Number: IRCNE2014062210
Date: 2014-06-07

According to “zdnet”, the OpenSSL project has reported fixes for several vulnerabilities, at least one of them serious.The most significant vulnerability is SSL/TLS MITM vulnerability (CVE-2014-0224).

All client versions of OpenSSL are vulnerable. OpenSSL servers are only known to be vulnerable in versions 1.0.1 and 1.0.2-beta1.

OpenSSL provides this advice:

• OpenSSL 0.9.8 DTLS users should upgrade to 0.9.8za
• OpenSSL 1.0.0 DTLS users should upgrade to 1.0.0m
• OpenSSL 1.0.1 DTLS users should upgrade to 1.0.1h
• Google has released a new version of Chrome for Android, incrementing the OpenSSL version used in it to 1.0.1h.

The same updates fix several less-serious issues:

• DTLS invalid fragment vulnerability (CVE-2014-0195) — A buffer overrun, potentially exploitable to run arbitrary code on the system.
• DTLS recursion flaw (CVE-2014-0221) — Denial of service
• SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198) — Denial of service
• SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298) — Cross-section data injection or denial of service
• Anonymous ECDH denial of service (CVE-2014-3470) — Denial of service

Number: IRCNE2014062209
Date: 2014-06-07

According to “computerworld”, the ransomware model is increasingly being adopted by cybercriminals who target mobile users, one of their latest creations being able to encrypt files stored on the SD memory cards of Android devices.

A new threat dubbed Android/Simplock.A was identified by researchers from antivirus firm ESET over the weekend and while it's not the first ransomware program for Android, it is the first one seen by the company that holds files hostage by encrypting them.

"Android/Simplocker.A will scan the SD card for files with any of the following image, document or video extensions: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4 and encrypt them using AES [the Advanced Encryption Standard]," the ESET researchers said Wednesday in a blog post.

The malware will then display a ransom message in Russian asking for a payment of $21.40 to be made through a service called MoneXy, suggesting that, at least for now, this threat targets users in Russian-speaking countries.

Using encryption to hold files hostage is a technique made popular among malware writers by Cryptolocker, a Windows ransomware program that infected more than 250,000 computers during the last three months of 2013.

The new threat masquerades as an application called "Sex xionix," but it wasn't found on Google Play and its distribution so far is most likely low.

Another interesting aspect of Simplock.A is that it uses a .onion command-and-control (C&C) domain address. The .onion pseudo-top-level domain is only used inside the Tor anonymity network for accessing so-called hidden services.

Number: IRCNE2014062208
Date: 2014-06-07

According to “zdnet”, Microsoft has released their advance prenotification for this month's Patch Tuesday updates. The company will release seven security bulletins and updates. Two of the updates will be for at least one critical vulnerability.

Bulletin one (which will likely be released as MS14-030) is a critical remote code execution Internet Explorer bug, affecting all versions of Internet Explorer, including IE11 in Windows 8.1. Server Core versions of Windows Server do not include IE and are not affected.

Bulletin two is unusual in that it affects a broad selection of both Windows and Office products. It is a remote code execution vulnerability and rated critical on all versions of Windows, Server Core included. It is also critical on Microsoft Live Meeting 2007 Console and all versions of Microsoft Lync, but not Lync Server. It is also rated Important for Office 2007 and Office 2010. Office 2013 appears not to be affected.

All the remaining vulnerabilities have a maximum rating of Important. Bulletin three affects only Office 2007 and Microsoft Office Compatibility Pack Service Pack 3.

Bulletins four and five describe information disclosure bugs in Windows and Lync Server respectively. Bulletin six is a denial of service bug in all Windows versions since Vista, and bulletin seven is a "tampering" bug, a type not often described. Windows 7, 8.x and Server 2012 are affected.

