Number: IRCNE2014062231
Date: 2014-06-30

According to “itpro”, Android devices are being targetted by a strain of malware spreading through text messages.
Dubbed Selfmite, it was detected by IT security researcher Denis Maslennikov. The worm is able to propagate via SMS. Potential victims receive the following SMS message containing a URL pointing to the Selfmite worm: Dear [NAME], Look the Self-time, http://goo.gl/******.
On clicking the link, the user is redirected to another link where they are then prompted to download and install an APK file called "The Self-timer" which then appears on a user's device.
If the victim launches it, the malware immediately reads the device’s contact book, looking for 20 contacts to send the same message to automatically.
IT security firm AdaptiveMobile has already detected infected devices on operator networks in North America, where the worm was first discovered.
The firm has contacted Google and the malicious URL has now been put out of action.

شماره: IRCNE2014062231
تاريخ:08/04/93

محققان امنيتي دريافتند كه رمزگذاري SSL در اعتبارسنجي iOS داراي يك خطاي كدنويسي است كه يك مرحله از اعتبارسنجي كليد در پروتكل وب را براي ارتباطات امن دور مي زند. در نتيجه ارتباطات ارسال شده بر روي نقاط متحرك واي فاي مي توانند ردگيري شوند و در حاليكه رمز نشده مي باشند خوانده شوند. هم چنين به طور بالقوه رمز عبور كاربر، بانك اطلاعاتي كاربر و ساير اطلاعات حساس مي توانند توسط هكرها از طريق حملات MitM در معرض خطر افشاء قرار گيرند. شبكه هاي واي فاي رمز شده مانند شبكه هاي خانگي و كاري كه رمزگذاري در آن ها فعال است تحت تاثير اين آسيب پذيري قرار ندارند.
شركت اپل روز جمعه يك اصلاحيه را براي تمايم كاربران iOS منتشر كرد. كابران iOS بايد يك هشدار در رابطه با وجود يك به روز رساني را دريافت كرده باشند يا اين اصلاحيه با توجه به نسخه iOS دستگاه و تنظيمات به روز رساني به طور خودكار بر روي سيستم هاي آن ها نصب شده است.
روز شنبه چندين محقق گزارش دادند كه اين حفره سيستم عامل OS X 10.9 Mavericks و شايد نسخه هاي ديگر OS X را تحت تاثير قرار دهد. شركت اپل اعلام كرد كه يك اصلاحيه براي OS X آماده كرده است كه به زودي آن را منتشر مي كند. اين به روز رساني از طريق ابزار OS X's Software Update در دسترس خواهد بود.

Number: IRCNE2014092322
Date: 2014-09-20

According to “zdnet”, with the release of iOS 8 Apple has disclosed 53 vulnerabilities that are fixed in the new version.
The most serious vulnerabilities would allow an attacker to execute code on the device with root privileges. Several others allow execution of code with kernel or system privileges. These vulnerabilities require the ability to execute code on the device, but that could be accomplished with one of the many remote code execution vulnerabilities also disclosed. Many of these are in the Webkit browser engine, meaning that such an attack could be launched if the user visited a malicious web page.
These issues, many of them severe, remain in earlier versions of iOS. It is Apple's usual practice not to fix them on earlier versions, so users who remain on iOS 7.x remain vulnerable to these issues.
Less shocking, but still severe is the ability for a rogue access point to steal iOS Wi-Fi credentials using an old and broken authentication protocol which was on by default in iOS. The protocol (LEAP) is disabled by default in iOS 8.
Other vulnerabilities are serious, if not so serious as those already described. They could allow attackers to access sensitive information such as logs or the user's Apple ID. Several allow attackers to determine kernel memory characteristics and bypass protections such as ASLR (Address Space Layout Randomization).

Number: IRCNE2014062232
Date: 2014-06-29

According to “techworld”, security researchers revealed late Friday that iOS's validation of SSL encryption had a coding error that bypassed a key validation step in the Web protocol for secure communications. As a result, communications sent over unsecured Wi-Fi hot spots could be intercepted and read while unencrypted, potentially exposing user password, bank data, and other sensitive data to hackers via man-in-the-middle attacks. Secured Wi-Fi networks, such as home and business networks with encryption enabled, are not affected.
Apple released a patch Friday evening, available to al iOS users. iOS users should have already received a notification of the update's availability or have had it automatically installed, depending on their device's iOS version, update settings, and available space for downloading the update.
But on Saturday, several researchers reported that the flaw also affected OS X 10.9 Mavericks and perhaps other OS X versions. Late Saturday, Apple said it had a fix ready for OS X and would release it "very soon."
The update will be available through OS X's Software Update utility, which is set to download security updates automatically by default in recent OS X versions.

