امکان هک موبایل و تبلت بعد از تعویض نمایشگر
افرادی که به دلیل شکستگی نمایشگر یا خرابی قطعات سخت افزاری موبایل یا تبلت به تعمیرگاه ها مراجعه میکنند، حالا علاوه بر صرف زمان و هزینه برای تعمیر دستگاه خود، باید نگران استفاده از قطعات مجهز به چیپ های آلوده نیز باشند.
بر اساس پژوهش های جدید، هکرها میتوانند با نصب چیپهای مخصوص روی قطعاتی مانند نمایشگر و تعویض آن در هنگام تعمیر، به اطلاعات موجود در دستگاه دسترسی یافته و حتی کنترل آن را نیز به دست بگیرند.
تحقیق اخیر که با استفاده از یک هوآوی Nexus 6P و یک تبلت ال جی G Pad 7.0 انجام شده، نشان می دهد که در صورت استفاده از پنل نمایشگر آلوده، هکرها می توانند اطلاعاتی از قبیل کلمات عبور را به دست آورده، نرم افزارهای مخربی را روی سیستم نصب کرده و حتی با استفاده از دستگاه قربانی، ایمیل ارسال کنند.
جالب است بدانید که حملات مذکور با هیچ آنتی ویروسی قابل شناسایی نبوده و حتی با آپدیت های نرم افزاری و سفت افزاری نیز متوقف نمیشوند؛ چرا که عامل حمله روی چیپی جداگانه و خارج از برنامه سیستم عامل قرار داشته و امکان حذف نرم افزاری آن وجود نخواهد داشت.
تولید و نصب هر چیپ آلوده تنها ۱۰ دلار هزینه دارد
همچنین لازم به ذکر است که تولید و نصب چیپ های مورد بحث روی قطعات سخت افزاری ارزان بوده (۱۰ دلار برای هر چیپ)، و شناسایی قطعات آلوده از نمونه های سالم نیز بسیار دشوار خواهد بود. بنا به اظهارات پژوهشگران، چنین حملاتی محدود به دستگاه های اندرویدی نبوده و آیفون ها و آیپدها نیز در معرض خطر سخت افزارهای آلوده قرار خواهند داشت.
از همین رو محققان پیشنهاد کرده اند که تولیدکنندگان، با تعریف مراحل شناسایی و تأیید اصالت برای قطعات قابل تعویض در دستگاههای خود، از اتصال و به کارگیری سخت افزارهای آلوده جلوگیری کنند.
افرادی که به دلیل شکستگی نمایشگر یا خرابی قطعات سخت افزاری موبایل یا تبلت به تعمیرگاه ها مراجعه میکنند، حالا علاوه بر صرف زمان و هزینه برای تعمیر دستگاه خود، باید نگران استفاده از قطعات مجهز به چیپ های آلوده نیز باشند.
بر اساس پژوهش های جدید، هکرها میتوانند با نصب چیپهای مخصوص روی قطعاتی مانند نمایشگر و تعویض آن در هنگام تعمیر، به اطلاعات موجود در دستگاه دسترسی یافته و حتی کنترل آن را نیز به دست بگیرند.
تحقیق اخیر که با استفاده از یک هوآوی Nexus 6P و یک تبلت ال جی G Pad 7.0 انجام شده، نشان می دهد که در صورت استفاده از پنل نمایشگر آلوده، هکرها می توانند اطلاعاتی از قبیل کلمات عبور را به دست آورده، نرم افزارهای مخربی را روی سیستم نصب کرده و حتی با استفاده از دستگاه قربانی، ایمیل ارسال کنند.
جالب است بدانید که حملات مذکور با هیچ آنتی ویروسی قابل شناسایی نبوده و حتی با آپدیت های نرم افزاری و سفت افزاری نیز متوقف نمیشوند؛ چرا که عامل حمله روی چیپی جداگانه و خارج از برنامه سیستم عامل قرار داشته و امکان حذف نرم افزاری آن وجود نخواهد داشت.
تولید و نصب هر چیپ آلوده تنها ۱۰ دلار هزینه دارد
همچنین لازم به ذکر است که تولید و نصب چیپ های مورد بحث روی قطعات سخت افزاری ارزان بوده (۱۰ دلار برای هر چیپ)، و شناسایی قطعات آلوده از نمونه های سالم نیز بسیار دشوار خواهد بود. بنا به اظهارات پژوهشگران، چنین حملاتی محدود به دستگاه های اندرویدی نبوده و آیفون ها و آیپدها نیز در معرض خطر سخت افزارهای آلوده قرار خواهند داشت.
از همین رو محققان پیشنهاد کرده اند که تولیدکنندگان، با تعریف مراحل شناسایی و تأیید اصالت برای قطعات قابل تعویض در دستگاههای خود، از اتصال و به کارگیری سخت افزارهای آلوده جلوگیری کنند.
پسر #بیونیک جوانترین فرد با 2 دست مصنوعی
آلن گیفورد جوانترین فرد تاریخ است که دو دست مصنوعی دارد. این پسربچه ۱۱ ساله اکنون می تواند چاقو و چنگال به دست گیرد و دوچرخه سواری کند.
پزشکان به دلیل مشکلات ناشی از ناراحتی قلبی مجبور شدند هنگامیکه آلن سه ساله بودند دستان او را قطع کنند. در سال ۲۰۱۵ میلادی نخستین دست مصنوعی او نصب شد. برای این کار والدین او از سراسر انگلیس ۳۰ هزار پوند کمک مالی جمع آوری کردند.
#بیونیک @unixmens
پزشکان به دلیل مشکلات ناشی از ناراحتی قلبی مجبور شدند هنگامیکه آلن سه ساله بودند دستان او را قطع کنند. در سال ۲۰۱۵ میلادی نخستین دست مصنوعی او نصب شد. برای این کار والدین او از سراسر انگلیس ۳۰ هزار پوند کمک مالی جمع آوری کردند.
#بیونیک @unixmens
تلاش برای قدرت گرفتن زنان باعث ایجاد جامعه ای توانمند خواهد شد // روز زنان بیزینسی مبارک
۱۰ جمله معروف از ریچارد استالمن و لینوس توروالدز
«اینکه بتونی بین نرمافزارهای انحصاری یکی رو انتخاب کنی، مثل این میمونه که بتونی رئیست رو انتخاب کنی. آزادی یعنی نداشتن رئیس. و در دنیای کامپیوتر آزادی یعنی عدم استفاده از نرمافزارهای غیر آزاد.»
ریچارد استالمن
من یه سیستمعامل آزاد میسازم، فقط برای تفریح، نمیتونه بزرگ و حرفهای مثل گنو باشه که روی ۳۸۶ و ۴۸۶ کار کنه.
لینوس توروالدز
حق امتیاز نرمافزارها یک تهدید بالقوهاست برای توانایی مردم در توسعهی متنباز. آسونتر کردن اون برای شرکتها و اجتماعهایی که امتیاز دارن، برای استفادهی مردم در یک فضای عمومی و اشتراکی، یک راه برای کمک به ترساندن توسعهدهندهها است.
لینوس توروالدز
اگر برنامهنویسها برای ساختن یک برنامهی جدید و ابتکاری شایستهی تشویق شدن باشن، اگر استفاده از نرمافزار رو محدود کنن، شایستهی تنبیهشدن هستند.
ریچارد استالمن
یکی از سوالاتی که من تنفر دارم جواب بدم اینه که مردم چطوری از متنباز پول در میارن. و من فکر میکنم اون RedHat و Caldera –و کلی شرکت لینوکسی دیگه که عمومی هستن– اساسی نشون میدن که بله! شما واقعا میتونین از متنباز پول در بیارین.
لینوس توروالدز
کنترلداشتن روی استفاده از ایدههای یک نفر واقعا باعث کنترل روی زندگی مردم میشه: و از این، عموما برای مشکل کردن زندگی مردم استفاده میشه.
ریچارد استالمن
وقتی که دیگه در مورد تحقیر عمومی نگران نباشن، دنبال کردن طرف متنباز حتی سختتر میشه برای مردم.
لینوس توروالدز
من جنبش نرمافزار آزاد رو به عنوان یک جنبش در جهت آزادی برای به اشتراکگذاری راه انداختم. متنباز یک واکنش در مقابل آرمانگرایی ما بود. ما هنوز اینجاییم
ریچارد استالمن
وقتی که میایم تو کار نرمافزار، من نرمافزار آزاد رو ترجیه میدم، چون خیلی به ندرت نرمافزاری رو دیدم که برای کار من خوب کار کنه، و در دسترس بودن سورسکد، اینجا میتونه نجاتدهنده باشه.
لینوس توروالدز
اگر روی آزادی و جامعهای که با پایداری روی اون میتونین بسازین توجه کنین، قدرت انجام اون رو پیدا میکنین.
ریچارد استالمن
هر کس که به من میگه من نمیتونم از یک برنامه استفاده کنم چون متنباز نیست، بره به ریچارد استالمن گیر بده. برای من مهم نیست. ۹۹٪ برنامههایی که من استفاده میکنم متنباز هستن. ولی این انتخاب منه!لعنت به این چیزا.
لینوس توروالدز
«نرمافزار آزاد» در مورد آزادی هست، نه قیمت! برای درک بهتر میتونین به «آزاد» در «آزادی بیان»»free speech» فکر کنین نه در «آبجوی آزاد(م: مجانی)»»free bear».
ریچارد استالمن
وقتی که گنو آماده شد، هر کسی میتونه نرمافزارهای آزادی برای سیستمش داشته باشه، مثل هوا که آزاده.
ریچارد استالمن
نرمافزار مثل صکث میمونه: وقتی که مجانیه بهتره.
لینوس توروالدز
برای آزادیتون ارزش قائل بشین، و الا اون رو از دست میدین. تاریخ اینو به ما یاد داده. «ما رو با سیاستهاتون به دردسر نندازین»، جوابی برای اونایی که نمیخوان یاد بگیرن.
ریچارد استالمن
«اینکه بتونی بین نرمافزارهای انحصاری یکی رو انتخاب کنی، مثل این میمونه که بتونی رئیست رو انتخاب کنی. آزادی یعنی نداشتن رئیس. و در دنیای کامپیوتر آزادی یعنی عدم استفاده از نرمافزارهای غیر آزاد.»
ریچارد استالمن
من یه سیستمعامل آزاد میسازم، فقط برای تفریح، نمیتونه بزرگ و حرفهای مثل گنو باشه که روی ۳۸۶ و ۴۸۶ کار کنه.
لینوس توروالدز
حق امتیاز نرمافزارها یک تهدید بالقوهاست برای توانایی مردم در توسعهی متنباز. آسونتر کردن اون برای شرکتها و اجتماعهایی که امتیاز دارن، برای استفادهی مردم در یک فضای عمومی و اشتراکی، یک راه برای کمک به ترساندن توسعهدهندهها است.
لینوس توروالدز
اگر برنامهنویسها برای ساختن یک برنامهی جدید و ابتکاری شایستهی تشویق شدن باشن، اگر استفاده از نرمافزار رو محدود کنن، شایستهی تنبیهشدن هستند.
ریچارد استالمن
یکی از سوالاتی که من تنفر دارم جواب بدم اینه که مردم چطوری از متنباز پول در میارن. و من فکر میکنم اون RedHat و Caldera –و کلی شرکت لینوکسی دیگه که عمومی هستن– اساسی نشون میدن که بله! شما واقعا میتونین از متنباز پول در بیارین.
لینوس توروالدز
کنترلداشتن روی استفاده از ایدههای یک نفر واقعا باعث کنترل روی زندگی مردم میشه: و از این، عموما برای مشکل کردن زندگی مردم استفاده میشه.
ریچارد استالمن
وقتی که دیگه در مورد تحقیر عمومی نگران نباشن، دنبال کردن طرف متنباز حتی سختتر میشه برای مردم.
لینوس توروالدز
من جنبش نرمافزار آزاد رو به عنوان یک جنبش در جهت آزادی برای به اشتراکگذاری راه انداختم. متنباز یک واکنش در مقابل آرمانگرایی ما بود. ما هنوز اینجاییم
ریچارد استالمن
وقتی که میایم تو کار نرمافزار، من نرمافزار آزاد رو ترجیه میدم، چون خیلی به ندرت نرمافزاری رو دیدم که برای کار من خوب کار کنه، و در دسترس بودن سورسکد، اینجا میتونه نجاتدهنده باشه.
لینوس توروالدز
اگر روی آزادی و جامعهای که با پایداری روی اون میتونین بسازین توجه کنین، قدرت انجام اون رو پیدا میکنین.
ریچارد استالمن
هر کس که به من میگه من نمیتونم از یک برنامه استفاده کنم چون متنباز نیست، بره به ریچارد استالمن گیر بده. برای من مهم نیست. ۹۹٪ برنامههایی که من استفاده میکنم متنباز هستن. ولی این انتخاب منه!لعنت به این چیزا.
لینوس توروالدز
«نرمافزار آزاد» در مورد آزادی هست، نه قیمت! برای درک بهتر میتونین به «آزاد» در «آزادی بیان»»free speech» فکر کنین نه در «آبجوی آزاد(م: مجانی)»»free bear».
ریچارد استالمن
وقتی که گنو آماده شد، هر کسی میتونه نرمافزارهای آزادی برای سیستمش داشته باشه، مثل هوا که آزاده.
ریچارد استالمن
نرمافزار مثل صکث میمونه: وقتی که مجانیه بهتره.
لینوس توروالدز
برای آزادیتون ارزش قائل بشین، و الا اون رو از دست میدین. تاریخ اینو به ما یاد داده. «ما رو با سیاستهاتون به دردسر نندازین»، جوابی برای اونایی که نمیخوان یاد بگیرن.
ریچارد استالمن
کمیسیون حقوق بشر سازمان ملل متحد، به تازگی قطعنامهای غیر الزامآور به تصویب رساند که بر پایه آن، دولتهایی که عمدی و با مقاصد خاص دسترسی کاربران خود را به اینترنت قطع کنند، با عنوان اقدام برای نقض حقوق بشر محکوم خواهند شد.
این قطعنامه مبتنی بر بیانیههای سابق سازمان ملل متحد در خصوص حقوق دیجیتالی است و تاکید دارد «هرگونه حقوقی که افراد در حالت آفلاین دارند، باید در حالت آنلاین نیز برقرار بوده و صیانت شود»، به ویژه موضوع حق آزادی بیان که ذیل ماده ۱۹ بیانیه جهانی حقوق بشر است.
روز جمعه گذشته، این قطعنامه به اتفاق آرا در کمیسیون حقوق بشر سازمان ملل متحد به تصویب رسید که البته با مخالفت برخی کشورها از جمله، روسیه، چین و عربستان سعودی، آفریقای جنوبی و هند روبه رو شد.
این کشورها خواهان حذف بندی از این قطعنامه بودند که دخالت موثر و مستقیم دولتها برای قطع دسترسی به اینترنت و جلوگیری از انتشار اطلاعات را به شکلی صریح محکوم میکند.
البته قطعنامههای غیر الزامآور از این دست از قوه قاهره برای اجرایی شدن برخوردار نیستند؛ اما در نوع خود میتواند کشورها و دولتهای ناقض را تحت فشار قرار داده و اعتماد به اجرای قوانین حقوق بشری در سرتاسر دنیا را بیشتر کند. این قطعنامه سازمان ملل در پی اقدامات برخی کشورها برای قطع دسترسی به اینترنت، عامدانه و برای تحت کنترل درآوردن شهروندان است.
برای مثال طی یک ماه گذشته، شبکههای اجتماعی به شکلی وسیع در ترکیه و به خصوص بعد از عملیات تروریستی اخیر در فرودگاه آتاتورک تعطیل شده و یا به شدت تحت کنترل درآمدهاند. همچنین در بحرین و هند نیز اینترنت موبایل به دنبال اعتراضات داخلی به کلی قطع شده است.
بنا بر گزارشی که چندی پیش نهاد Access Now ـ که یک نهاد فعال در حوزه حقوق دیجیتالی است ـ منتشر کرده، تنها در سال ۲۰۱۵ تعداد ۱۵ مورد قطع کلی اینترنت در سراسر جهان صورت گرفته و تا کنون نیز در سال ۲۰۱۶ حداقل ۲۰ مورد از این اقدامات رصد شده است.
#news @unixmens
این قطعنامه مبتنی بر بیانیههای سابق سازمان ملل متحد در خصوص حقوق دیجیتالی است و تاکید دارد «هرگونه حقوقی که افراد در حالت آفلاین دارند، باید در حالت آنلاین نیز برقرار بوده و صیانت شود»، به ویژه موضوع حق آزادی بیان که ذیل ماده ۱۹ بیانیه جهانی حقوق بشر است.
روز جمعه گذشته، این قطعنامه به اتفاق آرا در کمیسیون حقوق بشر سازمان ملل متحد به تصویب رسید که البته با مخالفت برخی کشورها از جمله، روسیه، چین و عربستان سعودی، آفریقای جنوبی و هند روبه رو شد.
این کشورها خواهان حذف بندی از این قطعنامه بودند که دخالت موثر و مستقیم دولتها برای قطع دسترسی به اینترنت و جلوگیری از انتشار اطلاعات را به شکلی صریح محکوم میکند.
البته قطعنامههای غیر الزامآور از این دست از قوه قاهره برای اجرایی شدن برخوردار نیستند؛ اما در نوع خود میتواند کشورها و دولتهای ناقض را تحت فشار قرار داده و اعتماد به اجرای قوانین حقوق بشری در سرتاسر دنیا را بیشتر کند. این قطعنامه سازمان ملل در پی اقدامات برخی کشورها برای قطع دسترسی به اینترنت، عامدانه و برای تحت کنترل درآوردن شهروندان است.
برای مثال طی یک ماه گذشته، شبکههای اجتماعی به شکلی وسیع در ترکیه و به خصوص بعد از عملیات تروریستی اخیر در فرودگاه آتاتورک تعطیل شده و یا به شدت تحت کنترل درآمدهاند. همچنین در بحرین و هند نیز اینترنت موبایل به دنبال اعتراضات داخلی به کلی قطع شده است.
بنا بر گزارشی که چندی پیش نهاد Access Now ـ که یک نهاد فعال در حوزه حقوق دیجیتالی است ـ منتشر کرده، تنها در سال ۲۰۱۵ تعداد ۱۵ مورد قطع کلی اینترنت در سراسر جهان صورت گرفته و تا کنون نیز در سال ۲۰۱۶ حداقل ۲۰ مورد از این اقدامات رصد شده است.
#news @unixmens
به نظر میرسد که شرکت لنوو روزهای خوبی را ازنظر مبارزه با مشکلات امنیتی پشت سر نمیگذارد زیرا مجددا یک حفره امنیتی بسیار خطرناک در کامپیوترهای این شرکت یافته شده است.
هنگامی که ما رقمی بسیار سنگین را برای یک کامپیوتر خانگی پرداخت میکنیم بهصورت طبیعی انتظار داریم که این هزینه برای ما معماری مناسب سختافزاری و امنیتی را به همراه داشته باشد.
با این وجود به نظر میرسد که خریداران دستگاههای ساخت شرکت لنوو چندان در این زمینه خوش اقبال نبودهاند زیرا سیستمهای ساخت این شرکت چینی ازنظر کارشناسان با بحران امنیتی روبرو هستند.بر اساس گزارشهای منتشر شده به نظر میرسد که حفره امنیتی جدیدی در دستگاههای ساخت این شرکت یافت شده است که مسلما نشاندهنده فعالیت ضعیف مهندسان این شرکت در زمینه معماری امنیتی سیستمهای خود است.
شایان ذکر است که پیشازاین نیز موردی مشابه برای لنوو رخ داده بوده است و این شرکت در بیانیههای خود از تلاش برای عدم وقوع مجدد چنین مشکلی سخن گفته بود ولی در عمل شاهد روندی معکوس با ادعاهای مسئولان لنوو بودهایم.
این حفره امنیتی میتواند موجب شود تا هکرها بتوانند پروتکلهای امنیتی ویندوز را دور زده و به سیستم کاربر هجوم ببرند. با این حال لنوو اعلام کرده است که متخصصان این شرکت در حال تلاش شبانهروزی برای رفع این مشکل هستند و باید بهزودی انتظار عرضه یک بسته بهروزرسانی توسط این شرکت را داشته باشیم.
#news #security @unixmens #lenovo
هنگامی که ما رقمی بسیار سنگین را برای یک کامپیوتر خانگی پرداخت میکنیم بهصورت طبیعی انتظار داریم که این هزینه برای ما معماری مناسب سختافزاری و امنیتی را به همراه داشته باشد.
با این وجود به نظر میرسد که خریداران دستگاههای ساخت شرکت لنوو چندان در این زمینه خوش اقبال نبودهاند زیرا سیستمهای ساخت این شرکت چینی ازنظر کارشناسان با بحران امنیتی روبرو هستند.بر اساس گزارشهای منتشر شده به نظر میرسد که حفره امنیتی جدیدی در دستگاههای ساخت این شرکت یافت شده است که مسلما نشاندهنده فعالیت ضعیف مهندسان این شرکت در زمینه معماری امنیتی سیستمهای خود است.
شایان ذکر است که پیشازاین نیز موردی مشابه برای لنوو رخ داده بوده است و این شرکت در بیانیههای خود از تلاش برای عدم وقوع مجدد چنین مشکلی سخن گفته بود ولی در عمل شاهد روندی معکوس با ادعاهای مسئولان لنوو بودهایم.
این حفره امنیتی میتواند موجب شود تا هکرها بتوانند پروتکلهای امنیتی ویندوز را دور زده و به سیستم کاربر هجوم ببرند. با این حال لنوو اعلام کرده است که متخصصان این شرکت در حال تلاش شبانهروزی برای رفع این مشکل هستند و باید بهزودی انتظار عرضه یک بسته بهروزرسانی توسط این شرکت را داشته باشیم.
#news #security @unixmens #lenovo
سه مدل از روترها و فایروالهای VPN بی سیم سیسکو که متعلق به کسب و کارهای کوچک سری RV هستند، حاوی یک آسیب پذیری اصلاح نشده مهم هستند که به مهاجمان امکان کنترل از راه دور دستگاهها را میدهد.این آسیب پذیری به راحتی مورد سوء استفاده قرار میگیرد. فقط کافی است مهاجمان یک درخواست HTTP غیرمجاز به آنها ارسال نمایند. این درخواست سبب اجرای کد از راه دور در سطح ریشهای شده و بالاترین سطح نفوذ در اختیار هکرها قرار میگیرد و در نتیجه منجر به نفوذ کامل آنها میشود.
این آسیب پذیری در رابط مدیریت مبتنی بر وب فایروال RV110W Wireless-N VPN، روتر RV130W Wireless-N Multifunction VPN و روتر RV215W Wireless-N VPN سیسکو قرار دارد.اگر دستگاههای آسیب دیده برای مدیریت از راه دور پیکربندی شده باشند .
شرکت سیسکو سیستمز در مورد این آسیب پذیری به کلیه کاربران هشدار داده اما هنوز هیچ اصلاحیه امنیتی در این رابطه منتشر نشده است. این شرکت قصد دارد در سه ماهه سوم سال ۲۰۱۶، یک به روز رسانی سیستم عامل منتشر سازد که در آن نقص فوق الذکر برطرف خواهد شد.این تنها آسیب پذیری اصلاح نشده موجود در این سه دستگاه سیسکو نیست. این شرکت همچنین از وجود یک نقص کراس سایت اسکریپتینگ (XSS) با شدت متوسط و دو سرریز بافر با شدت متوسط در این محصولات خبر داده که منجر به شرایط حملات محرومیت از سرویس میشوند.
بهره برداری از سرریزهای بافر، نیاز به این دارد که مهاجمین در رابط کاربری تحت وب دستگاه، یک authenticated session داشته باشند.نقص XSS میتواند با فریب کاربران برای کلیک بر روی URL های مخرب آسیب رسان باشد.
یک بهره برداری موفق به مهاجمین امکان اجرای اسکریپت دلخواه در رابط مدیریت مبتنی بر وب دستگاه را فراهم میکند و یا اجازه میدهد مهاجمین به اطلاعات حساس مبتنی بر مرورگر دسترسی پیدا کنند.کاربران بدون وصله امنیتی نمیتوانند میزان آسیب پذیری ناشی از نقص XSS را کاهش دهند زیرا آن میتواند با دیگر آسیب پذیری ها ترکیب شود. برای مثال، اگر کاربران مدیریت خارجی در دستگاههای خود را غیر فعال سازند تا به این روش از این آسیب پذیری بحرانی خلاص شوند، دستگاههایشان هنوز هم از نظر نقص کراس سایت اسکریپتینگ آسیب پذیر است.
#news #security #cisco @unixmens
این آسیب پذیری در رابط مدیریت مبتنی بر وب فایروال RV110W Wireless-N VPN، روتر RV130W Wireless-N Multifunction VPN و روتر RV215W Wireless-N VPN سیسکو قرار دارد.اگر دستگاههای آسیب دیده برای مدیریت از راه دور پیکربندی شده باشند .
شرکت سیسکو سیستمز در مورد این آسیب پذیری به کلیه کاربران هشدار داده اما هنوز هیچ اصلاحیه امنیتی در این رابطه منتشر نشده است. این شرکت قصد دارد در سه ماهه سوم سال ۲۰۱۶، یک به روز رسانی سیستم عامل منتشر سازد که در آن نقص فوق الذکر برطرف خواهد شد.این تنها آسیب پذیری اصلاح نشده موجود در این سه دستگاه سیسکو نیست. این شرکت همچنین از وجود یک نقص کراس سایت اسکریپتینگ (XSS) با شدت متوسط و دو سرریز بافر با شدت متوسط در این محصولات خبر داده که منجر به شرایط حملات محرومیت از سرویس میشوند.
بهره برداری از سرریزهای بافر، نیاز به این دارد که مهاجمین در رابط کاربری تحت وب دستگاه، یک authenticated session داشته باشند.نقص XSS میتواند با فریب کاربران برای کلیک بر روی URL های مخرب آسیب رسان باشد.
یک بهره برداری موفق به مهاجمین امکان اجرای اسکریپت دلخواه در رابط مدیریت مبتنی بر وب دستگاه را فراهم میکند و یا اجازه میدهد مهاجمین به اطلاعات حساس مبتنی بر مرورگر دسترسی پیدا کنند.کاربران بدون وصله امنیتی نمیتوانند میزان آسیب پذیری ناشی از نقص XSS را کاهش دهند زیرا آن میتواند با دیگر آسیب پذیری ها ترکیب شود. برای مثال، اگر کاربران مدیریت خارجی در دستگاههای خود را غیر فعال سازند تا به این روش از این آسیب پذیری بحرانی خلاص شوند، دستگاههایشان هنوز هم از نظر نقص کراس سایت اسکریپتینگ آسیب پذیر است.
#news #security #cisco @unixmens
متاسفانه در ایران مجازی سازی رو VMware VSphereو ... میشناسن که ساحتارها و ابزار های قدرتمند تری هست مثل proxmox که رقیب جدی vmware هست // سعی میکنم کتاب آموزشی آن را بنویسم // تا متخصصان ای تی کشورمون با اون آشنا بشن // قابلیت هایی در proxmox هست که در vmware پیدا نمیشه