شماره: IRCNE2012091600
تاريخ: 12/06/91

محققان امنيتي شركت Websense يك كمپين بدافزاري جديد ارسال هرزنامه را كشف كرده اند كه سعي مي­كند كاربران بلك بري را براي دانلود و اجراي فايل­هاي zip خرابكار ترغيب نمايد.
اين فايل با MD5: 9a01293b87b058619d55b8d4d12f2a8e در حال حاضر توسط 27 آنتي ويروس با عنوان Backdoor.Win32.Androm.gi; Worm:Win32/Gamarue.I شناسايي مي­گردد.
مجرمان سايبري به طور متناوب ميليون­ها ايميل را كه مارك­هاي معروف را جعل مي­كنند ارسال كرده و هر تعداد ممكن از مشتريان آنها را هدف قرار مي­دهند.
قطعا و با توجه به تلاش­هاي مجرمان سايبري براي مهندسي اجتماعي مشتريان مارك­هاي معتبر و معروف جهت تعامل با كمپين­هاي آنها، از اين پس شاهد سوء استفاده هاي سازمان يافته تري از اين مارك­ها خواهيم بود.

شماره: IRCNE2012091599
تاريخ: 12/06/91

تنها چند ساعت پس از اينكه اوراكل به روز رساني خود براي جاوا 7 را براي مقابله با حملات فعال عرضه كرد، محققان امنيتي آسيب پذيري ديگري كشف كردند كه مي­تواند براي اجراي كد دلخواه بر روي سيستم­هايي كه runtime را نصب كرده اند، مورد سوء استفاده قرار گيرد.
شركت امنيتي لهستاني Security Explorations ادعا كرده است كه دو آسيب پذيري جديد در جاوا 7 كشف كرده است كه مي­توانند براي شكستن sandbox جاوا 7 و اجراي كد، مورد سوء استفاده قرار گيرند.
Security Explorations تا زماني كه اوراكل اين مشكل را برطرف نمايد، جزئيات اين آسيب پذيري را مخفيانه نگاه خواهد داشت و صرفا اظهار كرده است كه در صورتي كه اين آسيب پذيري مورد سوء استفاده قرار گيرد، به اپلت­هاي تقلبي جاوا اجازه مي­دهد كه sandbox جاوا را شكسته و كد دلخواه خود را بر روي سيستم هدف اجرا نمايند.
اين آسيب پذيري­ها در حال حاضر تهديد جدي براي كاربران جاوا به حساب نمي آيند و اوراكل بايد در به روز رساني­هاي آتي خود آنها را برطرف كند. بنا بر برخي گزارش­ها، اوراكل از ماه آوريل سال جاري از اين آسيب پذيري­ها آگاه بوده است و براي برطرف كردن آنها اقدامي نكرده است.
جاوا 7 هنوز بسيار جوان است و تا كنون فقط به هفتمين عرضه خود رسيده است، اين در حالي است كه runtime هاي پيشين بيش از 30 به روز رساني را براي اصلاح و مديريت آسيب پذيري­ها دريافت كرده اند. در نتيجه، در صورتي­كه نياز داريد از جاوا استفاده كنيد، بهتر است يك نسخه runtime قديمي­تر را نصب نماييد كه به خوبي تست شده باشد، ولي در صورتي­كه به جاوا نياز نداريد، بهتر است از حذف آن خودداري كرده و درصورتيكه پيشتر آن را نصب كرده ايد، آن را از روي سيستم خود حذف نماييد.

