Number: IRCNE2014072256
Date: 2014-07-15

According to “zdnet”, Oracle has released a large set of security updates to multiple versions of 44 different products. The updates address a total of 113 vulnerabilities in over 100 versions of its products.
Among the major products patched are Oracle Database Server (five vulnerabilities), Oracle Fusion Middleware (29), Oracle Hyperion (seven), Oracle E-Business Suite (five), Oracle PeopleSoft (five), Oracle Siebel CRM (six), Oracle MySQL Executive (ten), Oracle Solaris (four) and, of course, Oracle Java (20). Many of the vulnerabilities are severe and can result in remote compromise of the system.
Oracle recommends that customers apply all the updates as soon as possible.
The largest set of vulnerability fixes is for Oracle Fusion Middleware. Of the 29 vulnerabilities fixed, 27 may be remotely exploitable without authentication, i.e. they may be exploited over a network without the need for a username and password.
Other products with large numbers of anonymous remote vulnerabilities are Java (all 20), Oracle Siebel CRM (four) and Oracle Virtualization products, which consists of Oracle Secure Global Desktop (SGD), Sun Ray and Oracle VM VirtualBox (eight).

شماره: IRCNE2014072255
تاريخ: 24/04/93

يك برنامه تروجان جديد كه براي سرقت اعتبارنامه هاي لاگين و ساير اطلاعات مالي از وب سايت هاي بانكي طراحي شده است در فروشگاه زيرزميني در حال انتشار مي باشد.
اين بدافزار جديد Kronos ناميده مي شود و بر اساس تبليغات ديده شده در يك فروم روسي مي تواند اعتبارنامه ها را با استفاده از كپي برداري فرم و روش هاي تزريق محتوي HTML از نشست هاي مرورگرهايي مانند IE، موزلا فايرفاكس و گوگل كروم به سرقت ببرد.
با توجه به اين تبليغ، تهديد جديد مبتني بر اسكريپت هاي تزريق محتوي است كه به عنوان تزريق Web شناخته مي شود و در طراحي بدافزار زئوس مورد استفاده قرار گرفته است. اين طراحي به آندسته از مجرمان سايبري كه در عمليات خود از گونه هاي مختلف زئوس استفاده مي كنند اجازه مي دهد تا به راحتي بدافزار Kronos را جايگزين بدافزار زئوس نمايند.
علاوه بر توانايي سرقت اطلاعات، اين تروجان جديد يك مولفه روت كيت حالت كاربر براي سيستم هاي ويندوز 32 و 64 بيتي دارد كه مي تواند فرآيندهاي خود را در برابر رقابت بدافزارها حفاظت نمايد. هم چنين طراحان اين بدافزار ادعا مي كنند كه بدافزار Kronos مي تواند از سد آنتي ويروس ها و محيط هاي sandbox عبور نمايد.
با توجه به يافته هاي محققان كسپراسكي كه هفته گذشته تبليغات اين بدافزار را در چندين فروم زيرزميني مشاهده كردند، اين بدافزار جديد بر اساس كد منبع Carberp نوشته شده است.
اخبار اين تروجان جديد بانكي پس از تلاش مراجع قانوني براي خاموش كردن بات نت بزرگ Gameover كه مبتني بر بدافزار زئوس بود، منتشر شد.
روز جمعه محققان امنيتي CSIS Security Group از دانمارك اعلام كردند كه كد منبع تروجان بانكداري ديگري با نام Tinba در فروم هاي زيرزميني منتشر شده است.

