Captain Kirk

Adobe heeft voor verschillende softwarepakketten belangrijke beveiligingsupdates uitgebracht, waaronder Flash Player, Acrobat en Photoshop. In het geval van Flash Player zijn er vijf kwetsbaarheden verholpen die allen als ernstig zijn aangemerkt. Via dergelijke lekken kan een aanvaller in het ergste geval systemen volledig overnemen. Gebruikers krijgen dan ook het advies om te updaten naar Flash Player-versie 27.0.0.187. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Adobe adviseert gebruikers om de update binnen 30 dagen te installeren. Door het uitblijven van aanvallen op bekende, al gepatchte Flash Player-kwetsbaarheden heeft Adobe de prioriteit voor het installeren van geplande Flash-updates verlaagd. Voorheen kregen gebruikers altijd het advies om de update binnen 72 uur uit te rollen. Bij updates voor zeroday-lekken, zoals vorige maand het geval was, blijft dit advies wel gelden. In Adobe Reader en Acrobat zijn 62 beveiligingslekken gepatcht, waarvan er 59 als ernstig zijn beoordeeld. In tegenstelling tot Flash Player, waar elke maand updates voor verschijnen, komen de updates voor Acrobat en Reader elk kwartaal uit. Gebruikers krijgen het advies om te updaten naar: Acrobat DC of Acrobat Reader versie 2018.009.20044, Acrobat 2017 of Acrobat Reader 2017 versie 2017.011.30068, Acrobat DC Classic of Acrobat Reader Classic versie 2015.006.30392 of Acrobat XI of Reader XI versie 11.0.23. Dit kan via de automatische updatefunctie van de pdf-lezer, door de pdf-lezer handmatig naar updates te laten zoeken of de website van Adobe. Voor gebruikers van Photoshop zijn er ook updates uitgebracht. Photoshop CC 2017 versie 18.1.2 (2017.1.2) en Photoshop CC 2018 versie 19.0 (2018.0) verhelpen twee ernstige lekken. Een aanvaller zou via de kwetsbaarheden willekeurige code op het systeem kunnen uitvoeren als de gebruiker een kwaadaardige afbeelding opent. Ook miljoenen gebruikers van Adobe Shockwave Player kunnen vanwege een ernstige kwetsbaarheid updaten. De update naar versie 12.3.1.201 moet handmatig worden geïnstalleerd. Verder zijn er updates verschenen voor DNG Converter, InDesign CC, Connect, Digital Editions en Adobe Experience Manager. bron: security.nl

Mozilla heeft vandaag Firefox Quantum gelanceerd, volgens de opensource-ontwikkelaar de grootste Firefox-update sinds de lancering van versie 1.0 in 2004. De browser bevat een nieuwe gebruikersinterface en een nieuwe engine die voor veel betere prestaties moet zorgen. Firefox Quantum (Firefox 57) zou twee keer zo snel zijn als Firefox 56 die zes maanden geleden uitkwam. In totaal werden bijna 7 miljoen regels code aangepast. De browser werkt daarnaast alleen nog met WebExtension-extensies. Oude legacy-extensies worden niet meer ondersteund. Extensie-ontwikkelaars werden de afgelopen maanden geregeld opgeroepen om hun extensies klaar te maken voor de lancering van Firefox Quantum. Voor Amerikaanse, Canadese, Hongkongse en Taiwanese gebruikers heeft Mozilla besloten om Google weer de standaard zoekmachine te maken. Drie jaar geleden koos Mozilla ervoor om in deze landen Google door Yahoo te vervangen. Een andere verandering is de permanente trackingbescherming. Gebruikers kunnen nu ook in de normale modus van de browser advertenties, analytics-trackers en knoppen voor het delen van content op social media blokkeren. Iets dat voorheen alleen in de Private Browsing-mode werd ondersteund. Verder worden gebruikers nu ook beschermd tegen data-url's, waar phishingaanvallen gebruik van kunnen maken. Firefox Quantum verhelpt verder 15 beveiligingslekken waarvan er drie als ernstig zijn aangemerkt. Via dergelijke kwetsbaarheden kan een aanvaller in het ergste geval volledige controle over het systeem krijgen. Alleen het bezoeken van een gehackte of kwaadaardige website is in dit geval voldoende. Updaten naar Firefox Quantum kan via de automatische updatefunctie en Mozilla.org. bron: security.nl

