغيب قرباني به انجام كارهايي كه براي هكر پول به همراه مي‌آورد استفاده مي‌كند.
كاربران پس از كليك بر روي آيكون كرم نصب شده، يا به يك برنامه در گوگل پلي هدايت مي‌شوند يا اينكه بر روي آيكون‌هايي كه Selfmite.b بر روي دسكتاپ آنها قرار داده است كليك مي‌كنند و در نتيجه به وب‌سايت‌هاي ؟؟ هدايت مي‌شوند. اين كرم همچنين با توجه به آي‌پي، محتواي متفاوتي را نمايش مي‌دهد كه اين بدان معناست كه كاربران كشورهاي مختلف، به وب‌سايت‌هاي متفاوتي رهنمون مي‌شوند.
در حاليكه كاربران آيفون در معرض خطر اين آلودگي قرار ندارند، كليك بر روي اين لينك آنها را به يك برنامه سلامت و تنظيم وزن در Apple App Store مي‌برد.

شماره: IRCNE2014102337
تاريخ: 19/07/93

با توجه به داده هاي جمع آوري شده از شركت امنيتي تلفن همراه Lookout، حدود 45 درصد از دستگاه هاي اندرويد از مرورگري استفاده مي كنند كه حاوي دو آسيب پذيري امنيتي جدي است اما درصد تعداد كارابرني كه تحت تاثير اين آسيب پذيري ها قرار دارند در برخي كشورها بسيار بالاست.
اين دو مساله امنيتي چند ماه پيش توسط محقق امنيتي با نام Rafay Baloch كشف شده است كه توسط ساير محققان به عنوان يك مشكل نقض حريم خصوصي توصيف شده است. اين مشكلات به مهاجم اجازه مي دهد تا يك كرانه امنيتي اصلي را با عنوان SOP كه در تمامي مرورگرها وجود دارد، دور زند.
SOP مانع تعامل بين اسكريپت هاي يك دامنه با داده هاي دامنه ي ديگر مي شود. به عنوان مثال اسكريپت هاي در حال اجرا در صفحه اي كه بر روي دامنه A ميزباني مي شود نبايد قادر باشد با محتوي موجود در همان صفحه كه از دامنه B لود شده است تعامل كند.
بدون اين محدوديت، مهاجمان مي توانند صفحاتي ايجاد نمايند كه فيس بوك، جيميل يا تعداد ديگري از سايت هاي حساس را در يك iFrame مخفي لود كند و سپس كاربران را به منظور ارتباط ربايي نشست هاي آن ها به مشاهده اين صفحات ترغيب نمايند.
آسيب پذيري هاي دور زدن SOP دستگاه هاي اندرويد نسخه هاي پيش از 4.4 را تحت تاثير قرار مي دهند كه بنا به داده هاي شركت گوگل اين نسخه ها بر روي 75 درصد از تمامي دستگاه هاي اندرويد كه به طور فعال از فروشگاه گوگل پلي بازديد مي كنند، نصب است. اندرويد 4.4 آسيب پذيري نيست زيرا به طور پيش فرض به جاي مرورگر AOSP از مرورگر گوگل كروم استفاده مي كند.
با توجه به داده ها، 81 درصد از كاربران Lookout در ژاپن از نسخه آسيب پذير مرورگر AOSP استفاده مي كنند اما در امريكا تنها 34 درصد از كاربران از نسخه آسيب پذير استفاده مي كنند. در اسپانيا 73 درصد از كاربران به طور بالقوه تحت تاثير اين آسيب پذيري ها قرار دارند.
توصيه مي شود تا كاربران اندرويد به جاي مرورگر AOSP از مرورگرهاي كروم، فايرفاكس يا ساير مرورگرهايي كه آسيب پذير نمي باشند استفاده نمايند.

شماره: IRCNE2014102336
تاريخ: 19/07/93

شركت مايكروسافت روز سه شنبه نه اصلاحيه را منتشر خواهد كرد كه سه اصلاحيه در رده امنيتي بحراني قرار دارند.
سه به روز رساني بحراني مشكلي را در IE و تمامي نسخه هاي ويندوز برطرف مي كند. اولين به روز رساني براي IE و ويندوز براي ويندوز سيستم هاي كلاينت در رده امنيتي بحراني و براي سرورهاي در رده امنيتي متوسط قرار دارد. اين مشكل احتمالا توسط تنظيم Enhanced Security Configuration در ويندوز سرور برطرف مي شود. دو به روز رساني ديگركه ويندوز و چارچوب .NET را تحت تاثير قرار داده است براي تمامي پلت فرم هاي ويندوز در رده امنيتي بحراني قرار دارد.
چهار به روز رساني تنها ويندوز را تحت تاثير قرار مي دهد كه يكي از آن ها در رده امنيتي متوسط و مابقي در رده امنيتي مهم قرار گرفته اند. مشكلي كه در سطح متوسط قرار دارد مايكروسافت آفيس 2007 IME را تحت تاثير قرار مي دهد.
به روز رساني ديگري براي آفيس وجود دارد كه آفيس 2007 و 2010 را بر روي ويندوز، آفيس براي Mac 2011 و Office Compatibility Pack SP3 را تحت تاثير قرار مي دهد و بر روي تمامي آن ها در رده امنيتي مهم قرار دارد.
آخرين مشكل يك آسيب پذيري امنيتي دور زدن است كه درASP.NET MVC نسخه هاي 2.0، 3.0، 4.0، 5.0 و 5.1 در رده امنيتي مهم قرار دارد.
هم چنين مايكروسافت نسخه جديدي از ابزار Windows Malicious Software Removal و تعدادي به روز رساني غيرامنيتي را منتشر خواهد كرد.

ID: IRCNE2014102338
Date: 2014-10-11

According to “ITPro”, the Selfmite worm that attacks Android phones and sends out text messages has made a reappearance, prompting security researchers to warn the new version is more dangerous and widespread this time.
According to IT security firm AdaptiveMobile, the worm first surfaced in June. This latest version, Selfmite.b, has infected many more users, uses several techniques to extract money from victims and is “difficult to stop”.
Around 150,000 messages have been tracked as being sent by the worm over the last ten days in 16 countries – a hundred times the number of messages generated by the previous version of the malware.
As in the previous version, Selfmite infects a user’s phone if they click on a link in a text message reading "Hi buddy, try this, its amazing u know," and "Hey, try it, its very fine." Following the link download installs an APK file, which is a trojanised Google Plus app infected with the worm.
The worm then connects with a remote server and downloads a configuration file containing data that is used to spread the infection.
Whereas the previous version just spammed 20 contacts in a user’s address book, this latest version sends a message to all contacts in a loop until the mobile operator detects a problem and blocks messages.
The worm uses multiple “touch points” to encourage the victim to do things that make money for the hacker.
Users are either directed to an application in Google Play after clicking on the installed worm icon, or they click on icons that Selfmite.b has placed on their desktops and are therefore redirected to unsolicited subscription websites. The worm also varies content according to IP addresses, meaning users in different countries will be redirected to different websites.
While iPhone users aren’t at risk of infection, clicking on the link will redirect them to a fitness app in the Apple App Store.