شماره: IRCNE2012081574
تاريخ: 21/05/91

هفته گذشته ادوبي اعلام كرد كه يك به روز رساني براي Adobe Reader نسخه 9.5.1 و Acrobat نسخه 10.1.3 و نسخه هاي پيش از آن ها براي هر دو سيستم عامل ويندوز و مكينتاش منتشر خواهد كرد. اين به روز رساني رخنه هاي امنيتي حياتي را برطرف مي كند.
اين به روز رساني ها سه شنبه اين هفته، چهاردهم آگوست منتشر خواهند شد.
هشدارهاي پيش از انتشار راهنمايي امنيتي با نام APSB12-16، جزئياتي از اين رخنه ها را بيان مي كند.

• Adobe Reader X نسخه 10.1.3 و نسخه هاي پيش از 10.x براي ويندوز و مكينتاش
• Adobe Reader نسخه 9.5.1 و نسخه هاي پيش از 9.x براي ويندوز و مكينتاش
• Adobe Reader X نسخه 10.1.3 و نسخه هاي پيش از 10.x براي ويندوز و مكينتاش
• Adobe Reader نسخه 9.5.1 و نسخه هاي پيش از 9.x براي ويندوز و مكينتاش

اين رخنه ها داراي رده امنيتي "بحراني" مي باشند. با سوء استفاده از اين رخنه ها كدهاي مخرب بومي مي توانند بدون اطلاع كاربر اجرا شوند.
اين به روز رساني ها بايد در مدت 72 ساعت پس از انتشار نصب شوند.

شماره: IRCNE2012081573
تاريخ: 21/05/91

اين هفته مايكروسافت نه اصلاحيه امنيتي براي ويندوز، اينترنت اكسپلورر، و آفيس، همراه با محصولات ديگر شركت مانند Exchange و SQL Server منتشر خواهد كرد. پنج اصلاحيه براي آسيب پذيري هاي بحراني منتشر مي شود.
اين اصلاحيه ها رخنه هايي را برطرف مي نمايند كه اجازه اجراي كد از راه دور را مي دهند و به نويسندگان بدافزار و هكرها اجازه دسترسي مي دهند تا بدون تعامل با كاربر يا اجازه كاربر بدافزار را نصب نمايند. مايكروسافت به آسيب پذيري هايي "حياتي" مي گويد كه بدون تعامل با كاربر مي توانند كدها را اجرا نمايند مانند بازكردن يك ايميل يا صفحه وب.
تنها بولتن شش براي ويندوز به يك سطح دسترسي بالا اشاره مي كند كه به بدافزار اجازه مي دهد تا مجوزهاي كاربر را دستكاري نمايد تا به فايل هاي حياتي سيستم عامل دسترسي يابد.
مايكروسافت جزئيات كامل آسيب پذيري ها را پس از آماده شدن اصلاحيه ها، منتشر مي كند. پس از دسامبر 2010، اين اولين به روز رساني براي سرور Exchange نسخه 2007 و 2010 است.
اصلاحيه هاي مايكروسافت در روز سه شنبه چهاردهم آگوست منتشر خواهند شد.

ID: IRCNE2012081576
Date: 2012-08-11

According to “CNet”, Gauss, a new "cyber-espionage toolkit," has emerged in the Middle East and is capable of stealing sensitive data such as browser passwords, online banking accounts, cookies, and system configurations, according to Kaspersky Lab. Gauss appears to have come from the same nation-state factories that produced Stuxnet.
According to Kaspersky, Gauss has unique characteristics relative to other malware. Kaspersky said it found Gauss following the discovery of Flame. The International Telecommunications Union has started an effort to identify emerging cyberthreats and mitigate them before they spread.
In a nutshell, Gauss launched around September 2011 and was discovered in June. Gauss, which resembles Flame, had its command and control infrastructure shut down in July, but the malware is dormant waiting for servers to become active. Kaspersky noted in an FAQ:
There is enough evidence that this is closely related to Flame and Stuxnet, which are nation-state sponsored attacks. We have evidence that Gauss was created by the same "factory" (or factories) that produced Stuxnet, Duqu and Flame.
Among Gauss' key features:

• Gauss collects data on machines and sends it to attackers. This data includes network interface information, computer drive details and BIOS characteristics.
• The malware can infect USB thumb drives using the vulnerabilities found in Stuxnet and Flame.
• Gauss can disinfect drives under certain circumstances and then uses removable media to store collected data in a hidden file.
• The malware also installs a special font called Palida Narrow.

