ID: IRCNE2012091628
Date: 2012-09-26

According to "cnet", a computer scientist says he discovered that a server of the IEEE (Institute of Electrical and Electronics Engineers) had about 100,000 usernames and passwords stored in plaintext and publicly accessible.
Radu Dragusin, a computer scientist who works at FindZebra and is a teaching assistant at the University of Copenhagen, writes in a blog post that he discovered the problem last week and notified the IEEE about his findings, enabling them to "at least partially" fix the problem.
The data was publicly available on the IEEE FTP (File Transfer Protocol) server for at least a month, potentially exposing usernames and passwords of people who work at Apple, Google, IBM, Oracle, Samsung, NASA, Stanford, and other organizations and firms, he said. The glitch exposed all the actions the users performed on the ieee.org site, as well as spectrum.ieee.org, he added.
The IEEE provided CNET with a statement late this afternoon. "IEEE has become aware of an incident regarding inadvertent access to unencrypted log files containing user IDs and passwords. We have conducted a thorough investigation and the issue has been addressed and resolved. We are in the process of notifying those who may have been affected," the organization said. "IEEE takes safeguarding the private information of our members and customers very seriously. We regret the occurrence of this incident and any inconvenience it may have caused."

ID: IRCNE2012091627
Date: 2012-09-26

According to "cnet", owners of the Samsung Galaxy S2 and S3 may be vulnerable to a flaw that could allow their personal data to be deleted from their device, a security researcher has discovered.
The malicious code, which is now circulating on the Internet, could trigger a factory reset of the popular handsets, according to Ravi Borgaonkar, a researcher in the Security in Communications department at Technical University Berlin, who demonstrated the vulnerability at the Ekoparty security conference in Argentina last week.
The flaw lies in the way Samsung's TouchWiz UI interacts with unstructured supplementary service data (USSD) codes, which execute commands on the handset's keypad. While most dialers require the user to hit the "send" button to complete the code, Samsung's does not, Borgaonkar said.
He showed how the flaw could be exploited on a Samsung Galaxy S3 via a single code embedded in a Web link, QR code, NFC connection, or SMS, supplying the correct factory reset code to wipe the device without warning the owner or asking for permission.
Borgaonkar also said it was possible to lock the SIM card, preventing owners from using many of the device's features. However, attacks can be prevented by turning off "service loading" in settings and disabling QR code and NFC apps, he said.

شماره: IRCNE2012091625
تاريخ: 04/07/91

روز جمعه مايكروسافت، به منظور محافظت از كاربران اينترنت اكسپلورر نسخه 10 در برابر حملاتي كه از چندين ماه پيش شروع شده اند، اصلاحيه هايي را براي فلش منتشر كرد.
هفته گذشته، مايكروسافت اظهار داشت كه نقص امنيتي Flash Player را تا زمان عرضه عمومي ويندوز 8 اصلاح نخواهد كرد. در عوض اين شركت وعده داده بود كه به زودي مديا پلير را به روز رساني مي كند.
مايكروسافت به جاي ادوب مسئول اصلاح Flash Player در ويندوز 8 است، چرا كه اين شركت اين نرم افزار مشهور را با IE 10 يعني مرورگر سيستم عامل جديد خود مجتمع كرده است. مايكروسافت در اواخر ماه مي و در هنگام عرضه آخرين نسخه اوليه ويندوز 8 در مورد اين موضوع اطلاع رساني كرده بود. Dean Hachamovitch اظهار داشت: با به روز رساني فلش از طريق به روز رساني ويندوز مانند IE، اعمال امنيت براي مشتريان اين شركت راحت تر مي گردد.
به روز رساني كه روز جمعه براي فلش منتشر شده است براي ويندوز 8 RTM و نسخه نهايي بتا پيشنهاد مي شود. اين به روز رساني به صورت رايگان براي كاربران ويندوز 8 ارائه شده است و تا 31 ژانويه 2013 اعتبار دارد. هم چنين اين به روز رساني فلش پلير IE10 را بر روي ويندوز 8 RTM به نسخه 11.3.374.7 ارتقاء مي دهد. روز جمعه ادوب تاييد كرد كه اين نسخه حاوي اصلاحيه هايي براي هشت آسيب پذيري اصلاح شده در روزهاي 14 و 21 آگوست، نيز است.
اطلاعات بيشتر در مورد به روز رساني فلش IE10 و ويندوز 8 را مي توانيد در راهنمايي امنيتي مايكروسافت بدست آوريد. كاربران ويندوز 8 مي توانند به روز رساني هاي فلش را از طريق Windows Update service يا سرور WSUS اعمال نمايند.

