ID: IRCNE2013021748
Date: 2013-02-05

According to “Computerworld”, Apple on Friday shipped an update to Java 6 for Mac users running OS X Snow Leopard, matching Oracle's cadence for Java 7, which was patched the same day.
Customers running OS X Lion or OS X Mountain Lion must update Java 7 manually, or wait for the Java update tool to trigger.
Dubbed "Java for Mac OS X v10.6 Update 12," Apple's update of Feb. 1 patched 30 vulnerabilities in Java 6.
The updates restore Java functionality to OS X: Last week, Apple issued yet another order to block Java's browser plug-in from running in OS X Snow Leopard, Lion and Mountain Lion via those operating systems' bare bones, built-in XProtect anti-malware filter.
Apple stopped bundling Java after OS X 10.6, aka Snow Leopard, and in 2011 handed off development and patch maintenance to Oracle. Patches for Java 7 are thus not available to Lion and Mountain Lion -- OS X 10.7 and OS X 10.8, respectively -- via Apple's Software Update service, but must be retrieved from Oracle.
Apple's Java 6 update for Snow Leopard can be retrieved by selecting "Software Update" from the Apple menu. Java 7 Update 13 can be downloaded directly from Oracle's website or by manually triggering Java's update tool.
The next Java update is scheduled for June 18, 2013. That update will only apply to Java 7, as Oracle ended support for Java 6 with last Friday's patches. In the absence of Oracle fixes, Apple will also stop issuing updates for Java 6 to Snow Leopard users.

ID: IRCNE2013021747
Date: 2013-02-05

According to "zdnet", A jailbreak tool for the latest iOS 6.1 software for iPhone, iPad and iPod touch devices has been released, just shy of a week after Apple let loose the latest mobile software.
'Jailbreaking' is the process in which locked-down software is opened up to external applications outside the platform's protective fence. It allows third-party contibutors to gain further access to the device's features, which has spurred on a huge—albeit entirely separate—ecosystem for non-Apple App Store applications.
These apps, available through third-party stores, such as Cydia, often increase device functionality and offer services that would not ordinarily allowed in Apple's strict application ecosystem.
Apple released the latest iOS 6.1 mobile operating system last week, offering support for the new 128GB iPad model, and a feature that allows users to reset the device's unique advertising identifier.
The software update also included support for more 4G LTE networks in a range of European and Middle Eastern countries, and a bevy of security fixes to the platform.

شماره: IRCNE2013021746
تاريخ: 16/11/91

روز جمعه اوراكل يك به‌روز رساني حياتي براي Java SE عرضه كرد كه يك اصلاحيه خارج از نوبت براي دفع سوء استفاده‌هايي كه Java Runtime Environment را در مرورگرهاي دسكتاپ تحت تأثير قرار مي‌دهند مي‌باشد.
اين اصلاحيه حياتي كه قرار بود روز 19 فوريه عرضه گردد، شامل ترميم‌هايي براي 50 آسيب‌پذيري است. جاوا اخيراً به دليل مسائل امنيتي كه به‌طور خاص مرورگرها را تحت تأثير قرار مي‌دهند، هدف حمله قرار گرفته است. اوراكل روز جمعه در بولتن خود نوشت: «شهرت Java Runtime Environment در مرورگرهاي دسكتاپ و اين واقعيت كه جاوا در مرورگرها مستقل از سيستم عامل است، جاوا را به هدفي جذاب براي هكرهاي خرابكار تبديل مي‌كند».
44 آسيب‌پذيري از اين مجموعه، جاوا را در مرورگرهاي اينترنتي تحت تأثير قرار مي‌دهند. به گفته اوراكل، به عبارت ديگر، اين آسيب‌پذيري‌ها فقط در كامپيوترهاي دسكتاپ و از طريق برنامه‌هاي Java Web Start يا اپلت‌هاي جاوا مي‌توانند مورد سوء استفاده قرار گيرند. به‌علاوه، يك آسيب‌پذيري نيز پروسه نصب كلاينت جاوا (يعني نصب Java Runtime Environment بر روي كامپيوتر دسكتاپ) را تحت تأثير قرار مي‌دهد. توجه داشته باشيد كه اين اصلاحيه حياتي شامل ترميم‌هايي كه پيش‌تر از طريق هشدار امنيتي CVE-2013-0422 منتشر شده بودند نيز مي‌باشد.
علاوه بر اين‌ها، سه آسيب‌پذيري هر دو نسخه كلاينت و سرور جاوا را تحت تأثير قرار مي‌دهند. به اين ترتيب اين آسيب‌پذيري‌ها مي‌توانند بر روي سيستم‌هاي دسكتاپ از طريق Java Web Start يا اپلت‌هاي جاوا و بر روي سرورها از طريق اعمال ورودي خرابكار به API ها در اجزاي آسيب‌پذير مورد سوء استفاده قرار گيرند. «در برخي موارد سناريوي سوء استفاده از اين نوع نقايص امنيتي بر روي سرورها بسيار غيرمحتمل است. براي مثال، يكي از اين آسيب‌پذيري‌ها فقط بر روي سروري مورد سوء استفاده قرار مي‌گيرد كه مجوز پردازش فايل‌هاي تصويري از يك منبع نامطمئن را صادر نمايد.» به گفته اوراكل، دو آسيب‌پذيري ترميم شده در اين به‌روز رساني فقط بر روي نسخه سرور Java Secure Socket Extension اعمال مي‌گردند، ولي اغلب آسيب‌پذيري‌هاي ترميم شده در اين اصلاحيه، نسخه‌هاي كلاينت جاوا و JavaFX را تحت تأثير قرار مي‌دهند. «اين نشان دهنده اين واقعيت است كه Java server environment امن‌تر از Java Runtime Environment در مرورگرها است، چرا كه سرورها در يك محيط امن‌تر و كنترل شده‌تر كار مي‌كنند.»

