شماره: IRCNE2012091616
تاريخ: 25/06/91

گروه امنيتي اپل به صورا بي­سر و صدا يكي از بزرگترين به روز رساني­هاي نرم افزاري را در تاريخ اين شركت عرضه كرد.
به روز رساني اپل براي iTunes 10.7 براي ويندوز، اصلاحيه هايي را براي حدود 163 آسيب پذيري امنيتي ارائه مي­نمايد. تمامي اين نقايص امنيتي با موتور متن باز WebKit در ارتباط هستند.
يك مدير امنيتي در nCircle اظهار داشت كه اپل در مورد اصلاحيه هاي بسيار عظيم مشهور است، اما اين به روز رساني با اين تعداد زياد آسيب پذيري، بلافاصله در صدر فهرست اصلاحيه هاي اپل قرار مي­گيرد.
با بررسي فهرست طولاني نقايص امنيتي WebKit، اين موضوع افشا مي­گردد كه بسياري از اين آسيب پذيري­ها مدت زيادي است كه شناخته شده اند. راهنمايي امنيتي اپل اين نقايص امنيتي را با نام CVE آنها فهرست كرده است. CVE مربوط به هر آسيب پذيري در هنگام گزارش اوليه آن آسيب پذيري مشخص مي­گردد. براي مثال، اولين نقص امنيتي در به روز رساني iTunes 10.7 اپل، CVE-2011-3016 است كه نقصي است كه نخستين بار در سال 2011 گزارش شده بود. اين آسيب پذيري استفاده پس از آزادسازي، به مهاجمان راه دور اجازه مي­دهد كه در مرورگر كروم پيش از نسخه 17.0.963.56 يك وضعيت انكار سرويس ايجاد نمايند يا اينكه از طريق بردارهاي شامل گره­هاي شمارنده، ضربه هاي نامعين ديگري را وارد كنند.

شماره: IRCNE2012091615
تاريخ: 25/06/91

اپل يك كنترل جديد در iOS 6 تعبيه كرده است كه به كاربر اجازه مي­دهد از اينكه در معرض تبليغات هدفمند قرار بگيرد، جلوگيري نمايد.
گزينه Limit Ad Tracking به اين جهت طراحي شده است كه از ردگيري رفتار شما در گوشي هوشمند توسط تبليغ كنندگان جلوگيري كند. اين گزينه در واقع نسخه مبتني بر تلفن Do Not Track است، به جز اينكه تبليغ كنندگان مجبور هستند از آن اطاعت نمايند، چرا كه iOS يك سيستم كاملا شخصي است.
اين كنترل در منوي تنظيمات عمومي iOS 6 در دسترس قرار دارد. در متن كامل اپل آمده است:
«iOs 6 شناسه تبليغاتي را معرفي مي­كند. اين شناسه يك شناسه موقتي و غيرشخصي دستگاه است كه شبكه هاي تبليغاتي با استفاده از آن، به كاربر اين امكان را مي­دهند تا كنترل بيشتري بر روي قابليت تبليغ كنندگان براي روش­هاي ردگيري داشته باشند. درصورتي­كه كاربر گزينه محدود كردن ردگيري را انتخاب نمايد، شبكه هاي تبليغاتي كه از شناسه تبليغاتي استفاده مي­كنند ديگر مجاز نخواهند بود براي استفاده از تبليغات هدفمند، اطلاعاتي را در مورد كاربر جمع آوري نمايند. در آينده تمامي شبكه هاي تبليغاتي بايد از شناسه تبليغاتي استفاده كنند. اما تا آن زمان همچنان ممكن است كاربران تبليغات هدفمند را دريافت نمايند.»
اپل زمان مشخصي را براي اعمال اين تغييرات در تمامي شبكه هاي تبليغاتي اعلام نكرده است.

