Number:IRCNE2014042145
Date: 2014-04-04

According to “computerworld”, attackers exploited a vulnerability in a popular video-sharing site to hijack users' browsers for use in a large-scale distributed denial-of-service attack, according to researchers from Web security firm Incapsula.
The attack happened Wednesday and was the result of a persistent cross-site scripting (XSS) vulnerability in a website that Incapsula declined to name, but said is among the top 50 websites in the world by traffic based on statistics from Amazon-owned firm Alexa.
XSS flaws are the result of improper filtering of user input and can allow attackers to inject unauthorized script code into Web pages. If the code is stored permanently by the server and delivered to all users who view the affected page, the attack is considered persistent.
Users of the unnamed video-sharing site can create profiles and leave comments and the XSS flaw allowed attackers to create a new account with rogue JavaScript code injected into the img tag corresponding to its profile picture.
"As a result, every time the image was used on one of the the site's pages (e.g., in the comment section), the malicious code was also embedded inside, waiting to be executed by every future visitor to that page," the Incapsula researchers said Thursday in a blog post.
The rogue code generated an iframe that loaded a DDoS script into visitors' browsers from a third-party command-and-control (C&C) server, effectively hijacking the browsers and forcing them to send requests in the background to a third-party site.
The resulting attack against the targeted site consisted of 20 million GET requests received from 22,000 browsers at a rate of around 20,000 requests per second, according to the Incapsula researchers.
Exploiting XSS vulnerabilities to launch DDoS attacks is not something new. The technique itself has been known for years, but hasn't been used frequently because it requires vulnerabilities in highly trafficked websites to be truly effective.

شماره: IRCNE2014042146
تاريخ:15 /01/93

شركت مايكروسافت از يك كودك 5 ساله به علت كشف يك آسيب پذيري در كنسول بازي ايكس باكس قدرداني كرد. والدين كريستوفر اوايل امسال متوجه شدند كه فرزند آن ها توانسته است به حساب كاربري پدر خود دركنسول ايكس باكس وارد شده و به بازي هايي كه توسط اين حساب كاربري فيلتر شده است دسترسي يابد.
او رمز عبور پدر خود را سرقت نكرده است بلكه با استفاده از يك آسيب پذيري توانسته است به اين حساب كاربري وارد شود. شركت مايكروسافت اعلام كرد كه در حال حاضر اين آسيب پذيري اصلاح شده است.
كريستوفر پس از وارد نمودن رمز عبور نادرست در حساب كاربري پدر خود به صفحه بررسي رمز عبور رفته است و در آن جا پس از آن كه فشردن چندين بار كليد space و زدن enter وارد حساب كاربري پدر خود شده است.
اين رمز عبور نه تنها به او اجازه داده كه بازي كندد بلكه به او اجازه دسترسي به تمامي ويژگي هاي اين حساب را داده است.
در حال حاضر نام كريستوفر در فهرست محققان امنيتي ماه مارس شركت مايكروسافت كه توانسته اند آسيب پذيري هاي محصولات اين شركت را كشف كنند ثبت شده است.