مطالب مرتبط:
اصلاحيه اوراكل براي آسيب پذيري جاوا 7

شماره: IRCNE2012091598
تاريخ: 12/06/91

اوراكل در پاسخ به كشف يك آسيب پذيري جديد در جاوا 7 كه توسط توليدكنندگان بدافزار مورد سوء استفاده قرار گرفته بود، يك اصلاحيه رسمي عرضه كرد تا اين مشكل را برطرف نمايد.
هفته گذشته يك آسيب پذيري جديد در جاوا 7 اوراكل كشف شد كه توسط هكرها در حملات هدفمند بر روي سيستم­هاي مبتني بر ويندوز مورد استفاده قرار گرفته بود. اين آسيب پذيري مشابه بدافزار Flashback در OS X، به مجرمان اجازه مي­دهد يك هك drive-by ايجاد نمايند كه براي در اختيار گرفتن كنترل يك سيستم، كافي است قرباني يك صفحه وب تقلبي ميزبان يك اپلت خرابكار جاوا را مشاهده كند.
اگرچه حملاتي كه از اين آسيب پذيري استفاده مي­كنند تا كنون صرفا مبتني بر ويندوز بوده اند، اما اثبات شده است كه اين كد سوء استفاده كننده در ساير پلتفورم­هاي پشتيباني شده توسط جاوا 7 از جمله سيستم­هاي OS X نيز به خوبي كار مي­كند. اين كد سوء استفاده كننده در آخرين نسخه هاي مرورگرهاي Safari و فايرفاكس در Mountain Lion به طور موفقيت آميز اجرا شده است.
يك موضوع نگران كننده در مورد اين آسيب پذيري اين بود كه اوراكل برنامه سه ماهه اي براي اصلاحيه هاي جاوا دارد و اين بدان معنا بود كه كاربران بايد براي مشاهده اصلاحيه اين نقص امنيتي، تا ماه اكتبر صبر كنند. در نتيجه برخي شركت­ها در روزهاي پس افشاي اوليه اين آسيب پذيري، اصلاحيه هاي خود را براي آن عرضه كردند. اما اوراكل وارد ميدان شده و برنامه منظم عرضه اصلاحيه خود را تغيير داده و يك نسخه اصلاح شده براي جاوا 7 عرضه كرده است.
اصلاحيه Java 7 Update 7 را مي­توان از صفحه وب دانلودهاي Java SE دريافت كرد و اوراكل به تمامي كاربران جاوا 7 توصيه كرده است كه اين به روز رساني را اعمال نمايند.
به خاطر داشته باشيد كه اين آسيب پذيري در ويژگي­هاي جديد جاوا 7 قرار دارد و در ساير نسخه ها كار نخواهد كرد، بنابراين اگر از نسخه هاي قديمي­تر جاوا استفاده مي­كنيد، نيازي به اصلاح اين آسيب پذيري نخواهيد داشت. البته اوراكل Java SE 6 را نيز براي پوشش دادن نقايص امنيتي ديگري به روز رساني كرده است.

ID: IRCNE2012091600
Date: 2012-09-02

According to “ZDNet”, security researchers from Websense, have intercepted a currently spamvertised malicious campaign, attempting to trick BlackBerry users into downloading and executing the malicious .zip archive.
The archive with MD5: 9a01293b87b058619d55b8d4d12f2a8e is currently detected by 27 out of 42 antivirus scanners as Backdoor.Win32.Androm.gi; Worm:Win32/Gamarue.I.
On a periodic basis, cybercriminals mass mail millions of emails impersonating multiple brands in an attempt to target as many market segments as possible. Thanks to the publicly avaiable DIY email harvesting tools, and managed databases of already harvested millions of segmented email addressess, cybercriminals are at a unique position to reach out to millions of Internet users in a matter of hours.
We're definitely going to see more systematic abuse of well known and trusted brands, in an attempt by the cybercriminals to socially engineer end and corporate users into interacting with their campaigns.

ID: IRCNE2012091599
Date: 2012-09-02

According to “CNet”, only hours after Oracle released its latest Java 7 update to address active exploits, security researchers found yet another vulnerability that can be exploited to run arbitrary code on systems that have the runtime installed.
The Polish security firm Security Explorations is claiming to have discovered two new vulnerabilities in Java 7, which so far are proof-of-concept exploits that can be used to break the Java 7 sandbox and execute code.
Security Explorations is keeping the details about these latest vulnerabilities secret until Oracle addresses the problem, and has only stated that when exploited they allow rogue Java applets to break the Java sandbox and execute arbitrary code on the system.
Being only proof-of-concept attacks means that for now they should not pose much of a threat to Java users, and Oracle should address them in future updates. Oracle has known about these and other exploits since April of this year, and has not taken steps to close them.
These latest developments serve as a warning against using Java when not needed and also prematurely updating Java. Java 7 is still very early in its development, being only the seventh release so far, whereas prior runtimes have received over 30 updates to patch and manage vulnerabilities. As a result, if you need Java then you might consider installing a prior runtime version that has been well-tested, but if you do not need Java then you might consider avoiding installing it or removing it from your system if it is already installed.

