آسیب‌پذیری

آسیب‌پذیری بحرانی موجود در WAGO PLC، مراکز صنعتی را در معرض خطر قرار می‌دهد

کنترل‌کننده‌های منطقی قابل برنامه‌ریزی (PLC ها) از شرکت اتوماسیون صنعتی آلمانی WAGO، تحت تاثیر یک آسیب‌پذیری بالقوه‌ی جدی قرار دارند که می‌تواند دسترسی از راه دور مهاجم به کل شبکه‌ی سازمان را ممکن سازد.

حمله‌ی Mailsploit: برنامه‌های مدیریت رایانامه‌ اجازه‌ی کلاه‌برداری و تزریق کد را می‌دهند

ده‌ها برنامه‌ی مدیریت رایانامه، از جمله برخی از برنامه‌های محبوب، از آسیب‌پذیری‌هایی که می‌توانند برای انجام کلاه‌برداری و در برخی موارد برای تزریق کد مورد بهره‌برداری قرار گیرند، آسیب دیده‌اند.

این روش حمله که Mailsploit نامیده می‌شود، توسط یک نفوذگر کلاه سفید و یابنده‌ی اشکال که در شرکت پیام‌رسانی امن Wire کار می‌کرد، کشف شده بود.

برنامه‌ی ویژه‌ی سامسونگ برای پرداختن جایزه به ازای شناسایی آسیب‌پذیری در محصولات این شرکت

سامسونگ، Bugcrowd را که در برنامه‌ی پاداش در ازای اشکال امنیت تلفن‌همراه،  برای هر آسیب پذیری تا ۲۰۰ هزار دلار پیشنهاد می‌کند، می‌پذیرد. Bugcrowd یک مقیاس امتیاز‌دهی به آسیب‌پذیری‌ها است و بر اساس میزان خطر آسیب‌پذیری، آن‌ها را دسته‌بندی می‌کند.

امکان حذف هر عکسی با آسیب‌پذیری موجود در فیس‌بوک

یک پژوهشگر می‌گوید بعد از یافتن یک آسیب‌پذیری حیاتی که برای حذف هر عکسی از شبکه اجتماعی مورد بهره‌برداری قرار می‌گیرد، یک پاداش ۱۰ میلیون دلاری از فیس‌بوک دریافت کرده است.

در اوایل ماه نوامبر، فیس‌بوک از یک ویژگی جدید برای ارسال نظرات حاوی عکس‌ها و تصاویر متحرک GIF خبر داد. پژوهشگر امنیتی و توسعه‌دهنده‌ی وب ایرانی به نام پویا دارابی این ویژگی را مدت کوتاهی پس از راه‌اندازی آن تجزیه و تحلیل کرد و کشف کرد که این ویژگی یک آسیب‌پذیری را معرفی می‌کند که به آسانی قابل بهره‌برداری است.

تولیدکنندگان سخت‌افزاری روی وصله کردن آسیب‌پذیری‌های تراشه‌ی اینتل کار می‌کنند

اِیسر، دل، فوجیتسو، HPE، لِنوو، اینتل و پاناسونیک روی انتشار وصله‌هایی برای آسیب‌پذیری‌های اخیر که پردازنده‌های اینتل را تحت تاثیر قرار می‌دهند، کار می‌کنند، اما مدتی طول می‌کشد تا به‌روزرسانی‌های ثابت‌افزار در دسترس همه‌ی مشتریان قرار بگیرد.

 

۲۰ میلیون دستگاه گوگل‌هوم و آمازون‌اِکو تحت تاثیر آسیب‌پذیریِ جدید بلوتوث

مجموعه‌ای از آسیب‌پذیری‌های حیاتی بلوتوث که اخیراً افشاء شده‌اند و میلیاردها دستگاه اندروید، iOS، ویندوز و لینکوس را تحت تاثیر قرار داده‌اند، اکنون در میلیون‌ها دستیار شخصی فعال‌شونده‌ با صدا‌ی مبتنی‌بر هوش مصنوعی از جمله گوگل‌هوم و آمازون‌اِکو کشف شده‌اند.

تخمین زده شده است که در نتیجه‌ی این تهدید مخرب، چندین دستگاه هوشمند و اینترنت اشیاء که سامانه‌های عامل آن‌ها اغلب کمتر از تلفن‌های هوشمند و رایانه‌های رومیزی به‌روزرسانی می‌شوند نیز در برابر این حمله که BlueBorne نام دارد، آسیب‌پذیر هستند.

وصله‌ی ۸۰ آسیب‌پذیری در ۹ محصول ادوبی

شرکت ادوبی روز سه‌شنبه اعلام کرد که در مجموع ۸۰ آسیب‌پذیری را در برنامه‌های فلش‌پلیر، فتوشاپ، کانِکت، آکروبات و ریدر، DNG Converter، این‌دیزاین، Digital Editions، Shockwave Player، و Experience Manager که از محصولات این شرکت هستند، وصله کرده است.

آسیب‌پذیری موجود در ماژول‌های کنترل از راه دورِ محصولات زیمنس و امکان اجرای کد از راه دور

در برخی از ماژول‌های کنترل از راه دورِ SICAM زیمنس آسیب‌پذیری‌های بالقوه‌ی جدی یافت شده است، اما برای محصولی که پشتیبانی از آن متوقف شده است، وصله‌ای منتشر نخواهد شد.

محققان خدمات امنیتی فناوری اطلاعات و مشاوره‌ی شرکت SEC Consult، آسیب‌پذیری‌هایی را در ماژول‌های SICAM RTU SM-2556 COM کشف کردند که می‌تواند برای ارتباطات LAN/WAN به کنترل‌کننده‌های ایستگاه SICAM 1703 و RTU متصل شود. این محصول در سراسر جهان از جمله داخل کشور،  در بخش انرژی و دیگر بخش‌ها مورد استفاده قرار می‌گیرد.

افشاء داده‌های متنی و تماس‌های تلفنی در نتیجه‌ی آسیب‌پذیری Eavesdropper در نرم‌افزار‌های تلفن همراه

توسعه‌دهندگان برنامه‌ی تلفن همراه که با استفاده از بستر مبتنی‌بر ابر Twilio کدنویسی می‌کنند، فراموش کرده‌اند که گواهی‌نامه‌های هاردکد شده‌ی خود را حذف کنند، و داده‌های کسب وکارها را در معرض خطر قرار داده‌اند.

این آسیب‌پذیری که Eavesdropper نام دارد و چند روز پیش توسط شرکت کشف شد، از حدود سال ۲۰۱۱ میلادی وجود داشته و در برنامه‌هایی که بیش از ۲۰۰ میلیون بارگیری شده‌اند، شناسایی شده است. 

دور زدن IDS با استفاده از امضاهای IDS

یک محقق امنیتی در کنفرانس DefCamp، سال ۲۰۱۷ میلادی که در بخارست برگزار شد ادعا کرد، که امضاهای سامانه‌ی تشخیص نفوذ یا IDS می‌توانند به عنوان یک روش برای دور زدن خود IDS مورد استفاده قرار بگیرند.

صفحه‌ها