Captain Kirk

Apache HTTP Server, de meestgebruikte webserversoftware ter wereld, gaat een protocol ondersteunen dat het eenvoudiger voor websites maakt om tls-certificaten te installeren en te beheren. Hierdoor zal naar verwachting het aantal websites dat via een beveiligde https-verbinding bereikbaar is sterk stijgen. Het gaat om het ACME-protocol, dat door de certificaatautoriteit Let's Encrypt wordt gebruikt voor de installatie van tls-certificaten. Let's Encrypt geeft gratis tls-certificaten uit en heeft een volledig versleuteld web als doel. Gebruikers van Let's Encrypt die een gratis tls-certificaat willen zullen in de meeste gevallen de ACME-client moeten downloaden en verschillende commando's moeten uitvoeren. Volgens Let's Encrypt zou het voor webmasters en serverbeheerders eenvoudiger zijn als hun webserversoftware standaard over een ingebouwde ACME-client beschikt. Zodoende is het niet meer nodig om aanvullende software binnen te halen. "Hoe minder werk mensen hebben om https uit te rollen des te beter", zegt Josh Aas, directeur van de Internet Security Research Group (ISRG). Let's Encrypt is een initiatief van de ISRG en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en andere partijen. Volgens Aas is ACME-ondersteuning in één van de populairste webservers ter wereld fantastisch, omdat zo het uitrollen van https voor miljoenen websites een stuk eenvoudiger wordt. De Apache httpd ACME-module heet mod_md. De module bevindt zich op dit moment in de ontwikkelversie van Apache. Er wordt daarnaast aan een plan gewerkt om de ACME-module ook voor Apache 2.4.x stable release beschikbaar te maken. De mod_md-code is beschikbaar op GitHub. bron: security.nl

Microsoft heeft vorige week een update uitgebracht voor één van de beveiligingslekken in het WPA- en WPA2-protocol die gisteren werden onthuld. Via de "KRACK-attack" kan een aanvaller met WPA- of WPA2-beveiligd verkeer ontsleutelen en in het ergste geval ook manipuleren. Het gaat in totaal om tien kwetsbaarheden die gisteren door Mathy Vanhoef van de KU Leuven werden geopenbaard. Vanhoef had verschillende organisaties en leveranciers al in juli gewaarschuwd, zodat die beveiligingsupdates konden ontwikkelen. In het geval van Microsoft is de update tijdens de patchdinsdag van oktober uitgerold. Het gaat om update KB4041676 die volgens de omschrijving "beveiligingsupdates voor Windows Wireless Networking" bevat. Verdere details werden echter niet gegeven. Inmiddels heeft Microsoft wel meer informatie online gezet. Windows bleek één van de tien ontdekte kwetsbaarheden te bevatten. Het gaat om CVE-2017-13080. Microsoft spreekt van een 'spoofinglek' waardoor een aanvaller broadcast en/of multicast-verkeer naar wifi-gebruikers kan replayen. Om de kwetsbaarheid te exploiteren moet een aanvaller in de buurt van het doelwit zijn en een man-in-the-middle-aanval uitvoeren om het verkeer tussen het doelwit en het access point te onderscheppen. Volgens Microsoft is er nog geen misbruik van de kwetsbaarheid in 'het wild' waargenomen. Ook stelt de softwaregigant dat misbruik 'minder waarschijnlijk' is. De update van Microsoft is voor Windows 7 en nieuwer uitgekomen en zal op de meeste systemen automatisch zijn geïnstalleerd. bron: security.nl

