Wir wünschen allen Lesern schöne Weihnachtsfeiertage und einen guten Rutsch ins neue Jahr.
Die LibreOffice Entwickler haben Version 7.0.4 der freien OfficeSuite freigegeben. Üblicherweise ist das vierte Update eines Versionszweiges stabil genug um es auf die Allgemeinheit loszulassen, bei der 7.0er Serie denken wir das aber bisher nicht.
Wir haben Vorabversionen von 7.0.4 bereits länger im Einsatz und haben leider immer noch mit unverhältnismäßig vielen Abstürzen zu kämpfen. Zwar ist nicht zwangsweise gesagt, ob diese von LibreOffice selbst oder dem LanguageTool-Plugin (Grammatik-Prüfung) herrühren, doch zumindest alle die, die beides verwenden wollen, sollten um die 7.0er Serie bisher noch einen Bogen machen. Die 6.4er Serie war im Vergleich dazu stabil wie ein Fels in der Brandung.
Da bisher keine Sicherheitsprobleme in Version 6.4.7 bekannt sind, spielt auch das Support-Ende der 6.4er Serie bisher keine große Rolle. Wir melden regelmäßig Fehler an das Languagetool-Team und hoffen, dass wir bald ein Daumen hoch für die LibreOffice 7.0 geben können.
Quelle: 'The Document Foundation releases LibreOffice 7.0.4' auf documentfoundation.org (Englisch)
Wieder wurden in einem D-Link Routen mehrere schwere Sicherheitslücken gefunden. Die Lücken sind kritisch, das mittlerweile zur Verfügung stehende Update von D-Link sollte als so rasch wie möglich installiert werden. Betroffen ist das Modell DSL-2888A.
Quelle: Sicherheitsmeldung für D-Link Router DSL-2888A auf D-Link.com (Englisch)
Quelle: 'Sicherheitsupdate: D-Link-Router DSL-2888A könnte Admin-Daten leaken' auf Heise Online
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopft ein Update für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss das Betriebssystem aktualisiert werden. Details im verlinkten Heise Online Artikel.
Quelle: 'Qnap kümmert sich um Schadcode-Lücken und Standard-Passwort in NAS-Systemen' auf Heise Online
Regelmäßige Leser unserer Website bzw. Newsletter werden bereits wissen, dass wir von IoT-Geräten wie Überwachungskameras, vernetzten Türklingeln und ähnlichem Firlefanz nicht viel halten, da sie in den meisten Fällen die Sicherheit eher verschlechtern als verbessern.
Heise Online berichtet über einen Test der Sicherheitsfirma NCC Group, bei der günstige vernetzte Türklingeln getestet wurden. Das Ergebnis ist (wenig überraschend) verheerend. Keines der Geräte konnte die Tester auch nur ansatzweise überzeugen.
Wer jetzt aber denkt, das gilt nur für Billigware aus China, und die bekannten Systeme von Amazon und Google könnten problemlos genutzt werden, der irrt. Zwar weisen die renommierten Systeme nicht dermaßen viele kritische Sicherheitslücken auf, aber von rundum sicher kann man auch dort nicht sprechen. Wer tatsächlich eine sichere Gebäude-Technik installieren möchte, sollte nach wie vor besser eine darauf spezialisierte Firma (nach Möglichkeit mit Referenzen) beauftragen. Eine auf die Hausmauer oder Tür aufgeklebte Türklingel, die mit dem WLAN-verbunden ist, wird nie und nimmer Sicher sein.
Quelle: 'Sicherheitsalbtraum: Viele vernetzte Türklingeln lassen Hacker ins Haus' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Citrix Hypervisor und XenServer: Ausbrüche aus virtuellen Maschinen möglich' auf Heise Online
Quelle: 'Sicherheitslücke mit maximaler Gefahreneinstufung in Wyse-Thin-Clients von Dell' auf Heise Online
Quelle: 'DoS- und Schadcode-Attacken gegen Groupware HCL Notes möglich' auf Heise Online
Die Entwickler von Thunderbird haben die Version 78.6 veröffentlicht. Gegenüber der Version behebt die neue Version 8 Sicherheitslücken, die unterm Strich eine kritische Bedrohung ergeben. Alle Thunderbird Anwender sollten daher zügig updaten. Abgesehen von den Sicherheitskorrekturen bringt die neue Version nur wenige sichtbare Verbesserungen. Am meisten Neuerungen gibt es einmal mehr für Programmierer von Erweiterungen bzw. beim eingebauten OpenPGP-Modul.
Quelle: 'Thunderbird, Firefox und Tor Browser in abgesicherten Versionen verfügbar' auf Heise Online
Download: Thunderbird Version 78.6, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.6, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.6 Release Notes' auf Mozilla.org (Englisch)
Mozilla hat Firefox 84 veröffentlicht. Die neue Version behebt stolze 14 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'kritisch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.6.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Thunderbird, Firefox und Tor Browser in abgesicherten Versionen verfügbar' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Immer wieder werden Browser-Erweiterungen entdeckt, die versteckte Schadfunktionen aufweisen. Das Geschäft mit den Browser-Erweiterungen ist dabei lukrativ, denn die Schadsoftware kann sehr viele Daten über den Benutzer sammeln, zudem installieren viele Anwender Erweiterungen, ohne sich im Klaren zu sein, was für Sicherheitsauswirkungen unbedacht installierte Erweiterungen haben können.
Sicherheitsforscher von Avast haben nun Schadsoftware in 28 Erweiterungen für Google Chrome und Edge (die Chrome Erweiterungen können auch in Vivaldi und Opera installiert werden) entdeckt. Die Erweiterungen stehlen persönliche Daten und zeigen unerwünschte Werbung an.
Wer Erweiterungen (Add-Ons) in seinen Browsern installiert hat, sollte unbedingt prüfen, ob eine der auf der Avast-Seite genannten Erweiterungen dabei ist und diese gegebenenfalls umgehend deinstallieren.
Quelle: 'Webbrowser-Erweiterungen für Chrome und Edge schnorcheln Daten ab' auf Heise Online
Quelle: AVAST Website mit der Liste der unsicheren Erweiterungen
Für das Contentmanagement-System 'WordPress' ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Angreifer könnten Schadcode auf Millionen WordPress-Websites hochladen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Krypto-API Bouncy Castle: Angreifer könnten Passwort-Check stören' auf Heise Online
Quelle: 'Sicherheitsupdates: FTP-Verbindungen von BIG-IP Appliances gefährdet' auf Heise Online
Quelle: 'FireEye etc.: Trojaner in SolarWinds-Updates ermöglicht Cyberangriffe' auf Heise Online
Quelle: 'HPE Systems Insight Manager: Kritische Lücke ohne Patch gefährdet Server' auf Heise Online
Quelle: 'Root-Lücke in Trend Micro InterScan Web Security Virtual Appliance geschlossen' auf Heise Online
Google hat schon wieder eine Sicherheitslücke in Google Chrome und Chromium behoben. Die Version 87.0.4280.88 behebt 8 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Acht Sicherheitslücken in Google Chrome geschlossen' auf Heise Online
Vivaldi hat diese Woche endlich auf Chromium 87 aufgerüstet und bringt auch gleich das neueste Sicherheitsupdate mit.
Abgesehen von den Sicherheitskorrekturen bringt Vivaldi 3.5 auch noch Verbesserungen bei der Tabverwaltung, dem DRM-Plugin, eine neue Funktion zum Senden von URLs per QR-Code sowie einige weitere kleinere Verbesserungen. Die größte Neuerung in Vivaldi 3.5 ist aber eigentlich die nun eingebaute E-Mail- und Kalender-Funktionalität. Diese ist aber noch im Beta-Stadium, und wird daher standardmäßig nicht angezeigt. Wer sie ausprobieren möchte, kann einen versteckten Schalter aktivieren (siehe zweiten Link).
Quelle: 'Introducing Vivaldi Mail in Technical Preview' auf Vivaldi.net (Englisch)
Microsoft hat die neue Edge Version 87.0.664.57 bereitgestellt, die die Änderung aus Chromium 87.0.4280.88 enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera hat es diese Woche zwar endlich auf Chromium 78 geschafft, aber nicht auf die Sicherheitsupdates dieser Woche. Das ist zwar weniger Rückstand als Opera üblicherweise in den letzten Monaten hatte, aber trotzdem als Dauerzustand inakzeptabel weshalb unsere Empfehlung zu Vivaldi zu wechseln weiter aufrecht bleibt.
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2020.013.20074 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe unzählige (!) Sicherheitslücken geschlossen, sehr viele davon kritischer Art. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB20-75 (Englisch)
Adobe's Lightroom (Classic) erhält ein zweites Sicherheitsupdate. Dieses schließt eine als kritisch eingestufte Sicherheitslücke. Alle Anwender von Lightroom Classic sollten zügig die abgesicherte Version 10.1 installieren.
Info: Adobe Security Bulletin APSB20-74 (Englisch)
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es 2 Lücken. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB20-72 (Englisch)
In Prelude hat Adobe eine kritische Sicherheitslücke behoben. Das Update auf Version 9.0.2 behebt die Probleme.