Since May 2012, Gauss has infected more than 2,500 machines, mostly in the U.S. Kaspersky said that the total number of Gauss victims is likely to be in the "tens of thousands." That number is lower than Stuxnet, but higher than Flame and Duqu attacks.
So far, Gauss has swiped data from the Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank and Credit Libanais. Citibank and PayPal users are also targeted.
Why Gauss? The malware's main module was named after German mathematician Johann Carl Friedrich Gauss. Other components are also named after well-known mathematicians.
A few key slides from Kaspersky's Gauss report:
The highest number of infections is recorded in Lebanon, with more than 1600 computers affected. In the Occupied Palestine, 750 incidents have been recorded.
Gauss is a modular system. The number and combination of modules may change from one infected system to another.
Kaspersky has been unable to discover the original infection vector and the dropper file that installs Gauss in the system.

ID: IRCNE2012081575
Date: 2012-08-11

According to “CNet”, Google has improved Flash sandboxing in the latest version of its Chrome browser for Windows, boosting its security and reducing crashes by as much as 20 percent.
The change also means Windows 8 users will be able to use all of a Web site's Flash features in the mode formerly known as Metro.
By sandboxing Flash, a plug-in can crash without taking down the rest of the browser. Sandboxing was introduced in early versions of Chrome to prevent rogue tabs from causing such total browser crashes, and as an anti-malware measure.
Google ported Flash off the aging NPAPI architecture and onto its own sandboxed platform, PPAPI. "By eliminating the complexity and legacy code associated with NPAPI we've reduced Flash crashes by about 20 percent," Justin Schuh, a Google software engineer, wrote on the Chromium blog.
Considering 99.9 percent of Chrome users rely on Flash, most of whom are likely to be on Windows, that's a lot of users a bit less frustrated.
To get the improved sandboxing, Windows users should update to Chrome 21 if they haven't already, while Linux users will have had access to the new sandbox since Chrome 20. Apple users will see an OS X version shipped soon.

ID: IRCNE2012081574
Date: 2012-08-11

According to "zdnet", Adobe announced today that it will release an update for Adobe Reader (9.5.1) and Acrobat (10.1.3) and earlier versions for both Windows and Mac to fix critical security flaws.
The updates will be released on August 14 -- this coming Tuesday.
The pre-notification security advisory warning -- APSB12-16 -- gives few details, except noting the affected software versions and the severity of the security flaws.

• Adobe Reader X (10.1.3) and earlier 10.x versions for Windows and Mac
• Adobe Reader 9.5.1 and earlier 9.x versions for Windows and Mac
• Adobe Acrobat X (10.1.3) and earlier 10.x versions for Windows and Mac
• Adobe Acrobat 9.5.1 and earlier 9.x versions for Windows and Mac
• The flaws are rated "critical," meaning malicious native-code can be executed without a user's knowledge.
• These updates should be installed within 72 hours of the security fix release.

ID: IRCNE2012081573
Date: 2012-08-11

According to "zdnet", microsoft will release nine security patches next week for Windows, Internet Explorer, and Office, along with a splattering of enterprise products, such as Exchange and SQL Server.
Five of the patches are for critical vulnerabilities.
The patches will fix flaws that allow remote code execution, which would give hackers and malware writers access to install malware without user prompts or permission. Microsoft describes 'critical' as an exploit that "could allow code execution without user interaction" such as opening an email or Web page.
Only Bulletin 6 for Windows refers to an elevation of privilege, which can allow malware to bump the permissions of the user to allow malware to access the far reaches of the operating system's critical files.
Microsoft doesn't release the full details of the vulnerabilities until patches are made available. This will be the first update for email server Exchange 2007 and 2010 since December 2010.
This should serve as an advisory notice for the upcoming Tuesday, August 14, when the patches are released through the usual update channels.

