آسیب‌پذیری‌های مهم در هفته‌ی دوم دی ماه سال ۹۹

در هفته‌ای که گذشت، در مجموع ۱۴ آسیب‌پذیری در محصولات مختلف شرکت‌ هواوی شناسایی شدند. بیشتر این آسیب‌پذیری‌ها، از نوع منع سرویس هستند. در ادامه، هفته‌نامه‌ی تخصصی امنیت ارائه شده است.

Read More

آسیب‌پذیری موجود در نرم‌افزار SolarWinds Orion، امکان نصب بدافزار SUPERNOVA را برای مهاجمان فراهم می‌کند

یک آسیب‌پذیری دور زدن احراز هویت در رابط برنامه‌نویسی کاربردی (API) نرم‌افزار SolarWinds Orion، می‌تواند توسط مهاجمان برای نصب بدافزار SUPERNOVA در محیط‌های هدف، مورد بهره‌برداری قرار گیرد. نرم‌افزار SolarWinds Orion، محصولی است که برای ارتباط با سایر محصولات نظارت و مدیریت سیستم شرکت Orion استفاده می‌شود. طبق گزارش‌ها، این آسیب‌پذیری روز صفرم که با شناسه‌ی CVE-2020-10148 ردیابی می‌شود، به یک مهاجم از راه دور اجازه می‌دهد تا با اجرای دستورات غیرمجاز API، این نرم‌افزار را به خطر بیاندازد. در صورتی که مهاجم بتواند در تابع Request.PathInfo مربوط به یک…

Read More

آسیب‌پذیری در سرویس Google Docs به مهاجمان اجازه‌ی مشاهده‌ی اسناد محرمانه‌ی کاربران را می‌دهد

گوگل یک آسیب‌پذیری را که در ابزار فیدبک که در سرویس‌های این شرکت گنجانده شده بود، وصله کرد. یک مهاجم با بهر‌ه‌برداری از این آسیب‌پذیری می‌توانست با قرار دادن آن‌ها در یک وب‌سایت مخرب، به آسانی اسکرین‌شات‌هایی را از اسناد گوگل‌داک به سرقت ببرد. بسیاری از محصولات گوگل مثل گوگل‌داک دارای گزینه‌های Send feedback و Help Docs improve هستند که به کاربر اجازه می‌دهد فیدبکی را به همراه گزینه‌ی دارای اسکرین‌شات ارسال کند. این در حالی است که به جای اینکه این قابلیت بر روی هریک از سرویس‌ها پیاده‌سازی شود،…

Read More