شماره: IRCNE2014072238
تاريخ: 14/4/93

اوراكل به پشتيباني از جاوا بر روي ويندوز XP پايان داد. در نتيجه، به‌روز رساني‌هاي امنيتي سه ماهه كه براي پانزدهم جولاي برنامه‌ريزي شده‌اند، شامل هيچ ترميمي براي ويندوز XP نخواهند بود.
اين شركت در يك سؤال متداول بر روي سايت جاواي خود تأكيد كرده است كه اتمام دوره پشتيباني مايكروسافت از ويندوز XP، دليل اوراكل براي اين تصميم‌گيري است. كاربران مي‌توانند همچنان جاوا 7 را با قبول ريسك آن اجرا نمايند. جاوا 8 (نسخه اصلي بعدي جاوا) براي ويندوز XP در دسترس نخواهد بود.
مدير عامل شركت امنيتي دانماركي Hemidal Security در يادداشتي نوشت كه پس از اينكه اين به‌روز رساني‌ها اعمال گردند، ديگر جاوا بر روي ويندوز XP بارگذاري نخواهد شد. به گفته وي، نسخه‌هاي جديد جاوا عبارتند از 7u65 و 8u11.
مدير محصول جاوا در اوراكل نوشت:
«همانطور كه مي‌دانيد مايكروسافت ديگر ويندوز XP را پشتيباني نمي‌كند و به كاربران خود توصيه كرده است كه به جهت داشتن محيطي پايدار و امن، به نسخه‌هاي جديدتر ويندوز مهاجرت نمايند.
اوراكل نيز همين توصيه را به كاربران جاواي ويندوز دارد و همچنين توصيه مي‌كند كه با جديدترين نسخه امنيتي جاواي 7 و 8 به‌روز باشند. جاوا 8 داراي يك سري مسائل عدم سازگاري با ويندوز XP است، به همين دليل اين جاوا بر روي ويندوز XP پشتيباني نمي‌شود. البته ما به دنبال راه‌هايي براي حل اين مسأله هستيم.
در حال حاضر ما كاربران جاواي ويندوز XP را با به‌روز رساني آنها به آخرين به‌روز رساني امنيتي جاوا 7 امن خواهيم كرد. كاربران جاواي نسخه‌هاي جديدتر ويندوز مي‌توانند بين جاوا 7 و جاوا 8 انتخاب كنند و بر اساس انتخاب خود به‌روز رساني‌هاي امنيتي را دريافت نمايند.»
بر اساس اين توضيحات مشخص نيست كه كاربران ويندوز XP در آينده قادر به استفاده از جاوا باشند يا نه و بايد ريسك آن را خود بپذيرند.

شماره: IRCNE2014072237
تاريخ:14/04/93

شركت مايكروسافت اطلاعاتي در خصوص به روز رساني هاي سه شنبه اصلاحيه ماه ژوئيه 2014 منتشر كرد. روز سه شنبه 8 ژوئيه، شش به روز رساني براي محصولات مايكروسافت منتشر خواهد شد كه دو به روز رساني در رده امنيتي بحراني قرار دارند.
سه اصلاحيه ويندوز در رده امنيتي مهم قرار دارند كه تمام آن ها مشكلات مربوط به افزايش حق دسترسي مي باشد. هم چنين يك به روز رساني براي "Microsoft Service Bus for Windows Server" در رده امنيتي متوسط قرار دارد و مربوط به آسيب پذيري انكار سرويس مي باشد.
طبق روال گذشته شركت مايكروسافت نسخه جديد ابزار Windows Malicious Software Removal Tool و تعدادي به روز رساني غيرامنيتي را منتشر خواهد كرد.

ID: IRCNE2014072241
Date: 2014-07-05

According to “ITPro”, A new remote access Trojan malware for Android devices, dubbed com.II, is threatening users’ mobile banking data, SMS messages and contact lists.
According to a blog by security vendor FireEye, the offending RAT is able to disable anti-virus systems Android users have in place, before scanning for banking apps and replacing them with fake ones. The malware then installs malicious app updates, steals and sends SMS messages and gains access to contact lists.
The blog claims that com.II “takes Android malware to a new level” by combining so many unwanted activities into a single app. The malware contains a feature called ‘Bank Hijack’ and is targeting eight banks in Korea, with fears this could quickly expand to many more.
Paco Hope, principle consultant with Cigital and a UK-based malware expert, restated concerns the RAT could pose a significant threat to mobile banking customers worldwide.
Speaking to SCMagazineUK, he said: “Because of its abstraction, it is likely that it will be used to target lots of different banking populations, and will probably be customised by region, language or jurisdiction.
“Malware of this nature also highlights the role the app store plays in securing a device. Users who accept apps from sources other than the official stores run a much higher risk of installing malware. For all their faults, the official Google and Apple stores play a significant role in protecting the average user from malware. The dangers of third-party app sources are very real.”
To gain access, the malware poses as a ‘Google Services Framework’ asking users to install it with administrative privileges enabled. It then disables the uninstall option. Of 54 anti-virus systems tested by researchers, only five successfully detected the malware.

