Number: IRCNE2013061866
Date: 2013/06/07

According to “computerworld”, Microsoft today said it will ship just five security updates next week, the fewest in any month so far this year, to patch 23 vulnerabilities in Internet Explorer (IE), Windows and Office.
The update for Office will address a bug that is now being exploited by hackers, a researcher claimed.The exploits have been distributed in malicious files sent to potential victims via email, Henry added.
According to the advanced notice Microsoft published Thursday, Office will be patched by Bulletin 5. Bulletin 5 will update Office 2003, the 10-year-old version that gets its retirement papers in April 2014.
"You don't need to wait until Tuesday to set your priorities," Storms said. "It's obviously [the] IE [update] at the top of the list."
Bulletin 1 will patch all supported versions of IE, ranging from the 12-year-old IE6 to 2012's IE10. Bulletin 1 was the only one pegged as critical. Henry said Bulletin 1 will patch 19 of the 23 vulnerabilities scheduled to be addressed next week in the five updates.
"If left unpatched, this vulnerability can cause remote code execution, which implies that an attacker can take control of the victim computer if the victim browses to a malformed website using IE," explained Amol Sarwate, director or Qualys' vulnerability lab, in an email. "Since the browser is a window to the Internet, IE users should apply this patch as soon as it is released."
The other three updates -- like Bulletin 5, labeled "important" by Microsoft -- affect Windows. Two of the three, however, are unusual in that while they don't affect Windows XP, the oldest of the client OSes, they will fix flaws in Windows 7, Windows 8 and Windows RT.
Microsoft will release next week's security updates on June 11 around 1 p.m. ET.

شماره: IRCNE2013061865
تاريخ: 16/03/92

روز سه شنبه شركت اپل سيستم عامل OS X Mountain Lion را به منظور برطرف نمودن مشكلات سازگاري و قابليت اطمينان و هم چنين اصلاح نمودن آسيب پذيري ها به روز رساني كرد.
در سيستم عامل Mountain Lion حدود 16 اشكال غيرامنيتي رفع شده است. در بخش امنيتي سيستم عامل OS X 10.8.4 شركت اپل 31 آسيب پذيري را در Mountain Lion اصلاح كرده است كه حدود 17 آسيب پذيري به صورت "اجراي كد دلخواه" برچسب گذاري شده است.
اكثر اصلاحيه ها به مولفه هاي منبع باز در Mountain Lion مانند OpenSSL (13 اصلاحيه) و Ruby (8اصلاحيه)، پياده سازي منبع باز رمزگذاري SSL و يك زبان برنامه نويسي مربوط مي شود. چهار اصلاحيه ديگر بر روي QuickTime اعمال مي شود.
يكي از اصلاحيه هاي OpenSSL فشرده سازي پروتكل را براي مسدود نمودن هك ها غيرفعال مي كند. حمله شناخته شده CRIME حمله اي است كه مي تواند كوكي هاي نشست را از ارتباطات به ظاهر امن HTTPS بازگشايي كند.
همزمان با به روز رساني OS X 10.8.4، شركت اپل يك به روز رساني براي مرورگر سافاري منتشر كرد كه 26 آسيب پذيري را اصلاح مي كند. تمامي اين آسيب پذيري ها در WebKit وجود دارد. اين به روز رساني بيشتر رخنه هاي بحراني را برطرف كرده است.
OS X 10.8.4 و به روز رساني امنيتي 002-2013 را مي توان از طريق نرم افزار به روز رسان از منوي اپل اعمال كرد يا با استفاده از برنامه كاربردي Mac App Store و كليك كردن بر روي آيكون به روز رساني در بالاي سمت راست صفحه، اصلاحيه را دريافت كرد. هم چنين اين اصلاحيه ها را مي توان به صورت دستي از وب سايت اپل دانلود نمود.

شماره: IRCNE2013061864
تاريخ: 16/03/92

به روز رساني روز سه شنبه كروم شامل 12 اصلاحيه است: يك اصلاحيه بحراني است، يك آسيب پذيري در رده امنيتي "متوسط" و 10 آسيب پذيري باقي مانده در رده امنيتي "بالا" قرار دارند. مشكل بحراني موجود در مرورگر كروم به تخريب حافظه در مديريت سوكت SSL مربوط مي شود.
آخرين باري كه گوگل يك مشكل بحراني را در كروم شناسايي كرد در دسامبر سال 2012 بوده است. تنها بخش بسيار كوچكي از آسيب پذيري هاي كروم در رده امنيتي بحراني قرار گرفته اند. به عنوان مثال در سال 2012 از تقريبا 250 مشكل كشف شده در كروم تنها 12 آسيب پذيري بحراني بوده اند كه حدود 5 درصد از كل آسيب پذيري ها را شامل مي شود.
اكثر آسيب پذيري هاي اصلاح شده روز سه شنبه، آسيب پذيري هايي مربوط به تخريب حافظه بوده است. كاربران جديد مي توانند ويرايش اصلاح شده كروم 27 را از وب سايت گوگل دانلود نمايند و كاربراني كه در حال حاضر از كروم استفاده مي نمايند مي توانند با استفاده از به روز رسان خودكار كروم، اصلاحيه ها را نصب نمايند.

Number: IRCNE2013061865
Date: 2013/06/06

According to “computerworld”, Apple on Tuesday updated OS X Mountain Lion, likely for one of the last times, with a combination of compatibility and reliability bug fixes as well as vulnerability patches.
Mountain Lion received at least 16 non-security bug fixes. On the security side, OS X 10.8.4 patched 31 vulnerabilities in Mountain Lion, 17 of which were labeled with the phrase "may lead to ... arbitrary code execution," Apple's way of saying the bug was critical.
A majority of the patches were aimed at open-source components integrated with Mountain Lion, such as OpenSSL (13 patches) and Ruby (8), an open-source implementation of SSL encryption and a programming language, respectively. Another four patches quashed bugs in Apple's own QuickTime media player.
One of the OpenSSL patches disabled the protocol's compression to block hacks -- Apple acknowledged that there were "known attacks" -- using techniques revealed last September by a pair of security researchers. Dubbed CRIME, the attack can decrypt session cookies from supposedly-secure HTTPS connections.
Included with 10.8.4 was a Safari update that patched 26 vulnerabilities, all in WebKit, the open-source rendering engine that Apple relies on to power its browser. Most of the fixes were for critical flaws.
OS X 10.8.4 and Security Update 2013-002 can be retrieved by selecting "Software Update..." from the Apple menu, or by opening the Mac App Store application and clicking the Update icon at the top right. The updates can also be downloaded manually from Apple's support site.

Number: IRCNE2013061864
Date: 2013/06/06

According to “computerworld”, Google today patched 12 vulnerabilities in Chrome, including one of the few labeled "critical" that it has fixed in the five-year history of its browser.
Tuesday's update to the "stable" build channel -- analogous to a production version -- included 12 patches: One critical, 10 pegged as "high" and one as "medium" in Google's four-step threat system.
The critical bug was described by Google as a "memory corruption in SSL socket handling" and credited to Sebastien Marchand of the Chromium development team.
The last time Google identified a Chrome bug as critical was in December 2012, when another Google employee, Michal Zalewski, was given the nod as the flaw's finder.
Only a small fraction of Chrome's vulnerabilities have been characterized as critical. In 2012, for example, Google used the label on just 12 out of nearly 250 reported bugs, or about 5% of the total.
A majority of the 12 flaws patched today were memory corruption-related vulnerabilities, a common category in Chrome.
New users can download the patched edition of Chrome 27 from Google's website, while current users can let the automatic updater retrieve and install the fixes.

شماره: IRCNE2013061863
تاريخ: 15/03/92

مجرمان سايبري سايت هاي شبكه اجتماعي، دستگاه هاي تلفن همراه و در برخي موارد تجهيزات پزشكي را هدف حملات خود قرار داده اند.
با توجه به گزارش منتشر شده توسط شركت مك آفي از سه ماهه اول سال 2013، بدافزارهاي پلت فرم تلفن همراه گوگل در سه ماهه اول سال 2013، بيش از 30 درصد افزايش يافته است.
به طور كلي، تنها 51000 حملات مخرب جديد در پايگاه داده نمونه هاي بدافزار تلفن همراه شركت مك آفي وجود دارد كه اين تعداد نسبت به سه ماهه آخر سال 2012 كمي كاهش را نشان مي دهد. با توجه به اين گزارش، نرم افزار اندرويد بيشتري تعداد بدافزارها را داشته است. پس از آن نرم افزار سيمبين قرار دارد.
در گزارش اين شركت آمده است كه تهديدات ناشي از جاسوس افزارها و تبليغ افزاهاي تجاري تلفن همراه مبتني بر اندرويد كاهش يافته است اما حملات هدفمند افزايش يافته اند.
هم چنين با توجه به اين گزارش، كامپيوترهاي شخصي بيشتر هدف حملات هكرها قرار دارند. شبكه هاي اجتماعي مانند فيس بوك و توييتر نيز هدف حملات هكرها قرار داشته اند به گونه اي كه دوستان را براي نصب كدهاي مخرب فريب مي دهند.

