شماره: IRCNE2013011722
تاريخ: 19/10/91

Nvidia يك مجموعه جديد از درايورها عرضه كرده است كه يك نقص امنيتي كشف شده در سرويس درايور نمايش را كه در كريسمس افشا شده بود، برطرف مي‌كند.
اگر شما صاحب يك واحد پردازش گرافيكي (GPU) GeForce باشيد، عرضه بي سر و صداي درايورهاي اخير مبتني بر GeForce براي شما بسيار ارزشمند خواهد بود.
روز شنبه، اين شركت اقدام به عرضه WHQL جديد (درايورهاي گرافيكي داراي گواهي‌نامه) نسخه 310.90 كرد. يادداشت‌هاي مربوطه نشان مي‌دهد كه اين فايل، يك به‌روز رساني امنيتي را به سرويس درايور نمايش NVIDIA (nvvsvc.exe) اضافه مي‌كند. نقص امنيتي مربوطه به مهاجمان راه دور با يك حساب كاربري دامنه اجازه مي‌دهد به سيستمي كه درايورهاي قديمي‌تر را اجرا مي‌كند، دسترسي پيدا كنند.
اين به‌روز رساني علاوه بر ترميم نقص امنيتي فوق، تعدادي نقص ديگر را نيز ترميم كرده و به بهبود كارآيي (به‌خصوص در مورد برخي بازي‌ها) نيز كمك مي‌كند.
اين دانلود در وب‌سايت اين شركت در دسترس قرار دارد.

شماره: IRCNE2013011721
تاريخ:19/10/91

يك هكر ادعا مي كند كه روشي را براي عبور از مكانيزم صحت كد در ويندوز RT پيدا كرده است بنابراين به برنامه هاي دسكتاپ اجازه مي دهد تا بر روي پلت فرم ها نصب شوند. اين هكر كه از نام "clrokr" استفاده مي كند، روز يكشنبه روش خود را در يك وبلاگ قرار داده است.
ويندوز RT يك نسخه خاصي از ويندوزهاي مايكروسافت است كه براي كامپيوترهاي شخصي بسيار سبك و تبلت ها طراحي شده است و مبتني بر معماري ARM مي باشد. در مقايسه با ويندوز 8، ويندوز RT تنها به برنامه هاي Metro از فروشگاه Windows Store اجازه دانلود و نصب مي دهد. اين برنامه هاي كاربردي تنها براي واسط Metro طراحي شده اند.
بر اساس ادعاي clrokr، محدوديت نصب برنامه هاي Metro بر روي ويندوز RT از طريق يك مكانيزم كد صحت اجرا مي شود. در اين مكانيزم امضاي برنامه هاي كاربردي قبل از نصب بررسي مي شود.
clrokr گفت: در اعماق هسته و در بخش داده داراي علامت و درهم سازي شده كه توسط بوت امن UEFI حفاظت مي شود، بايتي قرار دارد كه سطح امضاي حداقل را نشان مي دهد. اين سطح امضاي حداقل كه توسط ويندوز RT اجرا مي شود مي تواند بوسيله سوء استفاده از يك آسيب پذيري در هسته ويندوز تغيير كند. اين هكر قصد دارد تا اين روش عبور از مكانيزم كد صحت را به طور عمومي منتشر نمايد.
شركت مايكروسافت از اين سوء استفاده مطلع مي باشد و در حال بررسي اين موضوع است. اين شركت از طريق ايميل اظهار داشت كه ما در حال بررسي اين گزارش هستيم و اقدامات مناسب براي كمك به حفاظت از مشتريان را انجام مي دهيم.