ID: IRCNE2013021746
Date: 2013-02-04

According to “ComputerWorld”, Oracle on Friday released a critical patch update for Java SE, offering the patch ahead of schedule to stave off an active exploitation affecting the Java Runtime Environment in desktop browsers. Server-side fixes are being offered as well.
Initially scheduled for release on February 19, the February 2013 critical patch update contains fixes for 50 vulnerabilities. Java has been under fire lately for security issues, particularly affecting browsers, and Oracle recently vowed to be more communicative about what it is doing to fix these problems. "The popularity of the Java Runtime Environment in desktop browsers and the fact that Java in browsers is OS-independent makes Java an attractive target for malicious hackers," Oracle said in its bulletin on Friday.
Forty-four of the 50 vulnerabilities impact Java in Internet browsers. "In other words, these vulnerabilities can only be exploited on desktops through Java Web Start applications or Java applets," Oracle said. "In addition, one vulnerability affects the installation process of client deployment of Java (i.e. installation of the Java Runtime Environment on desktops). Note also that this Critical Patch Update includes the fixes that were previously released through Security Alert CVE-2013-0422."
Additionally, three of the vulnerabilities apply to client and server deployments of Java, in which these can be exploited on desktops through Java Web Start or browser applets or in servers by supplying malicious input to APIs in vulnerable components. "In some instances, the exploitation scenario of this kind of bugs on servers is very improbable; for example, one of these vulnerabilities can only be exploited against a server in the unlikely scenario that the server was allowed to process image files from an untrusted source." Two vulnerabilities fixed in the update only apply to server-side deployment of the Java Secure Socket Extension, but most of the vulnerabilities addressed in the patch update affect Java and JavaFX client deployments, Oracle noted. "This reflects the fact that the Java server environment is more secure than the Java Runtime Environment in browsers because servers operate in a more secure and controlled environment."

شماره: IRCNE2013021745
تاريخ: 14/11/91

توئيتر قرباني يك حمله موفقيت‌آميز شده است كه در نتيجه آن، مهاجمان دسترسي محدودي به اطلاعات كاربران شامل نام‌هاي كاربري، آدرس‌هاي ايميل، توكن‌هاي نشست‌ها و كلمات عبور رمز شده پيدا كرده‌اند. در اين حمله، حدود 250 هزار كاربر توئيتر تحت تأثير قرار گرفته‌اند.
جزئيات بيشتر اين خبر به گزارش توئيتر:
«هفته گذشته، مدل‌هاي دسترسي نامعمولي را كشف كرديم كه ما را به شناسايي يك حمله دسترسي غيرمجاز به داده‌هاي كاربران توئيتر رهنمون شد. ما يك حمله زنده را كشف كرديم و توانستيم چند لحظه بعد آن را از كار بيندازيم. به هر حال تحقيقات ما نشان مي‌دهد كه ممكن است مهاجمان دسترسي محدودي به اطلاعات حدود 250 هزار نفر از كاربران شامل نام‌هاي كاربري، آدرس‌هاي ايميل، توكن‌هاي نشست‌ها و كلمات عبور رمز شده آنها پيدا كرده باشند. درصورتي‌كه حساب كاربري شما يكي از اين حساب‌ها باشد، ايميلي از طرف ما دريافت مي‌كنيد كه در آن از شما خواسته شده است كلمه عبور جديدي براي خود انتخاب كنيد. درصورتي‌كه بخواهيد به توئيتر وارد شويد، كلمه عبور سابق شما كار نخواهد كرد.»
به گفته مدير امنيت اطلاعات توئيتر، اين حمله كار حرفه‌اي‌ها بوده است و توئيتر در حال همكاري با آژانس‌هاي قانوني براي جلوگيري از تخريب‌هاي آتي اين مهاجمان مي‌باشد.

