شماره: IRCNE2012071565
تاريخ: 07/05/91

در كنفرانس امنيتي كلاه سياه در لاس وگاس، ديويد ليچفيلد توانست آسيب پذيري هاي پايگاه داده اوراكل را نشان دهد. او با سوء استفاده از اين آسيب پذيري كنترل پايگاه داده اوراكل را با عنوان مدير شبكه بدست آورد.
ليچفيلد، مدير معماري امنيت در آزمايشگاه Accuvant، سوء استفاده اي با نام PWNORACLE عليه پايگاه داده اوراكل 11g را به معرض نمايش گذاشت.
در كنفرانس كلاه سياه سال 2010، ليچفيلد نشان داد كه چگونه با سوء استفاده از آسيب پذيري zero-day مي توان امنيت پايگاه داده 11g را به خطر انداخت.
ليچفيلد اظهار داشت: در حال حاضر او آسيب پذيري هايي كه در اوراكل كشف كرده است را گزارش مي دهد و معتقد است كه اين آسيب پذيري ها بايد برطرف شده باشند.
او گفت: با اين حال، فشارهاي اخير افراد ناشناس براي شكستن پايگاه داده بدين منظور است كه مديران امنيت نياز دارند تا درك درستي از چگونگي شكستن امنيت توسط هكرها داشته باشند.

ID: IRCNE2012071566
Date: 2012-07-28

According to "zdnet", microsoft points to two type-confusion vulnerabilities (CVE-2012-0507 and CVE-2012-1723) that have been very actively exploited in recent months. Redmond thus wants you to do one of three things: update Java, disable it, or uninstall it.
Type-confusion vulnerabilities are effective because they lead to a Sandbox compromise for Java. As a result, Microsoft's first recommendation is to update your Java installation. To check the version of JRE your browser is running, head over to java.com/en/download/installed.jsp and get the latest version.
Microsoft has offered guidance for those who don't want to keep Java updated. The software giant points to Apple's instructions for the Mac (support.apple.com/kb/HT5241) and details its own instructions for Windows:
If you prefer, you may also just disable your current Java Plug-in temporarily to prevent being vulnerable to Java-based threats. To do this, on Windows systems, go to "Control Panel" and select "Java". When the "Java Runtime Environment Settings" dialog box appears, select the "Java" tab. From there, click the "View" button. You can just uncheck the "Enabled" check box to disable that installation from being used by Java Plug-in and Java Web Start. Even though you can disable Java Plug-in on a per-browser basis, this method is most effective in disabling Java Plug-in system-wise.
Microsoft recommended you uninstall Java if you don't use it.

ID: IRCNE2012071565
Date: 2012-07-28

According to "computerworld", visitors to the Black Hat security conference in Las Vegas have seen renown expert David Litchfield score again against Oracle’s database by demonstrating an exploit that would allow him to take control as an administrator.
Litchfield, chief security architect at Accuvant Labs, demoed what he called the PWNORACLE exploit against the Oracle 11g database. In 2010 at a Black Hat event, Litchfield showed how to subvert security in the 11g database by exploiting zero-day vulnerabilities.
Litchfield said he has already reported the vulnerability he discovered to Oracle and thought they would have fixed it by now.
Still, the recent push from Anonymous to break into databases means that security managers need to understand how hackers break in, Litchfield said.