Quelle: Adobe Security Bulletin APSB20-70 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Microsoft stopft kritische Lücken in Exchange Server' auf Heise Online
Nachdem erst kürzlich der Support für Windows 10 1809 ausgelaufen ist, gibt es nun auch für Version 1903 keine Sicherheitsupdates mehr. Wer noch auf dieser (oder einer älteren)Windows 10 Version festsitzt, sollte unbedingt bald auf Version 1909 oder neuer upgraden. Sowohl Support-Ende als auch Zwangs-Upgrade gilt nicht für die Enterprise- und Edu-Ausgaben von Windows 10, die längere Support-Zeiträume hat.
Auch diesen Monat gibt es wieder ein Sicherheitsupdate für den Exchange Server. Es schließt eine als kritisch eingestufte Sicherheitslücke und sollte daher von allen Exchange-Admins schnellstmöglich installiert werden. Um das Update zu erhalten, muss mindestens das Cumulative Update 23 für Exchange 2013, bzw. Cumulative Update 17 für Exchange 2016, bzw. Cumulative Update 6 für Exchange 2019 installiert sein. Diese müssen vom Administrator manuell installiert werden!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.03 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Wieder wurden in D-Link Routern mehrere schwere Sicherheitslücken gefunden. Die Lücken sind kritisch, die mittlerweile zur Verfügung stehenden Updates von D-Link sollten als so rasch wie möglich installiert werden. Betroffen sind 10 Modellgruppen und darin wiederum teils mehrere Revisionen. Für vier Geräte wird es kein Update mehr geben, da der Support dafür bereits ausgelaufen ist. Diese Geräte sollten umgehend durch ein modernes Gerät mit noch möglichst lange laufendem Support ersetzt werden.
Die betroffenen Geräte sowie die zur Verfügung stehenden Updates können der Sicherheitsmeldung von D-Link entnommen werden.
Quelle: 'Sicherheitsupdates: Root-Lücken in VPN-Routern von D-Link' auf Heise Online
Quelle: Sicherheitsmeldung für D-Link Router auf D-Link.com (Englisch)
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopft ein Update für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal müssen sowohl Apps als auch das Betriebssystem aktualisiert werden. Details im verlinkten Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Qnap NAS für Schadcode-Attacken anfällig' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdate: Angreifer könnten Webserver mit Apache Tomcat attackieren' auf Heise Online
Quelle: 'Jetzt updaten: Cisco schiebt Update für Security-Manager-Lücke von November nach' auf Heise Online
Quelle: 'Kritische Lücke im Python-Framework PyYAML bedroht IBM Spectrum Protect' auf Heise Online
Quelle: 'Patchday: SAP-Updates versperren Angriffswege über teils kritische Lücken' auf Heise Online
Quelle: 'Sicherheitsupdates: Cisco Jabber könnte Schadcode-Nachrichten durchlassen' auf Heise Online
Quelle: 'Hotfix rüstet Firewalls und Router von Sophos gegen Attacken' auf Heise Online
Quelle: 'Symantec Messaging Gateway könnte Passwörter leaken' auf Heise Online
Quelle: 'Kritische Lücken in IBM AIX gefährden Server' auf Heise Online
Die Entwickler von Thunderbird haben die Version 78.5.1 veröffentlicht. Gegenüber der Version behebt die neue Version eine Sicherheitslücke, die unterm Strich eine hohe Bedrohung ergeben soll. Wenn man sich die Lücke ansieht, möchte man fast sagen, dass sie etwas "besonderes" ist, denn zur Abwechslung ist es mal keine von Firefox "geerbte" Sicherheitslücke, sondern eine die wirklich Thunderbird alleine betrifft.
Quelle: 'Sicherheitsupdate: DoS- und Schadcode-Attacken gegen Thunderbird möglich' auf Heise Online
Download: Thunderbird Version 78.5.1, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.5.1, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.5.1 Release Notes' auf Mozilla.org (Englisch)
Die Anti-Viren-Lösung "Total Protection" von McAfee enthielt eine schwere Sicherheitslücke, über die Angreifer den PC mit Viren infizieren konnten. Wir raten allen Anwendern, die diese Software installiert haben, diese auf Version 16.0.29 zu aktualisieren.
Quelle: 'McAfee Total Protection könnte Angreifer befördern' auf Heise Online
Dass kostenlose COVID-Tests eine schöne Sache sind, ist unbestritten, den Termin dafür über eine Website vereinbaren zu müssen, die schwere Datenschutzmängel hat, eher nicht. Offenbar bekommen es österreichische Institutionen nicht auf die Reihe eine saubere Website auf die Füße zu stelle. Schon der Start des "Kaufhaus Österreich" Anfang der Woche geriet zur großen Lachnummer, die Datenpannen bei der COVID-Testseite sind jedoch alles andere als zum Lachen.
Gleich zum Start der Website wurden 800 Nutzern die persönlichen Daten fremder Menschen angezeigt. Daraufhin ging die Website kurz offline, um zumindest dieses gravierende Problem zu beheben.
Allerdings müssen wir nach wie vor schaudern, wenn wir uns die Seite ansehen. Noch bevor man überhaupt irgendetwas eingeben kann, macht schon die verwendete Adresse stutzig. Denn ruft man "österreich-testet.at" auf, wird man auf "xn—sterreich-testet-lwb.at" weitergeleitet. Unserer Meinung nach ist das keine sehr vertrauenerweckende URL.
Ignoriert man die merkwürdige Adresse gibt es noch mehr Kritikpunkte. Einerseits fragt die Website unverhältnismäßig viele Informationen der Personen ab (wozu ist z.B. das Geschlecht für einen COVID-Test relevant?), andererseits werden Dienste von Google verwendet. Letzteres angeblich um Hacker fernzuhalten. Beides ist jedoch nicht mit der DSGVO zu vereinbaren, da diese eine Beschränkung auf die unbedingt notwendigen Daten vorsieht und einen Datenaustausch mit Amerika ausschließt, da die USA aktuell kein sicheres Drittland im Sinne der DSGVO darstellen.
Das heißt, um sich für den kostenlosen COVID Test anzumelden braucht man: einen Computer mit Internetzugang, einen Drucker um die Bestätigung auszudrucken und man muss Datenschutzmängel in Kauf nehmen. Das dürften ungünstige Voraussetzungen sein um wirklich von einem "Massentest" sprechen zu können.
Quelle: 'Österreichs COVID-Test-Webseite gab private Daten preis' auf Heise Online
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopft ein Update für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss nicht eine einzelne App, sondern das Betriebssystem selbst (QTS) aktualisiert werden. Details im verlinkten Heise Online Artikel.
Quelle: 'Remote Code Execution: Lücken in NAS-Betriebssystem QTS von Qnap geschlossen' auf Heise Online
Schon jetzt ist Emotet einer der gefährlichsten Erpressungstrojaner, da die gefälschten E-Mails oft kaum von Echten zu unterscheiden sind. Zumindest aber konnte man infizierte PCs bisher wieder leicht bereinigen, wenn das Kind schonmal in den Brunnen gefallen war. Nun aber gibt es Anzeichen, dass Emotet in Zukunft auch das UEFI-BIOS von Computern und IoT Geräten (z.B. Druckern) infizieren könnte.
Sollte das in Zukunft tatsächlich umgesetzt werden, wäre eine Desinfektion von betroffenen Computern oder auch ganzen Netzwerken nur mehr schwer bis gar nicht möglich. In dem Fall wäre dann der Schaden für die EDV-Systeme in der Regel viel höher als das geforderte Lösegeld. Zu zahlen ist aber dennoch keine Option, denn wer sagt das infizierte Geräte dadurch wirklich gesäubert werden?
Firmen sollten daher noch mehr Wert darauf legen, dass Mitarbeiter möglichst gut geschult sind auf die Erkennung von gefälschten E-Mails. Falls Microsoft-Office verwendet wird, sollten möglichst die Versionen verwendet werden, bei denen die Ausführung von Makros zuverlässig über Richtlinien unterbunden oder zumindest beschränkt werden können. Außerdem sollte darauf geachtet werden, dass Mitarbeiter möglichst keine Administrator-Rechte besitzen.
Bei Privatanwendern sind die technischen Möglichkeiten sich zu schützen leider meist beschränkt, da die günstigen MS-Office-Versionen keine zuverlässige Deaktivierung von Makros erlauben und die Benutzer an den Computern sehr häufig mit Administratorrechten arbeiten. Hier sollten die Anwender sich also möglichst gut informieren und immer sehr vorsichtig sein bei E-Mails mit Anhängen. Auch wenn der Absender vermeintlich bekannt ist und auch der E-Mail-Text "typisch" für den vermeintlichen Absender aussieht, muss es noch lange nicht der echte Absender sein. Spätestens wenn zugesendete Office-Dokumente ein Makro ausführen wollen, sollten sämtliche Alarmglocken läuten.
Quelle: 'Cybercrime: Trickbot lernt neuen Trick' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Wichtige Sicherheitsupdates für VMware Workmanager & Co. erschienen' auf Heise Online
Quelle: 'Sicherheitsupdate: Lücke in Trend Micro ServerProtect gefährdet Linux-Systeme' auf Heise Online
Quelle: 'Jetzt patchen! Exploit für Oracle WebLogic im Ausverkauf für 75 US-Dollar' auf Heise Online
Quelle: 'Kritische Lücke in älterem ENIP-Stack für industrielle Kontrollsysteme entdeckt' auf Heise Online
Das freie Grafikprogramm Gimp hat am 21.11.2020 seinen 25ten Geburtstag gefeiert. Wir gratulieren allen Beteiligten recht herzlich und freuen uns auf die nächsten 25 Jahre. Heise Redakteur André Kramer hat anlässlich des Geburtstags einen netten Artikel über 25 Jahre Gimp-Geschichte veröffentlicht.