شماره: IRCNE2013061862
تاريخ: 15/03/92

شركت مايكروسافت در كنفرانس TechEd ويژگي جديد را كه ويندوز نسخه 8.1 ارائه مي دهد، نشان داد. با استفاده از اين ويژگي كاربران ويندوز نسخه 8.1 مي توانند فولدرهاي خود را با استفاده از اثر انگشت امن نمايند. نسخه هاي قبلي ويندوز تشخيص اثر انگشت را از طريق نرم افزارهاي شركت هاي ديگر پشتيباني مي كرد اما ويندوز نسخه 8.1 اولين نسخه از ويندوز است كه به طور بومي اين ويژگي را پشتيباني مي كند.
كاربران ويندوز 8.1 قادر خواهند بود از طريق حساب كاربري ويندوز، خريداري برنامه هاي كاربردي و تشخيص اثر انگشت به كامپيوتر خود لاگين كنند. هم چنين مي توانند براي بستن فولدرهاي خاص از اثر انگشت استفاده كنند درنتيجه اين فولدرها تنها از طريق اثر انگشت در دسترس قرار مي گيرند.
شركت مايكروسافت از توليدكنندگان ديگر خواسته است تا لپ تاپ ها، تبلت ها و كيبوردهاي خود را به ويژگي خواندن اثر انگشت مجهز نمايند.

Number: IRCNE2013061863
Date: 2013/06/05

According to “zdnet”, cyber criminals are targeting everything from social networking sites to desktop machines, mobile devices and in some rare cases, medical equipment.
According to the latest McAfee Threat Report, which covers the first quarter of 2013, malware on the Google developed mobile platform surged by more than 30 percent in the first three months of the year.
Overall, there are just shy of 51,000 new malicious attacks in McAfee's database of mobile malware samples for the first month. But, this is down slightly from the last three months of 2012.
Android takes the largest slice of the mobile malware by platform pie. Symbian was next with low single-digits percent, followed by Java, which by now is almost non-existent. Other platforms, such as BlackBerry and iOS, didn't even register.
McAfee said the threats of Android-based mobile commercial spyware and adware was declining, with many spyware and targeted attacks becoming more prominent.
Also in the report, PCs remain the most targeted vector for hackers and attacks. Social networks are also being targeted, such as Facebook and Twitter, in order to trick friends and associates into installing malicious code.

Number: IRCNE2013061862
Date: 2013/06/04

According to “cnet”, One of Monday's sessions at Microsoft's TechEd conference highlighted the support that Windows 8.1 will offer for fingerprint recognition, as described by The Verge. Prior versions of Windows handled fingerprint readers through third-party software. But Windows 8.1 will be the first edition of Windows to natively support the technology.
Users will be able to log into their PCs via a Microsoft Account, purchase apps, and open different programs with a swipe of the finger. They'll even be able to lock down certain folders so they're accessible only through a fingerprint.
Microsoft is "working very closely" with two or three manufacturers to outfit Windows 8.1 with the necessary fingerprint support, according to The Verge. The company is also asking more manufacturers to outfit their laptops, tablets, keyboards, and mice with fingerprint readers.
"You'll begin to see these be more pervasively available just to make it that much easier to log in to Windows," Microsoft's Stephen Rose said, The Verge added.

شماره: IRCNE2013061861
تاريخ:12/03/92

شركت اوراكل قصد دارد تا به منظور برطرف كردن آسيب پذيري هاي امنيتي جاوا سياست هاي جديدي را اعمال نمايد از جمله اين سياست ها مي توان به اضافه كردن سياست هاي مديريت متمركز با عملكرد ليست سفيد اشاره كرد.
با توجه به نظرات Nandini Ramani، مدير گروه توسعه نرم افزار جاوا، به نظر مي رسد كه اين سياست ها مي تواند به كاهش سوء استفاده از آسيب پذيري و شدت آسيب پذيري هاي بالقوه جاوا در محيط دسكتاپ و هم چنين فراهم نمودن حفاظت هاي امنيتي بيشتر براي جاوا در محيط سرور كمك نمايد.
Ramani اشاره كرد كه جاواي توسعه يافته به طور قابل توجهي زمان توليد برطرف كننده هاي امنيتي را كاهش مي دهد. هم چنين ابزار تجزيه و تحليل خودكار "fuzzing" به منظور فيلتر كردن انواع خاصي از آسيب پذيري ها توسعه يافته است.
بسياري از مشكلات امنيتي جاوا سرورها را تحت تاثير قرار نمي دهد از اين رو شركت اوراكل قصد دارد تا نسخه هاي مبتني بر مرورگر جاوا را از نسخه هاي مبتني بر سرور جدا نمايد. در جاوا 7 به روز رساني 21 كه با عنوان "Server JRE" شناخته مي شود، حاوي پلاگين مرورگر جاوا نيست و هم چنين همزمان با انتشار اصلاحيه هاي اوراكل، يك نصب كننده به طور مجزا براي كاربران خانگي منتشر مي شود.
در سرورها و شركت هاي بزرگ، بسياري سازمان ها نمي توانند به خاطر ترس از دست دادن دسترسي به برنامه هاي كاربردي حياتي سازمان، جاوا را بر روي ماشين هاي خود غيرفعال نمايند. در نتيجه ويژگي خط مشي امنيتي محلي به جاوا اضافه خواهد شد كه اين امكان را به مديران شبكه بدهد تا بتوانند هنگام نصب و استقرار جاوا در سازمان، كنترل تنظيمات خط مشي امنيتي را در اختيار بگيرند.