کشف حفره های امنیتی خطرناک در زوم برای همه رایانه ها

/در , , , , , /توسط
یک موسسه امنیتی از شناسایی آسیب پذیری های خطرناکی در نرم افزار ویدئو کنفرانس زوم خبر داده که هکرها با سوءاستفاده از آنها می توانند امنیت همه رایانه های شخصی را به خطر بیندازند.
 
 به نقل از هات هاردویر، همزمان با شیوع ویروس کرونا استفاده مردم از نرم افزارهای گپ گروهی و ویدئو کنفرانس برای برگزاری جلسات کاری، آموزش آنلاین و غیره افزایش یافته است. یکی از محبوب ترین این نرم افزارها زوم است که افشای حفره‌های امنیتی جدید آن توسط مؤسسه Cisco Talos نشان می‌دهد مشکلات این برنامه علیرغم به روزرسانی های اخیر برطرف نشده است.
 
Cisco Talos قبلاً نیز یک آسیب پذیری امنیتی را در نرم افزار زوم شناسایی کرده بود که شرکت سازنده آن را در ماه می با عرضه وصله TALOS-۲۰۲۰-۱۰۵۵ برطرف کرده بود.
 
این شرکت می‌گوید هکرها با سواستفاده از آسیب پذیری تازه می‌توانند پیام‌های حاوی فایل‌های آلوده و دستکاری شده با فرمت گیف را برای کاربران نرم افزار زوم ارسال کنند. البته این پیام‌ها باید از طریق سرورهای شرکت Gipghy ارسال شوند که در زمینه تولید انبوه فایل‌های متحرک گیف فعالیت می‌کند.
 
هکرها بعد از این کار می‌توانند به رایانه‌های شخصی آلوده شده نفوذ کرده و داده‌های شخصی آنها را سرقت کنند. کارشناسان Cisco Talos با شرکت زوم در تماس هستند تا بتوانند این مشکل را هر چه سریع‌تر برطرف کنند.

قابلیت ترجمه به مایکروسافت تیمز اضافه می‌شود

/در , , /توسط
مایکروسافت بر روی قابلیت جدیدی در سرویس مایکروسافت تیمز کار می‌کند تا به کاربران امکان ترجمه همزمان مکالمات خود را در این پلتفرم بدهد.
 
مایکروسافت تیمز (Microsoft Teams) که از زمان شیوع گسترده و پاندمی ویروس کرونا تبدیل به یکی از ابزارهای اصلی و مهم برقراری ارتباط تصویری و برگزاری جلسات ویدئو کنفرانس شده است و میان کاربرانی که عموما کارمندان و مدیران فعال در شرکتهای مختلف در سراسر جهان بودند و به علت بحران همه گیری بیماری کووید ۱۹ مجبور بودند کار و فعالیت های شغلی خود را به صورت دورکاری و از طریق اینترنت انجام دهند، محبوبیت زیادی کسب کرده است.
 
حالا به تازگی مایکروسافت به عنوان شرکت توسعه دهنده این نرم افزار اعلام کرده است که با توجه به اقبال عمومی و درخواست مکرر کاربران، در حال کار کردن و روی توسعه و ارائه قابلیت جدید ترجمه همزمان مکالمات کاربران در گروه های ایجاد شده در مایکروسافت تیمز است که به کاربران اجازه می دهد تا تنها با یک کلیک، پیام دریافتی یا ارسال شده خود را ترجمه کنند و بدین ترتیب با سهولت بیشتری به ارتباط با مخاطبان خود که ممکن است به زبان دیگری صحبت کنند، بپردازند.
 
بر اساس گزارش وب سایت mspoweruser، هنوز معلوم نیست که این قابلیت در چه تاریخی در اختیار عموم کاربران قرار داده خواهد شد اما بسیاری از کارشناسان بر این باورند که نسخه به روز رسانی شده مایکروسافت تیمز در اندروید و آی او اس که از این قابلیت نیز برخوردار است، در ماه آینده میلادی عرضه و ارائه خواهد شد.
 
