Captain Kirk

Verschillende burgerrechtenbewegingen, waaronder Amnesty International en Bits of Freedom, maken zich grote zorgen over een Zwitsers voorstel om de bewaarplicht in het land uit te breiden en bijna alle online serviceproviders te verplichten om hun gebruikers te identificeren. Volgens de burgerrechtenbewegingen is dit een schending van de fundamentele rechten op privacy en databescherming. Het Zwitserse Proton dreigde eerder al Zwitserland te zullen verlaten als de surveillancewet wordt aangenomen. De voorgestelde verordening breidt de verplichting voor communicatieproviders om metadata op te slaan verder uit. Ook worden nagenoeg alle serviceproviders, waaronder vpn-diensten, verplicht om hun klanten te identificeren. "Dergelijke surveillance is in een democratische samenleving onacceptabel", aldus de burgerrechtenbewegingen. Het niet anoniem en vrij kunnen communiceren zonder overheidsbemoeienis is ook een inbreuk op de vrijheid van meningsuiting, gedachte en vereniging, gaan de in totaal negentien organisaties verder. Daarnaast brengt de verordening ook risico's met zich mee op het gebied van cybersecurity. "Een verplichting voor bijna alle internetproviders om gevoelige data van al hun gebruikers op te slaan zorgt voor grote beveiligingsrisico's", waarschuwen de burgerrechtenbewegingen. Aanvallers zouden de opgeslagen data kunnen stelen wat voor gevoelige datalekken kan zorgen. Daarnaast zijn er ook minder ingrijpende alternatieven voorhanden. Een gerechtelijk uitgevaardigd bewaarbevel maakt het mogelijk om relevante data veilig te stellen, zonder de gehele bevolking bloot te stellen aan massasurveillance, aldus de burgerrechtenbewegingen. Die roepen de Zwitserse autoriteiten in een open brief op om het voorstel in te trekken. Naast Amnesty International en Bits of Freedom is de brief onder andere ondertekend door European Digital Rights (EDRi), Human Rights Watch, Internet Society, Liga voor Mensenrechten en Privacy International (pdf). bron: https://www.security.nl

Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in React Native Metro-server. Dat laat securitybedrijf Vulncheck in een analyse weten. React Native is een populair framework voor het ontwikkelen van mobiele apps in JavaScript. Het gebruikt de Metro als avaScript bundler en development server. Een kwetsbaarheid in de software, aangeduid als CVE-2025-11953, maakt het mogelijk voor een ongeauthenticeerde aanvaller om via het versturen van POST requests willekeurige executables en shell commando's op de server uit te voeren. Het probleem wordt veroorzaakt door een endpoint van de server dat kwetsbaar is voor command injection en zonder authenticatie toegankelijk is. De impact van CVE-2025-11953 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zes maanden geleden verscheen versie 20.0.0 van de software waarin het probleem is verholpen. Begin november werden details van het probleem openbaar gemaakt, waarna proof-of-concept exploitcode online verscheen. Volgens VulnCheck maken aanvallers sinds 21 december actief misbruik van het probleem. Hoewel een update al maanden beschikbaar is zouden op internet mogelijk nog honderden tot duizenden kwetsbare servers te vinden zijn. bron: https://www.security.nl

De backdoor die maandenlang onder gebruikers van de populaire editor Notepad++ werd verspreid gebruikte software van antivirusbedrijf Bitdefender om zichzelf te laden. Dat laat securitybedrijf Rapid7 in een analyse weten. Gisteren werd bekend dat aanvallers maandenlang toegang tot de shared hostingserver van Notepad++ hadden en via een kwetsbaarheid in de software malafide updates onder geselecteerde gebruikers konden verspreiden. Notepad++ is vooral populair bij softwareontwikkelaars. Via de updates werd een backdoor bij doelwitten geïnstalleerd, aldus onderzoekers van Rapid7. Zodra de malafide Notepad++-update was gedownload plaatste die de Bitdefender Submission Wizard op het systeem voor de verdere infectie. Dit is een onderdeel van Bitdefender antivirus voor het uploaden van verdachte bestanden naar het antivirusbedrijf. De software bleek kwetsbaar voor dll-sideloading, Hierbij wordt kwaadaardige code in een dll-bestand geplaatst. Aanvallers plaatsen dit dll-bestand vaak in de directory van de bijbehorende executable. Wanneer de executable wordt uitgevoerd zal ook het kwaadaardige dll-bestand worden geladen. Om niet te worden gedetecteerd hadden de aanvallers de Bitdefender Submission Wizard hernoemd naar "BluetoothService". Via het malafide dll-bestand dat de Bitdefender-software laadt wordt uiteindelijk de Chrysalis-backdoor geladen. De backdoor verzamelt vervolgens informatie over het besmette systeem en maakt verbinding met een command & control-server. Via de backdoor hebben aanvallers volledige controle over het besmette systeem en kunnen allerlei bestanden stelen, aanvullende malware installeren en de backdoor van het systeem verwijderen. bron: https://www.security.nl