شماره: IRCNE200908331
محققان امنيتي در مورد يك آسيب پذيري مهم كه منجر به تغيير كلمه عبور مدير سيستم مي شود، هشدار دادند. اين آسيب پذيري بر آخرين نسخه WordPress، زيرساخت محبوب و متن باز انتشار بلاگ، تأثير مي گذارد.
نقص مذكور كه توسط مرورگر قابل سوءاستفاده است، به مهاجم اجازه مي دهد تا حساب كاربري مدير سيستم را مورد سوءاستفاده قرار دهد.
گزارشهاي متعددي مبني بر وجود آسيب پذيري مذكور در WordPress كه به مهاجم از راه دور اجازه تغيير كلمه عبور را مي دهد، براي موسسه امنيتي SANS ارسال شده است.
بنا بر اطلاعات ارائه شده توسط اين مؤسسه، حملات مذكور با سوءاستفاده از برخي خواص PHP صورت مي گيرد. اولاً زبان مذكور نوع (type) را نمي شناسد و از طرف ديگر در دستور GET نه تنها مي توان مقادير را به متغيرها نسبت داد بلكه مي توان آرايه را هم از اين طريق در متغير قرار داد. به همين دليل لازم است توسعه دهندگان نرم افزار كه از PHP استفاده مي كنند دقت لازم را در مورد دستور GET مبذول داشته و اجازه ندهند مهاجمان يك آرايه را به جاي رشته مورد نظر وارد كنند. اصلاحيه مربوط به آسيب پذيري مذكور به زودي ارائه خواهد شد.

شماره: IRCNE2012081572
تاريخ: 14/05/91

المپيك تابستاني 2012 در لندن در جريان است و در كنار آن، كلاهبرداري­ها و فريب­هاي مرتبط با اين المپيك نيز در جريان هستند. 80 درصد از دامنه هاي وب مرتبط با المپيك يا فقط با هدف فريبكاري و كلاهبرداري ايجاد شده اند و يا در حال ارسال هرزنامه براي مشاهده كنندگان خود هستند.
اين آمار جديد كه توسط شركت امنيتي Zscaler ارائه شده است كه تمامي دامنه هاي حاوي رشته Olympics را كه توسط مشتريان اين شركت در يك روز مشاهده شده اند، مورد بررسي قرار داده است. اين سپس شركت امنيتي اين دامنه ها را براي بررسي بيشتر به سه گروه تقسيم كرده است: typo squatting، فريب­هاي «TV on PC» و «Made for Adsense». از ساير فريب­ها مي­توان به نرم افزارهايي براي مشاهده بازي­ها اشاره كرد كه در حقيقت جاسوس افزار يا تبليغ افزار هستند.
Typo squatting كه به آن سرقت URL نيز گفته مي­شود، چيز جديدي نيستند. اين تكنيك هرزنامه مبتني بر اين است كه كاربر URL يك وب سايت را به اشتباه در ميله آدرس مرورگر خود وارد نمايد و در نتيجه به اشتباه وارد يك سايت هرزنامه گردد.
فريب «TV on PC» به ازاي مبلغ كمي در ماه، برنامه هاي دريافتي از تلويزيون يا ماهواره را بر روي يك PC منتقل مي­نمايد. بسياري از صفحات جعلي وب به عنوان نظرات كاربران در ترويج اين فريب­ها شكل گرفته اند يا اينكه از اسكريپت­هاي ساده تغيير مسير HTTP استفاده مي­كنند.
سايت­هاي «Made for Adsense» وب سايت­هايي هستند كه ترافيك وب را از موتورهاي جستجو دريافت مي­كنند. اين سايت­ها حاوي تبليغات متعددي هستند و كاربران را ترغيب مي­كنند تا براي دريافت محتويات جالب­تر، بر روي اين تبليغات كليك نمايند.
البته نكته مثبت اين است كه به نظر مي­رسد هيچيك از اين سايت­ها در حال انتشار بدافزار نيستند.

