شماره: IRCNE2014052198
تاريخ: 3/3/93

يك نقص امنيتي حياتي در IE 8 از زمان شناسايي آن در اكتبر 2013 همچنان اصلاح نشده باقي مانده است.
گزارش Zero-Day Initiative حاكي است كه اين آسيب‌پذيري به مهاجم اجازه مي‌دهد هنگامي كه وب‌سايتي را مشاهده مي‌كنيد كه براي آلوده كردن كامپيوتر شما طراحي شده است، كد خرابكار را در IE8 اجرا كند.
مايكروسافت در ماه اكتبر در مورد اين آسيب‌پذيري مطلع شد، ولي قادر به ترميم آن نبوده است. البته مشخص نيست كه اين مسأله به اين علت است كه IE8 آخرين مرورگري است كه ويندوز XP را پشتيباني مي‌كند يا اينكه سخت بودن راه حل آن دليل عدم ترميم اين آسيب‌پذيري است.
به گفته اين شركت هنوز سوء استفاده فعالي از اين آسيب‌پذيري مشاهده نشده است كه اين بدان معناست كه اگرچه اين حفره باز است، اما هيچ كس براي حمله به كاربران از آن استفاده نكرده است.
يك سخنگوي مايكروسافت اظهار كرد كه اين شركت تمامي ترميم‌هاي امنيتي را با بيشترين سرعت ممكن ساخته و تست مي‌كند. برخي ترميم‌ها پيچيده‌تر از سايرين هستند و اين شركت بايد هر ترميم را در برابر تعداد زيادي از برنامه‌ها و پيكربندي‌هاي مختلف تست نمايد.

شماره: IRCNE2014052197
تاريخ: 3/3/93

اپل در پي كشف چندين آسيب‌پذيري كه مي‌توانند كاربران را در معرض خطر حملات راه دور قرار دهند، دو به‌روز رساني نرم‌افزاري براي مرورگر وب Safari عرضه كرده است.
به‌روز رساني‌هاي Safari 6.1.4 و Safari 7.0.4 براي كاربران OS X Lion v10.7.5، OS X Lion Server v10.7.5، OS X Mountain Lion v10.8.5 و OS X Mavericks v10.9.3 قابل اعمال است.
بر اساس راهنمايي امنيتي اپل، كساني كه اين به‌روز رساني‌ها را نصب نكنند، سيستم‌هاي خود را در معرض حملات اجراي كد از راه دور قرار مي‌دهند كه در آن يك كاربر غيرمجاز مي‌تواند كنترل سيستم آنها را در اختيار بگيرد.
اپل هشدار داد كه مشاهده يك وب‌سايت كه با نيت خرابكارانه دستكاري شده است مي‌تواند باعث خروج غيرمنتظره از برنامه يا اجراي كد دلخواه گردد.
اپل در سايت خود نوشت كه يك سايت خرابكار مي‌تواند به صورتي پيغام‌هايي را براي يك فريم يا پنجره متصل ارسال كند كه origin check گيرنده را دور بزند.
اين به‌روز رساني‌ها از طريق سايت پشتيباني اپل قابل دانلود هستند.

ID: IRCNE2014052199
Date: 2014-05-24

According to “McAfee”, targeted attacks have several stages, sometimes called the APT kill chain. At McAfee Labs we prefer the model described by Lockheed Martin:
As part of the weaponizing phase, attackers often put a payload into a file that, once installed, will connect in the C2 (command and control) phase to the attacker. A very common payload used by many password-stealing malware is a keylogger. The purpose of keylogging is to capture the users’ keystrokes, and gather credentials and links to internal and external resources. The stolen credentials can later be used to weaponize another file or serve as part of the actions phase of the APT kill chain.
One example we recently ran into is the malware Marmoolak, an Iranian keylogger with the MD5 F09D2C65F0B6AD55593405A5FD3A7D91. We traced the first appearance of this keylogger to a Middle-East forum.
Although some keyloggers may capture keystrokes for legitimate purposes, this one misleads its victims by including a hidden payload. By placing this keylogger on this forum, we believe the developer intended to attack other members of this forum, a popular tactic in that region.
To prevent detection, malware authors often use cheap and easy packer’s, which modify the malware witha runtime compression or encryption program. In this case the files were hidden by a modified version of the well-known packer UPX.
On execution, the file adds a copy of itself into the System32 folder as Mcsng.exe. The malware also launches a process that drops and writes the file 1stmp.sys in the %system32%\config folder.
Although the file extension suggests it is a .sys (system) file, it is not. Its purpose is to function as a log file that contains the encrypted keystrokes of the user. Every time a key is pressed, the process records the keystroke, encrypts it and appends it to 1stmp.sys.
Although the encryption algorithm is simple, it uses “selective encryption,” with two techniques: Each byte is encrypted by technique 1 if it is odd and technique 2 if it is even.
After decrypting we can see not only keystrokes, but also the time stamps when they were logged. After the keystrokes are logged and encrypted, the malware mails its content to its author. The malware also sends computer name and user name data to its master.
In this case the encrypted log is sent to the email address Marmoolak@red-move.tk. This address is hosted on a domain that is very popular in Iran for hosting malware.
McAfee detects this Trojan keylogger and its variants as Keylog-FAG! To avoid infection from this and other keyloggers, keep your antivirus system updated and do not download content from untrusted sources.

