نویسنده: مدیر

یک آسیب‌پذیری اجرای کد از راه دور بحرانی که چند مسیریاب D-Link را تحت تأثیر قرار می‌دهد، وصله‌نشده باقی مانده است. این آسیب‌پذیری که با شناسه‌ی CVE-2019-16920 ردیابی می‌شود و در نمره‌دهی CVSS، امتیاز ۹٫۸ را دارد، در مسیریاب‌های D-Link DIR-866l، DIR-652 و DHP-1565 کشف شده است که هیچ یک از آن‌ها دیگر پشتیبانی نمی‌شوند، این به این معنا است که هیچ وصله‌ای برای آن‌ها منتشر شده است. این آسیب‌پذیری ممکن است بدون احراز هویت از طریق ارسال ورودی خاص به یک رابط gateway مشترک PingTest برای انجام یک تزریق…

Read More

هفته‌ی گذشته اپل آخرین نسخه‌ی سیستم عامل دسک‌تاپ خود، macOS Catalina 10.15 را منتشر کرد که شامل وصله‌هایی برای ۱۶ آسیب‌پذیری است. macOS Catalina که به‌عنوان یک به‌روزرسانی نرم‌افزاری رایگان برای همه‌ی مک‌های معرفی‌شده در اواسط سال ۲۰۱۲ میلادی، در دسترس است، آسیب‌پذیری‌های امنیتی موجود در مؤلفه‌هایی مانند CoreAudio، Crash Reporter، IOGraphics، Kernel، Notes، PDFKit و وب‌کیت را رفع می‌کند. اشکال‌های رفع‌شده شامل آسیب‌پذیری‌های مختلف ازجمله خرابی حافظه، شرایط رقابتی، یک آسیب‌پذیری منطقی، یک اشکال در مدیریت لینک‌ها در PDF های رمزنگاری‌شده و موارد مربوط به ترسیم عناصر صفحه‌ی وب،…

Read More

پس از افشای توییت‌های خصوصی، گذرواژه‌های متن ساده و اطلاعات شخصی صدها هزار کاربر، توییتر به وجود یک اشتباه امنیتی اعتراف کرد. توییتر اعلام کرد که شماره‌تلفن‌ها و آدرس‌های ایمیل برخی از کاربران که برای احراز هویت دو مرحله‌ای ارائه شده، برای اهداف تبلیغاتی استفاده شده است، هر چند این شرکت بیان کرد که این یک اتفاق غیرعمدی بود. توییتر در یک پست وبلاگی بیان کرد که یک خطا در سیستم تبلیغاتی Tailored Audiences و  Partner Audiences سهواً از اطلاعات ارائه‌شده توسط کاربران به دلایل امنیتی برای اجرای تبلیغات هدفمند…

Read More

طبق گزارش پژوهش‌گران Netskope مهاجمان بااستفاده از تروجان دسترسی از راه دور (RAT) در یک پویش جدید، شرکت‌های نفتی امریکا را هدف قرار می‌دهند. نمونه‌های مشاهده‌شده در این حملات نسبتاً جدید هستند، اما عملکرد این تروجان با پویش‌های قبلی سازگار است. این بدافزار تلاش می‌کند تا با استفاده از مبهم‌سازی چندلایه‌ای سازوکار تشخیص و شناسایی را دور بزند و پس از آن‌که یک دستگاه را آلوده کرد، رجیستری سیستم را برای رسیدن به ماندگاری، انجام تزریق فرآیند، متوقف کردن خدمات امنیتی تغییر می‌دهد و سپس اطلاعات حساس را به سرقت…

Read More

گوگل به‌تازگی اعلام کرده است که ابزار Password Checkup را به مدیریت گذرواژه‌ی حساب خود اضافه کرده است و از برخی ویژگی‌های امنیتی و حریم خصوصی جدید برای یوتیوب رونمایی کرده است. Password Chackup که در ماه فوریه‌ی سال ۲۰۱۹ میلادی به‌عنوان یک افزونه برای کروم راه‌اندازی شد، برای نمایش یک هشدار در زمانی که کاربران وارد یک وب‌گاهی می‌شوند که دارای گواهی‌نامه‌هایی است که در افشای اطلاعاتی شخص ثالث در معرض خطر قرار گرفته‌اند، طراحی شده است. Password Chackup به مدیریت گذرواژه در حساب گوگل اضافه شده است. این…

Read More

گروه نفوذ eGobbler که با پویش‌های تبلیغ‌افزاری گسترده در اوایل سال جاری شروع به کار کرده، درحال‌حاضر یک پویش جدید به راه انداخته است که از دو آسیب‌پذیری مرورگر برای نمایش تبلیغات پاپ‌آپ مزاحم و هدایت کاربران به وب‌گاه‌های مخرب بهره‌برداری می‌کند. لازم به ذکر است که نفوذگران هیچ روشی برای اجرای رایگان تبلیغات پیدا نکرده‌اند، در عوض مهاجمان eGobbler بودجه‌ی زیادی برای نمایش میلیاردها آگهی تبلیغاتی در وب‌گاه‌های برجسته از طریق شبکه‌های تبلیغاتی قانونی لازم دارند. اما به جای تکیه بر تعامل هدفمند بازدیدکنندگان با تبلیغات به‌صورت آنلاین، eGobbler…

Read More

یک آسیب‌پذیری امنیتی بحرانی در سرور ایمیل متن‌باز محبوب Exim کشف و رفع شده است که به یک مهاجم راه دور اجازه می‌دهد تا به‌سادگی خرابی ایجاد کند و یا در سروهای هدف کد مخرب اجرا کند. توسعه‌دهندگان Exim پس از انتشار هشدار اولیه پس از دو روز یک به‌روزرسانی امنیتی فوری منتشر کردند. Exim یک عامل انتقال ایمیل متن‌باز است که به‌طور گسترده استفاده می‌شود و برای سیستم عامل‌های شبیه یونیکس، مانند لینوکس، Mac OSX یا Solaris توسعه داده شده است که تقریباً ۶۰ درصد از سرورهای ایمیل اینترنت…

Read More