شماره:IRCNE2013011720
تاريخ: 19/10/91

بنا بر گزارش‌هايي كه اخيراً منتشر شده است، گروهي از محققان امنيتي توانسته‌اند از سد اصلاحيه امنيتي كه مايكروسافت به صورت موقت براي آسيب‌پذيري اخير در IE منتشر كرده است، گذر كنند. اين آسيب‌پذيري كه چند هفته پيش شناسايي شد، بر روي نسخه‌هاي مختلف IE تآثير مي‌گذارد. در راهنمايي امنيتي كه روز 29 دسامبر منتشر شد، شركت مايكروسافت تاييد كرد كه از اين آسيب پذيري سوءاستفاده هايي شده و حملاتي بر روي سيستم ها صورت گرفته است. هم چنين هشدار داد كه حملات هدفمند در حال سوء استفاده از اين آسيب پذيري از طريق اينترنت اكسپلورر نسخه 8 مي باشند.
سپس مايكروسافت در يك به روز رساني اشاره كرد كه برطرف كننده‌اي منتشر شده است كه مي تواند جلوي سوء استفاده از اين آسيب پذيري را بگيرد و توانايي كاربر براي جستجو در وب را تحت تاثير قرار نمي دهد و حال گروهي از محققان امنيتي اعلام كرده‌اند كه اين برطرف كننده نمي‌تواند امنيت كاربران را تأمين نمايد. البته شركت امنيتي Exodus كه توانسته است اين اصلاحيه را بشكند، جزئيات مربوطه را تا زماني كه مايكروسافت آسيب‌پذيري را به طور كامل برطرف نسازد، منتشر نخواهد ساخت.
محقق امنيتي Eric Romang زماني كه در حال تحقيق بر روي يك سرور آلوده بود، چهار فايل مشكوك را پيدا كرد. يك فايل اجرايي، يك فايل فلش و دو فايل HTML با نام‌هاي exploit.html و protect.html. زماني كه يك كاربر فايل exploit.html را مشاهده مي‌كند، اين فايل در حالي كه يك فيلم فلش را بارگذاري مي‌كند، در همين حين فايل protect.html را نيز نصب مي‌نمايد. همچنين بعد از زماني كوتاه فايل اجرايي بر روي رايانه قرباني مي‌نشيند كه به مهاجمان اجازه مي‌دهد تا هر فايلي را كه مي‌خواهند بر روي رايانه قرباني نصب نمايند و كنترل رايانه قرباني را در اختيار بگيرند.
اين آسيب‌پذيري بر اثر شيوه دسترسي IE به يك شئ در حافظه‌اي كه احتمال خرابي آن مي‌رود، به وجود مي‌آيد و به مهاجم حق دسترسي معادل با حق دسترسي كاربر را مي‌دهد.

اخبار مرتبط:
آسيب پذيري zero-day در اينترنت اكسپلورر نسخه هاي 6 و 7 و 8
انتشار يك اصلاحيه براي برطرف كردن آسيب پذيري در اينترنت اكسپلورر

شماره: IRCNE2013011719
تاريخ:19/10/91

شركت ادوبي به كاربران برنامه ColdFusion خود هشدار داده است كه هكرها در حال سوء استفاده از آسيب پذيري اصلاح نشده در اين محصول مي باشند و بدين وسيله كنترل سرورهاي تحت تاثير قرار گرفته را در اختيار مي گيرند.
اين شركت يك راهنمايي امنيتي روز جمعه منتشر كرد كه شامل سه آسيب پذيري بحراني شناسايي شده CVE-2013-0625، CVE-2013-0629 و CVE-2013-0631 مي باشد. اين آسيب پذيري ها ColdFusion نسخه هاي 10، 9.0.2، 9.0.1 و 9.0 را تحت تاثير قرار مي دهند.
آسيب پذيري CVE-2013-0625 مي تواند براي عبور از كنترل هاي احراز هويت و در اختيار گرفتن كنترل سرور مورد سوء استفاده قرار بگيرد و آسيب پذيري CVE-2013-0631 مي تواند منجر به افشاي اطلاعات شود.
شركت ادوبي در بيانيه اي اعلام كرد كه گزارش هايي وجود دارد كه در حال حاضر از اين آسيب پذيري ها عليه مشتريان ColdFusion سوء استفاده مي شود. توجه داشته باشيد كه آسيب پذيري هاي CVE-2013-0625 و CVE-2013-0629 تنها مشتري هايي را تحت تاثير قرار مي دهد كه حفاظت رمز عبور را فعال نكرده اند يا از هيچ رمز عبوري استفاده نمي كنند.
اين شركت در حال كار بر روي اصلاحيه هايي است تا اين آسيب پذيري ها را برطرف نمايد و اين اصلاحيه در 15 ژانويه منتشر خواهد شد. در همين حال به مشتريان ColdFusion توصيه مي شود تا براي كاهش خطر موارد زير را دنبال نمايند:
از يك نام كاربري و رمز عبوري استفاده كنيد كه با حساب كاربري مدير سيستم براي RDS متفاوت باشد؛ RDS را غيرفعال نماييد؛ دسترسي خارجي به دايركتوري هاي /CFIDE/administrator، /CFIDE/adminapi و /CFIDE/componentutils را براي تمامي سايت هاي ميزبان غيرفعال نماييد؛ الگوها و مولفه هاي غيرضروري ColdFusion را از دايركتوري هاي webroot و CFIDE حذف نماييد؛ براي واسط مدير سيستم و برنامه هاي كاربردي داخلي، محدوديت هاي كنترل دسترسي را اجرا نماييد؛ تمامي hotfix هاي موجود را نصب نماييد و تمامي شيوه هاي امنتيي كه قبلا براي ColdFusion نسخه 9 و 10 منتشر شده است را به كار ببريد.

