شماره: IRCNE201001584
گوگل فاش كرد در اواسط ماه دسامبر يك "حمله بسيار پيشرفته و هدفمند" را بر عليه زيرساخت هاي اين شركت كشف كرده است. هدف اين حملات كه از كشور چين بر عليه گوگل هدايت شده اند، سرقت مالكيت فكري اين شركت بوده است. گوگل همچنين ادعا كرد كه حين تحقيقات خود در اين زمينه متوجه شده است كه حداقل 20 شركت بزرگ ديگر نيز كه در زمينه هاي اينترنت، مالي، فناوري، رسانه و شيمي فعال هستند، هدف حملات هدفمند مشابهي قرار گرفته اند.
علاوه بر حمله فوق، حملاتي نيز براي دسترسي به حساب هاي كاربري فعالين حقوق بشر در چين صورت گرفته است. بنا بر اعلام گوگل تنها دو حمله موفقيت آميز بوده و مهاجمان توانسته اند به برخي اطلاعات حساب هاي فوق دسترسي پيدا كنند. البته محتويات ايميل هاي هيچ كدام از حساب ها فاش نشده و تنها اطلاعاتي مانند تاريخ ايجاد حساب كاربري لو رفته است.
همچنين گوگل در ادامه تحقيقات خود متوجه شده است كه حساب هاي كاربري ده ها فعال حقوق بشر در آمريكا، اروپا و چين به صورت منظم توسط افراد متفرقه مورد دسترسي و بازديد قرار مي گيرد. البته گوگل مي گويد، اين اتفاق به علت نشت اطلاعات از گوگل رخ نداده است و در نتيجه حملات سرقت هويت يا قرار داشتن بدافزار بر روي رايانه قربانيان رخ داده است. گوگل مي گويد، يقين دارد كه Google Apps و ديگر داده هاي مشتريان تحت تأثير حملات فوق قرار نگرفته است و روش حمله مهاجمان قرار دادن بدافزار بر روي رايانه قربانيان بوده است.
در پي حملات فوق گوگل تهديد كرده است كه چين را ترك مي گويد. آقاي David Drummond مدير حقوقي گوگل گفته است كه احتمالاً گوگل دسترسي به موتور جستجوي خود را در چين متوقف ساخته و دفاتر اين شركت را در جمهوري خلق چين مي بندد.
البته گوگل اعلام نكرده است كه چگونه متوجه شده حملات از چين راهبري شده اند و همچنين دولت چين را نيز در اين زمينه آشكارا سرزنش نكرده است. منابع مطلع مي گويند كه ردگيري حملات اينچنيني بسيار دشوار است و قطعاً گوگل دلايل بسيار محكمي در دست دارد كه ريسك از دست دادن بازار بسيار بزرگ و در حال رشد چين را پذيرفته است.

