انتشار اصلاحيه ادوبی برای رخنه‌های ColdFusion

تاریخ ایجاد

شماره: IRCNE2013011737
تاريخ: 28/10/91

روز سه شنبه، شركت ادوب اصلاحيه هاي امنيتي را براي سرور برنامه كاربردي ColdFusion منتشر كرد. اين اصلاحيه ها چهار آسيب پذيري بحراني را برطرف مي كنند كه از آغاز ماه ژانويه به طور فعال توسط مهاجمان مورد سوء استفاده قرار گرفته است.
اين شركت يك راهنماي امنيتي را براي اين چهار آسيب پذيري منتشر كرده است كه به عنوان CVE-2013-0625، CVE-2013-0629،CVE-2013-0631 و CVE-2013-0632 شناخته مي شود.
دو آسيب پذيري به مهاجمان اجازه مي دهد تا از محدوديت هاي معمولي تاييد هويت در سرور برنامه ColdFusion عبور نمايند و دسترسي مديريتي را بدست آورند. رخنه ديگري اجازه مي دهد تا كاربران دسترسي ديكشنري هاي محدود شده را بدست آورند. اين چهار آسيب پذيري باعث افشاي اطلاعات از روي يك سرور ColdFusion آسيب پذير مي شوند.
روز سه شنبه، شركت ادوب اصلاحيه هاي بسيار مهمي براي ColdFusion نسخه 10، 9.0.2، 9.0.1 و 9.0 منتشر كرد. اين شركت به مشتريان خود توصيه مي كند تا اصلاحيه ها را با استفاده از دستورالعمل ارائه شده در اسناد محصولات اعمال نمايند. اين آسيب پذيري ها در بالاترين رده بندي امنيتي شركت ادوب قرار دارند.

مطالب مرتبط:
هشدار ادوبي نسبت به سوء استفاده از رخنه اي در ColdFusion

برچسب‌ها
اخبار

Adobe patches exploited ColdFusion flaws

تاریخ ایجاد

Number: IRCNE2013011737
Date: 2013/01/17

According to “computerworld”, Adobe released security patches for its ColdFusion application server on Tuesday, addressing four critical vulnerabilities that have been actively exploited by attackers since the beginning of January.
The company published a security advisory about the four vulnerabilities, identified as CVE-2013-0625, CVE-2013-0629, CVE-2013-0631 and CVE-2013-0632, on Jan. 4 and said at the time that it was aware of these flaws being exploited in attacks against its customers.
Two of the vulnerabilities allows attackers to bypass the normal authentication restrictions of a ColdFusion application server in order to gain administrative access. Another flaw allows unauthorized users to access restricted directories, while the fourth can result in information disclosure on a compromised ColdFusion server.
On Tuesday, Adobe released hotfixes for ColdFusion versions 10, 9.0.2, 9.0.1 and 9.0. The company recommends that customers update their installations using the instructions provided in a help document for their respective product version.
Adobe classified these vulnerabilities as critical and assigned a priority rating of 1 -- the highest available -- to the released hotfixes.

Related Link:
Adobe warns of actively exploited ColdFusion flaws

برچسب‌ها
اخبار

اصلاحيه مايكروسافت برای IE

تاریخ ایجاد

شماره: IRCNE2013011736
تاريخ: 26/10/91

مايكروسافت يك اصلاحيه خارج از نوبت براي ترميم يك حفره امنيتي در IE عرضه كرده است كه مي‌تواند سيستم را در دسترس هكرها قرار دهد.
اين آسيب‌پذيري IE نسخه‌هاي 6، 7 و 8 را تحت تأثير قرار مي‌دهد و به ادعاي مايكروسافت، تا كنون براي اجراي حملات هدفمند مورد استفاده هكرها قرار گرفته است.
مايكروسافت در اوايل ژانويه در سايت خود هشدار داده بود كه هكرها مي‌توانند با ميزباني وب‌سايت‌هاي خرابكار و استفاده از ابزارهاي مهندسي اجتماعي، از اين آسيب‌پذيري سوء استفاده نمايند.
به گفته مايكروسافت، مهاجمي كه به‌طور موفقيت آميز اين آسيب‌پذيري را مورد سوء استفاده قرار دهد مي‌تواند به حقوق سيستم با حق كاربر فعلي دسترسي پيدا كند.
مايكروسافت راهنمايي‌هايي درباره چندين گردش كاري كه كاربران مي‌توانند براي كاهش ريسك سيستم‌هاي خود به كار گيرند منتشر كرده بود، ولي اكنون يك اصلاحيه براي اين حفره منتشر كرده است.
به گفته يك مدير ارشد امنيتي در شركت امنيتي Rapid7، اين حفره تا كنون به صورت محدود مورد سوء استفاده قرار گرفته است، اما اين موضوع مي‌تواند به زودي تغيير نمايد.
براي دريافت اين اصلاحيه مي‌توانيد به سايت مايكروسافت مراجعه نماييد.

مطالب مرتبط:
انتشار يك اصلاحيه فوري براي IE قبل از سه شنبه اصلاحيه بعدي مايكروسافت

برچسب‌ها
اخبار

توصيه به كاربران جاوا: هم چنان جاوا را غيرفعال نگه داريد

تاریخ ایجاد

شماره: IRCNE2013011735
تاريخ:26/10/91

با وجود آن كه روز گذشته شركت اوراكل يك به روز رساني فوري براي جاوا منتشر كرد، وزارت امنيت داخلي ايالات متحده هم چنان به كاربران كامپيوتر توصيه مي كند كه جاوا را روي مرورگرهاي خود غيرفعال نمايند زيرا ممكن است آسيب پذيري بدون اصلاح باقي مانده باشد.
شركت اوراكل روز يكشنبه يك به روز رساني براي جاوا منتشر كرد تا يك آسيب پذيري بحراني را در اواركل جاوا نسخه 7 برطرف نمايد. اين اقدام پس از انتشار راهنمايي امنيتي گروه DHS صورت پذيرفت. هفته گذشته اين گروه به كاربران كامپيوتر توصيه كرده بودند كه پلاگين هاي جاوا را غيرفعال نمايند. رخنه امنيتي موجود در جاوا به مهاجمان اجازه مي دهد تا از راه دور و بدون احراز هويت كد دلخواه را بر روي كامپيوتر آسيب پذير اجرا نمايند. روز گذشته اوراكل در راهنمايي امنيتي منتشر شده اعلام كرد كه به شدت به كاربران توصيه مي شود تا براي برطرف شدن آسيب پذيرها، اصلاحيه هاي امنيتي را اعمال نمايند. اما گروه DHS هم چنان نگران است كه رخنه هاي ناشناخته اي در جاوا بدون اصلاح باقي مانده باشند.
گروه CERT اعلام كرد كه با وجود آن كه اجراي جاوا بر روي مرورگرهاي وب ضرورت دارد اما بهتر است حتي پس از انتشار به روز رساني، آن را غيرفعال نگه داريد. اين گروه نيز اظهار داشت كه به روز رساني اوراكل تنها يك آسيب پذيري را برطرف كرده است و هم چنان ساير آسيب پذيري ها وجود دارند.

مطالب مرتبط:
بدافزار جديد سوءاستفاده كننده از جاوا 7
هشدار به كاربران اينترنت: جاوا را در مروگرهاي خود غيرفعال نماييد
اصلاحيه جاوا به زودي منتشر مي‌شود
انتشار اصلاحيه هاي خارج از نوبت جاوا

برچسب‌ها
اخبار

سيستم‌های مهم SCADA و كلمات عبور ضعيف

تاریخ ایجاد

شماره: IRCNE2013011734
تاريخ: 26/10/91

يك بررسي كه با كمك وزارت امنيت داخلي آمريكا انجام شده است نشان مي‌دهد كه هزاران سيستم SCADA كه از طريق اينترنت قابل دسترسي هستند، با استفاده از كلمات عبور ضعيف و خطرناك امن‌سازي شده‌اند.
بنا بر اين گزارش، دو محقق از اسكريپت‌هايي كه از طريق موتور جستجوي Shodan (گوگل هكرها) اجرا مي‌شوند براي شناسايي 7200 لاگين آسيب‌‎پذير استفاده كرده‌اند.
پس از جستجوي 500 هزار سيستم، اين محققان پيش از گزارش يافته‌هاي خود به DHS، اين فهرست را براي تخصيص يك شماره به مسأله واسط‌هاي آسيب‌پذير SCADA تهيه كرده‌اند.
يكي از اين محققان اظهار داشت: «بزرگ‌ترين مسأله اين است كه ما سعي داريم به مسأله‌اي كه مدت‌هاست صنعت را درگير كرده است يك شماره تخصيص دهيم. تا زماني كه شما محدوده يك مشكل را شناسايي نكنيد، هيچ‌كس گامي براي ايجاد تغيير برنخواهد داشت. ما اميدوار هستيم كه ديگران نتايج ما را تأييد كنند.»
اين فهرست سيستم‌هاي SCADA شامل زيرساخت‌هاي حياتي و نيز توليد اتومبيل، كنترل ترافيك و دوربين‌هاي چراغ‌هاي راهنمايي مي‌گردد.
به گفته اين محققان، DHS با كنترل كننده‌هاي سيستم‌هاي تحت تأثير تماس گرفته است.
به گفته يك مدير ارشد امنيتي در انگلستان، اين نتايج يك ضعف بزرگ را در زيرساخت‌هاي حياتي ايالات متحده و خارج از آن نشان مي‌دهد. اين سيستم‌ها همواره بايد از احراز هويت سخت‌گيرانه و ترجيحا كانال رمز شده استفاده نمايند. شركت‌ها بايد با اين فرض كار كنند كه سيستم‌هاي آنها مورد سوء استفاده قرار گرفته‌اند و بر اساس آن برنامه‌ريزي نمايند.

برچسب‌ها
اخبار

انتشار اصلاحيه‌های خارج از نوبت جاوا

تاریخ ایجاد

    شماره: IRCNE2013011733
تاريخ:26/10/91

روز يكشنبه شركت اوراكل دو اصلاحيه خارج از نوبت را براي آسيب پذيري هاي موجود در برنامه هاي جاوا منتشر كرد.
Eric Maurice از شركت اوراكل گفت: اين شركت توصيه مي كند كه اين هشدار امنيتي در اسرع وقت اعمال شود زيرا اين مسائل ممكن است به طور گسترده مورد سوء استفاده قرار بگيرند و برخي از كدهاي سوء استفاده در برخي از ابزارهاي هك وجود دارد.
هر دو آسيب پذيري كاربران را در معرض خطر قرار مي دهد تا بوسيله يك اپلت مخرب مورد حمله قرار بگيرند. اين اپلت يك برنامه جاوا است كه از سرورهاي ديگر دانلود مي شود و اگر بر روي سيستم كاربر جاوا نصب باشد، اين اپلت اجرا مي شود. اپلت ها در صفحات وب تعبيه شده اند و در مرورگر اجرا مي شوند.
با توجه به راهنمايي امنيتي منتشر شده توسط CERT ايالات متحده، پلت فرم هايي كه تحت تاثير اين آسيب پذيري قرار دارند، سيستم هايي هستند كه از جاوا نسخه 7 به روز رساني 10 استفاده مي كنند. اين آسيب پذيري در جاوا 7 نهفته است كه مجوزهاي اپلت جاوا را محدود مي كند و مي تواند يه مهاجم اجازه دهد تا دستورات دلخواه را بر روي سيستم آسيب پذير اجرا نمايد.
شركت اوراكل اعلام كرد: اصلاحيه دوم، آسيب پذيري CVE-2012-3174 را در جاوا برطرف مي كند كه در مرورگرهاي وب اجرا مي شود. اين آسيب پذيري مي تواند از راه دور بوسيله فريب كاربر مورد سوء استفاده قرار بگيرد.

مطالب مرتبط:
بدافزار جديد سوءاستفاده كننده از جاوا 7
هشدار به كاربران اينترنت: جاوا را در مروگرهاي خود غيرفعال نماييد
اصلاحيه جاوا به زودي منتشر مي‌شود

برچسب‌ها
اخبار

Microsoft patches Internet Explorer 6, 7 and 8 security hole

تاریخ ایجاد

ID: IRCNE2013011736
Date: 2013-01-15

According to “ITPro”, software giant Microsoft has released an out-of-band patch to fix an Internet Explorer (IE) security hole that could leave users’ systems accessible to hackers.
The vulnerability affects IE versions 6, 7 and 8 and has already been used, Microsoft claims, by hackers to carry out targeted attacks.
In a post on the Microsoft Technet blog earlier this month, the vendor warned hackers could exploit the vulnerability by hosting malicious websites and use social engineering tools to ensure IE users visit them.
“An attacker who successfully exploited this vulnerability could gain the same users rights as the current user,” the blog added.
Microsoft issued advice about several workarounds users could employ to reduce the risk of their systems coming under attack, but has now plugged the hole with a patch.
The firm came under fire earlier this month after failing to include a fix for the vulnerability in its first Patch Tuesday notification of 2013.
Ross Barrett, senior manager of security engineering at vendor Rapid7, said the hole is only seeing “limited exploitation” in the wild at the moment, but that could soon change.

Related Posts:
Microsoft to issue emergency IE patch before next Patch Tuesday

برچسب‌ها
اخبار

Homeland Security still advises disabling Java, even after update

تاریخ ایجاد

ID: IRCNE2013011734
Date: 2013-01-15

According to "cnet", Despite an emergency software update issued yesterday by Oracle, the U.S. Department of Homeland Security is still advising computer users to disable Java on their Web browsers, fearing that an unpatched vulnerability remains.
Oracle released a software update on Sunday to address a critical vulnerability in Oracle's Java 7 after the DHS' Computer Emergency Readiness Team issued an advisory last week recommending users disable the cross-platform plugin on systems where it was installed. The flaw could allow a remote, unauthenticated attacker to execute arbitrary code when a vulnerable computer visits a Web site that hosts malicious code designed to take advantage of the hole.
Oracle said in an advisory yesterday that it "strongly" recommended users update their Java software to repair the vulnerability. But the DHS is still worried that further, unknown flaws may exist in Java.
"Unless it is absolutely necessary to run Java in Web browsers, disable it as described below, even after updating to 7u11," CERT said in an updated note today that included instructions for disabling the plugin. "This will help mitigate other Java vulnerabilities that may be discovered in the future."
DHS cited security company Immunity as reporting that Oracle's update addressed only one vulnerability and that another still existed.

Related Link:
New malware exploiting Java 7 in Windows and Unix systems
US-CERT: Disable Java in browsers because of exploit
Java security fix coming shortly
Oracle pushes out Java patches as zero-day vulnerabilities exposed

برچسب‌ها
اخبار

Important SCADA systems secured using weak logins

تاریخ ایجاد

ID: IRCNE2013011734
Date: 2013-01-15

According to “TechWorld”, thousands of critical SCADA systems reachable from the Internet are secured by dangerously weak default passwords, a survey carried out with the help of the US Department of Homeland Security has found.
According to a third-party report, Bob Radvanovsky and Jacob Brodsky of consultancy InfraCritical used scripts run through the Shodan search engine – ‘Google for hackers’ - to identify 7,200 vulnerable logins.
After initially searching 500,000 systems, the pair whittled that list in order to put a number to the problem of vulnerable SCADA interfaces before reporting their findings to the DHS.
“The biggest thing is we are trying to assign a number - a rough magnitude -to a problem plaguing the industry for some time now,” Radvanovsky was quoted as saying.
“Until you identify the scope of a problem, no one takes steps to change things. We’re doing it on a beer budget; we hope others confirm our results.”
The list of SCADA systems included critical infrastructure as well building automation, traffic control and red-light cameras and even crematoriums.
The DHS had contacted the controllers of the affected systems, the researchers said, although progress to rectify the dangerous insecurity had yet to be confirmed.
“This highlights a great weakness in critical infrastructure both in the US and beyond: security is still firmly rooted in the 20th century,” said Chris McIntosh, CEO of security specialist ViaSat UK.
Such systems should always use rigorous authentication and, preferably, and encrypted channel, he said.
“Companies should be working on the assumption that their systems have already been compromised and plan accordingly.”

برچسب‌ها
اخبار

Oracle pushes out Java patches as zero-day vulnerabilities exposed

تاریخ ایجاد

ID: IRCNE2013011733
Date: 2013-01-15

According to "computerworld", Oracle released two out-of-band patches on Sunday for vulnerabilities in its Java programming language, both of which pose a high risk to users browsing the web.
"Oracle recommends that this security alert be applied as soon as possible because these issues may be exploited 'in the wild' and some exploits are available in various hacking tools," wrote Oracle's Eric Maurice[cq] on the company's security blog.
Both vulnerabilities expose users to the possibility of being attacked by a malicious "applet," which is a Java application that is downloaded from another server and runs if a user has Java installed. Applets are embedded in web pages and run in the browser.
The affected software platforms are any system using Oracle's Java 7 (1.7, 1.7.0) through the 10th update, according to an advisory from the U.S. Computer Emergency Readiness Team. That also includes Java Platform Standard Edition 7, Java SE Development Kit and Java SE Runtime Environment.
The vulnerability lies "in the way Java 7 restricts the permissions of Java applets could allow an attacker to execute arbitrary commands on a vulnerable system," US CERT said.
The second patch repairs a vulnerability, CVE-2012-3174, in Java that runs in web browsers, Oracle said. It also can be exploited remotely by tricking users into navigating to a booby-trapped website.

Related Link:
New malware exploiting Java 7 in Windows and Unix systems
US-CERT: Disable Java in browsers because of exploit
Java security fix coming shortly

برچسب‌ها
اخبار
Subscribe to اخبار