Google heeft de Windows-versie van Chrome van nieuwe features voorzien die gebruikers extra tegen ongewenste software beschermen. Volgens Google hebben miljoenen internetgebruikers dagelijks met de gevolgen van ongewenste software te maken. Het gaat dan bijvoorbeeld om software of extensies die zoekresultaten aanpassen, de startpagina veranderen of advertenties injecteren. Chrome beschikte al over verschillende maatregelen om dergelijke software tegen te gaan, zoals de Safe Browsing-technologie van Google en de optie om de instellingen van Chrome te resetten. Nu zijn deze maatregelen verder uitgebreid, zo heeft de internetgigant aangekondigd. Chrome is nu in staat om te detecteren of de instellingen zonder toestemming van de gebruiker zijn aangepast en zal vervolgens aanbieden om die te herstellen. Daarnaast is de Chrome Cleanup-optie aangepast. Deze feature zal gebruikers nu waarschuwen als het ongewenste software detecteert en maakt het mogelijk om Chrome eenvoudig naar de standaardinstellingen terug te zetten. Als laatste beschikt de browser over een krachtigere 'cleanup engine'. Google werkt hierbij samen met anti-virusbedrijf ESET. De detectietechnologie van ESET wordt gecombineerd met de sandbox-technologie van Chrome om ongewenste software effectiever te detecteren. Het gaat hier niet om een virusscanner, maar een tool die alleen software verwijdert die niet aan het 'ongewenste softwarebeleid' van Google voldoet. bron: security.nl

Adobe heeft vandaag een noodpatch uitgebracht voor een zeroday-lek in Flash Player dat actief is gebruikt om Windows-gebruikers aan te vallen. Via de kwetsbaarheid kan een aanvaller systemen in het ergste geval volledig overnemen. Adobe stelt dat het beveiligingslek bij "beperkte en gerichte" aanvallen tegen Windows-gebruikers is ingezet. De kwetsbaarheid werd door een onderzoeker van anti-virusbedrijf Kaspersky Lab ontdekt. Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 27.0.0.170 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. Linux-gebruikers kunnen de update installeren wanneer het hen uitkomt. Adobe baseert dit advies op aanvallen die in het verleden zijn voorgekomen en de kans dat kwetsbaarheden op een bepaald platform worden aangevallen. In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobe verwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd. bron: security.nl

Microsoft Edge blokkeert meer malware- en phishingsites dan Google Chrome en Mozilla Firefox, zo stelt onderzoeksbureau NSS Labs aan de hand van een test. Gedurende 23 dagen tijdens augustus en september werden 1136 unieke phishingsites getest. Edge blokkeerde gemiddeld 92,3 procent van de url's, tegenover Chrome met gemiddeld 74,5 procent. Firefox eindigde met 61,1 procent op de derde plek. Ook is Edge sneller in het identificeren van nieuwe phishingsites, zo blijkt uit het onderzoek dat NSS Labs met MSPoweruser deelde. Daarnaast werd er ook getest met 'socially engineered malware'. Het gaat in dit geval om malware die gebruikers zelf downloaden en niet via bijvoorbeeld een drive-by download wordt geïnstalleerd. Hierbij wist Edge gemiddeld 99,5 procent van de kwaadaardige websites die malware aanboden te blokkeren, gevolgd door Chrome met 87,5 procent. Firefox eindigt wederom op de derde plek, dit keer met een percentage van 70,1 procent. Volgens NSS Labs kan de test helpen bij organisaties die met twee browsers werken. Vanwege veiligheidsredenen kiezen sommige organisaties ervoor om legacy browsers alleen voor interne of oudere applicaties te gebruiken en voor overige zaken een moderne browser in te zetten. Het volledige testrapport is tegen betaling (295 dollar) verkrijgbaar. bron: security.nl

Een bug in de populaire Firefox-extensie NoScript zorgt ervoor dat het icoon om de extensie te bedienen niet meer in de browser wordt weergegeven. NoScript is een uitbreiding voor Firefox die scripts op webpagina's blokkeert en allerlei extra beveiliging aan de browser toevoegt. De extensie wordt door mening beveiligingsexpert aangeraden. Met meer dan 1,7 miljoen gebruikers is het ook één van de populairste uitbreidingen voor Firefox. Afgelopen vrijdag verscheen er een update met versienummer 5.1.2 die ervoor zorgt dat het NoScript-icoon niet meer zichtbaar is. Scripts worden nog wel geblokkeerd, maar het is niet meer mogelijk om de extensie te bedienen. Op het forum van NoScript maakten tal van gebruikers melding van het probleem. Het probleem is onder andere op te lossen door Firefox in veilige modus te herstarten, te sluiten en vervolgens weer normaal te herstarten. bron: security.nl