 

Rust یکی از ۲۰ زبان برنامه‌ نویسی برتر جهان شد

/در , , , /توسط
به گزارش وب‌سایت ZDnet، مرکز Tiobe بر اساس آخرین بررسی‌های خود فهرست محبوب‌ترین زبان‌های برنامه نویسی جهان را در حالی منتشر کرد که Rust یکی از 20 زبان برتر در این لیست بود و با این وجود همچنان پنج رتبه از Go پایین‌تر قرار گرفت.
یکی از مهم‌ترین عواملی که میزان علاقه‌مندی به استفاده از Rust را افزایش داد قابلیت حافظه ایمن برای ساخت و راه‌اندازی پلتفرم‌های بزرگ بود و به خصوص در شرکت مایکروسافت که ویندوز و Azure را با هدف حذف حفره‌های امنیتی حافظه توسعه می‌دهد و کدهای آنها با زبان‌های C و ++C نوشته شده است، Rust می‌تواند مزایای فراوانی به همراه داشته باشد. خدمات پردازش ابری AWS آمازون نیز برای توسعه کدهای محصولاتی نظیر Lambda، EC2 و S3 از Rust استفاده می‌کند.
 
زبان برنامه نویسی Rust که در فهرست سال 2019 مرکز Tiobe رتبه 38 را از آن خود کرده بود امسال موفق شد به رتبه 20 صعود کند. فهرست Tiobe بر مبنای جست‌وجوهای انجام شده برای یک زبان برنامه نویسی در موتورهای جست‌وجوی بزرگ تنظیم می‌شود و بنابراین فهرست مذکور نشان نمی‌دهد که این زبان توسط تعداد بیشتری از افراد استفاده شده است و در عوض مشخص می‌شود تعداد بیشتری از توسعه دهندگان نرم افزار در جست‌وجوی اطلاعات مرتبط با این زبان برنامه نویسی هستند.
زبان Rust برای پنجمین سال متوالی محبوب‌ترین زبان برنامه نویسی در نسخه 2020 مرکز Stack Overflow شد. امسال 86 درصد توسعه دهندگان اعلام کردند مشتاق به استفاده از Rust هستند و تنها 5 درصد گفتند که از آن برای برنامه نویسی استفاده می‌کنند.
 

Rust یکی از ۲۰ زبان برنامه‌ نویسی برتر جهان شد

/در , , , /توسط
به گزارش وب‌سایت ZDnet، مرکز Tiobe بر اساس آخرین بررسی‌های خود فهرست محبوب‌ترین زبان‌های برنامه نویسی جهان را در حالی منتشر کرد که Rust یکی از 20 زبان برتر در این لیست بود و با این وجود همچنان پنج رتبه از Go پایین‌تر قرار گرفت.
یکی از مهم‌ترین عواملی که میزان علاقه‌مندی به استفاده از Rust را افزایش داد قابلیت حافظه ایمن برای ساخت و راه‌اندازی پلتفرم‌های بزرگ بود و به خصوص در شرکت مایکروسافت که ویندوز و Azure را با هدف حذف حفره‌های امنیتی حافظه توسعه می‌دهد و کدهای آنها با زبان‌های C و ++C نوشته شده است، Rust می‌تواند مزایای فراوانی به همراه داشته باشد. خدمات پردازش ابری AWS آمازون نیز برای توسعه کدهای محصولاتی نظیر Lambda، EC2 و S3 از Rust استفاده می‌کند.
 
زبان برنامه نویسی Rust که در فهرست سال 2019 مرکز Tiobe رتبه 38 را از آن خود کرده بود امسال موفق شد به رتبه 20 صعود کند. فهرست Tiobe بر مبنای جست‌وجوهای انجام شده برای یک زبان برنامه نویسی در موتورهای جست‌وجوی بزرگ تنظیم می‌شود و بنابراین فهرست مذکور نشان نمی‌دهد که این زبان توسط تعداد بیشتری از افراد استفاده شده است و در عوض مشخص می‌شود تعداد بیشتری از توسعه دهندگان نرم افزار در جست‌وجوی اطلاعات مرتبط با این زبان برنامه نویسی هستند.
زبان Rust برای پنجمین سال متوالی محبوب‌ترین زبان برنامه نویسی در نسخه 2020 مرکز Stack Overflow شد. امسال 86 درصد توسعه دهندگان اعلام کردند مشتاق به استفاده از Rust هستند و تنها 5 درصد گفتند که از آن برای برنامه نویسی استفاده می‌کنند.
 

بیش از یک میلیون سایت وردپرسی هدف حمله سایبری قرار گرفتند

/در , , , , /توسط
 
 
 
صدها هزار سایت وردپرسی بیش از  ۲۴ ساعت مورد حملات سایبری گسترده‌ای قرار گرفتند که هدف از آن‌ها، دسترسی به اعتبارنامه‌های دیتابیس بوده است.
 
