شماره: IRCNE200911506
شركت Mozilla يك قفل جديد به Firefox 3.6 اضافه خواهد كرد كه از افزودن add-on هاي پنهاني توسط برنامه نويسان به اين مرورگر جلوگيري خواهد كرد.
اين ويژگي جديد كه Mozilla آن را «component directory lockdown» ناميده است، از دسترسي به دايركتوري «components» اين مرورگر كه اغلب كدهاي مرورگر در آن ذخيره شده اند، جلوگيري مي­نمايد. اين شركت اين حركت را راهي براي افزودن پايداري اين مرورگر مي­داند.
يكي از مديران Firefox اظهار داشت كه قرار دادن اجزاي در مرورگر به اين شكل، هرگز كار مورد تاييد اين شركت نبوده است. چرا كه زماني كه يك نسخه جديد Firefox ارائه مي­شود كه اين اجزا با آن سازگار نيستند، نتيجه آن مي­تواند يك دردسر جدي براي كاربران باشد.
اكنون كه اين اجزا مانند add-on هاي معمولي بسته بندي مي­شوند، نسخه هايي را كه با آن سازگارند مشخص خواهند كرد و Firefox مي­تواند هركدام را كه ممكن است باعث ايجاد مشكل گردند غيرفعال نمايد.
از آنجاييكه برنامه نويسان خارج از Mozilla ديگر قادر نخواهند بود كه كدهاي خود را در دايركتوري components قرار دهند، به جاي اين كار بايد add-on هاي خود را مجددا بصورت فايلهاي مبتني بر XPI كه فرمت استاندارد پسوند Firefox است ايجاد نمايند. شركت Mozilla براي كمك به اين دسته از برنامه نويسان، اطلاعات مورد نياز را روي وب سايت اين شركت قرار داده است.

شماره: IRCNE200911505
شركت امنيتي Sophos در مورد هرزنامه هايي كه در مورد آنفولانزاي H1N1 منتشر مي شوند و كاربران را ترغيب به خريد داروي اين بيماري با نام Tamiflu مي كنند، هشدار داد. متخصصان اعلام كردند كه دارويي كه در ايميل هاي فوق و از طريق وب سايتهاي غير رسمي به فروش مي رسد، تقلبي بوده و هيچ اثري بر روي بيمار ندارد و تنها جيب فرستندگان هرزنامه را پر از پول و اطلاعات شخصي قربانيان مي كند.
بنا بر اطلاعات ارائه شده توسط Sophos بيشتر شركت هاي دارويي تقلبي تحت نام Canadian Pharmacy جمع شده اند تا قابل اعتمادتر به نظر بيايند و كاربران بيشتري را به دام بيندازند. طبق تحقيقات انجام شده تعداد زيادي از شبكه هاي خرابكار در اين رابطه وجود دارند كه براي مثال يكي از آنها كه از روسيه فعاليت مي كند و با نام Glavmed شناخته مي شود، به طور متوسط روزانه 16000 دلار درآمد از طريق تبليغ و ترويج وب سايتهاي دارويي كسب مي كند و برخي از آنها تا بيش از 100000 دلار در روز درآمد كسب مي كنند.
پنج كشوري كه به ترتيب بيشترين فروش Tamiflu را از طريق Canadian Pharmacy داشته اند عبارتند از؛ آمريكا، آلمان، انگليس، كانادا و فرانسه.

