Gegenüber letzter Woche gibt es ein paar Neuigkeiten rund um das Thema FREAK Attacke. Microsoft hat mit dem letzten Patchday die Probleme im Internet Explorer beseitigt, jedoch nur auf Windows, nicht unter Windows Phone. Auf letztgenannten Geräten sollte man unbedingt alternative Browser wie Opera Mini einsetzen, um sicher zu sein. Der Internet Explorer dort ist sowohl für Poodle als auch FREAK anfällig.
Apple hat ebenfalls Updates für iOS und Mac OS veröffentlicht. Wie bei Apple üblich, bekommt aber nur die letzte iOS Ausgabe Sicherheitsupdates. In dem Fall kommen diese in Form von iOS 8.2. Wer noch ein iPhone oder iPad hat, das nicht mit iOS 8.2 kompatibel ist, bleibt auf einem ganzen Berg von Sicherheitslücken sitzen.
Opera hat die Lücken in den Browser Versionen für Mac OS X und Android behoben. Das Problem unter iOS beruht auf der Schwachstelle in älteren iOS Versionen, und wird deshalb ebenfalls durch iOS 8.2 behoben.
Google hat nur das Problem in Google Chrom für Mac OS behoben, aber unter Android sind wohl weiterhin sämtliche Versionen von Chrome, wie auch die eingebauten Browser weiterhin von dem Problem betroffen. Hier sollten unbedingt alternative Browser wie Opera für Android eingesetzt werden.
Für die zuletzt genannten eher unbekannten Browser (Dolphin, iCab, Mercury, UC) liegen uns keine neuen Informationen vor, weshalb wir sie mit einem Fragezeichen versehen haben.
Hier die aktuelle Liste der verwundbaren Browser:
(neueste Versionen bzw. alle Updates installiert)
Hier die aktualisierte Liste der Browser, die nicht für FREAK anfällig sind:
Während also die meisten Hersteller rasch reagiert haben, lässt Google die Anwender seines Betriebssystems Android im Regen stehen, sofern sie auf die Google eigenen Browser setzen. Allerdings ist es ja nichts Neues, dass für Google die Sicherheit von Android keine Priorität hat. Besitzer eines Android Gerätes (egal ob Handy oder Tablett) sollten unbedingt alternative Browser wie Opera oder Firefox verwenden.
Ebenfalls nichts Neues gibt es von Kaspersky. Wer die (standardmäßig deaktivierte) Funktion 'Sichere Verbindungen untersuchen' aktiviert hat, sollte dies nun wieder rückgängig machen, da sonst der komplette PC (unabhängig vom verwendeten Browser) für FREAK anfällig ist.
Info: Den eigenen Browser auf 'Freakattack.com' überprüfen
Info: 'Vorsicht vor der FREAK Attacke!' auf CB Computerservice
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an, und veröffentlicht für viele Anwendungen Updates. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 17.0.0.134. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Adobe AIR:
Adobe AIR wurde auf Version 17.0.0.124 aktualisiert. Ob Adobe AIR installiert ist, sieht man in der Systemsteuerung unter "Programme und Features". Nur wenn Adobe AIR dort aufscheint, sollte man die neue Version herunterladen und installieren.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera (ab Version 26)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Download: Aktuelle Adobe AIR Version (nur updaten wenn bereits installiert!)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlenden Updates können da auch gleich nachinstalliert werden.
Microsoft hat es geschafft den Internet Explorer wieder halbwegs sicher zu machen. Sowohl das Problem mit FREAK wurde behoben, wie auch die Sicherheitslücke, über die wir am 7. März berichtet hatten wurde geschlossen. Außerdem scheint bisher keines der Updates für irgendwelche nennenswerten Probleme zu Sorgen, was ja Anfang des Jahres nicht immer so war.
Der Internet Explorer von Windows Phone wird jedoch weiterhin stiefmütterlich behandelt. Er ist nach wie vor sowohl für Poodle als auch FREAK anfällig. Hier sollte also weiterhin unbedingt ein alternative Browser wie z.B. Opera Mini eingesetzt werden.
Wie üblich die Warnung an Benutzer von Windows XP: Dieses Uralt-Betriebssystem bekommt KEINE Sicherheitsupdates mehr! Wer XP immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.
Download: Microsoft Update Website (nur mit Internet Explorer)
Die FREAK Attacke funktioniert technisch betrachtet zwar deutlich anders als POODLE, jedoch läuft es für Anwender auf denselben Schaden hinaus: Vermeintlich verschlüsselte Verbindungen, wie man sie üblicherweise z.B. zu Online Banking Websites aufbaut, können von Angreifern eventuell mitgelesen werden. Technische Details erspare ich unseren Lesern, daher direkt zu der Liste der verwundbaren Browsern, die man entsprechend (vorübergehend) nicht mehr verwenden sollte:
Zum Glück gibt es aber auch Browser, die sich nicht von FREAK in die Irre führen lassen, also in dieser Hinsicht als sicher gelten:
Positiv fällt hier vor allem Firefox auf, der als einziger Browser auf allen unterstützten Betriebssystemen sicher ist. Negativ stechen vor allem (wie leider üblich) Internet Explorer und Safari heraus, die beide deutlich häufiger als die Konkurrenz an Sicherheitsproblemen leidet. Wer (laut Liste) bisher einen verwundbaren Browser verwendet, und nicht (vorübergehend) auf Firefox wechseln möchte, muss sich in der Liste oben einen anderen Browser auswählen, der auf dem jeweiligen Betriebssystem sicher ist. Unter Windows kommen z.B. neben Firefox noch Opera und Google Chrome in Frage, wobei wir von den Google Produkten wie üblich aus Datenschutzgründen abraten müssen.
