شماره: IRCNE2012051487
تاريخ: 16/02/91

اصلاحيه هاي امنيتي مايكروسافت در ماه مي شامل ترميم­هايي براي حداقل 23 آسيب پذيري امنيتي جدي خواهد بود كه سيستم­هاي ويندوز را تحت تأثير قرار مي­دهد.
بنا بر راهنمايي امنيتي منتشر شده توسط مايكروسافت، در اين اصلاحيه در مجموع 7 بولتن امنيتي عرضه خواهد شد كه 23 حفره امنيتي را در ويندوز، آفيس، Silverlight و .Net Framework برطرف خواهد كرد.
سه بولتن از اين 7 بولتن امنيتي در رده امنيتي بسيار مهم قرار دارند، چرا كه اين آسيب پذيري­ها داراي خطر اجراي كد از راه دور هستند.
ساير بولتن­هاي اين ماه در رده امنيتي مهم قرار دارند و آسيب پذيري­هايي را پوشش مي­دهند كه مي­توانند باعث اجراي كد حملات افزايش حق دسترسي گردند.
تمامي نسخه هاي سيستم عامل ويندوز از جمله ويندوز 7 و ويندوز سرور 2008 R2، تحت تأثير اصلاحيه هاي اين ماه قرار دارند.
كاربران ويندوز همچنين بايد توجه ويژه اي به به روز رساني­هاي آفيس داشته باشند. انتظار مي­رود كه اين به روز رساني­ها در روز سه شنبه 8 ماه مي عرضه گردد.

ID: IRCNE2012051490
Date: 2012-05-05

According to "zdnet", Google has released a new version of Chrome 18 that fixes three high-severity flaws and two medium-severity flaws. You can update to the latest version using the software’s built-in silent updater, or you can download the latest version of Chrome directly from google.com/chrome.
Here are the five security vulnerabilities fixed in Google Chrome 18.0.1025.168:

• High CVE-2011-3078: Use after free in floats handling.
• High CVE-2012-1521: Use after free in xml parser.
• Medium CVE-2011-3079: IPC validation failure.
• Medium CVE-2011-3080: Race condition in sandbox IPC.
• High CVE-2011-3081: Use after free in floats handling.

ID: IRCNE2012051489
Date: 2012-05-05

According to “CNet”, Android users are now facing another malware twist. A new Android Trojan dubbed "NotCompatible" is being spread through compromised Web sites. Though the threat seems to be minimal at this point, security provider Lookout says this is the first time hacked Web sites are being used to target mobile devices.
Further, Lookout believes the new malware could be used to break into private networks via an infected Android device.
The Trojan works by automatically downloading an application from a compromised site through the Web browser, a process known as a "drive-by download." The mobile device then prompts the user to install the downloaded app. But for the app to actually install, the "Unknown sources" setting must be enabled on the device; otherwise the installation is blocked.
Samples analyzed by Lookout show that the malware can be used to access private networks, so IT administrators may want to be on the alert.
"A device infected with NotCompatible could potentially be used to gain access to normally protected information or systems, such as those maintained by enterprise or government," Lookout said yesterday in a blog post.
A number of Web sites have already been compromised, but those sites have seen little traffic so far. And since the malware requires the user to install the package, known as "Update.apk," Lookout doesn't anticipate much of an impact to Android users at this point.

ID: IRCNE2012051488
Date: 2012-05-05

According to “ZDNet”, Adobe has shipped an extremely urgent Flash Player patch to block in-the-wild malware attacks against Windows users.
Adobe described the attacks as “targeted” and warned that malicious Flash files are being delivered in e-mail messages.
Although the vulnerability affects Flash Player on all platforms, the malware attacks target Flash Player on Internet Explorer for Windows only.
According to Adobe’s advisory, the patch is available for Adobe Flash Player 11.2.202.233 and earlier versions for Windows, Macintosh and Linux, Adobe Flash Player 11.1.115.7 and earlier versions for Android 4.x, and Adobe Flash Player 11.1.111.8 and earlier versions for Android 3.x and 2.x.
“These updates address an object confusion vulnerability (CVE-2012-0779) that could cause the application to crash and potentially allow an attacker to take control of the affected system,” Adobe said.
There are reports that the vulnerability is being exploited in the wild in active targeted attacks designed to trick the user into clicking on a malicious file delivered in an email message. The exploit targets Flash Player on Internet Explorer for Windows only.
Windows users should treat this update with the utmost priority, Adobe said.

ID: IRCNE2012051487
Date: 2012-05-05

According to “ZDNet”, Microsoft’s May batch of security patches will include fixes for at least 23 serious security vulnerabilities affecting the Windows ecosystem.
According to an advance notice from Microsoft, there will be a total of 7 bulletins addressing 23 security holes in Microsoft Windows, Office, Silverlight, and .NET Framework.
Three of the seven bulletins will be rated critical because of the risk of remote code execution attacks.
All the others will carry an “important” rating and will cover vulnerabilities that can cause code execution of privilege escalation attacks.
All versions of Microsoft’s flagship Windows operating system are affected by this month’s releases, including the newest Windows 7 and Windows Server 2008 R2.
Windows users will also want to pay special attention to the Microsoft Office updates. Microsoft expects to ship the patches by 1:00 PM Eastern on Tuesday May 8, 2012.

شماره: IRCNE2012051486
تاريخ: 13/02/91

توليدكنندگان امنيت يك قطعه بدافزار جديد را كشف كردند كه كامپيوترهاي شخصي و سيستم هاي مكينتاش را مورد حمله قرار داده است. اين بدافزار از همان آسيب پذيري امنيتي جاوا سوء استفاده مي كند كه بدافزار Flashback توسط آن هزاران سيستم مكينتاش را آلوده كرد.
نويسندگان بدافزار دوست دارند به عنوان بردار حمله از پلاگين هايي استفاده نمايند كه بين پلت فرم هاي مختلف جابه جا مي شوند زيرا اين روش به آن ها اجازه مي دهد تا بيش از يك سيستم عامل را مورد هدف قرار دهند و به اين ترتيب كاربران بيشتري آلوده مي شوند. تا زمانيكه جاوا داري مشكلات امنيتي است، وقوع چنين حملاتي انتظار مي رود.
اين بدافزار خاص از آسيب پذيري جاوا سوء استفاده مي نمايد تا كدهاي مخرب را بر روي كامپيوتر شما دانلود نمايد. يك تروجان در پشتي نوشته شده با C++ بر روي ويندوز نصب مي شود در حالي كه برروي مكينتاش يك تروجان مشابه نوشته شده با Python كه update.py ناميده مي شود، نصب مي شود. در نتيجه اين تروجان يك در پشتي را بر روي كامپيوترهايي كه مورد سوء استفاده قرار گرفتند باز مي كند و به هكرهاي راه دور اجازه مي دهند تا به طور مخفيانه دستوراتي را ارسال نمايند، كدهايي را بر روي كامپيوتر قرباني آپلود نمايند، فايل ها را به سرقت ببرند و بدون اطلاع كاربر دستوراتي را اجرا نمايند. اين دو تروجان از يك سرور دانلود مي شوند.
اصلاحيه هايي براي برطرف كردن اين آسيب پذيري جاوا از 14 فوريه براي كامپيوترهاي ويندوز، لينوكس و يونيكس منتشر شده است. اوايل آوريل، اپل يك اصلاحيه را قبل از آن كه بات نت Flashback كشف شود، منتشر ساخت. اپل به روز رساني امنيتي جاوا را براي كاربران مكينتاش نسخه هاي پيش از 10.6 (Snow Leopard) منتشر نكرده است زيرا قصد دارد اين سيستم عامل را به يك نسخه جديد ارتقاء دهد. كاربران سيستم عامل Snow Leopard مي توانند براي محافظت از خود تنها جاوا را غير فعال نمايند.
اگر از جاوا استفاده نمي كنيد، بايد آن را غيرفعال نماييد. هميشه آخرين به روز رساني هاي امنيتي را براي سيستم عامل و نرم افزارهاي سيستم خود اعمال نماييد.

شماره: IRCNE2012051485
تاريخ: 12/02/91

دستوراتي در مورد چگونگي سوء استفاده از يك آسيب پذيري اصلاح نشده در Oracle Database Server براي دسترسي به اطلاعات تبادل شده بين كلاينت­ها و پايگاه­هاي داده توسط يك محقق منتشر شد. اين محقق به اشتباه و با تصور اينكه اوراكل اين نقص امنيتي را اصلاح كرده است، اين كار را انجام داده است.
به تصور وي، راهنمايي امنيتي اوراكل كه در روز 17 آوريل منتشر شده بود شامل اصلاحيه مربوط به اين آسيب پذيري نيز بوده است.
اين محقق در ايميلي كه در روز 18 آوريل براي Full Disclosure ارسال كرده بود افشا كرد كه اين آسيب پذيري در Oracle TNS Listener قرار دارد كه جزئي است كه ارتباطات را از كلاينت­ها به سرور­هاي پايگاه داده اوراكل، بسته به اينكه در حال تلاش براي اتصال به كدام پايگاه داده هستند، مسيريابي مي­نمايد.
به گفته اين محقق، TNS Listener يك ويژگي پيش فرض دارد كه در سال 1999 معرفي شده است و به كلاينت­ها اجازه مي­دهد كه يك سرويس پايگاه داده يا يك نمونه پايگاه داده را از راه دور و بدون نياز به احراز هويت ثبت نمايند.
اين كلاينت يك درخواست ثبت براي TNS Listener ارسال كرده و يك نام سرويس جديد، آدرس آي پي، نمونه هاي پايگاه داده تحت آن و ساير تنظيمات را تعريف مي­كند. سپس TNS Listener شروع به مسيريابي تمامي درخواست­هاي كلاينت كه شامل آن نام سرويس يا نمونه پايگاه داده هستند مي­نمايد.
به گفته وي، TNS Listener همچنين ثبت از راه دور يك نمونه پايگاه داده يا نام سرويس كه پيش از اين ثبت شده است را اجازه مي­دهد.
مهاجمان مي­توانند از TNS Listener براي به دست آوردن داده ها استفاده كنند. در اين حالت، TNS Listener كار تنظيم بار بين دو نمونه را با ارسال نخستين كلاينت به آخرين نمونه ثبت شده و ارسال كلاينت دوم به به نمونه اصلي انجام مي­دهد. اين به يك مهاجم محلي اجازه مي­دهد كه بين 50 تا 75 درصد از كلاينت­ها به يك سرور پايگاه داده كه وي كنترل مي­كند، مسيريابي نمايد.
اين مهاجم سپس مي­تواند با از TNS Listener موجود بر روي سرور تحت كنترل خود استفاده كرده و درخواست­هاي كلاينت را به نمونه پايگاه داده معتبر بازگردانده، و يك TNS proxy ايجاد نمايد كه به وي اجازه مي­دهد كه تمامي داده هاي تبادل شده بين كلاينت­ها و پايگاه داده هدف را مورد دسترسي قرار دهد.
البته اين تنها سناريوي حمله مربوط به اين آسيب پذيري نيست. در وضعيت man-in-the-middle، فرد مهاجم مي­تواند همچنين دستورات جعلي را به درخواست­هاي SQL ارسال شده توسط كلاينت­ها تزريق نمايد يا اينكه نشست­هاي آنان را به طور كلي سرقت كند تا درخواست­هاي دلخواه خود را اجرا نمايد.
اين محقق پس از ارسال چند ايميل به اوراكل متوجه شده است كه اين شركت هنوز اين نقص امنيتي را براي نسخه هاي فعلي اين سرور پايگاه داده اصلاح نكرده است.
اوراكل تصميم داشت كه اين نقص را در نسخه آتي اصلاح نمايد نه در نسخه هاي فعلي، چراكه اين ترميم بسيار پيچيده است و اعمال آن بر روي نسخه هاي فعلي مي­تواند مشكلات ديگري به همراه داشته باشد.

شماره: IRCNE2012051484
تاريخ: 12/02/91

يك متخصص امنيت گفت: احتمال آن كه كامپيوترهاي شخصي ويندوز كه با كرم Conficker آلوده شده اند، در معرض بدافزارهاي ديگر قرار بگيرند بسيار زياد است زيرا اين كرم آلودگي هاي ثانويه را مي پوشاند و اين ماشين ها راحت تر مورد سوء استفاده قرار مي گيرند.
رودني جوف، تكنولوژيست ارشد در Neustar گفت: اگرچه Conficker فلج شده و توسط سازندگان خود رها شده است ولي هم چنان به عنوان يك تهديد محسوب مي شود و بايد ريشه كن شود.
هفته گذشته مايكروسافت اعلام كرد كه كرم Conficker در سه ماه چهارم سال 2011 حدود 1.7 بيليون كامپيوتر شخصي ويندوز را آلوده كرده است يا سعي داشت آلوده كند. مايكروسافت از كاربران خود خواسته بود تا براي مقابله با بدافزارها رمزهاي عبور خود را تقويت نمايند.
جوف توضيح داد، كرم Conficker براي زنده ماندن از دو تاكتيك دفاعي استفاده مي كند. اين كرم اكثر نرم افزارهاي آنتي ويروس را غير فعال مي كند از جمله Defender ويندوز مايكروسافت و Security Essentials و سرويس به روز رساني خودكار مايكروسافت را خاموش مي كند. اين كرم هم چنين دسترسي به وب سايت هاي محصولات امنيتي و وب سايت هاي به روز رساني ويندوز را مسدود مي سازد.
بدون نرم افزار آنتي ويروس، سيستم هايي كه با اين كرم آلوده شده اند، بعيد است كه بتوانند بدافزارهاي ديگر را شناسايي و با آن مقابله نمايند. و اگر به روز رساني هاي خودكار غير فعال شوند، ماشين اصلاحيه هاي امنيتي جدييد مايكروسافت را دريافت نخواهد كرد و در نتيجه هكرها مي توانند از اين آسيب پذيري هاي اصلاح نشده سوء استفاده نمايند.
كاربراني كه به آلودگي هاي Conficker مشكوك هستند، مي توانند به منظور شناسايي بدافزار بر روي ماشين هاي خود از ابزار CWG استفاده نمايند. شركت هاي متعدد از جمله مك كافي، مايكروسافت، سايمانتك و ترندميكرو نيز ابزارهاي رايگان پاك سازي Conficker را پيشنهاد مي دهند.

ID: IRCNE2012051486
Date: 2012-05-02

According to "zdnet", security vendors have discovered a new piece of malware that attacks both PCs and Macs. It uses the same Java security vulnerability exploited by the Flashback malware that infected hundreds of thousands of Macs.
Malware writers love using a cross-platform plugin as an attack vector because it allows them to target more than one operating system, and thus more potential users. Since Java has been having security problems for a while now, it shouldn’t be too much of a surprise it is now being used in an attack targeting both Windows and Mac computers.
This particular malware exploits the Java vulnerability to download further malicious code onto your computer, as you can see above. A backdoor Trojan written in C++ is installed on Windows while a similar Trojan written in Python called update.py (extracted from install_flash_player.py) is installed on Mac OS X.
Both droppers result in a Trojan that opens a back door on the compromised computer, allowing remote hackers to secretly send commands, upload code to the victim’s computer, steal files, and run commands without the user’s knowledge. The two Trojans are downloaded from the same server.
Patches for this Java vulnerability have been available since February 14 for Windows, Linux, and Unix computers. Apple released a patch in early April, before the Flashback botnet was discovered. Apple has not issued a Java security update for users running versions of Mac OS X prior to 10.6 (Snow Leopard) because it wants to upgrade to a newer version of its operating system. These users can only protect themselves by disabling Java.
If you don’t use Java, you also should disable it. Even if you don’t have it installed, always get the latest security updates for your operating system and software, whether it’s from Microsoft, Apple, or any other company.

ID: IRCNE2012051485
Date: 2012-05-01

According to “ TechWorld”, instructions on how to exploit an unpatched Oracle Database Server vulnerability in order to intercept the information exchanged between clients and databases were published by a security researcher who erroneously thought that the company had patched the flaw.
Oracle's April 2012 Critical Patch Update (CPU) advisory, published on 17 April, credited security researcher Joxean Koret for a vulnerability he reported through cyberintelligence firm iSIGHT Partners.
In an email sent to the Full Disclosure mailing list on 18 April, Koret revealed that the vulnerability is located in the Oracle TNS Listener, a component that routes connections from clients to Oracle database servers depending on which database they are trying to reach.
TNS Listener has a default feature, introduced in 1999, that allows clients to register a database service or database instance remotely without authentication, Koret said.
The client sends a remote registration request to the TNS Listener and defines a new service name, its IP address, the database instances under it, and other settings. The TNS Listener then starts routing all client requests that include that service name or database instance.
However, TNS Listener also allows the remote registration of a database instance or service name that is already registered, Koret said. "The TNS listener will consider this newer registered instance name a cluster instance (Oracle RAC, Real Application Clusters) or a fail over instance (Oracle Fail over)," he said.
Attackers can use the TNS Listener to intercept data. In this case, the TNS Listener performs load balancing between the two instances by sending the first client to the most recently registered one and the second client to the original one. This allows a local attacker to route between 50 and 75 percent of clients to a database server that he controls, Koret said.
The attacker can then use the TNS Listener on the server he controls to route the client requests back to the legitimate database instance, effectively establishing a TNS proxy that allows him to intercept all data exchanged between clients and the targeted database.
However, this is not the only attack scenario that this vulnerability allows. By being in a man-in-the-middle situation, the attacker can also inject rogue commands in the SQL queries sent by clients or completely hijack their sessions to execute arbitrary queries, Koret said.
However, after a few follow-up emails with Oracle, he realized that the company hadn't actually patched the flaw for currently supported versions of the database server, but instead addressed it in an yet-to-be-released version.
Oracle decided to patch the flaw in an upcoming version, but not in existing ones, because the fix is very complex and backporting it could lead to other problems.