شماره: IRCNE2011081217
تاريخ: 26/5/90

موزيلا يك به روز رساني بسيار مهم براي رفع حداقل 10 آسيب پذيري امنيتي عرضه كرده است. برخي از اين آسيب پذيري ها كاربران وب را در معرض حملات drive-by download قرار مي دهد.
با توجه به يك راهنمايي امنيتي از اين گروه متن باز، 8 آسيب پذيري ها در رده امنيتي "بسيار مهم" قرار دارند، به اين معني كه اين آسيب پذيري ها مي توانند براي اجراي كد مهاجم و نصب نرم افزار استفاده شوند.
موزيلا چندين مشكل ايمني حافظه در موتور مرورگر كه در فايرفاكس 4، فايرفاكس 5 و محصولات ديگر مبتني بر موزيلا استفاده مي شد را شناسايي و اصلاح كرد. برخي از اين مشكلات مي توانند براي اجراي كد دلخواه مورد سوء استفاده قرار بگيرند. اين مشكلات عبارتند از: يك اختلال در WebGL، يك اختلال در جاوا اسكريپت، يك مشكل در Ogg reader، مشكلات ايمني حافظه و اسكريپت هاي بدون امضاء. اين مشكلات مرورگرهاي فايرفاكس 4 و 5 را تحت تاثير قرار مي دهند. فايرفاكس 6 از طريق مكانيسم به روز رساني خودكار مرورگر منتشر مي شود.

شماره: IRCNE2011081216
تاريخ: 26/5/90

Adobe اعتراف كرد كه تعداد بسيار بيشتري از 13 آسيب پذيري مستند را در به روز رساني اخير Flash Player برطرف كرده است.
به دنبال ادعاي يك محقق امنيتي گوگل به نام اورمندي مبني بر اينكه Adobe اين واقعيت را كه حدود 400 آسيب پذيري را در Flash Player برطرف كرده است پنهان نموده است، يك مدير ارشد امنيتي Adobe پذيرفت كه اصلاحيه اخير اين شركت شامل حدود 80 تغييرات در كد براي ترميم نقايص شناسايي شده توسط تيم اين محقق امنيتي گوگل بوده است.
وي توضيح داد كه هيچگونه CVE به اين آسيب پذيري­ها تعلق نگرفته است، چرا كه كشف و برطرف كردن آنها كار مشتركي با تيم گوگل بوده است و گوگل، سيستم متفاوتي براي تخصيص CVE دارد.
به گفته وي، تلاش­هاي اوليه به حدود 400 امضاي اختلال مجزا منجر شد، كه در مرحله بعد به 106 نقص امنيتي يكتا كاهش پيدا كرد. با حل شدن اين نقايص، بسياري از آنها معادل يكديگر شناخته شدند كه در مراحل قبل مشخص نشده بود. در تحليل نهايي، به روز رساني Flash Player شامل حدود 80 تغييرات در كد براي ترميم اين نقايص است.
اورمندي كه يك محقق امنيتي رده بالاست، ادعا كرده بود كه تيم وي 400 آسيب پذيري يكتاي Flash Player را براي Adobe ارسال كرده بود، ولي در اين به روز رساني جديد هيچ ردي از مستند سازي اين ترميم­ها نيست.

مطالب مرتبط:
به روز رساني مهم Adobe در ماه آگوست

ID: IRCNE2011081220
Date: 2011-08-17

According to "techworld", Internet Explorer is better at defending against drive-by downloads than competitors' browsers, according to a worldwide exam of browsers by security research firm NSS Labs.
Internet Explorer scored a 99.2% protection score in the firm's most recent exam of socially engineered malware distribution, with Google Chrome coming in a distant second with 13.2%. Trailing behind it were Safari and Firefox tying with 7.6% each, and Opera pulling up last with 6.1%.
NSS examed Internet Explorer 9, Chrome 12, Opera 11, Firefox 4 and Safari 5 during 14 days, May 27 through June 10. The exam included 1,188 URLs that NSS had verified contained malware, and an average of 86 new ones were added each day.
Chrome's score represents a big improvement over its performance in last year's exam when it scored just 3%. Firefox lost ground against last year's exam when its score was 19%.
Internet Explorer blocked sites on average within .56 hours. Safari was second with 4.9 hours, then Firefox (6.07 hours), Chrome (17.64 hours) and Opera (18.39 hours).