ID: IRCNE2012091598
Date: 2012-09-02

According to “CNet”, in response to the findings of a recent vulnerability in Java 7 that was being exploited by malware developers, Oracle has released an official patch that takes care of the problem.
In the past week, a new vulnerability was unveiled in Oracle's Java 7 runtime, which has been used by hackers in targeted attacks on Windows-based systems. Similar to the recent Flashback malware in OS X, this vulnerability allows criminals to create a drive-by hack where the only action needed to compromise a system is to visit a rogue Web page that hosts a malicious Java applet.
Even though the attacks using this vulnerability so far have been Windows-based, the exploit was demonstrated on other platforms supported by Java 7, including OS X systems where the exploit was successfully run in the latest Safari and Firefox browsers in Mountain Lion.
Following the news of this exploit and the potential for it to do harm, concern arose regarding Oracle's release schedule for Java updates which are usually released quarterly and would mean users would have to wait until October to see a patch to this flaw. As a result, some companies issued their own private patches to this vulnerability in the days that followed its initial finding, but Oracle has stepped up and broken its regular release schedule to offer a patched version of the Java 7 runtime.
The Java 7 Update 7 patch can be downloaded from the Java SE Downloads Web page, and Oracle recommends that all users of Java 7 apply the update.
Do keep in mind that this vulnerability is in new features in the Java 7 runtime and will not work in other versions, so if you have older Java runtimes installed on your system then you will not need to patch them to address this specific vulnerability; however, Oracle has also updated Java SE 6 to address other bugs so it is recommended that you also install the latest update for this runtime.

شماره: IRCNE2012081597
تاريخ: 04/06/91

روز سه شنبه شركت ادوبي يك به روز رساني براي نرم افزار فلش منتشر كرد. اين به روز رساني شش آسيب پذيري بحراني در برنامه چند رسانه اي فلش و زمان اجراي AIR را برطرف مي نمايد. پنج آسيب پذيري مي تواند منجر به اجراي كد از راه دور شود.
شركت ادوبي در راهنمايي امنيتي خود اظهار داشت: اين به روز رساني ها براي سيستم هاي ويندوز، مكينتاش، لينوكس، گوگل كروم و كاربران اندرويد نسخه هاي 2.x، 3.x و 4.xمنتشر شده است.
اين اصلاحيه هاي چهار آسيب پذيري تخريب حافظه - CVE-2012-4163، CVE-2012-4164، CVE-2012-4165 و CVE-2012-4166 – و يك آسيب پذيري سرريز عدد صحيح CVE-2012-4167را برطرف مي نمايند. هم چنين آسيب پذيري نشت اطلاعات بين دامنه اي CVE-2012-4168 در اين اصلاحيه ها برطرف شده است.
شركت ادوبي در بيانيه اي اظهار داشت: اين به روز رساني ها آسيب پذيري هايي را برطرف مي كنند كه مي توانند باعث ايجاد خرابي در سيستم شوند و هم چنين مي توانند به مهاجم اجازه دهند تا كنترل سيستم تحت تاثير قرار گرفته را در اختيار بگيرد.
كاربران ويندوز و اپل بايد از فلش نسخه 11.4.402.265 و كاربران لينوكس بايد از نسخه 11.2.202.238 استفاده نمايند.
هفته گذشته شركت ادوبي يك اصلاحيه براي يك آسيب پذيري در فلش در بولتن CVE-2012-1535 منتشر كرد. اين آسيب پذيري مي توانست براي فلش ايجاد مشكل كند و در بدترين حالت، به مهاجم اجازه دهد تا كنترل كامپيوتر قرباني را دراختيار بگيرد.
روز سه شنبه شركت امنيتي سايمانتك در وبلاگي نوشت: از دهم آگوست بيش از 1300 حمله كه از اين آسيب پذيري ها سوء استفاده كرده اند، كشف و مسدود شده است.
شركت ادوبي اظهار داشت: اين حملات به وسيله ارسال اسناد مخرب ورد كه شامل يك سوء استفاده هدفمند از نسخه Active X فلش براي مرورگر اينترنت اكسپلورر مي شود، صورت مي گيرد.

