ID: IRCNE2013041818
Date: 2013-04-17

According to “CNet”, Oracle released yesterday 128 fixes for security vulnerabilities that affect "hundreds" of its products.
The software giant and Java maker said in a pre-release announcement that four of the patches include fixes for Oracle's flagship database product, which can be exploited remotely without the need for a username or password.
Also, 29 security fixes arrived for Oracle Fusion Middleware, with 22 of these also for preventing attacks without the need for authentication.
Affected components include Oracle HTTP Server, JRockit, WebCenter, and WebLogic.
Both Oracle products have a common vulnerability scoring system (CVSS) rating of 10, described as the most severe vulnerability.
Oracle E-Business Suite contains six security fixes, Oracle Supply Chain Products Suite has three security fixes, and Oracle PeopleSoft Products contains 11 security fixes.
Dozens more fixes for various Sun-branded products and Oracle financial software arrived later yesterday when Oracle released the patches over the usual update channels.
The "critical" patch update contains more security fixes than the release in January, which contained 86 fixes. The high impact nature of these updates mean that the affected Oracle products must be patched "as soon as possible," as a result of the "threat posed by a successful attack."
The Web plug-in Java, developed by Oracle, also received a number of updates, including 42 security patches.
Out of the total number, only three vulnerabilities relate to issues that are not remotely exploitable issues, meaning the software can be attacked over a network without the need for a username or password.
Affected Java software includes Java 5 (Update 41) and earlier, Java 6 (Update 43) and earlier, and Java 7 (Update 17) and earlier. JavaFX 2.2.7 and earlier versions are also affected.

شماره: IRCNE2013041817
تاريخ:24/01/92

با توجه به تحقيقات شركت امنيتي Qualys، هزاران دوربين IP بي سيم كه به اينترنت متصل مي شوند، ضعف هاي امنيتي جدي دارند كه به مهاجمان اجازه مي دهد تا دوربين ها را ارتباط ربايي نمايند و ميان افزارهاي آن ها را تغيير دهند.
Sergey Shekyan و Artem Harutyunyan، دو محقق امنيتي از شركت Qualys كه بر روي امنيت دستگاه ها كار مي كنند، اظهار داشتند كهاين دوربين ها با برند Foscam در ايالات متحده به فروش مي رسند اما مي توان دستگاه هاي مشابهي را در اروپا و ساير كشورها پيدا كرد.
اين محققان گفتند: آموزش هاي ارائه شده توسط سازندگان دوربين ها حاوي دستورالعمل هايي در مورد چگونگي اتصال اين دوربين ها به اينترنت مي باشد. در نتيجه بسياري از اين دستگاه ها پس از اتصال به اينترنت در معرض خطر قرار دارند و مي توانند راه دور مورد حمله قرار گيرند. يافتن چنين دوربين هايي در اينترنت بسيار آسان است و با استفاده از روش هاي مختلف مي توان چنين كاري را انجام داد.
محققان امنيتي اظهار داشتند كه حدود 20 درصد دوربين ها اجازه مي دهند تا كاربران با نام كاربري "ادمين" و بدون رمز عبور وارد تنظيمات آن شوند. براي مابقي دوربين ها كه از نام هاي كاربري متفاوتي استفاده مي كنند، راه هاي ديگري وجود دارد كه بتوان از نام كاربري و رمز آن عبور كرد.
روشي كه اخيرا از يك آسيب پذيري كشف شده در واسط وب دوربين سوء استفاده كرده است، به مهاجمان اجازه مي دهد تا يك تصوير كلي از حافظه دستگاه بدست آورند. عليرغم اصلاح شدن اين آسيب پذيري توسط شركت سازنده، 99 درصد دوربين ها از نسخه هاي قديمي اين ميان افزار استفاده مي كنند.
روش ديگري وجود دارد كه با فريب ادمين به باز كردن يك لينك دستكاري شده خاص از رخنه جعل درخواست بين سايتي (CSRF) در واسط دوربين سوء استفاده مي كند. در اين حالت مهاجم مي تواند حساب كاربري ديگري براي ادمين ايجاد نمايد.
روش سوم اجراي حملات brute-force به منظور حدس زدن رمز عبور دستگاه مي باشد زيرا اين نوع دوربين ها از هيچ محافظت امنيتي براي رمزهاي عبور استفاده نمي كنند.
هنگامي كه يك مهاجم دسترسي به يك دوربين را بدست آورد مي تواند نسخه ميان افزار آن را تعيين نمايد، يك فايل را از اينترنت دانلود نمايد، آن را از خالت فشرده خارج كند، كدهاي خرابكار را به آن اضافه نمايد و آن را بر روي دستگاه نصب نمايد. از آن جا كه كد ميان افزارهاي اين دوربين ها بر مبناي لينوكس مي باشد در نتيجه مهاجمان مي توانند نرم افزارهاي دلخواه مانند يك كلاينت بات نت، يك پروكسي يا يك اسكنر را بر روي آن اجرا نمايند.
اين محققان بيان كردند كه اگر اين دوربين هاي در شبكه هاي محلي قرار داشته باشند، مي توان از طريق آن ها شبكه را شناسايي كرد و از راه دور به دستگاه هاي موجود در شبكه حمله نمود.
در صورت استفاده از اين دوربين ها مي بايست آن ها را در پشت فايروال و سيستم هاي تشخيص نفوذ با قوانين سختگيرانه قرار داد. دسترسي به آن ها تنها بايد از طريق تعدادي آدرس IP معتبر و محدود امكان پذير باشد. جداسازي دوربين از شبكه محلي نيز مي تواند ايده خوبي باشد.

شماره: IRCNE2013041816
تاريخ: 24/01/91

به گزارش سايمانتك، تروجان بانكي Shylock كه يك تروجان man-in-the-browser است، همچنان در حال ارتقاء يافتن به عنوان بخشي از يك كمپين است كه از اهداف خود در بريتانيا، به كاربراني در خارج اين كشور تغيير هدف داده است.
اين تروجان شامل يك ابزار جديد DiskSpread براي آلوده‌سازي درايوهاي خارجي و USB، يك پلاگين براي پاك كردن كلمات عبور FTP و ساير كلمات عبور، و چيزي به نام BackSocks است كه سيستم قرباني را به يك پراكسي سرور تبديل مي‌كند.
ويژگي‌هاي ديگر اين تروجان عبارتند از يك آرشيو كننده، ابزاري براي فشرده سازي فايل‌هاي ويدئويي تا به راحتي بر روي يك سرور راه دور ارسال گردند، و يك امكان VNC براي ايجاد دسترسي از راه دور به سيستم قرباني.
همچنين افزونه‌اي به نام MsgSpread نيز وجود دارد كه به Shylock راهي براي انتشار خودش با استفاده از ارتباطات اسكايپ ارائه مي‌دهد.
Shylock همچنين مي‌تواند موازنه بار انجام داده و درصورت نياز، ترافيك ورودي از قربانيان را از سروري به سرور ديگر انتقال دهد.
نكته مهم اين است كه از ماه اكتبر گذشته، اين تروجان شروع به تغيير اهداف خود به سمت ايتاليا و ايالات متحده كرده است.
به گفته سايمانتك، از آنجايي كه برخي مؤسسات مالي به علت امنيت بالا يا كم ارزش بودن حساب‌ها چندان به عنوان هدف مطلوب نيستند، Shylock حملات خود را مجدداً بر روي مؤسساتي متمركز مي‌كند كه بازگشت هزينه بيشتري داشته باشند.

شماره: IRCNE2013041815
تاريخ:24/01/92

هكرهاي ناشناس اظهار داشتند كه حملات گسترده اي را عليه بلاگ هاي وردپرس راه اندازي كرده اند و به ميزبان هايي كه از رمزهاي عبور ضعيف استفاده مي كنند، توصيه مي شود كه فورا رمزهاي عبور خود را اصلاح نمايند.
شركت هاي امنيتي، حجم بالايي از حملات "brute force" را عليه تاسيسات وردپرس ردگيري كرده اند. در بسياري از اين حملات، مهاجمان سعي كرده اند به عنوان "ادمين" وارد سيستم شوند تا از طريق هزاران رمزهاي عبور رايج، باعث ايجاد خرابي شوند.
شركت امنيتي CloudFlare در مطلب منتشر شده در روز جمعه بيان كرد كه يكي از نگراني هايي كه در رابطه با اين نوع حملات وجود دارد آن است كه مهاجمان به منظور ساخت يك بات نت بسيار بزرگ از سرورها براي آماده شدن در حملات آينده از يك بات نت ضعيف از كامپيوترهاي شخصي خانگي استفاده مي نمايند.
شركت امنيتي Incapsula بيان كرد كه سايت هاي آلوده شده از طريق راه نفوذ مخفي گسترش مي يابند و به مهاجمان اجازه مي دهند تا از راه دور كنترل سايت را در اختيار بگيرند. مهاجمان از طريق اين سايت هاي آلوده به سايت هاي ديگري كه در حال اجراي وردپرس مي باشند، حمله مي كنند و حملات حدس زدن رمز عبور را اجرا مي كنند. در برخي از اين حملات، سايت مودر حمله براي مدتي غيرقابل دسترس بوده است.
به كاربراني كه از وردپرس استفاده مي كنند، توصيه مي شود تا فورا رمزهاي عبور ضعيف خود را اصلاح نمايند.

شماره: IRCNE2013041814
تاريخ:24/01/92

شركت مايكروسافت توصيه مي كند كه يكي از اصلاحيه هاي منتشر شده در آخرين سه شنبه مايكروسافت حذف شده است زيرا كاربران رخدادهايي مانند"blue screen of death" را پس از نصب اصلاحيه ها گزارش كرده اند.
اين شركت روز سه شنبه دو اصلاحيه امنيتي با رده امنيتي "بحراني" و چند اصلاحيه با رده امنيتي "مهم" را براي ويندزو و IE منتشر كرد.
با اين حال تعدادي از كاربران ويندزو 7 مسائلي را در رابطه با به روز رساني امنيتي 2823324 كه بخشي از بولتن امنيتي MS13-036 مي باشد، گزارش كرده اند.
بولتن MS13-036، سه رخنه اي كه به صورت خصوصي افشاء شده و يك رخنه كه به صورت عمومي افشاء شده را در درايو حالت هسته ويندوز برطرف مي نمايد كه باعث افزايش حق دسترسي ها مي شود. با اين حال، پس از نصب به روز رساني امنيتي 2823324 به عنوان بخشي از اين بولتن، مشكل "STOP: c000021a {Fatal System Error}" براي كاربران ايجاد مي شود. اين خطا در ابتداي فرآيند اتفاق مي افتد و هيچ گونه فايل Memory.dmp ايجاد نمي شود.
در نتيجه شركت مايكروسافت براي برطرف شدن موقت اين مشكل، اصلاحيه مربوط به آن را حذف كرده است تا اين مشكل مورد بررسي قرار گيرد.
اين شركت به كاربران توصيه مي كند تا اصلاحيه را حذف نمايند و هشدار مي دهد مشكل ديگري كه در رابطه با به روز رساني امنيتي وجود دارد آن است كه ممكن است برنامه هاي آنتي ويروس كار خود را به درستي انجام ندهند.
غول ردموند اظهار داشت كه آنتي ويروس كسپراسكاي براي ايستگاه هاي كاري ويندوز و آنتي ويروس كسپراسكاي براي سرورهاي ويندوز نسخه 6.0.4.1424 و 6.0.4.1611 ممكن است پيغام خطايي مبني بر غيرمعتبر بودن مجوزها نشان دهد.
به روز رساني امنيتي 2823324، اصلاحيه اي است كه در رده امنيتي "مهم" قرار دارد و شركت مايكروسافت براي برطرف نمودن مشكلات موجود در IE نسخه 6 و نسخه هاي پس از آن در ويندوز xp ، 7 و ويستا منتشر كرده است.
به روز رساني هاي امنيتي براي كاربران ويندوز به صورت آنلاين يا از طريق به روز رسان ويندوز و مايكروسافت در دسترس مي باشند.

مطالب مرتبط:
سه‌شنبه اصلاحيه مايكروسافت در راه است

ID: IRCNE2013041817
Date: 2013-04-13

According to "computerworld", thousands of wireless IP cameras connected to the Internet have serious security weaknesses that allow attackers to hijack them and alter their firmware, according to two researchers from security firm Qualys.
The cameras are sold under the Foscam brand in the U.S., but the same devices can be found in Europe and elsewhere with different branding, said Qualys researchers Sergey Shekyan and Artem Harutyunyan, who analyzed the security of the devices and are scheduled to present their findings at the Hack in the Box security conference in Amsterdam on Thursday.
Tutorials provided by the camera vendor contain instructions on how to make the devices accessible from the Internet by setting up port-forwarding rules in routers. Because of this, many such devices are exposed to the Internet and can be attacked remotely, the researchers said.
Finding the cameras is easy and can be done in several ways.
Around two out of every 10 cameras allow users to log in with the default "admin" user name and no password, the researchers said. For the rest that do have user-configured passwords, there are other ways to break in.
One method is to exploit a recently discovered vulnerability in the camera's Web interface that allows remote attackers to obtain a snapshot of the device's memory.
Even though the vendor has patched this vulnerability in the latest firmware, 99% of Foscam cameras on the Internet are still running older firmware versions and are vulnerable, they said.
Another method is to exploit a cross-site request forgery (CSRF) flaw in the interface by tricking the camera administrator to open a specifically crafted link. This can be used to add a secondary administrator account to the camera.
A third method is to perform a brute-force attack in order to guess the password, because the camera has no protection against this and the passwords are limited to 12 characters, the researchers said.
Once an attacker gains access to a camera he can determine its firmware version, download a copy from the Internet, unpack it, add rogue code to it and write it back to the device.
The firmware is based on uClinux, a Linux-based operating system for embedded devices, so technically these cameras are Linux machines connected to the Internet. This means they can run arbitrary software like a botnet client, a proxy or a scanner, the researchers said.
Since the cameras are also connected to the local network, they can be used to identify and remotely attack local devices that wouldn't otherwise be accessible from the Internet, they said.
However, if this is needed, then the cameras should be deployed behind firewalls or intrusion prevention systems with strict rules.
Access to them should only be allowed from a limited number of trusted IP addresses and the maximum number of concurrent connections should be throttled, they said. Isolating the cameras from the local network is also a good idea, in order to prevent them from being abused to attack local devices.

ID: IRCNE2013041816
Date: 2013-04-13

According to “ComputerWorldUK”, the prodigious Shylock man-in-the-browser (MitB) banking Trojan is still being upgraded as part of a campaign to migrate from its traditional targets in UK financial services to foreign ones, Symantec has reported.
Malware platforms are constantly evolving but the new Shylock modules wouldn't sound out of place on a high-end commercial software product.
These include a new DiskSpread utility that allows the Trojan to infect external and USB drives, a plug-in for scraping FTP and other passwords, and something called 'BackSocks' which turns the compromised PC into a proxy server.
Other features include Archiver, a utility for compressing video files so they can be more easily uploaded to a remote server, and a 'VNC' facility to give criminals a remote connection to the victim's computer.
There is even MsgSpread, an add-on that gives Shylock a way of spreading itself using Skype connections, a feature that was first noticed in January.
Shylock can also load balance, shifting incoming traffic from victims from server to server as demand dictates.
Importantly, from roughly last October onwards it started diversifying its aim towards Italy and the US.
"As some financial institutions become less desirable as targets, either due to increased security measures or a lack of high-value business accounts, Shylock is refocusing its attacks on those offering potentially larger returns," said Symantec.

ID: IRCNE2013041815
Date: 2013-04-13

According to "computerworld", unidentified hackers are said to have have launched a large-scale attack against WordPress blogs and any hosts using weak passwords are urged to update them immediately.
Security firms have been tracking an escalating number of "brute force" attacks against WordPress installations, which have been trying out logins such as "admin" and then running through thousands of commonly-used passwords to try to break in.
"One of the concerns of an attack like this is that the attacker is using a relatively weak botnet of home PCs in order to build a much larger botnet of beefy servers in preparation for a future attack," security and website performance firm CloudFlare said in a post Friday.
Security firm Incapsula told security blog KrebsOnSecurity that infected sites are seeded with a backdoor that gives the attackers remote control of the site. "The infected sites then are conscripted into the attacking server botnet, and forced to launch password-guessing attacks against other sites running WordPress," the site reported.
It advised anyone with WordPress installation to update their password immediately to one that meets the requirements on the WordPress website.
The attack gathered steam last week, died off somewhat and picked up again Thursday morning, it said. Symptoms of the attack are slow back-end performance or an inability to log in. In some cases sites may be inaccessible for a short time, it said.

ID: IRCNE2013041814
Date: 2013-04-13

According to "zdnet", Tech giant Microsoft has recommended that an update released in the latest Patch Tuesday be removed, after users reported incidents of the "blue screen of death" after installation.
Microsoft released two critical security updates and others rated as "important" for Windows and Internet Explorer as part of its latest round of Patch Tuesday updates.
However, a number of Windows 7 users have reported issues with security update 2823324, which is part of security bulletin MS13-036.
MS13-036 was meant to fix three privately disclosed flaws and one publicly disclosed flaw in an NTFS kernel-mode driver related to the elevation of privileges when a user is logged in. However, once installed, security update 2823324 -- part of the bulletin -- may produce a "STOP: c000021a {Fatal System Error}" problem for users. The error occurs early in the startup process, and no Memory.dmp file is created.
As a result, Microsoft has temporarily pulled the patch from its security bulletin while the issue is being investigated.
Microsoft recommends that users uninstall the patch, and warns that another issue with the security update may cause anti-virus programs cease to work correctly. The Redmond giant says that Kaspersky Anti-Virus for Windows Workstations and Kaspersky Anti-Virus for Windows Servers versions 6.0.4.1424 and 6.0.4.1611 may display an error message stating that licenses for the products are not valid, and so the software will cease to function.
Security update 2823324 was meant to patch a "moderate" risk for users. Aside from the dysfunctional update, Microsoft also released patches for Internet Explorer 6 and above on Windows XP, Windows Vista and Windows 7. One flaw that can now be fixed prevents attackers from remote code execution and infiltration after a user visits malicious websites, and another stops the Remote Desktop Client being manipulated in the same manner.

شماره: IRCNE2013041813
تاريخ:21/01/92

روز گذشته شركت ادوب اصلاحيه هاي امنيتي خود را منتشر كرد. اين اصلاحيه ها شامل برطرف نمودن آسيب پذيري هاي موجود در فلش، ColdFusion و Shockwave مي باشد.
اولين بولتن شامل يك برطرف كننده فوري براي پلت فرم ColdFusion ادوب مي باشد و رخنه اي را برطرف مي كند كه مي تواند به مهاجمان اجازه دهد تا كاربران احراز هويت شده را جعل هويت نمايند يا بتوانند به كنسول ادمين ColdFusion نسخه هاي 10، 9.0.2، 9.0.1 و 9.0 بر روي ويندوز، مكينتاش و يونيكس به صورت غيرمجاز دسترسي يابند.
آسيب پذيري هاي برطرف شده در رده امنيتي "مهم" قرار دارند و مي توانند براي در اختيار گرفتن امنيت داده ها، اطلاعات حساس يا منابع كاربر مورد سوء استفاده قرار بگيرند.
دومين بولتن مربوط به بسته شدن برخي از آسيب پذيري هايي است كه منجر به خرابي ادوب فلش پلير بر روي برخي سيستم عامل ها مي شود. يك مهاجم مي تواند به طور بالقوه به منظور در اختيار گرفتن كنترل سيستم هاي آلوده از اين آسيب پذيري ها سوء استفاده نمايد.
نرم افزارهايي كه تحت تاثير اين آسيب پذيري ها قرار دارند عبارتند از: ادوب فلش پلير نسخه 11.6.602.180 و نسخه هاي پيش از آن براي ويندوز، مكينتاش، ادوب فلش پلير نسخه 11.2.202.275 و نسخه هاي پيش از آن براي لينوكس، ادوب فلش پلير نسخه 11.1.115.48 و نسخه هاي پيش از آن براي اندرويد 4.x، ادوب فلش پلير نسخه 11.1.111.44 و نسخه هاي پيش از آن براي اندرويد 3.x و 2.x، Adobe AIR نسخه 3.6.0.6090 و نسخه هاي پيش از آن براي ويندوز و مكينتاش و اندرويد و Adobe AIR SDK & Compiler نسخه 3.6.0.6090 و نسخه هاي پيش از آن.
آخرين بولتن نيز مربوط به Shockwave Player مي شود كه چندين آسيب پذيري بسيار مهم را براي هر دو سيستم عامل ويندوز و مكينتاش برطرف مي نمايد. سوء استفاده موفقيت آميز از يك سرريز بافر و آسيب پذيري تخريب حافظه به مهاجم اجازه مي دهند تا كد دلخواه را بر روي سيستم هاي آلوده شده اجرا نمايند. در اين بولتن يك مشكل نشت حافظه نيز برطرف شده است.