ID: IRCNE2013011721
Date: 2013-01-08

According to "computerworld", a hacker claims to have found a method of bypassing the code integrity mechanism in Windows RT, therefore allowing for desktop-style programs to be installed on the platform.
The hacker, who uses the online moniker "clrokr", documented the bypass method in a blog post on Sunday.
Windows RT is a special version of Microsoft Windows designed for lightweight PCs and tablets that are based on the ARM architecture, including Microsoft's Surface tablet. Compared to Windows 8, Windows RT only allows Metro apps downloaded from the Windows Store to be installed. These applications are designed only for the Metro interface and don't have access to the regular Windows desktop.
According to clrokr, the restriction of installing only Metro-style apps on Windows RT is enforced through a code integrity mechanism that checks the application's signature before allowing it to be installed.
"Deep in the kernel, in a hashed and signed data section protected by UEFI's Secure Boot, lies a byte that represents the minimum signing level," clrokr said. The minimum signing level enforced by Windows RT can be changed by exploiting a vulnerability in the Windows kernel that had existed for some time and is also present in Windows RT, in order to modify that special byte in memory, clrokr said. The hacker decided to disclose the bypass method publicly.
Microsoft is aware of the disclosed exploit and is looking into the matter. "We are actively investigating this report and will take appropriate action to help protect customers," the company said Monday via email.

ID: IRCNE2013011722
Date: 2013-01-08

According to “ZDNet”, Nvidia has quietly released a new set of drivers to patch up a security flaw found within the Display Driver service, which came to light via a U.K.-based researcher on Christmas day.
If you happen to be an owner of a GeForce graphics processing unit (GPU), then the quiet release of the latest GeForce-based drivers is certainly worth a quick download.
On Saturday, the firm made the new WHQL-certified graphics drivers -- version 310.90 -- available. The release notes say that the file "adds a security update for the NVIDIA Display Driver service (nvvsvc.exe)." However, it does not mention the fact that U.K. researcher Peter Winter-Smith discovered a flaw in December which makes the display driver service vulnerable to buffer overflow and code injection attacks. In other words, the security flaw could potentially be used by a remote attacker with a domain account to gain access to a system running older drivers.
In addition to killing off the security flaw, the driver update also comes complete with a number of bug fixes and performance enhancements for some gaming titles. New 3D Vision profiles have been added, and faster performance will improve a number of PC games including Call of Duty: Black Ops 2 and Assassin's Creed III.
The download is available at the firm's website.

ID :IRCNE2013011720
Date: 2013-01-08

According to ZDnet, a team of researchers at Exodus Intelligence say they have cracked the temporary fix released by Microsoft for a zero day exploit found in Internet Explorer.
The security researchers at the firm say that they have managed to beat Microsoft's "Fix It" solution, which was recently released as a temporary measure. The original vulnerability came to light several weeks ago and is able to infiltrate various versions of Internet Explorer.
Security researcher Eric Romang originally found four files while stumbling around a compromised server; an executable, a Flash Player movie and two HTML files called exploit.html and protect.html. Together, when a user visits the exploit.html page, it loads the Flash movie, which in turn loads the other HTML page. Afterwards, the executable is dropped on to the victim's computer, which allows cyberattackers to drop any file they wish on to the machine and take control via malware or bots.
The vulnerability occurs in the way IE accesses an object in memory which may be corrupted, either due to memory deletion or improper allocation, which then gives an attacker access with user privileges.
Exodus will not release specific details of its crack until Microsoft has patched the vulnerability, but if white-hat researchers have already managed to crack the code, then there is no reason to believe malware coders have not already done so.

