Vivaldi hat die neue Version 2.10 seines Browsers für Windows, macOS und Linux veröffentlicht. Die neue Version bringt vor allem das Upgrade auf Chromium 79.0.3945.94 und damit jede Menge Sicherheitsupdates. Damit wird es auch zum Pflichtupdate für alle Vivaldi Anwender. Nebenwirkungen konnten wir dieses Mal keine feststellen, alles läuft wunderbar mit der neuen Version.
Neben der neuen Chromium Version haben die Vivaldi Entwickler vor allem an der Kompatibilität geschraubt. Schweren Herzens haben sie den Namen Vivaldi aus dem User String (das ist eine Textinformation die an Webserver gesendet wird, wenn man eine Seite betrachtet) entfernt. Grund dafür ist, dass viele Webseiten-Programmierer Vivaldi als "inkompatibel" abgestempelt haben, obwohl der Browser dieselbe Render-Engine verwendet wie Google Chrome, den wiederum so gut wie alle Webseiten anstandslos akzeptieren.
Auch an der Oberfläche wurde wieder gefeilt. So können Themes (Aussehen der Benutzeroberfläche) nun zeitgesteuert gewechselt werden, die Einstellungen des Betriebssystems bzgl. hellem oder dunklem Theme werden auf Wunsch verwendet, die Adressleiste soll optimiert und die Schnellbefehle deutlich schneller geworden sein.
Download: Aktuelle Vivaldi Version
Quelle: 'Vivaldi-Browser verschleiert seine Identität' auf Heise Online
Quelle: 'Vivaldi 2.10: Ohne Schranken' auf Vivaldi.com
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 79.0.3945.88 behebt eine schwere Sicherheitslücke gegenüber der ersten 79er Version, die wiederum 51 (!) Sicherheitslücken gegenüber der 78er Version behoben hat. Anwender von Google Chrome sollten das Update daher zügig installieren.
Abgesehen von den korrigierten Sicherheitslücken hat Google auch noch ein paar neue aktive Sicherheitsvorkehrungen getroffen, so soll der Browser jetzt bei der Eingabe von gehakten Passwörtern warnen. Google behauptet zwar nur den Fingerabdruck des Passworts zu übermitteln, aber ein mulmiges Gefühl bleibt. Wir empfinden das nur wiedereinmal als einen Grund mehr, der Google Software nicht zu vertrauen und stattdessen lieber zu Vivaldi zu greifen.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Schwachstelle in Google Chrome geschlossen' auf Heise Online
Im beliebten Bildbetrachter IrfanView wurden mehrere Sicherheitslücken behoben. Eine schwere Lücke steckte in IrfanView selbst, die restlichen 7 Lücken in den optionalen Plugins. Hat man IrfanView 4.54 bereits installiert, ist sich aber bzgl. der Plugins nicht sicher, kann man über "HILFE → INSTALLIERTE PLUGINS ..." nun leicht herausfinden, ob die Plugins ebenfalls installiert sind oder nicht. Sind die Pugins installiert, müssen auch diese unbedingt aktualisiert werden.
Abgesehen von den Sicherheitskorrekturen hat der Entwickler von IrfanView wieder ein paar nette Neuerungen eingebaut. Die deutsche Liste der Änderungen befindet sich gemeinsam mit den deutschsprachigen Installationsdateien auf der folgenden verlinkten Seite.
Falls sie bereits die 64Bit Version von IrfanView verwenden, klicken sie auf der Downloadseite bitte auf "IrfanView-DE 64-bit Windows Installer". Falls sie nicht die 64Bit Version verwenden oder sich nicht sicher sind, klicken sie stattdessen die Datei "IrfanView-DE 32-bit Windows Installer" an. Falls sie auch die Plugins bereits installiert haben oder neu installieren wollen, laden sie sich bitte die Dateien "IrfanView-DE All Plugins - 32-bit Windows Installer" (für ein 32Bit IrfanView) oder "IrfanView-DE All Plugins - 64-bit Windows Installer" (für ein 64Bit IrfanView) herunter.
Download: 'IrfanView: Liste der Neuerungen und Downloads' auf Fosshub.com
Die LibreOffice Entwickler haben nun Version 6.3.4 der freien BüroSuite veröffentlicht. Die 6.3er Serie sollte damit nun stabil genug sein um auch von konservativen Anwendern und Firmen eingesetzt zu werden. Wir verwenden die neue Version seit einigen Tagen und konnten keine neuen Probleme damit feststellen.
Da der Support der 6.2er Serie ausgelaufen ist, empfiehlt sich das Upgrade auch für Nutzer dieser Serie. Wer eine noch ältere Version einsetzt, sollte unbedingt upgraden, da in LibreOffice zuletzt einige Sicherheitslücken behoben wurden.
Da die 6.3er Serie jetzt für jedermann empfehlenswert ist, verweisen wir nochmal auf den Heise Online Artikel der einige der Neuerungen beschreibt. Eine komplette Liste der Neuerungen in der 6.3er Serie finden sie auf LibreOffice.org.
Download: LibreOffice Versionen (6.3 Serie) - Empfohlen
Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.3
Quelle: 'LibreOffice 6.3: Neue Features und mehr Performance' auf Heise Online
Vom Grafik-Programm Gimp ist keine gänzlich neue Version vorhanden, aber ein (bereits zweimal) aktualisierter Installer. Wie in der Vergangenheit bereits, wird auf der Gimp-Homepage nicht erwähnt, welche Verbesserungen in den neuen Installer eingeflossen sind, in der Regel empfiehlt es sich aber die neueste Version zu verwenden. Ein kurzer Testlauf mit der neuen Fassung brachte zumindest keine neuen Probleme zutage.
Download: Gimp 2.14 Update 2, Windows
Apple behebt mit iTunes 12.10.3 zahlreiche teils kritische Sicherheitslücken in der Multimedia Software. Auch in iCloud musste Apple gehörig nachbessern und liefert diese Korrekturen mit Version 7.16 aus. Auch die iCloud-Version aus dem Windows Store war fehlerhaft, hier werden die Lücken durch Version 10.9 behoben.
Anwender, die iTunes oder iCloud tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs spürbar langsamer machen, selbst wenn sie gar nicht verwendet werden.
Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.
Quelle: 'Informationen zum Sicherheitsinhalt von iTunes 12.10.3 für Windows' auf Apple.com (Englisch)
Quelle: 'Informationen zum Sicherheitsinhalt von iCloud für Windows 10.9' auf Apple.com (Englisch)
Die Macher des unter dem Namen Emotet bekannten Virus haben sich wieder was neues altes einfallen lassen, um weiterhin für möglichst hohe Opferzahlen zu sorgen. Wurden die infizierten Office-Dokumente bisher im E-Mail selbst mitgesendet, wurden sie nun auf diverse Internet-Seiten ausgelagert. Die Mails selbst enthalten nun nurmehr die Links auf die Dateien im Internet.
Scheinbar soll das Firewalls und Anti-Spam-Lösungen umgehen, und auch wenn es trivial scheint, dürfte es funktionieren, denn wieder sind zahlreiche Fälle von Neu-Infektionen bekannt geworden. Ob diese von der neuen oder alten Variante befallen wurden, ist jedoch nicht geklärt.
Wie auch immer: Wer MS-Office Dokumente per E-Mail zugesendet wird oder eben neuerdings die Links zu solchen Dokumenten, sollte diese im Zweifelsfall nicht öffnen, auch wenn sie angeblich von vertrauenswürdigen Personen zu stammen scheinen. Besser einmal öfter nachfragen, ob diese Datei tatsächlich von der Person stammt, als ein Virus-Opfer zu werden.
Quelle: 'Malware Emotet: Neuer Dreh sorgt für erneute Infektionswelle' auf Heise Online
Auf ein paar Routern der Serie "Archer" von TP-Link lässt sich die Passwort-Abfrage umgehen und so Administrator-Zugriff auf die Geräte erlangen. Das gelingt auch aus dem Internet, was natürlich eine sehr gefährliche Lücke ergibt.
Besitzer der Geräte Archer C5 v4, Archer MR200 v4, Archer MR400 v3 und Archer MR6400 v4 sollten unbedingt die neueste Firmware installieren, um die Lücken zu schließen. Leider hat TP-Link die neuen Firmware-Pakete noch nicht offiziell auf der Support-Seite verlinkt, lediglich im Sicherheitsbericht von SecurityIntelligence.com gibt s Links. Wir haben diese Links zu ihrem Komfort übernommen, können aber verständlicherweise keinerlei Gewährleistung für die Downloads geben.
Quelle: 'Sicherheitsupdate: Passwortabfrage von TP-Links Archer-Routern umgehbar' auf Heise Online
Download: 'Firmware Update für TP-Link Archer C5 v4' auf TP-Link.com
Download: 'Firmware Update für TP-Link Archer MR200 v4' auf TP-Link.com
Download: 'Firmware Update für TP-Link Archer MR6400 v4' auf TP-Link.com
Download: 'Firmware Update für TP-Link Archer MR400 v3' auf TP-Link.com
Besitzer eines Präsentationssystemes von Barco sollten unbedingt den verlinkten Heise Online Artikel lesen, um sich über schwere Sicherheitslücken in diesen Systemen zu informieren und sie durch die entsprechenden Updates zu schließen.
Quelle: 'Angreifer könnten Barcos Präsentationssystem ClickShare mit Backdoor ausstatten' auf Heise Online
Microsoft hat ein Sicherheitsupdate für SharePoint veröffentlicht. Dass der Hersteller das Update nicht bis zum nächsten Tag der Updates aufgeschoben hat, dürfte darauf schließen, dass das Update dringend ist. Administratoren von SharePoint-Installationen sollten das Update also unbedingt rasch evaluieren/installieren.
Quelle: 'Microsoft patcht SharePoint Server außer der Reihe' auf Heise Online
Wer WordPress für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 5.3.2 installiert wurde oder das rasch nachholen. In der neuen Version wurden mehrere Sicherheitslücken geschlossen. Wer noch eine 5.2er Version einsetzt, sollte auf Version 5.2.5 updaten.