مهاجمان در تلاش بودند تا فایل‌های پیکربندی «wp-config.php» را از وب‌سایت‌های وردپرس دانلود کنند. این فایل‌ها شامل اطلاعات مهمی مانند اعتبارنامه‌های دیتابیس، اطلاعات اتصال و احراز هویت کلیدهای منحصر به فرد می‌شود.
 
این افراد تلاش کردند از آسیب‌پذیری‌های «تزریق اسکریپت از طریق وبگاه» یا «XSS» در پلاگین‌ها و تم‌های وردپرس نصب شده روی وب‌سایت‌های کاربران، با هدف دسترسی به اعتبارنامه‌های آن‌ها استفاده کنند. هدف نهایی این حملات، کنترل کامل وب‌سایت توسط مهاجمان بوده است.
 
یکی از مهندسان و تحلیلگران تهدیدات سایبری، «رام گال» درباره این حملات اعلام کرده:
 
«در فاصله ۹ خرداد تا ۱۱ خرداد، فایروال Wordfence بیش از ۱۳۰ میلیون حمله سایبری با هدف دسترسی به اعتبارنامه‌های دیتابیس ۱.۳ میلیون وب‌سایت با استفاده از فایل‌های پیکربندی را مسدود کرد. در تاریخ ۱۰ خرداد بیشترین حملات از سوی مهاجمان صورت گرفت که شامل ۷۵ درصد تمام حملات به آسیب‌پذیری‌های پلاگین و تم در اکوسیستم وردپرس بود.»
 
محققان امنیتی در Wordfence توانستند با تحلیل ۲۰ هزار آدرس آی‌پی مختلف، حملات اخیر را به کمپینی که حملات گسترده‌ای در تاریخ ۹ اردیبهشت صورت داده بود، ارتباط دهند. در کمپین قبلی، مهاجمان سعی داشتند در وب‌سایت‌ها «در پشتی» قرار دهند یا کاربران را به سمت وب‌سایت‌های شامل تبلیغات مخرب هدایت کنند.
 
برای اینکار نیز از آسیب‌پذیری‌های XSS در پلاگین‌ها استفاده شد و اگرچه برای این پلاگین‌ها پچ امنیتی عرضه شده بود، اما همچنان صاحبان وب‌سایت‌ها آن‌ها را بروزرسانی نکرده بودند.
 
با توجه به این موارد، مدیران وب‌سایت‌ها برای جلوگیری از حملات سایبری باید پلاگین‌ها و تم‌های نصب شده روی وب‌سایت وردپرسی خود را همیشه بروز نگه دارند و جدیدترین بروزرسانی منتشر شده برای آن‌ها را دانلود کنند. علاوه بر این، باید تم‌ها و پلاگین‌های قدیمی که دیگر بروزرسانی دریافت نمی‌کنند را نیز از وب‌سایت خود حذف کنند.

مایکروسافت انتشار بروزرسانی جدید ویندوز ۱۰ را متوقف کرد

/در , , , /توسط
اگرچه هنوز چند روزی از انتشار بروزرسانی ویندوز 10 ماه مه 2020 نمی‌گذرد، اما مایکروسافت اعلام کرد که عرضه این بروزرسانی را متوقف کرده است.
 
طبق گفته مایکروسافت، بروزرسانی مذکور دارای مشکلاتی بود که مانع از نصب شدن آن در رایانه‌های شخصی مختلف می‌شد. این شرکت ساعاتی پیش، فهرستی از 10 مشکل را منتشر و اعلام کرد که مهندسان این شرکت در حال بررسی‌های این موارد هستند.
 
در این فهرست، 9 مشکل مربوط به «Compatibility Mode» می‌شد که از نصب بروزرسانی ویندوز 10 ماه مه 2020 از طریق قابلیت آپدیت ویندوز (Windows Update) روی دستگاه‌ها جلوگیری می‌کرد. یک مشکل دیگر نیز در قالب یک خطا نمایان و منجر به ریبوت شدن دستگاه می‌شد، اغلب در سیستم‌هایی همچون سرفیس پرو 7 یا سرفیس لپتاپ 3 مشاهده شده است.
 