Number: IRCNE2014072240
Date: 2014-07-05

According to “computerworld”, a critical vulnerability found in a WordPress plug-in that has been downloaded over 1.7 million times allows potential attackers to take complete control of blogs that use it.
The flaw is located in the MailPoet Newsletters plug-in, previously known as wysija-newsletters, and was discovered by researchers from Web security firm Sucuri.
"This bug should be taken seriously; it gives a potential intruder the power to do anything he wants on his victim's website," Daniel Cid, Sucuri's chief technology officer, said in a blog post Tuesday. "It allows for any PHP file to be uploaded. This can allow an attacker to use your website for phishing lures, sending SPAM, hosting malware, infecting other customers (on a shared server), and so on!"
The vulnerability was patched in MailPoet version 2.6.7, released Tuesday, so all WordPress blog administrators should upgrade the plug-in to the latest version as soon as possible if they use it.

Number: IRCNE2014072239
Date: 2014-07-05

According to “computerworld”, an unprotected SSH access key left inside the Cisco Unified Communications Domain Manager product for remote support purposes allows attackers to take complete control of affected deployments.
Cisco Systems released updates Wednesday for the CUCDM platform and application software to correct the backdoor issue and also fix another critical vulnerability that could allow attackers to execute arbitrary commands with privileged access.
CUCDM allows companies to manage their Cisco Unified Communications applications from a single platform. These applications provide video, voice, messaging, mobility, instant messaging (IM) and other collaboration services for enterprise environments.
Administrators are advised to upgrade the CUCDM platform software to version 4.4.2 and the CUCDM application software to version 8.1.4.
The SSH access key issue can be exploited by an unauthenticated remote attacker to access the CUCDM system's root account, which has the highest privileges.
The other flaw, which enables privilege escalation, is located in the CUCDM application software and stems from the improper implementation of authentication and authorization controls for the Web-based user interface. An attacker can exploit the flaw to change the credentials of an administrative user by opening a specifically crafted URL. The attacker needs to be authenticated as a different user in the system or to trick an active user to click on a malicious link.
The CUCDM application software is also affected by a separate vulnerability that allows unauthenticated attackers to access and modify the information of Web portal users such as settings in the user personal phone directory, speed dials, Single Number Reach, and call forward settings.
There is currently no patch for this vulnerability, but the company has provided mitigation instructions in a separate support document. The flaw will not affect version 10 of the CUCDM application software that's expected to be released in September.

ID: IRCNE2014072238
Date: 2014-07-05

According to “ZDNet”, Oracle has quietly ended all support for Java on Windows XP.
As a result, the quarterly security updates scheduled for July 15 will not include any fixes for Windows XP.
In an FAQ on the Java site the company states that Microsoft's end of support for Windows XP is the reason for Oracle's decision to end support. Users may still run Java 7 at their own risk. Java 8, the next major version, will not be available for Windows XP.
In a press release, Morten Kjaersgaard, CEO of Danish IT security firm Heimdal Security says that after the updates are applied, Java will no longer load on Windows XP. The new Java versions will be 7u65 and 8u11, according to Kjaersgaard.
We asked Oracle for a comment and received this statement from Henrik Stahl, vice president for product Management at Java:
"As you know, Microsoft no longer supports Windows XP and recommend their users to upgrade to more recent versions in order to maintain a stable and secure environment.
Oracle makes the same recommendation to our users running Java on Windows, and also has a standing recommendation that users stay current with the most recent Java security baseline — currently available for the public for Java 7 and 8. There are a few compatibility issues with Java 8 on Windows XP, since it is not an officially supported configuration. We are looking at ways to resolve these.
For now, we will keep Java users on Windows XP secure by updating them to the most recent Java 7 security update on an ongoing basis. Java users on more recent Windows versions can choose between Java 7 and 8, and depending on their choice will be kept up to date with the most recent Java 7 or 8 security update respectively."
Based on this statement and the language in the FAQ linked to above, it appears that Oracle's policy is that future Java updates may or may not work on Windows XP. You run them at your own risk. Kjaersgaard says that the current test versions of those updates do not work on Windows XP, but perhaps that will change by July 15.

Number: IRCNE2014072237
Date: 2014-07-05

According to “zdnet”, microsoft has released their advance notification for the July 2014 Patch Tuesday updates. There will be a total of six updates issued next Tuesday, July 8, two of them rated critical.
Three Windows updates rated important, all for privilege elevation bugs, will also be released. There will also be one update for the "Microsoft Service Bus for Windows Server" rated moderate for a denial of service vulnerability.
As is usually the case, Microsoft will also release a new version of the Windows Malicious Software Removal Tool and probably some non-security updates to various Windows versions.