Quelle: 'Sicherheitsupdate: Schwachstellen in WordPress 5.3.1 geschlossen' auf Heise Online
Wer Joomla für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 3.9.13 installiert wurde oder das rasch nachholen. In der neuen Version wurden mehrere Sicherheitslücken geschlossen.
Quelle: 'Sicherheitsupdate: Zwei Lücken im CMS Joomla geschlossen' auf Heise Online
Wer Drupal für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 7.69, 8.7.11 oder 8.8.1 installiert wurde oder das rasch nachholen. In der neuen Version wurden mehrere Sicherheitslücken geschlossen.
Quelle: 'Sicherheitsupdate: Hochgeladene Archive können Drupal-Websites gefährlich werden' auf Heise Online
Die Amazon Tochter 'Ring' vertreibt "smarte" Kamerasysteme und Türklingeln, also Geräte mit Netzwerkanbindung. Laut Ring sollen diese Systeme 'besonders sicher' sein. Das passt jedoch nicht so ganz mit den neuesten Entdeckungen zusammen, wonach tausende Zugangsdaten für diese Systeme am Cyber-Schwarzmarkt aufgetaucht sind. Gut möglich also, das manche Ring-Kunden schon seit Monaten von ihren eigenen Kameras ausspioniert wurden. Auch Einbrüche in Häuser mit Ring-Türklingeln
wären denkbar.
Noch ist nicht klar, wie die Hacker an die Zugangsdaten kommen konnten, es wird jedoch vermutet, dass es sich um E-Mail-Passwort-Kombinationen handelt, die auch für andere Dienste verwendet wurden, die zwischenzeitlich gehakt wurden. Hinweise über einen Datendiebstahl bei Ring selbst gäbe es im Moment nicht. Damit wäre der Diebstahl größtenteils die Schuld der Nutzer selbst, ganz kann sich Ring jedoch auch nicht aus der Verantwortung reden, denn die Systeme von Ring legen derartigen Diebstählen keinerlei Hürden in den Weg.
Wer ein Gerät von Ring verwendet, sollte unbedingt darauf achten, dass nicht dieselben Zugangsdaten wie für andere Dienste verwendet werden. Ist das der Fall, sollte das Passwort bei allen Diensten wo es zum Einsatz kommt gegen ein neues individuelles Passwort ersetzt werden. Dieselbe Empfehlung gilt natürlich für jeden Webdienst, ganz egal welcher Anbieter.
Quelle: 'Angriffe häufen sich: Tausende Passwörter für Ring-Kameras im Netz verbreitet' auf Heise Online
Wer die App von Twitter auf seinem Android-Gerät installiert hat sollte unbedingt sicherstellen, dass die neueste Version installiert ist. Leider verrät Twitter die Versionsnummer der abgesicherten Version nicht, sodass es schwierig ist den Update-Stand konkret zu bestimmen. Das Twitter Update ist am 21.12.2019 erschienen.
Quelle: 'Sicherheitslücke in Twitter-App für Android' auf Heise Online
Wer die Software AdwCleaner von Malwarebytes auf seinem Rechner hat, sollte dies deinstallieren und das Verzeichnis, in dem die Software installiert war, zur Sicherheit von Hand löschen. Danach kann man (sofern man die Software weiterbenutzen möchte) die neue Version 8.0.1 installieren.
Die Prozedur ist nötig um sicherzustellen, dass sich über AdwCleaner keine bösartigen DLLs ins System geschlichen haben und in Zukunft auch nicht einschleichen werden. Version 8.0.1 behebt eine diesbezügliche Sicherheitslücke.
Quelle: 'AdwCleaner: Update auf 8.0.1 beseitigt DLL-Hijacking-Schwachstelle' auf Heise Online
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Cisco-Admins aufgepasst: Selbst signierte X.509-Zertifikate laufen am 1.1.20 aus' auf Heise Online
Quelle: 'Jetzt updaten: Cisco ASA 5500-X Series Firewalls aus der Ferne angreifbar' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Quelle: 'Patchday: Adobe verarztet teils kritische Lücken in Acrobat, Reader und Co.' auf Heise Online
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.021.20058 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Version hat Adobe unzählige (!) Sicherheitslücken geschlossen, sehr viele davon kritischer Art. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.
Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB19-55 (Englisch)
In Adobe Photoshop wurde diesen Monat zwar nur eine Sicherheitslücke geschlossen, diese ist jedoch kritisch. Anwender, die Photoshop installiert haben, sollten daher rasch auf die Version 20.0.8 (2019) oder 21.0.2 (2020) updaten. Sämtliche (!!) frühere Photoshop Versionen gelten als unsicher und sollten nicht mehr verwendet werden.
Info: Adobe Security Bulletin APSB19-56 (Englisch)
Nutzer von Adobe ColdFusion 2018 sollten unbedingt auf ColdFusion 2018 Update 7 aktualisieren, um eine wichtige Sicherheitslücke zu schließen. Details zu den Lücken gibt es im 'Adobe Security Bulletin APSB19-58'.
Quelle: 'Adobe Security Bulletin APSB19-58' auf Adobe.com (Englisch)
Auch im Code Editor Brackets hat Adobe eine als kritisch eingestufte Lücke behoben. Wer das Programm installiert hat, sollte zügig auf Version 1.14.1 updaten.
Quelle: 'Adobe Security Bulletin APSB19-57' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Anwender die immer noch Windows 7 einsetzen sollten jetzt langsam ein Upgrade oder einen neuen Computer planen. Windows 7 wird nur noch ein Monat mit Sicherheitsupdates versorgt. Ohne Sicherheitsupdates wird das System rapide unsicherer und sollte daher auf keinen Fall mehr mit dem Internet verbunden bzw. mit Daten aus selbigem konfrontiert werden.
Wer immer noch Windows 10 Version 1803 oder gar noch älter einsetzt, erhält ebenfalls keine Sicherheitsupdates mehr. Auch hier ist unbedingt ein Upgrade auf eine neuere Windows 10 Version (1809 oder neuer) nötig.
Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf die letzte Version von Windows 10 Mobile upgraden sollten, sofern möglich. Für Windows 7 sind die letzten Monate angebrochen. Auch Besitzer eines PCs mit diesem Betriebssystem sollten langsam beginnen das Upgrade auf Windows 10 zu planen.
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Prozessorhersteller Intel hat mal wieder reichlich neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Im verlinkten Heise Online Artikel geht es hauptsächlich um eine neue Prozessor-Sicherheitslücke namens "Plundervolt", diese hat jedoch für die allermeisten Anwender keine Bedeutung.
Wichtiger sind die Updates für den RapidStorage Treiber (kurz RST), den Netzwerktreiber und zahlreiche andere Intel Treiber bzw. Programme. Zumindest beim RST Treiber bedient Intel aber scheinbar nur Kunden mit relativ neuer Hardware. Laut Intels Sicherheits-Nachricht, sind aber alle RST-Treiber von dem Problem betroffen. Das heißt auf etwas älteren PCs/Notebooks bleibt die Lücke unbehandelt, weil Intel keine abgesicherten Treiber dafür veröffentlicht.
Intel stellt zwar umfangreiche Informationen darüber zur Verfügung, welcher Fehler sich in seinen Produkten so befinden, tut aber unserer Meinung nach zu wenig dafür, dass entsprechende Updates auch beim Endanwender ankommen. Mit den aktuellen Möglichkeiten können fast nur EDV-Profis etwas gegen die Lücken tun, wenn überhaupt.
Quelle: 'Intel flickt "Plundervolt" und zahlreiche weitere Sicherheitslücken' auf Heise Online
Mozilla hat Firefox 71.0 veröffentlicht. Die neue Version behebt in Summe 11 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
Abgesehen von den Sicherheitskorrekturen enthält Firefox 71 einen Bild in Bild Modus für Videos und einen verbesserten Passwort-Manager.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 68.3.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Die Entwickler von Thunderbird haben die Version 68.3.0 veröffentlicht. Diese Version behebt in Summe 8 Sicherheitslücken. Unterm Strich wird die Bedrohung durch die Lücken als 'hoch' angesehen. Alle Thunderbird Anwender sollten daher zügig updaten.
Thunderbird Anwender sollten die Version unbedingt selbst prüfen und wenn diese noch nicht der Version 68.3 entspricht von Hand updaten. Die eingebaute Update-Funktion hat sich gerade in letzter Zeit wieder als äußerst unzuverlässig herausgestellt. Sowohl bei Kunden als auch auf unseren PCs, behauptete Thunderbird aktuell zu sein, obwohl das nicht der Fall war.
Bei einem manuellen Update sollte man Thunderbird in der selbigen Bit-Zahl runterladen, wie sie bereits installiert ist. Welche das ist, sieht man hinter der Versionsnummer im 'Über Mozilla Thunderbird' Fenster. Wer von 32Bit auf 64Bit wechseln möchte (einen deutlichen Vorteil konnten wir dabei nicht feststellen) muss die alte Thunderbird Version deinstallieren, bevor die 64Bit Version installiert wird. Die E-Mails und die gesamte Konfiguration bleibt dabei natürlich erhalten.
Wer immer noch den 60er Versionszweig von Thunderbird verwendet sollte nun ebenfalls upgraden. Dabei sollte das Thema Erweiterungen unbedingt bedacht werden, über das wir in den letzten Wochen schon so ausgiebig geschrieben haben.
Download: Thunderbird Version 68.3.0, Windows, 32Bit, Deutsch
Download: Thunderbird Version 68.3.0, Windows, 64Bit, Deutsch
Info: 'Thunderbird 68.3.0 Release Notes' auf Mozilla.org (Englisch)
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die zugrunde liegenden Heise Online Artikel:
Quelle: 'Sicherheitsupdates: Kritische Lücke in VMware ESXi und Horizon DaaS' auf Heise Online
Die Versionen 2.6.13 bzw. 3.0.7 des Netzwerksniffers Wireshark schließen eine Sicherheitslücke der Vorversionen. Wer die Software installiert hat, sollte sie daher bei Gelegenheit aktualisieren.