شماره: IRCNE2012091614
تاريخ: 25/06/91

شركت ادوب تصريح كرد كه ويندوز 8 مايكروسافت در برابر حملاتي كه هكرها براي چندين هفته بر روي سيستم­هاي شخصي اعمال كرده اند، آسيب پذير است.
مايكروسافت اظهار داشت كه نقص امنيتي Flash Player را تا زمان عرضه عمومي ويندوز 8 اصلاح نخواهد كرد. در روز 26 اكتبر ويندوز 8 به صورت عمومي عرضه خواهد شد و كامپيوترهاي شخصي با اين سيستم عامل به فروش خواهند رسيد.
يك سخنگوي مايكروسافت اظهار داشت كه اين شركت به روز رساني فلش را در ويندوز 8 از طريق به روز رساني ويندوز عرضه خواهد كرد. به گفته وي، نسخه فعلي فلش در ويندوز 8 RTM حاوي ترميم اخير اين نرم افزار نيست، ولي به روز رساني امنيتي اين نرم افزار از طريق به روز رساني ويندوز در زمان عرضه عمومي اين سيستم عامل انجام خواهد شد.
مايكروسافت به جاي ادوب مسئول اصلاح Flash Player در ويندوز 8 است، چرا كه اين شركت اين نرم افزار مشهور را با IE 10 يعني مرورگر سيستم عامل جديد خود مجتمع كرده است. مايكروسافت در اواخر ماه مي و در هنگام عرضه آخرين نسخه اوليه ويندوز 8 در مورد اين موضوع اطلاع رساني كرده بود.
در آن زمان مدير اجرايي IE اظهار داشت كه با به روز رساني فلش از طريق به روز رساني ويندوز مانند IE، اعمال امنيت براي مشتريان اين شركت راحت­تر مي­گردد.
تا پيش از اين حركت مايكروسافت، گوگل تنها سازنده مرورگري بود كه Flash Player را با كروم مجتمع كرده بود و به پلاگين­هاي خارجي تكيه نكرده بود. گوگل بيش از دو سال است كه نسخه هاي به روز شده Flash Player را با كروم عرضه مي­كند، و معمولا در همان روزي كه ادوب به روز رساني فلش را عرضه مي­كند، اين شركت نيز مرورگر خود را با اصلاحيه هاي فلش به روز رساني مي­نمايد.
ماه گذشته ادوب دو به روز رساني براي Flash Player عرضه كرد كه 8 آسيب پذيري را برطرف مي­كرد. برخي از اين آسيب پذيري­ها در بالاترين رده از رده بندي­هاي امنيتي اين شركت قرار گرفته بودند. يكي از اين آسيب پذيري­ها، آسيب پذيري CVE-2012-1535 بود كه در روز 14 آگوست اصلاح شد، ولي پيش از آن براي مدتي مورد سوء استفاده هكرها قرار داشت.
بنا بر آنچه سايمانتك هفته گذشته افشا كرد، در حقيقت CVE-2012-1535 يكي از چهار آسيب پذيري اصلاح نشده بود كه براي مدت 16 هفته توسط يك هكر مورد سوء استفاده قرار گرفته بودند.
ادوب هفته گذشته تاكيد كرد كه هنوز مايكروسافت فلش را در IE 10 براي ويندوز 8 به روز رساني نكرده است و Flash Player 11.3.372.94، ترميم­هاي عرضه شده در به روز رساني­هاي APSB12-18 و APSB12-19 (به روز رساني­هاي 14 و 21 آگوست) را در بر ندارد.
يك سخنگوي ادوب در روز 23 آگوست در يكي از فروم­هاي پشتيباني اين شركت اعلام كرد كه تا اواخر اكتبر، هيچ به روز رساني براي فلش در ويندوز 8 و IE10 عرضه نخواهد شد. به گفته وي، از آنجايي كه ويندوز 8 هنوز به شكل عمومي عرضه نشده است، اين كانال به روز رساني هنوز فعال نيست. پس از فعال شدن اين كانال، كاربران مي­توانند به روز رساني­هاي Flash Player را دريافت نمايند.
مهندسين پشتيباني مايكروسافت حداقل از تاريخ 25 آگوست از مشكل فلش در ويندوز 8 آگاه بوده اند.
هنوز مشخص نيست كه مايكروسافت پس از عرضه ويندوز 8 در ماه آينده، چگونه به روز رساني فلش را مديريت خواهد كرد. اين شركت به جز اينكه تغييرات فلش را از طريق سرويس به روز رساني ويندوز عرضه خواهد كرد، چيز ديگري در اين مورد نگفته است.