Wifi-netwerken wereldwijd zijn kwetsbaar door meerdere beveiligingslekken in de WPA2-beveiliging. De Belgische onderzoekers Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet ontdekten tien kwetsbaarheden waardoor het onder andere mogelijk is om versleuteld wifi-verkeer te ontsleutelen, tcp-verbindingen te kapen, http-content te injecteren en packets te relayen. De KRACK-aanval die de onderzoekers ontwikkelden, wat staat voor Key Reinstallation Attacks, valt de handshake volgorde aan die WPA2 gebruikt om de encryptiesleutels te kiezen voor een sessie tussen de client en het access point. Tijdens de derde van de vier stappen kan de sleutel meerdere keren opnieuw worden gestuurd. Wanneer dit op bepaalde manieren wordt gedaan kan de cryptografische nonce, een willekeurig getal dat maar een keer mag worden gebruikt, op zo'n manier worden herbruikt dat de encryptie volledig wordt ondermijnd. Daardoor is het mogelijk om met WPA2-beveiligd verkeer af te luisteren en bijvoorbeeld van kwaadaardige code te voorzien. De onderzoekers zullen later vandaag de details van hun onderzoek vrijgeven. Details zijn echter al onder embargo met organisaties en andere onderzoekers gedeeld. Volgens Ars Technica heeft het Computer Emergency Readiness Team (US-CERT) van de Amerikaanse overheid al een waarschuwing naar zo'n honderd organisaties gestuurd. De onderzoekers hebben op Github al een pagina met de naam krackattacks aangemaakt, alsmede de domeinnaam krackattacks.com geregistreerd. Op 1 november tijdens de ACM Conferentie over Computer en Communications Security (CCS) zullen Vanhoef en Piessens hun onderzoek presenteren, zo meldt The Register. Afgelopen augustus publiceerden de onderzoekers al onderzoek (pdf) naar logische kwetsbaarheden in wifi-protocollen. Update De onderzoekers hebben hun onderzoek gepubliceerd (pdf) en op de website krackattacks.com meer informatie gegeven. Ze stellen dat de aanval zich richt op 'clients', zoals smartphones en laptops, in plaats van access points. Via de aanval kan alle informatie die een doelwit verstuurt worden ontsleuteld, mits dit via http gebeurt. Https biedt volgens de onderzoekers een extra beveiligingslaag, maar ook deze laag kan worden omzeild, zo waarschuwen ze. Afhankelijk van de gebruikte apparatuur kan ook de data naar het slachtoffer toe worden ontsleuteld. De aanval werkt zowel tegen WPA als WPA2. Hierbij moet worden opgemerkt dat een aanvaller het wachtwoord van het wifi-netwerk via de nu gepresenteerde aanval niet kan achterhalen. Het aanpassen van het wifi-wachtwoord kan de aanval dan ook niet voorkomen. De onderzoekers adviseren wifi-gebruikers om updates voor hun apparaten te installeren wanneer die beschikbaar komen. Update 2 Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft de eigen advisory over de kwetsbaarheid gepubliceerd. De kwetsbaarheden worden op een schaal van 1 tot en met 10 met een 5,7 beoordeeld. Verder noemt het CERT/CC verschillende leveranciers die kwetsbaar zijn, waaronder Cisco, Intel, Juniper, Samsung, Toshiba en ZyXel. Als oplossing wordt het installeren van updates genoemd, als die beschikbaar zijn. Update 3 Ook het Nationaal Cyber Security Centrum van het ministerie van Veiligheid en Justitie heeft een waarschuwing afgegeven. "Om de kwetsbaarheden volledig te mitigeren is het noodzakelijk om zowel de client als de access points van updates te voorzien", zo laat het NCSC weten. Verder stelt de overheidsinstantie dat om vertrouwelijkheid en integriteit van gegevens te waarborgen overwogen kan worden om gebruik te maken van versleutelde verbindingen, zoals tls-, https- en vpn-verbindingen. Beveiligingsexpert Robert Graham heeft een korte uitleg over de aanval online gezet. Daarin laat hij weten dat een aanvaller niet op het wifi-netwerk van het doelwit hoeft te zijn ingelogd. Verder biedt ssl/tls/vpn bescherming tegen de aanval en zijn zowel WPA als WPA2 kwetsbaar. Aangezien veel producten, zoals de Amazon Echo, tls gebruiken beperkt dit de impact van de aanval. Verder stelt de expert dat organisaties en bedrijven de aanval tegen zichzelf moeten uitvoeren, om te controleren dat alle apparaten beschermd zijn. Uiteindelijk moet het zo zijn dat alleen gepatchte toestellen met het wifi-netwerk binnen de organisatie verbinding mogen maken. bron: security.nl

Google heeft deze week meerdere nepversies van de populaire adblocker Adblock Plus uit de Chrome Web Store en van de computers van Chrome-gebruikers verwijderd. Eerder deze week waarschuwde de beveiligingsonderzoeker met het alias 'SwiftOnSecurity' voor een nepversie van Adblock Plus. Deze nepversie was 37.000 keer gedownload en toonde allerlei advertenties bij gebruikers. Na te zijn ingelicht verwijderde Google de extensie. In een reactie op 10 oktober erkende Google dat een aantal Chrome-apps de detectiesystemen had omzeild, maar dat er werd gewerkt aan een oplossing. Een dag later op 11 oktober waarschuwde SwiftOnSecurity opnieuw. Dit keer voor twee nieuwe nepversies van Adblock Plus, waarbij één op slimme wijze een vals aantal downloads liet zien. Bij de ondertitel stond "10.000.000+ users - Adblock Plus". Daardoor zouden gebruikers kunnen denken dat het om de echte versie ging, aangezien die meer dan 10 miljoen gebruikers heeft. Om de filters van Google te omzeilen hadden deze extensies gebruik gemaakt van Cyrillische unicode-karakters. Inmiddels zijn ook deze nep-apps verwijderd en de accounts van de ontwikkelaars geschorst. bron: security.nl

Dit gebeurd automatisch. Je kunt wel iemand blokkeren wanneer deze in je vriendenlijst staat.

Gezien geen reactie ga ik er vanuit dat het opgelost is. Daarom zet ik het topic op slot. Wil je het toch weer open hebben, laat het ons dan even weten.

Beste Jantjesl, Hoe staat het met het probleem. Indien het is opgelost, laat het dan even weten. Dan kan dit topic op slot.

Aanvallers maken gebruik van kwaadaardige Word-documenten om internetgebruikers met malware te infecteren. In tegenstelling tot veel andere aanvallen waarbij Word-documenten worden ingezet bevatten deze documenten geen macro's of embedded OLE-objecten. De aanvallers maken gebruik van het Dynamic Data Exchange (DDE) protocol om via het document kwaadaardige code op de computer uit te voeren. Via dit protocol is het mogelijk om naar een bestand te linken dat het document vervolgens probeert te openen. Het is bedoeld om data van het ene document in een ander document te injecteren. Hierbij wordt de gebruiker nog wel om toestemming gevraagd. In augustus werd er al voor een soortgelijke aanval gewaarschuwd. Onlangs publiceerde securitybedrijf SensePost een blogposting over het uitvoeren van kwaadaardige code in Word-documenten via het DDE-protocol. Het securitybedrijf had Microsoft in augustus gewaarschuwd, maar volgens de softwaregigant ging het om een feature en zou er voorlopig geen actie worden ondernomen. Nu meldt Cisco dat het aanvallen heeft waargenomen waarbij kwaadaardige Word-documenten van het DDE-protocol gebruikmaken. De documenten worden verspreid via e-mails die van de Amerikaanse beurswaakhond SEC afkomstig lijken. Zodra het document wordt geopend krijgen gebruikers de vraag of ze het document willen bijwerken met data van de bestanden waarnaar wordt gelinkt. In dit geval wordt er kwaadaardige code gedownload die de uiteindelijke malware installeert. Volgens Cisco werd de kwaadaardige code op een gehackte server van de Amerikaanse staat Louisiana gehost. De malware die uiteindelijk wordt geïnstalleerd verzamelt informatie over het systeem, waaronder het serienummer van het bios, en geeft aanvallers volledige controle over de computer. bron: security.nl

Aanvallers zijn er enige tijd in geslaagd om via een website van kredietbureau Equifax adware te verspreiden, zo ontdekte beveiligingsonderzoeker Randy Abrams. Abrams wilde zijn eigen kredietrapport bij Equifax opvragen toen hij plotseling naar een website werd doorgestuurd. Deze website wilde Abrams een zogenaamde Flash Player-update laten downloaden. In werkelijkheid ging het om adware genaamd Eorezo die allerlei advertenties laat zien. De adware wordt door drie virusscanners op VirusTotal herkend. Inmiddels wordt de adware niet meer via de website verspreid. Abrams informeerde Equifax via Twitter. Aanvallers wisten eerder dit jaar bij Equifax de gegevens van 145,5 miljoen Amerikanen te stelen. Deze week liet het bedrijf weten dat ook de data van ruim 690.000 Britten is buitgemaakt. bron: security.nl

Het zeroday-lek in alle ondersteunde versies van Microsoft Office waarvoor dinsdagavond een beveiligingsupdate verscheen is sinds september aangevallen. Dat meldt securitybedrijf Qihoo 360, dat het zeroday-lek en de aanvallen ontdekte. Via de kwetsbaarheid kan een aanvaller volledige controle over een computer krijgen als er een kwaadaardig document wordt geopend. In het geval de aanval succesvol was werd er een Trojaans paard geïnstalleerd dat ontwikkeld was om gevoelige gegevens te stelen. Door de Command & Control-server te analyseren waarmee de malware communiceerde stelt Qihoo 360 dat de aanval in augustus werd voorbereid en in september gelanceerd. Tegen wie de aanval was gericht laat het securitybedrijf niet weten, maar het zou om een "beperkt aantal klanten" gaan. bron: security.nl

Een beveiligingslek dat Microsoft gisterenavond patchte maakte het mogelijk om computers door het versturen van een kwaadaardige dns-response volledig over te nemen. Het beveiligingslek bevond zich in de Windows DNSAPI en speelde bij Windows 8 en Server 2012 en nieuwere Windows-versies. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. Computers versturen tijdens het browsen of streamen van muziek en video's allerlei dns-requests, waarop een response volgt. Ook als de computer niet door de gebruiker wordt gebruikt zal die dns-requests sturen, bijvoorbeeld als er naar Windows-updates wordt gezocht. In de meeste gevallen komt de dns-response niet direct bij de applicatie terecht die de request verstuurde, maar gaat die eerst via de dns-cachingservice. Deze service bewaart de response voor hergebruik, wat het aantal dns-requests beperkt dat het systeem moet versturen. De Windows dns-client blijkt dns-responses echter niet voldoende te controleren. Een geprepareerde dns-response kan het geheugen van de dns-client corrumperen, waardoor een aanvaller willekeurige code op het systeem kan uitvoeren. De kwetsbaarheid werd ontdekt door Nick Freeman van securitybedrijf Bishop Fox. Volgens Freeman zou een aanvaller van het beveiligingslek gebruik kunnen maken als hij controle over de dns-server van de gebruiker heeft, bijvoorbeeld via een man-in-the-middle-aanval. Een aanvaller zou hiervoor zijn eigen kwaadaardige hotspot kunnen opzetten of gebruikers van een gedeeld wifi-netwerk kunnen aanvallen. Via de aanval is het mogelijk om met verschillende rechten code uit te voeren. Als de dns-cachingservice crasht zal de volgende dns-response direct naar de applicatie gaan die het verzoek deed. Dit houdt in dat de aanvaller de dns-cachingservice kan laten crashen en wachten tot een applicatie met hoge rechten, zoals Windows Update, een request verstuurt. Daarbij kan een aanvaller het lek een onbeperkt aantal keer aanvallen. De gebruiker merkt het namelijk niet als de dns-cachingservice crasht. De service zal zich daarnaast zelf weer herstarten. De update die het probleem verhelpt wordt op de meeste systemen automatisch geïnstalleerd. bron: security.nl

Securitybedrijf Symantec geeft overheden geen toegang meer tot de broncode van de beveiligingssoftware die het aanbiedt, omdat dit de veiligheid van de producten in gevaar kan brengen. Dat laat ceo Greg Clark in een interview met persbureau Reuters weten. Verschillende softwarebedrijven, zoals Microsoft, geven overheden toegang tot broncode om zo zorgen over backdoors en andere risico's weg te nemen. Ook Symantec deed dit, maar volgens Clark is het beveiligingsrisico te groot geworden. Het verlies van vertrouwen door de broncode niet meer te laten controleren zou niet opwegen tegen de 'business' die het bedrijf kan winnen, aldus de Symantec-ceo. Clark vertelde geen hard bewijs te hebben dat inzage in de broncode tot aanvallen heeft geleid, maar noemde het proces een onacceptabel risico voor klanten. bron: security.nl

Een beveiligingslek in Microsoft Outlook 2016 heeft ervoor gezorgd dat met S/MIME versleutelde e-mails in bepaalde gevallen onversleuteld werden verstuurd. Het probleem zou tenminste al zes maanden in de software aanwezig zijn, zo stelt securitybedrijf SEC Consult, dat het probleem ontdekte. S/MIME is een standaard voor end-to-end-encryptie en het signeren van e-mails. Het wordt onder andere door Microsoft Outlook, Mozilla Thunderbird en Apple Mail ondersteund. De kwetsbaarheid deed zich alleen voor bij het opstellen van e-mails in platte tekst die vervolgens via S/MIME werden versleuteld. Outlook stuurde in deze gevallen het bericht in zowel versleutelde als onversleutelde vorm (in één enkel bericht) naar de mailserver van de afzender en ontvanger. Daardoor was het mogelijk om zonder de privésleutel van de ontvanger de inhoud van het bericht te lezen. Iets wat S/MIME juist moet voorkomen. De afzender had niets door, aangezien het bericht in zijn verzonden map als versleuteld werd weergegeven. Het probleem speelde verder alleen bij het gebruik van Outlook als afzender. In het geval van inkomende met S/MIME versleutelde berichten, waar Outlook de ontvanger was, deed het probleem zich niet voor. Versleutelde berichten met html-opmaak werden wel juist versleuteld verstuurd. Volgens SEC Consult zou een aanvaller op verschillende manieren misbruik van de kwetsbaarheid kunnen maken, afhankelijk van of er met een Exchange-server of smtp-server werd gewerkt. In het geval van Exchange zou de aanval mogelijk zijn als de aanvaller toegang tot het netwerkverkeer heeft tussen Outlook en de Exchange-server en er geen versleutelde tls-verbinding wordt gebruikt of als een aanvaller toegang tot de Exchange-server van de afzender heeft. Bij het gebruik van een smtp-server is de aanval mogelijk als de aanvaller toegang tot het netwerkverkeer, mail transfer agent of de mailbox van de afzender of ontvanger heeft. Het beveiligingslek werd gisterenavond door Microsoft gepatcht. bron: security.nl

Microsoft is gestopt met de support van Office 2007, Office 2011 voor Mac en Windows 10 versie 1511, ook bekend als de November Update. De software ontvangt vanaf nu geen beveiligingsupdates meer. Ook Project 2007 en Project Server 2007, Visio 2007 en SharePoint Server 2007 worden niet meer ondersteund. Volgens Microsoft kan het blijven gebruiken van de software voor compliance- en veiligheidsproblemen zorgen. Office 2007, dat op 30 januari 2007 verscheen, kreeg de afgelopen jaren regelmatig met zeroday-aanvallen te maken. In april van dit jaar werd er nog gewaarschuwd voor aanvallen op een zeroday-lek in de kantoorsoftware. Ook gisteren patchte Microsoft nog een zeroday-lek in Office 2007 dat actief voor het verschijnen van de update werd aangevallen. De softwaregigant adviseert gebruikers om naar Office 365 te migreren. Daarnaast is de ondersteuning gestopt van Windows 10 versie 1511. Dit is de eerste grote update voor het besturingssysteem die in november 2015 verscheen. Eerder werd al de ondersteuning van de originele Windows 10-versie gestaakt. Microsoft beschouwt Windows 10 als 'Windows as a Service' en alle grote updates voor het besturingssysteem worden een bepaalde tijd ondersteund. Zo zal de support van de Windows 10 Anniversary Update (versie 1607) volgend jaar maart aflopen. Windows 10-gebruikers die met deze versie werken moeten dan updaten als ze nog updates willen ontvangen. bron: security.nl

De populaire wachtwoordmanager 1Password is nu ook beschikbaar voor Microsoft Edge, zo heeft ontwikkelaar AgileBits aangekondigd. Om de gratis browser-extensie te gebruiken moeten gebruikers wel 1Password voor Windows 6.7 of nieuwer op hun systeem hebben geïnstalleerd. Dit is de abonnementsversie van de wachtwoordmanager die 36 dollar per jaar voor één gebruiker kost of 60 dollar voor vijf gebruikers. Via 1Password kunnen gebruikers allerlei wachtwoorden voor websites en applicaties genereren en in kluizen opslaan en beheren. De abonnementsversie laat gebruikers hun wachtwoordkluizen in de cloud bewaren en over meerdere apparaten synchroniseren. Door het verschijnen van 1Password voor Edge in de Microsoft Store is het totaal aantal extensies voor Edge, sinds het vorig jaar augustus dit begon te ondersteunen, op 66 uitgekomen. bron: security.nl

Tijdens de patchdinsdag van oktober heeft Microsoft 62 kwetsbaarheden in Windows, Internet Explorer, Microsoft Edge, Office, Skype voor Business en Lync en Chakra Core gepatcht, waaronder een zerodaylek in Office dat actief werd aangevallen voordat de update beschikbaar was. Via het zerodaylek, dat in Office 2007, 2010, 2013 en 2016 aanwezig was, kon een aanvaller in het ergste geval systemen volledig overnemen als er een kwaadaardig document werd geopend. Twee andere kwetsbaarheden in Microsoft Office SharePoint en Windows Subsystem voor Linux waren voor het verschijnen van de update al bekend, maar zijn volgens Microsoft niet aangevallen. In totaal zijn 28 van de 62 kwetsbaarheden als ernstig aangemerkt. De meeste beveiligingslekken bevinden zich in de Microsoft Scripting engine, die verantwoordelijk is voor het uitvoeren van JavaScript en VBscript in websites. Verder is er een kwetsbaarheid in het Windows SMB-protocol gepatcht. Het gaat om een soortgelijk beveiligingslek waar de WannaCry-ransomware gebruik van maakte, zo laat securitybedrijf Trustwave weten. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. bron: security.nl

Volgende maand lanceert Mozilla een nieuwe versie van Firefox die alleen nog extensies ondersteunt die op het WebExtensions-model zijn gebaseerd. Onlangs bleek al dat ruim 20.000 Firefox-extensies niet met de nieuwe Firefox-versie zullen werken. Gebruikers van deze zogeheten legacy-extensies kunnen echter op Firefox ESR overstappen, aangezien deze Firefox-versie de extensies tot 26 juni 2018 zal ondersteunen. Firefox Extended Support Release (ESR) ontvangt alleen maar beveiligingsupdates en is vooral voor bedrijven en organisaties bedoeld. Alleen bij het uitbrengen van een geheel nieuwe ESR-versie worden er bepaalde features toegevoegd. Op dit moment is Firefox ESR 52 de meest recente ESR-versie die met legacy-extensies werkt. Deze versie zal tot 26 juni beveiligingsupdates blijven uitvangen. Daarna verschijnt Firefox ESR 59.2, die geen legacy-extensies ondersteunt. Via de website addons.mozilla.org kunnen Firefox-gebruikers extensies voor de browser downloaden. Mozilla zal legacy-extensies op deze website blijven tonen totdat de ondersteuning van Firefox ESR 52 voorbij is. Wel zal de website zich voornamelijk op WebExtension-extensies gaan richten, aldus Mozilla's Jorge Villalobos. Verder laat Villalobos weten dat addons.mozilla.org grote veranderingen zal ondergaan, waaronder een nieuw ontwerp. bron: security.nl

Mozilla gaat een beveiligingsmaatregel aan Firefox 57 toevoegen die gebruikers tegen data-url's moet beschermen. Een data-url laat webontwikkelaars kleine bestanden in html of css embedden. Het grootste voordeel van data-url's is dat ze de laadtijd van de pagina versnellen, omdat het embedden van anderzijds externe bronnen het aantal http-requests vermindert dat een browser moet versturen om data te laden. Criminelen maken echter al jaren misbruik van data-url's. Het gaat dan voornamelijk om phishingaanvallen. Gebruikers krijgen e-mails toegestuurd met een linkje. Zodra de link wordt geopend zal de data-url in de browser worden geladen, die vervolgens een phishingsite weergeeft. Voor criminelen heeft het gebruik van data-url's het voordeel dat ze geen volledige website hoeven te hosten voor het uitvoeren van de aanval. Alle data van de phishingsite bevindt zich namelijk binnen de data-url. Mozilla heeft een beveiligingsmaatregel binnen Firefox 57 doorgevoerd die ervoor zorgt dat data-url's als een unieke locatie worden gezien. Zodoende hebben data-url's die zich in een iframe bevinden niet meer dezelfde herkomst als het oorspronkelijke document waar ze zich in bevinden. Content die vanaf een andere locatie wordt benaderd zal door de browser worden geblokkeerd. Niet alleen beschermt dit gebruikers, het zorgt ervoor dat Firefox ook compliant met de html-standaard en het gedrag van andere browsers is. Firefox 57 komt volgende maand uit. bron: security.nl

Aanvallers hebben een onbekend aantal WordPress-websites gehackt via zeroday-lekken in drie verschillende plug-ins. Het gaat om de plug-ins Appointments, Flickr Gallery en RegistrationMagic-Custom Registration Forms. De drie plug-ins hebben bij elkaar 21.000 actieve installaties. Via de beveiligingslekken kunnen aanvallers op kwetsbare websites een php-backdoor installeren. De backdoor geeft aanvallers vervolgens volledige controle over de website, zo meldt securitybedrijf Wordfence. De ontwikkelaars van de drie plug-ins hebben na ontdekking van de aangevallen zeroday-lekken inmiddels updates uitgebracht en WordPress-beheerders die het betreft krijgen het advies die zo snel als mogelijk te installeren. bron: security.nl

Onderzoekers van Google hebben meerdere kwetsbaarheden in de dns-software Dnsmasq ontdekt waardoor een aanvaller in het ergste geval op afstand willekeurige code kan uitvoeren of een denial of service veroorzaken. Dnsmasq is een lichtgewicht dns-forwarder en dhcp-server en kan op Linux, BSD, Android en macOS draaien en is aan de meeste Linux-distributies toegevoegd. Het wordt door allerlei systemen gebruikt, van Linux-desktops zoals Ubuntu tot thuisrouters, Internet of Things-apparaten en smartphones. In totaal ontdekten de Google-onderzoekers zeven beveiligingslekken die inmiddels door de beheerder van Dnsmasq zijn gepatcht. Daarnaast is de patch onder leveranciers verspreid, zodat die de update onder hun gebruikers kunnen uitrollen. Google laat weten dat Android-partners de update ook hebben ontvangen en dat die aan de Android-updates van oktober zal worden toegevoegd. bron: security.nl

Google zal volgende maand een nieuwe dienst lanceren die de Gmail-accounts van onder andere politici en topmanagers tegen gerichte aanvallen moet beschermen. Dat meldt persbureau Bloomberg op basis van bronnen. Het Advanced Protection Program, zoals de dienst gaat heten, moet voorkomen dat onbevoegden toegang Gmail-accounts en Google Drive krijgen. Op dit moment kunnen Gmail-gebruikers al een extra beveiligingsmaatregel voor hun account instellen, zoals het bevestigen van een inlogpoging via een telefoonprompt, het invoeren van sms-code, het invoeren van een code die via de Google Authenticator is gegenereerd of het gebruik van een fysieke usb-sleutel. Deze Security Key fungeert als een tweede beveiligingsfactor tijdens het inloggen. Nadat het wachtwoord is opgegeven wordt de aanwezigheid van de Security Key gecontroleerd. Het USB-apparaat controleert daarnaast ook of de inlogpagina een echte Google-site en geen phishingpagina is. Om in te loggen op accounts die via het Advanced Protection Program zijn beschermd zal er naast een fysieke usb-sleutel ook een tweede fysieke sleutel nodig zijn. Om wat voor sleutel het precies gaat is nog niet duidelijk. De nieuwe dienst zorgt er ook voor dat third-party programma's geen toegang tot de e-mails of bestanden van de gebruiker krijgen. Bloomberg laat verder weten dat het programma continu van nieuwe features zal worden voorzien om de gegevens van gebruikers te beschermen. bron: security.nl