شماره: IRCNE2013021772
تاريخ:08/12/91

شركت لهستاني Security Explorations روز گذشته اعلام كرد كه دو مشكل جديد را در پلاگين مرورگر اوراكل كشف كرده است. اين شركت اشاره كرد كه جزئيات اين رخنه از جمله كد سوء استفاده را براي اوراكل ارسال كرده است.
Adam Gowdiak گفت: پس از بررسي هاي انجام شده بر روي نرم افزار Java SE 7 كه روز نوزدهم فوريه منتشر شده است، دو مساله امنيتي جديد را كشف كرديم كه در تركيب با يكديگر مي توانند به طور موفقيت آميز براي دور زدن sanbox امنيتي جاوا مورد استفاده قرار بگيرند. اين آسيب پذيري هاي جديد تنها جاوا نسخه 7 را تحت تاثير قرار مي دهند. جاوا نسخه 6 كه شركت اوراكل آن را به طور رسمي بازنشسته كرده است و پشتيباني نمي كند، اين مشكلات را ندارد.
جاوا با تعداد بالايي آسيب پذيري هاي رفع نشده مواجه است. اين آسيب پذيري ها قبل از آن كه اصلاح شوند، توسط مجرمان مورد سوء استفاده قرار مي گيرند. امسال شركت اوراكل مجبور شد تا دو اصلاحيه امنيتي فوري را براي بستن چنين آسيب پذيري هايي منتشر سازد.
Gowdiak تاكيد كرد كه آسيب پذيري هاي جديد مي توانند با يكديگر تركيب شوند تا از فناوري sandbox جاوا عبور نمايند و به ماشين هايي كه پلاگين جاوا را نصب كرده اند، حمله كنند.
كارشناسان امنيتي بار ديگر به كاربران جاوا توصيه مي كنند تا جاوا را بر روي سيستم هاي خود غيرفعال نمايند و در صورت امكان آن را از روي سيستم حذف كنند.

مطالب مرتبط:
انتشار اصلاحيه هاي اوراكل براي جاوا
به‌روز رساني جاوا در OS X
به روز رساني حياتي اوراكل براي جاوا
كشف يك به روز رساني جعلي براي جاوا
كشف آسيب پذيري هاي بحراني در جاوا 7 به روز رساني 11
توصيه به كاربران جاوا: هم چنان جاوا را غيرفعال نگه داريد
انتشار اصلاحيه هاي خارج از نوبت جاوا
بدافزار جديد سوءاستفاده كننده از جاوا 7
هشدار به كاربران اينترنت: جاوا را در مروگرهاي خود غيرفعال نماييد

ID: IRCNE2013021772
Date: 2013-02-26

According to "computerworld", a Polish security firm known for rooting out Java vulnerabilities has reported two new bugs in the browser plug-in to Oracle, Security Explorations said today.
On its bug-reporting status page, Security Explorations noted that it had submitted details of the flaws, including proof-of-concept exploit code, to Oracle.
"We had yet another look into Oracle's Java SE 7 software that was released by the company on Feb. 19," said Adam Gowdiak, in an email reply to questions today. "As a result, we have discovered two new security issues, which when combined together, can be successfully used to gain a complete Java security sandbox bypass in the environment of Java SE 7 Update 15 (1.7.0_15-b03)."
Oracle shipped Java 7 Update 15 (7u15) on Feb. 19, bundling patches first released in a Feb. 1 emergency update with fixes for five more vulnerabilities.
The new vulnerabilities affect only Java 7, said Gowdiak in another email. Java 6, which Oracle has officially retired from support, does not contain the bugs.
Java has faced an increasing number of "zero-day" vulnerabilities, bugs that are exploited by criminals before those flaws are patched, or even known by the vendor. Oracle has been forced to rush out patches twice this year to close those holes.
The newest vulnerabilities can be combined to circumvent Java's anti-exploit "sandbox" technology, Gowdiak confirmed, and used to attack machines whose browsers have the Java plug-in installed.
Not surprisingly, other security experts today again urged users to disable or even uninstall Java.

