ID: IRCNE2013051843
Date: 2013-05-15

According to "computerworld", Adobe released scheduled security updates for its Reader, Acrobat, Flash Player and ColdFusion products on Tuesday to fix many critical vulnerabilities, including one that is already actively exploited by attackers.
The Adobe Reader and Acrobat updates include fixes for 27 vulnerabilities, 24 of which could lead to arbitrary code execution if exploited successfully. One of the other flaws could allow attackers to bypass the sandbox protection in Adobe Reader, the company said in a security advisory.
Adobe advises Reader and Acrobat users to update their product installations to the newly released versions: Adobe Reader XI (11.0.03), Adobe Reader X (10.1.7) and Adobe Reader 9.5.5 for Windows and Mac; Adobe Reader 9.5.5 for Linux; Adobe Acrobat XI (11.0.03), Adobe Acrobat X (10.1.7) and Adobe Acrobat 9.5.5 for Windows and Mac.
The security updates released for Flash Player address a total of 13 vulnerabilities that could cause crashes and potentially allow attackers to take control of the affected systems.
Users of Flash Player for Windows and Macintosh should update to Flash Player 11.7.700.202, while users of Flash Player for Linux should update to Flash Player 11.2.202.285, Adobe said in a security advisory.
The Flash Player versions bundled with Google Chrome on Windows and Internet Explorer 10 will be automatically updated together with those browsers through their respective update mechanisms.
A security hotfix has also been released for versions 10, 9.0.2, 9.0.1, and 9.0 of Adobe's ColdFusion application server software. This hotfix address two flaws, a remote code execution one and one that could allow an unauthorized user to remotely retrieve files stored on a vulnerable server.
The company warned ColdFusion users about the second vulnerability, identified as CVE-2013-3336, last week after receiving reports of the flaw being actively exploited by attackers.

شماره: IRCNE2013051842
تاريخ:23/02/92

شركت مايكروسافت به كاربران فيس بوك هشدار مي دهد كه يك قطعه بدافزار جديد با ظاهر يك توسعه دهنده گوگل كروم يا يك افزونه فايرفاكس مشاهده شده است و به عنوان يك تهديد براي ارتباط ربايي حساب هاي كاربري فيس بوك به شمار مي رود.
اين بدافزار اولين بار با عنوان Trojan:JS/Febipos.A در كشور برزيل مشاهده شده است و سعي مي كند تا خودش را به روز نگه دارد.
زماني كه اين بدافزار دانلود مي شود، بررسي مي كند كه آيا كامپيوتر آلوده شده وارد حساب كاربري فيس بوك شده است يا نه و پس از آن يك فايل پيكربندي شده را دانلود مي كند كه شامل فهرستي از دستورات لازم براي توسعه مرورگر مي باشد. سپس اين بدافزار يكسري عمليات را بر روي فيس بوك اجرا مي كند از جمله موافقت با يك صفحه، به اشتراك گذاري، گذاشتن مطلب، عضو گروه شدن و گفتگو با دوستان دارنده حساب كاربري.
شركت مايكروسافت توضيح نداده است كه اين بدافزار چگونه خود را نصب مي كند و يا چه تعداد حساب كاربري توسط اين بدافزار آلوده شده است.

ID: IRCNE2013051842
Date: 2013-05-13

According to "cnet", Microsoft has issued a warning that a new piece of malware masquerading as a Google Chrome extension and Firefox add-on is making the rounds, threatening to hijack Facebook accounts
First detected in Brazil, Trojan:JS/Febipos.A, the malware attempts to keep itself update, just like normal, legitimate browser extensions, Microsoft noted in a security bulletin late Friday.
Once downloaded, the Trojan monitors whether the infected computer is logged into a Facebook account and attempts to download a config file that will includes a list of commands for the browser extension. The malware can then perform a variety of Facebook actions, including liking a page, sharing, posting, joining a group, and chatting with the account holder's friends.
Microsoft did not indicate how the malware installs itself or how many infections might have occurred.

شماره: IRCNE2013051841
تاريخ: 21/02/91

گوگل قصد دارد احراز هويت دو مرحله‌اي را براي تمام كاربران اجباري كند و هر زمان كه رفتار خطرناكي بر روي دستگاه‌هاي اندرويد انجام شد، هشداري را نمايش دهد.
مدير محصولات گوگل اظهار داشت كه اين شركت در حال ايجاد تغييرات چشمگير بر روي سيستم ورود خود در يك برنامه پنج ساله است.
به گفته وي، كاربراني كه احراز هويت دو مرحله‌اي را فعال نكرده‌اند به‌زودي مجبور به اين كار خواهند شد. درصورتي‌كه كاربر موبايل خود را به همراه نداشته باشد، مي‌تواند از طريق بازيابي حساب كاربري (كه نياز به تغيير كلمه عبور دارد) وارد حساب خود گردد.
وي تأكيد كرد كه زماني كه رفتار خطرناكي بر روي دستگاه اندرويد كاربر انجام شود، گوگل به وي هشدار مي‌دهد. كاربراني كه از مكان غيرمعمولي وارد حساب كاربري خود مي‌شوند يا اينكه مقادير قابل توجهي پول انتقال مي‌دهند، بايد از احراز هويت پيشرفته مانند تست دانش، اسكن تشخيص چهره يا انگشت نگاري عبور كنند.

شماره: IRCNE2013051840
تاريخ:21/02/92

شركت ادوب به كاربران برنامه كاربردي ColdFusion هشدار داد كه اين برنامه داراي يك آسيب پذيري حياتي است و مي تواند براي دادن دسترسي به كاربران غيرمجاز مورد سوء استفاده قرار بگيرد. با استفاده از اين آسيب پذيري مي توان به فايل هاي حساس ذخيره شده بر روي سرورها دسترسي يافت.
يك راهنمايي امنيتي كه روز چهارشنبه توسط شركت ادوب منتشر شد، آمده است: اين آسيب پذيري با عنوان CVE-2013-3336 شناسايي شده است و برنامه ColdFusion نسخه هاي 10، 9.0.2، 9.0.1، 9.0 و نسخه هاي پيش از آن را بر روي ويندوز، مكينتاش و يونيكس تحت تاثير قرار مي دهد.
اين شركت در حال كار بر روي برطرف كننده اي براي اين آسيب پذيري است. اين برطرف كننده روز چهاردهم مي به طور عمومي منتشر خواهد شد. تا آن زمان، به كاربران توصيه مي شود تا دسترسي هاي عمومي به دايركتوري حساس خاص مانند CFIDE/administrator، CFIDE/adminapi و CFIDE/gettingstarted را محدود نمايند.
اطلاعات لازم در خصوص چگونگي محدود كردن دسترسي به اين دايركتوري ها درColdFusion 9 Lockdown Guide و ColdFusion 10 Lockdown Guide آمده است.

شماره: IRCNE2013051839
تاريخ: 21/02/91

روز سه‌شنبه مايكروسافت 33 آسيب‌پذيري را در 10 بولتن برطرف خواهد كرد كه دو آسيب‌پذيريمرتبط با IE آن در رده امنيتي حياتي قرار دارند.
درحالي‌كه جزئيات كمي درباره اين مسائل امنيتي ارائه شده است، بولتن امنيتي روز گذشته مايكروسافت نقايصي را در محصولات ديگري از جمله Microsoft Office، .NET Framework، Microsoft Lync و Windows Essentials نيز مشخص كرد.
بولتن شماره 1 به تمامي نسخه‌هاي IE از 6 تا 10 مرتبط بوده و سيستم‌هاي ويندوز 8 و ويندوز RT را شامل مي‌شود. اين اصلاحيه مسائل كشف شده در دو كنفرانس امنيتي در سال جاري را برطرف مي‌كند.
بولتن شماره 2 به نقص امنيتي اخير IE8 كه براي هدف قرار دادن كارمندان دولت آمريكا مورد سوء استفاده قرار گرفته بود، مرتبط است. اين شركت نرم‌افزاري اظهار داشت كه در حال كار براي ارائه يك اصلاحيه كامل براي اين نقص امنيتي بوده است كه روز پنجشنبه نيز يك اصلاحيه خارج از نوبت Fix It براي آن عرضه كرد.
هشت بولتن ديگر در رده امنيتي «مهم» قرار گرفته‌اند.
هشت اصلاحيه باقي مانده مربوط به نقايصي از خطاهاي انكار سرويس گرفته تا اجراي كد از راه دور در Microsoft Office و Lync افزايش حق دسترسي و افشاي اطلاعات در Windows Essentials 2011 و Windows Essentials 2012 هستند.
اين شركت از زمان عرضه ويندوز 8 و ويندوز RT (نزديك به 7 ماه)، 739 به‌روز رساني براي اين سيستم عامل‌ها عرضه كرده است.
اين ترميم‌هاي امنيتي در روز سه‌شنبه 14 ماه مي از طريق كانال‌هاي معمول به‌روز رساني عرضه خواهند شد.

