شماره: IRCNE2013031802
تاريخ: 11/01/92

يك نقص امنيتي در نرم‌افزار پركاربرد BIND DNS مي‌تواند توسط مهاجمان راه دور مورد سوء استفاده قرار گيرد تا سرورهاي DNS را از كار بيندازد و بر عملكرد برنامه‌هاي ديگري كه بر روي سيستم در حال اجرا هستند، تأثير بگذارد.
اين نقص امنيتي از روش پردازش عبارات با قاعده توسط كتابخانه libdns كه بخشي از نرم‌افزار BIND است، نشأت مي‌گيرد. بنا بر راهنمايي امنيتي منتشر شده توسط ISC، BIND نسخه‌هاي 9.7.x، 9.8.0 تا 9.8.5b1 و 9.9.0 تا 9.9.3b1 براي سيستم‌هاي يونيكس در دسترس قرار دارد. نسخه‌هاي ويندوزي BIND تحت تأثير اين آسيب‌پذيري قرار ندارند.
BIND پركاربردترين نرم‌افزار سرور DNS بر روي اينترنت بوده و استاندارد عملي نرم‌افزار DNS براي بسياري از سيستم‌هاي مشابه يونيكس از جمله لينوكس، سولاريس، ويرايش‌هاي مختلف BSD و Mac OS X به شمار مي‌رود.
اين آسيب‌پذيري مي‌تواند از طريق ارسال درخواست‌هاي دستكاري شده خاص به نسخه‌هاي آسيب‌پذير BIND و مصرف بيش از حد منابع حافظه، مورد سوء استفاده قرار گيرد. اين مسأله مي‌تواند منجر به اختلال در كار پروسه سرور DNS و عملكرد ساير برنامه‌ها گردد.
سوء استفاده عمدي از اين شرايط در تمامي سرورهاي نام دامنه كه نسخه‌هاي آسيب‌پذير را اجرا مي‌كنند، مي‌تواند منجر به انكار سرويس گردد. ISC اين آسيب‌پذيري را در رده حياتي قرار داده است.
يك گردش كاري پيشنهادي توسط ISC اين است كه BIND بدون پشتيباني عبارات باقاعده كامپايل گردد كه شامل ويرايش دستي فايل config.h با استفاده از دستورات ارائه شده در اين راهنمايي امنيتي است. تأثير انجام اين كار در مقاله مجزايي توسط ISC توضيح داده شده است.
اين سازمان همچنين BIND نسخه‌هاي 9.8.4-P2 و 9.9.2-P2 را عرضه كرده است كه پشتيباني عبارات باقاعده در آن به‌طور پيش‌فرض غيرفعال شده است. BIND 9.7.x ديگر پشتيباني نشده و به‌روز رساني دريافت نمي‌كند.
به گفته ISC، نرم‌افزار BIND 10 تحت تأثير اين آسيب‌پذيري قرار ندارد. اما اين نسخه در حال حاضر كامل نبوده و ممكن است جايگزين مناسبي براي BIND 9 نباشد.
ISC اظهار كرد كه در حال حاضر كد سوء استفاده فعال و شناخته شده‌اي براي اين آسيب‌پذيري وجود ندارد. اما ممكن است به زودي اين اتفاق رخ دهد.

ID: IRCNE2013031803
Date: 2013-03-31

According to “CNet”, Apple's nearly year-and-a-half old iMessage service has been found to be vulnerable to an attack that uses a flood of messages, or messages so long that the application is rendered unstable.
According to a report from The Next Web, a small group of developers have found themselves the target of an attack that does one of those things -- sending what could be thousands of messages.
The source is suspected to be someone with involvement in pirated iOS software, who could have gotten some basic information needed to send another user a message through Apple's messaging service, The Next Web says. That same individual (or group of individuals) is also said to be using throwaway e-mail accounts, making it difficult to trace it back or block future attacks.
CNET has contacted Apple for more information about the issue, and will update this post when we know more.
iMessage is Apple's proprietary messaging platform used between iOS devices, as well as Macs, replacing the need to use text messages on the former. The feature was added in iOS 5, and into Mac OS X in version 10.8 Mountain Lion inside of the Messages app. Apple said in January that its users were now sending more than 2 billion messages on the services each day.

