شماره: IRCNE200912525
بر اساس هشدار سازندگان BlackBerry، هكرها مي­توانند با استفاده از فايلهاي PDF خرابكار، به سيستمهايي كه سرويس BlackBerry Attachment را ميزباني مي­كنند نفوذ نمايند.
گروه RIM شركت BlackBerry، يك راهنمايي امنيتي به همراه اصلاحيه هايي براي چندين نقص امنيتي در سرويس PDF distiller منتشر كرده و هشدار داد كه يك فرد مهاجم مي­تواند با ايميل كردن يك فايل PDF خرابكار براي يك كاربر BlackBerry، از اين نقايص سوء استفاده نمايد.
اين آسيب پذيريها در PDF distiller مربوط به برخي نسخه هاي منتشر شده سرويس BlackBerry Attachment كه يكي از اجزاي BlackBerry Enterprise Server است، وجود دارد.
اين آسيب پذيريها مي­توانند يك فرد خرابكار را قادر سازند كه ايميلي حاوي يك فايل PDF خرابكار ارسال نمايد. زماني كه اين فايل بر روي يك گوشي BlackBerry كه با يك حساب كاربري بر روي BlackBerry Enterprise Server مرتبط است باز مي­شود، مي­تواند باعث ايجاد خرابي در حافظه شده و احتمالا منجر به يك وضعيت انكار سرويس و يا اجراي كد از راه دور بر روي سيستم ميزبان سرويس BlackBerry Attachment مي­گردد.
نسخه هايي كه تحت تاثير اين مشكل قرار دارند عبارتند از BlackBerry Enterprise Server 5.0.0 كه بر روي ويندوزهاي 2000، 2003 يا 2008 اجرا مي­شود، BlackBerry Enterprise Server نسخه هاي 4.1.3 تا 4.1.7، و BlackBerry Professional Software 4.1.4.
دستورات مورد نياز براي به كار گرفتن اين اصلاحيه ها در راهنمايي امنيتي RIM موجود است.

شماره: IRCNE200912525
شركت Webroot تأمين كننده خدمات امنيت وب يا Web Security service مبتني بر ابر، روشي را براي فيلتر كردن ترافيك خارجي همچون ترافيك داخلي به خدماتش اضافه كرده است كه جهت نظارت بر تهديدات براي تشخيص و بلوكه كردن بدافزارهاي Botnet به كار مي رود.
در حال حاضر شركت مذكور خدمتي را براي تشخيص بدافزار و Botnet در داخل شبكه ابري دارد و در اين خدمت جديد در صورتي كه بدافزاري مانند كد Botnet ديده شود كه قصد تماس با خارج از شبكه براي گرفتن دستورات يا اجراي يك فعاليت را دارد، تنها آن درخواست را بلوكه مي كند و بقيه ترافيك رايانه آلوده با مشكلي برخورد نمي كند. خدمت Webroot بعد از آن از طريق ايميل به مدير سيستم در مورد اين رويداد امنيتي اطلاع مي دهد.
شركت Webroot همچنين اعلام كرد خدمت جديدي را به مشتريانش براي ذخيره سازي و جستجوي ايميل ها بر روي ابر (in-the-cloud mail archieving) ارائه خواهد داد كه ايميل ها از طريق وب سايت ايميل سرورهاي شركتي و يا Google Apps قابل دسترسي خواهند بود.

شماره: IRCNE200912523
شركت مايكروسافت روز سه شنبه اعلام كرد كه تحقيقات اين شركت نشان مي­دهد كه هيچ مساله اي در به روز رساني امنيتي ماه نوامبر، مشكل اخير ويندوز كه «black screen of death» و يا «صفحه سياه مرگ» ناميده مي­شود، را به جود نياورده است. مدير پاسخگويي امنيتي مايكروسافت اظهار داشت كه اين شركت گزارشات مربوط به تغييرات رجيستري در به روز رساني امنيتي ماه نوامبر را بررسي كرده است. به گفته وي اين شركت معتقد است كه اين گزارشات اشتباه بوده و تحقيقات نشان مي­دهند كه هيچ يك از به روز رسانيهاي اخير به مشكلي كه در گزارشات مطرح شده ارتباطي ندارند.
مايكروسافت همچنين تاكيد كرد كه شركت امنيتي Prevx پيش از عمومي ساختن اين مساله، آن را به مايكروسافت اطلاع نداده است. اين شركت روز دوشنبه اعلام كرده بود كه اين موضوع را بررسي خواهد كرد، اما روز گذشته تاكيد كرد كه مشكلي در اين به روز رسانيها وجود ندارد.
شركت امنيتي Prevx در مطلب جديدي در وبلاگ خود اعلام كرد كه آزمايشهاي اضافي را نيز انجام داده است. اين شركت اعلام كرد كه پس از انجام آزمايشهاي مجدد، به اين نتيجه رسيده اند كه اصلاحيه هاي ماه نوامبر عامل وقوع اين مشكل نيستند. Prevx به كاربران توصيه كرده است كه به نصب اصلاحيه هاي ويندوز ادامه دهند و خود نيز از شركت مايكروسافت بابت اين اشتباه عذر خواهي كرد.

اخبار مرتبط:
صفحه سياه ويندوز

شماره: IRCNE200912526
بنا بر اخطاري كه گروه امداد و امنيت آمريكا US-CERT داده است، محصولات بدون كلاينت SSL VPN به شيوه اي كار ميكنند كه مكانيزم هاي امنيتي اساسي مرورگرها را مي شكنند.
اين مشكل امنيتي كه تقريباً از سال 2006 در مورد آن بحث مي شود به مهاجم اجازه مي دهد تا با استفاده از اين ابزارها از سد تأييد بگذرد و يا ديگر حمله هاي مبتني بر وب را هدايت كند.
آسيب پذيري محصولات بدون كلاينت VPN از سيسكو، Juniper Networks، SonicWall و SafeNet تأييد شده است.
ابزارهاي بدون كلاينت VPN دسترسي مبتني بر مرورگر را براي كاربران اينترانت شركت ها فراهم مي كنند ولي US-CERT هشدار داد كه اين محصولات، سياستي را كه مانع از دستكاري داده هاي سايت ديگر توسط محتويات پويا مانند جاوااسكريپت مي شود، دستكاري و خراب مي كنند. در راهنمايي امنيتي مربوطه آمده است:
" بسياري از محصولات بدون كلاينت SSL VPN محتويات خود را از وب سايتهاي مختلف بازيابي مي كنند و طوري آنها را نشان مي دهند كه گويا از طريق SSL VPN آمده است و به طرز مؤثري مرورگر را در مورد محدوديت هاي مشابه فريب مي دهند."
در يك سناريوي حمله فرد مهاجم مي تواند صفحه وبي را ايجاد كند كه document.cookie را به طريقي مبهم كند كه از بازنويسي دوباره آن توسط VPN اجتناب كند. سپس document.cookie در صفحه برگشتي تمام كوكي هاي كاربر در دامنه VPN را نمايش خواهد داد.
US-CERT گفته است كه document.cookie مي تواند حاوي كوكي شماره نشست VPN و همه كوكي هاي عمومي باشد كه توسط VPN براي درخواست از وب سايت هاي مختلف ايجاد شده است.
سپس فرد مهاجم مي تواند با استفاده از اين كوكي ها نشست VPN كاربر و همه نشست هاي ديگر كه از طريق VPN قابل دسترسي هستند و بر كوكي ها براي تأييد هويت اعتماد كرده اند، سرقت كند.
به علاوه، فرد مهاجم مي تواند صفحه اي را با دو فريم بسازد، يكي پنهان و ديگري كه يك وب سايت اينترانت قانوني را نشان مي دهد. فريم پنهان مي تواند تمام ضزبات صفحه كليد بر روي فريم ديگر را ثبت كرده و با فشردن دكمه ثبت اطلاعات مذكور را به عنوان پارامتري براي XMLHttpRequenst GET البته با VPN Syntax براي وب سايت مهاجم ارسال كند.
مشكل اساسي تر در اينجا است كه هيچ راه حلي براي اين مسئله وجود ندارد. گروه امداد و امنيت كامپيوتر آمريكا مي گويد با توجه به تنظيمات اوليه خاص اين دستگاه و محل قرار گيري آنها در شبكه تقريباً غير ممكن است كه بتوانند به صورت امن عمل كنند.
گروه مذكور گردش كاري زير را براي كاهش خطرات به مديران IT توصيه مي كنند:

• بازنويسي URL در دامنه هاي مطمئن را محدود كنيد.
  در صورتي كه توسط سرور VPN پشتيباني شود، URL ها تنها بايد براي وب سايتهاي داخلي مطمئن بازنويسي شوند. ديگر وب سايت ها و دامنه ها نبايد از طريق VPN قابل دسترسي باشند.
• دسترسي شبكه سرور VPN به دامنه هاي مطمئن را محدود كنيد.
  براي اين كار مي توان دستگاه VPN را طوري تنظيم كرد تا تنها به دامنه هاي به خصوصي در شبكه دسترسي داشته باشد و اين محدوديت توسط فايروال هم قابل اجرا است.
• غير فعال كردن امكان پنهان سازي URL

URL هاي گيج كننده صفحه مقصد را از ديد كاربر نهايي پنهان مي كنند. اين امكان مي تواند توسط يك مهاجم براي پنهان كردن هر صفحه اي كه مي فرستد به كار رود براي مثال https://<vpn.example.com>/attack-site.com در برابر https://<vpn.example.com>/778928801

شماره: IRCNE200912522
محققان امنيتي درباره يك نوع بدافزار گروگان گير جديد هشدار دادند. اين بدافزار دسترسي سيستم آلوده را به اينترنت قطع كرده و آن را به عنوان گروگان نگاه مي­دارد و تا زماني كه كاربر قرباني به وي پاسخ ندهد، گروگان خود را آزاد نكرده و دسترسي قرباني را به اينترنت برقرار نمي­سازد.
به گزارش اين محققان، اين بدافزار به همراه يك برنامه نرم افزاري به نام uFast Download Manager وجود داشته و روي سيستم قربانيان نصب مي­گردد. زماني كه سيستمي آلوده مي­شود، يك پيغام به زبان روسي نمايش داده شده و از كاربر مي­خواهد كه برنامه uFast Download Manager را فعال نمايد.
متن اين پيغام بدين صورت است:
«دسترسي به اينترنت به خاطر تخطي از توافقنامه uFast Download Manager مسدود شده است. شما بايد نسخه خود را فعلا نماييد.
با ارسال يك پيام كوتاه با كد fw0004199 به شماره 7122، كد ثبت خود را دريافت نماييد.
در پاسخ، شما يك پيغام فعال كننده دريافت خواهيد كرد.
سپس پيغام فعال سازي دريافت شده را وارد نماييد.»
به گفته محققان، اجراي فايل Uninstall مربوط به اين برنامه نيز مشكل را حل نمي­كند. وبلاگ تحقيقاتي راهنماي امنيتي CA، يك توليد كننده كد فعال سازي براي اين برنامه گروگان گير تهيه كرده و بطور رايگان در اختيار كاربران قرار داده است.

xشماره: IRCNE200912519
شركت IBM ديروز دوشنبه 9 آذرماه اعلام كرد در حال خريداري شركت تأمين كننده امنيت پايگاه داده Guardium است.
شركت Guardium سازنده فناوري براي نظارت زمان حقيقي بر فعاليت هاي پايگاه داده است كه به كمپاني ها اجازه مي دهد تا فريب ها، حملات بيروني و ديگر فعاليت هاي غير قانوني را تشخيص دهند. اين شركت داراي 150 كارمند و 400 مشتري است.
در حال حاضر نرم افزار Guardium گستره وسيعي از انواع پايگاه داده ها را پشتيباني مي كند و IBM قصد ايجاد تغيير در آن را ندارد. يكي از مديران IBM مي گويد: "ما قصد كم كردن امكانات فعلي را نداريم و بلكه در طي زمان مي خواهيم تعداد انواع پايگاه داده هايي كه پشتيباني مي شوند را افزايش دهيم."

شماره: IRCNE200912521
مايكروسافت يك سري تبليغات جديد را شروع خواهد كرد كه در آن كاربران را به شدت براي به روز رساني مرورگر 8 ساله IE 6 ترغيب مي كند.
بعد از اينكه مايكروسافت در ماه مارس IE 8 را عرضه كرد بسياري از كاربران IE 6 مرورگر جديد را جايگزين آن كردند ولي باز هم تعدادي كاربران سرسخت باقي مانده اند كه دنبال دليل قانع كننده اي براي تغيير مرورگرشان مي گردند و به همين دليل مايكروسافت از ژوئن 2010 مرورگر IE 8 را در بوق و كرنا خواهد كرد و به همه خواهد گفت كه اين مرورگر جايگزين مناسبي براي مرورگرهاي قديمي خواهد بود.
يكي از مديران ارشد مايكروسافت در اين زمينه عقيده دارد يكي از بزرگترين مشكلات با IE 6 مشكل امنيتي است و در حال حاضر در حال فخر فروختن در مورد امكانات امنيتيIE 8 است كه گفته مي شود در روز 2 ميليون وب سايت حاوي بدافزار را بلوكه مي كند. همچنين متخصصان مي گويند IE 6 بسياري از امكاناتي را كه وب سايت هاي مدرن امروزي ارائه مي دهند، پشتيباني نمي كند.
بنابر آمار ارائه شده توسط Net Applications، همچنان IE 6 پر طرفدارترين مرورگر با 23.3 درصد است و بعد از آن IE 7 با 18.2 درصد و IE 8 با 18.1 درصد بوده است.

شماره: IRCNE200912520
مايكروسافت روز دوشنبه اعلام كرد كه در حال بررسي گزارشهايي است كه مدعي هستند كه آخرين به روز رساني امنيتي مايكروسافت، برخي مشكلات جدي را براي كاربران خاص ايجاد مي­كند. اين شركت همچنين اعلام كرد كه به محض كامل شدن و به نتيجه رسيدن اين تحقيقات، جزئيات درباره چگونگي جلوگيري از اين مشكل براي كاربران منتشر خواهد شد.
اين مشكل «black screen of death» ناميده شده است، چرا كه كاربراني تحت تاثير آن قرار مي­گيرند با يك صفحه سياه desktop مواجه مي­شوند. اين مساله روز جمعه توسط شركت امنيتي بريتانيايي Prevx در وبلاگ اين شركت گزارش شد. به گزارش اين شركت امنيتي، علائم اين مشكل بسيار مشخص و دردسر ساز هستند. به گفته Prevx پس از ورود به ويندوز، هيچ نشانه اي از desktop، نوار وظيفه (taskbar)، system tray، و يا نوار كناري ديده نمي­شود. بلكه صرفا يك صفحه كاملا سياه و يك پنجره My Computer Explorer مشاهده مي­گردد.
Prevx معتقد است كه اين مساله مي­تواند بر روي طيف گسترده اي از سيستمهاي ويندوز، از ويندوز NT گرفته تا ويندوز 7 اتفاق بيفتد. اين شركت امنيتي در وبلاگ خود نوشت كه به نظر مي­رسد دلايل مختلفي مي­تواند براي اين صفحه سياه وجود داشته باشد كه همگي اين دلايل لزوما به اين به روز رساني امنيتي مرتبط نيستند.
Prevx اعلام كرد كه در تحقيقات خود به حداقل 10 سناريوي مختلف رسيده است كه همگي مي­توانند منجر به وقوع اين حالت گردند. در مورد به روز رساني اخير مايكروسافت، Prevx معتقد است كه تغييراتي در روش مديريت كليدهاي رجيستري مي­تواند دليل وقوع اين مشكل باشد.
شركت امنيتي Prevx همچنين در وبلاگ خود يك نرم افزار كه تنظيمات رجيستري را تصحيح مي­كند براي ترميم اين مساله ارائه داده است. البته كاربران مي­توانند بطور دستي نيز اين كار را انجام دهند، ولي اين كار ريسك زيادي دارد، چرا كه اين تنظيمات با نحوه اجراي سيستم عامل ارتباط مستقيم دارد.
مايكروسافت آخرين به روز رساني امنيتي خود را در 10 نوامبر عرضه كرد كه شامل 6 بولتن بود كه 15 نقص امنيتي را ترميم مي­كردند. اين توليد كننده بزرگ نرم افزار اعلام كرده است كه همچنان به كاربران خود توصيه مي­كند كه به روز رساني امنيتي ماه نوامبر را نصب نمايند.

اخبار مرتبط:
اصلاح هسته مايكروسافت

شماره: IRCNE200911518
دولت استراليا پس از بررسي گزارش امنيت فضاي سايبر سال 2008 آن كشور، اعلام كرد با تخصيص بودجه مكفي، يك گروه جديد امداد و امنيت رايانه را راه اندازي كرده است كه رقيب AusCERT خواهد شد. آنها هدف از راه اندازي اين مركز امداد و هماهنگي رايانه را محافظت از كاربران استراليايي در مقابل حملات سايبر اعلام كرده اند. گروه امداد و امنيت رايانه استراليا از ژانويه 2010 كار خود را آغاز خواهد كرد و در جولاي همان سال به بهره برداري كامل خواهد رسيد و فعاليت هاي امنيتي را كه در حال حاضر در بخش هاي مختلف دولتي در استراليا مانند GovCERT.au انجام مي شوند در يكجا جمع خواهد كرد.
بنا بر اظهارات وزير دفاع استراليا، دولت استراليا در چهار سال گذشته 6.2 ميليون دلار اضافه بر بودجه موجود براي امنيت سايبر را به پروژه مذكور اختصاص داده بود. در حال حاضر CERT استراليا در حال مذاكره با دانشگاه Queensland براي همكاري در پروژه مذكور است كه اين دانشگاه در حال حاضر مديريت AusCERT را به عهده دارد. آنها همچنين با بخشي از وزارت دفاع استراليا كه مربوط به عمليات امنيتي در فضاي سايبر است، همكاري مي كنند.
وزير دفاع استراليا در مورد اين CERT جديد گفته است:
" CERT استراليا با ديگر CERT هاي ملي در سراسر دنيا، صنعت فناوري اطلاعات و تأمين كنندگان خدمات اينترنت در استراليا همكاري خواهد كرد تا به گردانندگان شبكه ها در شناسايي و پاسخگويي به رخدادهاي امنيتي كمك كند."
وي در بخش ديگري از سخنان خود گفته است:
" ... استراتژي امنيت سايبر استراليا طوري تنظيم شده است تا بتواند از مؤسسات مالي، زيرساخت هاي حياتي، مؤسسات دولتي و كاربران خانگي در برابر تهديدات سايبر محافظت به عمل آورد. اولويت ما تشخيص بهتر، تحليل بهتر و دفاع برتر در برابر تهديدات، به خصوص در مورد زيرساخت هاي حياتي دولتي است. همچنين قصد ما تربيت و ايجاد يك نيروي دفاعي متخصص در فضاي سايبر است.... "

شماره: IRCNE200911517
مؤسسه ICANN يا Internet Corporation for Assigned Names and Numbers عمل هدايت كردن كاربران اينترنتي را به پورتال ها يا وب سايت هاي متفرقه محكوم كرد. برخي از تأمين كنندگان سيستم نام دامنه يا DNS زماني كه نام دامنه اي موجود نمي باشد، به جاي دادن پيغام خطا كاربران را به وب سايتهاي مشابه يا يك پورتال و يا وب سايت هاي اطلاع رساني هدايت مي كنند. به اين كار جانشاني NXDOMAIN مي گويند.
بنا بر اعلام ICANN رسيدگي كردن به تقاضاهاي DNS به اين صورت، اشكالاتي دارد كه ممكن است منجر به كاركرد نادرست اينترنت شود. براي مثال زماني كه كاربران به دامنه اي كه وجود ندارد، ايميل مي فرستند بايد فوراً يك پيغام خطا را دريافت كنند، ولي زماني كه پيغام براي وب سايت ديگري كه به كنترل ترافيك وب مي پردازد، هدايت مجدد مي شود، داخل صف پيغام ها شده و ممكن است با چند روز تأخير به مقصد برسد. وب سايتهاي redirection يكي از اهداف اصلي حملات هكرها هستند تا كاربران را به سمت سرورهاي خرابكار هدايت كنند. همچنين بنا بر گفته مؤسسه مذكور، مشكلات حريم خصوصي نيز ممكن است در اين زمينه بروز پيدا كنند.
شركت ICANN كه مسئوليت نگاشت نام دامنه به آدرس هاي IP را به عهده دارد، نظرات و يافته هاي خود را در يك draft memo قبل از معرفي TLD ها يا generic top-level domains منتشر كرده است.
اين مؤسسه عمليات هدايت تقاضاهاي دامنه هاي غيرموجود به وب سايتهاي ديگر را پيشنهاد نمي دهد و آن را مسبب بروز برخي مشكلات در اينترنت مي داند.