Die meisten Browser-Hersteller dürften wohl bereits mit Hochdruck an Sicherheitsupdates bzw. neuen Versionen arbeiten, die sich nicht mehr vor FREAK verstecken müssen. Wer sich nicht auf die Listen oben verlassen möchte, kann seinen Browser selber unter der Website 'Freakattack.com' testen.
Info: Den eigenen Browser auf 'Freakattack.com' überprüfen
Quelle: 'Schutz vor Freak Attack: Diese Browser sind betroffen' auf Heise Online
Wie schon bei Poodle, verschlechtert Kaspersky auch bei FREAK die Situation unnötigerweise, wenn die Funktion 'Sichere Verbindungen untersuchen' aktiviert ist. Bei eingeschalteter Funktion übergeht Kaspersky alle Sicherheitsfunktionen der Browser um den Netzwerkverkehr überwachen zu können. Dabei patzt Kaspersky leider ebenso, wie schon bei Poodle.
Wer Kaspersky mit den Standard-Einstellungen betreibt ist nicht gefährdet. Wer die Untersuchung von sicheren Verbindungen aktiviert hat, sollte sie nun besser ausschalten. Es ist zu befürchten, dass Kaspersky nicht vor Version 2016 (die Mitte dieses Jahres erscheinen dürfte) einen zuverlässigen Schutz gegen FREAK und POODLE bei gleichzeitig aktivierter Option zur Untersuchung sicherer Verbindungen bieten wird.
Das Team rund um den VLC Media Player hat eine neue Ausgabe der Software für Windows veröffentlicht. Version 2.2.0 behebt einige kleinere Probleme, schließt aber auch ein paar nicht unerhebliche Sicherheitslücken. Alle Anwender sollten die neue Version daher rasch installieren.
Als eine der Neuerungen abseits von Leistungssteigerungen nennen die Entwickler eine neue Funktion, die Handy-Videos die hochkant aufgenommen wurden automatisch drehen soll, was die Nacken so mancher genervter Anwender schonen dürfte :)
Zudem ist VLC nun offiziell auch als 64 Bit Version erhältlich. Wer ein 64Bit Windows hat, kann mit dem 64bit VLC Media Player eventuell noch ein wenig mehr Leistung herausholen. Wer ein 32Bit Windows hat oder es gar nicht weiß, verwendet die 32Bit Ausgabe.
Download: VLC Media Player 2.2.0 für Windows (32Bit)
Download: VLC Media Player 2.2.0 für Windows (64Bit)
Quelle: 'VLC Media Player 2.2.0 Release Notes' auf Videolan.org (Englisch)
Gleich eine ganze Reihe von D-Link-Routern enthält eine schwere Sicherheitslücke, über die Angreifer aus dem Internet die volle Kontrolle über den Router und damit das Heimnetzwerk übernehmen können. D-Link arbeitet zurzeit intensiv an der Behebung der Lücken, und hat bereits für einige Modelle eine abgesicherte Firmware zum Download bereitgestellt. Hier eine Liste aller verwundbaren Router:
Die neuen Firmware-Versionen sind teils noch nicht über die Support-Seite von D-Link zugänglich, sondern bisher nur über das Dropbox-Konto der Entwickler. Der Download ist aber auch ohne Registrierung bei Dropbox möglich. Um die neue Firmware für Ihren Router herunterzuladen, klicken sie bitte auf die Versionsnummer des richtigen Routers (Revision beachten). Die in Entwicklung befindlichen Firmware-Updates können sobald sie Verfügbar sind über die Sicherheitsmitteilung SAP10052 von D-Link heruntergeladen werden.
Wer einen verwundbaren Router hat, für den bisher noch kein Firmware-Update verfügbar ist, sollte zumindest schon einmal die Fernwartungsfunktion deaktivieren. Wie das, bzw. das Firmware-Update funktioniert, sollte in dem mit dem Router mitgelieferten Handbuch stehen.
Quelle: 'Router-Lücken: D-Link bereitet Patches vor' auf Heise Online
Quelle: D-Link Sicherheitsbenachrichtigung SAP10052 (Englisch)
Die Liste der Programme, die unsichere Zertifikate installieren ist diese Woche nur um einen Eintrag gewachsen. Hier wie schon letzte Woche die komplette aktualisierte Liste.
Hintergrund zur Materie bzw. Anleitung zum Entfernen der Software bzw. der Zertifikate entnehmen sie bitte unserem Artikel 'Zahlreiche Programme installieren unsichere Zertifikate' vom 23.02.2015.
Info: 'Zahlreiche Programme installieren unsichere Zertifikate' von CB Computerservice
Quelle: 'Vulnerability Note VU#529496' auf Cert.org
Die LibreOffice Entwickler haben die Versionen 4.4.1 sowie 4.3.6 der freien Bürosuite veröffentlicht. Beide Versionen korrigieren Fehler der jeweiligen Vorversionen.
Anwender, die noch eine LibreOffice Version vor 3.2.7 bzw. 4.3.3 einsetzen, sollten aus Sicherheitsgründen unbedingt auf eine aktuelle Version updaten.
Die 4.4er Serie hat in Version 4.4.1 über 100 Fehlerkorrekturen erhalten. Dennoch können wir diese Ausgabe nur für Neugierige Anwender empfehlen. Konservative Anwender und Firmen sind im Moment noch besser bedient mit Version 4.3.6.
Quelle: Liste der Neuerungen in LibreOffice 4.4
Download: Aktuelle LibreOffice Versionen (4.3 Serie) - (Empfohlen)
Download: Aktuelle LibreOffice Versionen (4.4 Serie)
Die Liste der Programme, die unsichere Zertifikate installieren ist wie erwartet länger geworden. Der Einfachheit halber bieten wir hier eine (zurzeit) komplette Liste an, also die Programme die wir bereits gelistet hatten und die neuen. Letztere sind aber gekennzeichnet, sodass ein Anwender, der bereits Anfang der Woche seinen PC anhand der alten Liste überprüft hat nicht alles nochmal durchgehen muss.
Hintergrund zur Materie bzw. Anleitung zum Entfernen der Software bzw. der Zertifikate entnehmen sie bitte unserem Artikel 'Zahlreiche Programme installieren unsichere Zertifikate' vom 23.02.2015.
Info: 'Zahlreiche Programme installieren unsichere Zertifikate' von CB Computerservice
Quelle: '...Mehr als ein Dutzend Anwendungen verbreiten Superfish-Zertifikat' auf Heise Online
Quelle: 'Vulnerability Note VU#529496' auf Cert.org
Die Version 31.5.0 von Thunderbird behebt fünf Sicherheitslücken der Vorversion. Drei der Lücken sind kritisch. Thunderbird Anwender sollten rasch auf die neue Version aktualisieren.
Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.
Download: Aktuelle Thunderbird Version
Firefox 36.0:
Die neue Version 36.0 des Browsers Firefox behebt einmal mehr Sicherheitslücken der Vorversion, weshalb eine Nutzung der Version 35 oder älter (Ausnahme ESR Ausgaben) ein erhebliches Sicherheitsrisiko darstellt.
Firefox ESR 31.5:
Die Firefox ESR Ausgabe der 31er Schiene beinhaltet alle Sicherheitskorrekturen aus Firefox 36, aber keine neuen Funktionen.
Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren.
Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungs Zeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Microsoft hat angekündigt, ab sofort sein Office 365 Abonnement kostenlos für Schüler und Lehrkräfte anzubieten. Bevor jetzt Eltern von Schulkindern ob der vermeintlichen Geldersparnis verfrüht in Jubel ausbrechen, sei erwähnt, dass im englischen (eine deutsche Pressemitteilung zu dem Thema haben wir bisher nicht gefunden) der Begriff 'students' sowohl für gewöhnliche Schüler als eben auch Studenten steht. Klar ist, dass nur Schüler (oder Studenten) mit einer Schul-E-Mail-Adresse überhaupt eine Chance haben, von dem Angebot eventuell zu profitieren. Wer von seiner Schule eine eigene E-Mail-Adresse zur Verfügung gestellt bekommen hat, kann versuchen, sich auf der 'Office 365 Education' Website zu registrieren.
Office 365 Education enthält die Programme Word, Excel, PowerPoint, OneNote, Outlook, Publisher, und Access, und bietet daher deutlich mehr als das regulär im Geschäft erhältliche 'Office 2013 Home and Students'. Die Programme können auf bis zu fünf Geräten (PC, Mac, Android Handy/Tablet und iPhone/iPad) installiert werden. Unter Mac OS existiert jedoch kein Publisher und Access, und die Handy/Tablet Apps bieten natürlich nicht den vollen Funktionsumfang der Windows-Programme.
Für Schüler, Studenten und Lehrer, die aus welchen Gründen auch immer eventuell auf Microsoft Office angewiesen sind, ist das ein phantastisches Angebot. Wer nicht auf Microsoft Office angewiesen ist, sollte lieber zum generell kostenlosen LibreOffice greifen, um sich nicht unnötig in eine Abhängigkeit von Microsoft zu begeben. Denn wenn die Schulzeit vorbei ist, muss man für die Microsoft Programme wieder viel Geld auf den Tisch legen.
Info: 'Office 365 Education' Registrierungswebsite
Quelle: Ankündigung von Microsoft (in Englisch)
Quelle: 'Microsofts Office lernt Cherokee und weitere Updates' auf Heise Online
Ein Sicherheitsforscher hat herausgefunden, dass die Software Superfish, die u.a. Lenovo auf seinen Laptops seit dem dritten Quartal 2014 vorinstalliert hat, ein Sicherheitszertifikat installiert, dass sich sehr leicht fälschen lässt. Systeme die Superfish installiert haben, können daher von Internet Kriminellen sehr leicht angegriffen werden.
Als das Problem öffentlich bekannt wurde, fand man das selbe Problem auch in weiteren Software Paketen. Eine momentan aktuelle Liste umfasst daher folgende Programme:
Ursache dafür, dass sich das selbe Problem in so vielen unterschiedlichen Software-Paketen findet ist, dass sie alle eine Komponente von Komodia verwenden. Wie schon erwähnt, liegt das eigentliche Problem in den Zertifikaten die diese Programme installieren. Eine Deinstallation der genannten Programme alleine löst das Problem daher nicht, nichtsdestoweniger sollte man beides deinstallieren, also sowohl Programm als auch zugehöriges Zertifikat. Bei den meisten Programmen ist der Name des Programms mehr oder weniger identisch zu dem des Zertifikates. Nur bei 'Hide my IP' muss man nach 'Komodia' suchen.
