شماره: IRCNE2013081937
تاريخ: 02/06/92

محققان شركت امنيتي ESET در يك برنامه مشهور دانلود تحت ويندوز يعني Orbit Downloader، يك كد حمله انكار سرويس توزيع شده (DDoS) يافته‌اند كه از راه دور به‌روز رساني مي‌شود.
به نظر مي‌رسد كه اين تابع انكار سرويس توزيع شده مدتي است كه در اين برنامه وجود دارد. زماني كه برنامه orbitdm.exe اجرا مي‌شود، مجموعه‌اي از ارتباطات را با سرورهايي در orbitdownloader.com برقرار مي‌كند كه در نتيجه، سيستم كلاينت به آرامي و از طريق HTTP، يك فايل Win32 PE DLL و يك فايل پيكربندي حاوي فهرستي از URL ها و يك آدرس IP تصادفي به ازاي هر URL را دانلود مي‌كند.
اين برنامه و اين فهرست براي هدايت يك حمله SYN flood يا موجي از درخواست‌هاي ارتباط HTTP بر روي پورت 80 و موجي از Datagram هاي UDP بر روي پورت 53 مورد استفاده قرار مي‌گيرند. آدرس IP كه در فايل پيكربندي به همراه URL قرار دارد، به عنوان آدرس منبع براي حمله استفاده مي‌شود.
تست‌هاي ESET حدود دوازده نسخه از فايل DLL مشاهده كرده‌اند و محتويات فايل پيكربندي نيز اغلب تغيير كرده است. اين نشان مي‌دهد كه شبكه انكار سرويس توزيع شده كاربران Orbit Downloader به‌طور فعال مديريت مي‌گردد.
ESET از كشف چنين حمله‌اي در چنين برنامه شناخته شده‌اي اظهار تعجب كرده است. اين احتمال بعيدي است كه وب‌سايت اين شركت توسط يك مهاجم بيروني مورد سوء استفاده قرار گرفته باشد.
نسخه آسيب‌پذير اين نرم‌افزار (4.1.1.18) همچنان بر روي سايت اين شركت وجود دارد و URL هاي مورد استفاده براي دانلود كد حمله نيز همچنان فعال هستند.

ID: IRCNE2013081938
Date: 2013-08-24

According to “ComputerWorld”, Cisco Systems released new security patches for several versions of Unified Communications Manager (UCM) to address vulnerabilities that could allow remote attackers to execute arbitrary commands, modify system data or disrupt services.
The UCM is the call processing component of Cisco's IP Telephony solution. It connects to IP (Internet Protocol) phones, media processing devices, VoIP gateways, and multimedia applications and provides services such as session management, voice, video, messaging, mobility, and web conferencing.
The most serious vulnerability addressed by the newly released patches can lead to a buffer overflow and is identified as CVE-2013-3462 in the Common Vulnerabilities and Exposures database. This vulnerability can be exploited remotely, but it requires the attacker to be authenticated on the device.
"An attacker could exploit this vulnerability by overwriting an allocated memory buffer on an affected device," Cisco said Wednesday in a security advisory. "An exploit could allow the attacker to corrupt data, disrupt services, or run arbitrary commands."
The CVE-2013-3462 vulnerability affects versions 7.1(x), 8.5(x), 8.6(x), 9.0(x) and 9.1(x) of Cisco UCM, Cisco said.
The company also patched three denial-of-service (DoS) flaws that can be remotely exploited by unauthenticated attackers.
One of them, identified as CVE-2013-3459, is caused by improper error handling and can be exploited by sending malformed registration messages to the affected devices. The flaw only affects Cisco UCM 7.1(x) versions.
The second DoS issue is identified as CVE-2013-3460 and is caused by insufficient limiting of traffic received on certain UDP ports. It can be exploited by sending UDP packets at a high rate on those specific ports to devices running versions 8.5(x), 8.6(x), and 9.0(x) of Cisco UCM.
The third vulnerability, identified as CVE-2013-3461, is similar but only affects the Session Initiation Protocol (SIP) port. "An attacker could exploit this vulnerability by sending UDP packets at a high rate to port 5060 on an affected device," Cisco said. The vulnerability affects Cisco UCM versions 8.5(x), 8.6(x) and 9.0(1).
Patched versions have been released for all UCM release branches affected by these vulnerabilities and there are no known workarounds at the time that would mitigate the flaws without upgrading.
All of the patched vulnerabilities were discovered during internal testing and the company's product security incident response team (PSIRT) is not aware of any cases where these issues have been exploited or publicly documented.

ID: IRCNE2013081937
Date: 2013-08-24

According to “ZDNet”, researchers at security software company ESET have found a remotely-updating DDOS functionality built into a popular Windows download manager, Orbit Downloader.
The DDOS function appears to have been in the program for some time. When the orbitdm.exe program is run, it starts a series of communications with the servers at orbitdownloader.com, the end result of which is that the client system silently downloads via HTTP a Win32 PE DLL and a configuration file containing a list of URLs and a randomly-generated IP address for each.
This program and the list are used to conduct either a SYN flood attack or a wave of HTTP connection requests on port 80 (the HTTP port) and UDP datagrams on port 53 (DNS). The IP address that accompanied the URL in the config file is used as the source address for the attack.
In ESET's tests they have seen about a dozen versions of the DLL and the contents of the config file change frequently. This indicates that the DDOS net of Orbit Downloader users is being actively managed.
ESET expresses surprise that such an attack would be included in such a popular program. It is a distinct possibility that the company's web site has been compromised by an outside attacker who is using it and the software unbeknownst to the proprietors of Orbit Downloader.
At the time of this writing, a vulnerable version (4.1.1.18) was still available for download on the company's site, and the URLs used for downloading the attack code and config file were still live.

شماره: IRCNE2013081936
تاريخ: 29/05/92

تحليل جديد شركت Sauce Labs نشان مي‌دهد كه نسخه‌هاي اخير مرورگرهاي كروم و فايرفاكس كمتر از IE 10 در برابر خطاها و اختلالات مستعد هستند و از قابليت اطمينان بالاتري برخوردارند.
مطالعه اين شركت بر روي حدود 55 ميليون تست با استفاده از پلتفورم سلنيوم نشان داده است كه تمامي مرورگرها سطح بي‌نهايت كمي از خطا در حد 0.12 درصد يا كمتر را نشان دادند كه بدترين درصد (0.12 درصد) متعلق به سافاري 6 است.
اپرا 12 داراي خطاي 0.08 درصد، IE 10 داراي خطاي 0.05 درصد، كروم 27 داراي خطاي كمتر از 0.02 درصد و فايرفاكس داراي خطاي بسيار كمي در حد صفر برآورد شد و مي‌توان گفت كه فايرفاكس تقريباً با هيچ خطايي مواجه نيست. IE از دو رقيب اصلي خود يعني فايرفاكس و كروم عقب مانده است، اما همچنان سطح خطاي بسيار پاييني را نشان مي‌دهد.
سطح پيشرفت اين مرورگرها در نسخه‌هاي اخير آنها كه بعضاً فقط چند هفته از عرضه آنها مي‌گذرد قابل توجه است.
IE 6 (عرضه شده در سال 2001 به همراه XP) و 7 (سال 2007) پيش از اين بدترين كارآيي را با حدود 0.3 درصد خطا داشتند و فايرفاكس 7 (سال 2011) و IE 8 (سال 2009) هريك كمتر از 0.25 درصد خطا داشتند. اين نكته قابل توجه است كه اين مرورگرها بيش از آن كه در برابر خطاها و اختلالات و از كار افتادن‌هاي ناگهاني آسيب‌پذير باشند، در برابر آسيب‌پذيري‌هاي جدي آسيب‎‌پذير هستند.
به گفته Sauce Labs، نيمي از مرورگرهاي مورد مطالعه درصد خطايي كمتر از 0.07 درصد داشتند. اين عدد واقعاً پايين است و نشان مي‌دهد كه مرورگرها هر روز قابليت اطمينان بيشتري پيدا مي‌كنند.
ممكن است اين موضوع مطرح شود كه اعداد به دست آمده از اين تست لزوماً دقيق و صحيح نيستند، اما به هر حال معيارهاي مقايسه‌اي اين مرورگرها قابل اعتماد است.
خطاهايي كه معمولاً منجر به از كار افتادن مرورگر مي‌شوند، به وسيله نقايص موجود در كد مرورگر ايجاد مي‌گردند كه خوشبختانه امروزه كمتر با چنين خطاهايي مواجه مي‌شويم.

شماره: IRCNE2013081935
تاريخ:29/05/92

گروهي از محققان از Georgia Tech نشان دادند كه چگونه هكرها مي توانند يك برنامه كاربردي مخرب را توليد كرده و آن را در فروشگاه اپل منتشر نمايند و منتظر بمانند تا قربانيان اين برنامه مخرب را دانلود كنند.
گروه محققان با مديريت Tielei Wang، يكي از محققان مدرسه علوم كامپيوتر گرجستان، كد مخربي را در داخل برنامه كاربردي "Jekyll" قرار دادند تا بدين طريق بتوانند ادعاي خود را ثابت نمايند.
كد حمله مونتاژ شده قادر است تا توييت ها، ايميل ها و متن ها را بدون اطلاع كاربر ارسال نمايد و مي تواند ID منحصر به فرد دستگاه آيفون را به سرقت ببرد، دوربين دستگاه را روشن كند و عكس بگيرد، تماس هاي يك گوشي را به گوشي ديگر منتقل كند و با استفاده از بلوتوث به دستگاه ها متصل شود. هم چنين اين كد حمله قادر است تا بدافزارها را دانلود نمايد و امنيت برنامه هاي كاربردي تلفن هموشمند را به مخاطره بياندازد.
محققان Georgia Tech برنامه كاربردي "Jekyll" را در فروشگاه اپل قرار دادند. سپس اين گروه برنامه مذكور را بر روي گوشي هاي آيفون خود دانلود كردند و عملكرد آن را بررسي نمودند. پس از آن كه عملكرد پيش بيني شده براي اين برنامه تاييد شد، اين گروه برنامه كاربردي "Jekyll" را از روي فروشگاه اپل حذف نمودند. Wang گفت: كاربران آيفون اين برنامه را دانلود نكرده اند.
اين گروه محققان يافته هاي خود را در ماه مارس به شركت اپل گزارش داده اند. شركت اپل پاسخي به درخواست اين گروه نداد اما اين شركت اعلام كرد كه در سيستم عامل iOS تغييراتي را اعمال كرده است.
با توجه به اظهارات Wang، سيستم عامل iOS نسخه 7 هم چنان در برابر اين كد حمله آسيب پذير است. او به كاربران آيفون توصيه مي كند تا زمان دانلود برنامه هاي كاربردي ناشناخته و متفرقه با احتياط عمل نمايند.

شماره: IRCNE2013081934
تاريخ:29/05/92

روز گذشته AFORE Solutions نرم افزار رمزگذاري را معرفي كه با هدف تأمين امنيت داده ها در محيط هاي مجازي كه برنامه هاي كاربردي ويندوز مايكروسافت استفاده مي شودمانند VMware، Citrix يا Microsoft VDI مورد استفاده قرار مي گيرد.
با توجه به اظهارات Jon Reeves، نرم افزار AFORE's CypherX مي تواند توسط ارائه دهندگان ابر به نمايندگي از مشتريان خود و يا به طور مستقيم توسط كاربران سازماني در محيط هاي ابر خصوصي مورد استفاده قرار گيرد.
اين نرم افزار به منظور قفل كردن برنامه هاي كاربردي، بين برنامه كاربردي و سيستم عامل قرار مي گيرد. اين نرم افزار تمامي اطلاعات ورودي و خروجي، سيستم فايل و شبكه را رمزگذاري مي كند.
نرم افزار CypherX از استاندارد رمزگذاري 256 بيتي AES استفاده مي كند و بر روي محيط هاي hypervisors مانند VMware vSphere، Microsoft Hyper-V، Xen و KVM قابل اجرا است. هم چنين از پلت فرم هاي چندگانه مجازي سازي دسكتاپ مانند VMware's Horizon View، Citrix XenDesktop و Microsoft's VDI پشتيباني مي كند.
در حال حاضر استفاده از نسخه آزمايشي اين نرم افزار آغاز شده است و انتظار مي رود تا در بازه زماني ماه اكتبر در دسترس همگان قرار گيرد.

شماره: IRCNE2013081933
تاريخ:29/05/92

با توجه به يافته هاي محققان از شركت امنيتي Trusteer، نوع جديدي از بدافزار مالي Ramnit به منظور سرقت اعتبارنامه هاي ورود براي حساب كاربري Steam، در تزريق مرورگر وب محلي مورد استفاده قرار مي گيرد.
Ramnit، يك كرم كامپيوتري است كه براي اولين بار در سال 2010 كشف شد. در آن زمان اين كرم از طريق آلوده كردن فايل هاي اجرايي، مايكروسافت آفيس و HTML بر روي كامپيوترهاي محلي گسترش يافته بود.
اين بدافزار مي تواند كوكي هاي مرورگر و اعتبارنامه هاي FTP كه به صورت محلي ذخيره شده اند را به سرقت ببرد. هم چنين مي تواند به منظور تغيير فرم هاي وب و تزريق كد مخرب به صفحات وب از يك روش شناخته شده به نام حمله MitB استفاده نمايد.
عملكرد MitB معمولا توسط بدافزارهاي مالي براي فريب كاربران بانكداري آنلاين به منظور افشاي اطلاعات شخصي و مالي آن ها مورد استفاده قرار مي گيرد.
محققان امنيتي از شركت Trusteer، اخيرا گونه جديدي از اين بدافزار را شناسايي كرده اند كه كاربران Steam، يكي از بزرگترين توزيع كنندگان پلت فرم هاي چند نفره آنلاين براي بازي هاي كامپيوتري را مورد هدف قرار داده است.
مجرمان سايبري حساب هاي كاربري Steam را با استفاده از بدافزار و حملات سرقت هويت مورد هدف قرار داده اند. با اين حال، بدافزار Ramnit براي سرقت اعتبارنامه هاي ورودي كاربران از روش هاي پيشرفته ديگري مانند تزريق وب استفاده مي كند.
با توجه به يافته هاي محققان، هنگامي كه يك كاربر به صفحه ورودي Steam Community دسترسي مي يابد و نام كاربري و رمز عبور خود را وارد مي نمايد، فرم مربوطه با استفاده از كليد عمومي سايت رمزگذاري مي شود. براي غلبه بر اين موضوع، Ramnit فرم را به گونه اي تغيير مي دهد كه به آن اجازه دهد تا از متن ساده رمز عبور كپي تهيه كند. كاربر اين تغيير را حس نمي كند زيرا در صفحه ورودي هيچ تغييري رخ نداده است.
هنگامي كه كاربر فرم را تكميل مي كند و آن را ثبت مي كند، اين بدافزار درخواست ها را ردگيري مي كند و داده ها را از فيلد رمزگذاري نشده فرم مي خواند و قبل از ارسال درخواست براي سرور Steam Web، فيلد مربوطه را حذف مي كند. در نتيجه اين حمله از ديد نرم افزار امنيتي پنهان مي ماند.
در گذشته بدافزار Ramnit تنها براي هدف هاي بانكي مورد استفاده قرار مي گرفت اما در حال حاضر مشاهده مي شود كه هدف حمله اين بدافزار موقعيت ها، سازمان ها و خدمات غير بانكي مي باشد.

ID: IRCNE2013081936
Date: 2013-08-21

According to “ComputerWorldUK”, recent versions of Google’s Chrome and Mozilla’s Firefox are measurably less prone to crashes and errors than Microsoft’s Internet Explorer 10, a new analysis by applications testing firm Sauce Labs has found.
If this looks like another stick to beat Microsoft’s browser with, it is worth pointing out that the firm’s study of around 55 million tests run using the Selenium platform found that all browsers showed extremely low levels of errors, in the order of 0.12 percent or lower for the ‘worst’ performer, Apple’s Safari 6.
On the same scale, Opera 12 scored 0.08 percent, IE10 at 0.05 percent, Chrome 27 under 0.02 percent, with Firefox was so low it effectively achieved a remarkable zero, that is to say no errors at all. IE lagged its main rivals but at levels that were already extremely low.
As interesting as the reliability figures was the level of improvement shown by these recent versions, some only months or even weeks old.
Internet Explorer 6 (released 2001 with XP) and 7 (2007) had previously been the worst performers on 0.3 percent each, behind Firefox on Opera 10 (2009) and Firefox 7 (2011) and IE8 (2009) on just under 0.25 percent. It is remarkable that all of these are still used by small percentages of global browser users but they are also pretty ancient software vulnerable to issues more serious than how often they might crash.
“Half of the browser versions we analyzed had error rates lower than 0.07%. That’s pretty low, and suggests that browsers are getting more reliable as more versions come out,” said Luren Nguyen of Sauce Labs.
Despite lagging slightly, IE had also shown major improvement over time.
“Microsoft has really been pushing their new version of Internet Explorer as the most modern and high-performing version of IE. You’ve may have seen their nostalgia-tinged IE 10 commercial. The data we have on browser error rates suggests that their claims may have quite a bit of merit,” she said.
The absolute level of errors in these tests is an imperfect way to measure browser reliability some might argue (can the errors be proved to be the browser’s fault and not the testing suite’s?), but the comparative measurement won’t be coincidence.
Errors, which usually result in a crash of some kind, are caused by bugs in the browser code, although one browser might have more of these than another is anyone’s guess.

ID: IRCNE2013081935
Date: 2013-08-20

According to "computerworld", a team of researchers from Georgia Tech has demonstrated how hackers can slip a malicious app by Apple's reviewers so that it's published to the App Store and ready for unsuspecting victims to download.
Led by Tielei Wang, a research scientist at Georgia Tech's school of computer science, the team created a "Jekyll" app. Hidden inside the app, however, were code fragments, dubbed "gadgets," that self-assembled to create a proof-of-concept exploit only after the app was approved by Apple.
The assembled attack code was able to send tweets, email and texts without the user's knowledge, and could steal the iPhone's unique device ID, turn on the camera and take video, forward voice calls to other phones and connect with local Bluetooth devices. Because the reconfigured app also "phoned home" to a server operated by the researchers, they were able to download additional malware and compromise other apps on the smartphone, including the Safari browser.
The Georgia Tech researchers built their Jekyll app and submitted it to Apple, which approved it seven days later. Once on the App Store, the team downloaded the app onto their own iPhones, told it to transform into a Mr. Hyde and ask for instructions from their server. After confirming that it worked as designed, they removed the app from the App Store. No other users downloaded the app while it was available, Wang said.
Wang and his team reported their findings to Apple in March, long before the paper was made public. Apple did not reply to a request for comment, but elsewhere the company has said it made changes in iOS in response.
According to Wang, iOS 7 is still vulnerable to the technique of hiding vulnerabilities in a Jekyll app and exploiting them after approval to do dirty work.
His recommendation to users? "Be very cautious when you download unknown, third-party apps," he said.

ID: IRCNE2013081934
Date: 2013-08-20

According to "computerworld", AFORE Solutions today announced encryption software aimed at securing data in virtualized environments where Microsoft Windows applications are used, including virtualized desktop infrastructure deployments based on VMware, Citrix or Microsoft VDI.
AFORE's CypherX software can be used by either cloud providers on behalf of their customers or directly by the enterprise users in a private cloud deployment, according to the security firm's chairman and chief strategy officer, Jon Reeves. "It sits between the application and the operating system itself in order to lock down applications. It encrypts all information flowing in and out, the file system, and the network or the clipboard."
Using standard AES 256-bit encryption, CypherX works on A multiple hypervisors, including VMware vSphere, Microsoft Hyper-V and Xen and KVM. It supports multiple desktop virtualization platforms, including VMware's Horizon View, Citrix XenDesktop, and Microsoft's VDI.
Now in beta tests with a number of cloud providers, CypherX starts at $150 per seat, though less based on volume, and is expected to be generally available in the October timeframe.