آسیب‌پذیری

۲۰ میلیون دستگاه گوگل‌هوم و آمازون‌اِکو تحت تاثیر آسیب‌پذیریِ جدید بلوتوث

مجموعه‌ای از آسیب‌پذیری‌های حیاتی بلوتوث که اخیراً افشاء شده‌اند و میلیاردها دستگاه اندروید، iOS، ویندوز و لینکوس را تحت تاثیر قرار داده‌اند، اکنون در میلیون‌ها دستیار شخصی فعال‌شونده‌ با صدا‌ی مبتنی‌بر هوش مصنوعی از جمله گوگل‌هوم و آمازون‌اِکو کشف شده‌اند.

تخمین زده شده است که در نتیجه‌ی این تهدید مخرب، چندین دستگاه هوشمند و اینترنت اشیاء که سامانه‌های عامل آن‌ها اغلب کمتر از تلفن‌های هوشمند و رایانه‌های رومیزی به‌روزرسانی می‌شوند نیز در برابر این حمله که BlueBorne نام دارد، آسیب‌پذیر هستند.

وصله‌ی ۸۰ آسیب‌پذیری در ۹ محصول ادوبی

شرکت ادوبی روز سه‌شنبه اعلام کرد که در مجموع ۸۰ آسیب‌پذیری را در برنامه‌های فلش‌پلیر، فتوشاپ، کانِکت، آکروبات و ریدر، DNG Converter، این‌دیزاین، Digital Editions، Shockwave Player، و Experience Manager که از محصولات این شرکت هستند، وصله کرده است.

آسیب‌پذیری موجود در ماژول‌های کنترل از راه دورِ محصولات زیمنس و امکان اجرای کد از راه دور

در برخی از ماژول‌های کنترل از راه دورِ SICAM زیمنس آسیب‌پذیری‌های بالقوه‌ی جدی یافت شده است، اما برای محصولی که پشتیبانی از آن متوقف شده است، وصله‌ای منتشر نخواهد شد.

محققان خدمات امنیتی فناوری اطلاعات و مشاوره‌ی شرکت SEC Consult، آسیب‌پذیری‌هایی را در ماژول‌های SICAM RTU SM-2556 COM کشف کردند که می‌تواند برای ارتباطات LAN/WAN به کنترل‌کننده‌های ایستگاه SICAM 1703 و RTU متصل شود. این محصول در سراسر جهان از جمله داخل کشور،  در بخش انرژی و دیگر بخش‌ها مورد استفاده قرار می‌گیرد.

افشاء داده‌های متنی و تماس‌های تلفنی در نتیجه‌ی آسیب‌پذیری Eavesdropper در نرم‌افزار‌های تلفن همراه

توسعه‌دهندگان برنامه‌ی تلفن همراه که با استفاده از بستر مبتنی‌بر ابر Twilio کدنویسی می‌کنند، فراموش کرده‌اند که گواهی‌نامه‌های هاردکد شده‌ی خود را حذف کنند، و داده‌های کسب وکارها را در معرض خطر قرار داده‌اند.

این آسیب‌پذیری که Eavesdropper نام دارد و چند روز پیش توسط شرکت کشف شد، از حدود سال ۲۰۱۱ میلادی وجود داشته و در برنامه‌هایی که بیش از ۲۰۰ میلیون بارگیری شده‌اند، شناسایی شده است. 

دور زدن IDS با استفاده از امضاهای IDS

یک محقق امنیتی در کنفرانس DefCamp، سال ۲۰۱۷ میلادی که در بخارست برگزار شد ادعا کرد، که امضاهای سامانه‌ی تشخیص نفوذ یا IDS می‌توانند به عنوان یک روش برای دور زدن خود IDS مورد استفاده قرار بگیرند.

شناسایی چندین آسیب‌پذیری امنیتی در راه‌انداز یو‌اِس‌بی لینوکس با روش‌های فازینگ

راه‌اندازهای یواِس‌بی موجود در هسته‌ی لینوکس آسیب‌پذیری‌های امنیتی زیادی دارند که در برخی موارد مهاجمان می‌توانند برای اجرای کدهای غیرقابل اعتماد از آن‌ها بهره‌برداری کنند و کنترل رایانه‌ی کاربران را به دست بگیرند.

اکثر این آسیب‌پذیری‌ها روز دوشنبه، وقتی یکی از کارشناسان امنیتی گوگل،  به نام Andrey Konovalov به شرکت لینوکس اطلاع داد که ۱۴ آسیب‌پذیری در زیرسامانه‌ی یواِس‌بی هسته‌ی لینوکس پیدا کرده است، افشاء شدند.

هشدار جدی درباره‌ی آسیب‌پذیری‌های یکی از الگوریتم‌های رمزنگاری استاندارد IEEE

آخرین پژوهش‌های دانشگاهی بر روی نقاط ضعفِ راه‌کارهای حفاظتی مبتنی‌بر رمزنگاری در پیاده‌سازی استاندارد IEEE P1735 تمرکز کرده‌اند، و وزارت امنیت داخلیِ آمریکا روز جمعه یک هشدار درباره‌ی این مسأله منتشر کرد.

کشف ۱۱ آسیب‌پذیری در گلکسی S8 در مسابقات PWN2OWN

مسابقات سالیانه‌ی Pwn2Own  ويژه‌ی چند روز پیش در توکیو برگزار شد. در طی این مسابقات، زنجیره‌ی بی‌سابقه‌ای از حملات سامسونگ گلکسی S8 را هدف قرار دادند.

محققان آزمایشگاه MWR از ۱۱ آسیب‌پذیری در شش برنامه‌‌ی مختلف تلفن همراه استفاده کردند تا کد مخرب را در دستگاهِ پرچم‌دار سامسونگ یعنی گلکسی S8، اجرا کرده و داده‌ها را از سامانه خارج کنند. این مجموعه‌ی آسیب‌‌پذیری‌های روز صفرم ۲۵ هزار دلار جایزه داشت.

وصله‌ی آسیب‌پذیری موجود در SIMATIC PCS 7 زیمنس

شرکت زیمنس یک به‌روزرسانی برای سامانه‌های کنترل توزیع‌شده‌ی SIMATIC PCS 7 منتشر کرد، این سامانه‌ها توسط یک آسیب‌پذیری احراز هویت ورودی، از راه دور قابل بهره‌برداری هستند.

شرکت زیمنس گزارش داده است نسخه‌ی ۸٫۲ و نسخه‌ی ۸٫۱ که نرم‌افزار WinCC نسخه‌ی ۷٫۳ را دارند، آسیب‌پذیر هستند.

انتشارِ جزئیات آسیب‌پذیری‌های وصله‌نشده توسط ردیاب خطای گوگل

یک پژوهش‌گر امنیتی و جوینده‌ی پاداش در ازای اشکال،  پس از پیدا کردن چند آسیب‌پذیری بالقوه‌ی جدی مرتبط با ردیاب آسیب‌پذیری گوگل، از جمله یک آسیب‌‌پذیری که جزئیات آسیب‌پذیری‌های وصله‌نشده را آشکار می‌کند، مبلغ ۱۵ هزار دلار از این شرکت دریافت کرد.

صفحه‌ها