شماره: IRCNE2014072254
تاريخ: 24/04/93

شركت اوراكل شايعه عدم اعمال به روز رساني هاي جاوا 7 بر روي ويندوز XP را رد كرد. Henrik Stahl، مدير محصولات جاوا در پستي نوشت: انتظار مي رود طبق برنامه زمانبندي شده اصلاحيه هاي تمامي نسخه هاي جاوا بر روي ويندوز XP قابل اعمال باشند.
اصلاحيه هاي امنيتي جاوا 7 امروز منتشر خواهد شد و 20 مساله امنيتي را برطرف خواهند كرد. اين مشكلات مي توانند از راه دور و بدون تاييد هويت مورد سوء استفاده قرار بگيرند.
شركت مايكروسافت از هشتم آوريل پشتيباني از ويندوز XP را متوقف كرد. شركت اوراكل نيز اعلام كرد كه پشتيباني فني براي ويندوز XP را متوقف خواهد كرد.
اگر اوراكل اعمال به روز رساني هاي امنيتي را براي ويندوز XP متوقف كند، كاربران مجبور خواهند شد از نسخه هاي به روز نشده و آسيب پذير اين نرم افزار استفاده كنند اما با توجه به گفته هاي Stahl اين اتفاق نمي افتد.
او با توجه به انتشار شايعاتي مبني بر عدم پشتيباني جاوا از ويندوز XP اظهار داشت كه هر مطلبي را كه در اينترنت مي خوانيد باور نكنيد. كاربران ويندوز XP مي توانند تا حداقل آوريل 2015 اصلاحيه هاي امنيتي جاوا 7 را به طور خودكار دريافت نمايند.

Number: IRCNE2014072255
Date: 2014-07-15

According to “computerworld”, a new Trojan program designed to steal log-in credentials and other financial information from online banking websites is being advertised to cybercriminal groups on the underground market.
The new malware is called Kronos, and based on a recent ad seen in a Russian cybercriminal forum it can steal credentials from browsing sessions in Internet Explorer, Mozilla Firefox and Google Chrome by using form-grabbing and HTML content injection techniques, said Etay Maor, a senior fraud prevention strategist at IBM subsidiary Trusteer, Friday in a blog post.
According to the ad, the new threat is compatible with content-injection scripts -- also known as Web injects -- developed for Zeus, a popular online banking Trojan that's no longer in development. This design decision is intended to allow cybercriminals who still use Zeus variants in their operations to easily switch to Kronos.
In addition to the information-theft capabilities, the new Trojan has a user-mode rootkit component for 32-bit and 64-bit Windows systems that can protect its processes from competing malware. Its creator also claims that Kronos can evade antivirus detection and sandbox environments typically used for malware analysis.
According to researchers from Kaspersky Lab, who have also seen the Kronos advertisements on several underground forums last week, the new online banking threat appears to be based on the source code of Carberp.
News of this new online banking malware threat comes after law enforcement agencies from several countries at the beginning of June worked with security vendors to shut down a financial fraud botnet based on a Zeus spin-off called Gameover.
On Friday, security researchers from CSIS Security Group in Denmark reported that the source code of yet another online banking Trojan called Tinba was leaked on underground forums.

Number: IRCNE2014072254
Date: 2014-07-15

According to “computerworld”, Oracle has dispelled rumors that the upcoming security update for Java 7 and those it will release in the future might not work on Windows XP.
"We expect all versions of Java that were supported prior to the Microsoft de-support announcement to continue to work on Windows XP for the foreseeable future," said Henrik Stahl, vice-president of product management in the Java Platform Group at Oracle, in a blog post Friday.
The next security updates for Java 7 will be released Tuesday and will address 20 security issues that can be exploited remotely without authentication.
Microsoft ended general support for Windows XP on April 8, leaving users of the 12-year-old OS without access to future security updates. As a result, Oracle announced earlier this year that it too will stop providing official support for Windows XP.
If Oracle had stopped issuing working Java 7 security updates for Windows XP, it would have forced users of the OS to run outdated and vulnerable versions of the software, but according to Stahl, that won't happen.
"Don't believe everything you read on the Internet," he said in the blog post, referring to rumors that the Java 7 security update will not work on the aging OS. Windows XP users will continue to receive automatic security updates for Java 7 until at least April 2015, when public updates for this version of Java are scheduled to stop, he said.