Related Link:
Oracle to release yet more patches for Java
Apple restores Java on OS X
Oracle releases Java patch update
Malware masquerades as patch for Java
Researchers find critical vulnerabilities in Java 7 Update 11
Homeland Security still advises disabling Java, even after update
Oracle pushes out Java patches as zero-day vulnerabilities exposed
Java security fix coming shortly
New malware exploiting Java 7 in Windows and Unix systems
US-CERT: Disable Java in browsers because of exploit

شماره: IRCNE2013021771
تاريخ: 5/12/91

آي‌بي‌ام نرم‌افزار جديدي را راه‌اندازي كرده است كه به توسعه دهندگان نرم‌افزار كمك مي‌كند كد و داده‌هاي خود را در برنامه‌هاي آيفون و آيپد امن نمايند.
AppScan Source 8.7 براي سيستم‌هاي iOS، كد برنامه را جستجو كرده و زماني كه يك نقص امنيتي كشف كند، به توسعه دهندگان برنامه پيغام مي‌دهد.
اين نرم‌افزار همچنين برنامه‌ها را مورد تحليل قرار مي‌دهد كه كارمندان مي‌توانند از آن بر روي سيستم‌هاي اپل استفاده كرده و آسيب‎‌پذيري‌ها را كشف نمايند و به كارمندان بخش امنيت آي‌تي در مورد تهديدات بالقوه هشدار دهند.
به گفته آي‌بي‌ام، بيش از 45.6 ميليارد برنامه موبايل در سال 2012 دانلود شده است كه نشان دهنده اهميت امن سازي تلفن‌هاي هوشمند و ساير تجهيزات براي سازمان‌ها است.
آي‌بي‌ام AppScan Source را با بررسي بيش از 40 هزار API موبايل براي برنامه‌هاي iOS با استفاده از كيت توسعه نرم‌افزار iOS اپل توسعه داده است. اين پروفايل‌هاي API به پايگاه دانش امنيت AppScan Source اضافه شده و به موتور تحليل‌گر مرتبط شده‌اند.
اين نرم‌افزار همچنين پشتيباني كامل زبان‌هاي Objective-C، جاوا اسكريپت و جاوا را دارا است. قابليت‌هاي جديد اين نرم‌افزار، سازمان‌ها را قادر مي‌سازد كه صرفنظر از تكنولوژي انتخابي، برنامه‌هاي امن موبايل را براي كارمندان و شركاي خود بسازند.
يكي از شركت‌هايي كه AppScan Source را براي iOS مورد استفاده قرار داده است، شركت فناوري موبايل KiwiTech است. مدير اجرايي KiwiTech اظهار كرد كه شركت مطبوع وي، صدها برنامه براي iOS و اندرويد توسعه داده است و با رشد بدافزارهاي موبايلي و نشت داده‌ها، مشتريان به دنبال راه‌هايي براي امن سازي برنامه‌هاي iOS و اندرويد و محافظت از داده‌هاي خود هستند. به گفته وي، اين نرم‌افزار به اين شركت كمك خواهد كرد كه به‌طور پيش‌گيرانه برنامه‌هاي موبايل را امن نمايد و تست امنيتي را به‌طور خودكار انجام دهد.
مدير امنيت برنامه‌ها، داده‌ها و موبايل شركت آي‌بي‌‍ام نيز گفت كه قابليت جديد به مشتريان كمك خواهد كرد كه امنيت را در زيرساخت و راهكارهاي خود در فازهاي طراحي، توسعه و تست اعمال نمايند.
AppScan Source براي سيستم‌هاي iOS از 25 مارس در دسترس خواهد بود. آي‌بي‌ام توليد محصولات رده AppScan را در سال 2008 آغاز كرد. اين شركت پيش از اين نيز نسخه‌اي از اين نرم‌افزار را عرضه كرده بود كه برنامه‌هاي اندرويد را اسكن مي‌كند.

شماره: IRCNE2013021770
تاريخ:05/12/91

با توجه به گزارش شركت مك آفي، در چند سال گذشته بنگاه هاي مالي، هدف مورد علاقه حملات پيچيده بوده اند. اما مجرمان سايبري در حال حركت به سمت بخش هاي اقتصادي ديگر هستند.
در گزارش منتشر شده توسط مك آفي، محققان امنيتي برخي از طرح هاي جديد در اين زمينه و حملات سطح بالاي ديگر را مشخص كرده اند. از جمله تهديدات پيشرفته مي توان به Operation High Roller و Project Blitzkrieg اشاره كرد. هر دو روش، زيرساخت هاي بنگاه هاي مالي را مورد حمله قرار داده اند.
در اين گزارش Vincent Weafer، مدير شركت مك آفي توضيح مي دهد كه چرا بسياري از مجرمان سايبري به حملات عليه زيرساخت هاي دولتي، تجاري و توليد علاقه مند هستند.
محققان امنيتي شركت مك آفي پيش بيني مي كنند كه حملات صورت گرفته در سال 2012، در سال 2013 كاهش داشته اند و البته در سال 2013 از برخي حملات جايگزين استفاده شده است.