ID: IRCNE2013031802
Date: 2013-03-31

According to “ComputerWorld”, a flaw in the widely used BIND DNS (Domain Name System) software can be exploited by remote attackers to crash DNS servers and affect the operation of other programs running on the same machines.
The flaw stems from the way regular expressions are processed by the libdns library that's part of the BIND software distribution. BIND versions 9.7.x, 9.8.0 up to 9.8.5b1 and 9.9.0 up to 9.9.3b1 for UNIX-like systems are vulnerable, according to a security advisory published Tuesday by the Internet Systems Consortium (ISC), a nonprofit corporation that develops and maintains the software. The Windows versions of BIND are not affected.
BIND is by far the most widely used DNS server software on the Internet. It is the de facto standard DNS software for many UNIX-like systems, including Linux, Solaris, various BSD variants and Mac OS X.
The vulnerability can be exploited by sending specifically crafted requests to vulnerable installations of BIND that would cause the DNS server process -- the name daemon, known as "named" -- to consume excessive memory resources. This can result in the DNS server process crashing and the operation of other programs being severely affected.
"Intentional exploitation of this condition can cause denial of service in all authoritative and recursive nameservers running affected versions," the ISC said. The organization rates the vulnerability as critical.
One workaround suggested by the ISC is to compile BIND without support for regular expressions, which involves manually editing the "config.h" file using instructions provided in the advisory. The impact of doing this is explained in a separate ISC article that also answers other frequently asked questions about the vulnerability.
The organization also released BIND versions 9.8.4-P2 and 9.9.2-P2, which have regular expression support disabled by default. BIND 9.7.x is no longer supported and won't receive an update.
"BIND 10 is not affected by this vulnerability," the ISC said. "However, at the time of this advisory, BIND 10 is not 'feature complete,' and depending on your deployment needs, may not be a suitable replacement for BIND 9."
According to the ISC, there are no known active exploits at the moment. However, that might soon change.

شماره: IRCNE2013031801
تاريخ:92/01/07

گزارشي جديد از Websense نشان مي دهد كه حدود 94 درصد از نقاط پاياني كه از جاواي اوراكل استفاده مي كنند، آسيب پذير مي باشند اما كاربران اغلب به روز رساني ها را ناديده مي گيرند.
با توجه به گفته محققان Websense، تنها حملات zero-day نيستند كه به عنوان يك تهديد دائمي به حساب مي آيند بلكه در حال حاضر سوء استفاده از جاوا ابزاري محبوب براي مجرمان سايبري است.
با توجه به تعداد آسيب پذيري ها، به روز نگه داشتن مرورگرها، مساله اي بسيار مهم مي باشد به خصوص كه جاوا بايد به طور مستقل از مرورگرهاي مورد نظر و تلفن هاي همراه به روز رساني شود.
محققان دريافتند كه تنها 5 درصد از كاربران از جديدترين نسخه جاوا، نسخه 1.7.17 استفاده مي كنند و مابقي بيشتر از نسخه هاي قديمي جاوا استفاده مي كنند و اين امر باعث مي شود تا در معرض حملات مجرمان قرار گيرند.
در حال حاضر نسخه 1.6.16 به طور گسترده توسط كاربران استفاده مي شود. بيش از 75 درصد از مرورگرها در حال استفاده از نسخه هايي از جاوا هستند كه شش ماه گذشته به روز رساني شده است و دو سوم اين نسخه ها يكسال گذشته به روز رساني شده است.

