Number:IRCNE2014042176
Date: 2014-04-28

According to “computerworld”, security experts have expressed doubts about a hacker claim that there's a new vulnerability in the patched version of OpenSSL, the widely used cryptographic library repaired in early April.
A group of five hackers writes in a posting on Pastebin that they worked for two weeks to find the bug and developed code to exploit it. A new flaw in OpenSSL could pose just as much of a threat as Heartbleed did.
The open-source OpenSSL code is used by millions of web sites to create encrypted communications between client computers and servers. The flaw disclosed in early April, nicknamed "Heartbleed," can be abused to reveal login credentials or a server's private SSL key.
More than two-thirds of the websites affected by the flaw have patched OpenSSL, according to McAfee.
The hackers said they've found a buffer overflow vulnerability that is similar to Heartbleed. They claim they've spotted a missing bounds check in the handling of the variable "DOPENSSL_NO_HEARTBEATS."
They have not published their exploit code, so there is no way to verify their claim. The group provided an email address for questions, but did not immediately respond to a query.

Number:IRCNE2014042174
Date: 2014-04-27

According to “computerworld”, Microsoft on Saturday told customers that cyber-criminals are exploiting an unpatched and critical vulnerability in Internet Explorer (IE) using "drive-by" attacks.
"Microsoft is aware of limited, targeted attacks that attempt to exploit a vulnerability in Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, and Internet Explorer 11," the company said in a security advisory.
All currently-supported versions of IE are at risk, Microsoft said, including 2001's IE6, which still receives patches on Windows Server 2003. The same browser will not be repaired on Windows XP, as the operating system was retired from patch support on April 8.
The IE flaw was the first post-retirement bug affecting XP.
Because Microsoft will eventually patch the drive-by bug in IE6, IE7 and IE8, then deliver those patches to PCs running Windows Vista and Windows 7, it's likely that hackers will be able to uncover the flaw in the browsers' code, then exploit it on the same browsers running on Windows XP.
Microsoft said that was the biggest risk of running XP -- and IE on it -- after the operating system was retired, claiming last year that XP was 66% more likely to be infected with malware once patching stopped.
Windows XP users can make it more difficult for attackers to exploit the IE bug by installing the Enhanced Mitigation Experience Toolkit (EMET) 4.1, an anti-exploit utility available on Microsoft's website.
The security advisory included other steps customers can take to reduce risk. Among them is to "unregister" the vgx.dll file. That .dll (for dynamic-link library) is one of the modules that renders VML (vector markup language) within Windows and IE.
Another way Windows XP users can avoid IE-based attacks is to switch to an alternate browser, like Google's Chrome or Mozilla's Firefox. Both will continue to receive security updates for at least the next 12 months.

Number:IRCNE2014042174
Date: 2014-04-27

According to “cnet”, a new zero day vulnerability that resides in all versions of Internet Explorer has been spotted in the wild, Microsoft confirmed late Saturday.
The vulnerability, which could allow remote code execution, is being used in "limited, targeted attacks," according to an advisory issued by Microsoft. While all versions of the web browser, IE 6 through 11, are affected by the vulnerability, attacks are currently targeting IE versions 9, 10 and 11, according to security firm FireEye, which first reported the flaw Friday.
The attack leverages a previously unknown "use after free" vulnerability and bypasses both Windows DEP (Data Execution Prevention) and ASLR (Address Space Layout Randomization) protections, according to FireEye.
The vulnerability is currently being exploited by a group of hackers targeting financial and defense organization in the US, FireEye told CNET.
FireEye said the flaw was significant because it affects more than a quarter of the total browser market.
"Collectively, in 2013, the vulnerable versions of IE accounted for 26.25% of the browser market," FireEye said in its advisory.
Microsoft said it is investigating the vulnerability and may issue an out-of-cycle security update to address the issue.