شماره: IRCNE2012071564
تاريخ: 04/05/91

يك تروجان جديد Mac OS X كشف شده است كه بر اساس اينكه بر روي حساب كاربري با مجوزهاي Admin اجرا مي­شود يا خير، اجزاي مختلفي را بر روي سيستم قرباني نصب مي­كند. اين تهديد خود را بدون سر و صدا نصب مي­نمايد و براي ضربه زدن به سيستم Mac، نيازي به كلمه عبور كاربر ندارد. جزء راه نفوذ مخفي اين بدافزار هر پنج دقيقه يكبار با آدرس آي پي 176.58.100.37 تماس برقرار كرده و منتظر دستورات مي­ماند.
شركت امنيتي Intego كه پس از كشف اين بدافزار امضاهاي ضد بدافزار خود را به روز كرده است، آن را OSX/Crisis ناميده است.
اين تروجان مثل اغلب تروجان­هاي ديگر زماني كه اجرا مي­گردد، بي سر و صدا يك راه نفوذ مخفي نصب مي­كند. اما چيزي كه نگران كننده است اين است كه OSX/Crisis بر اساس اينكه حساب كاربر داراي مجوزهاي Admin باشد يا خير، اجزاي مختلفي را بر روي سيستم قرباني نصب مي­نمايد كه از آنها براي پنهان كردن فعاليت­هاي خود استفاده مي­كند. البته اين تروجان هميشه تعدادي فايل و فولدر براي انجام كار خود ايجاد مي­نمايد.
اگر اين بدافزار بر روي سيستمي با مجوزهاي Admin اجرا گردد، براي پنهان كردن خود يك rootkit بر روي سيستم قرار مي­دهد. اين بدافزار زماني كه با مجوز Admin اجر مي­شود، 17 فايل ايجاد مي­كند و زماني كه بدون مجوز Admin اجرا مي­گردد، 14 فايل. بسياري از اين فايل­ها به طور تصادفي نامگذاري مي­شوند، ولي برخي فايل­ها نيز داراي نام­هاي ثابت هستند. به هر حال اين فولدر تحت هر شرايطي ايجاد مي­گردد:
/Library/ScriptingAdditions/appleHID/
اما در صورت داشتن مجوز Admin، فولدر زير نيز ايجاد مي­شود:
/System/Library/Frameworks/Foundation.framework/XPCServices/
به گفته يك سخنگوي Intego، اين فايل به روشي ايجاد مي­شود كه استفاده از ابزارهاي مهندسي معكوس در هنگام تحليل فايل را مشكل مي­سازد. اين نوع تكنيك ضد تحليل در بدافزارهاي ويندوز معمول است، ولي در مورد بدافزارهاي OS X روشي غير معمول به حساب مي آيد.
اين بدافزار خاص صرفا سيستم­هاي OS X 10.6 Snow Leopard و OS X 10.7 Lion را تحت تاثير قرار مي­دهد.

ID: IRCNE2012071564
Date: 2012-07-25

According to “ZDNet”, a new Mac OS X Trojan has been discovered that drops different components depending on whether or not it is executed on a user account with Admin permissions. The threat installs itself silently (no user interaction required) and also does not need your user password to infect your Apple Mac. The backdoor component calls home to the IP address 176.58.100.37 every five minutes, awaiting instructions.
Intego, which had to update its anti-malware signatures upon discovering the threat, refers to it as "OSX/Crisis."
This Trojan is like most: when run, it installs silently to create a backdoor. What makes this threat particularly worrying is that depending on whether or not it runs on a user account with Admin permissions, it will install different components, which use low-level system calls to hide their activities. Either way, it will always create a number of files and folders to complete its tasks.
If the dropper runs on a system with Admin permissions, it will drop a rootkit to hide itself. The malware creates 17 files when it's run with Admin permissions, 14 files when it's run without. Many of these are randomly named, but there are some that are consistent. With or without Admin permissions, this folder is created:
/Library/ScriptingAdditions/appleHID/
Only with Admin permissions, this folder is created:
/System/Library/Frameworks/Foundation.framework/XPCServices/
Here's where it gets interesting. "The file is created in a way that is intended to make reverse engineering tools more difficult to use when analyzing the file," an Intego spokesperson said in a statement. "This sort of anti-analysis technique is common in Windows malware, but is relatively uncommon for OS X malware."
Curiously, this particular malware only affects OS X 10.6 Snow Leopard and OS X 10.7 Lion.

