Adobe Flash Player 10.x,
Adobe AIR 2.x,
Adobe Flash CS3,
Adobe Flash CS4,
Adobe Flash Professional CS5,
Adobe Flex 3.x,
Adobe Flex 4.x
تسمح للمهاجم بالتحكم الكامل بالنظام عن بعد أو تنفيذ هجمات click-jacking.
فيما يلي قائمة بالثغرات المعلن عنها:
1- خطأ في ActionScript Virtual Machine 1 (AVM1) عند معالجة أمر ActionPush يمكن استغلاله لتخريب الذاكرة.
2- عدة أخطاء غير محددة يمكن استغلالها لتخريب الذاكرة.
3- خطأ في “connect” method المتاحة من خلال ActionScript native object ذو الرقم 2200، يمكن استغلاله لتخريب الذاكرة من خلال استدعاء الإجراء عدة مرات مع سلاسل نصية مختلفة.
الاستغلال الفعّال للثغرات المذكورة يمكن أن يسمح بتنفيذ شفرات خبيثة عن بعد.
كما تم الإعلان عن وجود خطأ يمكن من خلاله تنفيذ هجمات click-jacking.
ننصح جميع القراء بتحميل التحديثات الأمنية المتوفرة من خلال زيارة موقع الشركة Adobe.com.
يمكن قراءة المزيد من التفاصيل من خلال زيارة موقع Secunia.

يمكن استغلال الثغرة من قبل مهاجمين محليين للتسبب بحجب الخدمة denial-of-service أو الحصول على صلاحيات أعلى، وفقاً لخبر أعلنته من قبل VUPEN، شركة أبحاث أمنية فرنسية.

في اقتباس من إعلان VUPEN:

السبب في هذه المشكلة هو خطأ buffer overflow في تابع “CreateDIBPalette()” في ملف driver اسمه “Win32k.sys” يعمل ضمن نمط kernel-mode عندما يتم استخدام قيمة للعضو biClrUsed في BITMAPINFOHEADER structure كعداد بينما يتم استعادة بيانات صورة bitmap من الحافظة clipboard، والذي يمكن أن يتم استغلاله من قبل مستخدمين للتسبب طأ قاتل للنظام أو تنفيذ شفرات خبيثة مع صلاحيات kernel.

تم تأكيد وجود الثغرة في أنظمة Windows 7, Windows Server 2008 SP2, Windows Server 2003 SP2, Windows Vista SP2, Windows XP SP3.

مع هذا، باعتبار أن الثغرة حصلت على ترتيب مخاطرة قليلة – والذي يعني بأنه لا يمكن استغلالها عن بعد وصعوبة استغلالها لتنفيذ شفرات خبيثة – لم تقم Microsoft حتى الآن بالتعليق على الخبر أو بإصدار أي ترقيع أمني خاص به.

يذكر موقع Secunia اسم من قام بالإعلان عن الثغرة “Arkon”، الذي يقوم في

الطابعات المعنية بالأمر هي الطابعات النقطية فقط dot-matrix printer المعروفة بإصدارها لأصوات لدى الطباعة، حيث عمد الباحثون الأمنيون إلى طباعة ملايين الكلمات الموجودة في القواميس و تسجيل الصوت الذي يصدر عن كل كلمة و إدخالها في قاعدة بيانات كبيرة.
كما تم استخدام خوارزميات التعرف على الصوت لتحسين أداء البرنامج.
وصلت نسبة النجاح في التعرف على محتوى المستندات المطبوعة إلى 72,5 %. و ارتفعت إلى غاية 95,2% لما يكون المجال الذي يعالجه المستند المستهدف معروفا.
يبقى استغلال هذه التقنية محدودا بسبب إلزامية أن يكون الميكروفون الذي يلتقط الصوت على مسافة لا تزيد عن 10 سنتمتر من الطابعة، لكن هذا لا يقلل من أهميتها نظرا للاستعمال الواسع للطابعات النقطية في العديد من المجالات الحساسة، حيث تصل نسبة استعمال هذه الطابعات إلى 30% في البنوك الألمانية، و ترتفع النسبة إلى 60% لدى الأطباء الألمان.
يمكن تحميل الدراسة التي تبين إمكانية التجسس على الطابعات النقطية من هنا، و التي سيتم استعراض هذه النتائج خلال مؤتمر Usenix Security الذي ستدوم فعالياته 3 أيام ابتداءً من يوم غد

