وصله‌ی آسیب‌پذیری بحرانی موجود در سیستم مدیریت انجمن vBulletin

توسعه‌دهندگان vBulletin، یکی از  نرم‌افزارها و سیستم‌های مدیریت انجمن، اخیراً از انتشار به‌روزرسانی مهمی برای وصله‌ی یک آسیب‌پذیری بحرانی خبر داده‌اند. بااین‌حال، هیچ اطلاعاتی در مورد این آسیب‌پذیری که با شناسه‌ی CVE-2020-12720 ردیابی می‌شود، فاش نشده است. نرم‌افزار vBulletin که به زبان برنامه‌نویسی PHP نوشته شده است، یک نرم‌افزار پرکاربرد انجمن اینترنتی است که توسط بیش از ۱۰۰هزار وب‌سایت در اینترنت، از جمله انجمن‌های برخی از شرکت‌های بزرگ جهان استفاده می‌شود. از آن‌جایی که این نرم‌افزار محبوب، یکی از اهداف مورد علاقه‌ی نفوذگرها است، منتشرنکردن جزئیات این آسیب‌پذیری به کاربران…

Read More

بهره‌برداری از آسیب‌پذیری‌های افزونه‌ی Elementor برای نفوذ به وب‌گاه‌های وردپرس

شرکت امنیتی وردپرس، Defiant، هشدار داد که عاملان تهدید به‌طور فعال یک آسیب‌پذیری موجود در افزونه‌ی Elementor Pro وردپرس را هدف قرار می‌دهند تا به وب‌گاه‌ها نفوذ کنند. با وجود این‌که بیش از یک میلیون وب‌گاه Elementor Pro را نصب کرده‌اند، اما این افزونه نسخه‌ی پولی افزونه‌ی Elementor رایگان و یک سازنده‌ی صفحه به حالت drag & drop است. تنها Elementor Pro که به‌صورت مجزا آماده‌ی بارگیری است تحت تأثیر این آسیب‌پذیری قرار گرفته است. این آسیب‌پذیری که در نمره‌دهی CVSS دارای امتیاز ۹٫۹ است توسط مهاجمان به‌منظور بارگذاری فایل‌های…

Read More

افشای برخی از داده‌های مشتریان ارائه‌دهنده‌ی خدمات زیرساخت رایانش ابری DigitalOcean

شرکت ارائه‌دهنده‌ی خدمات زیرساخت رایانش ابری DigitalOcean، یکی از بزرگترین بسترهای میزبانی وب، اخیراً با یک رویداد افشای داده‌ها روبرو شده که طی آن، برخی از داده‌های مشتریان در دسترس اشخاص ثالث ناشناس و غیرمجاز قرار گرفته است. این شرکت با تأیید موضوع، با ارسال ایمیل در مورد دامنه‌ی این رویداد به مشتریان آسیب‌دیده هشدار داده است. با توجه به ایمیل‌های ارسال‌شده از سوی DigitalOcean، افشای اطلاعات به‌دلیل سهل‌انگاری اتفاق افتاده و این شرکت به‌صورت ناخواسته یک سند داخلی را بدون نیاز به رمز عبور در اینترنت قرار داده است.…

Read More

هدف قرارگرفتن نزدیک به یک میلیون وب‌سایت وردپرس با بهره‌برداری از آسیب‌پذیری‌های قدیمی

به گزارش محققان امنیتی، یک پویش گسترده بیش از ۹۰۰هزار وب‌سایت وردپرس را از طریق بهره‌داری از آسیب‌پذیری‌های موجود در افزونه‌ها و تِم‌ها هدف قرار داده است. این حمله در ابتدا در ۲۸ آوریل شناسایی شد، اما در ۳ ماه مه هنگامی که بیش از نیم‌میلیون وب‌سایت مورد حمله قرار گرفتند، به اوج خود رسید. طبق گزارش‌ها، این پویش به‌منظور تزریق جاوااسکریپت مخرب به وب‌سایت‌ها و با هدف هدایت بازدیدکنندگان به وب‌سایت‌های مخرب طراحی شده است. محققان دریافتند که طی یک ماه گذشته، بیش از ۲۴هزار آدرس IP مجزا برای…

Read More

وصله‌ی آسیب‌پذیری روز صفرم موجود در تلفن‌های همراه هوشمند سامسونگ

سامسونگ با انتشار به‌روزرسانی‌های امنیتی ماه مه ۲۰۲۰ برای تلفن‌های هوشمند اندرویدی خود، یک آسیب‌پذیری بحرانی را نیز که از سال ۲۰۱۴ میلادی تمامی دستگاه‌های آن را تحت تأثیر قرار می‌دهد، وصله کرد. علاوه‌بر وصله‌های بولتن امنیتی اندروید-مه ۲۰۲۰، این سازنده‌ی تلفن همراه در مجموع، ۱۹ آسیب‌پذیری را در تلفن‌های هوشمند خود وصله کرده است. مهم‌ترین این آسیب‌پذیری‌ها، دو اشکال بحرانی در سیستم امنیتی bootloader و كتابخانه‌ی Quram با decoding qmg هستند. اولین آسیب‌پذیری، یک سرریز بافر مبتنی‌بر پشته است که می‌تواند امکان دورزدن secure boot را فراهم کرده و…

Read More

وصله‌ی آسیب‌پذیری‌های با شدت بالا در محصولات امنیتی سیسکو

شرکت تولیدکننده‌ی تجهیزات شبکه‌ی سیسکو از انتشار به‌روزرسانی‌های امنیتی برای وصله‌ی بیش از ۳۰ آسیب‎پذیری موجود در محصولات مختلف، از جمله ۱۲ آسیب‌پذیری‌ با شدت بالا که Adaptive Security Appliance (ASA) و Firepower Threat Defense (FTD) را تحت تأثیر قرار می‌دهند، خبر داد. مهم‌ترین این آسیب‌پذیری‌ها که با شناسه‌ی CVE-2020-3187 ردیابی شده و در سیستم CVSS، امتیاز ۹٫۱ را دریافت کرده است، می‌تواند برای انجام حملات پیمایش مسیر و سپس، خواندن یا حذف فایل‌های حساس بر روی یک سیستم آسیب‌پذیر مورد بهره‌برداری قرار بگیرد. به گفته‌ی سیسکو، این آسیب‌پذیری به‌دلیل…

Read More

دو VPN محبوب از طریق به‌روزرسانی‌های جعلی، کاربران را در معرض حملات قرار می‌دهند

محققان امنیتی با تجزیه و تحلیل ۲۰ سرویس VPN محبوب متوجه شدند که دو مورد از آن‌ها در معرض آسیب‌پذیری‌هایی هستند که می‌توانند برای نفوذ به دستگاه‌های کاربران مورد بهره‌برداری قرار بگیرند. براساس نتایج این تجزیه و تحلیل، دو سرویس آسیب‌پذیر PrivateVPN وBetternet  به مهاجمان اجازه می‌دهند تا ارتباطات را intercept کرده و به‌روزرسانی‌های جعلی را اعمال کنند. هر دو فروشنده در اواسط ماه فوریه از وجود این آسیب‌پذیری‌ها مطلع شده و برای جلوگیری از این نوع حملات، وصله‌هایی را منتشر کرده‌اند. به گفته‌ی محققان، سرویس‌هایPrivateVPN ، Betternet ، TorGuard…

Read More

انتشار فایرفاکس نسخه‌ی ۷۶ به همراه وصله‌های امنیتی و هشدارهای مربوط به گذرواژه‌های افشاشده

هفته‌ی گذشته موزیلا مرورگر فایرفاکس نسخه‌ی ۷۶ را به همراه یک مدیر گذرواژه‌ی به‌روزرسانی‌شده، هشدارهای مربوط به گذرواژه‌های افشاشده و وصله‌هایی برای ۱۱ آسیب‌پذیری در کانال پایدار منتشر کرد. با انتشار نسخه‌ی جدید، این مرورگر قصد دارد به کاربران کمک کند تا حساب‌های خود را ایمن‌تر نگه دارند و به‌آسانی گذرواژه‌های قوی تولید کنند. در دستگاه‌های اشتراکی، این ویژگی با درخواست گذرواژه‌ی حساب از کاربران، قبل از فراهم کردن امکان ذخیره‌ی اطلاعات ورود برای آن‌ها، گذرواژه‌ها را ایمن نگه می‌دارد. علاوه‌برآن، گواهی‌نامه‌ها تنها به مدت ۵ دقیقه در دسترس هستند.…

Read More

راه‌اندازی پروکسی امن Discover برای مرور اینترنت توسط فیس‌بوک

حدود ۶ سال پس از آن‌که فیس‌بوک برنامه‌ی Free Basic خود را راه‌اندازی کرد تا اینترنت را در اختیار طیف وسیعی از افراد قرار دهد، با یک نوآوری جدید به نام Discover دوباره به آن رجوع کرد. این سرویس که به‌عنوان یک برنامه‌ی وب و اندرویدی تلفن همراه در دسترس است، به کاربران اجازه می‌دهد تا با استفاده از data cap‌های روزانه‌ی رایگان اینترنت را مرور کنند. برنامه‌ی Discover فیس‌بوک درحال‌حاضر در پرو با همکاری شرکت‌های مخابراتی محلی مانند Bitel، Claro، Entel و Movistar آزمایش می‌شود. آخرین پروژه‌ی اتصال فیس‌بوک…

Read More

ویژگی جدید گیت‌هاب به یافتن آسیب‌پذیری‌ها و Secretهای موجود در کد کمک می‌کند

گیت‌هاب هفته‌ی گذشته از دو ویژگی امنیتی رونمایی کرد که برای کمک به توسعه‌دهندگان برای کشف آسیب‌پذیری‌ها و secret‌های موجود در کد آن‌ها طراحی شده است. این شرکت در کنفرانس مجازی Satellite خود از چند محصول جدید رونمایی کرد که یکی از آن‌ها با هدف کمک به مشتریان برای نوشتن و به کار گرفتن کد ایمن‌تر طراحی شده است. این ویژگی‌های امنیتی جدید یعنی اسکن کد و اسکن secret درحال‌حاضر در نسخه‌ی بتا وجود دارد. گیت‌هاب بیان می‌کند که اسکن کد به توسعه‌دهندگان کمک می‌کند تا آسیب‌پذیری‌های موجود در هر…

Read More