Schon ein paar Tage zuvor haben die Gimp-Entwickler der Community ein inoffizielles Geburtstagsgeschenk gemacht und Version 2.99.2 veröffentlicht. Dies ist eine Vorabversion (Beta Version) der zukünftigen Gimp 3.0 Ausgabe. Diese Fassung ist aber nicht für den "täglichen Gebrauch" gedacht, sondern nur um den ungeduldigen Gimp-Fans endlich einen Vorgeschmack auf Gimp 3 zu geben. Diese Version wird wieder ein großer Meilenstein in der Gimp-Geschichte werden, auch wenn der Großteil der Neuerungen unter der Haube stattfinden wird. Denn Gimp 3 dient primär dem Zweck, eine neue solide Basis für die Zukunft zu schaffen. Erst der 3.2er Versionszweig soll dann "gravierende" sichtbare Neuerungen bringen.
Quelle: 'Freie Bildbearbeitung Gimp wird 25 Jahre alt' auf Heise Online
Quelle: 'Development release GIMP 2.99.2 is out' auf Gimp.org (Englisch)
Quelle: 'Gimp Roadmap' auf Gimp.org (Englisch)
Das 3D-Programm Blender erhält mit Version 2.91 wieder jede Menge Neuerungen undhttps://www.blender.org/download/releases/2-90/ Verbesserungen. Eine Auflistung aller Neuerungen würde alle Grenzen sprengen, weshalb wir hier noch ein paar einzelne Highlights herauspicken.
Der Outliner ist erheblich verbessert worden. Alle Suchfelder in Blender liefern jetzt deutlich brauchbarere Ergebnisse. Die Bool’schen Operatoren wurden erheblich verbessert. Meshes lasen sich in Volumes verwandeln und umgekehrt. Das Keyframe-System wurde verbessert und und und… Wer schon mit Blender arbeitet, sollte also spätestens jetzt bereits den Download der neuen Version gestartet haben.
Wer noch nie mit Blender oder einem anderen professionellen 3D-Programm gearbeitet hat sollte sich aufgrund der stylischen Videos zu der neuen Version auf der Blender Homepage keine falschen Hoffnungen machen, 3D-Programme haben nach wie vor eine sehr steile Lernkurve und haben wohl schon so manchen Anwender in die Verzweiflung getrieben, der meint er könne damit mal eben so Hollywood reife Animationen erstellen. Wer sich dennoch in das Thema 3D einarbeiten möchte, liegt mit Blender aber genau richtig. Auf den gängigen Videoportalen finden sich auch unendlich viele Tutorials für Blender passend für Anfänger bis hin zu Profis.
Quelle: 'Blender 2.91: besser formen und animieren' auf Heise Online
Quelle: 'Blender 2.91 Relase Information' auf Blender.org
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitsupdates: Archive mit Schadcode könnten Drupal-Websites gefährden' auf Heise Online
Der NAS Entwickler Synology hat eine Reihe von Schwachstellen in seinen Geräten entdeckt und für die meisten Fehler bereits Sicherheitsupdates zur Verfügung gestellt. Besitzer von Synology Geräten sollten unbedingt den verlinkten Heise Online Artikel lesen um herauszufinden wie das eigene Gerät abgesichert werden kann.
Quelle: 'Synology: Kritische Lücken aus Disk Station Manager und Safe Access beseitigt' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Exploit-Code bedroht fast 50.000 Fortinet VPNs' auf Heise Online
Quelle: 'Warten auf Patches: Kritische VMware-Lücke gefährdet Linux- und Windows-Systeme' auf Heise Online
Quelle: 'Sicherheitslücken in McAfee Endpoint Security machen Windows angreifbar' auf Heise Online
Quelle: 'IBM: Aktuelle Security-Updates sichern diverse Produkte gegen Angriffe ab' auf Heise Online
Quelle: 'Britische Sicherheitsbehörde warnt vor Angriffen auf MobileIron-Schwachstelle' auf Heise Online
Google hat den nächsten Versionssprung von Chromium und Google Chrome hingelegt. Version 87 behebt nicht nur 33 Sicherheitslücken (10 davon mit Gefahren-Einstufung "hoch"), sondern bringt auch diverse neue Funktionen. Wie üblich sollten Anwender von Google Chrome zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google schließt 33 Sicherheitslücken in Chrome 87' auf Heise Online
Quelle: 'Googles Webbrowser Chrome 87: Tab Throttling und neue Adresszeilen-Funktionen' auf Heise Online
Vivaldi kann diese Woche leider noch nicht mit einer auf Chromium 87 basierenden Ausgabe aufwarten, zumindest nicht mit einer finalen Version. Der Chromium 87 Unterbau wird hier noch in einer Beta-Version getestet. Wir hoffen, dass wir nächste Woche Vivaldi 3.5 verkünden können.
Microsoft hat die neue Edge Version 87.0.664.41 bereitgestellt, die die Änderung aus Chromium 87 enthält. Die Übersichtsseite listet die neue Version aktuell noch nicht auf, das kann sich aber stündlich ändern. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera hat es diese Woche auf den Sicherheitsstand von letzter Woche geschafft, hängt also wieder einmal eine Woche hinterher. Das ist zwar weniger Rückstand als Opera üblicherweise in den letzten Monaten hatte, aber trotzdem als Dauerzustand inakzeptabel weshalb unsere Empfehlung zu Vivaldi zu wechseln weiter aufrecht bleibt.
Die Entwickler von Thunderbird haben die Version 78.5 veröffentlicht. Gegenüber der Version behebt die neue Version 12 Sicherheitslücken, die unterm Strich eine hohe Bedrohung ergeben. Alle Thunderbird Anwender sollten daher zügig updaten. Abgesehen von den Sicherheitskorrekturen bringt die neue Version keine sichtbaren Verbesserungen. Alle Neuerungen betreffen die OpenPGP-Implementierung sowie das Erweiterungs-System.
Quelle: 'Firefox und Thunderbird: Sicherheitsupdates und HTTPS-only-Modus' auf Heise Online
Download: Thunderbird Version 78.5, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.5, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.5 Release Notes' auf Mozilla.org (Englisch)
Mozilla hat Firefox 83 veröffentlicht. Die neue Version behebt stolze 21 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.5.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox und Thunderbird: Sicherheitsupdates und HTTPS-only-Modus' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal-Updates beseitigen kritische Lücken aus mehreren Versionen und Modulen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Windows-Update außer der Reihe beseitigt Kerberos-Authentifizierungsprobleme' auf Heise Online
Quelle: 'Sicherheitsupdates VMware : Schadcode kann durch USB-Lücke in Host schlüpfen' auf Heise Online
Quelle: 'Datenbanksystem: Eine Lücke in IBM Db2 gefährdet Linux, Unix und Windows' auf Heise Online
Quelle: 'Citrix patcht Lücke in XenDesktop und XenApp' auf Heise Online
Quelle: 'Jetzt updaten: Cisco bessert bei der Sicherheit seines "Security Managers" nach' auf Heise Online
Quelle: 'Cisco-Sicherheitsupdates: Webex-Meetings von Teilnehmern unbemerkt belauschbar' auf Heise Online
Quelle: 'Dateien löschbar und Schadcode-Attacken: Updates für Trend-Micro-Schutzsoftware' auf Heise Online
Google hat diese Woche gleich zweimal Sicherheitslücken ausgeliefert. Am Montag und Donnerstag wurden jeweils schwere Sicherheitslücken in Google Chrome und Chromium behoben. Die letzte Version 86.0.4240.198 behebt 2 Sicherheitslücken gegenüber der Vorversion. Die Lücken werden bereits aktiv ausgenützt, weshalb Anwender von Google Chrome unbedingt rasch aktualisieren sollten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Erneutes Nachbessern bei Chrome: Google schließt zwei aktiv ausgenutzte Lücken' auf Heise Online
Bei Vivaldi waren die Mitarbeiter fleißig und haben jedes Chromium-Sicherheitsupdate umgehend in neue Vivaldi-Versionen umgemünzt. Vivaldi3.4 Update 5 am Dienstag und Update 6 am Donnerstag. Schneller geht es kaum. Vivaldi-Anwender sollten ebenfalls zügig auf die aktuelle Version updaten.
Die Android-Version von Vivaldi hat den Sprung auf die neue Chromium-Version heute geschafft. Auch hier sollten Anwender zügig aktualisieren.
Quelle: 'Minor update (6) for Vivaldi Desktop Browser 3.4' auf Vivaldi.net
Quelle: 'Minor update (5) for Vivaldi Android Browser 3.4' auf Vivaldi.net
Microsoft hat die neue Edge Version 86.0.622.68 bereitgestellt, die jedoch nur die Sicherheitsupdates vom Montag enthält, noch nicht die vom Donnerstag. Es ist zu erwarten, das Microsoft die baldigst nachliefert, denn bisher war Microsoft immer recht flott mit dem Ausliefern von Chromium-Sicherheitsupdates. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Nachdem es Opera letzte Woche ausnahmsweise mal geschafft hat sicherheitstechnisch auf dem aktuellen Stand zu sein, hängen die Norweger diese Woche wieder zurück. Aus der Aktion 'verlorenes Vertrauen zurückgewinnen' wird also nichts und unsere Empfehlung zu Vivaldi zu wechseln bleibt weiter aufrecht.
