Die Document Foundation hat kürzlich Version 4.2.5 von LibreOffice veröffentlicht. Darin wurden wieder etliche Fehlerkorrekturen eingebaut.
Da die 4.1er Serie seit Ende Mai nicht mehr unterstützt wird, ist die 4.2er Schiene zurzeit die einzige LibreOffice Ausgabe mit vollständigem Support. Firmen sollten die 4.2er Serie zumindest schon evaluieren, um im Falle einer Sicherheitslücke rasch auf diese Ausgabe umsteigen zu können. Bisher sind aber keine Sicherheitslücken in 4.1.6 bekannt.
Wem die häufigen Updates bei LibreOffice auf die Nerven gehen und keine hohen Ansprüche an ein Office Paket stellt, kann auch einen Blick auf OpenOffice werfen. Hier wird sehr viel konservativer weiterentwickelt und relativ selten Updates gebracht.
Duden-Korrektor Anwender aufgepasst: Der Duden Korrektor funktioniert unseren Tests nach zu urteilen NICHT mit LibreOffice 4.1 und neuer!
Info: Liste der Neuerungen in LibreOffice 4.2
Download: Aktuelle LibreOffice Versionen (4.2 Serie)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an, und veröffentlicht für viele Anwendungen Updates. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Flash:Die neueste Version des Flash-Plugins trägt die Nummer 14.0.0.125. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Adobe AIR:Adobe AIR wurde auf Version 14.0.0.110 aktualisiert. Ob Adobe AIR installiert ist, sieht man in der Systemsteuerung unter "Programme und Features". Nur wenn Adobe AIR dort aufscheint, sollte man die neue Version herunterladen und installieren.
Quelle: 'Flash 14 schließt sechs Lücken, AIR bringt x86-Support für Android' auf Heise-Online
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Download: Aktuelle Adobe AIR Version (nur updaten wenn bereits installiert!)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlenden Updates können da auch gleich nachinstalliert werden.
Windows XP und Office 2003 (sowie jeweils ältere Ausgaben) bekommen KEINE Sicherheitsupdates mehr, weshalb diese Produkte nicht mehr eingesetzt werden sollten.
Download: Microsoft Update Website (nur mit Internet Explorer)
Die Version 24.6.0 von Thunderbird behebt drei Sicherheitslücken der Vorversion. Alle drei Lücken sind kritisch. Thunderbird Anwender sollten rasch auf die neue Version aktualisieren.
Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.
Download: Aktuelle Thunderbird Version
Firefox 30:
Die neue Version 30 des Browsers Firefox behebt einmal mehr Sicherheitslücken der Vorversion, weshalb eine Nutzung der Version 29 oder älter (Ausnahme Version 24 ESR) ein erhebliches Sicherheitsrisiko darstellt. Im Gegensatz zur Vorversion, die eine runderneuerte Oberfläche erhalten hat, bringt Version 30 nur Änderungen unter der Haube.
Firefox ESR 24.6.0:
Die aktuelle Firefox ESR Ausgabe beinhaltet alle Sicherheitskorrekturen aus Firefox 30, aber keine neuen Funktionen.
Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren.
Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungs Zeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Das Adobe Shockwave Plugin ist der "große Bruder" des Flash Plugins, und beinhaltet als solches auch etliche Funktionen des Flash Plugins. Nur während Flash von Adobe meist sehr rasch mit Sicherheitsupdates versorgt wird, trifft dies auf die Flash Funktionen in Shockwave offenbar nicht zu. So hat nun ein Sicherheitsforscher entdeckt, dass Shockwave über etliche Flash Sicherheitslücken angreifbar ist, die in Flash seit Jänner 2013 geschlossen wurden.
Wir raten schon seit Jahren dazu, das Shockwave Plugin besser zu deinstallieren als es upzudaten, im Moment hat man aber gar keine andere Wahl, denn eine aktualisierte Shockwave Version gibt es noch nicht. Wer also den Eintrag "Adobe Shockwave" in der Liste der installierten Programme (Systemsteuerung) entdeckt, sollte es unbedingt deinstallieren.
Quelle: 'Shockwave über uralte Flash-Lücken angreifbar' auf Heise Online
Eine Sicherheitslücke im Internet Explorer 8 wurde von Sicherheitsforschern nun öffentlich gemacht, nachdem Microsoft auch nach über sieben Monaten kein Sicherheitsupdate veröffentlicht hat. Die schwere Sicherheitslücke lässt sich ausnützen, um Computer mit Viren zu infizieren, nur durch Betrachtung einer entsprechend manipulierten Website.
Wer immer noch Windows XP einsetzt wird für diese Sicherheitslücke auch kein Update mehr bekommen. Rechner mit Windows Vista und neuer werden früher oder später wohl ein Update bekommen, die einfachere Methode das Problem loszuwerden ist jedoch, einfach auf eine neuere Version des Internet Explorers upzugraden. Bei Windows Vista bekommt man immerhin noch Internet Explorer 9, Windows 7 wird sogar noch mit der allerneuesten Internet Explorer Version 11 versorgt.
Wer, aus welchen Gründen auch immer, bei Version 8 des Internet Explorers bleiben möchte, sollte zumindest vorübergehend alternative Browser wie Opera oder Firefox verwenden.
