تحلیل آسیب‌پذیری ۲۰ ساله‌ی الگوریتم فشرده‌سازی LZO

آسیب‌پذیری ۲۰ ساله موجود در الگوریتم فشرده‌سازی LZO که در برخی از نسخه‌های اندروید و هسته‌ی لینوکس به‌کار رفته است، بالاخره وصله شد. 

کد آسیب‌پذیر در تابع کتاب‌خانه‌ی الگوریتم بیش از دو دهه است که در حال فعالیت می‌باشد، اما این تابع بارها و بارها مورد بازیابی قرار گرفته است و به همین دلیل معرفی وصله برای آن کمی دشوار بوده است. کد این الگوریتم اگرچه طی بیست سال گذشته بارها تغییر کرده است، اما  پایه‌ی اصلی هنوز همان کدی است که در سال ۱۹۹۴ توسط Markus Oberhumer به صورت متن‌باز منتشر شد. 

نسخه‌ی 2.07 از این الگوریتم، بالاخره آسیب‌پذیری بیست ساله‌ی مذکور را رفع می‌کند. LZO کتاب‌خانه‌ی فشرده‌سازی داده‌ی مستقل از سکو است که ویژگی خارج کردن از حالت فشرده‌سازی درجا و امکان هم‌پوشانی فشرده‌سازی را دارد. در طی بیست سال گذشته این الگوریتم توانسته بود در بسیاری از پروژه‌های مهم مانند اندروید، OpenVPN، MPlayer2، Libav و هسته‌ی لینوکس جای خود را باز کند. این الگوریتم بسیار پیش‌رفته و کارآمد است و معماری بسیار خوبی دارد که می‌تواند در حالت خارج کردن پرونده‌ها از حالت فشرده‌سازی تا ۴ یا ۵ برابر zlib و bzip سرعت داشته باشد. 

الگوریتم LZO به‌قدری کارآمد بوده است که بارها در تجهیزات ناسا به‌کار رفته است و در آخرین کاربرد این الگوریتم در سفینه‌ی مریخ‌نورد  Mars Curiosity Rover به‌کار رفته است که هفته پیش سالگرد اولین حضورش در مریخ را جش گرفت. 

وصله شدن آسیب‌پذیری روز-صفرم در افزونه‌ی وردپرس

وصله‌ی آسیب‌پذری روز-صفرم اسکریپت TimThumb برای سامانه‌ی مدیریت محتوی وردپرس توسط توسعه‌‌دهند‌ه‌ی آن منتشر شد.

هفته‌ی گذشته، این شکاف امنیتی به صورت عمومی در فهرست رایانامه‌ای منتشر شد و Ben Gillbanks، توسعه‌دهنده‌ی این اسکریپت از تیم توسعه‌ی وردپرس، ادعا کرده است که از وجود چنین آسیب‌پذیری بی‌خبر بوده و از طریق وب‌گاه wptavern.com از آن مطلع شده است. 

TimThumb، یگ نرم‌افزار تغییر اندازه‌ی تصاویر مبتنی بر PHP است و از آن‌جایی که ورد‌پرس از ارسال تصاویر بند‌انگشتی پشتیبانی می‌کند، دیگر طرفداران زیادی ندارد، خصوصاً که این نرم‌افزار در سال ۲۰۱۱ نیز، از وجود یک آسیب‌پذیری روز-صفرم رنج برده است. 

جزییات آسیب‌پذیری اخیر ویژگی WebShot در فهرست رایانامه‌ای Full Disclosure منتشر شده است، در‌حالیکه ویژگی WebShot به صورت پیش‌فرض فعال نیست، اما پوسته‌های ورد‌پرس، افزونه‌ها و مولفه‌های غیراصلی این سامانه مدیریت محتوی در خطر حملات اجرای کد از راه دور هستند.

دور زدن احراز هویت دومرحله‌ای پِی‌پال

شاید نگاه به خطای بزرگ امنیتی که در سازو‌کار احراز هویت دومرحله‌ای پی‌پال وجود دارد، این سوال را در ذهن متخصصان ایجاد می‌کند که چگونه این شرکت متوجه این خطا نشده است؟ و البته این مسئله را یادآور می‌شود که برپایی احراز هویت دومرحله‌ای، نیازمند طی‌کردن استانداردهایی است که همه شرکت‌ها نمی‌توانند از پس آن بربیایند. 

محقق امنیتی  Zach Lanier از تیم امنیتی Duo Security هفته گذشته روشی را منتشر کرد که سازوکار احراز هویت دومرحله‌ای پی‌پال که مبتنی بر نرم‌افزار‌های تلفن‌همراه بود را دور زد. 

حرکت مایکروسافت برای اتوماسیون خانگی با سیستم عامل HomeOS

دوست داشتید که می توانستید کنترل خانه را در دست بگیرید؟ منظور کنترل دما، امنیت، لامپ ها و دیگر لوازم خانه و آشپزخانه است؟ شرکت های مختلفی مشغول کار بر روی یک سیستم مرکزی برای کنترل خانه ها هستند و حالا بخش تحقیقاتی مایکروسافت هم روی یک سیستم عامل برای خانه ها کار می کند. 

نام سیستم عامل جدید HomeOS است. این سیستم عامل تلفن های هوشمند، کامپیوترها، پرینترها، سیستم های تهویه مطبوع و ابزارهای خانه را به عنوان اجزای یک شبکه مرکزی شناسایی می کند که همگی توسط یک کامپیوتر اصلی کنترل می شوند. 

اپلیکیشن های مختلفی مانند پایشگرهای مصرف انرژی خانه و سیستم های تشخصی چهره برای دوربین های امنیتی هم جزو بخش های اصلی این سیستم عامل به حساب می آیند. 

یک فروشگاه مرکزی اپلیکیشن هم به نام HomeStore محل جستجو و دانلود اپلیکیشن های جدید است. تا اینجا همه چیز عالی و منطقی است. اما سوال اصلی اینجا است که آیا چنین سیستم عاملی در عمل با خانه های فعلی ما کار خواهد کرد؟ 

مایکروسافت می گوید از سال ۲۰۱۰ این سیستم عامل را در ۱۲ خانه مختلف آزمایش کرده و ۴۲ نفر هم مشغول تولید اپلیکیشن های مختلف برای آن بوده اند. اما این هنوز یک پروژه تحقیقاتی است. 

فعلا نمی دانیم چقدر با محقق شدن رویای یک اتوماسیون کامل خانگی فاصله داریم. اما کم کم به فکر خرید لامپ هایی باشید که بتوانند به شبکه خانگی تان متصل شود.

نسخه ۴.۴.۴ اندروید

کمتر از یک ماه از انتشار اندروید ۴.۴.۳ می‌گذرد که گوگل نسخه ۴.۴.۴ را برای ابزارهای سری نکسوس ارائه کرده است. در این نسخه از اندروید تغییرات اساسی اعمال نشده و تنها چند باگ امنیتی رفع شده است.

نسخه ۴.۴.۴ اندروید نسبت به نسخه قبلی یعنی ۴.۴.۳ تغییرات کمتری داشته است. البته خود نسخه ۴.۴.۳ نیز بروز رسانی کوچکی به شمار می‌رفت و تغییرات کمی در آن اعمال شده بود.

براساس اطلاعاتی که در لیست تغییرات اعمال شده در نسخه جدید اندروید، می‌توان متوجه شد در این بسته بروز رسانی تنها برخی از مشکلات امنیتی شناخته شده اندروید رفع شده‌اند.

براساس گزارش اندروید پلیس در این بسته بروز رسانی حفره امنیتی مربوط به OpenSSL رفع شده است. همان باگ امنیتی که این روزها در مورد آن بسیار می‌شنویم.

ظاهرا هکرها توانسته‌اند به روش مشابه Heartbleed به ابزارهای مجهز به اندروید ۴.۴.۳ نفوذ کنند.

در حال حاضر تنها نکسوس ۵ قادر به دریافت این بروز رسانی است، اما گوگل اعلام کرده که دیگر ابزارهای نکسوس شامل نکسوس ۴، نکسوس ۷ و نکسوس ۱۰ نیز به اندروید ۴.۴.۴ بروز خواهند شد.

ادغام دو غول فناوری آمریکایی

خبر ادغام دو غول‌ فناوری آمریکا یعنی AT&T و DirectTV با هزینه ۴۸ میلیارد دلاری مورد توجه بسیاری از فعالان حوزه آی تی قرار گرفته است.

به گزارش خبرگزاری فارس:

البته  این اقدام باید مورد تایید نهادهای رگولاتوری در آمریکا قرار بگیرد

زیرا برخی کارشناسان و صاحبان صنایع معتقدند تکمیل چنین فرایندی به معنای تسهیل انحصارطلبی تجاری دو شرکت یاد شده و به خطر افتادن سود و فضای کاری رقبای آنها خواهد بود.

AT&T غول مخابراتی آمریکا و DirectTV یک سرویس دهنده مشهور محتوای ویدیویی است و همکاری آنها می تواند بسیاری از شرکت های دیگر که فعالیت های مشابهی دارند را دچار مشکل و کاهش سود تجاری کند.

پیش از این نیز اخباری در مورد احتمال ادغام DirecTV و EchoStar هم منتشر شده بود که با مخالفت مواجه شد.

 

مخالفت ها با این ادغام احتمالی کماکان شدید است و برخی تحلیل گران می گویند تاثیر این اتفاق بر رقابت های احتمالی در بازار و مصرف کنندگان بازار ویدیوی دیجیتال و … غیر قابل پیش بینی است.

هیچ یک از این دو شرکت هنوز واکـنـش جـدی نـسـبـت بـه اخـبـار مـنـتـشـر شـده از خـود نـشـان نـداده انـد.

تعداد دفعاتی که به یک سایت وارد میشوید را تحت نظر بگیرید!

تا به حال برایتان پیش آمده است که بخواهید بدانید چند مرتبه در طول هفته به یک وب سایت سر زده‌اید؟

Back again افزونه ساده‌ای است که آمار بازدید از وب سایت‌هایی که روزانه به آن‌ها سر می‌زنید را در اختیارتان قرار می‌دهد.

 

کلیدهای شناسائی در بسیاری از برنامه های گوگل پلی برای ربودن داده ها بکار می آیند

به گزارش ترفندستان, به نقل از دولوپه, در گزارش تحقیقاتی که محققینی از دانشگاه کلمبیا در مورد برنامه هائی که روی ویترین گوگل پلی میباشند منتشر کرده اند امده است که این برنامه ها کلیدهای شناسائی ای دارند که برای ربودن داده ها استفاده میشوند.
　
این گروه از محققین, ابزاری به نام "PlayDrone" برای ایندکس کردن هر روزه بیش از 1.1 میلیون برنامه روی صفحه ویترین انلاین رسمی برنامه های اندروید ساخته اند که برای ان از تکنیکهای گوناگون هک استفاده کرده و فناوری گوگل که برای ممانعت از ایندکس کردن محتوا است را دور زده و موفق شده سورس کد بیش از 880000 برنامه رایگان را استخراج کند. این محققین بعد از انالیز انها متوجه شده اند که : "توسعه گران اغلب کلیدهای مخفی شناسائی در برنامه های اندروید خود دارند بدون اینکه متوجه باشند که اطلاعات شناسائی به اسانی میتوانند با دیکمپایل کردن به خطر بیفتند."
　

ارزان‌ قیمت‌ترین لپ‌تاپ های بازار (جدول)

ارزان‌ قیمت‌ترین لپ‌تاپ های بازار (جدول)

 

نام	قیمت (تومان)		توضیحات
لپ تاپ ایسوس X451CA	1.115.000		وزن: 2.1 کیلوگرم حافظه داخلی:ظرفیت: 500 گیگابایت صفحه نمایش:14 اینچ باتری 4 سلولی - فاقد سیستم‌عامل
لپ تاپ ایسوس X551CA	1.130.000		وزن: 2.15 کیلوگرم حافظه داخلی:ظرفیت: 500 گیگابایت صفحه نمایش:15.6 اینچ باتری 4 سلولی - فاقد سیستم‌عامل
لپ تاپ ایسر اسپایر E1-570G 33214G50Mnkk	1.480.000		وزن: 2.4 کیلوگرم حافظه داخلی:ظرفیت: 500 گیگابایت صفحه نمایش:15.6 اینچ باتری 4 سلولی - فاقد سیستم‌عامل
لپ تاپ اچ پی پاویلیون 15-n236se	1.650.000		وزن: 2.3 کیلوگرم حافظه داخلی:ظرفیت: 500 گیگابایت صفحه نمایش:15.6 اینچ باتری 4 سلولی - فاقد سیستم عامل
لپ تاپ لنوو Essential G500 - A	1.360.000		وزن: 2.6 کیلوگرم حافظه داخلی:ظرفیت: 500 گیگابایت صفحه نمایش:15.6 اینچ باتری 6 سلولی - فاقد سیستم‌عامل
لپ تاپ ام اس آی S30	1.400.000		وزن: 1.4 کیلوگرم حافظه داخلی:ظرفیت: 500 گیگابایت صفحه نمایش:13 اینچ باتری 4 سلولی - فاقد سیستم‌عامل
لپ تاپایسر E1-532 29552G50Mnkk	1.080.000		وزن: 2.5 کیلوگرم حافظه داخلی:ظرفیت: 500 گیگابایت صفحه نمایش:15.6 اینچ باتری 4 سلولی - فاقد سیستم‌عامل
لپ تاپ اچ پی پاویلیون 15-d024ee	1.125.000		وزن: 2.5 کیلوگرم حافظه داخلی:ظرفیت: 500 گیگابایت صفحه نمایش:15.6 اینچ باتری 4 سلولی - فاقد سیستم‌عامل

 

منبع : بیتوته

تایید وجود آسیب‌پذیری OpenSSL در محصولات VMWare

درحالی‌که گروهی از آسیب‌پذیری‌های OpenSSL از هفته گذشته وصله شده است، اما مانند آسیب‌پذیری Heartbleed، این دسته از آسیب‌پذیری‌ها روی دسته‌ی بزرگی از محصولات وجود خواهند داشت که شرکت‌ها به صورت فردی باید هر یک از این آسیب‌پذیری‌ها را وصله کنند و برای محصولات خود

به‌روز‌رسانی‌های جداگانه منتشر کنند. 

VMware، شرکت تولید‌کننده‌ی محصولات کارگزار و مشتری، روز گذشته با انتشار توصیه‌نامه‌ای وجود این آسیب‌پذیری‌ را در تعداد

زیادی از محصولات خود تایید کرده و البته اعلام کرده است که تنها برای یک محصول، یعنی ESXi 5.5 وصله وجود دارد.