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.
Quelle: Adobe Connect Security Bulletin APSB20-69 (Englisch)
Die Android-Fassung des Adobe Reader hat diese Woche ein Sicherheitsupdate spendiert bekommen, nachdem die Desktop-Ausgabe letzte Woche dran war. Wer Adobe Reader auf einem Android-Gerät nutzt, sollte die Software demnächst aktualisieren.
Quelle: Adobe Connect Security Bulletin APSB20-71 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Microsoft schließt Kernel-Lücke in Windows' auf Heise Online
Microsoft hat diese Woche damit begonnen, Windows Versionen vor Version 1909 auf eben diese Version upzugraden. Dieser Schritt erfolgt später als erwartet, denn bereits in einem Monat läuft der Support für Windows 10 1903 aus, aber für manche Anwender wohl immer noch zu früh. Zumindest wir wären gerne noch länger bei Version 1903 geblieben, ist es doch die vorerst letzte Ausgabe bei der die Suchfunktion im Explorer noch richtig funktioniert :/
Quelle: 'Microsoft beginnt "Zwangsupgrade" von Windows 10 Version 1903 auf 1909' auf Heise Online
Der Support für Version 1809, der Microsoft schon vor ein paar Wochen das Zwangsupgrade auf Version 1903 verordnet hat, ist übrigens am Dienstag dieser Woche ausgelaufen. Wer diese Version noch im Einsatz hat, sollte zügig auf Version 1903 oder 1909 upgraden. Sowohl Support-Ende als auch Zwangs-Upgrade gilt übrigens nicht für die Enterprise und Edu-Ausgaben von Windows 10, die längere Support-Zeiträume hat.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 18.03 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Mozilla hat diese Woche ein wichtiges Sicherheitsupdate für Firefox und Thunderbird herausgegeben. Anwender dieser Programme sollten sichergehen, dass die Programme bereits auf Version 82.0.3 (Firefox ), 78.4.1 (Firefox ESR) bzw.78.4.2 ( Thunderbird) aktualisiert wurden.
Quelle: 'Remote-Code-Execution-Lücke in Firefox, Firefox ESR und Thunderbird' auf Heise Online
Prozessorhersteller Intel hat mal wieder reichlich neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider ist es (wie schon öfter geschrieben) für Endanwender nicht einfach sich in all den Intel Sicherheitsupdates zurechtzufinden und die für die eigene Hardware passenden Updates zu installieren.
Platypus ist der Name der neuesten Sicherheitslücke die in Intel Prozessoren entdeckt wurde. Zwar ist diese in praktisch allen modernen Intel-Prozessoren vorhanden, wirklich bedrohlich ist sie aber überwiegend für Betreiber von Cloud-Servern, weshalb wir hier nicht ausführlicher drauf eingehen, zumal Microsoft auch mit den aktuellen Windows-Updates bereits neue Microcode-Versionen ausliefert die diese Lücken schließen sollen. Auch die erneuten Sicherheitslücken in Intels AMT (eine Komponente in der regelmäßig Sicherheitslücken entdeckt werden) betrifft in der Regel keine Endanwender, sondern eher Administratoren von Business-Geräten und Servern.
Sehr wohl für Endanwender relevant sind die Sicherheitslücken in diversen Intel Bluetooth-Chip bzw. deren Treibern. Intel hat eine neue Version seiner Bluetooth-Software veröffentlicht die zwei kritische Sicherheitslücken entfernen. Diese Lücken können ohne viel Aufwand aus der Ferne (bei Bluetooth bedeutet das in der Regel bis zu 100 Meter) ausgenützt werden.
Gleich ein Haken vorneweg: für Windows 8.1 stellt Intel keine abgesichert Software bereit :( Für Windows 7 natürlich auch nicht, aber dafür ist der Support ja auch bereits offiziell beendet, Windows 8,1 kann eigentlich noch bis 2023 verwendet werden.
Wer also Windows 10 verwendet und eines der folgenden Bluetooth-Module in seinem Gerät eingebaut hat, sollte dringend die Software dafür aktualisieren:
Wer ein älteres Funk-Modul von Intel einsetzt, das hier nicht erwähnt wird sollte ein Upgrade des Funk-Moduls zumindest andenken. Außer sowohl Bluetooth als auch WLAN sind immer zuverlässig ausgeschaltet.
Download: 'Intel Wireless Bluetooth for Windows 10' auf Intel.com
Quelle: 'Patchday: Intel beseitigt insgesamt 95 Schwachstellen aus zahlreichen Produkten' auf Heise Online
Laut einem Artikel von Heise Online, der wiederum auf Sicherheitslücken beruht, die von einem unabhängigen Sicherheitsforscher gemeldet wurden, tut sich Bitdefender außergewöhnlich schwer damit, Sicherheitslücken in seinen Produkten zu entfernen. Bei manchen Lücken musste der Hersteller gar viermal nachbessern, bis die Lücken tatsächlich behoben wurden. Auch wenn Sicherheitslücken in Software nicht ungewöhnlich sind (selbst bei Anti-Viren-Produkten) macht die Unfähigkeit die Lücken mit EINEM Update zu schließen doch Sorgen. Einen guten Eindruck hat Bitdefender damit jedenfalls ganz klar nicht abgeliefert.
Wer auf Schutzsoftware aus dem Hause Bitdefender setzt, sollte sichergehen, dass die neuste Version der Software eingesetzt wird.
Quelle: 'Bitdefender kämpft mit schweren Sicherheitsproblemen' auf Heise Online
Für das Contentmanagement-System 'WordPress' ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitsupdate: Ultimate Member Plug-in gefährdet Wordpress-Seiten' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: '"Platypus": Sicherheitslücke missbraucht Messfunktion von Intel-Prozessoren' auf Heise Online
Quelle: 'Sicherheitspatch: Angreifer könnten Cisco-Router ASR 9000 aus dem Verkehr ziehen' auf Heise Online
Quelle: 'Patchday: Updates für SAP-Produkte beheben mehrere kritische Schwachstellen' auf Heise Online
Quelle: 'Schneider Electric sichert diverse ICS-Komponenten gegen Schwachstellen ab' auf Heise Online
Google hat schon wieder eine Sicherheitslücke in Google Chrome und Chromium behoben. Die Version 86.0.4240.183 behebt 7 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Sandbox- und Schadcode-Attacken gegen Googles Webbrowser Chrome' auf Heise Online
Bei Vivaldi wird die neue Chromium Version durch Update 4 für Vivaldi 3.4 an Kunden ausgeliefert. Vivaldi Anwender sollten zügig aktualisieren.
Die Android-Version von Vivaldi hat den Sprung auf die neue Chromium-Version leider noch nicht geschafft. Hier dürfte es wohl Anfang nächster Woche so weit sein.
Quelle: 'Minor update (4) for Vivaldi Desktop Browser 3.4' auf Vivaldi.net
Microsoft hat die neue Edge Version 86.0.622.63 bereitgestellt, die die obigen Sicherheitskorrekturen ebenfalls enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera hat es ausnahmsweise mal geschafft sicherheitstechnisch zu den anderen drei Herstellern aufzuschließen und liefert ebenfalls eine aktuelle Chromium-Version aus. Solange der Hersteller das aber nicht über mehrere Monate hinweg schafft, kann er verlorenes Vertrauen nicht zurückerobern, weshalb unsere Empfehlung zu Vivaldi zu wechseln aufrecht bleibt.
Vor zwei Wochen hatten wir im Rahmen unseres Artikels über die damaligen Adobe Sicherheitsupdates bereits berichtet, dass das Sicherheitsbulletin APSB20-67 fehlt und das mit einem baldigen weiteren Sicherheitsupdate zu rechnen ist. Das fehlende Bulletin wurde nun veröffentlicht und es betrifft Adobe Reader & Acrobat. Nicht weniger als 14 Sicherheitslücken wurden in der neuen 'Version’ 2020.013.20064 behoben, vier davon sind kritisch.
Wer Acrobat oder Reader nicht in der DC-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB20-67 (Englisch)
Quelle: 'Notfall-Patches: Kritische Lücken in Adobe Acrobat und Reader geschlossen' auf Heise Online
Das US Justizministerium klagt gegen Google wegen Missbrauch seiner Monopolstellung. Wirklich verwunderlich ist das nicht, wenn man betrachtet, wie sehr Google seine Marktmacht ausnützt um Mitbewerber zu verdrängen. Wenn das sogar der kapitalistischen USA unter (noch) republikanischer Führung Zuviel ist, will das was heißen.
Verwunderlicher ist da schon eher, dass der kleine norwegische Browser-Hersteller sich der Klage anschließt, immerhin ist die Firma von Google abhängig. Ohne Google Chromium gibt es kein Vivaldi. Daher, sehr mutig. Hoffen wir mal, dass Google das nicht übel nimmt.
