فا

‫ اخبار

محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

آسیب پذیری CVE-2019-11477 در کرنل سیستم های عامل‌ Linux و BSD

آسیب پذیری CVE-2019-11477 در کرنل سیستمهای عامل Linux و BSD در زیرسامانه شبکه کشف شده است. این ضعف امنیتی، ناشی از پردازش نادرست مقدار متغیر MSS و Selective ACK می باشد. آسیب پذیری بدین گونه است که مهاجم می تواند با ارسال ترتیبی خاص از بسته های شبکه (TCP) باعث کرش (panic) هسته سیستم عامل شود. ضعف امنیتی این آسیب پذیری از نوع Integer Overflow است.

برای رفع این آسیب‌پذیری، بهترین راه حل بروز رسانی کرنل سیستم عامل است.

آسیب پذیری CVE-2019-11479 نیز با استفاده از همین ضعف، برای مهاجم امکان اجرای یک حمله Resource Consumption را فراهم می سازد. بدین صورت که می توان سیستم عامل را مجبور کرد تا بسته پاسخ را به قطعات 8 بایتی بشکند. با درنظر گرفتن سربار سرایند سایر پروتکل های زیرین ( مانند IP و Ethernet ) می توان پهنای باند شبکه و همچنین ظرفیت CPU را مورد سواستفاده قرار داد.

جزییات بیشتر در منابع زیر در دسترس است:

https://www.openwall.com/lists/oss-security/2019/06/17/5

https://www.tenable.com/blog/sack-panic-linux-and-freebsd-kernels-vulnerable-to-remote-denial-of-service-vulnerabilities-cve

30 خرداد 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها


آسیب پذیری حیاتی CVE-2019-9670 در سرویس دهنده ایمیل Zimbra

نسخه متن‌باز سرویس‌دهنده ایمیل زیمبرا یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور است که توسط سازمان‌ها و شرکت‌های مختلف مورد استفاده قرار می‌گیرد. آسیب پذیری حیاتی به شناسه‌ی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های 8.5 الی 8.7.11 وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.

اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلوده‌ای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.

ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.

درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیب‌پذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:

https://cert.ir/news/12685

راهکار رفع این آسیب‌پذیری بروز رسانی به آخرین نسخه (8.8.12) و یا دریافت وصله ارائه شده برای نسخه فعلی است.

جزییات و اطلاعات بیشتر در خصوص این آسیب‌پذیری و سواستفاده از آن در منابع زیر ارائه شده است:

https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9670

https://forums.zimbra.org/viewtopic.php?f=15&t=65932ایمیل Zimbra

نسخه متن‌باز سرویس‌دهنده ایمیل زیمبرا یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور است که توسط سازمان‌ها و شرکت‌های مختلف مورد استفاده قرار می‌گیرد. آسیب پذیری حیاتی به شناسه‌ی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های 8.5 الی 8.7.11 وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.

اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلوده‌ای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.

ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.

درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیب‌پذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:

https://cert.ir/news/12685

راهکار رفع این آسیب‌پذیری بروز رسانی به آخرین نسخه (8.8.12) و یا دریافت وصله ارائه شده برای نسخه فعلی است.

جزییات و اطلاعات بیشتر در خصوص این آسیب‌پذیری و سواستفاده از آن در منابع زیر ارائه شده است:

https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9670

https://forums.zimbra.org/viewtopic.php?f=15&t=65932

30 خرداد 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

بنا بر بررسی‌های صورت گرفته، آسیب‌پذیری اخیر سرویس دهنده ایمیل exim (CVE-2019-10149) گستردگی فراوانی در کشور دارد. بخش بزرگی از سرورهای آسیب‌پذیر متعلق به شرکت های ارائه دهنده خدمات میزبانی اشتراکی است. این آسیب پذیری به دلیل استفاده سرویس دهنده‌های cPanel و WHMاز #‫exim است. لازم است مدیران این سیستم ها سریعا نسبت به رفع آسیب‌پذیری از طریق بروزرسانی exim اقدام کنند.

متاسفانه احتمال اینکه این سرورها تاکنون مورد نفوذ قرار گرفته باشند زیاد است. تاکنون گزارش‌ها حاکی از انتشار بدافزار استخراج کننده رمزارز از طریق این آسیب‌پذیری بوده ولی هر نوع سواستفاده دیگری نیز ممکن است. لذا علاوه بر بروزرسانی و رفع آسیب‌پذیری لازم است بررسی دقیقی از شواهد و ردپاهای احتمالی از ورود غیرمجاز به سرورهای exim آسیب‌پذیر صورت گیرد. بطور کلی اقدامات زیر در بررسی سیستم‌ها پیشنهاد می‌گردد:

· اطمینان از بروز بودن سرویس دهنده exim

· بررسی پراسس‌های فعال در سیستم عامل و حذف موارد مشکوک

· بررسی پورت‌های باز فعال (listening) مشکوک

· بررسی ارتباطات شبکه (connection) فعال

· بررسی cronjob های سیستم و حذف موارد مشکوک

· بررسی حساب‌های کاربری سیستم عامل و حصول اطمینان از عدم وجود حساب‌های کاربری غیرمجاز

· بررسی کلید‌های ssh موجود جهت احراز هویت با استفاده از کلید و اطمینان از عدم وجود کلیدهای ناشناس و غیرمجاز

· بررسی لاگ‌های مختلف سیستم از جمله لاگ‌های مربوط به ورود کاربران

29 خرداد 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

رمزگشای #‫باج‌افزار GandCrab برای نسخه های ۱ تا ۵.۲ توسط کمپانی بیت دیفندر پس از اعلام پایان زورگیری دیجیتالی این باج افزار توسط نویسندگانش منتشر شد.
در صورتی که فایل‌های شما توسط این باج‌افزار رمزگذاری شده اند، هم اکنون می توانید فایل های خود را رمزگشایی کنید.
به منظور دانلود رمزگشا به همراه راهنمای آن به لینک زیر مراجعه بفرمایید.

https://labs.bitdefender.com/wp-content/uploads/downloads/gandcrab-removal-tool-v1-v4-v5/

28 خرداد 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

سوء استفاده از آسیب‌پذیری سرویس دهنده ایمیل exim
طی ۱۰ روز گذشته، اطلاعاتی درخصوص آسیب‌پذیری سرویس دهنده ایمیل exim منتشر شد. این آسیب‌پذیری به شماره CVE-2019-10149 ثبت شده و ضعف آن از نوع صحت سنجی ورودی (CWE-20) است. آسیب‌پذیری نامبرده شده در تابع deliver_message() (در فایل deliver.c) که فرآیند بررسی آدرس گیرنده ایمیل در آن بررسی می‌شود، وجود دارد. مهاجم می‌تواند با ارسال payload مناسب از راه دور، از سرور ایمیل اخذ دسترسی کرده و آن را به کنترل خود دربیاورد. این آسیب‌پذیری در نسخه‌های 4.87 الی 4.91 وجود دارد، نسخه 4.92 از ماه قبل منتشر شده که این ناامنی در آن رفع شده است. با بروزرسانی سرویس دهنده mail می‌توان این ضعف امنیتی را مرتفع کرد. بررسی اولیه نشان می‌دهد بخش بزرگی از آسیب‌پذیری در سطح کشور مربوط به شرکت‌های ارائه دهنده خدمات میزبانی وب اشتراکی است. اطلاع رسانی به مالکین سرویس دهنده‌های آسیب‌پذیر در حال انجام است.
با توجه به شدت گرفتن سوءاستفاده مهاجمین از این آسیب‌پذیری در روزهای اخیر، در صورتی که سروری آسیب‌پذیر از این نوع در اختیار دارید، لازم است علاوه بر بروزرسانی و رفع آسیب‌پذیری، نسبت به بررسی ردپاهای فارنزیکی و عدم ورود و تثبیت دسترسی مهاجم در سرور اطمینان حاصل کنید.
در لینک زیر اطلاعات مفیدی درخصوص این آسیب پذیری، وجود دارد:
https://www.openwall.com/lists/oss-security/2019/06/05/4
همچنین اطلاعیه اولیه سایت exim در این لینک در دسترس است:
http://www.exim.org/static/doc/security/CVE-2019-10149.txt

28 خرداد 1398 برچسب‌ها: اخبار
شناسایی و رفع آسیب پذیری های بحرانی محصولات شرکتAdobe

#‫آسیبپذیری های شناسایی شده که طی جدول پیوست لیست شده مربوط به دو محصول پرکاربرد Adobe Acrobat و Adobe Reader شرکت Adobe می باشد.
روش اجرا: ابتدا یک فایل PDF آلوده (که به روش های مختلف در سیستم هدف بارگذاری شده) توسط کاربر قربانی اجرا میگردد. طی این فرایند امکان دسترسی از راه دور را برای مهاجم/مهاجمین جهت ایجاد هرگونه تغییر فایل و دسترسی به منابع شکل گرفته و به این ترتیب امکان کنترل کامل سیستم هدف با درنظر گرفتن سطح دسترسی قبلی کاربر قربانی ایجاد می شود.

راه کارامن سازی: آدرس های ارایه شده توسط شرکت Adobe جهت بروز رسانی نسخه های آسیب پذیرمطایق ذیل ارایه شده است:

برای نسخه های ویندوزی: آدرس بروزرسانی

برای نسخه های مک : آدرس بروزرسانی

26 خرداد 1398 برچسب‌ها: اخبار
شناسایی و رفع آسیب پذیری های بحرانی در محصولات اینتل

شرکت #‫اینتل بیش از 30 #‫آسیب‌پذیری در محصولات مختلف خود از جمله یک آسیب پذیری بحرانی در موتور همگرای مدیریت و امنیت Intel (CSME)که سوءاستفاده از آن می‌تواند منجر به افزایش امتیاز شود را برطرف نموده است.

این نقص (CVE-2019-0153)در زیرسیستم Intel CSMEوجود دارد. این زیرسیستم، فن‌آوری سفت‌افزار و سخت‌افزار سیستم مدیریت فعال Intelرا که برای مدیریت از راه دور خارج از محدوده‌ی رایانه‌های شخصی استفاده می‌شود، قدرت می‌بخشد. یک کاربر بدون احرازهویت می‌تواند به صورت بالقوه از این نقص برای اعمال افزایش امتیاز طی دسترسی شبکه‌ای، سوءاستفاده کند. این نقص، یک آسیب‌پذیری سرریز بافر با امتیاز CVSS9 از 10 است. نسخه‌های 12تا 12.0.34 CSMEتحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند. شرکت Intelبه کاربران Intel CSMEتوصیه می‌کند به آخرین نسخه‌ی منتشرشده توسط سازنده‌ی سیستم که این نقص‌ها را برطرف ساخته است، به‌روزرسانی کنند.

Intelدر مجموع 34 آسیب‌‌پذیری را برطرف ساخته است که علاوه بر این یک نقص بحرانی، 7 مورد از آن‌ها از نظر شدت «بالا»، 21 مورد «متوسط» و 5 مورد «پایین» رتبه‌بندی شده‌اند. این نقص‌ها جدا از نقص‌هایی هستند که Intelچندی پیش برطرف ساخته است. آن نقص‌ها، آسیب‌پذیری‌های اجرایی احتمالی به نام نمونه‌برداری داده‌‌ای ریزمعماری (MDS) بودند که تمامی CPUهای جدید Intelرا تحت‌تأثیر قرار داده بودند. چهار حمله‌ی کانالی ZombieLoad، Fallout، RIDL (Rogue In-Flight Data Load)و Store-to-Leak Forwardingاجازه‌ی استخراج داده‌ها از سیستم‌های متأثر آن آسیب‌‌پذیری‌ها را می‌دادند.

یکی از آسیب‌پذیری‌های با شدت بالا که در توصیه‌نامه‌ی جدید Intelبرطرف شده است، یک آسیب‌‌پذیری اعتبارسنجی ناکافی ورودی است که در Kernel Mode Driverتراشه‌های گرافیکی Intel i915لینوکس وجود دارد. این نقص، یک کاربر احرازهویت‌شده را قادر می‌سازد از طریق یک دسترسی محلی، امتیاز خود را افزایش دهد. این آسیب‌پذیری با شناسه‌ی CVE-2019-11085ردیابی می‌‌شود و دارای امتیاز CVSS8.8 از 10 است.

آسیب‌‌پذیری با شدت بالای دیگر در سفت‌افزار سیستم ابزارگان Intel NUC(یک ابزارگان کوچک رایانه شخصی که قابلیت‌های پردازش، حافظه و ذخیره‌سازی را برای برنامه‌‌هایی همچون مجموعه نشانه‌های دیجیتال، مراکز رسانه‌ای و کیوسک‌ها را ارایه می‌دهد) وجود دارد. این نقص با شناسه‌ی CVE-2019-11094ردیابی می‌‌شود و دارای رتبه‌ی CVSS7.5 از 10 است. این نقص ممکن است به کاربر احرازهویت‌شده اجازه دهد افزایش امتیاز، انکار سرویس یا افشای اطلاعات را به طور بالقوه از طریق دسترسی محلی اعمال سازد. شرکت Intelتوصیه می‌کند که محصولات متأثر زیر به آخرین نسخه‌ی سفت‌افزاری به‌روزرسانی کنند.

محصول متأثر

سفت‌افزار به‌روزرسانی‌شده

Intel® NUC Kit NUC8i7HNK

نسخه‌ی BIOS 0054یا جدیدتر

Intel® NUC Kit NUC8i7HVK

نسخه‌ی BIOS 0054یا جدیدتر

Intel® NUC Kit NUC7i7DNHE

نسخه‌ی BIOS 0062یا جدیدتر

Intel® NUC Kit NUC7i7DNKE

نسخه‌ی BIOS 0062یا جدیدتر

Intel® NUC Kit NUC7i5DNHE

نسخه‌ی BIOS 0062یا جدیدتر

Intel® NUC Kit NUC7i5DNHE

نسخه‌ی BIOS 0062یا جدیدتر

Intel® NUC Board NUC7i7DNBE

نسخه‌ی BIOS 0062یا جدیدتر

نقص با شدت بالای دیگر که توسط خود Intelکشف شد در واسط سفت‌افزاری توسعه‌پذیر یکپارچه (UEFI) وجود دارد. UEFIمشخصه‌ای است که یک واسط نرم‌افزاری بین یک سیستم‌عامل و سفت‌افزار بستر تعریف می‌کند (اگرچه UEFIیک مشخصه‌ی صنعتی است، سفت‌افزار UEFIبااستفاده از کد مرجع Intelتحت‌تأثیر این آسیب‌پذیری قرار گرفته است). این نقص با شناسه‌ی CVE-2019-0126ردیابی می‌شود و دارای امتیاز CVSS7.2 از 10 است سوءاستفاده از آن می‌تواند به طور بالقوه منجر به افزایش امتیاز یا انکار سرویس در سیستم‌های متأثر شود. به گفته‌ی Intel، این نقص ناشی کنترل ناکافی دسترسی در سفت‌افزار مرجع silicon برای پردازنده مقیاس‌پذیرIntel Xeon ، خانواده Dپردازنده Intel Xeon است. مهاجم برای سوءاستفاده از این نقص نیاز به دسترسی محلی دارد.

دیگر نقص‌های با شدت بالا شامل موارد زیر است:

  • آسیب‌پذیری تصفیه‌سازی (sanitization)ناصحیح داده‌ها در زیرسیستمی در سرویس‌های بستر کارگزار Intel (CVE-2019-0089)
  • آسیب‌‌پذیری کنترل ناکافی دسترسی در زیرسیستم Intel CSME (CVE-2019-0090)
  • آسیب‌پذیری کنترل ناکافی دسترسی (CVE-2019-0086)در نرم‌افزار بارگذار پویای برنامه کاربردی (یک ابزار Intelکه به کاربران اجازه می‌دهد بخش‌های کوچکی از کد جاوا را بر Intel CSMEاجرا کنند)
  • نقص سرریز بافر در زیرسیستمی در بارگزار پویای برنامه‌ی کاربردی Intel (CVE-2019-0170)

Intelبه کاربران توصیه می‌کند سفت‌افزار خود را به این نسخه‌ی سفت‌افزاری (یا جدیدتر) اختصاص‌داده شده برای مدل محصول متأثر خود، ارتقا دهند.

12 خرداد 1398 برچسب‌ها: اخبار
انتشار وصله‌ی‌های امنیتی رایگان remote desktop مایکروسافت برای نسخه‌های قدیمی ویندوز جهت جلوگیری از بروز مجدد حملات WannaCry

#‫مایکروسافت در به‌روزرسانی ماه می سال 2019 خود، 79 آسیب‌پذیری از جمله یک آسیب‌پذیری در سیستم‌عامل‌های قدیمی Windows XP و Server 2003 که دیگر از آن‌ها پشتیبانی نمی‌کند را وصله کرده است.
معمولاً پشتیبانی از سیستم‌عامل‌‌‌های قدیمی هزینه‌بر است؛ اما مایکروسافت با توجه به ماهیت خطرناک این نقص بحرانی، وصله‌ی رایگانی را برای آن منتشر ساخته است. این آسیب‌پذیری با شناسه‌ی CVE-2019-0708 ردیابی می‌شود و در سرویس‌های Remote Desktop وجود دارد. این آسیب‌‌پذیری اجازه‌ی اجرای کد راه دور را می‌دهد؛ بدون آنکه نیازی به دخالت کاربر یا احرازهویت باشد. برای سوءاستفاده، مهاجم یکی از بیشمار بسته‌‌های ویندوزی آسیب‌پذیر را که به اینترنت یا یک شبکه متصل هستند را می‌یابد، بسته‌های ساختگی دقیق را به سرویس Remote Desktop آن ارسال می‌کند، اگر در حال اجرا باشد، شروع به اجرای کد مخرب در دستگاه می‌کند. از آنجا، رایانه‌های آسیب‌پذیر دیگر، با اسکن دامنه‌های IP، یافت خواهند شد. این آسیب‌‌پذیری «کرم‌گونه» است؛ بدین معنی که هر بدافزاری که در آینده از این آسیب‌پذیری سوءاستفاده می‌‌کند می‌تواند از رایانه‌ی آسیب‌پذیری به رایانه‌ی آسیب‌پذیر دیگر پخش شود. این روش مشابه روشی است که بدافزار WannaCry در سال 2017 در سراسر جهان انتشار یافت.
از آنجاییکه هیچ سوءاستفاده‌ای از این آسیب‌پذیری مشاهده نشده است، به احتمال زیاد، عاملین تهدید سوءاستفاده‌ای برای این آسیب‌پذیری خواهند نوشت و آن را در بدافزار خود قرار خواهند داد. لذا ضروری است سیستم‌های متأثر در اسرع وقت به‌منظور جلوگیری از چنین حوادثی، وصله شوند. به همین دلیل مایکروسافت به روزرسانی امنیتی برای تمامی مشتریان به‌منظور حفاظت بسترهای ویندوزی، از جمله برخی نسخه‌های قدیمی ویندوز ارایه کرده است.

دریافت متن کامل

4 خرداد 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
امکان اجرای کد از راه دور با استفاده از نقص موجود در هسته‌ی لینوکس

میلیون‌ها سیستم #‫لینوکس می‌توانند نسبت به نقص race condition با شدت بالا در هسته‌ی لینوکس آسیب‌پذیر باشند. کارشناسان امنیتی یک آسیب‌پذیری (CVE-2019-11815) در هسته‌ی لینوکس، نسخه‌های قبل از 5.0.8 کشف کردند که سیستم را در معرض خطر اجرای کد از راه دور قرار می‌دهد.
مهاجمین می‌توانند مسئله‌ی race condition که در پیاده‌سازی "rds_tcp_kill_sock TCP / IP" در "net / rds / tcp.c" قرار دارد و باعث ایجاد شرایط انکار سرویس (DoS) و اجرای کد از راه دور در دستگاه‌های آسیب‌پذیر لینوکس می‌شود، تحریک کنند. این وضعیت زمانی اتفاق می‌افتد که یک فرآیند متشکل از وظایف خاصی که در یک دنباله‌ی خاص رخ می‌دهند، با یک درخواست برای انجام دو یا چند عملیات به‌طور همزمان دچار اشتباه شود. در طی این سردرگمی، یک فرایند سرکش می‌تواند وارد شود.
در آسیب‌پذیری "CVE-2019-11815"، مهاجمان می‌توانند از ارسال بسته‌های TCP مخصوص ساخته‌شده از راه دور به‌منظور تحریک یك وضعیت UAF مربوط به پاكسازی فضای نام شبکه، استفاده كنند. UAF یک کلاس از نقص فیزیکی حافظه است که می‌تواند منجر به سقوط سیستم و توانایی مهاجم برای اجرای کد دلخواه شود.
مهاجم می‌تواند بدون هیچ‌گونه امتیاز بالایی، بدون احراز هویت و بدون تعامل با کاربر، از این اشکال سوءاستفاده کند. بهره‌برداری از این نقص می‌تواند مهاجمان را قادر به دسترسی به منابع، تغییر هرگونه فایل و دسترسی به منابع ممنوع کند. آسیب‌پذیری "CVE-2019-11815" دارایCVSS v3.0 از امتیاز پایه‌ی 8.1 است، اما به دلیل دشواری سوءاستفاده از آن، امتیاز سوءاستفاده‌ی 2.2 و امتیاز تأثیر 5.9 را دریافت کرده است. تیم توسعه‌ی هسته‌ی لینوکس یک وصله‌ی امنیتی را منتشر کرد و این آسیب‌پذیری به‌طور کامل با نسخه‌ی لینوکس 5.0.8 رفع شد.

4 خرداد 1398 برچسب‌ها: اخبار
سوءاستفاده‌ی مهاجمان از نقص موجود در واتس‌آپ برای نصب نرم‌افزار جاسوسی

#‫واتس‌آپ جزئیات مربوط به یک آسیب‌پذیری جدی در برنامه‌ی پیام‌رسان خود را افشا کرده است که به کلاه‌برداران این امکان را می‌دهد تا از راه دور، جاسوس‌افزار اسرائیلی را در دستگاه‌های iPhone و اندروید به‌سادگی و با برقراری تماس تلفنی با هدف، تزریق کنند.این اشکال که توسط فیس‌بوک کشف شده است، یک آسیب‌پذیری سرریز بافر در تابع VOIP واتس‌آپ است.
مهاجم باید با هدف، تماس بگیرد و بسته‌های پروتکل حمل‌ونقل امن (SRTP) را به تلفن ارسال کند تا بتواند از نقص حافظه‌ی موجود در تابع VOIP در واتس‌آپ برای تزریق نرم‌افزارهای جاسوسی و کنترل دستگاه استفاده کند.
برای تزریق نرم‌افزار جاسوسی حتی نیازی به پاسخ هدف به تماس نیست و تماس اغلب از ورودی‌های مربوط به تماس پاک می‌شود.
در حالی که واتس‌آپ از رمزگذاری انتها-به-انتها پشتیبانی می‌کند که باید از محتوای ارتباطات بین کاربران محافظت کند، اما اگر دستگاه با نرم‌افزارهای مخرب سازش پیدا کند، این اقدام امنیتی می‌تواند تضعیف شود.
طبق گزارشات، این نرم‌افزار جاسوسی از گروه NSO (یک شرکت اسرائیلی) است که متهم به فروش نرم‌افزارهای جاسوسی خود به دولت‌هایی با پرونده‌های مشکوک حقوق بشر است.
محصول پیشگام گروه NSO ، ابزاری به نام " Pegasus" است. این ابزار مخرب، نه‌تنها برای مبارزه با جرایم و تروریسم محلی بلکه برای نظارت بر مرزهای بین‌المللی نیز استفاده می‌شود.
این نرم‌افزار مخرب می‌تواند مکالمات را ضبط کند، پیام‌های خصوصی را به سرقت ببرد، عکس‌ها را پاک کند، دوربین گوشی را روشن و داده‌های موقعیت مکانی را جمع‌آوری کند.
به‌گفته‌ی مهندسین واتس‌آپ، هفته‌ی گذشته این آسیب‌پذیری برای نصب بدافزار "Pegasus" مورد استفاده قرار گرفت و چند روز بعد یک وصله برای کاربران نهایی عرضه کرد.
نقص VOIPدر واتس‌آپ بر روی نسخه‌های اندروید واتس‌آپ قبل از نسخه‌ی 2.19.134، واتس‌آپ تجاری برای اندروید قبل از 2.19.44، واتس‌آپ برای iOS قبل از 19.19.51، واتس‌آپ تجاری برای iOS قبل از 2.19.51، واتس‌آپ برای ویندوز فون قبل از 2 .18.348 و واتس‌آپ برای Tizen قبل از 1.18.15 تأثیر می‌گذارد.
این آسیب‌پذیری در حال حاضر رفع شده است؛ به این معنی که کاربران واتس‌آپ تنها نیاز به دانلود آخرین نسخه از این نرم‌افزار دارند.

4 خرداد 1398 برچسب‌ها: اخبار