شماره: IRCNE2014042173
تاريخ:06/02/93

برخي برنامه هاي كاربردي اندرويد كه به نظر مي رسيد نسبت به مشكل HeartBleed آسيب پذير باشند به دليل يك خطاي برنامه نويسي متداول در روش پياده سازي كتابخانه OpenSSL محلي خودشان، از اين آسيب پذيري مصون ماندند.
شركت FireEye، 54000 برنامه كاربردي اندرويد كه دهم آوريل بر روي فروشگاه گوگل پلي قرار داشتند را به منظور يافتن آسيب پذيري HeartBleed مورد بررسي قرار داد.
اين شركت امنيتي دريافت كه برخي بازي ها و برنامه هاي كاربردي تلفن همراه كه مبتني بر آفيس هستند، نسبت به اين مشكل آسيب پذير مي باشند زيرا اين برنامه ها به جاي استفاده از كتابخانه تعبيه شده در سيستم عامل اندرويد از كتابخانه OpenSSL خودشان استفاده كرده اند. شركت گوگل اعلام كرد كه بسياري از برنامه هاي اندرويد از اين مشكل در امان بودند.
حفره HeartBleed، يك آسيب پذيري سرريز بافر مي باشد كه باعث افشاي اعتبارنامه هاي ورودي كاربران و داده هاي حساس از قبيل كليد خصوصي براي گواهينامه هاي SSL مي شود.
در نگاه اول، تعدادي از برنامه هاي آفيس اندرويد آسيب پذيري به نظر مي رسند اما محققان دريافتند كه يك خطاي برنامه نويسي متداول نيز باعث شده است تا اين برنامه ها تحت تاثير اين آسيب پذير قرار نگيرند. بررسي هاي دقيق تر نشان مي دهد كه اين برنامه ها در بخشي از برنامه نويسي حاوي اشكال مي باشند يا از كدهاي قديمي در آن ها استفاده شده است. بنابراين، هنگامي كه به توابع SSL نياز است، به جاي استفاده از كتابخانه آسيب پذير موجود در برنامه، به طور مستقيم از كتابخانه OpenSSL بدون آسيب پذيري كه در سيستم عامل اندرويد قرار دارد استفاده مي كنند.

يك آسيب پذيري بسيار مهم در OpenSSL كشف شده است كه به Heartbeat مشهور مي باشد. اين آسيب پذيري مربوط به ماژول Heartbeat در OpenSSL بوده كه مي تواند اطلاعات محافظت شده را در شرايط عادي به سرقت ببرد. در واقع با سواستفاده از اين ويژگي، مهاجم به حافظه اطلاعات مبادله شده ميان سرور و كلاينت و بالعكس دست مي يابد. اين آسيب پذيري ارتباط هاي بانك‌هاي اينترنتي را نيز تهديد مي‌كند.
SSL/TLS ارتباط امن و محافظت شده در اينترنت را براي برنامه كاربردي از قبيل وب، ايميل، شبكه هاي VPN ، وب سرورهاي منبع باز مانند Apache و nginx و سرور پست الكترونيك مانند SMTP، POP و IMAP و چت سرور XMPP برقرار مي نمايد.
مهاجم با استفاده از اين آسيب پذيري مي تواند حافظه سيستم را بخواند و به كليد محرمانه رمزنگاري ترافيك و ديتاي نام هاي كاربري و رمز عبور دسترسي يابد و از اين طريق امكان شنود ارتباطات، سرقت ديتا، پست الكترونيك و مستندات مربوط به سرويسها، كاربران و همچنين شخصي سازي آنها را پيدا مي كند. آسيب پذيري شناسايي شده مربوط به خطاي برنامه نويسي در كتابخانه OpenSSL مي باشد.
جزييات آسيب پذيري Heartbeat در CVE-2014-0160 در تاريخ 7 اوريل اعلام شده است. بر اساس گفته شركت OpenSSL ، آسيب پذيري نسخه هاي مذكور در نسخه 1.0.2-beta2 برطرف مي گردد.