ID: IRCNE2014052198
Date: 2014-05-24

According to “CNet”, a critical security flaw in Microsoft's Internet Explorer 8 has gone unfixed since October 2013, according to a new report from the Zero-Day Initiative.
The report, which was issued because of ZDI's policy to reveal zero-day flaws that go unfixed for more than 180 days, says that the vulnerability allows an attacker to run malicious code in IE 8 when you visit a website designed to infect your computer.
Microsoft learned of the zero-day -- the term given to a previously unknown, unpatched flaw -- in October but has been unable to fix it. Whether that's because IE 8 is the last version of the browser to support Windows XP, which Microsoft officially no longer supports, or because the flaw itself is hard to fix, Microsoft would not say.
The company said that it has not seen an active exploit of the zero-day flaw, meaning that although the hole remains wide open, nobody has been using it to attack people.
"We build and thoroughly test every security fix as quickly as possible. Some fixes are more complex than others, and we must test every one against a huge number of programs, applications and different configurations," said a Microsoft spokesperson.

ID: IRCNE2014052197
Date: 2014-05-24

According to “ITPro”, Apple has released a pair of software updates for its Safari web browser following the discovery of multiple vulnerabilities that could leave users at risk of remote attacks.
The Safari 6.1.4 and Safari 7.0.4 updates are applicable to users of OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 and OS X Mavericks v10.9.3.
According to an Apple Security advisory, those who fail to install the updates could leave their systems exposed to arbitrary code execution attacks, whereby an unauthorised third party could take control of the users’ machine.
“Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution,” Apple warned.
There is also a risk users could experience postmessage issues if the security flaws remain unaddressed.
“A malicious site [could] send messages to a connected frame or window in a way that might circumvent the receiver's origin check,” the site stated.
The updates are available to download now via Apple’s support site.

شماره: IRCNE2014052195
تاريخ:28/02/93

اخيرا محققان Bitdefender يك حمله سرقت هويت را كشف كردند كه براي سرقت اعتبارنامه هاي ورودي كاربران گوگل طراحي شده است.
يك پست الكترونيك هرزنامه اي با عنوان "Mail Notice" يا "New Lockout Notice" براي كاربران ارسال مي شود و به شما مي گويد كه پست الكترونيكي شما در 24 ساعت آينده قفل خواهد شد و شما قادر نخواهيد بود تا Email storage Quota را افزايش دهيد. براي افزايش خودكار سهميه Email خود به INSTANT INCREASE برويد.
كاربراني كه بر روي INSTANT INCREASE كليك كنند به يك صفحه لاگين تقلبي از گوگل هدايت مي شوند. نكته قابل توجه درباره اين حمله آن است كه نوار آدرس مرورگر تنها "data:," را نشان مي دهد كه بيانگر استفاده از طرح داده Uniform Resource Identifier مي باشد. اين طرح براي نشان دادن محتوي فايل ها از رمزگذاري Base64 استفاده مي كند. در اين مورد تهيه محتوي صفحه وب جعلي در يك رشته رمزگذاري شده در داده URI انجام مي شود.
يكي از محققان Bitdefender اظهار داشت: از آن جايي كه گوگل كروم كل رشته را نمايش نمي دهد در نتيجه كاربران ممكن است هدف يك حمله سرقت هويت قرار بگيرند و داده هاي آن ها در اختيار مجرمان سايبري قرار بگيرد.

شماره: IRCNE2014052194
تاريخ:28 /02/93

در آخرين نسخه گوگل كروم نسخه 34.0.1847.137 سه آسيب پذيري امنيتي اصلاح شده است. تمامي اين آسيب پذيري ها داراي برچسب "با شدت بالا" مي باشند.

• CVE-2014-1740: يك خطاي استفاده پس از آزادسازي در WebSockets وجود دارد.
• CVE-2014-1741: نقص سرريز عدد صحيح در دامنه هاي DOM وجود دارد.
• CVE-2014-1742: يك خطاي استفاده پس از آزادسازي در ويرايش كردن وجود دارد.

