Captain Kirk

Ik vind het hier een prima plaats, zeker ook namens veel lezers, waaronder ikzelf, dank voor delen van deze mooie informatie. Zie dat ik zelf al van veel gebruik maak

Het echte ip-adres van Tor-gebruikers is mogelijk te achterhalen via kwetsbaarheden in OpenSSL waarvoor deze week updates verschenen, zo laten de ontwikkelaars van Tails weten. Die hebben vanwege de impact van de OpenSSL-lekken een noodpatch voor Tails uitgebracht. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Vandaag is Tails 7.4.1 verschenen, een "emergency release". Deze versie bevat onder andere een update van de gebruikte OpenSSL-library. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Ook het Tor-netwerk maakt er gebruik van. Afgelopen dinsdag verschenen er beveiligingsupdates voor OpenSSL wegens verschillende kwetsbaarheden, die in het ergste geval remote code execution mogelijk kunnen maken. Volgens de ontwikkelaars van Tails zou een malafide Tor-server door middel van de OpenSSL-kwetsbaarheden mogelijk het echte ip-adres van een Tor-gebruiker kunnen achterhalen. De ontwikkelaars voegen toe dat ze niet bekend zijn met misbruik van deze kwetsbaarheden. bron: https://www.security.nl

Het Tor Project heeft wegens "tekst-vandalisme" een nieuwe versie van Tor Browser uitgebracht, de browser waarmee gebruikers via het Tor-netwerk kunnen browsen. Volgens het Tor Project heeft een vandaal de Vietnamese vertaling van Tor Browser gevandaliseerd en zijn deze verkeerd vertaalde teksten in Tor Browser 15.0.4 terecht gekomen. Dit had geen invloed op de werking van de browser, aldus de ontwikkelaars. Met de lancering van Tor Browser 15.0.5 zijn de ongewenste vertalingen ongedaan gemaakt. Daarnaast wordt ook het proces rond het accepteren van bijgewerkte vertalingen herzien, om herhaling van een soortgelijke situatie te voorkomen. Het Tor Project zegt dat het bijdragen van de community wil blijven ontvangen, maar waarborgen toevoegt waar nodig. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Update Tor Browser 15.0.5 bevat ook een update voor OpenSSL die verschillende kwetsbaarheden verhelpt. Een malafide Tor-server zou via deze beveiligingslekken mogelijk het ip-adres van Tor-gebruikers kunnen achterhalen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in encryptiesoftware GnuPG en Gpg4win kan remote code execution mogelijk maken, zo waarschuwt ontwikkelaar Werner Koch. Een CVE-nummer is nog niet beschikbaar, beveiligingsupdates wel. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Gpg4win is een GnuPG-implementatie voor Windows om e-mails en bestanden te versleutelen en signeren. Een speciaal geprepareerd "CMS (S/MIME) EnvelopedData" bericht met een oversized wrapped session key kan een stack buffer overflow in de software veroorzaken. Dit kan leiden tot een denial of service waardoor de software stopt met werken, maar kan volgens Koch zeer waarschijnlijk ook remote code execution mogelijk maken. Het beveiligingslek werd gevonden en gerapporteerd door OpenAI Security Research. Koch ontving de bugmelding op 18 januari en bracht op 27 januari gepatchte versies uit. Gebruikers van de software worden opgeroepen om zo snel mogelijk de updates te installeren. bron: https://www.security.nl

Aanvallers hebben een updateserver van eScan gehackt en gebruikt voor het verspreiden van malware onder klanten van het antivirusbedrijf. Op 20 januari werd een malafide update verspreid onder klanten die van de betreffende updateserver gebruikmaken. Securitybedrijf Morphisec stelt dat het de aanval ontdekte en vervolgens MicroWorld, het bedrijf achter eScan, waarschuwde. MicroWorld ontkent dit tegenover Bleeping Computer en claimt dat het de aanval zelf ontdekte. Volgens Morphisec wijzigt de malware de registerwaardes, bestanden en updateconfiguratie van eScan en zorgt ervoor dat de virusscanner niet goed meer functioneert. Zo worden updates niet meer automatisch door de antivirussoftware gedownload. Het automatisch herstellen van de infectie via eScan is daardoor niet mogelijk, aldus de onderzoekers. Getroffen organisaties moeten daardoor zelf contact met eScan opnemen om de update/patch voor het herstellen van de infectie handmatig te verkrijgen en installeren, zo stellen de onderzoekers verder. Morphisec stelt dat zowel organisaties als eindgebruikers via de malafide update met "multi-stage malware" besmet zijn geraakt, waaronder een backdoor, en besmette machines verbinding met een command & control-server verbinding maken om aanvullende malware te downloaden. Verder meldt het securitybedrijf dat de malafide update was gesigneerd met een certificaat van eScan. Hoe de aanvallers de updateserver konden compromitteren is niet bekendgemaakt. bron: https://www.security.nl

Softwarebedrijf SolarWinds waarschuwt voor verschillende kritieke kwetsbaarheden in Web Help Desk waardoor ongeauthenticeerde aanvallers systemen op afstand kunnen overnemen. Ook bevat de software hardcoded inloggegevens waardoor een aanvaller toegang tot "administrative functions" kan krijgen. Er is een update uitgebracht die het probleem verhelpt. Web Help Desk (WHD) is een ticketingsysteem waarmee organisaties hun gebruikers en klanten tickets kunnen laten insturen. Vervolgens kan de organisatie de ingezonden tickets aan medewerkers toekennen zodat die gemelde problemen kunnen oplossen. De software bevat verschillende kwetsbaarheden, zo laat SolarWinds vandaag weten. Het gaat onder andere om twee "untrusted data deserialization" kwetsbaarheden die remote code execution mogelijk maken en een "authentication bypass" waardoor een aanvaller de authenticatie kan omzeilen. De impact van deze drie beveiligingslekken (CVE-2025-40551, CVE-2025-40553 en CVE-2025-40554 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De problemen zijn door een ongeauthenticeerde aanvaller op afstand te misbruiken. Een andere opvallende kwetsbaarheid die SolarWinds in Web Help Desk heeft verholpen is CVE-2025-40537. Het betreft de aanwezigheid van hardcoded credentials die een aanvaller toegang tot "administrative functions" geven. Verdere details zijn niet gegeven. Twee jaar geleden maakten aanvallers actief misbruik van een "deserialization of untrusted data" kwetsbaarheid in SolarWinds Web Help Desk en de aanwezigheid van hardcoded credentials. De twee beveiligingslekken, CVE-2024-28986 en CVE-2024-28987, werden door het Amerikaanse cyberagentschap CISA op een lijst van actief aangevallen kwetsbaarheden geplaatst. In de beveiligingsbulletins voor de nieuwe kwetsbaarheden wordt geen melding van waargenomen misbruik gemaakt. bron: https://www.security.nl

De makers van e-mailclient Thunderbird hebben een beveiligingsupdate uitgebracht wegens een kwetsbaarheid waardoor een aanvaller de inhoud van versleutelde e-mail kan stelen. De Duitse overheid stelt dat het risico van het beveiligingslek "hoog" is. Wanneer het laden van remote content in Thunderbird wordt toegestaan is het via CSS (Cascading Style Sheets) mogelijk om de inhoud van versleutelde e-mails deels te stelen, aldus het beveiligingsbulletin van Thunderbird. Verdere details over het lek, aangeduid als CVE-2026-0818, zijn niet door de ontwikkelaars van de e-mailclient gegeven. De link naar de betreffende bug is nog niet voor het publiek toegankelijk. Mozilla heeft CVE-2026-0818 beoordeeld als een "moderate" kwetsbaarheid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, denkt daar anders over en stelt dat het risico "hoog" is. De kwetsbaarheid is verholpen in Thunderbird 140.7.1 en 147.0.1. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kwetsbaarheid in WinRAR waarvoor vorig jaar juli een beveiligingsupdate verscheen, zo meldt Google. WinRAR heeft geen automatische updatefunctie, wat inhoudt dat gebruikers de update zelf handmatig moeten installeren. Via het beveiligingslek (CVE-2025-8088) kan een aanvaller willekeurige code op het systeem van slachtoffers uitvoeren, als die een speciaal geprepareerd archiefbestand openen. Hierbij worden bestanden in de Windows Startup directory geplaatst en bij het opstarten van het systeem uitgevoerd. Het probleem werd op 24 juli verholpen in de bètaversie van WinRAR 7.13. De definitieve versie van WinRAR 7.13 verscheen op 30 juli. Op het moment dat deze versies verschenen was er al misbruik van het lek gemaakt. Antivirusbedrijf ESET, dat de kwetsbaarheid ontdekte, waarschuwde dat Europese bedrijven, waaronder in de financiële, productie, defensie en logistieke sectoren, via het lek waren aangevallen. Hoewel een gepatchte versie al maanden beschikbaar is zijn er meerdere door staten gesteunde groepen aanvallers die nog altijd op grote schaal misbruik van CVE-2025-8088 maken, aldus de Google Threat Intelligence Group (GTIG). Deze groepen hebben zowel financieel gewin als spionage als motief. Volgens de onderzoekers kunnen aanvallers misbruik van bekende kwetsbaarheden blijven maken, omdat gebruikers nalaten beschikbare updates te installeren. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor een actief aangevallen kritieke kwetsbaarheid in FortiOS en andere producten waardoor een aanvaller toegang tot systemen kan krijgen. Er zijn voor verschillende productversies updates beschikbaar gesteld om het probleem (CVE-2026-24858) te verhelpen, maar sommige versies wachten nog op een patch. De kwetsbaarheid maakt het mogelijk voor aanvallers met een FortiCloud-account en een geregistreerd apparaat om op andere apparaten in te loggen die aan andere accounts zijn gekoppeld, als FortiCloud SSO-authenticatie voor deze apparaten staat ingeschakeld. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Fortinet zegt dat het twee malafide Fortinet-accounts heeft ontdekt die misbruik van de kwetsbaarheid maakten. Deze accounts werden op 22 januari door Fortinet uitgeschakeld. Hoeveel apparaten via deze accounts zijn gecompromitteerd laat Fortinet niet weten. Fortinet besloot op 26 januari FortiCloud SSO aan de FortiCloud-kant uit te schakelen waardoor klanten de inlogmethode niet konden gebruiken. Een dag later werd de inlogmethode weer ingeschakeld, behalve voor apparaten die een kwetsbare versie draaien. Klanten moeten daardoor hun Fortinet-producten updaten als ze via Fortinet SSO willen kunnen inloggen. CVE-2026-24858 is aanwezig in FortiAnalyzer, FortiManager, FortiOS en FortiProxy. Voor verschillende versies van deze producten zijn beveiligingsupdates beschikbaar gesteld, maar voor sommige versies is een patch nog niet beschikbaar. Verder stelt Fortinet dat wordt onderzocht of FortiWeb en FortiSwitch Manager ook kwetsbaar zijn. Verder heeft Fortinet ook Indicators of Compromise beschikbaar gesteld waarmee organisatie kunnen controleren of hun Fortinet-producten zijn gecompromitteerd. Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties opgedragen om de updates voor 30 januari te installeren. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSL kan in bepaalde gevallen remote code execution op systemen mogelijk maken. Er zijn nieuwe versies van de software beschikbaar gesteld waarin het probleem, aangeduid als CVE-2025-15467, is verholpen. Bij het verwerken van bepaalde CMS (Cryptographic Message Syntax) messages, voorzien van speciaal geprepareerde parameters, kan er een stack buffer overflow ontstaan die kan leiden tot een crash en mogelijk remote code execution. "Applicaties en services die onbetrouwbare CMS of PKCS#7 content verwerken met behulp van AEAD ciphers (bijvoorbeeld S/MIME AuthEnvelopedData met AES-GCM) zijn kwetsbaar. Omdat de overflow zich voor de authenticatie voordoet is er geen geldig key materiaal vereist om het te veroorzaken", aldus het beveiligingsbulletin. De mogelijkheid tot remote code execution misbruik hangt volgens het OpenSSL-team af van het betreffende platform, maar de ontwikkelaars waarschuwen dat de "stack-based write primitive" een ernstig risico vormt. De kwetsbaarheid is aanwezig in OpenSSL 3.6, 3.5, 3.4, 3.3 en 3.0. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. De impact is beoordeeld als "High". Dergelijke kwetsbaarheden worden zelden in OpenSSL gevonden. De afgelopen drie jaar ging het om slechts twee van dergelijke beveiligingslekken. Gebruikers worden opgeroepen om te upgraden naar OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 of 3.0.19. Deze versies verhelpen ook verschillende andere kwetsbaarheden, maar de impact daarvan is lager beoordeeld. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Onderzoekers hebben zestien malafide extensies voor Google Chrome en Microsoft Edge ontdekt die zich voordoen als verbetering en optimalisatie van ChatGPT, maar in werkelijkheid session tokens van gebruikers stelen en terug naar de aanvallers sturen. Met deze tokens krijgen aanvallers toegang tot gegevens van gebruikers, waaronder gespreksgeschiedenis en metadata. Dat meldt securitybedrijf LayerX op basis van eigen onderzoek. De zestien malafide extensies, waarvan vijftien voor Chrome en één voor Edge, zijn bij elkaar zo'n negenhonderd keer gedownload, wat zeer weinig is in vergelijking met andere malafide extensies die ChatGPT-gesprekken stelen. Sommige van deze extensies die recentelijk zijn ontdekt waren honderdduizenden keren gedownload. Volgens de onderzoekers is het belangrijk om alert te zijn op browser-extensies die integreren met AI-platforms waarvoor moet worden ingelogd. Securitybedrijf Symantec kwam ook met een waarschuwing voor malafide Chrome-extensies met de naam "Children Protection", "Good Tab", "DPS Websafe" en "Stock Informer" die legitiem lijken, maar in werkelijkheid cookies en data van het clipboard stelen en zoekopdrachten van gebruikers kapen. Deze extensies zijn bij elkaar meer dan 100.000 keer gedownload. bron: https://www.security.nl

Zo'n zesduizend SmarterMail-servers bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers het wachtwoord van de administrator kunnen resetten, zo laat The Shadowserver Foundation op basis van eigen onderzoek weten. Meerdere partijen melden dat aanvallers actief misbruik maken van het beveiligingslek, aangeduid als CVE-2026-23760. Op 15 januari kwam ontwikkelaar SmarterTools met SmarterMail Build 9511 waarin het probleem is verholpen. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Gebruikers van SmarterMail kunnen hun wachtwoord resetten. Bij een normale resetprocedure controleert SmarterMail het oude wachtwoord van de gebruiker voordat er een nieuw wachtwoord wordt ingesteld. Onderzoekers van watchTowr ontdekten een endpoint waardoor het mogelijk is om zonder geldig wachtwoord een reset voor elke willekeurige gebruiker uit te voeren. De betreffende API (application programming interface) vereist een oud wachtwoord, maar controleert niet of die juist is. Het enige dat een aanvaller daardoor nodig heeft is de gebruikersnaam van het admin-account en een nieuw wachtwoord om zo admin-toegang tot de mailserver te krijgen. Zodra de aanvaller als admin is ingelogd kan die een nieuw volume mounten en dat van willekeurige commando's voorzien, die vervolgens door het onderliggende besturingssysteem worden uitgevoerd. "Op dat moment heeft de aanvaller volledige remote code execution op de onderliggende host", aldus de onderzoekers. The Shadowserver Foundation is een stichting die zich bezighoudt met onderzoek naar kwetsbare systemen op internet. Het voerde een scan uit naar SmarterMail-servers en keek daarbij naar het gebruikte versienummer. Dit leverde zesduizend servers met een kwetsbare versie op, waarvan 62 in Nederland. Het Amerikaanse cyberagentschap CISA meldt dat aanvallers actief misbruik van CVE-2026-23760 maken. Eerder werd dit ook gemeld door securitybedrijf watchTowr. Op het forum van SmarterTools wordt beheerders verteld dat als hun admin-wachtwoord niet meer werkt, ze ervan moeten uitgaan dat hun server is gehackt. bron: https://www.security.nl

Muziekdienst SoundCloud heeft de persoonlijke gegevens van zo'n 30 miljoen gebruikers gelekt. Het gaat om e-mailadressen, locatiegegevens, namen, profielstatistieken, avatars en gebruikersnamen. SoundCloud maakte het datalek zelf al vorige maand bekend. De muziekdienst stelde toen dat aanvallers op een systeem hadden ingebroken en er data was buitgemaakt van twintig procent van de SoundCloud-gebruikers. Een exact aantal slachtoffers werd niet gecommuniceerd. Hoe de aanvallers toegang tot het "ancillary service dashboard" wisten te krijgen werd ook niet door SoundCloud bekendgemaakt. De gestolen e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Via de datalekzoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de bijna 30 miljoen gestolen e-mailadressen was 67 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Beste dirk69, Ik zag dat je iets hierover naar mij gerapporteerd hebt. Maar zie niet zo snel waarom. Geen probleem. Ik ben zelf niet zo thuis in de Samsung telefoons maar heb wel dit voor je op het internet gevonden. Misschien staat er een manier tussen die voor jouw reddend is: Alle manieren om een Samsung-telefoon te ontgrendelen met een wachtwoord, pincode, patroon of schermvergrendeling Ik hoop dat daar een voor jou werkende manier tussen zit. Hou ons op de hoogte.

Microsoft heeft kritieke kwetsbaarheden in AI-chatbot Copilot gepatcht waardoor aanvallers informatie van gebruikers konden stelen. De "information disclosure" kwetsbaarheden waren aanwezig in Word Copilot (CVE-2026-21521) en M365 Copilot (CVE-2026-24307). Volgens de beschrijving van Microsoft ging de AI-chatbot niet goed om met bepaalde gebruikersinvoer, waardoor een ongeautoriseeerde aanvaller informatie had kunnen stelen. Verdere details over de twee problemen zijn niet gegeven. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 7.4 en 9.3. Ook in het geval van het Word Copilot-lek, dat de impactscore van 7.4 kreeg, spreekt Microsoft van een kritieke kwetsbaarheid. Beide problemen waren door externe onderzoekers gerapporteerd. Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen. bron: https://www.security.nl