لينك هاي مرتبط:
به‌روزرساني‌های مهم Adobe برای Flash، Reader و Acrobat

ID: IRCNE2012081597
Date: 2012-08-25

According to "computerworld", Adobe Systems released fixes on Tuesday for six critical vulnerabilities affecting its Flash multimedia application and AIR runtime, five of which could allow for remote code execution on a system.
The updates affect Windows, Macintosh, Linux, Google Chrome and users of Android 2.x, 3.x and 4.x devices, Adobe said in its advisory.
The patches address four memory corruption vulnerabilities -- CVE-2012-4163, CVE-2012-4164, CVE-2012-4165 and CVE-2012-4166 -- and an integer overflow vulnerability, CVE-2012-4167. Also fixed is a cross-domain information leak vulnerability, CVE-2012-4168.
"These updates address vulnerabilities that could cause a crash and potentially allow an attacker to take control of the affected system," Adobe said.
Windows and Apple users should use Flash version 11.4.402.265, and the up-to-date Linux version is 11.2.202.238.
Last week, Adobe pushed out a fix for Flash for CVE-2012-1535, which the company said had been used in limited attacks. The problem can cause Flash to crash, or, at worst, allow an attacker to take over control of the computer.
The attack is initiated by sending targets a malicious Word document, which contains an exploit targeting the ActiveX version of Flash for the Internet Explorer browser, Adobe said. Security vendor Symantec wrote on Tuesday that it had detected and blocked more than 1,300 attacks since Aug. 10 using the vulnerability.

Related link:
Adobe’s patches for Flash, Reader and Acrobat

شماره: IRCNE2012081596
تاريخ: 01/06/91

محققان امنيتي بدافزاري را كشف كرده اند كه قادر است در چهار پلتفورم مختلف شامل ويندوز، Mac OS X، ماشين­هاي مجازي VMware و دستگاه­هاي Windows Mobile منتشر گردد.
اين بدافزار كه Crisis نام گرفته و نخستين بار ماه گذشته توسط شركت امنيتي Integro كشف شده است، در اصل به عنوان يك تروجان مك معرفي شده بود كه قادر است ايميل­ها و پيام­هاي فوري را مورد رهگيري قرار دهد و وب سايت­هاي مشاهده شده را رديابي نمايد. تحقيقات ديگر انجام شده توسط سايمانتك نيز نشان داده است كه اين بدافزار هر دو گروه كاربران OSX و ويندوز را با فايل­هاي اجرايي ساخته شده براي هر دو سيستم عامل مذكور هدف قرار مي­دهد.
Crisis با استفاده از تكنيك­هاي مهندسي اجتماعي منتشر مي­شود و كاربران را براي نصب يك فايل JAR كه خود را در قالب يك نصب كننده Adobe Flash جا مي­زند، فريب مي­دهد. اين بدافزار سپس سيستم عامل كامپيوتر را شناسايي كرده و فايل اجرايي مرتبط را نصب مي­نمايد.
يك محقق سايمانتك اظهار داشت كه ممكن است اين نخستين بدافزاري باشد كه بر روي ماشين مجازي منتشر مي­گردد. بسياري از تهديدات زماني كه متوجه مي­شوند كه بر روي يك برنامه نظارت ماشين مجازي مانند VMware قرار دارند، به اجراي خود پايان مي­دهند، در نتيجه ممكن است اين يك گام رو به جلو براي بدافزار نويسان باشد.
Crisis با جستجوي يك تصوير ماشين مجازي VMware بر روي سيستم قرباني، منتشر مي­گردد. زماني كه چنين تصويري پيدا مي­شود، اين بدافزار با استفاده از ابزار VMware Player خود را بر روي آن كپي مي­كند كه اجازه مي­دهد چندين سيستم عامل بر روي يك كامپيوتر اجرا گردند.
اين بدافزار از آسيب پذيري نرم افزار VMware استفاده نمي­كند. بلكه از يك ويژگي در تمامي نرم افزارهاي مجازي سازي استفاده مي­كند: ماشين مجازي صرفا يك فايل يا يك مجموعه فايل بر روي ديسك سيستم ميزبان است. معمولا اين فايل­ها مي­توانند به طور مستقيم دستكاري شده يا نصب گردند، حتي زماني كه ماشين مجازي در حال اجرا نيست.
نسخه ويندوزي Crisis همچنين مي­تواند از طريق نصب يك ماژول، به دستگاه­هاي ويندوز موبايل متصل به سيستم قرباني منتشر گردد. اما از آنجايي كه اين بدافزار از Remote Application Programming Interface استفاده مي­كند، بر روي دستگاه­هاي اندرويد يا iOS اثر نمي­گذارد.
محقق سايمانتك اظهار داشت كه اين ماژول­ها كشف شده اند و براي تحليل­هاي دقيق­تر تحت بررسي قرار دارند. به گفته سايمانتك اين بدافزار كمتر از 50 سيستم را آلوده كرده است.

