ID: IRCNE2013091968
Date: 2013-09-28

According to "zdnet", Microsoft has released a fixed version of an earlier update to Outlook 2013 that had been pulled from distribution.
The update was released originally as part of September's Patch Tuesday updates. But within a few days Microsoft acknowledged problems caused by the update and pulled it from their distribution systems.
The update affects only Outlook 2013 and is not a security update. According to Microsoft, it contains "stability and performance improvements."

شماره: IRCNE2013091967
تاريخ:02/07/92

نسخه جديد چارچوب كاري آپاچي روز جمعه منتشر شد. در اين نسخه دو مشكل كه باعث نگراني توسعه دهندگان بود، برطرف شده است.
Apache Strutsيك چار چوب كاري منبع باز محبوب براي توسعه دهندگان برنامه هاي كاربري وب مبتني بر جاوا مي باشد و توسط بنياد نرم افزار آپاچي نگهداري مي شود. در نسخه تازه منتشر شده آپاچي مسائلي برطرف شده است كه نويسندگان نرم افزار آن ها را به عنوان مشكلات مهم برچسب گذاري كرده بودند.
مكانيزم Dynamic Method Invocation كه به احتمال زياد داراي آسيب پذيري هاي امنيتي مي باشد در نسخه جديد آپاچي به طور پيش فرض غيرفعال شده است. اين ويژگي در نسخه هاي پيشين فعال بوده است اما كاربران توصيه كرده اند كه در صورت امكان غيرفعال شود.
با وجود اين تغيير، نويسندگاني كه برنامه هاي كاربردي را نگهداري مي كنند كه مبتي بر DMI مي باشند در صورتي كه آپاچي را به نسخه 2.3.15.2 ارتقاء دهند، ممكن است لازم باشد كه برنامه ها را دوباره بسازند.
هم چنين در اين نسخه مساله اي در ارتباط با پيشوند "action:" برطرف شده است كه مي توانست در فرم ها براي الصاق اطلاعات به دكمه ها مورد استفاده قرار بگيرد. اين مساله در Struts نسخه 2 مي تواند تحت شرايط خاصي براي دور زدن محدوديت هاي امنيتي مورد سوء استفاده قرار بگيرد.
ماه گذشته، محققان شركت امنيتي ترند ميكرو هشدار دادند كه مهاجماني از چين در حال استفاده از يك كد سوء استفاده در برابر آسيب پذيري هاي Struts مي باشند.

ID: IRCNE2013091967
Date: 2013-09-24

According to "computerworld", a new version of the Apache Struts development framework released Friday fixes two problems that had developers worried.
Apache Struts is a popular open-source framework for developing Java-based Web applications and is maintained by the Apache Software Foundation. The newly released Struts 2.3.15.2 fixes issues that the software's developers had flagged as important.
A mechanism called the Dynamic Method Invocation (DMI) that's known to be a source of possible security vulnerabilities is disabled by default in the new Struts version.
The feature was enabled in previous versions, but users were advised to switch it off if possible.
As a result of this latest change, developers who maintain applications that rely heavily on DMI might need to refactor them if they upgrade to Struts version 2.3.15.2.
The new release also addresses an issue with the "action:" prefix of the action mapping mechanism that can be used to attach navigation information to buttons within forms.
"In Struts 2 before 2.3.15.2, under certain conditions this can be used to bypass security constraints," the Struts developers said in a security advisory.
Last month, researchers from security vendor Trend Micro warned that attackers from China are using an automated tool to exploit known Struts vulnerabilities to break into servers that host applications developed with the framework.