شماره: IRCNE2014072253
تاريخ :93/4/22

امروزه روند رو به رشدي از حملات به داده هاي كارت هاي اعتباري از طريق آلوده سازي ترمينال هاي POS مشاهده مي گردد كه حدود يك سوم آنها بدليل استفاده از كلمات عبور پيش فرض نرم افزارهاي مديريت از راه دور مي باشد.
محققان شركت امنيتي FireEye بتازگي موفق به شناسايي بات نتي به نام BrutPOS شدند كه به طور خاص سعي در نفوذ به سيستم‌هايPOS مي‌كند. اين بدافزار با آلوده كردن هزاران سيستم و اسكن سرورهاي RDP كه داراي كلمات عبورضعيف يا پيش فرض هستند، سيستم هاي POS آسيب پذير را پيدا مي كند.
علت اين نام‌گذاري اين بدافزار، استفاده از حمله Brute force براي دسترسي به سيستم‌هاي POSبوده است. در يك حمله Brute force مهاجم با وارد كردن مجموعه اي از نام كاربري / رمز عبور هاي معمول و پيش فرض براي دسترسي به سيستم تلاش مي‌كند. اين بدافزار با استفاده از بات نتي از سيستم هاي آلوده شده، سرورهاي POS را اسكن مي كند و سپس با حمله Brute force به سيستم نفوذ مي كند.
بررسي‌هاي انجام شده روي سرور فرمان و كنترل (C2)بيانگر آن است كه بات نت BrutPOS مجموعا 5622 سيستم را آلوده كرده است. در مجموع، پنج سرور فرمان و كنترل براي BrutPOS شناسايي شده كه در حال حاضر دو مورد آنها هنوز فعال هستند.
بهترين راه محافظت سيستم هاي POS از اين بدافزار آن است كه مديران سيستم، رمزعبور هاي پيش فرض خود را تغييردهند. در ضمن پروتكل RDP (پروتكل دسكتاپ راه دور) كه بر روي پورت 3389 اجرا مي شود، بايستي تنها از سيستم ها مشخص و امن قابل دسترسي باشد. چون اين بدافزار به طور خاص از پروتكل RDP براي بدست آوردن دسترسي استفاده مي كند. بنابراين توجه كنيد كه دسترسي از طريق پورت 3389به ترمينال هاي POS از سيستم هاي غيرمديريتي اصلاً لازم نيست و دسترسي شبكه داخلي به آنها نيز بايستي كاملاً محدود گردد.
گزارش تحليلي در خصوص اين بدافزار در آينده منتشر خواهد شد.

شماره: IRCNE2014072252
تاريخ: 22/4/93

مايكروسافت يك راهنمايي امنيتي با عنوان «Improperly Issued Digital Certificates Could Allow Spoofing» منتشر كرده است تا موضع خود را در قبال گواهينامه‌هاي جعلي صادر شده توسط مركز اطلاعات ملي هند مشخص نمايد.
مركز صدور گواهي ديجيتال متعلق به مركز اطلاعات ملي هند، تعدادي دامنه متعلق به گوگل را صادر كرده است كه درصورتي‌كه برنامه‌اي به اين گواهينامه‌ها اعتماد كند، پتانسيل حملات كلاهبرداري و man-in-the-middle را ايجاد مي‌نمايند. گوگل اعلام كرد كه اين گواهينامه‌ها مورد اعتماد محصولات اين شركت نيستند، اما اين موضوع در مورد محصولات مايكروسافت صحيح نيست.
مايكروسافت در راهنمايي امنيتي خود نوشته است كه ليست گواهينامه‌هاي قابل اعتماد خود را براي تمامي نسخه‌هاي پشتيباني شده ويندوز به‌روز رساني كرده است و گواهينامه‌هاي مذكور را از آن حذف كرده است. قطعاً اين بدان معناست كه كاربران ويندوز XP اين تغييرات را دريافت نخواهند كرد.
يك به‌روز رسان خودكار براي سيستم‌هايي كه از ويندوز 8، ويندوز 8.1، ويندوز RT، ويندوز RT 8.1، ويندوز سرور 2012، ويندوز سرور 2012 R2، ويندوز فون 8 يا ويندوز فون 8.1 استفاده مي‌كنند، اين تغييرات را اعمال خواهد كرد. براي كاربراني كه از ويندوز ويستا، ويندوز 7، ويندوز سرور 2008 يا ويندوز سرور 2008 R2 نيز يك به‌روز رسان خودكار سال پيش ارائه شده بود كه اين كار را انجام مي‌دهد.
كاربراني كه اين به‌روز رسان را نصب نكرده‌اند بايد از دستورات ارائه شده در راهنمايي امنيتي مايكروسافت پيروي كنند.
اين راهنمايي امنيتي فهرست دامنه‌هايي كه به اين شكل صادر شده‌اند را منتشر كرده است. 17 دامنه متعلق به گوگل شامل google.com، m.gmail.com و gstatic.com از آن جمله است. همچنين 27 دامنه متعلق به ياهو است كه از آن جمله مي‌توان به mail.yahoo.com، profile.yahoo.com و me.yahoo.com اشاره كرد.
به‌روز رساني خبر:
كاربراني كه به روز رساني خودكار سيستم آنها فعال نيست، مي توانند با استفاده از دو لينك زير، به روزرساني هاي مرتبط با سيستم عامل خود را دريافت نمايند.

https://support.microsoft.com/kb/2813430
https://support.microsoft.com/kb/2677070

لازم به ذكر است كاربراني كه از ويندوز سرور نسخه 2003 استفاده مي نمايند، در حال حاضر هيچگونه به روز رساني براي اين سيستم عامل ارايه نشده است.
به منظور اطمينان از نصب و به روزرساني موفقيت آميز گواهينامه هاي سرقت شده، در سيستمهايي كه از ويژگي به روزرساني خودكار استفاده مي نمايند، مي توانيد با مراجعه به لاگ مربوط به برنامه كاربردي در event viewer ، خروجي زير را بررسي نماييد.

Source: CAPI2
Level: Information
Event ID: 4112
Description: Successful auto update of disallowed certificate list with effective date: Thursday, July 3, 2014 (or later).

همچنين در سيستمهايي كه داراي ويژگي به روزرساني خودكار نمي باشند، كنسول Certificates MMC snap-in لاگ مربوط به اضافه شدن گواهي سرقت شده در فهرست گواهي هاي نامعتبر را نمايش مي دهد:

Certificate
Issued by
Thumbprint

NIC Certifying Authority
CCA India 2007
‎48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf

NIC CA 2011
CCA India 2011
‎c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2

NIC CA 2014
CCA India 2014
‎d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a

ID: IRCNE2014072252
Date: 2014-07-13

According to “ZDNet”, Microsoft has issued a security advisory entitled "Improperly Issued Digital Certificates Could Allow Spoofing" to announce its countermeasures to the release of false domains by the certificate authority of the National Informatics Centre (NIC), an agency of the government of India.
We first wrote of these events yesterday following Google's response to them. For reasons still unexplained, the NIC's CA issued a number of domains that belonged to Google, creating the potential for spoofing and man-in-the-middle attacks if a program trusted the certificates. Google explained that its own products did not trust the Government of India Controller of Certifying Authorities (CCA), under which the NIC operates subordinate CAs. But, they noted, Microsoft's Trusted Root Store did include the CCA.
The Microsoft advisory repeats that the root store had trusted the NIC subordinate CAs and thanks Adam Langley and the Google Chrome Security Team for informing them of it.
It adds that they have updated "...the Certificate Trust list (CTL) for all supported releases of Microsoft Windows to remove the trust of certificates that are causing this issue." Note that this would indicate that Windows XP users will not receive the change.
For systems and devices running Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Phone 8 or Windows Phone 8.1, an automatic updater is included which will apply this change. For users running Windows Vista, Windows 7, Windows Server 2008, or Windows Server 2008 R2, an automatic updater was provided last year, which will do the same.
Users who have not installed the updater should follow instructions in the advisory.
The advisory lists the domains that were improperly issued. There are 17 Google domains, including google.com, m.gmail.com and gstatic.com. There are 27 Yahoo domains, including mail.yahoo.com, profile.yahoo.com and me.yahoo.com. Finally, static.com, a cloud PaaS (Platform as a Service) is included. (Since Google domains ending in gstatic.com were included, static.com may be an error on someone's part.)

شماره: IRCNE2014072251
تاريخ: 21/04/93

با توجه به يافته هاي محققان، ممكن است اطلاعات كاربران اپل كه بر روي دستگاه هاي تلفن همراه خود از سرويس جي ميل استفاده مي كنند در معرض خطر قرار گيرند.
Avi Bashan، مدير امنيت اطلاعات از Lacoon Mobile Security گفت: دليل اين مشكل عدم پياده سازي فناوري امنيتي توسط گوگل است. اين فناوري امنيتي مانع مشاهده و تغيير ارتباطات رمزگذاري شده بين كاربر و گوگل توسط مهاجم مي شود.
وب سايت ها براي رمزگذاري ترافيك داده هايي كه از پروتكل هاي SSL/TLS استفاده مي كنند، از گواهينامه هاي ديجيتالي استفاده مي كنند. اما در برخي موارد اين گواهينامه ها مي توانند توسط مهاجمان جعل شوند و در نتيجه مي توانند ترافيك مورد نظر را مشاهده كرده و آن را رمزگشايي كنند. اين تهديد مي تواند از طريق گواهينامه "pinning" از بين برود.
برخلاف اندرويد، گوگل اين كار را براي iOS انجام نداده است و اين بدان معناست كه يك مهاجم مي تواند حملات MitM را اجرا كند و ارتباطات رمزگذاري شده را بخواند. گوگل اين مشكل را تاييد كرده است اما هم چنان آن را برطرف نكرده است.
مشخص نيست كه چرا گوگل از گواهينامه “pinning” براي iOS استفاده نكرده است. اما حدود سه سال پيش يك مهندس امنيت گوگل كه بر روي اين قبيل مسائل امنيتي كار مي كرد سناريويي را مطرح كرد كه مديريت گواهينامه هاي ديجيتال بسيار پيجيده است.
Lacoon سناريوي حمله اي را توضيح مي دهد كه مهاجم كاربر را به گونه اي فريب مي دهد تا يك فايل مديريت پيكربندي دستگاه iOS كه حاوي يك گواهينامه ديجيتال root مخرب است را نصب نمايد. اين گواهينامه يك گواهينامه جعلي مي باشد كه به كاربر اجازه مي دهد تا به سايت جعلي جي ميل متصل شود.
Bashan نوشت: ما از اين يافته ها تعجب كرديم زيرا گوگل اين گواهينامه ها را براي دستگاه هاي اندرويد پياده سازي كرده است اما اين امكان وجود دارد كه عدم پياده سازي اين گواهينامه ها براي iOS يك اشتباه بوده است.

شماره: IRCNE2014072250
تاريخ: 21/4/93

هفته گذشته گوگل از صدور دامنه‌هاي جعلي گوگل توسط مؤسسه اطلاعات ملي (NIC) هند آگاه شد كه چندين گواهينامه CA مورد اعتماد مركز صدور گواهينامه هند (CCA) را در اختيار دارد.
به گفته يك مهندس ارشد گوگل، كاربران كروم و ساير محصولات گوگل در معرض خطر كلاهبرداري توسط اين دامنه‌ها قرار ندارند. ولي مركز صدور گواهينامه‌هاي هند مورد اعتماد مايكروسافت است و اين بدان معناست كه اغلب برنامه‌هاي ويندوز كه از SSL استفاده مي‌كنند، به شكل پيش‌فرض به اين گواهينامه‌ها اعتماد مي‌نمايند.
گوگل بلافاصله به مركز اطلاعات ملي و مركز صدور گواهينامه‌هاي هند و همچنين به مايكروسافت اطلاع‌رساني كرده است. مايكروسافت گواهينامه مركز اطلاعات ملي هند را ابطال كرده است. مركز صدور گواهينامه‌هاي هند اطلاعيه‌اي در وب‌سايت خود قرار داده است و در آن اعلام كرده است كه بنا بر مسائل امنيتي، 3 گواهينامه CA صادر شده براي NICCA به حالت تعليق درآمده‌اند و CRL هاي مرتبط به همين منظور به روز رساني شده‌اند.
به اين ترتيب مركز اطلاعات ملي هند و گواهينامه‌هاي صادر شده توسط آن اكنون غير قابل اعتماد هستند.
گواهينامه‌هاي مركز صدور گواهينامه‌هاي هند جزو گواهينامه‌هاي مورد اعتماد اپل، فايرفاكس، كروم و اندرويد نبوده‌اند. كاربران كروم سيستم‌هاي ويندوز به شكل پيش‌فرض توسط certificate pinning كه به طور خاص دامنه‌هاي گوگل را تحت حفاظت قرار مي‌دهد، محافظت شده هستند. گوگل همچنين CRLSet ها را براي مسدود كردن دامنه‌هاي مشكل‌دار به‌روز رساني كرده است.