News Archiv 2. Quartal 2015

Schlagzeilen * Details

Schlagzeilen:


zur Übersicht

Details:



05.06.2015 – Net-USB-Lücke macht Netzwerkrouter von 26 Herstellern unsicher!

Router Security LogoBis zu 26 Hersteller, darunter namhafte Marken wie D-Link, Netgear, TP-Link und ZyXEL, verwenden die „USB over IP“ Funktion der Firma KCodes. Und eben in dieser fanden Sicherheitsspezialisten nun eine gravierende Sicherheitslücke. Noch dazu gestaltete sich die Kontaktaufnahme der Profis mit der Firma KCodes als schwierig bis nicht möglich, oder auch nur nicht erwünscht.

Über Umwege durch diverse Regierungsbehörden gelang es dann aber wohl doch, KCodes zu einem Update zu bewegen, denn unter anderem TP-Link bietet für ein paar Modelle (TD-W8970 V3.0, TD-W9980 V1.0 und Archer VR200v V1.0) bereits entsprechend erneuerte Firmware-Updates zum Download an. Updates für etliche weitere Modelle dieses Herstellers sollen folgen. Fünf betroffene Modelle (TD-VG3511 V1.0, TD-W1042ND V1.0, TD-W1043ND V1.0, TD-WDR4900 V1.0, TL-WR842ND V1.0) sind jedoch bereits End of Life, erhalten also keine Updates mehr.

ZyXEL hat für vier seiner Router (NBG-419N V2, NBG4615 V2, NBG5615, NBG5715) Updates fertiggestellt, und behauptet, dass keine weiteren Modelle betroffen seien.

AVM hat festgestellt, dass die verwundbare Software generell nie verwendet wurde, also sämtliche Fritzboxen nicht von dem Problem betroffen sind.

Die oben genannten Router sind nur ein Auszug, weil diese beiden Firmen besonders rasch reagiert haben. Betroffen sind wie gesagt noch die Router von bis zu 24 anderen Herstellern, darunter Netgear und D-Link. Wir verweisen absichtlich nicht auf die Liste der Sicherheitsforscher, weil die explizit als nicht vollständig ausgewiesen ist, und Router Besitzer womöglich in falsche Sicherheit wiegt, wenn der eigene Router nicht dort aufgelistet ist.

Diese und andere Sicherheitslücken in Routern beweisen immer wieder aufs Neue wie wichtig es ist, regelmäßig nach Updates für den Router zu suchen. AVM handhabt das mit den Fritzboxen besonders vorbildlich, weil die neueren Geräte sich selbst aktualisieren können. Zumindest solange der Support nicht ausgelaufen ist, was leider selbst bei neu im Fachgeschäft erworbenen Geräten der Fall sein kann, wie wir kürzlich feststellen mussten.

Im aktuellen Fall sollten alle Besitzer von Routern mit USB-Schnittstelle nach Updates Ausschau halten. Taucht der eigene Router in den Support-Seiten des Herstellers gar nicht mehr auf, ist eventuell der Support ausgelaufen. In dem Fall sollte das Gerät gegen einen neuen Router ersetzt werden, selbst wenn das Gerät an sich nicht defekt ist. Alternativ kann man prüfen, ob eventuell eine aktuelle Fremdanbieter-Firmware wie DD-WRT für den veralteten Router existiert.

Quelle:'Kritische Lücke in etlichen Routern' auf Heise Online

Quelle:'ZyXEL schützt seine Router vor NetUSB-Lücke' auf Heise Online

zur Übersicht

05.06.2015 – Über 50 Schwachstellen in Netzwerkspeichern von D-Link!

Router Security LogoIn letzter Zeit bekleckert sich D-Link wahrlich nicht mit Ruhm, wenn es um das Beheben von Sicherheitslücken in seinen Produkten geht. Kürzlich wurde bekannt, dass der Hersteller in manchen Router-Updates mehr neue Sicherheitslücken eingebaut hat, als durch das Update behoben werden sollten. Und nun stellte ein Sicherheitsforscher fest, dass in einigen NAS-Geräten von D-Link bis zu 53 Sicherheitslücken stecken!

