شماره: IRCNE2014052195
تاريخ:28/02/93

اخيرا محققان Bitdefender يك حمله سرقت هويت را كشف كردند كه براي سرقت اعتبارنامه هاي ورودي كاربران گوگل طراحي شده است.
يك پست الكترونيك هرزنامه اي با عنوان "Mail Notice" يا "New Lockout Notice" براي كاربران ارسال مي شود و به شما مي گويد كه پست الكترونيكي شما در 24 ساعت آينده قفل خواهد شد و شما قادر نخواهيد بود تا Email storage Quota را افزايش دهيد. براي افزايش خودكار سهميه Email خود به INSTANT INCREASE برويد.
كاربراني كه بر روي INSTANT INCREASE كليك كنند به يك صفحه لاگين تقلبي از گوگل هدايت مي شوند. نكته قابل توجه درباره اين حمله آن است كه نوار آدرس مرورگر تنها "data:," را نشان مي دهد كه بيانگر استفاده از طرح داده Uniform Resource Identifier مي باشد. اين طرح براي نشان دادن محتوي فايل ها از رمزگذاري Base64 استفاده مي كند. در اين مورد تهيه محتوي صفحه وب جعلي در يك رشته رمزگذاري شده در داده URI انجام مي شود.
يكي از محققان Bitdefender اظهار داشت: از آن جايي كه گوگل كروم كل رشته را نمايش نمي دهد در نتيجه كاربران ممكن است هدف يك حمله سرقت هويت قرار بگيرند و داده هاي آن ها در اختيار مجرمان سايبري قرار بگيرد.

شماره: IRCNE2014052194
تاريخ:28 /02/93

در آخرين نسخه گوگل كروم نسخه 34.0.1847.137 سه آسيب پذيري امنيتي اصلاح شده است. تمامي اين آسيب پذيري ها داراي برچسب "با شدت بالا" مي باشند.

• CVE-2014-1740: يك خطاي استفاده پس از آزادسازي در WebSockets وجود دارد.
• CVE-2014-1741: نقص سرريز عدد صحيح در دامنه هاي DOM وجود دارد.
• CVE-2014-1742: يك خطاي استفاده پس از آزادسازي در ويرايش كردن وجود دارد.

دو آسيب پذيري توسط AddressSanitizer شناسايي شده است. در آخرين به روز رساني كروم نيز فلش پلير به نسخه 13.0.0.214 به روز رساني شده است.
شركت ادوب فلش پلير را به منظور اصلاح شش آسيب پذيري به روز رساني كرده است. حفره امنيتي فلش پلير مي تواند براي دور زدن خط مشي هاي مشترك، دور زدن مكانيزم هاي امنيتي و اجراي كد دلخواه مورد سوء استفاده قرار بگيرد.
به كاربران گوگل كروم توصيه مي شود تا در اسرع وقت مرورگر خود را به آخرين نسخه به روز رساني ها نمايند.

شماره: IRCNE2014052193
تاريخ:28/02/93

از زمان كشف آسيب پذيري Heartbleed در OpenSSL، بيش از 30000 گواهينامه TLS/SSL لغو شده و مجددا با همان كليدهاي قبلي صادر شده است.
اين گزارشات توسط Netcraft، پروژه اي كه در حال مطالعه سايت هاي TLS/SSL بر روي اينترنت مي باشد، منتشر شده است.
نقص Heartbleed به مهاجم اجازه مي دهد تا به كليدهاي خصوصي سرورهايي كه مبتني بر OpenSSL هستند دسترسي يابند و با رمزگشايي داده ها به آن ها دسترسي يابند. در نتيجه اين آسيب پذيري، مي بايست گواهينامه هاي قديمي سايت ها لغو شده و گواهينامه هاي جديد براي آن ها صادر شود.
با توجه به مطالعات Netcraft، براي 43 درصد از سايت هاي آُسيب پذير مجددا گواهينامه صادر شده است. اما گواهينامه 7 درصد از اين سايت ها با همان كليد خصوصي قديمي صادر شده است. تنها 14 درصد از سايت ها توانسته اند تا گواهينامه هاي خود را با كليدهاي خصوصي جديد صادر كنند و بدين ترتيب توانسته اند تا جلوي حملات احتمالي را بگيرند.
در مجموع 20 درصد گواهينامه هاي خود را لغو كرده اند و تعداد بسيار كمي از سايت ها پس از لغو، گواهينامه جديدي را صادر نكرده اند. در نهايت، در حال حاضر 5 درصد از سايت ها با وجود صدور مجدد گواهينامه، به دليل صدور گواهينامه با همان كليدهاي خصوصي قبلي آسيب پذير مي باشند.