xشماره: IRCNE2012071558
تاريخ: 28/04/91

در روز سه شنبه 27 تيرماه خبري مبني بر انتشار يك ويروس جديد در خاورميانه توسط رسانه ها منتشر شد. اين خبر كه اولين بار توسط كسپرسكي اعلام شده، ادعا مي كند كه اين تروجان بيش از 800 كامپيوتر را كه بيشتر آنها در ايران و اسرائيل قرار دارند آلوده نموده است و بيش از 8 ماه از شروع فعاليت آن مي گذرد. اهم فعاليت هاي اين بدافزار به شرح ذيل است:
· ثبت اطلاعات صفحه كليد
· عكس گرفتن از صفحه مانيتور در فواصل مشخص
· عكس گرفتن در صورت استفاده از ابزارهاي ارتباطي از قبيل facebook، skype و يا Gmail.
· ايجاد درهاي پشتي جهت نفوذ و دسترسي مهاجم
· ضبط، ذخيره و ارسال فايلهاي صوتي
اين تروجان توسط آزمايشگاه كسپرسكي به نام مهدي "Mahdi" يا "Madi" نامگذاري شده به اين دليل كه اين بدافزار فايلي به نام Mahdi.txt روي سيستم قرباني ايجاد مي كند. همچنين ادعا شده كه در كد اين برنامه عبارات فارسي و نيز تاريخ هايي با فرمت تقويم ايراني مشاهده شده است.
بررسي هاي صورت گرفته بر روي نمونه بدافزار توسط مركز ماهر نتايج ذيل را بدست مي دهد:
· منبع اوليه شناسايي و اعلام اين بدافزار شركتي با عنوان seculert است كه يك شركت امنيت فناوري اطلاعات اسرائيلي است.
· بررسي هاي به عمل آمده بر روي نمونه هاي بدافزار نشان مي دهد كه اين يك بدافزار ساده و كم هزينه است. همچنين در اين بدافزار از هيچ آسيب پذيري خاصي جهت انتشار و آسيب رساني به سيستم ها استفاده نشده است. لذا بر خلاف ادعا هاي صورت گرفته مبني بر مقايسه اين بدافزار با تهديداتي نظير flame و در نظر گرفتن آن به عنوان يك تهديد هدفمند سايبري دور از ذهن بنظر مي رسد.
· با يك جستجوي ساده در اينترنت به راحتي مي توان فهميد كه اين بدافزار از مدتها پيش شناسايي شده است (جدول ذيل). شركت ضدبدافزار Sophos حدود 5 ماه پيش (28 بهمن 1390) طي گزارشي به تشريح عملكرد اين بدافزار پرداخته است.
به طور كلي مشخص نيست چرا يك بدافزار ساده كه از مدتها قبل توسط شركتهاي معتبر آنتي ويروس شناسايي شده بوده است، اكنون به طور گسترده تحت پوشش خبري قرار مي گيرد.

طشماره: IRCNE2012071557
تاريخ: 27/04/91

برخي از كاربران بر روي شبكه اسكايپ شكايتي را مطرح كردند كه پيام هاي متني را كه دريافت كرده اند مربوط به افراد ديگري بوده است.
پنج نفر ديگر از برنامه اي متعلق به مايكروسافت اين مطلب را تاييد كردند و اظهار داشتند كه در ليست تماس هاي خود پيام هايي را مشاهده كردند كه مربوط به آن ها نبوده است.
سخنگوي اسكايپ گفت كه در حال حاضر در حال بررسي اين موضوع هستيم و اميدواريم به زودي اين مشكل را رفع نماييم.
او اضافه كرد كه ما مطلع هستيم كه در برخي شرايط نادر پيام هاي بين دو تماس به طور ناخواسته براي نفر سوم فرستاده مي شود. در چند روز آينده اين مساله را برطرف خواهيم كرد. اسكايپ به كاربران خود اعلام كرد كه نسخه به روز شده اسكايپ را دانلود نمايند.
به نظر مي رسد كه اين مشكل مربوط به به روز رساني ژوئن 2012 مي شود و كساني كه از نسخه هاي قديمي تر اسكايپ استفاده مي كنند تحت تاثير اين مشكل قرار ندارند. هنوز معلوم نيست كه چه تعداد كاربر تحت تاثير اين آسيب پذيري قرار گرفته اند و چه تعداد پيام نادرست فرستاده شده است.

شماره: IRCNE2012071557
تاريخ: 27/04/91

گوگل نحوه اضافه شدن افزونه ها به مرورگر كروم را تغيير داده است و از اين پس، نصب خودكار تمامي افزونه ها به جز آنهايي كه از طريق فروشگاه كروم دانلود مي­گردند، مسدود مي­شود.
انگيزه اين شركت از انجام اين كار حفظ امنيت كاربران بوده است. پيش از اين افزونه ها مي­توانستند از هر وب سايتي و بدون نياز به دخالت كاربر نصب گردند كه مي­توانست منجر به حملات خرابكارانه گردد.
در آخرين نسخه Google Chrome، كاربران براي نصب افزونه هاي مورد نظر خود از ساير سايت­ها، بايد تمايل خود براي نصب آنها را از طريق صفحه افزونه ها به طور صريح به كروم اطلاع دهند. به اين ترتيب توجه كاربران به نرم افزارهاي نامطلوب جلب مي­گردد.
ممكن است هكرهاي آنلاين وب سايت­هايي ايجاد نمايند كه به طور خودكار نصب افزونه هاي خرابكار را آغاز كنند. اين افزونه ها اغلب براي اين طراحي شده اند كه به طور محرمانه اطلاعاتي را كه شما بر روي وب وارد مي­كنيد رديابي نمايند كه هكرها بعدها مي­توانند از اين اطلاعات براي مقاصد مختلف استفاده كنند.
هركس كه سعي كند افزونه اي را خارج از فروشگاه وبي كروم به مرورگر خود اضافه نمايد، با اين پيغام روبرو مي­شود: «افزونه ها، برنامه ها و اسكريپت­هاي كاربر فقط مي­توانند از طريق فروشگاه وبي كروم اضافه گردند».
گوگل در فروشگاه خود از فيلتري براي نرم افزارهاي داراي كدهاي مشكوك استفاده مي­كند.
افراد يا شركت­هايي كه افزونه هاي معتبري را بر روي وب سايت­هاي خود ميزباني مي­نمايند بايد افزونه هاي خود را به فروشگاه كروم اضافه كرده يا اينكه از نصب inline استفاده كنند (در اين حالت به نظر مي­رسد كه برنامه ها بر روي يك سايت متفرقه ميزباني مي­گردند در حالي كه در حقيقت بر روي فروشگاه گوگل قرار گرفته اند).

شماره: IRCNE2012071555
تاريخ: 27/04/91

به گفته شركت امنيتي سايمانتك، به روز رساني اخير اين شركت براي نرم افزار آنتي ويروس Symantec Endpoint Protection 12.1 براي شركت­هاي تجاري، منجر به از كار افتادن برخي سيستم­هاي ويندوز XP و مواجه شدن آنها با صفحه آبي مرگ شده است.
در روز يازدهم جولاي گروه پاسخگويي امنيتي سايمانتك شروع به دريافت گزارش­هايي از طرف مشتريان خود كرد. اين سيستم­ها پس از راه اندازي مجدد سيستم با صفحه آبي مرگ مواجه شده بودند. به نظر مي­رسد كه اين مشكل فقط براي سيستم­هاي ويندوز XP رخ مي­دهد.
اين شركت اظهار داشت كه اين اختلال­ها صرفا مربوط به آن دسته از سيستم­هاي XP است كه Endpoint Protection 12.1 و نرم افزار خاصي از نورتون را اجرا مي­نمايند. پس از شناسايي مشكل، سايمانتك يك عقب گرد در امضاهاي به روز رساني شده انجام داد.
يك سخنگوي سايمانتك اظهار داشت كه اگرچه اين شركت كاري در جهت جبران ضرر مشتريان انجام نمي­دهد، ولي 24 ساعته در تلاش است تا به مشتريان خود كمك كند كه اين مشكل را برطرف نمايند. از جمله با مشترياني كه در جامعه آنلاين سايمانتك پيغام گذاشته اند تماس گرفته شده و پشتيباني و كمك فني لازم براي حل مشكل به آنها ارائه مي­گردد.

شماره: IRCNE2012071554
تاريخ: 27/04/91

ديروز يك به روز رساني براي آنتي ويروس ابري پاندا منتشر شد كه حفاظت قوي تري را براي طرفداران اين مجموعه امنيتي فراهم مي كند.
اين مجموعه را مي توانيد به طور رايگان از لينك هاي Panda Cloud Antivirus Free 2.0 (download) و Panda Cloud Antivirus Pro 2.0 (download) دانلود نماييد. در حال حاضر اين نسخه حاوي يك فايروال است كه امنيت شبكه را افزايش مي دهد و از امضاهاي پيشگيري نفوذ استفاده مي كند.
در نسخه 2 آنتي ويروس ابر، كاربران مي توانند به موتور تجزيه و تحليل رفتاري دسترسي داشته باشند. اين ويژگي قبلا تنها در نسخه هاي حرفه­ اي وجود داشته است. ديگر بهبودهاي امنيتي در اين نسخه شامل حفاظت بهتر زمانيكه سيستم آفلاين است، پروتكل ضد آلودگي مبتني بر ابر و پيشرفت هاي چشمگيري در تعيين معيار اسكن مي باشد. اسكن ها در اين نسخه 50 درصد نسبت به نسخه 1.6 سريع تر صورت مي گيرد.