مایکروسافت در خصوص یک آسیب‌پذیری روز-صفرم وصله‌نشده و در حال بهره‌برداری در اینترنت اکسپلورر هشدار داد

مایکروسافت امروز مشاوره‌نامه‌ای اضطراری را منتشر کرده و از به میلیون‌ها کاربر ویندوز هشدار داد که یک آسیب‌پذیری روز-صفرم در مرورگر اینترت اکسپلورر شناسایی کرده است. این آسیب‌پذیری در دنیای واقعی توسط مهاجمان سایبری مورد بهره‌برداری قرار گرفته و هنوز وصله‌ای برای آن ارائه نشده است. به این آسیب‌پذیری شناسه‌ی CVE-2020-0674 اختصاص یافته و شدت آن متوسط است. آسیب‌پذیری از نوع اجرای کد از راه دور است و یک اشکال در مدیریت اشیاء در حافظه توسط ماشین اسکریپتینگ این مرورگر در کتابخانه‌ی JScript.dll محسوب می‌شود. با بهره‌برداری از این آسیب‌پذیری…

Read More

مایکروسافت ابزار جدیدی برای تحلیل کد منبع معرفی کرد

شرکت مایکروسافت این هفته از ابزار جدیدی برای تحلیل کد منبع رونمایی کرد که برای شناسایی ویژگی‌های مورد نظر در کدها طراحی شده است. این ابزار Microsoft Application Inspector نام داشته و برای پیدا کردن ضعف‌های برنامه‌نویسی در کدها نیست. بلکه این ابزار ویژگی‌های جالب و متاداده‌ها از قبیل رمزنگاری، اتصال به منابع راه‌دور و بسترها و پلتفرم‌ها را در کد شناسایی می‌کند. مایکروسافت اعلام کرده زمانی‌که یک برنامه‌ی کاربردی با مولفه‌های مختلفی ایجاد می‌شود، مانند ابزارهای متن‌باز، نیاز به چنین ابزاری بیش از پیش احساس می‌شود. هرچند استفاده‌ی مجدد…

Read More

مهاجمان با نصب درب‌پشتی از بهره‌برداریِ آسیب‌پذیری Citrix ADC توسط دیگر گروه‌ها جلوگیری می‌کنند

به تازگی یک آسیب‌پذیری بحرانی در Citrix Application Delivery Controller (ADC) شناسایی شده است. یک گروه نفوذ با بهره‌برداری از این آسیب‌پذیری، درب‌پشتی خود را بر روی سیستم هدف نصب کرده و دیگر بدافزارهای موجود روی سیستم هدف را حذف می‌کنند. این درب‌پشتی همچنین از بهره‌برداری از این آسیب‌پذیری توسط گروه‌های نفوذ دیگر جلوگیری می‌کند. آسیب‌پذیری مورد نظر دارای شناسه‌ی CVE-2019-19781 بوده و محصولات Citrix ADC و Gateway را تحت تاثیر قرار داده است. اسکن سیستم‌های آسیب‌پذیر چند هفته قبل آغاز شده و بهره‌برداری چند روز قبل به‌طور عمومی منتشر…

Read More

شرکت زیمنس در خصوص استفاده از ActiveX به شرکت‌ها و صنایع هشدار داد

شرکت زیمنس این هفته چند آسیب‌پذیری را وصله کرده و به مشتریان خود در خصوص استفاده از ActiveX در محصولات صنعتی هشدار داده است. ActiveX مایکروسافت و کنترل‌های مربوط به آن امکان ایجاد انواع مختلفی از محتوا بر روی وب‌سایت‌ها را فراهم می‌کند و به کاربران اجازه می‌دهد با المان‌های مختلفی بر روی وب‌سایت در تعامل باشند. با این‌حال ثابت شده که ActiveX دارای مشکلات امنیتی زیادی است و در حال حاضر فقط در اینترنت اکسپلورر پشتیبانی می‌شود. گفتنی است  در مرورگرهای دیگری مانند کروم، سافاری و فایرفاکس پشتیبانی نمی‌شود.…

Read More

از آیفون به‌عنوان کلید امنیتی فیزیکی برای حفاظت از حساب‌های گوگل خود استفاده کنید

کاربران آیفون و یا آی‌پاد که بر روی سیستم آن‌ها  iOS 10 یا بالاتر اجرا می‌شود، می‌توانند از دستگاه خود به‌عنوان کلید امنیتی فیزیکی استفاده کرده و وارد حساب‌های کاربری گوگل شوند. این ویژگی در راستای برنامه‌ی احرازهویت دو مرحله‌ای در Advanced Protection Program است. کاربران اندروید از سال قبل ای ویژگی را بر روی گوشی‌های هوشمند خود دارند اما اینک کاربران تجهیزات اپل نیز می‌توانند از ویژگی بهره برده و از حملات فیشینگ جلوگیری کنند. پس از احرازهویت دو مرحله‌ای اضافه کردن امنیت بیشتر یکی از قدم‌های ضروری است…

Read More

فیس‌بوک هشدارهایی جدیدی را در صفحه‌ی ورود برنامه نمایش می‌دهد

فیس‌بوک این هفته اعلان‌های جدیدی را برای هشدار به کاربرات زمانی که می‌خواهند از طریق یک برنامه‌ی شخص ثالث وارد حساب کاربری خود می‌شوند، معرفی کرده است. این ویژگی جدید Login Notifications نام داشته و ابزاری است تا کاربران بتوانند بر روی داده‌های خود کنترل بیشتری داشته باشند. این ویژگی زمانی اجرا می‌شود که کاربر به یک برنامه‌ی شخص ثالث وارد شده و به آن دسترسی به اطلاعات حساب کاربری داده می‌شود. همچنین زمانی‌که دسترسی‌ها منقضی شده بود و این عملیات مجددا انجام می‌شد، این فرآیند انجام می‌شود. کاربران این…

Read More

کد اثبات مفهومی برای آسیب‌پذیری در DCNM سیسکو منتشر شد

یک محقق امنیتی که چند آسیب‌پذیری در محصول Data Center Network Manager (DCNM) سیسکو شناسایی کرده، برخی از کدهای اثبات مفهومی برای بهره‌برداری از این آسیب‌پذیری‌ها و جزئیات آن‌ها را به‌طور عمومی منتشر کرده است. در اوایل ژانویه شرکت سیسکو اعلام کرد که به‌روزرسانی‌هایی برای DCNM منتشر کرده تا چند آسیب‌پذیری مهم را وصله کند. آسیب‌پذیری‌هایی که بحرانی ارزیابی شده‌اند، از راه دور توسط مهاجمان قابل بهره‌برداری بوده و مهاجم می‌تواند سازوکار احرازهویت را دور زده و عملیات دلخواه را بر روی دستگاه هدف انجام دهد. اجرای این عملیات مخرب…

Read More

کدهای اثبات مفهومی برای بهره‌برداری از آسیب‌پذیری Crypto مایکروسافت به‌طور عمومی منتشر شده است

چند کد اثبات مفهومی برای بهره‌برداری از آسیب‌پذیری CVE-2020-0601 توسعه یافته و برخی از آن‌ها به‌طور عمومی منتشر شده است. این آسیب‌پذیری مربوط به ماژول رمزنگاری در ویندوز است که شرکت مایکروسافت در به‌روزرسانی امنیتی این ماه آن را وصله کرده است. آسیب‌پذیری توسط آژانس امنیت ملی آمریکا به شرکت مایکروسافت گزارش شده است. به این آسیب‌پذیری نام‌هایی مانند ChainOfFools و CurveBall داده شده و مایکروسافت این ماه آن را وصله کرده است. این آسیب‌پذیری ویندوز ۱۰، سرور ۲۰۱۶ و سرور ۲۰۱۹ و همچنین برنامه‌های کاربردی که برای قابلیت‌های اعتماد…

Read More

برنامه‌ی پاداش در ازای اشکال برای Kubernetes راه‌اندازی شد

بنیاد محاسبات ابری (CNCF) این هفته اعلام کرد که یک برنامه‌ی پاداش در ازای اشکال را برای Kubernetes راه‌اندازی کرده که در آن پاداش و جایزه برای هر آسیب‌پذیری تا سقف ۱۰ هزار دلار پرداخت خواهد شد. Kubernetes یک سیستم متن‌باز است که برای خودکارسازی راه‌اندازی، مقیاس‌پذیری و مدیریت برنامه‌های کانتینرها طراحی شده است. این سیستم توسط گوگل توسعه یافته و در حال حاضر نگهداری از آن برعهده‌ی CNCF است. برنامه‌ی پاداش در ازای اشکال توسط HackerOne میزبانی شده است. پاداش‌ها از ۱۰۰ تا ۱۰ هزار دلار متغیر بوده و…

Read More

شرکت ادوبی اولین به‌روزرسانی امنیتی خود برای ژانویه ۲۰۲۰ میلادی را منتشر کرد

ادوبی دیروز به‌روزرسانی امنیتی ژانویه را منتشر کرده که در آن ۹ آسیب‌پذیری در دو محصول مهم این شرکت به نام‌های Adobe Experience Manager و Adobe Illustrator وصله شده است. این به‌روزرسانی امنیتی اولین به‌روزرسانی سال ۲۰۲۰ میلادی است و یکی از سبک‌وزن‌ترین به‌روزرسانی‌های امنیتی این شرکت در چند وقت اخیر محسوب می‌شود. همچنین گفتنی است هیچ یک از آسیب‌پذیری‌های این ماه به‌طور عمومی افشاء نشده و در دنیای واقعی مورد بهره‌برداری قرار نگرفته‌اند. پنج مورد از ۹ آسیب‌پذیری، بحرانی محسوب شده و همگی آن‌ها در Adobe Illustrator CC نسخه‌های…

Read More