فا

‫ اخبار

صفحات: 1 2 3 4 5 ... » »»
وصله آسیب‌پذیری در محصولات اینتل که منجر به ارتقای سطح دسترسی و حملات منع سرویس می‌شود.

شرکت #‫اینتل در یک به‌روزرسانی امنیتی، یک آسیب‌پذیری در محصولاتش را رفع کرد.

طبق این گزارش یک آسیب‌پذیری خطرناک در Intel Processor Diagnostic کشف شده است که این آسیب‌پذیری امکان ارتقای سطح دسترسی را از طریق نرم‌افزار می‌دهد و دارای شناسه CVE-2019-11133می‌باشد. این آسیب‌پذیری بر روی نسخه‌های قبل از 4.1.2.24این ابزار وجود دارد و با توجه به کنترل دسترسی نامناسب در این محصول، به مهاجم اجازه اجرای حملات منع سرویس و سرقت اطلاعات حساس را می‌دهد.

به کاربرانی که ابزار Intel Processor Diagnosticرا بر روی سیستم عامل خود کشف نموده‌اند توصیه می‌شود که این ابزار را به نسخه‌های 4.1.2.24یا بالاتر به‌روزرسانی نمایند.

44 دقیقه قبل برچسب‌ها: اخبار
به‌روزرسانی ماه ژوئیه‌ی اندروید و رفع 9 آسیب‌پذیری بحرانی

شرکت #‫گوگل وصله‌هایی برای سیستم‌عامل اندروید منتشر کرد تا به‌طور کلی، 33 آسیب‌پذیری که شامل 9 آسیب‌پذیری بحرانی است، رفع کند.

این آسیب‌پذیری‌ها بر روی اجزای مختلف اندروید ازجمله سیستم‌عامل اندروید، چارچوب، کتابخانه، چارچوب رسانه‌ای و همچنین مؤلفه‌های کوالکام تأثیر می‌گذارند.

سه مورد از آسیب‌پذیری‌های بحرانی این ماه، در چارچوب رسانه‌ی اندروید قرار دارند که به یک مهاجم اجازه می‌دهند تا از راه دور و با استفاده از یک فایل خاص طراحی‌شده، کد دلخواه را در چارچوب یک فرایند خاص، اجرا کند.

از میان شش آسیب‌پذیری بحرانی دیگر، یکی از آن‌ها بر روی سیستم اندروید تأثیرمی‌گذارد.

دو آسیب‌پذیری بحرانی دیگر در مؤلفه‌های "DSP-Services" و "Kernel" و سه مورد در مؤلفه‌ی متن بسته‌‌ی کوالکام وجود دارند.

یک خطای دارای شدت بالا نیز در کتابخانه‌ی اندروید وجود دارد که می‌تواند به مهاجم، اجازه‌ی اجرای کد از راه دور دهد.

علاوه‌براین، یک خطای شدید در چارچوب اندروید وجود دارد که می‌تواند به یک برنامه‌ی مخرب نصب‌شده، اجازه‌ی دورزدن الزامات تعامل کاربر را بدهد تا بتواند به مجوز‌های اضافی دسترسی پیدا کند.

برای دریافت کلیک نمایید

24 تیر 1398 برچسب‌ها: اخبار
انتشار به‌روزرسانی ماه جولای سال 2019 Adobe

#‫Adobeبه‌روزرسانی‌های امنیتی ماه جولای سال 2019 خود را جهت رفع آسیب‌پذیری‌های نرم‌افزارهای Bridge CC، Experience Managerو Dreamweaverمنتشر ساخته است.

هیچ یک از آسیب‌پذیری هایی که در این ماه توسط Adobeبرطرف شده‌اند، از نظر شدت، بحرانی نیست.

عمده‌ی آسیب‌پذیری‌های رفع‌شده در این به‌روزرسانی نسبتاً کوچک، به Adobe Experience Managerمربوط می‌شوند. این به‌روزرسانی، برای یک آسیب‌پذیری اسکریپت‌نویسی متقابل منعکس (Reflected Cross-Site Scripting)با شناسه‌ی ردیابی CVE-2019-7955و از نظر شدت «متوسط»، یک آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (Stores Cross-Site Scripting)با شناسه‌ی ردیابی CVE-2019-7954و از نظر شدت «مهم» و یک آسیب‌پذیری درخواست جعلی متقابل (Cross-Site Forgery Request) با شناسه‌ی ردیابی CVE-2019-7953و از نظر شدت «مهم» را که سوءاستفاده از همه‌ی آن‌ها می‌تواند منجر به افشای اطلاعات حساس شود، وصله منتشر کرده است.