شماره: IRCNE200911504
محققان امنيتي مي­گويند كه سايت Yahoo Jobs بطور بالقوه در برابر يك نقص امنيتي تزريق SQL آسيب پذير است.
شركت امنيت داده Imperva اعلام كرد كه مشكل Blind SQLi بدين معناست كه اطلاعات محرمانه و شخصي افراد مي­توانند مورد سوء استفاده قرار گيرند. يكي از كارشناسان ارشد فن آوري در Imperva در يك جمله اظهار داشت كه اين داده ها مي­توانند مورد دسترسي قرار گرفته و در فرومهاي آنلاين تجارت گردند. وي توضيح داد كه عمليات تزريق SQL مي­تواند داده هاي خصوصي را جمع آوري كرده و سپس اين داده ها در فرومها به فروش گذاشته شده و يا مورد مبادله قرار گيرند.
تزريق SQL يك مشكل اساسي جانبي براي ميزبانهاي وب سايتها است. شركت ياهو تا كنون در اين مورد توضيحي ارائه نكرده است. ولي Imperva ادعا كرد كه با اين شركت تماس گرفته و اكنون اين مشكل رفع شده است.

شماره: IRCNE200911503
به گفته يكي از محققان امنيتي IBM، يك نقص امنيتي در پروتكل مورد استفاده براي امن كردن ارتباطات بر روي اينترنت، مي­تواند براي هك كردن حسابهاي كاربري Twitter مورد استفاده قرار گيرد.
هفته گذشته يكي از محققان IBM نشان داد كه چگونه يك نقص امنيتي در پروتكل SSL (Secure Sockets Layer) مي­تواند براي تحريك قربانيان مورد استفاده قرار گيرد تا پيغامهاي Twitter شامل اطلاعات كلمه عبور خود را ارسال نمايند. براي اينكه اين نقص امنيتي مورد سوء استفاده قرار گيرد، يك هكر بايد ابتدا راهي براي ورود به شبكه فرد قرباني پيدا نمايد و يك حمله man-in-the-middle- را آغاز كند، به همين دليل تاثير گذاري بر تعداد زيادي از كاربران Twitter به اين روش كار سختي است. اين نقص امنيتي به سرعت توسط Twitter اصلاح شده است، ولي متخصصان امنيتي اظهار مي­دارند كه بسياري از وب سايتها همچنان از چنين مشكلي رنج مي­برند.
يك كنسرسيوم از شركتهاي اينترنتي از 5 نوامبر كه اين موضوع بصورت عمومي افشا شد، در تلاشند تا اين نقص SSL را رفع نمايند. ولي اكنون برخي بحثها درباره جديت اين نقص درگرفته است. كمي پس از افشاي عمومي اين نقص امنيتي، يكي از محققان IBM اعلام كرد كه اغلب برنامه هاي مهم وب تحت تاثير اين موضوع قرار ندارند. اما وي بعدا نظر خود را تغيير داده و اعلام كرد كه متاسفانه قضيه جديتر از آن چيزي است كه تصور مي­شد. برنامه هاي Webmail نيز بطور خاص ممكن است در معرض خطر اين حمله قرار داشته باشند. متخصصان حوزه امنيت نگرانند كه ساير برنامه ها مانند پايگاههاي داده نيز در معرض خطر باشند.
سايت Twitter.com مستعد اين نقص امنيتي بود، چرا كه اين سايت «مذاكره مجدد با كلاينت» را تحت SSL انجام مي­داد. «مذاكره مجدد با كلاينت» راهي است براي وب سايت تا بوسيله آن، پس از اتصال كاربر Twitter به سايت، از وي يك اعتبار SSL درخواست نمايد. اين يك ابزار سودمند است كه به كاربران اجازه مي­دهد با استفاده از كارتهاي هوشمند به سايت وارد شوند و يا سايتها با استفاده از آن مي­توانند دسترسي به يك گروه خاص از پيش تعيين شده را محدود نمايند. ولي تا زمانيكه اين نقص اصلاح گردد، عمليات «مذاكره مجدد با كلاينت» راه را براي حملات SSL باز مي­كند.
يكي از مهندسان PhoneFactor كه اين موضوع را كشف كرده است، معتقد است كه احتمالا سايتها زيادي مانند Twitter وجود دارند كه عمليات «مذاكره مجدد با كلاينت» را انجام مي­دهند، چرا كه اين موضوع بصورت پيش فرض در پروتكلهاي SSL و TLS وجود دارد.
البته خبر خوبي كه وجود دارد اين است كه بسياري از سايتها مي­توانند به سادگي اين قابليت را غير فعال نمايند كه اين، همان كاري است كه اكنون Twitter انجام داده است.

