شماره: IRCNE2014052187
تاريخ: 20/2/93

ممكن است كاربران آيفون در برابر يك نقص امنيتي قفل صفحه نمايش كه به هكر اجازه مي‌دهد به جزئيات ليست تماس دسترسي پيدا كند، آسيب‌پذير باشند.
به گفته يك هكر مصري كه اين نقص امنيتي را كشف كرده و گام‌هاي آن را در يوتيوب ضبط كرده است، اين آسيب‌پذيري صرفاً در iOS 7.1.1 (آخرين نسخه اين پلتفورم موبايل) و در هنگامي‌كه Siri از قفل صفحه نمايش قابل دسترسي باشد وجود دارد.
اين نقص امنيتي هنگاميكه Siri در قفل صفحه نمايش فعال شده و كاربر كلمه Contacts را بيان مي‌كند، ايجاد مي‌گردد. اگرچه Siri از عرضه هرگونه جزئيات پيش از وارد كردن كلمه عبور خودداري مي‌كند، اما كاربر قادر است به ليست تماس دسترسي پيدا كند. در اين حالت مي‌توان نام‌هاي ليست تماس را به صورت يك به يك امتحان كرد و يا اينكه به كل ليست به صورت يكجا دسترسي پيدا كرد.
البته هكر بايد به لحاظ فيزيكي به گوشي دسترسي داشته باشد تا قادر به انجام اين ترفند باشد.
اين نقص امنيتي كه نصور مي‌رود بر روي تمامي نسخه‌هاي iPhone كه از Siri استفاده مي‌كنند وجود داشنه باشد، صرفاً دسترسي به شماره‌هاي تماس را فراهم نمي‌آورد، بلكه تمامي اطلاعات قابل دسترسي از كارت تماس را در اختيار قرار مي‌دهد.
به كاربران توصيه مي‌شود كه Siri را از گزينه Passcode در تنظيمات عمومي گوشي خود غيرفعال كنند.

شماره: IRCNE2014052186
تاريخ:20/02/93

شركت مايكروسافت هشدارهاي مربوط به سه شنبه اصلاحيه ماه مي 2014 را منتشر كرد. در 13 مي در مجموع هشت بولتن منتشر خواهد شد كه دو بولتن در دره امنيتي بحراني قرار دارد.
اين اولين سه شنبه اصلاحيه پس از توقف به روز رساني هاي ويندوز XP و آفيس 2003 مي باشد. اگرچه شركت مايكروسافت هفته گذشته يك اصلاحيه براي تمامي نسخه هاي ويندوز از جمله ويندوز XP فراهم كرد اما اين شركت قصد ندارد تا ديگر به روز رساني براي ويندوز XP منتشر كند.
بولتن يك كه با عنوان MS14-022 منتشر خواهد شد يك آسيب پذيري اجراي كد از راه دور براي ويندوز است. اين بولتن براي تمامي نسخه هاي كلاينت ويندوز از ويندوز ويستا تا ويندوز 8.1 در رده امنيتي بحراني قرار دارد و براي تمامي نسخه هاي ويندوز سرور در رده امنيتي مهم قرار دارد. اين آسيب پذيري بر روي ويندوز XP نيز در رده امنيتي بحراني قرار دارد اما اين نسخه از ويندوز در فهرست نسخه هاي اصلاح شده قرار ندارد.
بولتن بحراني ديگر با عنوان MS14-023 شناخته مي شود كه حداقل يك آسيب پذيري بحراني در SharePoint Server نسخه 2007، 2010 و 2013 را برطرف خواهد كرد.
بولتن سه و هشت تمامي نسخه هاي مايكروسافت آفيس از جمله نسخه 2007، 2010 و 2013 در هر دو نسخه 32 بيتي و ARM را تحت تاثير قرار مي دهد و براي تمامي پلت فرم ها در رده امنيتي مهم قرار دارد. اين آسيب پذيري در آفيس 2003 اصلاح نخواهد شد.
چهار بولتن و به روز رساني هاي ديگر مايكروسافت ويندوز را تحت تاثير قرار مي دهد و در رده امنيتي مهم قرار دارد. به نظر مي رسد كه ويندوز XP تحت تاثير بولتن هاي چهار، پنج و شش قرار داشته باشد.
مطابق معمول هميشه شركت مايكروسافت نسخه جديدي از ابزار Windows Malicious Software Removal Tool و هم چنين چندين به روز رساني غيرامنيتي را منتشر خواهد كرد.

شماره: IRCNE2014052185
تاريخ:20 /02/93

شركت ادوب اعلام كرد كه روز سه شنبه، 13 مي به روز رساني هاي ادوب آكروبات و Reader را براي ويندوز و مكينتاش منتشر خواهد كرد. اين به روز رساني ها حداقل يك آُسيب پذيري بحراني را برطرف مي كنند.
نسخه هاي زير تحت تاثير اين آسيب پذيري ها قرار دارند:

• Adobe Reader XI و Acrobat XI نسخه 11.0.06 و نسخه هاي پيش از 11.x براي ويندوز و مكينتاش
• Adobe Reader X و Acrobat X نسخه 10.1.9 و نسخه هاي پيش از 10.x براي ويندوز و مكنيتاش

در حال حاضر جزئيات بيشتر در دسترس نيست اما اين آسيب پذيري يا آسيب پذيري هاي اصلاح شده در رده امنيتي 1 كه بالاترين رده امنيت در سيستم ادوب است قرار دارند.

ID: IRCNE2014052187
Date: 2014-05-03

According to “ZDNet”, iPhone users may be vulnerable to a lock-screen flaw that allows a hacker to access contact list details on the device.
iOS 7 had an extreme makeover, beauty pageant style, in a vastly aesthetic and design-focused release. Here's more.
According to the Egyptian part-time hacker who discovered the flaw and recorded the steps on YouTube, Sherif Hashim, the vulnerability only exists when running iOS 7.1.1, the latest version of the mobile platform, and when Siri is available from the lock-screen.
The flaw exists when Siri is triggered on the lock-screen, and a user says, "Contacts." Although Siri will refuse to dish out any details, not before bringing up the password screen, a user is able to access the contacts list by pulling up on the screen, editing the request, and asking for a duplicated name. If you have more than one "John," for instance, you have the option to view all contacts from the "Other..." menu.
However, the hacker attempting to gain access to the device must be in its physical presence in order to perform the trick.
Although you can try different names one by one, you also have the option to access the full contacts list.
The flaw, which is believed to work on all iPhone versions running Siri, doesn't just gain access to phone numbers, but any information that is available from a contact card.
Users are advised to switch off Siri from the Passcode options in the General settings of the device.

Number:IRCNE2014052186
Date: 2014-05-10

According to “zdnet”, Microsoft has released their advance notification for the May 2014 Patch Tuesday updates. There will be a total of eight updates issued next Tuesday, May 13, two of them rated critical.
This is the first Patch Tuesday since the end of support for Windows XP and Office 2003. Even though Microsoft provided an update one week ago for all Windows versions, including Windows XP, they do not plan to make any such accommodations this time.
Bulletin one, which will be released as MS14-022, is a remote code execution vulnerability for Microsoft Windows, specifically involving Internet Explorer. It is listed as critical for all client versions of Windows from Windows Vista through Windows 8.1 and moderate for all Windows Server versions. In such cases it is inevitable that the bug will be critical on Windows XP as well, but XP is not listed as among the products to be updated.
The other critical bulletin, Bulletin two (MS14-023), addresses at least one critical vulnerability in SharePoint Server 2007, 2010 and 2013.
Bulletins three and eight affect all supported versions of Microsoft Office: 2007, 2010 and 2013, both x86 and ARM, and are rated Important for all platforms. Office 2003, which also reached its end of support last month, is not listed as being scheduled to receive an update.
The other four bulletins and updates all affect Microsoft Windows and are rated Important. Based on the other products affected it would appear that Windows XP will be affected by bulletins four, five and six, but not seven.
As is usually the case, Microsoft will also release a new version of the Windows Malicious Software Removal Tool and a large collection of non-security updates to various Windows versions.

Number:IRCNE2014052185
Date: 2014-05-10

According to “zdnet”, Adobe has announced that next Tuesday, May 13, they will release updates to Adobe Acrobat and Reader for Windows and Mac to address at least one critical vulnerability.
The affected versions are Adobe Reader XI and Acrobat XI (11.0.06) and earlier 11.x versions for Windows and Macintosh and Adobe Reader X (10.1.9) and Acrobat X and earlier 10.x versions for Windows and Macintosh.
No further details were provided, but the vulnerability or vulnerabilities are rated priority 1, which is Adobe's most severe.

شماره: IRCNE2014052184
تاريخ:16/02/93

يك آسيب پذيري امنيتي در Dropbox اصلاح شده است. اين آسيب پذيري به اشتراك گذاري لينك هاي كاربر به فايل ها مربوط مي شود.
اين شركت ذخيره سازي ابر در پستي اعلام كرد كه اين ضعف مبتني بر سرآيندهاي ارجاع مي تواند براي افشاي اطلاعات مورد سوء استفاده قرار بگيرد. سرآيند ارجاع پروتكلي است كه به يك سايت اجازه مي دهد تا جايي كه شما از آن در حال جستجوي وب هستيد را ياد بگيرد و اين ويژگي به سايت ها اجازه مي دهد تا ترافيك منابع را بشناسند كه آيا شما از طريق يك موتور جستجو، بوك مارك يا وب سايت هاي ديگر، سايتي را مشاهده كرده ايد. با اين حال، طي مراحل زير اين ويژگي مي تواند از طريق Dropbox براي سرقت داده ها مورد سوء استفاده قرار بگيرد:

• كاربران Dropbox يك لينك به سندي را به اشتراك مي گذارد. اين لينك حاوي يك ابر پيوند به يك سايت ثالث مي باشد.
• كاربر يا دريافت كننده مجاز لينك بر روي ابر پيوند در سند كليك مي كند.
• سرآيند ارجاع، لينك اشتراك گذاري اصلي به وب سايت ثالث را فاش مي كند.
• كسي كه به اين سرآيند دسترسي دارد مانند وب مستر وب سايت ثالث، مي تواند به لينك سند به اشتراك گذارده شده دسترسي يابد.

بنا به گزارشات تاكنون سرقت اطلاعاتي كه بواسطه اين رخنه اتفاق افتاده باشد گزارش نشده است.
نيازي نيست كاربران اقدامات خاصي انجام دهند و Dropbox اعلام كرد كه براي لينك هاي به اشتراك گذارده شده قبلي به سندها، دسترسي ها كاملا غيرفعال شده است.
Dropbox كاربران Business كه گزينه اي براي محدود نمودن دسترسي به لينك هاي افراد دارند، تحت تاثير اين آسيب پذيري قرار ندارد.

شماره: IRCNE2014052183
تاريخ: 16/02/93

شركت مايكروسافت اعلام كرد كه يك به روز رساني براي Juniper Networks Windows In-Box Junos Pulse VPN منتشر شده است.
كلاينت Juniper Networks Windows In-Box Junos Pulse VPN يك كلاينت VPN مربوط به شركت ديگري است كه همراه با ويندوز 8.1 منتشر شد. اين كلاينت نسبت به رخنه heartbleed آسيب پذير بوده است.
اين برنامه همراه با هر دو نسخه 32 بيتي و 64 بيتي از ويندوز 8.1 و هم چنين با ويندوز RT 8.1 منتشر شد. تمامي اين نسخه ها تحت تاثير اين آسيب پذيري قرار دارند و به روز رساني شركت مايكروسافت براي تمامي آن ها در دسترس مي باشد.
علاوه بر سيستم به روز رساني ويندوز، اين به روز رساني ها را مي توان از KB2962140 دانلود كرد.

Number:IRCNE2014052184
Date: 2014-05-06

According to “zdnet”, Dropbox has fixed a security vulnerability based on the sharing of user links to files in order to stop third parties from accessing data without consent.
The cloud storage company revealed in a blog post that a weakness based on referer headers could be exploited to expose information. A referer header is a protocol that lets a site learn where you've come from when you are browsing the Web, and the feature allows websites to understand traffic sources — whether you visit a site from a search engine, bookmark, or another website. However, in the following scene, this feature could be exploited via Dropbox to steal data:
A Dropbox user shares a link to a document that contains a hyperlink to a third-party website.
The user, or an authorized recipient of the link, clicks on a hyperlink in the document.
The referer header discloses the original shared link to the third-party website.
Someone with access to that header, such as the webmaster of the third-party website, could then access the link to the shared document.
Dropbox says no data theft due to the flaw has been reported.
Users do not need to take any further action, and Dropbox says that for previously shared links to documents, access has been disabled entirely "until further notice."
Dropbox for Business users, who have the option of restricting shared link access to people in Dropbox for Business teams, are not affected by the flaw.

Number:IRCNE2014052183
Date: 2014-05-06

According to “zdnet”, Microsoft has announced the availability of an update for Juniper Networks Windows In-Box Junos Pulse VPN client.
The Juniper Windows In-Box Junos Pulse VPN client is a third party VPN client that shipped with Windows 8.1. As announced in a Juniper disclosure, it is vulnerable to Heartbleed.
The program shipped with both 32-bit and 64-bit versions of Windows 8.1, as well as Windows RT 8.1. All versions are affected and updates are available for all.
In addition to Windows Update, the updates may be downloaded from Knowledge Base article KB2962140.