شماره: IRCNE2014062229
تاريخ :07/04/93

به گزارش شركت مك آفي پس از يك روند رو به كاهش در طول دو سال گذشته، تعداد نمونه هاي rootkit هاي جديد در سه ماهه اول سال جاري افزايش قابل توجهي داشته است و به آمار سال 2011 نزديك گرديده است. افزايش ناگهاني روت كيت ها مربوط به روت كيت هايي بوده كه سيستم هاي ويندوز 32 بيتي را هدف قرارداده بود با اين حال، روت كيت هاي جديد طراحي شده براي سيستم هاي 64 بيتي به احتمال زياد به افزايش اين نوع از حمله در آينده منجر مي شوند.
روت كيت ها برنامه هاي مخربي هستند كه براي پنهان كردن ساير برنامه هاي مخرب و فعاليت آنها از ديد كابران طراحي شده اند. آنها به طور معمول در داخل هسته سيستم عامل با بالاترين حق دسترسي سيستم اجرا مي شوند و حذف و تشخيص آنها به سختي براي محصولات امنيتي امكان پذيراست.
محققان مك آفي بر اين باورند كه كاهش در تعداد نمونه روت كيت هاي جديد مشاهده شده در طول 2012 و 2013 را مي توان به رشد به روزرساني روتكيت ها به نسخه هاي 64 بيتي براي مقابله با تدابير امنيتي از جمله PatchGuard و اجراي امضاي ديجيتالي درايورها مرتبط دانست كه موجب افزايش هزينه توليد روتكيت براي سيستم عامل هاي 64 بيتي ميگردد. با اين حال با رشد استفاده از سيستم هاي 64 بيتي انگيزه جهت سرمايه گذاري بيشتر براي دور زدن ابزارهاي دفاعي آنها بيشتر شده است. قابليت هاي امنيتي قرارداده شده در سيستم هاي 64 بيتي براي مهاجمان سازمان يافته تنها حكم سرعت گير را دارد كه به زودي از آن عبور خواهند نمود.
يكي از تكنيك هاي سواستفاده از آسيب پذيري هاي سيستم هاي 64 بيتي ميتواند نصب يك سخت افزار يا نرم افزار با درايور داراي امضاي ديجيتال و سپس سعي در دسترسي به كرنل باشد. يكي از اين نوع روتكيت ها Uroburos نام دارد كه يك روتكيت پيچيده است كه در ماه فوريه سال جاري كشف شده كه در حملات جاسوسي اطلاعات با نصب نسخه هاي قديمي درايور VirtualBox داراي امضاي ديجيتال استفاده شده است. در اين نوع حمله پس از سوء استفاده از آسيب پذيري، افزايش سطح دسترسي صورت مي گيرد.
يكي ديگر از روش معمول براي حمله به سيستم هاي 64 بيتي، سرقت گواهينامه هاي امضاي ديجيتال از شركت هاي معتبر و استفاده از آنها در كد هاي مخرب جهت عدم شناسايي ميباشد. از ژانويه 2012 حداقل در 21 نمونه روتكيت 64 بيتي منحصر به فرد گواهي هاي به سرقت رفته استفاده شده است. نرم افزار مخرب W64/Winnti حداقل پنج كليد خصوصي از فروشندگان قانوني به سرقت برده و در نصب روتكيت هاي خود بر روي سيستم هاي 64 بيتي از سال 2012 استفاده نموده است. از اين پنج كليد حداقل دو كليد ابطال نشده و ممكن است براي اهداف نا مشروع و مخرب درحال استفاده باشد.
طي سال جاري تعداد برنامه هاي مخرب داراي امضا ديجيتالي به طور كلي رو به افزايش بوده است. در حال حاضر بيش از 25 ميليون نمونه شناخته شده از نرم افزارهاي مخرب ديجيتالي امضا شده، كه بيش از 2.5 ميليون از اين نرم افزارها در سه ماهه اول سال جاري كشف شده اند.
راه ديگر براي دور زدن تدابير دفاعي سيستم هاي 64 بيتي توسط روتكيت ها، بهره برداري از آسيب پذيري افزايش سطح دسترسي كشف شده در هسته ويندوز بوده كه تعداد اين نقص ها در چند سال گذشته رو به افزايش مي باشد. پژوهشگران در حال توسعه ابزار هدفمند بررسي شرايط رقابتي مانند “Double Fetch” براي پيدا كردن نقص در كد هسته مي باشند. به گفته آنها، موج جديدي از حملات روتكيت ها در برابر سيستم هاي 64 بيتي با استفاده از تعداد فزاينده اي از آسيب پذيري ها درراه است.
يك كلاس خاص از روتكيت ها به نام bootkits مي باشد كه كدهاي مخرب را در مستر بوت ركورد سيستم در اولين بخش 512 بايت از هارد ديسك كپي ميكند كه به طور معمول شامل كد هاي بوت لودر سيستم عامل ميباشد. اجراي كد MBR قبل از هسته سيستم عامل آغاز مي گردد، بنابراين كد هاي مخرب ذخيره شده مي توانند پيش از اجراي هر برنامه امنيتي نصب شده در سيستم عامل اجرا شوند.
در طول سه ماهه اول سال جاري نسبت به سه ماهه اول دو سال گذشته بيش از 900.000 از انواع نرم افزارهاي مخرب جديد را با MBR Payload كشف و شناسايي شده است . از نظر شركت مك آفي تعداد نرم افزار هاي مخرب آلوده ساز MBR بيش از 6 ميليون مي باشد.
يكي از راهكارهاي مقابله با اين نوع حملات استفاده از قابليت بوت امن با جايگزيني UEFI، Unified Extensible Firmware Interface ، با Bios در كامپيوتر هاي جديد جهت جلوگيري از نصب و راه اندازي Bootkit مي باشد. UEFI كدهاي بوت را با يك ليست سفيد از كدهاي تاييد شده و داراي امضاي ديجيتال چك مي كند و در صورت عدم مغايرت اجازه بوت شدن سيستم عامل را مي دهد. اگر چه در سال گذشته محققان امنيتي آسيب پذيري هاي متعدد در پياده سازي UEFI يافته اند كه مي توان از طريق آنها نسبت به غير فعال كردن بوت امن اقدام نمود.

