Adobe to release Acrobat, Reader updates

تاریخ ایجاد

ID: IRCNE2014092305
Date: 2014-09-06

According to “ZDNet”, taking another page from Microsoft's book, Adobe has issued a Prenotification Security Advisory for Adobe Reader and Acrobat.
On Tuedsay, Adobe will release new versions of Reader and Acrobat for Windows and Mac. The new version will address one or more critical vulnerabilities in the software.
The affected versions are Reader and Acrobat X 10.1.11 and earlier and Reader and Acrobat XI 11.0.08.

برچسب‌ها
اخبار

Latest Firefox version adds protection against rogue SSL certificates

تاریخ ایجاد

Number: IRCNE2014092306
Date: 2014-09-07

According to “techworld”, Mozilla has added a defense in its latest version of Firefox that would help prevent hackers from intercepting data intended for major online services.
The feature, known as certificate key pinning, allows online services to specify which SSL/TLS (Secure Sockets Layer/Transport Security Layer) certificates are valid for their services. The certificates are used to verify a site is legitimate and to encrypt data traffic.
In theory, that allowed the hackers to set up a fake website that looked like Gmail and didn't trigger a browser warning of an invalid SSL certificate. Security experts have long warned that attacks targeting certificate authorities are a threat.
Certificate pinning would have halted that kind of attack, as Firefox would have known Diginotar shouldn't have issued a certificate for Google.
In Firefox 32, "if any certificate in the verified certificate chain corresponds to one of the known good (pinned) certificates, Firefox displays the lock icon as normal," wrote Sid Stamm, senior manager of security and privacy engineering at Mozilla, on a company blog.
"When the root cert for a pinned site does not match one of the known good CAs, Firefox will reject the connection with a pinning error," he continued.
The "pins" for the certificates of online services have to be encoded into Firefox. Firefox 32, released this week, supports Mozilla sites and Twitter.

برچسب‌ها
اخبار

Hackers exploit critical vulnerability in popular WordPress theme component

تاریخ ایجاد

Number: IRCNE2014092307
Date: 2014-09-07

According to “techworld”, attackers are actively exploiting a critical vulnerability in a WordPress plug-in that's used by a large number of themes, researchers from two security companies warned Wednesday.
The vulnerability affects versions 4.1.4 and older of Slider Revolution, a commercial WordPress plug-in for creating mobile-friendly content display sliders. The flaw was fixed in Slider Revolution 4.2 released in February, but some themes -- collections of files or templates that determine the overall look of a site -- still bundle insecure versions of the plug-in.
The vulnerability can be exploited to execute a local file inclusion (LFI) attack that gives hackers access to a WordPress site's wp-config.php file, researchers from Web security firm Sucuri said in a blog post. This sensitive file contains database access credentials that can be used to compromise the whole site, the researchers said.
Information about the vulnerability circulated on underground forums for several months, but on Sept. 1 someone posted a proof-of-concept exploit for it on a public site, including a list of WordPress themes that are likely affected, security researchers from Trustwave said Wednesday in a blog post.
"We fix all issues within hours," a technical support representative for Damojo, the Cologne, Germany, company that owns ThemePunch, said Thursday via email. "As you know it is essential that all your plugins, WordPress and servers are always updated with the latest releases. Our direct customers do and can update their plugin regularly and automatically if they choose to."
The latest version of Slider Revolution is 4.6, released on Aug. 25, but this particular vulnerability only affects versions older than 4.2.