مطالب مرتبط:
آسيب پذيري كاربران ويندوز 8 در برابر مشكل امنيتي فلش

شماره:IRCNE2012091624
تاريخ: 04/07/91

هتل اينتر كانتيننشال كوالالامپور از 8 تا 11 اكتبر ميزبان شركت كنندگان در كنفرانس Hack in The Box خواهد بود كه دهمين سالگرد خود را جشن مي گيرد.
در اين كنفرانس، هكرها، متخصصان امنيتي، توسعه‌دهندگان نرم‌افزار و بسياري افراد ديگر از سراسر جهان شركت مي كنند. پيش بيني مي شود اين بزرگترين كنفرانس HiTB تا به امروز باشد.
كنفرانس Hack in The Box همزمان با اولين نشانه هاي جرائم اينترنتي آغاز به كار كرد و امروزه تبديل به يكي از معتبرترين كنفرانس‌هاي امنيتي شده است كه متخصصين امنيتي را از سراسر جهان گرد هم مي‌آورد. در ده سال گذشته اين كنفرانس به اروپا و خاورميانه نيز گسترش پيدا كرده است.
برخي سخنران‌هاي اين كنفرانس پايه گذاران Pirate Bay، موسس OpenBSD و برخي اعضاي گروه LSD و بسياري افراد شناخته شده ديگر در زمينه امنيت مي باشند كه از بين سخنرانان ده سال گذشته انتخاب شده اند.
قابل ذكر است در سال جاري يك خيريه در كنار كنفرانس برگزار مي‌شود كه هدف آن كمك مالي به بيمارستاني است كه به بيماران سرطاني خدمات ارائه مي‌دهد.

براي كسب اطلاعات بيشتر به وب سايت كنفرانس به آدرس زير مراجعه نماييد:

http://conference.hitb.org/hitbsecconf2012kul

ID: IRCNE2012091625
Date: 2012-09-25

According to "computerworld", microsoft on Friday updated Flash on Windows 8 to protect IE10 users from attacks that may have started months ago.
More than a week before, Microsoft had backed away from an earlier position that held it would not patch Flash until late October. Instead, the company promised to update the media player "shortly."
Microsoft, not Adobe, is responsible for patching Flash Player in Windows 8 because the company mimicked Google's Chrome by building the software into IE10, the new operating system's browser. Microsoft announced that move in late May, when its top IE executive, Dean Hachamovitch, said, "By updating Flash through Windows Update, like IE, we make security more convenient for customers."
Friday's Flash update will be offered to Windows 8 RTM, and to the final public beta, Windows 8 Release Preview. That sneak peak, which users downloaded free of charge, does not expire until Jan. 31, 2013.
Computerworld confirmed that the update boosted IE10's Flash Player to version 11.3.374.7 on Windows 8 RTM. On Friday, Adobe confirmed that that edition contained the patches for the eight vulnerabilities it patched Aug. 14 and Aug. 21.
More information on the Flash Update to IE10 and Windows 8 can be found in Microsoft's security advisory.
Windows 8 users can obtain the Flash update via the Windows Update service, as well as through the enterprise-grade WSUS (Windows Server Update Services).

Related Link:
Adobe confirms Windows 8 users vulnerable to active Flash exploits

ID :IRCNE2012091624
Date: 2012-09-25

According to ZDnet. from October 8-11 the Intercontinental Hotel in Kuala Lumpur will be the epicenter for a historical security event: next month in Malaysia, conference of legend Hack in The Box will celebrate its tenth year.
Hack in The Box returns to the scene of the crime for an anniversary fête that looks amazing - and will be packed with hackers, security professionals, developers and more from around the world.
It's expected to be the biggest HiTB to date.
This lineup includes founders from The Pirate Bay, OpenBSD creator Theo de Raadt, John ‘Captain Crunch’ Draper and HiTB hints on its website they may also bring out members of the LSD Group, among many others.
There's also a charity auction planned to benefit Malaysia's Mount Miriam Cancer Hospital: a private, not-for-profit hospital that runs a state-of-the-art cancer treatment facility which treats patients irregardless of race or financial status, and is currently in need of expansion funds.
Hack in The Box ("Keeping knowledge free for over a decade") started out just after the dotcom boom nuked cutesy startups from orbit and the internet's atmosphere turned several shades of noir - crime noir, that is. It was at that time HITBSecConf began, and since has pulled in many of the world’s top - and most infamous - security experts and hackers, many at the height of their influence and impact. In the past decade, HiTB has expanded to Europe and the Middle East.

