Captain Kirk

Het Japanse anti-virusbedrijf Trend Mico waarschuwt voor een nieuw en kritiek lek in Java waar nog geen update van Oracle voor beschikbaar is en dat bij aanvallen tegen een Amerikaanse defensieorganisatie en NAVO-lid is ingezet. Volgens de virusbestrijder gaat het om gerichte aanvallen. Dat zou inhouden dat de kwetsbaarheid nog niet op grote schaal wordt gebruikt om thuisgebruikers met malware te infecteren. Voor het aanvallen van de doelwitten gebruiken de aanvallers e-mails met daarin een link. De links die de aanvallers gebruiken lijken op de links die eerder bij aanvallen tegen NAVO-leden en het Witte Huis werden ingezet, zo stelt analist Brooks Li. In dit geval werden de links aangetroffen in de e-mails naar een Amerikaanse defensieorganisatie en een specifiek NAVO-lid, maar om wie het precies gaat wil het anti-virusbedrijf niet zeggen. De link wijst naar een pagina die van het Java-lek gebruik probeert te maken. In het geval de aanval succesvol is wordt er malware op de computer geplaatst. KwetsbaarDe kwetsbaarheid is aanwezig in de meest recente Oracle Java-versie, namelijk Java 8 update 45. Oudere versies van Java, namelijk 6 en 7, zijn niet kwetsbaar. Oracle zou inmiddels zijn ingelicht. In afwachting van een update kunnen gebruikers Java in hun browser uitschakelen of van het systeem verwijderen. Een aantal jaren geleden werden er regelmatig zogeheten zero day-lekken in Java aangetroffen en aangevallen waarvoor geen update beschikbaar was. Volgens Trend Micro is het bijna twee jaar sinds de laatste zero day in Java werd gemeld. bron: security.nl

Naast cybercriminelen maken inmiddels ook verschillende groepen die zich met cyberspionage bezighouden gebruik van het beveiligingslek in Adobe Flash Player waarvoor deze week een patch verscheen. Het gaat om de kwetsbaarheid waar het Italiaanse HackingTeam over beschikte. Een hacker die bij het bedrijf wist in te breken maakte 400GB aan data buit en zette die online. In de bestanden werd het Flash Player-lek gevonden en een exploit die ervan gebruik maakt. De exploit werd al snel aan exploitkits voor cybercriminelen toegevoegd en is inmiddels ook in het programma Metasploit opgenomen. Nu melden anti-virusbedrijf ESET en beveiligingsbedrijf Volexity dat zogeheten APT-groepen de exploit bij gerichte aanvallen inzetten. Het gaat dan vooral om aanvallen via e-mail. De aanval waar Volexity voor waarschuwt bestaat uit een e-mail die zich voordoet als een bericht van Adobe. In het bericht worden gebruikers opgeroepen om Flash Player via de meegestuurde link te updaten. De link wijst niet naar de website van Adobe, maar naar een pagina die het deze week gepatchte Flash-lek probeert aan te vallen. Is de aanval succesvol, dan wordt er malware op de computer geïnstalleerd waarmee de aanvallers volledige toegang tot en controle over de computer hebben. Tweede aanvalOok in het geval van de aanval die ESET meldt wordt er gebruik van e-mail gemaakt om slachtoffers naar een kwaadaardige website te lokken. De link in de e-mail wijst naar een landingspagina die allerlei gegevens over de computer verzamelt. In het geval de computer aan bepaalde eisen voldoet, zoals taal en tijdszone, wordt de exploit geladen. Wederom gaat het om de exploit die gebaseerd is op de code van het Italiaanse HackingTeam. Als de aanval slaagt, dan wordt er een backdoor geïnstalleerd. Deze backdoor maakt ook gebruik van een andere exploit waar HackingTeam over beschikte en waarmee het voor een aanvaller mogelijk is om zijn rechten op Windows te verhogen. Voor deze Windows-kwetsbaarheid, die alleen kan worden aangevallen als de aanvaller al toegang tot het systeem heeft, is nog geen update beschikbaar. bron: security.nl

Zowel private als publieke organisaties die persoonsgegevens verwerken zijn vanaf 1 januari 2016 verplicht om beveiligingsincidenten te melden die bijvoorbeeld leiden tot diefstal, verlies of misbruik van persoonsgegevens. Zo heeft de overheid vandaag via het Staatsblad bekendgemaakt. De meldplicht datalekken wordt daarmee uitgebreid, aangezien die op dit moment alleen voor aanbieders van elektronische communicatienetwerken en -diensten geldt. Volgens de Rijksoverheid moet de meldplicht voor een betere bescherming van persoonsgegevens zorgen. Boetebevoegdheid CBPVerder kan het College bescherming persoonsgegevens (CBP) vanaf volgend jaar in meer gevallen een bestuurlijke boete opleggen aan overtreders van privacyregels. Het CBP mag nu alleen een bestuurlijke boete opleggen bij een overtreding van een administratief voorschrift, bijvoorbeeld de verplichting om de verwerking van persoonsgegevens te melden. Vanaf 1 januari is dat ook mogelijk bij schending van meer algemene verplichtingen die de wet stelt aan het gebruik en verwerken van persoonsgegevens. Bijvoorbeeld als persoonsgegevens niet op een behoorlijke en zorgvuldige manier zijn verwerkt of langer worden bewaard dan noodzakelijk is, maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is georganiseerd of gevoelige informatie over burgers zoals hun politieke voorkeur of levensovertuiging is misbruikt. bron: security.nl

