دسته: مطالب برگزیده

  شرکت ادوبی در یک به‌روزرسانی امنیتی، یک آسیب‌پذیری حیاتی را در نرم‌افزار ادوبی فلش‌پلیر وصله کرده است. گفته می‌شود این آسیب‌پذیری در حملات فعال در دنیای واقعی علیه کاربران ویندوز مورد بهره‌برداری قرار گرفته است. آسیب‌پذیری هفته‌ی گذشته توسط چند شرکت امنیتی به‌طور مستقل شناسایی شده و گفته می‌شود کاربران ویندوز در خاورمیانه را با استفاده از یک فایل صفحه گسترده‌ی اکسل جعلی هدف قرار می‌دهد. محققان توضیح دادند نفوذگران با استفاده از یک فایل جعلی اکسل، از راه دور از این آسیب‌پذیری بهره‌برداری می‌کنند. زمانی که کاربر این…

Read More

  اگر از مرورگر گوگل کروم استفاده می‌کنید، ضروری است تا هرچه سریع‌تر آن را به‌روزرسانی کنید. یک محقق امنیتی در اواخر ماه مه سال جاری، یک آسیب‌پذیری مهم را در مرورگر کروم بر روی سیستم‌ عامل‌های ویندوز، مک و لینوکس کشف و به شرکت گوگل گزارش داده است. در یک پست وبلاگی که امروز منتشر شده است، به جزئیات فنی این آسیب‌پذیری اشاره نشده ولی این اشکال از نوع مدیریت نادرست سرآیند CSP گزارش شده و به آن شناسه‌ی CVE-2018-6148 اختصاص داده شده است. گروه امنیتی کروم اعلام کرده…

Read More

  صدها هزار از وب‌سایت‌هایی که از سیستم مدیریت محتوای دروپال استفاده می‌کنند دارای یک آسیب‌پذیری حیاتی هستند که تقریبا دو ماه از وصله شدن آن می‌گذرد. بیشتر این وب‌سایت‌ها مربوط به نهادهای دولتی و آموزشی هستند. یک محقق امنیتی کل اینترنت را اسکن کرده و متوجه شده بیش از ۱۱۵ هزار وب‌سایت در سراسر جهان دارای آسیب‌پذیری Drupalgeddon2 هستند.  این آسیب‌پذیری دارای شناسه‌ی CVE-2018-7600 بوده و یک آسیب‌پذیری اجرای کد از راه دور محسوب می‌شود که در ماه مارس شناسایی شده است. مهاجم می‌تواند با بهره‌برداری از این آسیب‌پذیری…

Read More

  محققان امنیتی اعلام کردند نزدیک به ۱۰۰ میلیون دستگاه اینترنت اشیاء حتی اگر از پیشرفته‌ترین سطح رمزنگاری استفاده کنند، در معرض حملاتی قرار دارند که مهاجمان می‌توانند بر روی دستگاه آسیب‌پذیر دسترسی‌ کاملی داشته باشند. این آسیب‌پذیری در پیاده‌سازی پروتکل Z-Wave وجود دارد. این پروتکل بی‌سیم، فناوری ارتباطات فرکانس رادیویی است که در دستگاه‌های خودکار خانگی برای ارتباط با یکدیگر مورد استفاده قرار می‌گیرد. پروتکل Z-Wave برای ایجاد فرآیندی آسان برای تنظیم ارتباطات و کنترل از راه دور در بازه‌ی با مسافت تا ۱۰۰ متر مورد استفاده قرار می‌گیرد.…

Read More

  گزارش‌ها حاکی از آن است که محققان ۸ آسیب‌پذیری مشابه آسیب‌پذیری Spectre کشف کرده‌اند که جدی‌تر از آسیب‌پذیری‌های قبلی بوده و بهره‌برداری از آن‌ها به مراتب راحت‌تر است. این آسیب‌پذیری توسط گروهی از محققان گوگل شناسایی شده که در کشف آسیب‌پذیری‌های Meltdown و Spectre نیز نقش داشته‌اند.  این مجموعه‌ی جدید از آسیب‌پذیری‌ها Spectre Next Generation و یا Spectre-NG نام داشته و پردازنده‌های اینتل و برخی از پردازنده‌های ARM را تحت تاثیر قرار می‌دهند. پردازنده‌های AMD نیز در حال حاضر در دست بررسی هستند تا مشخص شود که تحت تاثیر…

Read More

  اخیرا محققان روشی را شناسایی کردند که با استفاده از یک روش قدیمی ۴ ساله به نام Rowhammer می‌توانند تلفن‌های همراه را از راه دور هدف قرار دهند. این حمله GLitch نام‌گذاری شده و نوع جدیدی از حملات Rowhammer محسوب می‌شود که از واحدهای پردازنده‌ی گرافیکی که در دستگاه‌ها تعبیه شده، برای حمله به تلفن‌های همراه بهره‌برداری می‌کند. حمله‌ی Rowhammer مشکلی است که مربوط به حافظه‌ی از نوع DRAM بوده و دسترسی مداوم به یک سطر از حافظه می‌تواند منجر به تغییراتی در سطر مجاور شود و این مسأله…

Read More

  تنها پس از گذشت چند ساعت از انتشار آخرین به روزرسانی امنیتی دروپال که یک آسیب پذیری جدید اجرای کد از راه دور را وصله می کرد، مهاجمان بهره برداری از آن را در دنیای واقعی آغاز کردند. دیروز آسیب پذیری جدیدی با شناسه ی CVE-2018-7602 اطلاع رسانی شد که دروپال ۷ و ۸ را تحت تاثیر قرار می داد. مهاجم از راه دور می‌تواند از این آسیب‌پذیری جدید بهره‌برداری کرده و مانند آسیب‌پذیری Drupalgeddon2 کنترل کامل وب‌سایت مورد نظر را در دست بگیرد. هرچند گروه دروپال برای جلوگیری…

Read More

  توسعه دهندگان دروپال روز دوشنبه اعلام کردند که نسخه های ۷٫x، ۸٫۴٫x  و ۸٫۵٫x این سیستم مدیریت محتوا، اواخر این هفته یک به روزرسانی امنیتی جدید را دریافت خواهند کرد. در به روزرسانی جدید هسته ی دروپال که ۲۵ آوریل منتشر خواهد شد، یک آسیب پذیری بسیار حیاتی با شناسه ی CVE-2018-7600 که Drupalgeddon2 نامیده می شود، برای بار دوم وصله خواهد شد. درحالی‌که توسعه‌دهندگان دروپال این به‌روزرسانی امنیتی جدید را به‌عنوان یک وصله‌ی ثانویه برای  آسیب‌پذیری Drupalgeddon2 توصیف کرده‌اند، یک شناسه‌ی CVE جداگانه به‌صورت CVE-2018-7602 نیز برای آسیب‌پذیری…

Read More

  گروه توسعه دهنده ی نرم افزار Foxit بیش از ۱۰ آسیب پذیری موجود در برنامه ی PDF Reader را وصله کرده است. Foxit PDF Reader یک برنامه ی رایگان است که جایگزینی برای آکروبات ادوبی ریدر محسوب می شود. Foxit PDF Reader که برای مشاهده، ایجاد و ویرایش اسناد پی دی اف طراحی شده است، یک برنامه ی محبوب رایگان بوده و دارای یک افزونه ی مرورگر است که به طور گسترده ای استفاده می شود. در آخرین نسخه‌ی این برنامه که روز جمعه منتشر شد، یک ‎‌اشکال امنیتی…

Read More

  اگر دارای دستگاه اپل هستید و برای شارژ شدن سریع آن و یا اشتراک هرگونه فایلی، دستگاه خود را به لپ‌تاپ دوست خود متصل می‌کنید، بسیار مراقب باشید. محققان امنیتی از شرکت سیمانتک، حمله‌ی جدیدی بر روی دستگاه‌های آیفون و آی‌پد اپل را شناسایی کرده و TrustJacking نام‌گذاری کردند. اجرای این حمله، به کسی که شما به او اعتماد دارید، این امکان را می‌دهد تا کنترلِ مانایی را بر روی سیستم شما بدست آورده و از دستگاه اپل شما، اطلاعات بسیاری را استخراج کند. شرکت اپل در دستگاه‌های iOS…

Read More