شماره: IRCNE2013091966
تاريخ: 29/06/92

شركت مايكروسافت اعلام كرد كه يك مشكل در رابطه با اصلاحيه هاي دهم سپتامبر وجود دارد. اين مشكل مربوط به اصلاحيه اي است كه مشكلات موجود در Office 2010 Starter Edition را برطرف مي نمايد.
گروه آفيس مايكروسافت روز چهارشنبه در وبلاگ شركت اظهار داشتند: پس از نصب اين اصلاحيه، برخي از كاربران گزارش دادند كه قادر نيستند فايل ها را با دوبار كليك كردن بر روي آن ها باز نمايند، نوع آيكون فايل تغيير كرده است و آن ها براي باز كردن فايل بايد به برنامه مراجعه كنند.
برخي از مشتريان اظهار داشتند كه به آن ها گفته شده است كه بايد يك نسخه از آفيس كامل را خريداري نمايند. در حالي كه Office 2010 Starter Edition به طور رايگان بر روي كامپيوترهاي شخصي ارائه مي شود.
تنها چند ساعت پس از انتشار اصلاحيه هاي مايكروسافت در دهم سپتامبر، كاربران مشكلات به وجود آمده بواسطه اين به روز رساني ها را گزارش دادند.
تيم آفيس اظهار كرد كه اين مشكل به اين دليل به وجود آمده است كه سيستم عامل ارتباط بين نوع فايل و برنامه را از دست داده است. در واقع فايل تغيير نكرده است و تنها ارتباط موجود بين سيستم عامل و برنامه اي كه در ارتباط با سند است تحت تاثير قرار گرفته است.
اين شركت به كاربران نشان داد كه چگونه اين ارتباط را ترميم نمايند و هشدار داد كه در برخي موارد بايد با استفاده از گزينه Uninstall يا change a program در نوار كنترل پنل Office 2010 Starter Edition را تعمير نمود.
Gray Knowlton، مدير برنامه هاي آفيس بابت مشكل به وجود آمده عذرخواهي كرد. به روز رساني بعدي مايكروسافت در 8 اكتبر منتشر خواهد شد.

شماره: IRCNE2013091965
تاريخ: 29/06/92

روز چهارشنبه، رابرت هوور در وبلاگ رسمي ويندوز نوشت: ويندوز فون 8 به يك نقطه عطف مهم امنيتي رسيده است و مي تواند به عنوان يك پلت فرم امن در دولت ها و سازمان هايي كه نياز به امنيت بالا و رمزگذاري بر روي شبكه ها و پلت فرم ارتباطات دارند، مورد استفاده قرار گيرد.
دولت ايالات متحده به اين پلت فرم مجوز رسمي امنيت FIPS 140-2 اعطا كرده است. براي بررسي و اختصاص يك سطح امنيتي به دستگاه هايي مانند تبلت ها و تلفن هاي هوشمند كه از الگوريتم هاي رمزگذاري براي حفاظت داده هاي حساس ذخيره شده در آن استفاده مي كند از FIPS 140-2استفاده مي شود.
در مجموع، ويندوز فون 8 اعتبارنامه FIPS 140-2 را براي نه گواهينامه رمزگذاري دريافت كرد. اين گواهينامه ها عبارت است از:

• حالت هسته كتابخانه اوليه رمزگذاري (CNG.SYS)
• كتابخانه اوليه رمزگذاري (BCRYPTPRIMITIVES.DLL)
• ارائه دهنده رمزگذاري DSS و Diffie-Hellman پيشرفته (DSSENH.DLL)
• ارائه دهنده رمزگذاري پيشرفته (RSAENH.DLL)
• مدير بوت
• رمزكننده BitLocker در باركننده سيستم عامل ويندوز(WINLOAD)
• كد تماميت (CI.DLL)
• BitLocker Windows Resume (WINRESUME)
• BitLocker Dump Filter (DUMPFVE.SYS)

اين اعتبارنامه توسط برنامه Cryptographic Module Validation اهدا شده است. علاوه بر اين شركت مايكروسافت راهنماي امنيت ويندوز فون 8 را به منظور پوشش خط مشي و EAS تنظيمات فايروال به روز رساني كرده است.

