شماره: IRCNE201005737
با توجه به گزارش هاي متعدد در مورد افزايش فايل هاي خرابكار PDF، كاربران به دنبال راه هايي براي كاهش خطرات ناشي از استفاده از فايل هاي PDF هستند. اصلي ترين رقيب Adobe يعني Foxit كه نرم افزاري براي خواندن فايل هاي PDF است، به اين درخواست كاربران پاسخ داده و امكانات امنيتي بيشتري را به نرم افزار خود اضافه كرده است. با استفاده از اين امكان مي توان تا حد زيادي از بروز حملاتي كه با سوءاستفاده از دستور /Launch اتفاق مي افتند، جلوگيري كرد.
نرم افزار Foxit Reader 3.3 كاربران را قادر مي سازد كه از اجراي كنش ها و انتقال داده هاي تأييد نشده مانند توابع جاوااسكريپت جلوگيري به عمل آورند. اين اقدام تا حد زيادي از انتشار ويروس ها جلوگيري به عمل مي آورد. اين امكان با نام Enable Safe Reading Mode معرفي شده است و نه تنها به كاربر در مورد كارهاي مشكوك هشدار مي دهد بلكه از هر گونه تعامل با فايل هاي PDF كه آلوده شده اند، نيز ممانعت به عمل مي آورد.
البته كارشناسان امنيتي قوياً توصيه مي كنند امكان جاوااسكريپت را در نرم افزاري كه براي باز كردن فايل هاي PDF مورد استفاده قرار مي دهيد، غير فعال سازيد.

شماره: IRCNE201005734
يك كرم كه در حال گسترش از طريق ياهو مسنجر است، كاربران را ترغيب مي­كند كه چيزي را كه به نظر مي­رسد عكسي از يك دوست است دانلود نمايند. اما قربانيان در حقيقت بدافزاري را دانلود مي­كنند كه يك در پشتي (backdoor) بر روي سيستم ويندوز نصب كرده و سپس خود را در ميان دوستان آن فرد توزيع مي­كند.
اين كرم به شكل پيغامي از يكي از دوستان فرد در مسنجر دريافت مي­شود كه لغت «photo» يا «photos» را به همراه يك صورتك ياهو در متن پيغام دارد. يك لينك به يك وب سايت مشابه صفحات فيس بوك، MySpace يا برخي سايت­هاي ديگر نيز در اين پيغام وجود دارد كه به نظر مي­رسد تصوير مورد نظر در آنجا قرار گرفته است.
اگر فرد قرباني بر روي لينك كليك نمايد، فايل اجرايي دانلود شده و در صورتي­كه فرد فايل را اجرا كند، سيستم وي آلوده شده و سپس اين پيغام خرابكار براي تمامي افراد موجود در فهرست مسنجر وي ارسال مي­شود. در سيستم­هاي Mac، دانلود اين فايل نتيجه خرابكارانه اي به همراه نخواهد داشت.
به گفته Symantec، زماني كه اين فايل اجرا مي­شود، اين كرم خود را به %WinDir%\infocard.exe كپي كرده، سپس خود را به Windows Firewall List اضافه كرده، كليدهاي رجيستري را تغيير داده، و سرويس Windows Update را متوقف مي­سازد. Symantec اين بدافزار را با نام W32.Yimfoca شناسايي كرده و اعلام كرده است كه اين كرم بر روي ويندوزهاي 98، 95، XP، Me، ويستا، NT، Server 2003 و 2000 تاثير مي­گذارد.
اين موضوع كه اين لينك توسط فردي ارسال مي­شود كه گيرنده وي را مي­شناسد، احتمال باز كردن لينك را بسيار بالا مي­برد. اين كرم نرم افزاري را بر روي سيستم آلوده قرار مي­دهد كه مي­تواند بعدا براي استفاده از آنها به عنوان يك عضو botnet كاركرد داشته باشد. البته وجود يك در پشتي بر روي يك سيستم در حقيقت به اين معناست كه هر اتفاقي ممكن است بيفتد.
به گفتهBitDefender، اين كرم عضوي از خانواده كرم­هايي است كه مي­توانند كلمات عبور و ساير داده هاي حساس و مهم را سرقت نمايند.
ياهو نيز اعلام كرد كه از اين موضوع مطلع بوده و در حال كار براي حل اين مساله است.

شماره: IRCNE201005736
شركت امنيتي Bkis روز جمعه اعلام كرد كه پس از كرمي كه از طريق ياهو مسنجر منتشر شده و در پشتي بر روي سيستم­هاي قرباني نصب مي­كرد، اكنون كرمي جديد و پيچيده تر، در حال انتشار است.
به گفته Bkis، اين بدافزار از طريق ياهو مسنجر يا Skype منتشر شده و حاوي پيغامي مانند زير است:

Does my new hair style look good? Bad? Perfect?»
«My printer is about to be thrown theough a window if this pic won’t come out right. You see anything wrong with it?»

اين پيغام شامل لينكي به يك صفحه وب است كه ظاهرا حاوي يك فايل تصويري است. زماني كه روي اين لينك كليك شود، مرورگر صفحه اي را مشابه سايت RapidShare نمايش داده و يك فايل ZIP را براي دانلود پيشنهاد مي­دهد. اين فايل در حقيقت يك فايل اجرايي با پسوند .com است.
اين بدافزار كه Bkis آن را با نام W32.Skyhoo.Worm شناسايي مي­كند، در صورتي­كه سيستم داراي ياهو مسنجر يا Skype نباشد ناپديد مي­شود. به گفته Bkis، اين كرم به طور خودكار پيغام­هايي را با محتواي مختلف و به همراه لينك خرابكار به فهرست دوستان فرد در مسنجر ارسال مي­كند و همچنين به صورت خودكار يك لينك خرابكار را به پيغام­هاي ايميل و فايل­هاي Word يا Excel كه فرد ارسال مي­كند، تزريق مي­نمايد.
اين كرم همچنين براي دريافت دستورات از راه دور به يك سرور IRC متصل شده، نرم افزار آنتي ويروس را از كار انداخته، با استفاده از يك تكنيك rootkit فايل­هاي خود را پنهان كرده، و به طور خودكار كپي­هايي از خود را بر روي درايوهاي USB قرار مي­دهد.

اخبار مرتبط:
كرمي خطرناك در ياهو مسنجر

شماره: IRCNE201005733
يك نقص امنيتي در فيس بوك، شركت مذكور را مجبور كرد براي مدتي امكان چت را غير فعال سازد. اين نقص امنيتي منجر به مشاهده متن چت ديگر دوستان كاربر مي شود. همچنين اين نقص امنيتي به كاربران اجازه مي دهد ليست افرادي را كه درخواست دوستي براي دوستان آنها ارسال كرده اند و در حالت pending هستند، مشاهده كنند. البته اين آسيب پذيري مدت كوتاهي دوام آورد و فيس بوك بلافاصله آن را اصلاح كرد و دوباره امكان چت در آن فعال شده است.
آسيب پذيري مذكور را يك وب سايت فعال در زمينه اخبار فناوري، گزارش كرده است و يك ويدئو از چگونگي سوءاستفاده از نقص مذكور را منتشر كرده است. اين نقص امنيتي در قسمتي كه كاربران چگونگي ديده شدن پروفايل توسط ديگران را تنظيم مي كنند (Preview My Profile) وجود داشته و در حال حاضر برطرف شده است.
متخصصان امنيتي بارها در مورد قرار دادن اطلاعات شخصي بر روي وب سايت هاي اجتماعي هشدار داده اند و همواره به كاربران توصيه مي كنند، "چيزي را كه نمي خواهيد همه دنيا در مورد آن خبر داشته باشند، بر روي فيس بوك قرار ندهيد."

شماره: IRCNE201005731
مديران Google Apps اكنون مي­توانند از راه دور كوكي­هاي مرورگر را كه اطلاعات نام كاربري و كلمه عبور كاربران را نگه­داري مي­كنند، غير فعال نمايند. اين حركت براي افزايش امنيت در مجموعه برنامه هاي ميزباني شده در گوگل طراحي شده است. به گفته گوگل، كاربران Google Apps مي­توانند از طريق هر ابزاري كه داراي مرورگر وب باشد، به حساب­هاي كاربري خود وارد شوند. بنابراين اين موضوع كه مديران بتوانند از طريق Control Panel كوكي­ها را مديريت نمايند، به امنيت اين برنامه ها مي افزايد.
اين قابليت در زماني كه موبايل يا كامپيوتر يك كاربر به سرقت رفته يا گم شود، بسيار به كار مي آيد و باعث مي­شود كاربر از تمامي نشست­هاي موجود بر روي مرورگر خارج شده و براي ورود مجدد، نياز به تاييد هويت داشته باشد. همچنين مديران Google Apps مي­توانند كلمه عبور كاربر را تغيير دهند.

شماره: IRCNE201005732
شركت امنيتي Red Condor در مورد يك بدافزار جديد كه با سوءاستفاده از نام Adobe در حال گسترش است، هشدار داد. اين بدافزار از طريق يك ايميل كه به ظاهر در مورد آسيب پذيري هاي Adobe بحث مي كند، انتشار پيدا مي كند. اين ايميل كاربران Adobe را هدف قرار داده است و داراي يك زنجيره فوروارد جعلي است كه با نام يك كارمند Adobe Risk Management آغاز مي شود. در اين زنجيره اسامي افراد با رده هاي بالاي شغلي در Adobe و ايميل قانوني آنها آمده است، به طوري كه كاربران را قانع مي سازد يك ايميل حقيقي را از Adobe دريافت كرده اند.
در اين ايميل به كاربران در مورد يك آسيب پذيري كه منجر به حملات انكار سرويس مي شود، هشدار داده شده است. در ايميل مذكور از كاربران قوياً خواسته شده است تا آخرين اصلاحيه Adobe را نصب كنند. همچنين در اين ايميل يك پيوست pdf قرار دارد كه در آن به ظاهر دستورالعمل هايي براي نصب اصلاحيه است. در حقيقت فايل مذكور حاوي يك تروجان است كه به لحاظ جديد بودن آن بسياري از آنتي ويروس ها قادر به تشخيص آن نيستند.
انتشار چنين بدافزارها و ايميل هايي نشان دهنده آن است كه خرابكاران در شگردهاي جديد خود تمايل بيشتري به استفاده از حقه هاي مهندسي اجتماعي به جاي كشف و سوءاستفاده از آسيب پذيري هاي جديد دارند.
متخصصان امنيتي به كاربران توصيه مي كنند با دقت بيشتري بر روي لينك ها و پيوست هاي ايميل ها كليك كنند و در نظر داشته باشند كه بسياري از لينك ها و پيوست هاي ايميل ها حاوي بدافزار است.

شماره: IRCNE201005730
شركت Opera روز گذشته هشدار داد كه يك آسيب پذيري امنيتي «بسيار خطرناك» در مرورگر Opera، مي­تواند كاربران وب را در معرض خطر حملات اجراي كد از راه دور قرار دهد.
اين آسيب پذيري كه اكنون در Opera 10.53 اصلاح شده است، بر روي اين مرورگر در سيستم عامل­هاي ويندوز و Mac اثر مي­گذارد.
جزئيات اين آسيب پذيري بسيار كم شرح داده شده است. Opera در راهنمايي امنيتي خود هشدار مي­دهد كه چندين فراخواني آسنكرون به يك اسكريپت كه محتويات مستند را تغيير مي­دهد، مي­تواند باعث شود كه Opera به يك مقدار نامعلوم اشاره كند، كه اين موضوع مي­تواند باعث از كار افتادن مرورگر گردد. براي تزريق كد، تكنيك­هاي ديگري نيز بايد به كار گرفته شود.

شماره: IRCNE201005729
شركت Symantec اعلام كرد كه شركت­هاي رمزنگاري PGP و GuardianEdge Technologies را براي پيشرفت كار خود خريداري خواهد كرد.
اين شركت امنيتي روز پنجشنبه اعلام كرد كه برنامه ريزي كرده است كه محصولات رمزنگاري PGP و GuardianEdge را در محصولات خود بصورت تلفيقي مورد استفاده قرار دهد.
مدير گروه امنيت Symantec اظهار داشت كه مالكيت اين شركتها، Symantec را در صنعت رمزنگاري، در موقعيت فروش 1.4 ميليارد دلاري در سال قرار خواهد داد. به گفته وي، Symantec تلاش مي­كند مديريت حفاظت از داده ها را ساده تر كند و مالكيت اين شركت­ها، يك گام بزرگ رو به جلو خواهد بود.

شماره: IRCNE201004728
مايكروسافت به مديران شبكه كه از SharePoint 2007 استفاده مي كنند، هشدار داد از سيستم هاي خود در برابر يك آسيب پذيري جديد و اصلاح نشده محافظت به عمل آورند. اين آسيب پذيري مي تواند براي سرقت اطلاعات محرمانه شركت مورد سوءاستفاده قرار بگيرد.
اين آسيب پذيري كه چهارشنبه به صورت ناگهاني كد حمله آن منتشر شد، توسط يك شركت سوئيسي به نام High-Tech Bridge دو هفته پيش از انتشار كد حمله كشف شده و به اطلاع مايكروسافت رسيده بود.
مايكروسافت مي گويد دو هفته زمان زيادي براي اصلاح آسيب پذيري نيست به خصوص كه اين آسيب پذيري كمي قبل از انتشار آخرين اصلاحيه مايكروسافت كشف شده بود، اما شركت سوئيسي گفته است كه طبق سياست هاي آن شركت، هر آسيب پذيري كشف شده دو هفته بعد از اطلاع رساني، به صورت عمومي منتشر مي شود.
بنا بر اطلاعات ارائه شده توسط شركت امنيتي Security Research & Defense سناريوي حمله با سوءاستفاده از آسيب پذيري مذكور به صورت زير است:
" فرد مهاجم يك لينك آلوده را براي كاربري كه به سرور SharePoint، Login كرده است، ارسال مي كند. در صورتي كه كاربر بر روي لينك كليك كند، كد جاوااسكريپت كه توسط هكر ايجاد شده و در لينك مخفي گشته است، در سمت كاربر اجرا مي شود."
مايكروسافت اعلام كرده است كه در حال تحقيق بر روي موضوع بوده و به زودي يك اصلاحيه را منتشر خواهد كرد ولي تا آن زمان يك گردش كاري را به كاربران SharePoint2007 پيشنهاد كرده است.
اين گردش كاري كمك مي كند تا دسترسي به سيستم help از طريق اجراي چند دستور در command prompt غيرفعال شود. دستورات مذكور ليست كنترل دسترسي ACL را كه در واقع اجازه دسترسي ها را در ويندوز تعريف مي كند، دستكاري مي كنند.
همچنين مايكروسافت به مديران سفارش مي كند از IE8 استفاده كنند زيرا داراي يك فيلتر cross-site scripting(XSS) است كه مي تواند خطر سوءاستفاده ها را تا حد زيادي كاهش دهد. البته مديران شبكه بايد تنظيمات IE8 را طوري تغيير دهند كه اين فيلتر در قسمت Local Intranet Security نيز فعال شود زيرا به صورت پيش فرض غيرفعال است.
مايكروسافت از كاربران SharePoint به خصوص مديران سيستم خواسته است به هيچ وجه بر روي لينك هاي مشكوك در ايميل ها و صفحات وب ديگر كليك نكنند.
مايكروسافت، آسيب پذيري هايي كه اصلاح نشده اند را درجه بندي از لحاظ ميزان خطر نمي كند ولي كارشناسان امنيتي ديگر اين آسيب پذيري را با درجه اهميت متوسط مي دانند.

اخبار مرتبط:
افشاي نقص امنيتي جديد و اصلاح نشده در SharePoint 2007

شماره: IRCNE201005727
شركت امنيتي Sophos روز پنج شنبه 9 ارديبهشت ماه گزارش چهارماهه اول 2010 خود را منتشر كرد. نكته جالب توجه در اين گزارش اين است كه چين از ليست 12 منطقه آلوده يا Dirty Dozen خارج شده است و به مكان پانزدهم منتقل شده است. اين كشور در چهارماهه اول 2010 تنها مسئول 1.9 درصد از هرزنامه هاي منتشر شده در جهان بوده است.
بنا بر اين گزارش چين داراي شهرت بدي در انجام حملات هدفدار بر عليه شركت هاي خارجي و شبكه هاي دولتي شده است، اما حداقل در 12 ماه گذشته انتشار هرزنامه از طريق اين كشور بسيار كاهش پيدا كرده است.
با وجودي كه چين از ليست 12 كشوري كه بيشترين انتشار هرزنامه را داشته اند خارج شده است، اما همچنان قاره آسيا بزرگترين پخش كننده هرزنامه باقي مانده است و 33.7 درصد هرزنامه هاي منتشر شده را به خود اختصاص داده است.
در ليست منتشر شده دو كشور هند و كره جنوبي به گروه گانگسترهاي چهارگانه پيوسته اند و در كنار آمريكا و برزيل به انتشار بيش از 30 درصد هرزنامه هاي منتشر شده از طريق رايانه هاي هك شده پرداخته اند. در زير ليست 12 كشوري كه بيشترين توليد هرزنامه را داشته اند مشاهده مي كنيد.