شماره: IRCNE2012031437
تاريخ: 27/12/90

محققان امنيتي شركت Intego يك نمونه جديد از تروجان Imuler را كشف كرده اند كه كاربران Mac OS X را هدف قرار داده است.
اين نسخه اخير تروجان Imuler.C سعي مي­كند كاربران را با اين تصور كه در حال دانلود و سپس مشاهده فايل­هاي تصويري هستند، فريب دهد. اين تروجان با استفاده از فايل­هاي آرشيوي zip با نام­هاي Pictures and the Ariticle of Renzin Dorjee.zip و FHM Feb Cover Girl Irina Shayk H-Res Pics.zip منتشر مي­گردد.
به گفته محققان، نويسندگان اين بدافزار با تكيه بر يك تاكتيك شناخته شده مهندسي اجتماعي و تنظيمات پيش فرض Mac OS X كار مي­كنند كه در آن پسوند كامل فايل به طور پيش فرض نمايش داده نمي­شود، چرا كه از آيكون­هاي تصويري براي فايل­ها استفاده مي­گردد.
زماني كه اين بدافزار اجرا مي­شود، كارهاي زير را انجام مي­دهد:
اين بدافزار يك در پشتي را به همراه ساير فايل­ها در /tmp/.mdworker نصب مي­نمايد. سپس يك پروسه به نام .mdworker آغاز مي­گردد، اين پروسه توسط Spotlight براي فهرست كردن فايل­ها مورد استفاده قرار مي­گيرد. يك فايل launchagent نيز به همراه يك فايل اجرايي در ~/library/LaunchAgents/chechvir.plist نصب مي­شود كه اطمينان ايجاد مي­كند كه زماني كه كاربر به سيستم خود وارد مي­شود يا آن را راه اندازي مي­نمايد، بدافزار اجرا مي­گردد. پس از يك راه اندازي مجدد، پروسه .mdworker حذف مي­گردد و فايل اجراي checkvir آغاز مي­شود. اين بدافزار داده هاي كاربر را جستجو مي­كند و سعي مي­كند آن را بر روي يك سرور بارگذاري نمايد. اين بدافزار همچنين تصوير صفحه نمايش كاربر را ضبط كرده و براي سرور ارسال مي­نمايد. اين بدافزار يك شناسه يكتا براي يك سيستم Mac توليد مي­كند تا بين اين سيستم و داده هاي جمع آوري شده، ارتباط برقرار نمايد. مشاهده شده است كه اين بدافزار فعال بوده و با اتصال به يك سرور راه دور، فايل­هاي اجرايي جديد را دانلود مي­كند.
به كاربران توصيه شده است كه ويژگي نمايش پسوند فايل را فعال نمايند تا تفاوت بين فايل­هاي تصويري واقعي و فايل­هاي اجرايي (مانند تروجان Imuler.C) را مشاهده نمايند. همچنين كاربران بايد فايل­هاي مشكوك را به سرويس VirusTotal معرفي كنند تا اطمينان حاصل نمايند كه گرفتار بدافزار نشده اند.

ID: IRCNE2012031439
Date: 2012-03-17

According to "zdnet", Mozilla plans to add a silent automatic patching utility into Firefox 13 as part of a plan to “cater to update fatigue.”
Firefox currently offers an automatic updater but the process is not silent and requires that the end user click to apply the patch after it’s downloaded.
With the silent updater, Firefox security patches will be downloaded and installed silently in the background.
The “What’s New” page displayed after an update can now be displayed depending if there is important information needed to be displayed to the end user, Nyman said.
Google has fitted a silent auto-updater into the Chrome browser and there is word Adobe will do the same for its Flash Player software.
For years, security practitioners have argued against silent patching, warning that end users should know — and consent to — what’s being changed on the machine but, according to a study conducted jointly by Google Switzerland and Swiss Federal Institute of Technology, the silent updaters in browsers enhance security.

ID: IRCNE2012031438
Date: 2012-03-17

Chinese hackers have released proof-of-concept code that provides a roadmap to exploit a dangerous RDP (remote desktop protocol) vulnerability that was patched by Microsoft earlier this week.
The publication of the code on a Chinese language forum heightens the urgency to apply Microsoft’s MS12-020 update, which addresses a remote, pre-authentication, network-accessible code execution vulnerability in Microsoft’s implementation of the RDP protocol.
It also sets of alarm bells in the corridors at Redmond because there are clear signs that Microsoft’s pre-patch vulnerability sharing program has been breached or has suffered a major leak.
The program, called MAPP (Microsoft Active Protections Program), provides vulnerability data and triggers to anti-virus, intrusion prevention/detection and corporate network security vendors about 24 hours before the patch is released. The program provides detection guidance ahead of time to help security vendors reproduce the vulnerabilities and ship signatures and detection capabilities without false positives.
Microsoft says it has strict guidelines to ensure the data doesn’t fall into the wrong hands but, in this case, my sources tell me the Chinese hackers had access to MAPP information even before the patch was released.
Microsoft has confirmed that an embarrassing leak within the Microsoft Active Protections Program (MAPP) has led to the publication of proof-of-concept code for a serious security hole in all versions of Windows.
The company said:
“The details of the proof-of-concept code appear to match the vulnerability information shared with Microsoft Active Protections Program (MAPP) partners. Microsoft is actively investigating the disclosure of these details and will take the necessary actions to protect customers and ensure that confidential information we share is protected pursuant to our contracts and program requirements.”
According to Yunsun Wee, a director in Microsoft’s Trustworthy Computing group, the public proof-of-concept code results only in denial-of-service crashes against unpatched Windows systems and they are not aware of public proof-of-concept code that results in remote code execution.
Micorosft recommend customers deploy MS12-020 as soon as possible. The company did not address details of the MAPP leak.

Related Links:
Expect exploits for critical Windows worm hole

ID: IRCNE2012031437
Date: 2012-03-17

According to “ZDNet”, security researchers from Intego, have intercepted a new variant of the Imuler trojan horse targeting Mac OS X users.
The latest version of the Imuler.C trojan attempts to trick end and corporate users into thinking that they’re downloading and about to view image files. The trojan horse circulates using .zip archives named “Pictures and the Ariticle of Renzin Dorjee.zip” and “FHM Feb Cover Girl Irina Shayk H-Res Pics.zip”.
According to the researchers, the malware authors are relying on a known social engineering tactic and the default Mac OS X settings, where full file extensions are not displayed by default, hence the use of image icons for application files.
Once executed, the malware performs the following actions:
The malware installs a backdoor at /tmp/.mdworker, along with other files in this directory. A process called .mdworker then launches; the mdworker process (not the absence of the . before the name) is a processed used by Spotlight to index files.A launchagent file is also installed at ~/library/LaunchAgents/checkvir.plist, along with an executable in the same folder, ensuring that the malware launches when the user logs into his or her Mac, or starts it up. After a restart, the .mdworker process is deleted, and the checkvir executable launches.This malware searches for user data, and attempts to upload it to a server. It also takes screenshots and sends them to the server. It creates a unique identifier for the specific Mac to be able to link the Mac and the data it collects. We have seen that this malware is active, as it connects to a remote server and downloads new executables.
End users are advised to turn on the feature that’s showing all filename extensions in order to differentiate between real image files and applications, such as the Imuler.C trojan, and to submit suspicious files to the popular VirusTotal service in order to ensure that they’re malware-free.

شماره: IRCNE2012031435
تاريخ: 24/12/90

پيش از آن كه پژوهشگران در مسابقه CanSecWest Pwn2Own آسيب پذيري فايرفاكس را كشف كنند، موزيلا از وجود آن آسيب پذيري مطلع بوده و در حال كار بر روي اصلاحيه اي براي آن بود.
اين اصلاحيه ديروز با فاير فاكس نسخه 11 منتشر شد. يك به روز رساني با اولويت بالا كه چندين رخنه امنيتي را برطرف مي كند. اين رخنه ها كاربران ويندوز و مكينتاش را در معرض حملات گسترده هكرها قرار مي دهد.
جاناتان نايتينگال، مدير ارشد فايرفاكس گفت: مشكل امنيتي كه توسط ZDI گزارش شد، مشكلي بود كه ما آن را شناسايي كرده بوديم و از طريق فرآيندهاي داخلي در حال برطرف كردن آن بوديم.
موزيلا انتشار فايرفاكس نسخه 11 را به تاخير انداخت تا مسابقه Pwn2Own برگزار شده و جزئيات آسيب پذيري موزيلا كشف شود اما پس از كشف اين مشكل متوجه شديم كه همان آسيب پذيري است كه توسط جف والدن شناسايي شده بود، در نتيجه اصلاحيه را منتشر ساختيم.
اين آسيب پذيري با عنوان "مشكل ايمني حافظه در تابع array.join" شناخته مي شود و در يك راهنمايي امنيتي با رده امنيتي "بسيار مهم" آورده شده است.
در زير فهرستي از آسيب پذيري هايي كه در به روز رساني فايرفاكس برطرف شده اند، آورده شده است.

• MFSA 2012-19: مخاطرات مختلف ايمني حافظه
• MFSA 2012-18: قابليت نوشتن window.fullScreenتوسط محتوي نامعتبر
• MFSA 2012-17: اختلال هنگام دسترسي keyframe cssText بعد از بهينه سازي پويا
• MFSA 2012-16: افزايش حق دسترسي با جاوا اسكريپت: URL به عنوان صفحه اصلي
• MFSA 2012-15: حمله XSS با چندين سرآيند Content Security Policy
• MFSA 2012-14: دريافتن مسائل SVGبا Address Sanitizer
• MFSA 2012-13: حمله XSS با عمليات Drag and Drop و جاوا اسكريپت: URL
• MFSA 2012-12: استفاده پس از آزادسازي در shlwapi.dll

فايرفاكس نسخه 11 از طريق ابزار به روز رساني نرم افزار مرورگر در دسترس است.

مطالب مرتبط:
آسيب پذيري zero-day در جديدترين نسخه فايرفاكس

شماره: IRCNE2012031435
تاريخ: 24/12/90

ادوبي دو به روز رساني براي برطرف كردن يك رخنه امنيتي منتشر كرده است. اين رخنه امنيتي كاربران ColdFusion را در معرض حملات انكار سرويس (DoS) قرار مي دهد. اين آسيب پذيري كه در رده امنيتي "مهم" قرار دارد، برنامه ColdFusion نسخه 9.0.1 و نسخه هاي پيش از آن را براي ويندوز، مكينتاش و يونيكس تحت تاثير قرار مي دهد. اين شركت در يك راهنمايي امنيتي هشدار مي دهد كه اين آسيب پذيري مي تواند با استفاده از تصادم الگوريتم هاي درهم سازي، حملات انكار سرويس را ايجاد نمايد. ادوبي توصيه مي كند كاربران شركت ها ظرف مدت 30 روز آينده اصلاحيه ها را بر روي سرور برنامه ColdFusion اعمال نمايند.

شماره: IRCNE2012031434
تاريخ: 24/12/90

مديران سيستم­هاي ويندوز بايد هرچه سريع­تر به روز رساني جديد و بسيار بسيار مهم و حياتي MS12-020 را اعمال نمايند.
مايكروسافت هشدار داده است كه يك آسيب پذيري اجراي كد از راه دور در پياده سازي پروتكل RDP (Remote Desktop Protocol) وجود دارد كه پيش از احراز هويت و با دسترسي به شبكه قابل سوء استفاده است.
اين شركت در بولتن امنيتي خود نوشت:
«يك آسيب پذيري اجراي كد از راه دور در روش دسترسي پروتكل RDP به يك شيء در حافظه كه به طور مناسب مقدار دهي اوليه نشده يا حذف شده باشد، وجود دارد. يك مهاجم كه به طور موفقيت آميز از اين آسيب پذيري سوء استفاده نمايد مي­تواند كد دلخواه خود را بر روي سيستم هدف اجرا كند. اين مهاجم سپس مي­تواند برنامه ها را نصب كرده، داده ها را مشاهده كرده، تغيير داده يا حذف نمايد، يا اينكه حساب­هاي جديدي با حق دسترسي كامل ايجاد كند.»
اين آسيب پذيري كه تمامي نسخه هاي ويندوز را تحت تاثير قرار مي­دهد، به طور خصوصي به مايكروسافت گزارش شده است و بنا بر اظهارات مايكروسافت، تا كنون هيچ گزارشي از حمله گسترده دريافت نشده است.
اگرچه RDP به طور پيش فرض غيرفعال است، ولي مايكروسافت به تمامي كاربران ويندوز توصيه اكيد كرده است كه اين موضوع را در اولويت بالايي قرار دهند. مايكروسافت اظهار داشت كه با توجه به جذابيت اين آسيب پذيري براي مهاجمان، انتظار مي­رود كه كد سوء استفاده كننده از اين آسيب پذيري ظرف مدت 30 روز آينده منتشر گردد.
اين نكته مهم است كه كد آسيب پذير صرفا در صورتي قابل دسترسي است كه RDP فعال شده باشد. فعال بودن يك ويژگي در RDP به نام NLA نيز باعث مي­شود كه احتمال سوء استفاده از اين آسيب پذيري كمتر شود. در اينجا دستوراتي براي فعال سازي NLA بيان شده است.
مايكروسافت در مجموع 6 بولتن امنيتي به عنوان به روز ساني­هاي سه شنبه اصلاحيه اين ماه عرضه كرده است. اين به روز رساني­ها 7 آسيب پذيري مستند را در ويندوز، Visual Studio و Expression Design برطرف مي­نمايند.
­
مطالب مرتبط:
سه شنبه اصلاحيه مايكروسافت در راه است

ID: IRCNE2012031434
Date: 2012-03-14

According to “ZDNet”, Microsoft has warned to Windows administrators to stop what they’re doing and apply the new and very critical MS12-020 update.
Microsoft is warning that there’s a remote, pre-authentication, network-accessible code execution vulnerability in its implementation of the RDP protocol.
From the bulletin:
A remote code execution vulnerability exists in the way that the Remote Desktop Protocol accesses an object in memory that has been improperly initialized or has been deleted. An attacker who successfully exploited this vulnerability could run abitrary code on the target system. An attacker could then install programs; view,change, or delete data; or create new accounts with full user rights.
The vulnerability, which affects all versions of Windows, was privately reported to Microsoft’s via the ZDI vulnerability broker service and the company said it was not yet aware of any attacks in the wild.
Although RDP is disabled by default, Microsoft is urging all Window users to treat this issue with the utmost priority.
“Due to the attractiveness of this vulnerability to attackers, we anticipate that an exploit for code execution will be developed in the next 30 days,” Microsoft said.
It’s important to note that the vulnerable code is reachable only if RDP is enabled and a mitigation feature in RDP called NLA (network level authentication) moves it to post-authentication which makes this vulnerability less likely to be wormed. There are instructions here to enable NLA on Windows to reduce the severity of a potential attack.
In all, Microsoft shipped six security bulletins as part of this month’s Patch Tuesday batch. The updates address seven documented vulnerabilities in Microsoft Windows, Visual Studio and Expression Design.

Related Links:
MS Patch Tuesday heads-up: 6 bulletins, 1 critical

ID: IRCNE2012031435
Date: 2012-03-14

According to "zdnet", Adobe has shipped a priority 2 update to fix a flaw that puts ColdFusion users at risk of denial-of-service attacks. The vulnerability, rated important, affects ColdFusion 9.0.1 and earlier versions for Windows, Mac OS X and UNIX. “This vulnerability could lead to a denial of service attack using a hash algorithm collision,” the company warned in an advisory. Adobe recommends that enterprise users of the ColdFusion application server apply the fix within the next 30 days.

شماره: IRCNE2012031433
تاريخ: 21/12/90

تروجان Duqu، كه توسط برخي به عنوان استاكس نت 2.0 شناخته مي شود، با يك زبان برنامه نويسي ناشناخته نوشته شده است. در حالي كه محققان امنيتي تلاش مي كنند تا كد رمز را در آورند، اما در مورد دستور زبان آن مطمئن نيستند.
برخي از قسمت هاي آن از جمله آن هايي كه براي دانلود كردن و اجراي ماژول هاي اضافي است، با استاندارد C++ نوشته شده است اما بخش بزرگي از آن با يك زبان ناشناخته نوشته شده است. اين بخش شامل هيچ استاندارد شناخته شده و يا توابع C++ نيست و ممكن است توسط يك گروه برنامه نويسي متفاوتي نوشته شده باشد. شركت امنيتي كسپراسكاي مي گويد اين كد غيرمعمول مختص Duqu است. بسياري از قسمت هاي آن مستقيما از استاكس نت گرفته شده است اما برخي از قسمت ها كاملا جديد هستند. اين شركت نام اين بخش را چارچوب كاري Duqu گذاشته است و ذكر مي كند كه با زبان هاي C++، Objective C، جاوا، Python، Ada، Lua و زبان هاي برنامه نويسي ديگر نوشته نشده است. اين بخش از كد Duqu توسط Microsoft’s Visual C++ نسخه 2008 كامپايل نمي شود. واقعيت اين است كه ممكن است يك زبان برنامه نويسي كاملا جديد براي اين تروجان ايجاد شده باشد.

مطالب مرتبط:
ويروس Duqu بسيار حرفه اي
Duqu؛ سارق اطلاعات حساس!