ID: IRCNE2012091616
Date: 2012-09-15

According to “ESecurityPlanet”, Apple's security personnel quietly unloaded one of the biggest Apple software patch updates in the company's history.
Apple's iTunes 10.7 update for Windows provides patches for no less than 163 security vulnerabilities. All of the flaws are related to the open source WebKit rendering engine.
"The sheer number of bugs Apple fixed in this patch is almost overwhelming," said Andrew Storms, director of security operations for nCircle. "Apple is notorious for monster patches, but this one goes immediately to the top of the list."
Digging through the long list of WebKit flaws reveals that many of them have been known for some time. Apple's security advisory lists the flaws by their respective CVE (Common Vulnerabilities and Exposures) nomenclature, which identifies when the issue was first reported. As an example, the first bug listed in Apple's iTunes 10.7 patch update is CVE-2011-3016, a flaw that was first reported in 2011.
"Use-after-free vulnerability in Google Chrome before 17.0.963.56 allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors involving counter nodes, related to a read-after-free issue," the CVE entry states.

ID: IRCNE2012091615
Date: 2012-09-15

According to “CNet”, Apple has built into iOS 6 a new toggle that will let you prevent advertisers from hitting you with targeted ads.
The Limit Ad Tracking option is designed to prevent advertisers from tracking your behavior on the phone. It's a lot like a phone-based version of Do Not Track, except one that advertisers will be forced to obey since iOS is a proprietary system.
The toggle is available in iOS 6 general settings menu. Apple explains that you still might see targeted ads since not all ad networks will have switched to the Advertising Identifier by the time iOS 6 rolls out next week. The full text reads:
"iOS 6 introduces the Advertising Identifier, a nonpermanent, nonpersonal, device identifier, that advertising networks will use to give you more control over advertisers' ability to use tracking methods. If you choose to limit ad tracking, advertising networks using the Advertising Identifier may no longer gather information to serve you targeted ads. In the future all advertising networks will be required to use the Advertising Identifier. However, until advertising networks transition to using the Advertising Identifier you may still receive targeted ads from other networks."
So far, Apple has not publicly set a timeline for how long the transition will take, leaving the statement an open-ended one.

