Captain Kirk

Onderzoekers hebben malware ontdekt die via ARJ-bestanden wordt verspreid en wachtwoorden uit meer dan 70 programma's steelt, waaronder 39 verschillende browsers. Cybercriminelen versturen het ARJ-bestand via e-mail naar hun doelwitten. Het ARJ (Archived by Robert Jung)-formaat was in de jaren 1990 een populair formaat om bestanden op zowel DOS als Windows in- en uit te pakken. "We zien vaak dat aanvallers oude archiveringsformaten gebruiken, in de hoop om oude e-mail security gateways te omzeilen", zegt Holger Unterbrink van Cisco. Het ARJ-bestand bevat weer een EXE-bestand dat de uiteindelijke malware installeert. Het gaat om de Agent Tesla-malware die ontwikkeld is om wachtwoorden van besmette systemen te stelen. De malware kan uit meer dan 70 programma's wachtwoorden stelen. Het gaat onder andere om 39 browsers zoals Chrome en Firefox, e-mailclients zoals Outlook en Thunderbird, ssh/sftp/ftp-clients, chatprogramma's en verschillende Windowslocaties. Gestolen inloggegevens worden vervolgens via e-mail naar de aanvaller gestuurd. bron: security.nl

Een zerodaylek in de virtualisatieoplossing VMware ESXi maakt het mogelijk voor een aanvaller om uit de virtual machine te breken en het host-systeem over te nemen. Een beveiligingsupdate voor de kwetsbaarheid die gisteren tijdens de Tianfu Cup in China werd gedemonstreerd is nog niet beschikbaar. De Tianfu Cup beloont onderzoekers voor het demonstreren van onbekende kwetsbaarheden. Het evenement vond dit jaar plaats in het Chinese Chengdu. Tijdens de eerste dag lieten onderzoekers al verschillende zerodaylekken in Microsoft Edge, Google Chrome en Apple Safari zien. De tweede dag leverde onder andere een succesvolle aanval tegen VMware ESXi op. ESXi is een 'bare metal hypervisor' voor het virtualiseren van besturingssystemen. De virtualisatiesoftware wordt direct op een server geïnstalleerd en kan vervolgens het gevirtualiseerde besturingssysteem laden. Een beveiligingslek in de oplossing maakt het mogelijk voor een aanvaller om uit het gevirtualiseerde systeem te ontsnappen en het onderliggende hostsysteem over te nemen. Voor de aanval ontving team 360Vulcan een beloning van 200.000 dollar. Tijdens het tweedaagse evenement werd er in totaal een bedrag van 545.000 dollar aan beloningen uitgekeerd, wat de waarde van het ESXi-lek aangeeft. De kwetsbaarheid is met VMware gedeeld zodat het bedrijf een patch kan ontwikkelen. Wanneer de update zal verschijnen is nog niet bekend. Dat de veiligheid van routers te wensen overlaat werd ook tijdens de Tianfu Cup duidelijk. Maar liefst negen verschillende teams slaagden erin om de D-Link DIR-878 vanaf het lokale netwerk te compromitteren. De onderzoeksteams ontvingen hiervoor elk 5.000 dollar. bron: security.nl

Onderzoekers hebben tijdens de Tianfu Cup in het Chinese Chengdu zerodaylekken in Google Chrome, Apple Safari, Microsoft Edge, Adobe Reader en Microsoft Office 365 ProPlus gedemonstreerd waardoor een aanvaller volledige controle over het onderliggende systeem kan krijgen. De Tianfu Cup is de Chinese tegenhanger van Pwn2Own, een andere wedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden. Gisteren was de eerste dag van het evenement, vandaag vindt dag twee plaats. In totaal is er een prijzengeld van 1 miljoen dollar beschikbaar voor het demonstreren van onbekende kwetsbaarheden. De wedstrijd begon met verschillende aanvallen tegen Edge, gevolgd door Chrome en Safari. Alle drie de browsers sneuvelden. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website met een volledig gepatchte versie van Chrome, Edge of Safari is voldoende om een aanvaller toegang tot het systeem te geven. Er is geen verdere interactie van gebruikers vereist en er zijn nog geen beveiligingsupdates voor de kwetsbaarheden beschikbaar gemaakt. Mozilla Firefox maakte geen deel uit van de wedstrijd. Drie verschillende onderzoeksteams wisten Microsoft Edge te compromitteren. Team "ddd", dat eerder Edge compromitteerde, demonstreerde ook een succesvolle zerodayaanval tegen Google Chrome. Ook een ander team kreeg Googles browser op de knieën. Vier teams probeerden vervolgens een aanval tegen Apple Safari te laten zien, maar drie daarvan gaven op. Team "StackLeader" slaagde er wel in om Apples browser succesvol aan te vallen. Bij de demonstratie van een zerodayaanval tegen Adobe Reader was StackLeader wederom succesvol, alsmede een ander team. Uiteindelijk moest ook Microsoft Office 365 ProPlus eraan geloven. Via een kwaadaardig rtf-document blijkt het mogelijk om willekeurige code uit te voeren en de ProtectionView-maatregel van de software deels te omzeilen. Verder toonden drie verschillende teams zerodaylekken in de D-Link DIR-878. Alle betrokken leveranciers en partijen zijn over de beveiligingslekken geïnformeerd. Wanneer er beveiligingsupdates zullen verschijnen is nog niet bekend. bron: security.nl

Onderzoekers van antivirusbedrijf AhnLab hebben een nieuw ransomware-exemplaar ontdekt dat geen bestanden op de c-schijf van besmette systemen versleutelt, maar wel op de d-schijf en verdere schijven, alsmede usb-sticks en gekoppelde netwerkschijven. De ransomware wordt AnteFrigus genoemd en via besmette advertenties verspreid. Deze advertenties maken misbruik van een oud beveiligingslek in Internet Explorer en een oud beveiligingslek in Adobe Flash Player. Voor de IE-kwetsbaarheid verscheen vorig jaar mei een beveiligingsupdate van Microsoft. Het Flash Player-lek werd op 6 februari 2018 gepatcht. Alleen systemen die al meer dan een jaar geen patches voor Windows of Flash Player hebben geïnstalleerd lopen dan ook risico. Waarom de ransomware de c-schijf negeert, waar vaak de documenten van de gebruiker zijn opgeslagen, is onbekend. Beveiligingsonderzoeker Vitali Kremez laat tegenover Bleeping Computer weten dat de malware zich mogelijk nog in de testfase bevindt. Slachtoffers moeten voor het ontsleutelen van hun bestanden zo'n 2.000 dollar betalen. Een bedrag dat na vier dagen wordt verdubbeld naar 4.000 dollar. bron: security.nl

Aanvallers slagen er nog altijd in om WordPress- en Magento-sites via een oud beveiligingslek in Adminer over te nemen en van kwaadaardige code te voorzien die bezoekers naar malafide websites doorstuurt. Dat laat securitybedrijf Sucuri in een analyse weten. Adminer is een populaire tool voor het beheren van MySQL- en PostgreSQL-databases. Een oude kwetsbaarheid in Adminer maakt het mogelijk voor aanvallers om bestanden op de server te lezen. Zo is het bijvoorbeeld mogelijk om bestanden uit te lezen die inloggegevens voor de database bevatten. Met deze gegevens kan de website worden overgenomen en aangepast. Om de aanval uit te voeren moet de aanvaller Adminer-bestanden vinden die zich in de root-directory van de website bevinden en door de beheerder zijn achtergelaten. Vervolgens gebruikt de aanvaller deze bestanden om verbinding met een database op hun eigen server te maken, in plaats van de lokale database van de website. Zodra de verbinding is opgezet kan de aanvaller de inhoud van lokale bestanden op de server uitlezen. Sinds juni 2018 is er een update voor de Adminer-kwetsbaarheid beschikbaar. Toch zijn er nog altijd websites die verouderde Adminer-versies draaien en de bestanden in publiek toegankelijke directories hebben achtergelaten. Sucuri ontdekte onlangs een nieuwe aanvalscampagne waarbij WordPress- en Magento-sites via verouderde Adminer-installaties worden overgenomen. Aanvallers voegen vervolgens kwaadaardige code toe die bezoekers automatisch doorstuurt naar malafide websites. Het gaat dan bijvoorbeeld om helpdeskfraude, malafide browsermeldingen en zogenaamd gewonnen geldprijzen. In het geval van WordPress-sites maken de aanvallers ook een beheerder aan en installeren een plug-in waarmee ze willekeurige php-code op de website kunnen uitvoeren. Beheerders krijgen dan ook het advies om Adminer-bestanden niet voor het publiek achter te laten en na gebruik te verwijderen. In het geval de website al is gecompromitteerd moeten er verschillende stappen worden genomen, zoals het verwijderen van het Adminer-script en wijzigen van het database-wachtwoord. "Ironisch genoeg is het gebruik van de Adminer-tool één van de manieren om dit te doen", zegt onderzoeker Denis Sinegubko, die adviseert om in dit geval wel de laatste versie te gebruiken en na het beheer de Adminer-scripts te verwijderen. bron: security.nl

Vandaag is versie 1.0 van de Brave-browser gelanceerd, die gebruikers een snellere browse-ervaring en het einde van surveillancekapitalisme belooft. Brave biedt naar eigen zeggen allerlei privacyfeatures die in andere browsers ontbreken. Aan de andere kant is het op een advertentieplatform gebouwd. De browser biedt Basic Attention Tokens (BAT), die gebruikers kunnen verkrijgen door naar advertenties te kijken. Deze "Brave Ads" bestaan uit privacyvriendelijke advertenties, aldus de browserontwikkelaar. Gebruikers kunnen de verzamelde BAT weer aan allerlei websites doneren. De browser beschikt daarnaast over een adblocker om trackers en advertenties te blokkeren. "Het internet is stuk en gebruikers lijden er het meest onder. Ze worden gevolgd, getagd en geëxploiteerd", zegt Brendan Eich, ceo van Brave en medeoprichter van Mozilla. "Surveillancekapitalisme heeft het web te lang geplaagd en we hebben het punt bereikt waar privacy-by-default niet langer leuk is om te hebben, maar een must-have. Gebruikers, adverteerders en uitgevers zijn het zat en Brave is het antwoord." Volgens Eich stelt Brave de privacy van gebruikers centraal. De browser zou 8,7 miljoen maandelijkse gebruikers hebben. bron: security.nl

Onderzoekers van de Vrije Universiteit (VU) Amsterdam hebben een "nieuwe" aanval tegen Intel-processors onthuld waardoor het mogelijk is om allerlei gevoelige informatie zoals wachtwoordhashes van systemen te stelen (pdf). Intel heeft gisteren een beveiligingsupdate voor het lek uitgebracht. In mei van dit jaar demonstreerden onderzoekers van de VU en het Helmholtz Center for Information Security (CISPA) de RIDL-aanval. RIDL staat voor Rogue In-Flight Data Load en is een Microarchitectural Data Sampling (MDS) sidechannel-aanval. In tegenstelling tot eerdere sidechannel-aanvallen zoals Meltdown en Spectre is het met RIDL mogelijk om willekeurige "in-flight" data uit de interne cpu-buffers te lezen. Het probleem raakt zowel thuisgebruikers als virtual hosting- en cloudomgevingen. Door thuisgebruikers kwaadaardige JavaScript-code te laten laden, bijvoorbeeld via een advertentie of kwaadaardige website, is het mogelijk om data van het systeem te stelen. In een cloudomgeving kan een aanvaller, als twee gebruikers dezelfde processor-core delen, via zijn virtuele machine informatie uit de andere virtual machine stelen. De onderzoekers waarschuwden Intel, dat in mei met beveiligingsupdates kwam. "Helaas miste Intel onze ingezonden proof-of-concept exploits (PoCs), waardoor de originele MDS-mitigatie die in mei verscheen RIDL slechts gedeeltelijk verhelpt", zo laten de onderzoekers nu weten. RIDL-aanvallen waren daardoor nog steeds mogelijk, ook al dachten gebruikers dat ze na het installeren van de update beschermd waren. Op verzoek van Intel besloten de onderzoekers dan ook niet alle informatie over RIDL vrij te geven. In een uitleg op MDSattacks.com geven de onderzoekers nu meer details over de aanval en communicatie met Intel. Vorig jaar september stuurden ze verschillende demonstratie-exploits voor verschillende RIDL-varianten naar Intel, maar kregen geen technische feedback of vragen van de chipgigant. Wel liet Intel weten dat het aan een oplossing werkte. "Vanwege een gebrek aan transparantie aan de kant van Intel, kregen we op 10 mei 2019, vier dagen voor de openbaarmaking, een volledig beeld van Intels MDS-plannen", aldus de onderzoekers. Die wisten op 11 mei via internet de microcode-updates van Intel te vinden en besloten die te testen. Daaruit bleek dat de updates de gerapporteerde kwetsbaarheden niet volledig verhielpen. De onderzoekers waarschuwden Intel dat vervolgens vroeg om informatie over de onopgeloste RIDL-problemen pas op 12 november te openbaren. In juli bleek dat Intel de proof-of-concept exploits had gemist, wat verklaarde waarom de eerder uitgebrachte update onvolledig was. Hoewel Intel nu met een update voor de verschillende aanvallen van de onderzoekers is gekomen, stellen die dat het onderliggende probleem niet is verholpen. RIDL-achtige kwetsbaarheden zullen dan ook niet op korte termijn verdwijnen, zo verwachten ze. "We maken ons met name zorgen over Intels mitigatieplan dat PoC-georienteerd is, met een compleet gebrek aan security-engineering en zonder het onderliggende probleem te onderzoeken, waarbij kleine variaties in proof-of-concept exploits tot nieuwe embargo's leiden, en deze "nieuwe" kwetsbaarheden gedurende lange tijd niet verholpen worden", zo stellen ze. De onderzoekers voegen toe dat er helaas nog onvoldoende druk vanuit het publiek en industrie is, en er dan ook weinig aanleiding voor Intel is om te veranderen. "En blijft het publiek met een vals gevoel van veiligheid achter. Het opleggen van het ene na het andere lange embargo en het niet openbaar maken van kwetsbaarheden waar te veel mensen van afweten is nog steeds een levensvatbare strategie", besluiten de onderzoekers. In onderstaande video laten de onderzoekers zien hoe ze binnen dertig seconden de volledige rootwachtwoordhash van het /etc/shadow bestand op Linux kunnen achterhalen. bron: security.nl

Microsoft heeft tijdens de patchdinsdag van november een ernstig beveiligingslek in Internet Explorer gedicht dat actief werd aangevallen voordat de beveiligingsupdate beschikbaar was. Alleen het bezoeken van een malafide of gecompromitteerde website was voldoende om aanvallers volledige controle over het systeem te geven. Er was geen verdere interactie van gebruikers vereist. Microsoft bedankt twee onderzoekers van Google, een anonieme beveiligingsonderzoeker die de kwetsbaarheid via een beloningsprogramma meldde en securitybedrijf Resecurity voor het rapporteren van het zerodaylek. Volgens Resecurity is de kwetsbaarheid door "statelijke actoren" bij gerichte aanvallen ingezet. In totaal patchte Microsoft gisterenavond 74 kwetsbaarheden waarvan er inclusief het aangevallen IE-lek 13 als ernstig zijn bestempeld. Deze beveiligingslekken bevinden zich onder andere in Microsoft Exchange, Edge, Hyper-V, de Windows font library en Windows Media Foundation. Om het Exchange-lek te misbruiken moet een aanvaller een gebruik een cmdlets via PowerShell laten uitvoeren. "Hoewel dit een onwaarschijnlijk scenario lijkt, is er slechts één gebruiker nodig om de server te compromitteren", zegt Dustin Childs van het Zero Day Initiative. De kwetsbaarheid in de font library deed zich voor bij het verwerken van speciaal geprepareerde embedded fonts. Het bezoeken van een malafide website was voldoende om aanvallers kwetsbare machines met Windows 7 en Server 2008 te laten overnemen. De 61 andere kwetsbaarheden kregen van Microsoft het label "Belangrijk" en maken het mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen, spoofing-aanvallen uit te voeren, securityfeatures te omzeilen, informatie te achterhalen en met meer interactie van gebruikers code uit te voeren. Voor Windows, IE, Edge (EdgeHTML-based) , ChakraCore Microsoft Office en Microsoft Office Services en Web Apps, Exchange Server Visual Studio en Azure Stack zijn beveiligingsupdates verschenen. Op de meeste systemen zullen die automatisch worden geïnstalleerd. bron: security.nl

Onderzoekers hebben in de bootloader van de Siemens S7-1200 PLC een ongedocumenteerde feature ontdekt waardoor een aanvaller met fysieke toegang code in de PLC kan uitvoeren. PLC's (programmable logic controllers) worden gebruikt om controlesystemen van industriële machines (ICS) aan te sturen. Siemens is een vooraanstaande leverancier van PLC's en de S7 PLC-serie behoort tot één van de meest gebruikte PCL's in de industrie. De beruchte Stuxnet-malware richtte zich op Siemens PLC's die in de Iraanse uraniumverrijkingscentrale van Natanz werden gebruikt. De afgelopen jaren heeft Siemens verschillende beveiligingsmaatregelen aan de eigen PLC's toegevoegd. Het gaat onder andere om het controleren van de integriteit van de firmware tijdens het opstarten. Dit gebeurt via een aparte bootloader die in een aparte SPI-flashchip aanwezig is. De firmware van deze chip is niet via de website van Siemens verkrijgbaar. Onderzoekers Ali Abbasi, Tobias Scharnowski en Thorsten Holz van Ruhr-University Bochum ontdekten in deze bootloader een ongedocumenteerde 'special access feature'. Deze feature is te activeren door binnen de eerste halve seconde tijdens het opstarten via de UART-interface een speciaal commando te versturen. Via de feature kan er tijdens het opstarten naar het geheugen worden geschreven en is het mogelijk om code in de PLC uit te voeren. Zo lukte het de onderzoekers om via de firmware-updater eigen code naar de PLC-flashchip te schrijven zonder dat de checksumfeature van de bootloader dit ontdekte. Een aanvaller kan door de feature de beveiligingsmaatregelen die Siemens heeft genomen omzeilen. Aan de andere kant kan de eigenaar van het systeem de feature als een forensische interface voor de PLC gebruiken, bijvoorbeeld om kwaadaardige code op de PLC te detecteren. Het is voor de onderzoekers een raadsel waarom de feature aanwezig is. "Vanuit een beveiligingsstandpunt is het niet verstandig om te hebben, aangezien je het geheugen kunt lezen en schrijven en de inhoud van het geheugen kunt dumpen", zegt Abbasi tegenover DarkReading. De onderzoekers informeerden Siemens over de feature. De fabrikant werkt nu aan een update. "Het hangt er echt vanaf of Siemens het via een software-update kan verhelpen of niet. Als het ze lukt met een software-update houdt het in dat ook een aanvaller de inhoud van de bootloader kan overschrijven, wat inhoudt dat er geen oplossing is", stelt Abassi. Het is nog onbekend wanneer de oplossing van Siemens verschijnt. De onderzoekers wachten dan ook nog met het vrijgeven van hun tool om de firmware te dumpen en analyseren. Tijdens de Black Hat-conferentie volgende maand in Londen zullen de onderzoekers hun onderzoek presenteren. bron: security.nl

Aanvallers zijn erin geslaagd het forum van de beveiligingssoftware ZoneAlarm te compromitteren en gegevens van zo'n 4500 gebruikers te stelen, die vervolgens openbaar zijn gemaakt. Dat heeft het bedrijf bekendgemaakt. Het gaat om namen, e-mailadressen, geboortedata en "versleutelde wachtwoorden". Het forum van ZoneAlarm draait op de forumsoftware vBulletin. Hoe de aanvallers toegang tot de gebruikersdatabase wisten te krijgen is nog onbekend. Eind september verscheen er een beveiligingsupdate voor een ernstige kwetsbaarheid waardoor aanvallers vBulletin-sites konden compromitteren. Dit beveiligingslek werd onlangs nog gebruikt om de gegevens van 245.000 gebruikers van het forum van beveiligingsbedrijf Comodo te stelen. "Ik denk dat ze (ZoneAlarm - red) de patch niet hebben geïnstalleerd", zegt beveiligingsonderzoeker Kevin Beaumont. Alle getroffen forumgebruikers zijn via e-mail door ZoneAlarm geïnformeerd. Het bedrijf zegt een onderzoek naar het incident te hebben ingesteld. Om "het probleem" te verhelpen is het forum offline gehaald en op moment van schrijven nog steeds niet benaderbaar. Van alle gebruikers is daarnaast uit voorzorg het wachtwoord gereset. bron: security.nl

Meerdere bedrijven hebben zonder toestemming toegang tot gegevens van Facebookgebruikers gehad, zo heeft de sociale netwerksite bekendgemaakt. Het gaat om gebruikers die onderdeel van een Facebookgroep uitmaakten. Beheerders van een groep hadden de mogelijkheid om apps, en hun ontwikkelaars, toegang tot informatie in de groep te geven. Sinds april vorig jaar heeft Facebook dit enigszins aangepast. Wanneer een groepsbeheerder nu toestemming geeft, krijgt de app alleen toegang tot de groepsnaam, het aantal gebruikers en de inhoud van berichten. Wanneer een app ook toegang tot namen en profielfoto's wil moeten de groepsleden dit toestaan. Uit onderzoek van Facebook blijkt dat sommige apps ondanks de beperking die in april werd ingevoerd toch toegang tot informatie van groepsleden behielden, zoals namen en profielfoto's in relatie met groepsactiviteiten. Inmiddels is deze toegang opgeheven. Het ging met name om apps voor socialmediabeheer en videostreaming. Zo'n honderd bedrijven hebben mogelijk op deze manier gegevens van gebruikers benaderd terwijl dit niet was toegestaan. Van tenminste elf bedrijven staat vast dat ze dit in de afgelopen twee maanden hebben gedaan. Facebook zegt dat het nog geen bewijs van misbruik heeft aangetroffen. Wel zijn alle bedrijven gevraagd om de verzamelde data van groepsleden te verwijderen. Tevens zegt Facebook audits te zullen uitvoeren om te controleren dat de gegevens ook echt zijn verwijderd. bron: security.nl

Bij antivirusbedrijf Trend Micro zijn de gegevens van tienduizenden klanten gestolen en vervolgens aan oplichters verkocht. Het gaat om namen, e-mailadressen, supportticketnummers en in sommige gevallen telefoonnummers. Volgens de virusbestrijder zijn de gegevens door een medewerker gestolen. Deze medewerker had toegang tot de klantensupportdatabase. De diefstal kwam aan het licht nadat klanten begin augustus werden gebeld door oplichters die zich als Trend Micro-medewerkers voordeden. Het ging met name om Engelssprekende klanten. Het antivirusbedrijf stelt dat het meteen een onderzoek heeft ingesteld, maar pas eind oktober kon vaststellen dat de gegevens door een medewerker waren gestolen. Volgens Trend Micro heeft deze medewerker de gestolen informatie aan een "kwaadaardige derde partij" verkocht. De medewerker is inmiddels ontslagen. Het antivirusbedrijf heeft naar eigen zeggen 12 miljoen klanten. Het datalek zou minder dan 1 procent van de klanten hebben getroffen, wat neerkomt op maximaal 120.000 mensen. Alle getroffen klanten zouden inmiddels zijn ingelicht. Samen met de autoriteiten wordt het incident onderzocht. Trend Micro benadrukt dat klanten die een consumentenproduct hebben gekocht nooit zomaar worden gebeld. Wanneer er onverwachts toch iemand belt die zich voordoet als een medewerker van het bedrijf wordt aangeraden om meteen op te hangen. bron: security.nl

Een beveiligingslek in de Netgear Nighthawk-router maakt het mogelijk om op afstand een backdoor toe te voegen die een fabrieksreset kan overleven, zo hebben onderzoekers Pedro Ribeiro en Radek Domanski aangetoond. De onderzoekers demonstreerden de aanval op de WAN-interface van de Netgear Nighthawk Smart WiFi Router (R6700) tijdens de Pwn2Own-hackwedstrijd in Tokyo. Voor het eerst zijn routers als onderdeel aan de jaarlijks terugkerende wedstrijd toegevoegd. Het door het Zero Day Initiative (ZDI) georganiseerde Pwn2Own beloont onderzoekers voor het demonstreren van onbekende kwetsbaarheden. Naast de Netgear-router als doelwit kunnen onderzoekers ook uit de TP-Link AC1750 Smart WiFi Router kiezen. Het is vervolgens mogelijk om een aanval vanaf het internet (WAN) of het lokale netwerk (LAN) te demonstreren. Aanvallen via de WAN-interface leveren 20.000 dollar op, tegenover 5.000 dollar voor een aanval via het lokale netwerk. Verschillende experts stellen dat de beveiliging van routers ernstig tekortschiet, wat ook blijkt uit de uitgeloofde prijzen, die lager zijn dan bij andere producten. Een aanval op een smartphone via het web kan tot 60.000 dollar opleveren. Ribeiro en Domanski lieten ook een succesvolle aanval tegen de LAN-interface van de TP-Link-router zien. Via de aanval kregen ze volledige controle over de router. Deze aanval werd met 5.000 dollar beloond. Onderzoekers van antivirusbedrijf F-Secure demonstreerden ook een succesvolle LAN-aanval op de TP-Link-router. Aangezien ze een aantal van dezelfde bugs als Ribeiro en Domanski gebruikten werd dit als een gedeeltelijke overwinning bestempeld. Netgear en TP-Link ontvangen de details over de kwetsbaarheden, zodat ze firmware-updates voor hun klanten kunnen ontwikkelen. Wanneer die gereed zullen zijn is nog onbekend. Daarna zal het ZDI meer informatie over de lekken geven. Morgen vindt de tweede dag van Pwn2Own plaats. Er staat dan onder andere een aanval op de WAN-interface van de TP-Link gepland. bron: security.nl

Scammers maken gebruik van een ongepatchte bug in Firefox om de browser te vergrendelen, in de hoop dat gebruikers vervolgens een telefoonnummer bellen dat tot helpdeskfraude kan leiden. Dat laat onderzoeker Jerome Segura van antimalwarebedrijf MalwareBytes op Twitter weten. Zodra Firefoxgebruikers een malafide pagina bezoeken wordt er JavaScript geladen die ervoor zorgt dat de browser wordt vergrendeld. Gebruikers kunnen vervolgens de browsertab of het venster niet meer sluiten. De enige manier om de browser te sluiten is via Windows Taakbeheer en Force Quit op macOS. Het probleem speelt zowel bij de Mac- als Windowsversie van Firefox. De malafide pagina laat weten dat gebruikers "Windows Support" moeten bellen omdat de gebruikte Windows "registersleutel" illegaal zou zijn, alsmede dat die allerlei virussen verspreidt. Tevens stelt de pagina dat gebruikers binnen vijf minuten moeten bellen, anders wordt de computer uitgeschakeld. Oplichters maken al jaren gebruik van dergelijke tactieken. Zodra slachtoffers bellen proberen de scammers met medewerking van het slachtoffer zijn computer over te nemen. Vervolgens "verhelpen" de scammers allerlei zogenaamde problemen waarvoor het slachtoffer moet betalen. Ook komt het voor dat de oplichters geld van het slachtoffer stelen, bijvoorbeeld door hem op internetbankieren te laten inloggen. De bug die Segura ontdekte en bij Mozilla meldde blijkt enkele maanden geleden al te zijn gerapporteerd. Mozilla stelt dat het aan een oplossing voor het probleem werkt. bron: security.nl

Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload. Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld. Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren. Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload. Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld. Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren. Een ernstig beveiligingslek in de opensourcewebmailsoftware Horde maakte het mogelijk om de inboxes van gebruikers te stelen. Om de aanval uit te voeren moest het slachtoffer wel eerst op een link van de aanvaller klikken. Vervolgens werd de inbox naar de server van de aanvaller gedownload. Tal van organisaties maken gebruik van Horde Webmail voor het aanbieden van webmail aan hun gebruikers. In mei van dit jaar meldde onderzoeker Numan Ozdemir verschillende kwetsbaarheden in de software aan de ontwikkelaars van Horde. Op een schaal van 1 tot en met 10 wat betreft de impact was één van de kwetsbaarheden met een 8,8 beoordeeld. Ozdemir hoorde naar eigen zeggen niets meer van de ontwikkelaars. Via de kwetsbaarheden is het echter "heel eenvoudig" om de e-mail van gebruikers te stelen, zo laat de onderzoeker aan TechCrunch weten. Hoewel de bugmelding van Ozdemir nog openstaat, zijn de kwetsbaarheden inmiddels verholpen, aldus de ontwikkelaars. Beheerders krijgen dan ook het advies om de nieuwste versie te installeren. bron: security.nl

OpenSSH heeft experimentele ondersteuning voor U2F/FIDO-beveiligingssleutels gekregen, zodat gebruikers nu ook via een fysiek hardware token kunnen inloggen. Dat blijkt uit een afgelopen zaterdag verschenen document. U2F is een open authenticatiestandaard om met één fysieke sleutel in te loggen. Er zijn verschillende manieren om U2F-sleutels te gebruiken, bijvoorbeeld via NFC, Bluetooth en USB. Om het gebruik van beveiligingssleutels mogelijk te maken hebben de ontwikkelaars van OpenSSH een middleware library voor Yubico's libfido2 geschreven. Dit is software die communicatie met FIDO-apparaten mogelijk maakt. Via de middleware library kan OpenSSH met elk standaard USB HID U2F of FIDO2-token communiceren. "We hebben ervoor gekozen om U2F-apparaten als sleutels aan het SSH-protocol toe te voegen in plaats van andere meer web-achtige authenticatiemethodes, omdat SSH-gebruikers bekend zijn met sleutels en er veel tools zijn die ze ondersteunen", zegt OpenSSH-ontwikkelaar Damien Miller die op de OpenSSH-mailinglist ook een uitleg geeft hoe de fysieke beveiligingssleutels binnen OpenSSH zijn te gebruiken. OpenSSH heeft experimentele ondersteuning voor U2F/FIDO-beveiligingssleutels gekregen, zodat gebruikers nu ook via een fysiek hardware token kunnen inloggen. Dat blijkt uit een afgelopen zaterdag verschenen document. U2F is een open authenticatiestandaard om met één fysieke sleutel in te loggen. Er zijn verschillende manieren om U2F-sleutels te gebruiken, bijvoorbeeld via NFC, Bluetooth en USB. Om het gebruik van beveiligingssleutels mogelijk te maken hebben de ontwikkelaars van OpenSSH een middleware library voor Yubico's libfido2 geschreven. Dit is software die communicatie met FIDO-apparaten mogelijk maakt. Via de middleware library kan OpenSSH met elk standaard USB HID U2F of FIDO2-token communiceren. "We hebben ervoor gekozen om U2F-apparaten als sleutels aan het SSH-protocol toe te voegen in plaats van andere meer web-achtige authenticatiemethodes, omdat SSH-gebruikers bekend zijn met sleutels en er veel tools zijn die ze ondersteunen", zegt OpenSSH-ontwikkelaar Damien Miller die op de OpenSSH-mailinglist ook een uitleg geeft hoe de fysieke beveiligingssleutels binnen OpenSSH zijn te gebruiken. bron: security.nl

De zakelijke beveiligingsoplossing van Microsoft, Defender ATP, gaat ook Linux-servers ondersteunen. Dat heeft het bedrijf tijdens de Ignite-conferentie in Orlando aangekondigd. Eerder besloot Microsoft om ook ondersteuning van macOS aan Defender ATP toe te voegen. Defender Advanced Threat Protection (ATP) biedt volgens Microsoft "next-gen" antivirusbescherming en moet gebruikers op verschillende besturingssystemen tegen aanvallen beschermen. Met het toevoegen van Linux-support wil Microsoft aanvullende bescherming bieden voor de "heterogene netwerken" van klanten. Tegenover ZDnet laat Microsofts Rob Lefferts weten dat Defender ATP voor Linux Servers volgend jaar zal verschijnen. Verdere details zijn nog niet bekendgemaakt. Application Guard Verder maakte Microsoft bekend dat Application Guard voor Office 365 beschikbaar komt. Hierdoor kunnen gebruikers niet vertrouwde Word-, Excel- of PowerPoint-documenten in een gevirtualiseerde container openen. In het geval van een kwaadaardig document wordt de aanval beperkt tot de container en heeft geen invloed op het onderliggende systeem, zo stelt Microsoft. Application Guard is al beschikbaar voor Microsoft Edge. In mei kwam Microsoft met een extensie voor Chrome en Firefox waarbij onbetrouwbare websites in een aparte door Edge aangemaakte container worden geopend. bron: security.nl

Spamfilters hebben de nodige moeite met e-mails die de schadelijke Emotet-malware bevatten, zo stelt testlab Virus Bulletin op basis van eigen onderzoek naar zakelijke e-mailoplossingen. Naast virusscanners test het testlab ook maandelijks allerlei spamfilters. In oktober zag onderzoeker Martijn Grooten van Virus Bulletin dat veel kwaadaardige e-mails de spamfilters wisten te omzeilen. Het ging om een derde van de zakelijke e-mailoplossingen. Verder onderzoek liet zien dat bijna alle gemiste kwaadaardige e-mails de Emotet-malware bleken te bevatten. Emotet wordt verspreid via Word-documenten met macro's. Het is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, zoals ransomware, maar ook wachtwoorden steelt en zelf zeer lastig te verwijderen is. De Duitse overheid noemde Emotet eerder nog de gevaarlijkste malware ter wereld. Om ervoor te zorgen dat mensen de via e-mail verstuurde Word-documenten openen kan de malware meeliften op eerdere e-mails van al gemaakte slachtoffers om zo nieuwe slachtoffers te maken. Deze werkwijze maakt het lastiger voor spamfilters om de kwaadaardige berichten te stoppen. Bij de nieuwste spamberichten maakt Emotet gebruik van generieke berichten die ook lastig zijn te filteren. Daarnaast zijn de spamcampagnes waarmee Emotet wordt verspreid vrij klein. "Het versturen van miljoenen kopieën van hetzelfde bericht doet spammers meer kwaad dan goed", aldus Grooten. Wat ook een belangrijke rol speelt is dat de spamberichten van gecompromitteerde mailservers worden verstuurd, waardoor de spammers in veel gevallen protocollen zoals Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM) weten te omzeilen, gaat Grooten verder. SPF moet voorkomen dat iemand in naam van een organisatie een e-mail kan versturen en DKIM moet het onderweg aanpassen van e-mails voorkomen. Het volledig testrapport van oktober moet nog verschijnen. Het laatste rapport van september is wel online (pdf) te vinden. bron: security.nl

Microsoft heeft vandaag de release candidate van de nieuwe op Chromium gebaseerde Edge uitgebracht. De uiteindelijke versie van de browser moet op 15 januari uitkomen. Chromium is een door Google ontwikkelde opensourcebrowser die de basis voor Google Chrome en andere browsers vormt. Ook Microsoft gebruikt nu Chromium als basis voor Edge. Volgens de softwaregigant bevat de browser allerlei onderdelen om de privacy van gebruikers te beschermen. Zo moet de trackingbescherming van Edge voorkomen dat gebruikers worden gevolgd door derde partijen die op een website actief zijn. De trackingbescherming kent drie niveaus: basic, balanced en strict. Alle drie de niveaus blokkeren kwaadaardige trackers. De laatste twee niveaus blokkeren ook potentiële trackers van websites die gebruikers niet hebben bezocht. Het strengste niveau kan er ook voor zorgen dat sommige websites niet meer werken. Tevens biedt Edge nu een InPrivate-mode die ervoor zorgt dat online zoekopdrachten en browsegedrag niet lokaal worden opgeslagen. Microsoft werkt ook aan een nieuwe security baseline voor de nieuwe Edge-versie. Het gaat dan om instellingen die door securityteams worden aanbevolen. De eerste baseline bevindt zich op dit moment in de testfase. Vorig jaar uitte Mozilla nog kritiek op het plan van Microsoft om Chromium als basis te gebruiken. Google is al de dominante speler in de markt voor zoekmachines en heeft met Chrome ook de meestgebruikte browser. "Als Mozilla morgen zou verdwijnen, zou Google bijna een volledig monopolie hebben over hoe wij allemaal het web op Windows en Android ervaren. Een enorm gecombineerd marktaandeel", aldus de ontwikkelaar van Firefox. bron: security.nl

NAS-fabrikant QNAP heeft de eigen malware-verwijdertool van een update voorzien om de Qsnatch-malware van besmette NAS-systemen te verwijderen. Hoe de malware zich verspreidt is nog altijd onbekend. Alleen in Duitsland zijn al 7.000 apparaten met de malware besmet geraakt, aldus het computer emergency response team van de Duitse overheid (CERT-Bund). Eenmaal actief op een NAS wijzigt Qsnatch cronjobs en scripts. Vervolgens wordt het automatisch updaten van de NAS door het overschrijven van de update-sources voorkomen en blokkeert de malware de Malware Remover van QNAP. Dit is een tool waarmee NAS-gebruikers malware van het apparaat kunnen verwijderen. Verder verzamelt de malware alle gebruikersnamen en wachtwoorden van de NAS en stuurt die naar de aanvallers. Het Finse National Cyber Security Centre (NCSC) kwam met een waarschuwing voor de malware en stelde dat die alleen te verwijderen was door middel van een fabrieksreset van de NAS. Dit had als nadeel dat alle data van het apparaat wordt gewist. QNAP is nu met een eigen waarschuwing gekomen. Daarin staat dat het onderzoek naar de malware geen "andere kwetsbaarheden" heeft opgeleverd, maar ook deze waarschuwing geeft geen informatie over de verspreidingsmethode. QNAP-gebruikers krijgen wel het advies om te updaten naar de laatste versie van de QTS-firmware, alsmede de nieuwste versie van de Malware Remover te installeren. De verwijdertool zou nu in staat moeten zijn om de malware te verwijderen. Verder wordt aangeraden een sterk beheerderswachtwoord te gebruiken en IP en account access protection in te schakelen dat tegen bruteforce-aanvallen bescherming biedt. Als laatste wordt geadviseerd SSH en Telnet uit te schakelen en de standaardpoortnummers 443 en 8080 niet te gebruiken. bron: security.nl

Gebruikers van Google Chrome zijn via twee zerodaylekken in de browser met malware besmet en voor de tweede kwetsbaarheid is nog geen patch verschenen. Google kwam afgelopen donderdag met een beveiligingsupdate voor een kwetsbaarheid en meldde dat het lek in Chrome actief werd aangevallen. De kwetsbaarheid werd door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek (CVE-2019-13720) alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Verdere details over de aanval werden echter niet door Google gegeven. Die blijkt er inderdaad te zijn. De twee zerodaylekken werden door onderzoekers van antivirusbedrijf Kaspersky ontdekt en aan Google gerapporteerd. De virusbestrijder heeft nu een analyse van de aanval online gezet. Het gaat om een zogeheten "watering hole attack". Hierbij plaatsen aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezoeken. In dit geval werd de exploit op een niet nader genoemde Koreaanse nieuwssite geplaatst. Volgens Kaspersky maakt het grootste deel van de exploit gebruik van een bepaald kwetsbaar onderdeel van de browser. "Aangezien deze bug nog steeds niet is verholpen, geven we geen details over dit specifieke kwetsbare onderdeel", zo laat het bedrijf in de analyse weten. Wanneer de exploit succesvol is wordt er malware op het systeem geïnstalleerd. Tevens maakt de malware verschillende taken aan in de Windows Taakplanner. Verdere details om wat voor soort malware het gaat is niet bekendgemaakt. Ook is onbekend wanneer Google het tweede zerodaylek patcht. Gebruikers van Google Chrome zijn via twee zerodaylekken in de browser met malware besmet en voor de tweede kwetsbaarheid is nog geen patch verschenen. Google kwam afgelopen donderdag met een beveiligingsupdate voor een kwetsbaarheid en meldde dat het lek in Chrome actief werd aangevallen. De kwetsbaarheid werd door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser kan uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek (CVE-2019-13720) alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Verdere details over de aanval werden echter niet door Google gegeven. Die blijkt er inderdaad te zijn. De twee zerodaylekken werden door onderzoekers van antivirusbedrijf Kaspersky ontdekt en aan Google gerapporteerd. De virusbestrijder heeft nu een analyse van de aanval online gezet. Het gaat om een zogeheten "watering hole attack". Hierbij plaatsen aanvallers exploits op gecompromitteerde websites die beoogde doelwitten al uit zichzelf bezoeken. In dit geval werd de exploit op een niet nader genoemde Koreaanse nieuwssite geplaatst. Volgens Kaspersky maakt het grootste deel van de exploit gebruik van een bepaald kwetsbaar onderdeel van de browser. "Aangezien deze bug nog steeds niet is verholpen, geven we geen details over dit specifieke kwetsbare onderdeel", zo laat het bedrijf in de analyse weten. Wanneer de exploit succesvol is wordt er malware op het systeem geïnstalleerd. Tevens maakt de malware verschillende taken aan in de Windows Taakplanner. Verdere details om wat voor soort malware het gaat is niet bekendgemaakt. Ook is onbekend wanneer Google het tweede zerodaylek patcht. bron: security.nl

Het BlueKeep-beveiligingslek in de Remote Desktop Services (RDS) van oudere Windowsversies waarvoor op 14 mei een patch verscheen wordt actief aangevallen, zo melden onderzoekers en een securitybedrijf. De kwetsbaarheid is aanwezig in Windows XP, Server 2003, Windows 7 en Server 2008. Een aanvaller hoeft alleen via het remote desktopprotocol verbinding te maken om kwetsbare machines over te nemen. Het is daarbij niet nodig om geldige inloggegevens te gebruiken. De afgelopen maanden waarschuwden Microsoft, de Nederlandse overheid en andere overheden voor het beveiligingslek en adviseerden om de beschikbare beveiligingsupdate zo snel als mogelijk te installeren. Desondanks waren er in augustus nog 800.000 computers die de update niet hadden geïnstalleerd en via internet toegankelijk waren. Aanvallers gebruiken de kwetsbaarheid nu om een cryptominer op kwetsbare computers te installeren die de rekenkracht van de machine gebruikt om cryptovaluta te delven. Onderzoeker Marcus Hutchins van securitybedrijf Kryptos Logic spreekt inmiddels over grootschalig misbruik van het lek. De BlueKeep-kwetsbaarheid zou in theorie door een worm gebruikt kunnen worden om zich te verspreiden. Daar is echter op dit moment geen sprake van, aldus Hutchins. De onderzoeker vermoedt dat de aanvallers met een lijst van kwetsbare ip-adressen werken. Hij noemt het ook merkwaardig dat de kwetsbaarheid nu pas wordt aangevallen, aangezien het lek al een half jaar bekend was. Hutchins bestempelt de aanvallen als zorgwekkend, maar merkt ook op dat de securitygemeenschap een veel ernstiger scenario had voorspeld. Zo werd er onder andere voor een wormuitbraak zoals WannaCry gewaarschuwd. Dat is op dit moment niet het geval. "Het lijkt erop dat een low-level actor het internet heeft gescand en opportunistisch kwetsbare machines via kant-en-klare penetratietesttools heeft geïnfecteerd", besluit de onderzoeker. bron: security.nl

Google heeft een beveiligingsupdate uitgebracht voor een zerodaylek in de desktopversie van Chrome dat actief is aangevallen voordat de update beschikbaar was. Het beveiligingslek bevond zich in het onderdeel van de browser dat wordt gebruikt voor het verwerken van audio. Details over de aanvallen en tegen welke gebruikers die waren gericht zijn niet gegeven. De kwetsbaarheid is door Google als "high" bestempeld. Het gaat in dit geval om lekken waardoor een aanvaller code binnen de context van de browser had kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Het beveiligingslek (CVE-2019-13720) alleen is niet voldoende om systemen te compromitteren. Hiervoor zou een tweede kwetsbaarheid zijn vereist. Onderzoekers Anton Ivanov en Alexey Kulaev van antivirusbedrijf Kaspersky ontdekten het lek en waarschuwden Google. Gebruikers krijgen het advies om te updaten naar Chrome 78.0.3904.87. Op de meeste systemen zal dit automatisch gebeuren. Tweede zeroday-aanval op Chrome dit jaar Het is voor zover bekend de tweede keer dit jaar dat Chrome het doelwit van een zeroday-aanval is. In maart vond er namelijk ook al een zeroday-aanval tegen Chrome-gebruikers plaats. Bij die aanval werd een beveiligingslek in Windows en Google Chrome gecombineerd om kwetsbare systemen volledig over te nemen. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website was hiervoor voldoende. Er was geen verdere interactie van gebruikers vereist. Het beveiligingslek in Windows dat bij de aanval in maart werd gebruikt maakte het mogelijk voor een aanvaller om zijn rechten te verhogen en was te gebruiken als manier om uit de sandbox van Chrome te ontsnappen. De aanvallers combineerden dit met een kwetsbaarheid in de browser om willekeurige code op aangevallen systemen uit te voeren. Volgens Google was de aanval van maart alleen gericht tegen Chrome-gebruikers op 32-bit versies van Windows 7. bron: security.nl

Mozilla gaat stoppen met het sideloaden van extensies in Firefox wat de installatie van ongewenste extensies moet voorkomen. Sideloading is een manier om Firefox-extensies buiten de browser om te installeren. Het gebeurt via een installer die het extensiebestand in een bepaalde directory plaatst en in het geval van Windowscomputers een vermelding aan het Windows Register toevoegt. "Deze extensies zorgen voor problemen bij gebruikers, aangezien ze er niet expliciet voor hebben gekozen om ze te installeren en ze niet via de Add-ons Manager kunnen verwijderen", zegt Mozillas Caitlin Neiman. Ze merkt op dat er via sideloading in het verleden malware in Firefox is geïnstalleerd. Met de lancering van Firefox 73 in februari volgend jaar zal Firefox sideloaded extensies als normale add-ons installeren. Zodoende krijgen gebruikers de mogelijkheid om ongewenste extensies te verwijderen en kunnen ze gewenste extensies behouden. Met Firefox 74 die volgend jaar maart verschijnt wordt het sideloaden van extensies niet meer ondersteund. Extensie-ontwikkelaars die van sideloading gebruikmaken krijgen dan ook het advies om hun installatieprocedure aan te passen. bron: security.nl

Inderdaad worden nieuwe systemen bijna niet meer met een speler geleverd. Voor rond de dertig euro kun je al online een externe aanschaffen die je eenvoudig met een usb op je systeem aan kunt sluiten.