تجزیه و تحلیل محققان خبر از وجود یک آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (Stored Cross-Site Scripting) در WordPress می‌دهد که می‌تواند منجر به اجرای کد راه‌دور drive-by شود.
حمله‌ی drive-by زمانی رخ می‌دهد که دشمن از طریق ملاقات کاربر از مرورگر وب طی یک جستجوی نرمال، به سیستم دسترسی یابد.
این آسیب‌پذیری که با شناسه‌ی CVE-2019-16219 ردیابی می‌شود، در ویرایشگر داخلی Gutenburg که در نسخه‌های WordPress 5.0 و بالاتر وجود دارد، یافت شده است. به گفته‌ی Zhouyuan Yang در آزمایشگاه Forti Gaurd، در صورت وجود یک پیغام خطای “Shortcode”، Gutenburg نمی‌تواند کد JavaScript/HTML یک پست را فیلتر کند.
Shortcodeها میانبرهای ضروری هستند که کاربران WordPress می‌توانند به‌منظور تعبیه‌کردن فایل‌ها یا ساخت اشیایی که به صورت نرمال نیاز به کد پیچیده‌تری برای انجام دادن دارند، به کار گیرند. بلوک‌های Shortcode می‌توانند با کلیک بر روی گزینه‌ی “Add Block button” درون ویرایشگر Gutenburg، به یک صفحه اضافه شوند.
با این حال، با اضافه‌کردن برخی کاراکترهای رمزگذاری‌شده‌ی HTML (مانند ‘<’) به خود بلوک Shortcode و سپس بازکردن دوباره‌ی پست، کاربران یک پیغام خطایی دریافت خواهند کرد.
Wordpress پست را با رمزگشایی ‘<’ به ‘<”,”’ به نمایش می‌گذارد. فیلتر XSS در این پیش‌نمایش می‌تواند به‌راحتی با اضافه‌کردن کد اثبات مفهوم ‘>img src=1 onerror-prompt(1)>.’ به پست، دور زده شود. از آن پس، هر بازدیدکننده‌‌‌ی سایت که این پست را مشاهده می‌کند، کد XSS در مرورگرش اجرا خواهد شد.
این امر به یک مهاجم راه‌دور با مجوز «مشارکت‌کننده» (contributor) یا بالاتر اجازه می‌دهد کد دلخواه JavaScript/HTML را در مرورگر قربانیانی که به صفحه وب آسیب‌پذیر دسترسی دارند، اجرا کند. تا زمانی که مهاجم دارای نقش مشارکت‌کننده در یک صفحه وب WordPress آسیب‌پذیر است، می‌تواند از این نقص سوءاستفاده کند. مهاجمان همچنین می‌توانند خودشان وب‌سایتی بسازند یا ابتدا یک وب‌سایت قانونی را جهت تزریق کد در معرض خطر قرار دهند. از آن پس تنها لازم است قربانیان فریب‌خورده، صفحه‌ی در معرض خطر را به‌منظور اجرای کد مخرب ملاقات کنند.
آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (XSS ذخیره‌شده)، شدیدترین نوع XSS است. XSS ذخیره‌شده زمانی اتفاق می‌افتد که یک برنامه‌ی کاربردی تحت وب داده‌های ورودی را از یک کاربر جمع‌آوری کند و آن داده‌ها را برای استفاده‌ی بعدی ذخیره سازد. اگر این داده‌ها به‌درستی فیلتر نشوند، داد‌ه‌های مخرب بخشی از وب‌سایت را تشکیل خواهند داد و درون مرورگر کاربر، تحت امتیازات برنامه‌ی کاربردی تحت وب، اجرا می‌شوند.
آسیب‌ دیگری که این نقص دارد این است که اگر قربانی دارای مجوز بالا باشد، مهاجم حتی می‌تواند کارگزار وب آن‌ها را در معرض خطر قرار دهد.
این نقص از نظر شدت، «متوسط» رتبه بندی شده است و دارای رتبه‌ی 6.1 در مقیاس 10 است.
این آسیب‌پذیری در نسخه‌های WordPress 5.0 تا 5.0.4، 5.1 و 5.1.1 یافت شده است و در ماه سپتامبر سال 2019، با انتشار نسخه‌ی WordPress 5.2.3، وصله شده است.
این نقص XSS، تنها نقص XSS وصله‌شده در بستر WordPress نیست؛ این به‌روزرسانی آسیب‌پذیری‌های XSS یافت‌شده در پیش‌نمایش‌های پست توسط مشارکت‌کنندگان، در نظرات ذخیره‌شده، در حین بارگزاری رسانه‌ها، در داشبود و در حین پاکسازی URL را نیز برطرف ساخته است.
نقص‌های XSS در WordPress و افرونه‌های مختلف، به آسیب‌زدن به این معروف‌ترین سیستم مدیریت محتوا در جهان که 60.4 درصد از سهم بازار CMS را به خود اختصاص داده‌است، ادامه می‌دهند. حدود یک سوم تمامی وب‌سایت‌های اینترنتی بااستفاده از WordPress ساخته شده‌اند.
به مدیران وب‌سایت‌ها توصیه می‌شود به‌روزرسانی منتشرشده جهت رفع این آسیب‌پذیری را در اسرع وقت به‌کار گیرند.

منبع : مرکز ماهر

به گزارش سافت گذر، به همراه ویندوز 10 آنتی ویروسی به نام ویندوز دیفندر (Windows Defender) عرضه می‌شود تا امنیت کاربران را تأمین کند. اما برخی‌ها هستند که نمی‌خواهند از این برنامه استفاده کنند به همین دلیل باید بدانیم که چگونه می‌توانیم آن را غیرفعال نماییم.

فعالسازی و غیرفعالسازی ویندوز دیفندر (روش اول):

1. استارت را باز کنید و گزینه Windows Security را بزنید.
2. روی گزینه Virus and Threat Protection کلیک کنید.
3. زیر این تنظیمات، گزینه Manage Settings را بزنید.
4. در نهایت دکمه آپشن Real-time Protection را خاموش یا روشن کنید.
5. فعالسازی و غیرفعالسازی ویندوز دیفندر (روش دوم):
6. با جستجوی regedit، گزینه Registry Editor را بزنید.

متن زیر را در قسمت وارد کردن آدرس کپی و سپس پیست کنید:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
2. روی آیکون ویندوز دیفندر کلیک راست نمایید و گزینه New و DWORD را بزنید.
3. نام آن را به DisableAntiSpyware تغییر داده و ذخیره کنید.
4. روی DWORD دو بار کلیک کنید تا پنجره‌ای ظاهر شود و مقدار آن را به 0 (غیرفعال) یا 1 (فعال) تغییر دهید.
5. تغییرات را ذخیره و رایانه را ری‌استارت کنید.

منبع: mspoweruser.com

به دنبال تولید نرم افزاری برای کنترل برخی گوشی های اندرویدی با چشم، حالا یک شرکت تجاری به فکر افتاده ابزاری مشابهی را برای آیفون طراحی کند.

به گزارش خبرنگار گروه علمی و دانشگاهی خبرگزاری فارس به نقل از بی جی آر، اگر چه نرم افزار کنترل گوشی های گالکسی با چشم که توسط سامسونگ طراحی شده بود، چندان با استقبال مواجه نشد، اما Hawkeye Labs امیدوار است نمونه مشابه که برای آیفون در نظر گرفته شده مورد استقبال بیشتری قرار بگیرد.

برنامه نویسان این شرکت به تازگی ویدئویی از این برنامه را در اینترنت منتشر کرده اند که نشان می دهد  کاربران تنها با استفاده از دوربین آیفون و قابلیت TrueDepth آن قادر به کنترل این گوشی هستند. به عنوان مثال، می توان از این طریق به طور کامل مرورگر وب را کنترل کرد و دیگر هیچ نیازی به استفاده از دستان وجود ندارد.

این برنامه، به خصوص برای افرادی با معلولیت‌های مختلف قابل استفاده خواهد بود و به کاربران مذکور امکان می دهد بدون دردسر و کمک خواستن از دیگران کارهای خود را انجام دهند.

شرکت سازنده جزئیات فنی مربوط به عملکرد برنامه هاوکی اکسس را افشا نکرده است، اما بر اساس ویدئوی منتشر شده بخش هایی از فرامین از طریق پلک زدن منتقل می شوند.

منبع : فارس

سرقت عکس های گوگل دشوارتر شد

گوگل با حذف دکمه مشاهده عکس از بخش جستجوی تصاویر جستجوگر خود، سرقت تصاویر و نقض کپی رایت آنها را برای کاربران اینترنت دشوارتر کرد.
تصویر سرقت عکس های گوگل دشوارتر شد

به گزارش جام جم آنلاین به نقل از فارس ، بسیاری از مالکان وب سایت ها مدتهاست به گوگل اعتراض می کنند که چرا دکمه ویژه ای برای مشاهده مجزای عکس های وب سایت ها در جستجوگر خود گنجانده و از این طریق تماشا و ذخیره سازی بی دردسر عکس ها را ممکن می کند.

وجود این دکمه برای کاربران بسیار مفید بود و جستجو و ذخیره سریع عکس ها را تسهیل می کرد، اما انتقادات ذخیره عکاسان و مالکان عکس ها باعث شده بود تا سرانجام گوگل دکمه یادشده را حذف کند.

ورج نوشت: گوگل خود اعلام کرده که این کار به درخواست عکاسان و ناشران صورت گرفته و بازدیدکنندگان از این پس برای مشاهده عکس ها باید به سایت های مالک عکس ها مراجعه کنند.

البته این تحول ذخیره سازی عکس های یافته شده در جستجوگر گوگل را ناممکن نمی کند. بلکه این کار را برای کاربران دشوارتر می کند. اما هنوز هم می توان به روش های مختلف این کار را انجام داد.

منبع : کلیک