شماره: IRCNE201001580
اولين اصلاحيه مايكروسافت براي سال 2010 بسيار سبك است و تنها يك آسيب پذيري را در شيوه رسيدگي ويندوز به فونت هاي EOT يا Embedded OpenType برطرف مي كند. در اين اصلاحيه كه روز گذشته منتشر شده است در واقع يك حفره امنيتي بسيار مهم را در ويندوز 2000 اصلاح كرده است. اين حفره امنيتي در صورتي كه كاربر يك فونت خرابكار Embedded OpenType را در IE، PowerPoint و يا Word مورد مشاهده قرار دهد، اختيار رايانه قرباني را در دستان مهاجم قرار مي دهد.
بنا بر راهنمايي امنيتي مايكروسافت درجه اهميت آسيب پذيري مذكور براي سيستم عامل هاي ويندوز 7، ويستا، XP، سرور 2003 و سرور 2008 "كم" ارزيابي شده است زيرا سوءاستفاده از آن در سيستم عامل هاي مذكور بسيار مشكل است. البته بايد دقت كرد كه اين آسيب پذيري در اين سيستم عامل ها نيز وجود دارد ولي تنها در ويندوز 2000 بسيار مهم ارزيابي شده است.
در اين بولتن از يك محقق امنيتي گوگل به نام Tavis Ormandy كه آسيب پذيري مذكور را كشف كرده قدرداني شده است. اين آسيب پذيري يك مشكل اجراي كد از راه دور در روشي است كه موتور فونت EOT مايكروسافت از آن براي باز كردن فونت هاي فشرده (decompress) خرابكار استفاده مي كند. در راهنمايي امنيتي مايكروسافت آمده است:
" در صورتي كه كاربر با اختيارات مدير سيستم login كرده باشد، مهاجمي كه به صورت موفقيت آميز از اين آسيب پذيري سوءاستفاده كرده باشد، مي تواند كنترل كامل رايانه قرباني را در دست بگيرد. در اين صورت مهاجم مي تواند برنامه هايي را نصب كند، ببيند، تغيير دهد يا داده هايي را پاك كند؛ حساب كاربري جديد با اختيارات كامل ايجاد كند. كاربراني كه با اختيارات محدود شده login مي كنند كمتر از كاربر مدير سيستم آسيب مي بينند."
جهت دريافت اطلاعات تخصصي در مورد اين نقص امنيتي به Microsoft Security Research & Defense blog مراجعه فرماييد.
مايكروسافت هشدار داده است كه هكرهاي خرابكار مي توانند فونت هاي خرابكار را با استفاده از فايلهايي كه بر روي وب سايت ها قرار دارند و توسط همه نسخه هاي Internet Explorer قابل انتقال هستند، انتشار دهند. هكرها همچنين مي توانند از فايل هاي آفيس براي پنهان سازي فونت هاي خرابكار استفاده كنند و آنها را از طريق ايميل براي قربانيان ارسال كنند. سيستمي كه اصلاحيه را نصب نكرده باشد، با باز كردن فايل هاي آلوده PowerPoint و يا Word آلوده مي شود.
همچنين مايكروسافت ابزار Malicious Software Removal Tool را نيز به روز رساني كرده است تا قادر به شناسايي كرم اينترنتي Win32/Rimecud كه از طريق درايوهاي قابل حمل، Instant Messenger و Peer-to-peer انتشار مي يابد، شود.
به علاوه مايكروسافت Active Template Library bulletin را نيز دوباره منتشر ساخته است تا Embedded CE 6.0 را به ليست محصولات تحت تأثير اضافه كند. اين انتشار مجدد تنها بر توسعه دهندگان نرم افزارهاي كاربردي جهت تلفن همراه تأثير مي گذارد.
مدير عمليات هاي امنيتي شركت nCircle مي گويد، يكي از مهمترين نقص هاي امنيتي كه اين ماه اصلاح نشده است مربوط به آسيب پذيري SMB مي باشد كه از ماه نوامبر گذشته تا به حال اصلاح نشده باقي مانده است.

شماره: IRCNE201001583
شركت Adobe اصلاحيه اي را براي Adobe reader و Acrobat در مورد آسيب پذيري هاي در حال سوءاستفاده منتشر كرده است كه متخصصان امنيتي آن را بسيار مهم دانسته اند.
اين آسيب پذيري ها در اواسط ماه دسامبر كشف شده است و هكرها و خرابكاران اينترنتي از آنها براي ارسال تروجان ها سوء استفاده مي كرده اند. اين تروجان ها راه نفوذ را براي بدافزارهاي بعدي بر روي رايانه قرباني مي گشودند.
اين اصلاحيه از آنجا بسيار مهم ارزيابي شده است كه آسيب پذيري هاي اصلاح شده در آن در حال سوء استفاده توسط خرابكاران مي باشد و حمله هاي فعال بر روي آنها وجود دارند.
اين آسيب پذيري ها در Adobe Reader 9.2 و Acrobat 9.2 براي Windows، Macintosh و UNIX، و Adobe Reader 8.1.7 و Acrobat 8.1.7 براي Windows و Macintoshتشخيص داده شده اند. اين آسيب پذيري ها منجر به از كار افتادن برنامه شده و كنترل رايانه قرباني را در اختيار مهاجم قرار مي دهند.
شركت Adobe از همه كاربران خواسته است برنامه هاي خود را به آخرين نسخه به روز رساني كنند.