Update: Het is belangrijk dat gebruikers Firefox zonder AI-features kunnen gebruiken, zo stelt Mozilla. Gisteren werd al bekend dat versie 148 van de browser wordt voorzien van een "kill-switch" voor het uitschakelen van alle AI-features, maar Mozilla heeft nu iets meer details gegeven. Volgens Mozilla verandert AI het web, maar zit niet iedereen hier op te wachten. "We hebben van veel mensen gehoord die niets met AI te maken willen hebben. We hebben ook gehoord van anderen die AI-tools willen die echt nuttig zijn." Met "AI Controls" kunnen gebruikers AI-features binnen Firefox straks volledig uitschakelen. "Dit laat je Firefox zonder AI gebruiken terwijl we AI-features blijven ontwikkelen voor diegenen die ze wel willen", aldus Mozilla. Het gaat dan om opties zoals het vertalen van websites, link previews die informatie over de gelinkte pagina geven en chatbots binnen de browser die eenvoudig zijn in en uit te schakelen. Mozilla zegt dat de browser de keuze van gebruikers zal onthouden, ook als die Firefox updaten. "We denken dat keuze belangrijker is dan ooit, nu AI een onderdeel van de browse-ervaring wordt. Wat voor ons belangrijk is om mensen de controle te geven, ongeacht wat ze van AI vinden." AI Controls komt beschikbaar in Firefox 148,die op 24 februari verschijnt. bron: https://www.security.nl

Google waarschuwt organisaties voor datadiefstal uit Software as a Service (SaaS)-omgevingen, waarbij de aanvallers gebruikmaken van vishing, zoals telefonische phishing wordt genoemd. Een groep criminelen die zich ShinyHunters noemt wist de afgelopen maanden op deze manier toegang tot grote hoeveelheden data van organisaties te krijgen, met daarin allerlei persoonlijke gegevens. Volgens Google doen de aanvallers zich voor als it-personeel en bellen medewerkers van aangevallen organisaties. Daarbij beweren ze dat het bedrijf de MFA (multifactorauthenticatie) instellingen aan het aanpassen is. Vervolgens wordt de opgebelde medewerker naar een speciaal voor de organisatie gemaakte phishingsite doorgestuurd. Deze phishingsite moet SSO-inloggegevens en MFA-codes onderscheppen. Vervolgens registreren de aanvallers hun eigen toestel voor MFA-gebruik. Nadat de aanvallers toegang tot een account hebben proberen ze zich door de omgeving van de aangevallen organisatie te bewegen en data uit verschillende SaaS-omgevingen te stelen. De onderzoekers stellen dat de toegang tot deze platforms waarschijnlijk opportunistisch is en wordt bepaald door de permissies en applicaties die via het gecompromitteerde account toegankelijk zijn. Zodra de aanvallers data weten te stelen, dreigen ze die openbaar te maken tenzij het aangevallen bedrijf betaalt. De onderzoekers stellen dat de aanvallen niet het gevolg zijn van kwetsbaarheden in producten of infrastructuur, maar de effectiviteit van social engineering aantonen. Daarnaast onderstrepen de aanvallen volgens Google het belang van het gebruik van phishingbestendige MFA. bron: https://www.security.nl

Europese privacytoezichthouders zijn kritisch op een plan van de Europese Commissie om de AI-regels in de EU te vereenvoudigen. Brussel wil dat het eenvoudiger voor AI-bedrijven wordt om in de EU te opereren, waarbij er ook makkelijker van allerlei gegevens gebruik kan worden gemaakt. Volgens de Europese privacytoezichthouder EDPS en de nationale Europese privacytoezichthouders verenigd in de EDPB mag een vereenvoudiging niet ten koste van de bescherming van fundamentele rechten gaan. Het voorstel van de Europese Commissie verruimt het gebruik voor leveranciers en afnemers van AI-systemen om bijzondere persoonsgegevens, zoals etniciteit of gezondheidsgegevens, voor het opsporen en corrigeren van discriminatie te gebruiken. De EDPB en EDPS vinden dat dit alleen in vooraf beschreven situaties mag, waar de risico’s van dergelijke discriminatie ernstig genoeg zijn. De privacytoezichthouders zijn ook tegen het schrappen van de registratieplicht voor AI-systemen die in categorieën van hoog-risicovolle systemen vallen, maar waarvan de leverancier vindt dat er geen hoog risico is. "Dit ondermijnt transparantie en toezicht en kan misbruik in de hand werken", aldus de Autoriteit Persoonsgegevens, die onderdeel van de EDPB is. Het zou voor een ongewenste prikkel zorgen waarbij AI-leveranciers ten onrechte claimen dat hun AI-systeem geen hoog risico is, om zo toezicht te ontlopen, aldus de privacytoezichthouders. De EDPB en EDPS vinden ook dat AI-leveranciers verplicht moeten blijven om ervoor te zorgen dat hun personeel AI-geletterd blijven. Verder maken de de toezichthouders zorgen over het uitstellen van kernverplichtingen voor AI-systemen met een hoog risico. De privacytoezichthouders pleiten ervoor om deze verplichtingen zo veel mogelijk volgens de oorspronkelijke planning te laten ingaan. bron: https://www.security.nl