نسخه هاي آسيب پذير
نسخه هاي 1.0.1 و 1.0.2-beta از openSSL و 1.0.1f و 1.0.2-beta1 آسيب پذير مي باشند.

سيستم عامل هاي زير آسيب پذير به نقطه ضعف ذكر شده مي باشند:

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)

راهكارهاي شناسايي و مقابله

• سيستم هاي آسيب پذير مي بايست سريعا به نسخه 1.0.1g ارتقا يافته و يا با دستور زير OpenSSL را مجددا تنظيم نمايند.

-DOPENSSL_NO_HEARTBEATS

• شركتهاي سيستم عامل، برنامه هاي كاربردي و نرم افزاري مي بايست تغييرات لازم را در محصولات خود ايجاد نموده و كاربران و مشتريان خود را مطلع نمايند.
• شركتهاي ارايه دهنده خدمات اينترنت و كاربران آنها مي بايست وصله هاي مربوط به سيستم عامل و نرم افزارهاي خود را نصب نمايند.
• نصب وصله ها، عدم استفاده از كليدهاي به سرقت رفته و ايجاد كليد جديد در گواهينامه ها توسط CA ها از ديگر راهكارهاي مقابله با آسيب پذيري مي باشد.
• تغيير رمز عبور ، كليد و كوكي مربوط به نشست ها مي بايست غير معتبر قلمداد شود و تغيير يابد.
• با وجود اينكه محتواي Hearbeat رمز شده است ولي در پروتكل OpenSSL قابل تشخيص است كه منجربه شناسايي آن توسط IDS/IPS ها مي گردد. تا زمانيكه Heartbeat بطوركامل در ترافيك مسدود نگردد، با مانيتورينگ ترافيك و مقايسه سايز بسته هاي درخواست و پاسخ امكان شناسايي اين حمله وجود دارد. IDS/IPS ها تنها قادر به شناسايي بوده و امكان مسدود سازي حمله را ندارند.
• اطلاعات مالي، شخصي، پست الكترونيك، مستنداتي كه توسط اين متد رمز شده اند مي بايست توسط ارايه دهنده سرويس به روز شده و به كاربران سرويس اطلاع داده شود.

Number:IRCNE2014042173
Date: 2014-04-26

According to “computerworld”, some Android apps thought to be vulnerable to the Heartbleed bug were spared because of a common coding error in the way they implemented their own native OpenSSL library.
FireEye scanned 54,000 Android applications in Google's Play store on April 10 to see which ones are vulnerable to Heartbleed. The flaw, publicly disclosed on April 7, is contained in OpenSSL, a code library used to encrypt data traffic.
The security company found several games and office-based mobile applications that are vulnerable to the bug, mostly because the applications use their native OpenSSL library rather than the one in the Android OS. Google said Android was mostly immune to Heartbleed.
The Heartbleed flaw is a buffer overflow vulnerability in which a server returns too much information, divulging user credentials and sensitive data such as the private key for an SSL certificate.
But it can also be used to attack applications. FireEye said attacking a game could yield its OAuth token, an authentication token, which could be used to hijack an account or linked social networking accounts.
At first glance, some Android office productivity applications also appeared to be vulnerable. But the researchers found a common coding mistake actually meant the Heartbleed bug wouldn't work.
"A deeper look shows that these apps either make a mistake in the native code linkage or just contain dead code," wrote the FireEye researchers.
"Therefore, when they try to invoke SSL functions, they directly use the non-vulnerable OpenSSL library contained within the Android OS, instead of using the vulnerable library provided by the app."

شماره: IRCNE2014042172
تاريخ:03/02/93

روز گذشته شركت اپل يك به روز رساني امنيتي را براي OS X منتشر كرد كه در آن 25 آسيب پذيري در Mavericks، جديدترين سيستم عامل اين شركت و 7 مشكل در نسخه هاي قديمي تر اصلاح شده است.
در به روز رساني روز سه شنبه، علاوه بر اصلاحيه هاي Mavericks، دو مشكل در Lion و 7 مشكل در Mountain Lion برطرف شده است.
شركت اپل انتشار اصلاحيه براي OS X Snow Leopard را متوقف كرد. اين نسخه از ميكنتاش در سال 2009 منتشر شده بود و تنها 17 درصد از كاربران مكينتاش از اين نسخه استفاده مي كنند.
به روز رساني روز گذشته، حاوي اصلاحيه هايي براي چندين آسيب پذيري run-of-the-mill است. اين آسيب پذيري يك مشكل تجزيه فونت هنگام مشاهده PDFهاي بدريخت مي باشد.
در راهنمايي امنيتي شركت اپل آمده است كه يك مهاجم با حق دسترسي موقعيت شبكه ممكن است داده ها را مشاهده كند يا عمليات انجام شده در نشست هاي حفاظت شدهتوسط SSL را تغيير دهد. اين آسيب پذيري مربوط به سوء استفاده Heartbleed نمي باشد.
هم چنين اين شركت مشكلات Secure Transport را برطرف كرده است. شركت اپل براي پياده سازي SSL و TLS در سيستم عامل هاي Mavericks و Mountain Lion نام Secure Transport را انتخاب كرده است. اين مشكل نسخه Lion و نسخه هاي پيش از سيستم عامل Mac را تحت تاثير قرار نمي دهد.
در يك به روز رساني جداگانه، اين شركت مشكلات پياده سازي Secure Transport در iOS 7.1.1 را برطرف كرد. اين اصلاحيه نيز چند حفره ديگر را اصلاح كرده است. بسياري از اين مشكلات مربوط به WebKit، موتور منبع باز مرورگر سافاري مي باشند.

شماره: IRCNE2014042171
تاريخ:03/02/93

بدافزاري دستگاه هاي قفل شكسته آيفون و آي پد را آلوده كرده است. اين بدافزار اعتبارنامه هاي حساب كاربري را از ترافيك رمزگذاري شده SSL به سرقت مي برد.
اين تهديد زماني كشف شد كه تعدادي از كاربران گزارش دادند كه به دليل افزونه MobileSubstrate با نام Unflod در اجراي برخي از برنامه ها با مشكل مواجه شده اند.
افزونه MobileSubstrate كه درحال حاضر Cydia Substrate ناميده مي شود يك چارچوب كاري براي دستگاه هاي قفل شكسته مي باشد كه به توسعه دهندگان اجازه مي دهد تا تغييرات iOS را ايجاد نمايند.
Paul Ducklin يك از مديران شركت امنيتي Sophos در پستي در وبلاگ نوشت: Substrate به كاربران اجازه مي دهد تا عملكرد iOS را بر روي دستگاه هاي قفل شكسته در مواردي كه توسط اپل تعمدا ممنوع شده است، تغيير دهند.
به نظر مي رسد كه برخي يك كتابخانه پويا براي Cydia Substrate ايجاد كردند تا به تابع SSLWrite معتبر iOS متصل شود و داده ها را قبل از رمزگذاري شدن و ارسال بر روي ارتباط امن SSL بخواند. اين كتابخانه جعلي Unflod.dylib نام دارد اما هم چنين با نام framework.dylib مشاهده شده است.
پس از اتصال اين كتابخانه به تابع SSLWrite، اين بدافزار ترافيك ها را به منظور يافتن درخواست هاي تاييد هويت مانتيور مي كند. سپس شناسه كاربري و رمز عبور كاربران را از ميان داده ها استخراج كرده و به يكي از دو آدرس IP ثبت شده ارسال مي كند.
هم چنان مشخص نيست كه اين كتابخانه مخرب چگونه بر روي دستگاه هاي قفل شكسته نصب شده است اما كاربران و محققان احتمال مي دهند كه بسته هايي كه از مخزن هاي غيررسمي دريافت مي شود ممكن است منبع آلودگي باشد.
محققان SektionEins اظهار داشتند: در حال حاضر انجمن jailbreak بر اين باور است كه حذف باينري Unflod.dylib/framework.dylib و تعويض رمزهاي عبور شناسه اپل براي حفاظت در برابر حملات اين بدافزار كافي است.

Number:IRCNE2014042172
Date: 2014-04-23

According to “computerworld”, Apple today issued a security-only update for OS X, patching 25 vulnerabilities in Mavericks, its newest operating system, and 7 bugs in older editions.
Along with the two-dozen-plus-one patches for Mavericks, the update also addressed two bugs in Lion and seven in Mountain Lion, the precursors to Mavericks which shipped in 2011 and 2012, respectively.
Apple has stopped shipping security updates for OS X Snow Leopard, the 2009 edition that powered 17% of all Macs last month.
Security Update 2014-002 contained patches for several run-of-the-mill vulnerabilities, a font parsing bug while viewing malformed PDFs.
"An attacker with a privileged network position may capture data or change the operations performed in sessions protected by SSL," read Apple's advisory for CVE-2014-1295.
Although the vulnerability wasn't associated with the Heartbleed exploit -- the flaw in OpenSSL that has made headlines for the two weeks -- the mere mention of "SSL" in Apple's advisory was enough to instantly put the bug in the limelight.
The Cupertino, Calif. company patched its Secure Transport -- Apple's name for its implementation of SSL and TLS (Transport Layer Security) -- in Mavericks and Mountain Lion. The bug did not affect Lion and earlier editions of the Mac operating system.
In a separate update, Apple also patched iOS's implementation of Secure Transport with iOS 7.1.1. The update fixed a number of other flaws, most of them in WebKit, the open-source browser engine that powers Safari.
Security Update 2014-002, an 80MB download for Mavericks, can be retrieved by selecting "Software Update..." from the Apple menu, or by opening the Mac App Store application and clicking the Update icon at the top right.

Number:IRCNE2014042171
Date: 2014-04-23

According to “computerworld”, a malware campaign of yet-to-be-determined origin is infecting jailbroken iPhones and iPads to steal Apple account credentials from SSL encrypted traffic.
The threat was discovered after some users reported on Reddit that they experienced crashes in some applications as a result of a mysterious MobileSubstrate add-on called Unflod.
MobileSubstrate, now called Cydia Substrate, is a framework for jailbroken devices that allows developers to create modifications for iOS.
"This 'substrate' allows you to extend and to modify the behaviour of iOS in ways that are deliberately prohibited by Apple on unjailbroken devices" wrote Paul Ducklin, the head of technology for Asia-Pacific at antivirus vendor Sophos, in a blog post Monday.
It appears that someone created a dynamic library for Cydia Substrate that hooks the legitimate iOS SSLWrite function to read data before it's encrypted and sent over a secure SSL connection. The rogue library is called Unflod.dylib, but instances with the name framework.dylib have also been observed.
After hooking the SSLWrite function, the malware monitors traffic for authentication requests with Apple's services. It then extracts Apple IDs and passwords from the data and sends them to one of two hardcoded IP (Internet Protocol) addresses.
It's not clear how the malicious Unflod.dylib library gets installed on jailbroken devices, but users and researchers have advanced the possibility that packages from unofficial repositories might be the source of infection.
"Currently the jailbreak community believes that deleting the Unflod.dylib/framework.dylib binary and changing the Apple ID's password afterwards is enough to recover from this attack," the SektionEins researchers said.
"However it is still unknown how the dynamic library ends up on the device in the first place and therefore it is also unknown if it comes with additional malware gifts. We therefore believe that the only safe way of removal is a full restore, which means the removal and loss of the jailbreak," the researchers added.