Quelle: 'Sicherheitslücke: Microsoft versäumt Update für IE 8' auf Heise Online
Apple behebt mit iTunes Version 11.2 eine schwere Sicherheitslücke, die es ermöglichte die Zugangsdaten zu iTunes zu stehlen.
Anwender, die iTunes tatsächlich verwenden, sollten das Programm daher rasch aktualisieren. Dafür bietet sich z. B. das Programm "Apple Software Update" an, bei dem man jedoch aufpassen muss, dass wirklich nur Updates installiert werden, und keine zusätzliche Software.
Wer iTunes gar nicht verwendet, sollte es ganz deinstallieren, statt es zu aktualisieren, da iTunes den PC durch mehrere Hintergrundprozesse verlangsamt.
Quelle: 'iTunes: Apple schließt problematische Lücke in PC-Version' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an, und veröffentlicht für viele Anwendungen Updates. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 13.0.0.214. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Adobe Reader & Acrobat:
Adobe Reader und Acrobat liegen nun jeweils in Version 11.0.7 vor. Auch wenn es immer noch Updates der 10er Serie gibt, empfehlen wir doch allen Anwendern des Readers auf die Version 11 upzugraden, da diese einfach mehr Sicherheit bietet. Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am einfachsten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Reader unten zum Download an.
Adobe AIR:
Adobe AIR wurde auf Version 13.0.0.111 aktualisiert. Ob Adobe AIR installiert ist, sieht man in der Systemsteuerung unter "Programme und Features". Nur wenn Adobe AIR dort aufscheint, sollte man die neue Version herunterladen und installieren.
Adobe Illustrator:
Anwender die Illustrator CS6 (auch enthalten in den verschiedenen Creative Suite 6 Paketen) installiert hat, sollte ebenfalls dringend Updates installieren. Wobei "installieren" leider nicht der richtige Ausdruck ist, denn effektiv müssen Illustrator CS6 Anwender die neueste Version der Illustrator.exe von Hand kopieren, ein Update-Programm, dass den Vorgang für Endanwender vereinfacht hätte, hat sich Adobe unverständlicherweise gespart. Auch die eingebaute Update-Funktion liefert das Sicherheitsupdate NICHT aus. Der einzige Weg Illustrator CS6 abzusichern ist, der Weg über den manuellen Download und manuellem austauschen der Illustrator.exe. Ein (englischsprachiges) Dokument auf der Adobe Website klärt, wie man Illustrator updaten kann.
Quelle: 'Patchday: Adobe flickt Flash und Illustrator' auf Heise-Online
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Download: Adobe Reader XI (v11.0.7), Windows, Mehrsprachig → 72 MB
Download: Aktuelle Adobe AIR Version (nur updaten wenn bereits installiert!)
Info: Anleitung für die Installation der Adobe Illustrator CS6 Sicherheitsupdates (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlenden Updates können da auch gleich nachinstalliert werden.
Dies ist übrigens der erste 'Tag der Updates', an dem es KEINE Updates mehr für Windows XP gibt. Wer dieses Betriebssystem-Fossil immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Das selbe gilt für Microsoft Office 2003 und älter.
Download: Microsoft Update Website (nur mit Internet Explorer)
Datenschützer in den Vereinigten Königreichen warnen vor den Gefahren von veralteter Software, und zeigen gleichzeitig auf, dass Unternehmen, die Kundendaten nicht ausreichend schützen, von der Regierung mit heftigen Strafen bis zu umgerechnet 613.000 Euro bestraft werden können. Namentlich genannt wurden dabei vor allem Heartbleed und Windows XP, die als die größten Bedrohungen der nächsten Zeit angesehen werden.
Sony Europe und die englische Organisation für Schwangerschaftsberatungen wurden bereits zu heftigen Strafen verurteilt, weil sie Kundendaten nicht ausreichend geschützt hatten.
Info: 'UK Government Could Fine Companies Still Running Windows XP' auf Softpedia.com
Sicherheitsforscher haben in der Software "AVG Remote Administration" insgesamt vier schwere Sicherheitslücken gefunden. Gerade einmal eine davon hat AVG bisher geschlossen. Die restlichen drei Fehler sollen laut AVG gar nicht mehr behoben werden!!! Vielleicht sollte man der Führungsetage von AVG einmal sagen, dass das Vertrauen der Kunden in die Software des Herstellers nicht gerade steigt, wenn dieser nicht Willens ist, schwere Sicherheitslücken darin zu beheben!
Wir können allen Anwendern von AVG Software nur raten, diese rasch gegen vertrauenswürdigere Software zu ersetzen.
Quelle: 'Kritische Sicherheitslücken bei AVG Remote Administration' auf Heise Online
Die Document Foundation hat kürzlich Version 4.2.4 von LibreOffice veröffentlicht. Darin wurden wieder etliche Fehlerkorrekturen eingebaut. Schon ein paar Tage länger verfügbar ist Version 4.1.6 von LibreOffice. Auch hier wurden Fehler der Vorversionen bereinigt.
Version 4.1.6 ist die letzte Ausgabe der 4.1er Serie. Da deren Support Ende bereits am 28. Mai ist, macht es für Privatanwender eigentlich jetzt kaum noch Sinn auf 4.1.6 upzugraden. Hier wechselt man besser gleich zur Version 4.2.4. Firmen die bisher LibreOffice 4.1.5 (oder älter) eingesetzt haben, sollten jetzt langsam anfangen Tests mit der 4.2er Serie zu machen, um dann spätestens am 28. Mai fit für den Umstieg zu sein. Interessant ist übrigens, dass selbst die LibreOffice Webseite konservativen Anwendern und Firmen immer noch zur 4.1er Serie rät, obwohl der Support dafür in etwas mehr als zwei Wochen ausläuft.
Wem die häufigen Updates bei LibreOffice auf die Nerven gehen und keine hohen Ansprüche an ein Office Paket stellt, kann auch einen Blick auf OpenOffice werfen. Hier wird sehr viel konservativer weiterentwickelt und relativ selten Updates gebracht. Im Gegensatz zu LibreOffice, wo eine Serie nur 6 Monate lang Support erhält, wird laut OpenOffice Homepage dort sogar noch die uralte 3.3er Serie unterstützt. Allerdings gab es für diese seit 2012 kein Update mehr, wie sicher man also mit OpenOffice wirklich fährt im Vergleich zu LibreOffice sei dahingestellt. Zum Vergleich: Microsoft muss in seinen Office Programmen fast monatlich Sicherheitslücken schließen.
Duden-Korrektor Anwender aufgepasst: Der Duden Korrektor funktioniert unseren Tests nach zu urteilen NICHT mit LibreOffice 4.1 und neuer! Siehe separaten Artikel zum Thema Duden Korrektor.
Info: Liste der Neuerungen in LibreOffice 4.2
Download: Aktuelle LibreOffice Versionen (4.2 Serie)
Download: Aktuelle LibreOffice Versionen (4.1 Serie)
Die Version 24.0.7 von Thunderbird behebt acht Sicherheitslücken der Vorversion, drei davon sind kritisch. Thunderbird Anwender sollten rasch auf die neue Version aktualisieren.
Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.
Download: Aktuelle Thunderbird Version
Firefox 29:
Die neue Version 29 des Browsers Firefox behebt einmal mehr Sicherheitslücken der Vorversion, weshalb eine Nutzung der Version 28 oder älter (Ausnahme Version 24 ESR) ein erhebliches Sicherheitsrisiko darstellt. Trotzdem ist bereits bekannt, das Nutzer nach der Installation der Version 29, wieder zu Version 28 zurückgekehrt sind. Grund dafür ist die neue Oberfläche "Australis", an der sich viele Nutzer stören.
Davon, dass selbst minimale Änderungen an der Nutzeroberfläche beim Gewohnheitstier Mensch häufig auf Ablehnung stößt, kann ja Microsoft mit Windows 8 ein Lied singen. Objektiv betrachtet ist die neue Firefox Oberfläche in vielen Punkten ein deutlicher Fortschritt. Firefox Anwender die sich partout nicht damit anfreunden können, haben mit der ESR Version noch eine Galgenfrist. Spätestens in der nächsten komplett neuen ESR Ausgabe, wird aber auch dort "Australis" Einzug halten.
Firefox ESR 24.5.0:
Die aktuelle Firefox ESR Ausgabe beinhaltet alle Sicherheitskorrekturen aus Firefox 29, aber keine neuen Funktionen.
Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren.
Info: ESR steht bei Mozilla für 'Extended Support Release' also auf deutsch 'verlängerter Unterstützungs Zeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Adobe hat vor Kurzem ein Update für das Flash-Player-Plugin veröffentlicht. Die neueste Version des Flash-Plugins trägt die Nummer 13.0.0.206. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Quelle: 'Adobe stopft kritische Flash-Lücke' auf Heise Online
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
In der Nacht von ersten auf zweiten Mai hat Microsoft ein Update für die kritische Internet Explorer Sicherheitslücke veröffentlicht, die bereits ausgenützt wird um PCs zu infizieren. Aufgrund der großen Gefahr, die von der besagten Lücke ausging, hat Microsoft nicht nur ein Update außer der Reihe gebracht (nächster Tag der Updates ist eigentlich am zweiten Dienstag eines jeden Monats), sondern auch
Windows XP nochmal mit einem Update versorgt.
Microsoft betont aber, dass dies keineswegs bedeutet, dass Windows XP nun doch noch länger mit Sicherheitsupdates versorgt wird. Anwender, die immer noch Windows XP einsetzen, sollte also so rasch wie möglich auf modernere Systeme umsteigen.
Wer Windows automatisch Updates installieren lässt sollte das Update bereits seit ein paar Tagen installiert haben. Wer auf Nummer sicher gehen möchte, kann Windows Update manuell aufrufen, um nachzusehen ob weitere wichtige Updates verfügbar sind.
Microsoft hat kürzlich bestätigt, dass eine neue schwere Sicherheitslücke im Internet Explorer gefunden wurde, die auch bereits von Cyberkriminellen ausgenützt wird, um Computer mit Schädlingen zu infizieren.
Die Lücke betrifft alle Internet Explorer Versionen, also auch die Fassungen für Windows XP. Dort wird es daher auch keine Abhilfe mehr geben, da ja XP nicht mehr mit Updates versorgt wird. Anwender von Windows Vista und neuer dürfen wohl spätestens beim nächsten Tag der Updates mit einer Lösung für das Problem rechnen, eventuell auch früher.
Bis ein Update für die Sicherheitslücke veröffentlicht ist, sollten Anwender einen anderen Browser, wie z.B. Opera oder Firefox, verwenden. Anwender von Windows XP können wir nur noch einmal darauf aufmerksam machen, möglichst rasch auf ein neueres Windows upzugraden, oder einen neuen Computer anzuschaffen falls ein Upgrade wegen zu betagter Hardware nicht mehr möglich oder sinnvoll ist.
Quelle: "Internet Explorer: Microsoft warnt vor Zero-Day-Exploit" auf Heise Online
Vor zwei Wochen haben wir schon vermutet, dass bei Sony wohl bald eine Akku-Austausch-Aktion fällig wird. Nun ist die Sache fix, der Austausch soll zum 19. Mai beginnen.
Betroffen sind alle Anwender eines Sony Vaio Fit 11A, die eine Seriennummer beginnend mit SVF11N1 haben. Wo man die Seriennummer findet und wie der Austausch von statten geht, hat Heise Online im Artikel 'Sony: Akkutausch für brandgefährdete Vaio-Modelle' schön zusammengefasst.
Quelle: 'Sony: Akkutausch für brandgefährdete Vaio-Modelle' auf Heise Online
Gute Nachricht für alle Fans des "echten" Opera Browsers, also der Version 12. Der norwegische Hersteller lässt auch diesem Browser noch einmal ein Sicherheitsupdate angedeihen. Noch bessere Nachricht für alle Anwender, der Browser selbst ist nicht auf Heartbleed anfällig, sondern nur der Updater. Um über diese Lücke tatsächlich verwundbar zu sein, müssten schon mehrere Umstände zusammenkommen.
Die Nachricht ist daher eher insofern positiv, als dass es den Anwendern von Opera 12 zeigt, dass die Software nach wie vor von bekannten Sicherheitslücken befreit wird, auch wenn die aktuelle Versionsnummer mittlerweile schon bei 20 steht. Doch selbst besagte Version 20 lässt immer noch so viele Funktionen der 12er Serie vermissen, dass Power-User immer noch lieber auf den guten alten Opera 12 vertrauen. Gelegenheitssurfer dürften hingegen in Opera 20 den besseren Browser vorfinden.
Quelle: 'Opera 12.17 out' auf Opera.com (Englisch)
Download: Opera 12 Version
Download: aktuelle Opera Version
Letzte Woche haben wir noch spekuliert, ob das Ausbleiben einer Mitteilung von Apple zum Thema Heartbleed-Lücke bedeuten könnte, dass der Hersteller 'in Ruhe' an Updates arbeiten möchte. Die Befürchtung hat sich nun bewahrheitet. Wieder einmal hat Apple seine Kunden nicht frühestmöglich über Sicherheitslücken in seinen Produkten gewarnt, sondern gewartet bis ein entsprechendes Sicherheitsupdate fertiggestellt ist. Apple Anwender waren deshalb dem Risiko länger ausgesetzt als eigentlich nötig.
Updates gibt es für die 802.11ac Varianten der 'AirPort Extreme' und 'AirPort Time Capsule'. Firmware-Version 7.7.3 schließt in beiden Produkten die Heartbleed-Lücke. Das Update kann über das 'AirPort Utility' heruntergeladen und installiert werden.
Aber auch softwareseitig musste Apple wieder an seiner Verschlüsselungssoftware arbeiten. Sowohl für iOS (iPhone & iPad) als auch für die großen Mac's (Mac OS X) gibt es kritische Sicherheitsupdates die von Anwendern möglichst rasch installiert werden sollten.
Quelle: 'Apple stopft Sicherheitslücken in iOS, OS X und WLAN-Basisstationen' auf Heise Online
Nachdem die meisten Router ebenfalls auf Linux basierende Betriebssysteme einsetzen, war es nur eine Frage der Zeit, bis auch hier erste Fälle von Heartbleed-Lücken dokumentiert werden.
Eine ganze Reihe von Router-Herstellern hat sich zu der Lücke gemeldet. Die meisten behaupten, dass ihre Router von der Lücke nicht betroffen sind, ohne jedoch all zu viele Details zu nennen. Gar nicht zu Wort gemeldet hat sich Apple - gut möglich, dass die Apple Ingenieure an Updates arbeiten, und man nicht vor dem Erscheinen darüber sprechen möchte. Trotzdem ist das Verhalten von Apple mal wieder alles andere als Vorbildlich.
DD-WRT hat's erwischt:
Tatsächlich betroffen sind ausgerechnet Router mit der freien Router-Firmware DD-WRT. Die eigentlich als sehr sicher geltende Software verwendete bisher verwundbare Versionen von OpenSSL. Die Entwickler bei DD-WRT arbeiten zurzeit mit Hochdruck an neuen Ausgaben. Bei der Menge der unterstützen Geräte kann das aber eine Weile dauern. Wer DD-WRT auf seinem Router verwendet, sollte vorübergehend sämtliche Fernwartungs- und VPN- Zugänge im Router deaktivieren.
Auch NAS-Geräte verwundbar:
Netgear meldet stolz, dass kein Router des Herstellers die Heartbleed-Lücke enthält, muss aber eingestehen, dass sich diese dafür in einigen NAS-Geräten eingenistet hat. Die folgenden "ReadyNAS"-Geräte sind betroffen: RN102, RN103, RN312314, RN516, RN716, RN3220 und RN4220. Ein Update für diese Geräte steht bereits auf der Netgear-Service-Seite bereit.
Oracle hat Version 7.0 Update 55 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stattliche 37 Sicherheitslücken geschlossen, wovon einige genutzt werden konnten, um den Computer mit Schädlingen zu infizieren.
Das Plugin für den Browser ist standardmäßig immer noch aktiviert. Wer Java nur für lokale Programme benötigt (z.B. LibreOffice) nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugins:
Suchen sie in der Systemsteuerung nach Java, und doppelklicken sie den Eintrag. Gehen sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus
an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurückmachen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Anwender, deren Computer noch eine 5er oder 6er Version von Java installiert haben, sollten sämtliche Java Versionen deinstallieren, bevor die aktuelle Ausgabe installiert wird.
Das neue Java 8 können wir für Anwender derzeit noch nicht empfehlen. Wer es dennoch bereits installiert hat, sollte rasch auf Version 8.0 Update 5 updaten.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z.B.) benötigen Java jedoch für einige Funktionen.
Download: Aktuelle Java 7 Version
(Downloaden und installieren sie die 32Bit Version)
Quelle: 'Oracle veröffentlicht massives Patch-Paket' auf Heise Online
In unserem großen Heartbleed-Artikel haben wir kürzlich noch berichtet, dass alle Handys und Tablets mit Android 4.0.0 bis einschließlich 4.1.1 von der Heartbleed Lücke betroffen sind. Nun gibt es eine offizielle Stellungnahme von Google, dem Entwickler von Android, zu dem Thema. Demnach sind 'nur' Geräte mit Android 4.1.1 von der Heartbleed Sicherheitslücke betroffen. Google hat an seine Partner bereits Sicherheitsupdates geliefert, ob und wann diese letztendlich bei den jeweiligen Benutzern der Geräte ankommen steht wie bei Android üblich leider in den Sternen.
Es gibt auch mittlerweile eine App für Android, die das eigene Gerät auf das Vorhandensein der Heartbleed-Lücke überprüft. Einfach im Play-Store nach 'Heartbleed' suchen, dann findet man die kostenlose App 'Heartbleed Detector' der Firma 'Lookout Mobile Security Tools'.
Wer ein verwundbares Android Gerät hat, sollte es nach Möglichkeit nicht mehr verwenden, bis ein entsprechendes Sicherheitsupdate verfügbar ist. Wer auf das Gerät nicht verzichten kann, sollte zumindest so viele Apps wie nur möglich vorübergehend deinstallieren, bzw. die Passwörter entfernen. Die Passwörter die man nicht löschen kann (wie z.B. das Google Konto selber) sollte man so oft wie nur möglich ändern, solange das Problem nicht behoben ist.
Quelle: 'Google Services Updated to Address OpenSSL CVE-2014-0160 (the Heartbleed bug)
Download: 'Heartbleed Detector' im Google play Store
Vermutlich haben sie es schon in den Nachrichten gehört, eine Sicherheitslücke in OpenSSL stellt zurzeit das Internet auf den Kopf. Das Fehlen von gerade einmal einer Handvoll Zeichen im Code von OpenSSL bescherte der vernetzten Menschheit die wohl größte Sicherheitslücke seit Jahren, wenn nicht aller Zeiten. Über zwei Drittel aller Webserver im Internet, ließen sich über die nun öffentlich bekannte Sicherheitslücke sensible Daten entlocken.
Was genau bewirkt Heartbleed?
Über die Heartbleed Sicherheitslücke kann ein Angreifer kleine Datenhäpchen aus dem Speicher eines verwundbaren Servers klauen. In der Regel befinden sich dort Passwörter, die OpenSSL gerade verarbeitet hat. Wenn man die Daten nur lange bzw. oft genug abfragt, kann man so an die Passwörter aller Benutzer gelangen, die im Zeitraum des Angriffs den Server kontaktiert haben.
Wer ist betroffen?
Grundsätzlich jeder, der in den letzten Wochen und Monaten mit einem Webserver kommuniziert hat. Das muss nicht immer offensichtlich gewesen sein, denn viele Server werden automatisiert über Programme abgefragt, etwa E-Mail-Programme, Chat-Programme, oder auch Mobil-Apps. Daher dürfte es leider wohl kaum Personen mit Internetzugang geben die nicht betroffen sind.
Sind nur Webserver betroffen?
Leider nein. Die verwundbare OpenSSL Software wird nicht ausschließlich von Servern eingesetzt. Aber in den meisten Fällen dürften Endanwender nicht direkt mit betroffenen Geräten hantieren. Einzig bisher bekannte Ausnahme sind Android Handys und Tablets mit Android Version 4.0.0 bis einschließlich 4.1.1. Gibt es für so ein Gerät kein Update vom Hersteller (oder eine alternative Firmware wie Cyanogen Mod) ist das Gerät eigentlich Schrottreif. Das Risiko
solche Geräte weiter einzusetzen ist schlicht und ergreifend zu groß.
Was tun?
Das einzige was Endanwender machen können und auch unbedingt sollten, ist sämtliche Passwörter zu ändern! Bevor man das Passwort für einen Dienst bzw. eine Website ändert, sollte man allerdings prüfen, ob der Server auch sicher ist (siehe: "wie kann ich prüfen ob ein Server verwundbar ist?"). Ganz klar Priorität haben die E-Mail-Dienste! Also zuerst die E-Mail-Dienste prüfen und dann die Passwörter dort ändern. Denn E-Mail ist bei fast allen anderen Diensten das Ausweiskriterium
Nummer Eins. Komme ich nicht mehr in meine Mailbox, komme ich im schlimmsten Fall auch nicht mehr in alle anderen Webseiten. Komme ich noch in meine Mailbox, aber Parasiten lesen mit, ist eine Passwort-Änderung bei fremden Diensten wiederum für die Katz, weil die Mitleser das Passwort dort dann ebenfalls entweder mitlesen oder es jederzeit selbst ändern können.
Das Kreuz mit den Universalpasswörtern!
Viele Anwender geben bei allen Diensten das selbe Passwort ein. Warum diese bequeme Angewohnheit so extrem unsicher ist, sieht man in diesem Fall einmal mehr. Denn hat ein Angreifer ein Passwort zu einem Dienst, kommt er auch in alle anderen Dienste die das Opfer verwendet. Daher können wir nur noch einmal dazu raten, für jede Website ein eigenes Passwort zu verwenden. Zudem sollte das Passwort mindestens 8 Stellen haben und Großbuchstaben,
Kleinbuchstaben und Zahlen enthalten. Erlaubt es die Website bzw. der Dienst auch Sonderzeichen zu verwenden, sollte man auch davon Gebrauch machen.
Wie kann ich prüfen ob ein Web-Server verwundbar ist?
Um zu prüfen ob ein Webserver noch von Heartbleed verwundbar ist, bietet sich die folgende Website an: https://de.ssl-tools.net/webservers. Wichtig ist, dass man dort nur Adressen von Webservern eingibt und das www am Anfang der Adresse nicht vergisst. Gibt man auf der Website z.B. nur "gmx.at" (immer ohne Anführungszeichen) ein, erscheint nur "Der Webserver von gmx.at
ist nicht erreichbar". Tippt man jedoch "www.gmx.at" ein, erscheint "Der Webserver von www.gmx.at ist über eine sichere Verbindung erreichbar". Nur wenn dieser Text angezeigt wird, sollte man auf solchen Webseiten sein Passwort eingeben bzw. erneuern.
Was ist mit E-Mail-Servern?
Der selbe Anbieter wie oben bietet auch an E-Mail-Server zu prüfen. Da Internetseiten und E-Mail-Server meist nicht identisch sind, sollte man auch diese prüfen. Die Adresse lautet diesmal: https://de.ssl-tools.net/mailservers. Diesmal geben wir keine www-Adresse ein, sondern eine E-Mail-Adresse, bzw. genauer gesagt alles was nach dem "@"steht. Ein Anwender, der die Adresse
max.mustermann@gmx.at verwendet, gibt also "gmx.at" in die Testseite ein. Im Falle von gmx.at erscheint dann als Antwort: "Die Mailserver für gmx.at sind über eine sichere Verbindung erreichbar". In diesem Fall kann man diesen E-Mail-Dienst nach Änderung des Passwortes wieder sicher verwenden. Erscheint eine andere Meldung, gibt es irgendein Problem mit diesem Server. Das muss in dem Fall nicht zwingend die Heartbleed-Lücke sein, denn die Testseite
prüft viel mehr als nur diese eine Schwachstelle.
Info: Heartbleed Testseite für Webserver
Info: Heartbleed Testseite für E-Mail-Server
Quelle: 'SSL-Gau: So testen Sie Programme und Online-Dienste' auf Heise Online
Quelle: 'Heartbleed: Yahoo und Web.de raten zum Passwortwechsel' auf Heise Online
Quelle: 'Smartphones vom SSL-GAU (fast) nicht betroffen' auf Heise Online
Quelle: 'OpenVPN schließt Heartbleed-Sicherheitslücke auf Windows-Installationen' auf Heise Online
Quelle: 'Spionage-Botnet nutzte Heartbleed-Lücke schon vor Monaten aus' auf Heise Online
Adobe hat vor Kurzem die Version 13 von Adobe Flash und AIR veröffentlicht. Neben ein paar kleineren neuen Funktionen, schließen die Updates vor allem Sicherheitslücken der Vorversionen. Bei AIR hat man eine ganze Reihe von Versionsnummer übersprungen, um die Verwandtschaft zu Flash deutlicher zu machen.
Die neueste Version des Flash-Plugins trägt die Nummer 13.0.0.182. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Adobe AIR wurde auf Version 13.0.0.83 aktualisiert. Ob Adobe AIR installiert ist, sieht man in der Systemsteuerung unter "Programme und Features". Nur wenn Adobe AIR dort aufscheint, sollte man die neue Version herunterladen und installieren.
Quelle: Adobe schließt vier kritische Flash-Lücken
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Download: Aktuelle Adobe AIR Version (nur updaten wenn bereits installiert!)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlenden Updates können da auch gleich nachinstalliert werden.
Unter anderem wurde die sehr kritische RTF-Sicherheitslücke in allen Office Versionen ab Version 2003 behoben. Anwender, die zuvor die RTF-Verarbeitung durch das Fixit-Tool von Microsoft deaktiviert haben, können diese Funktion nach dem Update wieder aktivieren. Dafür stellt Microsoft das Fixit-Tool 51011 zur Verfügung.
Download: Microsoft Update Website (nur mit Internet Explorer)
Download: Microsoft Fixit-Tool zu reaktivieren der RTF-Verarbeitung
Der Update-Tag beschert Anwendern von Windows 8.1 auch ein Update auf "Windows 8.1 Update". Über den Namen kann man denken was man will, über die neuen Funktionen werden sich aber wohl alle Windows 8.1 Nutzer freuen.
Was bringt Windows 8.1 Update?
Die auffälligsten Neuerungen sind mit Sicherheit die neuen Icons zum Herunterfahren bzw. Abmelden rechts oben am Startbildschirm. Vor allem einen einfach zu erreichenden Knopf zum Herunterfahren des Gerätes haben wohl viele Anwender vermisst. Der schnellste Weg zum herunterfahren des Gerätes ist und bleibt aber der Ein/Ausschalter, sofern dieser einfach erreichbar und richtig konfiguriert ist. Der Suchknopf macht die immer schon vorhandene Suchfunktion des Startbildschirms nun auch für
Touch-Benutzer einfacher verwendbar. Tastatur/Maus Anwender tippen hingegen weiterhin einfach am Startbildschirm den Suchbegriff ein, und sparen sich den zusätzlichen Klick auf das Lupensymbol.
Generell unterscheidet Windows 8.1 nun stärker zwischen Anwendern mit Tastatur/Maus und solchen auf Touchscreen-Geräten. Erstere haben nun ein konventionell wirkendes Kontextmenü auf dem Startbildschirm. Man muss also nicht mehr eine App mit der Rechten Maustaste anwählen und dann am unteren Bildschirmrand eine Aktion durchführen, sondern erhält ein Kontextmenü ähnlich dem des Desktops. Um mehrere Apps auf einmal zu markieren, klickt man nun wie am Desktop die einzelnen Kacheln mit gedrückter STRG-Taste an.
Keine neue Funktion ist "Boot to Desktop". Allerdings ist sie bei "Windows 8.1 Update" nun auf Computern mit Tastatur/Maus standardmäßig aktiviert. Ist das der Fall, zeigt der Computer nach dem Startvorgang nicht mehr den Startbildschirm an, sondern sofort den Desktop. Während diese Möglichkeit bei Windows 8.0 noch nicht vorhanden war, konnte man das auch bei Windows 8.1 bereits einstellen.
Auf dem Desktop wird man dann ebenfalls eine Neuerung feststellen. So ist nun standardmäßig der Windows Store an die Taskleiste gepinnt. Auch andere Apps lasen sich nun an die Taskleiste pinnen, sodass diese Apps schneller (weil ohne Umweg über den Startbildschirm) gestartet werden können. Überhaupt sind Taskleiste und Apps näher zueinander gerückt, denn fährt man in Apps mit dem Mauszeiger an den unteren Bildschirmrand, sieht man nun die Taskleiste auch bei geöffneter App. Fährt man mit der Maus hingegen an den oberen Bildschirmrand, wird eine neue Leiste eingeblendet, ähnlich der Fensterleiste konventioneller Desktop-Programme. Dort kann man die App bequem schließen, minimieren oder zur Seite schieben.
Kann man Windows 8.1 Update auslassen?
Ich wüsste zwar (bisher) nicht, warum jemand das Update auf "Windows 8.1 Update" nicht installieren möchte, aber die Antwort ist ohnehin eindeutig NEIN. Wer Windows 8.1 verwendet, und das Update auf Windows 8.1 Update nicht durchführt, wird auch in Zukunft keine Sicherheitsupdates mehr erhalten. Das ist natürlich absolut nicht empfehlenswert, daher ist dieses Update für Nutzer von Windows 8.1 quasi Pflicht.
Quelle: 'Frühlings-Update' auf Heise Online
Quelle: 'Windows 8.1 Update wird zur Pflicht' auf Heise Online
Eigentlich hätten die Lichter bei Windows XP ja bereits vor 2 Jahren ausgehen sollen, aufgrund der schlechten Akzeptanz von Windows Vista hat sich Microsoft damals aber dazu hinreißen lassen, den Support bis zum 8. April 2014 zu verlängern. Nun ist aber endgültig Schluss mit Lustig.
Als Windows XP im Jahr 2002 das Licht der Welt erblickte, war es ähnlich unbeliebt wie heute Windows 8. Viele Anwender haben damals über die bunte Oberfläche geschimpft, heute wollen die selben Anwender am liebsten gar nicht weg davon. Aber in der sich schnell weiterentwickelnden Computerwelt hat ein 12 Jahre altes Betriebssystem einfach nichts mehr verloren. Im Vergleich zu Windows 8.1 ist es langsam, unsicher, unstabil und unkomfortabel.
Die Sicherheit ist auch das wichtigste Kriterium, warum Anwender von Windows XP nun auf neuere Systeme wechseln sollten bzw. müssen. Denn ohne Sicherheitsupdates (und das bedeutet das Support-Ende in erster Linie) wird Windows XP nun mit jeder Woche empfänglicher für Angriffe aus dem Internet. Wer in ein paar Monaten mit einem XP PC noch Kreditkarten-Käufe oder Online-Banking tätigt spielt russisches Roulette.
Auf welches System wechselt ein XP-Anwender am besten? Diese Frage lässt sich nicht ohne weiteres beantworten. Aus technischer Sicht wäre die Antwort natürlich eindeutig Windows 8.1, sofern alle wichtigen Programme damit kompatibel sind. Es ist das am weitesten entwickelte Windows und hat den längsten Supportzeitraum vor sich. Leider hält sich das Gerücht, Windows 8 sei "kompliziert" immer noch sehr hartnäckig da draußen. Wenn man sich ein wenig damit beschäftigt, ist es das jedoch nicht. Wir haben unseren Kunden immer in höchstens 15 Minuten die Unterschiede zum jeweils vorherigen Windows System erklären können, und alle Kunden kamen danach mit Windows 8 bzw. 8.1 sehr gut zurecht.
Windows 7 ist auf den ersten Blick ähnlicher zu Windows XP, wenngleich auch nicht identisch. Dennoch fühlen sich XP-Anwender meist auf den ersten Blick mit Windows 7 wohler. Was Programm-Kompatibilität angeht, herrscht meist kein großer Unterschied zwischen Windows 7 und Windows 8.1. Soll heißen, alte Programme aus der XP-Ära laufen im schlimmsten Fall weder dort noch da und müssen dann gegebenenfalls erneuert werden. Und wer vorhat, seinen neuen PC länger als fünfeinhalb Jahre einzusetzen, kommt mit Windows 7 ins nächste Support-Ende. Denn im Jänner 2020 ist auch mit Windows 7 Schluss.
Quelle: 'Letzter Patchday für XP und Office 2003' auf Heise Online
Als die RTF-Sicherheitslücke kürzlich bekannt wurde, haben wir noch gerätselt, ob diese Schwachstelle in Office 2003 wohl noch behoben wird. Nun wissen wir, sie wurde. Das heißt jedoch nicht, dass Anwender von Office 2003 diese Software nun unbegrenzt weiterverwenden sollten. Denn die nächste Schwachstelle in Office 2003 ist vermutlich nur wenige Wochen von der Entdeckung entfernt, und dann wird es eben keine Updates mehr geben.
Anwender, die immer noch nicht auf neuere Versionen von Microsoft Office, oder das kostenlose LibreOffice gewechselt haben, sollten dies also nun rasch nachholen.
Quelle: 'Letzter Patchday für XP und Office 2003' auf Heise Online
Lenovo war zwar der erste Hersteller, der nach 2011 wieder einen Akku-Rückruf starten muss, aber wie erwartet nicht der Letzte. Sony hat nun bekannt gegeben, dass bei 3 Geräten des Modells Vaio Fit 11A ernste Probleme mit dem Akku bekannt wurden.
Sony warnt nun alle Anwender eines Vaio Fit 11A, die eine Seriennummer beginnend mit SVF11N1 haben, vor eventuellen Bränden. Die Seriennummer des Gerätes ist an der Rückseite des umklappbaren Displays zu finden (siehe Artikel bei Heise Online).
Besitzer eines solchen Gerätes sollen es vom Strom abschießen und nicht verwenden, bis Sony weitere Informationen hat. Ein Akku-Rückruf dürfte aber nur eine Frage der Zeit sein.
Quelle: 'Brandgefahr bei Hybrid-Laptop Sony Vaio Fit 11A' auf Heise Online
Netgear hat einen neue Firmware für den Modemrouter DGN1000 veröffentlicht. Drin wird eine gravierende Sicherheitslücke geschlossen, die es Angreifern ermöglichte auf das eigene Netzwerk zuzugreifen.
Die neue Firmware sollte umgehend installiert werden. Eine Anleitung zum installieren des Firmware-Upgrades sollte im Handbuch des Gerätes zu finden sein.
Die neue Firmware kann auf der Netgear Downloadseite heruntergeladen werden. Geben sie als Typ "DGN1000" ein, und bei Land "Other" wenn sie ein österreichisches Gerät verwenden [Firmware Version 1.1.00.49 (All regions except North America and Germany)], bzw. "Germany" bei einem deutschen Gerät [Firmware Version 1.1.00.48 (Germany Only)].
Quelle: 'Netgear schließt Hintertür in Modemrouter DGN1000' auf Heise Online
Download: Netgear Downloadseite
Wie angekündigt, ist nun LibreOffice 4.2.3 verfügbar. Darin wurden wieder dutzende Fehler der Vorversion behoben.
Trotz des fortschreitenden Reifegrades können wir die 4.2er Serie bisher nur Privatanwendern mit etwas Experimentierdrang empfehlen. Firmen und konservativere Privatanwender greifen nach wie vor besser zu Version 4.1.5 des Office Paketes.
Duden-Korrektor Anwender aufgepasst: Der Duden Korrektor funktioniert unseren Tests nach zu urteilen NICHT mit LibreOffice 4.1 und neuer! Siehe separaten Artikel zum Thema Duden Korrektor.
Info: Liste der Neuerungen in LibreOffice 4.2
Download: Aktuelle LibreOffice Versionen (4.2 Serie)
Download: Aktuelle LibreOffice Versionen (4.1 Serie)
Wir empfehlen:
Diese Website ist kompatibel zu:
