آخرین خبر فناوری اطلاعات هفته سوم بهمن ماه ۱۳۹۷

دو آسیب پذیری سیستم عامل iOS رفع شد/ حل مشکل شنود تماس «فیس تایم»

به گزارش خبرگزاری مهر به نقل از معاونت بررسی مرکز افتا، این دو آسیب‌پذیری با شناسه‌هایCVE-۲۰۱۹-۷۲۸۶ و CVE-۲۰۱۹-۷۲۸۷ در IOS معرفی شده‌اند.

اولین آسیب‌پذیری روز صفر iOS، با شناسه CVE-۲۰۱۹-۷۲۸۶ شناخته می‌شود و به صورت فعال مورد سوءاستفاده قرار گرفته است. براساس به‌روزرسانی امنیتی iOS ۱۲,۱.۴، این آسیب‌پذیری چارچوب Foundation را هدف قرار می‌دهد که یک لایه پایه‌ای از فعالیت برنامه‌ها و چارچوب‌ها است؛ این آسیب‌پذیری یک مشکل خرابی حافظه است که به دلیل اعتبارسنجی نامناسب ورودی ها به وجود آمده است. سوءاستفاده از این آسیب‌پذیری منجر به افزایش دسترسی می‌شود.

آسیب‌پذیری روز صفر دوم چارچوب IOKit را تحت تاثیر قرار می‌دهد. این چارچوب از طریق مکانیزم رابط دستگاه دسترسی غیرکرنل به اشیاء I/O Kit را پیاده‌سازی می‌کند. این آسیب‌پذیری نیز یک مشکل خرابی حافظه است که به دلیل اعتبارسنجی نامناسب ورودی ها به وجود آمده و باعث اجرای کد دلخواه با دسترسی‌های سطح کرنل (هسته رایانه) می‌شود.

علاوه بر این دو نقص روز صفر که دستگاه‌های اجراکننده iOS ۱۲,۱.۳ را تحت تاثیر قرارمی‌دهند، اپل مشکل شنود عمومی گسترده که در ویژگی تماس گروهی FaceTime وجود دارد را نیز برطرف کرد.

منبع: خبرگزاری مهر

نشت اطلاعات حساس کاربران در مسیریاب سیسکو/ لزوم بروزرسانی تجهیزات

به گزارش خبرنگار مهر، مرکز ماهر با هشدار نسبت به آسیب‌پذیری‌هایی با درجه اهمیت بالا در Cisco RV۳۲۰/RV۳۲۵ اعلام کرد: تجهیزات مسیریاب و روتر سیسکو شامل Cisco Small Business RV۳۲۰ و RV۳۲۵ Dual Gigabit Wan VPN Router دارای دو ‫آسیب‌پذیری با درجه اهمیت بالا هستند که یکی از آنها از نوع نشت اطلاعات حساس و دیگری از نوع تزریق دستور است.

این مرکز اوایل امسال نیز نسبت به آسیب پذیری گسترده تجهیزات تحت وب سیسکو هشدار داده بود.

آسیب‌پذیری نشت اطلاعات حساس

این آسیب‌پذیری با شناسه CVE-۲۰۱۹-۱۶۵۳ در رابط تحت وب تجهیزات سیسکو نهفته است و به مهاجم احراز هویت نشده راه دور، اجازه استخراج اطلاعات حساس را می‌دهد. این آسیب‌پذیری ناشی از کنترل دسترسی نامناسب URLها است. مهاجم می‌تواند بدین وسیله به اطلاعات پیکربندی یا اشکال‌زدایی (debug) تجهیزات دست یابد.

آسیب‌پذیری تزریق دستور

این آسیب‌پذیری که شناسه CVE-۲۰۱۹-۱۶۵۲ به آن اختصاص یافته است نیز، ریشه در رابط تحت وب این تجهیزات دارد. منشاء آسیب‌پذیری، اعتبارسنجی نادرست ورودی کاربر است. مهاجم می‌تواند با ارسال درخواست مخرب POST از این نقص بهره‌برداری کند. با بهره‌برداری موفق می‌توان دستورات دلخواه را در قالب کاربر root روی shell لینوکس تجهیزات اجرا کرد. بهره‌برداری از این آسیب‌پذیری نیازمند احراز هویت است.