Wir raten ja schon seit vielen Jahren dazu das Google-Monopol nicht zu unterstützen und alternative Anbieter zu verwenden. Bei der Suche wären das z.B. Bing, Yahoo, DuckDuckGo, Ecosia usw. Als kostenloser E-Mail-Provider wäre z.B. das deutsche GMX zu nennen.
Jedenfalls hat Vivaldi dazu einen Blog-Beitrag geschrieben, indem schön erklärt wird, warum der Monopol-Missbrauch für alle von uns schlecht ist. Leider gibt es den Artikel nur auf Englisch (und spanisch) weshalb wir hier auch eine automatische Übersetzung anbieten (natürlich ohne Nutzung von Google Diensten!). Ein echt lesenswerter Blogpost!
Quelle: 'Vivaldi’s take on the antitrust case against Google' auf Vivaldi.net (Englisch)
Quelle: 'Vivaldis Übernahme des Kartellverfahrens gegen Google' auf Vivaldi.net (automatische Übersetzung)
Dazu passt auch gleich noch ein weiterer Artikel von heise online, wonach Google in kommenden Chrome Versionen einen eignen Zertifikats-Store einbauen will. Bisher verwendet Chrome den jeweiligen Zertifikats-Store des Betriebssystems, was auch sinnvoll ist. Die Änderung soll laut Google 'den Nutzern mehr Sicherheit bringen'. In seltenen Fällen mag dies sogar zutreffen, aber dass damit Google noch mächtiger wird kommt dem Konzern sicher auch nicht ganz ungelegen. Immerhin kann Google so in Zukunft bestimmen welche Seiten man mit Google-Chrome anzeigen darf und welche nicht. Google könnte z.B. von den Zertifikats-Anbietern eine Abgabe verlangen, um in den Chromium Zertifikats-Store aufgenommen zu werden. Kein Zertifikats-Anbieter kann es sich erlauben im weltweit mit Abstand meistgenutzte Browser als "unsicher" angezeigt zu werden.
Wem angesichts dessen schwarz vor Augen wird, sollte um Google Chrome einen weiten Bogen machen.
Quelle: 'Chrome soll eigenen Root-Store für Zertifikate bekommen' auf Heise Online
Hier noch ein paar wichtige Sicherheitsmeldungen für Smartphone Besitzer.
Quelle: 'Patchday: Kritische Schadcode-Lücke in Android 8.0 bis 11' auf Heise Online
Quelle: 'Schwachstellen in iOS werden aktiv ausgenutzt – kein Update für iOS 13' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Exploit für Cisco-VPN AnyConnect in Umlauf – Sicherheitsupdate steht noch aus' auf Heise Online
Quelle: 'Sicherheitsupdates: BIG-IP Appliances und die Admin-Falle' auf Heise Online
Quelle: 'Eine Lücke kommt selten allein: Oracle meldet weitere Gefahr für WebLogic Server' auf Heise Online
Quelle: 'SaltStack: Security-Packages beseitigen drei teils kritische Sicherheitslücken' auf Heise Online
Vivaldi hat diese Woche gleich 2 Updates für den Desktop-Browser veröffentlicht. Das erste Update hatte unter anderem eine Sicherheitslücke behoben. Wer sich jetzt verwundert die Augen reibt und fragt, wo denn dann die Meldung für Google Chrome und Edge bleibt, kann entspannen. Es handelt sich hier Ausnahmsweise nicht um eine Sicherheitslücke im Chromium-Unterbau, sondern tatsächlich im Vivaldi eigenen Code.
Das zweite Update hat eine der kleineren Änderungen des vorhergehenden Updates (nicht das Sicherheitsupdate!) wieder entfernt, da es unerwünschte Nebenwirkungen hatte. Vivaldi Anwender sollten das Update wie üblich zügig installieren.
Download: Aktuelle Vivaldi Version
Quelle: 'Minor update (2) for Vivaldi Desktop Browser 3.4' auf Vivaldi.net (Englisch)
Quelle: 'Minor update (3) for Vivaldi Desktop Browser 3.4' auf Vivaldi.net (Englisch)
Die LibreOffice Entwickler haben Version 6.4.7 zum Download freigegeben. Diese Veröffentlichung ist etwas unerwartet, denn eigentlich wäre 6.4.6 die letzte Ausgabe der 6.4er Serie gewesen. Die Gründe für das erneute Update sind bisher unklar. Es würde uns nicht verwundern, wenn in naher Zukunft bekannt wird, dass es sich hier um ein Sicherheitsupdate handelt. Bisher ist das aber reine Spekulation unsererseits, die Informationen zum Release sind "wie üblich".
Auch die 7.0er Serie hat ein neues Update auf Version 7.0.3 spendiert bekommen. Diese haben wir jetzt installiert, um sie im Alltag einen ausführlicheren Test zu unterziehen. Für die Allgemeinheit raten wir von der Version noch ab.
Download: Aktuelle LibreOffice Versionen
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopft ein Update für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss nicht eine einzelne App, sondern das Betriebssystem selbst (QTS) aktualisiert werden. Details im verlinkten Heise Online Artikel.
Quelle: 'Sicherheitsupdate: Angreifer könnten eigene Befehle auf Qnap NAS ausführen' auf Heise Online
Anwender, die auf die ZoneAlarm-Firewall des Herstellers Checkpoint setzen, sollten unbedingt zügig ein Sicherheitsupdate auf Version 15.8.139.18543 installieren.
Quelle: 'Schlupflöcher in ZoneAlarm-Firewall geschlossen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitslücken: Nvidia veröffentlicht BMC-Firmware-Updates für DGX-Server' auf Heise Online
Quelle: 'HPE/Aruba: Kritische Lücken in SSMC, AirWave Glass und weiteren Produkten' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten BIG-IP Appliances von F5 lahmlegen' auf Heise Online
Google hat schon wieder eine Sicherheitslücke in Google Chrome und Chromium behoben. Die Version 86.0.4240.111 behebt 5 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert, haben sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Update für den Chrome-Browser schließt aktiv ausgenutzte Lücke' auf Heise Online
Bei Vivaldi wird die neue Chromium Version durch Update 1 für Vivaldi 3.4 an Kunden ausgeliefert. Zusätzlich zu den Sicherheitsupdates enthält diese Version auch noch ein paar weitere Fehlerkorrekturen.
Auch die Android Version wurde wegen Sicherheitsupdates aktualisiert. Die neue Version lautet hier Vivaldi 3.4 Update 2.
Vivaldi Anwender (egal ob Desktop oder Android) sollten zügig auf die neue Version updaten.
Quelle: 'Minor update for Vivaldi Desktop Browser 3.4' auf Vivaldi.net
Quelle: 'Minor update (2) for Vivaldi Android Browser 3.4' auf Vivaldi.net
Microsoft hat die neue Edge Version 86.0.622.51 am Donnerstag bereitgestellt. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera hängt den anderen Browser-Herstellern wieder einmal gute 2 Wochen hinterher was Sicherheitsupdates angeht. Einmal mehr wird deutlich, warum unsere Empfehlung schon seit längerem lautet, von Opera auf Vivaldi zu wechseln.
Die Entwickler von Thunderbird haben die Version 78.4 veröffentlicht. Gegenüber der Version 78.3 behebt die neue Version zwei Sicherheitslücken, die unterm Strich eine hohe Bedrohung ergeben. Alle Thunderbird 78 Anwender sollten daher zügig updaten.
Mittlerweile liefert Mozilla Thunderbird 78.4 auch an Anwender aus die noch die alte Version 68 verwenden. Eine Ankündigung oder auch sonst nur irgendeinen Hinweis darauf findet man bei Mozilla leider vergeblich. Der letzte Eintrag im Thunderbird Blog ist von der Veröffentlichung der ersten 78er Version, also schon relativ alt.
Die gute Nachricht ist, das Upgrade bereitet keinerlei Probleme – wenn man keine Erweiterungen in Thunderbird 68 verwendet hat. Wer sehr wohl Erweiterungen verwendet hat, der sollte sich auf einiges an Handarbeit einstellen, wenn man zumindest einen Teil der gewohnten Funktionalität aufrechterhalten möchte. Denn bestehende Erweiterungen werden nach wie vor nicht automatisch upgegradet, selbst wenn mittlerweile eine kompatible neue Version vorliegt. Und natürlich gibt es auch Stand heute immer noch zahlreiche Erweiterungen, die nach wie vor gar nicht in einer zu Thunderbird 78 kompatiblen Version erhältlich sind. Unterm Strich bleibt daher für manche Anwender ein signifikant reduzierter Funktionsumfang übrig. Die deutlich bessere Performance von Thunderbird 78 ist da nur ein geringer Trost.
Von der Verwendung von Thunderbird 68 oder noch älteren Versionszweigen müssen wir aufgrund von Sicherheitslücken natürlich abraten, auch wenn die Situation mit den Erweiterungen die veralteten Versionen für manchen Anwender attraktiv erscheinen lassen dürfte. Und Achtung! Ein einmal auf Version 78 aktualisiertes Thunderbird Profil lässt sich nicht mehr von älteren Versionen öffnen!