نشر باحثون أمنيون من جامعة Stanford دراسة تهتم بوضع “التصفح الخاص” الذي أصبحت متوفرة على الإصدارات الحديثة من المتصفحات و التي تتيح للمستخدم –على الأقل نظريا- تصفحا بدون ترك أية آثار وراءه و بدون تعريض بياناته الشخصية للخطر.
الدراسة التي خصت أحدث الإصدارات من كلم من Chrome، Safari، Internet Explorer و Firefox بينت كيف يمكن للوضع الخاص بهذه المتصفحات أن لا يكون “خاصا” تماما، حيث أثبتت وجود بعض التسربات هنا و هناك.
فعلى سبيل المثال لا يقوم Safari بإخفاء الـ cookies لدى استعمال خاصية التصفح الخاص، كما لا يقوم أيضا متصفح Apple و Firefox بتعطيل الإضافات مما يتيح لها الوصول إلى البيانات التي يود المستخدم حمايتها.
أما Internet Explorer و بالرغم من توفيره إمكانية تعديل الإضافات لدى استخدام التصفح الخاص، إلا أن ذلك لا يعطل عمل الـ ActiveX.
و لم يسلم من هذه الانتقادات سوى Chrome و الذي يتيح لمستخدميه وضعا خاصا إلى حد ما حيث يمكِّن من تعطيل الإضافات لدى التصفح الآمن.
و في المقابل يطمئن الباحثون الأمنيون مستخدمي هذه المتصفحات، كون استغلال البيانات المتسربة من وضع التصفح الخاص ليس بالأمر الهين، كما يتطلب ذلك استعمال الجهاز مباشرة و ليس عن طريق التحكم به عن بعد.
لمن أراد تفاصيل أوفى حول هذه الدراسة فإنها متوفرة للتحميل من هنا، و سيتم استعراض هذه النتائج خلال مؤتمر Usenix Security الذي ستدوم فعالياته 3 أيام ابتداءً من يوم غد.

أشارت مدونة TechCrunch أن Google قد اشترت شركة Jambool صاحبة خدمة Social Gold المستعملة للدفع عبر مختلف الألعاب الاجتماعية.
لم تصدر عن Google أية تصريحات حول الأمر لكن و حسب مصادر TechCrunch تقدر قيمة صفقة الشراء هذه بـ 70 مليون دولار.
Jambool و التي تم إنشاؤها سنة 2006 من طرف موظفين سابقين لـ Amazon قامت بإطلاق خدمة Social Gold سنة 2008 لفائدة مستخدمي الألعاب الاجتماعية و الذين يحتاجون إلى القيام بعمليات دفع من خلال هذه الألعاب و التطبيقات المصاحبة لها.
تؤكد خطوات Google المتسارعة في الآونة الأخيرة و التي اشترت شركة Slide للألعاب نهاية الأسبوع الماضي و استثمارها لـ 100 مليون في Zynga و شراؤها لشركة LabPixies التي تدخل الشبكات الاجتماعية ضمن مجال تخصصها أن إطلاق شبكة ألعاب أو شبكة اجتماعية مبنية على الألعاب لم تعد سوى مسألة وقت.
يمكن الإطلاع على الخبر على موقع TechCrunch من هنا