Die Programme selbst deinstalliert man ganz normal über die Systemsteuerung. Um die Zertifikate zu löschen, tippt man in das Eingabefeld des Startmenüs (Vista, 7) bzw. direkt am Startbildschirm (8 und 8.1) den Begriff 'Internet Explorer' ein. Darauf klickt man dann mit der rechten Maustaste und wählt 'Als Administrator ausführen' (es ist extrem wichtig den Internet Explorer als Administrator zu starten, da man andernfalls keine Zertifikate löschen kann!). Nach Bestätigung der Sicherheitsabfrage klickt man im Internet Explorer im rechten oberen Eck auf das Zahnradsymbol und in weiterer Folge auf 'Internet Optionen'. Im gleichnamigen neuen Fenster wählt man den Karteireiter 'Inhalte' aus und klickt dort auf 'Zertifikate'. Im Zertifikate-Fenster wählt man den Karteireiter 'Vertrauenswürdige Stammzertifizierungsstellen'. In dieser langen Liste an Zertifikaten sucht man nun nach dem Zertifikat des Programms, das man zuvor deinstalliert hat (oder gleich nach allen in der Liste oben genannten Programmen/Zertifikaten), klickt sie an, und löscht sie über den Button 'Entfernen'.
Der Windows eigene Zertifikatsspeicher (für den die vorangegangene Beschreibung gilt), wird von den meisten aktuellen Browser mit Ausnahme von Firefox verwendet. Wie man das Zertifikat aus Firefox (und Thunderbird) entfernt, beschreibt eine englische (aber gut bebilderte) Beschreibung von Lenovo.
Auch wenn die Software auf Lenovo Laptops als Initial-Funke für die Entdeckung dieser Problematik gedient hat, ist das Problem mittlerweile keineswegs auf Computer dieses Herstellers beschränkt. Aufgrund der langen Liste an betroffener Software kann mittlerweile jede Windows Installation betroffen sein. Und auch Software für MacOS, die Komodia Komponenten enthält, ist nicht ausgeschlossen. Gut möglich, wenn nicht gar wahrscheinlich, dass noch viele weitere Programme betroffen sind.
Info: 'Zertifikate aus Firefox und Thunderbird löschen' auf Lenovo.com (Englisch aber bebildert)
Quelle: 'Lenovo-Laptops: Sicherheitslücke erreicht kritisches Stadium' auf Heise Online
Quelle: 'It's not just superfish that's the problem' auf GitHubGist
Quelle: 'Vulnerability Note VU#529496' auf Cert.org
Schon die Poodle-Sicherheitslücke verwandelte viele Android Geräte theoretisch zu Elektronikschrott, nun ist das nächste Problem bekannt, die ältere (oder neue billige) Android Geräte zu einer Sammelstelle von nicht behobenen Gefahrenquellen macht.
Die WebView Sicherheitslücke betrifft alle Geräte mit Android vor Version 4.4 (KitKat), und das sind nach aktuellen Statistiken über 50% aller noch in Verwendung befindlichen Geräte! Auf ein Update vom Hersteller zu warten ist in den meisten Fällen sinnlos. Nur wenige Geräte, die jetzt noch kein Update auf Version 4.4 erhalten haben, dürften in Zukunft noch eines bekommen.
Zwar wird die WebView Sicherheitslücke im Moment noch nicht ausgenützt, aber das ist nur eine Frage der Zeit. Abgesehen von einem Upgrade auf Android 4.4 gibt es noch einen Weg, die Gefahr zu 'umgehen'. Diese Variante ist in dem verlinkten Heise Artikel beschrieben, wir halten diesen Ansatz aber nicht für praktikabel, weshalb wir hier nicht weiter darauf eingehen.
Wer vom Hersteller des Gerätes nicht mehr mit einer neueren Android Version beglückt wird, findet sein Heil möglicherweise in einer alternativen Firmware wie Cyanogen Mod (Version 11 oder neuer). Aber auch dort ist die Wahrscheinlichkeit etwas passendes zu bekommen bei den höherwertigen Geräten deutlich besser als bei den Billiggeräten. Wer trotz aller Sicherheitsrisiken eines Android-Systems weiterhin überlegt sich ein derartiges Gerät anzuschaffen, sollte darauf achten, nur mehr Geräte mit mindestens Android 4.4 (oder Cyanogen Mod 11 Unterstützung) zu kaufen.
Quelle: 'Android-Exploit schleust beliebige Apps ein' auf Heise Online
Mehrere Netgear Router ermöglichen es Angreifern über das Internet das Konfigurationspasswort auszulesen, und damit die Konfiguration des Gerätes zu ändern. Laut dem Sicherheitsforscher Peter Adkins sind zumindest folgende Geräte betroffen:
Sicherheitsupdates für die betroffenen Router gibt es nicht, Netgear hat sich bisher zu den Schwachstellen nicht mal geäußert, obwohl Adkins der Firma ein Monat Zeit gegeben hat. Zumindest gegen direkte Angriffe aus dem Internet lassen sich die Geräte abschotten, indem man die Fernkonfiguration deaktiviert. Dagegen, dass ein 'Gastnutzer' im eigenen Netzwerk den Router übernimmt kann man sich aber vorerst nicht schützen.
