شماره: IRCNE2014042178
تاريخ: 09/93/02

هفته گذشته موسسه نرم افزاري آپاچي چارچوب كاري محبوب Apache Struts را به روز رساني كرد. نسخه اصلاح شده 2.3.16.2 مي باشد كه حفاظت در برابر مساله دستكاري ClassLoader از طريق ويژگي ParametersInterceptor را سخت تر مي كند. به نظر مي رسيد كه اين مساله در نسخه 2.3.16.1 كه ماه مارس منتشر شد برطرف شده است.
روز پنج شنبه توسعه دهنده Struts به كاربران هشدار داد كه اصلاحيه هاي گذشته كامل نمي باشد و تا زمان انتشار نسخه جديد اين چارچوب كاري براي ارتقاء برنامه هاي كاربردي Java Web، از راهكارهاي مقابله موقتي استفاده نماييد.
اما روز بعد نسخه اصلاح شده اين چارچوب كاري منتشر شد. در نسخه 2.3.16.2 علاوه بر مشكل بالا، مشكل موجود در CookieInterceptor كه همان آسيب پذيري دستكاري ClassLoader مي باشد، نيز برطرف شده است.
مهاجمان در گذشته از آسيب پذيري هاي اجراي كد از راه دور در Apache Struts سوء استفاده مي كردند تا كنترل سرورهايي كه ميزبان برنامه هايي بر روي اين چارچوب كاري بودند را بدست آورند. محققان امنيتي از شركت ترند ميكرو در ماه اوت گزارش دادند كه هكرهاي چيني ابزار خودكاري را طراحي كرده اند كه مي تواند از آسيب پذيري هاي شناخته شده Struts سوء استفاده نمايد.
به علت علاقه مهاجمان به آسيب پذيري هاي Struts، احتمال خطر سوء استفاده از اين آسيب پذيري ها افزايش مي يابد در نتيجه به كاربران اكيدا توصيه مي شود تا در اسرع وقت Struts را به نسخه 2.3.16.2 ارتقاء دهند.
هم چنين محصولات شركت هاي ثالث نيز به دليل استفاده از Struts ممكن است تحت تاثير اين رخنه قرار داشته باشند كه بايد نسبت به اعمال به روز رساني ها اقدام نمايند. به عنوان مثال در گذشته شركت سيسكو برخي از محصولات خود را به دليل اصلاح آسيب پذيري هاي Struts، به روز رساني نمود.

Number:IRCNE2014042177
Date: 2014-04-29

According to “computerworld”, the vulnerable versions are 13.0.0.182 and earlier versions for Windows; 13.0.0.201 and earlier versions for Macintosh; and 11.2.202.350 and earlier versions for Linux. These same versions embedded in Internet Explorer 10 and 11 and in Google Chrome will be updated automatically through those products' update mechanisms.
The new versions are 13.0.0.206 for Windows and Mac and 11.2.202.356 for Linux.
This attack and update are unrelated to the zero day IE vulnerability just disclosed, the attack for which uses a Flash .SWF file as an attack vector. In that case no vulnerability has been indicated in Flash itself.
The vulnerability, which will be designated CVE-2014-0515, was reported to Google by Alexander Polyakov of Kaspersky Labs.

Number:IRCNE2014042178
Date: 2014-04-29

According to “computerworld”, the Apache Software Foundation rushed last week to update the popular Apache Struts framework after a previous security patch for a high-risk vulnerability proved to be incomplete.
The newly released Struts 2.3.16.2 strengthens the protection against a ClassLoader manipulation issue through the ParametersInterceptor feature that was thought to have been resolved in March in Struts 2.3.16.1.
The Struts developers warned users Thursday that the previous patch was insufficient and provided manual mitigation instructions until a new version of the framework for developing Java Web applications was ready.
Struts 2.3.16.2 was released later that day and extends the fix to CookieInterceptor, another functionality that according to a new advisory is vulnerable to the same type of ClassLoader manipulation attack when configured to accept all cookies.
Attackers have exploited remote code execution vulnerabilities in Apache Struts in the past to compromise servers that hosted applications developed with the framework. Security researchers from Trend Micro reported in August that Chinese hackers had created an automated tool for exploiting known Struts vulnerabilities.
The fact that attackers are interested in Struts increases the risk of attacks for users, so upgrading to the newly released Struts 2.3.16.2 as soon as possible is highly recommended.
There are also third-party products that include Struts and might need to be patched because of this flaw. For example, in the past, Cisco Systems updated several of its products in order to integrate a Struts patch for a critical vulnerability.

شماره: IRCNE2014042175
تاريخ:08/02/93

شركت مايكروسافت روز شنبه اعلام كرد كه مجرمان سايبري از يك آسيب پذيري بحراني و اصلاح نشده IE در حملات drive-by سوء استفاده مي كنند. در راهنمايي امنيتي اين شركت آمده است كه تمامي نسخه هاي IE تحت تاثير اين آسيب پذيري قرار دارند.
شركت مايكروسافت اعلام كرد كه اصلاحيه IE6 تنها براي ويندوز سرور 2003 منتشر مي شود. و از آن جا كه انتشار به روز رساني هاي ويندوز XP در هشتم آوريل متوقف شد، اين نسخه از IE براي ويندوز XP اصلاحيه اي دريافت نمي كند. اين حفره اولين آسيب پذيري كشف شده پس از توقف به روز رساني هاي XP مي باشد كه اين سيستم عامل را تحت تاثير قرار مي دهد.
از آن جايي كه در نهايت شركت مايكروسافت اين آسيب پذيري را در IE نسخه هاي 6، 7 و 8 بر روي ويندوز ويستا و 7 برطرف مي كند، اين احتمال وجود دارد كه مهاجمان بتوانند از اين رخنه بر روي مرورگرهاي مشابه در حال اجرا بر روي ويندوز XP سوء استفاده نمايند.
شركت مايكروسافت اعلام كرده بود كه پس از توقف به روز رساني هاي XP، احتمال آلودگي اين سيستم با بدافزار ها به 66 درصد مي رسد.
به كاربران ويندوز XP توصيه اكيد مي شود كه در صورت امكان سيستم عامل خود را ارتقاء دهند. در صورتي كه قادر به اين كار نمي باشند به آن ها توصيه مي شود براي حفاظت بيشتر در برابر احتمال سوء استفاده از اين آسيب پذيري، بسته Enhanced Mitigation Experience Toolkit (EMET) 4.1 را از روي وب سايت مايكروسافت دانلود كرده و بر روي سيستم خود نصب نمايند. هم چنين مي توانند به جاي مرورگر IE از مرورگرهاي ديگر مانند كروم يا فايرفاكس استفاده نمايند.

شماره: IRCNE2014042176
تاريخ:08 /02/93

هكرها ادعا كردند كه يك آسيب پذير جديد در نسخه اصلاح شده OpenSSL وجود دارد. محققان امنيتي اظهار داشتند كه نسبت به صحت اين ادعا مشكوك هستند.
يك گروه پنج نفري از هكرها در يك يادداشتي در Pastebin نوشتند: دو هفته براي يافتن اين آسيب پذيري و نوشتن كد سوء استفاده آن وقت صرف كردند. حفره جديد موجود در OpenSSL مي تواند مانند حفره HeartBleed سيستم ها را تحت تاثير قرار دهد.
كتابخانه منبع باز OpenSSL توسط ميليون ها وب سايت براي برقراري ارتباطات امن بين رايانه سرور و كلاينت مورد استفاده قرار مي گيرد. اوايل ماه آوريل حفره اي در OpenSSL با نام HeartBleed افشاء شد كه ميتوانست براي افشاي اعبتارنامه هاي ورودي يا سرقت كليد خصوصي SSL سرور مورد سوء استفاده قرار بگيرد. حدود دو سوم از وب سايت هايي كه تحت تاثير اين رخنه قرار گرفتند، كتابخانهOpenSSL را اصلاح نمودند.
هكرها اظهار داشتندكه يك آسيب پذيري سرريز بافر را پيدا كردند كه شبيه HeartBleed است. آن ها مدعي شده اند كه يك خطايي را در مديريت متغير "DOPENSSL_NO_HEARTBEATS" كشف كردند.
اين هكرها تاكنون كد سوء استفاده خودشان را منتشر نكرده اند بنابراين راهي براي بررسي صحت ادعاي آن ها وجود ندارد. اين گروه براي پاسخ گويي به سوالات، آدرس پست الكترونيكي را اعلام كردند اما پاسخي به پست هاي ارسالي داده نشده است.

شماره: IRCNE2014042174
تاريخ:08 /02/93

روز يكشنبه شركت مايكروسافت تاييد كرد كه يك آسيب پذيري اصلاح نشده جديد در تمامي نسخه هاي IE كشف شده است.
بنا به راهنمايي امنيتي كه توسط مايكروسافت منتشر شده است: اين آسيب پذيري كه مي تواند منجر به اجراي كد از راه دور شود در برخي از حملات هدفمند و محدود استفاده شده است.
با توجه به گزارشات شركت امنيتي FireEye كه براي اولين بار اين آسيب پذيري را گزارش داده است: در حالي كه تمامي نسخه هاي مرورگر وب، IE 6 تا IE 11 تحت تاثير اين آُسيب پذيري قرار دارند اما در حال حاضر نسخه هاي 9، 10 و 11 هدف حمله قرار گرفته است.
اين حملات از يك آسيب پذيري استفاده پس از آزادسازي استفاده مي كنند و هر دو محافظت هاي DEP و ASLR را دور مي زند. در حال حاضر اين آُسيب پذيري توسط گروهي از هكرها براي حمله به سازمان هاي دفاعي و مالي امريكا مورد سوء استفاده قرار مي گيرد.
شركت FireEye اعلام كرد كه اين آسيب پذيري مهمي است زيرا بيش از يك چهارم از تمامي مرورگرهاي جهان را تحت تاثير قرار داده است.
شركت مايكروسافت نيز اعلام كرد كه در حال بررسي اين آسيب پذيري است و در اسرع وقت يك به روز رساني امنيتي خارج از نوبت را براي برطرف شدن اين مساله منتشر خواهد كرد.
[ به روز رساني خبر: شركت مايكروسافت براي محدودسازي آسيب پذيري و مقابله با آن، راهكارهايي را ارائه داده است. براي مشاهده جزئيات اين راهكارها به راهنمايي امنيتي اين آسيب پذيري مراجعه نماييد.]

Number:IRCNE2014042176
Date: 2014-04-28

According to “computerworld”, security experts have expressed doubts about a hacker claim that there's a new vulnerability in the patched version of OpenSSL, the widely used cryptographic library repaired in early April.
A group of five hackers writes in a posting on Pastebin that they worked for two weeks to find the bug and developed code to exploit it. A new flaw in OpenSSL could pose just as much of a threat as Heartbleed did.
The open-source OpenSSL code is used by millions of web sites to create encrypted communications between client computers and servers. The flaw disclosed in early April, nicknamed "Heartbleed," can be abused to reveal login credentials or a server's private SSL key.
More than two-thirds of the websites affected by the flaw have patched OpenSSL, according to McAfee.
The hackers said they've found a buffer overflow vulnerability that is similar to Heartbleed. They claim they've spotted a missing bounds check in the handling of the variable "DOPENSSL_NO_HEARTBEATS."
They have not published their exploit code, so there is no way to verify their claim. The group provided an email address for questions, but did not immediately respond to a query.

Number:IRCNE2014042174
Date: 2014-04-27

According to “computerworld”, Microsoft on Saturday told customers that cyber-criminals are exploiting an unpatched and critical vulnerability in Internet Explorer (IE) using "drive-by" attacks.
"Microsoft is aware of limited, targeted attacks that attempt to exploit a vulnerability in Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, and Internet Explorer 11," the company said in a security advisory.
All currently-supported versions of IE are at risk, Microsoft said, including 2001's IE6, which still receives patches on Windows Server 2003. The same browser will not be repaired on Windows XP, as the operating system was retired from patch support on April 8.
The IE flaw was the first post-retirement bug affecting XP.
Because Microsoft will eventually patch the drive-by bug in IE6, IE7 and IE8, then deliver those patches to PCs running Windows Vista and Windows 7, it's likely that hackers will be able to uncover the flaw in the browsers' code, then exploit it on the same browsers running on Windows XP.
Microsoft said that was the biggest risk of running XP -- and IE on it -- after the operating system was retired, claiming last year that XP was 66% more likely to be infected with malware once patching stopped.
Windows XP users can make it more difficult for attackers to exploit the IE bug by installing the Enhanced Mitigation Experience Toolkit (EMET) 4.1, an anti-exploit utility available on Microsoft's website.
The security advisory included other steps customers can take to reduce risk. Among them is to "unregister" the vgx.dll file. That .dll (for dynamic-link library) is one of the modules that renders VML (vector markup language) within Windows and IE.
Another way Windows XP users can avoid IE-based attacks is to switch to an alternate browser, like Google's Chrome or Mozilla's Firefox. Both will continue to receive security updates for at least the next 12 months.

Number:IRCNE2014042174
Date: 2014-04-27

According to “cnet”, a new zero day vulnerability that resides in all versions of Internet Explorer has been spotted in the wild, Microsoft confirmed late Saturday.
The vulnerability, which could allow remote code execution, is being used in "limited, targeted attacks," according to an advisory issued by Microsoft. While all versions of the web browser, IE 6 through 11, are affected by the vulnerability, attacks are currently targeting IE versions 9, 10 and 11, according to security firm FireEye, which first reported the flaw Friday.
The attack leverages a previously unknown "use after free" vulnerability and bypasses both Windows DEP (Data Execution Prevention) and ASLR (Address Space Layout Randomization) protections, according to FireEye.
The vulnerability is currently being exploited by a group of hackers targeting financial and defense organization in the US, FireEye told CNET.
FireEye said the flaw was significant because it affects more than a quarter of the total browser market.
"Collectively, in 2013, the vulnerable versions of IE accounted for 26.25% of the browser market," FireEye said in its advisory.
Microsoft said it is investigating the vulnerability and may issue an out-of-cycle security update to address the issue.

شماره: IRCNE2014042173
تاريخ:06/02/93

برخي برنامه هاي كاربردي اندرويد كه به نظر مي رسيد نسبت به مشكل HeartBleed آسيب پذير باشند به دليل يك خطاي برنامه نويسي متداول در روش پياده سازي كتابخانه OpenSSL محلي خودشان، از اين آسيب پذيري مصون ماندند.
شركت FireEye، 54000 برنامه كاربردي اندرويد كه دهم آوريل بر روي فروشگاه گوگل پلي قرار داشتند را به منظور يافتن آسيب پذيري HeartBleed مورد بررسي قرار داد.
اين شركت امنيتي دريافت كه برخي بازي ها و برنامه هاي كاربردي تلفن همراه كه مبتني بر آفيس هستند، نسبت به اين مشكل آسيب پذير مي باشند زيرا اين برنامه ها به جاي استفاده از كتابخانه تعبيه شده در سيستم عامل اندرويد از كتابخانه OpenSSL خودشان استفاده كرده اند. شركت گوگل اعلام كرد كه بسياري از برنامه هاي اندرويد از اين مشكل در امان بودند.
حفره HeartBleed، يك آسيب پذيري سرريز بافر مي باشد كه باعث افشاي اعتبارنامه هاي ورودي كاربران و داده هاي حساس از قبيل كليد خصوصي براي گواهينامه هاي SSL مي شود.
در نگاه اول، تعدادي از برنامه هاي آفيس اندرويد آسيب پذيري به نظر مي رسند اما محققان دريافتند كه يك خطاي برنامه نويسي متداول نيز باعث شده است تا اين برنامه ها تحت تاثير اين آسيب پذير قرار نگيرند. بررسي هاي دقيق تر نشان مي دهد كه اين برنامه ها در بخشي از برنامه نويسي حاوي اشكال مي باشند يا از كدهاي قديمي در آن ها استفاده شده است. بنابراين، هنگامي كه به توابع SSL نياز است، به جاي استفاده از كتابخانه آسيب پذير موجود در برنامه، به طور مستقيم از كتابخانه OpenSSL بدون آسيب پذيري كه در سيستم عامل اندرويد قرار دارد استفاده مي كنند.