این آسیب‌پذیری‌ها، نسخه‌های 6.0، 6.1، 6.2، 6.3از نرم‌افزار Adobe Experience Managerدر تمامی بسترها را تحت‌تأثیر قرار می‌دهند.

همچنین Adobeبرای یک آسیب‌پذیری با شدت «متوسط» موجود در Direct Download Installerنرم‌افزار Adobe DreamWeaver، وصله منتشر کرده است. این آسیب‌پذیری با شناسه‌ی CVE-2019-7956، یک نقص امنیتی افزایش امتیاز است که به بارگذاری ناامن کتابخانه مربوط می‌شود و می‌تواند برای انجام عملیات ربودن DLLمورد استفاده قرار گیرد. این آسیب‌پذیری تمامی نسخه‌های منتشرشده در سال 2018 و 2019 در بستر ویندوز را تحت‌تأثیر قرار می‌دهد.

علاوه‌براین، یک نقص امنیتی مهم خواندن خارج از محدوده (read out of bounds)با شناسه‌ی CVE-2019-7963در نرم‌افزار Adobe Bridge CCنیز در به‌روزرسانی امنیتی ماه جولای سال 2019 Adobeوصله شده است. این آسیب‌پذیری با شناسه‌ی ردیابی CVE-2019-7963، نسخه‌های 9.0.2و پیش از آن را در هر دو بستر ویندوز و macOSتحت‌تأثیر قرار می‌دهد و سوءاستفاده از آن می‌تواند منجر به افشای اطلاعات شود.

به کاربران توصیه می‌شود به منظور حفظ خود در برابر سوءاستفاده‌های بالقوه از این آسیب‌پذیری‌ها، مجوز به‌روزرسانی خودکار نرم‌افزارهای خود را فعال نمایند و آن‌ها را به آخرین نسخه‌ی موجود به‌روزرسانی کنند.

24 تیر 1398 برچسب‌ها: اخبار
سوءاستفاده‌ی باج‌افزار Sodin از يک نقص افزايش امتياز ويندوز