Quelle: 'Die Geister, die ich rief: Netgear-Router über Genie-App angreifbar' auf Heise Online
Die LibreOffice Entwickler haben die Versionen 4.3.6 der freien Bürosuite veröffentlicht. Wie üblich gibt es darin lediglich Fehlerkorrekturen und keine neuen Funktionen.
Anwender, die noch eine LibreOffice Version vor 3.2.7 bzw. 4.3.3 einsetzen, sollten aus Sicherheitsgründen unbedingt auf eine aktuelle Version updaten.
Die 4.3er Serie ist mittlerweile die empfohlene Ausgabe für Privat wie Firmenanwender.
Download: Aktuelle LibreOffice Versionen (4.3 Serie) - (Empfohlen)
Download: Aktuelle LibreOffice Versionen (4.4 Serie)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlenden Updates können da auch gleich nachinstalliert werden.
Microsoft hat dieses Monat auch Sicherheitsupdates für den Internet Explorer herausgegeben, darin aber nicht alle bekannten Sicherheitslücken geschlossen. Die bei uns am siebten Februar gemeldete Datenschutzlücke bleibt weiterhin bestehen. Außerdem stellte sich nun raus, dass nicht nur Internet Explorer 11 sondern auch Version 10 betroffen ist. Anwender, die bisher Internet Explorer 10 oder 11 genutzt haben, sollten vorübergehend alternative Browser wie Opera oder Firefox nutzen.
Wie üblich die Warnung an Benutzer von Windows XP: Dieses Uralt-Betriebssystem bekommt KEINE Sicherheitsupdates mehr! Wer XP immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.
Download: Microsoft Update Website (nur mit Internet Explorer)
Download: Aktuelle Opera Version
Download: Aktuelle Firefox Version
Vergangenes Wochenende wurde erneut eine Flash-Sicherheitslücke bekannt, die von Internetkriminellen angeblich schon seit Dezember ausgenutzt wurde, um die PCs von Internetsurfern mit Viren zu infizieren. Mitte der Woche hat Adobe dann die neue Version 16.0.0.305 von Flash zum Download bereitgestellt, die nicht nur diese eine Sicherheitslücke geschlossen hat, sondern in Summe gleich deren 18. Die restlichen Sicherheitslücken dürften aber bislang unbekannt gewesen sein.
Alle Anwender die Flash installiert haben (und das dürften so ziemlich alle sein) sollten die neuen Versionen installieren, sofern nicht bereits über das automatische Update geschehen. Ob bereits die neue Version 16.0.0.305 installiert ist, verrät ein Besuch der Flash-Player-Infowebsite.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera (ab Version 26)
Download: aktuelle Flash Player Version, Internet Explorer, Windows Vista & Windows 7
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Anfang der Woche wurde eine Sicherheitslücke in Microsofts Internet Explorer 11 bekannt, die sich sehr leicht dazu nützen lässt, um Anwender auszuspionieren. Die Angreifer können dabei genau mitverfolgen, was der Anwender im Internet Explorer macht und welche Daten er (z.B. Passwörter) eingibt.
Auch wenn sich die Lücke nicht eignet, um darüber den PC mit Viren zu infizieren, raten wir allen Anwendern vom Internet Explorer 11 bis auf weiteres alternative Browser wie z.B. Opera oder Firefox zu nutzen.
Download: Aktuelle Opera Version
Download: Aktuelle Firefox Version
Quelle: 'Internet Explorer 11 lässt Webseiten Anwender ausspionieren' auf Heise Online
Anfang der Woche hat Adobe endlich eine neue Version des Flash-Plugins zur Verfügung gestellt, die die schwere Sicherheitslücke schließt, die in den letzten Tagen bereits massiv ausgenützt wurde um Computer mit Viren zu infizieren.
Alle Anwender die Flash installiert haben (und das dürften so ziemlich alle sein) sollten die neuen Versionen installieren, sofern nicht bereits über das automatische Update geschehen. Ob bereits die neue Version 16.0.0.296 installiert ist, verrät ein Besuch der Flash-Player-Infowebsite.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera (ab Version 26)
Download: aktuelle Flash Player Version, Windows Vista & Windows 7, Internet Explorer
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Die LibreOffice Entwickler haben die Version 4.4.0 der freien Bürosuite veröffentlicht. Neben den üblichen Verbesserungen an unter anderem dem Datenaustausch mit Microsoft Office, wurde dieses Mal verstärkt Wert auf eine Modernisierung der Benutzeroberfläche gelegt.
Auffälligstes Merkmal der Version 4.4 sind die nun deutlich größeren Icons in den Werkzeugleisten, die dafür in der Anzahl geschrumpft sind. Grund dafür ist, dass viele Icons laut Benutzerstatistik selten bis nie genutzt wurden. Wer nun Icons in den Leisten vermisst, kann diese über EXTRAS → ANPASSEN leicht wieder aktivieren, oder auch weitere nicht benötigte Icons ausblenden, um noch mehr Übersicht zu schaffen. Wer lieber wieder kleine Icons verwenden möchte, kann dies über EXTRAS → OPTIONEN → ANSICHT einstellen.