شماره: IRCNE2014052207
تاريخ:10 /03/93

گوشي هاي اندرويد و مسيرياب هاي بيسيم كه از طريق واي فاي قابل دسترس هستند ممكن است در معرض خطر گونه جديدي از آسيب پذيري Heartbleed قرار داشته باشند.
Luis Grangeia، متخصص امنيت و مدير خدمات امنيتي در SysValue برداري را كشف كرده است كه از طريق آن مي توان به دستگاه هاي بي سيم و گوشي هاي اندرويد حمله كرد.
خط حمله جديد “Cupid” مي تواند مانند رويه مشابه با آسيب پذيري اصلي Heartbleed عمل نمايد با اين تفاوت كه اين حمله بر روي ارتباطات بي سيم انجام مي گيرد.
با توجه به يافته هاي Grangeia، هنوز مشخص نيست كه چه تعدادي از دستگاه ها ممكن است تحت تاثير اين آسيب پذيري قرار داشته باشند اما سرعت گسترش اين حمله بيشتر از آسيب پذيري اصلي Heartbleed مي باشد. مسيرياب هاي مبتني بر EAP آسيب پذيرترين دستگاه ها نسبت به حمله “Cupid” مي باشند.
Grangeia اظهار داشت كه اين حمله قبل از لاگين و در مرحله تاييد هويت اتفاق مي افتد بنابراين براي اجراي آن به هيچ اعتبارنامه اي نياز نيست.
گوشي هاي اندرويد كه در حال حاضر نسخه 4.1.1 از Jelly Bean را اجرا مي كنند بواسطه ارتباطات بي سيم آسيب پذير مي باشند. يك مهاجم مي‌تواند از طريق يك شبكه آلوده، ارتباطي را به دستگاه قرباني باز نمايد و اطلاعاتي را كه مي خواهد از روي گوشي قرباني بردارد.
ميليون ها دستگاه اندرويد هم چنان از Jelly Bean نسخه 4.1.1 استفاده مي كنند اگرچه نسخه به روز رساني شده آن همزمان با كشف آسيب پذيري اصلي Heartbleed منتشر شد و به كاربران توصيه شد تا از سيستم عامل خود را به نسخه جديد به روز رساني نمايند. ممكن است سيستم عامل هاي iOS و Mac OSX تحت تاثير حمله Cupid قرار داشته باشند.

Number: IRCNE2014052207
Date: 2014-05-31

According to “itpro”, Android phones and wireless routers accessible via Wi-Fi might be at risk from attackers utilising a new form of the Heartbleed bug, it has been revealed.

Security expert Luis Grangeia, a partner and security services manager at SysValue, has apparently found a vector through which the bug can attack wireless devices and Android phones.

Dubbed “Cupid”, the new attack line would perform the same procedure as the original Heartbleed bug except over wireless connections instead of the open web.

It’s unclear how many devices may be vulnerable but the spread will probably be more contained than the original, according to Grangeia. EAP-based routers are the most vulnerable to Cupid as they need both an individual login and password, which an attacker would be able to pull from the router or server.

“The attack occurs before login, specifically on the authentication stage, so no credentials are needed to perform it," said Grangeia.

Android devices that are still running the 4.1.1 version of Jelly Bean are also particularly vulnerable through their wireless connectivity. An attacker could open up a connection to the device via the infected network and lift as much information as they want from the victim’s phone.

Millions of Android devices still use the 4.1.1 version of Jelly Bean, despite an update being released in the wake of the original Heartbleed discovery. Mac OSX and iOS might also be at risk to Cupid, added Grangeia, who urged administrators to “test everything”.

شماره: IRCNE2014052206
تاريخ: 10/3/93

به گزارش سايمانتك، مجرمان سايبري در حال استفاده از يك آسيب‌پذيري در ادوب فلش پلير براي حملاتي گسترده عليه كاربران وب به خصوص در ژاپن هستند تا اطلاعات بانكي آنها را جمع‌آوري نمايند.
روزهاي دوشنبه و سه‌شنبه هفته گذشته سايمانتك بيش از 14000 حمله عليه كاربران ژاپني وب كشف كرد كه از اين نقص امنيتي استفاده مي‌كردند. اگرچه اين حملات در جاهاي ديگر نيز شناسايي شده‌اند، اما 94 درصد از مشاهدات سايمانتك در ژاپن بوده است.
اين مسأله كه چرا كاربران ژاپني بيشتر هدف اين حملات قرار گرفته‌اند هنوز مشخص نيست. به گفته سايمانتك، كد سوء استفاده كننده از اين آسيب‌پذيري فلش در وب‌سايت‌هاي معتبري كه هك شده‌اند از جمله يك آژانس مسافرتي، يك سرويس بلاگ و يك سرويس اشتراك ويدئو قرار گرفته است. سپس اين وب‌سايت‌ها ترافيك را به يك سايت خرابكار هدايت مي‌كنند.
ادوب اين آسيب‌پذيري را كه توسط يكي از محققان كسپراسكي در اواسط ماه آوريل كشف شده بود، در روز 28 آوريل اصلاح كرد.
صدها ميليون كامپيوتر در سراسر جهان از فلش استفاده مي‌كنند. ادوب سعي كرده است با هشدار دادن به كاربران خود در هنگام عرضه به‌روز رساني‌ها، كار اعمال اصلاحيه‌ها را ساده‌تر نمايد. ولي هنوز هم كاربران بايد اصلاحيه‌ها را دانلود كنند، مرورگر خود را ببندند و به‌روز رساني را اعمال نمايند. مهاجمان اميدوارند كه كاربران خود را براي انجام اين كارها اذيت نكنند!
به گفته سايمانتك، كامپيوترهايي كه اصلاحيه مربوطه را اعمال نكرده باشند و در اين دام بيفتند، تروجان سارق اطلاعات Bankeiya.B را دريافت مي‌كنند كه نرم‌افزار خرابكاري است كه بر روي سيستم عامل‌هاي ويندوز XP، ويستا و 7 اجرا مي‌گردد. اين بدافزار اطلاعات آنلاين بانكي را از مرورگرهاي كروم، فايرفاكس و IE جمع‌آوري مي‌كند.
همچنين اين بدافزار قادر است خود را به‌روز رساني نمايد و فعاليت‌هاي خرابكارانه بيشتري انجام دهد.