Number:IRCNE2014052195
Date: 2014-05-18

According to “esecurityplanet”, Bitdefender researchers recently came across a new, well-crafted phishing attack designed to steal victims' Google login credentials.

A spam e-mail with the subject line "Mail Notice" or "New Lockout Notice" states, "This is a reminder that your email account will be locked out in 24 hours. Due to not being able to increase your Email storage Quota. Go to the INSTANT INCREASE to increase your Email storage automatically."

Recipients who click on the link in the email at "INSTANT INCREASE" are redirected to a fake Google login page.

What's notable about this attack, according to Bitdefender, is that the browser address bar only shows "data:," which indicates the use of a data Uniform Resource Identifier scheme."The scheme uses Base64 encoding to represent file contents, in this case supplying the content of the fake web page in an encoded string within the data URI."

"As Google Chrome doesn’t show the whole string, regular users have a hard time figuring out they are targeted in a phishing attack and may give their data to cyber-criminals," Stanescu notes.

Number:IRCNE2014052194
Date: 2014-05-18

According to “softpedia”, the latest stable version of Google Chrome, 34.0.1847.137, includes three security fixes. The issues, all of which are high-severity, have been given the following CVE identifiers: CVE-2014-1740, CVE-2014-1741 and CVE-2014-1742.

-CVE-2014-1740: a use-after-free in WebSockets reported by Collin Payne.

-CVE-2014-1741: integer overflow flaw in DOM ranges reported by John Butler.

-CVE-2014-1742: use-after-free in editing reported by cloudfuzzer.

Two of the vulnerabilities were identified with AddressSanitizer. The latest Chrome stable channel update also brings Flash Player to version 13.0.0.214.

Adobe has updated Flash Player to address six vulnerabilities, including a use-after-free reported by Zeguang Zhao of team509 and Liang Chen of Keen Team at Pwn2Own 2014.

The Flash Player security holes could have been exploited to bypass the same policy origin, bypass security mechanisms and execute arbitrary code.

Users are advised to update their installations as soon as possible.

شماره: IRCNE2014052192
تاريخ:27/02/93

روز سه شنبه شركت مايكروسافت چندين به روز رساني امنيتي اختياري را براي چندين نسخه از چارچوب كاري .NET منتشر كرده است. نسخه هاي به روز رساني شده مانع استفاده از الگوريتم رمزگذاري RC4 در ارتباطات TLS مي شود.

اين به روز رساني ها تنها از طريق Windows Update Catalog و Microsoft Download Center در دسترس مي باشند و از طريق سيستم به روز رساني ويندوز اعمال نمي شوند.

RC4 در سال 1987 توسط Ronald Rivest اختراع شد و با وجود ضعف هايي در پياده سازي آن، در طول ساليان به عنوان يكي از محبوب ترين الگوريتم هاي رمزگذاري مورد استفاده قرار گرفته است.

تا سال گذشته، استفاده از RC4 در ارتباطات TLS به عنوان يك روش امن به حساب مي آمد. با اين حال، در مارس سال 2013 گروهي از محققان حملاتي را كه مي تواند عليه رمزگذاري RC4 در TLS مورد استفاده قرار گيرد، شناسايي كردند.