Das schlimme ist, der Entdecker hat die Lücken bereits vor über einem Jahr an D-Link gemeldet, und bis heute hat die Firma nicht alle der Probleme behoben! Da aber immerhin 'viele' Lücken geschlossen worden sein sollen, empfehlen wir Besitzern eines D-Link NAS (Netzwerkspeichergerät) unbedingt die neueste verfügbare Firmware einspielen, um zumindest so gut es geht geschützt zu sein. Bitte das Handbuch des Gerätes konsultieren, um herauszufinden, wo man das entsprechende Update bekommt und wie man es installiert.

Quelle:'Über 50 Schwachstellen in Netzwerkspeichern von D-Link' auf Heise Online

zur Übersicht

05.06.2015 – Handy-Apps schützen private Daten unzureichend!

Forscher der TU-Darmstadt fanden heraus, das massenhaft Apps für Apple (iPhone, iPad usw.) und Google (Android) Geräte die Daten der Anwender unzureichend schützen. Viele legen ihre Daten auf Servern von Amazon, Apple, Facebook oder Google ab, und machen dabei gravierende Fehler. So war es den Forschern nach Untersuchung einer App möglich, auf sämtliche Daten aller Nutzer dieser App zuzugreifen.

Bei mindestens 750.000 Apps haben die Forscher dieselbe Schlamperei entdeckt. Welche Apps genau betroffen sind, geben die Forscher aus rechtlichen Gründen leider nicht bekannt. Sie haben lediglich das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert, sowie die jeweiligen Server-Betreiber. Das geschah bereits 3 Wochen vor der Veröffentlichung der Forschungsergebnisse.

Bleibt zu hoffen, dass viele App-Programmierer bereits reagiert haben. Prüfen kann man das als Endanwender jedoch nicht. Als Anwender bleibt einem nur übrig, es sich lieber doppelt und dreifach zu überlegen, welcher App man welche Daten anvertraut.

Quelle:'Unzählige Apps speichern private Daten unsicher in der Cloud' auf Heise Online

zur Übersicht

17.05.2015 – Sicherheitsupdates für Adobe Flash, Reader, Acrobat und AIR

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Updates. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 17.0.0.188. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Adobe Reader & Acrobat:
Adobe Reader und Acrobat liegen nun jeweils in Version 11.0.10 vor. Auch wenn es immer noch Updates der 10er Serie gibt, empfehlen wir doch allen Anwendern des Readers auf die Version 11 bzw. Acrobat (Reader) DC upzugraden, da diese mehr Sicherheit bietet. Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Reader unten zum Download an. Von Adobe Acrobat (Reader) DC gibt es keine neue Version, die aktuelle enthält bereits alle Sicherheitskorrekturen.

Adobe AIR:
Adobe AIR wurde auf Version 17.0.0.172 aktualisiert. Ob Adobe AIR installiert ist, sieht man in der Systemsteuerung unter "Programme und Features". Nur wenn Adobe AIR dort aufscheint, sollte man die neue Version herunterladen und installieren.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera (ab Version 26)

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Download: Aktuelle Adobe AIR Version (nur updaten wenn bereits installiert!)

Download: Adobe Acrobat Reader DC

zur Übersicht

17.05.2015 – Microsoft's Tag der Updates

Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Der Internet Explorer von Windows Phone wird weiterhin stiefmütterlich behandelt. Er ist nach wie vor sowohl für Poodle als auch FREAK anfällig. Hier sollte also weiterhin unbedingt ein alternativer Browser wie z.B. Opera Mini eingesetzt werden.

Wie üblich die Warnung an Benutzer von Windows XP: Dieses Uralt-Betriebssystem bekommt KEINE Sicherheitsupdates mehr! Wer XP immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.