مطالب مرتبط:
اصلاحيه فوری مايكروسافت برای IE8

شماره: IRCNE2013051838
تاريخ: 21/02/91

مايكروسافت ترميمي عرضه كرده است كه يك آسيب‌پذيري حياتي جديد را كه به‌طور گسترده مورد سوء استفاده واقع شده بود، اصلاح مي‌كند.
چندين شركت امنيتي هشدار داده بودند كه IE8 براي اجراي حملات watering hole عليه كارمندان وزارت كار و وزارت انرژي ايالات متحده آمريكا مورد استفاده قرار گرفته است. مايكروسافت در يك راهنمايي امنيتي كه جمعه هفته پيش منتشر شد نوشت كه در حال تحقيق بر روي اين گزارش‌ها است و از اين حملات آگاه است. اين شركت اين نقص امنيتي را به‌عنوان يك آسيب‌پذيري اجراي كد از راه دور تأييد كرده بود كه به مهاجمان اجازه مي‌دهد بدافزار را به يك صفحه وب يا سيستم يك كاربر تزريق نمايند.
تمامي نسخه‌هاي ويندوز كه IE8 را اجرا مي‌كنند از جمله سرور 2003، نسخه‌هاي 2008 و R2 در معرض خطر قرار دارند و مرورگرهاي IE6، IE7، IE9 و IE10 در اين مورد آسيب‌پذير نيستند.
اصلاحيه روز پنجشنبه مايكروسافت به‌صورت يك Fix It است (يك برنامه كوچك كه با يك كليك سيستم را اصلاح مي‌كند)، ولي به كاربران هشدار داده شده است كه ابتدا به‌روز رساني امنيتي ماه آوريل را نصب نمايند.
مايكروسافت توضيح داده است كه از تعداد محدودي حمله آگاه است كه IE8 را بر روي سيستم‌هاي ويندوز XP هدف قرار داده‌اند. اين شركت توصيه كرده است كه كاربران بايد اين Fix It را به كار گرفته يا اينكه گردش كار بيان شده در راهنماي امنيتي اين شركت را اعمال نمايند.

مطالب مرتبط:
كشف يک آسيب پذيری اصلاح نشده در IE8

ID: IRCNE2013051841
Date: 2013-05-11

According to “ITPro”, Google plans to make 2-factor authentication compulsory for all users, and display notifications when "risky" behaviour is carried out on Android devices.
Eric Sachs, group product manager at Google said the firm is making aggressive changes to its login system, as he detailed in a five year plan.
“The users who have not enabled our strict 2-factor login will be will be asked to pass a 2-factor challenge on nearly all sign-ins,” he noted in a draft of the Stronger Consumer Authentication report.
“If they [users] don’t have their phone with them they can still go through account recovery (which requires changing their password), and we will experiment with allowing them to pass some other risk-based challenges without needing to change their password.”
Sachs noted that Google is experimenting on displaying notifications to users when risky behavior is carried out. Users logging in from an unusual location or transferring/withdrawing substantial sums of money, will be required to pass advanced authentication such as knowledge tests, facial recognition scans, or even a fingerprint test.

ID: IRCNE2013051840
Date: 2013-05-11

According to "computerworld", Adobe has warned users of its ColdFusion application server platform of a critical vulnerability that could give unauthorized users access to sensitive files stored on their servers.
The vulnerability is identified as CVE-2013-3336 and affects ColdFusion 10, 9.0.2, 9.0.1, 9.0 and earlier versions for Windows, Macintosh and UNIX, Adobe said in an advisory published Wednesday.
The company is working on a fix and expects to release it publicly on May 14. Until then, customers are advised to restrict public access to certain sensitive directories like CFIDE/administrator, CFIDE/adminapi and CFIDE/gettingstarted.
Information on how to restrict access to these directories is provided in the ColdFusion 9 Lockdown Guide and ColdFusion 10 Lockdown Guide.

ID: IRCNE2013051839
Date: 2013-05-11

According to “ZDNet”, next week, Microsoft will patch 33 vulnerabilities in 10 bulletins relating to Internet Explorer, with two bulletins rated "critical."
While few details are given about the security issues, today's advanced security bulletin outlined flaws in a range of other products, including Microsoft Office, .NET Framework, Microsoft Lync, and Windows Essentials.
Bulletin 1 relates to all versions of Internet Explorer 6 to 10, including Windows 8 and Windows RT devices. A patch will be released to fix issues discovered at two security conferences earlier this year.
Bulletin 2 relates to the recent Internet Explorer 8 zero-day flaw designed to target U.S. government workers. The software giant said it was "working" to have a full patch ready for a critical zero-day flaw for Internet Explorer 8, in which the company issued an emergency out-of-band "Fix It" patch on Thursday.
The other eight bulletins are considered "important."
The remaining eight patches will address flaws that range from denial-of-service errors that can cause Windows to crash, to remote code exectution issues in Microsoft Office and Lync, an elevation of privileges that would allow an attacker to gain additional rights to the affected system, and information disclosure issues relating to Windows Essentials 2011 and 2012.
According to ZDNet's Mary Jo Foley, the company has delivered 739 updates for Windows 8 and Windows RT in the nearly seven month period since the two versions were launched in October. These fixes included battery life improvements to additional driver support.
The security fixes will be released on May 14 through the usual update channels, such as Windows and Microsoft Update.

Related Topics:
Microsoft releases emergency patch for critical IE8 zero-day exploit