دسته: ویژه

پژوهش‌گران امنیتی چند آسیب‌پذیری را در پیاده‌سازی Bluetooth Low Energy فروشندگان بزرگ system-on-a-chip (SoC) بزرگ کشف کرده‌اند. BLE یک فناوری ارتباط بی‌سیم است که به‌منظور کاهش مصرفی باتری گوشی و دستگاه‌های اینترنت اشیا طراحی شده است. BLE شامل مجموعه‌ای از پروتکل‌های استانداردشده است که اتصال بین لوازم جانبی و گوشی هوشمند یا نوت‌بوک یک کاربر را برقرار می‌کند. کیت‌های توسعه‌ی نرم‌افزاری BLE شش فروشنده SoC بزرگ دارای آسیب‌پذیری‌های زیادی است که ممکن است توسط مهاجمان در محدوده‌ی بلوتوث ایجاد شود. پژوهش‌گران امنیتی دانشگاه فناوری و طراحی سنگاپور تشریح می‌کنند که…

Read More

دومین وصله‌ی امنیتی سه‌شنبه‌ی سال جاری منتشر شد. شرکت ادوبی در تاریخ ۱۱ فوریه جدیدترین به‌روزرسانی‌های امنیتی را برای پنج محصول پرکاربرد خود منتشر کرد. این به‌روزرسانی در مجموع ۴۲ آسیب‌پذیری تازه کشف‌شده را که ۳۵ مورد از آن‌ها به‌عنوان نقص‌های با شدت بحرانی طبقه‌بندی شده‌اند، وصله می‌کند. پنج نرم‌افزار تحت تأثیر این آسیب‌پذیری‌ها عبارتند از؛ Adobe Framemaker Adobe Acrobat and Reader Adobe Flash Player Adobe Digital Edition Adobe Experience Manager چهار نرم‌افزار اول حداقل در برابر یک آسیب‌پذیری بحرانی اجرای کد دلخواه آسیب‌پذیر هستند که می‌تواند به مهاجمان اجازه…

Read More

یکی از آسیب‌پذیری‌های امنیتی که گوگل با مجموعه‌ی وصله‌های اندرویدی برای ماه فوریه‌ی سال ۲۰۲۰ میلادی وصله کرده است، آسیب‌پذیری بحرانی موجود در بلوتوث است که می‌تواند منجر به اجرای کد شود. در مجموع، ۲۵ آسیب‌پذیری با انتشار به‌روزرسانی‌های امنیتی اندروید برای ماه فوریه وصله شده‌اند که مهم‌ترین آن‌ها، دو نقص امنیتی موجود در System است. یکی از این آسیب‌پذیری‌ها که با شناسه‌ی CVE-2020-0022 ردیابی می‌شود، اشکالی است که مؤلفه‌ی بلوتوث را تحت تأثیر قرار داده و می‌تواند توسط مهاجم راه دور برای اجرای کد دلخواه در دستگاه‌های آسیب‌پذیر مورد…

Read More

محققان SafeBreach Labs یک آسیب‌پذیری در درایور صوتی Realtek HD کشف کرد که ممکن است برای اجرای بار داده‌ی دلخواه با امتیازات سطح بالا در یک دستگاه آسیب‌دیده مورد بهره‌برداری قرار گیرد. این آسیب‌پذیری که با شناسه‌ی CVE-2019-19705 ردیابی می‌شود، ممکن است برای دور زدن راهکار دفاعی و رسیدن به پایداری از طریق بارگذاری یک DLL دلخواه بدون امضا در یک فرآیند امضاشده مورد استفاده قرار گیرد. درایور صوتی Realtek HD در همه‌ی دستگاه‌های ویندوزی که دارای کارت صوتی Realtek هستند وجود دارد و همه‌ی آن‌ها را در برابر حملات…

Read More

پژوهش‌گران امنیتی سیسکو تالوس گزارش می‌دهند که آسیب‌پذیری‌هایی که به‌تازگی در Mini-SNMPD وصله شدند، ممکن است برای حملات منع سرویس یا دست‌یابی به اطلاعات حساس مورد بهره‌برداری قرار گیرد. Mini-SNMPD یک پیاده‌سازی سبک از سرور پروتکل مدیریت شبکه‌ی ساده است که عمدتاً در سیستم‌های تعبیه‌شده مورد هدف قرار می‌گیرد. این آسیب‌پذیری هم در بسترهای x86 و هم در بسترهای ARM که Ubuntu، Alpine Linux و FreeBSD را اجرا می‌کنند، کار می‌کند. پژوهش‌گران تالوس در مجموع ۳ آسیب‌پذیری در Mini-SNMPD کشف کردند که شامل دو اشکال خواندن خارج از محدوده و…