Download: Microsoft Update Website (nur mit Internet Explorer)

zur Übersicht

17.05.2015 – Mozilla: Sicherheitsupdates für Thunderbird

Mozilla Thunderbird LogoDie Version 31.7.0 von Thunderbird behebt sechs Sicherheitslücken der Vorversion. Vier der Lücken sind kritisch. Thunderbird Anwender sollten rasch auf die neue Version aktualisieren, sobald sie verfügbar ist.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird Version

zur Übersicht

17.05.2015 – Mozilla: Sicherheitsupdates für Firefox

Mozilla Firefox LogoFirefox 38.0.1:
Die neue Version 38.0.1 des Browsers Firefox behebt einmal mehr Sicherheitslücken der Vorversion, weshalb eine Nutzung der Version 37 oder älter (Ausnahme ESR Ausgaben) ein erhebliches Sicherheitsrisiko darstellt.

Firefox ESR 31.7:
Die Firefox ESR Ausgabe der 31er Schiene beinhaltet alle Sicherheitskorrekturen aus Firefox 38, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

17.05.2015 – Nun tauscht auch Acer Stromkabel aus!

Brennendes NotebookWährend HP bereits im August letzten Jahres damit begann die Stromkabel ihrer Notebooks auszutauschen, und Lenovo und Toshiba zwei Monate danach starteten, hat Acer bis Mai dieses Jahres benötigt, um Festzustellen, dass es die selben fehlerhaften Kabel mit seinen Notebooks ausliefert hat.

Acer Kunden, deren Stromkabel den Schriftzug LS-15 trägt, sollten sich auf der verlinkten Acer Website über den Austausch des gefährlichen Kabels informieren.

Info: Rückruf- und Ersatzprogramm für Acer-Stromkabel

Info: Rückruf- und Ersatzprogramm für HP-Stromkabel

Info: Rückruf- und Ersatzprogramm für Toshiba-Stromkabel

Info: Rückruf- und Ersatzprogramm für Lenovo-Stromkabel

Quelle: 'Brandgefahr: Acer tauscht Notebook-Netzkabel aus' auf Heise Online

Quelle: 'Lenovo ruft Stromkabel zurück' auf Heise Online

Quelle: 'HP ruft Kabel von Notebook-Netzteilen zurück' auf Heise Online

zur Übersicht

17.05.2015 – McAffee installiert ungefragt BETA Virenscanner!

Wer seinen PC mit dem Viren-Entfernungs-Programm 'McAffee Stinger' reinigen möchte, bekommt neuerdings ungefragt auch eine Beta Version von 'McAffee Raptor' installiert. Dabei handelt es sich um einen Virenscanner, der anders als Stinger ständig im Hintergrund aktiv ist. Raptor lässt sich bei der Installation nicht abwählen, kann aber nachträglich wieder entfernt werden, wenn man weiß wie (siehe Heise Artikel).

McAffee wurde mit dem fragwürdigem Geschäftsgebaren bereits konfrontiert, ändert aber vorerst nichts an den Stinger Downloads. Wir können daher nur von den McAffee Programmen abraten.

Quelle: 'McAfees Reinigungs-Tool Stinger installiert heimlichen Wächter' auf Heise Online

zur Übersicht

08.05.2015 – Sicherheitslücke in Lenovo Software-Update Programm

Das für zahlreiche Lenovo-Geräte zuständige Software Update Programm 'Thinkvantage System Update' enthält bis einschließlich Version 5.6.0.27 eine Lücke, die die PCs und Notebooks angreifbar macht. In Version 5.6.0.34 hat Lenovo das Problem behoben.

Anwender von Windows Vista (und älteren [nicht mehr unterstützten] Windows Versionen) schauen allerdings in die Röhre, denn die neue Version setzt mindestens Windows 7 voraus. Wer die letzten zwei Jahre Support von Windows Vista noch nutzen möchte, sollte das Thinkvantage System Update daher ganz deinstallieren. Updates bekommen so alte Systeme voraussichtlich ohnehin nicht mehr.

Quelle: 'Update-Software auf Lenovo-Computern öffnet Tür für Angreifer' auf Heise Online

Download: Lenovo Thinkvantage System Update v5.6.0.34

zur Übersicht

08.05.2015 – Schwere Sicherheitslücken in BullGuard und Panda Schutzsoftware

Die Anti-Viren Lösungen von Bullguard und Panda lassen sich von Viren einfach abschalten. Damit ist die Schutzfunktion natürlich nicht mehr gegeben, weshalb das so ziemlich die schlimmste Lücke ist, die eine Virenschutzsoftware nur haben kann.