منبع خبر:

http://www.cso.com.au/article/548445/researchers_expect_large_wave_rootkits_targeting_64-bit_system…

شماره: ICNE2014062228
تاريخ :07 /04/93

تحليل آسيب پذيري :
اين آسيب پذيري امكان كنترل از راه دور را فراهم مي سازد و به مهاجمي كه داراي اطلاعات احراز هويت بوده اجازه مي دهد كه از راه دور كد دلخواه خود را بر روي نسخه آسيب پذير Gateway Symantec Web (SWG 5.2) اجرا نمايد. اين آسيب پذيري مرتبط با كدهاي CVE ، CVE-2013-5017، CVE-2014-1650، CVE-2014-1651، CVE-2014-1652 مي باشد.
آسيب پذيري مذكور در فايل user.php و snmpConfig.php وجود داشته و امكان اجراي حمله تزريق كد از طريق ارسال پارامترهاي آسيب پذير، دسترسي به كنسول مديريت نرم افزار و تغيير اطلاعات پايگاه داده نرم افزار وجود دارد.
مهاجم مي تواند با توسعه آسيب پذيري مذكور امكان خواندن فايل ها و اجراي كد از راه دور را توسط كاربر root ايجاد نمايد. برخي از صفحات گزارش دهي نرم افزار SWG در نسخه هاي 5.2 و قديمي تر، بصورت مناسب بر روي اطلاعات ورودي به نرم افزار تحليل و بررسي انجام نداده و امكان اجراي حمله blind sql injection را ميدهند. برخي از نسخه هاي نرم افزار در 5.1.x داراي آسيب پذيري XSS بوده كه منجر به سرقت نشست كاربران مي شود.
 

امن سازي نرم افزار:
شركت امنيتي سايمانتك، به روز رساني متناسب با آسيب پذيري را در نسخه 5.2.1 اعلام نموده است. بر اساس پيشنهادات ارايه شده توسط اين شركت، واسط SWG نبايد از طريق شبكه عمومي قابل دسترس باشد.

نسخه نرم افزارهاي آسيب پذير مي بايست از مسير ذيل به روز رساني گردد

Current Software Version -> Current Version
Administration->Updates

و يا

Administration->Updates-> Check for Updates

همچنين اين شركت راهكارهاي ايمن سازي ذيل را نيز پيشنهاد نموده است.