شماره: IRCNE2014072236
تاريخ: 11/04/93

OpenSSL Project قصد دارد تا تغييراتي را در مولفه امنيت خود اعمال نمايد. OpenSSL يك كتابخانه كد منبع باز است كه ارتباطات بين رايانه و سروري كه از SSl/TLS استفاده مي كند را رمزگذاري مي نمايد. اين يك مكانيزم دفاعي براي تراكنش هاي تجارت الكترونيك و پست الكترونيك مي باشد تا در صورتي كه ترافيك آن ها در اختيار هكرها قرار گرفت، قابل خواندن نباشد.
از ماه آوريل و پس از آن كه آسيب پذيري "Heartbleed" افشاء شد، اعتماد به OpenSSL خدشه دار شد. اين آسيب پذيري به مهاجم اجازه مي دهد تا ترافيك مربوطه را پس از ردگيري، رمزگشايي نمايد و داده هايي از قبيل رمز عبور را بدست آورند.
با توجه به انتشار پيامي در وب سايت اين پروژه، نقشه راه OpenSSL براي مقابله با ديدگاه " آهسته در حال حركت و منزوي" در نظر گرفته شده است.
مشكلاتي را كه نقشه راه OpenSSL در نظر دارد برطرف نمايد شامل عدم بازبيني كد، سبك برنامه نويسي ناسازگار، ضعف مستندسازي، نداشتن استراتژي براي پلت فرم و نداشتن برنامه براي انتشار اصلاحيه مي شود. هم چنين اين گروه قصد دارد تا نگاهي به مشكلات موجود در سيستم ردگيري سيستم بياندازد.
شركت گوگل اعلام كرد قصد دارد يافته هاي خود را در خصوص مشكلات OpenSSL با LibreSSL و OpenSSL Project به اشتراك بگذارد.

شماره: IRCNE2014072235
تاريخ: 11/04/93

شركت مايكروسافت اعلام كرد كه رمزگذاري در برخي از خدمات آنلاين اين شركت را ارتقاء داده است. هر دو خدمات Outlook.com و OneDrive از روش رمزگذاري PFS استفاده مي كنند.
در اين روش گروه هاي مختلف از كليد رمزگذاري متفاوت براي هر ارتباط استفاده مي كنند و درنتيجه براي هكرها بسيار دشوار است كه ارتباطات را رمزگشايي نمايند. گوگل در استفاده از PFS پيشتاز است و از سال 2011 در بسياري از خدمات خود از اين روش بهره گرفته است.
سرويس Outlook.com نيز هنگام ارتباط با سيستم هاي ديگر پست الكترونيك به طور وسيع از TLS استفاده مي كند. در صورتي كه سرور طرف مقابل TLS را پشتيباني كند، Outlook.com هنگام ارسال و دريافت پست الكترونيكي از اين روش استفاده مي كند.

شماره: IRCNE2014072234
تاريخ:11/04/93

شركت اپل نسخه هاي جديد iOS، OS X، سافاري و Apple TV را منتشر كرد و آسيب پذيري هايي را كه در اين محصولات برطرف كرده است، افشاء كرد. در مجموع 60 آسيب پذيري در اين محصولات اصلاح شده است. برخي از اين آسيب پذيري ها قذيمي مي باشند.
سيستم عاملiOS 7.1.2 نسخه جديد iOS مي باشد كه 44 آسيب پذيري را در نسخه قبلي برطرف نموده است. اين آسيب پذيري ها شامل دو مشكل قفل صفحه كليد و دو حفره كه مي تواند منجر به دور زدن Find My iPhone و Activation Lock شود. هم چنين در نسخه جديد اين سيستم عامل رمزگذاري پيوست ها در Mail app اضافه شده است. مشكلات WebKit برطرف شده است و فهرست گواهينامه هاي معتبر root به روز رساني شده است.
19 آسيب پذيري نسخه هاي قبلي در در OS X Mavericks v10.9.4 و Security Update 2014-003 برطرف شده است. در نسخه جديد چندين مشكل افزايش حق دسترسي و يك مشكل اجراي كد دلخواه اصلاح شده است.
هم چنين 12 آسيب پذيري در نسخه هاي قبلي سافاري در نسخه هاي جديد Safari 6.1.5 و Safari 7.0.5 اصلاح شده است. مهم ترين آسيب پذيري CVE-2014-1345 مي باشد كه مهاجم مي تواند نام دامنه را در نوار آدرس جعل كند.
نهايتا 35 آسيب پذيري در نسخه جديد Apple TV 6.1.2 برطرف شده است. بسياري از اين مشكلات، آسيب پذيري هايي است كه در OS X و iOS اصلاح شده است.