حساب‌رسی‌ها بر روی OpenVPN تنها به کشف یک آسیب‌پذیری منجر شد

دو گروه از کارشناسان امنیتی برنامه‌ی راه‌اندازی شبکه‌ی خصوصی مجازی (VPN) با نام OpenVPN را مورد حساب‌رسی قرار دادند و متوجه شدند تنها یک آسیب‌پذیری در این برنامه وجود دارد. گروه اول در بررسی‌های خود به‌دنبال آسیب‌پذیری‌های مربوط به حافظه (مانند سرریز بافر و استفاده پس از آزادسازی) و ضعف‌های رمزنگاری بودند. بررسی گروه دوم اطلاعت بیشتر دربارهحساب‌رسی‌ها بر روی OpenVPN تنها به کشف یک آسیب‌پذیری منجر شد[…]

زیمنس آسیب‌پذیریِ منع سرویس در محصولات صنعتی‌ خود را وصله کرد

زیمنس برای برخی از محصولات صنعتی‌ خود از جمله SIMATIC و SCALANCE به‌روزرسانیِ امنیتی‌ منتشر کرده است تا تعدادی از آسیب‌پذیری‌های منع سرویس با شدت متوسط را وصله کند. زیمنس و ICS-CERT هرکدام ۳ مشاوره‌نامه که در مجموع ۴ آسیب‌پذیری امنیتی را پوشش می‌دهد، منتشر کردند. دو مورد از مشاوره‌نامه‌ها، آسیب‌پذیری‌ مربوط به محصولاتی را اطلاعت بیشتر دربارهزیمنس آسیب‌پذیریِ منع سرویس در محصولات صنعتی‌ خود را وصله کرد[…]

کشف ۱۰ آسیب‌پذیری بر روی مسیریاب‌های وای‌فای هوشمند Linksys

محققان امنیتی از شرکت IOActive پس از انجام بررسی بر روی مسیریاب‌های Linksys در مجموع ۱۰ آسیب‌پذیری را کشف کردند. شرکت مربوطه هنوز برای رفع این آسیب‌پذیری‌ها وصله‌ای ارائه نداده ولی راه‌حل‌هایی برای کاهش خطرات آن‌ها منتشر شده است. محققان در تحقیقات خود بر روی مسیریاب‌های شرکت Linksys که دارای ویژگی وای‌فای هوشمند بودند تمرکز اطلاعت بیشتر دربارهکشف ۱۰ آسیب‌پذیری بر روی مسیریاب‌های وای‌فای هوشمند Linksys[…]

شرکت سیسکو یک آسیب‌پذیری حیاتی را در مسیریاب‌های صنعتی کشف کرد

شرکت سیسکو روز چهارشنبه به مشتریان خود هشدار داد که برخی از مسیریاب‌های این شرکت به دلیل آسیب‌پذیری در محیط برنامه‌های IOx در معرض حملات اجرای کد از راه دور قرار دارند. شناسه‌ی این آسیب‌پذیری CVE-۲۰۱۷-۳۸۵۳ است و فرآیند DMo را در IOx تحت تأثیر قرار داده و از نبود بررسی مناسب بر روی محدوده اطلاعت بیشتر دربارهشرکت سیسکو یک آسیب‌پذیری حیاتی را در مسیریاب‌های صنعتی کشف کرد[…]

آسیب‌پذیری روز-صفرم ویندوز در SMB کم‌ اهمیت در نظر گرفته شده است

هفته‌ی گذشته یک آسیب‌پذیری روز-صفرم در پروتکلِ قطعه‌های پیام کارگزار (SMB) نسخه‌ی ۳ ویندوز افشاء شد. شناسه‌ی این آسیب‌پذیری CVE-۲۰۱۷-۰۰۱۶ است و مایکروسافت آن را در دسته‌ی آسیب‌پذیری‌های حیاتی و جدی قرار نداده و یک آسیب‌پذیری با درجه‌ی اهمیتِ بالا در نظر گرفته شده است. این آسیب‌پذیری مربوط به نحوه‌ی مدیریت ترافیک SMB در ویندوز اطلاعت بیشتر دربارهآسیب‌پذیری روز-صفرم ویندوز در SMB کم‌ اهمیت در نظر گرفته شده است[…]