• محدودسازي دسترسي كاربران محدود به سيستمهاي مديريتي
• غيرفعالسازي امكان دسترسي از راه دور و يا محدودسازي آن به سيستم هاي مورد اعتماد
• محدودسازي دسترسي به برنامه كاربردي و واسط ها به شبكه ها و يا سيستم هاي مورد اعتماد
• به روز رساني تمامي سيستم ها و برنامه هاي كاربردي به آخرين نسخه ارايه شده توسط شركت
• اجراي خط مشي هاي امن سازي چندلايه اي شبكه، پياده سازي فايروال و نرم افزارهاي ضد بدافزار و سيستم هاي تشخيص نفوذ تحت شبكه و تحت سيستم

منابع خبر:

http://www.zerodayinitiative.com/advisories/ZDI-
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=sec…

شماره: IRCNE2014062227
تاريخ: 7/4/93

دو ماه پس از اصلاح آسيب‌پذيري‌هاي حياتي در Apache Struts كه يك فريم ورك مشهور متن‌باز براي توسعه برنامه‌هاي تحت وب مبتني بر جاوا است، VMWare يك اصلاحيه امنيتي براي ترميم‌هايي در محصول vCenter Operations Management Suite خود عرضه كرده است، ولي به نظر مي‌رسد كه همچنان يك اصلاحيه ديگر باقي مانده باشد.
vCenter Operations Management Suite مي‌تواند براي مانيتور كردن و مديريت كارآيي و بازدهي، ظرفيت و پيكربندي زيرساخت مجازي به كار رود. اين محصول در برخي از ويژگي‌هاي خود به Struts وابسته است.
روز سه‌شنبه و همزمان با عرضه vCenter Operations Management Suite (vCOps) نسخه 5.8.2، VMware در راهنمايي امنيتي خود نوشت كه كتابخانه Apache Struts به نسخه 2.3.16.2 به‌روز رساني شده است تا چندين مسأله امنيتي را برطرف كند.
Apache Struts 2.3.16.2 يك به‌روز رساني اورژانسي بود كه در 24 آوريل عرضه شده بود. اين به‌روز رساني پس از آن عرضه شد كه مشخص گرديد ترميم ارائه شده در Struts 2.3.16.1 براي يك آسيب‌پذيري اجراي كد از راه دور، كافي نبوده است و مي‌تواند دور زده شود.
اين مسأله به عنوان يك آسيب‌پذيري جداگانه و با شناسه CVE-2014-0112 مطرح شد و از آسيب‌پذيري اصلي با شناسه CVE-2014-0094 جدا گرديد.
vCOps 5.8.2 حاوي اصلاحيه‌اي براي يك آسيب‌پذيري انكار سرويس با شناسه CVE-2014-0050 بود كه بدواً در Struts 2.3.16.1 اصلاح شده بود.
VMware در راهنمايي امنيتي خود نوشت كه vCOps تحت تأثير دو آسيب‌پذيري CVE-2014-0112 و CVE-2014-0050 قرار دارد. سوء استفاده از آسيب‌پذيري CVE-2014-0112 مي‌تواند منجر به اجراي كد از راه دور بدون نياز به احراز هويت گردد.
به كاربران نسخه‌هاي قديمي‌تر vCOps 5.7.x توصيه مي‌شود كه محصول خود را به vCOps 5.8.2 ارتقاء داده يا اينكه به طور دستي گردش كاري توضيح داده شده در مقاله‌اي در VMware را اعمال نمايند.
محصول ديگر VMare يعني vCenter Orchestrator (VCO) نيز فقط تحت تأثير آسيب‌پذيري انكار سرويس (CVE-2014-0050) قرار دارد، ولي هنوز اصلاحيه‌اي براي آن عرضه نشده است.
توسعه دهندگان Struts پس از كشف اين موضوع كه اصلاحيه پيشين آنها تمامي سوء استفاده‌هاي ممكن را مسدود نمي‌كند، ترميم مجدد خود را براي CVE-2014-0094 و CVE-2014-0112 در Struts 2.3.16.3 جاي دادند كه در 3 مي عرضه شد.
اين ترميم جديد، يك آسيب‌پذيري با ريسك متوسط را پوشش مي‌داد كه مي‌تواند به مهاجمان اجازه دهد وضعيت دروني سشن‌ها و درخواست‌ها را دستكاري كنند. اين آسيب‌پذيري با شناسه CVE-2014-0116 شناسايي مي‌گردد.
از آنجايي كه vCOps تحت تأثير CVE-2014-0094 و CVE-2014-0112 قرار دارد، احتمال مي‌رود كه تحت تأثير CVE-2014-0116 نيز قرار داشته باشد، چرا كه تمامي اين آسيب‌پذيري‌ها از يك مسأله نشأت مي‌گيرند. به هر حال راهنمايي امنيتي جديد VMware هيچ اشاره‌اي به CVE-2014-0116 يا Struts 2.2.16.3 نكرده است.