کد بهره‌برداری از آسیب‌پذیری‌های فوق به طور عمومی منتشر شده است. همان طور که گفته شد، می‌توان با استفاده از آسیب‌پذیری اول، اطلاعات تجهیز از جمله اطلاعات کاربری درهم‌سازی (hash) شده را استخراج کرد. سپس می‌توان با شکستن hash، اطلاعات کاربری را به دست آورده و از آسیب‌پذیری دوم بهره‌برداری کرد.

مرکز ماهر اعلام کرد: ‫سیسکو برای رفع آسیب‌پذیری‌های نامبرده، به روزرسانی‌هایی برای سخت‌افزار تجهیزات فوق منتشر کرده است. برای مصونیت از هر دو آسیب‌پذیری باید از نسخه ۱.۴.۲.۲۰ به بالا استفاده کرد.

نسخه های به روزشده از اینجا قابل دریافت است.

منبع: خبرگزاری مهر

‫ سوءاستفاده‌ی‌ هکرها از یک آسیب‌پذیری روزصفرم در افزونه‌ی‌ وردپرس

به صاحبان سایت‌های #‫WordPress که از افزونه‌ی “Total Donations” استفاده می‌کنند، توصیه می‌شود که این افزونه را از سرورهای خود حذف کنند تا از سواستفاده‌ی هکرها برای بهره‌برداری از یک آسیب‌پذیری وصله‌نشده در کد آن جلوگیری کنند.
این آسیب‌پذیری روز صفرم (CVE-2019-6703)، همه‌ی نسخه‌های Total Donations ازجمله ۲٫۰٫۵ را تحت تأثیر قرار می‌دهد. Total Donations یک افزونه‌ی تجاری است که صاحبان سایت از آن برای جمع‌آوری و مدیریت کمک‌های مالی از پایگاه‌های کاربران مربوطه‌ی خود استفاده می‌کنند.
به گفته‌ی محققان، کد این افزونه شامل چندین عیب طراحی است که به‌طور ذاتی، افزونه و سایت وردپرس را در معرض نمایش هکرهای خارجی و کاربران دیگر قرار می‌دهد.
این افزونه حاوی نقطه‌ی پایانی AJAX است که می‌تواند توسط هر مهاجم ناشناس راه دور درخواست شود. نقطه‌‌ی پایانی AJAX در یکی از فایل‌های افزونه واقع شده است، به این معنی که غیرفعال کردن افزونه، خطر تهدید را از بین نمی‌برد؛ زیرا مهاجمان می‌توانند به‌طور مستقیم آن فایل را فراخوانی کنند و تنها حذف کامل افزونه می‌تواند سایت‌ها را در برابر سوءاستفاده محافظت کند.
نقطه‌ی پایانی AJAX به مهاجم اجازه می‌دهد تا مقادیر تنظیمات هسته‌ی سایت وردپرس، تنظیمات مرتبط با افزونه و حساب مقصد کمک دریافت‌شده از طریق افزونه را تغییر دهد و حتی لیست‌های Mailchimp (که این افزونه به‌عنوان ویژگی جانبی پشتیبانی می‌کند) را بازیابی کند.
به‌گفته‌ی محققان، تمام تلاش‌ها برای تماس با توسعه‌دهنده‌ی این افزونه بی‌فایده است. به‌نظر می‌رسد که سایت توسعه‌دهنده در ماه مه سال ۲۰۱۸ غیرفعال شده است و فهرست محصولات CodeCanyon این افزونه در همان زمان غیرفعال شده‌اند.
این افزونه دارای کاربران زیادی نیست، با این حال، به احتمال زیاد در سایت‌های فعال با پایگاه‌های کاربری بزرگ نصب شده است و می‌تواند هدف خوبی برای هکرها باشد، از این رو به صاحبان سایت‌ها توصیه می‌شود که این افزونه را به‌طور کلی از سایت‌های خود حذف کنند تا از حملات در امان بمانند.

منبع: مرکز ماهر

هزاران اپلیکیشن اندرویدی در حال ثبت مخفیانه اطلاعات کاربران هستند

تحقیقات جدید انیستیتو بین المللی علوم رایانه در کالیفرنیای آمریکا نشان می دهند کاربران تلفن های هوشمند اندرویدی به شدت در معرض جاسوسی اپلیکیشن های به ظاهر تایید شده توسط فروشگاه نرم افزاری گوگل هستند. این یافته ها نشانگر آن است که در حال حاضر تقریبا ۱۷۰۰۰ اپلیکیشن اندرویدی به صورت رسمی در فروشگاه نرم افزاری پلی استور گوگل عرضه شده و برای دانلود در اختیار کاربران قرار دارند که نه تنها فعالیت های کاربران را به صورت بلند مدت و حتی در صورت عدم صدور دسترسی کاربران رصد می کنند، بلکه فهرستی از تمامی فعالیت های آنان نیز ذخیره کرده و در برخی موارد به سرورهای ناشناس منتقل می کنند.

منبع: سخت افزار

انرژی های تجدید پذیر تا سال ۲۰۴۰ به منبع اصلی پیشرفت جهان تبدیل می شوند

خبرگزاری CNBC در گزارشی که اخیرا تهیه کرده به روند رو به افزایش استفاده از انرژی های تجدیدپذیر در جهان اشاره داشته و عنوان کرده این دسته از انرژی ها تا سال ۲۰۴۰ به منبع اصلی مورد استفاده در جهان تبدیل خواهند شد.آن طور که CNBC گزارش داده تا سال ۲۰۴۰ یک چهارم مسافتی که انسان ها به وسیله اتومبیل می پیمایند به وسیله خودروهای الکتریکی پوشش داده خواهد شد. برتری ایالات متحده در بازار نفت به تدریج کمتر می شود تا به این ترتیب شاهد تغییری در سیاست های مصرف انرژی در جهان باشیم.

منبع: سخت افزار

ایسوس لپ تاپ های گیمینگ TUF FX را با پردازنده های AMD معرفی کرد

شرکت ایسوس لپ تاپ های مخصوص بازی TUF را با سخت افزارهای جدید رونمایی کرد؛ این محصولات که به پردازنده های جدید Ryzen 3000 مجهز هستند، در مدل های ASUS TUF Gaming FX505 و FX507 معرفی شده اند. این محصولات با نمایشگرهای ۱۵٫۶ و ۱۷٫۳ اینچی تولید شده و از دقت FHD پشتیبانی خواهند کرد. لپ تاپ های جدید TUF به مانند دیگر محصولات این گروه از مقاومت بالایی بهره برده و دارای استاندارد MIL-STD-810G هستند.

منبع: سخت افزار

باگ جدید؛ مقصر کاهش فالوورهای اینستاگرام 

گزارش‌های متعددی از روزهای گذشته در فضای مجازی از سوی کاربران اینستاگرام منتشر شده که نشان می‌دهد تعداد فالوورهای آنها بدون دلیل خاصی کم شده و یا تغییر یافته است.

جای پای اینترنت اشیا در صنعت دریایی!

با به کارگیری اینترنت اشیا (IoT) به زودی شاهد چهره متفاوتی از صنعت دریایی خواهیم بود.

به گزارش گروه بین الملل مانا ، با به کارگیری اینترنت اشیا (IoT) به زودی شاهد چهره متفاوتی از صنعت دریایی خواهیم بود.

بسیاری از این راه حل های جدید دیجیتالی از کلان داده و بلاک چین گرفته تا سیستم های بدون دخالت انسان و اتوماتیک می توانند جایگزین هایی را به جای روش های سنتی و قدیمی در انجام فعالیت ها ارائه دهند. اپراتورهای دریایی به طور پیوسته درحال خودکار و اتوماتیکی کردن روند عملیات، بهبود امنیت و گسترش قابلیت دید در سراسر زنجیره عرضه هستند.

به عبارت دیگر به جای محدود بودن به حمل کالاها از یک مکان به مکان دیگر، تکنولوژی اینترنت اشیا (Internet Of Things) این امکان را برای خطوط و اپراتورهای غول دنیا فراهم می سازد تا به متخصصان لجستیک جهانی وهمچنین پیشگامان در عرصه های نوظهور تبدیل شوند. نقش تکنولوژی IoT برای بقیه خطوط کشتیرانی که جاه طلبی کمتری دارند به کاهش ناکارآمدی های هزینه بردار ختم می شود.

دیوار در آستانه مسدود شدن

پلیس فتا از دادستانی تهران درخواست كرده با توجه به افزایش جرایم در سایت دیوار و ناتوانی مدیران سایت در كنترل آگهی‌ها، این سایت را مسدود كند. در ده ماه اول امسال ۳۰۰۰پرونده كلاهبرداری مربوط به سایت دیوار در فتا تشكیل شده كه بیش از ۳۰متهم دستگیر شدند.

دو شرط پلیس فتا برای ادامه فعالیت «دیوار»

بعد از گذشت یک هفته از ارجاع پرونده پلتفرم «دیوار» به دادسرا برای تصمیم گیری درباره مسدودسازی این سایت، رئیس پلیس فتای تهران در تازه‌ترین موضع‌گیری خود ادامه حیات این پلتفرم را منوط به دو اجرای شرط “تعهد به مراجع قضایی درباره برقراری امنیت پلتفرم خود” و “پرداخت خسارت به شاکیان در صورت بروز مشکلاتی اعم از کلاهبرداری و…” کرد.

روسیه هم شبکه اینترانت ملی می سازد!

روسیه قصد دارد به‌عنوان بخشی از برنامه‌ آزمایشی که برای جنگ سایبری آینده طراحی شده، به‌طور کوتاه مدت از اینترنت جهانی قطع شود. این آزمایش به این معناست که داده‌ها بین شهروندان و سازمان‌های روسی در کشور باقی می‌ماند و در سطح جهانی پخش نخواهد شد. سال گذشته لایحه‌ تغییرات فن‌آوری که به‌طور مستقل عمل کند، به مجلس روسیه ارائه شد. این طرح آزمایشی قرار است تا پیش از اول آوریل انجام شود اما هنوز تاریخ دقیقی گفته نشده است. ناتو و متحدانش به علت حملات سایبری و دیگر مداخلات اینترنتی، روسیه را تهدید به تحریم کرده‌اند. طبق این لایحه، نسخه روسی اینترنت باید تهیه شود تا چنانچه سروهای که در بیرون از روسیه قرار دارند، قطع شدند، وارد عمل شود و بتواند با اقدامات تنبیهی مقابله کند.

پلیس علیه Waze

پلیس نیویورک از Waze خواسته است که نمایش خودروهای پلیس و ایستگاههای پلیس را در نرم افزارش متوقف کند! به اعتقاد پلیس نیویورک بسیاری از کاربران بعد از گذر از مقر پلیس، به خلاف‌های رانندگی اعم از سبقت‌های غیرمجاز، سرعت غیرمجاز، نبستن کمربند و مواردی از این قبیل ادامه میدهند.

احتمال خرابکاری آمریکا در برنامه پرتاب ماهواره های ایرانی!

آیا Stuxnet دیگری در کار است؟

وزیر خارجه ایران در مصاحبه‌ای با یک شبکه آمریکایی، ضمن تایید شکست ایران در پرتاب ماهواره در دو ماه اخیر این احتمال را مطرح کرد که به دلیل خرابکاری عمدی ایالات متحده آمریکا این پروژه ها شکست خورده است. شبکه خبری “ان بی سی نیوز” گزارش داد که آقای ظریف گفته ایران در حال تحقیق درباره این شکست است که در دو ماه اخیر، دو بار رخ داده است.

پشتیبانی از ۲ چهره در آپدیت جدید قابلیت تشخیص چهره EMUI 9 هوآوی

هوآوی دومین تولیدکننده بزرگ گوشی‌های هوشمند در جهان یه به‌روزرسانی جدید برای رابط کاربری مبتنی بر اندروید خود ارائه داده است. در آپدیت جدید هوآوی حالا امکان پشتیبانی از ۲ چهره را در قابلیت تشخیص چهره برای بازکردن قفل صفحه فراهم کرده است. این به کاربران اجازه می‌دهد ۲ چهره را در پروفایل خود ذخیره کنند و می‎توانند از هرکدام از آنها برای باز کردن قفل صفحه استفاده کنند. پیش از این کاربران تنها اجازه ذخیره یک چهره را دستگاه‌های خود داشتند.

اخبار کوتاه هفته گذشته