دسته: آسیب‌پذیری‌ها و بدافزار

شرکت اپل در جریان کنفرانس امنیت اطلاعات بلک هت (Black Hat) در لاس‌وگاس، با اعلام چند تغییر عمده از به‌روزرسانی قواعد برنامه‌ی پاداش در ازای خود خبر داد. یکی از جذاب‌ترین به‌روزرسانی‌ها، افزایش حداکثر پاداش‌ پرداختی این شرکت در ازای گزارش اشکال‌های امنیتی، از ۲۰۰هزار دلار به ۱میلیون دلار است. این مبلغ، بیشترین پاداش در ازای اشکال در نظر گرفته‌شده توسط این شرکت‌ بزرگ فناوری تا به امروز برای کشف و گزارش آسیب‌پذیری‌های موجود در محصولات خود می‌باشد. به گفته‌ی این شرکت، پاداش ۱میلیون دلاری به نفوذگری تعلق خواهد گرفت…

Read More

مایکروسافت بیان کرد که پیمان‌کاران آن به مکالمات گوش می‌دهند تا امکانات ترجمه‌ی صوتی ارائه‌شده توسط اسکایپ و دستیار دیجیتال آن به نام کورتانا را تکمیل کنند، اما تنها زمانی شنود انجام می‌شود که مجوز کاربر را دریافت کرده باشند. مایکروسافت در پاسخ به گزارش منتشرشده در وب‌گاه خبری Vice که اظهارنظرهای افراد درباره‌ی موضوعات شخصی مانند ارتباطات و کاهش وزن را نشان می‌داد، از مدیریت داده‌ی صوتی خود دفاع کرد. این شرکت بیان کرد که داده‌های صوتی را جمع‌آوری می‌کند تا خدمات صوتی مانند جستجو، دستورات صوتی، خدمات نوشتاری…

Read More

توییتر هفته‌ی گذشته تأیید کرد که احتمالاً به‌طور تصادفی داده‌ی برخی کاربران را بدون اجازه‌ی آن‌ها با اشخاص ثالث به اشتراک گذاشته است. این شرکت بیان کرد که دو مسأله را شناسایی کرده که یکی از آن‌ها به برنامه‌ی تلفن همراه مربوط است و احتمالاً موجب می‌شود که داده‌ها با اشخاص ثالث تبلیغاتی  به اشتراک گذاشته شوند. این داده‌ها زمانی که کاربران تبلیغات برنامه‌ی تلفن همراه را مشاهده و یا روی آن‌ها کلیک کنند، جمع‌آوری می‌شوند و شامل کد کشور و اطلاعات مربوط به تبلیغات هستند. غول رسانه‌ی اجتماعی بیان…

Read More

شرکت آمریکایی سیسکو (Cisco) که در زمینه‌ی تجهیزات شبکه فعالیت می‌کند، به‌منظور رفع چندین آسیب‌پذیری‌ موجود در سوئیچ‌های شبکه‌ی سری Small Business 220 خود، از جمله دو اشکال امنیتی با شدت بحرانی وصله‌هایی را منتشر کرده است. مهم‌ترین این آسیب‌پذیری‌ها می‌تواند به مهاجم غیرمجاز راه دور اجازه دهد تا با استفاده از امتیازات روت، کد دلخواه خود را بر روی سیستم عامل اصلی اجرا کند. این اشکال که با شناسه‌ی CVE-2019-1913 ردیابی شده و در سیستم امتیازدهی آسیب‌پذیری عام (CVSS) امتیاز ۹٫۸ را دریافت کرده است، چندین آسیب‌پذیری در رابط…

Read More

درصورتی‌که کاربر یک محیط دسک‌تاپ KDE را در سیستم‌عامل لینوکس اجرا کند، باید بسیار مراقب باشد و از بارگیری هر گونه فایل «.desktop» یا «.directory» خودداری کند. یک پژوهش‌گر امنیت سایبری، آسیب‌پذیری روز-صفرم وصله‌نشده در چارچوب نرم‌افزاری KDE را افشا کرد که به فایل‌های .desktop و .directory اجازه می‌دهد تا به‌طور مخفیانه کد دلخواه را در رایانه‌ی یک کاربر و بدون نیاز به باز شدن آن توسط قربانی اجرا کنند. KDE Plasma یکی از محبوب‌ترین محیط‌های دسک‌تاپ مبتنی‌بر ویجت متن‌باز برای کاربران لینوکس است و به‌عنوان یک محیط دسک‌تاپ پیش‌فرض…

Read More

برخی از راه‌کارهای مقابله‌ای توصیه‌شده توسط Wi-Fi Alliance در پاسخ به Dragonblood، مجموعه‌ای از آسیب‌پذیری‌های WPA3 که می‌تواند برای دست‌یابی به گذرواژه‌ی یک شبکه‌ی وای‌فای مورد بهره‌برداری قرار گیرد، در جلوگیری از حملات کارآمد نیست و حمله‌ای راه‌اندازی می‌کند که بسیار کم‌هزینه‌تر از آن چیزی است که تخمین زده می‌شد. نسخه‌ی ۳ پروتکل Wi-Fi Protected Access (WPA) که به‌طور رسمی در ماه ژوئن سال ۲۰۱۸ میلادی راه‌اندازی شد، محافظت بهتری در برابر حملات دیکشنری آفلاین و حدس گذرواژه ارائه می‌دهد و حتی درصورتی‌که یک گذرواژه با پیچیدگی کم استفاده شده…

Read More

به‌گفته‌ی پژوهش‌گران امنیتی مالوربایتس یک کیت بهره‌برداری که به‌تازگی شناسایی شده است، نسخه‌های آسیب‌پذیر ادوبی فلش پلیر را هدف قرار می‌دهد. این کیت بهره‌برداری که Lord نامیده می‌شود ابتدا توسط Adrian Luca شناسایی شده است. این کیت بهره‌برداری به‌عنوان بخشی از یک زنجیره‌ی تبلیغ‌افزاری از طریق شبکه‌ی PopCash ظهور پیدا کرد. کاربران EK از یک وب‌گاه آسیب‌دیده برای هدایت قربانیان به صفحه‌ی مقصد خود استفاده می‌کنند. در ابتدا، این پورتال کاملاً پرمحتوا و شفاف بود، اما اپراتورهای این کیت به‌سرعت آن را مبهم‌سازی کردند. صفحه‌ی مقصد یک تابع برای بررسی…

Read More