Während BullGuard dem Anschein nach an einer Lösung arbeitet, gibt es von Panda keine Stellungnahme zu dem Problem. Wer für seinen Virenschutz kein Geld investieren möchte, greift als Alternative besser zu Avast. Wer den bestmöglichen Schutz haben möchte, kauft sich statt dessen besser eine Kaspersky Anti-Virus Lizenz.

Quelle: 'Angreifer können Viren-Scanner von BullGuard und Panda lahmlegen' auf Heise Online

zur Übersicht

01.05.2015 – Schwere Sicherheitslücke in LibreOffice und OpenOffice!

LibreOffice LogoIn Apache OpenOffice und LibreOffice wurde eine schwere Sicherheitslücke gefunden, die Angreifer nutzen können, um über präparierte Dokumente den PC mit Schädlingen zu infizieren.

Während LibreOffice das Problem bereits durch die Versionen 4.3.7 und 4.4.2 behoben hat, schauen OpenOffice Anwender durch die Finger. Ein Grund mehr, OpenOffice Anwendern zum Umstieg auf das modernere LibreOffice zu raten. Alternativ hilft es auch eine Datei zu löschen. Welche das ist, steht in der unten verlinkten Sicherheitsbenachrichtigung des OpenOffice Teams.

LibreOffice Anwender sollten rasch auf Version 4.3.7 (konservative Anwender und Firmen) bzw. 4.4.2 (für die, die immer das neueste haben müssen) aktualisieren.

Quelle: LibreOffice Sicherheitsmitteilung CVE-2015-1774 (Englisch)

Quelle: OpenOffice Sicherheitsmitteilung CVE-2015-1774 (Englisch)

Download: Aktuelle LibreOffice Versionen (4.3 Serie) - (Empfohlen)

Download: Aktuelle LibreOffice Versionen (4.4 Serie)

zur Übersicht

01.05.2015 – Neue Firmware für Samsung SSD 840 EVO

Samsung startet einen zweiten Versuch, den SSD's aus der 840 EVO Reihe Beine zu machen. Zwar sind besagte SSDs sehr schnell beim Schreiben von Dateien, das Lesen gelingt aber nur dann richtig flott, wenn die Dateien erst vor kurzem geschrieben wurden. Liegen Dateien schon seit einigen Wochen oder Monaten unverändert auf der Platte, sinkt die Geschwindigkeit beim Lesen ebendieser Dateien dramatisch.

Bereits im Oktober letzten Jahres hat Samsung eine neue Firmware für diese SSDs veröffentlicht, die das Problem beheben sollte, aber wie sich später herausstellte, war der Effekt nur von kurzer Dauer. Mit der abermals aktualisierten Firmware soll nun laut Samsung eine dauerhafte Lösung verfügbar sein.

So ganz eindeutig sind die Aussagen von Samsung jedoch nicht. Einmal wird versucht den Eindruck zu erwecken, mit der neuen Firmware sei das Problem grundsätzlich aus der Welt geschafft, andernorts sieht es eher danach aus, dass die ebenfalls neue Software 'Samsung Magician 4.6' der eigentliche Grund ist, warum die Platte wieder die ursprünglichen Leistungsdaten zeigt. Nachdem das Problem erst nach einiger Zeit auftritt, kann man auch nicht anhand eines kurzen Tests herausfinden, was nun zutrifft. Besitzer der Samsung SSD 840 EVO, die die maximale Leistung aus der SSD herausholen wollen, sollten jedenfalls die Samsung Software installieren, damit die neue Firmware auf die Festplatte laden und die Software danach NICHT deinstallieren sondern fleißig im Hintergrund laufen lassen.

Solange die Wahrheit rund um die 840 EVO nicht geklärt ist, raten wir jedenfalls vom Neukauf dieser SSDs ab. Die 840 PRO als auch die 850 EVO dürften von dem Problem nicht betroffen sein.