ID: IRCNE2014062227
Date: 2014-06-28

According to “TechWorld”, Two months after critical vulnerabilities were patched in Apache Struts, a popular open-source framework for developing Java-based Web applications, VMware released a security update to incorporate the fixes in its vCenter Operations Management Suite product but appears to have left out a more recent patch.
The vCenter Operations Management Suite can be used to monitor and manage the performance, capacity and configuration of virtualized infrastructure. It depends on Struts for some of its features.
"The Apache Struts library is updated to version 2.3.16.2 to address multiple security issues," VMware said in a security advisory Tuesday that coincided with the release of vCenter Operations Management Suite (vCOps) version 5.8.2.
Apache Struts 2.3.16.2 was an emergency update released on April 24 after it was revealed that a fix included in Struts 2.3.16.1 for a remote code execution vulnerability was insufficient and could be bypassed.
The bypass was treated as a separate vulnerability and was assigned the CVE-2014-0112 tracking number, superseding the original issue known as CVE-2014-0094.
The vCOps 5.8.2 also incorporated a patch for a denial-of-service vulnerability tracked as CVE-2014-0050 that was also originally patched in Struts 2.3.16.1.
"VCOps is affected by both CVE-2014-0112 and CVE-2014-0050," VMware said in its advisory. "Exploitation of CVE-2014-0112 may lead to remote code execution without authentication."
Users of the older vCOps 5.7.x branch are advised to either upgrade to vCOps 5.8.2 or to manually apply a workaround described in a separate knowledge base article.
Another VMware product called vCenter Orchestrator (vCO) is affected only by the denial-of-service issue (CVE-2014-0050), but no patch has been released yet.
The Struts developers further improved their fix for CVE-2014-0094 and CVE-2014-0112 in Struts 2.3.16.3, released on May 3, after discovering that their previous patches still didn't cover all possible exploits.
The new fix addressed a medium-risk exploit that could have allowed attackers to manipulate the internal state of sessions and requests. The issue received the tracking number CVE-2014-0116.
Since vCOps was affected by CVE-2014-0094 and CVE-2014-0112, it's likely that it is also affected by CVE-2014-0116 since all three vulnerabilities stem from the same underlying problem. However, the new VMware advisory doesn't mention CVE-2014-0116 or Struts 2.3.16.3.

Number: IRCNE2014092318
Date: 2014-09-17

According to “zdnet”, Adobe has released security updates for Reader and Acrobat addressing eight vulnerabilities in both the Windows and Mac versions. The affected versions are Reader and Acrobat X 10.1.11 and earlier and Reader and Acrobat XI 11.0.08 for Windows and Mac.
The updates were originally scheduled to be released a week ago, but were delayed due to problems in testing.
The new versions are Reader and Acrobat X 10.1.12 and Reader and Acrobat XI 11.0.09 for Windows and Mac. Individual users may apply the updates using the "Check for Updates" option on the Help menu.
Several of the vulnerabilities are critical and could result in the attacker taking over the system in the context of the user if the user opens a malicious PDF.

ID: IRCNE2014092320
Date: 2014-09-17

According to “TechWorld”, the default browser in Android versions older than 4.4 has a vulnerability that allows malicious websites to bypass a critical security mechanism and take control of a user's authenticated sessions on other sites.
The issue is a universal cross-site scripting flaw that stems from how the browser handles javascript: strings preceded by a null byte character. When encountering such a string, the browser fails to enforce the same-origin policy, a security control that prevents scripts running in the context of one site from interacting with the content of other websites.
"What this means is, any arbitrary website (say, one controlled by a spammer or a spy) can peek into the contents of any other web page," said Tod Beardsley, technical lead for the Metasploit Framework project, in a blog post Monday. "Imagine you went to an attacker's site while you had your webmail open in another window -- the attacker could scrape your e-mail data and see what your browser sees. Worse, he could snag a copy of your session cookie and hijack your session completely, and read and write webmail on your behalf."
The security flaw was discovered by independent security researcher Rafay Baloch, who published a proof-of-concept exploit on his blog Aug. 31. However, the bug's disclosure remained largely unnoticed until the Metasploit team developed a module that can be used to steal authentication cookies from users who open a malicious page.
Users who believe they might be affected are advised to install and use one of the other browsers available for Android such as Google Chrome, Mozilla Firefox, Dolphin Browser or Opera, which are not affected by this issue.