شماره: IRCNE2013021769
تاريخ: 5/12/91
توئيتر استانداردي به نام DMARC (استاندارد جلوگيري از جعل ايميل) را پياده‌سازي كرده است تا ارسال ايميل‌هاي سرقت هويت را كه به نظر مي‌رسد از آدرس‌هاي twitter.com ارسال شده‌اند، سخت‌تر نمايد.
كاربران توئيتر معمولاً در حملات سرقت هويت هدف قرار مي‌گيرند. اين حملات سعي مي‌كنند ايميل‌هاي جعلي را به جاي ايميل‌هاي رسمي اين شركت جا بزنند. اين ايميل‌هاي سرقت هويت، كاربران را به وب‌سايت‌هاي جعلي مشابه توئيتر هدايت كرده و اطلاعات آنان را سرقت مي‌نمايند.
روز پنجشنبه يكي از مديران توئيتر در وبلاگ اين شركت نوشت كه در اوايل ماه جاري ميلادي، اين شركت شروع به استفاده از يك تكنولوژي جديد به نام DMARC كرده است كه احتمال دريافت ايميل‌هاي جعلي از آدرس‌هاي توئيتر را به صفر نزديك مي‌كند. DMARC يك پروتكل امنيتي نسبتاً جديد است كه توسط يك گروه از سازمان‌ها براي كمك به كاهش احتمال سوء استفاده‌هاي ايميلي ايجاد شده است.
DMARC كه معادل اختصاري عبارت Domain-based Message Authentication, Reporting & Conformance است، استانداردي براي پياده‌سازي سيستم‌هاي اعتبارسنجي و احراز هويت پيغام ايميل است.
اين تكنولوژي‌ها مي‌توانند براي بررسي صحت آدرس فرستنده مورد ادعاي ايميل مورد استفاده قرار گيرند. هدف DMARC، رسيدن به يك پياده‌سازي واحد اين سيستم‌ها در ميان ارائه دهندگان اصلي سرويس‌هاي ايميل و ساير شركت‌هايي كه از اعتبارسنجي ايميل استفاده مي‌كنند، مي‌باشد.
DMARC توسط تمامي چهار ارائه دهنده اصلي ايميل (گوگل، مايكروسافت، ياهو و اي‌او‌ال) پشتيباني مي‌شود. همچنين اين تكنولوژي توسط سرويس‌هايي مانند فيس‌بوك، PayPal، آمازون و اكنون توئيتر پياده‌سازي شده است.
اگرچه پشتيباني توئيتر از DMARC به ارائه دهندگان سرويس‌هاي ايميل كمك مي‌كند كه مانع رسيدن ايميل‌هاي داراي آدرس‌هاي جعلي ;@twitter.com به صندوق‌هاي پستي مشتريان شوند، ولي اين تكنولوژي جلوي ايميل‌هاي سرقت هويتي را كه وانمود مي‌كنند از طرف توئيتر هستند اما از آدرس‌هاي twitter.com استفاده نمي‌كنند، نمي‌گيرد. اين بدان معناست كه كاربران بايد همچنان هشيار بوده و به تمامي جزئيات ايميل‌هايي كه ظاهراً از اين شركت دريافت كرده‌اند، دقت نمايند.