Quelle: 'Sicherheitsupdate: Angreifer können Wireshark crashen lassen' auf Heise Online
Laut Heise Online häufen sich in letzter Zeit die Meldungen über aufgeblähte Akkus in den Microsoft Surface Books der ersten Generation. Aufgeblähte Lithium-Polymer-Akkus sind generell ein Zeichen dafür, dass mit dem Akku etwas nicht mehr in Ordnung ist. In letzter Instanz können derartige Akkus auch Feuer fangen, deshalb sollte man die Gefahr von derartigen Verformungen nicht unterschätzen.
Sofern das Gerät noch Garantie hat, tauscht Microsoft die Geräte anstandslos aus. Kunden von Surface Books sollte daher ihre Geräte sofort prüfen und sich gegebenenfalls rasch mit Microsoft in Verbindung setzen, bevor die Garantie erlischt. Ist die Garantie abgelaufen, wird ein Tausch der Akkus sehr teuer, sofern er überhaupt möglich ist.
Quelle: 'Microsoft Surface Book: Berichte über aufblähende Akkus' auf Heise Online
Laut Heise Online verdichten sich die Zeichen, dass Arbeitsspeicher und SSDs im kommenden Jahr wieder deutlich teurer werden dürften. Wer also für 2020 eine Neuanschaffung oder ein Upgrade eingeplant hat, sollte zumindest bei diesen Komponenten nicht zu lange warten.
Quelle: 'SSDs & RAM: Speicherpreise sollen 2020 wieder stark steigen' auf Heise Online
SSDs mit SAS Schnittstelle von HP können zu massivem Datenverlust führen. Die Ursache steckt in einem Fehler der HP-Firmware. Ist eine Betriebszeit von 32.768 Stunden erreicht (3 Jahren, 270 Tagen und 8 Stunden), wird die SSD unbenutzbar, die Daten darauf sind dann verloren und die SSD kann auch nicht mehr verwendet werden.
Administratoren, die solche SSDs im Einsatz (oder als Spare herumliegen) haben, sollte daher dringend die aktualisierte Firmware von HP auf den SSDs installieren.
Quelle: 'HPE warnt vor SSD-Ausfällen' auf Heise Online
Kaspersky hat in seinen Endkunden-Produkten Sicherheitslücken geschlossen. Die Lücken waren durchaus kritisch, man sollte sich also nicht zuviel Zeit lassen die nötigen Updates zu installieren.
Betroffen von den Lücken waren alle bisher veröffentlichten Produkte aus der Endanwender-Schiene, also "Free", "Anti-Virus", "Internet Security", "Total Security", "Security Cloud" und "Small Office Security". Wer bereits eine 2019er oder 2020er Version der Produkte verwendet, muss selbst nichts mehr machen, denn hier wurden die Lücken bereits durch Patch j (2019) bzw. Patch f (2020) behoben. Noch haben nicht alle Anwender diese Patches erhalten, aber auch die Vorgänger-Versionen, die bereits im September verteilt wurden, schließen den Großteil der Lücken.
Welcher Patch installiert ist sehen Anwender, wenn sie mit der Maus auf das Kaspersky Symbol rechts unten im Bereich der Uhr zeigen (nicht klicken!). Hinter der Versionsnummer steht dann in Klammer der installierte Patch.
Anwender, die noch eine ältere Version der Kaspersky Produkte installiert haben, sollten jetzt zügig auf die 2020er Version aktualisieren, die 2018er (und älter) Versionen bekommen KEINE (Programm-)Updates mehr (das gilt nicht für Definitions-Updates, die sogar für noch ältere Versionen weiterhin ausgeliefert werden.
Anwender von Outlook und Kaspersky Internet Security müssen wir leider informieren, dass Kaspersky seit der 2019er Version kein Anti-Spam-Plugin für Outlook mehr mitbringt. Kaspersky filter zwar auf Wunsch immer noch Spam aus, aber man kann in Outlook keine Mails mehr als Spam markieren (das bezieht sich auf Kaspersky, nicht auf die in Outlook eingebaute Anti-Spam-Funktion). Outlook-Anwender die auf eine vernünftige Anti-Spam-Lösung angewiesen sind, müssen also eine separate Lösung installieren.
Quelle: 'Verpatzte Patches: Kaspersky bessert bei seinem Web Protection Feature nach' auf Heise Online
QNAP hat schwere Sicherheitslücken in dem Betriebssystem seiner NAS-Systeme (QTS) bzw. den dort installierten "Apps" behoben. Besitzer/Administratoren eines solchen NAS, sollten rasch sicherstellen, dass sowohl die neuste Firmware installiert ist, als auch die Apps. Konkret betroffen sind die "Apps" "Photo Station", "File Station", "Video Station", "Music Station" und "ProFTPD".
Quelle: 'QNAP NAS: Hersteller fixt unter anderem kritische Schwachstelle in Photo Station' auf Heise Online
Letzte Woche hatten wir von Sicherheitslücken im Telekom Router "Digitalisierungsbox Premium" berichtet. Nun berichtigt die deutsche Telekom sich selbst und meldet, dass die bereits bekannten Lücken auch in den anderen beiden Routern dieser Serie, "Digitalisierungsbox Standard" und "Digitalisierungsbox Smart", enthalten sind.
Besitzer/Administratoren eines dieser drei Router sollten unbedingt die neueste Firmware installieren, um ungewollten Portfreigaben entgegenzuwirken.
Quelle: 'Nach Datenleck in Arztpraxis: Weitere Router betroffen, jetzt patchen!' auf Heise Online
Deutsche Datenschützer haben die Einhaltung der DSGVO bei vielen bekannten Onlinediensten untersucht. Das Ergebnis ist nicht überraschend, aber um so frustrierender. Egal ob Suchmaschine (Google), Onlinehändler (Amazon), Soziales Netzwerk (Facebook) oder Messenger (WhattsApp), kein einziger Dienst erfüllt alle Anforderungen der DSGVO! Endanwender können da auch nicht viel dagegen tun, als halt auch Ihrerseits immer wieder auf Datenschutzverstöße aufmerksam zu machen. Vorrangig sind aber besagte Datenschützer gefragt, die Internetfirmen durch regelmäßige Geldstrafen zur Einhaltung der Datenschutz Grundverordnung zu erziehen.
Es zeigt aber auch, dass sich Anwender nicht auf vollmundige Versprechen der Anbieter, sie seien 100% DSGVO konform nicht verlassen sollten. Gerade Cloud-Lösungen sollten im Firmeneinsatz immer besonders kritisch betrachtet und wenn möglich vermieden werden.
Vor allem WhatsApp hat, als besonders gravierender Datenschutzverletzer (es werden standardmäßig SÄMTLICHE Adressdaten die auf Smartphones gefunden werden verkauft!), nichts auf beruflich genutzten Smartphones zu suchen.
Quelle: 'DSGVO-Studie – kein untersuchter Online-Dienst datenschutzkonform' auf Heise Online
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 78.0.3904.108 behebt fünf Sicherheitslücken wovon mindestens zwei kritischer Natur sein sollen. Anwender von Google Chrome sollten das Update zügig installieren.
Vivaldi und Opera haben die neue Chromium Version bisher noch nicht in ihre Browser eingebaut.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome: Google verteilt Stable Channel Update mit Security-Fixes' auf Heise Online
Die Blender Foundation hat Version 2.8.1 des 3D Programms Blender freigegeben. Die neue Version bringt natürlich nicht so viele Neuerungen wie der große Versionssprung von 2.7.9 auf 2.8.0, nichtsdestotrotz kann sich die Liste der Neuerungen sehen lassen.
Die in 2.8 neu eingeführte Oberfläche wurden an einigen Ecken nachpoliert. Die Software unterstützt nun die Eigenheiten der Nvidia RTX-Karten und kann so in manchen Fällen nochmals deutlich schneller rendern. Das Sculpting-Tool wurde massiv überarbeitet. Der Outliner erhielt kleine aber feine Verbesserungen. Schatten werden im Echtezeit-renderer Eevee nun besser dargestellt und viele weitere Neuerungen.
Interessierte finden im verlinkten Heise Online Artikel einen guten Überblick bzw. bei Blender selbst eine detaillierte Liste mit den Neuerungen. Auch auf YouTube findet man schon viele Videos die die Neuerungen mehr oder weniger ausführlich demonstrieren.
Quelle: '3D-Modeler Blender: RTX-Unterstützung und digitale Bildhauerei' auf Heise Online
Quelle: Blender 2.8.1 Release Notes (bebildert, englisch) auf Blender.org
Bereits im Juni hatten wir berichtet, das Logitech die unsicheren Empfänger der Presenter Reihe (R400, R700, R800) austauschen wird. Laut Logitech, hat es bis September gedauert, bis tatsächlich mit der Auslieferung abgesicherter Empfänger begonnen wurde. Und selbst heute, als fast schon im Dezember, haben viele Betroffene Kunden noch keinen neuen Empfänger erhalten.
Das im verlinkten Heise Online Artikel veröffentlichte Kunden-Feedback ist dabei abschreckend. Demnach ist es sehr schwierig von Logitech eine sinnvolle Antwort zu erhalten. Logitech selbst behauptet hingegen, das man "bereits" 73% der Anfragen abgearbeitet hätte. Für die verbleibenden 27% ein schwacher Trost.
Aber immerhin wird Logitech bei diesen Geräten überhaupt aktiv. Die ganzen Mäuse und Tastaturen, die mit dem Logitech Unifying Empfänger arbeiten, werden für alle Zeiten unsicher bleiben. Weshalb wir auch unsere Empfehlung, kabellose Tastaturen und Mäuse möglichst komplett zu vermeiden, nur einmal mehr wiederholen können.