ID: IRCNE2013031801
Date: 2013-03-27

According to "zdnet", a new Websense report suggests that approximately 94 percent of endpoints which run Oracle's Java are vulnerable to at least one exploit, and we are ignoring updates at our own peril.
According to security researchers at Websense, it's not just zero-day attacks which remain a persistent threat. Instead, Java exploits are now a popular tool for cybercriminals.
With so many vulnerabilities, keeping browsers up-to-date can become an issue — especially as Java has to be updated independently from our preferred browser, and a mobile, cross-browser workforce is difficult to manage securely.
The researchers found that the latest version of Java, version 1.7.17, is only in use by a dismal five percent of users, and many versions are months or years out of date — just begging to be exploited.
The most widely-detected version of Java currently in use is version 1.6.16. Over 75 percent of browsers are using Java versions which are at least 6 months old, whereas nearly two-thirds are a year out of date, and 50 percent of Java versions in use are over two years behind the times in respect to Java vulnerabilities.
All in all, the researchers say that the vulnerable population of browsers is pegged at a staggering 93.77 percent.

شماره: IRCNE2013031800
تاريخ: 05/01/91

به كاربران توئيتر در ژاپن در مورد پيغام‌هايي حاوي لينك‌هايي كه باعث از كار افتادن مرورگرهاي موبايل و كامپيوتر شخصي مي‌شود، هشدار داده شده است.
به نظر مي‌رسد كه بسياري از اين پيغام‌ها توسط يك حساب كاربري مصنوعي ارسال مي‌شود و با لحني زنانه از كاربر مي‌خواهد كه از يك بلاگ ديدن نمايد. اما لينك مقصد با استفاده از جاوا اسكريپت يك حلقه بي‌نهايت ايجاد كرده و به كاربر پيغام مي‌دهد كه «اين پيغام پاك نخواهد شد. مهم نيست چند بار كليك كنيد».
به نظر مي‌رسد كه اين URL ها تخريب ماندگار و خطر امنيتي جدي براي قرباني خود ايجاد نمي‌كنند.
شركت امنيتي Trend Micro در بلاگ خود نوشت كه براي اولين بار در ماه آوريل سال گذشته اين URL ها را شناسايي كرده است و آنها را «اخلالگر مرورگر» ناميده است. ولي در هفته‌هاي اخير حجم اين لينك‌ها افزايش جدي پيدا كرده است و اين شركت از هفتم تا نوزدهم مارچ، 300 مورد را شناسايي كرده است.
به گفته Trend Micro، تحليل‌ها نشان مي‌دهد كه اين فقط يك حلقه ساده بي‌نهايت است كه با جاوا اسكريپت نوشته شده است و حمله‌اي با استفاده از آسيب‌پذيري يك برنامه نيست.
اين شركت اظهار كرد كه موج جديد اين URL ها، مرورگرهاي سيستم‌هاي ويندوز، اندرويد و iOS را تحت تأثير قرار مي‌دهد.
Trend Micro توصيه كرده است كه كساني كه بر روي اين لينك‌ها كليك كرده‌اند، مرورگر خود را مجدداً راه‌اندازي نمايند. اما از آنجايي كه برخي مرورگرهاي موبايل، به‌طور خودكار آخرين صفحه مشاهده شده را باز مي‌كنند، ممكن است لازم باشد كه كاربر cache مرورگر را نيز پاك نمايد يا اينكه جاوا اسكريپت خود را غيرفعال كند.

ID: IRCNE2013031800
Date: 2013-03-25

According to “ComputerWorld”, Twitter users in Japan have been warning of a growing number of messages with embedded links that cause mobile and PC browsers to display taunting messages and freeze.
Many of the messages are sent by what appear to be dummy accounts with a message that asks users to visit a blog, using feminine speech and heart icons. But the destination link uses JavaScript to create an endless loop and displays a pop-up dialog that reads "this won't disappear no matter how many times you click" and a taunting face.
The URLs appear to cause no lasting damage to their target and pose no security risk.
Many on Twitter posted warnings through the weekend in Japanese not to click on the blog invites. Older tweets included messages asking how to restart their frozen browsers.
In a blog posting Friday, Tokyo-based security firm Trend Micro said it had first identified the URLs, which it calls "browser crashers," in April of last year. But it said they had spiked in recent weeks, with the company identifying 300 cases from March 7 through March 19.
"From our analysis of the makeup of the browser crasher page, it appears to be a simple endless loop written in JavaScript, and not an illicit program or attack on another program's weak point," Trend Micro wrote.
The company said the current wave of URLs affect browsers in Windows, Android and iOS.
Trend Micro recommends that those who click on one of the links restart their browsers or mobile phones. Because some mobile browsers automatically reopen the last page visited, it may also be necessary for users to clear their caches or turn off JavaScript to escape the loop.

شماره: IRCNE2013031799
تاريخ: 04/01/92

شركت‌هاي امنيتي كه در حال تحليل كد مورد استفاده در حملات سايبري عليه كره جنوبي بوده‌اند، اجزاي خرابكاري را كشف كرده‌اند كه براي تخريب كامپيوترهاي آلوده طراحي شده‌اند.
تحليل سايمانتك نشان مي‌دهد كه در درون يكي از بدافزارهاي ويندوزي مورد استفاده در اين حملات، جزئي قرار دارد كه سيستم‌هاي لينوكس را پاك مي‌كند. به گفته سايمانتك اين بدافزار كه Jokra ناميده مي‌شود، غيرمعمول است. اين شركت در بلاگ خود نوشت كه ما به‌طور معمول اجزايي را كه بر روي سيستم عامل‌هاي متعدد كار مي‌كنند، مشاهده نمي‌كنيم، در نتيجه كشف اينكه مهاجمان از جزئي درون يك تهديد ويندوزي براي پاكسازي سيستم‌هاي لينوكس استفاده مي‌كنند، جالب است.
به گفته سايمانتك، Jokra همچنين سيستم‌هايي را كه ويندوز XP و ويندوز 7 دارند در مورد وجود برنامه‌اي به نام mRemote بررسي مي‌كند كه يك ابزار دسترسي از راه دور است كه مي‌تواند براي مديريت تجهيزات بر روي پلتفورم‌هاي مختلف مورد استفاده قرار گيرد.
كره جنوبي در حال تحقيق بر روي حملات روز چهارشنبه گذشته است كه حداقل سه ايستگاه تلويزيوني و چهار بانك را تحت تأثير قرار داد.
مك‌آفي نيز تحليلي در مورد كد اين حمله منتشر كرده است كه بر روي ركورد راه‌اندازي اصلي (MBR) يك كامپيوتر نوشته شده بود. MBR نخستين سكتور از درايو سخت كامپيوتر است كه كامپيوتر پيش از راه‌اندازي سيستم عامل، آن را چك مي‌كند. MBR يك كامپيوتر توسط يكي از دو رشته مشابه PRINCPES يا PR!NCPES بازنويسي مي‌شود. به گفته مك‌آفي، تخريب ايجاد شده مي‌تواند هميشگي باشد. درصورتي‌كه MBR تخريب گردد، كامپيوتر قادر به راه‌اندازي نخواهد بود.
دو تحليلگر بدافزار در مك‌آفي نوشته‌اند كه اين حمله همچنين بخش‌هاي تصادفي از سيستم فايل را نيز توسط رشته‌هاي مشابه بازنويسي كرده است كه در نتيجه آن، فايل‌هاي زيادي غير قابل بازيابي شده‌اند.
اين بدافزار همچنين سعي مي‌كند محصولات آنتي‌ويروس كره جنوبي را كه توسط شركت‌هاي Ahnlab و Hauri ساخته شده‌اند، از كار بيندازد. يك جزء ديگر نيز سعي مي‌كند سيستم‌هاي يونيكس، لينوكس و HP-UX را پاك كند.

ID: IRCNE2013031799
Date: 2013-03-24

According to “ComputerWorld”, security vendors analyzing the code used in the cyberattacks against South Korea are finding nasty components designed to wreck infected computers.
Tucked inside a piece of Windows malware used in the attacks is a component that erases Linux machines, an analysis from Symantec has found. The malware, which it called Jokra, is unusual, Symantec said.
"We do not normally see components that work on multiple operating systems, so it is interesting to discover that the attackers included a component to wipe Linux machines inside a Windows threat," the company said on its blog.
Jokra also checks computers running Windows XP and 7 for a program called mRemote, which is a remote access tool that can used to manage devices on different platforms, Symantec said.
South Korea is investigating the Wednesday attacks that disrupted at least three television stations and four banks. Government officials reportedly cautioned against blaming North Korea.
McAfee also published an analysis of the attack code, which wrote over a computer's master boot record, which is the first sector of the computer's hard drive that the computer checks before the operating system is booted.
A computer's MBR is overwritten with either one of two similar strings: "PRINCPES" or "PR!NCPES." The damage can be permanent, McAfee wrote. If the MBR is corrupted, the computer won't start.
"The attack also overwrote random parts of the file system with the same strings, rendering several files unrecoverable," wrote Jorge Arias and Guilherme Venere, both malware analysts at McAfee. "So even if the MBR is recovered, the files on disk will be compromised too."
The malware also attempts to shut down two South Korean antivirus products made by the companies Ahnlab and Hauri. Another component, a BASH shell script, attempts to erase partitions Unix systems, including Linux and HP-UX.

شماره: IRCNE2013031797
تاريخ: 03/01/92

شركت اپل مسأله امنيتي مربوط به صفحه بازنشاني كلمه عبور Apple ID را ترميم كرد. اين آسيب‌پذيري اين امكان را براي هكرها ايجاد مي‌كرد كه با در اختيار داشتن آدرس ايميل و تاريخ تولد يك كاربر، كلمه عبور وي را تغيير دهند.
اپل روز گذشته اعلام كرد كه از اين مسأله آگاه بوده و در حال آماده‌سازي يك ترميم براي آن بوده است. همزمان، اين شركت صفحه iForgot خود را غيرفعال نمود. اكنون اين صفحه مجدداً بارگذاري شده است و اپل مشكل پيش آمده را برطرف كرده است.
اين مسأله امنيتي از يك URL خاص مرتبط با پاسخگويي به سؤال امنيتي استفاده مي‌كرد. اپل ماه آوريل گذشته سؤال امنيتي را به صفحه كلمه عبور خود افزوده بود.
اين آسيب‌پذيري در حساب كاربراني كه صحت‌سنجي دو مرحله‌اي كلمه عبور را فعال كرده بودند كار نمي‌كرد، چرا كه اين سيستم با ارسال يك كد عبور چهار رقمي به تلفن همراه كاربر، نياز به سؤال امنيتي را منتفي مي‌كند.
البته به تعدادي از دارندگان Apple ID گفته شده بود كه بايد سه روز تا فعال‌سازي صحت‌سنجي دو مرحله‌اي كلمه عبور خود صبر نمايند. علاوه بر اين، سيستم صحت‌سنجي دو مرحله‌اي كلمه عبور اكنون فقط در ايالات متحده آمريكا، انگلستان، استراليا، ايرلند و نيوزلند در دسترس قرار دارد.
بيش از 500 ميليون حساب فعال Apple ID وجود دارد كه در فروشگاه‌ها و سرويس‌هاي آنلاين متنوع اين شركت از جمله iCloud مورد استفاده قرار مي‌گيرند.
مطالب مرتبط:
صحت‌سنجي دو مرحله‌اي براي Apple ID