شماره: IRCNE2013021768
تاريخ: 5/12/91

روز گذشته مايكروسافت در وب‌سايت خود اعلام كرد كه تعداد نامعيني از كامپيوترهاي واحد تجاري Mac اين شركت توسط بدافزار آلوده شده‌اند. اين شركت اظهار كرد كه تعداد سيستم‌هاي آلوده كم بوده است و هيچ نشانه‌اي نيز مبني بر به سرقت رفتن داده‌هاي مشتريان اين شركت وجود ندارد، اما تحقيقات همچنان در جريان است. به گفته مايكروسافت، تكنيك اين حمله مشابه حملات سايبري است كه اپل و فيس‌بوك را هدف قرار داده بودند.
به اين ترتيب مايكروسافت نيز به فهرست شركت‌هايي پيوست كه اخيراً هك شده‌اند. اين شركت‌ها عبارتند از: فيس‌بوك، اپل، توئيتر، نيويورك تايمز و وال استريت ژورنال.
اپل و فيس‌بوك هر دو از طريق يك آسيب‌پذيري در پلتفورم جاواي اوراكل مورد حمله قرار گرفته بودند و مايكروسافت نيز روز جمعه اعلام كرد كه توسط حمله مشابهي هدف قرار گرفته است.
اين شركت اظهار كرد كه نوع اين حمله سايبري براي مايكروسافت و شركت‌هاي ديگري كه بايد با دشمنان مشخص و هميشگي خود درگير شوند، عجيب نبوده است.
تايمز، ژورنال و اپل همگي چين را به عنوان منبع اين حملات معرفي كرده بودند. توئيتر چيزي در مورد منبع حملات نگفته بود، ولي 250 هزار نفر از كاربران خود را مجبور به تغيير كلمه عبور كرده بود. چين نقش خود را در اين حملات انكار كرده است.

مطالب مرتبط:
حمله بدافزاري عليه اپل
فيس بوك، هدف حمله هكرها
توئيتر هك شد

شماره: IRCNE2013021767
تاريخ:05/12/91

شركت ادوب يك اصلاحيه براي برطرف نمودن حفره هاي امنيتي بحراني در نرم افزارهاي Reader و آكروبات خود منتشر كرد.
روز پنج شنبه، اصلاحيه هاي امنيتي ادوب رخنه هايي را برطرف نموده اند كه مي توانند باعث خرابي در برنامه هاي كاربردي شوند و به طور بالقوه به يك مهاجم اجازه دهند تا كنترل يك سيستم آلوده را در اختيار بگيرند. شركت ادوب هفته گذشته تاييد كرد كه در حال حاضر كدهاي سوء استفاده كننده مي توانند در برخي حملات هدفمند عليه سيستم هاي آسيب پذير مورد استفاده قرار بگيرند.
اين اصلاحيه ها، محصولات و نسخه هاي زير را تحت تاثير قرار مي دهند:
Adobe Reader XI نسخه 11.0.01 و نسخه هاي پيش از آن براي ويندوز و مكينتاش
Adobe Reader X نسخه 10.1.5 و نسخه هاي پيش از آن براي ويندزو و ميكنتاش
Adobe Reader نسخه 9.5.3 و نسخه هاي پيش از 9.x براي ويندوز، مكينتاش و لينوكس
Adobe Acrobat XI نسخه 11.0.01 و نسخه هاي پيش از آن براي ويندوز و مكينتاش
Adobe Acrobat X نسخه 10.1.5 و نسخه هاي پيش از آن براي ويندزو و ميكنتاش
Adobe Acrobat نسخه 9.5.3 و نسخه هاي پيش از 9.x براي ويندوز، مكينتاش و لينوكس
اين اصلاحيه ها نسخه نرم افزارهاي Reader و آكروبات را به روز رساني خواهد نمود. به عنوان مثال، اعمال اصلاحيه ها بر روي Adobe Reader X نسخه 10.1.5، اين نرم افزار را به نسخه 10.1.6 به روز رساني خواهد نمود.
افرادي كه از اين محصولات استفاده مي كنند، پس از راه اندازي نرم افزار، يك اخطار به روز رساني را دريافت خواهند كرد. اگر كاربران اين پيام به روز رساني را دريافت نكردند، مي توانند با كليك كردن بر روي منوي Help و انتخاب گزينه به روز رساني، نرم افزار خود را به روز رساني نمايد.
آخرين نسخه اين نرم افزار ها را مي توانيد از لينك هاي زير دانلود نماييد:

• Adobe Reader براي ويندوز
• Adobe Reader براي مكينتاش
• Adobe Reader براي لينوكس
• Adobe Acrobat براي ويندوز
• Adobe Acrobat براي مكينتاش

شركت ادوب به كابران هر دو محصول هشدار مي دهد كه حتما اصلاحيه ها را اعمال نمايند.