Quelle: 'Verwundbare Logitech Presenter: Kunden warten auf Austausch-Empfänger' auf Heise Online
Sicherheitsforscher von Kaspersky haben in mehreren VNC-Software-Paketen Sicherheitslücken gefunden.
Am häufigsten sind sie in UltraVNC fündig geworden, dort allein wurden 22 Sicherheitslücken entdeckt, mehr als in allen anderen Programmen zusammen. Allerdings haben die UltraVNC-Macher auch rasch reagiert und alle Lücken bereits 2018 mit Version 1.2.2.3 behoben. Anwender und Administratoren, die UltraVNC einsetzen, sollten dringend prüfen, ob sie die neueste Version verwenden und zwar am Server als auch Client.
Ein komplett anderes Verhalten legen die Entwickler von TightVNC an den Tag. Hier hat Kaspersky zwar 'nur' vier Lücken entdeckt, aber der Hersteller weigert sich die Lücken zu beheben, da die getestete 1.x Version keinen Support mehr erhält. Wer also TightVNC 1.x verwendet, sollte zu einer anderen Fernwartungssoftware wechseln und TightVNC deinstallieren.
In TurboVNC wurde nur eine Lücke entdeckt. Diese wurde in Version 2.2.3 behoben.
LibVNC ist eigentlich kein eigenständiges Programm, sondern eine Bibliothek die in anderen Software-Paketen genutzt werden kann. Hier wurden 10 Lücken entdeckt. Diese wurden grundsätzlich auch schon behoben, allerdings nur im aktuellen Quellcode. Einen Release mit den Sicherheitskorrekturen gibt es noch nicht. Entwickler, die diese Bibliothek verwenden, müssen sich also sehr genau informieren, wie sie die Lücken in ihren Produkten beheben können.
Quelle: 'PC-Fernwartung: Sicherheitsforscher warnen vor angreifbarer VNC-Software' auf Heise Online
Eine Sicherheitslücke in einem Router der deutschen Telekom hat dazu geführt, dass die Patienten-Daten einer Arzt-Praxis für jedermann zugänglich waren! Das Schlimmste daran, die Telekom wusste von dem Problem bereits seit Mai 2019, hat betroffene Kunden aber nicht darüber informiert! Unserer Meinung nach ist das ein Verstoß gegen die DSGVO, die hier ganz klar eine Mitteilungspflicht vorsieht.
Mittlerweile gibt es eine Firmware für den Router, die die Lücke behebt, jedoch nur, wenn man nach dem Update der Firmware das Gerät zurücksetzt. Macht man das nicht, ist die neue Firmware nutzlos.
Im Fall der Arzt-Praxis kommen jedoch auch noch Versäumnisse des EDV-Betreuers hinzu. Denn selbst mit der Lücke im Router, hätte es keinen ungeschützten Zugang zu dem Server geben dürfen. Auch hier schreibt die DGVO ganz klar Sicherungsmaßnahmen vor.
Die Aneinanderreihung von Fehlern auf Seiten der Telekom und der Arzt-Praxis könnte beiden Parteien teuer zu stehen kommen, zumal gerade Patientendaten zu den besonders schützenswerten Personendaten gehören.
Quelle: 'Warum eine komplette Arztpraxis offen im Netz stand' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Quelle: 'Patchday: Kritische Sicherheitslücken in Adobe Illustrator CC' auf Heise Online
Im Vektorgrafik Programm Illustrator hat Adobe drei Sicherheitslücken behoben wovon zwei als kritisch eingestuft sind. Leider veröffentlicht Adobe kein Update für die 2019er Ausgabe des Programms, sodass Anwender gezwungen sind auf die 2020er Version (24.0) umzusteigen.
Info: Adobe Security Bulletin APSB19-36 (Englisch)
Im Adobe Media Encoder wurden fünf Sicherheitslücken behoben. Eine davon ist kritisch, sie lässt sich zur Infektion des Computers durch Viren nützen. Anwender, die Adobe Media Encoder 2019 oder älter verwenden, sollten unbedingt rasch auf die 2020er Version (14.0) aktualisieren. Updates für ältere Versionen sind nicht verfügbar.
Info: Adobe Security Bulletin APSB19-52 (Englisch)
Das ehemals Flash genannte Web-Animationsprogramm enthielt eine DLL-Hijacking-Sicherheitslücke die zur Rechteausweitung genutzt werden konnte. Das Problem wurde in der 2020er Version (20.0) behoben. Wie schon bei Illustrator und Media Encoder, verzichtet Adobe auch hier auf Updates für die 2019er Ausgabe, sodass ein Upgrade auf die 2020er Ausgabe unvermeidbar ist.
Info: Adobe Security Bulletin APSB19-34 (Englisch)
In Adobe Bridge wurden zwei Sicherheitslücken behoben, die zum Informationsdiebstahl genutzt werden könnten. Genauere Informationen macht Adobe nicht. Anwender die Adobe Bridge installiert haben sollten auf Version 10.0 updaten.
Info: Adobe Security Bulletin APSB19-53 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Anwender die immer noch Windows 7 einsetzen sollten jetzt langsam ein Upgrade oder einen neuen Computer planen. Windows 7 wird nur noch 3 Monate mit Sicherheitsupdates versorgt. Ohne Sicherheitsupdates wird das System rapide unsicherer und sollte daher auf keinen Fall mehr mit dem Internet verbunden bzw. mit Daten aus selbigem konfrontiert werden.
Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf die letzte Version von Windows 10 Mobile upgraden sollten, sofern möglich. Für Windows 7 sind die letzten Monate angebrochen. Auch Besitzer eines PCs mit diesem Betriebssystem sollten langsam beginnen das Upgrade auf Windows 10 zu planen.
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Opera stellt endlich auf die aktuelle Chromium Version um und schließt damit etliche Sicherheitslücken. Darüber hinaus kann man nun auf jeder Website auslesen, welche Trackingsites Opera blockiert hat, sofern man die eingebaute Trackingschutz-Funktion aktiviert hat. Ein paar kosmetisch Neuerungen runden das Upgrade ab.
Wie dieses Jahr schon sehr oft angemerkt, bekleckert sich Opera aktuell nicht mit Ruhm, wenn es darum geht Sicherheitsupdates zeitnah zum Anwender zu bringen. Daher raten wir mittlerweile vom Einsatz von Opera ab und verweisen stattdessen auf Vivaldi. Die neue Firma des ehemaligen Opera Chefs macht beim Thema Sicherheitsupdates (und auch auf vielen anderen Gebieten) einfach mehr richtig als Opera.
Anwender, die Opera installiert haben, sollten entweder zügig auf die neueste Opera Version updaten, oder den Browser ganz deinstallieren und zu Vivaldi wechseln.
Download: Aktuelle Vivaldi Version
Download: Aktuelle Opera Version
Microsoft hat Windows 10 Version 1909 fertiggestellt. Das neue Windows 10 ist vermutlich die Windows 10 Version mit den wenigsten neuen Funktionen aller Windows 10 Ausgaben. Doch gerade dieser Verzicht auf große Neuerungen ist es, was uns optimistisch auf die neue Version blicken lässt. In der Presse wird Version 1090 gerne als "Service Pack" für Version 1903 hingestellt und der Umstand, dass Besitzer von Windows 10 1903 ohne den langwierigen Upgrade-Prozess auf die neue Version updaten können, stützt diese Bezeichnung, auch wenn Microsoft selbst den begriff nicht verwendet.
Microsoft hat bei Version 1909 den Fokus ganz klar auf Stabilität gelegt. Große Neuerungen werden erst mit dem ersten Upgrade 2020 wieder eingeführt. Gerade nach den schlechten Starts von Version 1809 und 1903 dürften etliche Anwender aufatmen. Und tatsächlich haben wir bisher noch nichts von Problemen mit der neuesten Windows 10 Version gelesen. Auch bei den paar Fällen wo wir selbst schon Upgrades auf diese Version gemacht haben, lief alles problemlos.
Auch wenn große Neuerungen der Nachfolgeversion vorbehalten sind, gibt es doch ein paar kleinere Neuigkeiten in Version 1909. Die Auffälligste davon ist noch, das man im Kalender-Flyout (das kleine Fenster das sich öffnet, wenn an auf die Uhrzeit klickt) nun direkt Termine eintragen kann. Bisher öffnete sich dafür immer die Kalender-App. Zudem gibt es kleine Anpassungen im Startmenü, der Einstellungs-App und bei OneDrive. Außerdem werden moderne Prozessoren besser unterstützt, was in einigen Fällen höhere Leistung und/oder längere Akku-Laufzeit bringen kann.
Auch wenn die neue Ausgabe vielversprechend ist, ist es noch zu früh eine generelle Installations-Empfehlung auszusprechen. Solange man bereits mindestens Version 1809 verwendet gibt es keine akuten Gründe für ein Upgrade. Neugierige sollten die neue Version aber probieren können, ohne gröbere Fehler erwarten zu müssen.
Quelle: 'Windows 10 November 2019 Update (V1909) verfügbar...' auf Heise Online
Eine kritische Lücke in WhatsApp für Android ermöglicht es Angreifern Smartphones und Tabletts zu infizieren. All zu viele Details macht Facebook (Inhaber von WhattsApp) allerdings nicht, so ist nicht klar ob man eine Datei öffnen muss, oder ob der Empfang bereits genügt, um infiziert zu werden.
WhattsApp hat den Fehler bereits vor einiger Zeit behoben, aber jetzt erst öffentlich gemacht. Hier eine Liste der abgesicherten WhattsApp Versionen:
Android:
WhattsApp: 2.19.274 oder neuer
WhattsApp Business: 2.19.104 oder neuer
iOS (iPhone, iPad use..):
WhattsApp: 2.19.100 oder neuer
WhatsApp Business:2.19.100 oder neuer
Windows Phone:
Kein Support mehr! App sollte deinstalliert werden.
