Captain Kirk

Microsoft heeft een nieuwe testversie van Windows 10 uitgerold waarin het inloggen via gezichtsherkenning is verbeterd. Windows 10 beschikt over Windows Hello, dat gebruikers via biometrische kenmerken zoals vingerafdruk of gezichtsscan laat inloggen. Om het inloggen via de gezichtsscan te verbeteren is er aan de nieuwste testversie van Windows 10 een visuele indicator toegevoegd die het gezicht van de gebruiker in realtime volgt en feedback geeft voor het instellen van het gezicht als inlogmiddel. Daarnaast laat Microsoft weten dat er bijna 100 apparaten zijn die het biometrisch inloggen via Windows Hello ondersteunen. Biometrisch inloggen is volgens Microsoft veiliger dan inloggen via een wachtwoord en zou ook een stuk gebruiksvriendelijker zijn. bron: security.nl

Browserontwikkelaar Opera heeft een experimentele browser genaamd "Neon" gelanceerd om een idee te geven hoe browsers er in de toekomst kunnen uitzien. Volgens het bedrijf zijn de browsers van dit moment "niet meer zo fris". Verschillende onderdelen van de huidige browsers stammen nog uit de tijd dat het internet vooral uit documenten en tekstpagina's bestond. Het web is echter aan het veranderen en ook de verwachting van mensen hoe websites zich moeten gedragen, aldus Opera. Om het idee dat Opera over de browser van de toekomst heeft te verwezenlijken is Neon ontwikkeld. De browser is op de Blink-engine gebouwd die ook door Chrome en Opera wordt gebruikt. Neon zou echter van de grond af zijn opgebouwd. Het gaat dan vooral om visuele aanpassingen en effecten. Daarnaast mist Neon verschillende beveiligingsopties die Opera wel heeft, zoals een vpn en een ingebouwde adblocker. "De reden hiervoor is simpel, Opera Neon is een conceptbrowser bedoeld om mee te experimenteren en te spelen", zo laat Krystian Kolondra van Opera weten. Hij merkt op dat Neon niet bedoeld is om de huidige versie van Opera te vervangen. Toch zullen verschillende van de nieuwe features van Neon dit jaar aan Opera worden toegevoegd. Neon is te downloaden voor Mac en Windows. bron: security.nl

Na vier jaar in ontwikkeling te zijn geweest heeft de desktopversie van de versleutelde chat-app Telegram versie 1.0 bereikt en zou volgens de ontwikkelaars nu e-mail kunnen ontvangen. In 2013 verscheen de eerste versie van Telegram Desktop, dat gebruikers achter hun pc via Telegram laat communiceren. Alle gesprekken via Telegram Desktop worden automatisch gesynchroniseerd met de telefoon, wat ook geldt voor verstuurde documenten, video's en foto's. Hiervoor wordt gebruik gemaakt van de "versleutelde cloud" van Telegram. Daarnaast kan via de optie "Cloud Drafts" al op de telefoon met het maken van een bericht worden begonnen om die op de desktop af te maken. "Wie heeft er nu nog e-mail nodig? Telegram Desktop is vele malen sneller en kan probleemloos bijlagen verwerken", aldus de ontwikkelaars. Telegram Desktop is er voor Linux, Mac en Windows. bron: security.nl

Beveiligingsbedrijf Symantec gaat het programma waarmee het websites gratis ssl-certificaten aanbiedt ook in de Benelux uitrollen. Vorig jaar kondigde het bedrijf "Encryption Everywhere" aan, dat vooral gericht is op hostingproviders. Die kunnen het binnen hun eigen platformen en beheerpanelen integreren. Klanten van de provider kunnen vervolgens via één muisklik een ssl-certificaat aanvragen en laten installeren. Sinds de lancering van het programma zijn er volgens Symantec voor 57 miljoen websites certificaten uitgegeven. In de Benelux zal Encryption Everywhere door de Nederlandse aanbieder van ssl-certificaten Xolphin worden verzorgd. Een standaard ssl-certificaat zal via Encryption Everywhere kosteloos kunnen worden aangevraagd. Voor meer opties, zoals extended validation (EV) certificaten of wildcardcertificaten, die voor meerdere subdomeinen gelden, moet worden betaald. Het aanbieden van gratis ssl-certificaten volgt op het succes van Let's Encrypt. Een initiatief waar eigenaren van een website zelf een ssl-certificaat kunnen aanvragen en dat inmiddels zo'n 22 miljoen certificaten heeft uitgegeven. bron: security.nl

Certificaatautoriteit GoDaddy heeft zo'n 9000 ssl-certificaten die het heeft uitgegeven ingetrokken omdat tijdens de uitgifte het domein waarvoor het certificaat was bedoeld niet werd gecontroleerd, zo heeft het bedrijf bekendgemaakt. Volgens GoDaddy gaat het om een bug in het uitgiftesysteem die eind juli vorig jaar werd geïntroduceerd en deze week werd verholpen. In totaal zijn door de programmeerfout ruim 6.000 klanten gedupeerd. Bij het aanvragen van een certificaat kijkt de certificaatautoriteit of de aanvrager van het certificaat ook de eigenaar van het domein is. Hiervoor wordt er een unieke code naar de eigenaar gestuurd die hij ergens op zijn webserver moet plaatsen. De certificaatautoriteit controleert of deze code aanwezig is en verstrekt vervolgens het certificaat. Door de programmeerfout gaven bepaalde webserverconfiguraties een positief resultaat terug, ook al was de code niet aanwezig. Na de ontdekking heeft GoDaddy alle 8951 certificaten waarvan de code niet was gecontroleerd ingetrokken. Daardoor kunnen internetgebruikers bij het bezoeken van deze websites een waarschuwing van hun browser krijgen. Voor gedupeerde klanten heeft GoDaddy al een nieuw certificaat aangevraagd. Klanten moeten nog wel op hun GoDaddy-account inloggen en het certificaatproces opnieuw starten en doorlopen. Tevens heeft het bedrijf een rapport over het incident gepubliceerd. bron: security.nl

Tijdens de patchdinsdag van januari heeft Microsoft slechts drie patches voor de eigen software uitgebracht die in totaal drie kwetsbaarheden verhelpen. Het is lange tijd geleden dat Microsoft zo weinig beveiligingslekken tijdens een geplande patchronde heeft gedicht. De beveiligingslekken bevonden zich in Edge, Office en SharePoint en Windows. In het geval van Edge kon een aanvaller via de kwetsbaarheid zijn rechten binnen de browser verhogen. Het beveiligingslek in Office 2016 en SharePoint Enterprise Server 2016 liet een aanvaller willekeurige code op het systeem uitvoeren als er een kwaadaardig document werd geopend. Het derde en laatste lek in Windows maakte een denial of service mogelijk. De kwetsbaarheden in Edge en Windows waren al bekend voordat de beveiligingsupdates beschikbaar waren, maar zijn volgens Microsoft niet actief in het wild aangevallen. Naast de de drie patches voor de eigen software publiceerde Microsoft ook een beveiligingsupdate voor de embedded Flash Player in Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Vorig jaar bracht Microsoft in totaal 155 beveiligingsupdates uit. bron: security.nl

De beveiligingsupdate die Adobe gisteren uitbracht voor ernstige beveiligingslekken in Adobe Acrobat en Adobe Reader blijkt ook stilletjes een Chrome-extensie te installeren, tot onvrede van veel gebruikers. Zowel gebruikers op Twitter, Reddit als het forum van Adobe zelf klagen over de werkwijze. De extensie, die ook via de Chrome Web Store is te downloaden, laat gebruikers pdf-bestanden met Adobe Reader of Acrobat openen en websites als pdf-bestand opslaan. Omdat de extensie in dit geval via de beveiligingsupdate van Adobe stilletjes wordt geïnstalleerd krijgen gebruikers bij het starten van Chrome eerst de vraag of ze de extensie ook willen inschakelen. Dit is een maatregel die Google aan Chrome heeft toegevoegd om de automatische activatie van kwaadaardige extensies te voorkomen. De Adobe-extensie vraagt daarbij toegang om alle gegevens op bezochte websites te lezen en aan te passen, downloads van de gebruiker te beheren en met andere applicaties te communiceren. De extensie vraagt ook om gebruiksinformatie naar Adobe terug te sturen. Beveiligingsexperts waarschuwen systeembeheerders dan ook om actie te ondernemen en ervoor te zorgen dat de Chrome-extensie niet geïnstalleerd wordt. Meer dan 10 miljoen gebruikers hebben de extensie echter al geïnstalleerd, zo blijkt uit cijfers van Google. bron: security.nl