ID: IRCNE2012091614
Date: 2012-09-15

According to “Computerworld”, Microsoft's Windows 8 is vulnerable to attack by exploits that hackers have been aiming at PCs for several weeks, Adobe confirmed.
Microsoft said it will not patch the bug in Flash Player until what it called "GA," for "general availability." That would be Oct. 26, when Windows 8 hits retail and PCs powered by the new operating system go on sale.
"We will update Flash in Windows 8 via Windows Update as needed," a spokeswoman said in a reply to questions. "The current version of Flash in the Windows 8 RTM build does not have the latest fix, but we will have a security update coming through Windows Update in the GA timeframe."
Microsoft, not Adobe, is responsible for patching Flash Player in Windows 8 because the company took a page from Google's playbook and integrated the popular media software with Internet Explorer 10 (IE10), the new operating system's browser. Microsoft announced that move in late May when it launched the last public sneak-peak of Windows 8, or "Release Preview."
At the time, Dean Hachamovitch, the company's lead executive for IE, said, "By updating Flash through Windows Update, like IE, we make security more convenient for customers."
Chrome was the first -- and until Microsoft's move, the only -- browser maker to integrate Flash Player rather than rely on an external plug-in. Google has been providing updated versions of Flash Player with Chrome for more than two years, and usually refreshes its browser with Flash patches the same day that Adobe issues them to the public.
Last month, Adobe issued two updates for Flash Player that patched eight vulnerabilities, some of which were ranked as "1" by the company, its highest threat warning. One of the vulnerabilities, tagged as CVE-2012-1535, was patched Aug. 14, but had been exploited for an indeterminate time before that.
In fact, CVE-2012-1535 was one of four "zero-days," or unpatched vulnerabilities, exploited in a 16-week stretch by an elite hacker gang revealed by Symantec researchers on Friday.
Microsoft has not updated the Flash in IE10 within Windows 8 to accommodate those two sets of patches, Adobe confirmed Friday. "Flash Player 11.3.372.94 does not incorporate the fixes released in APSB12-18 and APSB12-19," said Wiebke Lips, a spokeswoman for Adobe, referring to the Aug. 14 and Aug. 21 Flash updates.
On an Adobe support forum, a company representative announced on Aug. 23 that there would be no Flash update for Windows 8 and IE10 until late October. "Since Windows 8 has not yet been released for general availability, the update channel is not active," said Chris Campbell, identified as an Adobe employee. "Once this goes live, you'll start getting updates to Flash Player."
Microsoft support engineers have known of the Flash problem on Windows 8 since at least Aug. 25.
It's unknown how Microsoft will handle updates for Flash after Windows 8 ships next month: The company has said nothing other than it will deliver Flash changes through its own Windows Update service.

شماره: IRCNE2012091613
تاريخ: 20/06/91

مايكروسافت اعلام كرد كه هفته جاري دو به روز رساني امنيتي براي پلتفورم توسعه Visual Studio و System Center Configuration Manager عرضه خواهد كرد.
سبك بودن به روز رساني­هاي اين ماه مايكروسافت به مديران آي تي فرصت خواهد داد كه براي به روز رساني ماه اكتبر كه تمامي گواهينامه هاي با كليد كوتاهتر از 1024 بيت را غيرمعتبر مي­سازد، آماده شوند.
مايكروسافت ابتدا گفته بود كه قصد دارد تمامي كليدهاي گواهينامه هاي ديجيتال با طول كمتر از 1024 بيت را در ماه ژوئن غيرفعال نمايد، سپس اعلام كرد كه در ماه آگوست يك به روز رساني براي مسدود كردن دسترسي ويندوز به كليدهاي كوتاه عرضه خواهد كرد. مايكروسافت ماه گذشته اين به روز رساني را عرضه كرد، اما دانلود آن را اختياري تعريف كرد. در روز 9 اكتبر (سه شنبه اصلاحيه ماه آينده) مايكروسافت اين به روز رساني را به جريان به روز رساني ويندوز خواهد افزود و به اين ترتيب، تمامي كاربران مجبور به اعمال آن خواهند شد. البته شركت­ها مي­توانند با استفاده از نرم افزار مديريت اصلاحيه مانند Windows Server Update Service (WSUS)، به روز رساني ماه اكتبر را به تاخير بيندازند.
مدير عمليات امنيتي شركت nCircle Security به مديران آي تي توصيه كرد كه از فرصت به روز رساني سبك ماه جاري استفاده كرده و براي به روز رساني ماه آينده برنامه ريزي نمايند. وي با ارسال مطلبي بر روي بلاگ nCircel، لينك­هايي را به مقالات و اسناد پشتيباني مايكروسافت منتشر كرده است كه در مورد برنامه به روز رساني غيرمعتبر سازي كليدها در ماه آينده توضيح مي­دهند.
يك مدير شركت امنيتي Qualys نيز اظهار داشت كه به روز رساني سبك ماه جاري، فرصت بزرگي براي مديران آي تي است تا نگاه ديگري به راهنمايي امنيتي 2661254 (KB2661254) بيندازند كه در ماه اكتبر، در وضعيت نصب خودكار قرار خواهد گرفت.
جرقه به روز رساني ماه اكتبر براي غيرفعال كردن گواهينامه هاي با كليدهاي كوتاهتر و آسيب پذيرتر، پس از كشف ابزار جاسوسي پيچيده فليم توسط كسپراسكاي زده شد. فليم به شبكه ها نفوذ كرده و از ماژول­هاي متعددي براي سرقت اطلاعات استفاده مي­كند. در ميان ترفندهاي مورد استفاده فليم، روشي به نام Holy Grail وجود داشت كه سرويس به روز رساني ويندوز را جعل مي­كرد تا به سيستم­هايي كه تمامي اصلاحيه ها را نصب كرده اند آسيب بزند.
مايكروسافت با غيرفعال كردن برخي از گواهينامه هاي خود و تقويت امنيت به روز رساني ويندوز، به اين بدافزار واكنش نشان داد.
مايكروسافت در طول تحقيقاتش در مورد فليم تصميم گرفت كه زيرساخت گواهينامه هاي ويندوز را مستحكم تر نمايد. نتيجه اين كار، تصميم اين شركت براي مسدود كردن دسترسي به گواهينامه هاي با كليدهاي كوتاهتر از 1024 بيت بود.
به روز رساني ماه جاري، اولين به روز رساني در طول چهار ماه گذشته است كه هيچ ترميمي براي مرورگر IE به همراه ندارد. اين به روز رساني در روز سه شنبه 11 سپتامبر عرضه خواهد شد.