شماره: IRCNE200911502
كمپاني VeriSign كه دارنده پايگاه داده اصلي دامنه هايي همچون .com و .net است مي گويد كه آسيب پذيري بسيار مهم در اينترنت را تا سال 2011 برطرف خواهد كرد. علت تأخير مذكور جنبه هاي فني پياده سازي عنوان شده است.
مشكل اينجا است كه DNS يا سيستم نام دامنه كه ترجمه كننده آدرسهاي اينترنتي به معادل عددي آن است، مي تواند توسط مقادير نادرست مقداردهي شود و براي گمراه كردن كاربران مورد سوءاستفاده قرار گيرد.
شركت VeriSign روز جمعه به خبرنگار ZDNet گفته است كه در فصل اول 2011، DNSSEC را عرضه خواهد كرد كه در حقيقت يك پروتكل است كه مبدأ و يكپارچگي داده هاي DNS را براي دامنه هاي .com و .net تضمين مي كند.
آقاي Kane قائم مقام مديرعامل VeriSign مي گويد كه دامنه هاي .com و .net دامنه هاي بسيار بزرگي هستند و دامنه .net به تنهايي بيش از 12 ميليون نام دامنه را در خود جا داده است. وي ادامه داده است:
" آسيب پذيري موجود در DNS كه توسط Kaminsky در آگوست 2008 اعلام عمومي شد از قبل براي ما شناخته شده بود، ولي اين افشاسازي به ما نشان داد كه چقدر سوءاستفاده از آسيب پذيري مذكور راحت است و حملات مسموم سازي حافظه نهان به راحتي قابل انجام هستند. اين قضيه بيش از پيش نياز به امنيت DNS را روشن ساخته است. زماني كه پياده سازي DNSSEC كاملاً تمام شود، يكي از بردارهاي حمله بسيار مهم كارايي خود را از دست خواهد داد."
حمله مسموم سازي حافظه نهان زماني اتفاق مي افتد كه يك مهاجم داده هاي موجود در حافظه نهان را دستكاري كرده و يك آدرس معتبر اينترنتي را با يك آدرس جعلي جابجا مي كند.
شركت VeriSign قرار است كليد امضاي- محدوده را براي ريشه توليد و مديريت كند و آن را ZSK يا Zone-Signing Key نام نهاده است. از اين كليد براي امضاي ريشه محدوده در دامنه هاي .net و .com استفاده مي شود. شركت Icann نيز مسئوليت ايجاد، مديريت و انتشار كليد امضاي-كليد را بر عهده دارد كه KSK يا key-signing key ناميده مي شود.

شماره: IRCNE200911501
متخصصان امنيت اينترنت مي­گويند كه مودمهاي DSL و كابلي كه بد تنظيم شده اند، يك مشكل شناخته شده در DNS (سيستم نام دامنه) اينترنت را شديدتر مي­كنند. اين مودمها باعث مي­شوند كه كار هكرها براي انتشار حملات انكار سرويس توزيع شده (DDoS) بر عليه قربانيان راحتتر گردد.
بر اساس تحقيقي كه قرار است در روزهاي آينده منتشر گردد، بخشي از اين مشكل به خاطر تعداد روز افزون سيستمهاي مصرف كننده روي اينترنت است كه طوري تنظيم شده اند كه به پرس و جوهاي DNS از هر جايي پاسخ مي­دهند. متخصصان شبكه به اين سيستمها «بازگشتي باز» مي­گويند. به گفته يكي از مسوولان Infobox كه يكي از حاميان مالي اين تحقيق است، هر چه تعداد مصرف كنندگاني كه به اينترنت با پهناي باند بالا احتياج دارند بيشتر مي­شود، ارائه دهندگان سرويس اينترنت نيز مودمهاي بيشتري را كه به اين ترتيب تنظيم شده اند به مشتريان خود تحويل مي­دهند.
در حقيقت درصد سيستمهاي DNS روي اينترنت كه به اين روش تنظيم شده اند از حدود 50 درصد در سال 2007، به حدود 80 درصد در سال جاري افزايش يافته است. متخصصان دليل اين افزايش را تا حدي به افزايش تعداد شبكه هاي خانگي كه اجازه مي­دهند چندين كامپيوتر به طور همزمان بر روي شبكه قرار بگيرند، مرتبط دانسته اند. تقريبا تمامي ISP ها سيستمهاي DSL خانگي را پخش مي­كنند، بسياري از اين ابزارها سرورهاي DNS دروني دارند، و ممكن است گاهي اوقات بطور پيش فرض در وضعيت «باز» به فروش برسند.
از آنجايي كه مودمهايي كه بطور سرورهاي «بازگشتي باز» تنظيم شده اند، به تمامي درخواستهاي پرس و جوي DNS از هرجا و هر كسي در اينترنت پاسخ مي­دهند، مي­توانند براي حملات تقويت DNS مورد استفاده قرار گيرند. در اين حملات، هكرها پيغامهاي پرس و جوي جعلي DNS را به اين سرورهاي بازگشتي ارسال كرده و آنها را تحريك مي­كنند كه به كامپيوتر يك قرباني پاسخ دهند. اين خرابكاران مي­توانند يك پيغام كوچك 50 بايتي را به سيستمي كه حتما به اين پيغام پاسخ مي­دهد ارسال نمايند. اين سيستم در پاسخ به اين پيغام، 4 كيلو بايت داده را براي قرباني خواهد فرستاد. با تكرار اين كار، مهاجمان مي­توانند سيستم قرباني خود را با اين پاسخها از كار انداخته و آنها را آفلاين نمايند.
نكته مهمتر اين واقعيت است كه بسياري از اين سيستمها، اصلاحيه مربوط به يك نقص امنيتي در DNS را كه سال گذشته كشف شده بود نصب نكرده اند. اين نقص امنيتي مي­تواند براي تحريك صاحبان اين سيستمها براي استفاده از سرورهاي اينترنت كنترل شده توسط هكرها مورد استفاده قرار گيرد.

شماره: IRCNE200911500
كاربران ويندوزهاي 2000، XP يا ويندوز سرور 2003 هر كاري را در حال انجام آن هستيد متوقف كرده تا اصلاحيه MS09-065 را دريافت كرده و نصب نماييد.
متخصصان امنيتي مي گويند كه هكرهاي خرابكار شروع به سوءاستفاده از يك آسيب پذيري موجود در ويندوز كرده اند. اين آسيب پذيري كه در زير سيستم تجزيه فونت در درايور win32.sys وجود دارد، در واقع يك منفذ براي ورود هكرها محسوب مي شود كه كنترل كامل رايانه قرباني را بدون نياز به تعامل با كاربر در اختيار آنها قرار مي دهد. كاربراني كه اصلاحيه مذكور را نصب نكنند تنها با يك گشت و گذار عادي در وب و يا باز كردن يك فايل آلوده كنترل رايانه خود را در اختيار مجرمان اينترنتي قرار مي دهند.
مايكروسافت نيز در بولتن امنيتي MS09-065 به موجود بودن كد فرصت طلب براي نقص امنيتي مذكور قبل از انتشار اصلاحيه، اشاره كرده است. درجه اهميت آسيب پذيري مذكور بسيار مهم ارزيابي شده است زيرا كد خرابكار از طريق IE و بدون اطلاع كاربر منتشر ميشود.
در حملاتي كه از طريق آسيب پذيري مذكور انجام مي شوند، فونت هاي خرابكار (TTF) از طريق فايلهاي .eot كه در وب سايتهاي خرابكار يا آلوده جاسازي شده اند براي مرورگر IE ارسال مي شوند كه مرورگر نيز به صورت پيش فرض آنها را دريافت و نصب مي كند. همچنين ممكن است ايميلهاي حاوي فايل خرابكار براي كاربران ويندوز ارسال شود و با استفاده از ترفندهاي مهندسي اجتماعي آنها را ترغيب به باز كردن فايل مورد نظر كند. فايل مزبور حاوي فونت هاي پنهان خرابكار است كه در صورت باز شدن توسط آفيس، دريافت و نصب مي شوند. در صورتي كه سناريوي حمله موفقيت آميز انجام شود كنترل رايانه قرباني در اختيار مجرمان اينترنتي قرار مي گيرد.
بهترين راه مقابله با حملات مذكور نصب اصلاحيه MS09-065 است. در غير اين صورت كاربران ويندوز مي توانند امكان دريافت و تجزيه فونت هاي پنهان در IE را غيرفعال سازند كه ممكن است منجر به نمايش ناقص يا عدم نمايش برخي از وب سايتها شود. براي غير فعال كردن امكان مذكور از طريق مسير زير اقدام كنيد:

Tools> Internet Option> Security settings

اخبار مرتبط:
اصلاح هسته مايكروسافت

شماره: IRCNE200911499
مايكروسافت روز جمعه 22 آبان ماه اعلام كرد كه در حال كار براي اصلاح آسيب پذيري در پروتوكل به اشتراك گذاري فايل در SMB متعلق به ويندوز 7 و ويندوز سرور 2008 است كه مي تواند منجر به از كار افتادن از راه دور رايانه قرباني شود.
آسيب پذيري مذكور روز چهارشنبه 20 آبان ماه توسط يك محقق امنيتي افشا شده بود. وي در وبلاگش نوشته است:
"مايكروسافت از جزئيات دقيق اين آسيب پذيري و كد فرصت طلب آن آگاه است و مي داند كه ممكن است منجر به از كار افتادن رايانه شده و يا سيستم را غير قابل اعتماد سازد. البته اين آسيب پذيري به مهاجم اجازه در اختيار گرفتن رايانه قرباني يا نصب بدافزار را نمي دهد و تنها منجر به از كارافتادن سيستم مي شود به طوري كه تنها راه حل راه اندازي مجدد رايانه به صورت دستي است."
مدير گروه بخش امنيتي مايكروسافت مي گويد، بسيار مهم است كه كاربران بدانند با فعال كردن فايروال در ويندوز 7 اجازه سوءاستفاده از آسيب پذيري مذكور را از مهاجم مي گيرند.
مايكروسافت در راهنمايي امنيتي كه در اين مورد منتشر كرده است از نحوه افشاي آسيب پذيري مذكور انتقاد كرده و آن را مسئولانه ندانسته است. به نظر مايكروسافت افشاي آسيب پذيري با قرار دادن كد فرصت طلب آن در اختيار عموم در واقع كاربران را به خطر مي اندازد.
راهنمايي امنيتي مايكروسافت به كاربران پيشنهاد مي كند كه به عنوان يك راه حل موقتي پورتهاي TCP 139 و 445 را در فايروال غيرفعال سازند تا زماني كه مايكروسافت اصلاحيه مربوطه را منتشر سازد.

اخبار مرتبط:
افشاي وجود يك آسيب پذيري در SMB ويندوز 7

شماره: IRCNE200911498
يك بي توجهي در سياست امنيتي نرم افزار فلش، مشاهده كنندگان وب سايتهايي را كه محتويات آنها توسط كاربران توليد شده است (user-generated content sites) در معرض خطر قرار مي دهد. مطالب مذكور توسط يك محقق امنيتي بيان شده است كه راهي را براي سوءاستفاده از روشي كه مرورگرها جهت رسيدگي به فايلهاي فلش به كار مي برند، پيدا كرده است.
آقاي Mike Bailey يك محقق ارشد امنيتي در شركت امنيتي Foreground Security در يك مصاحبه اظهار كرد كه مشكل از سياست امنيتي فلش ناشي مي شود و گفته است:
"لازم است Adobe روشي را كه Flash Player براي اجراي سياست هاي امنيتي به كار مي برد تغيير دهد تا به محتويات دلخواه امكان دسترسي بدون اجازه به برنامه هاي كاربردي را ندهد. اين نرم افزار به صورت پيش فرض به هر چيزي اعتماد مي كند در حالي كه بايد تنها به برنامه هاي داراي مجوز اعتماد كند."
مدير امنيت اطلاعات شركت مذكور نيز مي گويد، به عنوان مثال يك نفر مي تواند چيزي را كه ظاهراً يك تصوير است در وب سايتهاي اجتماعي قرار دهد، ولي تصوير مذكور در واقع يك فايل فلش باشد كه براي اجراي يك كد خرابكار در مرورگر، زماني كه فايل باز شود، طراحي شده باشد و رايانه هر كسي كه آن را مشاهده كند مورد مصالحه قرار مي گيرد.
شركت Adobe مدتي است كه از نقص سياست امنيتي مذكور اطلاع دارد ولي قادر نيست آن را برطرف كند زيرا بسياري از فايلهاي فلش موجود و برنامه هاي كاربردي در سراسر وب دچار مشكل خواهند شد.
كارشناسان امنيتي مي گويند كه در حال حاضر تعداد بسيار زيادي وب سايت آسيب پذير در اين رابطه وجود دارند كه تنها كاري كه مي توانند انجام دهند تغيير تنظيمات وب سايت براي كاهش خطر است. وي همچنين به كاربران توصيه مي كند كه Flash را كاملاً غيرفعال ساخته و يا از امكان NoScript استفاده كنند كه يك Plug-in مرورگر است و محتويات جاوا و فلش از وب سايتهاي غير مطمئن را غيرفعال مي سازد.

شماره: IRCNE200911497
خرابكاران فضاي سايبر در اقدامي جديد كاربران Verizon Wireless را هدف حملات مجرمانه خود قرار داده اند. آنها براي كاربران مذكور هرزنامه اي را ارسال مي كنند كه در آن ادعا شده است حساب كاربري آنها سرريز شده و به آنها پيشنهاد مي دهد برنامه balance checker را اجرا كنند تا از وضعيت صورت حساب آگاه شوند.
ايميلهاي مذكور كه به ظاهر از طرف Verizon Wireless ارسال شده اند، جعلي بوده و برنامه balance checker تروجاني بيش نيست كه قصد آلوده ساختن رايانه قربانيان را دارد.
متخصصان امنيتي در شركت امنيتي SonicWall تروجان مذكور را شناسايي كرده و نام Regrun را بر آن گذاشته اند. هرزنامه مذكور طبق اطلاعاتي كه حسگرهاي شركت امنيتي SonicWall ثبت كرده اند به طور متوسط در هر ساعت 200000 بار ارسال مي شود كه رقمي بسيار بزرگ است.
قربانياني كه برنامه balance maker را دريافت كرده اند، در واقع يك راه نفوذ را بر روي رايانه خويش قرار داده اند كه منجر به دريافت بدافزارهاي بيشتر از شبكه رايانه هاي خرابكار (botnet) Zbot مي شود كه در مورد سرقت اطلاعات حساب بانكب و خالي كردن آنها شهرت دارد. اخيراً هيئتي كه از طرف دولت آمريكا مسئول رسيدگي به اينگونه جرائم بود اعلام كرده است، فريب هاي مذكور منجر به خروج 100 ميليون دلار از حساب هاي بانكي آمريكا شده است.
مجرمان اينترنتي همواره راه جديدي را براي فريب كاربران براي دريافت بدافزارهاي خود پيدا مي كنند و اين مورد نيز روش جديد آنها در كلاهبرداري است.