شماره: IRCNE2012021405
تاريخ: 26/11/90

شركت Adobe يك به روز رساني فوري را براي اصلاح حداقل نه آسيب پذيري بسيار خطرناك در Shockwave Player منتشر كرده است. آسيب پذيري هاي مذكور مي توانند كاربران ويندوز و مك را در معرض حملاتي قرار دهند كه كنترل رايانه آنها را در اختيار مهاجمان قرار مي دهد.
بنا بر راهنمايي امنيتي منتشر شده توسط Adobe، نقص هاي امنيتي بر Adobe Shockwave Player، نسخه 11.6.3.633 و نسخ قبل از آن و بر روي سيستم عامل هاي ويندوز و مك اينتاش تأثير مي گذارند.
در اطلاعيه Adobe آمده است:
" اين آسيب پذيريها به مهاجماني كه به صورت موفق از آسيب پذيري هاي مذكور سوءاستفاده كنند اجازه مي دهد، كدهاي خرابكار را بر روي رايانه قرباني اجرا كنند. Adobe به كاربران نسخه 11.6.3.633 و نسخه هاي قبل از آن، توصيه مي كند تا نرم افزار خود را به نسخه 11.6.4.634 به روز رساني كنند."
در زير خلاصه اي از به روزرساني هاي مربوطه آورده شده است:

• اين به روزرساني يك آسيب پذيري خرابي حافظه را در Shockwave 3D Asset برطرف مي كند كه ميتواند منجر به اجراي كد دلخواه بر روي رايانه قرباني شود. (CVE-2012-0757)
• اين به روزرساني يك آسيب پذيري سرريز heap را برطرف مي كند كه ميتواند منجر به اجراي كد دلخواه بر روي رايانه قرباني شود. (CVE-2012-0758)
• اين به روزرساني يك آسيب پذيري خرابي حافظه را برطرف مي كند كه ميتواند منجر به اجراي كد دلخواه بر روي رايانه قرباني شود. (CVE-2012-0759)
• اين به روزرساني يك آسيب پذيري خرابي حافظه را در Shockwave 3D Asset برطرف مي كند كه ميتواند منجر به اجراي كد دلخواه بر روي رايانه قرباني شود. (CVE-2012-0760)
• اين به روزرساني يك آسيب پذيري خرابي حافظه را در Shockwave 3D Asset برطرف مي كند كه ميتواند منجر به اجراي كد دلخواه بر روي رايانه قرباني شود. (CVE-2012-0761)
• اين به روزرساني يك آسيب پذيري خرابي حافظه را در Shockwave 3D Asset برطرف مي كند كه ميتواند منجر به اجراي كد دلخواه بر روي رايانه قرباني شود. (CVE-2012-0762)
• اين به روزرساني يك آسيب پذيري خرابي حافظه را در Shockwave 3D Asset برطرف مي كند كه ميتواند منجر به اجراي كد دلخواه بر روي رايانه قرباني شود. (CVE-2012-0763)
• اين به روزرساني يك آسيب پذيري خرابي حافظه را در Shockwave 3D Asset برطرف مي كند كه ميتواند منجر به اجراي كد دلخواه بر روي رايانه قرباني شود. (CVE-2012-0764)
• اين به روزرساني يك آسيب پذيري خرابي حافظه را در Shockwave 3D Asset برطرف مي كند كه ميتواند منجر به اجراي كد دلخواه بر روي رايانه قرباني شود. (CVE-2012-0766)

همچنين Adobe، به طور جداگانه يك آسيب پذيري "مهم" را در Robohelp 9 , 8 بر روي word در ويندوز برطرف كرده است كه مي تواند منجر به حملات cross-site scripting شود.

شماره: IRCNE2012021404
تاريخ: 26/11/90

توئيتر نيز بالاخره به جمع استفاده كنندگان از HTTPS به صورت پيش فرض پيوست و كاربران اين شبكه از اين به بعد مي توانند از طريق نشست هايي كه به صورت پيش فرض رمزنگاري 128 بيتي مي شوند، از وب سايت مذكور استفاده نمايند.
البته كاربران پيش از اين نيز مي توانستند با فعال كردن برخي از تنظيمات در وب سايت توئيتر از اين امكان استفاده كنند، اما پس از اين، استفاده از رمز نگاري در ارتباطات شبكه اجتماعي مذكور به صورت پيش فرض در خواهد آمد.
استفاده از پروتكل HTTPS به حفظ اطلاعات كاربران كمك خواهد كرد و منجر به امنيت بيشتر آنها به خصوص در زمان استفاده از اتصالات ناامن اينترنت همچون شبكه هاي عمومي wi-fi خواهد شد.
با وجود اينكه توئيتر اين امكان را به صورت پيش فرض قرار داده است، اما كاربراني كه مايل به استفاده از آن نباشند مي توانند آن را براي حساب كاربري خويش غير فعال سازند.

مطالب مرتبط:
عرضه رمزگذاري جستجوهاي وب توسط گوگل

ID: IRCNE2012021406
Date: 2012-02-15

According to “ComputerWorld”, Microsoft yesterday issued nine security updates that patched 21 vulnerabilities in Windows, Internet Explorer (IE), Office, .Net, Silverlight and SharePoint Server, including several critical bugs that can be exploited with drive-by attacks.
Four of the nine updates were labeled "critical," Microsoft's highest threat ranking; the others were marked "important." Of the 21 total vulnerabilities, Microsoft classified six as critical, 14 as important and one as "moderate," a step below important on the company's four-step rating system.
MS12-010, which included fixes for four vulnerabilities in IE, and MS12-013, a one-patch update to Windows Vista, Windows 7, Server 2008 and Server 2008 R2, were unanimously selected by both Microsoft and independent security researchers as the two to deploy immediately.
Three of the four bugs addressed by MS12-010 can be exploited with "drive-by" attacks, the term that describes exploits that only require an IE user to be drawn to a malicious website to trigger the vulnerability.
MS12-008 patches a critical flaw in Microsoft's C Run-Time Library, a dynamic link library (dll) that ships with most versions of Windows, and is used by both Microsoft and third-party developers.
"MS12-013 looks quite nasty and ominous," said Andrew Storms, director of security research at nCircle Security. "But the Security Research & Defense blog brought our feet back to the ground by describing that the only way to exploit [the vulnerability] is through Windows Media Player," added Storms.
Attackers must convince victims to either download and open a malformed Media Player file, or visit a malicious website that hosts such a file, said Microsoft in the blog Storms referenced.
Microsoft today also patched vulnerabilities in Visio, a relatively little-used member of the Office family; in a Windows kernel-mode driver; in SharePoint Server; in the .Net and Silverlight frameworks; and in other products in its portfolio.
February's nine security updates can be downloaded and installed via the Microsoft Update and Windows Update services, as well as through Windows Server Update Services.

Related Links:
Patch Tuesday heads-up: 21 vulnerabilities, including 'critical' IE bulletin

ID :IRCNE2012021405
Date: 2012-02-15

According to ZDNet, Adobe has shipped an urgent Shockwave Player update to fix at least nine “critical” vulnerabilities that expose Windows and Mac users to computer-takeover attacks.
According to an advisory from Adobe, the flaws affect Adobe Shockwave Player 11.6.3.633 and earlier versions on the Windows and Macintosh operating systems.
“These vulnerabilities could allow an attacker, who successfully exploits these vulnerabilities, to run malicious code on the affected system. Adobe recommends users of Adobe Shockwave Player 11.6.3.633 and earlier versions update to Adobe Shockwave Player 11.6.4.634,” the company said.
Here’s the skinny on the patched vulnerabilities:

• This update resolves a memory corruption vulnerability in the Shockwave 3D Asset that could lead to code execution (CVE-2012-0757).
• This update resolves a heap overflow vulnerability that could lead to code execution (CVE-2012-0758).
• This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2012-0759).
• This update resolves a memory corruption vulnerability in the Shockwave 3D Asset that could lead to code execution (CVE-2012-0760).
• This update resolves a memory corruption vulnerability in the Shockwave 3D Asset that could lead to code execution (CVE-2012-0761).
• This update resolves a memory corruption vulnerability in the Shockwave 3D Asset that could lead to code execution (CVE-2012-0762).
• This update resolves a memory corruption vulnerability in the Shockwave 3D Asset that could lead to code execution (CVE-2012-0763).
• This update resolves a memory corruption vulnerability in the Shockwave 3D Asset that could lead to code execution (CVE-2012-0764).
• This update resolves a memory corruption vulnerability in the Shockwave 3D Asset that could lead to code execution (CVE-2012-0766).

Separately, Adobe fixed an “important” vulnerability in RoboHelp 9 (or 8) for Word on Windows. “A specially crafted URL could be used to create a cross-site scripting attack on Web-based output generated using RoboHelp for Word,” the company warned.

ID :IRCNE2012021404
Date: 2012-02-15

Twitter has turned on HTTPS by default, offering 128-bit encryption for users connecting to its service.
The company had originally offered the option for users to use HTTPS when browsing Twitter.com but this had to be turned on via a partially-hidden setting.
Now comes the announcement that the security setting in on b default:
Last year, we added the option to always use HTTPS when accessing Twitter.com on the web. This setting makes your Twitter experience more secure by protecting your information, and it’s especially helpful if you use Twitter over an unsecured Internet connection like a public wi-fi network.
Now, HTTPS will be on by default for all users, whenever you sign in to Twitter.com. If you prefer not use it, you can turn it off on your Account Settings page. HTTPS is one of the best ways to keep your account safe and it will only get better as we continue to improve HTTPS support on our web and mobile clients.

Related Links:
Google offers encrypted Web search
Microsoft beefs up Outlook-to-Hotmail security

شماره: IRCNE2012021403
تاريخ: 24/11/90

گوگل، مرورگر كروم نسخه 17 را منتشر كرد. اين مرورگر بوسيله ارائه قابليت هاي جديد اسكن بدافزار و اصلاحيه هايي براي حداقل 20 آسيب پذيري امنيتي، امنيت را براي كاربران گسترش داده است.
در حال حاضر كروم نسخه 17، دانلودهاي مرورگر را به منظور بررسي فايل هاي اجرايي مخرب اسكن مي كند. قابليت اسكن كردن فايل هاي اجرايي يك توسعه از تكنولوژي جستجوي امن گوگل به حساب مي آيد كه براي اولين بار در نسخه دوم فايرفاكس در سال 2006 مطرح شد. جستجوي امن، كاربران را در برابر وب سايت هاي شناخته شده مضر حفاظت مي كند و اين تكنولوژي به مرور زمان بهبود يافته است. با كروم نسخه 17، جستجوي امن فايل هاي اجرايي كه كاربر دانلود مي كند را با ليستي از گوگل كه ناشران و فايل هاي معتبر در آن وجود دارند، بررسي كرده و در خصوص بدافزارهاي بالقوه به كاربران هشدار مي دهد.
نو لوتز، مهندس نرم افزار گوگل در يك وبلاگ نوشته است كه اگر فايل اجرايي با ليست سفيد مطابقت نداشت، كروم براي دريافت اطلاعات بيشتر با گوگل بررسي مي كند از قبيل اينكه آيا وب سايتي كه شما به آن دسترسي داريد، ميزبان تعداد بالايي از دانلودهاي مخرب بوده است .

شماره: IRCNE2012021402
تاريخ: 24/11/90

موزيلا يك به روز رساني امنيتي فوري براي فايرفاكس منتشر كرده است. اين به روز رساني يك آسيب پذيري را بر طرف مي نمايد كه وب گردان را در معرض خطر حملات هكرهاي مخرب قرار مي دهد.
اين آسيب پذيري در نسخه 10.0.1 فايرفاكس برطرف شده است. اين آسيب پذيري يك مرورگر را با مشكل مواجه مي كند و ممكن است براي حملات اجراي كد مورد سوء استفاده قرار بگيرد.
توسعه دهندگان موزيلا، اندرو مك ريت و اولي پتي دريافتند كه تابع ReadPrototypeBindings در جدول درهم سازي، XBL bindingرا باقي مي گذارد حتي زمانيكه تابع با شكست مواجه شده باشد. اگر اين اتفاق بيافتد، زماني كه كلكتور، اين جدول درهم سازي را مي خواند و تلاش مي كند تا بر روي اين binding يك روش مجازي را انجام دهد، با مشكل مواجه مي شود. اين مشكل ممكن است به طور بالقوه قابل سوء استفاده باشد.
موزيلا اين آسيب پذيري را در رده امنيتي "بسيار مهم" قرار مي دهد كه مي تواند براي اجراي كد مهاجم و نصب نرم افزار استفاده شود و نياز به هيچ تعاملي با كاربر ندارد.
گروه منبع باز اظهار داشت: فايرفاكس نسخه 9 و نسخه هاي پيش از آن تحت تاثير اين آسيب پذيري قرار ندارند.

ID: IRCNE2012021403
Date: 2012-02-13

According to "internetnews", Google is out with its first major stable Chrome browser release of 2012. The Chrome 17 browser extends security for users by offering new malware scanning capabilities and patches for at least 20 security vulnerabilities.
Chrome 17 now scans browser downloads to search for malicious executable files. The executable scanning capabilitiy is an extension of Google's Safe Browsing technology that first debuted in Mozilla Firefox 2.0 in 2006. Safe Browsing initially helped to protect users against known bad websites and has improved over the years. With Chrome 17, Safe Browsing checks user-downloaded executable files against a Google list of known good publishers and files to help alert users to potential malware.
"If the executable doesn't match a whitelist, Chrome checks with Google for more information, such as whether the website you're accessing hosts a high number of malicious downloads," Google software engineer Noe Lutz wrote in a blog post.

شماره: IRCNE2012021401
تاريخ: 23/11/90

پس از اينكه حساب­هاي iTunes Store تعدادي از كاربران iTunes توسط سارقان ديجيتالي خالي شد، اين كاربران كشف كرده اند كه مجددا حساب­هاي آنها پر شده است. اما چگونگي اين اتفاق همچنان نامعلوم است.
قضيه از آنجا شروع شد كه تعدادي از كاربران iTunes گزارش كردند كه حساب­هاي iTunes و اطلاعات شخصي آنها هك شده است و اين اتفاق منجر به انجام خريد از حساب آنها و نيز تغيير اطلاعات شخصي آنها شده است.
بر اساس گزارشي از Global Mail، اين شك وجود دارد كه حساب­هاي iTunes شركت اپل براي مدتي هدف حملات هكري قرار داشته اند. در واقع براي مدت زماني بيش از يك سال، كاربران در مورد اتفاقاتي مشابه، شامل دسترسي بدون اجازه به حساب و استفاده يا تغيير اطلاعات شكايت داشته اند.
اپل در اين مورد بسيار كلي پاسخ داده است. اپل اظهار داشت كه اين شركت احتياطات لازم را براي محافظت از اطلاعات شخصي كاربران در برابر گم شدن، سرقت و سوء استفاده، و نيز دسترسي غيرمجاز، افشا، تغيير و تخريب به كار مي­بندد. همچنين سرويس­هاي آنلاين اپل مانند Apple Online Store و iTunes Store، بر روي تمامي صفحات وب كه اطلاعات شخصي را جمع آوري مي­كنند، از رمزگذاري لايه سوكت­هاي امن (SSL) استفاده مي­كنند.
سكوت اپل در مورد مشكلات بالقوه محصولات يا سرويس­هاي اين شركت، مساله عجيبي نيست. اين شركت در گذشته نيز تاكيد كرده است كه مايل است پيش از اظهار نظر عمومي در مورد مشكلات، ابتدا تمامي شواهد و واقعيت­ها را جمع آوري كرده و تحقيقات خود را انجام دهد و سپس يك راه حل ارائه نمايد. اما در مورد اطلاعات حساب­هاي كاربران، برخي خواستار شفافيت بيشتري هستند.
اكنون به نظر مي­رسد كه اعتبار از دست رفته اغلب كاربران ­به حساب آنها بازگشته است.
درحاليكه بسياري عدم پاسخگويي از سوي اپل را به معناي كم اهميت بودن مساله مي­دانند، بسياري نيز كامنت­هايي را با اين مضمون ارسال كرده اند كه اپل مشكل را برطرف نكرده است، بلكه صرفا با بازگرداندن اعتبار حساب­هاي كاربران، سعي در مسكوت نگاه داشتن مساله دارد.

شماره: IRCNE2012021400
تاريخ: 23/11/90

اپل فعال سازي تعدادي گزينه را براي تامين امنيت اطلاعات كاربران بر روي Mac پيشنهاد مي كند. اين پيشنهادات شامل فعال سازي FileVault براي رمزگذاري كل ديسك در Lion و رمزگذاري تصوير ديسك براي تامين امنيت مجموعه اسناد، مي شوند.
علاوه بر اين، اپل گزينه هايي را براي امنيت اسناد برخي از برنامه هاي خود از جمله برنامه هايي كه در مجموعه iWork هستند، در نظر گرفته است.
براي انجام اين عمليات در iWork، يك سند در Pages، Numbers يا Keynote ايجاد يا باز نماييد و سپس با كليك كردن آيكون مربوط به پنجره كنترلر در نوار ابزار يا فشار دادن كليدهاي Option-Command-Iاين پنجره را باز كنيد. در پنجره كنترلر، بخش "Document" را انتخاب نماييد و گزينه درخواست رمزعبور براي مشاهده يك سند را بررسي نماييد. رمز عبور را وارد كنيد و آن را تاييد نماييد. پس از انجام اين كار هر زمان كه اقدام به باز نمودن سند كنيد، ابتدا يك رمز عبور را درخواست مي كند.
تا زماني كه اپل از رمزگذاري AES، 128 بيتي در اسناد محافظت شده با رمز عبور استفاده مي نمايد، امكان شكستن رمز عبور وجود ندارد مگر آن كه از رمز عبور خوبي استفاده نكرده باشيد.
اخيرا، براي كمك به آژانس هاي قانوني، شركت رمزگشايي رمز عبور Passware، توانايي خود مبني بر بازيابي كليدهاي رمزگذاري FileVault 2 اپل را از حافظه سيستم با استفاده از ويژگي هاي دستيابي مستقيم حافظه FireWire توصيف مي كند.
ابزار ElcomSoft نه تنها براي كار عليه اسناد iWork طراحي شده است بلكه براي حدس زدن رمز عبورهاي اسناد آفيس، ويندوز و يونيكس، اسناد PDF و بسياري از فناوري هاي ديگر استفاده مي شود.
براي جلوگيري از اينگونه حملات، بهتر است اطمينان حاصل كنيد رمز عبوري كه استفاده مي نماييد داراي كيفيت بالايي است و از الگوهايي كه ممكن است به راحتي قابل حدس باشند استفاده نكنيد. اگر در انتخاب يك رمز عبور خوب براي يك سند يا سرويس سيستم نياز به كمك داريد، اپل به عنوان بخشي از چارچوب كاري امنيتي خود، يك دستيار رمز عبور را پيشنهاد مي دهد.