شماره: IRCNE2014052205
تاريخ: 10/3/93

مايكروسافت اقدام به ارائه يك سرويس جديد براي افراد و سازمان‌هاي كوچك كرده است كه كاربران را نسبت به اعمال به‌روز رساني‌هاي نرم‌افزاري ياري مي‌دهد.
myBulletins صفحه‌اي در سايت Technet مايكروسافت براي متخصصان فناوري اطلاعات است كه فهرستي از بولتن‌هاي امنيتي مربوط به محصولات انتخاب شده توسط كاربر را نگهداري مي‌كند. اين صفحه شامل تمامي ملزومات هر بولتن امنيتي از جمله تاريخ ارسال، ID، نام محصول، تأثيرگذاري (نوع آسيب‌پذيري از جمله افشاي اطلاعات، اجراي كد از راه دور و غيره)، درجه اهميت و نياز به‌روز رساني به راه اندازي مجدد سيستم را بيان مي‌كند.
اطلاعات مربوط به درجه اهميت و نياز به راه‌اندازي مجدد سيستم پيش از اين نيز در بولتن‌هاي امنيتي و حتي در پيش‌آگهي‌هاي سه‌شنبه اصلاحيه بيان مي‌شدند تا سازما‌هاي بزرگ بتوانند به‌روز رساني‌ها را اولويت‌بندي كرده و در مورد زمان غيرفعال بودن سيستم‌هاي خود تصميم‌گيري نمايند.
مايكروسافت مي‌گويد كه myBulletind يك سرويس آنلاين بسيار مفيد براي مديران سيستم‌ها در سازمان‌هاي كوچك و متوسط است. ولي در سازمان‌هاي بزرگتر، WSUS مفيدتر است.
myBulletins فقط همان چيزي را مي‌داند كه كاربر به وي گفته باشد، اين ابزار چيزي را از سيستم‌هاي كاربر تشخيص نمي‌دهد و راهي براي بررسي اينكه كدام به‌روز رساني‌ها اعمال شده‌اند ندارد. كاربر مي‌تواند محتويات فهرست بولتن‌ها را در يك صفحه اكسل دانلود نمايد و برخي عمليات مديريتي را آنجا انجام دهد. صفحه دانلود شده شامل اطلاعاتي بيشتر از صفحه myBulletins از جمله لينك‌هاي مقاله مبتني بر دانش، شماره‌هاي CVE، و بولتن‌هاي قبلي مرتبط با اين بولتن است.
جالب توجه است كه بسياري محصولات كه سال‌هاست پشتيباني نمي‌شوند در اين فهرست ديده مي‌شوند كه كاربر مي‌تواند آنها را انتخاب نمايد. از اين جمله مي‌توان به Office XP، IE5 و SQL Server 2000 اشاره كرد.