مطالب مرتبط:
كشف يك رخنه امنيتي اصلاح نشده در Adobe Reader و آكروبات
اصلاحيه فوري Adobe براي Reader و Acrobat

ID: IRCNE2013021771
Date: 2013-02-23

According to “ITPro”, IBM has launched new software to help developers secure code and data in iPhone and iPad apps.
AppScan Source 8.7 for iOS searches through app code and alerts developers when it finds flaws.
The software also analyses apps that employees may want to use on Apple devices for vulnerabilities and alerts IT security staff to potential threats.
Big blue said the software would improve security without sacrificing the time to market for mobile apps.
Citing Gartner figures, IBM said more than 45.6 billion mobile apps were downloaded in 2012, which is why securing smartphones and other endpoint devices should be a top priority for organisations.
IBM developed AppScan Source by looking at over 40,000 mobile APIs for iOS apps using Apple’s iOS Software Development Kit. These API profiles have been added to the IBM AppScan Source Security Knowledgebase and tied to the analysis engine.
The software also features complete language support for Objective-C, JavaScript and Java and includes the ability to do call and data flow analysis that will generate trace information. This new capability enables organisations to build secure enterprise mobile apps, regardless of technology choice, for employees and partners.
One of the companies that has been trying out AppScan Source for IOS is mobile technology firm KiwiTech. Rakesh Gupta, chief executive of KiwiTech, said his firm had developed hundreds of apps for iOS and Android and as the risk from mobile malware and data leakage grows, “our customers are looking for ways to secure their iOS and Android apps and protect corporate data.” Gupta said the software would help his company “proactively secure mobile apps and automate security testing to ensure our customers can keep pace with constant updates."
Caleb Barlow, director of Application, Data and Mobile Security at IBM, said the new capability would help clients incorporate “security into their infrastructure and solutions from the design, development and testing phases rather than leaving security to become an afterthought.”
AppScan Source for iOS will be available from 25 March. IBM launched its AppScan range of products in 2008, following the $2.1 billion acquisition of Rational Software. It has previously launched a version of the software that scans Android apps.

ID: IRCNE2013021770
Date: 2013-02-23

According to "zdnet", financial services has been a favorite target for sophisticated attacks in the last few years, but cyber criminals are moving on to other "critical sectors of the economy," according to McAfee.
In the security giant's fourth quarter threats report, researchers highlighted some of the new schemes being used in this regard and other high-profile attacks, including advanced persistent threats (APTs) such as Operation High Roller and Project Blitzkrieg. Both of these methods attack financial services infrastructures.
Vincent Weafer, senior vice president of McAfee Labs, explained in the report why many of these cyber criminals are becoming more interested in government, manufacturing and commercial transaction infrastructure targets.
Researchers also predicted that these attacks will actually decline throughout 2013 -- only to be replaced by attacks "sponsored and executed by state actors."

ID: IRCNE2013021769
Date: 2013-02-23

Accordign to “ComputerWorld”, Twitter has implemented DMARC, a standard for preventing email spoofing, in order to make it harder for attackers to send phishing emails that appear to come from twitter.com addresses.
Twitter users are constantly targeted in phishing attacks that try to pass rogue emails as official communications from the company. These phishing emails direct users to fake Twitter websites in order to steal their login credentials.
"Earlier this month, we began using a new technology called DMARC that makes it extremely unlikely that most of our users will see any email pretending to be from a Twitter.com address. DMARC is a relatively new security protocol created by a group of organizations to help reduce the potential for email-based abuse," said Josh Aberant, Twitter's postmaster, Thursday in a blog post.
DMARC, short for "Domain-based Message Authentication, Reporting & Conformance," is a standard for implementing the SPF (Sender Policy Framework) and DKIM (DomainKeys Identified Mail) email message validation and authentication systems.
The technologies can be used to verify that an email with a sender address of, for example, twitter.com actually came from servers authorized to send email on behalf of twitter.com. The goal of DMARC is to achieve a uniform implementation of these systems among the top email services providers and other companies that would benefit from email validation.
DMARC is supported by all four major email providers -- Google (Gmail), Microsoft (Outlook.com/Hotmail), Yahoo (Yahoo Mail) and AOL. It has also been implemented by services like Facebook, PayPal, Amazon and now Twitter.
While Twitter's support for DMARC will help email providers block messages with forged @twitter.com addresses from reaching the inboxes of many users, it won't prevent phishing emails that masquerade as Twitter communications but have non-twitter.com sender addresses. This means that users should remain vigilant and scrutinize all details of emails received from Twitter before acting on their instructions.