شماره: IRCNE2013091964
تاريخ: 29/06/92

تنها يك روز پس از انتشار آخرين نسخه از سيستم عامل تلفن همراه اپل، كاربري يك آسيب پذيري امنيتي را در نرم افزار قفل صفحه كليد كشف كرد.
Jose Rodriguez، در ويدئويي كه به صورت آنلاين منتشر كرده است نشان داد كه چگونه اين رخنه به او اجازه مي دهد تا بدون وارد نمودن رمز عبور بتواند نرم افزار هاي مختلف را مشاهده نمايد. او مي توانست مشاهده كند كه چه نرم افزارهايي باز هستند و چند هشدار و اطلاعيه وجود دارد.
تمامي داستگاه هاي اپل را مي توان با روش دور زدن صفحه كليد مورد سوء استفاده قرار داد و تمامي دستگاه ها در برابر اين رخنه رفتاري يكسان دارند. با اين حال پس از بررسي مشخص شد اين امكان وجود دارد كه به عكس هاي موجود در Camera Roll و هم چنين به ويژگي هاي اشتراك گذاري مانند توييتر نيز دسترسي يافت. عليرغم اين رخنه، شركت اپل 80 آسيب پذيري را در iOS 7 برطرف نموده است.
هم چنين Rodriguez مشكلي را در iOS 6.1.3 پيدا كرده است كه به هكرها اجازه مي دهد تا به طور بالقوه توسط بيرون آوردن سيم كارت، به آيفون در حال اجراي نرم افزار آسيب پذيري دسترسي يابند.
به كاربران توصيه مي شود تا زماني كه شركت اپل اين رخنه را برطرف نكرده است، دسترسي به Control Center را بر روي صفحه كليد غيرفعال نمايند.

شماره: IRCNE2013091963
تاريخ: 29/06/92

شركت مايكروسافت يك آسيب پذيري اصلاح نشده را در تمامي نسخه هاي IE گزارش كرده است. تمامي نسخه هاي IE از جمله آن هايي كه در حال اجرا بر روي ويندوز سرور مي باشند، آسيب پذير مي باشند. اين آسيب پذيري نيز شامل IE نسخه 11 بر روي ويندوز 8.1 و RT مي باشد.
اين آسيب پذيري مربوط به يك مشكل تخريب حافظه مي باشد كه مي تواند منجر به اجراي كد از راه دور شود. شركت مايكروسافت اعلام كرد كه حملات هدفمندي با سوء استفاده از اين آسيب پذيري بر روي IE نسخه هاي 8 و 9 گزارش شده است.
حملات مي توانند با اجراي راه حل موقت مايكروسافت براي اين آسيب پذيري با عنوان CVE-2013-1347 MSHTML Shim Workaround مسدود شوند.
در حال حاضر شركت مايكروسافت درباره چگونگي پاسخ به اين آسيب پذيري تصميمي اتخاذ نكرده است. ممكن است اين آسيب پذيري در اصلاحيه بعدي اصلاح شده و يا يك به روز رساني خارج از نوبت منتشر شود.
در راهنمايي امنيتي مايكروسافت آمده است كه استفاده از EMET ممكن است خطر سوء استفاده از اين آسيب پذيري را كاهش دهد.

شماره: IRCNE2013091962
تاريخ: 29/06/92

شركت اپل در نسخه جديد سيستم عامل اپل 80 آسيب پذيري را كه احتمالا در iOS 6 وجود دارند، برطرف نمود. اين به روز رساني يكي از بزرگترين به روز رساني هاي اپل مي باشد. برخي از اين اصلاحيه ها مربوط به آسيب پذيري هاي قديمي مي باشد.
اين مشكلات مي توانند رفتارهاي نامطلوبي داشته باشند از جمله:

• اجراي كد مخرب
• حدس رمز عبور كاربر توسط يك برنامه كاربردي
• توانايي اجراي كد مخرب دربرابر بوت شدن
• برنامه هاي كاربردي در پس زمينه مي توانند رويدادهاي واسط كاربر را در برنامه هاي پيش زمينه تزريق كنند
• توانايي رهگيري داده هاي حفاظت شده با IPSec Hybrid Auth
• فردي با دسترسي فيزيكي به دستگاه ممكن است قادر باشد قفل صفه كليد را دور بزند
• برنامه هاي كاربردي sandboxشده مي توانند بدون تعامل با كاربر يا بدون اجازه او، توييت ارسال نمايند
• برنامه هاي كاربردي مخرب مي توانند در عملكرد تلفن مداخله كرده و يا آن را كنترل نمايند