Anwender von WhattsApp oder WhattsApp Business sollten prüfen, ob sie bereits eine dieser Versionen (oder neuer) installiert haben und sofort ein Update durchführen, falls nicht.
An der Stelle wie üblich der Hinweis, dass WhattsApp (auch wenn die Firma versucht den Eindruck zu erwecken) NICHT DSGVO konform ist. Auf Firmen Smartphones oder auch auf privaten Smartphones/Tabletts, die in irgendeiner Art geschäftlich genutzt werden (ein Mail an einen Arbeitskollegen reicht z.B. schon für eine geschäftliche Nutzung) darf WhattsApp/WhattsApp Business daher nicht installiert werden.
Quelle: 'Lücke in älteren WhatsApp-Versionen erlaubte Codeausführung aus der Ferne' auf Heise Online
Prozessorhersteller Intel hat mal wieder reichlich neue Sicherheitslücken veröffentlicht. Überwiegend sind davon die Prozessoren bzw. die Firmware betroffen. Die gute Nachricht ist, das die meisten Lücken anscheinend über Firmware Updates lösbar sind. Die schlechte Nachricht ist, dass nicht jeder Besitzer eines betroffenen Systems diese Updates auch erhalten wird, da dies in der Zuständigkeit des System- oder Mainboard-Herstellers liegt, und nicht bei Intel.
Intel stellt abgesehen von den Fehlerberichten selbst weder eine Software zum Prüfen der Lücken, noch für deren Korrektur zur Verfügung. Besitzer von Intel System müssten also selbst anhand umfangreicher Listen von Intel und hoffentlich verfügbarer Informationen des System- oder Mainboard-Hersteller prüfen, ob das System betroffen ist und ob es Udates gibt oder geben wird. In den allermeisten privat genutzten PCs dürften diese Lücken daher in alle Ewigkeit offen stehen. Zum Glück sind diese Lücken von Angreifern relativ schwer auszunützen, sodass sich Privatanwender und kleine Firmen eher E-Mail Viren Sorgen müssen, als um Prozessor-Sicherheitslücken.
Ein wenig einfacher sind die Sicherheitslücken in den Intel Grafiktreibern zu beheben, die Intel ebenfalls veröffentlicht hat. Hier reicht es einen aktualisierten Grafik-Treiber von Intel zu installieren. Kinderspiel ist allerdings auch das nicht, da Intel 3 verschiedene Ausgaben der neuen Treiber zur Verfügung stellt. Außerdem lassen sich die Intel Treiber vor allem auf Notebooks oft generell nicht installieren, mit dem Hinweis man möge den Treiber doch beim Hersteller des Notebooks runterladen. Diese bieten aber sehr oft keine Updates an oder benötigen sehr lange, um diese bereitzustellen. Wichtig wären die Updates aber sehr wohl, denn die Lücken ermöglichen Rechteausweitung, Lahmlegen des PCs und Informationsdiebstahl. Bei Desktops, für die Intel keine funktionierenden neuen Treiber anbietet, kann man sich über den Einbau einer separaten Grafikkarte abhelfen. Allerdings sollte man bei denen nicht zu sehr sparen, denn die ganz billigen Grafikarten die noch am Markt sind, erhalten auch oft keine Sicherheitsupdates mehr, dann würde man also nur die eine Sicherheitslücke gegen eine andere tauschen. Bei Notebooks sind die Grafikeinheiten in der Regel ohnehin nicht austauschbar, wer hier Wert auf Sicherheit legt und keinen neuen Treiber erhält, muss theoretisch ein neues Notebook kaufen.
Intel stellt zwar umfangreiche Informationen darüber zur Verfügung, welcher Fehler sich in seinen Produkten so befinden, tut aber unserer Meinung nach zu wenig dafür, dass entsprechende Updates auch beim Endanwender ankommen. Mit den aktuellen Möglichkeiten können fast nur EDV-Profis etwas gegen die Lücken tun, wenn überhaupt.
Quelle: 'Intel fixt Sicherheitslücken und enthüllt nebenbei eine neue ZombieLoad-Variante' auf Heise Online
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die zugrunde liegenden Heise Online Artikel:
Quelle: 'Sicherheitsupdates: VMware sichert ESXi, Fusion und Workstation ab' auf Heise Online
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Cisco: Remote-Code-Execution-Gefahr durch ungepatchte Lücke in FTD und ASA' auf Heise Online
Sicherheitsforscher haben schwere Sicherheitslücken in Android-Smartphones entdeckt. So lassen sich über USB und Bluetooth sensible Informationen von den Geräten stehlen, die sich dann im zweiten Schritt für diverse Angriffe nutzen lassen.
Von dem Bluetooth-Problem scheinen Hauptsächlich Samsung Geräte betroffen, während über USB sehr viele Geräte von etlichen Herstellern angreifbar sind.
Samsung will Sicherheitsupdates gegen die Lücken nachreichen, ohne aber ein Datum noch die betroffenen Geräte zu nennen. Google behauptet, die Lücken wären bei den Pixel Geräten mit den aktuellen Sicherheitsupdates bereits behoben. Von den anderen im Test betroffenen Herstellern liegen keine Rückmeldungen vor. Grundsätzlich ist davon auszugehen, das die meiste Android Smartphones zumindest von den USB-Lücken betroffen sein dürften.
Da es keine umfangreichen Listen gibt, welche Geräte betroffen sind, geschweige denn Updates dafür, kann man als Anwender eigentlich nur auf Vorsicht setzen. Bluetooth sollte sowieso (aus vielerlei Gründen) wenn möglich immer ausgeschaltet bleiben und per USB sollte man sein Smartphone nur an vertrauenswürdige PCs und Ladegeräte anschließen. Von öffentlichen Ladestationen oder fremden PCs als Ladequelle raten wir ab.
Quelle: 'Angriffe über USB und Bluetooth: Android-Smartphones verwundbar' auf Heise Online
Wie angekündigt hatte Vivaldi wenige Tage nach unserem letzten Artikel bereits eine neue Version auf Basis von Chromium 78.0.3904.92 veröffentlicht. Darin wurden die Sicherheitslücken behoben, die Google kurz zuvor in Chrome 78.0.3904.87 behoben hatte.
Nochmals wenige Tage später legte Vivaldi bereits ein drittes Update nach, dessen Basis Chromium 78.0.3904.99 Probleme mit Webmail-Seiten (z.B. Yahoo) behoben hat.
Vivaldi Anwender sollten zügig auf die neue Version aktualisieren.
Download: Aktuelle Vivaldi Version
Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)
Was mit Thunderbird 68.2.0 bereits hätte kommen sollen, wird jetzt mit Thunderbird 68.2.1 tatsächlich umgesetzt – Anwender von Thunderbird 60.x werden nun automatisch auf Version 68.2.1 upgegradet. Oder auch auf Version 68.2.2, die zwischenzeitlich bereits veröffentlicht wurde, und ein Problem beim Upgrade bei 64Bit Installationen beheben soll.
Egal welche 68er Version es letztendlich ist, die beim Anwender landet, man muss sich auf zahlreiche Änderungen einstellen. Allen voran natürlich die Abschaltung der alten Erweiterungen. Beim Upgrade auf die neue TB-Version werden alle inkompatiblen Erweiterungen deaktiviert. Leider gibt es im Moment auch noch keine Automatik, die inkompatible Erweiterungen durch kompatible Nachfolgeversionen ersetzt. Das heißt, selbst wenn der Hersteller einer Erweiterung eine zu TB68 kompatible Fassung seiner Erweiterung anbietet, muss man diese von Hand herunterladen und installieren. Anwenderfreundlich ist was Anderes. Und natürlich fehlen viele Erweiterungen überhaupt in einer kompatiblen Version. Auf unseren Büro-Rechnern konnten wir nach mehrstündigem Suchen und experimentieren, zumindest die gewohnte Basis-Funktionalität wiederherstellen. Auf etliche Dinge müssen wir aber vorerst(?) verzichten.
Eine weitere Neuerung in der 68er Version ist ein dunkles "Theme", also die Möglichkeit die Benutzeroberfläche dunkel einzufärben. Auch damit haben wir etwas experimentiert, jedoch hat dieser Modus auf uns etwas "erschlagend" gewirkt. Also subjektiv hatten wir den Eindruck, dass mehr Informationen auf den Anwender einwirken als in der Standard-Ansicht. Auch wenn das Dark Theme "cool" und "modern" wirkt, wir sind letztendlich beim Standard-Theme geblieben. Das sollte aber jeder Anwender selbst entscheiden und hängt auch von der Umgebungslicht-Situation ab. Zu finden ist die Option unter "Menü → Add-Ons → Add-Ons → Themes".
Fast hätten wir das neue Menü und den neuen Einstellungs-Dialog vergessen. Das Menü wurde zwar nicht komplett umgekrempelt, aber doch neu gestaltet. Der "Über Thunderbird" Dialog ist nun einfacher zu erreichen, dafür sind viele Wege einen Klick länger geworden. Der ebenfalls neue Einstellungsdialog z.B. ist nun über Menü → Einstellungen → Einstellungen zu erreichen, anstatt wie zuvor über Menü → Einstellungen. Es fällt uns daher schwer das neue Menü, als Fortschritt anzusehen, aber zum Glück benötigt man es auch nicht jeden Tag. Hat man es endlich in die Einstellungen geschafft, fällt auch hier eine komplette Neugestaltung auf. Der Einstellungs-Dialog ist nun kein eigenes Fenster mehr, sondern präsentiert sich als Karteireiter (Tab). Thunderbird Profis, die zuvor jede Option blind gefunden haben müssen sich also umgewöhnen, aber es scheint, als wären mehr oder weniger alle zuvor verfügbaren Optionen übernommen worden.