ID: IRCNE2011081219
Date: 2011-08-17

According to “TechWorld”, McAfee is now offering WaveSecure for iOS devices, an app that will help you protect your data and your iPhone, iPod touch or iPad against loss or theft.
It'll let you back up your data so you're protected against accidental data loss as well as remotely wipe and lock the device should it be lost or stolen.
It is available for £13.99 from the App Store. The iPhone already offers remote wipe and locking features for free, via the Find My iPhone feature.
Nonetheless, McAfee has launched the product in 17 different languages to sit alongside its Enterprise Mobility Manager, which provides security for business iPhone users.

ID: IRCNE2011081218
Date: 2011-08-17

According to “CNET”, a new flavor of Android malware is disguising itself as a Google+ app in an attempt to capture instant messages, GPS, location, call logs, and other sensitive data.
Uncovered by the team at Trend Micro, the new malware known as ANDROIDOS_NICKISPY.C can also automatically answer and record phone calls. To capture data, the app loads at boot-up and runs certain services that can monitor messages, phone calls, and the user's location, thereby stealing e-mail and other content.
Detailing its findings in a blog Friday, Trend Micro said it discovered that the malicious app tries to trick people by installing itself under the name Google++.
But instead of providing access to Google's new social network, the app sends its stolen user data to a remote site where presumably cybercriminals can grab it. Unlike some malware in the past that masqueraded as legitimate apps through Google's Android Market, this particular one must be downloaded by an unsuspecting user from a malicious Web site and then manually installed.
And even if installed, the app can be uninstalled from an Android device by selecting Settings > Application > Manage applications, choosing Google++ and then clicking Uninstall, according to Trend Micro.
Trend Micro gives the app a low-risk rating, but it's still something that Android owners should be sure to avoid.

ID: IRCNE2011081217
Date: 2011-08-17

According to "zdnet", Mozilla has shipped a critical Firefox update to fix at least 10 security vulnerabilities, some serious enough to expose web surfers to drive-by download attacks.
According to an advisory from the open-source group, 8 of the 10 vulnerabilities are rated “critical,” meaning that they can be used to run attacker code and install software.
Mozilla identified and fixed several memory safety bugs in the browser engine used in Firefox 4, Firefox 5 and other Mozilla-based products. Some of these bugs could be exploited to run arbitrary code.
These include a WebGL crash, a JavaScript crash, a crash in the Ogg reader, memory safety issues and unsigned scripts. These all affected Firefox 4 and 5. Firefox 6 is being distributed via the browser’s automatic update mechanism.

ID: IRCNE2011081216
Date: 2011-08-17

According to “ZDNET”, Adobe is fessing up to fixing much, much more than the 13 documented vulnerabilities in the latest critical Flash Player update.
Following an accusation from Google security researcher Tavis Ormandy that the company buried the fact that it patched a whopping 400 Flash Player vulnerabilities, Adobe security chief Brad Arkin admitted the patch “contains about 80 code changes” for fix flaws identified by Ormandy’s team.
Arkin explains:
We didn’t allocate any CVEs because we viewed this testing as part of the SPLC that spans the joint engineering efforts with the Google Chrome team. This led to some confusion since the Google security team has a different approach to CVE allocation.
The initial run of the ongoing effort resulted in about 400 unique crash signatures, which were logged as 106 individual security bugs following the initial triage. As these bugs were resolved, many were identified as duplicates that weren’t caught during the initial triage. In the final analysis, the Flash Player update we shipped earlier this week contains about 80 code changes to fix these bugs.
Ormandy, a high-profile researcher who has a history of controversial vulnerability disclosures, originally claimed his team sent 400 unique Flash Player vulnerabilities to Adobe as part of an ongoing security audit but there’s no documentation on these fixes in the new update.

شماره: IRCNE2011071215
تاريخ: 25/5/90

آخرين عرضه سريع براي فايرفاكس نسخه 6.0 در اين هفته منتشر شده و برخي از انتظارات كاربران براي امنيت بهتر را پاسخ مي­دهد. تقريبا هر چيز قابل توجهي در لايه هاي زيرين قرار دارد، از جمله ويژگي جديد مجوزها كه به تنظيمات كوكي، رمز عبور و pop-up اجازه مي دهد تا بر روي هر سايت به طور جداگانه مشخص شوند.
يك ويژگي امنيتي جالب اما بسيار ظريف افزودن يك مكانيسم چك كردن پلاگين­ها است كه دسترسي به آن از طريق كليك كردن بر روي لينكي در بالاي نوار پلاگين ها در مديريت افزونه ها صورت مي گيرد.
پيش از اين كاربران فايرفاكس براي بررسي اينكه آيا افزونه هاي آن­ها آخرين نسخه است يا خير، مجبور به تكيه بر ابزار ديگري از جمله ابزار BrowserCheck متعلق به شركت Qualys بودند.
يكي ديگر از تنظيمات امنيتي ساده، برجسته سازي نام­هاي دامنه در نوار آدرس به منظور جلب توجه كاربران هنگام بازديد يا رانده شدن به سمت سايت­هاي ناآشنا است.
فايرفاكس7.0 (Aurora) كه در ماه سپتامبر عرضه خواهد شد، وعده داده است كه كاربران را از شر ويژگي نامطلوب اين مرورگر كه استفاده زياد از حافظه است، خلاص كند.
آخرين نسخه فايرفاكس را مي توان بدون برچسب بتا از امروز دريافت كرد. هم اكنون نسخه بتاي فايرفاكس 7.0 نيز در دسترس است.

ID: IRCNE2011081215
Date: 2011-08-16

According to "techworld", The latest accelerated release for Firefox, version 6.0, arrives this week but what can users expect in advance of the more significant changes promised for version 7.0 later this year? The answer for now is better security.
Almost everything noteworthy is underneath the surface, such as the new permissions feature, which allows cookie, password and pop-up settings to be specified on a site-by-site basis.
An interesting but very subtle security feature is the addition of a checking mechanism for plug-ins, accessed by clicking on the link at the top of the plug-ins tab of the Add-ons Manager.
Previously, Firefox users have had to rely on third-party tools such as the BrowserCheck tool from Qualys to find out whether their add-ons were the latest versions.
Another easy-to-miss security tweak is the highlighting of domain names in the address bar to draw users’ attention when visiting or being pushed to unfamiliar sites.
Firefox 7.0 (‘Aurora’), due in September, has promised to rid the browser of its unpleasant reputation for hogging memory.
The latest version of Firefox can be downloaded without the ‘beta’ moniker from 16 August; betas of Aurora are also now available.

شماره: IRCNE2011081214
تاريخ: 22/5/90

به گفته يكي از مديران محصولات موزيلا، اين شركت با آغاز به كار Firefox 8، به طور خودكار اقدام به مسدود كردن افزونه هاي نصب شده مرورگر كه توسط ساير توليد كنندگان نرم افزار توليد شده اند خواهد كرد، مگر اينكه كاربر آنها را تاييد نمايد.
بسياري از اين افزونه ها همواره مشكلاتي براي كاربران ايجاد كرده اند. براي مثال يك افزونه ايجاد شده توسط اسكايپ، باعث ايجاد اختلال در كار تعداد بسيار زيادي از مرورگرها شده بود تا جايي كه موزيلا در ژانويه گذشته، اين افزونه را به فهرست افزونه هاي ممنوعه خود اضافه كرد. همچنين در سال 2009، مايكروسافت با افزونه اي باعث شد كاربران فايرفاكس در معرض حمله قرار گيرند.
يك مدير محصولات براي افزونه ها در بلاگ موزيلا نوشت كه اگرچه برخي از اين برنامه ها پيش از نصب مجوز كاربر را درخواست مي­كنند، اما بسياري ديگر نيز بدون آگاهي از اينكه كاربر واقعا به آنها نياز دارد، افزونه ها را نصب مي­كنند.
به گفته وي، اين افزونه ها مسائل متعددي از كند كردن مرورگر گرفته تا عدم هماهنگي با به روز رساني­هاي امنيتي را ايجاد مي­نمايند. مهمتر از همه اينكه اين افزونه ها كنترل مرورگر را از دست كاربر خارج مي­كنند. تغييرات ايجاد شده در فايرفاكس 8 كه نسخه نهايي آن روز هشتم نوامبر عرضه خواهد شد، كنترل اين افزونه ها را به كاربر باز خواهد گرداند.
اگر فايرفاكس 8 بفهمد كه برنامه ديگري يك افزونه را نصب كرده است، تا زماني كه كاربر موافقت خود را با نصب آن اعلام نمايد، آن را غير فعال خواهد كرد. كاربراني كه بخواهند به يك افزونه مجوز فعاليت دهند، مي­توانند به سادگي با نصب آن موافقت كنند. افزونه هاي از پيش نصب شده نيز پس از ارتقاء به فايرفاكس 8 برچسب خورده و تا زمان موافقت كاربر، غيرفعال خواهند شد.