شماره: IRCNE2014042145
تاريخ:15 /01/93

با توجه به يافته هاي محققان از شركت امنيتي Incapsula، مهاجمان از يك آسيب پذيري در سايت محبوب اشتراك گذاري ويدئو سوء استفاده كردند تا مرورگرهاي كاربران را براي استفاده در حملات انكار سرويس توزيع شده در حجم بالا ارتباط ربايي نمايند.
روز چهارشنبه اين حملات به علت وجود يك آسيب پذيري اسكريپت بين سايتي در اين وب سايت به وقوع پيوسته است. اين شركت امنيتي از ذكر نام اين وب سايت محبوب امتناع كرد.
رخنه هاي XSS به علت فيلتر نامناسب ورودي هاي كاربر به وجود مي آيد و مي تواند به مهاجم اجازه دهد تا كد اسكريپت غيرمجاز را به صفحات وب سايت تزريق نمايد. اگر اين كد به صورت دائمي بر روي سرور ذخيره شود و براي تمامي كاربراني كه سايت آلوده را مشاهده مي كنند، ارسال شود در نتيجه اين حملات به صورت حملات ماندگار در نظر گرفته مي شوند.
كاربران اين وب سايت اشتراك گذاري ويدئو مي توانند فايل هايي را ايجاد نمايند و توضيحاتي را ارائه دهند و اين رخنه XSS به مهاجمان اجازه مي دهد تا حساب كاربري جديدي ايجاد نمايند و كد جاوا اسكريپت جعلي را به تگ img عكس پروفايل خود تزريق نمايند.
در نتيجه هر زمان كه اين عكس در يكي از صفحات سايت مورد استفاده قرار گرفت، كد مخرب تعبيه شده در اين عكس پس از مشاهده اجرا مي شود.
كد جعلي يك iframe را توليد مي كند كه يك اسكريپت DDoS را از يك سرور كنترل و فرمان به مرورگر مشاهده كننده عكس بارگذاري مي كند و در نتيجه كنترل مرورگر ها را دراختيار گرفته و آن ها را مجبور مي كند تا درخواست هايي را به سايت هاي ديگر ارسال نمايند. نتيجه اين حملات عليه سايت هاي مورد هدف شامل 20 ميليون درخواست GET مي باشد كه توسط 22000 مرورگر دريافت مي شود و اين سايت ها در هر ثانيه حدود 20000 درخواست را دريافت مي كنند.
سوء استفاده از آسيب پذيري XSS براي راه اندازي حملات انكار سرويس توزيع شده، روش جديدي نيست. اين روش ساليان سال شناخته شده است اما به ندرت از آن استفاده مي شود زيرا نيازمند آسيب پذيري در وب سايت هايي است كه ترافيك بالايي دارند.

شماره: IRCNE2014042144
تاريخ:14/01/93

محققان امنيتي جزئيات فني و كدهاي اثبات كننده براي 30 مساله امنيتي كه خدمات ابر جاوا اوراكل را تحت تاثير قرار مي دهد منتشر كردند. برخي از اين مسائل مي توانند به مهاجمان اجازه دهند كه برنامه هاي كاربردي جاوا را مورد سوء استفاده قرار دهند.
محققان امنيتي لهستاني كه بسياري از آسيب پذيري هاي جاوا را در گذشته كشف كرده بودند تصميم گرفتند تا اين مسائل را به طور عمومي افشاء نمايند.
خدمات ابر جاوا اوراكل به مشتريان اجازه مي دهد تا برنامه هاي كاربردي جاوا را بر روي سرور كلاسترهاي WebLogic در مركز داده اوراكل اجرا نمايند. اين خدمات امنيت بالا، دسترسي پذيري بالا و عملكرد خوب براي برنامه هاي كاربردي حياتي كسب و كارها را فراهم مي كند.
مسائل گزارش شده در جدول زمان بندي اوراكل براي اصلاح عبارتند از: دور زدن sandbox امنيتي جاوا، دور زدن قوانين فهرست سفيد API جاوا، استفاده از رمزهاي عبور اشتراكي ادمين سرور WebLogic ، دسترسي به رمزهاي عبور كاربران به صورت متن ساده در Policy Store، استفاده از نرم افزارهاي جاوا SE به روز رساني نشده بر روي خدماتي كه فاقد 150 رفع امنيتي بوده است و مسائلي كه منجر به حملات اجراي كد از راه دور عليه سرور WebLogic مي شود.
محققان امنيتي اظهار داشتند كه راهي را يافته اند كه توسط آن يك كاربر خدمات ابر جاوا اوراكل مي تواند به برنامه هاي كاربردي و داده هاي كاربر ديگر اين خدمات در يك مركز داده منطقه اي دسترسي يابد. منظور از دسترسي امكان خواندن و نوشتن داده ها است و هم چنين امكان اجراي كد جاواي دلخواه بر روي سرور WebLogic هدف مي باشد. تمامي اين دسترسي ها با افزايش حق دسترسي ادمين صورت مي گيرد.
شركت اوراكل تمامي 30 آسيب پذيري را در 12 فوريه تاييد كرده است اما هم چنان اصلاحيه اي براي آن ها منتشر نكرده است.

شماره: IRCNE2014042143
تاريخ:14/01/93

شركت اپل به روز رساني هاي امنيتي را براي مرورگر سافاري بر روي سيستم عامل مكينتاش منتشر كرد. تمامي آسيب پذيري ها در موتور مرورگر WebKit قرار دارند.
اين به روز رساني 27 آسيب پذيري را برطرف مي نمايد كه 26 آسيب پذيري مي تواند منجر به اجراي كد از راه دور شود. يك آسيب پذيري نيز مي تواند به برنامه اي كه كد دلخواه را اجرا مي كند اجازه دهد تا با وجود حفاظت هاي sandbox، فايل هاي دلخواه را بخواند.
بسياري از آسيب پذيري هاي مشابه با اين آسيب پذيري ها در به روز رساني چند هفته گذشته در iOS 7.1 برطرف شده است.

شماره: IRCNE2014042142
تاريخ:12/01/93

با توجه به تحقيقات صورت گرفته، حساب هاي كاربري موتورهاي تسلا تنها با رمزهاي عبور ساده حفاظت مي شوند درنتيجه براي هكرها بسيار ساده است تا به طور بالقوه ماشين ها را رديابي كرده و قفل آن ها را باز نمايند.
صاحبان موتورهاي تسلا بايد هنگام سفارش ماشين خود، يك حساب كاربري را بر روي سايت teslamotors.com ايجاد نمايند و سپس با استفاده از همان حساب كاربري مي توانند تا با استفاده از برنامه هاي iOS از راه دور درهاي ماشين را با نمايند، سقف ماشين را باز و بسته نمايند و مكان ماشين خود را پيدا كنند.
يك محقق امنيتي با نام Nitesh Dhanjani در وب سايت خود نوشت: با وجود دسترسي به ويژگي هاي مهم ماشين، اين حساب كاربري تنها توسط يك رمز عبور ساده با حداقل پيچيدگي مانند حداقل طول شش كاراكتر و استفاده از حداقل يك شماره يا يك حرف حفاظت مي شود.
اين محقق امنيتي اضافه كرد كه به نظر نمي رسد كه سايت موتور تسلا داراي خط مشي هاي امنيتي در خصوص ورود نادرست به حساب كاربري داشته باشد كه باعث شود جلوي حملات حدس زدن رمز عبور توسط brute force را بگيرد.
با اين وجود حملات brute force تنها يكي از تهديدات بالقوه است. حساب هاي تسلا هم چنين مي توانند هدف حمله بدافزار يا حملات سرقت هويت قرار بگيرند يا اگر صاحب ماشين از يك رمز عبور در چندين سايت استفاده كرده باشد مي توانند در معرض خطر نشت رمز عبور قرار بگيرند. به علاوه در صورتي كه پست الكترونيكي مرتبط با حساب تسلا در معرض خطر قرار بگيرد، يك مهاجم به سادگي مي تواند رمز عبور اين حساب را تغيير دهد.
اين محقق امنيتي معتقد است كه موتورهاي تسلا بايد در خصوص حفاظت از رمزهاي عبور اقدامات امنيتي بيشتري را به كار گيرد و هم چنين صاحبان اين موتورها بايد اقدامات احتياطي را در خصوص حملات امنيتي بالقوه در نظر داشته باشد.

Number:IRCNE2014042144
Date: 2014-04-03

According to “computerworld”, security researchers released technical details and proof-of-concept code for 30 security issues affecting Oracle's Java Cloud Service, some of which could allow attackers to compromise business-critical Java applications deployed on it.
Researchers from Polish security firm Security Explorations, who found many Java vulnerabilities in the past, decided to publicly disclose the Java Cloud Service security weaknesses.
The Oracle Java Cloud Service allows customers to run Java applications on WebLogic server clusters in data centers operated by Oracle. The service provides "enterprise security, high availability, and performance for business-critical applications," Oracle says on its website.
The reported issues include bypasses of the Java security sandbox, bypasses of the Java API whitelisting rules, the use of shared WebLogic server administrator passwords, the availability of security-sensitive plaintext user passwords in Policy Store, the use of outdated Java SE software on the service that was lacking around 150 security fixes, and issues that enable a remote code execution attack against a WebLogic server instance used by other Oracle Java Cloud users.
"We found a way for a given user of Oracle Java Cloud service to gain access to applications and data of another user of the service in the same regional data center," Gowdiak said. "By access we mean the possibility to read and write data, but also execute arbitrary (including malicious) Java code on a target WebLogic server instance hosting other users' applications; all with Weblogic server administrator privileges."
Oracle confirmed the 30 vulnerabilities on Feb. 12, but failed to provide Security Explorations with a monthly report on their status in March, as had been agreed, Gowdiak said.

Number:IRCNE2014042143
Date: 2014-04-03

According to “zdnet”, Apple has issued security updates for the Safari browser on Mac OS. All of the vulnerabilities are in the WebKit browser engine in Safari and many other programs.
The update fixes 27 vulnerabilities, 26 of which could lead to remote code execution. The 27th could allow a program running arbitrary code (such as one which exploited one of the first 26 vulnerabilities) to read arbitrary files despite sandbox restrictions.
Furthermore, many of these same vulnerabilities were patched in updates to Apple TV and in iOS 7.1 several weeks ago.

Number:IRCNE2014042142
Date: 2014-04-01

According to “computerworld”, Tesla Motors accounts are protected only by simple passwords, making it easy for hackers to potentially track and unlock cars, according to a security researcher.
Tesla Model S owners need to create an account on teslamotors.com when they order their cars and the same account allows them to use an iOS app to remotely unlock the car's doors, locate it, close and open its roof, flash its lights or honk its horn.
Despite providing access to important car features, these accounts are only protected by a password with low-complexity requirements -- six characters long and at least one number and one letter -- a security researcher named Nitesh Dhanjani said Friday in a blog post.
The Tesla Motors site also doesn't seem to have an account lockout policy based on incorrect log-in attempts, which makes accounts registered on the site susceptible to brute-force password guessing attempts, Dhanjani said.
However, the brute-force attacks are just one potential threat. Tesla accounts could also be targeted through phishing and malware or could be compromised as a result of third-party password leaks if car owners reuse their passwords on multiple sites, the researcher said. In addition, if the email associated with a Tesla account is compromised, an attacker could simply reset the account's password because there are no other checks involved, like answering secret questions, he said.
Dhanjani believes Tesla Motors should do more to protect accounts beyond using a static password and advises Tesla car owners to take precautions against potential security risks until that happens.

شماره: IRCNE2014032141
تاريخ:09 /01/93

شركت مايكروسافت راهنمايي امنيتي اخير خود را براي مايكروسافت ورد به روز رساني نمود تا نشان دهد كه ويندوز WordPad تحت تاثير آسيب پذيري اصلاح نشده قرار ندارد. در نتيجه استفاده از WordPad مي تواند به عنوان يك راه حل ايمن براي خواندن و ويرايش اسناد RTF‌ باشد.
اين آسيب پذيري يك آسيب پذيري اجراي كد از راه دور مي باشد و هنگامي كه كاربر يك فايل خرابكار RTF‌ را در مايكروسافت ورد باز مي كند، به مهاجم اجازه مي دهد تا كنترل سيستم را بدست آورد. تمامي نسخه هاي مايكروسافت ورد تحت تاثير اين آسيب پذيري قرار دارند. شركت مايكروسافت اعلام كرد كه حملات هدفمندي با سوء استفاده از اين آسيب پذيري مشاهده شده است. اين شركت زمان انتشار به روز رساني هاي مربوط به اين آسيب پذيري را اعلام نكرد.
نرم افزار WordPad از فايل هاي RTF به عنوان فرمت پيش فرض خود استفاده مي كند. كاربران ويندوز 7 و 8 مي توانند اسناد RTF‌ را در WordPad باز نمايند و آن را در قالب .DOCX ذخيره كنند. فايل هاي ذخيره شده با اين روش در نمايش اطلاعات مشكلي نداشته و تحت تاثير اين آسيب پذيري قرار ندارند.
شركت مايكروسافت نيز يك برطرف كننده موقت منتشر كرده است كه در آن پشتيباني از فايل هاي RTF غيرفعال مي شود. تا زمان اصلاح اين آسيب پذيري، كاربران ويندوز مي توانند فايل هاي RTF را با WordPad مشاهده كنند.