Later vandaag zal er een geheel vernieuwde versie van de populaire Firefox-extensie NoScript verschijnen die erg verschilt van de huidige versie. NoScript is een uitbreiding voor Firefox die scripts, zoals trackers en advertenties, op websites blokkeert en allerlei extra beveiliging aan de browser toevoegt. De extensie beschermt zowel de veiligheid als privacy van gebruikers en wordt door menig beveiligingsexpert aangeraden. De lancering van NoScript 10 valt samen met het verschijnen van Firefox 57, die de codenaam "Quantum" heeft. Deze versie van de browser bevat allerlei verbeteringen en aanpassingen en is één van de belangrijkste Firefox-upgrades in jaren. Zo ondersteunt Firefox 57 geen legacy-extensies meer, maar alleen WebExtension-extensies. NoScript 10 is de eerste "pure" WebExtension-versie van NoScript. De overstap van Firefox naar het WebExtension-model heeft ook gevolgen voor NoScript, zo laat ontwikkelaar Giorgio Maone weten. Hij stelt dat NoScript 10 erg verschilt van NoScript 5, wat de huidige versie is. Zo zijn sommige dingen eenvoudiger in de nieuwe versie en andere zaken verbeterd. Gebruikers kunnen het blokkeren van content nog fijner instellen en ook de prestaties zijn verbeterd. Wie overstapt moet wel rekening houden met het feit dat bepaalde functies ontbreken, omdat die nog niet door WebExtensions in Firefox 57 worden ondersteund. Gebruikers die naar de nieuwe versie migreren kunnen hun oude instellingen van NoScript 5 meenemen. Het is nog niet verplicht om te migreren, NoScript 5 zal tot juni 2018 worden ondersteund. Om deze versie te kunnen blijven gebruiken is het wel nodig om op Firefox 52 ESR, Seamonkey, Palemoon of andere "pre-Quantum browser" over te stappen. NoScript heeft ruim 1,7 miljoen gebruikers en is daarmee één van de populairste Firefox-extensies. bron: security.nl

In de populaire WordPress-extensie bbPress bevindt zich een beveiligingslek waardoor aanvallers in het ergste geval websites kunnen overnemen. BbPress is een forum voor WordPress-sites met meer dan 300.000 actieve installaties. In het geval anonieme berichten worden toegestaan is het voor een aanvaller mogelijk om SQL-injection uit te voeren. Zo kan er toegang tot de database van de website worden verkregen. De kwetsbaarheid werd op 20 maart van dit jaar door securitybedrijf Sucuri aan de ontwikkelaar gemeld. Die liet op dezelfde dag weten dat er binnen 40 uur een update gereed zou zijn. Pas in juni verscheen er op de server van de ontwikkelaar echter een update, maar was die niet via de WordPress-repository beschikbaar. In juli ontdekte Sucuri dat de update het probleem niet verhelpt. De ontwikkelaar bevestigde het probleem, maar maanden later is er nog altijd geen nieuwe patch beschikbaar gemaakt. De kwetsbaarheid is echter opgelost via WordPress-update 4.8.3, die op 31 oktober verscheen. Het WordPress-team bracht deze update uit voor een beveiligingslek die zich in een functie bevindt waar plug-ins en themes gebruik van maken. Webmasters die van bbPress gebruikmaken krijgen dan ook het advies deze update te installeren, aangezien details over de kwetsbaarheid in de extensie openbaar zijn gemaakt. bron: security.nl

Een beveiligingslek in de quarantainefunctie van verschillende anti-virusprogramma's is niet aanwezig in Windows Defender, zo heeft Microsoft bekendgemaakt. Via de kwetsbaarheid, genaamd AVGater, kan een aanvaller die een computer heeft gehackt zijn rechten op het systeem verhogen. De aanvaller moet hiervoor eerst de virusscanner een kwaadaardig dll-bestand in quarantaine laten plaatsen. Vervolgens is het mogelijk om het in quarantaine geplaatste bestand naar een willekeurige directory terug te zetten. Het gaat dan bijvoorbeeld om de directory van een applicatie. De applicatie zal wanneer gestart het dll-bestand laden waardoor de code van de aanvaller met hogere rechten wordt uitgevoerd. Volgens Microsoft gaat het om een relatief oude aanvalsvector en is Windows Defender hier nooit kwetsbaar voor geweest. De virusscanner staat het namelijk niet toe dat applicaties die door gebruikers met verminderde rechten zijn gelanceerd bestanden uit quarantaine kunnen halen. De maatregel moet tegen deze en andere kwetsbaarheden met gebruikersrechten beschermen, aldus de softwaregigant. Het beveiligingslek is inmiddels door verschillende anti-virusbedrijven gepatcht. Andere virusbestrijders komen nog met updates. De onderzoeker die het probleem ontdekte heeft de namen van de nog kwetsbare bedrijven niet bekendgemaakt. bron: security.nl

Onderzoekers van Cisco hebben opnieuw allerlei kwetsbaarheden in de populaire Foscam C1-camera ontdekt. Via de beveiligingslekken kan een aanvaller op afstand het toestel overnemen. In juni van dit jaar rapporteerde Cisco ook al over de camera. Toen hadden onderzoekers 20 kwetsbaarheden gevonden. De nu ontdekte beveiligingslekken bevinden zich onder andere in de DDNS-server. Bij het opstarten van het apparaat wordt de ingestelde DDNS-server gecontroleerd. Er was echter geen limiet voor het antwoord van de server ingesteld, waardoor er verschillende buffer overflows konden worden veroorzaakt. Via de buffer overflows had een aanvaller vervolgens willekeurige code op de camera kunnen uitvoeren en het apparaat zo kunnen overnemen. Een soortgelijke kwetsbaarheid bevond zich in de UPnP-implementatie van de Foscam-camera. Via UPnP kan de camera met de netwerk-gateway communiceren om de webmanagement-interface op afstand toegankelijk te maken. Een aanvaller die een speciaal UPnP-antwoord naar kwetsbare apparaten stuurde kon echter een buffer overflow veroorzaken en zo willekeurige code uitvoeren. Verder bleek de camera aangeboden firmware-updates niet goed te controleren. Een aanvaller had zo zijn eigen firmware kunnen installeren. Foscam C1-camera's met firmwareversie 1.9.3.18, applicatie-firmwareversie 2.52.2.43 en plug-inversie 3.3.0.26 zijn kwetsbaar. Mogelijk spelen de problemen ook bij oudere firmwareversies, maar Cisco heeft de beveiligingslekken bij de genoemde configuratie getest. Na te zijn ingelicht heeft Foscam een firmware-update uitgebracht. bron: security.nl

Een beveiligingslek in de quarantaine-functie van verschillende anti-virusprogramma's maakt het mogelijk voor een aanvaller om zijn rechten op een al gehackt systeem te verhogen. De kwetsbaarheid wordt AVGater genoemd en werd door onderzoeker Florian Bogner ontdekt. De aanval bestaat uit verschillende stappen, waarbij als eerste de virusscanner een kwaadaardig dll-bestand in quarantaine moet plaatsen. Dit is een locatie op het systeem waar verdachte bestanden tijdelijk worden bewaard, zonder dat ze verdere schade kunnen aanrichten. In het geval van een fout of onterechte detectie door de virusscanner kan het bestand worden teruggeplaatst. AVGater maakt gebruik van de mogelijkheid om in quarantaine geplaatste bestanden op willekeurige plekken terug te zetten. Een gebruiker met beperkte rechten kan normaliter geen bestanden uit quarantaine halen. Bogner ontdekte dat dit via de Windows Service wel kan worden gedaan. De volgende stap in de aanval is het terugplaatsen van het bestand in een door de aanvaller gewenste directory. Die kan hiervoor van NTFS directory junctions gebruikmaken, ook wel soft links genoemd. Het gaat hier om een symbolische link van de ene naar de andere directory. Bijvoorbeeld C:\dira linkt naar C:\dirb\dirc. Via de directory junction kan de aanvaller zijn gewenste directory opgeven. In het geval van AVGater gaat het bijvoorbeeld om de directory van een applicatie. Applicaties kunnen dll-bestanden in de eigen directory als eerste uitvoeren. Als het gaat om een applicatie die zelf met hogere rechten draait zal dit ervoor zorgen dat ook het kwaadaardige dll-bestand van de aanvaller met hogere rechten wordt uitgevoerd. De aanvaller krijgt zo volledige controle over het systeem. Het probleem speelt bij verschillende anti-virusbedrijven. Trend Micro, Emsisoft, Kaspersky Lab, Malwarebytes, ZoneAlarm en Ikarus hebben al updates voor hun software uitgebracht. Andere partijen zullen nog volgen, aldus Bogner. De namen van deze bedrijven heeft de onderzoeker niet bekendgemaakt. bron: security.nl

Er moeten dringend internationale afspraken worden gemaakt over de inzet van cyberwapens door landen, zo heeft Microsofts juridisch directeur Brad Smith donderdag voor de Verenigde Naties laten weten. Volgens Smith is er sprake van een cyberwapenwedloop tussen landen die een nieuwe generatie wapens zowel tegen burgers als overheden inzetten, wat een risico voor de data- en digitaal ondersteunde infrastructuur is. Als voorbeeld wees Smith naar de uitbraak van de WannaCry-ransomware, die niet alleen een gevolgen had voor systemen, maar ook voor mensen. De ransomware kon zich verspreiden omdat organisaties Windows-updates die al twee maanden beschikbaar waren niet hadden geïnstalleerd. WannaCry wist onder andere ziekenhuizen en zorginstellingen in Groot-Brittannië te infecteren en zorgde ervoor dat 19.000 ziekenhuisafspraken moesten worden geannuleerd. Ook moesten ambulances vanwege besmette ziekenhuissystemen naar andere ziekenhuizen uitwijken. "WannaCry is een wake-up call voor de wereld. Als we niets doen om het risico van cyberaanvallen door landen aan te pakken, zal de wereld een gevaarlijkere plek worden", aldus Smith. Hij merkte op dat bedrijven zoals Microsoft een eerste verantwoordelijkheid hebben om dergelijke problemen aan te pakken. "Maar het is een fout om te denken dat alleen de private sector het risico van cyberaanvallen kan stoppen, net zo min het andere soorten militaire aanvallen kan tegenhouden. De investeringen van landen in cyberwapens zijn het punt gepasseerd waar dat mogelijk was." Microsofts juridisch directeur herhaalde de oproep voor een Geneefse Conventie voor het internet van februari dit jaar, maar stelde ook dat dit een oplossing voor de lange termijn is. Er moeten juist nu maatregelen genomen worden om burgers tegen cyberaanvallen te beschermen, stelde Smith. Daarbij moet er op bestaande wetgeving en normen worden gebouwd. Wetgeving die voor de 21ste eeuw moet worden aangepast. "Overheden moeten samenwerken, om zich zowel aan de huidige internationale normen te houden en nieuwe wetgeving te ontwikkelen om de gaten op te vullen. De wereld heeft een Digitale Geneefse Conventie nodig, alsmede aanvullende stappen om ons te helpen bij het maken van een veiligere wereld", aldus Smith. bron: security.nl

Phishing is nog altijd de voornaamste oorzaak dat Google-accounts worden gekaapt, zo zegt Google aan de hand van onderzoek dat het samen met de universiteit van Californië, Berkeley uitvoerde. Van maart 2016 tot en met maart 2017 werden verschillende marktplaatsen van cybercriminelen geanalyseerd om te kijken hoe aanvallers wachtwoorden andere gevoelige gegevens stelen. Op deze manier kon Google 788.000 inloggegevens identificeren die via keyloggers waren buitgemaakt, 12 miljoen inloggegevens die via phishing waren gestolen en 3,3 miljard inloggegevens die door datalekken bij derde partijen op straat waren komen te liggen. In het geval van de datalekken bleek 12 procent van de records een Gmail-adres als gebruikersnaam en wachtwoord te bevatten. Zeven procent van deze wachtwoorden werd door de gebruikers ook voor hun Gmail-adres gebruikt en was nog steeds geldig. Als het gaat om phishing en keyloggers ligt het succespercentage voor een geldig wachtwoord tussen de 12 en 25 procent. Google stelt dat alleen een wachtwoord zelden genoeg is om toegang tot een Google-account te krijgen. Aanvallers proberen daarom steeds meer gegevens te verzamelen waarmee Google de identiteit van een accounthouder kan verifiëren. Zo verzamelde 82 procent van de phishingtools en 74 procent van de keyloggers het ip-adres en locatie van van de gebruiker, terwijl 18 procent van de tools telefoonnummers en informatie over het apparaat verzamelt. Aan de hand van het relatieve risico voor gebruikers stelt Google dat phishing de grootste dreiging vormt, gevolgd door keyloggers en datalekken bij derde partijen. De informatie die de onderzoekers ontdekten zijn door de internetgigant gebruikt om 67 miljoen Google-accounts te beschermen voordat aanvallers daar misbruik van konden maken. Afsluitend geeft Google het advies aan gebruikers om hun account met aanvullende maatregelen te beschermen, zoals het inschakelen van tweefactorauthenticatie. bron: security.nl

De zakelijke beveiligingsoplossing van Microsoft genaamd Windows Defender Advanced Threat Protection (ATP) gaat ook anti-virussoftware van derde partijen integreren om zo malware op Android-, Linux-, macOS- en iOS-apparaten te kunnen detecteren. Dat heeft Microsoft bekendgemaakt. Op dit moment werkt de softwaregigant samen met drie anti-virusbedrijven: Bitdefender, Lookout en Ziften. De oplossingen van deze bedrijven zullen binnen Windows Defender ATP worden geïntegreerd, zodat ook andere platformen kunnen worden gescand. Via de Windows Defender ATP console is het vervolgens mogelijk om de status van deze andere platformen en apparaten te monitoren. Microsoft zegt dat de samenwerking met Bitdefender, Lookout en Ziften de eerste van verschillende partnerschappen is. De integratie van Bitdefender is nu in de Public Preview van de beveiligingssoftware te testen. Lookout en Ziften zullen binnenkort volgen. Windows Defender ATP, dat vorig jaar maart werd aangekondigd, moet bedrijven volgens Microsoft tegen geavanceerde dreigingen beschermen. bron: security.nl

De beveiligingssoftware van anti-malwarebedrijf Malwarebytes heeft de Coinhive-cryptominer 248 miljoen keer in een enkele maand geblokkeerd, zo laat het bedrijf in een blogposting en rapport (pdf) weten. De Coinhive-cryptominer is een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om cryptocurrencies zoals Monero te minen. Hiervoor voert de computer een cryptografische berekening uit. Eigenaren van websites die Coinhive willen gebruiken moeten hiervoor op hun website naar een JavaScript-bestand van Coinhive wijzen Dit bestand wordt vervolgens door de browser van bezoekers geladen, waarna de rekenkracht van hun computer wordt gebruikt voor het uitvoeren van de cryptografische berekening. Nagenoeg alle websites die van de Coinhive-cryptominer gebruikmaken vragen hiervoor geen toestemming aan gebruikers, zo liet securitybedrijf Palo Alto Networks onlangs nog weten. Malwarebytes besloot op 19 september om het domein coinhive.com bij gebruikers van de eigen beveiligingssoftware te blokkeren. Sindsdien wordt Coinhive dagelijks 8 miljoen keer geblokkeerd. "Wat neerkomt op 248 miljoen blocks in één maand", aldus onderzoeker Jerome Segura van Malwarebytes. Met name gebruikers in de Verenigde Staten, Spanje en Frankrijk bezoeken vaak websites die de Coinhive-cryptominer proberen te laden. Coinhive heeft inmiddels wel een nieuwe versie van de cryptominer gelanceerd die gebruikers expliciet om toestemming vraagt, maar de versie die geen toestemming vraagt wordt ook nog steeds ondersteund. bron: security.nl

Microsoft heeft een waarschuwing afgegeven voor aanvallen die gebruik maken van de DDE-feature in Microsoft Office. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds op allerlei plekken wordt gebruikt. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren. Anti-virusbedrijf McAfee maakte dinsdag nog melding van een dergelijke aanval. In een gisteren gepubliceerde security advisory stelt Microsoft dat aanvallers het slachtoffer wel eerst moeten overtuigen om de Protected Mode van Office uit te schakelen en door één of meer vensters heen te klikken voordat de aanval kan worden uitgevoerd. Volgens de softwaregigant moeten gebruikers dan ook alert zijn bij het openen van verdachte e-mailbijlagen. Beheerders en gebruikers kunnen daarnaast ook andere maatregelen nemen om dergelijke aanvallen tegen te gaan. Via verschillende aanpassingen aan het Windows Register kan de DDE-feature namelijk worden uitgeschakeld. Dit kan voor verschillende programma's zoals Excel, Outlook en Word worden gedaan. Gebruikers van de Windows 10 Fall Creator Update kunnen daarnaast de Windows Defender Exploit Guard gebruiken om DDE-gebaseerde malware blokkeren. bron: security.nl

Google gaat nieuwe beveiligingsmaatregelen aan Chrome toevoegen die gebruikers tegen ongewenste redirects moeten beschermen. Volgens de internetgigant komt het geregeld voor dat gebruikers onverwacht naar ongewenste content, zoals een nieuwe pagina, worden doorgestuurd. Scammers maken hier bijvoorbeeld misbruik van om internetgebruikers naar websites te leiden die stellen dat hun computers is geïnfecteerd en er een telefoonnummer moet worden gebeld om het probleem op te lossen. Google stelt dat deze redirects vaak van content van derde partijen afkomstig zijn en de eigenaar van de website hier helemaal niets van weet. Om dit probleem aan te pakken zal Chrome redirects afkomstig van third-party iframes gaan blokkeren. Gebruikers krijgen in dit geval een informatiebalk te zien. Alleen als de gebruiker zelfs met het frame bezig was wordt de redirect toegestaan. Ongewenste redirects doen zich niet alleen spontaan via iframes voor. Ook als gebruikers bijvoorbeeld een link openen kan er een redirect plaatsvinden. Sommige websites maken hier gebruik van door aangeklikte links in een nieuwe tab te openen, terwijl de hoofdpagina een andere pagina opent. Volgens Google wordt hiermee de pop-upblocker van Chrome omzeild. Daarom zal vanaf Chrome 65 ook dit gedrag worden geblokkeerd en er een informatiebalk verschijnen. Gebruikers kunnen zo ongestoord naar de bedoelde bestemming doorgaan. Als laatste zijn er redirects die veel lastiger zijn te detecteren. Het gaat dan bijvoorbeeld om websites die zich voordoen als afspeelknop of transparante overlays op websites, die alle clicks afvangen en nieuwe tabs of vensters openen. Ook deze redirects zullen vanaf januari door Chrome worden geblokkeerd. Google gaat eigenaren van websites daarnaast waarschuwen als dergelijke redirects op hun websites zijn aangetroffen, zodat er maatregelen genomen kunnen worden. Als de eigenaar niet in actie komt en het probleem 30 dagen ongemoeid laat zal Chrome het openen van nieuwe tabs en vensters blokkeren. bron: security.nl

Linux-systemen zijn kwetsbaar voor aanvallen via kwaadaardige usb-sticks waardoor een aanvaller met fysieke toegang tot een systeem een denial of service kan veroorzaken en mogelijk ook willekeurige code kan uitvoeren. De kwetsbaarheden bevinden zich in het usb-subssysteem van de Linux-kernel. De beveiligingslekken werden gevonden door onderzoeker Andrey Konovalov, die zijn bevindingen op de Open Source Software Security-mailinglist rapporteerde. De 14 beveiligingslekken waar Konovalov het in zijn e-mail over heeft zijn inmiddels verholpen. De onderzoeker zegt dat er echter nog zo'n 35 soortgelijke kwetsbaarheden zijn die op een update wachten. "De meeste beveiligingslekken betreffen een denial of service, maar een aantal kan mogelijk worden gebruikt voor het uitvoeren van code in de kernel", zo laat Konovalov aan The Register weten. bron: security.nl

Volgende week dinsdag verschijnt Firefox 57 en de browser zal voor het eerst permanente trackingbescherming ondersteunen, zo meldt webontwikkelaar Soeren Hentzschel. Trackingbescherming kan advertenties, analytics-trackers en knoppen voor het delen van content op social media blokkeren. De optie is sinds Firefox 42 aanwezig, maar alleen in de Private Browsing-mode van de browser. Met Firefox 57 kunnen gebruikers het ook in de normale modus inschakelen, zodat er altijd van trackingbescherming gebruik wordt gemaakt. In 2015 liet Mozilla nog weten dat trackingbescherming de laadtijd van websites met 44 procent vermindert. Gebruikers moeten de optie wel zelf voor de normale modus inschakelen. Alleen voor de Private Browsing-mode blijft die standaard ingeschakeld staan. Gebruikers kunnen verder zelf aangeven welke blocklists ze willen gebruiken voor het blokkeren van trackers. bron: security.nl

Printers van fabrikant Brother zijn kwetsbaar voor een dos-aanval via het internet waardoor de webserver ontoegankelijk wordt en er niet meer kan worden geprint. Het probleem is aanwezig in alle Brother-printers met de Debut-webserver. Een aanvaller kan door het versturen van een enkel geprepareerd HTTP POST-verzoek de aanval uitvoeren, zo laat securitybedrijf Trustwave weten. Trustwave zegt dat het meerdere malen heeft geprobeerd om Brother over het probleem te informeren, maar dat een update nog altijd niet voorhanden is. Organisaties krijgen dan ook het advies om webtoegang tot de printer te beperken tot beheerders die het nodig hebben. Zolang de printer niet via internet bereikbaar is kan de aanval ook niet worden uitgevoerd. Onderzoekers van Trustwave ontdekten echter meer dan 16.000 kwetsbare Brother-printers die via internet toegankelijk waren. "Sommige mensen doen denial of service-aanvallen af als alleen overlast, maar ze kunnen middelen belasten en productiviteit bij organisaties verminderen", aldus het securitybedrijf. bron: security.nl

Microsoft heeft standaarden gemaakt die voor 'zeer veilige' Windows 10-systemen moeten zorgen. De standaarden zijn bedoeld voor algemene desktops, laptops en tablets waarop de Windows 10 Fall Creators Update is geïnstalleerd. Dit is de grote Windows 10-update die vorige maand verscheen. Systemen die aan de standaarden voldoen kunnen een 'zeer veilige ervaring' bieden, aldus de softwaregigant. De standaarden beschrijven minimale eisen voor hardware, virtualisatie en firmware. Zo moet het systeem van de nieuwste gecertificeerde processor van AMD of Intel zijn voorzien en over een Trusted Platform Module (TPM) versie 2.0 beschikken, alsmede aan de Trustworthy Computing Group (TCG) specificaties voldoen. Verder stelt Microsoft dat er minimaal 8GB werkgeheugen aanwezig moet zijn en het systeem bootverificatie moet kunnen uitvoeren, bijvoorbeeld via Intel Boot Guard of AMD Hardware Verified Boot. In het geval van de firmware moet het systeem van de Unified Extension Firmware Interface (UEFI) versie 2.4 gebruikmaken en de Windows UEFI Firmware Capsule Update specificatie voor het updaten van firmware ondersteunen. bron: security.nl

Google heeft een belangrijke update voor de desktopversie van Chrome uitgebracht, die onder andere een ernstige kwetsbaarheid verhelpt. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het onderliggende systeem uitvoeren. Alleen het bezoeken van bijvoorbeeld een gehackte website of kwaadaardige pagina is in dit geval voldoende. Er is geen verdere interactie van gebruikers vereist. Ernstige kwetsbaarheden in de browser worden zelden door externe onderzoekers aan Google gerapporteerd. Zo is er in 2016 geen enkel ernstig beveiligingslek in de desktopversie van Chrome gemeld. In 2015 kwamen er twee ernstige kwetsbaarheden voor en een jaar eerder drie. Dit jaar werd er in maart een ernstig beveiligingslek in Chrome gepatcht. De nu gepatchte ernstige kwetsbaarheid bevond zich in QUIC, een door Google ontwikkeld netwerkprotocol. Onderzoeker Ned Williamson ontdekte via fuzzing een zogeheten 'stack buffer overflow' in QUIC waardoor het uitvoeren van willekeurige code mogelijk is, zo laat hij via Twitter weten. De beloning die de onderzoeker voor zijn melding zal krijgen is nog niet bekendgemaakt. Chrome 62.0.3202.89 voor Linux, Mac en Windows verhelpt daarnaast een kwetsbaarheid die als 'high' is bestempeld. Via dit soort kwetsbaarheden zou een aanvaller in het ergste geval code binnen de context van de browser kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Updaten naar de nieuwste Chrome-versie gaat op de meeste systemen automatisch. bron: security.nl

Microsoft heeft verschillende updates voor Windows 7 en 8.1 wegens problemen offline gehaald. De updates waren juist bedoeld om problemen te verhelpen die door de beveiligingsupdates van oktober waren veroorzaakt. Op 10 oktober bracht Microsoft verschillende beveiligingsupdates uit. Deze updates veroorzaakten bij sommige programma's voor problemen als er xls-bestanden werden geïmporteerd of gemaakt. Gebruikers kregen dan de melding "Unexpected error from external database driver". Tal van gebruikers klaagden op het forum van Microsoft over de problemen. Vorige week kwam Microsoft daarop met de November 2017 Rollup Updates KB4052234 voor Windows 7, KB4052233 voor Windows 8.1 en KB4052235 voor Server 2012. Deze optionele updates, die gebruikers handmatig moesten downloaden omdat ze niet via Windows Update werden verspreid, moesten de ontstane problemen verhelpen. Ze introduceerden echter nieuwe problemen, bijvoorbeeld bij het sluiten van applicaties of het starten van Internet Explorer. Gisteren werd duidelijk dat Microsoft de November-updates zonder enige aankondiging offline heeft gehaald, alsmede de KB-artikelen waarin ze worden genoemd, zo melden Günter Born, Woody Leonhard en WinFuture. bron: security.nl

De afgelopen maanden is er een stijging van het aantal Windows-computers dat in aanraking met de Qakbot en Emotet-malware is gekomen, zo laat Microsoft vandaag weten. De beveiligingssoftware van Microsoft zag de malware op tienduizenden Windows-computers voorbijkomen. Beide malware-exemplaren kunnen inloggegevens voor internetbankieren stelen en ander vertrouwelijke data buitmaken, zoals toetsaanslagen. Om Qakbot en Emotet te verspreiden maken criminelen gebruik van e-mailbijlagen. Eenmaal actief op een computer kan de malware toegankelijke netwerkschijven en mappen infecteren, alsmede aangesloten usb-sticks. Op deze manier kan de infectie zich verder binnen een netwerk verspreiden. Volgens Microsoft hebben Qakbot en Emotet het zowel op eindgebruikers als bedrijven voorzien, waarbij Emotet vooral thuisgebruikers aanvalt en Qakbot juist op bedrijfscomputers wordt waargenomen. In een vandaag gepubliceerd artikel geeft Microsoft advies om de verspreiding van de malware op netwerken te voorkomen en die uiteindelijk ook van getroffen systemen te verwijderen. Daarbij speelt naast techniek ook bewustzijn van werknemers een belangrijke rol. "Het onderwijzen van personeel over social engineering en internetveiligheid, en het trainen van ze om verdachte e-mails of websites te rapporteren, kan enorm helpen om netwerken tegen cyberaanvallen te beschermen", aldus Microsofts Keith Abluton. bron: security.nl

Een veelgebruikte standaard voor het versleutelen van 'electronic-design' intellectueel eigendom, zoals de layout van een chip of een verzameling van productie-instructies, bevat verschillende kwetsbaarheden waardoor aanvallers het intellectueel eigendom kunnen achterhalen en andere aanvallen kunnen uitvoeren. Dat hebben onderzoekers van de Universiteit van Florida ontdekt. Het gaat om de P1735 IEEE-standaard die methodes omschrijft voor het versleutelen van electronic design intellectueel eigendom, alsmede het beheer van de toegangsrechten tot dergelijk intellectueel eigendom. Een groot aantal fabrikanten maakt hiervan gebruik om hun hardware en software te beschermen. Moderne hardware bestaat uit onderdelen van allerlei fabrikanten, die via de standaard hun intellectueel eigendom voor de andere kunnen beschermen. De onderzoekers ontdekten echter zeven verschillende kwetsbaarheden waardoor verschillende aanvallen mogelijk zijn. Zo kan een aanvaller in platte tekst toegang het intellectueel eigendom krijgen. Een andere aanval maakt het mogelijk om zonder kennis van de eigenaar een hardwarematig Trojaans paard aan versleuteld intellectueel eigendom toe te voegen. Ook kan een aanvaller door de zwakke encryptie en andere ontwerpfouten kritieke veiligheidsfuncties analyseren. Zogeheten electronic design automation (EDA) tools maken van de standaard gebruik. De kwetsbaarheden in de standaard kunnen via EDA-tools worden aangevallen. De onderzoekers doen in hun onderzoeksrapport (pdf) verschillende aanbevelingen voor ontwikkelaars van EDA-software, zodat die de problemen kunnen verhelpen. Gebruikers krijgen het advies om hun EDA-software te updaten zodra er een update beschikbaar is, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. bron: security.nl

Op internet is ophef ontstaan over de software die wordt meegeleverd met het G2 mechanische toetsenbord van fabrikant Mantistek. Verschillende gebruikers melden dat de "Mantistek cloud driver" informatie over toetsaanslagen onversleuteld via http naar een ip-adres van Alibaba.com verstuurt. Op Reddit melden sommige gebruikers dat de software inderdaad over een feature beschikt die het verzamelen van keyboardstatistieken inschakelt. Gebruikers zouden hier echter zelf toestemming voor moeten geven. Via de informatie zou een 'heatmap' van het keyboardgebruik worden gemaakt. Of de driver nu zonder toestemming deze gegevens verzamelt of dat er iets anders aan de hand is, is onduidelijk. Mantistek heeft nog niet op de ophef gereageerd en er zijn vooralsnog zeer beperkte analyses online verschenen. bron: security.nl

Aanvallers zijn erin geslaagd de populaire streamingsite Crunchyroll te kapen en te gebruiken voor het verspreiden van malware. Crunchyroll laat anime, manga en Aziatische dramaseries zien. Het heeft meer dan 20 miljoen geregistreerde gebruikers, waaronder meer dan 1 miljoen betalende gebruikers. Volgens cijfers van Alexa staat het op de 721ste plek van meest bezochte websites op internet en staat het in de Verenigde Staten zelfs op plek 228. Bezoekers van de website kregen gisteren de melding te zien of ze de "Cruncyroll Viewer" wilden downloaden, wat een nieuwe mediaspeler zou zijn. In werkelijkheid ging het om malware. Een backdoor, zo stelt beveiligingsonderzoeker Bart Blaze. In een verklaring laat moederbedrijf Ellation weten dat aanvallers toegang tot de Cloudflare-configuratie van de website wisten te krijgen. Cloudflare bevindt zich tussen de website en bezoekers en stuurt verkeer normaliter door naar de Crunchyroll-servers. De aanvallers wijzigden de configuratie zodat bezoekers naar een andere server werden doorgestuurd die de malware aanbood. Volgens Crunchyroll was de aanval alleen tegen de Cloudflare-laag gericht en hebben de gegevens van gebruikers geen risico gelopen. Slachtoffers die de malware hebben gedownload en geopend kunnen die via een aantal stappen handmatig verwijderen, aldus het advies van de website. Hoe de aanvallers toegang tot de Cloudflare-configuratie wisten te krijgen is niet bekendgemaakt. bron: security.nl

Aanvallers zijn erin geslaagd verschillende door VerticalScope beheerders forums te hacken, waaronder Toyotanation.com en Jeepforum.com, en de data van tenminste 2,7 miljoen gebruikers te stelen. Dat laat securitybedrijf Holden Security tegenover it-journalist Brian Krebs weten. Holden Security ontdekte dat de gebruikersgegevens door cybercriminelen worden verhandeld, nadat die via een webshell toegang tot de data hadden gekregen. VerticalScope beheert allerlei internetgemeenschappen. Naar eigen zeggen gaat het om meer dan 600 websites. Vorig jaar wisten aanvallers bij VerticalScope de data van 45 miljoen gebruikersaccounts te stelen. Het bedrijf bevestigt dat het opnieuw slachtoffer van een hack is geworden. Het zou in totaal om zes websites gaan. Naast de twee eerder genoemde auto-forums gaat het ook om watchuseek.com, een forum voor zakhorlogeverzamelaars. De naam van de andere drie forums zijn niet bekendgemaakt. bron: security.nl

Beste Luca, Excuus, we hebben je topic misschien over het hoofd gezien. Heb je nog steeds problemen met deze pc en wens je nog steeds hulp of advies?