Ha, daar zeg je wat. Beetje wijzen naar de ander is altijd makkelijk. Maar tegelijk ook slordig wanneer je pocht de consument te willen helpen en zelf het in leven houdt. En deze opmerking is dan wel helemaal mooi: "Volgens Deborah Salmi van Avast worden de toolbars vaak via gratis programma's geïnstalleerd. De meeste keren kunnen gebruikers ervoor kiezen de toolbar niet te installeren. Standaard staat echter ingesteld dat dit wel gebeurt en veel gebruikers klikken de installatieschermen door zonder te lezen en zitten zo vervolgens met een toolbar opgescheept, aldus Salmi. Ze adviseert gebruikers dan ook om goed alle schermen te bekijken en niet zomaar verder te klikken."

Het aantal spamberichten dat Gmail-gebruikers ontvangen is zeer klein, toch wil Google dit percentage verder naar beneden brengen, wat het via een slimmer spamfilter wil bereiken, zo laat de internetgigant weten. Ondanks dat minder dan 0,1% van de gemiddelde inbox uit spam bestaat en minder dan 0,05% van de legitieme berichten in de spamfolder terechtkomt, is de spamdetectie van Gmail niet perfect, zegt productmanager Sri Harsha Somanchi. Om te voorkomen dat legitieme e-mails in de spamfolder belanden heeft Google nu de Gmail Postmasters Tools gelanceerd. Via deze tool kunnen bedrijven en partijen die grote hoeveelheden e-mails versturen spammeldingen, fouten en hun reputatie analyseren, wat kan helpen om problemen, zoals een onterechte detectie van e-mail als spam, te voorkomen. Neuraal netwerkAan de andere kant wil Google dat meer echte spamberichten gericht aan Gmail-gebruikers worden gestopt. "Het uiteindelijke doel is een spamvrije Gmail-ervaring", aldus Somanchi. De intelligentie die de internetgigant voor Google Search en Google Now ontwikkelde wordt nu ook gebruikt om het spamfilter van Gmail slimmer te maken. Zo maakt het filter gebruik van een kunstmatig neuraal netwerk om geraffineerde spamberichten die erg op legitieme berichten lijken toch te detecteren. Verder moet machinaal leren ervoor zorgen dat het spamfilter individuele voorkeuren met betrekking tot legitieme e-mails en spamberichten kan herkennen. De ene gebruiker kan een nieuwsbrief als spam beschouwen, terwijl de volgende gebruiker die graag wil ontvangen. Verder is het spamfilter nu beter in staat om phishingscams te herkennen. Het gaat dan vooral om e-mails die van een bepaald adres afkomstig lijken te zijn, terwijl dit niet het geval is. Wederom zou het filter dankzij machinaal leren nu kunnen bepalen of een bericht echt afkomstig is van de afzender en zo e-mails van gespoofte e-mailadressen stoppen. bron: security.nl

Een kwetsbaarheid in de populaire online wachtwoordmanager LastPass maakt het mogelijk voor kwaadwillenden om wachtwoorden te stelen. Het probleem was aanwezig in LastPass voor Google Chrome en Internet Explorer, maar is daar opgelost. Alleen de Firefox-versie is op dit moment nog lek. LastPass is een populaire clouddienst waar gebruikers hun wachtwoorden voor allerlei websites en diensten in een "kluis" kunnen opslaan. De software komt in de vorm van een add-on voor de browser. Beveiligingsonderzoeker Matthew Bryant ontdekte dat de browseruitbreiding kwetsbaar is voor clickjacking. Hierbij kunnen aanvallers de "click" van een gebruiker kapen en voor andere doelen gebruiken. Een kwaadaardige website kan het venster voor het automatisch invullen van wachtwoorden van een "overlay" voorzien en zo het wachtwoord van gebruikers stelen als die kunnen worden verleid om hun wachtwoord te kopiëren en te plakken. De aanval werkt alleen op websites die geen gebruik van de X-Frame-Options header maken. Deze header kan worden gebruikt om te bepalen of een browser een pagina in een frame, iframe of object mag weergeven. Websites kunnen de header gebruiken om te voorkomen dat hun content op andere websites wordt embedded, en zo clickjacking-aanvallen voorkomen. WaarschuwingBryant waarschuwde LastPass op 3 april van dit jaar. Op 22 april werd de Chrome-versie van LastPass gepatcht. Uiteindelijk verscheen er ook een update voor de IE-versie. Hoewel de LastPass-ontwikkelaars ook een patch voor de Firefox-versie ontwikkelden en deze aan Mozilla voorlegden, is de patch nog altijd niet door Mozilla gecontroleerd. Iets dat volgens Bryant het engste aan dit lek is. "Het is zorgwekkend dat beveiligingsupdates voor Mozilla add-ons maanden nodig hebben om de gebruiker te bereiken. Het heeft zeker mijn visie op Firefox vanuit een beveiligingsperspectief veranderd", zo merkt hij op. Ter demonstratie maakte de onderzoeker onderstaande video. De kritiek van Bryant lijkt bij nader inzien ongegrond, aangezien er op 24 april van dit jaar een update voor de Firefox-versie verscheen waarin er maatregelen zijn genomen om de aanval die de onderzoeker beschrijft te voorkomen. We hebben Bryant om een reactie gevraagd of het probleem inderdaad in deze versie, met het nummer 3.1.95, is verholpen. Bryant stelt in een reactie aan Security.NL dat de versie die LastPass op de eigen website aanbiedt is gepatcht, maar dat de versie die via addons.mozilla.org wordt aangeboden nog steeds kwetsbaar is. Gebruikers zouden dan ook handmatig de nieuwe versie moeten installeren om beschermd te zijn. Bryant stelt dat Mozilla de Firefox-versie uiteindelijk 6 juli goedkeurde, nadat hij op 1 juli zijn onthulling en kritiek op het trage goedkeuringsproces had geopenbaard. Daarnaast staat erin de logs ten onrechte dat de versie sinds 24 april beschikbaar zou zijn, terwijl eind juni nog steeds de kwetsbare versie werd aangeboden. bron: security.nl

Google heeft door optreden van het College bescherming persoonsgegevens (CBP) de informatie in het privacybeleid aangepast en is een privacycampagne gestart. Het CBP had de internetgigant een last onder dwangsom opgelegd wegens het nieuwe privacybeleid, die kon oplopen tot 15 miljoen euro. Uit eerder gepubliceerd onderzoek van het CBP bleek dat Google persoonsgegevens van internetgebruikers combineert, onder meer voor het tonen van gepersonaliseerde advertenties. Dit gebeurde zonder dat Google internetgebruikers hierover vooraf goed informeerde en zonder dat het bedrijf hiervoor toestemming vroeg. Dat is in strijd met de wet. Het gaat niet alleen om mensen die zijn ingelogd op een Google-account, maar ook om mensen die de zoekmachine gebruiken en mensen die een website bezoeken waarop cookies van Google worden geplaatst en gelezen. Gegevens over bijvoorbeeld zoekopdrachten, locatiedata, bekeken video’s en e-mails kunnen met elkaar worden gecombineerd, terwijl dat bovendien diensten en gegevens zijn die heel verschillende doelen dienen. MaatregelenHet CBP legde Google eerder een last onder dwangsom op die kon oplopen tot 15 miljoen euro. Google heeft inmiddels een aantal van de vereiste maatregelen getroffen. Zo heeft Google de informatie in zijn privacybeleid aangepast en maakt Google duidelijk dat YouTube een Google-dienst is. Verder vraagt Google nieuwe gebruikers die een Google-account aanmaken nu om toestemming voor het combineren van hun persoonsgegevens. Google maakte wel bezwaar tegen de dwangsom, wat er uiteindelijk voor heeft gezorgd dat het CBP de termijn heeft verlengd waarbinnen Google ondubbelzinnige toestemming van al zijn gebruikers moet krijgen voor het combineren van hun persoonsgegevens. De internetgigant heeft nu tot eind december de tijd om dit regelen. In het geval dit niet gebeurt kan het CBP een dwangsom van maximaal 5 miljoen euro opleggen. bron: security.nl

Het op grote schaal uitrollen van Adblock Plus binnen organisaties, bedrijven en instellingen kan veel bandbreedte besparen, zo hebben studenten ontdekt. Adblock Plus (ABP) is de populairste add-on voor browsers en wordt door tientallen miljoenen mensen gebruikt om advertenties te blokkeren. De ontwikkelaars van Adblock Plus zijn al enige tijd bezig met een project dat ze gekscherend Large Scale Deployment (LSD) hebben genoemd. Het idee is om ABP gereed voor ondernemingen te maken die hun netwerk tegen besmette advertenties willen beschermen en bandbreedte willen besparen. Studenten van de Simon Fraser Universiteit in British Columbia besloten de browserextensie op een deel van het universiteitsnetwerk uit te rollen. Vervolgens werd het netwerkverkeer van de computers met Adblock Plus en van de computers zonder Adblock Plus gemeten, waarbij studenten die aan het onderzoek deelnamen instructies kregen om een aantal websites te bezoeken. De websites moesten voor een periode van 5 tot 15 minuten worden bezocht. Vervolgens werd de hoeveelheid verbruikt dataverkeer in kaart gebracht. Door het gebruik van Adblock Plus werd 25% tot 40% aan dataverkeer bespaard. Daarnaast helpt het ook om computers tegen besmette advertenties te beschermen en zou het voorkomen dat studenten en werknemers worden afgeleid. "We gingen er altijd al vanuit dat Adblock Plus je netwerk sneller maakt, en nu hebben we het bewijs dat dit het geval is", zegt ABP-ontwikkelaar Ben Williams. De versie van Adblock Plus voor Google Chrome beschikt inmiddels al over een feature om een grootschalige uitrol te vereenvoudigen. bron: security.nl

Toolbars en andere ongewenste browserextensies zijn nog altijd een groot probleem voor internetgebruikers, zo blijkt uit cijfers van anti-virusbedrijf Avast. De virusbestrijder verwijderde de afgelopen twee jaar 650 miljoen toolbars en ongewenste add-ons van computers. In totaal ging het om meer dan 60 miljoen verschillende toolbars en browserextensies, die vaak met andere software worden gebundeld. De toolbars wijzigen zoekmachines, veranderen de startpagina en plaatsen zichzelf in de gebruikersinterface van de browser. Volgens Avast CEO Vince Steckler is er zelfs sprake van het "tijdperk van ongewenste add-ons". Hoewel de toolbars niet per definitie kwaadaardig zijn, kunnen ze allerlei browserinstellingen wijzigen en zijn ze vaak lastig te verwijderen. Steeds meer anti-virusbedrijven en ook Google, Mozilla en Microsoft hebben daarom besloten dit soort ongewenste software harder aan te pakken. Zo liet virusbestrijder Avira in maart weten dat het een maand eerder 22 miljoen toolbars, extensies en andere potentieel ongewenste software van systemen had verwijderd. bron: security.nl

Het Duitse anti-virusbedrijf Avira heeft een eigen internetbrowser onthuld die veiligheid centraal stelt. Het gaat om een browser die op Chromium is gebaseerd, de opensourcebrowser die ook de basis voor Google Chrome vormt. Volgens Avira heeft het dankzij de ontwikkeling van een eigen browser meer opties om het systeem te beveiligen dan via add-ons en extensies mogelijk zou zijn. "Hoewel browserontwikkelaars een "one-size-fits-all" oplossing moeten maken, kunnen wij ons richten op een doelgroep die veel securitybewuster is", zegt Avira's Thorsten Sick. Zo zal de brower over een systeem beschikken met een "autopiloot", die op basis van de beslissingen van gebruikers en de backend database van Avira zelf beveiligingsbeslissingen zal nemen. Het gaat dan waarschijnlijk om het blokkeren van scripts, zoals met de Firefox NoScript-extensie ook mogelijk is. Gevorderde gebruikers kunnen de autopiloot "overrulen" en zo de controle houden. Daarnaast is het ook mogelijk om aanvullende extensies te installeren. Vooralsnog is de browser nog in ontwikkeling. Er is een betaversie beschikbaar voor Ubuntu, Mac en Windows. bron: security.nl

Een spoofing-lek in Google Chrome maakt het mogelijk voor een kwaadaardige website om de adresbalk te vervalsen, waarbij de browser ook een geldig SSL-certificaat laat zien. De aanval werd afgelopen dinsdag op de Full-disclosure mailinglist door onderzoeker David Leo geopenbaard. Vervolgens werd de demonstratie van Leo aangepast door Mustafa Al-Bassam, waarbij de HTTPS-versie van Facebook werd gespooft. Het beveiligingsbedrijf waarvoor Leo werkt rapporteerde het probleem aan Google, maar de internetgigant liet weten de kwetsbaarheid niet te zullen verhelpen, omdat er eigenlijk sprake van een Denial of Service is, ook al crasht de browser niet. De impact van het spoofing-lek is daarnaast beperkt, aangezien gebruikers niets in de gespoofte pop-up of pagina kunnen doen. Een directe phishingaanval via deze kwetsbaarheid is dan ook niet mogelijk, merkt Al-Bassam op. Lezers van Hacker News melden dat het spoofingprobleem deels ook bij Firefox aanwezig is, alleen daar de browser wel crasht. bron: security.nl

Het trager worden van de computer na installatie van een virusscanner of internet security suite is de grootste ergernis van gebruikers als het om beveiligingssoftware gaat. Reden voor sommige gebruikers om de virusscanner al dan niet tijdelijk uit te schakelen, wat weer risico's met zich meebrengt. Het Oostenrijkse testlab AV-Comparatives kijkt daarom naast de effectiviteit van anti-virussoftware bij het vinden en verwijderen van malware regelmatig ook naar de systeembelasting. Via een aparte test wordt de systeembelasting van een groot aantal beveiligingsproducten berekend. De test werd uitgevoerd op een 64-bit versie van Windows 8.1 en bestond uit twee onderdelen. Tijdens het eerste onderdeel werd de impact van de beveiligingssoftware getest tijdens het kopiëren van bestanden, archiveren en uitpakken, encoderen en transcoderen, installeren en verwijderen van programma's, downloaden en starten van applicaties. Hierbij kon een maximale score van 175 punten worden gehaald. Als laatste werd ook nog het benchmarkprogramma PC Mark 8 gedraaid. Als basis werd een computer zonder virusscanner genomen die 100 punten bij PC Mark 8 scoort. Zowel bij het eerste onderdeel als de test met PC Mark 8 zet Avast de beste prestaties neer, op de voet gevolgd door Emsisoft. Hierbij berekent AV-Comparatives ook een impactscore. In het geval van Avast en Emsisoft is die respectievelijk 4,1 en 4,2. Van de bekende anti-virusbedrijven blijkt dat Trend Micro de grootste impact heeft, met een impact score van 20,3. De producten van QuickHeal en ThreatTrack hebben met een impactscore van 25,3 de grootste invloed op de werking van een computer. Computerkennis Hoewel gebruikers vaak de virusscanner de schuld van een trage computer geven, is dat niet altijd het geval, aldus AV-Comparatives. Oude hardware is vaak ook een reden. Gebruikers krijgen dan ook het advies om meer geheugen te installeren, alle software up-to-date te houden, ongebruikte software te verwijderen, 20% van de harde schijf vrij te houden en programma's uit de Start-up map in Windows te verwijderen. Ook wordt het advies gegeven om regelmatig de harde schijf te defragmenteren en als de computer volstaat met ongebruikte bestanden en registervermeldingen van allerlei geïnstalleerde en verwijdere software een volledige herinstallatie te doen. Als laatste kan ook een beetje geduld geen kwaad merkt het testlab op. "Een vertraging van een paar seconden vanwege beveiligingssoftware is niet per definitie een groot probleem." bron: security.nl

Kwetsbare versies van Adobe Flash Player zijn inmiddels een populair doelwit voor cybercriminelen om computers met malware te infecteren. Reden voor de Kovter-malware om na de infectie van een computer de aanwezige Flash Player te updaten, zodat andere malware het systeem niet meer kan infecteren. Kovter kan computers gebruiken voor het plegen van advertentiefraude (clickfraude) of installeert ransomware. De malware kan zich via allerlei manieren verspreiden, zoals besmette advertenties die van ongepatchte Flash Player-lekken gebruik maken, maar kan ook op computers worden geïnstalleerd die al onderdeel van een botnet zijn. Beveiligingsonderzoeker Kafeine van het blog Malware Don't Need Coffee ontdekte de nieuwe werkwijze van de malware. Het systeem dat de onderzoeker gebruikt voor het vinden van exploits besloot opeens Flash Player te downloaden, terwijl dat niet de bedoeling was. Het systeem moet namelijk kwetsbaar blijven, merkt Kafeine op. Verder onderzoek wees uit dat het de Kovter-malware was die de Flash Player-update had gedownload en geïnstalleerd. Het is niet de eerste keer dat malware maatregelen neemt om infectie door andere malware te voorkomen. De betabot beschikte bijvoorbeeld over een optie om aanvallen via Java en Adobe Reader te voorkomen. bron: security.nl

Mozilla heeft een nieuwe versie van Firefox uitgebracht, waarin 22 beveiligingslekken zijn verholpen, waaronder de Logjam-aanval. Daarnaast worden voortaan downloads van Mac- en Linux-gebruikers op malware gecontroleerd. Van de 22 kwetsbaarheden zijn er 13 als "kritiek" aangemeld, wat inhoudt dat een aanvaller een computer volledig kan overnemen als er met een kwetsbare Firefox-versie een gehackte of kwaadaardige website wordt bezocht. Dat blijkt uit de release notes van Firefox 39. Hoewel Mozilla zelf 13 kwetsbaarheden aangeeft, blijkt dat de updates soms meerdere lekken verhelpen. Door naar het aantal CVE-nummers te kijken kan het werkelijke aantal opgeloste kwetsbaarheden worden geteld. Eén van de updates is voor de Logjam-aanval. Via de Logjam-aanval kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden. Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen of aanpassen. In de library die Firefox voor encryptie-toepassingen gebruikt is dit nu verholpen door geen Diffie-Helman priemgetallen kleiner dan 1024 te accepteren. Een oplossing die de onderzoekers die het probleem ontdekten ook adviseren. Een ander probleem raakte alleen Mac-gebruikers. Crashrapportages van de OS X-versie bleken soms persoonlijke informatie te bevatten. In de rapportages werd de toets meegestuurd die de crash veroorzaakte, maar soms werden er ook toetsaanslagen meegestuurd. Ook een probleem in de ingebouwde PDF-lezer van Firefox is verholpen. Via de kwetsbaarheid kon willekeurige code worden uitgevoerd. DownloadcontroleEen nieuwe feature in Firefox 39 is het gebruik van de Safe Browsingtechnologie van Google om alle gedownloade bestanden op malware te controleren. Zodra de gebruiker een applicatiebestand downloadt wordt eerst de digitale handtekening gecontroleerd. Is het bestand gesigneerd, dan vergelijkt Firefox de handtekening met een lijst van bekende, veilige uitgevers. Aan de hand van de lijst kan worden bepaald of een bestand veilig is of malware. In het geval het bestand niet kan worden geïdentificeerd kan Firefox de Google Safebrowsingdienst vragen of de software veilig is. Hiervoor wordt metadata van de download naar Google gestuurd. De maatregel staat ingeschakeld voor Mac OS X en Linux. Updaten naar Firefox 39 kan via de browser of Mozilla.org. ThunderbirdVeel van dezelfde problemen waar Firefox mee te maken heeft zijn ook in Thunderbird aanwezig. Mozilla heeft daarom Thunderbird 38.1 aangekondigd. Deze versie is echter nog niet te downloaden. De planning was om deze versie aan het einde van deze week te lanceren, maar Thunderbird 38.1 is nog altijd niet verschenen. Dat houdt in dat gebruikers van de e-mailclient in potentie risico lopen, omdat informatie over de beveiligingslekken al wel bekend is gemaakt. Op het moment van schrijven is Thunderbird 38.0.1 de meest recente versie. bron: security.nl

Cybercriminelen zijn een nieuwe campagne begonnen waarbij ze websites van ministeries en energiebedrijven nabouwen om vervolgens via Google Drive en Yandex Disk ransomware te verspreiden. Het gaat om een campagne van de TorrentLocker-ransomware, die zich volgens het Japanse anti-virusbedrijf Trend Micro vooral op Britse internetgebruikers richt. De aanval begint met een e-mail die van British Gas, het ministerie van Binnenlandse Zaken of het ministerie van Justitie afkomstig lijkt. In tegenstelling tot veel andere ransomware-aanvallen bevat de e-mail geen bijlage, maar een link die naar een overtuigende website wijst. Deze website lijkt een kopie van de originele website van het energiebedrijf of ministerie en stelt dat de gebruiker een captcha moet invoeren, bijvoorbeeld om zijn energierekening te bekijken. De captcha wordt volgens de onderzoekers waarschijnlijk gebruikt om automatische analyse door anti-virusbedrijven en onderzoekers te voorkomen. Zodra de captcha is ingevuld wordt er er een zip-bestand gedownload. Werden deze zip-bestanden voorheen bij opslagdiensten als Sendspace, Mediafire en Copy.com opgeslagen, nu gebruiken de cybercriminelen Yandex Disk en Google Drive. Voor het hosten van de afbeeldingen die in de e-mails worden gebruikt maken de criminelen gebruik van gehackte websites. Trend Micro ontdekte in totaal zo'n 800 gehackte domeinen waar de gebruikte afbeeldingen werden opgeslagen of die als redirect voor de link in de e-mails fungeerden. TorrentLocker was vorig jaar ook in Nederland actief en verspreidde zich via e-mails die van Intrum Justitia en PostNL afkomstig leken. Eenmaal actief op een computer versleutelt de ransomware allerlei bestanden voor losgeld. bron: security.nl

Aangezien er geen reactie meer is gekomen ga ik er van uit dat het antwoord je voldoende geholpen heeft. Hierbij sluit ik dit topic.

Aangezien er geen reactie meer is gekomen ga ik er van uit dat de info voldoende is geweest en sluit ik dit topic. Je kunt altijd reageren door het topic te heropenen of dit via een PM even een heropening te vragen.

Een onderzoeker is erin geslaagd om de populaire Firefox-uitbreiding NoScript te omzeilen door gebruik van de Google cloud te maken. NoScript is een extensie die JavaScript en andere code op websites kan blokkeren. Het voorkomt hiermee dat kwaadaardige code op een gehackte website kan worden gestart of dat advertenties, trackers en actieve content automatisch worden geladen. De add-on beschermt zowel de veiligheid als privacy van gebruikers. Ruim 2,2 miljoen Firefoxgebruikers hebben NoScript geïnstalleerd, waarmee het één van de populairste uitbreidingen voor Firefox is. NoScript biedt gebruikers ook de mogelijkheid om domeinen op een whitelist te zetten. Scripts op dit domein zullen dan wel automatisch worden uitgevoerd. Een aantal domeinen staan standaard al op de whitelist van NoScript, zoals die van Mozilla, YouTube, Google en Yahoo. Het gaat hierbij niet alleen om de domeinen, maar ook de subdomeinen die onder het domein vallen. Naast google.com worden ook scripts op voorbeeld.google.com automatisch door NoScript toegelaten. Recentelijk ontdekte onderzoeker Matthew Bryant dat één van de domeinen die op de whitelist van NoScript stond was verlopen en dus voor iedereen beschikbaar was. Bryant registreerde het domein en plaatste hier JavaScriptcode op, die automatisch door NoScript werd uitgevoerd. De ontwikkelaar van NoScript kwam met een update zodat het domein uit de standaard whitelist werd verwijderd. De publicatie van Bryant spoorde een andere onderzoeker aan om naar een nieuwe mogelijkheid te zoeken, aangezien ook subdomeinen van gewhiteliste domeinen als aanvalsvector voor een aanval kunnen worden gebruikt. Onderzoeker Linus Sarud zag dat het domein googleapis.com standaard op de whitelist staat, wat inhoudt dat scriptcode op storage.googleapis.com hierdoor standaard wordt uitgevoerd. Via dit domein kunnen gebruikers bestanden hosten als ze de Google cloudopslag gebruiken. Een andere onderzoeker genaamd Mathias Karlsson werkte het idee uit en kwam met code waarmee NoScript weer werd omzeild. Het probleem is inmiddels verholpen door het domein googleapis.com op de whitelist te veranderen in ajax.googleapis.com. Subdomeinen worden echter nog steeds automatisch gewhitelist. Gebruikers van NoScript kunnen de standaard whitelist echter verwijderen en alleen eigen domeinen hierop plaatsen. bron: security.nl

Een onderzoeker van Google heeft weer een kwetsbaarheid in de beveiligingssoftware van het Slowaakse anti-virusbedrijf ESET ontdekt, maar een dag voordat de virusbestrijder het probleem patchte onthulde een groep andere onderzoekers een nieuwe kwetsbaarheid in ESET Smart Security 8. Vorige week openbaarde Google-onderzoeker Tavis Ormandy een kritiek beveiligingslek waarmee hij computers die de ESET-software gebruiken zonder gebruikersinteractie op afstand volledig kon overnemen. Na te zijn ingelicht kwam ESET na drie dagen met een update. Ormandy ontdekte opnieuw een probleem in de beveiligingssoftware. Dit keer kon een aanvaller bij het uitpakken van een speciaal geprepareerd Symbian-installatiebestand een heap overflow veroorzaken, en zo kwaadaardige code op de computer uitvoeren. Op 26 juni, binnen drie dagen na te zijn ingelicht, kwam ESET met een update om de kwetsbaarheid te verhelpen. Tweede kwetsbaarheidEen andere groep onderzoekers genaamd QWERT Lab ontdekte een kwetsbaarheid in een onderdeel van ESET Smart Security 8. Via het lek kan een aanvaller de allerhoogste rechten in Windows krijgen. Vervolgens kan de virusscanner worden uitgeschakeld, maar is het ook mogelijk om Windows-toegangscontroles en sandboxes te omzeilen, zo claimen de onderzoekers. Als bewijs publiceerden ze een proof-of-concept exploit. Volgens de onderzoekers is het probleem in Smart Security 8 bevestigd, maar zouden ook andere producten van het anti-virusbedrijf kwetsbaar zijn. Op 25 juni werd het probleem openbaar gemaakt, waarbij de onderzoekers besloten om ESET niet van tevoren in te lichten. De virusbestrijder laat aan Security.NL weten dat de ontdekte kwetsbaarheid in verschillende oudere versies voor Windows aanwezig is. De nieuwste versie van de beveiligingssoftware is niet kwetsbaar. Op dit moment wordt er aan een update voor het probleem gewerkt die "snel" moet verschijnen, maar een exacte datum kon ESET niet geven. Naar aanleiding van de verschillende kwetsbaarheden vraagt een andere onderzoeker wanneer ESET en andere anti-virusbedrijven hun producten gaan auditen. bron: security.nl

Cybercriminelen gebruiken gehackte routers om de Dyre-malware te verspreiden, zo ontdekte en meldt Bryan Campell, beveiligingsonderzoeker bij Fujitsu. Dyre, ook bekend als Dyreza, is een Trojaans paard speciaal ontwikkeld om geld van online bankrekeningen te stelen. Voor de verspreiding van Dyre worden e-mails met besmette e-mailbijlagen gebruikt. De bijlagen doen zich bijvoorbeeld voor als een factuur, maar bevatten in werkelijkheid de Upatre-downloader die uiteindelijk de Dyre Trojan op de computer installeert. Eenmaal actief zal Dyre de gebruikte browser (Internet Explorer, Google Chrome of Firefox) kapen en inloggegevens voor internetbankieren naar de criminelen terugsturen. Vervolgens installeert de malware een spammodule op de computer en zal die gebruiken voor het versturen van nieuwe e-mails. Campbell ontdekte dat Dyre voor het installeren van de "payload" gehackte routers gebruikt. Het gaat om routers van Ubiquiti Networks die als besturingssysteem AirOS gebruiken. Naast deze routers zouden ook routers van fabrikant MicroTiK, draaiend op RouterOS, het doelwit zijn. De onderzoeker laat op zijn eigen blog weten dat dat de Dyre-exemplaren die hij onderzocht met veel gehackte AirOS-routers verbinding maken. De routers worden waarschijnlijk via bekende beveiligingslekken of standaard inloggegevens gekaapt. bron: security.nl

De software die elektronicafabrikant LG gebruikt voor het updaten van smartphone-apps controleert niet het SSL-certificaat van de server die de updates aanbiedt, waardoor gebruikers kwetsbaar zijn voor Man-in-the-Middle-aanvallen en er stilletjes apps op het toestel kunnen worden geïnstalleerd. Dat meldt het Hongaarse beveiligingsbedrijf Search Labs. Het probleem speelt in de LG Update Center-app. Deze app fungeert als app store en laat gebruikers allerlei apps downloaden. Deze apps worden beheerd via de Update Center-app, die ook regelmatig op beschikbare updates controleert. Om te kijken of er updates beschikbaar zijn maakt de app via HTTPS verbinding met www.lgcpm.com. Het SSL-certificaat wordt echter niet gecontroleerd. Een aanvaller die zich tussen de gebruiker en het internet bevindt hoeft alleen het verzoek van de Update Center-app op te vangen en kan vervolgens een andere downloadlocatie voor de update opgeven. Aangezien het updaten via APK-bestanden gebeurt waarvoor er geen verdere toestemming of interactie van gebruikers is vereist, kan een aanvaller op deze manier stilletjes kwaadaardige APK-bestanden op de telefoon van het doelwit installeren. Deze kwaadaardige apps kunnen elke willekeurige permissie gebruiken, behalve de permissies die met de systeemsleutel gesigneerd moeten zijn. Volgens de onderzoekers kan het gehele proces in de achtergrond plaatsvinden, zonder dat gebruikers iets vermoeden. LG-smartphones zijn daarnaast zo ingesteld dat ze updates automatisch installeren zodra ze beschikbaar zijn. Het probleem werd november vorig jaar aan LG gemeld. Het bedrijf liet de onderzoekers weten dat het voor nieuwere modellen, met Android Lollipop, een update zou overwegen. De updates moeten echter nog steeds verschijnen. "Op dit moment zijn alle Android-gebaseerde smartphones van LG kwetsbaar voor deze aanval en zullen dat ook volgens de plannen van LG blijven", zo schrijven de onderzoekers. Ze stellen verder dat LG vanwege "zakelijke belangen" geen updates zal uitbrengen. LG-gebruikers die zich willen beschermen krijgen het advies om "Auto app update" uit te schakelen en de Update Center-app alleen op betrouwbare wifi-netwerken te gebruiken om apps te installeren of bij te werken. bron: security.nl

Het Duitse anti-virusbedrijf Avira heeft een rechtszaak gewonnen zodat het een programma van een Duitse uitgever gewoon als "potentieel ongewenste software" (PUP) kan blijven bestempelen. Het gaat om een downloadmanager van het spel Moorhuhn Remake van de uitgever Freemium. Avira waarschuwde gebruikers voor de downloadmanager, omdat het mogelijk aanvullende software zou kunnen downloaden. Het komt regelmatig voor dat software-uitgevers programma's en spellen met allerlei andere software bundelen, waaronder ook adware of testversies van andere programma's. Avira waarschuwt gebruikers hiervoor, maar geeft ze wel de mogelijkheid om de software te downloaden en installeren. In dit geval ging het om een downloadmanager die zich voordeed als het spel Moorhuhn Remake, maar met verschillende andere programma's was gebundeld. Freemium stapte naar de rechter in Berlijn en eiste dat Avira zou stoppen met het waarschuwen, zo meldt ComputerWorld. Volgens het bedrijf konden gebruikers zelf bepalen of er aanvullende programma's werden gedownload, maar beide partijen verschilden over de transparantie van dit proces. Avira stelde dat er geen duidelijk verband was tussen het spel en de andere gebundelde applicaties. Het ging in dit geval om applicaties als PC TuneUP, Driver Finder en Super Easy Register Cleaner. Ook zouden de voorwaarden voor gebruikers onduidelijk zijn. Daarop besloot Avira de downloadmanager als PUP te classificeren. Freemium claimt dat door de blokkade van Avira de inkomsten sinds februari zijn gehalveerd. Als genoegdoening eiste de uitgever een vergoeding van 250.000 euro voor elke begane overtreding en een gevangenisstraf van maximaal zes maanden voor de directeur van Avira. De Duitse rechter ging hier niet in mee en besloot de rechtszaak te seponeren. Daarnaast werd Freemium veroordeeld om de proceskosten van 500.000 euro te betalen. bron: security.nl

Draadloze toetsenborden en muizen zijn er in vele smaken. Hieronder een paar binnen jouw budget: Microsoft All-in-one Microsoft Wireless Desktop 800 Logotech Wireless Combo MK330 Met de meeste toetsenborden kun je ook de mediaplayer besturen. Het is een kwestie van even rondneuzen op het internet. Pas alleen op wanneer je denkt een voordelige te kopen via de site Miniinthebox. Deze biedt heel voordelig hele mooie toestenborden aan. Maar iig in Nederland komen daar nog boven een bepaald bedrag douanekosten bij waardoor je juist duurder uit bent.

Microsoft heeft stilletjes 18 nieuwe rootcertificaten aan Windows toegevoegd, zonder dat hier ergens melding van is gemaakt. Dat beweert een onderzoeker met het alias "Hexatomium". Rootcertificaten bepalen welke SSL-certificaten door het besturingssysteem worden vertrouwd. Het is daarom belangrijk om te weten van welke organisaties en certificaatautoriteiten het rootcertificaat is toegevoegd. De onderzoeker meldt dat hij de nieuwe rootcertificaten via de RCC-auditingtool heeft ontdekt. Via het programma kunnen gebruikers controleren welke rootcertificaten er in de Windows root CA store aanwezig horen te zijn en welke er stilletjes zijn toegevoegd. Behalve de SHA1-hash van de certificaten en naam van de bijbehorende certificaatautoriteit is er nog geen aanvullende informatie beschikbaar. Op Hacker News laat een gebruiker weten dat de certificaatautoriteit met de naam RXC-C2 eigenlijk Cisco is. Opmerkelijk genoeg stelt Cisco in de eigen documentatie over het Cisco RXC certificaatbeleid (pdf) dat certificaatautoriteiten altijd betekenisvolle namen moeten gebruiken. Veder staan in de lijst van toegevoegde rootcertificaten onder andere certificaten van de Zweedse, Tunesisch en Indiase overheid. bron: security.nl

Samsung gaat stoppen met het aanpassen van Windows Update en zal hiervoor de komende dagen een update uitbrengen, zo heeft de elektronicagigant laten weten. Microsoft MVP Patrick Barker ontdekte onlangs dat het programma SW Update, dat Samsung op sommige laptops meelevert, de instellingen van Windows Update aanpast. Beschikbare updates worden zodoende niet meer automatisch gedownload en geïnstalleerd. Gebruikers moeten er zelf voor kiezen om updates te downloaden en installeren. Gebruikers kunnen de oorspronkelijke instellingen van Windows Update wel terugzetten, maar de Samsung-software zal dit na een herstart van het systeem ongedaan maken en de automatische updatefunctie weer uitschakelen. Een werknemer van het bedrijf liet tegenover Barker weten dat dit werd gedaan om de installatie van standaard drivers te voorkomen, aangezien dit voor problemen zou kunnen zorgen. Microsoft was niet te spreken over de werkwijze van Samsung en gaf aan met de elektronicagigant in gesprek te gaan. Dat lijkt effect te hebben gehad, want tegenover VentureBeat laat het bedrijf weten binnen een aantal dagen met een update te komen. Deze update zal via de Samsung Updatesoftware worden verspreid en zal ervoor zorgen dat de oorspronkelijke Windows Update-instellingen worden teruggezet. bron: security.nl