شماره: IRCNE2012081571
تاريخ: 14/05/91

مايكروسافت ابزار رايگان Attack Surface Analyzer را منتشر كرد. اين ابزار مي تواند به مديران شبكه، متخصصان امنيت IT يا توليدكنندگان نرم افزار كمك نمايد تا متوجه شوند نصب برنامه هاي جديد چه تاثيري بر روي امنيت سيستم عامل ويندوز مي گذارد.
اين ابزار براساس كلاس هايي از ضعف هاي امنيتي شناخته شده اسكن را انجام مي دهد كه مي توانند به عنوان فايل ها، كليدهاي ثبت، سرويس ها، كنترل هاي ActiveX مايكروسافت و ساير پارامترهاي ايجاد شده يا تغيير يافته بوسيله برنامه هاي جديد معرفي شوند.
اين ضعف ها مي توانند به صورت فايل هاي اجرايي، دايركتوري ها، كليدهاي ثبت يا فرآيندهايي با ليست هاي كنترل دسترسي (ACL) ضعيف شناسايي شوند. اين ابزار هم چنين سرويس هايي با زمان هاي راه اندازي مجدد سريع كه مي توانند بوسيله عبور از ASLR مورد حمله قرار بگيرند و تغييرات قوانين فايروال ويندوز يا خط مشي امنيتي اينترنت اكسپلورر را شناسايي مي كند. اين ضعف ها و بسياري از نقاط ضعف ديگري كه اين ابزار شناسايي مي كند مي توانند به انواع مختلفي از حملات كمك نمايند از جمله حملاتي كه به مهاجمان اجازه مي دهند تا كنترل سيستم را بدست آورند، كدهاي مخرب را اجرا نمايند يا به داده هاي حساس دسترسي يابند.
در حال حاضر اين ابزار توسط گروه هاي محصول داخلي مايكروسافت استفاده مي شود و نسخه عمومي بتا آن از ژانويه 2011 براي دانلود در دسترس عموم قرار داشته است. نسخه 1.0 آن روز پنج شنبه منتشر شد، در اين نسخه عملكرد ابزار به طور قابل توجهي بهبود يافته است و برخي مشكلات برطرف شده اند.
اين ابزار داراي نسخه هاي 32 بيتي و 64 بيتي مي باشد و هم چنين ويندوز ويستا و نسخه هاي جديدتر سيستم عامل مايكروسافت از جمله ويندوز 8 و ويندوز سرور 2012 را پشتيباني مي كند.

ID: IRCNE2012081572
Date: 2012-08-04

According to “ZDNet”, the 2012 Summer Olympics in London are well underway and so are the scams. 80 percent of Olympic Web domains are either only registered for the purpose of scamming or spamming visitors.
The new statistic comes from Zscaler, which looked at all identified domains containing the string "olympics" accessed by its customers over the course of a day. The security firm then classified them into three categories for further analysis: typo squatting, "TV on PC" scam, and "Made for Adsense" sites. Other scams include software for watching the Games that is actually spyware/adware, and survey scams.
Typo squatting, also called URL hijacking, is nothing new. The spam technique relies on you incorrectly typing in a website URL into your browser's address bar and thus landing on spammer's site instead.
The "TV on PC" scam type pushes receiving Cable/Satellite TV on a PC for a very low monthly fee. Many of fake Web pages are designed as reviews from users promoting the scam, or use simple HTTP redirection scripts.
The "Made for Adsense" (MfA) sites are highly targeted websites that drive web traffic from search engines by including enough content to get listed in results for a specific query. They contain lots of ads and encourage users click on them in order to get more interesting content.
The upside is that none of these sites appear to be serving up malware.