Quelle: 'Samsungs neue 840-Evo-Firmware nun frei verfügbar' auf Heise Online

Download: Samsung Magician 4.6, Windows, 17 MB

zur Übersicht

25.04.2015 – Mozilla: Sicherheitsupdates für Firefox

Firefox LogoMozilla scheint mit der Version 37 von Firefox nicht viel Glück zu haben, denn innerhalb weniger Tage muss der Hersteller ein zweites Sicherheitsupdate nachreichen. Firefox 37.0.2 behebt nur eine Sicherheitslücke, die ist aber kritisch genug um zu einem raschen Update zu raten.

Mozilla Firefox lässt sich über "OPTIONSKNOPF (Hamburger Icon) → ? → ÜBER FIREFOX" auf die neue Version aktualisieren.

Download: Aktuelle Firefox Version (Standard)

zur Übersicht

25.04.2015 – VLC Media Player 2.2.1 behebt Sicherheitslücke

VLC Media Player LogoDas Team rund um den VLC Media Player hat eine neue Ausgabe der Software für Windows veröffentlicht. Version 2.2.1 behebt eine Sicherheitslücke der Vorversion. Anwender, die VLC Media Player verwenden, sollten auf die neueste Version upgraden.
 

Download: VLC Media Player 2.2.1 für Windows (32Bit)

Download: VLC Media Player 2.2.1 für Windows (64Bit)

Quelle: 'VLC Media Player 2.2.1 Release Notes' auf Videolan.org (Englisch)

zur Übersicht

25.04.2015 – Akku-Rückruf bei Lenovo ausgeweitet

Brennendes Notebook LogoNachdem Lenovo bereits Ende März wieder einen Akku-Austausch wegen Brandgefahr gestartet hat, wird der Umfang nun auf weitere Akku-Modelle ausgeweitet. Windows Anwender langweilen wir jetzt gar nicht mit ewig langen Listen von Modellen und Seriennummern, sondern verweisen einfach auf ein eigenes Prüfprogramm von Lenovo, das feststellt oder der Akku für einen kostenlosen Austausch berechtigt ist. Thinkpad Anwender die Linux oder sonstige alternative Betriebssysteme einsetzen, müssen sich durch die Liste auf der Lenovo Batterierückruf-Website durchackern.

Selbst wer einen Akku besitzt, der nicht die geringste Wärmeentwicklung zeigt, kommt über diesen Rückruf kostenlos an einen neuen Akku. Der alte Akku muss nicht zurückgesendet werden, sondern sollte in den Recyclingstellen abgegeben werden.

Download: Lenovo Akku-Prüfprogramm

Info: Lenovo Infoseite mit betroffenen Thinkpad Modellen

Quelle: 'Erneuter Rückruf: Lenovo tauscht Akkus von ThinkPad- und Edge-Notebooks' auf Heise Online

zur Übersicht

25.04.2015 – Adobe veröffentlicht Lightroom CC bzw. Lightroom 6

Adobe LogoAdobe hat kürzlich zwei neue Versionen von Lightroom veröffentlicht. Lightroom CC ist für Anwender des Abo-Modells, also sowohl in der großen Creative Cloud, als auch in der kleinen Variante für Fotografen enthalten.

Lightroom 6 wird dahingegen weiterhin über den Einzelhandel vertrieben. Es wird nicht auf die Adobe Cloud-Umgebung zugreifen können, womit auch eine Einbeziehung von Mobilgeräten in den Workflow nicht möglich ist, und es gibt keine kontinuierlichen neuen Funktionen, wohl aber regelmäßige Updates in Hinsicht auf neue Kameras und Objektive.

Die wichtigsten Neuerungen haben zum Glück beide Varianten erhalten. So gibt es nun endlich eine Gesichtserkennung, die hilft in umfangreichen Bildbeständen das richtige Foto zu finden und eine deutlich erweiterte Beschleunigung durch die Grafikkarte. Lightroom kann nun Panorama-Bilder erstellen und aus Belichtungsreihen HDR Bilder erstellen. Letzteres kann zwar auch Photoshop, aber Lightroom kann im Gegensatz zu diesem auch eine echte HDR-Datei exportieren. Abgerundet wird das ganze von ein paar neuen Bearbeitungswerkzeugen und der Möglichkeit zur Touch-Bedienung.

Lightroom 6 kostet bei Adobe € 130, als Update von einer beliebigen Vorversion € 74. Im Einzelhandel können die Preise oft noch deutlich günstiger sein.

Info: Adobe Lightroom Infoseite auf Adobe.com

Quelle: 'Foto-Software Lightroom CC bringt Gesichtserkennung, HDR und Panoramen' auf Heise Online

zur Übersicht

18.04.2015 – Sicherheitsupdates für Adobe Flash, ColdFusion und Flex

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an, und veröffentlicht für viele Anwendungen Updates. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 17.0.0.169 . Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

ColdFusion :
Nutzer von Adobe ColdFusion sollten ebenfalls unbedingt Updates installieren, um schwere Sicherheitslücken zu schließen. Updates gibt es hier für die Versionen 10 und 11. Wie die Updates zu installieren sind, steht in dem 'Adobe Security Bulletin APSB15-07'.

Flex:
Nutzer von Adobe Flex sollten ebenfalls Hand anlegen, um ihr System sicher zu bekommen. Was zu tun ist verrät Adobe (leider nur in englischer Sprache) in dem 'Adobe Security Bulletin APSB15-08'.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Quelle: 'Adobe Security Bulletin APSB15-07' auf Adobe.com (Englisch)

Quelle: 'Adobe Security Bulletin APSB15-08' auf Adobe.com (Englisch)

zur Übersicht

18.04.2015 – Neue Java Version schließt zahlreiche Sicherheitslücken

Java LogoOracle hat Version 8.0 Update 45 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 14 Sicherheitslücken geschlossen, wovon drei kritisch sind!

Wer nach dem Upgrade von Java, in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugins:
Suchen Sie in der Systemsteuerung nach Java, und doppelklicken sie den Eintrag. Gehen sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurückmachen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch für einige Funktionen.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

zur Übersicht

18.04.2015 – Microsoft's Tag der Updates

Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlenden Updates können da auch gleich nachinstalliert werden.

Im Internet Explorer 11 hat Microsoft nun mit Update 3038314 endlich SSLv3 standardmäßig deaktiviert. In früheren Versionen muss SSLv3 weiterhin in den Optionen von Hand deaktiviert werden. Alternativ kann man auch das Microsoft Fix it 51024 verwenden um SSLv3 abzuschalten. Das abschalten von SSLv3 ist wichtig um vor der sogenannten Poodle Sicherheitslücke geschützt zu sein.

Der Internet Explorer von Windows Phone wird weiterhin stiefmütterlich behandelt. Er ist nach wie vor sowohl für Poodle als auch FREAK anfällig. Hier sollte also weiterhin unbedingt ein alternative Browser wie z.B. Opera Mini eingesetzt werden.

Wie üblich die Warnung an Benutzer von Windows XP: Dieses Uralt-Betriebssystem bekommt KEINE Sicherheitsupdates mehr! Wer XP immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.

Download: Microsoft Update Website (nur mit Internet Explorer)

Download: Microsoft Fix it 51024 (deaktiviert SSLv3)

zur Übersicht

18.04.2015 – Mozilla: Sicherheitsupdates für Thunderbird

Thunderbird LogoDie Version 31.6.0 von Thunderbird behebt fünf Sicherheitslücken der Vorversion. Zwei der Lücken sind kritisch. Thunderbird Anwender sollten rasch auf die neue Version aktualisieren.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird Version

zur Übersicht

18.04.2015 – Mozilla: Sicherheitsupdates für Firefox

Firefox LogoFirefox 37.0.1:
Die neue Version 37.0.1 des Browsers Firefox behebt einmal mehr Sicherheitslücken der Vorversion, weshalb eine Nutzung der Version 36 oder älter (Ausnahme ESR Ausgaben) ein erhebliches Sicherheitsrisiko darstellt.

Firefox ESR 31.6:
Die Firefox ESR Ausgabe der 31er Schiene beinhaltet alle Sicherheitskorrekturen aus Firefox 37, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungs Zeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

18.04.2015 – D-Link 'Sicherheitsupdate' verschlechtert Sicherheit

Router Security LogoDa haben die Sicherheitsexperten von /dev/ttyS0 schön blöd geschaut, als D-Link ein Sicherheitsupdate veröffentlichte, das eigentlich drei von den Experten entdeckte Sicherheitslücken schließen sollte. Denn statt die drei Sicherheitslöcher zu beheben, hat D-Link einfach eine weitere Schutzfunktion davor geschaltet. Blöd nur, dass auch diese eine Schwachstelle enthält, sodass die Zahl der Sicherheitslücken in den beiden betroffenen Routern DIR-645 und DIR-890L nun auf vier angestiegen ist, statt auf Null zu sinken.

Die vier Lücken ermöglichen es Angreifern die vollständige Kontrolle über den Router zu erhalten, und damit ungehinderten Zugriff auf das eigene Netzwerk. Wer einen der beiden Router in Betrieb hat, sollte zumindest die Fernwartungsfunktionen deaktivieren, damit die Lücken nicht aus dem Internet heraus ausgenützt werden können.

Besitzer des DIR-890L können überdies zur alternativen Firmware DD-WRT wechseln. Das installieren alternativer Firmware-Versionen wie DD-WRT geschieht jedoch grundsätzlich immer auf eigenes Risiko.

Quelle: 'D-Link-Patch ergänzt Sicherheitslücken durch neue Lücke' auf Heise Online

Download: Alternative DD-WRT Firmware

zur Übersicht

18.04.2015 – Aus Adobe Reader wird Acrobat Reader DC

Adobe Reader LogoDie Nachfolgeversion des kostenlosen Adobe Readers XI heißt nicht etwa Adobe Reader 12 oder XII sondern Acrobat Reader DC. Mit dem Namen Acrobat Reader kehrt Adobe damit wieder auf ein früheres Namensschema zurück, während 'DC' sich eher in die Zukunft orientiert, steht es doch für 'Document Cloud' und damit den (aus unserer Sicht bedenklichen) Trend alle seine Daten ins Internet auszulagern. Zusätzlich zur lokalen Festplatte und der Document Cloud bietet der neue Reader auch Sharepoint als Dateiablage an.

Anders als der Name vermuten lässt, lässt sich die neue Software aber auch ohne Cloud, und das damit unvermeidlich einhergehende monatliche Abo nutzen, wenngleich im Programmfenster immer mal wieder eine kleine Einblendung erscheint, man möge sich doch anmelden.

Die Oberfläche präsentiert sich deutlich moderner als in der Vorversion, Vorteile in der Handhabung haben wir allerdings bislang nicht ausmachen können. In der Menüleiste finden sich nun drei Arbeitsbereiche 'Start', 'Werkzeuge' und 'Dokument', wobei 'Werkzeuge' hauptsächliche als Werbeseite für die verschiedenen Abo-Modelle verstanden werden kann, denn die wenigsten Funktionen sind tatsächlich kostenlos nutzbar. Bisher haben wir vier Abo-Modelle entdeckt:

Die beiden Acrobat Abos entsprechen dabei vom Funktionsumfang grundsätzlich den entsprechenden Vorversionen plus halt die üblichen neuen Features, die Adobe jeder neuen Generation spendiert. Grundsätzlich finden wir es gut, dass es von Adobe selbst jetzt ein besser abgestuftes Abo-Modell gibt, jedoch muss man klipp und klar sagen, dass das Abo-Modell für Anwender, die sonst Jahrelang mit der selben Version ausgekommen wären, deutlich teurer ist. Aus sicherheitstechnischer Sicht ist das Abo hingegen deutlich besser, weil so auch Acrobat Anwender immer die neueste Version einsetzen können, und damit am besten gegen verseuchte PDF-Dateien geschützt sind.

Download: Adobe Acrobat Reader DC

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C