آسيب پذيري كه در اين فهرست قديمي تر از بقيه آسيب پذيري ها است به عنوان CVE-2011-2391 برچسب گذاري شده است. اين آسيب پذيري مربوط به يك مشكل هسته مي باشد كه مي تواند از طريق بارگذاري بالاي CPUهنگامي كه يك مهاجم بسته هاي IPv6 ICMP دستكاري شده خاص را ارسال مي كند يك حمله انكار سرويس را ايجاد نمايد.
اين اصلاحيه ها نيز چندين مشكل از سال 2012 و يك مشكل در سال 2011 در كتابخانه libxml را برطرف مي نمايند. اين مشكلات توسط منابع خارجي مانند مايكروسافت و فورتي نت به اپل اعلام شده است. 24 مشكل از 8 مشكل توسط گوگل به اين شركت گزارش شده است.

شماره: IRCNE2013091961
تاريخ: 28/06/92

شركت موزيلا نسخه هاي جديد فايرفاكس و كلاينت پست الكترونيكي Thunderbird را منتشر نمود. در نسخه جديد بسياري ويژگي ها و قابليت هاي جديد اضافه شده است و هم چنين آسيب پذيري هاي بسيار جدي برطرف شده اند.
در نسخه جديد 10 آسيب پذيري جدي برطرف شده است كه چهار آسيب پذيري در رده امنيتي بالا و شش آسيب پذيري در رده امنيتي متوسط قرار دارند. نه آسيب پذيري مربوط به خطاهاي مديريت حافظه مي باشد و يك آسيب پذيري يك خطاي سرريز عدد صحيح است. تمامي آسيب پذيري ها ممكن است منجر به اجراي كد خرابكار شوند.
بسياري از آسيب پذيري ها به طور فني در Thunderbird برطرف شده اند اما عملا نمي توانند مورد سوء استفاده قرار گيرند زيرا سوء استفاده از آن ها مستلزم داشتن ويژگي هايي مانند برنامه نويسي مي باشد كه در پست الكترونيكي غيرفعال است. در نسخه 24 فايرفاكس چند ويژگي جديد نيز افزوده شده است.
هم چنين در اين نسخه پشتياني از Certificate Revocation Lists برداشته شده است. CRLها فهرست هاي استاتيك براي شناسه گواهينامه ها مي باشند. اين فهرست ها مي توانند بزرگ بوده و از لحاظ مديريتي زمان بر باشند. در حال حاضر گوگل كروم نيز پشتيباني از اين فهرست را متوقف كرده است.

Number: IRCNE2013091966
Date: 2013/09/20

According to “zdnet”, Microsoft yesterday acknowledged yet another problem with its Sept. 10 updates, confirming that one of those fixes broke Office 2010 Starter Edition by changing the file associations of already-created documents.
"After installing this update, some users have reported they are unable to open files by double-clicking them, that the file type icons have changed, and that they must go to the application to open files," Microsoft's Office team said in a company blog post Wednesday.
Some customers, said Microsoft, were even told that they needed to buy a copy of the full-scale Office, which starts at $140 for Office Home & Student 2013.
Naturally, that caused some customers to wig out, as their suite -- Office 2010 Starter Edition -- had come free with their PCs.
Within hours of the Sept. 10 updates -- part of a larger-than-average Patch Tuesday slate -- users began reporting problems on Microsoft's support forums.
"The operating system has lost the association between a file type and the application that it is supposed to open it," said the Office team. "This does not change the file, this only affects the relationship between the operating system and the applications associated with the documents."
The company showed users how to reestablish file associations, but warned that in some cases customers may need to repair Office 2010 Starter Edition using the "Uninstall or change a program" Control Panel tool.
Microsoft has been publicly apologetic at times, but has not said specifically what it will do to prevent flawed updates in the future. "I apologize again for the difficulty this has created," wrote Gray Knowlton, a principal group program manager for Office, on the Patchmangement.org mailing list, or listserv. Microsoft's next regularly scheduled updates are to ship Oct. 8.