Captain Kirk

Een onderzoeker is erin geslaagd om de populaire Firefox-uitbreiding NoScript te omzeilen door gebruik van de Google cloud te maken. NoScript is een extensie die JavaScript en andere code op websites kan blokkeren. Het voorkomt hiermee dat kwaadaardige code op een gehackte website kan worden gestart of dat advertenties, trackers en actieve content automatisch worden geladen. De add-on beschermt zowel de veiligheid als privacy van gebruikers. Ruim 2,2 miljoen Firefoxgebruikers hebben NoScript geïnstalleerd, waarmee het één van de populairste uitbreidingen voor Firefox is. NoScript biedt gebruikers ook de mogelijkheid om domeinen op een whitelist te zetten. Scripts op dit domein zullen dan wel automatisch worden uitgevoerd. Een aantal domeinen staan standaard al op de whitelist van NoScript, zoals die van Mozilla, YouTube, Google en Yahoo. Het gaat hierbij niet alleen om de domeinen, maar ook de subdomeinen die onder het domein vallen. Naast google.com worden ook scripts op voorbeeld.google.com automatisch door NoScript toegelaten. Recentelijk ontdekte onderzoeker Matthew Bryant dat één van de domeinen die op de whitelist van NoScript stond was verlopen en dus voor iedereen beschikbaar was. Bryant registreerde het domein en plaatste hier JavaScriptcode op, die automatisch door NoScript werd uitgevoerd. De ontwikkelaar van NoScript kwam met een update zodat het domein uit de standaard whitelist werd verwijderd. De publicatie van Bryant spoorde een andere onderzoeker aan om naar een nieuwe mogelijkheid te zoeken, aangezien ook subdomeinen van gewhiteliste domeinen als aanvalsvector voor een aanval kunnen worden gebruikt. Onderzoeker Linus Sarud zag dat het domein googleapis.com standaard op de whitelist staat, wat inhoudt dat scriptcode op storage.googleapis.com hierdoor standaard wordt uitgevoerd. Via dit domein kunnen gebruikers bestanden hosten als ze de Google cloudopslag gebruiken. Een andere onderzoeker genaamd Mathias Karlsson werkte het idee uit en kwam met code waarmee NoScript weer werd omzeild. Het probleem is inmiddels verholpen door het domein googleapis.com op de whitelist te veranderen in ajax.googleapis.com. Subdomeinen worden echter nog steeds automatisch gewhitelist. Gebruikers van NoScript kunnen de standaard whitelist echter verwijderen en alleen eigen domeinen hierop plaatsen. bron: security.nl

Een onderzoeker van Google heeft weer een kwetsbaarheid in de beveiligingssoftware van het Slowaakse anti-virusbedrijf ESET ontdekt, maar een dag voordat de virusbestrijder het probleem patchte onthulde een groep andere onderzoekers een nieuwe kwetsbaarheid in ESET Smart Security 8. Vorige week openbaarde Google-onderzoeker Tavis Ormandy een kritiek beveiligingslek waarmee hij computers die de ESET-software gebruiken zonder gebruikersinteractie op afstand volledig kon overnemen. Na te zijn ingelicht kwam ESET na drie dagen met een update. Ormandy ontdekte opnieuw een probleem in de beveiligingssoftware. Dit keer kon een aanvaller bij het uitpakken van een speciaal geprepareerd Symbian-installatiebestand een heap overflow veroorzaken, en zo kwaadaardige code op de computer uitvoeren. Op 26 juni, binnen drie dagen na te zijn ingelicht, kwam ESET met een update om de kwetsbaarheid te verhelpen. Tweede kwetsbaarheidEen andere groep onderzoekers genaamd QWERT Lab ontdekte een kwetsbaarheid in een onderdeel van ESET Smart Security 8. Via het lek kan een aanvaller de allerhoogste rechten in Windows krijgen. Vervolgens kan de virusscanner worden uitgeschakeld, maar is het ook mogelijk om Windows-toegangscontroles en sandboxes te omzeilen, zo claimen de onderzoekers. Als bewijs publiceerden ze een proof-of-concept exploit. Volgens de onderzoekers is het probleem in Smart Security 8 bevestigd, maar zouden ook andere producten van het anti-virusbedrijf kwetsbaar zijn. Op 25 juni werd het probleem openbaar gemaakt, waarbij de onderzoekers besloten om ESET niet van tevoren in te lichten. De virusbestrijder laat aan Security.NL weten dat de ontdekte kwetsbaarheid in verschillende oudere versies voor Windows aanwezig is. De nieuwste versie van de beveiligingssoftware is niet kwetsbaar. Op dit moment wordt er aan een update voor het probleem gewerkt die "snel" moet verschijnen, maar een exacte datum kon ESET niet geven. Naar aanleiding van de verschillende kwetsbaarheden vraagt een andere onderzoeker wanneer ESET en andere anti-virusbedrijven hun producten gaan auditen. bron: security.nl

Cybercriminelen gebruiken gehackte routers om de Dyre-malware te verspreiden, zo ontdekte en meldt Bryan Campell, beveiligingsonderzoeker bij Fujitsu. Dyre, ook bekend als Dyreza, is een Trojaans paard speciaal ontwikkeld om geld van online bankrekeningen te stelen. Voor de verspreiding van Dyre worden e-mails met besmette e-mailbijlagen gebruikt. De bijlagen doen zich bijvoorbeeld voor als een factuur, maar bevatten in werkelijkheid de Upatre-downloader die uiteindelijk de Dyre Trojan op de computer installeert. Eenmaal actief zal Dyre de gebruikte browser (Internet Explorer, Google Chrome of Firefox) kapen en inloggegevens voor internetbankieren naar de criminelen terugsturen. Vervolgens installeert de malware een spammodule op de computer en zal die gebruiken voor het versturen van nieuwe e-mails. Campbell ontdekte dat Dyre voor het installeren van de "payload" gehackte routers gebruikt. Het gaat om routers van Ubiquiti Networks die als besturingssysteem AirOS gebruiken. Naast deze routers zouden ook routers van fabrikant MicroTiK, draaiend op RouterOS, het doelwit zijn. De onderzoeker laat op zijn eigen blog weten dat dat de Dyre-exemplaren die hij onderzocht met veel gehackte AirOS-routers verbinding maken. De routers worden waarschijnlijk via bekende beveiligingslekken of standaard inloggegevens gekaapt. bron: security.nl

De software die elektronicafabrikant LG gebruikt voor het updaten van smartphone-apps controleert niet het SSL-certificaat van de server die de updates aanbiedt, waardoor gebruikers kwetsbaar zijn voor Man-in-the-Middle-aanvallen en er stilletjes apps op het toestel kunnen worden geïnstalleerd. Dat meldt het Hongaarse beveiligingsbedrijf Search Labs. Het probleem speelt in de LG Update Center-app. Deze app fungeert als app store en laat gebruikers allerlei apps downloaden. Deze apps worden beheerd via de Update Center-app, die ook regelmatig op beschikbare updates controleert. Om te kijken of er updates beschikbaar zijn maakt de app via HTTPS verbinding met www.lgcpm.com. Het SSL-certificaat wordt echter niet gecontroleerd. Een aanvaller die zich tussen de gebruiker en het internet bevindt hoeft alleen het verzoek van de Update Center-app op te vangen en kan vervolgens een andere downloadlocatie voor de update opgeven. Aangezien het updaten via APK-bestanden gebeurt waarvoor er geen verdere toestemming of interactie van gebruikers is vereist, kan een aanvaller op deze manier stilletjes kwaadaardige APK-bestanden op de telefoon van het doelwit installeren. Deze kwaadaardige apps kunnen elke willekeurige permissie gebruiken, behalve de permissies die met de systeemsleutel gesigneerd moeten zijn. Volgens de onderzoekers kan het gehele proces in de achtergrond plaatsvinden, zonder dat gebruikers iets vermoeden. LG-smartphones zijn daarnaast zo ingesteld dat ze updates automatisch installeren zodra ze beschikbaar zijn. Het probleem werd november vorig jaar aan LG gemeld. Het bedrijf liet de onderzoekers weten dat het voor nieuwere modellen, met Android Lollipop, een update zou overwegen. De updates moeten echter nog steeds verschijnen. "Op dit moment zijn alle Android-gebaseerde smartphones van LG kwetsbaar voor deze aanval en zullen dat ook volgens de plannen van LG blijven", zo schrijven de onderzoekers. Ze stellen verder dat LG vanwege "zakelijke belangen" geen updates zal uitbrengen. LG-gebruikers die zich willen beschermen krijgen het advies om "Auto app update" uit te schakelen en de Update Center-app alleen op betrouwbare wifi-netwerken te gebruiken om apps te installeren of bij te werken. bron: security.nl

Het Duitse anti-virusbedrijf Avira heeft een rechtszaak gewonnen zodat het een programma van een Duitse uitgever gewoon als "potentieel ongewenste software" (PUP) kan blijven bestempelen. Het gaat om een downloadmanager van het spel Moorhuhn Remake van de uitgever Freemium. Avira waarschuwde gebruikers voor de downloadmanager, omdat het mogelijk aanvullende software zou kunnen downloaden. Het komt regelmatig voor dat software-uitgevers programma's en spellen met allerlei andere software bundelen, waaronder ook adware of testversies van andere programma's. Avira waarschuwt gebruikers hiervoor, maar geeft ze wel de mogelijkheid om de software te downloaden en installeren. In dit geval ging het om een downloadmanager die zich voordeed als het spel Moorhuhn Remake, maar met verschillende andere programma's was gebundeld. Freemium stapte naar de rechter in Berlijn en eiste dat Avira zou stoppen met het waarschuwen, zo meldt ComputerWorld. Volgens het bedrijf konden gebruikers zelf bepalen of er aanvullende programma's werden gedownload, maar beide partijen verschilden over de transparantie van dit proces. Avira stelde dat er geen duidelijk verband was tussen het spel en de andere gebundelde applicaties. Het ging in dit geval om applicaties als PC TuneUP, Driver Finder en Super Easy Register Cleaner. Ook zouden de voorwaarden voor gebruikers onduidelijk zijn. Daarop besloot Avira de downloadmanager als PUP te classificeren. Freemium claimt dat door de blokkade van Avira de inkomsten sinds februari zijn gehalveerd. Als genoegdoening eiste de uitgever een vergoeding van 250.000 euro voor elke begane overtreding en een gevangenisstraf van maximaal zes maanden voor de directeur van Avira. De Duitse rechter ging hier niet in mee en besloot de rechtszaak te seponeren. Daarnaast werd Freemium veroordeeld om de proceskosten van 500.000 euro te betalen. bron: security.nl

Draadloze toetsenborden en muizen zijn er in vele smaken. Hieronder een paar binnen jouw budget: Microsoft All-in-one Microsoft Wireless Desktop 800 Logotech Wireless Combo MK330 Met de meeste toetsenborden kun je ook de mediaplayer besturen. Het is een kwestie van even rondneuzen op het internet. Pas alleen op wanneer je denkt een voordelige te kopen via de site Miniinthebox. Deze biedt heel voordelig hele mooie toestenborden aan. Maar iig in Nederland komen daar nog boven een bepaald bedrag douanekosten bij waardoor je juist duurder uit bent.

Microsoft heeft stilletjes 18 nieuwe rootcertificaten aan Windows toegevoegd, zonder dat hier ergens melding van is gemaakt. Dat beweert een onderzoeker met het alias "Hexatomium". Rootcertificaten bepalen welke SSL-certificaten door het besturingssysteem worden vertrouwd. Het is daarom belangrijk om te weten van welke organisaties en certificaatautoriteiten het rootcertificaat is toegevoegd. De onderzoeker meldt dat hij de nieuwe rootcertificaten via de RCC-auditingtool heeft ontdekt. Via het programma kunnen gebruikers controleren welke rootcertificaten er in de Windows root CA store aanwezig horen te zijn en welke er stilletjes zijn toegevoegd. Behalve de SHA1-hash van de certificaten en naam van de bijbehorende certificaatautoriteit is er nog geen aanvullende informatie beschikbaar. Op Hacker News laat een gebruiker weten dat de certificaatautoriteit met de naam RXC-C2 eigenlijk Cisco is. Opmerkelijk genoeg stelt Cisco in de eigen documentatie over het Cisco RXC certificaatbeleid (pdf) dat certificaatautoriteiten altijd betekenisvolle namen moeten gebruiken. Veder staan in de lijst van toegevoegde rootcertificaten onder andere certificaten van de Zweedse, Tunesisch en Indiase overheid. bron: security.nl

Samsung gaat stoppen met het aanpassen van Windows Update en zal hiervoor de komende dagen een update uitbrengen, zo heeft de elektronicagigant laten weten. Microsoft MVP Patrick Barker ontdekte onlangs dat het programma SW Update, dat Samsung op sommige laptops meelevert, de instellingen van Windows Update aanpast. Beschikbare updates worden zodoende niet meer automatisch gedownload en geïnstalleerd. Gebruikers moeten er zelf voor kiezen om updates te downloaden en installeren. Gebruikers kunnen de oorspronkelijke instellingen van Windows Update wel terugzetten, maar de Samsung-software zal dit na een herstart van het systeem ongedaan maken en de automatische updatefunctie weer uitschakelen. Een werknemer van het bedrijf liet tegenover Barker weten dat dit werd gedaan om de installatie van standaard drivers te voorkomen, aangezien dit voor problemen zou kunnen zorgen. Microsoft was niet te spreken over de werkwijze van Samsung en gaf aan met de elektronicagigant in gesprek te gaan. Dat lijkt effect te hebben gehad, want tegenover VentureBeat laat het bedrijf weten binnen een aantal dagen met een update te komen. Deze update zal via de Samsung Updatesoftware worden verspreid en zal ervoor zorgen dat de oorspronkelijke Windows Update-instellingen worden teruggezet. bron: security.nl

Om te voorkomen dat consumenten via het MAC-adres van hun smartphone of andere mobiele apparaten worden gevolgd hebben het IEEE (Institute of Electrical and Electronics Engineers) en de IETF (Internet Engineering Task Force) verschillende succesvolle experimenten gehouden, zo hebben beide organisaties deze week laten weten. Het IEEE en IETF zijn twee organisaties die bij de ontwikkeling van standaarden betrokken zijn. Tijdens het experiment in november werd er getest met willekeurige MAC-adressen. Deelnemers moesten een script draaien dat ervoor zorgde dat ze een willekeurig MAC-adres kregen als ze met het netwerk verbinding maakten. Een MAC-adres dient als uniek identificatiemiddel op het lokale netwerk en wordt door fabrikanten aan een netwerkadapter toegekend. Vanwege het unieke kenmerk van het MAC-adres, dat continu door mobiele toestellen wordt uitgezonden, kunnen bijvoorbeeld winkels het gebruiken om mensen te volgen. PrivacygevolgenVanwege de privacygevolgen besloten het IEEE en IETF vorig jaar de IEEE 802 Privacy Executive Committee Study Group op te richten. Deze groep kijkt naar de gevolgen van wifi-technologieën en werkt aan aanbevelingen en standaarden. "Vanaf het begin hebben IEEE 802 en IETF de overtuiging gedeeld om het privacyrisico voor niet-technische gebruikers op te lossen, die in een wereld leven waar continue connectiviteit aanwezig is", zegt Juan Carlos Zuniga, voorzitter van de groep. Volgens hem laten de experimenten zien dat er haalbare manieren zijn om gebruikers tegen wifi-gerelateerde privacyrisico's te beschermen. "De IETF-gemeenschap beschouwt wijdverbreide monitoring als een aanval op de privacy van internetgebruikers", voegt Joel Jaeggli van de IETF toe. Hij stelt dat de IETF en IEEE 802 zich zullen inzetten om gebruikers tegen passieve observatie te beschermen. "Succesvolle tests met MAC-adres privacy-implementaties helpen een belangrijk probleem op te lossen met de zichtbaarheid van Layer-2 identifiers op een gedeeld lokaal netwerk", merkt Jaeggli verder op. De resultaten kunnen worden gebruikt voor het opstellen van nieuwe standaarden. Of dit zal gebeuren en wanneer precies laten beide organisaties niet weten. Vorig jaar kwam Apple al met een maatregel om gebruikers van een willekeurig MAC-adres te voorzien bij het scannen van wifi-netwerken. bron: security.nl

Cisco heeft weer updates voor verschillende producten uitgebracht wegens het gebruik van standaard SSH-sleutels. Via de standaard SSH-sleutels kan een aanvaller op afstand en zonder geldige inloggegevens op een systeem inloggen met rootrechten. Het enige dat vereist is, is dat de aanvaller verbinding met het platform kan maken. Volgens Cisco is het probleem dat alle installaties van de Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv) en Content Security Management Virtual Appliance (SMAv) dezelfde geautoriseerde SSH-sleutel voor de remote support-functionaliteit delen. Tevens kan een aanvaller via de SSH-host key, die ook op alle appliances hetzelfde is, alle communicatie op en tussen de virtuele appliances ontsleutelen en nabootsen. Cisco heeft updates uitgebracht om de problemen te verhelpen. Afgelopen oktober verscheen er een update voor een soortgelijk probleem in de Cisco Unified Communications Domain Manager. De netwerkgigant laat weten dat voor zover bekend de recent ontdekte problemen nog niet zijn aangevallen of eerder op internet bekend waren. bron: security.nl

Bij een internationale operatie is een actieve groep cybercriminelen opgepakt die ervan wordt verdacht achter de ontwikkeling en verspreiding van de Zeus- en SpyEye-malware te zitten. De malware werd gebruikt om geld van online bankrekeningen te stelen, waarmee de bende voor 2 miljoen euro schade zou hebben gezorgd. Bij de operatie, die op 18 en 19 juni in de Oekraïne plaatsvond en door Europol en Eurojust werd ondersteund, werden vijf verdachten aangehouden en acht woningen doorzocht. Volgens Europol gebruikten de criminelen malware om online banksystemen in zowel Europa als daarbuiten aan te vallen. "Elke cybercrimineel had zijn eigen specialiteit en de groep was bestrokken bij het maken van de malware, besmetten van machines, verzamelen van inloggegevens voor internetbankieren en het witwassen van geld via katvangers", aldus de Europese opsporingsdienst. Op fora voor cybercriminelen werden de gestolen inloggegevens, gecompromitteerde rekeninggegevens en malware verhandeld. De groep zou daarnaast hun "hackingdiensten" aan andere partijen aanbieden en samenwerking met andere cybercriminelen hebben gezocht. "Dit was een zeer actieve groep criminelen die in landen op alle continenten actief was, tienduizenden gebruikers met banking Trojans infecteerde en vervolgens grote banken aanviel", aldus Europol. bron: security.nl

Dankzij Facebook zijn meer dan 2 miljoen computers de afgelopen drie maanden weer virusvrij gemaakt. Bij het inloggen op Facebook detecteerde de sociale netwerksite dat de computers met malware geinfecteerd waren. Vervolgens kregen gebruikers een tool aangeboden om de infectie te verwijderen. De verwijdertool draait in de achtergrond en gebruikers krijgen een melding te zien zodra de scan is uitgevoerd. Facebook bood al de tools van ESET, F-Secure en Trend Micro aan en daar is nu ook de Malware Scan voor Facebook van Kaspersky Lab bijgekomen, zo laat de sociale netwerksite weten. In totaal zouden er via de scanner van Kaspersky Lab al meer dan 260.000 Facebookgebruikers zijn geholpen. bron: security.nl

Barba Pappa komt bij zijn kinderen en zegt: "Jongens, ik moet iets bekennen. Ik ben homo". Waarop de kinderen antwoorden: "Natuurlijk pap. En gisteren was je nog een duikboot".

In dat geval zou ik toch eerst even contact opnemen met je provider wat de mogelijkheden zijn. En misschien kun je ook kijken waarom deze mensen zo'n fan van je zijn dat ze je op deze manier met een bezoek vereren.

Ik weet niet hoe je dit probleem precies kunt oplossen maar wil je wel waarschuwen met het opstarten van een online radio. Check ook even hoe het zit met de uitzendrechten voor je muziek. Voor je het weet krijg je een rekening thuis.

Je kunt niet zomaar definitief je IP=adres aanpassen Deze ontvang je van je provider. Hiervoor zul je contact op moeten nemen met de KPN. Er zijn wel een paar tijdelijke opties maar die vergen wat stappen. Waarom denk je dat je geddosed wordt en hoe merk je dat?

Dat Adobe Flash Player het favoriete doelwit van cybercriminelen is geworden in plaats van Java was de afgelopen maanden al verschillende keren aangetoond, maar een nieuwe exploitkit maakt deze trend nogmaals duidelijk. De Beta Exploitkit, ook bekend als Sundown, is een recent gelanceerde exploitkit die zich nog in de testfase bevindt. Via exploitkits kunnen cybercriminelen internetgebruikers die beveiligingsupdates missen eenvoudig infecteren door bijvoorbeeld code op een gehackte website te plaatsen of in een advertentie te verstoppen. Deze code stuurt bezoekers vervolgens door naar de exploitkit. In het geval van Sundown probeert de exploitkit internetgebruikers via zes verschillende kwetsbaarheden met malware te infecteren. Het gaat volgens onderzoeker Kafeine van het blog Malware Don't Need Coffee om vier lekken in Adobe Flash Player en twee in Windows. Onderzoekers Aditya Sood en Rohit Bansal analyseerden een verschillende versie waarin een Windows-lek voor een IE-kwetsbaarheid had plaatsgemaakt. Java, wat in het verleden een geliefd doelwit was, ontbreekt echter. Een trend die ook in veel andere recente exploitkits zichtbaar is. De Windows-lekken die Sundown aanvalt dateren uit 2013 en 2014, terwijl de Flash Player-lekken van vorig jaar en dit jaar zijn. Het IE-lek dat Sood en Bansal aantroffen werd al in 2012 ontdekt en gepatcht. Voor alle kwetsbaarheden zijn updates aanwezig. Toch zijn er nog altijd internetgebruikers die deze patches niet installeren en zo risico lopen. De Beta Exploitkit is zelf echter ook niet zonder fouten. Sood en Bansal ontdekten fouten in het beheerderspaneel van de exploitkit, waardoor ze konden inloggen en allerlei informatie wisten te achterhalen, zoals gebruikte serverdomeinen, gebruikersdomeinen, locatie van de slachtoffers en met wat voor soort browser die surfen. De exploitkit bevindt zich nog in de testfase, maar de onderzoekers verwachten dat die de komende maanden door cybercriminelen zal worden ingezet. bron: security.nl

De Belgische Privacycommissie die een rechtszaak tegen Facebook is begonnen eist nu een dwangsom van 250.000 euro per dag, zolang de sociale netwerksite niet-Facebookgebruikers blijft volgen. Dat meldt De Morgen. De zaak draait over het gebruik van social plug-ins die op veel websites aanwezig zijn en waarmee bezoekers content op social media kunnen delen. Deze knoppen zorgen ervoor dat Facebook ook bezoekers kan volgen die geen lid van de sociale netwerksite zijn. "De dwangsom van 250.000 euro per dag is een symbolisch bedrag", stelt Willem Debeuckelaere, voorzitter van de Privacycommissie. "Het is een bedrag dat voor Facebook iets betekent. Misschien niet op één dag, maar toch na enkele dagen. En zulke dwangsommen zijn nu eenmaal effectief." Gisteren kwamen beide partijen elkaar in de rechtbank tegen. Er stond ook voor vandaag een vergadering gepland, maar die werd door de advocaten van Facebook afgeblazen. De zaak zal nu op 21 september worden voortgezet. In de tussentijd krijgen internetgebruikers het advies van de Privacycommissie om een browseradd-on te installeren die tracking blokkeert, zoals Privacy Badger, Ghostery of Disconnect. Daarnaast wordt ook het gebruik van de incognito-mode van de browser aangeraden. bron: security.nl

Een beveiligingslek in PowerPoint dat vorig jaar door Microsoft werd gepatcht wordt nu actief gebruikt voor het infecteren van activisten in Tibet en Hong Kong met malware. De aanvallen zijn onderdeel van een grotere campagne die al jaren plaatsvindt. Opvallend is echter het gebruik van het PowerPoint-lek. Voorheen gebruikten de aanvallers kwetsbaarheden in Microsoft Office die in respectievelijk 2010 en 2012 door Microsoft werden gepatcht. Het gebruik van het PowerPoint-lek zou voor het eerst in twee jaar een trendbreuk zijn. Voor de verspreiding van de PowerPoint-bestanden worden zowel e-mailbijlagen als links naar Google Drive gebruikt. Om activisten voor het risico van e-mailbijlagen te waarschuwen werd de campagne "Detach from Attachments" gestart. Er wordt juist geadviseerd om cloudopslag te gebruiken voor het uitwisselen van bestanden, zoals Google Drive. Het feit dat de aanvallers nu ook Google Drive gebruiken is volgens de onderzoekers mogelijk een aanwijzing dat de aanvallers zich hierop aanpassen. Als gebruikers de PowerPoint-update van Microsoft niet hebben geïnstalleerd en de presentatie openen kunnen ze met een remote access Trojan (RAT) besmet raken. De malware zou door maar weinig virusscanners worden herkend. In totaal zagen de onderzoekers van het Canadese CitizenLab vijf verschillende campagnes waarbij het PowerPoint-lek werd ingezet. Om gebruikers niets te laten vermoeden krijgen ze een echte presentatie te zien, terwijl in de achtergrond de malware wordt geïnstalleerd. "De hergebruikte content, lage detectie door virusscanners en dat gebruikers niet weten dat deze bestanden kwaadaardig zijn, zorgen ervoor dat deze aanvallen zorgwekkend zijn", aldus de onderzoekers. bron: security.nl

Een bug in de manier waarop Google Chrome, Mozilla Firefox en Apple Safari met de favicons van websites omgaan zorgt ervoor dat ze uiteindelijk kunnen crashen. Het probleem werd bij toeval ontdekt door security-analist Andrea De Pasquale. Hij had een favicon van 64MB groot gedownload dat een volledige back-up van een WordPress-website bleek te zijn. Programmeur Benjamin Gruenbaum werkte het probleem verder uit tot een demonstratie op GitHub, die browsers zonder dat gebruikers dit doorhebben een grote favicon laat downloaden. Voor zijn eigen demonstratie creëerde Gruenbaum een favicon van bijna 10GB die uiteindelijk voor een crash op zijn Macbook zorgde, zo laat hij op Hacker News weten. De onopgemerkte downloads zouden vooral een probleem kunnen zijn voor mobiele gebruikers met een datalimiet. Gruenbaum waarschuwde vervolgens Mozilla en Google voor het probleem. De ontwikkelaars van Firefox kwamen in drie uur met een oplossing, die in de nieuwste versie van de browser aanwezig zal zijn. Het probleem speelt niet bij Internet Explorer. bron: security.nl

Er is een belangrijke beveiligingsupdate voor het populaire contentmanagementsysteem (CMS) Drupal verschenen die meerdere lekken verhelpt, waaronder een kwetsbaarheid waarmee aanvallers websites volledig kunnen overnemen. Het lek bevindt zich in de OpenID-module en maakt het mogelijk voor een aanvaller om als elke willekeurige gebruiker in te loggen, waaronder de beheerder, en hun account te kapen. Via de overige kwetsbaarheden was het mogelijk om bepaalde informatie te achterhalen en gebruikers via een "open redirect" naar een derde website door te sturen. Dit zou bijvoorbeeld voor een social engineering-aanval kunnen worden gebruikt. Beheerders krijgen het advies om naar Drupal 6.36 of Drupal 7.38 te upgraden. bron: security.nl

Mozilla heeft het Electrolysis-project voor Firefox, wat de veiligheid en de prestaties van de browser moet verbeteren, nieuw leven ingeblazen. Electrolysis, afgekort e10s, heeft als doel om de gebruikersinterface van de browser in een gescheiden proces van de webcontent uit te laten voeren. Op dit moment draait de desktopversie van Firefox in een enkel besturingssysteemproces. Zo draait de JavaScript die de gebruikersinterface uitvoert, ook bekend als "chrome code", in hetzelfde proces als de code op websites (de web content). Toekomstige Firefox-versies zullen dit scheiden, wat moet leiden tot "multiprocess Firefox". In de eerste versie van deze architectuur zullen alle browsertabs in hetzelfde proces draaien en de gebruikersinterface in een ander proces. Het uiteindelijke doel is om de browser meerdere contentprocessen te laten hebben. Naast veiligheid en prestaties zou dit ook de stabiliteit moeten verbeteren. Electrolysis staat al jaren in de planning, maar is nooit in de uiteindelijke versie van de browser verschenen. Alleen in een Nightly-versie voor testers werd de functie ingeschakeld, maar is uit de recente Nightly-versies weer verwijderd. Firefox loopt zo achter op andere browsers die al wel meerdere processen ondersteunen. Nu lijkt Mozilla na lange tijd het project toch weer op te pakken, waarbij Firefox 42 als mogelijke kandidaat wordt genoemd om de maatregel in door te voeren. Deze versie zou begin november moeten verschijnen. Daarnaast is e10s inmiddels ook in de Developer Editie van Firefox geactiveerd. bron: security.nl

De beveiligingssoftware van Microsoft beschouwt oude versies van de Ask Toolbar, die onder andere bij de installatie van Java wordt meegeleverd, voortaan als ongewenste software. Eind vorig jaar kondigde de softwaregigant aan dat het maatregelen zou nemen tegen toolbars en andere programma's die browserinstellingen ongevraagd aanpassen. Toolbars zijn voor veel gebruikers een grote bron van ergernis. Ook komt het veel voor dat de standaard zoekmachine van gebruikers wordt aangepast en het zeer lastig is om de oorspronkelijke zoekmachine weer terug te zetten. Eind mei liet Microsoft daarop weten dat het ook deze software ging aanpassen. De nieuwe maatregelen zouden op 1 juni ingaan en het lijkt dat de softwaregigant zijn belofte heeft gehouden. Oude versies van de Ask Toolbar, gezien het grote aantal topics over het verwijderen ervan voor veel gebruikers een ware plaag, is nu als ongewenste software bestempeld. Dat laat een gebruiker op Slashdot weten, die daarbij naar een artikel in de malware-encyclopedie van Microsoft wijst. Volgens de omschrijving beschouwt Microsoft de Ask Toolbar als een "high threat" die via Windows Defender, Microsoft Security Essentials en Microsoft Safety Scanner verwijderd kan worden. Sinds de melding op Slashdot werd het nieuws door andere media overgenomen, wat weer voor een reactie van Ask en Microsoft lijkt te hebben gezorgd. Er is namelijk een update in de encyclopedie geplaatst, waarin nu wordt gemeld dat de meest recente versie van de Ask Toolbar niet als ongewenste software wordt beschouwd. bron: security.nl

De makers van OpenSSL hebben een beveiligingsupdate uitgebracht die verschillende kwetsbaarheden verhelpt en bescherming tegen de Logjam-aanval toevoegt. Via Logjam kan een aanvaller, die zich tussen het slachtoffer en het internet bevindt, kwetsbare TLS-verbindingen naar een 512-bit encryptie downgraden. Hierdoor kan een aanvaller alle data over de versleutelde verbinding ontcijferen en zo lezen en aanpassen. Om TLS-clients tegen Logjam-aanvallen te beschermen zal OpenSSL nu handshakes weigeren die korter dan 768 bits zijn. In de toekomst zal dit verder worden verhoogd naar 1024-bits. Verder zijn zes kwetsbaarheden in OpenSSL verholpen waardoor een aanvaller onder andere geheugencorruptie en Denial of Service-aanvallen kon veroorzaken. Gebruikers krijgen het advies om naar versie 1.0.2b, 1.0.1n, 1.0.0s of 0.9.8zg te upgraden, afhankelijk van welke versie erop het systeem is geïnstalleerd. De Logjam-bescerming is alleen aan versies 1.0.2b en 1.0.1n toegevoegd. bron: security.nl

Malware die zich alleen in het Windows Register verbergt om zo detectie en verwijdering te voorkomen heeft de afgelopen maanden bijna 200.000 computers geïnfecteerd. Het gaat om de Poweliks-malware, die besmette computers voor clickfraude gebruikt en zelfs een zero day-lek in Windows toepaste om een computer volledig te kunnen overnemen. Eenmaal actief zal Poweliks eerst controleren of Windows PowerShell aanwezig is. Dit is een scripttaal waarmee systeembeheerders allerlei taken kunnen automatiseren. Het is standaard in Windows 7 aanwezig en kan ook op andere Windows-versies worden geïnstalleerd. In het geval PowerShell niet aanwezig is wordt het gedownload en geïnstalleerd. PowerShell zal later worden gebruikt om een gecodeerd scriptbestand uit te voeren. Dit scriptbestand bevat de malware en maakt het mogelijk om aanvullende malware te downloaden en installeren. Vervolgens wordt er een sleutel in het Windows Register aangemaakt zodat de malware ook bij een volgende herstart van het systeem wordt geladen. Door het niet gebruiken van een bestand, zoals de meeste malware doet, maar zich volledig in het Windows Register te verbergen zou Poweliks lastiger te detecteren en te verwijderen zijn. RansomwareDe malware heeft als doel om clickfraude te plegen, waarbij er via een verborgen browservenster allerlei pagina's worden bezocht die advertenties bevatten. De criminelen worden voor elke getoonde advertentie betaald. Een probleem voor slachtoffers van Poweliks is dat de getoonde advertenties zelf ook kwaadaardig kunnen zijn. Een met Poweliks besmette computer kan daardoor ook met allerlei andere dreigingen geïnfecteerd raken, waaronder ransomware. Volgens anti-virusbedrijf Symantec, dat een rapport (pdf) over de malware publiceerde, zijn er veel gevallen bekend waarbij er via de getoonde advertenties ransomware werd gedownload. Opvallend is dat de malware vooral in de Verenigde Staten actief is. Van de 198.500 besmette computers bleek dat 99,5% zich in de VS bevond. Toch wil dat niet zeggen dat gebruikers in andere landen geen risico lopen. De virusbestrijder stelt dat Poweliks laat zien wat toekomstige dreigingen kunnen doen, waarbij cybercriminelen nog vastbeslotener zijn om geld via hun creaties te verdienen.bron: curity.nl'>security.nl