Quelle: 'Sicherheitsupdate: Thunderbird 78.4 gegen Abstürze und Schadcode gerüstet' auf Heise Online
Info: 'Thunderbird 78.4 Release Notes' auf Mozilla.org (Englisch)
Download: Thunderbird Version 78.4, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.4, Windows, 64Bit, Deutsch
Mozilla hat Firefox 82 veröffentlicht. Die neue Version behebt 7 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.4.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox 82 und ESR 78.4: Neue Browser-Versionen mit wichtigen Sicherheits-Fixes' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Offenbar hat sich Adobe diesen Monat generell nicht bemüht seine Sicherheitsupdates am "Tag der Updates" auszuliefern. Anders lässt es sich nicht erklären, dass Adobe für satte 10 Programme mit einer Woche Verspätung ausliefert. Während es für Privat-Anwender eher egal sein dürfte, wann die Sicherheitsupdates veröffentlicht werden, stellen Updates außer der Reihe für Administratoren durchaus ein Problem dar, weil man unterm Umständen PCs so mehrmals im Monat aktualisieren muss, statt alles in einem Durchgang erledigen zu können.
Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Quelle: 'Jetzt updaten: 10 Adobe-Produkte über teils kritische Schwachstellen angreifbar' auf Heise Online
Im Vektorgrafik Programm Illustrator hat Adobe sieben kritische Sicherheitslücken behoben. Wie bei Adobe leider üblich, gibt es nur Updates für die 2021er Programme, alle älteren Ausgaben bleiben unsicher. Die abgesicherte Ausgabe trägt die Versionsnummer 25.0.
Info: Adobe Security Bulletin APSB20-53 (Englisch)
Das ehemals Flash genannte Web-Animationsprogramm enthielt vier kritische Sicherheitslücken die zur Infektion des Computers genutzt werden konnten. Das Problem wurde in der 2021er Version (21.0) behoben. Wie schon bei Illustrator und anderen Programmen, verzichtet Adobe auch hier auf Updates für die 2020er Ausgabe, sodass ein Upgrade auf die 2021er Ausgabe unvermeidbar ist.
Info: Adobe Security Bulletin APSB20-61 (Englisch)
In Adobe After Effects wurden ebenfalls kritische Lücken behoben die zur Infektion des Computers mit Viren genutzt werden können. Alle Anwender von After Effects sollten auf Version 17.1.3 updaten und alle älteren Fassungen deinstallieren. Die Lücke soll in allen früheren Versionen existieren, also vermutlich auch in den alten Kaufversionen (CS6 und noch älter).
Quelle: Adobe Security Bulletin APSB20-62 (Englisch)
Photoshop ist die einzige Applikation wo der Hersteller für zwei Versionszweige Sicherheitsupdates liefert. Das heißt Grafiker können sowohl mit Photoshop 2020 weiterarbeiten, indem sie auf Version 21.2.3 aktualisieren, oder sich für die ganz neue 2021er Ausgabe (Version 22.0) entscheiden. Behoben wird auch hier eine kritische Sicherheitslücke. Sämtliche (!!) frühere Photoshop Versionen gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB20-63' auf Adobe.com (Englisch)
Im Video-Schnitt-Programm Premiere Pro hat Adobe eine kritische Sicherheitslücke behoben, die zur Infektion des Computers durch Viren führen könnte. Auch hier wird leider, wie bei Adobe aktuell üblich, nur die 2020er Version abgesichert, frühere Ausgaben bleiben unsicher und sollten nicht mehr verwendet werden. Die abgesicherte Ausgabe trägt die Version 14.5.
Quelle: Adobe Security Bulletin APSB20-64 (Englisch)
Im Adobe Media Encoder wurde eine Sicherheitslücke behoben die kritischer Natur ist. Auch hier verschweigt Adobe Details und auch hier sollten Anwender rasch auf Version 14.5 updaten. Alle älteren Versionen des Adobe Media Encoders sollten deinstalliert werden.
Quelle: Adobe Security Bulletin APSB20-65 (Englisch)
Das Layout-Programm InDesign erhält diesen Monat ein Sicherheitsupdate das ebenfalls eine kritische Sicherheitslücke schließt. Anwender von InDesign sollten sicherstellen, dass sie bereits auf Version 16.0 (InDesign 2021) aktualisiert haben oder dies rasch nachholen.
Info: Adobe Security Bulletin APSB20-66 (Englisch)
Last but not least steckte auch in den Installationsprogrammen (nicht im eigentlichen Programm) der Creative Cloud Desktop App eine kritische Schwachstelle. Falls noch jemand eine alte Setup-Datei der Creative Cloud rumliegen hat, sollte diese also gelöscht und bei Bedarf neu heruntergeladen werden. In der Regel braucht man diese Datei aber gar nicht mehr, sobald die Creative Cloud Desktop Anwendung mal installiert wurde.
Quelle: 'Adobe Security Bulletin APSB20-68' auf Adobe.com (Englisch)
Im HTML-Editor Dreamweaver wurde eine Lücke mit Einstufung "wichtig" behoben. Anwender von Dreamweaver sollten auf die 2021er Ausgabe (Version 21.0) updaten.
Quelle: Adobe Dreamweaver Security Bulletin APSB20-55 (Englisch)
Der vollständige Namen des uns bisher unbekannten Adobe Programms lautet 'Marketo Sales Insight Salesforce package'. Wer auch immer das installiert hat, sollte auf Version 1.4357 aktualisieren, um eine Cross-Site-Scripting-Sicherheitslücke zu eliminieren.
Quelle: Adobe Dreamweaver Security Bulletin APSB20-60 (Englisch)
Und wieder einmal "fehlt" da ein Security Bulletin, denn zwischen APSB20-66 und APSB20-68 würde man natürlich APSB20-67 erwarten. Es würde uns also nicht überraschen, wenn Adobe noch vor dem nächsten Tag der Updates wieder Sicherheitsupdates außer der Reihe veröffentlicht.
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 402 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Oracle hat Version 8.0 Update 271 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 8 Sicherheitslücken geschlossen. Alle Lücken lasen sich Remote ausnützen, viele davon ohne jegliche Benutzerinteraktion, was sie besonders kritisch macht. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13 und 14 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.9 oder 15.0.1 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline' [NICHT Windows Offline (64-Bit)!])
In dem PC-Emulator VirtualBox wurden 7 Sicherheitslücken geschlossen. Obwohl sich laut Security Matrix von Oracle keine der Lücken übers Internet ausnützen lässt, sind in paar der Lücken mit sehr hohen Gefahrenstufen versehen. Oracle nennt leider ausschließlich Version 6.1.16 als abgesichert. Zu den 5.2er und 6.0er Serien gibt es bzgl. eventueller Sicherheitsupdates keine Informationen, gleichzeitig sind diese beiden Serien aber (noch?) nicht als "Nicht mehr unterstützt" gekennzeichnet, wie die 5.1er Serie und älter. Ob die 5.2er und 6.0er Serie nun noch sicher sind oder nicht lässt sich daher momentan nicht sagen (die Downloadlinks haben wir sicherheitshalber mal entfernt). Dort wo es möglich ist und die 6.1er Serie auch funktioniert (was bei uns bisher nicht so richtig der Fall ist) sollte man natürlich spätestens jetzt die 6.1.16er Version nutzen.
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - July 2020' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - October 2020' auf Oracle.com (Englisch)
Quelle: 'Critical Patch Update: Oracle patcht 402 Schwachstellen in seinen Produkten' auf Heise Online
Auch Microsoft selbst muss eine Woche nach seinem "Tag der Updates" nocheinmal Sicherheitsupdates veröffentlichen. Zum einen steht wieder einmal ein Update der "HEVC-Videoerweiterungen des Geräteherstellers" auf dem Plan. Das Update sollte eigentlich relativ zuverlässig über den MS Store automatisch aktualisiert werden (sofern das Auto-Update nicht deaktiviert wurde), eine kurze suche nach Updates im Microsoft Store kann aber nicht schaden.
Das zweite Microsoft-Programm, das außer der Reihe abgesichert wurde ist "Visual Studio Code". Der kostenlose Quelltext-Editor sollte auf Version 1.50.1 aktualisiert werden. Das muss zumindest halb-manuell gemacht werden, über Windows Update wird das Programm NICHT aktualisiert! Im Programm selbst (im Hilfe Menü) gibt es aber eine Update-Funktion, die man anstubsen sollte.
Quelle: 'Remote Code Execution: Microsoft schließt zwei Schwachstellen außer der Reihe' auf Heise Online
Anfang des Monats hatten wir bereits über Sicherheitslücken in Nvidia Treiber berichtet, nun gibt es gleich 2 Updates in der Sache:
1.) Zuletzt konnten wir ja nicht sagen, ob die damals aktuelle Treiber-Version 456.55 nun abgesichert war oder nicht. Offenbar war sie das nicht, denn nach dem aktualisierten September-Bulletin zu urteilen, ist erst Version 456.71 der GeForce-Treiber abgesichert.
2.) Das mit der "abgesicherten" 456.71 Version ist ebenfalls schon wieder nicht mehr ganz zutreffend, denn diese Treiber-Version (und natürlich alle älteren) enthalten die Anwendung "Geforce Experience" die in Versionen vor 3.20.5.70 ebenfalls mehrere Sicherheitslücken enthielt.
Das heißt, Anwender einer GeForce Grafikkarte sollten zuerst den Treiber auf Version 456.71 aktualisieren. Dabei sollte man das Programm "Geforce Experience" am besten gar nicht erst installieren. Ist es installiert und will man es behalten, sollte es unbedingt auf Version 3.20.5.70 aktualisiert werden.
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - September 2020' auf nvidia.custhelp.com
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Quelle: 'Sicherheitsupdate: Nvidia Geforce Experience macht PCs vielfältig angreifbar' auf Heise Online
Der (für Privatpersonen) kostenlose und sehr beliebte Bildbetrachter IrfanView ist in Version 4.56 erschienen. Darin wurden unter anderem mindestens 2 Sicherheitslücken in der Pluginsammlung behoben. Wer also IrfanView plus Plugins installiert hat, sollte sowohl IrfanView selbst als auch unbedingt die Plugins auf Version 4.56 aktualisieren.
Abgesehen von den Sicherheitsupdates gibt es aber auch nette funktionale Neuerungen. So unterstützt die neue Plugin-Sammlung auch SVG. Sind die Plugins also installiert, kann IrfanView SVG-Dateien anzeigen. Das neue "Quant Smooth-Plugin" ermöglicht es JPEG-Bilder, die mit sehr geringer Qualität gespeichert wurden, deutlich verbessert anzuzeigen. Da dieses Verfahren viel Rechenleistung erfordert ist das Plugin aber standardmäßig ausgeschaltet. Hat man ein JPG-Bild mit sehr stark ausgeprägten Bildstörungen vor sich, lohnt es sich das Plugin vorübergehend unter EINSTELLUNGEN → JPG → "Verwende Quant Smooth …" zu aktivieren und nach der Restauration wieder zu deaktivieren (um die Performance zu verbessern).
Es sind noch weitere neue Formate dazugekommen die aber nicht alle (wie z.B. Das Plugin für Gimp-Dateien) standardmäßig aktiviert sind. Natürlich gibt es nicht nur bei den Plugins Neuerungen, auch bei IrfanView selbst. So wurden z.B. die Mal- als auch Wasserzeichen-Funktion verbessert. Eine vollständige Liste der Neuerungen gibt es auf der IrfanView Downloadseite.
Falls sie bereits die 64Bit Version von IrfanView verwenden, klicken sie auf der Downloadseite bitte auf "IrfanView-DE 64-bit Windows Installer". Falls sie nicht die 64Bit Version verwenden oder sich nicht sicher sind, klicken sie stattdessen die Datei "IrfanView-DE 32-bit Windows Installer" an. Falls sie auch die Plugins bereits installiert haben oder neu installieren wollen, laden sie sich bitte die Dateien "IrfanView-DE All Plugins - 32-bit Windows Installer" (für ein 32Bit IrfanView) oder "IrfanView-DE All Plugins - 64-bit Windows Installer" (für ein 64Bit IrfanView) herunter.
Download: 'IrfanView: Liste der Neuerungen und Downloads' auf Fosshub.com
Der NAS-Geräte-Hersteller Qnap hat wieder einmal Updates für seine NAS-Systeme zur Verfügung gestellt, die schwerwiegende Sicherheitslücken schließen. Diesmal muss nicht eine einzelne App, sondern das Betriebssystem selbst (QTS) aktualisiert werden. Zumindest dann, wenn das NAS als Windows-Domänen-Controller fungiert. Details im verlinkten Heise Online Artikel.
Quelle: 'QNAP: Sicherheitsupdates für QTS wehren "Zerologon"-Angriffe auf NAS ab' auf Heise Online
Im Discord Messenger wurden mehrere Schwachstellen behoben die in Summe als kritisch eingestuft werden müssen, da sie die Infektion von Computern aus der Ferne ermöglichten. Da weder Sicherheitsforscher noch Discord selbst Details zu dem Problem noch eine Versionsnummer verraten, ab der das Problem behoben ist, können wir allen Benutzern des Discord Messenger (egal ob auf Windows, MacOS oder Linux) nur raten, die Applikation unbedingt auf den neuesten Stand zu bringen.
Quelle: 'Sicherheitsforscher kombiniert drei Lücken in Discord-Messenger' auf Heise Online
Für das Contentmanagement-System 'WordPress' ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Plugin: Zwangsupdate für den "Loginizer" wegen gefährlicher Lücke' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Gefährliche Lücken in Cisco-Software für Netzwerkschutz und -Management' auf Heise Online
Letzte Woche Freitag hatten wir die neue Vivaldi-Version für Anfang dieser Woche vermutet und lagen damit dann doch ein paar Tage daneben. Am Donnerstag war es endlich soweit und Vivaldi 3.4 brachte nicht nur die neuesten Chromium-Sicherheitsupdates, sondern auch ein paar neue Funktionen und im Gegensatz zur 3.3er Version sind das diesmal durchaus ein paar spannende.
Die kleinste Neuerung ist dabei für uns die beste. Ein unspektakulärer neuer Menüpunkt namens "periodisch aktualisieren" macht aus unserer Sicht Vivaldi nochmal ein ganzes Stück besser. Es ermöglicht einen Tab in gewissen Intervallen automatisch neu zu laden. Bisher mussten wir dafür immer eine Erweiterung nutzen, nun geht das ganze aus dem Stand heraus.
Eine weitere Neuerung ist, dass man nun sämtliche Menüs anpassen kann. Mann kann Menüeinträge verschieben, umbenennen, löschen mit Emojis versehen oder – und das macht es besonders spannend – eigene Menüs hinzufügen. Letzteres ist bisher auf das Aufrufen von Websites limitiert, mal sehen was die Zukunft da noch bringen wird. Ob diese Neuerung jedoch tatsächlich die Produktivität steigern kann, sei mal dahingestellt. Aber möglicherweise könnte so der "Familienadministrator" der Oma auch einen modernen Browser hinstellen und die Benutzeroberfläche auf das allernötigste abspecken.
Ganz sicher eine "Spielerei" ist die dritte Neuerung. Da muss man nicht philosophieren, denn es ist ein Spiel. Unserer Meinung nach ist ein fest einprogrammiertes Browserspiel ebenso unnötig wie die Alarm-Funktion. Über das Spiel selbst haben wir nichts zu schreiben, wir haben es schlicht nicht ausprobiert. Wir finden es nur generell nicht gut, wenn Dinge mit einem Programm gebündelt werden, die eigentlich nichts miteinander zu tun haben.
Unnötige Spiele hin oder her, wer Vivaldi verwendet sollte natürlich aufgrund der Sicherheitsupdates zügig aktualisieren.
Download: Aktuelle Vivaldi Version
Quelle: 'Dreifach Hoch auf Vivaldi 3.4: Jetzt noch leistungsfähiger und unterhaltsamer' auf Vivaldi.net
Quelle: 'Browser Vivaldi kommt mit automatischem Reload und 80er-Arcade-Game' auf Heise Online
Ende des Jahres geht der Flash-Player ja endlich in Rente (der Support läuft aus) aber diese Woche hat Adobe nochmal eine kritische Sicherheitslücke im einst dominanten Browser-Plugin behoben. Wer also das Flash-Plugin immer noch installiert hat, sollte es nun bald mal deinstallieren oder auf die neueste Version aktualisieren. Die abgesicherte Ausgabe trägt die Versionsnummer 32.0.0.445.
Quelle: Adobe Security Bulletin APSB20-58 (Englisch)
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Auch das Webshop-System "Magento" erhält ein Sicherheitsupdate. Wer einen Magento-basierten Webshop betreibt, sollte daher dringend die neuen Updates installieren. Details zu den betroffenen Versionen und den zugehörigen Updates finden sie im Securitybulletin.
Quelle: Adobe Security Bulletin APSB20-59 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Aktuelle Updates von Microsoft beugen Angriffen aus der Ferne vor' auf Heise Online
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 18.03 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Erst letzte Woche haben wir uns gefragt, wann denn wieder einmal eine neue Gimp-Version kommt und als könnten die Entwickler Gedanken lesen, ist diese Woche tatsächlich Gimp 2.10.22 erschienen. Allzu große Erwartungen müssen wir aber leider gleich im Keim ersticken – zwar gibt es durchaus ein paar funktionale Neuerungen – so massiv wie in den letzten Updates fallen diese aber nicht aus. Da wurden Gimp-Anwender von den letzten Versionen etwas verwöhnt.
Die neue Gimp Version hat vor allem Verbesserungen beim Umgang mit dem JPEG-Orientation-Tag erhalten, viele verbesserte Import- und Export-Plugins und viele Verbesserungen unter der Haube, dennoch wird nun klar ersichtlich, dass der Fokus der Entwickler schon lange auf Gimp 3 liegt. Diese Version bringt wieder erhebliche Neuerungen mit sich, wird aber wohl noch etwas auf sich warten lassen. Die Updates in der 2.10 Serie sind eher ein Nebenprodukt der Entwicklung an Gimp 3. Alle Neuerungen in Version 3, die sich ohne größeren Aufwand in Version 2.10 einbauen lassen werden übernommen. Vieles kann aber nicht übernommen werden, da Version 3.0 einfach viele neue "Basis-Technologien" bringt.
Es bleibt also spannend zu sehen wie die Gimp Entwicklung weitergeht, wieviele 2.10er Ausgaben wir noch sehen werden, welche Neuerungen diese bringen und wann endlich Version 3.0 erscheinen wird.
Download: Gimp 2.10.22, Windows, mehsprachig
Quelle: 'GIMP 2.10.22 Released' auf Gimp.org
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'CMS Drupal: OAuth Server-Modul anfällig für SQL-Injection-Angriffe' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Juniper Networks veröffentlicht Advisories und Updates für Junos OS und Co.' auf Heise Online
Quelle: 'Kritische Lücke in SonicWall Firewall für Denial-of-Service-Angriffe ausnutzbar' auf Heise Online
Quelle: 'SAP-Patchday: Lücke mit Höchstwertung in CA Introscope Enterprise Manager gefixt' auf Heise Online
Google hat schon wieder eine Sicherheitslücke in Google Chrome und Chromium behoben. Die Version 86.0.4240.75 behebt 35 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "kritisch" ein. Anwender, die Google Chrome installiert, haben sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: '35 Sicherheitslücken in Chrome geschlossen' auf Heise Online
Bei Vivaldi befindet sich das Update auf den Chromium 86 Unterbau, der mit Vivaldi Version 3.4 ausgeliefert werden wird, noch in der Testphase. Wir vermuten, dass die finale Fassung Anfang kommender Woche verfügbar sein wird.
Genau wie das Vivaldi Team ist auch Microsoft diese Woche nicht mit dem Chromium 86 basierenden Browser fertig geworden. Auch hier erwarten wir aber, dass schon bald eine neue Fassung vorliegen wird.
Nachtrag: Mittlerweile gibt es eine 86er Version von Edge zum Download bzw. per Update-Funktion, die Info-Seite wurde aber bisher noch nicht aktualisiert.
Opera hängt den anderen Browser-Herstellern wieder einmal gute 2 Wochen hinterher was Sicherheitsupdates angeht. Einmal mehr wird deutlich, warum unsere Empfehlung schon seit längerem lautet, von Opera auf Vivaldi zu wechseln.
Die Entwickler des TrueCrypt Nachfolgers VeraCrypt haben bereits im August eine neue Version des Verschlüsselungsprogramms veröffentlicht, die gerade auf Windows Systemen etliche Verbesserungen und Fehlerkorrekturen bringt. Mangels eingebauter Update-Funktion haben wir leider erst jetzt davon erfahren. Im Gegensatz zu dem Update im März wurde diesmal keine Sicherheitslücke behoben, ein Update empfiehlt sich nichtsdestotrotz.
Anwender von TrueCrypt sollten auf VeraCrypt umsteigen. VeraCrypt Anwender sollten auf Version 1.24 Update 7 updaten.
Download: VeraCrypt v1.24 Update 7, Windows, Mehrsprachig, 35 MB
Info: VeraCrypt Release Notes (Englisch)
Vier Monate nach Version 1.0 des freien Vektorgrafikprogramms Inkscape wurde Version 1.0.1 veröffentlicht. Die neue Version läuft stabiler als Version 1.0 und es wurden auch ein paar neue Funktionen aktiviert, die bis zur Version 1.0 nicht fertig wurden.
Alle die Inkscape schon länger nutzen werden sich über die neue Version freuen. Und wer bisher noch nie etwas mit Vektorgrafik zu tun hatte aber an dem Thema interessiert ist, sollte sich das Programm unbedingt ansehen.
Download: Inkscape 64 Bit v1.0.1, Windows, Mehrsprachig, 89 MB
Download: Inkscape 32 Bit v1.0.1, Windows, Mehrsprachig, 89 MB
Quelle: 'Inkscape 1.0.1 behebt Abstürze und Programmfehler' auf Inkscape.org
Der NAS-Geräte-Hersteller Qnap hat wieder einmal Updates für seine NAS-Systeme zur Verfügung gestellt, die schwerwiegende Sicherheitslücken schließen. Diesmal muss die App 'Helpdesk' auf mindestens Version 3.0.3 upgedated werden um vor Angriffen geschützt zu sein.
Der Artikel über Angriffe auf Qnap-NAS-Systeme von letzter Woche hat nach wie vor Gültigkeit, die Lücken im Helpdesk haben nichts mit den Problemen letzter Woche zu tun.
Quelle: 'QNAP NAS: Neue Version der Helpdesk-App beseitigt zwei kritische Lücken' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Exchange-Lücke: Fast 40.000 deutsche Unternehmen spielen Russisch Roulette' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Videoüberwachung von Cisco deaktivieren' auf Heise Online
Quelle: 'Fehler in IBM Informix als Sprungbrett für Angreifer' auf Heise Online
Nvidia schließt wieder einmal Sicherheitslücken in seinen Grafiktreibern. Diesmal sind jedoch nicht nur reale Grafikkarten betroffen, sondern auch virtuelle, von Nvidia vGPU genannt. Letzteres dürfte überwiegend Server-Admins betreffen, daher gehen wir hier nur auf das Problem mit den Treibern für die realen Grafikkarten ein. Details zu den vGPU Lücken finden sie im Heise Online Artikel.
In den Treibern für GeForce, Quadro, NVS und Tesla Karten wurden elf Sicherheitslücken behoben, wovon die gefährlicheren die Risiko-Einstufung 'Hoch' bekommen haben. Anwender (vor allem aber Administratoren von FirmenPCs) mit Nvidia-Grafikkarten, sollten die Updates installieren.
Gerade bei den "normalen" GeForce Grafikkarten ist aber gar nicht so eindeutig klar, welche Version wirklich abgesichert ist. Aktuell wird Version 456.55 angeboten, diese wird aber im Security Bulletin nicht erwähnt, wir können nur vermuten das diese Version wohl abgesichert ist. Bei den Profi-Karten ist Nvidia genauer und gibt bis auf eine (Treiber)Serie genau an, welche Versionen abgesichert sind.
Bietet die Nvidia Website nach Eingabe der Daten der jeweiligen Grafikkarte nur Treiber an, die älter als Version 456.55 sind (gilt nur für GeForce-Karten, die Versionsnummern für anderen Grafikkarten finden sein im Nvidia Security Bulletin), wird ihre Grafikkarte nicht mehr unterstützt. Bei Desktops müsste dann eine neue Grafikkarte angeschafft werden, wenn man die Sicherheitslücken schießen möchte. Bei Notebooks erhält man eventuell vom Hersteller noch ein Update auf Version 456.41, 452.11, oder 446.29 (nur EXAKT diese Versionen sind abgeschert, höhere Nummern müssen nicht automatisch auch sicher sein, außer es ist eine höhere Nummer als 456.55), in denen die Lücken ebenfalls behoben wurden. All zu viel Hoffnung sollte man sich da aber nicht machen. Gibt es kein Update, müsste das Notebook durch ein entsprechend neueres Modell ersetzt werden, um sicher zu bleiben.
Quelle: 'Nvidia: Updates für GPU-Treiber schließen zahlreiche Sicherheitslücken' auf Heise Online
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - September 2020' auf nvidia.custhelp.com
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Wer anstelle der Adobe Software (Reader/Acrobat) auf Programme aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Denn der Hersteller hat zahlreiche Sicherheitslücken in seiner PDF-Software behoben.
Abgesichert sind die Versionen 10.1 von Foxit Reader bzw. PhantomPDF.
Quelle: 'Security-Updates für Windows-Versionen von Foxit Reader und PhantomPDF verfügbar' auf Heise Online
Es ist noch kein Monat her, dass wir von Sicherheitslücken in den TrendMicro Sicherheitslösungen berichtet hatten, jetzt müssen Anwender der Software schon wieder updaten.
In den Produkten des Herstellers fanden sich bisher mehrere Sicherheitslücken die teils kritischer Natur waren. Anwender des Programms 'Apex One' sollten dringend auf aktuelle Versionen updaten. Details dazu finden sie im Heise Online Artikel.
Anwender, deren Lizenz für diese TrendMicro Software ohnehin am Ablaufen ist, empfehlen wir diese nicht zu verlängern, sondern auf alternative Produkte wie z.B. Kaspersky umzusteigen. TrendMicro hat einfach zu häufig Sicherheitslücken in seinen Produkten, die den Benutzer eigentlich beschützen sollten.
Quelle: 'Sicherheitsupdates: Trend Micros Apex One ist löchrig' auf Heise Online
Der NAS-Geräte-Hersteller Qnap warnt wieder einmal vor Angriffen auf seine Produkte. Diesmal soll wohl der "Photo Station" Dienst als Einfallstor für einen Verschlüsselungstrojaner dienen. Allzu viele Details hat Qnap bisher nicht veröffentlicht, der Hersteller rät nur generell dazu die Firmware und sämtliche "Apps" auf den neuesten Stand zu bringen.
Wir möchten diese Empfehlung noch um den Hinweis ergänzen, dass NAS möglichst generell nicht aus dem Internet erreichbar sein sollten. Gibt es entsprechende Freigaben bzw. Portweiterleitungen im Router sollte man überdenken, ob die unbedingt nötig sind und sie gegebenenfalls deaktivieren.
Quelle: 'Jetzt patchen! AgeLocker Ransomware hat es auf Qnap NAS abgesehen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die beiden Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Cisco liefert Sicherheitsupdates für Router nach' auf Heise Online
Quelle: 'Sicherheitsupdates: HP Device Manager anfällig für Wörterbuch-Attacken' auf Heise Online
Wir empfehlen:
Diese Website ist kompatibel zu:
