شماره: IRCNE2014072242
تاريخ: 18/04/93

شركت ادوب اصلاحيه هاي امنيتي فلش پلير را براي تمامي پلت فرم ها منتشر كرد. نسخه جديد اين نرم افزار سه آسيب پذيري بحراني را برطرف مي كند.
نسخه جديد براي كاربران ويندوز و مكينتاش، 14.0.0.145 مي باشد. كاربران لينوكس بايد اين نرم افزار را به نسخه 11.2.202.394 ارتقاء دهند. كاربران گوگل كروم و IE بر روي ويندوز 8 به روز رساني هاي مربوط به فلش پلير تعبيه شده در اين مرورگرها را به طور خودكار دريافت مي كنند. هم چنين محصولات Adobe AIR تحت تاثير اين آسيب پذيري ها قرار دارند و بايد به نسخه 14.0.0.137 به روز رساني شوند.
شركت ادوب توضيحات بيشتري در خصوص آسيب پذيري هاي اصلاح شده منتشر نكرد و تنها اشاره كرده است كه اين سه آسيب پذيري مي توانند به طور بالقوه مورد سوء استفاده قرار بگيرند تا هكرها كنترل كامل سيستم آلوده را بدست آورند. بولتن اين آسيب پذيري ها، آسيب پذيري هاي دور زدن امنيت ناميده شده است.

ID: IRCNE2014072246
Date: 2014-07-09

According to “ITPro”, Days after cinemas across the UK banned Google Glass, another potential criminal use for the tech has been uncovered.
Cyber forensics experts from the University of Massachusetts have created software that allows wearers to track where others are touching their screens, thus detecting their passcodes.
Using video taken with Google Glass and other video-capturing devices, the software researchers have developed software that allows anyone to map where fingers have touched the tablet or phone screen, even from ten feet away.
The algorithm that converts these touch points into the actual keys has reportedly been tested on an iPad, a Nexus 7 tablet and an iPhone 5.
Researchers have also claimed the software could potentially give Glass wearers access to important information such as bank account passwords.
Though this technology is already available to crooks using webcams and camcorders, wearable tech has made the practice much harder to detect, and thus much more dangerous.
With Google Glass and other wearables such as smartwatches, those out to steal your information can more easily go unnoticed.

Number: IRCNE2014072245
Date: 2014-07-11

According to “techworld”, implementation issues with AVG Secure Search, a browser toolbar from antivirus vendor AVG Technologies that's supposed to protect users from malicious websites, could have allowed remote attackers to execute malicious code on computers.
The toolbar, also known as AVG SafeGuard, supports Google Chrome, Internet Explorer and Mozilla Firefox running on Windows XP and later, and is often bundled as an optional installation with popular free software programs.
According to researchers from the CERT Coordination Center (CERT/CC) at Carnegie Mellon University, versions 18.1.6 and older of AVG Secure Search and AVG SafeGuard install an ActiveX control called ScriptHelperApi in Internet Explorer that exposes sensitive functionality to websites.
All these conditions make it possible for an attacker to execute malicious code on the computer of a user who has a vulnerable version of AVG Secure Search installed, if the user opens a specifically crafted HTML Web page, email message or attachment in Internet Explorer. The rogue code would be executed with the privileges of the logged-in user, Dormann said.
AVG fixed the security issue in AVG Secure Search 18.1.7.598 and AVG Safeguard 18.1.7.644 released in May. It's not clear if the toolbar updates itself, so users should make sure that they download and install the latest version if they intend to keep using it.
"If you must use a service known for bundling adware into their installers, pay careful attention to the installation steps to make sure to opt out of any additional software choices provided," Dormann said. "Even installing applications such as Oracle Java or Adobe Flash may result in unwanted software, such as browser toolbars, if you are not careful."

ID: IRCNE2014072244
Date: 2014-07-09

According to “ComputerWorld”, A vulnerability present in most Android devices allows apps to initiate unauthorized phone calls, disrupt ongoing calls and execute special codes that can trigger other rogue actions.
The flaw was found and reported to Google late last year by researchers from Berlin-based security consultancy firm Curesec, who believe it was first introduced in Android version 4.1.x, also known as Jelly Bean. The vulnerability appears to have been fixed in Android 4.4.4, released on June 19.
However, the latest version of Android is only available for a limited number of devices and currently accounts for a very small percentage of Android installations worldwide. Based on Google's statistics, almost 60 percent of Android devices that connected to Google Play at the beginning of June ran versions 4.1.x, 4.2.x and 4.3 of the mobile OS. Another 13 percent ran versions 4.4, 4.4.1, 4.4.2 or 4.4.3, which are also vulnerable. Version 4.4.4 had not been released at that time.
The issue allows applications without any permissions whatsoever to terminate outgoing calls or call any numbers, including premium-rate ones, without user interaction. This bypasses the Android security model, where apps without the CALL_PHONE permission should not, under normal circumstances, be able to initiate phone calls.
The flaw can also be exploited to execute USSD (Unstructured Supplementary Service Data), SS (Supplementary Service) or manufacturer-defined MMI (Man-Machine Interface) codes. These special codes are inputted through the dial pad, are enclosed between the * and # characters, and vary between different devices and carriers. They can be used to access various device functions or operator services.
The new vulnerability might be exploited by malware for some time to come, especially since the patching rate of Android devices is very slow and many devices never get updated to newer versions of the OS.
The attack is not exactly silent, as users can see that a call is in progress by looking at the phone, but there are ways to make detection harder.
A malicious app could wait until there is no activity on the phone before initiating a call or could execute the attack only during nighttime. The app could also completely overlay the call screen with something else, like a game.

Number: IRCNE2014072243
Date: 2014-07-11

According to “zdnet”, Microsoft today released six security bulletins and updates to address the vulnerabilities disclosed in them. The updates address a total of 29 vulnerabilities.

• MS14-037: Cumulative Security Update for Internet Explorer (2975687) — This update fixes 24 vulnerabilities, all of them memory corruption vulnerabilities, in every supported version of Internet Explorer. None of the vulnerabilities had been publicly disclosed or exploited.
• MS14-038: Vulnerability in Windows Journal Could Allow Remote Code Execution (2975689) — A user who opens a specially-crafted Journal file can be exploited in their user context. All versions of Windows since Vista are affected and the vulnerability is critical on all of them. Running as a standard user limits the potential damage.
• MS14-039: Vulnerability in On-Screen Keyboard Could Allow Elevation of Privilege (2975685) -This vulnerability is rated important.
• MS14-040: Vulnerability in Ancillary Function Driver (AFD) Could Allow Elevation of Privilege (2975684) — An attacker who has rights to log on locally could run a malicious program that would elevate privileges to kernel mode. This vulnerability is rated important.
• MS14-041: Vulnerability in DirectShow Could Allow Elevation of Privilege (2975681) — This vulnerability is rated important.
• MS14-042: Vulnerability in Microsoft Service Bus Could Allow Denial of Service (2972621) — A remote authenticated attacker could create and run a program that sends a sequence of specially crafted Advanced Message Queuing Protocol (AMQP) messages to the target system, triggering a denial of service. This vulnerability is rated moderate.

As is usually the case, Microsoft will also release a new version of the Windows Malicious Software Removal Tool and a large collection of non-security updates to various Windows versions.

Number: IRCNE2014072242
Date: 2014-07-11

According to “zdnet”, Adobe has released security updates for Flash Player on all platforms. The new software fixes three critical vulnerabilities disclosed by Adobe.
The new version for Mac and Windows users is 14.0.0.145. The new Linux version is 11.2.202.394. Users can manually update through the link nearby. Users of Google Chrome and Microsoft Internet Explorer on Windows 8 will receive automatic updates to the Flash Player embedded in their browsers from those companies. Users may determine the Flash Player version they are running on this test page.
Adobe AIR products are also affected and users should update to version 14.0.0.137.
The company does not provide any useful description of the vulnerabilities fixed in their bulletins. They say that these vulnerabilities "...could potentially allow an attacker to take control of the affected system." The bulletin calls two of the bugs "security bypass vulnerabilities."

آزمايشگاه امنيت كسپرسكي هشدار داد كه حملات بدافزار جاسوسي Miniduke دوباره بازگشته و طيف وسيعي از كاربران را هدف قرار داده است. اين شركت امنيتي حملات بدافزار Miniduke را در سال 2013 هشدار داده بود و در اين حملات، دولت ها بيشتر قرباني اين نرم افزار جاسوسي بودند. Eugene Kaspersky بنيان گذار و مديرعامل كسپرسكي در خصوص اين بدافزار مي گويد “ما از نويسندگان اين بدافزار تعجب مي كنيم كه در دهه اول 2000 براي مدت زيادي در خاموشي بسر مي بردند، سپس به يكباره فعال و عضو گروه هاي پيچيده از مجرمان سايبري دنيا شدند. نويسندگان اين بدافزار قديمي در گذشته در ايجاد بدافزارهاي پيچيده بسيار موثر عمل مي كردند ولي در حال حاضر مهارت هاي آنها در جنگ با sandboxهاي پيشرفته اي هست كه از اجراي اكسپلويت هاي مختلف و هدف قرار دادن سازمان ها و نهادهاي دولتي و موسسات تحقيقاتي چندين كشور جلوگيري مي كند."
ولي به تازگي به نظر مي رسد زمان هاي بين فعاليت هاي مجدد اين بدافزار كاهش يافته است، و از آخرين گزارش كسپرسكي در اين خصوص تنها يك سال مي گذرد. اخيراً كسپرسكي خبرهايي را در مورد حملات جديد اين بدافزار منتشر كرده است و گمان مي رود كه اين بدافزار Miniduke پيچيده تر و مورد استفاده سازمان هاي مجري قانون باشد. در ضمن در حال حاضر اين بدافزار داراي يك backdoor جديد و قابليت هاي بيشتري از Cosmicduke است. محققان آزمايشگاه كسپرسكي دريافته اند كه نوع قديم بدافزار miniduke كه از سال 2013 نصب شده اند هنوز در برخي كشورها فعال هستند و برخي موسسات و سازمان هاي دولتي را هدف قرار مي دهند.
به علاوه پلتفرم جديد miniduke- Botgenstudio-ممكن است نه تنها توسط هكرهاي حملات هدفمند(APT) بكار گرفته شود بلكه توسط سازمان هاي مجري قانون و مجرمان معمولي نيز مورد استفاده قرار گيرد. Botgenstudio براي ايجاد يك حمله سه جانبه جهت شناسايي، نفوذ و حملات متناوب بكار مي رود. اين نرم افزار به علت وجود ويژگي هاي غيرمنتظره، قربانيان غيرمنتظره نيز دارد.
اما دو احتمال در مورد اين بدافزار وجود دارد. يكي آنكه پلتفرم بدافزار Botgenstudio كه در Miniduke استفاده مي شود به عنوان نرم افزارهاي جاسوسي دولت ها مانند نرم افزار دسترسي از راه دور شركت hacking team جهت استفاده قانوني بكار مي رود. احتمال ديگر آن است كه توسط گروه هاي زيرزميني و كسب و كارهاي مختلف جهت جاسوسي از رقيبان استفاده مي شود.

منابع :

[1] http://www.theinquirer.net/inquirer/news/2353682/kaspersky-tracks-the-return-of-miniduke-spyware
[2] http://www.securelist.com/en/blog/208214341/Miniduke_is_back_Nemesis_Gemina_and_the_Botgen_Studio

شماره: IRCNE2014072240
تاريخ:14/04/93

يك آسيب پذيري بحراني در پلاگين وردپرس يافت شده است كه بيش از 1.7 ميليون بار دانلودشده است و به مهاجمان اجازه مي دهد تا به طور بالقوه كنترل كامل وبلاگي كه از اين پلاگين استفاده مي كند را در اختيار بگيرند.
اين حفره كه توسط محققان شركت امنيتي Sucuri كشف شده است در پلاگين MailPoet Newsletters قرار دارد كه قبلا با نام wysija-newsletters شناخته مي شد.
Daniel Cid، مدير فناوري شركت Sucuri در پستي در يك وبلاگ نوشت: اين مشكل بسيار جدي است زيرا به مهاجم اجازه مي دهد تا هر كاري را كه مي خواهد بر روي وب سايت قرباني انجام دهد. هم چنين به هر فايل PHP اجازه مي دهد تا آپلود شود. اين مساله مي تواند به مهاجم اجازه دهد تا از وب سايت ها براي حملات سرقت هويت، ارسال هرزنامه، ميزباني بدافزار و آلوده كردن مشتريان ديگر استفاده نمايد.
اين آسيب پذيري در MailPoet نسخه 2.6.7 اصلاح شده است در نتيجه تمامي مديران بلاگ وردپرس بايد اين پلاگين را در اسرع وقت به آخرين نسخه ارتقاء دهند.

شماره: IRCNE2014072239
تاريخ:14/04/93

كليد دسترسي حفاظت نشده SSH در محصول Cisco Unified Communications Domain Manager كه براي پشتيباني راه دور مورد استفاده قرار مي گيرد به مهاجمان اجازه مي دهد تا كنترل كامل دستگاه هاي آلوده را در اختيار بگيرند.
Cisco Systems روز چهارشنبه اصلاحيه هايي را براي پلت فرم CUCDM و برنامه هاي نرم افزاري منتشركرد تا مساله راه نفوذ مخفي را در آن ها برطرف نمايد و هم چنين يك آسيب پذيري بحراني را اصلاح نمايد كه به مهاجمان اجازه مي دهد تا دستورات دلخواه را با افزايش حق دسترسي اجرا نمايند.
پلت فرم CUCDM به شركت ها اجازه مي دهد تا برنامه هاي Cisco Unified Communications خود را از يك پلت فرم واحد مديريت نمايند. اين برنامه هاي كاربردي شامل ويدئو، صدا، پيام رساني، پيام فوري و ساير خدمات محيط هاي بزرگ مي باشد.
به مديران شبكه توصيه مي شود تا نرم افزار پلت فرم CUCDM را به نسخه 4.4.2 و نرم افزار برنامه كاربردي CUCDM را به نسخه 8.1.4 ارتقاء دهند.
آسيب پذيري كليد دسترسي SSH مي تواند توسط يك مهاجم راه دور تاييد هويت نشده مورد سوء استفاده قرار بگيرد تا به حساب كاربري root سيستم CUCDM دسترسي يابد.
حفره ديگري كه باعث افزايش حق دسترسي مي شود در نرم افزار برنامه كاربردي CUCDM قرار دارد و به دليل پياده سازي نامناسب كنترل كننده تاييد هويت و تفويض اختيار در واسط مبتني بر وب كابر ايجاد شده است. يك مهاجم مي تواند از اين حفره سوء استفاده نمايد تا اعتبارنامه هاي يك كاربر مديريتي را توسط باز كردن يك URL دستكاري شده خاص تغيير دهد. مهاجم نياز دارد تا به عنوان يك كاربر در سيستم تاييد هويت شود يا يك كاربر فعال را فريب دهدتا بر روي يك لينك مخرب كليك نمايد.
هم چنين نرم افزار برنامه كابردي CUCDM تحت تاثير آسيب پذيري ديگري قرار دارد كه به مهاجمان تاييد هويت نشده اجازه مي دهد تا اطلاعات كاربران پرتال وب را از قبيل تنظيمات دايركتوري تلفن شخصي كاربر، سرعت شماره گيري، Single Number Reach و تنظيمات call forward تغيير دهند.
در حال حاضر براي اين آسيب پذيري اصلاحيه اي در دسترس نيست اما شركت سيسكو در سندي مجزا راه حل هاي مقابله با آسيب پذيري را اعلام كرده است. اين حفره نسخه 10 نرم افزار برنامه كاربردي CUCDM را تحت تاثير قرار نمي دهد.

شماره: IRCNE2014072241
تاريخ: 14/4/93

يك تروجان دسترسي از راه دور جديد براي دستگاه‌هاي اندرويد به نام com.II، در حال تهديد داده‌هاي بانكي، پيام‌هاي كوتاه و ليست تماس كاربران موبايل است.
به گزارش شركت امنيتي FireEye، اين تروجان قادر است ابتدا آنتي ويروس سيستم اندرويد را غيرفعال نمايد و سپس به دنبال برنامه‌هاي بانكي گشته و آنها را با برنامه‌هاي جعلي جايگزين كند. اين بدافزار سپس به‌روز رساني‌هاي برنامه خرابكار را نصب كرده و اقدام به سرقت و ارسال پيام‌هاي كوتاه كرده و به ليست تماس دسترسي پيدا مي‌كند.
وبلاگ FireEye مدعي است كه com.II با تركيب فعاليت‌هاي مختلف ناخوشايند در يك برنامه، بدافزارهاي اندرويدي را به سطح جديدي رسانده است. اين بدافزار داراي يك ويژگي به نام Bank Hijack بوده و هشت بانك را در كره هدف قرار داده است و اين ترس وجود دارد كه اين بانك‌ها به زودي افزايش پيدا كرده و گسترده شوند.
يك متخصص بدافزارها معتقد است كه احتمال زيادي وجود دارد كه اين تروجان براي هدف قرار دادن جوامع بانكي مختلف مورد استفاده قرار گيرد و با توجه به منطقه، زبان و قلمرو فعاليت، تغيير يابد.
به گفته وي، بدافزارهايي با اين طبيعت، نشان دهنده اهميت فروشگاه‌هاي برنامه‎‌ها در امنيت دستگاه‌هاي موبايل هستند. كاربراني كه برنامه‌هايي را از منابعي به جز منابع رسمي قبول مي‌كنند، ريسك بسيار بالاتري در نصب بدافزار دارند. فروشگاه‌هاي گوگل و اپل نقش بسيار مهمي در محافظت كاربران عادي در برابر بدافزارها دارند. خطرات ساير منابع براي دريافت برنامه‌ها بسيار واقعي است.
اين بدافزار براي به دست آوردن دسترسي مورد نياز خود، تحت عنوان يك Google Services Framework از كاربران مي‌خواهد كه آن را با حق دسترسي مديريتي نصب نمايند. سپس اين تروجان گزينه uninstall را غيرفعال مي‌كند. از 54 آنتي ويروس تست شده توسط محققان، فقط 5 آنتي ويروس قادر بوده‌اند اين بدافزار را با موفقيت تشخيص دهند.