شماره: IRCNE2012081595
تاريخ: 01/06/91

روز جمعه شركت امنيتي مك كافي يك به روز رساني براي محصولات آنتي ويروس خود منتشر كرد. اين به روز رساني باعث بروز مشكلاتي براي مشتريان اين شركت شد و در برخي موارد، كاربران قادر به دسترسي به اينترنت نبودند.
اين رخداد كاربران شركتي و خانگي را تحت تاثير قرار داد و برخي از آن ها هنوز در حال رفع مشكلات به وجود آمده از اين به روز رساني هستند.
اين مشكلات بوسيله به روز رساني مك كافي DAT 6807 و DAT 6808 كه در روز جمعه منتشر شد، به وجود آمده است.
پس از نصب اين به روز رساني ها برخي از كاربران خانگي هنگام دسترسي به كنسول مركزي مك كافي با مشكل مواجه شدند و اين كنسول از اجراي هر عملي در داخل برنامه جلوگيري مي كرد. برخي كاربران قادر نبودند به اينترنت متصل شوند.
روز يكشنبه مك كافي اين مشكلات را در يك سند فني تاييد كرد و دو راه حل ممكن را توضيح داد و اعلام كرد كه كاربران بايد آنتي ويروس هاي خود را به فايل DAT 6809 تازه منتشر شده، به روز رساني نمايند.
راه حل اول براي كاربراني كه قادر به اتصال به اينترنت نمي باشند در نظر گرفته شده است. اين كاربران بايد محصول آنتي ويروس خود را حذف نمايند، كامپيوتر را دوباره راه اندازي نمايند، نسخه به روز رساني شده محصول آنتي ويروس را از روي وب سايت مك كافي دانلود كرده و آن را نصب نمايند.
راه حل ديگر، روش هاي دستي و خودكار نصب به روز رساني به فايل DAT 6809 را پيشنهاد مي دهد. كاربراني كه براي دسترسي به كنسول با مشكل مواجه هستند بايد با استفاده از ابزار McAfee Consumer Product Removal (MCPR) محصول آنتي ويروس را از روي سيستم خود حذف نمايند و سپس آخرين نسخه به روز رساني شده محصول را نصب نمايند.
كاربران McAfee VirusScan Enterprise (VSE) 8.8.x، بايد از اصلاحيه جدي superDAT كه روز دوشنبه منتشر شده است، استفاده نمايند. اين اصلاحيه نيازي به حذف محصول از روي صدها يا هزاران كامپيوتر تحت تاثير قرار گرفته ندارد.
شركت مك كافي اظهار داشت: اصلاحيه VSE 8.8 Hotfix 793640 الزامي است و شامل بسته كامل DAT 6809 مي شود.
با وجود آن كه براي اعمال اين اصلاحيه نيازي به راه اندازي مجدد سيستم نيست، اين شركت به مديران شبكه توصيه مي كند تا به منظور اطمينان از نصب موفقيت آميز اين اصلاحيه، تمامي سيستم هاي كلاينت را راه اندازي مجدد نمايند.
اين اولين بار نيست كه مك كافي يك فايل DAT ناجور را منتشر مي كند. در ماه آوريل، يك به روز رساني DAT براي محصولات امنيتي email gateway باعث بروز مشكلاتي در سيستم ها شد.