Microsoft gaat Windows 10 van nieuwe privacyinstellingen voorzien die gebruikers meer controle moeten geven over de gegevens die het besturingssysteem verzamelt. Afhankelijk van de gekozen instelling zal Windows 10 ook minder data gaan verzamelen, zo heeft Microsoft bekendgemaakt. Volgens de softwaregigant komt het hiermee tegemoet aan "feedback" van gebruikers. Al sinds de lancering krijgt Windows 10 felle kritiek wegens de standaardinstellingen en gegevens die worden verzameld. In de volgende grote Windows-update voert Microsoft verschillende aanpassingen door. Zo zal de "Express-instelling" bij het installeren van Windows 10 worden vervangen door een nieuwe "installatie-ervaring" waarbij de gebruiker al de belangrijkste instellingen kan kiezen. Verder wordt ook het verzamelen van gegevens in Windows 10 aangepast. Voorheen gebruikte Microsoft hiervoor drie niveaus, dat worden er nu twee, namelijk Basic en Full. Op het Basic-niveau worden daarnaast minder gegevens verzameld. Naast de nieuwe privacyinstellingen voor Windows 10 heeft Microsoft ook een privacydashboard gelanceerd voor internetgebruikers met een Microsoft-account. Via dit dashboard kunnen gebruikers "activiteitsgegevens" beheren die door verschillende Microsoft-diensten worden gebruikt, zoals locatiegegevens, zoekopdrachten, surfgeschiedenis en Cortana-gegevens. Het dashboard is nu al beschikbaar. De nieuwe privacyinstellingen voor Windows 10 verschijnen met de Creators Update die mogelijk in april van dit jaar verschijnt. bron: security.nl

Adobe heeft vandaag beveiligingsupdates uitgebracht die meerdere ernstige beveiligingslekken in Flash Player, Acrobat en Adobe Reader verhelpen. Via de kwetsbaarheden kon een aanvaller in het ergste geval het onderliggende systeem volledig overnemen. In het geval van Flash Player was het bezoeken van een gehackte of kwaadaardige website, het te zien krijgen van een besmette advertentie of het openen van een Office-document met een embedded Flash-object voldoende. De beveiligingsupdate voor Flash Player lost in totaal 13 kwetsbaarheden op waarvan er 12 een aanvaller willekeurige code op het systeem lieten uitvoeren. Het dertiende beveiligingslek maakte het voor een aanvaller mogelijk om informatie te achterhalen. Voor zover bekend zijn nog geen van de kwetsbaarheden in het wild aangevallen. Adobe adviseert gebruikers om binnen 72 uur naar Flash Player versie 24.0.0.194 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. Adobe Reader In Adobe Reader en Acrobat zijn in totaal 29 kwetsbaarheden verholpen, waarvan er 28 als ernstig zijn aangemerkt. Via deze beveiligingslekken kon een aanvaller, als er een kwaadaardig pdf-document werd geopend, willekeurige code uitvoeren. De resterende kwetsbaarheid maakte het mogelijk om de beveiliging van de pdf-lezers te omzeilen. Gebruikers krijgen het advies om naar Acrobat DC of Acrobat Reader versie 15.023.20053, Acrobat DC of Acrobat Reader DC Classic versie 15.006.30279 of Acrobat XI of Adobe Reader XI versie 11.0.19 te updaten. Dit kan via de automatische updatefunctie van de pdf-lezer of de website van Adobe. bron: security.nl

De Duitse geheime dienst wil kunnen terugslaan bij cyberaanvallen, zoals het verwijderen van gestolen data op servers die de aanvallers gebruiken of het uitschakelen van systemen. Dat laat Hans-Georg Maassen, hoofd van de Duitse binnenlandse veiligheidsdienst BfV tegenover het persbureau dpa weten. "We denken dat het noodzakelijk is om niet alleen defensief bezig te zijn, maar de vijand ook te kunnen aanvallen zodat hij stopt met verdere aanvallen tegen ons." Eerder opperde de Duitse minister van Binnenlandse Zaken al dat Duitse diensten de bevoegdheid moeten krijgen om cyberaanvallen actief te kunnen bestrijden. Maassen is het hiermee eens. Op dit moment kan de BfV gegevens die zijn gestolen en door de aanvallers op een server worden bewaard niet verwijderen. "Er is dus een groot risico dat naast de aanvaller derde partijen deze gegevens kunnen benaderen", merkt Maassen op. In dit geval zouden de Duitse autoriteiten over de juridische autoriteit moeten beschikken om de gegevens te verwijderen. Verder pleit het hoofd van de Duitse binnenlandse veiligheidsdienst ook voor wetgeving om systemen uit te schakelen die een serieuze bedreiging voor de cyberveiligheid vormen. bron: security.nl