Read More

ممکن است شرکت گوگل به اشتباه ویدئوهای خصوصی شما که بر روی سرورهای این شرکت ذخیره شده، با دیگر کاربران به اشتراک گذاشته باشد. شرکت گوگل به تازگی به این مسأله اعتراف کرده و اعلان‌های امنیتی را به کاربرانی که تحت تاثیر قرار گرفته‌اند، ارسال کرده هرچند که تعداد این کاربران هنوز افشاء نشده است. این اشکال حریم خصوصی در نتیجه‌ی یک اشکال فنی در Takeout گوگل بوده است. این سرویس از تمامی فایل‌های شما بر روی حساب کاربری گوگل در قالب یک فایل، فایل پشتیبان تهیه می‌کند و به…

Read More

یک محقق امنیتی به تازگی جزئیات چند آسیب‌پذیری مهم در پیام‌رسان واتس‌اپ را منتشر کرده که بهره‌برداری از این آسیب‌پذیری‌ها به یک مهاجم راه دور امکان می‌دهد تا سیستم میلیاردها کاربر را در سطح جهان تحت تاثیر قرار دهد. وقتی این آسیب‌پذیری‌ها با یکدیگر ترکیب شوند، نفوذگر از راه دور می‌تواند بر روی سیستم‌های ویندوز و مک با ارسال پیام‌های جعلی، فایل‌های قربانیان را به سرقت ببرد. یکی از این آسیب‌پذیری‌ها دارای شناسه‌ی CVE-2019-18426 بوده و در بخش واتس‌اپ وب وجود دارد. این نسخه از پیام‌رسان واتس‌اپ بسیار محبوب بوده…

Read More

توییتر هشداری منتشر کرد که اعلام می‌کند نفوذگران از یک عملکرد قانونی در بستر آن برای یافتن شماره تلفن‌های مرتبط با میلیون‌ها حساب کاربری بهره‌بردای کردند. به‌گفته‌ی توییتر، این آسیب‌پذیری در یکی از واسط‌های برنامه‌نویسی وجود دارد که با این هدف طراحی شده است که با تطبیق دادن شماره تلفن‌های ذخیره‌شده در مخاطبین با حساب‌های توییتری، یافتن افراد آشنا در توییتر را برای کاربران تسهیل کند. لازم به ذکر است که این ویژگی دقیقاً طبق برنامه عمل کرده است، مگر در مواردی که کسی بخواهد میلیون‌ها شماره تلفن تولیدشده به‌صورت…

Read More

گوگل هفته‌ی گذشته مجموعه‌ی به‌روزرسانی‌های امنیتی ماه فوریه‌ی سال ۲۰۲۰ میلادی را برای سیستم عامل اندروید منتشر کرد که در مجموع ۲۵ آسیب‌پذیری شامل دو آسیب‌پذیری با شدت بحرانی را رفع می‌کند. هر دوی این آسیب‌پذیری‌های بحرانی در مؤلفه‌ی System اندروید کشف شده‌اند و هر دوی آن‌ها در همه‌ی دستگاه‌هایی که وصله‌ی امنیتی  2020-02-01 را اجرا می‌کنند، وصله می‌شود. اولین مورد از این اشکال‌ها  که با شناسه‌ی CVE-2020-0022 ردیابی می‌شود، یک آسیب‌پذیری اجرای کد از راه دور است که تنها در دستگاه‌های اندروید نسخه‌ی ۸٫۰، ۸٫۱ و ۹ بحرانی در…

Read More

جو وِنیکس از بخش امنیتی اپل، آسیب‌پذیری دیگری در ابزار sudo پیدا کرده است که تحت شرایط و پیکربندی خاصی به کاربران با امتیاز پایین یا برنامه‌های مخرب اجازه می‌دهد تا دستورات دلخواه را با امتیازات مدیر در سیستم‌های لینوکس یا macOS اجرا کنند. sudo یکی از مهم‌ترین، قدرتمندترین و پرکاربردترین ابزارهایی است که به‌عنوان یک دستور اصلی در macOS و هر سیستم عامل مبتنی‌بر لینوکس یا یونیکسی از پیش نصب شده است. sudo طراحی شده است تا به کاربران این امکان را بدهد که برنامه‌ها یا دستورات را با…

Read More