Tagarchief: Veiligheidslek

Noodpatch voor Windows 10 geeft grote problemen

Microsoft heeft de haastig uitgerolde noodpatch voor Windows 10 zonder verdere uitleg al even snel weer teruggetrokken. Windows 10 lijkt steeds onbeheer(s)baarder te worden.

Al een kleine twee weken probeert Microsoft een zeer ernstig veiligheidslek in Internet Explorer te dichten. Dat lukt maar niet, want de ervoor uitgebrachte patches zorgen voor meer en meer ellende. Printers die niet meer werken, een startmenu dat crasht zodra je op de startknop klikt: het zijn maar wat voorbeelden. Wat in ieder geval pijnlijk duidelijk geworden is, is dat Internet Explorer – hoewel al minstens een decennium beschouwd als onveilig en achterhaald – nog altijd een grote rol speelt in diverse Reguliere processen van Windows 10. En nu is er dan ‘eindelijk’ een serieus veiligheidslek in ontdekt dat mogelijk al veel langer actief misbruikt wordt. Door het simpelweg openen van een besmette link in bijvoorbeeld een Worddocument, e-mail of webpagina kunnen anderen van op afstand ongemerkt allerlei software met minder edele bedoelingen installeren. Microsoft zwijgt in alle talen over wat er nu precies aan de hand is, maar vuurt slechts in – zo lijkt het inmiddels – totale paniek update na update af. Om ze vervolgens weer net zo hard terug te trekken of de update van een nieuwe update te voorzien.

Lees verder Noodpatch voor Windows 10 geeft grote problemen

Lek maar toch geen lek in VLC

De makers van VLC zijn op z’n zachtst gezegd ‘not amused’ nadat een Amerikaanse organisatie een gevaarlijk lek had geopenbaard. Dat helemaal niet blijkt te bestaan, maar braaf door het journaille van deze wereld wordt overgetikt. Wel of geen lek in VLC?

Het blijft constant opletten geblazen bij gebruik van je computer. Onlangs was het even schrikken geblazen voor gebruikers van de immens populaire mediaspeler VLC. Dit programma speelt zowel onder Windows, Linux als macOS zo ongeveer elk video (en audio) formaat in hoge kwaliteit af. Met name in de Linux- en Windowsversies zou volgens het Amerikaanse non profit-onderzoeksinstituut MITREcorp een zeer ernstig lek zitten waarmee kwaadwillenden een computer op afstand over zouden kunnen nemen. Dat is nogal een claim en IT- journalisten van over de  hele wereld doken er vorige maand dan ook bovenop. Algemeen advies: VLC direct van je computer verwijderen en niet meer gebruiken tot er een patch is. Dat advies gold niet voor macOS-gebruikers, wat al vreemd is want dezelfde broncode wordt daar ingezet. VLC reageerde direct en gaf aan dat er géén lek is in de software. Probleem was dat de onderzoeker een achterhaalde versie van Ubuntu gebruikte met zwaar verouderde libraries (softwarebibliotheken met code voor bijvoorbeeld het decoderen van een videobestand). En ergens in een van die libraries zat een oud lek. Lees verder Lek maar toch geen lek in VLC

Spectre en Meltdown

Begin vorig jaar waren ze wereldnieuws: Spectre en Meltdown. Ernstige bugs in processoren van de afgelopen generaties tot de meest recente. En toen werd het vrij stil…

Om maar meteen met de deur in huis te vallen: de Spectre en Meltdown veiligheidslekken zijn nog altijd niet opgelost. Beide bugs op hardwareniveau maken het mogelijk voor hackers om vervelende dingen uit te voeren. De eerste generatie pleisters zorgde voor meer ellende dan soelaas. Hoewel er feitelijk maar een echte manier is om het probleem de kop in te drukken (een compleet nieuw ontwerp van processoren) is het ook mogelijk om er – deels – via updates wat aan te doen. Een moderne processor maakt namelijk gebruik van microcodes. Dat zijn instructies die onder de voor de gebruikers beschikbare instructies liggen. Die microcode is aanpasbaar, door bij het inschakelen van de pc een bestand met nieuwe instructie naar de processor te uploaden. Het best gaat dat via een aanpassing in de BIOS. Door precies daar die codes te plaatsen ontstaat een besturingssysteem-onafhankelijke patch die altijd direct beschikbaar is na aanzetten van een computer. Alleen: de meeste fabrikanten leveren niet tot nauwelijks bios-updates en zeker niet voor systemen van jaren oud. Een andere mogelijkheid is om de microcode aan te passen tijdens het booten van het besturingssysteem. Lees verder Spectre en Meltdown

Urgente noodpatch voor Windows

Microsoft heeft vlak voor de kerstperiode een zeer urgente noodpatch uitgebracht voor alle versies van Windows. Zelfs XP komt aan bod! De reden: een serieus veiligheidslek in – of all – Internet Explorer.

Hoewel het overgrote deel van de Windowsgebruikers allang geen Internet Explorer meer gebruikt, is dit helaas nog altijd een vast in het besturingssysteem gebakken browser. Ook in Windows 10 zit het stukje retro-software nog altijd ingebouwd. Er is een ernstig veiligheidslek in de antieke browser aangetroffen die ervoor zorgt dat als je een kwaadwillende site bezoekt, je computer overgenomen kan worden. Heel vervelend allemaal en dus reden voor Microsoft om afgelopen woensdagavond/nacht een noodpatch uit te brengen voor alle Windowsversies vanaf XP. Windows 10-gebruikers worden daarbij op een vervelende manier voor het blok gezet. Als je namelijk in het zogeheten Semi Annual Kanaal zit qua updates (ofwel de zakelijke, stabiele updates ontvangt) én je hebt uitstel voor het installeren van zogeheten feature updates ingesteld, dan verschijnt de update niet als je ernaar zoekt. Daarmee ontstaat een heel vervelend dilemma. Want zet je het aantal dagen uitstel op 0 én je draait bijvoorbeeld Windows 1709 (wat veel zakelijke gebruikers nog altijd doen) dan krijg je niet alleen de broodnodige veiligheidsupdate aangeboden, maar start ook de upgrade naar 1803. En dat is wel heel vervelend zo vlak voor een vakantieperiode!

Lees verder Urgente noodpatch voor Windows

Nieuwe ernstige lekken in Intel-processoren

Opnieuw zijn in vrijwel alle processoren van Intel ernstige lekken aangetroffen. Die komen bovenop Spectre en Meltdown, erg vervelend dus allemaal.

De patches voor Spectre en Meltdown zijn nog niet uitgerold, of er is alweer een drietal nieuwe hardware-veiligheidslekken ontdekt. Wederom zijn het Intel-processoren die er last van hebben. Het lek is te vinden in vrijwel elke ooit door Intel uitgebrachte processor met zogeheten SGX-optie. Dat zijn onder meer alle Core-processors, zoals de bekende i3, i5 en i7 van diverse generaties. Foute boel dus, en het is dan ook zaak om je computer direct van een systeemupdate te voorzien zodra deze beschikbaar komt. In geval van Windows 10 is deze gisteravond (Nederlandse tijd) in de maandelijkse patchronde meegenomen. Draai je virtuele machines, dan is het extra opletten geblazen. Datacenters en bedrijven moeten mogelijk extra maatregelen nemen om ellende te voorkomen.

Lees verder Nieuwe ernstige lekken in Intel-processoren

Tijd om je Twitter-wachtwoord te veranderen

Twitter heeft – natuurlijk via een tweet – laten weten dat intern een database met wachtwoorden ‘open’ heeft gestaan. Advies is nu om je wachtwoord te wijzigen.

Wachtwoordenbeheer blijkt voor veel bedrijven toch steeds weer een heikel punt. Deze keer ging Twitter de mist in (als je dat zo mag noemen). Het bedrijf ontdekte dat in interne logs onversleutelde wachtwoorden zichtbaar waren. Niet handig, maar voor zover bekend zijn deze wachtwoorden niet buiten het bedrijf beland. Desondanks geeft Twitter het advies om je wachtwoord te wijzigen, of dat in ieder geval te overwegen om te doen.

Lees verder Tijd om je Twitter-wachtwoord te veranderen

Spectre en Meltdown patches vertragen pc

Het zat er al een beetje aan te komen, maar nu geven zowel Intel als Microsoft toe dat het repareren van de Spectre en Meltdown hardwarelekken vertragend gaan werken.

Spectre en Meltdown zijn twee hardwarelekken (bugs zo je wilt) die voor flink wat opschudding in de IT-wereld hebben gezorgd. De ontdekte veiligheidsproblemen maken het namelijk mogelijk om privacygevoelige gegevens als wachtwoorden en meer mee te lezen. We zullen je de technische details besparen. Onder de streep gaat het mogelijk om het ernstigste hardwarelek van tenminste de afgelopen 20 jaar. Groot probleem is natuurlijk dat een hardwarelek niet is op te lossen met een reguliere update van een besturingssysteem. Omzeilen kan – deels – wel. Alleen: dat kost rekenkracht. Dat zorgt voor een tragere computer. In eerste instantie deden zowel Intel als Microsoft – het belangrijkste duo in de pc-markt – vaag over de uiteindelijke impact. ‘Hooguit een paar procent’, zo werd tussen de regels door gemeld. Inmiddels is duidelijk dat het bij ‘oudere’  processors vanaf 2015 en eerder wel eens flink vervelender uit kan pakken. Een 30% tragere pc is zomaar mogelijk.

Lees verder Spectre en Meltdown patches vertragen pc

Urgente Windows 10 verrassingsupdate

Windows 10-gebruikers werden vorige week totaal onverwacht getrakteerd op een grote update met belangrijke veiligheidsupdates. Tamelijk urgent zelfs deze keer.

Microsoft heeft een urgente update voor Windows 10 uitgerold. Elke nog ondersteunde variant kreeg er eentje voorgeschoteld. Meest belangrijke patch betreft het recent openbaar gemaakte hardware-lek in zo ongeveer elke gangbare processor van Intel en AMD. Deze fouten maken het voor kwaadwillenden mogelijk om vrij eenvoudig wachtwoorden en meer te achterhalen. Dat kan in theorie zelfs door het simpelweg bezoeken van een website met kwaadaardige code. Deze wordt netjes en ongemerkt door een browser uitgevoerd en ‘lekt’ vervolgens privacygevoelige gegevens – zoals bijvoorbeeld een net ingetikt wachtwoord van uw bank of andere website – naar een hacker. Wetenschappers hebben gisteren laten weten dat het ze ook daadwerkelijk gelukt is code in Javascript – een standaard webtaal – te schrijven die dit doet. Foute boel dus.

Lees verder Urgente Windows 10 verrassingsupdate

Oeps, een lekke Mac

Mac OS X – High Sierra om precies te zijn – heeft een vervelend lek. Iedereen kan zonder wachtwoord als root inloggen.

Inmiddels is er een veiligheidsupdate – security update 2017-001 – uitgekomen om dit probleem op te lossen. Installeer hem via de Apple Store. (H.F.)

Om maar met de deur in huis te vallen: de fout die nu in Mac OS X High Sierra zit had er nóóit in mogen zitten. Normaal gesproken werkt een Mac-gebruiker via een gebruikersaccount en is hij of zij niet ingelogd als root. Als root kan je namelijk álles uitspoken wat je wilt. En nu blijkt dat er geen wachtwoord op dat root-account is ingesteld. Kortom: iedereen met fysieke toegang tot je Mac kan inloggen als root, zonder zelfs het gewone gebruikerswachtwoord te kennen. Toch is de ramp gelukkig te overzien, want de oplossing is wel heel simpel: alsnog snel een rootwachtwoord instellen. Bovendien heeft Apple al een patch uitgebracht, te installeren via de App Store. Direct doen dus! Een onoverkomelijk drama is het dan ook allemaal weer niet. Wel blijkt dat geen enkel besturingssysteem waterdicht is. Het is en blijft – vooralsnog – mensenwerk. Lees verder Oeps, een lekke Mac

Bluetooth ook zo lek als een mandje

Na een lek Wifi is het nu de beurt aan Bluetooth. Ook dat draadloze protocol blijkt makkelijk te kraken.

Eerder deze week werd bekend dat Wifi in potentie relatief eenvoudig te kraken is. Zelfs bij de tot dan toe veronderstelde ‘onkraakbare’ WPA2-beveiligingsmethode. Een knullig foutje bleek de oorzaak. Nu blijkt Bluetooth ook zo lek als een mandje. De mogelijke gevolgen van het lek zijn zó ernstig dat geadviseerd wordt om Bluetooth op apparaten uit te schakelen totdat een en ander gerepareerd is middels de uitrol van een patch. In het geval van Windows 10 is dat gelukkig al gebeurd en ook iOS is veilig vanaf versies hoger dan 10.0. Als het gaat om Android zijn de problemen een stuk groter. De oorzaak van het lek ligt namelijk in Linux en Android is precies daarop gebaseerd. En juist voor dat besturingssysteem is nog geen patch uitgebracht.

Lees verder Bluetooth ook zo lek als een mandje