به تازگی #‫باج‌_افزار جدیدی به نام #‫SodinoKibi (همچنین معروف به Sodin یا REvil) کشف شده است که از آسیب‌پذیری روزصفرم ویندوز با شناسه‌ی CVE-2018-8453 به‌منظور افرایش امتیاز سوءاستفاده می‌کند تا در میزبان‌های آلوده به امتیاز مدیریتی دست یابد.
این آسیب‌‌پذیری که توسط محققان آزمایشگاه کسپرسکی کشف شده است، در به‌روزرسانی‌های امنیتی ماه اکتبر سال 2018 مایکروسافت وصله شده است. این آسیب‌پذیری پیش از وصله‌شدن، در ماه اوت سال 2018، توسط یک گروه هک دولتی به نام FruityArmor که هدف اصلی آن کاربران خاورمیانه بود، مورد سوءاستفاده قرار گرفته بود. حال محققان کسپرسکی همان آسیب‌پذیری را در باج‌افزار sodin کشف کرده‌اند که به گفته‌ی آنها، به ندرت چنین آسیب‌پذیری در باج‌افزار استفاده می‌شود.
در حال حاضر این باج‌افزار در سراسر جهان در حال گسترش است و عمده‌ی آلودگی‌های آن در منطقه آسیا و اقیانوس آرام مشاهده شده است، به ویژه در تایوان (17.56%)، هنگ‌کنگ و کره‌جنوبی (8.78%). کشورهای دیگری که Sodinokibi در آن‌ها شناسایی شده‌ است عبارتند از ژاپن (8.05%)، ایتالیا (5.12%)، اسپانیا (4.88%)، ویتنام (2.93%)، ایالات‌متحده امریکا (2.44%) و مالزی (2.2%).
با آمدن باج‌افزار Sodin، باج‌افزار GandCrab تمامی فعالیت‌های اداری خود را در ماه گذشته متوقف ساخته است. GandCrab فعال‌ترین باج‌افزار تاکنون بوده است (نه تنها در سال جاری، بلکه در سال گذشته). برخی از اعضای جامعه‌ی امنیت اطلاعات، Sodin را وارث GandCrab و عده‌ای آن را مکمل GandCrab می‌دانند که به احتمال زیاد توسط همان گروه از توسعه‌دهندگان ایجاد شده است.
محققان یک تجزیه و تحلیل فنی از فرایند افزایش امتیاز که به این تهدید اجازه می‌دهد به امتیاز سیستمی دست یابد را منتشر ساخته‌اند. Sodin به‌منظور افزایش امتیاز از یک آسیب‌پذیری روزصفرم در win32k.sys سوءاستفاده می‌کند. بدنه‌ی هر نمونه Sodin شامل یک قطعه‌ پیکربندی رمزنگاری‌‌شده است که تنظیمات و داده‌‌های استفاده‌شده توسط بدافزار را ذخیره می‌سازد. پس از راه‌اندازی، Sodin قطعه‌ی پیکربندی را بررسی می‌کند که آیا گزینه‌ای که سوءاستفاده را به کار می‌گیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازنده‌ای که اجرا می‌کند را بررسی می‌کند و سپس یکی از دو shellcode گنجانده‌شده در بدنه‌ی این تروجان را بسته به معماری پردازنده، اجرا می‌کند. این shellcode تلاش می‌کند یک سری خاص از توابع WinAPI با آرگومان‌های ساختگی مخرب را به‌منظور راه‌اندازی آسیب‌پذیری فراخوانی کند. بدین ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست می‌یابد. در اینجا هدف این است که راه‌حل‌های امنیتی نتوانند به راحتی این بدافزار را شناسایی کنند.
Sodin یک طرح ترکیبی را برای رمزگذاری داده‌ها پیاده‌سازی می‌کند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایل‌ها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده می‌کند.
کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار کد سخت (hardcoded) شده است رمزگذاری و نتیجه در رجیستری ذخیره می‌شود.
پس از رمزگذاری فایل‌ها، sodinokibi یک افزونه‌ی تصادفی که برای هر رایانه‌ای که آلوده کرده است متفاوت است را ضمیمه می‌کند.
کد مخرب Sodin فایل‌های با پوسته‌های صفحه‌کلید مخصوص کشورهای خاصی از جمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهد کرد.
پیکربندی Sodin شامل فیلدهای کلید عمومی، شماره ID برای کمپین و توزیع‌کننده و برای بازنویسی داده‌‌ها، نام مسیرها و فایل‌ها، لیست افزونه‌هایی که رمزگشایی نشده‌اند، نام فرایندهایی که باید به آن‌ها خاتمه دهد، آدرس‌های کارگزار C2، قالب نوشته‌ی باج و یک فیلد برای استفاده از سوءاستفاده‌ به‌منظور دستیابی به امتیاز بالاتر در ماشین است.
آنچه مهاجمان Sodin را پیچیده‌تر می‌سازد، استفاده‌ی آن‌ها از تکنیک Heaven’s Gate است. Heaven’s Gate تکنیکی است که به یک فرایند 32 بیتی تروجان اجازه می‌دهد تکه کدهای 64 بیتی را اجرا کند. بسیاری از debuggerها از چنین معماری پشتیبانی نمی‌کنند؛ در نتیجه استفاده از این تکنیک، تجزیه و تحلیل بدافزار را برای محققان دشوار می‌سازد. همچنین تکنیک قدیمی Heaven’s Gate ممکن است به‌منظور دورزدن راه‌حل‌های امنیتی مانند دیواره‌های آتش و برنامه‌های آنتی‌ویروس نیز مورد استفاده قرار گیرد.
Heaven’s Gate در انواع مختلف بدافزارها از جمله کاونده‌های سکه مشاهده شده است؛ اما این اولین باری است که محققان کسپرسکی استفاده‌ی این تکنیک را در یک کمپین باج‌افزاری مشاهده کرده‌اند.
Sodin به عنوان یک باج‌افزار-به عنوان-یک-سرویس (RaaS) طراحی شده است؛ بدین معنی که اپراتورها می‌توانند روش گسترش را انتخاب کنند و به گفته‌ی محققان، این طرح به مهاجمان اجازه می‌دهد به توزیع باج‌افزار از طریق کانال‌ها ادامه دهند. این باج‌افزار در حال حاضر از طریق نرم‌افزار کارگزار آسیب‌پذیر به کارگزار آسیب‌پذیر و همچنین از طریق malvertising و ابزارگان سوءاستفاده به نقطه پایانی‌ها (endpoints) در حال گسترش است.

23 تیر 1398 برچسب‌ها: اخبار
اپلیکیشن جعلی اندرویدی (Updates for Samsung) با بیش از 30 هزار کاربر ایرانی

اپلیکیشن جعلی به‌روزرسانی #‫اندروید با عنوان #‫Updates_for_Samsung که از طریق فروشگاه گوگل پلی منتشر شده است تا به حال بیش از 10 میلیون تلفن همراه اندرویدی را آلوده کرده است. این اپلیکیشن در فروشگاه‌های اپلیکیشن ایرانی نیز منتشر شده و توسط حدود ۳۰ هزارنفر دریافت شده است. این اپلیکیشن هیچ ارتباطی با شرکت سامسونگ ندارد.

کاربران می‌توانند در این اپلیکیشن نسخه خاص Firmware خود را جستجو کنند و اپلیکیشن در ازای ارائه به‌روزرسانی مربوطه، درخواست پرداخت پول می‌کند.


محققی از گروه امنیتی CSIS، جزئیات این اپلیکیشن جعلی را منتشر کرده است و آن را به فروشگاه گوگل پلی گزارش داده است. در حال حاضر این اپلیکیشن از فروشگاه گوگل پلی حذف شده است. اطلاع رسانی جهت حذف این اپلیکیشن به فروشگاه‌های ایرانی نیز صورت گرفته است.

منبع:

https://medium.com/csis-techblog/updates-for-samsung-from-a-blog-to-an-android-advertisement-revenue-goldmine-of-10-000-000-166585e34ad0

https://gbhackers.com/androidfake-samsung-updates-app/

17 تیر 1398 برچسب‌ها: اخبار
هک شدن موتور جستجوی یاندکس یا گوگل روسی توسط هکرهای غربی با استفاده از نوعی نادر از بدافزار به نام Regin

هکرهای آژانس‌های جاسوسی غربی با استفاده از نوع نادری از بدافزار به نام #‫Regin، موتور جستجوی یاندکس را هک کرده‌اند تا بتوانند از کاربران این موتور جستجوی روسی جاسوسی کنند.
یاندکس یک موتور جستجوی روسی است که در زمینه محصولات اینترنتی و سرویس‌هایی از جمله تجارت، حمل و نقل، ناوبری، اپلیکیشن‌های کاربردی موبایل و تبلیغات آنلاین فعالیت می‌کند.
طبق گزارش رویترز، بدافزار Regin یکی از پیچیده‌ترین و نادرترین بدافزارهایی است که توسط “Five Eyes” یا اتحادیه اطلاعاتی کشورهای ایالات متحده، بریتانیا، استرالیا، نیوزیلند و کانادا استفاده می‌شود. هدف این حملات واحد تحقیق و توسعه یاندکس بوده و این حملات بیشتر به دلیل اهداف جاسوسی انجام شده و هیچ اختلال یا سرقت اطلاعات خاصی صورت نگرفته است.
به دلیل اینکه حملات توسط متخصصان امنیتی این موتور جستجو شناسایی نشد در نتیجه جهت انجام تحقیقات بیشتر از شرکت امنیتی کاسپر اسکای درخواست کمک شد که بعد از انجام تحقیقات مربوطه توسط این شرکت امنیتی، مشخص شد که هدف حمله گروهی از توسعه‌دهندگان داخلی یاندکس بوده است و مهاجمانی که این حملات را انجام داده‌اند، حداقل به مدت چند هفته و بدون شناسایی شدن دسترسی پایداری را به یاندکس داشته‌اند.
طبق گزارش رویترز، هکرها به دنبال اطلاعات فنی مربوط به چگونگی احراز هویت حساب‌های کاربری توسط یاندکس بوده‌اند. چنین اطلاعاتی می‌تواند به جعل حساب‌های کاربری یاندکس و دسترسی به پیام‌های خصوصی کاربران منجر شود.

لینک خبر:
https://gbhackers.com/russian-yandex-hacked-regin/

17 تیر 1398 برچسب‌ها: اخبار
آسیب‌پذیری‌های چندگانه اجرای کد در زیرساخت سرور Lenovo

محققان اخیراً چندین #‫آسیب‌پذیری را در زیرساخت‌های نرم‌افزاری #‫Lenovo کشف کرده‌اند. Lenovo یکی از شرکت‌های فناوری چند ملیتی است که کار فروش و توسعه رایانه‌های شخصی، تبلت‌ها، گوشی‌های هوشمند، سرورها و دستگاه‌های ذخیره‌سازی اطلاعات الکترونیکی را انجام می‌دهد.
شرکت امنیتی ایتالیایی Swascan که این آسیب‌پذیری‌ها را کشف کرده است، تابحال هیچ جزئیاتی از نرم‌افزار‌ها و محصولات تحت‌تاثیر این آسیب‌پذیری‌های Lenovo را منتشر نکرده است و تمام این آسیب‌پذیری‌های گزارش داده شده توسط تیم امنیتی Lenovo مورد ارزیابی قرار گرفته و همچنین رفع شده است.
در مجموع 9 آسیب‌پذیری شناسایی شده است که دو مورد آن بحرانی و هفت مورد آن در سطح متوسط طبقه‌بندی شده است.
مهاجمان می‌توانند از این آسیب‌پذیری‌ها برای اجرای کد دلخواه و خواندن اطلاعات حساس کاربران در سیستم استفاده کنند. این آسیب‌پذیری‌ها شامل محدودسازی نامناسب عملیات‌ها در محدوده بافرهای حافظه، دسترسی به مقدار یک آدرس اشاره‌گر تهی، اعتبارسنجی ورودی نامناسب، خنثی‌سازی و بیطرف کردن نامناسب عناصر خاص استفاده شده در خط فرمان سیستم‌عامل، احراز هویت نامناسب و آسیب‌پذیری use After Free می‌باشد.

لینک خبر:
https://gbhackers.com/lenovo-server-infrastructure/
و
https://latesthackingnews.com/2019/07/03/multiple-vulnerabilities-spotted-in-lenovo-server-infrastructure/

17 تیر 1398 برچسب‌ها: اخبار
رفع نقص‌های بحرانی در نرم‌افزار مديريت شبکه‌ی مرکز داده‌ی سيسکو

#‫سیسکو به مشتریان خود اعلام کرد که محصول #‫DCNM این شرکت، تحت تأثیر آسیب‌پذیری‌های متعددی قرار دارد که برخی از آن‌ها «بحرانی» و «شدت بالا» طبقه‌بندی شده‌اند.
DCNM، سیستم مدیریت شبکه برای تمام سیستم‌های NX-OS است که از سخت‌افزار Nexus سیسکو در مراکز داده استفاده می‌کنند. این نرم‌افزار برای خودکارسازی ارائه، عیب‌یابی و شناسایی خطاهای پیکربندی استفاده می‌شود. به عبارت دیگر، این نرم‌افزار، یک بخش مهم نرم‌افزاری برای سازمان‌هایی است که از سوئیچ‌های Nexus استفاده می‌کنند.
طبق گفته‌ی سیسکو، رابط کاربری مبتنی بر وب مرکز پیکربندی مدیریت شبکه‌ی داده، تحت تأثیر دو حفره‌ی امنیتی بحرانی قرار دارند. یکی از آن‌ها که با شناسه‌ی "CVE-2019-1620" ردیابی می‌شود، به یک مهاجم ناشناخته‌ی از راه دور، اجازه‌ی بارگذاری فایل‌های دلخواه به یک وب سرولت (servlet) در دستگاه آسیب‌دیده و اجرای کد با امتیازات ریشه می‌دهد. یک وب سرولت، کلاسی است که به یک نوع خاص از درخواست شبکه (عموماً درخواست HTTP) پاسخ می‌دهد.
نسخه‌های نرم‌افزار DCNM قبل از (1)11.2 تحت تأثیر این آسیب‌پذیری قرار گرفتند. سیسکو اعلام کرد که وب سرولت تحت تأثیر قرارگرفته را در نسخه‌ی (1)11.2 حذف کرده است.
نقص مهم دوم با شناسه‌ی "CVE-2019-1619"، می‌تواند توسط یک مهاجم از راه دور مورد سوءاستفاده قرار گیرد تا احراز هویت را دور بزند و فعالیت‌های دلخواه ازجمله به‌دست آوردن یک جلسه‌ی کوکی معتبر را بدون داشتن نام کاربری و گذرواژه‌ی مدیر‌، مدیریت کند.
بهره‌برداری از این آسیب‌پذیری شامل ارسال یک درخواست HTTP به‌طور خاص ساخته‌شده به دستگاه آسیب‌دیده برای به‌دست آوردن جلسه‌ی کوکی است. پس از آن، مهاجمان می‌توانند بدون داشتن امتیازات مدیریتی، کنترل دستگاه را به دست آورند.
این نقص به دلیل مدیریت نامناسب جلسات در نسخه‌های قبل از (1)11.1 در نرم‌افزار DCNM وجود دارد. به‌گفته‌ی سیسکو، وب سرولت تحت تأثیر قرارگرفته به‌طور کامل از نسخه‌ی (1)11.1 حذف شده است و از کاربران خواسته شده است تا نرم‌افزار خود را به این نسخه ارتقا دهند.
آسیب‌پذیری جدی دیگر در DCNM، "CVE-2019-1621" است که به یک مهاجم از راه دور اجازه‌ی دسترسی به فایل‌های حساس و دانلود آن‌ها را می‌دهد. برای راه‌اندازی این حمله، نیاز به درخواست URL خاص، بدون احراز هویت است.
سیسکو همچنین اعلام کرد که DCNM تحت تأثیر یک مسئله‌ی افشای اطلاعات است که می‌تواند از راه دور و بدون احراز هویت برای دریافت فایل‌های ورودی و اطلاعات تشخیصی از دستگاه هدف مورد استفاده قرار گیرد. این حفره‌ی امنیتی با شناسه‌ی "CVE-2019-1622" دارای رتبه‌ی شدت متوسط است.
هنوز هیچ گزارشی مبنی بر سوءاستفاده‌ی گسترده از این آسیب‌پذیری‌ها منتشر نشده است و سه نقص مهم DCNM با به‌روزرسانی نرم‌افزارها برطرف شدند، اما به نظر می‌رسد که هیچ وصله یا راه‌حلی برای مسئله‌ی دارای شدت متوسط وجود ندارد.

17 تیر 1398 برچسب‌ها: اخبار
اطلاعیه مرکز ماهر درخصوص مشکلات پیش‌آمده برای محصولات UTM سوفوس و سایبروم

از اوایل سال جاری، شماری از تجهیزات #‫UTM نام‌های تجاری #‫سوفوس و #‫سایبروم مورد استفاده در کشور به دلیل اعمال تحریم شرکت مادر (سوفوس) دچار مشکلاتی نظیر انقضای مجوز و محدودیت در خدمات شده‌اند. این موضوع و راه‌هکارهای برخورد با آن طی جلساتی با شرکت‌های وارد کننده و خدمات‌دهنده‌ی عمده‌ی این محصولات مورد بررسی قرار گرفت. لذا سازمان‌ها و شرکت‌های مصرف کننده‌ی این تجهیزات توجه‌ داشته باشند که این موضوع سراسری بوده و بهره‌برداران مختلف را تحت تاثیر قرار داده است. بنابراین توصیه می‌گردد حداکثر همکاری بین شرکت‌های تامین‌کننده و مصرف کننده جهت اتخاذ راهکارهای جایگزین صورت پذیرد.