Ebenfalls ein deutlicher Unterschied zur 4.3er Serie, ist die rechts eingeblendete Seitenleiste. Diese war zwar auch schon in Vorversionen vorhanden, musste aber erst aktiviert werden. In 4.4 ist sie standardmäßig eingeschaltet, zudem wurde sie stark überarbeitet. So sind nun die zuvor separat aktivierbaren Reiter für z.B. Formatvorlagen in diese Seitenleiste gewandert. Was Gelegenheitsanwender kaum jucken wird, stört so manchen Anwender, der LibreOffice intensiv nutzt, gewaltig. Daher sollten gerade diese Anwender gut überlegen, ob sie auf die 4.4er Serie umsteigen möchten. Im Bug-Forum wird über diese Neuerung noch angeregt diskutiert, gut möglich also, dass sich da zur Version 4.5 hin nochmal etwas ändert. Wir würden uns darüber jedenfalls freuen, denn die Formatvorlagen nicht standardmäßig an der Seite eingeblendet zu haben, ist ein großer Nachteil gegenüber der Vorversion.
Wieder überaus positiv sind die neuen Möglichkeiten Text ohne, oder nur mit bestimmten Formatierungen in Writer und Calc einzufügen. Besonders elegant geraten ist die Funktion 'Inhalte einfügen' in Calc, sofern man den Inhalt einer Zelle in eine andere Zelle derselben Tabelle kopiert. Schön wäre, wenn dieser neu designte Dialog auch in den anderen Programmen, und beim einfügen von sämtlichen Daten zur Verfügung stehen würde. Am häufigsten möchte man aber wohl ohnehin unformatierten Text einfügen, und das gelingt nun per eigenem Kontextmenübefehl (Inhalte einfügen → unformatierter Text). Eine deutliche Beschleunigung gegenüber vorher, zumal das ganze nun auch per Tastaturkürzel (STRG + ALT + SHIFT + V) möglich ist.
Eine komplette und bebilderte Liste der Neuerungen in LibreOffice 4.4 finden Interessierte auf der Seite 'Liste der Neuerungen in LibreOffice 4.4'.
Auch wenn wir die 4.4er Serie schon seit einiger Zeit im Test haben und keine größeren Probleme festgestellt haben, raten wir dem Großteil der Benutzer wie üblich von der allerersten Ausgabe einer neuen Serie ab. Wer immer gerne das Neueste haben möchte und sich an der Änderung bzgl. des Reiters 'Formatvorlagen' genauso wenig stört, wie über eventuell noch vorhandene kleinere Fehler, kann aber ohne Bedenken zugreifen. Der Weg zurück zu 4.3.5 ist ja jederzeit Möglich, sollten doch Probleme auftreten.
Quelle: Liste der Neuerungen in LibreOffice 4.4
Download: Aktuelle LibreOffice Versionen (4.3 Serie) - (Empfohlen)
Download: Brandneue LibreOffice Versionen (4.4 Serie)
Adobes Flash Plugin produziert mal wieder Negativ-Schlagzeilen. Am 22. Jänner hat Adobe einerseits eine aktualisierte Flash-Version veröffentlicht, die einige Sicherheitslücken geschlossen hat, gleichzeitig musste Adobe aber eingestehen, dass eine weitere Sicherheitslücke existiert die noch nicht behoben ist. Da diese Lücke bereits aktiv ausgenützt wird um Computer zu infizieren, ist es zurzeit empfehlenswert, das Flash-Plugin gänzlich zu deinstallieren, bis Adobe irgendwann nächste Woche eine neue Version fertiggestellt hat. Am einfachsten gelingt die saubere Deinstallation über den Flash Player Uninstaller (siehe Link am Ende des Artikels).
Das Flash-Plugin im Internet Explorer von Windows 8 und 8.1 kann man nicht deinstallieren, hier muss das Plugin über 'Add-Ons verwalten' (erreichbar über das Zahnrad-Symbol oben rechts) deaktiviert werden.
Wer selbst für ein paar Tage nicht auf Flash verzichten kann, der sollte die Ausführung von Plugins auf 'Click to Play' einstellen, wodurch Plugins erst nach Bestätigung ausgeführt werden. Das nützt natürlich nur dann, wenn man das Flash Plugin danach nur mit äußerster Bedacht aktiviert. Wer erst wieder sämtliche Nachfragen, das Flash Plugin zu aktivieren, bestätigt, ist genau so verwundbar als wäre es generell eingeschaltet. Selbst seriöse große Websites können Viren enthalten, da diese oft über gekaperte Werbe-Banner verbreitet werden. Eine Anleitung für 'Click to Play' finden Interessierte im verlinkten Quellen-Artikel von Heise Online. Der Internet Explorer bietet keine 'Click to Play' Funktion.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Quelle: 'Flash-Player deaktivieren! Sicherheits-Update lässt kritische Lücke offen' auf Heise Online
Oracle hat Version 7.0 Update 75 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 19 Sicherheitslücken geschlossen!
Wer Java nur für lokale benötigte Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
ACHTUNG: Wer noch Version 7 von Java verwendet, was wir für empfehlenswert halten da Ausgabe 8 noch relativ neu ist, muss aufpassen. Die eingebaute Update-Funktion aktualisiert nämlich jetzt bereits auf eine aktuelle 8er Version, statt innerhalb der 7er Serie zu bleiben. Erstens können vielleicht noch nicht alle Programme mit Java 8 etwa anfangen, zum anderen bleibt dabei eine veraltete Java 7 Version am PC zurück. Wer Version 8 verwenden möchte, sollte die alte 7er Version daher über die Systemsteuerung deinstallieren. Wer bei der ausgereiften 7er Version bleiben möchte, der muss von der eingebauten Update-Funktion die Finger lassen, und die neue 7er Version über den Link am Ende des Artikels herunterladen und installieren.
Deaktivieren des Java-Browser-Plugins:
Suchen Sie in der Systemsteuerung nach Java, und doppelklicken sie den Eintrag. Gehen sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurückmachen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch für einige Funktionen.
Download: Aktuelle Java 7 Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline (32-Bit)')
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an, und veröffentlicht für viele Anwendungen Updates. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 16.0.0.257 . Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Adobe AIR:
Adobe AIR wurde auf Version 16.0.0.245 aktualisiert. Ob Adobe AIR installiert ist, sieht man in der Systemsteuerung unter "Programme und Features". Nur wenn Adobe AIR dort aufscheint, sollte man die neue Version herunterladen und installieren.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera (ab Version 26)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Der allmonatliche Uwpdate-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlenden Updates können da auch gleich nachinstalliert werden.
Im Gegensatz zu letztem Monat, als mehrere fehlerhafte Updates veröffentlicht wurden, scheinen die Updates dieses Monat keine Nebenwirkungen zu haben, zumindest ist bisher noch nichts bekannt.
Wie üblich die Warnung an Benutzer von Windows XP: Dieses Uralt-Betriebssystem bekommt KEINE Sicherheitsupdates mehr! Wer XP immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.
Download: Microsoft Update Website (nur mit Internet Explorer)
Die Entwickler von FileZilla haben sich entschlossen, in der aktuellen Version 3.10 die Verschlüsselung von FTP-Verbindungen automatisch zu aktivieren, sofern der Server behauptet die Funktion zu unterstützen. Grundsätzlich begrüßen wir diesen Schritt sehr, immerhin muss ja nicht jeder die eigenen FTP-Verbindungen belauschen können, jedoch bringt der Schritt auch Probleme mit sich.
Zum einen gibt es offenbar viele Server, die zwar behaupten, sicheres FTP über TLS zu beherrschen, es aber dann eben doch gar nicht, oder nicht auf Dauer können. Eigentlich wären hier natürlich die Administratoren der besagten Server gefordert, vorübergehende Abhilfe schafft aber die Einstellung 'nur unverschlüsseltes FTP verwenden (unsicher)' im FileZilla Servermanager. Dann verhält sich die neue FileZilla Version wieder wie die Vorgänger.
Zum anderen bringt die Verschlüsselung aber auch im Erfolgsfall eine ungewohnte Neuerung für den Anwendern, er wird nämlich gefragt, ob er dem Sicherheitszertifikat des FTP-Servers vertrauen möchte. Hilfestellung bietet FileZilla dabei keine an, der Anwender muss also komplett selbst entscheiden bzw. prüfen, ob er tatsächlich mit dem richtigen Server verbunden ist. Per Häkchen kann man FileZilla dann gegebenenfalls mitteilen, für dieses Zertifikat in Zukunft keine Warnung mehr anzuzeigen.
Die FileZilla Macher haben es gut gemeint, aber die Anwender mit der Änderung überrannt und teils auch überfordert, wie die vielen Hilferufe im Forum belegen. Mehr Unterstützung und Aufklärung vom Programm, beim Umgang mit der neuen Funktion, bzw. der Verschlüsselung im Allgemeinen wäre hilfreich gewesen, wenn man diese Funktion schon einer großen Anwenderschar ungefragt aufs Auge drückt. Dieser Artikel klärt hoffentlich die eine oder andere dadurch ausgelöste Frage.
Download: FileZilla v3.10.1
Asus hat eine neue Firmware für folgende Router bereit gestellt:
Darin wurde die sogenannte Infosvr-Sicherheitslücke behoben, über die sich die fehlerhaften Router aus dem lokalen Netzwerk heraus einfach kapern lassen. Anwender, die einen der genannten Router besitzen, sollten die neue Version von der Asus Support-Seite herunterladen, und den Router wie im Handbuch beschrieben updaten.
Download: ASUS Router Sicherheitsupdates
Quelle: 'Asus liefert Firmware-Update für verwundbare Router' auf Heise Online
Nur mehr Anwender aus älteren Semestern, werden wissen was Macro-Viren eigentlich sind, galten diese doch lange Zeit als ausgestorben. Zur Erinnerung, früher einmal gab es viele sogenannte Macro-Viren, also in Microsoft-Office-Dokumenten eingebettete Befehle, die in weiterer Folge für allerlei Unheil sorgten. Da mit den Macros also unterm Strich mehr Schaden als Nutzen angerichtet wurde, schaltete Microsoft die Ausführung von Macros irgendwann standardmäßig ab, worauf hin auch die Macro-Viren langsam verschwanden.
Doch seit Ende letzte Jahres, sind nun wieder Dokumente mit Macro-Viren im Umlauf. Um überhaupt ausgeführt zu werden, versuchen die Autoren der Dokumente den Anwender zu überzeugen, die Macro-Funktion doch einzuschalten. Genau das sollten Anwender von Microsoft Office natürlich nicht tun, um weiterhin sicher zu bleiben. Anwender von LibreOffice oder OpenOffice sind von dem Problem ohnehin nicht betroffen, da Microsoft-Macros in diesen Programmen nicht funktionieren.
Quelle: 'Wieder in Mode: Trojaner in Office-Macros' auf Heise Online
Nach der von Intel produzierten Sicherheitslücke in UEFI, bekommt nun auch AMD sein Fett ab. Der Prozessorhersteller hat kürzlich eine Sicherheitslücke in der Firmware seiner APU's mit den Codenamen Trinity, Richland, Kaveri und Kabini behoben. Wie schwer die Sicherheitslücke genau ist, darüber veröffentlichte der Entdecker keine genauen Informationen.
Mangels exakter Informationen lässt sich die Tragweite natürlich nicht genau einschätzen. Wie bei BIOS-Problemen üblich, hat der Anwender selbst auch keine Möglichkeit zu prüfen, ob er von dem Fehler überhaupt betroffen ist oder nicht. Wir können Anwendern mit den genannten Prozessoren nur raten, ihr BIOS bzw. UEFI in den nächsten Monaten immer möglichst aktuell zu halten.
Quelle: 'Sicherheitslücke in Firmware von AMD-Prozessoren' auf Heise Online
Die Version 31.4.0 von Thunderbird behebt drei Sicherheitslücken der Vorversion. Eine der Lücken ist kritisch. Thunderbird Anwender sollten rasch auf die neue Version aktualisieren.
Zusätzlich zu den Sicherheitslücken haben die Mozilla Entwickler auch kleinere Fehlerkorrekturen angebracht.
Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.
Download: Aktuelle Thunderbird Version
Firefox 35.0:
Die neue Version 35.0 des Browsers Firefox behebt einmal mehr Sicherheitslücken der Vorversion, weshalb eine Nutzung der Version 34 oder älter (Ausnahme ESR Ausgaben) ein erhebliches Sicherheitsrisiko darstellt.
Firefox ESR 31.4:
Die Firefox ESR Ausgabe der 31er Schiene beinhaltet alle Sicherheitskorrekturen aus Firefox 35, aber keine neuen Funktionen.
Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren.
Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungs Zeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Immer schon haben wir aus Sicherheitsgründen von Funktastaturen abgeraten, nun gibt es neue Informationen darüber, wie leicht es manche dieser Tastaturen einem Angreifer machen. So haben Hacker nun ein unauffälliges USB-Ladegerät entwickelt, dass die Tastenanschläge von vielen Funktastaturen protokollieren kann. Gegen ein paar Dollar Aufpreis, enthalten diese Spionage-Geräte bereits einen GSM-Adapter, der die Daten per SMS an den Angreifer übermittelt. So muss dieser nicht einmal in der Nähe sein, um alles mitzulesen, was auf einer Funktastatur eingegeben wird.
Der einfachste Schutz gegen diese Art der Spionage ist es, einfach keine Funktastaturen zu verwenden. Der Nutzen solcher Geräte ist uns ohnehin ein Rätsel. Wenn es denn unbedingt kabellos sein soll, sollte die Tastatur über Bluetooth oder ein AES verschlüsseltes Funksystem angebunden sein.
Quelle: 'USB-Ladegerät spioniert Funk-Tastaturen aus' auf Heise Online
Am 13. Jänner beendete Microsoft den Mainstream-Support für Windows 7. Anwender der Privatversionen von Windows 7 (Basic, Home Premium und Ultimate) bekommen seither keinen Support mehr von Microsoft. Allerdings schließt das nicht die Bereitstellung von Sicherheitsupdates ein, diese werden noch bis ans Ende des erweiterten Supports, also Jänner 2010 kostenlos zur Verfügung gestellt.
Funktionale Verbesserungen liefert Microsoft nach dem Ende des Mainstream-Supports jedoch keine aus, warum wohl auch z.B. das von Spielern heiß ersehnte DirectX 12 nicht für Windows 7 erscheinen wird. Und auch neue Internet Explorer Versionen für Windows 7 wird es wohl keine mehr geben. Auch zu kaufen gibt es Windows 7 Home Premium und Ultimate mittlerweile offiziell nicht mehr.
Quelle: 'Letzte Woche der ersten Support-Phase für Windows 7' auf Heise Online
Wie wir im Zuge unseres Artikels über die missglückten Dezember Updates von Microsoft berichtet hatten, gab es ein Problem zwischen Kaspersky Produkten und dem Update KB3013769. Das Problem betraf nur die 32Bit Version von Windows 8.1.
Mittlerweile hat Kaspersky das Problem über das automatische Update gelöst. Wer also ein Kaspersky Produkt installiert hat, kann das optionale Windows Update KB3013769 nun ohne Probleme installieren.
Windows 8.1 (32Bit) Anwender, die umgekehrt bereits Update KB3013769 installiert haben, und jetzt erst eine Kaspersky Schutzlösung installieren wollen, müssen sich auf einen etwas langwierigen Prozess einstellen. Denn anstatt neue Installationsdateien bereitzustellen, deinstalliert Kaspersky das problematische Update nun vor der eigentlichen Virenscanner-Installation. Das verursacht zwar keine Probleme, dauert aber natürlich deutlich länger. Zudem müssen Anwender, die das besagte Update haben möchten, es nach der Installation und dem vollständigen Update von Kaspersky noch einmal installieren.
Wie gesagt, es läuft alles problemlos, aber dauert halt relativ lange. Neue Installationsdateien, die die Problemlösung bereits eingebaut haben, wären der sehr viel schnellere und unkompliziertere Weg gewesen. Gut möglich, dass in einigen Wochen neue Installationsdateien bereitgestellt werden, wenn auch der Fix für die Poodle-Schwachstelle in den Kaspersky Produkten fertig ist.
Wir empfehlen:
Diese Website ist kompatibel zu:
