نقطه ضعف پنتیوم 4 به هکرها اجازه دستبرد می دهد


اینتل در حال فرونشاندن ترسی است که از رو شدن نقطه ضعف پنتیوم 4 در جامعه ایجاد شده است. زیرا این نقطه ضعف به هکرها توان میدهد تا بوسیله خواند جاپای موجود در کاشه بتوانند اسم رمزها (پسوردها) را بدزدند.

بر اساس مشاهدات یک دانشجوی دوره دکترا در ونکوور بریتیش کلمبیای کانادا بنام کالین پرسیوال، Hyperthreading که در پنتیوم 4 اینتل وجود دارد به هکرها امکان میدهد تا به اطلاعات امن دسترسی یابند. تکنولوژی برای آنکه برنامه ها را سریعتر اجرا کند از اجرای همزمان دو ترید روی یک پروسسور استفاده میکند.

این نوع حمله که طی مقاله ای در کنفرانس BDSCan در اتاوا مطرح شد بر اساس یک پردازش جاسوسی که روی سرور نصب گردید و کاشه L2 را با پردازش رمزگذاری OpenSSL به اشتراک گذاشت بیان گردید. این پردازش جاسوسی منتظر زمان مناسب برای عملیات کاشه خاصی شده و آنگاه عملیات سایر پردازشها را کنار گذاشته (چیزی که پرسیوال از آن بعنوان جاپا در کاشه نام میبرد) و بدین ترتیب اطلاعاتی جمع آوری میشود که میتواند به اخذ اسم رمز نهایی بیانجامد.

اینتل که ماه مارچ از این مشکل آگاهی یافت بیان میدارد که احتمال ریسک این مشکل بسیار پایین است زیرا این مشکل فقط در سرورهایی ایجاد میشود که هکر بتواند پردازش جاسوسی را در سرور اجرا کند. سخنگوی اینتل میگوید اگر هکری بتواند پردازش جاسوسی را در سرور اجرا کند، راههای ساده تری برای دزدیدن اطلاعات پیش روی خواهد داشت.


مرجع : ComeToNet

حفره‌های امنیتی جدید در IE و Outlook


برای دومین بار طی ماه‌ها، یک شرکت خصوصی تحقیقات امنیتی، آسیب پذیری‌های بسیار خطرناکی را در دو برنامه‌ی نرم‌افزاری بسیار رایج و مورد استفاده‌ی مایکروسافت کشف کرده است.

 

 مشاوران امنیتی در eEye Digital Security در تاریخ پنجم مه از کشف دو نقص جدید در دو محصول مایکروسافت گزارش داده و اعلام کرده‌اند که کاربران مرورگر Internet Explorer و کلاینت ایمیل Outlook در معرض خطر حملات دزدی قرار دارند.

 

 eEye گفته است که یکی از این آسیب پذیری‌ها که در نصب‌های پیش فرض این نرم‌افزار آلوده وجود دارد، امکان اجرای کد مخربی را فراهم می‌سازد. این شرکت همچنین گفته است برنامه‌های گوناگون دیگری نیز توسط اجرای این کد مخرب که با خطر بسیار بالا شناخته شده، از راه دور آلوده گشته و باعث وقوع حملات از راه دور نیز می‌شوند.

 

 سیستم‌های عامل آلوده شده عبارتند از تمامی نسخه‌های ویندوزNT 4.0، ویندوز 2000 کاملاً patch شده و ویندوز XP (از جمله سرویس پک دو). مارک میفرت، مؤسس و مدیر مربوط به مسایل هکینگ در eEye گفته است که این آسیب پذیری بسیار جدی و خطرناک است، زیرا حمله کنندگان می‌توانند با استفاده از آن، به راحتی به سیستم‌های آسیب پذیر دسترسی یابند.

 

 میفرت گفته است: «مایکروسافت از وجود این آسیب پذیری‌ها آگاهی یافته و ما اکنون برای آماده کردن patch مورد نیاز، در حال همکاری با این شرکت هستیم.» وی خاطر نشان کرده است که تا زمان ارایه‌ی این patch، جزییات این آسیب پذیری را فاش نخواهد کرد.

 

 یکی از سخنگویان مایکروسافت گفته است که این شرکت از حملات مخربی که آسیب پذیری‌های یافت شده را مورد حمله قرار داده باشند و یا بر روی کامپیوترهای مشتریان تأثیری گذاشته باشند، هیچ اطلاعی ندارد.

 

 در شرایط معمولی، مایکروسافت patch هایی را به صورت ماهانه عرضه می‌کند، اما در موارد ضروری، این شرکت می‌تواند به روز رسانی‌های برون از چرخه‌ای را نیز ارایه دهد. از زمان ارایه‌ی patch های ماهانه در بیست و سوم اکتبر، مایکروسافت تاکنون سه patch برون از چرخه عرضه کرده که تمامی آن‌ها برای نقایص خطرناک یافت شده در IE بوده‌اند.

منبع: EWEEK

یاهو و ابزار هوشمند جست‌وجوی آن


یاهو ابزار جست‌وجوی جدیدی بنام Mindset معرفی کرده است که به کاربران امکان جست‌وجو و طبقه‌بندی نتایج آن را برحسب نوع آنها می‌دهد.
نسخه بتای آن به کاربران این امکان را می‌دهد تا آنچه را که می‌خواهند ببینند، برعکس ابزارهای جست‌وجوی موجود که انبوهی از اطلاعات دسته‌بندی نشده را به کاربر ارائه می‌دهد.
در Mindset‌ می‌توان مطالب مورد جست‌وجو را با به چپ و راست کشاندن غلطنده موجود در بالای صفحه جست‌وجو تنظیم کرد تا به نتایج مورد نظر رسید، مثلا تجاری یا اطلاعاتی.
واضح است که یاهو این ابزار ابداعی خود را پس از ارائه صفحه خانگی شخصی گوگل معرفی کرده است. تنظیم از پیش تعیین شده دکمه غلطان بالای صفحه جست‌وجوی یاهو نتایج را برحسب لیست‌بندی عادی یاهو نشان می‌دهد. با به راست کشیدن آن نتایج برحسب اطلاعاتی بودن مرتب شده و با غلطاندن آن به سمت چپ، نتایج بر اساس تجاری بودن آنها مرتب می‌شوند.
یاهو اعلام کرده است که Mindset‌ بر پایه پردازش آموزشی ماشین است که عملیات جست‌وجو را از طریق الگوریتم‌های توسعه یافته انجام می‌دهد و نتایج جست‌وجو در محدوده پیوسته‌ای از کاملا تجاری تا کاملا غیرتجاری قرار می‌گیرند. مدیر ارشد آزمایشگاه تحقیقاتی یاهو، آقای برنارد منگولد گفته است: «گاهی شما می‌خواهید که کالایی بخرید و زمانی تنها به دنبال جست‌وجو کردن هستید. در یک صفحه جست‌وجوی فرضی، نتایج شما را به صفحاتی تجاری می‌کشاند که صفحات غیرتجاری نیز دربر دارد. بنابراین پیدا کردن اطلاعاتی که به دنبال آن هستید با دشواری صورت می‌گیرد. Mindset حاصل تلاش ما برای رفع این مشکل است.»
مفهوم اولیه Mindset کمک به جست‌وجوگران برای انتخاب صحیح الفاظ مورد جست‌وجوست. یاهو به کاربران گوشزد می‌کند که این فناوری درحال توسعه است و نباید اکنون انتظار نتایج عالی از آن داشته باشید.