ID: IRCNE2014092325
Date: 2014-09-20

According to “ITPro”, Google has announced it will automatically encrypt users’ data, with the news coming almost immediately after Apple’s Tim Cook revealed his firm would be doing the same.
Google’s latest operating system, Android L, will introduce the security feature, reports the Washington Post. Users have been able to manually enable the encryption feature on Android for many years, but this is the first time Google has consciously made it easy for them to do so.
A spokesperson for the company told the Post: “For over three years Android has offered encryption, and keys are not stored off of the device, so they cannot be shared with law enforcement.
“As part of our next Android release, encryption will be enabled by default out of the box, so you won’t even have to think about turning it on.”
Having the encryption working automatically will mean that more Android users will be protected from outsiders accessing data and other sensitive information, including hackers and prying government eyes.
Not even Google will have the key they would need to unlock the device, with only those who have the phone’s passcode able to get in and see documents, videos and photos etc.

شماره: IRCNE2014092325
تاريخ: 29/6/93

بلافاصله پس از اپل، گوگل نيز اعلام كرد كه از اين پس به طور خودكار اقدام به رمز كردن داده‌هاي كاربران خواهد كرد.
به گزارش واشنگتن پست، جديدترين سيستم عامل گوگل يعني اندرويد L اين ويژگي امنيتي را معرفي خواهد كرد. كاربران سال‌هاست كه قادر بوده‌اند ويژگي رمزگذاري را بر روي اندرويد به طور دستي فعال نمايند. اما اين نخستين بار است كه گوگل اين كار را براي آنها ساده كرده است.
يك سخنگوي گوگل اظهار كرد كه بيش از سه سال است كه اندرويد گزينه رمزگذاري را در اختيار كاربران قرار داده است. وي تأكيد كرد كه به عنوان بخشي از نسخه بعدي اندرويد، رمزگذاري داده‌ها به طور پيش‌فرض فعال خواهد شد، در نتيجه حتي نياز نيست كه راجع به فعال كردن آن فكر كنيد.
فعال بودن رمزگذاري به طور پيش‌فرض به اين معنا است كه كاربران بيشتري در برابر دسترسي هكرها و حتي دولت‌ها به داده‌ها و اطلاعات حساس خود محافظت خواهند شد.
حتي گوگل نيز كليد مورد نياز براي باز كردن قفل اين دستگاه‌ها را در اختيار نخواهد داشت و فقط افرادي كه كد عبور گوشي را در اختيار دارند مي‌توانند وارد شده و اسناد، ويدئوها، تصاوير و غيره را مشاهده نمايند.

شماره: IRCNE2014092324
تاريخ: 29/6/93

اپل يك گام ديگر در جهت حفظ امنيت و حريم خصوصي كاربران خود برداشته و رمزگذاري، سياست‌هاي امنيتي و محرمانگي خود را طوري تغيير داده است كه از شكستن قفل گوشي‌هاي هوشمند كاربران توسط افراد ديگر جلوگيري نمايد.
در سيستم عامل جديد اپل يعني iOS 8 كه روز چهارشنبه عرضه شد، رمزنگاري به صورتي است كه اگر براي مثال نيروهاي دولتي ايالات متحده بخواهند به اطلاعات آن دسترسي پيدا كنند، بايد به جاي اپل به سراغ مالك گوشي بروند. روش‌هاي جديد رمزگذاري حتي از دسترسي اپل به تمامي داده‌هاي كاربران جلوگيري مي‌كند.
به گفته اپل در مورد سياست محرمانگي جديد اين شركت، بر خلاف ساير رقبا، در iOS 8 اپل قادر نيست كدعبور كاربر را دور بزند و به همين دليل نمي‌تواند به داده‌هاي وي دسترسي پيدا كند. به اين ترتيب هيچكس نمي‌تواند اپل را به ارائه داده‌هاي كاربران اجبار نمايد. اين در قفل است و كليد آن در اختيار اپل نيست.
البته همچنان در برخي موارد هشدارهايي وجود دارد. براي مثال در مورد داده‌هاي ذخيره شده در iCloud، اپل قادر است داده‌هاي ذخيره شده بر روي سرورها را به دست آورد. داده‌هاي iCloud مي‌تواند شامل تصاوير، ايميل‌ها، موسيقي، اسناد و ليست تماس باشد.

شماره: IRCNE2014092322 
تاريخ: 93/06/29

با انتشار iOS 8 شركت اپل 53 آسيب پذيري اصلاح شده در آن را افشاء كرد. مهم ترين آسيب پذيري مي تواند به يك مهاجم اجازه دهد تا كدي را با حق دسترسي root بر روي دستگاه اجرا نمايد. هم چنين مي تواند به مهاجم اجازه دهد تا كدي را با حق دسترسي سيستم يا هسته اجرا نمايد. اين آسيب پذيري ها نيازمند قابليت اجراي كد بر روي دستگاه مي باشند. برخي از اين آسيب پذيري ها در موتور مرورگر WebKit قرار دارند و در نتيجه اگر كاربري سايتي مخرب را مشاهده كند مهاجم مي توانند حملاتي را راه اندازي نمايد.
اين مسائل كه بسياري از آن ها جدي مي باشند، در نسخه هاي قديمي iOS قرار دارند. در نتيجه كاربراني كه از نسخه هاي iOS X7.x استفاده مي كنند، تحت تاثير اين آسيب پذيري ها قرار دارند.
يكي ديگر از مشكلات افشاء شده، قابليت سرقت اعتبارنامه هاي واي فاي iOS با استفاده از پروتكل قديمي تاييد هويت توسط access pointهاي جعلي مي باشد كه در iOS به طور پيش فرض فعال بود. اين پروتكل (LEAP) در iOS 8 به طور پيش فرض غيرفعال شده است.
بقيه آسيب پذيري ها مهم مي باشند كه مي توانند به مهاجمان اجازه دهند تا به اطلاعات حساسي از قبيل لاگ ها يا اپل IDهاي كاربر دسترسي يابند. برخي از آن ها به مهاجمان اجازه مي دهند تا مشخصات حافظه Kernel را بدست آورند و حفاظت هايي از قبيل ASLR را دور زنند.

شماره: IRCNE2014092323
تاريخ: 93/06/29

شركت اپل علاوه بر اصلاح آسيب پذيري هاي iOS 8، نسخه هاي جديدي براي برخي از محصولات ديگر خود منتشركرد كه تعدادي آسيب پذيري در آن ها برطرف شده است.
53 آسيب پذيري در نسخه هاي اخير iOS 8 اصلاح شده است. ساير نسخه هاي جديد شامل OS X Mavericks نسخه 10.9.5، سافاري نسخه هاي 6.1.6، 7.0.6، 6.2 و 7.2، Xcode نسخه 6.0.1، OS X Server نسخه 2.2.3 و 3.2.1 و Apple TV نسخه 7 مي شوند.
بسياري از اصلاحيه هاي OS X Mavericks نسخه 10.9.5 و Security Update 2014-004 مربوط به مشكلاتي مرتبط با برنامه هاي رايج منبع بازي مي باشند كه كاربران متوس نبايد از آن ها استفاده نمايند. از جمله اين برنامه ها مي توان به Apache mod_php و Ruby and QT Media Foundation اشاره كرد. برخي از اين مشكلات جدي مي باشند مخصوصا مشكلات مربوط به Intel Graphics Driver، IOAcceleratorFamily و Libnotify كه به برنامه هاي مخرب اجازه مي دهند تا كد دلخواه را با دسترسي root اجرا نمايند. اين به روز رساني يك به روز رساني بحراني براي كاربران مكينتاش است. تمامي مشكلات اصلاح شده در Apple TV، مشكلاتي هستند كه در OS X اصلاح شده اند.
مشكلاتي كه در سافاري نسخه 6.1.6، 6.2 و 7.2 اصلاح شده اند مشكلات تخريب حافظه در موتور مرورگر WebKit مي باشند كه مي توانند منجر به اجراي كد از راه دور شوند. هم چنين تعدادي مشكل افشاي اطلاعات نيز برطرف شده است.
در سرور OS X نسخه 2.2.3 و 3.2.1 يك مشكل تزريق SQL اصلاح شده است كه مي تواند به مهاجم اجازه دهد تا پرس و جوهاي دلخواه SQL را اجرا نمايد. در نسخه 3.2.1 نيز يك مشكل تزريق جاوااسكريپت و چندين مشكل بحراني در PostgreSQL برطرف شده است.

شماره: IRCNE2014092321 
تاريخ: 93/06/26

شركت مايكروسافت به روز رساني امنيتي 2982385 را كه به عنوان بخشي از به روز رساني هاي امنيتي ماه سپتامبر منتشر كرده بود، حذف كرد.
شركت مايكروسافت اين بولتن را دوباره منتشر كرد تا مساله شناخته شده اي كه مانع از نصب موفقيت آميز به روز رساني امنيتي 2982385 براي سرور Lync 2010 مي شود را برطرف نمايد. شركت مايكروسافت رفتار سيستم پس از نصب اين به روز رساني را بررسي كرد و تصميم گرفت تا لينك دانلود اين به روز رساني امنيتي را حذف نمايد.
در واقع اين بولتن هيچ آسيب پذيري امنيتي را برطرف نمي كند بلكه تنها توصيه مي كند تا مشتريان اين نرم افزار به منظور مقابله عليه بردارهاي حمله جديدي كه ممكن است در آينده شناسايي شوند، اين به روز رساني امنيتي را اعمال نمايند. شركت مايكروسافت لينك هاي مربوط به اين به روز رساني را حذف كرده است اما ساير به روز رساني هاي سرور Lync 2010 و سرور Lync 2013 در دسترس مي باشند و كاربران مي توانند آن ها را اعمال نمايند.
ظاهرا مشكل از كد امضاي فايل است و كاربر در هنگام نصب با پيامي مبني بر عدم شناسايي منتشر كننده فايل مواجه مي شود و قادر به نصب اين به روز رساني نيست.

شماره: IRCNE2014092320
تاريخ: 26/6/93

مرورگر پيش‌فرض اندرويد نسخه‌هاي پيش از 4.4 داراي يك آسيب‌پذيري است كه به وب‌سايت‌هاي خرابكار اجازه مي‌دهد مكانيزم امنيتي را دور بزنند و كنترل session هاي احراز هويت شده كاربر را بر روي ساير سايت‌ها در دست بگيرند.
اين مسأله يك نقص امنيتي اسكريپت بين سايتي است كه ناشي از نحوه مديريت جاوا اسكريپت توسط مرورگر است. در هنگام مواجهه با رشته‌اي كه توسط يك كاراكتر null پايان مي‌يابد، مرورگر قادر به اعمال سياست same-origin نيست. سياست same-origin، يك كنترل امنيتي است كه از تعامل اسكريپت‌هاي اجرا شده در بستر يك سايت با محتواي ساير وب‌سايت‌ها جلوگيري مي‌كند.
اين بدان معناست كه هر وب‌سايتي (براي مثال وب‌سايتي كه توسط يك هرزنامه نويس يا يك جاسوس كنترل مي‌شود) مي‌تواند محتوي هر صفحه وب ديگري را مورد بازبيني قرار دهد. تصور كنيد كه در حالي كه وب‌ميل خود را در صفحه ديگري باز كرده‌ايد، به سايت يك مهاجم رفته‌ايد. آن مهاجم مي‌تواند داده‌هاي ايميل شما را جمع‌آوري كرده و محتويات مرورگر شما را ببيند. علاوه بر اين مهاجم مي‌تواند يك كپي از كوكي session شما گرفته و Session شما را به طور كامل سرقت نمايد و به جاي شما به وب‌ميل شما دسترسي پيدا كند.
اين نقص امنيتي توسط يك محقق امنيتي مستقل كشف شده و اثبات آن در 31 آگوست بر روي بلاگ وي قرار گرفت. البته افشاي اين نقص امنيتي چندان مورد توجه قرار نگرفته بود تا اينكه تيم Metasploit ماژولي را توسعه داد كه مي‌تواند براي سرقت كوكي‌هاي احراز هويت از كاربراني كه صفحه خرابكاري را باز كرده‌اند، مورد استفاده قرار گيرد.
به كاربراني كه فكر مي‌كنند ممكن است تحت تأثير اين آسيب‌پذيري قرار داشته باشند توصيه مي‌شود كه يكي از مرورگرهاي در دسترس براي اندرويد مانند كروم، فايرفاكس، دولفين يا اپرا كه داراي اين مشكل نيستند را نصب نمايند.

شماره: IRCNE2014092319
تاريخ: 26/6/93

به گفته يك محقق امنيتي، يك آسيب‌پذيري امنيتي در كتابخانه Kindle آمازون وجود دارد كه مي‌تواند براي سوء استفاده از يك حساب Amazon.com مورد استفاده قرار گيرد.
اين آسيب‌پذيري كه به عنوان يك آسيب‌پذيري اسكريپت بين سايتي (XSS) شناخته مي‌شود، مي‌تواند در متاديتاي يك كتاب الكترونيكي Kindle مانند عنوان آن قرار بگيرد، كه به محض اينكه قرباني صفحه كتابخانه Kindle آمازون را بر روي Amazon.com باز كند، به طور خودكار اجرا مي‌شود.
در نتيجه كوكي‌هاي حساب آمازون مي‌توانند مورد دسترسي قرار گيرند و براي مهاجم ارسال گردند و به اين ترتيب حساب آمازون قرباني مي‌تواند مورد سوء استفاده قرار گيرد.
هركسي كه از كتابخانه Kindle آمازون براي ذخيره كردن كتاب‌هاي الكترونيكي يا ارسال آنها به يك Kinle استفاده مي‌كند، تحت تأثير اين آسيب‌پذيري قرار دارد.
اين محقق آلماني هشدار داد كه افرادي كه كتاب‌هاي الكترونيكي را از منابع غيرمطمئن مانند كپي‌هاي بدون مجوز كتاب‌هاي مشهور دريافت مي‌كنند، نسبت به افرادي كه از طريق Amazon.com خريد مي‌كنند در معرض خطر بيشتري قرار دارند.
وي اظهار كرد كه ابتدا در نوامبر 2013 اين آسيب‌پذيري را به طور خصوصي به آمازون گزارش كرده است و نسبتاً سريع ترميم شده است. اما پس از اينكه آمازون نسخه جديدي از برنامه وب Manage Your Kindle را عرضه كرده است، اين نقص امنيتي مجدداً اظهار وجود كرده است.
وي تأكيد كرد كه آمازون به ايميل وي در اين باره پاسخي نداده است و همچنان اين آسيب‌پذيري اصلاح نشده است.

شماره: IRCNE2014092318
تاريخ: 93/06/26

شركت ادوب چندين به روز رساني امنيتي براي نرم افزارهاي آكروبات و Reader به منظور اصلاح هشت آسيب پذيري در هر دو نسخه ميكنتاش و ويندوز منتشر كرد. نرم افزارهاي Reader و آكروبات X نسخه 10.1.11 و نسخه هاي پيش از آن و Reader و آكروبات XI نسخه 11.0.08 براي ويندوز و مكينتاش تحت تاثير اين آسيب پذيري ها قرار دارند.
در اصل اين به روز رساني ها بايد هفته گذشته منتشر مي شدند اما به دليل وجود مشكلاتي در تست آن ها با تاخير منتشر شدند.
نسخه هاي جديد اين نرم افزارها Reader و آكروبات X نسخه 10.1.12 و Reader و آكروبات XI نسخه 11.0.09 براي ويندوز و مكينتاش مي باشند. كاربران مي توانند با استفاده از گزينه "Check for Updates"در روي منوي Help به روز رساني ها را اعمال نمايند.
برخي از اين آسيب پذيري ها بحراني هستند و در صورتيكه كاربر يك فايل PDF مخرب را باز نمايد مي توانند باعث شوند تا مهاجمي كنترل كامل سيستم را بدست بگيرد.

شماره: IRCNE2014092317   
تاريخ: 93/06/25

VMware مولفه ها و كتابخانه هاي ثالثي كه در پلت فرم مجازي سازي سرور vSphere استفاده مي شود را به روز رساني كرد.
اين شركت سرور vCenter نسخه 5.5 به روز رسان 2 را به منظور اصلاح آسيب پذيري اجراي كد از راه دور در چارچوب كاري Apache Struts Web منتشر كرده است.
هم چنين اصلاحيه هايي براي مولفه Apache Tomcat در اين سرور منتشر شده است كه اين مولفه را به نسخه 7.0.52 ارتقاء مي دهد. در اين به روز رساني ها دو آسيب پذيري انكار سرويس و افشاي اطلاعات اصلاح شده است.
در VCenter Server نسخه 5.5 به روز رساني 2 و vCenter Update Manager نسخه 5.5 به روز رساني 2 مجموعه جاوا JRE به نسخه 1.7 به روز رسان 55 كه در ماه آوريل منتشر شده بود، ارتقاء يافته است. در اين نسخه از جاوا 37 آسيب پذيري امنيتي برطرف شده است.
VMware vSphere Hypervisor اصلاحيه اي با عنوان ESXi550-201409101-SG را دريافت كرده است كه در آن كتابخانه GNU C به منظور اصلاح دو آسيب پذيري سرريز بافر كه مي تواند همزمان با موقعيت انكار سرويس اتفاق بيفتد، به روز رساني شده است.