Nur zu gern würden wir über Neuerungen schreiben, die dem Anwender das Leben einfacher machen. Das fällt bei Thunderbird 68 echt schwer. Die einzige echte Neuerung, die für den einen oder anderen Benutzer einen Mehrwert darstellen könnte, ist das dunkle Theme. Mit den Umgestaltungen an der Oberfläche (Menü, Einstellungen) kann man sich arrangieren, auch wenn die Sinnhaftigkeit zweifelhaft ist. Aber vor allem die Abkehr von den alten Erweiterungen ist einfach schmerzhaft. Allerdings kann man nicht alle Dinge den Thunderbird Entwicklern selbst anlasten. Das Problem ist eher, dass Thunderbird immer noch auf der Basis von Firefox beruht. Die Thunderbird Entwickler müssen also Dinge aus Firefox übernehmen, ob es Sinn macht oder nicht. Die Änderungen an dem Erweiterungssystem soll Firefox/Thunderbird langfristig schneller und stabiler machen, dafür nimmt Mozilla vorübergehend verärgerte Anwender in Kauf. Hoffen wir nur, dass der Ärger wirklich vorübergehend ist. Nicht auf Thunderbird 68 upzudaten ist jedenfalls aus Sicherheitsgründen keine Alternative.
Info: Thunderbird 68.2.1 Release Notes, Englisch
Auch die neue Version von Gimp bringt wieder jede Menge Neuerungen, auf und unter der Haube. Die Überschrift leitet sich daher ab, dass Gimp nun einen Anzeigemodus hat, der die Bildpunkte anzeigt die sich außerhalb der "Leinwand" befinden. Schon zuvor war es in Gimp möglich, Ebenen zu erstellen, die größer als die Leinwand sind, jedoch musste man die Ebenen dann immer hin und herschieben, um die Inhalte außerhalb der Leinwand zu sehen. Das fällt nun weg, denn wenn man im Menü "Ansicht" die Option "Show All" auswählt, sieht man alle Bildpunkte, egal ob sich diese auf oder neben der "Leinwand" befinden. Auch einige Filter wurden an die neue Möglichkeit bereits angepasst.
Wie die Menü-Option "Show All" schon zeigt, ist die deutsche Übersetzung der neuen und angepassten Funktionen noch nicht fertig. In einer späteren Gimp-Version dürfte das nachgeholt werden und aus z.B. "Show All" dann "Zeige Alles" (oder so Ähnlich) werden.
Auch diverse Filter wurden aus ihren Grenzen befreit. Der "Schlagschatten"-Filter z.B. kann nun die Ausmaße der Ebene, auf die er angewendet wird, automatisch passend erweitern. Dasselbe gilt für andere Filter, die für die korrekte Funktion eine Änderung der Ebenengröße erfordern. Aber auch Leistungstechnisch wurden manche Filter entfesselt, indem sie auf GEGL-Operationen umgestellt wurden. Wer viel mit (echten) Graustufen-Bildern zu tun hat, darf sich auf eine deutliche Leistungssteigerung freuen.
In HEIF-Bildern werden nun ICC-Farbprofile korrekt eingebunden aus ausgewertet. Bei TIFF gibt es mehr Möglichkeiten rund um Alpha-Kanäle und PDFs werden nun auch bei verschachtelten Text-Ebenen korrekt exportiert.
Es ist immer wieder eine Freude zu sehen, wie rasch aktuell die Weiterentwicklung von Gimp voranschreitet (auch Version 3.0 zeichnet sich schon deutlich ab). Abgesehen von den teils fehlenden Übersetzungen konnten wir keine Probleme mit der neuen Gimp Fassung feststellen, allerdings haben wir es auch noch nicht intensiv genutzt. Da keine Sicherheitskorrekturen gemacht wurden ist die neue Version also kein "muss" für alle Gimp Anwender, aber wer sich an ein paar fehlenden Übersetzungen nicht stört, kann beruhigt updaten.
Quelle: 'GIMP 2.10.14 Released' auf Gimp.org (Englisch)
Download: Gimp 2.10.14 für Windows
Download: Offline Hilfe für Gimp 2.10, Deutsch
Nvidia schließt wieder einmal Sicherheitslücken in seinen Grafiktreibern. Diesmal hat der Hersteller insgesamt 9 Lücken behoben. In Summe weisen die Lücken den Bedrohungsgrad "hoch" auf. Die abgesicherten Ausgaben tragen die Versionsnummer 441.12. Besitzer von Nvidia Grafikkarten sollten die Treiber bei Gelegenheit aktualisieren. Für ältere Quadro, NVS und Tesla Karten sollen abgesicherte Treiber am 18. November erscheinen.
Auch das all zu oft unabsichtlich mitinstallierte GeForce Experience wurde aktualisiert. Dem Programm wurden in Summe drei Sicherheitslücken ausgetrieben. Wer das Programm installiert hat, sollte es entweder deinstallieren oder auf Version 3.20.1 aktualisieren.
Quelle: 'Schwachstellen in Nvidias GPU-Treiber und Geforce Experience gefährden Windows' auf Heise Online
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - November 2019' auf nvidia.custhelp.com
Quelle: 'Security Bulletin: NVIDIA GeForce Experience - November 2019' auf nvidia.custhelp.com
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Cisco: Updates sollen Sicherheitsprobleme und Firmware-Mängel beheben' auf Heise Online
Vivaldi hat 2.9 des Browsers für Desktops und Notebooks veröffentlicht. Wichtigste Neuerung ist der Wechsel auf den Chromium 78.0.3904.72 Unterbau, was alle bekannten Sicherheitsprobleme behebt, mit Ausnahme der beiden neuesten Lücken (siehe nächsten Artikel). Wir gehen davon aus, dass auch diese beiden Lücken im Laufe der kommenden Woche in Vivaldi behoben werden.
Auch an der Oberfläche bringt Vivaldi mit 2.9 einige Neuerungen. Diesmal stand vor allem das Vivaldi-Menü im Fokus der Entwickler. Man kann nun sowohl das Menü-Icon anpassen, wie auch auf ein "altmodisches" Menü (als Leiste über den Tabs) umschalten. Ob der Sinnhaftigkeit mag man streiten, aber es belegt einmal mehr, dass Vivaldi ein Browser für jeden sein möchte, ganz egal wie 'besonders' die Wünsche sind. Auch die Menüs selbst wurden erweitert um noch mehr Dinge über diese erledigen zu können. Des Weiteren soll das Öffnen und Schließen von Tabs nun schneller sein als zuvor, was natürlich jedem Anwender zugutekommt.
Last but not least kann man nun die Standard-Berechtigungen für Websites vorgeben. Möchte man z.B. nicht auf jeder dritten Website gefragt werden, ob diese die Ortung nutzen darf, stellt man von 'Nachfragen' auf 'Blockieren'. Das bedeutet natürlich nicht, dass man später nicht für einzelne Website doch wieder Ausnahmen machen kann. Dasselbe gilt natürlich für alle anderen Website-Berechtigungen (Ton, Benachrichtigungen, Kamera usw.).
Download: Aktuelle Vivaldi Version
Quelle: 'Browser: Vivaldi 2.9 erweitert Vivaldi-Menü' auf Heise Online
Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 78.0.3904.87 behebt zwei Sicherheitslücken. Die Zahl klingt zwar im Vergleich zum letzten Update gering, jedoch wird eine der beiden Lücken bereits aktiv für Angriffe genutzt, weshalb Anwender von Google Chrome zügig aktualisieren sollten.
Opera hängt beim Thema Sicherheit leider wie in diesem Jahr üblich weit hinterher, weshalb wir Opera Anwendern den Wechsel zu Vivaldi empfehlen.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Exploit-Code für Chrome-Lücke in Umlauf' auf Heise Online
Finnische Sicherheitsforscher haben einen Virus entdeckt, der NAS Geräte von QNAP infiziert. Die deutschen Kollegen vom BUND Cert haben bereits 7000 mit QSnatch infizierte Geräte alleine in Deutschland entdeckt, in Österreich dürften demnach auch bereits tausende Geräte infiziert sein.
Hauptsächlich dürften Geräte betroffen sein, die noch nicht die aktuellste Software von QNAP verwenden. Ob die aktuellste Software jedoch immun gegen QSnatch ist, wird nicht ausdrücklich erwähnt. Die Forscher empfehlen jedoch, das man die NAS Geräte NICHT aus dem Internet erreichbar macht. Dieselbe Empfehlung geben wir mehrmals pro Jahr bei jedem Sicherheitsvorfall rund um NAS- und andere IoT-Geräte ab.
Lässt sich die Firmware des Gerätes nicht mehr aktualisieren, ist das Gerät höchstwahrscheinlich bereits infiziert. Einzige zuverlässige Möglichkeit das Gerät zu desinfizieren ist ein kompletter Reset (in den Auslieferungszustand zurücksetzen, hierbei werden sämtliche Daten von dem Gerät gelöscht!) gefolgt von einigen weiteren Maßnahmen, die in dem Heise Online Artikel nachzulesen sind.
Quelle: 'Malware "QSnatch" attackiert QNAP-Netzwerkspeicher' auf Heise Online
Besitzer bzw. Administratoren von MikroTik Routern sollten umgehend die neueste Version der MikroTik Firmware 'RouterOS' installieren. Die Versionen 6.45.7 (stable), 6.44.6 (long-term) sowie 6.46beta59 (beta) schließen in Summe vier Sicherheitslücken, die in Summe als kritisch gelten.
Zusätzlich zu den Firmware-Updates empfiehlt es sich das Winbox-Interface zu deaktivieren.
Quelle: 'Update verfügbar: MikroTik sichert Router gegen vier Schwachstellen ab' auf Heise Online
In der Software des Anti-Virus Herstellers Trend Micro wurden kritische Sicherheitslücken entdeckt, die Angreifer aus der Ferne für eine Infektion des Computers oder zum Datendiebstahl ausnützen könnten. Trend Micro hat den Fehler in den neuesten Versionen von 'Apex-One', 'OfficeScan' und 'Worry-Free Business Security' behoben. Anwender, die diese Software verwenden, sollte daher rasch auf die neuesten Versionen updaten.
Details über die Lücken und wie die jeweiligen Updates zu beziehen sind finden sie im verlinkten Heise Online Artikel.
Quelle: 'Trend Micro schließt zwei Schwachstellen in Sicherheitssoftware für Windows' auf Heise Online
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 78.0.3904.70 behebt die stolze Zahl von 37 Sicherheitslücken. Anwender von Google Chrome sollten ihren Browser zügig aktualisieren.
Vivaldi testet die neue Software noch in einer Beta-Version der 2.9er Serie. Die fertige Version dürfte in wenigen Tagen verfügbar sein.
Opera hat gerade erst das letzte Chromium Sicherheitsupdate eingebaut, bis der Sprung auf die 78er Version kommt dürfte es wie üblich wieder länger dauern, weshalb wir Opera Anwendern den Wechsel zu Vivaldi empfehlen.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google schließt 37 Sicherheitslücken in Chrome 78' auf Heise Online
Die Entwickler von Thunderbird haben die Version 68.2.0 veröffentlicht. Diese Version behebt in Summe 9 Sicherheitslücken. Unterm Strich wird die Bedrohung durch die Lücken als kritisch angesehen. Anwender die bereits die 68er Version verwenden sollten daher zügig updaten.
Inwieweit Anwender der Version 60.9.0 von den Sicherheitslücken betroffen sind, ist leider nicht bekannt. Für Anwender, bei denen Sicherheit über alles geht, führt jetzt kein Weg mehr an einem Upgrade auf 68.2.0 vorbei. Eigentlich hätte mit dieser Version auch das automatische Update von Version 60.9.0 auf 68.2.0 beginnen sollen, aber bisher wird bei uns in Thunderbird kein Update angezeigt. Das kann sich natürlich stündlich ändern. Oder Mozilla wartet noch Version 68.2.1 ab, denn in 68.2.0 sind bereits ein paar kosmetische Bugs bekannt die Benutzer potenziell abschrecken könnten.
Auch wenn Mozilla im Moment noch Gnadenfrist walten lässt, das Ende von Thunderbird 60.x ist unumstößlich. Jeder Anwender von Thunderbird sollte also bereits am Upgrade auf die 68er Version planen. Wer nur die Funktionen von Thunderbird selbst nutzt, wird damit voraussichtlich keine Probleme haben. Wer viele Erweiterungen nutzt, muss langsam Alternativen dafür suchen, denn viele alte Erweiterungen wird es für Thunderbird 68 nicht mehr geben.
Download: Thunderbird Version 60.9.0, Windows, Deutsch
Download: Thunderbird Version 68.2.0, Windows, Deutsch
Info: 'Thunderbird 60.9.0 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 68.2.0 Release Notes' auf Mozilla.org (Englisch)
Mozilla hat Firefox 70.0 veröffentlicht. Die neue Version behebt in Summe 14 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'kritisch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
Abgesehen von den Sicherheitskorrekturen soll Firefox 70 wieder etwas schneller geworden sein, außerdem wurde ein erweiterter Tracking Schutz eingeführt.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 68.2.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Über die Sicherheitsupdates für Foxit Reader haben wir bereits berichtet, nun erweitert der Hersteller seinen Warnhinweis und führt auch ein Sicherheitsupdate für Foxit PhantomPDF an. Auch hier trägt die korrigierte Fassung die Versionsnummer 9.7.
Auch die PhantomPDF Ausgabe für MacOS ist betroffen, hier schließt Version 3.4 die Sicherheitslücken.
Anwender, die Software von Foxit installiert haben, sollten diese zügig aktualisieren.
Quelle: 'PDF-Anwendungen von Foxit unter macOS und Windows bedroht' auf Heise Online
Noch eine PDF Software benötigt Sicherheitsupdates. In Nitro PDF Pro haben Sicherheitsforscher sechs Lücken entdeckt, die für einen Angriff auf den PC genutzt werden können. Obwohl die Firma bereits im Mai über die Lücken informiert wurden, gibt es bis heute kein Update gegen die Schwachstellen. Der Hersteller hat zwar angekündigt die Lücken in der nächsten Version zu beheben, wann diese Version veröffentlicht werden soll verrät der Hersteller aber nicht. Wir empfehlen allen Anwendern von Nitro PDF Pro diese Software zu Deinstallieren oder zumindest nicht als Standard-PDF-Betrachter zu verwenden.
Die kostenlose Version der Software – Nitro PDF – soll nicht von den Lücken betroffen sein.
Das letzte Update der Software stammt übrigens aus dem Jahr 2017, angesichts dessen würden wir es nicht mal als sicher ansehen, ob überhaupt noch jemals eine neue Version erscheint. Ein Wechsel zu Herstellern von PDF-Software, die nicht so viel Gleichgültigkeit gegenüber Sicherheitslücken zeigen, erscheint ratsam.
Quelle: 'Neue Sicherheitslücken in Nitro PDF Pro – letzter Patch kam 2017' auf Heise Online
Der Netzwerk-Spezialist Juniper Networks hat einen Fehler in seinem Netzwerk-Betriebssystem Junos OS behoben. Die Lücken erlauben zwar keinen Angriff aus dem Internet, die Updates sollten aber trotzdem von Administratoren betroffener Geräte installiert werden. Welche Geräte bzw. Software betroffen ist, listet Juniper im verlinkten Security Bulletin auf.
Quelle: 'Sicherheitspatches: Angreifer könnten mit Admin-Rechten auf Junos OS zugreifen' auf Heise Online
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 77.0.3865.120 behebt noch einmal ein paar Sicherheitslücken, die in den ersten 77er Versionen durchgeschlüpft sind. Anwender von Google Chrome sollten ihren Browser zügig aktualisieren.
Vivaldi hat zügig reagiert und liefert die neuen Sicherheitsupdates auch bereits aus. Hier ist es Version 2.8 Update 4 bzw. Build 2.8.1664.44.
Opera Anwender müssen sich (wie leider zuletzt üblich) noch gedulden.
Download: Aktuelle Vivaldi Version
Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome Release Notes' auf Googleblog.com (Englisch)
Mit einer Woche Verspätung liefert nun auch Adobe wieder zahlreiche Sicherheits-Updates aus. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.021.20047 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Version hat Adobe unzählige (!) Sicherheitslücken geschlossen, sehr viele davon kritischer Art. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.
Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB19-49 (Englisch)
Von Adobe Experience Manager sind die Versionen 6.0 bis 6.5 betroffen. Hier gibt es 12 Lücken. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin APSB19-48.
Quelle: Adobe Security Bulletin APSB19-48 (Englisch)
Von Adobe Experience Manager Forms sind die Versionen 6.3 bis 6.5 betroffen. Außerdem gibt es hier 'nur' eine Lücke. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin APSB19-50.
Quelle: Adobe Security Bulletin APSB19-50 (Englisch)
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 219 Sicherheitsupdates veröffentlicht. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Oracle hat Version 8.0 Update 231 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 20 Sicherheitslücken geschlossen. Alle Lücken lasen sich Remote ausnützen, viele davon ohne jegliche Benutzerinteraktion, was sie besonders kritisch macht. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10 und 12 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.5 oder 13.0.1 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline' [NICHT Windows Offline (64-Bit)!])
In dem PC-Emulator VirtualBox wurden 11 Sicherheitslücken geschlossen. Zwar lässt sich keine der Lücken aus der Ferne ausnützen, dennoch haben die Lücken in Summe eine sehr hohe Risiko-Bewertung. Anwender von VirtualBox sollten daher zügig auf Version 5.2.34 oder 6.0.14 updaten. Für die 5.1er Serie (und älter) gibt es keine abgesicherten Ausgaben mehr, hier muss unbedingt upgegradet werden.
Download: Aktuelle VirtualBox 5.2 Version auf VirtualBox.org
Download: Aktuelle VirtualBox 6.0 Version auf VirtualBox.org
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder unzählige Lücken geschlossen, von denen mindestens eine aus der Ferne ausgenützt werden kann und daher kritischer Natur ist. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - October 2019' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - October 2019' auf Oracle.com (Englisch)
Quelle: 'Critical Patch Update: Oracle veröffentlicht 219 Sicherheitspatches' auf Heise Online
Die neuen Ausgaben beheben diesmal keine Sicherheitslücken. Wer jedoch immer noch eine LibreOffice Version vor 6.2.7 bzw. 6.3.1 installiert hat, sollte unbedingt updaten. Beide Updates beheben ausschließlich Fehler und bringen keine neuen Funktionen gegenüber der jeweiligen Vorversion.
Die Version 6.2.8 ist die letzte Ausgabe der 6.2er Serie. Im Dezember sollte jedoch 6.3.4 verfügbar und hoffentlich auch für Firmen und konservative Anwender ausgereift genug sein um die 6.2 Serie abzulösen.
Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.2
Download: LibreOffice Versionen (6.2 Serie) - Empfohlen
Wer WordPress für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 5.2.4 installiert wurde oder das rasch nachholen. In der neuen Version wurden mehrere Sicherheitslücken geschlossen.
Quelle: 'WordPress 5.2.4 ist da und steigert die Sicherheit' auf Heise Online
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die zugrunde liegenden Heise Online Artikel:
Quelle: 'Kritische Sicherheitslücke in Container- und Hybrid-Cloud-Manager von VMware' auf Heise Online
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Viele Sicherheitsupdates: Cisco patcht unter anderem kritische Lücke in Aironet' auf Heise Online
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Anwender die immer noch Windows 7 einsetzen sollten jetzt langsam ein Upgrade oder einen neuen Computer planen. Windows 7 wird nur noch weniger als 100 Tage mit Sicherheitsupdates versorgt. Ohne Sicherheitsupdates wird das System rapide unsicherer und sollte daher auf keinen Fall mehr mit dem Internet verbunden bzw. mit Daten aus selbigem konfrontiert werden.
Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 18.03 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf die letzte Version von Windows 10 Mobile upgraden sollten, sofern möglich. Für Windows 7 sind die letzten Monate angebrochen. Auch Besitzer eines PCs mit diesem Betriebssystem sollten langsam beginnen das Upgrade auf Windows 10 zu planen.
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Opera stellt endlich auf die aktuelle Chromium Version um und schließt damit etliche Sicherheitslücken. Darüber hinaus kann man in den Einstellungen nun auch einen Tracking-Schutz aktivieren, was man auch machen sollte, wenn man Opera verwendet.
Außerdem wurde das Screenshot-Tool einmal mehr überarbeitet. Wie schon früher mal angedeutet, artet das ganze jetzt aber aus. Denn nun kann Opera die Screenshots auch mit Smilies, Text und Pinselstrichen versehen. Sprich, aus einem Browser wird jetzt auch ein Grafikbearbeitungsprogramm. Das geht unserer Meinung nach eindeutig zu weit, ein Browser sollte ein Browser sein und Bildbearbeitung doch bitte den Bildbearbeitungsprogrammen überlassen. Diese Funktionen blähen den Programmcode unnötig auf und machen ihn potenziell unsicherer.
Die Opera Entwickler würden unserer Meinung nach gut daran tun sich auf die Kernkompetenzen zu konzentrieren und lieber daran arbeiten, Sicherheitsupdates in Zukunft schneller zum Anwender zu bekommen. Für Vielsurfer und Sicherheitsbewusste empfehlen wir daher den Umstieg auf Vivaldi.
Download: Aktuelle Opera Version
Apple behebt mit iTunes 12.10.1 zahlreiche teils kritische Sicherheitslücken in der Multimedia Software. Auch in iCloud musste Apple gehörig nachbessern und liefert diese Korrekturen mit Version 7.14 aus.
Anwender, die iTunes oder iCloud tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs spürbar langsamer machen, selbst wenn sie gar nicht verwendet werden.
Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.
Quelle: 'Zeroday-Fehler in iTunes für Windows wird für Ransomware ausgenutzt' auf Heise Online
Eine kritische Lücke in WhatsApp für Android ermöglicht es Angreifern Smartphones und Tabletts zu infizieren. Das Betrachten einer manipulierten GIF-Datei in WhattsApp genügt für einen erfolgreichen Angriff.
WhattsApp hat die Lücke in Version 2.19.244 behoben. Wer noch eine ältere Fassung von WhattsApp (Android) verwendet sollte umgehend updaten.
An der Stelle wie üblich der Hinweis, dass WhattsApp (auch wenn die Firma versucht den Eindruck zu erwecken) NICHT DSGVO konform ist. Auf Firmen Smartphones oder auch auf privaten Smartphones/Tabletts, die in irgendeiner Art geschäftlich genutzt werden (ein Mail an einen Arbeitskollegen reicht z.B. schon für eine geschäftliche Nutzung) darf WhattsApp daher nicht installiert werden.
Quelle: 'WhatsApp für Android: Lücke erlaubte Fernzugriff über manipulierte Bilddateien' auf Heise Online
HP kommt nicht so richtig aus dem Sumpf an geheim gesammelten Benutzerdaten nicht heraus. Nun stellte sich heraus, dass HP wieder einmal geheim Software auf den Rechnern seiner Kunden installiert hat, die Nutzungsdaten an HP sendet. Noch schlimmer ist jedoch, dass die ungefragt installierte Software auch noch Angreifern in die Hände spielt, da sie eine Sicherheitslücke mit sich bringt.
Besitzer von HP Computern sollten deshalb unbedingt nach der Software 'HP Touchpoint Analytics' in der Liste der installierten Programme suchen und diese gegebenenfalls deinstallieren. Unter Umständen wird der PC dadurch nicht nur sicherer, sondern auch schneller, denn viele Nutzer haben berichtet, dass die Software den Computer deutlich langsamer macht. Einen Nutzen von der Software hat übrigens nur HP selbst, der Anwender hat durch sie nur Nachteile.
Die Lücke selbst findet sich in der Software 'Open Hardware Monitor', die HP verwendet, um Daten über die Hardware zu sammeln. Wer diese Software installiert hat (unabhängig davon ob HP Computer oder nicht) sollte sie daher entweder deinstallieren oder auf Version 0.8.0 Beta updaten.
Quelle: 'Sicherheitslücke in vorinstallierter Analyse-Software macht HP-Rechner unsicher' auf Heise Online
Intel hat wieder etliche Sicherheitsupdates und auch Sicherheitsmeldungen für NUC und Server herausgegeben. Besitzer bzw. Administratoren solcher Geräte sollten sich unbedingt im verlinkten Heise Online Artikel informieren.
Quelle: 'Sicherheitsupdates: Intel sichert NUC-PCs und Serverwartungstool ab' auf Heise Online
Sicherheitsforscher haben Sicherheitslücken in mehreren D-Link-Routern entdeckt, die es Angreifern ermöglichen die vollständige Kontrolle über die Geräte zu bekommen. D-Link hat die Fehler bestätigt, wird sie aber nicht beheben, weil die Geräte bereits aus dem Support sind.
Betroffen sind die Router DIR-655C, DIR-866L, DIR-652 und DHP-1565. Besitzer der Geräte müssen diese durch neuere Router ersetzen, wenn sie sich nicht diesem erhöhten Risiko aussetzen wollen.
Alternativ bieten die Firmware-Projekte DD-WRT oder OpenWRT für manche Router Firmware-Images an. Diese erfordern eventuell ein wenig 'Bastelei', dafür belastet man die Umwelt nicht so oft mit ausgedienten Routern und spart Geld.
Quelle: 'Abgekündigte Router-Modelle von D-Link: Kein Update für Firmware-Schwachstelle' auf Heise Online
Der Netzwerk-Spezialist Juniper Networks muss diese Woche Sicherheitslücken in etlichen Geräten beheben. Für Details verweisen wir Besitzer von Geräten dieses Herstellers auf den verlinkten Heise Online Artikel.
Quelle: 'Remote-Angriffe und Denial-of-Service: Schwachstellen in Juniper-Netzwerktechnik' auf Heise Online
Microsoft hat Updates für Windows 7, 8.1 und 10 veröffentlicht. Primäres Ziel ist ein Problem mit der Druckerwarteschlange zu lösen, das wohl viele Anwender nach den letzten Windows Updates betroffen hat.
Jedoch wird unter Windows 10 mit diesen Updates auch gleich die Sicherheitslücke im Internet Explorer (siehe unseren Artikel von letzter Woche) behoben. Anwender von Windows 7 und 8.1 müssen das Update für den Internet Explorer jedoch weiterhin selbst herunterladen und installieren, zumindest finden wir keinen Hinweis in den Beschreibungen der Updates, dass diese Sicherheitskorrektur enthalten ist.
Die Updates kommen außer der Reihe, denn der reguläre Tag der Updates findet erst nächste Woche statt. Dann wird es noch einmal Updates geben, hoffentlich auch das Internet Explorer Update für Windows 7 und 8.1.
Es ist zwar keine wirklich neue Masche, aber da das Risiko sich per E-Mail-Anhang zu infizieren momentan wieder besonders groß ist, sei hier auch kurz dieser Virus erwähnt.
Der Lösegeld-Trojaner 'Buran' gibt sich als aFax (also Fax per eMail) aus. Es ist natürlich völlig unlogisch, dass so ein Fax per Microsoft Word Dokument daherkommt, aber viele Anwender werden es wohl trotzdem öffnen. Tut man das, wird man wie üblich aufgefordert die Schaltfläche "Inhalt aktivieren" anzuklicken. Tut ein Anwender das, ist der sozusagen der Aufforderung des Angreifer nachgekommen, den PC doch bitte per Klick zu infizieren.
Selbstverständlich sollten derartige Mails nicht geöffnet, sondern sofort gelöscht werden.
Firmen-Admins können auch folgende Domains auf die Blacklist des E-Mail-Servers oder der Firewall setzen:
Regelmäßige Schulungen der Mitarbeiter ersetzt das natürlich nicht, denn die Absenderadressen können sich schneller ändern als Admins die Blacklist Regeln.
Quelle: 'Achtung: Angebliches eFax birgt Trojaner' auf Heise Online
Wer anstelle der Adobe Software (Reader/Acrobat) auf Programme aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Denn der Hersteller hat zahlreiche Sicherheitslücken in seiner PDF-Software behoben.
Abgesichert sind die Versionen Foxit Reader 9.7 sowie 3D Plugin Beta 9.7.0.29430.
Quelle: 'Sicherheitsupdates: Vielfältige Schadcode-Attacken gegen Foxit Reader möglich' auf Heise Online
Wer denkt, verschlüsselte PDF-Dokumente könnten nicht von Unbefugten gelesen werden, irrt leider. Sicherheitsforscher haben gleich mehrere Möglichkeiten entdeckt, um verschlüsselten PDF-Dokumenten Texte zu entlocken, ohne das eigentlich nötige Passwort zu kennen.
Das Problem liegt laut Angaben der Forscher nicht an den verwendeten Programmen, sondern am PDF-Standard selbst. Hier müsste also erste ein neuer (zu alten Versionen inkompatibler) PDF-Standard veröffentlicht werden, um in Zukunft Dokumente sicher verschlüsseln zu können.
Wer den Inhalt von PDFs gesichert übertragen möchte, kann jedoch auf separate Verschlüsselungsprogramme zurückgreifen. Der Empfänger des Dokumentes braucht dann aber natürlich auch die passende Software zum Entschlüsseln.
Quelle: 'PDFex: Sicherheitsforscher entlocken verschlüsselten PDFs Klartext' auf Heise Online
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Cisco veröffentlicht Sicherheitsupdates und -hinweise für mehrere Produkte' auf Heise Online
Quelle: 'Ciscos halbjährlicher IOS-Patchday' auf Heise Online
Wir empfehlen:
Diese Website ist kompatibel zu:
