اگر بر روی سیستمهای ویندوز، مک و لینوکس خود از مرورگر گوگل کروم استفاده می کنید، ضروری است تا هرچه سریعتر آن را بهروزرسانی کنید. با انتشار کروم ۷۸٫۰٫۳۹۰۴٫۸۷ شرکت گوگل به کاربران خود هشدار داده تا هرچه سریعتر این بهروزرسانی را دریافت کرده و نصب کنند. این بهروزرسانی ۲ آسیبپذیری مهم را وصله میکند. یکی از این آسیبپذیریها توسط مهاجمان در دنیای واقعی برای نفوذ به سیستمها مورد بهرهبرداری قرار گرفته است. گوگل جزئیات فنی این آسیبپذیریها را تشریح نکرده و فقط اعلام کرده این آسیبپذیریها از نوع استفاده…
Read Moreدسته: ویژه
آسیبپذیری جدید PHP به مهاجمان امکان نفوذ به وب سرورهای Nginx را میدهد
اگر شما وبسایتی دارید که مبتنی بر PHP است و بر روی سرور NGINX بوده و ویژگی PHP-FPM بر روی آنها برای بهبود کارایی فعال شده است، باید در جریان باشید که یک آسیبپذیری به تازگی شناسایی شده که مهاجمان اجازه میدهد از راه دور به وبسایت شما نفوذ کنند. به این آسیبپذیری شناسهی CVE-2019-11043 اختصاص یافته است. این آسیبپذیری وبسایتهایی با ویژگی PHP-FPM و برخی پیکربندیها را تحت تاثیر قرار میدهد و گفته شده است که این پیکربندی خیلی هم غیرمعمول نیست. کد اثبات مفهومی برای این آسیبپذیری منتشر…
Read Moreدر کروم ۷۸ قابلیت DNS امن ارائه شده و ۳۷ آسیبپذیری وصله شده است
شرکت گوگل این هفته بهروزرسانی را برای کروم منتشر کرده و نسخهی پایدار کروم ۷۸ را ارائه کرده است. در کروم ۷۸ بهبودهای زیادی حاصل شده و در مجموع ۳۷ آسیبپذیری وصله شده است. این آسیبپذیریها توسط محققان خود شرکت و محققان خارجی شناسایی و گزارش شدهاند. یکی از بهبودهای مهم و اساسی که در کروه ۷۸ شاهد هستیم معرفی ویژگی DNS بر روی HTTPS ( ویژگی DNS-over-HTTPS (DoH)) است. ارائهی این ویژگی در قالب آزمایشی است که بررسی میکند آیا پیادهسازی این فناوری در مرورگر قابل انجام است یا…
Read Moreوصلهی ۶ آسیبپذیری با انتشار نسخهی ۵٫۲٫۴ وردپرس
توسعهدهندگان وردپرس (WordPress) با انتشار نسخهی ۵٫۲٫۴ این سیستم مدیریت محتوا، ۶ آسیبپذیری شامل cross-site scripting (XSS)، unauthorized access، server-side request forgery (SSRF) و cache poisoning را وصله کردند. آخرین بهروزرسانی منتشرشده برای وردپرس که توسط توسعهدهندگان بهعنوان یک نسخهی امنیتی کوتاهمدت توصیف شده است، به رفع آسیبپذیریهای موجود در نسخهی ۵٫۲٫۳ و قبلتر وردپرس میپردازد. همچنین برای کاربرانی که هنوز نرمافزار خود را به سری ۵٫۲ ارتقا ندادهاند، بهروزرسانیهایی نیز برای سری ۵٫۱ و پیش از آن در دسترس است. کارشناسان با استفاده از اسکنر WPScan و آنالیز وصلههای…
Read Moreانتشار وصلههای امنیتی خارج از موعد برای ۸۲ آسیبپذیری موجود در محصولات مختلف ادوبی
براساس گزارشهای منتشرشده در تاریخ ۱۵ اکتبر، سومین سهشنبهی ماه جاری، شرکت نرمافزاری ادوبی (Adobe) بهمنظور وصلهکردن ۸۲ آسیبپذیری موجود در محصولات مختلف خود، بهروزرسانیهای امنیتی خارج از موعد را منتشر کرده است. محصولات آسیبدیدهای که این وصلههای امنیتی را دریافت کردهاند، عبارتند از؛ Adobe Acrobat and Reader Adobe Experience Manager Adobe Experience Manager Forms Adobe Download Manager از میان این ۸۲ آسیبپذیری امنیتی، ۴۵ مورد با شدت «بحرانی» رتبهبندی شده و تمامی آنها، محصول Adobe Acrobat and Reader را تحت تأثیر قرار میدهند. در صورت بهرهبرداری موفقیتآمیز از این…
Read Moreآسیبپذیری Sudo به کاربران لینوکس اجازه میدهد تا دستورات را حتی در صورت محدود بودن بهعنوان روت اجرا کنند
یک آسیبپذیری جدید در Sudo، یکی از ابزارهای مهم، قدرتمند و رایج کاربردی که بهعنوان یک دستور اصلی در هر سیستم عامل یونیکس و مبتنیبر لینوکسی نصب شده، کشف شده است. این آسیبپذیری مورد بحث یک مسألهی دور زدن سیاست امنیتی sudo است که به یک کاربر یا برنامهی مخرب اجازه میدهد تا دستورات دلخواه را حتی در صورت محدود بودن دسترسی بهعنوان روت در یک سیستم لینوکس هدف اجرا کند. Sudo مخفف superuser do یک دستور سیستمی است که به یک کاربر اجازه میدهد تا برنامهها و دستورات را…
Read Moreمایکروسافت بهروزرسانی وصلهی روز سهشنبهی ماه اکتبر سال ۲۰۱۹ میلادی را منتشر کرد
مایکروسافت بهروزرسانیهای امنیتی وصلهی روز سهشنبهی ماه اکتبر سال ۲۰۱۹ میلادی خود را منتشر کرد تا در مجموع ۵۹ آسیبپذیری موجود در سیستم عاملهای ویندوز و نرمافزارهای مربوطه را رفع کند که ۹ مورد از آنها بحرانی، ۴۹ مورد مهم و یکی از آنها با شدت متوسط ارزیابی شده است. نکتهی جالب توجه دربارهی وصلهی روز سهشنبهی ماه جاری این است که هیچ یک از آسیبپذیریهای امنیتی وصلهشده توسط این غول فناوری در ماه جاری بهصورت عمومی افشا نشده و در حملات مورد بهرهبرداری قرار نگرفته است. علاوهبرآن هیچ وصلهی…
Read Moreآسیبپذیری روز-صفرم جدید بیشتر گوشیهای اندرویدی را تحت تاثیر قرار میدهد
یک آسیبپذیری روز-صفرم بحرانی وصلهنشده در سیستم عامل پرکاربرد تلفن همراه، اندروید، کشف شده است که توسط شرکت نظارتی رژیم صهیونیستی به نام NSO Group یا یکی از مشتریان آن مورد بهرهبرداری قرار گرفته است تا به دستگاه اندرویدی هدف خود دست یابند. جزئیات و بهرهبرداری اثبات مفهومی این آسیبپذیری امنیتی با شدت بالا که توسط پژوهشگر پروژهی صفر، Madddie Stone کشف شده است و با شناسهی CVE-2019-2215 ردیابی میشود، در ۴ سپتامبر و تنها هفت روز پس از گزارش آن به گروه امنیتی اندروید بهطور عمومی افشا شد. این…
Read Moreاشکال پیامرسان سیگنال به تماس گیرندگان اجازه میدهد تا بدون تعامل با گیرنده بهطور خودکار تماسها را پاسخ دهند
تقریباً هر برنامهای دارای آسیبپذیریهای امنیتی است که برخی از آنها اکنون کشف میشوند، اما مابقی تا زمانی که کسی آنها را کشف و از آنها بهرهبرداری نکرده، مخفی باقی میمانند. وقتی این مسأله مطرح میشود، پیامرسان خصوصی سیگنال که بهعنوان یکی از پیامرسانهای امن در جهان ترویج داده میشود نیز از این قاعده مستثنی نیست. پژوهشگر پروژهی صفر گوگل، ناتالی سیلوانویچ یک آسیبپذیری منطقی در برنامهی پیامرسان سیگنال نسخهی اندروید کشف کرد که به تماس گیرندهی مخرب اجازه میدهد تا دستگاه گیرندهی تماس را مجبور کند که بدون نیاز…
Read Moreتنها یک تصویر GIF میتواند با استفاده از واتساپ به گوشی اندرویدی کاربران نفوذ کند
امروزه تصاویر GIF در همه جا ازجمله رسانهی اجتماعی کاربران و چتها هستند و به کاربران کمک میکنند تا بهخوبی احساسات خود را بیان کنند و مخاطبان خود را بخندانند. واتساپ بهتازگی یک آسیبپذیری امنیتی بحرانی در برنامهی خود برای اندروید وصله کرده که حداقل به مدت ۳ ماه پس از کشف وصلهنشده باقی مانده بود و درصورتیکه از آن بهرهبرداری میشد، به مهاجمان راه دور اجازه میداد تا دستگاههای اندرویدی را در معرض خطر قرار دهند و فایلها و پیامهای چت را به سرقت ببرند. این آسیبپذیری که با…
Read More