در ماه نوامبر شركت مايكروسافت يك به روز رساني براي ويندوز 7، ويندوز 8، ويندوز RT، ويندوز سرور 2008 R2 و ويندوز سرور 2012 منتشر كرد كه به ادمين ها اجازه مي داد تا با استفاده از تنظيمات رجيستري پشتيباني از RC4 را غيرفعال نمايند. به روز رساني اختياري كه روز سه شنبه منتشر شده است نيز همين كار را براي چارچوب كاري .NET انجام مي دهد.

شركت مايكروسافت در راهنمايي امنيتي روز سه شنبه خود آورده است كه استفاده از RC4 در TLS مي تواند به مهاجمي اجازه دهد تا حملات man-in-the-middle را انجام دهد و متن هاي ساده را از نشست هاي رمزگذاري شده استخراج نمايد.

در حالي كه مسدود نمودن RC4 پيشنهاد مي شود، شركت مايكروسافت اعلام كرد كه مشتريان بايد برنامه اي براي تست تنظيمات جديد قبل از اعمال آن در محيط شبكه داشته باشند.

در آزمايشي كه در ماه نوامبر توسط شركت مايكروسافت انجام گرفت مشخص شد كه 43 درصد از وب سايت هاي HTTPS رمزگذاري RC4 را در پيكربندي خود اولويت بندي كرده اند اما تنها 4 درصد از آن ها استفاده از اين روش را يك الزام در نظر گرفته اند. اين بدان معني است كه مرورگرها و ساير برنامه هاي كاربردي كه به عنوان يك كلاينت RC4 عمل مي كنند مي توانند هنگام مذاكره براي ارتباطات TLS، يك روش رمزگذاري متفاوت را انتخاب نمايند.

شماره: IRCNE2014052191
تاريخ: 27/02/93

ماه گذشته شركت گوگل به كاربراني كه يك برنامه تقلبي آنتي ويروس را از فروشگاه گوگل پلي خريده بودند، اعلام كرد كه مي توانند پول خود را پس بگيرند اما به نظر مي رسد اين كلاهبرداري ادامه دارد. اخيرا محققان امنيتي برنامه هاي مشابهي را در هر دو فروشگاه هاي گوگل پلي و ويندوز فون شناسايي كردند.
محققان آزمايشگاه كسپراسكاي يك برنامه تقلبي را با نام Kaspersky Mobile در فروشگاه ويندوز فون پيدا كردند و اين موضوعي غيرعادي است زيرا اولا مجرمان سايبري بيشتر فروشگاه گوگل پلي را مورد هدف قرار مي دهند و ثانيا شركت كسپراسكاي محصول آنتي ويروسي براي ويندوز فون ندارد.
Roman Unuchek، مدير واحد بدافزار آزمايشگاه كسپراسكاي اظهار داشت:اين برنامه تقلبي از لوگوي كسپراسكاي و ساير المان هاي برندها استفاده مي كند و هم چنين هنگام اجرا شدن، از اسكن شدن فايل ها جلوگيري مي كند.
برند كسپراسكاي تنها برندي نيست كه در اين كلاهبرداري از آن سوء استفاده مي شود. طراحان اين كلاهبرداري از لوگوي ساير برندهاي معروف ديگر از جمله Avira، موزيلا فايرفاكس، گوگل كروم، موبايل اپرا، IE و سافاري نيز سوء استفاده كرده اند.
يكي از برنامه هاي تقلبي ويندوز فون از نامي مشابه يك برنامه آنتي ويروس تقلبي در فروشگاه گوگل پلي با عنوان Virus Shield استفاده كرده است.
هم چنين محققان يك برنامه تقلبي با برند كسپراسكاي را در فروشگاه گوگل پلي با عنوان آ«تي ويروس 2014 كسپراسكاي شناسايي كردند. توضيحات اين برنامه از يك صفحه رسمي در گوگل پلي كه مربوط به يكي از محصولات معتبر مي باشد، نسخه برداري شده است.
|Unuchek اشاره كرد كه به نظر مي رسد تعداد اين نوع كلاهبرداري در حال افزايش مي باشد. واقعيت آن است كه مكانيزم هايي كه توسط فروشگاه هاي رسمي به كار برده مي شود نمي توانند با اين نوع كلاهبرداري ها مقابله نمايند.

Number:IRCNE2014052192
Date: 2014-05-17

According to “techworld”, Microsoft released optional security updates Tuesday for various versions of the .NET Framework that prevent the RC4 encryption algorithm from being used in TLS (Transport Layer Security) connections.

The updates are only available through the Windows Update Catalog and the Microsoft Download Center, not Windows Update.

The Rivest Cipher 4 (RC4) was invented in 1987 by cryptographer Ronald Rivest and remained a popular encryption algorithm over the years despite cryptographic weaknesses being discovered by researchers.

Until last year, the use of RC4 as a preferred cipher in TLS was considered safe and actually recommended for a while after cipher-block chaining mode ciphers like AES-CBC were found to be vulnerable to attacks.

However, in March 2013, a team of researchers presented feasible attacks against RC4 as used in TLS.

In November Microsoft released an update for Windows 7, Windows 8, Windows RT, Windows Server 2008 R2 and Windows Server 2012 that allowed system administrators to disable RC4 support using registry settings. The new optional updates released Tuesday do the same thing, but for the .NET Framework.

"The use of RC4 in TLS could allow an attacker to perform man-in-the-middle attacks and recover plaintext from encrypted sessions," Microsoft said in " a security advisory Tuesday.

While blocking RC4 is recommended, the company said that customers should plan and test the new settings prior to making this change in their environments.

In November, a test by Microsoft found that 43 percent of HTTPS websites prioritized the RC4 cipher in their configurations, but only about 4 percent of them actually required it. This means that browsers and other applications that act as TLS clients can choose a different cipher when negotiating TLS connections with the vast majority of servers.

Number:IRCNE2014052191
Date: 2014-05-17

According to “computerworld”, last month Google offered refunds to users who bought a fake antivirus app from Google Play, but the scam seems to be catching on and security researchers have recently identified similar apps in both the Android and Windows Phone app stores.

Malware analysts from Kaspersky Lab found a fake app called Kaspersky Mobile in the Windows Phone Store, which is unusual because cybercriminals tend to target Google Play and because Kaspersky doesn't even make an antivirus product for Windows Phone.

The fake app, used Kaspersky's logo and other branding elements and even pretended to scan files when run, said Roman Unuchek, senior malware analyst at Kaspersky Lab in a blog post Thursday.

Kaspersky Lab was not the only brand abused by the people behind this scam. The same developer account had created fake apps using the names and logos of other popular programs, including Avira Antivirus, Mozilla Firefox, Google Chrome, Opera Mobile, Internet Explorer and Safari.

One of the developer's fake Windows Phone apps used the same name as a fake antivirus app found in Google Play in April -- Virus Shield.

The researchers also identified a Kaspersky-branded fake app in Google Play using the name Kaspersky Anti-Virus 2014. The app's description was copied from the official Google Play page for Kaspersky Internet Security for Android, one of the company's legitimate products.

"It is quite possible that more and more of these fake apps will start appearing," he said. "One thing is for sure -- the mechanisms put in place by the official stores are clearly unable to combat scams like this."

شماره: IRCNE2014052190
تاريخ: 24/02/93 

شركت مايكروسافت هشت به روز رساني امنيتي را به منظور برطرف نمودن 14 آسيب پذيري در ويندوز، آفيس و SharePoint Server منتشر كرد. در حال حاضر مهاجمان از سه آسيب پذيري سوء استفاده مي كنند.
اين اولين اصلاحيه از زمان توقف پشتيباني ويندوزXP و آفيس 2003 مي باشد.اگرچه شركت مايكروسافت هفته گذشته يك به روز رساني را براي تمامي نسخه هاي ويندوز از جمله ويندوز XP منتشر كرد اما اين بار از خط مشي سازمان پيروي كرده و با وجود آن كه يكي از آسيب پذيري ها بحراني مي باشد و ويندوز XP را نيز تحت تاثير قرار مي دهد اما هيچ اصلاحيه ايي براي ويندوز XP منتشر نكرده است.
در سه شنبه اصلاحيه مايكروسافت دو به روز رساني براي مايكروسافت آفيس منتشر شده است اما براي آفيس 2003 به روز رساني منتشر نشده است. به همين ترتيب اصلاحيه هايي براي SharePoint Server نسخه هاي 2007، 2010 و 2013 منتشر شده است اما هيچ اصلاحيه اي براي محصولات سال 2003 اين شركت در دسترس نيست.
در حال حاضر مهاجمان در حال سوء استفاده از سه آسيب پذيري مي باشند. يك آسيب پذيري به طور عمومي افشاء شده است. بحراني ترين آسيب پذيري، MS14-029، كه مطمئنا ويندوز XP را تحت تاثير قرار مي دهد، در حال سوء استفاده شدن است اما براي نسخه XP آن اصلاحيه اي منتشر نشده است.

• MS14-029: به روز رساني امنيتي براي IE. بحراني ترين آسيب پذيري در اصلاحيه هاي امروز مايكروسافت مي باشد. تمامي نسخه هاي IE بر روي تمامي نسخه هاي ويندوز نسبت به دو آسيب پذيري تخريب حافظه آسيب پذيري مي باشند كه مي تواند منجر به اجراي كد از راه دور شود.
• MS14-022: تمامي نسخه هاي SharePoint Server از جمله نسخه 2007، 2010 و 2013، هم چنين Office Web Apps، SharePoint Designer و SharePoint Server 2013 Client Components SDK نسبت به يك آسيب پذيري اجراي كد از راه دور آسيب پذيري مي باشند. آسيب پذيري اسكريپت بين سايتي تنها SharePoint Server 2013، Office Web Apps 2013 و SharePoint Server 2013 Client Components SDK را تحت تاثير قرار مي دهد. يك آسيب پذيري مهم اجراي كد از راه دور تنها Office Web Apps 2010 را تحت تاثير قرار داده است.
• MS14-024: آسيب پذيري در Microsoft Common Control مي تواند اجازه دور زدن ويژگي هاي امنيتي را بدهد. يك آسيب پذيري در كتابخانه كنترل هاي رايج MSCOMCTL مي تواند به يك وب سايت مخرب اجازه دهد تا ASLR را دور زند. اين آسيب پذيري در تمامي نسخه هاي آفيس وجود دارد و احتمال دارد كه از طريق IE نيز بتواند مورد سوء استفاده واقع شود. توجه: آفيس 2003 تحت تاثير اين آسيب پذيري قرار دارد اما شركت مايكروسافت اصلاحيه اي براي آن منتشر نكرده است.
• MS14-023: آسيب پذيري ها در مايكروسافت آفيس مي تواند منجر به اجراي كد از راه دور شود.
• MS14-025: آسيب پذيري ها در Group Policy Preferences مي تواند منجر به افزايش سطح دسترسي شود.
• MS14-026: آسيب پذيري در چارچوب كاري .NET مي تواند اجازه افزايش سطح دسترسي را بدهد.
• MS14-027: تمامي نسخه هاي ويندوز داراي آسيب پذيري افزايش سطح دسترسي مي باشند. يك مهاجم مي تواند كدي را در LocalSystem اجرا نمايد.
• MS14-028: آسيب پذيري در Windows Shell Handler مي تواند اجازه افزايش سطح دسترسي را بدهد. نسخه هاي سرور ويندوز نسبت به دو آسيب پذيري انكار سرويس در مسيري كه ويندوز بسته هاي iSCSI را مديريت مي كند، آسيب پذير هستند.