شماره: IRCNE2012011368
تاريخ: 18/10/90

شركت امنيتي سيمانتك تاييد كرده است كه يك گروه از هكرها به كد منبع دو تا از محصولات آنتي ويروس اين شركت دسترسي پيدا كرده اند.
كريس پادن، مدير ارشد ارتباطات شركت سيمانتك گفت: سيمانتك تاييد مي كند كه يك بخش از كد منبع استفاده شده در دو تا از محصولات قديمي شركت در دسترس هكرها قرار گرفته است. اين كدها مربوط به چهار يا پنج سال پيش بوده اند.
اين تاييديه پيرو ادعاهاي اخير يك گروه از هكرها صادر شده است. اين گروه از كد منبع آنتي ويروس نورتون سرورهاي متعلق به سازمان اطلاعاتي هند نسخه برداري كرده اند. پادن تاييد كرد كه اين رخنه امنيتي در شبكه خود سيمانتك اتفاق نيفتاده است.
پادن گفت: از آن جا كه كد منبع افشاء شده مربوط به محصولات enterprise مي باشد، در نتيجه كاربران آنتي ويروس نورتون تحت تاثير اين رخنه قرار نمي گيرند. اين شركت تا به حال دليلي مبني بر به خطر افتادن اطلاعات مربوط به مشتري پيدا نكرده است. با اين حال، سيمانتك به منظور توسعه روند بازسازي براي اطمينان از حفاظت از اطلاعات مشتريان در حال كار است و زماني كه اين روند نهايي شد به اطلاع همگان خواهد رسيد.
سيمانتك گمان نمي كند كه عملكرد يا امنيت محصولاتش تحت تاثير اين رخنه قرار گرفته باشد. با اين حال متخصصان امنيتي شركت هاي ديگر بر اين باورند كه اين امكان براي هكرها و رقباي آن ها وجود دارد كه از اين رخداد سوء استفاده نمايند.

ID: IRCNE2012011368
Date: 2012-01-08

According to "computerworld", Security vendor Symantec has confirmed that a group of hackers is in possession of source code for two of its enterprise antivirus products.
"Symantec can confirm that a segment of its source code used in two of our older enterprise products has been accessed. The code involved is four and five years old," said Cris Paden, the company's senior manager for corporate communications.
The confirmation comes in light of recent claims made by a group of hackers that they've copied Norton AntiVirus source code from compromised servers belonging to Indian intelligence agencies. Paden confirmed that the security breach didn't occur on Symantec's own network.
Because the exposed source code corresponds to enterprise products, users of Norton AntiVirus, the company's consumer product, are not affected by the leak, Paden said. The company has no reason to believe at this time that customer information was compromised.
"However, Symantec is working to develop remediation process to ensure long-term protection for our customers' information. We will communicate that process once the steps have been finalized," Paden said.
Symantec doesn't think the functionality or security of its products was affected by the leak. However, third-party security experts believe that it might be possible for hackers and competitors to take advantage of the incident.

شماره: IRCNE2012011367
تاريخ: 17/10/90

يك محقق امنيتي يك آسيب پذيري امنيتي و محرمانگي در iPhone كشف كرده است كه تصاوير آلبوم iOS5 را تحت شرايط خاصي نشت مي­دهد.
به گفته وي، آزمايش اين آسيب پذيري كار ساده اي است. فقط كافي است ساعت iPhone خود را به ساعتي در گذشته (براي مثال در سال 2010) تغيير دهيد. سپس در حالي­كه تلفن شما قفل است، به دوربين دسترسي پيدا كنيد. آنگاه شما قادر خواهيد بود تمامي تصاوير «محافظت شده» را نيز مشاهده كنيد.
كاربران به عنوان بخشي از ارتقاي iOS5، دسترسي فوري به دوربين حتي در زمان قفل بودن تلفن را دارا هستند. اين ويژگي اجازه دسترسي به تمامي تصاوير آلبوم را نمي­دهد و فقط به كاربر اجازه مي­دهد تصاويري را مشاهده نمايد كه از طريق نشست قفل شده فعلي گرفته شده اند.
نكته اي كه در اينجا وجود دارد اين است كه Apple نبايد براي محدود كردن دسترسي به تصاوير، بازه زماني خاصي را در نظر بگيرد. تغيير ساعت iPhone، نبايد بر امنيت آن تاثير بگذارد.

شماره: IRCNE2012011366
تاريخ: 23/09/90

در اولين اصلاحيه دوره اي مايكروسافت در سال 2012، آسيب پذيري هايي در سيستم عامل ويندوز و Microsoft Developer Tools and Softwares اصلاح خواهند شد.
در كل، مايكروسافت هفت بولتن امنيتي را منتشر خواهد كرد كه يكي از آنها از درجه "بسيار مهم" برخوردار خواهد بود. يك بولتن امنيتي بسيار مهم معمولاً به آن دسته از حفره هاي امنيتي مي پردازند كه با كمترين تعامل كاربر منجر به حملات اجراي كد از راه دور مي شوند.
آسيب پذيري هاي ويندوز كه در اين اصلاحيه برطرف خواهند شد، بر روي همه نسخ اين سيستم عامل از جمله ويندوز 7 و ويندوز 2008 R2 نيز تأثير مي گذارند.

گوگل يك به روز رساني براي ترميم حداقل سه آسيب پذيري امنيتي جدي در مرورگر Chrome عرضه كرد.
آخرين به روز ساني گوگل، Chrome 16.0.912.75، براي سيستم­هاي ويندوز، مكينتاش، لينوكس و Chrome Frame عرضه شده است و شامل ترميم­هايي براي نقصي با درجه اهميت «بسيار خطرناك» مي­باشد.
اين نقايص شامل يك نقص استفاده پس از آزادسازي در فريم­هاي انيميشن كه توسط محققي در Mozilla كشف شده بود، و يك سرريز بافر heap در libxml مي­باشد. يك سرريز بافر پشته داخلي در مديريت glyph نيز ترميم شده است.
Google Chrome به صورت بي ­سر و صدا از طريق مكانيزم به روز رساني خودكار مرورگر، عرضه مي­گردد.

شماره: IRCNE2012011364
تاريخ: 17/10/90

OpenSSL يك هشدار در مورد حداقل شش آسيب پذيري امنيتي كه كاربران پياده سازي متن باز پروتكل­هاي SSL و TLS را تحت تاثير قرار مي­دهد، منتشر كرد. اين آسيب پذيري­ها در OpenSSL نسخه هاي 1.0.0f و 0.9.8s ترميم شده اند.
جدي­ترين نقص امنيتي در اين مجموعه، يك حمله بازيابي متن ساده DTLS است كه به طور عمومي شناخته شده است.
آخرين به روز رساني OpenSSL همچنين يك مشكل عدم بررسي سياست را نيز ترميم مي­كند كه منجر به يك نقص آزادسازي مجدد مي­گردد. يك مساله مجزا نيز در OpenSSL پيش از 1.0.0f و 0.9.8s وجود دارد كه به عدم پاك كردن بايت­هاي مورد استفاده رمزگذاري در ركوردهاي SSL 3.0 برمي­گردد. اين مساله كلاينت­ها و سرورهايي را كه درخواست­هاي SSL 3.0 را مي­پذيرند، تحت تاثير قرار مي­دهد.
در نتيجه، در هر ركورد تا 15 بايت حافظه تخصيص داده نشده ممكن است رمز شده و براي طرف مقابل ارسال گردد. اين ركورد مي­تواند شامل اطلاعات حساس حافظه هايي كه قبلا آزاد شده است باشد.

شماره: IRCNE2012011363
تاريخ: 17/10/90

اصلاحيه Adobe همزمان با اصلاحيه مايكروسافت سه شنبه اين هفته منتشر خواهد شد كه در آن چندين حفره امنيتي در Reader X و Acrobat X برطرف خواهند شد. بنا بر پيش آگهي منتشر شده توسط Adobe، اين به روز رساني ها " بسيار مهم" ارزيابي شده و براي كاربران ويندوز و Mac OS X در دسترس خواهد بود.
در اين اطلاعيه آمده است:
" به روزرساني ها حاوي اصلاحيه هايي براي CVE-2011-2462 و CVE-2011-4369 در adobe reader و Acrobat 9.x خواهند بود كه قبلاً در بولتن امنيتي APSB11-30 در مورد آنها اطلاع داده شده بود."
نرم افزارهاي تحت تأثير عبارتند از:

• نسخه Adobe reader X(10.1.1) و نسخ 10.x قبل از نسخه مذكور براي ويندوز و مك اينتاش
• نسخه Adobe reader 9.4.7 و نسخ 9.x قبل از نسخه مذكور براي ويندوز
• نسخه Adobe reader 9.4.6 و نسخ 9.x قبل از نسخه مذكور براي مك اينتاش
• نسخه Adobe Acrobat X(10.1.1) و نسخ 10.x قبل از نسخه مذكور براي ويندوز و مك اينتاش
• نسخه Adobe Acrobat 9.4.7 و نسخ 9.x قبل از نسخه مذكور براي ويندوز
• نسخه Adobe Acrobat 9.4.6 و نسخ 9.x قبل از نسخه مذكور براي مك اينتاش
• طبق پيش آگهي Adobe، اين به روزرساني در سه شنبه 10 ژانويه 2012 منتشر خواهد شد.

ID: IRCNE2012011367
Date: 2012-01-07

According to “ZDNet”, a researcher has discovered a security/privacy vulnerability in Apple’s iPhone that leaks iOS 5 album photographs under certain conditions.
This vulnerability is simple to test. Just set your iPhone’s clock to a time in the past (say, in 2010). Then access the Camera while your phone is still locked. So you’ll be able to see all your “protected” images.
As part of the iOS 5 upgrade, users get immediate access to the camera even if the device is locked with a passcode. This feature blocks access to the entire photo album and only allows the user to see photos taken from the current (locked) session.
The point to all this is that Apple should not rely on a simple timestamp to restrict image access. Changing the iPhone’s clock shouldnotaffect its security.

ID :IRCNE2012011366
Date: 2012-01-07

According to CNET, Microsoft’s first batch of patches for 2012 will include fixes for security vulnerabilities in the Windows operating system and Microsoft Developer Tools and Software.
In all, Microsoft plans to ship 7 bulletins, one rated “critical,” Microsoft’s highest severity rating. A critical bulletin typically deals with security holes that allow remote code execution attacks with minimal user action.
The Windows vulnerabilities will apply to all versions of Microsoft’s flagship OS, including the newest Windows 7 and Windows Server 2008 R2.
Microsoft also announced that one of the bulletins will fix an issue described as a “Security Feature Bypass.” It is the first time Microsoft has used this label on a security update.
The patches will be released next Tuesday (Jan 10, 2012) at approximately 1:00 PM EST.

ID: IRCNE2012011365
Date: 2012-01-07

According to “ZDNet”, Google has pushed out a browser update to fix at least three serious security vulnerabilities in its Chrome browser.
The latest Google Chrome 16.0.912.75 for Windows, Mac, Linux and Chrome Frame contains fixes for flaw with a “high-risk” rating.
The flaws include a use-after-free bug in animation frames which was discovered by a researcher at Mozilla and a heap buffer overflow in libxml. An internally discovered stack buffer overflow in glyph handling was also fixed.
Google Chrome is released silently via the browser’s embedded automatic updater mechanism.