اگر شما نیز در بخش Windows Update، بروزرسانی ویندوز 10 ماه 2020 را نمی‌بینید، قطعا دستگاهتان توسط مایکروسافت بلاک شده و آن را دریافت نخواهید کرد. البته کاربران می‌توانند از روش دیگری یعنی مایکروسافت Update Assistant نیز بروزرسانی مذکور را دریافت کنند. این ابزار حتی قادر است دستگاه‌هایی را که توسط مایکروسافت بلاک شده‌اند، آپدیت کند. هرچند با توجه به مشکلاتی که در این بروزرسانی گزارش شده، توصیه می‌شود که کاربران در نصب این آپدیت عجله نکنند.
 
 

مایکروسافت: در مورد نرم افزارهای ‌متن‌باز اشتباه کردیم

/در , , , /توسط
به گزارش وب‌سایت pcgamer، «استیو بالمر» مدیرعامل وقت مایکروسافت سال 2001 میلادی سیستم عامل لینوکس و به طور کلی نرم افزارهای متن‌باز را به عنوان «سرطانی که به دارایی‌های معنوی چسبیده است و هرچیزی که به آن بچسبد را نابود می‌کند» تعریف کرد. هم اکنون در سال 2020 میلادی «براد اسمیت» یکی از مدیران ارشد مایکروسافت توضیح داد که این شرکت اشتباه کرده است.
 
او که هفته گذشته در یکی از نشست‌های MIT شرکت کرده بود این مطلب را عنوان کرد. آقای اسمیت توضیح داد: «زمانی که در اوایل قرن جاری نرم افزارهای متن‌باز به صورت گسترده رواج پیدا کردند مایکروسافت در مورد این عرصه اشتباه فکر می‌کرد و من می‌توانم این مسئله را شخصا بیان کنم که شرکت مایکروسافت در این زمینه اشتباه کرده بود. خبر خوب این است که اگر زندگی به اندازه کافی طولانی باشد شما می‌توانید یاد بگیرید که باید تغییر کنید.»
 
 
این مسئله قابل درک است که مایکروسافت با گذر زمان نظر خود را در این باره تغییر دهد: این شرکت بزرگ نرم افزاری در مورد نرم افزارهای رایگان که به عنوان جایگزین برای محصولات پولی آن عرضه می‌شوند نگرانی ندارد. با این وجود اگرچه «استیو بالمر» سال 2016 نظر خود را در مورد نرم افزارهای متن باز تغییر داد، ولی توضیح داد که این مبارزه ارزش جنگیدن را داشت.
 
صحبت‌های آقای اسمیت در مورد نرم افزارهای متن‌باز که بدون توقف رو به جلو حرکت می‌کنند چندان هم دور از ذهن نبوده است. او گفت بالمر در سال 2001 احتمالا از این مسئله وحشت داشته است که در آینده قابلیت File Explorer ویندوز 10 به عنوان یکی از امکانات لینوکس عرضه شود. احتمال عرضه ویندوز 10 متن‌باز نیز سال 2015 میلادی مطرح شد. شرکت مایکروسافت سال 2018 مرکز GitHub را به ارزش 7.5 میلیارد دلار خریداری کرد و آخرین نسخه از مرورگر اینترنتی Windows Edge هم با کدهای متن‌باز پروژه Chromium ارتقا یافت. این مسائل نشان می‌دهد که مایکروسافت در عرصه نرم افزارهای متن‌باز رو به جلو حرکت می‌کند.
 

حمله سخت افزاری هکری به رایانه‌های ویندوزی تایید شد

/در , , , , , /توسط
به گزارش forbes، مایکروسافت به منظور گزارش آسیب‌ پذیری‌های درگاه Thunderbolt و تایید مشکلات امنیتی آن فعالیت‌های اینتل در این زمینه را تایید می‌کند و در آخرین گزارش خود اعلام کرده است که این نقص امنیتی به هکرها امکان می‌دهد با دسترسی فیزیکی به رایانه شخصی بتوانند سیستم کنترلی درگاه مربوطه را تغییر دهند و سرویس امنیتی آن را غیرفعال کنند. این طور که گفته می‌شود تمامی رایانه‌های شخصی مبتنی بر سیستم عامل ویندوز که به درگاه Thunderbolt مجهز هستند این آسیب پذیری را شامل می‌شوند و فقط برخی مدل‌هایی که سال گذشته با سیستم محافظ Kernel DMA روانه بازار شدند از این مشکل در امان هستند.
 
 
«بیورن رویتنبرگ» از دانشگاه فناوری آیندهوون هلند که نخستین بار این این تهدید امنیتی را شناسایی کرد از آن با عنوان Thunderspy یاد می‌کند. رویتنبرگ هشدار داد حتی اگر رایانه شخصی قفل باشد، در حالت آماده باش قرار گرفته باشد، سیستم امنیتی Secure Boot روی آن فعال باشد، به رمز عبور قوی مجهز شده باشد، یا سیستم رمزگذاری حافظه برای آن در نظر گرفته شده باشد هکرها باز هم می‌توانند در کمتر از پنج دقیقه کنترل رایانه را در اختیار بگیرند.
 
این حملات سخت افزاری به رایانه‌های شخصی بسیار پیچیده، با درصد خطر بالا و به ندرت انجام می‌شود. با این وجود این نوع حملات وجود دارند. چنین حملات سخت افزاری با نام «خدمتکار شیطان» شناخته می‌شوند و ایده اصلی بر این اساس است که وقتی در یک هتل اقامت دارید و بیرون از اتاق خود هستید یا در هنگام شب که هیچ کس در محل کار شما حضور ندارد، این حملات انجام می‌شود. در این شرایط تنها چیزی که هکر نیاز دارد چند دقیقه زمان است که کسی او را مشاهده نکند تا به راحتی اهداف خود را محقق کند.
 

ارتقای ویندوز اشیای مایکروسافت در سال ۲۰۲۱

/در , , , /توسط
مایکروسافت قصد دارد با ترکیب دو سیستم عامل خود برای ویندوز اشیا، آنها را با یکدیگر ترکیب کرده و سیستم عامل جدیدی را در سال 2021 عرضه کند.
 
به نقل از زددی نت، مایکروسافت قصد دارد امکانات زیادی را به ویندوز اینترنت اشیای خود اضافه کند و نتیجه این تغییرات در سال ۲۰۲۱ در دسترس علاقمندان قرار می گیرد.
 
در حال حاضر مایکروسافت دو ویندوز مبتنی بر اینترنت اشیا را عرضه کرده که به ترتیب IoT Core و IoT Interprise نام دارند و ترکیب آنها و عرضه نسخه نهایی یک ویندوز اشیا به حدود یک سال زمان نیاز دارد.
 
 
از جمله تغییرات ویندوز اینترنت اشیاء می توان به پشتیبانی از بسیاری از محصولات و خدمات اینترنت اشیای شرکت های دیگر فناوری، کاهش ۴۰ درصدی حجم خود این سیستم عامل، امکان عرضه وصله های به روزرسان و غیره اشاره کرد.
 
ویندوز اشیای جدید مایکروسافت با بسیاری از برنامه ها و خدمات مبتنی بر لینوکس نیز سازگاری دارد و قرار است با نام تجاری Windows ۱۰ IoT Enterprise عرضه شود.
 

حفره خطرناک جاوا مراکز تماس تلفنی را به دردسر انداخت

/در , , , , /توسط
شرکت سیسکو هشدار داده که یک نقص امنیتی خطرناک در برنامه جاوا می تواند شرکت هایی را که از نرم افزارهای مرکز تماس این شرکت استفاده می کنند، دچار مشکل کند.
 
به نقل از زددی نت، سیسکو اعلام کرده که نقص امنیتی جاوا به هکرها امکان می دهد از راه دور کدهای مخرب خود را بر روی رایانه های افراد قربانی اجرا کنند.
 
بنابراین سازمان هایی که از پلاتفورم مرکز تماس تلفنی سیسکو موسوم به Unified CCX استفاده می کنند، باید نرم افزار مذکور را به سرعت به روز کنند تا از وقوع هرگونه مشکل برای خود به طور جدی خودداری کنند.
 
سیسکو یک نسخه به روزشده از Unified CCX عرضه کرده که آسیب پذیری جاوا که مدیریت و کنترل آن را از راه دور ممکن می کند، برطرف می سازد.هکرها از این طریق می توانند بدافزارهایی را بر روی رایانه های افراد قربانی نصب کنند. برنامه Unified CCX مدیریت حداکثر ۴۰۰ تماس را ممکن می کند. اولین بار یکی از کارکنان شرکت بوزآلن همیلتون موفق به شناسایی نقص امنیتی مذکور شد.