جمعه 6 آذر 1383

[Salar]

پيدا شدن حفره‌ي امنيتي خطرناك ديگري در WinAmp

منبع: مشورت

Security-Assessment.com جزئيات يك حفره‌ي امنيتي را منتشر كرده‌اند كه به حمله كنندگان امكان مي‌دهد زماني كه كاربري، صفحه‌ي وب به خصوصي را مشاهده مي‌كند، كنترل PC وي را در اختيار گيرند.

اين باگ جديد كه خطايي مرزي در فايل IN_CDDA.dll بوده، جديدترين آسيب پذيري جدي در WinAmp است كه شامل نقصي است كه در ماه آگوست ايجاد شده و كنترل فايل‌هايي را به دست مي‌گرفته كه هكرها پيش از آن كه محققان به وجود آن پي ببرند، شروع به سو استفاده از آن كرده بودند.

اين باگ جديد، نقص موجود در فايل‌هاي بدون پوشش و نقص منتشر شده در ماه آوريل براي در اختيار گرفتن كنترل فايل‌هاي .xm، همگي مي‌توانستند با فريفتن كاربران آلوده و ترغيب و هدايت آنان به سوي وب سايت در بردارنده‌ي فايل ويژه‌اي، از كامپيوترهاي آن‌ها براي برنامه‌هاي مخرب خود سو استفاده كنند كه سپس به صورت خودكار دانلود و اجرا مي‌شده‌اند.

باگ منتشر شده در اين هفته، مي‌تواند به شيوه‌هاي گوناگوني اجرا گردد كه خطرناك‌ترين آن‌ها از طريق فايل فهرست موزيك‌هاي .m3u است.

اين فايل‌ها هنگامي كه بر روي وب سايت ميزبان شوند، به صورت خودكار دانلود شده و بدون هيچگونه تعامل و عمليات كاربر، بر روي WinAmp باز مي‌شوند. همين امر كافي است تا موجب ايجاد سرريزي گردد كه به فهرست موزيك مخرب امكان مي‌دهد كد مخرب مورد دلخواه و انتخاب خود را اجرا كند.



Nullsoft، بخشي از شركت آمريكا آنلاين، باگ موجود در نسخه‌ي 5.06 WinAmp را با patch اي كه از طريق وب سايت شركت در دسترس است، برطرف كرده‌اند. شركت Secunia كه از يك پايگاه داده‌ي آسيب پذيري‌ها پشتيباني و حفاظت مي‌كند، گفته است كه اين باگ از نظر ميزان خطرناك بودن، در درجه‌ي بالا و بسيار خطرناكي قرار گرفته است.



آسيب پذيري ماه آگوست WinAmp، خطرناك‌ترين آسيب پذيري امسال بوده است، زيرا پيش از آن كه patch اي براي آن ارايه گردد، مورد بهره برداري و سو استفاده‌ي باگ‌ها و هكرها واقع شده است.

اين باگ، نسخه‌ي 5.04 را كه تنها يك ماه از زمان انتشار آن مي‌گذرد، آلوده كرده است.

 

[Salar]

آي‌بي‌ام، مركز منابع Workplace را ارايه مي‌دهد

آي‌بي‌ام، مركز آنلاين منبع توليدي را تحت استراتژي پلاتفرم Workplace خود ارايه كرده است كه امكان دسترسي به ابزارهاي كمك كننده در توليد محصولات و خدمات براي پلاتفرم را براي شركت‌ها و توليد كنندگان third-party مهيا مي‌سازد.



Workplace Resourse Center جديد كه ميزبان سايت developerWorks آي‌بي‌ام شده، بررسي و مرور يكپارچه و مفصلي از تكنولوژي‌ها و محصولات را براي برنامه نويسان ارايه مي‌كند كه شامل لينك‌هايي است به مقالات فني و كسب و كار، دانلودهاي كد و تعدادي از منابع ديگر.



Mike Loria، مدير كانال‌ها و بازاريابي محصولات براي گروه نرم‌افزاري Lotus آي‌بي‌ام گفته است: « از تابستان گذشته كه تكنولوژي كلاينت Workplace را ارايه كرده‌ايم، در حال توليد تعداد بسياري از دانلودهاي كد، نامه‌هاي سفيد (whitepapers) و ابزارهاي تست براي استفاده در پلاتفرم‌ها بوده‌ايم.



آي‌بي‌ام در حال همكاري با تعدادي از شركاي تجاري از جمله Adobe Systems، Bowstreet و Hyperion Solutions بوده است تا از ابزارهاي آنان استفاده كرده و بدين طريق امكان ايجاد برنامه‌هاي كاربردي را كه از محيط Workplace بهره برداري مي‌كنند، براي كاربران فراهم سازد.



ابتكار Workplace شركت آي‌بي‌ام، چيزي است كه مقامات رسمي شركت، آن را به عنوان مدل توليد front-end توصيف مي‌كنند كه هدف آن كمك به فروشگاه‌هاي آي‌تي براي تغيير از محيط‌هاي مياني PC به ارايه‌ي برنامه‌هاي كاربردي و ابزارها است. اين امر به سرپرستان امكان مي‌دهد تا برنامه‌هاي كاربردي را به صورت مركزي تهيه و اداره كنند.



آي‌بي‌ام همچنين اعلام كرده است كه صد توليد كننده‌ي نرم‌افزار هم‌اكنون در حال استفاده از برنامه‌هاي كاربردي اين شركت براي بهره برداري از محيط Workplace هستند كه به آي‌بي‌ام امكان داده است يك ميليون جايگاه نرم‌افزار Workplace را طي يك سال گذشته، ايمن سازد.


منبع» همكاران سيستم

 

[Salar]

آي‌بي‌ام در حال خريد شركت بيمه

آي‌بي‌ام در حال به دست آوردن خدمات فرايند كسب و كار RBM Insurance است. كسب و كار Liberty Insurance Services، فرايند بيمه‌ي عمر، حقوق ساليانه و سرپرستي را كنترل كرده و يكي از شركت‌هاي جديد زير مجموعه‌ي آي‌بي‌ام خواهد بود.

اين زير مجموعه‌ي جديد آي‌بي‌ام، فرايندهاي بيمه‌ي عمر و حقوق ساليانه را براي بيش از دوازده شركت جهاني بيمه‌ي عمر، در دست گرفته و انجام خواهد داد.

آي‌بي‌ام، اين زير مجموعه‌ي جديد خود را به عنوان راهي براي به دست آوردن بخشي از بازار جهاني دو ميليارد دلاري (1 ميليارد پوند) در سال آينده، به حساب مي‌آورد.

RBC Insurance و آي‌بي‌ام همچنين توافقنامه‌ي بلند مدتي را امضا كرده‌اند كه تحت اين قرارداد، شركت آي‌بي‌ام فرايندهاي كسب و كار را براي عملكردهاي RBC's US انجام خواهد داد. اين قرارداد شامل مديريت مركز تماس، سرپرستي سياست‌ها، مديريت دعاوي و دريافت پرداخت‌ها است. اين دو شركت، موارد و مسايل مالي اين قرارداد بلند مدت را فاش نكرده‌اند.

Liberty Insurance Services در حدود 700 كارمند دارد.

منبع> همكاران سيستم

 

[Salar]

سان، حفره‌ي امنيتي در جاوا را فاش مي‌كند

سان آسيب پذيري جدي و خطرناكي را در تكنولوژي Java Plug-in پيدا كرده است كه به حمله كنندگان امكان مي‌دهد تا sandbox جاوا و امنيت Java applet (برنامه‌هاي كاربردي جاوا) را ناديده بگيرند (bypass).

اين مشكل در داخل كنترل‌هاي دسترسي به داده‌هاي Java-to-JavaScript در مرورگر وبي موجود است كه از تكنولوژي Plug-in استفاده كرده و به Javascript امكان مي‌دهد تا برنامه‌ي ناامن و خطرناكي را بار گذاري كند.

در نتيجه، يك حمله كننده از راه دور مي‌تواند براي دسترسي، دانلود، آپلود و يا اجراي فايل‌هاي اختياري و نيز دسترسي به شبكه‌ي كاربر Java Virtual Machine (ماشين مجازي جاوا)، برنامه‌هاي كاربردي مخرب را بر روي كامپيوتر اجرا كند.

Bruno Beloff، مدير فني ASP Class Calendar گفته است كه چنانچه فردي، به تعامل و كار ميان Javascript كه در داخل HTML بر روي صفحه‌ي وب اجرا مي‌شود و نيز برنامه‌هاي كاربردي جاوا پي ببرد، اين مسئله بسيار جدي و خطرناك بوده، زيرا در اين صورت، نوشته‌ها (script) مي‌توانند به برنامه‌هاي كاربردي فرمان دهند كه برنامه‌هايي را كه نبايد، اجرا كنند.

اين پيشامد براي سان بسيار مضر و مخرب خواهد بود. Scott McNealy، مدير عامل اين شركت، به طور مداوم و مكرر از امنيت جاوا در مقايسه مايكروسافت سخن گفته است.

Beloff گفته است كه ادعاهاي McNealy درباره‌ي جاوا، معقول و منطقي بوده، زيرا طراحي جاوا از نظر امنيتي بسيار خوب و مناسب بوده است.

سان هنگام فاش كردن اين آسيب پذيري، توصيه كرده است كه كاربران SDK و زيرمجموعه‌ي JRE، از نسخه‌هاي 1.4.2_06 و يا 1.3.1_13 كه هر دو از طريق آدرس java.sun.com قابل دسترسي خواهند بود، استفاده كنند.

ساير ماشين‌هاي مجازي جاوا مانند Microsoft VM، در دسترس بوده و مي‌توان از آن‌ها به عنوان جايگزين استفاده كرد.

منبع» مشورت

 

[Salar]

گفت‌وگوي مايكروسافت و سان در زمينه‌ي همكاري

شركت‌هاي مايكروسافت و سان مايكروسيستمز به دنبال توافقنامه‌ي تبادل تكنولوژي در آوريل 2004 براي بهبود و پيشرفت همكاري ميان دو فروشنده‌ي محصولات، روز اول دسامبر، برنامه‌ي روزآمد ساز مشتركي را ارايه خواهند داد.



اين دو شركت فروشنده مي‌خواهند درباره‌ي چگونگي و وضعيت همكاري با يكديگر، توضيحاتي دهند، اما درباره‌ي هيچگونه از مسايل مهم همكاري خود، بحث نخواهند كرد.



يكي از نمايندگان مايكروسافت گفته است: « ما مي‌خواهيم تنها درباره‌ي كاري كه انجام مي‌دهيم و چگونگي اين همكاري گفت‌وگو كنيم. بنابراين، نبايد انتظار مطرح شدن هيچ مسئله‌ي مهم و اساسي را از اين بحث داشته باشيد.



يكي از مواردي كه انتظار مي‌رود درباره‌ي آن صحبت شود، مديريت شناسه است. نماينده‌ي مايكروسافت هيچگونه جزيياتي از چگونگي پيشروي اين دو فروشنده در زمينه‌ي ياد شده، ارايه نخواهد داد. اين دو شركت در زمينه‌ي مديريت شناسه، در دو بخش متفاوت بوده‌اند. مايكروسافت در حال بهبود .Net Passport خود و سان در حال آزمايش محصول Liberty Alliance بوده‌اند.



به عنوام بخشي از توافقنامه‌ي ماه آوريل، سان و مايكروسافت پذيرفته‌اند كه نرم‌افزار Active Directory مايكروسافت را با سرور Java System Identity سان، متصل و مرتبط ساخته و همكاري فني ميان پلاتفرم‌هاي جاوا و دات نت را براي كامپيوتينگ مبتني بر اينترنت، بهبود بخشند.
اين دو شركت همچنين در توليد تكنولوژي خدمات وب سان، با يكديگر شريك شده‌اند.
اين توافقنامه همچنين حقوق انحصاري و ضد تراست را تعيين كرده و قرار شده است مايكروسافت مبلغ 1.6 ميليارد دلار به علاوه‌ي 350 ميليون دلار بابت حق امتياز به سان بپردازد. سان نيز موافقت كرده است كه بابت تكنولوژي‌هاي مايكروسافت كه كه از آن‌ها استفاده مي‌كند، مبلغي بابت حق امتياز به مايكروسافت پرداخت كند.


منبع» همكاران سيستم