برچسب‌ها
اخبار

Apple updates OS X Mavericks, Safari and other products

تاریخ ایجاد

Number: IRCNE2014092323
Date: 2014-09-17

According to “zdnet”, in addition to the large list of vulnerabilities fixed in iOS 8, Apple has released new versions of many other products to fix many other vulnerabilities.
iOS 8 fixed 53 vulnerabilities in earlier versions. The other new versions — OS X Mavericks 10.9.5; Safari 6.1.6, 7.0.6, 6.2 and 7.2; Xcode 6.0.1; OS X Server 2.2.3 and 3.2.1; and Apple TV 7 — fix another 53.
Many of the fixes in OS X Mavericks 10.9.5 and Security Update 2014-004 are problems with common open source programs which the average user might not use. Among these are Apache mod_php, Ruby and QT Media Foundation. But several are serious, especially the bugs in the Intel Graphics Driver, IOAcceleratorFamily and Libnotify, one of which allows a malicious application to execute arbitrary code with root privileges. This is a very critical update for Mac users. All of the bugs fixed in Apple TV were among those fixed in OS X.
Nearly all the flaws fixed in Safari 6.1.6, 6.2, 7.0.6 and 7.2 are memory corruption bugs in the WebKit browser engine which could allow remote code execution. The others are information disclosure bugs.
OS X Server 2.2.3 and 3.2.1 both fix a SQL injection bug which could allow an attacker to run arbitrary SQL queries. Version 3.2.1 also fixes a JavaScript injection bug and multiple critical bugs in PostgreSQL.

برچسب‌ها
اخبار

Google to auto encrypt users’ personal data

تاریخ ایجاد

ID: IRCNE2014092325
Date: 2014-09-20

According to “ITPro”, Google has announced it will automatically encrypt users’ data, with the news coming almost immediately after Apple’s Tim Cook revealed his firm would be doing the same.
Google’s latest operating system, Android L, will introduce the security feature, reports the Washington Post. Users have been able to manually enable the encryption feature on Android for many years, but this is the first time Google has consciously made it easy for them to do so.
A spokesperson for the company told the Post: “For over three years Android has offered encryption, and keys are not stored off of the device, so they cannot be shared with law enforcement.
“As part of our next Android release, encryption will be enabled by default out of the box, so you won’t even have to think about turning it on.”
Having the encryption working automatically will mean that more Android users will be protected from outsiders accessing data and other sensitive information, including hackers and prying government eyes.
Not even Google will have the key they would need to unlock the device, with only those who have the phone’s passcode able to get in and see documents, videos and photos etc.

برچسب‌ها
اخبار

گوگل داده‌های شخصی شما را رمزگذاری می‌كند

تاریخ ایجاد

شماره: IRCNE2014092325
تاريخ: 29/6/93

بلافاصله پس از اپل، گوگل نيز اعلام كرد كه از اين پس به طور خودكار اقدام به رمز كردن داده‌هاي كاربران خواهد كرد.
به گزارش واشنگتن پست، جديدترين سيستم عامل گوگل يعني اندرويد L اين ويژگي امنيتي را معرفي خواهد كرد. كاربران سال‌هاست كه قادر بوده‌اند ويژگي رمزگذاري را بر روي اندرويد به طور دستي فعال نمايند. اما اين نخستين بار است كه گوگل اين كار را براي آنها ساده كرده است.
يك سخنگوي گوگل اظهار كرد كه بيش از سه سال است كه اندرويد گزينه رمزگذاري را در اختيار كاربران قرار داده است. وي تأكيد كرد كه به عنوان بخشي از نسخه بعدي اندرويد، رمزگذاري داده‌ها به طور پيش‌فرض فعال خواهد شد، در نتيجه حتي نياز نيست كه راجع به فعال كردن آن فكر كنيد.
فعال بودن رمزگذاري به طور پيش‌فرض به اين معنا است كه كاربران بيشتري در برابر دسترسي هكرها و حتي دولت‌ها به داده‌ها و اطلاعات حساس خود محافظت خواهند شد.
حتي گوگل نيز كليد مورد نياز براي باز كردن قفل اين دستگاه‌ها را در اختيار نخواهد داشت و فقط افرادي كه كد عبور گوشي را در اختيار دارند مي‌توانند وارد شده و اسناد، ويدئوها، تصاوير و غيره را مشاهده نمايند.

برچسب‌ها
اخبار

محافظت از حريم خصوصی كاربران در iOS 8

تاریخ ایجاد

شماره: IRCNE2014092324
تاريخ: 29/6/93

اپل يك گام ديگر در جهت حفظ امنيت و حريم خصوصي كاربران خود برداشته و رمزگذاري، سياست‌هاي امنيتي و محرمانگي خود را طوري تغيير داده است كه از شكستن قفل گوشي‌هاي هوشمند كاربران توسط افراد ديگر جلوگيري نمايد.
در سيستم عامل جديد اپل يعني iOS 8 كه روز چهارشنبه عرضه شد، رمزنگاري به صورتي است كه اگر براي مثال نيروهاي دولتي ايالات متحده بخواهند به اطلاعات آن دسترسي پيدا كنند، بايد به جاي اپل به سراغ مالك گوشي بروند. روش‌هاي جديد رمزگذاري حتي از دسترسي اپل به تمامي داده‌هاي كاربران جلوگيري مي‌كند.
به گفته اپل در مورد سياست محرمانگي جديد اين شركت، بر خلاف ساير رقبا، در iOS 8 اپل قادر نيست كدعبور كاربر را دور بزند و به همين دليل نمي‌تواند به داده‌هاي وي دسترسي پيدا كند. به اين ترتيب هيچكس نمي‌تواند اپل را به ارائه داده‌هاي كاربران اجبار نمايد. اين در قفل است و كليد آن در اختيار اپل نيست.
البته همچنان در برخي موارد هشدارهايي وجود دارد. براي مثال در مورد داده‌هاي ذخيره شده در iCloud، اپل قادر است داده‌هاي ذخيره شده بر روي سرورها را به دست آورد. داده‌هاي iCloud مي‌تواند شامل تصاوير، ايميل‌ها، موسيقي، اسناد و ليست تماس باشد.

برچسب‌ها
اخبار

انتشار اصلاحيه‌های امنيتی برای iOS 8

تاریخ ایجاد

شماره: IRCNE2014092322 
تاريخ: 93/06/29

با انتشار iOS 8 شركت اپل 53 آسيب پذيري اصلاح شده در آن را افشاء كرد. مهم ترين آسيب پذيري مي تواند به يك مهاجم اجازه دهد تا كدي را با حق دسترسي root بر روي دستگاه اجرا نمايد. هم چنين مي تواند به مهاجم اجازه دهد تا كدي را با حق دسترسي سيستم يا هسته اجرا نمايد. اين آسيب پذيري ها نيازمند قابليت اجراي كد بر روي دستگاه مي باشند. برخي از اين آسيب پذيري ها در موتور مرورگر WebKit قرار دارند و در نتيجه اگر كاربري سايتي مخرب را مشاهده كند مهاجم مي توانند حملاتي را راه اندازي نمايد.
اين مسائل كه بسياري از آن ها جدي مي باشند، در نسخه هاي قديمي iOS قرار دارند. در نتيجه كاربراني كه از نسخه هاي iOS X7.x استفاده مي كنند، تحت تاثير اين آسيب پذيري ها قرار دارند.
يكي ديگر از مشكلات افشاء شده، قابليت سرقت اعتبارنامه هاي واي فاي iOS با استفاده از پروتكل قديمي تاييد هويت توسط access pointهاي جعلي مي باشد كه در iOS به طور پيش فرض فعال بود. اين پروتكل (LEAP) در iOS 8 به طور پيش فرض غيرفعال شده است.
بقيه آسيب پذيري ها مهم مي باشند كه مي توانند به مهاجمان اجازه دهند تا به اطلاعات حساسي از قبيل لاگ ها يا اپل IDهاي كاربر دسترسي يابند. برخي از آن ها به مهاجمان اجازه مي دهند تا مشخصات حافظه Kernel را بدست آورند و حفاظت هايي از قبيل ASLR را دور زنند.

برچسب‌ها
اخبار

انتشار به‌روزرسانی‌های اپل برای OS X Mavericks و سافاری

تاریخ ایجاد

شماره: IRCNE2014092323
تاريخ: 93/06/29

شركت اپل علاوه بر اصلاح آسيب پذيري هاي iOS 8، نسخه هاي جديدي براي برخي از محصولات ديگر خود منتشركرد كه تعدادي آسيب پذيري در آن ها برطرف شده است.
53 آسيب پذيري در نسخه هاي اخير iOS 8 اصلاح شده است. ساير نسخه هاي جديد شامل OS X Mavericks نسخه 10.9.5، سافاري نسخه هاي 6.1.6، 7.0.6، 6.2 و 7.2، Xcode نسخه 6.0.1، OS X Server نسخه 2.2.3 و 3.2.1 و Apple TV نسخه 7 مي شوند.
بسياري از اصلاحيه هاي OS X Mavericks نسخه 10.9.5 و Security Update 2014-004 مربوط به مشكلاتي مرتبط با برنامه هاي رايج منبع بازي مي باشند كه كاربران متوس نبايد از آن ها استفاده نمايند. از جمله اين برنامه ها مي توان به Apache mod_php و Ruby and QT Media Foundation اشاره كرد. برخي از اين مشكلات جدي مي باشند مخصوصا مشكلات مربوط به Intel Graphics Driver، IOAcceleratorFamily و Libnotify كه به برنامه هاي مخرب اجازه مي دهند تا كد دلخواه را با دسترسي root اجرا نمايند. اين به روز رساني يك به روز رساني بحراني براي كاربران مكينتاش است. تمامي مشكلات اصلاح شده در Apple TV، مشكلاتي هستند كه در OS X اصلاح شده اند.
مشكلاتي كه در سافاري نسخه 6.1.6، 6.2 و 7.2 اصلاح شده اند مشكلات تخريب حافظه در موتور مرورگر WebKit مي باشند كه مي توانند منجر به اجراي كد از راه دور شوند. هم چنين تعدادي مشكل افشاي اطلاعات نيز برطرف شده است.
در سرور OS X نسخه 2.2.3 و 3.2.1 يك مشكل تزريق SQL اصلاح شده است كه مي تواند به مهاجم اجازه دهد تا پرس و جوهاي دلخواه SQL را اجرا نمايد. در نسخه 3.2.1 نيز يك مشكل تزريق جاوااسكريپت و چندين مشكل بحراني در PostgreSQL برطرف شده است.

برچسب‌ها
اخبار

حذف به‌روزرسانی Lync توسط مايكروسافت

تاریخ ایجاد

شماره: IRCNE2014092321 
تاريخ: 93/06/26

شركت مايكروسافت به روز رساني امنيتي 2982385 را كه به عنوان بخشي از به روز رساني هاي امنيتي ماه سپتامبر منتشر كرده بود، حذف كرد.
شركت مايكروسافت اين بولتن را دوباره منتشر كرد تا مساله شناخته شده اي كه مانع از نصب موفقيت آميز به روز رساني امنيتي 2982385 براي سرور Lync 2010 مي شود را برطرف نمايد. شركت مايكروسافت رفتار سيستم پس از نصب اين به روز رساني را بررسي كرد و تصميم گرفت تا لينك دانلود اين به روز رساني امنيتي را حذف نمايد.
در واقع اين بولتن هيچ آسيب پذيري امنيتي را برطرف نمي كند بلكه تنها توصيه مي كند تا مشتريان اين نرم افزار به منظور مقابله عليه بردارهاي حمله جديدي كه ممكن است در آينده شناسايي شوند، اين به روز رساني امنيتي را اعمال نمايند. شركت مايكروسافت لينك هاي مربوط به اين به روز رساني را حذف كرده است اما ساير به روز رساني هاي سرور Lync 2010 و سرور Lync 2013 در دسترس مي باشند و كاربران مي توانند آن ها را اعمال نمايند.
ظاهرا مشكل از كد امضاي فايل است و كاربر در هنگام نصب با پيامي مبني بر عدم شناسايي منتشر كننده فايل مواجه مي شود و قادر به نصب اين به روز رساني نيست.

برچسب‌ها
اخبار
Subscribe to اخبار