ID: IRCNE2013101998
Date: 2013-10-27

According to "computerworld", the PHP Group will reset the passwords for accounts on php.net, the official website of the PHP programming language, and will change the site's SSL certificate after attackers compromised two servers and injected malicious code into the website.
The security breach was confirmed Thursday after earlier in the day the Google Safe Browsing service blacklisted the site for distributing malware ,which caused Mozilla Firefox and Google Chrome to block users from visiting it.
The PHP Group initially thought the warnings were the result of a false positive detection, but a more thorough investigation revealed that attackers managed to inject malicious JavaScript code into one of the site's files called userprefs.js. That code executed exploits from a third-party website that, if successful, installed a piece of malware on visitors' computers.
The PHP Group's investigation, which is still in progress, revealed that the compromise extended to two servers: the server that hosted the www.php.net, static.php.net and git.php.net domains and the server that hosted bugs.php.net, the project's bug tracking system.
There is no evidence that the PHP distribution packages or the Git repository used for source code management have been compromised.
Php.net users who contribute to different projects hosted on svn.php.net or git.php.net will have their passwords reset, the PHP Group said.
In addition, the SSL certificate used on several php.net websites has been revoked, because it's possible that attackers might have gained access to the certificate's private key.
"We are in the process of getting a new certificate, and expect to restore access to php.net sites that require SSL (including bugs.php.net and wiki.php.net) in the next few hours," the PHP Group said.
Users who visited the affected php.net websites between Oct. 22 and Oct. 24 should scan their computers for malware.

Related Link:
Google blacklist blocking php.net

شماره: IRCNE2013101997
تاريخ:04/08/92

روز چهارشنبه شركت سيسكو براي برخي از محصولات خود به روز رساني امنيتي منتشر نمود تا چندين آسيب پذيري اجراي دستور دلخواه و انكار سرويس را در اين محصولات برطرف نمايد.
اين شركت نسخه جديد نرم افزار Cisco IOS XR را منتشر كرده است تا مساله اي در رابطه با مديريت بسته هاي قطعه قطعه شده را برطرف نمايد. اين مساله مي تواند براي حملات انكار سرويس بر روي كارت هاي Cisco CRS Route Processor مورد سوء استفاده قرار بگيرد. انواع كارت هاي آسيب پذير و نسخه هاي اصلاح شده نرم افزار در راهنمايي امنيتي سيسكو در دسترس مي باشد.
هم چنين شركت سيسكو اصلاحيه هاي امنيتي براي Cisco Identity Services Engine منتشر كرده است. ISE يك پلت فرم مديريت خط مشي براي ارتباطات سيميف بي سيم و VPN مي باشد. اين اصلاحيه، آسيب پذيري را برطرف مي نمايد كه مي تواند توسط مهاجمان راه دور احراز هويت شده براي اجراي دستورات دلخواه بر روي سيستم عامل مورد سوء استفاده قرار بگيرد، هم چنين آسيب پذيري ديگري را برطرف مي نمايد كه مي تواند به مهاجم اجازه دهد تا سيستم احراز هويت را دور زند و پيكربندي محصولات يا ساير اطلاعات حساس مانند اعتبارنامه هاي مديريتي را دانلود نمايد.
اين شركت اصلاحيه هايي براي برطرف نمودن آسيب پذيري موجود در Apache Struts را منتشر كرده است. Apache Struts يك چارچوب كاري منبع باز است كه براي برنامه هاي كاربردي وب مبتني بر جاوا به كار برده مي شود.
شركت سيسكو در راهنمايي امنيتي خود آورده است كه تاثير اين آسيب پذيري بر محصولات سيسكو به محصول آسيب پذيري وابسته است. سوء استفاده موفقيت آميز بر روي Cisco ISE، Cisco Unified SIP Proxy و Cisco Business Edition 3000 مي تواند باعث اجراي دستورات دلخواه بر روي سيستم آلوده شود.
اين شركت اضافه كرد كه براي اجراي حملات بر روي Cisco ISE و Cisco Unified SIP Proxy نياز به احراز هويت نمي باشد اما سوء استفاده موفقيت آميز از اين آسيب پذيري بر روي Cisco Business Edition 3000 مستلزم آن است كه مهاجم اعتبارنامه هاي معتبر داشته باشد يا كاربر را با اعتبارنامه هاي معتبر فريب دهد تا يك آدرس URL مخرب را اجرا نمايد.
در راهنمايي امنيتي اين شركت آمده است كه سوء استفاده موفقيت آميز از آسيب پذيري بر روي Cisco MXE 3500 Series مي تواند به مهاجم اجازه دهد تا كاربر را به سمت وب سايت مخرب هدايت نمايد.با اين حال اجراي دستور دلخواه بر روي اين محصول امكان پذير نيست.

