ID: IRCNE2013081933
Date: 2013-08-20

According to "computerworld", a new variant of the Ramnit financial malware is using local Web browser injections in order to steal log-in credentials for Steam accounts, according to researchers from security firm Trusteer.
Ramnit is a computer worm first discovered in 2010 that spreads by infecting executable, HTML and Microsoft Office files on the local computer.
The malware can steal browser cookies and FTP (File Transfer Protocol) credentials stored locally, but it also hooks the browser process in order to modify Web forms and inject rogue code into Web pages, a technique known as a man-in-the-browser (MitB) attack.
The MitB functionality is commonly used by financial malware to trick online banking users into exposing their personal and financial information as well as their online banking credentials.
Security researchers from Trusteer, a company that's in the process of being acquired by IBM, recently identified a new Ramnit variant that targets users of Steam, one of the largest digital distribution and online multiplayer platforms for computer games.
Cybercriminals have targeted Steam accounts by using key-logging malware and phishing attacks before. However, Ramnit uses more advanced techniques like Web injection.
According to Maor, when a user accesses the Steam Community log-in page and enters his or her username and password, the form is encrypted using the site's public key. To overcome this, Ramnit modifies the form in a way that allows it to capture the password in plain text. The user isn't able to tell that anything is wrong, because nothing changes on the log-in page.
When the user fills in the form and submits it, the malware intercepts the request, reads the data from the non-encrypted field and deletes the field before sending the request to the Steam Web server. According to Maor, this can hide the attack from security software that scans for unusual form elements in order to detect malware injections.
In the past, Ramnit has mainly targeted banks, but Trusteer researchers have already seen it being used to target customers of non-banking institutions, organizations and services, Maor said.

شماره: IRCNE2013081932
تاريخ: 29/05/92

يك متخصص سيستم‌هاي اطلاعاتي در فلسطين پس از انكار تيم امنيتي فيس‌بوك مبني بر وجود يك نقص امنيتي در اين سيستم، آن را به‌طور عمومي بر روي timeline مارك زاكربرگ (مؤسس فيس‌بوك) منتشر كرد.
اين محقق كه با نام خليل شناخته مي‌شود، يك آسيب‌پذيري را كشف كرده است كه به افراد اجازه مي‌دهد حتي اگر با فردي دوست نباشند، مطالب خود را بر روي timeline وي ارسال كنند.
خليل اين مسأله را به برنامه امنيتي كلاه سفيد فيس‌بوك كه به ازاي كشف هر آسيب‌پذيري، 500 دلار به محقق كشف كننده آسيب‌پذيري جايزه مي‌دهد اطلاع داده است.
وي همچنين با ارسال مطلبي بر روي wall فرد ديگري كه با وي دوست نيست، اين مطلب را اثبات كرده است، اما تيم امنيتي فيس‌بوك ادعاي وي را رد كرد.
خليل نيز در پاسخ، با ارسال مطلبي بر روي timeline مارك زاكربرگ، ضمن عذرخواهي از وي به علت نقض حريم خصوصي و ارسال مطلب بر روي timeline وي، در مورد اين نقص امنيتي به وي اطلاع داد.
بنا بر ادعاي خليل، حساب كاربري وي چند دقيقه پس از ارسال اين مطلب مسدود شده است.
يكي از اعضاي فيس‌بوك در اين مورد توضيح داد كه گزارش اين محقق حاوي جزئيات فني كافي نبود و به همين دليل گروه كلاه سفيد فيس‌بوك نمي‌دانستند كه دقيقاً چه اتفاقي رخ داده است و به همين دليل حساب اين فرد را مسدود كردند. همچنين اين عضو گروه فيس‌بوك اظهار داشت كه از آنجايي كه اين محقق از قوانين توافقنامه فيس‌بوك سرپيچي كرده و حريم خصوصي فرد سومي را براي اثبات ادعاي خود نقض كرده است، اين گروه نمي‌تواند به اين محقق جايزه‌اي بدهد. اما در عين حال فيس‌بوك از اين فرد خواسته است كه به همكاري با اين شركت و كشف آسيب‌پذيري‌هاي اين سيستم ادامه دهد.

شماره: IRCNE2013081931
تاريخ:29/05/92

آزمايشگاه كسپراسكاي در گزارشي آورده است كه يك بدافزار اندرويد در حال سوء استفاده از سيستم پيام رساني ابر گوگل مي باشد. اين سيستم براي انتقال داده در برنامه هاي كاربردي معتبر به عنوان كانال كنترل و فرمان استفاه مي شود.
سرويس GCM در سال 2012 راه اندازي شده است و در حال حاضر توسط اغلب برنامه هاي كاربردي Play Store براي وظائف مختلفي از جمله همگام سازي، هشدار به كاربر و حتي تغيير پيام هاي طولاني به بسته هاي چهار كيلوبايتي مورد استفاده قرار مي گيرد.
به روز رساني اخير اين سيستم باعث شده است تا اين سيستم توسط مرورگر كروم براي ارتباط با برنامه هاي كاربردي مورد استفاده قرار بگيرد.
به نظر مي رسد كه نويسندگان بدافزار متوجه پتانسيل هاي GCM شده اند و بدين طريق اندرويد را هدف حمله بسياري از برنامه هاي جعلي قرار داده اند.
اگر چه در حال حاضر تعداد برنامه هاي مخربي كه از GCM استفاده مي كنند بسيار كم است اما برخي از آن ها به طور گسترده استفاده شده اند. اين برنامه ها در بسياري از كشورهاي اروپاي غربي و آسيا بسيار شايع مي باشند.

شماره: IRCNE2013081930
تاريخ:28/05/92

شركت گوگل اصلاحيه اي براي رخنه موجود در برنامه هاي كاربردي اندرويد منتشر كرد. ممكن است اين رخنه هزاران برنامه كاربردي را تحت تاثير قرار دهد. برنامه هاي تحت تاثير قرار گرفته، آن هايي هستند كه در معماري رمزگذاري جاوا از PRNG استفاده مي كنند.
شماره هاي تصادفي در بخشي از توليد كليدهاي رمزگذاري امن و براي فرآيندهاي رمزگذاري مورد استفاده قرار مي گيرند. در برخي از موارد، اين شماره ها داراي ارزش قوي براي رمزگذاري نيستند.
توليدكنندگان برنامه هاي كاربردي توصيه مي كنند تا اين شماره ها ارزيابي شده و در صورت نياز كليدهاي رمزگذاري مجددا توليد شوند.
چهار گروه از كلاينت هاي Bitcoin اندرويد شامل Bitcoin Wallet، Blockchain، Mycelium Bitcoin Wallet و BitcoinSpinner بايد اصلاحيه هاي منتشر شده توسط گوگل را اعمال نمايند.

مطالب مربتط:
كشف يك آسيب پذيري دركيف جيبي ديجيتالي اندرويد

شماره: IRCNE2013081929
تاريخ:28/05/92

در سه شنبه اصلاحيه مايكروسافت دو اصلاحيه منتشر شده براي Exchange Server و Active Directory Federation Services نسخه 2 داراي مشكل بودند.
در حال حاضر مايكروسافت مجددا اصلاحيه اي براي Active Directory Federation Services تحت عنوان بولتن MS13-066 منتشر كرده است.
سؤالات متداول در بولتن امنيتي به روز شده مشكلات اصلاحيه اوليه را توضيح مي دهد. به روز رساني منتشر شده يك مشكل را در اصلاحيه اوليه برطرف مي كند. اين مشكل باعث مي شود تا پس از نصب اصلاحيه در صورتيكه به روز رساني 2790338 نصب نشده باشد، AD FS از كار بيفتد. در اصلاحيه اي كه مايكروسافت مجددا منتشر كرده اين الزام را حذف كرده است.
حتي اگر كاربران اصلاحيه سه شنبه گذشته را نصب كرده اند، مايكروسافت توصيه مي كند تا در اسرع وقت اصلاحيه جديد را نيز نصب نمايند.
اين مشكل تنها AD FS نسخه 2.0 را تحت تاثير قرار مي دهد. در صورتيكه AD FSنسخه 2.0 بر روي سيستم نصب است، اين به روز رساني تنها توسط WSUS قابل اعمال مي باشد.
به روز رساني ديگر كه داراي مشكل است مربوط به آسيب پذيري هاي مولفه هاي اوراكل در Exchange Server مي باشد كه هم چنان اصلاح نشده است و برطرف شدن اين مسئله به هماهنگي با شركت اوراكل نياز دارد.

مطالب مرتبط:
انتشار اصلاحيه‌های مايكروسافت

ID: IRCNE2013081932
Date: 2013-08-20

According to “ITPro”, an information systems specialist from Palestine has publicly exposed a Facebook security flaw on founder Mark Zuckerberg’s timeline, after the company’s security team denied its existence.
The researcher, who goes by the name of Khalil, found a vulnerability that allows people to post to anyone else’s timeline, irrespective of whether or not the poster and the recipient are friends.
Khalil flagged the issue via Facebook’s White Hat security programme, which promises $500 for each flaw found.
He also did demonstrations of him posting to another person’s wall without them being a friend, but the Facebook security team responded by claiming it did not constitute a bug.
Khalil relpied, stating “ok, that mean (sic) I have no choice other than to report this to mark (sic) himself on facebook” – and proceeded to do so.
The post from Khalil to Zuckerberg’s facebook timeline apologised for breaking the billionaire’s privacy but said he had “no other choice ... after all the reports I sent to [the] Facebook team”.
The message concluded: “I appreciate your time reading this and getting someone from your company team to contact me.”
Khalil claims his account was disabled within minutes of the post with the company initially telling him it had the right to disable any Facebook account without giving a reason.
Shortly afterwards, a member of the Facebook team said they had disabled his account as a precaution. “When we discovered your activity we did not fully know what was happening. Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.
“We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.”
Facebook has confirmed Khalil’s account of events and that the messages he received from the security team are genuine.

ID: IRCNE2013081931
Date: 2013-08-20

According to "techworld", android malware has started abusing the Google Cloud Messaging (GCM) normally used to push data to and from legitimate apps as a sneaky command and control channel, Kaspersky Lab has noticed.
Launched by Google in 2012, the free GCM service is now used by most Play Store apps for a variety of tasks including synchronisation, alerting the user, and even exchanging larger messages up to a maximum 4Kb in size.
A more recent update allows it to be used by the Chrome browser to communicate with apps.
It seems that malware writers have noticed GCM’s potential, including some of the most successful rogue apps targeting Android.
“Even though the current number of malicious programs using GCM is still relatively low, some of them are widespread. These programs are prevalent in some countries in Western Europe, the CIS, and Asia.”

ID: IRCNE2013081930
Date: 2013-08-19

According to "computerworld", Google is distributing patches for a cryptography flaw in Android that may affect hundreds of thousands of applications.
Affected applications are those that rely on the pseudo random number generator (PRNG) within the Java Cryptography Architecture." Klyubin wrote.
Random numbers are used in part to generate secure encryption keys and for other cryptography processes. In some cases, the numbers were not "cryptographically strong values," Klyubin wrote.
Application developers are advised to "evaluate whether to regenerate cryptographic keys or other random values previously generated," he wrote.
At least four Android Bitcoin clients -- Bitcoin Wallet, Blockchain, Mycelium Bitcoin Wallet and BitcoinSpinner -- were fixed just before Google's patch release.

ID: IRCNE2013081929
Date: 2013-08-19

According to "zdnet", last Tuesday was a bad Patch Tuesday for the Microsoft Server team. Two patches were issued, one for Exchange Server, one for AD FS (Active Directory Federation Services) 2.0, and both had to be withdrawn for problems.
Now Microsoft has re-released the ADFS patch, a.k.a. MS13-066. The FAQ in the updated security bulletin explains the problem with the initial release.
The rereleased update addresses an issue in the original offerings that caused AD FSto stop working if the previously released RU3 rollup QFE (update 2790338) had not been installed; the rerelease removes this requirement.
Even if you already applied the previous buggy patch, Microsoft encourages you to apply the new one as soon as practicable.
The problem only affected AD FS 2.0, not 1.x or 2.1. The update will only be offered by WSUS if AD FS 2.0 is installed on the system.
The other withdrawn update (MS13-061, vulnerabilities in an Oracle component in Exchange Server) remains withdrawn. Presumably the fix will involve coordination with Oracle.

شماره: IRCNE2013081928
تاريخ: 27/05/92

شركت امنيتي Malwarebytes در مورد يك به‌روز رساني جعلي براي Flash Player هشدار داد كه باعث مي‌شود تبليغات معتبر و قانوني، جاي خود را به هرزنامه و بنرهاي نامناسب بدهند.
بنا بر ادعاي Malwarebytes، به‌روز رساني FlashPlayer11.safariextz يك افزونه جعلي مرورگر است. اين به‌روز رساني جعلي از لوگوي واقعي Flash Player استفاده مي‌كند و حتي شامل لينكي به وب‌سايت رسمي ادوب است.
اما زماني كه اين نرم‌افزار نصب مي‌گردد، آگهي‌هاي تبليغاتي رسمي در وب‌سايت‌هاي معتبر را با آگهي‌هاي خودش مي‌پوشاند.
به گزارش يك تحليلگر امنيتي در Malwarebytes، نويسندگان اين برنامه جعلي اميدوارند با توليد منفعت از كاربراني كه بر روي تبليغات جعلي كليك مي‌كنند، به تجارت پرسودي دست يابند. وي اظهار كرد كه تبليغات آنلاين يك صنعت ميليارد دلاري است و هركسي مي‌خواهد به بخشي از آن دست يابد.
به گفته وي، اين نرم‌افزار جعلي پس از نصب شروع به تزريق تبليغات جعلي به تمامي وب‌سايت‌هايي كه مشاهده مي‌كنيد، خواهد نمود.
چنين نرم‌افزارهايي نشان مي‌دهد كه مهاجمان از اين واقعيت كه به‌روز رساني‌هاي نرم‌افزاري براي كاربران مهم هستند، سوء استفاده مي‌كنند. به همين دليل است كه همواره بايد به‌روز رساني‌ها را از وب‌سايت‌هاي رسمي توليد كنندگان نرم‌افزارها دريافت كرد.