Een database met de gegevens van 3,3 miljoen Hello Kitty-fans die eind 2015 onbeveiligd op internet werd aangetroffen blijkt toch te zijn gestolen en is nu online verschenen. De database bevatte allerlei persoonlijke gegevens, waaronder de data van 186.000 kinderen, en was voor iedereen toegankelijk. Het bleek om een onbeveiligde MongoDB-database te gaan. Een probleem dat op dit moment ook nog steeds speelt. Het Japanse bedrijf Sanrio, dat eigenaar van Hello Kitty is, stelde dat het om een misconfiguratie van de databaseserver ging en had na de publicatie door de beveiligingsonderzoeker het probleem opgelost. Ook liet het bedrijf weten dat er geen aanwijzingen waren dat de gegevens waren gestolen. Dat lijkt nu toch het geval te zijn, want de website LeakedSource heeft de gegevens van 3,3 miljoen Hello Kitty-fans aan de eigen database van datalekken toegevoegd. Het gaat om voor- en achternaam, geboortedatum, geslacht, nationaliteit, e-mailadres, gebruikersnaam, een met sha-1 gehasht wachtwoord en een geheime vraag en antwoord, zo meldt CSO Online. Ten tijde van het datalek adviseerde Sanrio gebruikers om hun wachtwoord aan te passen, alsmede op andere websites waar ze hetzelfde wachtwoord gebruikten. Het is echter onbekend hoeveel gebruikers het advies hebben opgevolgd. bron: security.nl

Een coalitie van Amerikaanse techbedrijven, waaronder Apple en Google, steunen de strijd van Facebook tegen de zwijgbevelen die de Amerikaanse overheid aan techbedrijven oplegt als er data van gebruikers worden opgevraagd. In deze gevallen mogen de techbedrijven hun gebruikers hier niet over inlichten. Facebook spande tegen deze zwijgbevelen en een huiszoekingsbevel waarmee de gegevens van bijna 400 Facebookgebruikers worden opgevraagd een rechtszaak aan. De sociale netwerksite wordt gesteund door een coalitie van techbedrijven die een 'amicus curiae brief' naar de rechter hebben gestuurd. Amicus curiae, wat staat voor 'vrienden van de rechtbank', betreft organisaties en personen die geen partij zijn in een zaak, maar gevraagd of ongevraagd hun mening of advies over een zaak aan de rechtbank geven. "In dit geval stelt de overheid dat Facebook geen juridisch recht heeft om zelfs de reikwijdte van het bevel of de legitimiteit hiervan aan te vechten, en een lagere rechtbank is hiermee akkoord gegaan. Dit zou inhouden dat bedrijven zoals Mozilla onrechtmatige bevelen niet kan aanvechten. En omdat zwijgbevelen ervoor zorgen dat wij gebruikers niet kunnen waarschuwen, kunnen ook deze gebruikers ze niet aanvechten. Onrechtmatige bevelen worden nooit openbaar of zichtbaar voor gebruikers. Dit is verbijsterend en onacceptabel", aldus Mozilla's Denelle Dixon-Thayer. Ze zegt dat Mozilla nog geen zwijgbevel heeft ontvangen waardoor het gebruikers niet mag informeren over een overheidsverzoek om hun gegevens. Toch hekelt Mozilla deze werkwijze van de Amerikaanse overheid. Eerder had de opensource-ontwikkelaar al aangegeven om zich tegen te brede dataverzoeken te gaan verzetten. Zo steunden Mozilla en andere techbedrijven in september vorig jaar ook een rechtszaak van Microsoft tegen de zwijgbevelen van de Amerikaanse overheid. bron: security.nl

Microsoft heeft een nieuwe testversie van Windows 10 uitgerold waarin Edge standaard Flash Player blokkeert en pas via een extra muisklik zal inschakelen. Volgens de softwaregigant moet dit de veiligheid, stabiliteit en prestaties van de browser verbeteren. Vorige maand kondigde Microsoft al aan dat Edge standaard Flash Player gaat blokkeren. Op websites die html5 ondersteunen zal Flash Player niet meer geladen worden. In het geval een website nog wel van Flash afhankelijk is krijgen gebruikers een melding te zien of ze Adobe Flash-content willen uitvoeren of niet. Microsoft hanteert een whitelist van populaire websites waarvoor het nieuwe beleid niet meteen zal gelden. Wanneer de maatregel in de definitieve versie van Windows 10 wordt doorgevoerd is nog onduidelijk. Microsoft zegt dat het de komende testversies de melding aan gebruikers om Flash Player in te schakelen verder wil verbeteren. De optie is nu al te testen in Windows 10 Insider Preview Build 15002. bron: security.nl

In 2016 jaar is het fundament voor een volledig versleuteld web gelegd, zo stelt Let's Encrypt, een initiatief van de Internet Security Research Group (ISRG) dat wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van ssl-certificaten zo eenvoudig mogelijk te maken. Sinds de lancering ruim een jaar geleden heeft Let's Encrypt 21,7 miljoen certificaten uitgegeven die worden gebruikt om het verkeer van en naar zo'n 24 miljoen websites te versleutelen. Begin vorig jaar was het rootcertificaat van Let's Encrypt nog niet door grote rootprogramma's geaccepteerd. Dit is nodig om ervoor te zorgen dat uitgegeven ssl-certificaten automatisch door browsers worden herkend. Inmiddels is het rootcertificaat van Let's Encrypt door Apple, Google en Mozilla geaccepteerd. "En we zullen binnenkort de acceptatie door een ander groot rootprogramma aankondigen. Dit zijn belangrijke stappen om als een onafhankelijke certificaatautoriteit te kunnen werken", zegt Josh Aas, directeur van het ISRG in een terugblik op 2016 en vooruitblik op dit jaar. Voor 2017 verwacht Aas een nog grotere groei. "Het fundament voor een volledig versleuteld web is dit jaar gelegd." Zo zijn er steeds meer hostingproviders die hun klanten eenvoudig https laten inschakelen. Daarnaast zijn browserfabrikanten bezig om allerlei aanpassingen aan de interface van hun browser door te voeren om gebruikers voor onversleutelde http-websites te waarschuwen. Zo toont Google Chrome nu bij https-websites het label "veilig" en wil de internetgigant in de toekomst http-websites standaard als "onveilig" bestempelen. bron: security.nl

Richard Stallman, oprichter van de Free Software Foundation en de man achter het GNU Project, claimt dat Windows een universele backdoor bevat. Hij doelt daarmee op de automatische updatefuntie. Op zijn eigen website geeft Stallman regelmatig kritiek op grote bedrijven zoals Apple, Google en Facebook. In korte artikelen geeft hij redenen waarom deze bedrijven vermeden moeten worden. Microsoft is het laatste bedrijf dat Stallman op de korrel neemt. In totaal geeft hij zes redenen waarom producten van Microsoft niet moeten worden gebruikt. "Microsofts grootste fout is het verspreiden van een niet-vrij besturingssysteem, Windows. Dat systeem zit boordevol kwaadaardige functionaliteit, zoals surveillance van gebruikers, DRM, censuur en een universele backdoor", aldus Stallman. Hij wijst daarbij naar een link op GNU.org waar staat dat de software van Microsoft malware is. Zo heeft Microsoft de eigen schijfversleuteling van een backdoor voorzien, laat Stallman weten. Hij wijst naar een artikel van The Intercept dat Windows 10 de herstelsleutel van versleutelde systemen in de cloud bewaart als gebruikers met hun Microsoft-account inloggen. Ook heeft Stallman kritiek op de automatische updatefunctie. Volgens de softwareactivist is dit een universele backdoor waarmee Microsoft allerlei veranderingen bij gebruikers kan doorvoeren. "In Windows 10 is de universele backdoor niet eens meer verborgen. Alle "upgrades" worden meteen opgedrongen", aldus Stallman. Verder hekelt hij de manier waarop Microsoft Windows 10 verspreidde en dat het bedrijf fabrikanten onder druk zou zetten om bij elke verkochte computer voor een Windowslicentie te betalen. bron: security.nl

Wifi-versterkers van fabrikant Edimax die ook in Nederland worden verkocht bevatten verschillende kwetsbaarheden waardoor ze het opgeslagen wifi-wachtwoord kunnen lekken, zo waarschuwen beveiligingsonderzoekers. Het gaat om de Edimax Wi-Fi Extender EW-7438RPn Mini en de EW-7238RPD. Een aanvaller die het slachtoffer naar een kwaadaardige website weet te lokken kan het wachtwoord stelen. Voorwaarde is wel dat gebruikers het wachtwoord van de wifi-versterker in hun browser hebben opgeslagen. Dat laat het Britse beveiligingsbedrijf Pen Test Partners weten. Voor het uitvoeren van de aanval maakten de onderzoekers van verschillende kwetsbaarheden gebruik, zoals cross-site scripting (xss) en cross-site request forgery (xsrf). Edimax heeft geen maatregelen genomen om deze kwetsbaarheden tegen te gaan. De onderzoekers adviseren de fabrikant dan ook om maatregelen tegen xsrf en xss te nemen. Daarnaast moet het wachtwoord niet in de webinterface worden getoond, zo stellen ze. "En zorg ervoor dat cryptografisch gesigneerde updates automatisch worden gedownload en geïnstalleerd", aldus de oproep van de onderzoekers aan Edimax en andere fabrikanten. Edimax werd eind augustus vorig jaar over de problemen ingelicht, maar de onderzoekers hebben nooit een reactie ontvangen of en wanneer een update gereed zou zijn. bron: security.nl

Ontwikkelaar van databasesoftware MongoDB heeft beheerders en gebruikers gewaarschuwd voor aanvallers die databases voor losgeld gijzelen. De afgelopen dagen hebben verschillende groepen aanvallers meer dan 11.000 databases van websites en organisaties gegijzeld. MongoDB is een opensource NoSQL-database die door allerlei organisaties en websites wordt gebruikt. Veel van deze databases zijn zonder wachtwoord benaderbaar. De aanvallers kunnen zo de inhoud van de database kopiëren en die vervolgens in de originele database vervangen door een boodschap dat er betaald moet worden om de kopie terug te krijgen. Het gaat om bedragen van tussen de 0,1 en 0,5 bitcoin, wat met de huidige wisselkoers 90 tot 450 euro is. Onderzoeker Niall Merrigan heeft op Google Docs een overzicht van de verschillende groepen aanvallers en het aantal slachtoffers geplaatst. Inmiddels zijn 11.397 databases gehackt. In de waarschuwing laat MongoDB weten dat deze aanvallen zijn te voorkomen door beschikbare beveiligingsmaatregelen in te schakelen. Verder worden tips gegeven om MongoDB-installaties te beveiligen en krijgen slachtoffers van een gegijzelde database advies. Andreas Nilsson van MongoDB laat getroffen organisaties ook weten dat ze ervan moeten uitgaan dat de aanvaller alle gegevens in de aangevallen databases heeft gekopieerd en interne procedures voor een datalek moeten worden gevolgd. John Matherly van de zoekmachine Shodan maakte eind december nog bekend dat er meer dan 60.000 MongoDB-servers op internet voor iedereen toegankelijk zijn en 70 procent geen authenticatie vereist. Het gaat bij elkaar om 364 terabyte aan publiek toegankelijke data. bron: security.nl

Internetgebruikers zijn op allerlei manieren te volgen, van hun ip-adres en cookies tot de fonts die ze geïnstalleerd hebben. Aanleiding voor Mozilla om in een nieuwe Firefox-versie bescherming tegen 'font fingerprinting' toe te voegen, maar gebruikers moeten die wel zelf inschakelen. Onderzoekers lieten vorig jaar al zien (pdf) dat internetgebruikers aan de hand van hun fonts zijn te volgen. Iets wat ook via een website als Panopticlick wordt gedemonstreerd. De browser geeft deze informatie namelijk door en maakt het mogelijk voor websites en trackers om een unieke "vingerafdruk" te ontwikkelen. Vanwege het risico besloten de ontwikkelaars van Tor Browser, dat op Firefox is gebaseerd, vorig jaar al bescherming tegen font fingerprinting toe te voegen. In Tor Browser staat deze maatregel standaard ingeschakeld. In januari vorig jaar werd het privacyrisico van font fingerprinting ook al bij Mozilla aangekaart. Het heeft even geduurd, maar ook Firefox zal een dergelijke beschermingsmaatregel krijgen. Gebruikers krijgen straks de optie om zelf te bepalen welke fonts aan een website of tracker bekend worden gemaakt. Vanaf Firefox 52, gepland voor maart 2017, zal de optie aanwezig zijn. Gebruikers moeten die nog wel zelf inschakelen, zo ontdekte blogger Soeren Hentzschel. bron: security.nl

Een blauw scherm met een foutcode was jarenlang de manier waarop Windows aan gebruikers communiceerde dat er een fatale systeemfout had plaatsgevonden en de computer opnieuw moest worden gestart, maar de blauwe kleur wordt mogelijk in de toekomst door groen vervangen. In de nieuwste testversie van Windows 10 laat Microsoft namelijk in plaats van een Blue Screen of Death (BSod) een groene variant zien. Microsofts Matthijs Hoekstra, senior program manager voor het Windows Enterprise Developer Platform, hintte op Twitter op de nieuwe kleur. Een gebruiker ontdekte uiteindelijk het nieuwe kleurenschema en maakte er een screenshot van. Waarom Microsoft voor groen heeft gekozen is onbekend. Hoewel Hoekstra de nieuwe "feature" in de testversie van Windows 10 onder de aandacht bracht heeft ook hij geen verklaring. bron: security.nl

Mozilla heeft een nieuwe versie van het e-mailprogramma Thunderbird uitgebracht die meerdere kwetsbaarheden verhelpt. Het gaat in totaal om acht lekken waarvan er twee als ernstig zijn aangemerkt. Een aanvaller zou deze lekken kunnen gebruiken om willekeurige code op het systeem uit te voeren. Volgens Mozilla zijn deze kwetsbaarheden in het algemeen niet via e-mail uit te buiten, aangezien scripts tijdens het lezen van e-mails staan uitgeschakeld. Het grootste risico doet zich dan ook voor in een "browser of browser-achtige context". Gebruikers krijgen het advies om naar Thunderbird 45.6 te upgraden. Dit kan via de updatefunctie en normaliter ook via Mozilla.org. Op het moment van schrijven wordt via Mozilla.org nog Thunderbird 45.5.1 aangeboden. Ook in de release notes is de nieuwe versie nog niet te vinden bron: security.nl

Google heeft eigenaren van websites gewaarschuwd die gebruikers via het onbeveiligde http laten inloggen of creditcardbetalingen laten uitvoeren. Eind januari zal Chrome 56 deze websites namelijk als onveilig gaan bestempelen. Via de Google Search Console worden webmasters nu gewaarschuwd. Dit is een dienst van Google waarmee webmasters kunnen zien hoe hun website wordt geïndexeerd en hoe goed zichtbaar die is. Webmasters die hun website voor deze dienst hebben opgegeven krijgen nu een bericht als ze onbeveiligde webpagina's aanbieden waar gebruikers hun wachtwoord of creditcardgegevens kunnen invoeren. Vervolgens worden tips gegeven hoe het probleem kan worden opgelost, laat Search Engine Land weten. Volgens Google is de maatregel onderdeel van een plan om uiteindelijk alle http-websites op internet als onveilig te bestempelen. "Het inschakelen van https op je gehele website is belangrijk, maar als je website wachtwoorden, betaalgegevens of andere persoonlijke informatie verzamelt, is het essentieel om https te gebruiken. Zonder https kunnen kwaadwillenden deze vertrouwelijke gegevens stelen", waarschuwt Google webmasters via Google Plus. bron: security.nl

Een beveiligingsupdate die deze week verscheen voor een ernstig beveiligingslek in PHPMailer blijkt niet afdoende te zijn, waardoor nog steeds miljoenen websites risico lopen. PHPMailer is een programma dat e-mailfunctionaliteit aan websites toevoegt, bijvoorbeeld voor het achterlaten van feedback. Volgens de ontwikkelaars heeft de software naar schatting 9 miljoen gebruikers. Onder andere WordPress, Drupal, SugarCRM en Joomla maken er gebruik van, zo meldt het Nationaal Cyber Security Center (NCSC). Deze week verscheen er een beveiligingsupdate voor een kwetsbaarheid (CVE-2016-10033) waardoor een aanvaller op afstand code met de rechten van de webserver kon uitvoeren. De update, met versienummer 5.2.18, blijkt het probleem echter niet volledig te verhelpen, meldt beveiligingsonderzoeker Dawid Golunski. Hij ontdekte ook het lek en de mogelijkheid om de update te omzeilen. Op tweede kerstdag waarschuwde hij de ontwikkelaars voor het nieuwe probleem, dat als CVE-2016-10045 wordt aangeduid. De ontwikkelaars zouden inmiddels aan een beveiligingsupdate werken die binnenkort zal verschijnen, meldt Golunski op de Full Disclosure-mailinglist. De onderzoeker besloot de details echter al openbaar te maken omdat er op een andere mailinglist al een manier werd besproken om de update voor CVE-2016-10033 te omzeilen. "Het achterhouden van de advisory zou dan ook geen zin hebben", laat Golunski weten. bron: security.nl

Netwerkfabrikant Zyxel zou verschillende beveiligingslekken in routers negeren waardoor gebruikers risico lopen, zo claimt beveiligingsbedrijf Beyond Security. Het gaat om vier kwetsbaarheden en verschillende standaardaccounts in routers die Zyxel voor een Thaise internetprovider aanpaste. De routers in kwestie zijn aangepaste versies van de P660HN. Dit model werd ook in Nederland aangeboden. Via de beveiligingslekken kan een aanvaller zonder inloggegevens commando's op de router uitvoeren. Zyxel werd in juli van dit jaar over de problemen ingelicht, maar ondanks herhaaldelijke pogingen heeft de fabrikant nog altijd niet gereageerd en zijn er geen beveiligingsupdates beschikbaar. Onlangs kwam ook fabrikant Netgear negatief in het nieuws omdat het niet op de meldingen van een beveiligingsonderzoeker reageerde over een lek in de WNR2000-router. Ook wilde het bedrijf niet met het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit samenwerken, dat vaak voor partijen kwetsbaarheden coördineert. Nadat het nieuws bekend werd liet Netgear weten aan een beveiligingsupdate te werken, waarvan inmiddels een betaversie is verschenen. bron: security.nl

Het gebruik van macro's in Word-documenten is nog altijd een populaire methode voor internetcriminelen om computers met malware te infecteren, maar het aanpassen van de Windows Firewall kan dergelijke besmettingen voorkomen, zo meldt Tom Webb, vrijwilliger bij het Internet Storm Center (ISC). In veel gevallen bevat het Word-document zelf niet de malware, maar zal de macro die op de computer downloaden en uitvoeren. Dit gebeurt regelmatig via een PowerShell-script. Via de standaard in Windows ingebouwde firewall is het echter mogelijk om alle netwerkverbindingen voor Powershell te blokkeren. Zelfs als een gebruik in dit geval het Word-document opent en de macro's inschakelt zal er geen malware op het systeem worden gedownload, aldus Webb. Hij merkt op dat een dergelijke blokkade ook voor wscript en cscript zou moeten werken. bron: security.nl

Netgear heeft beveiligingsupdates uitgebracht voor een ernstig beveiligingslek in 11 type routers dat op 9 december bekend werd gemaakt. Via de kwetsbaarheid kan een aanvaller op afstand de router overnemen als een gebruiker een kwaadaardige pagina opent. In eerste instantie werd gemeld dat het probleem alleen in de R7000- en R6400-routers aanwezig was. Later bleken veel meer modellen kwetsbaar te zijn. Inmiddels heeft Netgear ook een model van deze lijst verwijderd. Het gaat om de D7000. Netgear had eerst nog gezegd dat dit model wel kwetsbaar was, maar dat blijkt na testen toch niet zo te zijn. De afgelopen dagen verscheen voor alle elf kwetsbare routers al een betaversie van de firmware die het probleem oplost. Nu is er voor alle kwetsbare modellen een definitieve firmware-update beschikbaar. Gebruikers krijgen het advies die zo snel als mogelijk te installeren. Het gaat om de Netgear R6250, R6400, R6700, R6900, R7000, R7100LG, R7300DST, R7900, R8000, D6220 en D6400. Na nieuws over deze kwetsbaarheid bleek er ook een beveiligingslek in de Netgear WNR2000-router aanwezig te zijn. Voor dit model is er nu een betaversie van de firmware uitgekomen waarmee het beveiligingslek wordt gedicht. bron: security.nl