ID: IRCNE2014052206
Date: 2014-05-31

According to “ComputerWorld”, An Adobe Flash player vulnerability is being used in attacks on a massive scale against Web users, mostly in Japan, to collect online banking details, according to new research from Symantec.
On Monday and Tuesday, Symantec detected more than 14,000 attacks against Japanese Web users using the flaw, wrote Joji Hamada on the company's blog. Although attacks have been detected elsewhere, 94 percent of those Symantec has seen were directed at Japan.
Why Japanese users seem to be targeted the most is unclear. Hamada wrote that the attack code exploiting the Flash vulnerability has been planted on legitimate websites that have been hacked, including a travel agency, a blog service and a video-sharing service.
"The attacks are typically carried out through drive-by download and leverage compromised legitimate websites to host malicious code," he wrote. "The websites then redirect traffic to a malicious site prepared by the attacker."
Adobe patched the vulnerability (CVE-2014-0515) on April 28, which was detected by a Kaspersky Lab researcher in mid-April after it was being used in attacks.
Hundreds of millions of computers run Flash worldwide. Adobe has tried to make patching easier for its users by prompting them to update the program when it releases updates. But users must still download the patch, close their browser and apply the update. Attackers are hoping people don't bother and dismiss the prompt.
Hamada wrote unpatched computers that fall into the trap are delivered Infostealer.Bankeiya.B, which is malicious software that runs on Windows XP, Vista and 7 operating systems. It collects online banking credentials by monitoring activity in Chrome, Firefox and Internet Explorer.
"The malware can also update itself, enabling it to target more banks and add more capabilities in order to perform additional malicious actions," he wrote.

ID: IRCNE2014052205
Date: 2014-05-31

According to “ZDNet”, Fighting the long battle to get users to apply software updates promptly, Microsoft has launched a new service for individuals and smaller organizations that may help.
myBulletins is a page on Microsoft's Technet site for IT professionals that holds a list of security bulletins which apply to products the user has selected. The page includes all the essentials of each security bulletin: the date posted, ID, product name, impact (type of vulnerability, e.g. information disclosure, remote code execution, etc.), severity level and whether the update requires a reboot.
The information on severity and reboots have long been included in bulletins, even in the Patch Tuesday advance notification, to help large organizations prioritize updates and plan for downtime from them.
Microsoft says that myBulletins "...is a very useful online service for administrators in enterprise or small and medium sized business environments." But in a larger organization, any with a Windows domain at least, Microsoft's WSUS (Windows Server Update Services) or a third party patch management system would do all of what myBulletins does and much more.
myBulletins only knows what the user tells it; it detects nothing from the user's systems and provides no way to keep track of which updates have been applied. The user can download the contents of the bulletin list to an Excel spreadsheet and perform some management functions there. The downloaded spreadsheet includes much more information than the myBulletins page, including Knowledge Base article links, CVE numbers (vulnerability identifiers), and whether any earlier bulletins were superceded by this new one.
We were surprised to see many products on the list from which users could choose which haven't been supported for many years, among them Office XP, Internet Explorer 5 and SQL Server 2000.

شماره: IRCNE2014052204
تاريخ: 7/3/93

شركت مشاوره امنيتي Include Security ادعا كرده است كه برنامه Outlook مايكروسافت براي اندرويد، امنيت ضعيفي را براي داده‌هاي كاربر فراهم مي‌آورد.
به طور خاص Include Security مي‌گويد كه پيش‌فرض Outlook اين است كه پيوست‌ها را در يك فولدر بر روي SDCard قرار دهد كه توسط هر برنامه ديگري با مجوز READ_EXTERNAL_STORAGE قابل خواندن است. اندرويد 4.4 اين قابليت را اضافه كرده است كه برنامه‌ها بتوانند فولدرهاي محرمانه بر روي SDCard داشته باشند، ولي براي كاربران نسخه‌هاي قديمي‌تر اندرويد، اين پيوست‌ها امن نيستند.
ادعاي ديگر مربوط به ويژگي pincode است. اين برنامه به كاربر اجازه مي‌دهد كه يك pincode را تنظيم نمايد كه ممكن است كاربر تصور كند كه ايميل را رمز مي‌كند. اما اين pincode اين كار را انجام نمي‌دهد، بلكه صرفاً دسترسي به اين برنامه را كنترل مي‌كند. اين ويژگي به‌طور پيش‌فرض فعال نيست.
دليل اين تصور اشتباه كاربر اين است كه زماني كه كاربر به منوي Settings برنامه مي‌رود تا اين pincode را فعال كند، اولين پيغامي كه با آن روبرو مي‌شود اين است كه «اين برنامه را با يك كلمه عبور محافظت نماييد». اما درصورتيكه كاربر بر روي اين بخش كليك كند تا pincode را فعال نمايد، در صفحه دوم با پيغامي مواجه مي‌شود با اين مضمون كه اين pincode از ايميل شما محافظت خواهد كرد.
البته Include Security تأكيد كرده است كه برنامه‌هاي ديگري نيز با اين مشكلات وجود دارند و اخيراً نيز در مورد اينكه برنامه ايميل iOS 7، پيوست‌هاي ذخيره شده بر روي گوشي را رمز نمي‌كند گزارشي منتشر كرده است. البته اپل از اين مسأله آگاه است و هنوز آن را حل نكرده است.