شماره: IRCNE2012091623
تاريخ: 31/06/91

هفته گذشته در مسابقه Pwn2Own تلفن همراه در يك كنفرانس امنيتي در آمستردام، هكرهاي هلند و انگليسiPhone 4S و Samsung Galaxy S3 را هك كردند.
Joost Pol، مدير اجرايي شركت تحقيقاتي هلندي و همكار او Daan Keuper در كنفرانس EuSecWest توانستند به دفترچه آدرس، عكس ها، تاريخچه مرورگر و ويدئوها بر روي يك دستگاه iPhone 4S دسترسي يابند.
Pol گفت: ما به طور خاص اين دستگاه را انتخاب كرديم به اين دليل كه iOS نسخه 6 كه اين هفته عرضه خواهد شد نسبت به اين حمله آسيب پذير خواهد بود. او اضافه كرد كه دستگاه هاي آي پد، آي فون نسخه 4 و آي پد لمسي نسبت به اين حمله آسيب پذير هستند. با اين وجود، Pol معتقد است كه آي فون امن ترين دستگاه تلفن همراه در بازار است.
بنا بر گزارش ديگري از ZDNet، يك تيم از آزمايشگاه MWR توانستند از طريق فناوري NFC و با استفاده از يك آسيب پذيري ناشناخته در سيستم عامل اندرويد 4.0.4، دستگاه Samsung Galaxy S3 را هك كنند و از طريق يك حفره ناشناخته ديگر، دسترسي كامل داده ها را بدست آورند. هم چنين اين حمله مي تواند به جاي استفاده از فناوري NFC، بوسيله ارسال پيوست هاي مخرب هدفمند همراه پست الكترونيكي يا URL هاي مخرب انجام گيرد.

شماره: IRCNE2012091621
تاريخ: 31/06/91

امروز مايكروسافت يك اصلاحيه فوري براي اينترنت اكسپلورر منتشر كرد. اين به روز رساني با برچسب MS12-063، پنج رخنه امنيتي را در IE برطرف مي كند. اواخر هفته گذشته يكي از اين رخنه ها توسط يك محقق امنيتي كشف شده بود. هكرها با سوء استفاده از اين رخنه مي توانستند ويندوز كامپيوترهاي شخصي را به بدافزار آلوده كنند.
روز دوشنبه مايكروسافت يك راهنماي امنيتي منتشر كرد و اين آسيب پذيري را تاييد نمود و پس از آن يك "Fixit" براي اين آسيب پذيري منتشر كرد. مايكروسافت در بيانيه اي گفت: كاربراني كه در حال حاضر shim را فعال كرده اند، مي توانند آن را حذف نموده يا "Fixit" را غير فعال نمايند و اصلاحيه امروز را اعمال نمايند.
به روز رساني امروز مايكروسافت داراي رتبه "بسيار مهم" است. از چهار آسيب پذيري شناخته شده، سه آسيب پذيري مربوط به اينترنت اكسپلورر نسخه 9 مي باشد كه اين نسخه ماه مارس 2011 عرضه شده است. تنها يك آسيب پذيري مربوط به اينترنت اكسپلورر نسخه هاي 7 و 8 مي شود. تمامي اين آسيب پذيري ها در اصلاحيه MS12-063 برطرف شده اند.
اصلاحيه MS12-063 بر روي تمام نسخه هاي ويندوز Xp، ويستا و 7 اعمال مي شود و نسخه هاي 6، 7، 8 و 9 اينترنت اكسپلورر را تحت تاثير قرار مي دهد. تنها اينترنت اكسپلور نسخه 10 كه در مجموعه ويندوز 8 قرار دارد، ايمن است.
به روز رساني خارج از نوبت روز جمعه، اولين به روز رساني خارج از نوبت امسال است كه مايكروسافت منتشر كرده است و از سپتامبر 2010، دومين به روز رساني خارج از نوبت است. اين به روز رساني نيز از ژانويه 2010، اولين اصلاحيه فوري براي يك آسيب پذيري zero-day در اينترنت اكسپلورر است.
كاربران ويندوز مي توانند اصلاحيه MS12-063 را از طريقMicrosoft Update و Windows Update services اعمال نمايند.

شماره: IRCNE2012091622
تاريخ: 31/06/91

با توجه به اخبار امنيتي منتشر شده توسط آزمايشگاه كسپراسكاي، يك محقق امنيتي نشان داد كه پايگاه داده اوراكل مي تواند توسط حملات brute-force، تنها با استفاده از نام پايگاه داده و يك نام كاربري هك شود.
Esteban Martinez Fayo، كه براي شركت AppSec كار مي كند، اين كشف خود را در يك كنفرانس امنيتي در آرژانتين در معرض نمايش گذاشت و گفت كه مي تواند با استفاده از يك ابزار خاص تنها در عرض پنج ساعت پايگاه داده اوراكل را هك كند و به داده هاي كاربران دسترسي يابد.
اين محقق ادعا كرد كه اين كار بسيار ساده است و هكرها تنها با دانستن يك نام كاربري معتبر در پايگاه داده و نام پايگاه داده مي توانند آن را هك كنند.
Martinez Fayo اظهار داشت: او رخنه هايي را در رمزنگاري احرازهويت رمزهاي عبور اوراكل كشف كرده است كه باعث مي شود به راحتي توسط حملات brute-force هك شوند.
اين محقق گفت كه تيم او براي اولين بار در مي 2010 اين مشكل را به اوراكل هشدار داده است و شركت اوراكل در سال 2011 آن را برطرف نموده است. با اين حال، شركت اوراكل اين مشكل را در نسخه هاي 11.1 و 11.2 برطرف نكرده است اما در نسخه 12 كه تازه منتشر شده، اين مشكل برطرف شده است.
اين اولين بار نيست كه يك رخنه امنيتي در پايگاه داده اوراكل كشف مي شوند. در ماه ژانويه، اين شركت 78 مشكل نرم افزاري را در يك اصلاحيه مهم برطرف نمود. آن مشكلات ناشي از رخنه اي بودند كه به هكرها اجازه مي داد تا از راه دور به پايگاه داده اوراكل وارد شوند. هم چنين ماه گذشته، يك آسيب پذيري جديد در آخرين به روز رساني جاوا 7 براي اوراكل كشف شد كه مي توانست براي اجراي كد دلخواه مورد سوء استفاده قرار بگيرد.
Martinez Fayo گفت: براي اين رخنه راه حل هايي وجود دارد. او اضافه كرد كه مي توان پروتكل را در نسخه 11.1 غيرفعال نمود و از نسخه قديمي آن مانند نسخه 10g استفاده كرد. هم چنين براي سازمان ها بسيار حياتي است تا پايگاه داده هايي از اوراكل را كه تحت تاثير اين آسيب پذيري ها قرار دارند، ارتقاء دهند و راه حل هايي براي جلوگيري از اين گونه حملات اعمال نمايند.

مطالب مرتبط:
كشف آسيب پذيري هاي جديد در جاوا
اصلاحيه اوراكل براي آسيب پذيري جاوا 7
به روز رساني مهم جاوا
به روزرساني امنيتي اوراكل با 88 اصلاحيه در راه است
انتشار 14 اصلاحيه براي Java SE توسط اوراكل
انتشار اطلاعات مربوط به يك آسيب پذيري اصلاح نشده در پايگاه داده اوراكل

ID: IRCNE2012091623
Date: 2012-09-21

According to "cnet", Dutch and British hackers compromised an iPhone 4S and a Samsung Galaxy S3, respectively, in separate gambits as part of a mobile Pwn2Own contest at a security conference in Amsterdam this week.
Joost Pol, chief executive officer of Dutch research firm Certified Secure, and colleague Daan Keuper created an exploit that allowed them to hijack the address book, photos, browsing history and videos from a fully patched iPhone 4S at the EuSecWest conference, according to CNET sister site ZDNet.
"We specifically chose this one because it was present in iOS 6 which means the new iPhone coming out [this week] will be vulnerable to this attack," Pol said, adding that the exploit also works on the iPad, iPhone 4 and iPod Touch. Despite that, he says the iPhone is the most secure mobile device on the market.
Meanwhile, a team from U.K.-based MWR Labs beamed a malicious file via NFC (near-field communications) technology to a Samsung Galaxy S3 running Android 4.0.4 that exploited a previously unknown vulnerability in the document viewer in the operating system, and then gained full access to the data via another unknown hole, according to another ZDNet report. The attack could also be accomplished by sending a target malicious e-mail attachments or URLs instead of using NFC.