12 تیر 1398 برچسب‌ها: اخبار
رفع دو آسيب‌‌پذيری روز صفرم موزيلا

#‫موزیلا درروزهای پایانی ماه ژوئن سال 2019 و به فاصله‌ی دو روز، دو به‌روزرسانی امنیتی جهت رفع دو #‫آسیب‌پذیری روز صفرم بحرانی منتشر ساخته است. این آسیب‌پذیری‌ها به همراه یکدیگر کار می‌کنند و به طور گسترده‌ای در حمله به کارکنان Coinbase و سایر سازمان‌های رمزنگاری، مورد سوءاستفاده قرار گرفته‌اند.
اولین آسیب‌پذیری روز صفرم موزیلا، یک آسیب‌پذیری سردرگمی نوع (type confusion) است و زمانی رخ می‌دهد که اشیای JavaScript به دلیل اشکالاتی در Array.pop، دستکاری شوند. سوءاستفاده از این آسیب‌پذیری به مهاجمان راه دور اجازه می‌دهد کد مخرب را درون فرایند بومی فایرفاکس اجرا کنند؛ اما پس از آن نیاز دارند جعبه‌شنی را دور بزنند. این آسیب‌پذیری، علاوه بر اجرای کد دلخواه، به احتمال زیاد برای اسکریپت‌نویسی متقابل جهانی (UXSS) نیز می‌تواند مورد سوءاستفاده قرار گیرد؛ اما به هدف مهاجم بستگی دارد. این نقص (CVE-2019-11707)، در روز پانزدهم ماه آوریل سال 2019، توسط یک محقق Google Project Zero کشف و به موزیلا گزارش شد. موزیلا پس از گزارش تیم امنیتی Coinbase مبنی بر حملات سوءاستفاده از این آسیب‌پذیری به همراه دومین آسیب‌پذیری روز صفرم (CVE-2019-11708)، با انتشار Firefox 67.0.3 و Firefox ESR 60.7.1، اولین آسیب‌پذیری روز صفرم را وصله کرد.
دومین آسیب‌پذیری روز صفرم که موزیلا آن را با عنوان «دوزدن جعبه‌شنی» توصیف می‌کند، به عاملین مخرب اجازه می‌دهد فرایندهای حفاظت‌شده‌ی Firefox را دور بزنند و کد دلخواه را اجرا کنند. موزیلا دومین آسیب‌پذیری روزصفرم را دو روز پس از رفع اولین آسیب‌پذیری روز صفرم، با انتشار نسخه‌‌های Firefox 67.0.4 و Firefox ESR 60.7.2، وصله ساخت. این نسخه‌ها در حال حاضر از طریق مکانیزم به‌روزرسانی داخلی برای کاربران موزیلا در دسترس هستند.
این دو آسیب‌پذیری روز صفرم، توسط گروه هک ناشناخته‌ای استفاده شده‌اند تا کارمندان Coinbase را آلوده سازند. کارمندان Coinbase رایانامه‌های فیشینگ حاوی لینک‌هایی به سایت‌های مخرب را دریافت می‌کنند. اگر بر روی این لینک‌ها کلیک و از سایت بازدید کنند (در صورت استفاده از موزیلا)، آن صفحه‌ی سایت، یک سارق اطلاعاتی را در سیستم‌هایشان دانلود و اجرا می‌کند. سارق اطلاعاتی می‌تواند گذرواژه‌ها یا دیگر اطلاعات این مرورگر را جمع‌آوری و استخراج کند.
این حملات برای هر دو کاربران سیستم‌عامل‌های مک و ویندوز طراحی شده‌اند. برای هر سیستم‌‌عامل، جریان‌های بدافزاری متفاوتی ارایه شده است. این حملات، هفته‌ها، پیش از آنکه تشخیص داده شوند، جریان داشتند. به گفته‌ی Coinbase، این حملات تنها محدود به کارمندان آن نبوده‌اند و سازمان‌های رمزنگاری دیگر را نیز هدف قرار داده‌اند.
موزیلا هر دوی این آسیب‌پذیری‌ها را در سرویس‌گیرنده‌ی رایانامه‌ی Thunderbird، با انتشار Thunderbird 60.7.2، برطرف ساخته است.
پیش‌بینی می‌شود در روزهای آینده رفع دومین آسیب‌پذیری روز صفرم برای مرورگر Tor نیز منتشر شود. در حال حاضر، تیم مرورگر Tor با به‌روزرسانی به نسخه‌ی 8.5.2، فقط اولین آسیب‌پذیری روزصفرم را برطرف ساخته است.
از آنجاییکه این آسیب‌پذیری به طور گسترده‌ای مورد سوءاستفاده قرار گرفته اند، یک آسیب‌پذیری جدی برای کاربران مرورگر موزیلا محصسوب می‌شود و کابران باید مطمئن شوند سیستم‌هایشان به آخرین نسخه‌های Firefox و Thunderbird، به‌روزرسانی شده‌اند.

9 تیر 1398 برچسب‌ها: اخبار
صفحات: 1 2 3 4 5 ... » »»