شماره: IRCNE2013101996
تاريخ: 04/08/92

API مرور امن گوگل، كه يك سرويس ليست سياه امنيتي است كه در مورد وب‌سايت‌هاي مشكوك هشدار مي‌دهد، سايت php.net را در فهرست سايت‌هاي مشكوك قرار داده است. در نتيجه كاربران كروم و فايرفاكس كه مي‌خواهند اين سايت را مشاهده نمايند، يك هشدار ترسناك را دريافت مي‌كنند.
PHP يك زبان اسكريپت نويسي سمت سرور بسيار مشهور است و PHP.net صفحه خانگي آن به شمار مي‌رود. بنيان گذار PHP (راسموس لردورف) ادعا كرده است كه اين يك تشخيص اشتباه بوده است.
جزئيات ارائه شده توسط گوگل شامل اطلاعات ذيل مي‌باشد:
از 1613 صفحه تست شده اين سايت در 90 روز گذشته، 4 صفحه مشكوك به دانلود و نصب نرم‌افزار مخرب بدون رضايت كاربر بوده‌اند. آخرين تاريخ مشاهده اين سايت توسط گوگل 24 اكتبر بوده است و آخرين محتواي مشكوك در روز 23 اكتبر بر روي اين سايت يافت شده است.
نرم‌افزار خرابكار حاوي 4 تروجان بوده است.
نرم‌افزار خرابكار بر روي 4 دامنه شامل cobbcountybankruptcylawyer.com/، stephaniemari.com/ و northgadui.com ميزباني شده است
به نظر مي‌رسد كه 3 دامنه شامل stephaniemari.com/، northgadui.com/ و satnavreviewed.co.uk/ به عنوان واسطه براي انتشار بدافزار در ميان بازديدكنندگان اين سايت كار مي‌كنند.
تحليل‌هاي Netcraft به اين نكته اشاره كرده است كه ممكن است PHP.net مورد سوء استفاده قرار گرفته باشد. و فايل‌هاي مخرب مزبور از PHP حذف شده‌اند.

شماره: IRCNE2013101995
تاريخ: 04/08/92

ادوب با عرضه نسخه‌هاي محافظت شده فلش پلير براي كروم، IE و فايرفاكس، اعلام كرده است كه فلش پلير در Apple Safari اجرا شده بر روي سيستم‌هاي OS X 10.9 Maverick، در Sandbox اجرا خواهد شد.
به‌طور خاص ادوب يك پروفايل sandbox براي پلاگين فلش ايجاد كرده است و در آن پروژه Webkit را قرار داده است. Webkit موتور مرورگر مورد استفاده در Safari است.
پروفايل sandbox به Safari/Webkit مي‌گويد كه قابليت پلاگين براي خواندن و نوشتن فايل‌ها را به موارد خاصي محدود نمايد. هدف sandbox ي مانند اين مورد، اين است كه خسارتي را كه يك مهاجم مي‌تواند درصورت در اختيار گرفتن كنترل فلش از طريق آسيب‌پذيري ايجاد كند، محدود نمايد. sandbox بايد از حمله مهاجم به برنامه‌هاي ديگر يا ايجاد يك آلودگي پايدار و مقاوم جلوگيري كند.
ادوب همچنين نسخه‌هاي اصلي Reader و Acrobat را نيز sandbox كرده است. اين برنامه‌ها به عنوان اهداف اصلي حملات خرابكارانه بر روي وب بوده‌اند، ولي سال‌ها كار امنيتي بر روي آنها، مهاجمان را تحريك به يافتن اهداف ديگري كرده است.