إذا كنت تظن أن المال هو الهدف الوحيد وراء تخصيص الخبراء الأمنيين بعضا من أوقاتهم لاكتشاف ثغرات في المتصفح Firefox، فأنت حتما مخطئ، فقد كشفت Mozilla على لسان Jonathan Nightingale مدير التطوير لديها أن العديد من الخبراء يمتنعون عن أخذ المكافئات التي ترصدها Mozilla لمكتشفي الثغرات.
جاء على لسان Jonathan Nightingale مدير التطوير لدى التطوير لدى Firefox أن بعض الخبراء يقولون : “امنحوا قيمة المكافئة للـ Electronic Frontier Fondation، أو أرسلوا لي قميصا فقط” .
و تقدر Mozilla نسبة الثغرات التي يكتشفها هذا الصنف من الباحثين ما بين 10 إلى 15 % من مجمل الثغرات التي يتم الإبلاغ عنها.
و يضيف Nightingale في الحوار الذي خص به pc world أن هؤلاء الخبراء ليسوا من أمريكا الشمالية فقط و التي يكون فيها مبلغ 3000 دولار مبلغ محترما ( وبالرغم من أن المستوى المعيشي المرتفع) بل من مختلف أنحاء العالم التي يكون فيها هذا المبلغ مهما جدا.
للتذكير فإن Mozilla قد رفعت من قيمة المكافئات التي تقدمها لمكتشفي الثغرات إلى 3000 دولار بعد أن كانت 500 دولار، و أتبعتها Google بعملية مماثلة برفع قيمة المكافئات لقاء اكتشاف ثغرات على Chrome إلى 3133,7 دولار
يمكن الإطلاع على الحوار الذي أجرته PC World مع Jonathan Nightingale من هنا

يمكن القول أن الجميع معني بهذا الـ Patch Teusday ، حيث أنه يشمل ترقيعات لكل من Internet Explorer بإصداراته السادس، السابع و الثامن، حزمة Office بإصداراتها XP، 2003، 2007 على أنظمة Windows و إصداريها 2004 و 2008 على أنظمة Mac، إلى جانب الإصدارين الثاني و الثالث من Silverlight.
أما فيما يخص أنظمة التشغيل فالكل -تقريبا- مدعو إلى حفلة الـ Patch Tuesday ليوم غد ، حيث أننا نجد من بين الحضور كلا من Windows XP SP3، Vista،Windows 7، Server 2003 و Windows Server 2008 .
أما الغائب الأكبر فسيكون من دون أدنى شك Windows XP SP2، ليس لكونه أصبح أكثر أمنا، و لكن بسبب انتهاء مدة صلاحيته، مما يعني أن آخر ترقيعات أصدرتها Microsoft لهذا النظام هي الترقيعات المضمنة في الـ Patch Teusday الخاص بشهر يوليو الماضي. و بالتالي فمستخدمو SP2 مدعوون هم أيضا … ليس لحفلة ما و إنما للترقية إلى SP3.
لمزيد من التفاصيل حول الثغرات و النشرات الأمنية الخاصة بهذا الـ Patch Tuesday زورا هذه الصفحة

JailbreakMe 2.0 موقع لكسر حماية الـ iPhone بدون أية برامج
بعد أن أصبح كسر حماية هواتف الـ iPhone المجهزة بنظام iOS قانونيا في الولايات المتحدة، ظهر موقع جديد يتيح كسر حماية مختلف الأجهزة التي تعمل على هذا النظام بمجرد الدخول إليه من خلال هذه الأجهزة و بدون استخدام أية برامج.




يمكن استعمال الـ Jailbreak الجديد لكل من أجهزة iPhone بإصداراته 3G، 3GS و 4 إضافة إلى الـ iPod Touch و الـ iPad.
المشكل الوحيد الذي يعاني منه هذا الـ Jailbreak هو توقف بعض الخدمات بعد استعماله على غرار الـ FaceTime و الـ MMS، لكن كون عملية كسر الحماية تتم بدون أية برامج و بمجرد الدخول إلى موقع الـ Jailbreak و اتباع الخطوات المبينة عليه يعتبر في حد ذاته إنجازا كبيرا.
لمن أراد تجربة الموقع الجديد ما عليه سوى الدخول إلى الموقع التالي:
JailbreakMe 2.0
الفيديو التالية توضح كيف تتم عملية الـ Jailbreak باستعمال JailbreakMe 2.0

[youtube]http://www.youtube.com/watch?v=injJTTb9EWw&hl[/youtube]

تطرح الترقيع الأمني لثغرة ملفات الاختصار وملايين المستخدمين يتنفسون الصعداء

يقوم الترقيع الأمني بإصلاح المشكلة من خلال تصحيح إجرائية التدقيق على مراجع أيقونات ملفات الاختصار.

ينصح جميع مستخدمي نظام Windows بتثبيت الترقيع الأمني مباشرة وذلك بزيارة موقع Microsoft Windows Update أو من خلال تحميل وتثبيت الترقيع عبر Windows Update الموجود ضمن النظام.

لقراءة المزيد من المعلومات حول الثغرة والترقيع الأمني يمكن مراجعة الرابط التالي.

تقرر إطلاق Office 2011 خلال شهر أكتوبر القادم ستصدر الحزمة المكتبية في إصدارتين: Home and Student و Home and Business و اللتان تحتويان على كل من تطبيقات Word ،PowerPoint Excel و Messenger. و تختلف Home and Business عن Home and Student باحتوائها على تطبيق Outlook و الذي يسجل أول دخول له في الحزمة.
أما من حيث الأسعار فيقدر سعر Home and Student بـ 119 دولار أمريكي للتنصيب الوحيد على جهاز واحد و 149دولار لتنصيبه على ثلاثة أجهزة مختلفة.
في حين يقدر سعر Home and Business بـ 199 دولار للتنصيب الوحيد على جهاز واحد، و بـ 279 للتنصيب على أكثر من جهاز.
كما تم توفير نسخة ثالثة للاستعمال الأكاديمي و التي تحتوي كامل برامج الحزمة مقابل 99 دولار أمريكي.
يمكن الإطلاع على البيان الصحفي الذي نشرته Microsoft اليوم صوص Mac 2011 و أسعاره من هنا

تطلق BlackBerry Torch المجهز بنظام BlackBerry OS 6.0
كشفت Research In Motion أمس عن أحدث هواتفها الذكية التي تحمل اسم BlackBerry Torch و الذي يعتبر أول هاتف يجهز بنظام BlackBerry OS 6.0.

جهاز BlackBerry Torch يملك لوحة مفاتيح كاملة منزلقة، و شاشة 3.2 بوصة ذات دقة 480X360 Pixels إلى جانب معالج ذو تردد 1GHz و ذاكرة حية تقدر بـ 512 Mb .
كما يتمتع الـ BlackBerry Torch بذاكرة داخلية تصل إلى 4 Gb و آلة تصوير بدقة 5 mega-pixels. و يصل عمر البطارية إلى خمس ساعات و نصف في حال الاستعمال و إلى 17 يوما في حال الخمول.
أما فيما يخص الإصدار 6.0 من نظام BlackBerry OS فلقد تم تزويده بمتصفح جديد مبني على محرك Webkit و يتمتع اصية تعدد الألسنة. كما تم توفير أداة جديدة تسمح للمطورين كتابة تطبيقاتهم باستعمال HTML5، CSS و Javascript.
سيبدأ تسويق جهاز BlackBerry Torch ابتداءً من الـ 12 أغسطس/آب القادم مقابل 199 دولار لدى AT&T
يأتي الإعلان عن هاتف BlackBerry Torch متزامنا مع الأزمة التي تعرفها الشركة مع كل من الإمارات العربية المتحدة، المملكة العربية السعودية و الهند و التي تخص مسألة الأمن القومي التي تطرحها البلدان الثلاثة، إذ أنه يحظى مستعملو هواتف BlackBerry بتشفير لرسائلهم التي تمر عبر خوادم RIM في الولايات المتحدة و كندا، مما يشكل تهديدا للأمن القومي للبلدان الثلاثة التي تطالب Research In Motion إتاحة الوصول إلى الرسائل التي يتبادلها مواطنوها.
يمكن الإطلاع على كامل خصائص الجهاز بزيارة صفحته الخاصة على موقع AT&T من هنا

يصيب 55 ألف جهاز و يسرق 60 Gb من البيانات الـ botnet التي أطلقت عليها AVG اسم “Mumba” أصابت أنظمة الحاسب الشخصي في بريطانيا، الولايات المتحدة الأمريكية، ألمانيا واسبانيا وفقاً للتقرير الذي نشرته AVG يوم الاثنين الماضي. تضمنت البيانات المسروقة حسابات بنكية، بيانات بطاقات ائتمانية وبيانات تسجيل خاصة بالشبكات الاجتماعية.
وفقاً لما ذكرته AVG تم إنشاء Mumba botnet من قبل واحدة من أخطر مجموعات مجرمي الانترنت والمعروفة باسم Avalanche.
قامت مجموعة Avalanche باستخدام الـ botnet لاستضافة مواقع صيد للمعلومات phishing sites، تخزين البيانات المسروقة ونشر برمجيات خبيثة لسرقة المزيد من البيانات. وجد الباحثون لدى AVG ووفقاً لما أعلنوه في تقريرهم بأن الأجهزة المخترقة كانت تقوم بنشر 4 أنواع مختلفة من تروجان Zeus الخاص بسرقة البيانات.
تقوم Mumba botnet باستخدام تقنية DNS تسمى Fast flux يتم من خلالها إخفاء مصادر البرمجيات الخبيثة والخاصة بالسرقة والتصيد للمعلومات خلف شبكة متغيرة من الأجهزة تعمل مثل بروكسيات وذلك لتخفيف خطر إزالتها من قبل الوكالات الحكومية وقوى الأمن.
لقراءة المزيد من التفاصيل حول الخبر يمكن مراجعة التدوينة التالية على موقع AVG.

تقوم TippingPoint بإدارة مشروع Zero Day Initative والذي يعمل كوسيط حيث يقوم بالدفع للباحثين الأمنيين مقابل المعلومات حول الثغرات الأمنية ومن ثم يقوم بتزويد الشركات بهذه المعلومات لإصلاحها.
أما عن مسألة التمديد في هذه المدة فإن القرار بها سيكون خاصاً بكل حالة على حدة. إن لم تقم الشركات بإصلاح مشاكلها الأمنية خلال فترة 6 أشهر ولم يطلبوا أي تمديد، ستقوم TippingPoint بنشر معلومات محدودة حول الثغرة، بالإضافة إلى إجراءات وقائية ضرورية حتى يقوم المستهلكون والذين هم في خطر بسبب هذه الثغرات بحماية أنفسهم.
يضيف Portnoy بأنه يوجد حوالي 120 ثغرة قامت TP بتبليغ الشركات بها ولم يتم إصلاحها بعد، وبعضها الآخر عمره أكثر من عام. من خلال المدة الزمنية التي حددتها لهم، تأمل TP بأن يكون هناك ردود سريعة لإصلاح هذه الثغرات.
لقراءة التدوينة الأصلية يمكن مراجعة الرابط التالي.

تشتري 18 من Friendster براءة اختراع لتجنب أية ملاحقات قانونية الاتفاق من شأنه أن يجنب Facebook العديد من الملاحقات القانونية مستقبلا، حيث أنه و بحكم أن Friendster تعتبر من أولى الشبكات الاجتماعية فقد سجلت باسمها العديد من براءات الاختراع ذات النطاق الواسع و المتعلقة بالشبكات الاجتماعية مما يجعل أي شبكة اجتماعية (بحكم أنها تستعمل إحدى براءات الاختراع) عرضة للمساءلة القانونية في أي وقت.
من بين براءات الاختراع التي شملتها عملية البيع نجد كلا من “نظام/طريقة إدارة شبكة اجتماعية على الإنترنت” ،و ” نظام/طريقة لتمكين المستخدمين من الاتصال بنظام على الإنترنت بالاعتماد على علاقاته في الشبكة الاجتماعية” و اللتان تعتبران العمود الفقري لأي شبكة اجتماعية.
حاليا لم تحصل Facebook سوى على 7 براءات اختراع أما الـ 11 الباقية فلا تزال قيد الدراسة.
يمكن الإطلاع على الخبر على موقع venturebeat الذي كشف عن عملية انتقال ملكية براءات الاختراع من هنا