دو آسيب پذيري توسط AddressSanitizer شناسايي شده است. در آخرين به روز رساني كروم نيز فلش پلير به نسخه 13.0.0.214 به روز رساني شده است.
شركت ادوب فلش پلير را به منظور اصلاح شش آسيب پذيري به روز رساني كرده است. حفره امنيتي فلش پلير مي تواند براي دور زدن خط مشي هاي مشترك، دور زدن مكانيزم هاي امنيتي و اجراي كد دلخواه مورد سوء استفاده قرار بگيرد.
به كاربران گوگل كروم توصيه مي شود تا در اسرع وقت مرورگر خود را به آخرين نسخه به روز رساني ها نمايند.

شماره: IRCNE2014052193
تاريخ:28/02/93

از زمان كشف آسيب پذيري Heartbleed در OpenSSL، بيش از 30000 گواهينامه TLS/SSL لغو شده و مجددا با همان كليدهاي قبلي صادر شده است.
اين گزارشات توسط Netcraft، پروژه اي كه در حال مطالعه سايت هاي TLS/SSL بر روي اينترنت مي باشد، منتشر شده است.
نقص Heartbleed به مهاجم اجازه مي دهد تا به كليدهاي خصوصي سرورهايي كه مبتني بر OpenSSL هستند دسترسي يابند و با رمزگشايي داده ها به آن ها دسترسي يابند. در نتيجه اين آسيب پذيري، مي بايست گواهينامه هاي قديمي سايت ها لغو شده و گواهينامه هاي جديد براي آن ها صادر شود.
با توجه به مطالعات Netcraft، براي 43 درصد از سايت هاي آُسيب پذير مجددا گواهينامه صادر شده است. اما گواهينامه 7 درصد از اين سايت ها با همان كليد خصوصي قديمي صادر شده است. تنها 14 درصد از سايت ها توانسته اند تا گواهينامه هاي خود را با كليدهاي خصوصي جديد صادر كنند و بدين ترتيب توانسته اند تا جلوي حملات احتمالي را بگيرند.
در مجموع 20 درصد گواهينامه هاي خود را لغو كرده اند و تعداد بسيار كمي از سايت ها پس از لغو، گواهينامه جديدي را صادر نكرده اند. در نهايت، در حال حاضر 5 درصد از سايت ها با وجود صدور مجدد گواهينامه، به دليل صدور گواهينامه با همان كليدهاي خصوصي قبلي آسيب پذير مي باشند.

Number:IRCNE2014052195
Date: 2014-05-18

According to “esecurityplanet”, Bitdefender researchers recently came across a new, well-crafted phishing attack designed to steal victims' Google login credentials.

A spam e-mail with the subject line "Mail Notice" or "New Lockout Notice" states, "This is a reminder that your email account will be locked out in 24 hours. Due to not being able to increase your Email storage Quota. Go to the INSTANT INCREASE to increase your Email storage automatically."

Recipients who click on the link in the email at "INSTANT INCREASE" are redirected to a fake Google login page.

What's notable about this attack, according to Bitdefender, is that the browser address bar only shows "data:," which indicates the use of a data Uniform Resource Identifier scheme."The scheme uses Base64 encoding to represent file contents, in this case supplying the content of the fake web page in an encoded string within the data URI."

"As Google Chrome doesn’t show the whole string, regular users have a hard time figuring out they are targeted in a phishing attack and may give their data to cyber-criminals," Stanescu notes.

Number:IRCNE2014052194
Date: 2014-05-18

According to “softpedia”, the latest stable version of Google Chrome, 34.0.1847.137, includes three security fixes. The issues, all of which are high-severity, have been given the following CVE identifiers: CVE-2014-1740, CVE-2014-1741 and CVE-2014-1742.

-CVE-2014-1740: a use-after-free in WebSockets reported by Collin Payne.

-CVE-2014-1741: integer overflow flaw in DOM ranges reported by John Butler.

-CVE-2014-1742: use-after-free in editing reported by cloudfuzzer.

Two of the vulnerabilities were identified with AddressSanitizer. The latest Chrome stable channel update also brings Flash Player to version 13.0.0.214.

Adobe has updated Flash Player to address six vulnerabilities, including a use-after-free reported by Zeguang Zhao of team509 and Liang Chen of Keen Team at Pwn2Own 2014.

The Flash Player security holes could have been exploited to bypass the same policy origin, bypass security mechanisms and execute arbitrary code.

Users are advised to update their installations as soon as possible.