ID: IRCNE2013021745
Date: 2013-02-02

According to “ZDNet”, Twitter has just reported that earlier this week, it was a victim of a successful compromise of its systems, resulting in the "limited access" to user information, including usernames, email addresses, session tokens, and encrypted/salted passwords, affecting approximately 250,000 users.
More details:
This week, we detected unusual access patterns that led to us identifying unauthorized access attempts to Twitter user data. We discovered one live attack and were able to shut it down in process moments later. However, our investigation has thus far indicated that the attackers may have had access to limited user information – usernames, email addresses, session tokens and encrypted/salted versions of passwords – for approximately 250,000 users. As a precautionary security measure, we have reset passwords and revoked session tokens for these accounts. If your account was one of them, you will have recently received (or will shortly) an email from us at the address associated with your Twitter account notifying you that you will need to create a new password. Your old password will not work when you try to log in to Twitter.
According to Bob Lord, Twitter's Director of Information Security, the attack was the work of professionals, and Twitter is actively cooperating with law enforcement in an attempt to prevent further damage caused by these attackers.

شماره:IRCNE2013011744
تاريخ: 11/11/91

بنا بر گفته محققان امنيتي، نقص‌هاي امنيتي موجود در سيستم‌هاي شبكه، ميليون‌ها رايانه خانگي، پرينتر و ديگر تجهيزات رايانه‌اي را به خطر مي‌اندازند.
با توجه به يافته‌هاي گروه امنيتي Rapid 7، فناوري مورد استفاده در تجهيزات استاندارد شبكه و روترها اين امكان نفوذ به 40 تا 50 ميليون رايانه را در سراسر جهان براي هكرها فراهم مي‌سازد.
اين آسيب‌پذيري در استاندارد شناخته شده UPnP وجود دارد. اين استاندارد به دستگاه‌هايي همچون رايانه‌هاي خانگي، پرينترها و نقاط دسترسي Wi-Fi اجازه مي دهد تا با يكديگر ارتباط برقرار كرده و يكديگر را كشف كنند. اين دستگاه ها پس از پيدا كردن يكديگر مي‌توانند به منظور به اشتراك گذاري فايل‌ها، قابليت پرينت و استفاده مشترك از اينترنت به يكديگر اتصال پيدا كنند.
متخصصان امنيتي مي‌گويند با وجود اينكه UPnP ممكن است تنظيمات شبكه را ارزانتر و كاراتر كند، اما حاوي خطرات جدي براي كاربران مي‌باشد. در همين راستا مشخص شده است كه بيش از 80 ميليون IP به درخواست‌هاي مبتني بر UPnP پاسخ مي‌دهند.
تحقيقات منتشر شده در اين خصوص نشان دهنده نقص‌هاي امنيتي برنامه‌نويسي در پياده‌سازي پروتكل SSDP است كه مي‌تواند براي از كار انداختن سرويس‌ها و اجراي كد دلخواه مورد سوءاستفاده قرار گيرد.

ID: IRCNE2014012083
Date: 2013-01-27

According to "zdnet", Apple has released iTunes version 11.1.4. The new version has a few feature improvements and a lot of security updates, nearly all on the Windows version only.

There are 25 vulnerabilities fixed in total. One affects both the Mac and Windows iTunes clients, the others are all Windows-only. One could allow remote code execution through a malicious movie file. 16 are memory handling errors in WebKit, the browser engine behind Safari. The remaining seven vulnerabilities are old bugs in libxml and libxslt, widely-used code libraries. Six of the vulnerabilities were reported in 2012 and one in 2011.

شماره: IRCNE2013011743
تاريخ:07/11/91

روز پنج شنبه، نسخه 3.5.1 نرم افزار وردپرس منتشر شد تا 37 مشكل اين نرم افزار را برطرف نمايد. هم چنين در اين به روز رساني سه مساله امنيتي برطرف شده است.

• آسيب پذيري جعل درخواست سمت سرور و اسكن راه دور پورت ها. اين آسيب پذيري كه به طور بالقوه براي افشاي اطلاعات و در اختيار گرفتن يك سايت مورد سوء استفاده قرار مي گيرد، تمامي نسخه هاي قديمي وردپرس را تحت تاثير قرار مي دهد.
• دو نمونه اسكريپت بين سايتي از طريق كدهاي كوتاه و محتوي پستي.
• يك آسيب پذيري اسكريپت بين سايتي در Plupload كتابخانه خارجي.

آسيب پذيري هاي وردپرس يك هدف رايج مجرمان سايبري است و مجرمان از اين آسيب پذيري ها براي اجراي حملات مخرب استفاده مي كنند. به كاربران وردپرس توصيه مي شود تا فورا نرم افزار وردپرس خود را به آخرين نسخه به روز رساني نمايند.

ID: IRCNE2013011743
Date: 2013-01-26

According to "zdnet", Yesterday's release of WordPress v3.5.1, fixes 37 bugs, including three security issues.
The following security issues were addressed:

• A server-side request forgery vulnerability and remote port scanning using pingbacks. This vulnerability, which could potentially be used to expose information and compromise a site, affects all previous WordPress versions.
• Two instances of cross-site scripting via shortcodes and post content.
• A cross-site scripting vulnerability in the external library Plupload.

Vulnerable WordPress installations are a common target for cybercriminals, who regularly use them as a foundation for launching malicious attacks.
WordPress users are advised to upgrade to the latest version immediatelly.