اخبار مرتبط:
آسيب پذيري خطرناك در Reader و Acrobat
آسيب پذيري امنيتي در جديدترين نسخه Adobe Reader
Adobe هدف حملات
خبر تكميلي: راهنمايي امنيتي براي آسيب پذيري جديد در Adobe

شماره: IRCNE201001582
اوراكل اصلاحيه دوره اي خود را كه هر فصل منتشر مي كند، ديروز 22 دي ماه عرضه كرد. در اين اصلاحيه 24 آسيب پذيري در هفت محصول برطرف شده اند. اكثر آسيب پذيري هاي اصلاح شده منجر به اجراي كد از راه دور بدون تأييد هويت مي شوند.
اين اصلاحيه بسيار مهم در واقع مجموعه اي از اصلاحيه ها براي چندين آسيب پذيري امنيتي است. همچنين شامل چندين اصلاحيه غير امنيتي مي شود كه پيش نياز برخي از اصلاحيه هاي امنيتي هستند. محصولاتي كه تحت تأثير اين اصلاحيه هستند عبارتند از:

• Oracle Database 11g, version 11.1.0.7
• Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4
• Oracle Database 10g, version 10.1.0.5
• Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
• Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.4.0, 10.1.3.5, 10.1.3.5.1
• Oracle Application Server 10g Release 2 (10.1.2), version 10.1.2.3.0
• Oracle Access Manager versions 7.0.4.3, 10.1.4.2
• Oracle E-Business Suite Release 12, versions 12.0.4, 12.0.5, 12.0.6, 12.1.1 and 12.1.2
• Oracle E-Business Suite Release 11i, version 11.5.10.2
• PeopleSoft Enterprise HCM (TAM), versions 8.9 and 9.0.
• Oracle WebLogic Server 10.0 through MP2, 10.3.0 and 10.3.1
• Oracle WebLogic Server 9.0 GA, 9.1 GA and 9.2 through 9.2 MP3
• Oracle WebLogic Server 8.1 through 8.1 SP6
• Oracle WebLogic Server 7.0 through 7.0 SP7
• Oracle JRockit R27.6.5 and earlier (JDK/JRE 6, 5, 1.4.2)
• Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 and 7.0
• Primavera P6 Web Services 6.2.1, 7.0 and 7.0SP1

ده عدد از اصلاحيه ها مربوط به پايگاه داده اوراكل است. بنا بر گفته اوراكل دو عدد از آسيب پذيري هاي اصلاح شده مي توانند از راه دور و از طريق شبكه بدون نياز به نام كاربري و رمز عبور مورد سوءاستفاده قرار بگيرند.
اجزاي پايگاه داده كه تحت تأثير اصلاحيه ها قرار گرفته اند عبارتند از Application Express Application Builder، Listener، Data Pump، OLAP، Secure Backup، Spatial و Universal Installer. قابل ذكر است هر دو نسخه هاي 11g و 10g داراي آسيب پذيري هايي كه قرار است در اصلاحيه جديد برطرف شوند، مي باشند.
همچنين اين به روز رساني امنيتي داراي سه اصلاحيه براي سرور برنامه هاي كاربردي اوراكل است. هر سه آسيب پذيري، بدون نياز به نام كاربري و رمز عبور مي توانند مورد سوءاستفاده قرار بگيرند. اين آسيب پذيري ها بر روي سرور Access Manager Identity Server و اجزاي Oracle Containers براي J2EE تأثير مي گذارند.
ديگر اصلاحيه ها مربوط به مشكلاتي در E-Business Suite ، PeopleSoft، JD Edwards،JRockit و Primavera هستند.
اوراكل از سيستم CVSS براي نشان دادن درجه اهميت آسيب پذيري ها استفاده مي كند. آسيب پذيري هايي كه بر Listener براي پايگاه داده اوراكل، Secure Backup و JRockit اثر مي گذارند بالاترين درجه يعني 10 را دريافت كرده اند.

شماره: IRCNE201001581
مايكروسافت يك راهنمايي امنيتي را همراه با يك هشدار امنيتي مهم براي كاربران ويندوز XP منتشر كرده است : " Flash Player خود را فوراً به روز رساني كنيد."
نرم افزار Adobe Flash Player 6 كه به صورت پيش فرض همراه با ويندوز XP نصب مي شود، داراي چندين آسيب پذيري اجراي كد از راه دور است كه منجر به در اختيار گرفتن رايانه قرباني توسط مهاجم مي شود.
در هشدار مايكروسافت آمده است:
" مايكروسافت گزارش هايي را مبني بر وجود آسيب پذيري هايي در Adobe Flash Player 6 كه همراه با ويندوز XP عرضه مي گردد، دريافت كرده است. ما هنوز گزارش هايي را مبني بر رخداد حملاتي با سوءاستفاده از اين آسيب پذيري دريافت نكرده ايم ولي به كاربران پيشنهاد مي كنيم هر چه سريعتر آخرين نسخه Flash Player را كه توسط Adobe ارائه مي شود، دريافت و نصب كنند."
آسيب پذيري هاي مذكور كه منجر به اجراي كد از راه دور در صورت مشاهده يك صفحه وب خرابكار مي شوند، در نسخه هاي جديدتر اين نرم افزار برطرف شده اند. اين مشكل بر سيستم عامل هاي Windows XP Service Pack 2، Windows XP Service Pack 3و همچنين Windows XP Professional x64 Edition Service Pack 2 اثر مي گذارند. شركت Adobe از سال 2006 پشتيباني از Flash Player 6 را متوقف كرده است. در حال حاضر جديدترين نسخه اين نرم افزار 10.0.42.34 مي باشد كه مي توان آن را از وب سايت Adobe Flash Player دريافت و نصب كرد.
نرم افزار Adobe Flash Player يكي از پر طرفدارترين نرم افزارها براي مهاجمان است و بنابراين بهتر است كه توصيه مايكروسافت را جدي گرفته و نرم افزار Flash خود را به روز رساني كنيد.
همچنين مايكروسافت اصلاحيه اي را براي برطرف ساختن يك نقص امنيتي در ويندوز 2000 منتشر ساخته است كه نصب آن به كاربران توصيه مي شود.

شماره: IRCNE201001578
برنامه هاي مشكوكي كه ممكن است اعتبارات بانكي آنلاين كاربران را سرقت كرده باشند، در Android Market، كه فروشگاه برنامه هاي گوگل براي سيستم عامل موبايل اين شركت است، ديده شده اند.
اگرچه اين برنامه ها اولين بار در ماه دسامبر ظاهر شده بودند، ولي روز گذشته به صورت عمومي مطرح شدند و شركتهاي امنيتي به هشدارهاي ارسال شده توسط بانكها و واحدهاي اعتباري در اين باره توجه كردند. به همين دليل گوگل اين برنامه ها را از فروشگاه آنلاين خود حذف كرده است.
يك موسسه مالي به نام BayPort Credit Union od Newport News هشدار خود را درباره يك برنامه خرابكار Android در روز 22 دسامبر منتشر كرده بود كه در ظاهر، امكان دسترسي آسان به حسابهاي بانكي آنلاين را براي كاربران خود فراهم مي­كرد. در اين هشدار آمده است كه خرابكاران با استفاده از برنامه هاي جعلي بانكي موبايل در فروشگاه Android، با به كارگيري تكنيك سرقت هويت سعي در دسترسي به اطلاعات مالي كاربران بانكي دارند.
BayPort اظهار داشت كه در روز 15 دسامبر در اين باره به گوگل اطلاع داده است، ولي گوگل نه تنها اين برنامه را حذف نكرد، بلكه 50 برنامه مشابه ديگر نيز كه همگي توسط يك نفر با عنوان 09Droid ايجاد شده اند به اين مجموعه اضافه شد.
اما متخصصان امنيت قادر نبوده اند كه اثبات كنند كه اين برنامه ها در حقيقت خرابكارند. يكي از محققان F-Secure اعلام كرد كه در تلاش براي دستيابي به اين برنامه ها براي انجام تحقيقات هستند، ولي از آنجاييكه گوگل اين برنامه ها را از فروشگاه خود حذف كرده است، تا كنون قادر به اين كار نبوده اند. ولي اظهار داشت كه اين احتمال وجود دارد كه اين خرابكاران تا كنون هيچ كار خرابكارانه اي با اين برنامه ها انجام نداده باشند.
در ماه گذشته، Android فقط حدود 2 درصد از تمامي سيستم عاملهاي مورد استفاده براي اتصال به اينترنت را تشكيل داده بود.
به گفته يك محقق امنيتي، بر خلاف Apple كه برنامه هاي ارائه شده براي iPhone در فروشگاه آنلاين خود را اجرا مي­كند، گوگل اين كار را انجام نمي­دهد كه اين يك ريسك امنيتي بزرگ است.

شماره: IRCNE201001579
گروه خرابكاري كه ماه گذشته منجر به از كار افتادن موقت twitter.com شده بود، اين بار نيز قرباني ديگري گرفت و بزرگترين موتور جستجوي چين baidu.com را از كار انداخت. وب سايت مذكور بعد از ظهر دوشنبه بالا نمي آمد و بر روي صفحه اصلي آن تصويري با نوشته "اين سايت توسط ارتش سايبر ايران هك شده است" قرار داشت.
بنا بر اظهارات يك متخصص امنيتي شركت Trend Micro، ركوردهاي نام دامنه Baidu دستكاري شده بودند. روز دوشنبه 21 دي ماه، اين وب سايت از سرورهاي نام دامنه HostGator، يك ISP فلوريدايي، به جاي سرورهاي نام دامنه متعلق به خود وب سايت، استفاده كرده است.
اين همان روشي است كه براي هك Twitter از آن استفاده شده بود كه در آن هكرهاي ارتش سايبر ايران به يكي از حساب هاي كاربري كه براي مديريت حساب هاي كاربري Twitter استفاده مي شد، وارد شده و كاربران وب سايت مذكور را به وب سرور ديگري هدايت كردند. بر روي وب سرور جديد تصويري با همان نوشته اي كه بر روي وب سايت baidu مشاهده شده، وجود داشته است.
هنوز ثبت كننده نام دامنه baidu يعني Register.com و يا مسئولان وب سايت Baidu در اينباره اظهار نظري نكرده اند.
در زير تصويري كه بر روي Baidu قرار گرفته بود را مشاهده مي كنيد:

شماره: IRCNE201001577
شركت آمريكايي Heartland دارنده سيستم هاي پرداخت الكترونيك، 60 ميليون دلار غرامت به صادركنندگان كارت هاي اعتباري و نقدي ويزا به علت ضرر و زيان بعد از نشت اطلاعات سال 2008، پرداخت خواهد كرد.
شركت Heartland سال گذشته نشت اطلاعات مزبور را افشا كرد. دادگاهي در آمريكا هكري را كه مسبب نشت اطلاعات مذكور شده بود به 17 تا 25 سال حبس محكوم كرد. شركت Heartland تنها يكي از چندين كمپاني بزرگي است كه مورد حمله هاي تزريق SQL قرار گرفته است و متحمل ضرر و زيان بسياري شده است. اين هكر به همراه همدستانش اطلاعات مربوط به 130 ميليون كارت اعتباري را سرقت كرده بودند كه اين نفوذ در تاريخ رايانه سابقه نداشته است.
بر اثر هك مذكور شركت Heartland ماه گذشته ناچار به پرداخت 3.6 ميليون دلار غرامت به American Express و در حال حاضر 60 ميليون دلار به صادركنندگان كارت هاي ويزا شده است.

شماره: IRCNE201001576
همه مرورگرها لازم است يك صفحه از Google Chrome را دريافت كرده و داده هاي غير قابل اطمينان را نسبت به بقيه سيستم عامل ايزوله سازند. اين نظر يك محقق امنيتي به نام Dino Dai Zovi يكي از نويسندگان كتاب The Mac Hacker’s Handbook است. وي عقيده دارد آينده امنيت مبتني بر sandboxing است كه در آن پردازه هاي برنامه از ديگر پردازه ها، سيستم عامل و داده هاي كاربر جدا مي شوند. وي براي شركت امنيتي كاسپرسكي كار مي كند و مطالبي را در مورد sandboxing بر روي وبلاگ امنيتي اين شركت قرار داده است.
به گفته وي ايده اصلي sandboxing مشكل ساختن كار براي مهاجمان است تا قادر نباشند به راحتي بدافزار را وارد سيستم هاي كاربران سازند. با استفاده از sandboxing حتي اگر مهاجم قادر به سوءاستفاده از يك حفره امنيتي در مرورگر و اجراي بدافزار باشد ناچار است از يك آسيب پذيري امنيتي ديگر در فناوري sandbox نيز استفاده كند تا بتواند به اطلاعات كاربر دسترسي پيدا كند. اين فناوري مهاجمان را ناچار به استفاده از تكنيك هاي حمله متفاوتي مانند استفاده از آنتي ويروس هاي جعلي كرده است.
به عقيده اين محقق امنيتي در آينده مرورگرها همان سيستم عامل مي شوند و گوگل اولين كسي بوده كه اين مسئله را در نظر گرفته است.
گوگل از سپتامبر سال 2008، اين امكان را به مرورگر كروم اضافه كرده است. در آن زمان Dai Zovi كروم را رهبر امنيتي مرورگر ها دانست و همين باعث شد تا ديگر مرورگرها نيز تمهيداتي را براي بالاتر بردن امنيت كاربران فراهم كنند. براي مثال مايكروسافت براي مرورگر IE بر روي ويستا و ويندوز7 امكاني را به نام protected mode فراهم كرده كه با استفاده از آن اولويت برنامه هاي كاربردي طوري كاهش پيدا مي كنند كه مهاجم نمي تواند به نوشتن، تغيير يا خراب كردن داده هاي كاربر بپردازد. البته اين sandbox محسوب نمي شود ولي به نوعي مخاطرات را كاهش مي دهد.
موزيلا نيز در حال كار بر روي نسخه sandbox مشابه كروم براي مرورگر فايرفاكس است كه براي فايرفاكس 4 در اواخر سال 2010 يا اوايل 2011 حاضر خواهد شد.
محقق امنيتي مذكور sandboxing را راه حلي براي سيل كدهاي خرابكاري مي داند كه در سال گذشته كاربران را كلافه كردند. وي عقيده دارد ايده اصلاح آسيب پذيري ها به تنهايي جواب نمي دهد زيرا همواره نمي توان در مسابقه اصلاحيه دادن برنده شد. البته ايده sandboxing نيز كامل نيست ولي جهتي را نشان مي دهد كه امنيت به سوي آن حركت مي كند.

شماره: IRCNE201001575
اوراكل روز سه شنبه يك اصلاحيه را منتشر خواهد كرد كه سامل 24 اصلاح امنيتي براي پايگاه داده اوراكل، سرور برنامه هاي كاربردي و ديگر محصولات مي باشد.
ده عدد از اصلاحيه ها مربوط به پايگاه داده اوراكل است. بنا بر گفته اوراكل دو عدد از آسيب پذيري هاي اصلاح شده مي توانند از راه دور و از طريق شبكه بدون نياز به نام كاربري و رمز عبور مورد سوءاستفاده قرار بگيرند.
اجزاي پايگاه داده كه تحت تأثير اصلاحيه ها قرار گرفته اند عبارتند از Application Express Application Builder، Listener، Data Pump، OLAP، Secure Backup، Spatial و Universal Installer. قابل ذكر است هر دو نسخه هاي 11g و 10g داراي آسيب پذيري هايي كه قرار است در اصلاحيه جديد برطرف شوند، مي باشند.
همچنين اين به روز رساني امنيتي داراي سه اصلاحيه براي سرور برنامه هاي كاربردي اوراكل است. هر سه آسيب پذيري، بدون نياز به نام كاربري و رمز عبور مي توانند مورد سوءاستفاده قرار بگيرند. اين آسيب پذيري ها بر روي سرور Access Manager Identity Server و اجزاي Oracle Containers براي J2EE تأثير مي گذارند.
ديگر اصلاحيه ها مربوط به مشكلاتي در E-Business Suite ، PeopleSoft، JD Edwards،JRockit و Primavera هستند.
اوراكل از سيستم CVSS براي نشان دادن درجه اهميت آسيب پذيري ها استفاده مي كند. آسيب پذيري هايي كه بر Listener براي پايگاه داده اوراكل، Secure Backup و JRockit اثر مي گذارند بالاترين درجه يعني 10 را دريافت كرده اند. جزئيات كامل در مورد اين خبر در وب سايت اوراكل قرار دارد.