فا

‫ اخبار

صفحات: «« « ... 433 434 435 436 437
نتایج جستجو براساس برچسب: "اخبار"
نقص امنيتي در طراحي OpenSSH

شماره: IRCNE200905199

يك گروه تحقيقاتي بخش امنيت اطلاعات دانشگاه لندن (ISG)، نقصي را در پروتوكل محبوب Open Secure Shell (OpenSSH) فاش كرده اند. بنا بر اظهارات پروفسور Keny Patterson رئيس گروه ISG، نقص امنيتي افشا شده مهمتر از همه آسيب پذيري هاي قبلي در OpenSSH است، زيرا نقصهاي قبلي اكثراً مربوط به خطاهاي برنامه نويسي بوده اند، در حالي كه نقص مذكور يك اشكال در طراحي است. وي اضافه مي كند كه اين آسيب پذيري در نسخه 4.7 OpenSSH وجود دارد و بر Debian/GNU Linux اثر مي گذارد. اين نقص امنيتي به مهاجم اجازه مي دهد كه يك متن رمزگذاري شده 32 بيتي را به متن متناظرش ترجمه كند. در اين حمله شانس موفقيت مهاجم يك در 262144 است.

بنا بر اظهارات Patterson، يك مهاجم كه بين سرور و كاربر قرار گرفته است مي تواند بلوكهاي رمزگذاري شده را كه كاربر براي سرور ارسال مي كند، سرقت كرده و با ارسال دوباره آنها براي سرور اولين چهار بايت متن متناظر را حل كند. فرد مهاجم اين كار را از طريق شمردن تعداد بايتهايي كه قبل از توليد پيغام خطا و قطع شدن ارتباط، براي سرور ارسال مي كند، انجام مي دهد. سپس با عقبگرد كردن سعي در پيدا كردن فيلد OpenSSH قبل از رمزنگاري دارد.

وي ادامه مي دهد كه حمله مذكور با استفاده از نقصهايي كه در استانداردهاي اينترنتي (RFC (Request For Comments)) كه SSH را تعريف مي كنند، رخ مي دهد.

آسيب پذيري مذكور اولين بار توسط مركز محافظت از زيرساختهاي ملي انگليس شناسايي و در نوامبر 2008 اعلام عمومي شد، ولي جزئياتي در مورد آن انتشار نيافت. بنابر راهنمايي امنيتي مركز مزبور، خطر نقص امنيتي OpenSSH در صورت استفاده از AES (Advanced Encryption Standard ) در حالت CTR (Counter Mode) براي رمزنگاري به جاي حالت CBC يا (Cipher-Block Chaining) كاهش مي يابد.

آقاي Patterson مي گويد كه گروهش با توسعه دهندگان OpenSSH براي كاهش نقص امنيتي مذكور كار كرده اند و در حال حاضر در نسخه 5.2 اين پروتكل اقدامات تقابلي انجام شده است ولي استاندارد مربوطه هنوز تغييري نيافته است.

به نظر آقاي Patterson نقص امنيتي مذكور هنوز توسط افراد خرابكار مورد سوءاستفاده قرار نگرفته است و از طرفي استنتاج يك پيغام با طول متداول چندين روز به طول مي انجامد. به علاوه فروشندگان خصوصي SSH از مدتها قبل در جريان اين نقص قرار گرفته بودند و در حال حاضر اقدامات تدافعي لازم را در كدهايشان انجام داده اند.

1 آذر 1387 برچسب‌ها: اخبار
هشدار به كاربران ويندوز 7 و ويندوز سرور 2008

شماره: IRCNE201005748

مايكروسافت در راهنمايي امنيتي كه ديروز 28 ارديبهشت ماه منتشر كرده است در مورد يك آسيب پذيري خطرناك در ويندوز 7 كه مي تواند منجر به حملات انكار سرويس و اجراي كد از راه دور شود، هشدار داد.

اين آسيب پذيري كه تنها بر روي ويندوز 7 و ويندوز سرور 2008 R2 تأثير دارد، به تفصيل در راهنمايي امنيتي مايكروسافت مورد بحث قرار گرفته است. شركت مزبور اعلام كرده است تا به حال گزارشي را مبني بر سوءاستفاده و يا حمله از طريق آسيب پذيري مذكور دريافت نكرده است.

آسيب پذيري مذكور در Canonical Display Driver (cdd.dll) قرار دارد كه توسط desktop براي تركيب Windows Graphics Device Interface(GDI) و DirectX به كار گرفته مي شود.

بنا بر گفته مايكروسافت در برخي سناريو هاي حمله، مهاجمي كه بتواند يك سوءاستفاده موفق از آسيب پذيري مذكور داشته باشد مي تواند مانع از پاسخگويي سيستم قرباني شده و باعث شود به صورت اتوماتيك راه اندازي مجدد شود.

مايكروسافت در حال آماده كردن يك اصلاحيه براي اين آسيب پذيري است و به محض آماده شدن آن را منتشر خواهد كرد. كاربران ويندوز 7 و ويندوز سرور 2008 لازم است تا قبل از آماده شدن اصلاحيه Windows Aero Theme را در سيستم عامل خود غير فعال سازند تا از حمله هاي احتمالي جلوگيري كنند.

براي غير فعال سازي Windows Aero با تغيير Theme ، گام هاي زير را اجرا كنيد:
1- دكمه start را كليك كنيد، control panel را انتخاب كرده و بر روي Appearance and personalization كليك كنيد.
2- در بخش personalization بر روي Change the Theme كليك كنيد.
3- تا آخر ليست پايين آمده و يكي از theme هاي Basic and High Contrast را انتخاب كنيد.

1 آذر 1387 برچسب‌ها: اخبار
به روز رساني امنيتي فايرفاكس 3.0.12

شماره: IRCNE200907292

شركت موزيلا ديروز سه شنبه 30 تير ماه يك به روز رساني را براي مرورگر فايرفاكس منتشر ساخت. در فايرفاكس 3.0.12 پنج آسيب پذيري امنيتي بسيار مهم اصلاح شده اند.

موزيلا در وب سايتش نوشته است:

"ما مصرانه از تمام كاربران فايرفاكس 3.0.x مي خواهيم آخرين نسخه اين مرورگر را دريافت كنند. در صورتي كه شما در حال حاضر فايرفاكس 3.0 را داريد يك يادآوري در مورد به روز رساني امنيتي را بين 24 تا 48 ساعت آينده دريافت خواهيد كرد. اين به روز رساني امنيتي همچنين مي تواند به صورت دستي و از طريق گزينه check for updates در منوي help دريافت گردد."

بنا بر اطلاعات ارائه شده در راهنمايي امنيتي موزيلا در نسخه 3.0.12 پنج حفره امنيتي مهم و يك آسيب پذيري امنيتي سطح بالا برطرف شده است.

موزيلا در تلاش است تا كاربران را به سمت فايرفاكس 3.5 هدايت كند كه در آن برنامه هاي جاوااسكريپت سريعتر اجرا مي شوند، امكانات حريم خصوصي در آن جديدتر است و چندين فناوري در آن مجتمع شده اند تا از برنامه هاي تحت وب قويتري پشتيباني كنند.

قابل ذكر است كه پشتيباني هاي امنيتي و پايداري براي سري 3.0 مرورگر فايرفاكس تنها تا آخر ژانويه 2010 ادامه دارد.

1 آذر 1387 برچسب‌ها: اخبار
صفحات: «« « ... 433 434 435 436 437