شماره: IRCNE2012091612
تاريخ: 20/06/91

دو محقق امنيتي ادعا مي كنند، حمله ي جديدي را ابداع كرده اند كه مي تواند كوكي هاي نشست را از روي ارتباطات HTTPS رمزگشايي نمايد.
وب سايت ها براي به خاطر سپردن كاربران احراز هويت شده از كوكي هاي نشست استفاده مي كنند. اگر مهاجمي به كوكي هاي نشست يك كاربر در حالي كه آن كاربر هنوز به آن وب سايت متصل است، دسترسي داشته باشد، آن مهاجم مي تواند از آن كوكي براي دسترسي به حساب كاربري كاربر بر روي آن سايت استفاده نمايد.
پروتكل HTTPS از نشست در برابر اين نوع ارتباط ربايي ها محافظت مي كند زيرا كوكي هاي نشست را هنگام انتقال يا ذخيره شدن در مرورگر رمزگذاري مي كند. با اين حال، اين حمله جديد كه توسط محققان امنيتي جوليان ريزو و تاي دوآنگ ابداع شده است، قادر است اين كوكي ها را رمزگشايي نمايد.
اين حمله از يك ضعف در يكي از ويژگي هاي پروتكل هاي رمزنگاري TLS و SSL سوء استفاده مي كند. اين پروتكل ها براي پياده سازي پروتكل HTTPS استفاده شده اند.
بنا به گفته اين محققين، تمامي نسخه هاي TLS و SSL تحت تاثير اين ضعف و اين سوء استفاده قرار دارند. اين محققان ويژگي كه داراي آسيب پذيري مي باشد را فاش نكرده اند.
كد حمله CRIME به عنوان يك عامل شناخته مي شود و بايد داخل مرورگر قرباني لود شود. اين كار مي تواند بوسيله فريب دادن قرباني به مشاهده يك وب سايت جعلي صورت گيرد يا اگر مهاجم كنترل كل شبكه اي كه قرباني عضو آن است را در اختيار دارد مي تواند كد حمله را در يك ارتباط HTTP موجود تزريق نمايد.
ريزو گفت: كد حمله CRIME بر روي مرورگرهاي موزيلا فايرفاكس و گوگل كروم با موفقيت آزمايش شده است و ساير مرورگرها نيز مي توانند تحت تاثير اين آسيب پذيري قرار بگيرند.
اين محققان اظهار داشتند: در حال حاضر شركت هاي موزيلا و گوگل اصلاحيه اي را به منظور مسدود نمودن اين حمله آماده كرده اند اما هنوز منتشر نكرده اند.

ID: IRCNE2012091610
Date: 2012-09-08

According to “Computerworld”, Microsoft said it will issue two security updates next week for its Visual Studio development platform and its System Center Configuration Manager, the company's enterprise patch and software distribution console.
The light month -- in August, for instance, Microsoft shipped nine updates -- will give IT admins time to prepare for an October update that invalidates all certificates with keys less than 1,024 bits long.
Microsoft first told users that it was going to disable all digital certificate keys shorter than 1,024 bits in June, saying then that it would issue an update in August to block Windows accessing short keys. Microsoft did ship the update last month, but made it an optional download. On Oct. 9, next month's Patch Tuesday, Microsoft will add the update to the Windows Update stream, effectively pushing it to everyone.
Companies can, of course, delay the October update using patch management software, such as Windows Server Update Service (WSUS).
Andrew Storms, director of security operations at nCircle Security, echoed Microsoft's advice to use the breathing room of this month's light patch schedule to prepare for the October key-length update. Storms posted an entry on nCircle's blog today that included links to several articles and support documents on Microsoft's site that explain the key invalidation update scheduled for next month.
"For most IT shops, this will be a slow month, providing a great opportunity to...take another look at Security Advisory 2661254 (KB2661254), which will go into automatic-install mode in October," said Wolfgang Kandek, CTO of Qualys, in an email, referring to the key-length deprecation.
The October update to kill certificates with shorter -- and thus more vulnerable -- keys was triggered by the discovery of Flame, the sophisticated espionage tool discovered by Kaspersky Lab. Flame infiltrated networks, scouted out the digital landscape, and used a variety of modules to pilfer information. Among its tricks was one called the "Holy Grail" by researchers: It managed to spoof Windows Update, Microsoft's update service, to infect completely-patched Windows PCs.
Microsoft reacted by killing off some of its own certificates and beefing up Windows Update's security.
During its investigation into Flame, Microsoft decided to harden the Windows certificate infrastructure. The result was its decision to block access to certificates with keys shorter than 1,024 bits.
Next week's update, while light, was still interesting to Storms, who noted that Patch Tuesday will not fix any flaws in Internet Explorer (IE), making this the first month in the last four to omit the browser.
Microsoft will release the two updates at approximately 1 p.m. ET on Sept. 11.

ID: IRCNE2012091612
Date: 2012-09-10

According to "techworld", two security researchers claim to have developed a new attack that can decrypt session cookies from HTTPS (Hypertext Transfer Protocol Secure) connections.
Websites use session cookies to remember authenticated users. If an attacker gains access to a user's session cookie while the user is still authenticated to a website, the hacker could use it to access the user's account on that website.
HTTPS should prevent this type of session hijacking because it encrypts session cookies while in transit or when stored in the browser. However, the new attack, devised by security researchers Juliano Rizzo and Thai Duong, is able to decrypt them.
The attack exploits a weakness in a particular feature of the TLS (Transport Layer Security) cryptographic protocol and its predecessor, the SSL (Secure Sockets Layer) protocol, which are used to implement HTTPS.
All SSL and TLS versions are affected and the exploited feature is commonly used in SSL/TLS deployments, Rizzo said Thursday via email. The researcher declined to reveal which feature is vulnerable before the attack's presentation at Ekoparty.
The CRIME attack code, known as an agent, needs to be loaded inside the victim's browser. This can be done either by tricking the victim into visiting a rogue website or, if the attacker has control over the victim's network, by injecting the attack code into an existing HTTP connection.
CRIME was tested successfully with Mozilla Firefox and Google Chrome. However, other browsers could also be affected, Rizzo said.
Mozilla and Google have already prepared patches that block the attack but they have not yet been released, the researcher said.