Related Topics
Microsoft issues fix for IE flaw that could allow PC hijack

ID: IRCNE2013011719
Date: 2013-01-08

According to "techworld", Adobe Systems warned users of its ColdFusion application server software that hackers are reportedly exploiting unpatched vulnerabilities in the product to take control of affected servers.
The company published a security advisory on Friday regarding three critical vulnerabilities - identified as CVE-2013-0625, CVE-2013-0629 and CVE-2013-0631- that affect ColdFusion versions 10, 9.0.2, 9.0.1 and 9.0.
CVE-2013-0625 can be exploited to bypass authentication controls and take control of a ColdFusion server, CVE-2013-0629 can allow unauthorized users to access restricted directories on a vulnerable server and CVE-2013-0631 can result in information disclosure.
"There are reports that these vulnerabilities are being exploited in the wild against ColdFusion customers," Adobe said. "Note that CVE-2013-0625 and CVE-2013-0629 only affect ColdFusion customers who do not have password protection enabled or have no password set."
The company is working to develop patches for the vulnerabilities and expects to release them on January 15. Meanwhile, customers are advised to follow several steps to mitigate the risks associated with these flaws.
The steps include: configuring a user name and password that is different from the one used for the Administrator account for Remote Development Services (RDS); disabling RDS; disabling external access to the /CFIDE/administrator, /CFIDE/adminapi and /CFIDE/componentutils directories for all hosted sites; removing unnecessary ColdFusion components or templates from the CFIDE or webroot directories; implementing access control restrictions for the Administrator interface and internal applications; installing all available ColdFusion hotfixes and following the previously published security best practices for ColdFusion 9 and ColdFusion 10.

شماره: IRCNE2013011718
تاريخ:17/10/91

شركت گوگل اقدام به بستن حفره هاي امنيتي بالقوه اي كرده است كه توسط يك گواهينامه جعلي براي دامنه google.com ايجاد شده است. اين گواهينامه به طور نادرست توسط منبع صدور گواهي TurkTrust صادر شده است.
Adam Langley، مهندس نرم افزار شركت گوگل گفت: گواهينامه مياني CA حاوي مدارك كاملي از CA است بنابراين هر كسي مي تواند از آن اطلاعات و مدارك استفاده نمايد و براي وب سايت هاي ديگر گواهينامه هاي جعلي صادر كند.
شركت گوگل اين گواهينامه را در Christmas Eve شناسايي كرد و سپس براي مسدود ساختن اين CA مياني مرورگر كروم خود را به روز رساني نمود و TurkTrust و ساير مرورگرهاي ديگر را از اين مساله مطلع ساخت.
TurkTrust پس از انجام تحقيقات، متوجه شد كه در اوت 2011 به طور اشتباه دو گواهينامه CA را براي سازمان ها منتشر كرده است. پس از اين تحقيقات شركت گوگل گواهينامه CA دومي را نيز مسدود ساخت.

ID: IRCNE2013011718
Date: 2013-01-06

According to "computerworld", Google has taken steps to close potential security holes created by a fraudulent certificate for its google.com domain, discovered in late December.
The certificate was erroneously issued by an intermediate certificate authority (CA) linking back to TurkTrust, a Turkish CA.
"Intermediate CA certificates carry the full authority of the CA, so anyone who has one can use it to create a certificate for any website they wish to impersonate," wrote Adam Langley, a Google software engineer, in a blog post Thursday.
Google detected the existence of the certificate on Christmas Eve, updated its Chrome browser the next day to block the intermediate CA and notified TurkTrust and other browser makers about the problem.
TurkTrust then conducted its own investigation and found out that in August 2011 it had mistakenly issued two intermediate CA certificates to organizations that should have instead received regular SSL certificates, according to Langley.
Google then updated Chrome again to block the second CA certificate and again notified other browser vendors.