آسیب‌پذیری‌های چاپگرها، تهدیدی برای سازمان‌ها

محققان آلمانی ۲۰ چاپگر متعلق به تولیدکنندگان مختلف را مورد تحلیل و بررسی قرار دادند و متوجه شدند در هر چاپگر حداقل یک آسیب‌پذیری وجود دارد. بهره‌برداری از این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهد چاپگرها را درهم بشکنند و یا اطلاعات حساسی را بدست آورده و به شبکه دسترسی داشته باشند. کارشناسان این آزمایش را اطلاعت بیشتر دربارهآسیب‌پذیری‌های چاپگرها، تهدیدی برای سازمان‌ها[…]

وصله‌ی ۴ آسیب‌پذیری در OpenSSL

پروژه‌ی OpenSSL روز پنج‌شنبه اعلام کرد که نسخه‌ی ۱.۱.۰d و ۱.۰.۲k در دسترس قرار گرفته و در این نسخه‌ها در حالت کلی ۴ آسیب‌پذیری با درجه‌ی اهمیت کم و متوسط وصله شده است. یکی از این آسیب‌پذیری‌ها با شناسه‌ی CVE-۲۰۱۷-۳۷۳۱ به مهاجم اجازه می‌دهد با استفاده از یک بسته‌ی ناقص، خواندن خارج از محدوده را اطلاعت بیشتر دربارهوصله‌ی ۴ آسیب‌پذیری در OpenSSL[…]

کشف ۳ آسیب‌پذیری حیاتی در کارگزار پایگاه داده‌ی Aerospike

محققان امنیتی سیسکو تالوس چند آسیب‌پذیری بالقوه و حیاتی از جمله اجرای کد از راه دور و افشای اطلاعات را در کارگزار پایگاه داده‌ی Aerospike شناسایی کردند. کارگزار پایگاه داده‌ی Aerospike یک راه‌حل پایگاه داده‌ای NoSQL است که برای برنامه‌هایی که نیازمند کارایی بالا هستند، طراحی شده است. این محصول توسط نام‌های تجاری معروفی مانند اطلاعت بیشتر دربارهکشف ۳ آسیب‌پذیری حیاتی در کارگزار پایگاه داده‌ی Aerospike[…]

وصله‌های مایکروسافت برای ویندوز، آفیس و مرورگر اج

مایکروسافت آسیب‌پذیری‌ها در محصولات ویندوز، آفیس و مرورگر وب اج را برطرف کرد. به‌روزرسانی‌های امنیتی مایکروسافت که روز سه‌شنبه منتشر شد شامل ۴ بولتن امنیتی است. این شرکت دو بولتن مهم و حیاتی را منتشر کرد که در یکی از این بولتن‌ها یک آسیب‌پذیری خرابی حافظه در آفیس (CVE-۲۰۱۷-۰۰۰۳) وصله شده است. این آسیب‌پذیری به اطلاعت بیشتر دربارهوصله‌های مایکروسافت برای ویندوز، آفیس و مرورگر اج[…]

کلاه‌برداری از طریق سرویس‌های پشتیبانی فنی و درهم شکستن سامانه‌های مک

محققان امنیتی هشدار دادند کد مخربی برای درهم شکستن سامانه‌های مک طراحی شده است. با تحریک کاربر برای فراخوانی یک سرویس پشتیبانی فنی جعلی، این کد مخرب بر روی ماشین قربانی عمل می‌کند. باید اشاره کرد که این حمله مبتنی بر مرورگر است و در سناریوی حمله به سامانه‌های مک، بدافزار بر روی ماشین قربانی اطلاعت بیشتر دربارهکلاه‌برداری از طریق سرویس‌های پشتیبانی فنی و درهم شکستن سامانه‌های مک[…]