ID: IRCNE2013101997
Date: 2013-10-26

According to "cnet", Cisco Systems released software security updates Wednesday to address denial-of-service and arbitrary command execution vulnerabilities in several products.
The company released new versions of Cisco IOS XR Software to fix an issue with handling fragmented packets that can be exploited to trigger a denial-of-service condition on various Cisco CRS Route Processor cards. The affected cards and the patched software versions available for them are listed in a Cisco advisory.
The company also released security updates for Cisco Identity Services Engine (ISE), a security policy management platform for wired, wireless, and VPN connections. The updates fix a vulnerability that could be exploited by authenticated remote attackers to execute arbitrary commands on the underlying operating system and a separate vulnerability that could allow attackers to bypass authentication and download the product's configuration or other sensitive information, including administrative credentials.
Cisco also released updates that fix a known Apache Struts vulnerability in several of its products, including ISE. Apache Struts is a popular open-source framework for developing Java-based Web applications.
"The impact of this vulnerability on Cisco products varies depending on the affected product," Cisco said in an advisory. "Successful exploitation on Cisco ISE, Cisco Unified SIP Proxy, and Cisco Business Edition 3000 could result in an arbitrary command executed on the affected system."
No authentication is needed to execute the attack on Cisco ISE and Cisco Unified SIP Proxy, but the flaw's successful exploitation on Cisco Business Edition 3000 requires the attacker to have valid credentials or trick a user with valid credentials into executing a malicious URL, the company said.
"Successful exploitation on the Cisco MXE 3500 Series could allow the attacker to redirect the user to a different and possibly malicious website, however arbitrary command execution is not possible on this product," Cisco said.

ID: IRCNE2013101996
Date: 2013-10-26

According to “ZDNet”, Google's safe browsing API, a security blacklist service which warns of malicious web sites, has marked the php.net site as malicious. As a result, users of Google Chrome and Mozilla Firefox get a dire warning when attempting to visit the site.
PHP is an extremely popular web server-side scripting language and PHP.net is the home page for it. PHP creator Rasmus Lerdorf tweeted several hours ago about the blockage and claimed it was a false positive.
The detail provided by Google includes the following information:
Of the 1613 pages we tested on the site over the past 90 days, 4 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2013-10-24, and the last time suspicious content was found on this site was on 2013-10-23.
Malicious software includes 4 trojan(s).
Malicious software is hosted on 4 domain(s), including cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.
3 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.
The Netcraft analysis points to a Hacker News analysis which indicates that PHP.net may, in fact, have been compromised. And the file they cite as malicious has since been removed from the PHP repository.

According to “ZDNet”, Having released protected versions of Flash Player for Google Chrome, Microsoft Internet Explorer and Mozilla Firefox, Adobe has announced that Flash Player will be sandboxed on Apple Safari when run on OS X 10.9 Mavericks.
Specifically, Adobe has created a sandbox profile for the Flash plugin and included it in the Webkit project. Webkit is the browser engine used in Safari.
The sandbox profile tells Safari/Webkit to limit the ability of the plugin to read or write files to only the specified items. The goal of a sandbox such as this is to limit the damage that an attacker can do if he takes control of Flash through a vulnerability. The sandbox should prevent attackers from attacking other programs or creating a persistent infection.
Adobe has also sandboxed the major versions of their Reader program and Acrobat. These programs used to be leading targets for malicious attack on the web, but years of security work on them have induced attackers to look elsewhere.

شماره:IRCNE2013101994
تاريخ: 92/07/29

يك مرد معروف هنگ كنگي شركت امنيتي Trustwave را استخدام كرد تا متوجه شود آيا هيچ كدام از زيردستانش مي توانند به كلمات عبور وي دست يابند يا خير. كارشناسان امنيتي مذكور توانستند به راحتي و با استفاده از فيس بوك نشان دهند كه كلمات عبور وي به راحتي قابل دسترسي است.
آنها با استفاده از جستجو در عكس هاي فيس بوك توانستند پروفايل همسر سابق اين فرد را شناسايي كرده و با فريب وي از طريق ايميل به رايانه وي دسترسي پيدا كنند. اين رايانه قبلاً توسط شخص معروف مورد استفاده قرار گرفته بود و در نتيجه عمليات هك كردن وي بسيار راحت تر از آن چيزي كه تصور مي شد به انجام رسيد.
نكته مهم در اينجا اين است كه كارشناسان امنيتي از يك اسكريپت خودكار كه از جستجوي گراف استفاده مي كند براي جستجو در تصاوير فيس بوك استفاده كردند. با استفاده از اين اسكريپت آنها توانستند به سرعت تصاوير افرادي را كه با فرد مذكور در يك عكس تگ خورده بودند، پيدا كرده و به پروفايل همسر سابق وي برسند.
اين كارشناسان امنيتي توصيه مي كنند بهتر است مردم از اين به بعد در مورد تگ كردن عكس دوستان و آشنايان در تصاوير فيس بوك بيشتر احتياط كنند.

شماره: IRCNE2013101993
تاريخ:29/07/92

شركت VMwareهشدار مي دهد كه محصولات مجازي سازي و مديريت ابر آن آسيب پذيري هايي دارد كه براي مشترياني كه از ESX، ESXi و پلت فرم مديريتي vCenter Server Appliance و vSphere Update Manager استفاده مي كنند، مي توانند منجر به انكار سرويس شود.
مهاجم بايد به منظور سوء استفاده از اين آسيب پذيري، ترافيك مديريتي را رهگيري كرده و تغيير دهد. اگر مهاجم موفق به انجام اين كار شود، مي تواند كنترل hostd-VMDBs را در اختيار بگيرد و در نتيجه منجر به ايجاد انكار سرويس مي شود.
شركت VMware اصلاحيه هايي را منتشر كرده است كه اين آسيب پذيري ها را برطرف مي نمايند. اطلاعات بيشتر در خصوص اين آسيب پذيري ها و لينك دانلود اصلاحيه هاي مربوط در اين سايت آمده است.
اين آسيب پذيري ها در vCenter 5.0 براي نسخه هاي پيش از به روز رساني 3، ESX نسخه هاي 4.0، 4.1 و 5.0 و ESXi نسخه هاي 4.0 و 4.1 وجود دارد.
هم چنين كاربران با اجراي مولفه هاي vSphere بر روي شبكه مديريتي مجزا به گونه اي كه اطمينان حاصل شود كه ترافيك رهگيري نمي شود، مي توانند احتمال سوء استفاده از اين آسيب پذيري ها را كاهش دهند.

شماره: IRCNE2013101992
تاريخ: 29/07/92

اپل براي چندمين بار تأكيد كرد كه نمي‌تواند پيغام‌هاي iMessage كاربران را بخواند. اما تحقيقات اخير نشان مي‌دهد كه اين كار به لحاظ تئوري امكان‌پذير است.
شركت امنيتي QuarksLab هفته گذشته مقاله‌اي منتشر كرد كه در آن به توضيح روشي براي دسترسي هكرها يا خود اپل به iMessage ها پرداخته بود. اين مقاله توضيح مي‌دهد كه اپل مي‌تواند به پيغام‌هاي رد و بدل شده بين فرستنده و گيرنده دسترسي پيدا كند و در عين حال طوري وانمود كند كه اين ارتباط امن است. البته اپل براي انجام اين كار بايد رمزنگاري بين ارتباطات را قطع نمايد و روش كار iMessage را تغيير دهد.
در ماه ژوئن اپل پس از بحث‌هاي مرتبط با آژانس امنيت ملي آمريكا، مطلبي در مورد حريم خصوصي كاربران در سايت خود منتشر كرد. اين شركت در آن زمان تأكيد كرد كه پيغام‌هاي iMessage كاملاً امن نگهداري مي‌شوند.
اپل در ماه ژوئن نوشت كه «مكالماتي كه بر روي iMessage و FaceTime اتفاق مي‌افتند به‌صورت انتها به انتها رمزگذاري مي‌شوند، بنابراين هيچ‌كس به جز فرستنده و گيرنده نمي‌تواند آنها را بخواند. اين شركت نمي‌تواند اين داده‌ها را رمزگشايي كند. همچنين داده‌هاي مرتبط با موقعيت كاربر، جستجوهاي نقشه و درخواست‌هاي Siri در هيچ فرم قابل شناسايي ذخيره نمي‌شوند».
سخنگوي اپل در واكنش به اظهارات اخير شركت QuarksLab اظهار داشت كه اپل براي دسترسي به iMessage ها بايد مسير بسيار طولاني و پيچيده‌اي را طي كند و اساساً اين شركت تمايلي به انجام اين كار ندارد.
وي تأكيد كرد كه تحقيقات شركت مزبور به لحاظ تئوري در مورد آسيب‌پذيري‌هايي بحث كرده بود كه اپل براي سوء استفاده از آنها بايد سيستم iMessage را مجدداً مهندسي نمايد و اپل هيچ برنامه يا دليلي براي اين كار ندارد.