Zo'n zestienhonderd Ivanti Endpoint Manager Mobile (EPMM) servers zijn vanaf het internet toegankelijk en aanvallers maken op dit moment actief misbruik van kwetsbaarheden in de oplossing, zo waarschuwt The Shadowserver Foundation op basis van eigen onderzoek. Van de publiek toegankelijk EPMM-servers bevinden zich er in 38 in Nederland. Het grootste deel werd in Duitsland waargenomen, bijna vijfhonderd. Ivanti Endpoint Manager Mobile is een mobile management software engine waarmee mobile device management (MDM) mogelijk is. Organisaties kunnen via deze oplossing de mobiele apparaten van hun medewerkers op afstand beheren, bijvoorbeeld als het gaat om toegestane applicaties of bepaald beleid. Een gecompromitteerde EPMM-server kan dan ook vergaande gevolgen hebben. Vorige week kwam Ivanti met beveiligingsupdates voor twee actief aangevallen kwetsbaarheden in de oplossing. CVE-2026-1281 en CVE-2026-1340 laten een ongeauthenticeerde aanvaller op afstand code op kwetsbare servers uitvoeren. De impact van beide beveiligingslekken is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Sinds wanneer aanvallers misbruik van de problemen maken is niet bekendgemaakt. Ook het aantal getroffen klanten werd niet door Ivanti vermeld. The Shadowserver Foundation is een stichting die onderzoek doet naar kwetsbare systemen op internet. In dit geval werd er alleen gescand naar publiek toegankelijk EPMM-servers, niet of die kwetsbaar zijn. De scan leverde zestienhonderd servers op. Duitsland voert met bijna vijfhonderd servers het overzicht aan, gevolgd door de Verenigde Staten (249) en het Verenigd Koninkrijk (58). Nederland staat met 38 publiek toegankelijke EPMM-servers op de zevende plek in het overzicht. Organisaties die van EPMM gebruikmaken worden opgeroepen de beschikbare updates te installeren. "Er is geen Proof-of-Concept-code publiek beschikbaar, maar het NCSC verwacht dat deze spoedig publiek kan verschijnen, waardoor de kans op grootschalig misbruik zal toenemen", zo laat het Nationaal Cyber Security Centrum (NCSC) over de al aangevallen kwetsbaarheden weten. bron: https://www.security.nl

Later deze maand zou Firefox 148 moeten verschijnen en Mozilla heeft deze versie van de browser uitgerust met een 'killswitch' voor het uitschakelen van alle AI-features. In december maakte de nieuwe ceo van Mozilla bekend dat Firefox zal veranderen in een "moderne AI-browser". De aankondiging zorgde voor meer dan drieduizend reacties op een Reddit-thread, waar veel gebruikers hun ongenoegen uitten. De ceo benadrukte in de aankondiging dat AI altijd een keuze moet zijn, maar veel gebruikers zijn hier niet gerust over. Vervolgens maakte het Firefox-ontwikkelteam bekend dat de browser zal worden voorzien van een optie om alle AI-features uit te schakelen. "Intern noemen we het de AI-killswitch. Het zal onder een minder heftige naam beschikbaar komen, maar het laat zien hoe serieus we dit nemen." Verder stelden de Firefox-ontwikkelaars dat alle AI-features opt-in zullen zijn, maar dat er 'sommige grijze gebieden' zijn wat 'opt-in inhoudt. De killswitch moet echter alle AI-features uitschakelen. De bètaversie van Firefox 148 bevat de veelbesproken "killswitch", die de naam "Block AI enchancements" heeft gekregen. Met deze feature ingeschakeld zal de browser vertalingen, chatbots in de zijbalk, suggesties voor tabgroupen en samenvattingen van link previews blokkeren. Ook extensies die van de Firefox AI-features gebruikmaken zullen bij het inschakelen van de optie niet meer werken. Firefox 148 zou op 24 februari moeten uitkomen, zo meldt Mozilla-volger Sören Hentzschel bron: https://www.security.nl

Statelijke actoren hadden maandenlang toegang tot de webserver van Notepad++ en hebben die toegang misbruikt voor het aanvallen van bepaalde gebruikers van de populaire teksteditor. Dat stelt de ontwikkelaar van Notepad++ in een blogposting. In december kwam Notepad++ met een update voor een kwetsbaarheid waardoor aanvallers malafide updates onder gebruikers van de software konden verspreiden. Notepad++ wordt onder andere door programmeurs gebruikt. Verschillende niet nader genoemde organisaties met belangen in Oost-Azië werden slachtoffer van de malafide Notepad++-updates. Het beveiligingslek waar de aanvallers misbruik van maakten bevindt zich in de manier waarop de updater van Notepad++ de integriteit en authenticiteit van het gedownloade updatebestand controleert. In het geval een aanvaller het netwerkverkeer tussen gebruikers van Notepad++ en de updateservers van Notepad++ kan onderscheppen, is het mogelijk om de updater een malafide bestand te laten downloaden en uitvoeren, in plaats van een legitieme update. Volgens de ontwikkelaar van Notepad++ hebben beveiligingsonderzoekers onderzoek naar de aanval gedaan en ontdekten dat aanvallers maandenlang toegang tot de webserver hadden waar de editor wordt gehost. Het gaat om een shared hostingserver waar aanvallers van juni tot september toegang toe hadden. Een update van de kernel en firmware zorgde ervoor dat de aanvallers op 2 september de toegang verloren. Hoewel de aanvallers de toegang op 2 september verloren, beschikten ze nog wel over inloggegevens voor interne services die op de betreffende server draaiden. Daardoor konden de aanvallers verkeer van notepad-plus-plus.org naar hun eigen server redirecten en zo malafide updates onder gebruikers verspreiden. De aanvallers hadden het daarbij specifiek voorzien op Notepad++, andere partijen die van de shared hostingserver gebruikmaakten zijn niet aangevallen. Hoe de aanvallers toegang tot de server wisten te krijgen is niet bekendgemaakt. De hostingprovider stelt dat het meerdere kwetsbaarheden heeft gepatcht en dat de aanvallers één van deze kwetsbaarheden opnieuw hebben geprobeerd te misbruiken, maar dat deze poging mislukte. Om welk beveiligingslek het gaat wordt niet vermeld. De ontwikkelaar van Notepad++ vermoedt dat de aanvallers dan ook van juni tot en met december toegang hadden. De ontwikkelaar van Notepad++ stelt verder dat hij vanwege de aanval naar een andere hostingprovider is overgestapt die "sterkere security practies" zou toepassen. Daarnaast zijn er al verschillende maatregelen aan de teksteditor zelf doorgevoerd om de verspreiding van malafide updates tegen te gaan. bron: https://www.security.nl

Ik vind het hier een prima plaats, zeker ook namens veel lezers, waaronder ikzelf, dank voor delen van deze mooie informatie. Zie dat ik zelf al van veel gebruik maak

Het echte ip-adres van Tor-gebruikers is mogelijk te achterhalen via kwetsbaarheden in OpenSSL waarvoor deze week updates verschenen, zo laten de ontwikkelaars van Tails weten. Die hebben vanwege de impact van de OpenSSL-lekken een noodpatch voor Tails uitgebracht. Tails staat voor The Amnesic Incognito Live System en is een volledig op Linux-gebaseerd besturingssysteem dat speciaal is ontwikkeld om de privacy en anonimiteit van gebruikers te beschermen. Het privacy-OS kan vanaf een usb-stick of dvd worden gestart. Het maakt gebruik van het Tor-netwerk om het ip-adres van de gebruiker af te schermen en biedt allerlei op privacy gerichte applicaties. Vandaag is Tails 7.4.1 verschenen, een "emergency release". Deze versie bevat onder andere een update van de gebruikte OpenSSL-library. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Ook het Tor-netwerk maakt er gebruik van. Afgelopen dinsdag verschenen er beveiligingsupdates voor OpenSSL wegens verschillende kwetsbaarheden, die in het ergste geval remote code execution mogelijk kunnen maken. Volgens de ontwikkelaars van Tails zou een malafide Tor-server door middel van de OpenSSL-kwetsbaarheden mogelijk het echte ip-adres van een Tor-gebruiker kunnen achterhalen. De ontwikkelaars voegen toe dat ze niet bekend zijn met misbruik van deze kwetsbaarheden. bron: https://www.security.nl

Het Tor Project heeft wegens "tekst-vandalisme" een nieuwe versie van Tor Browser uitgebracht, de browser waarmee gebruikers via het Tor-netwerk kunnen browsen. Volgens het Tor Project heeft een vandaal de Vietnamese vertaling van Tor Browser gevandaliseerd en zijn deze verkeerd vertaalde teksten in Tor Browser 15.0.4 terecht gekomen. Dit had geen invloed op de werking van de browser, aldus de ontwikkelaars. Met de lancering van Tor Browser 15.0.5 zijn de ongewenste vertalingen ongedaan gemaakt. Daarnaast wordt ook het proces rond het accepteren van bijgewerkte vertalingen herzien, om herhaling van een soortgelijke situatie te voorkomen. Het Tor Project zegt dat het bijdragen van de community wil blijven ontvangen, maar waarborgen toevoegt waar nodig. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Update Tor Browser 15.0.5 bevat ook een update voor OpenSSL die verschillende kwetsbaarheden verhelpt. Een malafide Tor-server zou via deze beveiligingslekken mogelijk het ip-adres van Tor-gebruikers kunnen achterhalen. bron: https://www.security.nl

Een kritieke kwetsbaarheid in encryptiesoftware GnuPG en Gpg4win kan remote code execution mogelijk maken, zo waarschuwt ontwikkelaar Werner Koch. Een CVE-nummer is nog niet beschikbaar, beveiligingsupdates wel. GnuPG is een gratis implementatie van de OpenPGP-standaard die wordt gebruikt voor het versleutelen van data en communicatie. Gpg4win is een GnuPG-implementatie voor Windows om e-mails en bestanden te versleutelen en signeren. Een speciaal geprepareerd "CMS (S/MIME) EnvelopedData" bericht met een oversized wrapped session key kan een stack buffer overflow in de software veroorzaken. Dit kan leiden tot een denial of service waardoor de software stopt met werken, maar kan volgens Koch zeer waarschijnlijk ook remote code execution mogelijk maken. Het beveiligingslek werd gevonden en gerapporteerd door OpenAI Security Research. Koch ontving de bugmelding op 18 januari en bracht op 27 januari gepatchte versies uit. Gebruikers van de software worden opgeroepen om zo snel mogelijk de updates te installeren. bron: https://www.security.nl

Aanvallers hebben een updateserver van eScan gehackt en gebruikt voor het verspreiden van malware onder klanten van het antivirusbedrijf. Op 20 januari werd een malafide update verspreid onder klanten die van de betreffende updateserver gebruikmaken. Securitybedrijf Morphisec stelt dat het de aanval ontdekte en vervolgens MicroWorld, het bedrijf achter eScan, waarschuwde. MicroWorld ontkent dit tegenover Bleeping Computer en claimt dat het de aanval zelf ontdekte. Volgens Morphisec wijzigt de malware de registerwaardes, bestanden en updateconfiguratie van eScan en zorgt ervoor dat de virusscanner niet goed meer functioneert. Zo worden updates niet meer automatisch door de antivirussoftware gedownload. Het automatisch herstellen van de infectie via eScan is daardoor niet mogelijk, aldus de onderzoekers. Getroffen organisaties moeten daardoor zelf contact met eScan opnemen om de update/patch voor het herstellen van de infectie handmatig te verkrijgen en installeren, zo stellen de onderzoekers verder. Morphisec stelt dat zowel organisaties als eindgebruikers via de malafide update met "multi-stage malware" besmet zijn geraakt, waaronder een backdoor, en besmette machines verbinding met een command & control-server verbinding maken om aanvullende malware te downloaden. Verder meldt het securitybedrijf dat de malafide update was gesigneerd met een certificaat van eScan. Hoe de aanvallers de updateserver konden compromitteren is niet bekendgemaakt. bron: https://www.security.nl

Softwarebedrijf SolarWinds waarschuwt voor verschillende kritieke kwetsbaarheden in Web Help Desk waardoor ongeauthenticeerde aanvallers systemen op afstand kunnen overnemen. Ook bevat de software hardcoded inloggegevens waardoor een aanvaller toegang tot "administrative functions" kan krijgen. Er is een update uitgebracht die het probleem verhelpt. Web Help Desk (WHD) is een ticketingsysteem waarmee organisaties hun gebruikers en klanten tickets kunnen laten insturen. Vervolgens kan de organisatie de ingezonden tickets aan medewerkers toekennen zodat die gemelde problemen kunnen oplossen. De software bevat verschillende kwetsbaarheden, zo laat SolarWinds vandaag weten. Het gaat onder andere om twee "untrusted data deserialization" kwetsbaarheden die remote code execution mogelijk maken en een "authentication bypass" waardoor een aanvaller de authenticatie kan omzeilen. De impact van deze drie beveiligingslekken (CVE-2025-40551, CVE-2025-40553 en CVE-2025-40554 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. De problemen zijn door een ongeauthenticeerde aanvaller op afstand te misbruiken. Een andere opvallende kwetsbaarheid die SolarWinds in Web Help Desk heeft verholpen is CVE-2025-40537. Het betreft de aanwezigheid van hardcoded credentials die een aanvaller toegang tot "administrative functions" geven. Verdere details zijn niet gegeven. Twee jaar geleden maakten aanvallers actief misbruik van een "deserialization of untrusted data" kwetsbaarheid in SolarWinds Web Help Desk en de aanwezigheid van hardcoded credentials. De twee beveiligingslekken, CVE-2024-28986 en CVE-2024-28987, werden door het Amerikaanse cyberagentschap CISA op een lijst van actief aangevallen kwetsbaarheden geplaatst. In de beveiligingsbulletins voor de nieuwe kwetsbaarheden wordt geen melding van waargenomen misbruik gemaakt. bron: https://www.security.nl

De makers van e-mailclient Thunderbird hebben een beveiligingsupdate uitgebracht wegens een kwetsbaarheid waardoor een aanvaller de inhoud van versleutelde e-mail kan stelen. De Duitse overheid stelt dat het risico van het beveiligingslek "hoog" is. Wanneer het laden van remote content in Thunderbird wordt toegestaan is het via CSS (Cascading Style Sheets) mogelijk om de inhoud van versleutelde e-mails deels te stelen, aldus het beveiligingsbulletin van Thunderbird. Verdere details over het lek, aangeduid als CVE-2026-0818, zijn niet door de ontwikkelaars van de e-mailclient gegeven. De link naar de betreffende bug is nog niet voor het publiek toegankelijk. Mozilla heeft CVE-2026-0818 beoordeeld als een "moderate" kwetsbaarheid. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, denkt daar anders over en stelt dat het risico "hoog" is. De kwetsbaarheid is verholpen in Thunderbird 140.7.1 en 147.0.1. bron: https://www.security.nl

Aanvallers maken op grote schaal misbruik van een kwetsbaarheid in WinRAR waarvoor vorig jaar juli een beveiligingsupdate verscheen, zo meldt Google. WinRAR heeft geen automatische updatefunctie, wat inhoudt dat gebruikers de update zelf handmatig moeten installeren. Via het beveiligingslek (CVE-2025-8088) kan een aanvaller willekeurige code op het systeem van slachtoffers uitvoeren, als die een speciaal geprepareerd archiefbestand openen. Hierbij worden bestanden in de Windows Startup directory geplaatst en bij het opstarten van het systeem uitgevoerd. Het probleem werd op 24 juli verholpen in de bètaversie van WinRAR 7.13. De definitieve versie van WinRAR 7.13 verscheen op 30 juli. Op het moment dat deze versies verschenen was er al misbruik van het lek gemaakt. Antivirusbedrijf ESET, dat de kwetsbaarheid ontdekte, waarschuwde dat Europese bedrijven, waaronder in de financiële, productie, defensie en logistieke sectoren, via het lek waren aangevallen. Hoewel een gepatchte versie al maanden beschikbaar is zijn er meerdere door staten gesteunde groepen aanvallers die nog altijd op grote schaal misbruik van CVE-2025-8088 maken, aldus de Google Threat Intelligence Group (GTIG). Deze groepen hebben zowel financieel gewin als spionage als motief. Volgens de onderzoekers kunnen aanvallers misbruik van bekende kwetsbaarheden blijven maken, omdat gebruikers nalaten beschikbare updates te installeren. bron: https://www.security.nl

Fortinet waarschuwt organisaties voor een actief aangevallen kritieke kwetsbaarheid in FortiOS en andere producten waardoor een aanvaller toegang tot systemen kan krijgen. Er zijn voor verschillende productversies updates beschikbaar gesteld om het probleem (CVE-2026-24858) te verhelpen, maar sommige versies wachten nog op een patch. De kwetsbaarheid maakt het mogelijk voor aanvallers met een FortiCloud-account en een geregistreerd apparaat om op andere apparaten in te loggen die aan andere accounts zijn gekoppeld, als FortiCloud SSO-authenticatie voor deze apparaten staat ingeschakeld. Via de FortiCloud SSO login kunnen gebruikers via één set inloggegevens op verschillende Fortinet-producten inloggen. FortiOS is het besturingssysteem van Fortinet dat op allerlei netwerkapparaten draait, zoals firewalls en switches. Fortinet zegt dat het twee malafide Fortinet-accounts heeft ontdekt die misbruik van de kwetsbaarheid maakten. Deze accounts werden op 22 januari door Fortinet uitgeschakeld. Hoeveel apparaten via deze accounts zijn gecompromitteerd laat Fortinet niet weten. Fortinet besloot op 26 januari FortiCloud SSO aan de FortiCloud-kant uit te schakelen waardoor klanten de inlogmethode niet konden gebruiken. Een dag later werd de inlogmethode weer ingeschakeld, behalve voor apparaten die een kwetsbare versie draaien. Klanten moeten daardoor hun Fortinet-producten updaten als ze via Fortinet SSO willen kunnen inloggen. CVE-2026-24858 is aanwezig in FortiAnalyzer, FortiManager, FortiOS en FortiProxy. Voor verschillende versies van deze producten zijn beveiligingsupdates beschikbaar gesteld, maar voor sommige versies is een patch nog niet beschikbaar. Verder stelt Fortinet dat wordt onderzocht of FortiWeb en FortiSwitch Manager ook kwetsbaar zijn. Verder heeft Fortinet ook Indicators of Compromise beschikbaar gesteld waarmee organisatie kunnen controleren of hun Fortinet-producten zijn gecompromitteerd. Het Amerikaanse cyberagentschap CISA heeft overheidsinstanties opgedragen om de updates voor 30 januari te installeren. bron: https://www.security.nl

Een kwetsbaarheid in OpenSSL kan in bepaalde gevallen remote code execution op systemen mogelijk maken. Er zijn nieuwe versies van de software beschikbaar gesteld waarin het probleem, aangeduid als CVE-2025-15467, is verholpen. Bij het verwerken van bepaalde CMS (Cryptographic Message Syntax) messages, voorzien van speciaal geprepareerde parameters, kan er een stack buffer overflow ontstaan die kan leiden tot een crash en mogelijk remote code execution. "Applicaties en services die onbetrouwbare CMS of PKCS#7 content verwerken met behulp van AEAD ciphers (bijvoorbeeld S/MIME AuthEnvelopedData met AES-GCM) zijn kwetsbaar. Omdat de overflow zich voor de authenticatie voordoet is er geen geldig key materiaal vereist om het te veroorzaken", aldus het beveiligingsbulletin. De mogelijkheid tot remote code execution misbruik hangt volgens het OpenSSL-team af van het betreffende platform, maar de ontwikkelaars waarschuwen dat de "stack-based write primitive" een ernstig risico vormt. De kwetsbaarheid is aanwezig in OpenSSL 3.6, 3.5, 3.4, 3.3 en 3.0. OpenSSL 1.1.1 en 1.0.2 zijn niet kwetsbaar. De impact is beoordeeld als "High". Dergelijke kwetsbaarheden worden zelden in OpenSSL gevonden. De afgelopen drie jaar ging het om slechts twee van dergelijke beveiligingslekken. Gebruikers worden opgeroepen om te upgraden naar OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 of 3.0.19. Deze versies verhelpen ook verschillende andere kwetsbaarheden, maar de impact daarvan is lager beoordeeld. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. bron: https://www.security.nl

Onderzoekers hebben zestien malafide extensies voor Google Chrome en Microsoft Edge ontdekt die zich voordoen als verbetering en optimalisatie van ChatGPT, maar in werkelijkheid session tokens van gebruikers stelen en terug naar de aanvallers sturen. Met deze tokens krijgen aanvallers toegang tot gegevens van gebruikers, waaronder gespreksgeschiedenis en metadata. Dat meldt securitybedrijf LayerX op basis van eigen onderzoek. De zestien malafide extensies, waarvan vijftien voor Chrome en één voor Edge, zijn bij elkaar zo'n negenhonderd keer gedownload, wat zeer weinig is in vergelijking met andere malafide extensies die ChatGPT-gesprekken stelen. Sommige van deze extensies die recentelijk zijn ontdekt waren honderdduizenden keren gedownload. Volgens de onderzoekers is het belangrijk om alert te zijn op browser-extensies die integreren met AI-platforms waarvoor moet worden ingelogd. Securitybedrijf Symantec kwam ook met een waarschuwing voor malafide Chrome-extensies met de naam "Children Protection", "Good Tab", "DPS Websafe" en "Stock Informer" die legitiem lijken, maar in werkelijkheid cookies en data van het clipboard stelen en zoekopdrachten van gebruikers kapen. Deze extensies zijn bij elkaar meer dan 100.000 keer gedownload. bron: https://www.security.nl

Zo'n zesduizend SmarterMail-servers bevatten een kritieke kwetsbaarheid waardoor ongeauthenticeerde aanvallers het wachtwoord van de administrator kunnen resetten, zo laat The Shadowserver Foundation op basis van eigen onderzoek weten. Meerdere partijen melden dat aanvallers actief misbruik maken van het beveiligingslek, aangeduid als CVE-2026-23760. Op 15 januari kwam ontwikkelaar SmarterTools met SmarterMail Build 9511 waarin het probleem is verholpen. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange. Gebruikers van SmarterMail kunnen hun wachtwoord resetten. Bij een normale resetprocedure controleert SmarterMail het oude wachtwoord van de gebruiker voordat er een nieuw wachtwoord wordt ingesteld. Onderzoekers van watchTowr ontdekten een endpoint waardoor het mogelijk is om zonder geldig wachtwoord een reset voor elke willekeurige gebruiker uit te voeren. De betreffende API (application programming interface) vereist een oud wachtwoord, maar controleert niet of die juist is. Het enige dat een aanvaller daardoor nodig heeft is de gebruikersnaam van het admin-account en een nieuw wachtwoord om zo admin-toegang tot de mailserver te krijgen. Zodra de aanvaller als admin is ingelogd kan die een nieuw volume mounten en dat van willekeurige commando's voorzien, die vervolgens door het onderliggende besturingssysteem worden uitgevoerd. "Op dat moment heeft de aanvaller volledige remote code execution op de onderliggende host", aldus de onderzoekers. The Shadowserver Foundation is een stichting die zich bezighoudt met onderzoek naar kwetsbare systemen op internet. Het voerde een scan uit naar SmarterMail-servers en keek daarbij naar het gebruikte versienummer. Dit leverde zesduizend servers met een kwetsbare versie op, waarvan 62 in Nederland. Het Amerikaanse cyberagentschap CISA meldt dat aanvallers actief misbruik van CVE-2026-23760 maken. Eerder werd dit ook gemeld door securitybedrijf watchTowr. Op het forum van SmarterTools wordt beheerders verteld dat als hun admin-wachtwoord niet meer werkt, ze ervan moeten uitgaan dat hun server is gehackt. bron: https://www.security.nl

Muziekdienst SoundCloud heeft de persoonlijke gegevens van zo'n 30 miljoen gebruikers gelekt. Het gaat om e-mailadressen, locatiegegevens, namen, profielstatistieken, avatars en gebruikersnamen. SoundCloud maakte het datalek zelf al vorige maand bekend. De muziekdienst stelde toen dat aanvallers op een systeem hadden ingebroken en er data was buitgemaakt van twintig procent van de SoundCloud-gebruikers. Een exact aantal slachtoffers werd niet gecommuniceerd. Hoe de aanvallers toegang tot het "ancillary service dashboard" wisten te krijgen werd ook niet door SoundCloud bekendgemaakt. De gestolen e-mailadressen zijn nu toegevoegd aan Have I Been Pwned. Via de datalekzoekmachine kunnen mensen kijken of hun e-mailadres in een bekend datalek voorkomt. Van de bijna 30 miljoen gestolen e-mailadressen was 67 procent al via een ander datalek bij de zoekmachine bekend. bron: https://www.security.nl

Beste dirk69, Ik zag dat je iets hierover naar mij gerapporteerd hebt. Maar zie niet zo snel waarom. Geen probleem. Ik ben zelf niet zo thuis in de Samsung telefoons maar heb wel dit voor je op het internet gevonden. Misschien staat er een manier tussen die voor jouw reddend is: Alle manieren om een Samsung-telefoon te ontgrendelen met een wachtwoord, pincode, patroon of schermvergrendeling Ik hoop dat daar een voor jou werkende manier tussen zit. Hou ons op de hoogte.

Microsoft heeft kritieke kwetsbaarheden in AI-chatbot Copilot gepatcht waardoor aanvallers informatie van gebruikers konden stelen. De "information disclosure" kwetsbaarheden waren aanwezig in Word Copilot (CVE-2026-21521) en M365 Copilot (CVE-2026-24307). Volgens de beschrijving van Microsoft ging de AI-chatbot niet goed om met bepaalde gebruikersinvoer, waardoor een ongeautoriseeerde aanvaller informatie had kunnen stelen. Verdere details over de twee problemen zijn niet gegeven. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 7.4 en 9.3. Ook in het geval van het Word Copilot-lek, dat de impactscore van 7.4 kreeg, spreekt Microsoft van een kritieke kwetsbaarheid. Beide problemen waren door externe onderzoekers gerapporteerd. Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen. bron: https://www.security.nl

Aanvallers maken actief misbruik van een nieuwe kwetsbaarheid in Fortinet FortiGate-firewalls waarvoor nog geen beveiligingsupdate beschikbaar is. De afgelopen dagen lieten verschillende firewall-beheerders weten dat hun volledig gepatchte FortiGate-firewall was gecompromitteerd. Het misbruik leek op een kritieke kwetsbaarheid waarvoor Fortinet in december updates had uitgebracht. Volgens Fortinet gaat het echter om een nieuw probleem dat inmiddels is geïdentificeerd. Het bedrijf werkt aan een beveiligingsupdate maar laat niet weten wanneer die beschikbaar komt. Ook is er nog geen beveiligingsbulletin gepubliceerd. Wel laat Fortinet weten dat alleen misbruik van FortiCloud SSO is waargenomen, maar het probleem alle SAML SSO-implementaties raakt. Organisaties kunnen in afwachting op een beveiligingsupdate de FortiCloud SSO feature uitschakelen. Dat voorkomt misbruik via deze methode, maar niet via een third-party systeem. Fortinet adviseert deze mitigatie alleen in combinatie met een "local-in policy" uit te voeren. Verder zijn er verschillende Indicators of Compromise gegeven waarmee organisaties kunnen kijken of hun firewalls zijn gecompromitteerd. Securitybedrijf Arctic Wolf heeft ook meer details over de aanvallen. bron: https://www.security.nl