Wer einen Router von Asus besitzt oder administriert sollte unbedingt nachsehen, ob das Modell in der aktuellen Sicherheitsmeldung des Herstellers vorkommt. Wer eine deutsche Liste und Anleitung bevorzugt findet die nötigen Infos im verlinkten Heise Online Artikel.
Wichtig ist jedenfalls zu beachten, dass laut Anleitung das bloße Aktualisieren der Firmware nicht ausreicht, um sich zu schützen. Das Gerät muss zusätzich zurückgesetzt und im Anschluss die Fernwartung deaktiviert werden.
Quelle: 'Botnet: Firmware-Updates von Asus gegen Cyclops-Blink-Attacken' auf Heise Online
Quelle: 'ASUS Product Security Advisory' auf Asus.com
Erst im vergangenen Dezember und davor im Juli musste HP für etliche Drucker Sicherheitsupdates veröffentlichen, nun wurden schon wieder schwere Sicherheitslücken in den HP Druckertreibern entdeckt. Über 200 Drucker sind diesmal betroffen und HP stuft die Lücken in Summe als kritisch ein.
Wer einen Drucker von HP installiert hat, sollte unbedingt rasch prüfen, ob es dafür neue Treiber bzw. Firmware gibt und diese zügig installieren.
Quelle: 'Kritische Sicherheitslücken in mehr als 200 HP-Drucker-Modellen' auf Heise Online
Der (für Privatpersonen) kostenlose und sehr beliebte Bildbetrachter IrfanView ist in Version 4.60 erschienen. Darin wurde unter anderem mindestens eine Sicherheitslücke behoben. Wer also IrfanView installiert hat, sollte das Programm auf Version 4.60 updaten. Wer auch die Pugins für IrfanView installiert hat, sollte unbedingt auch diese aktualisieren.
Abgesehen von dem Sicherheitsupdate gibt es diesmal nur wenige funktionale Neuerungen. So kann man z.B. in der noch relativ neuen Funktion der Vorschau beim Speichern als JPG nun zoomen und scrollen. Alle weiteren Neuerungen sind auf der IrfanView Website aufgelistet.
Falls sie bereits die 64Bit Version von IrfanView verwenden, klicken sie auf der Downloadseite bitte auf "IrfanView-DE 64-bit Windows Installer". Falls sie nicht die 64Bit Version verwenden oder sich nicht sicher sind, klicken sie stattdessen die Datei "IrfanView-DE 32-bit Windows Installer" an. Falls sie auch die Plugins bereits installiert haben oder neu installieren wollen, laden sie sich bitte die Dateien "IrfanView-DE All Plugins - 32-bit Windows Installer" (für ein 32Bit IrfanView) oder "IrfanView-DE All Plugins - 64-bit Windows Installer" (für ein 64Bit IrfanView) herunter.
Download: 'IrfanView Downloads' auf Fosshub.com
Quelle: 'History of changes' auf IrfanView.com (Englisch)
Quelle: Security Bulletin zu zwei der geschlossenen Sicherheitslücken (Englisch)
Western Digital stellt die neue Version 5.21.104 seines NAS-Betriebssystems "My Cloud OS 5" als Sicherheitsupdate bereit. Besitzer eines WD-NAS sollten zügig auf die neue Version updaten.
Wird das Update für das eigene Gerät nicht angeboten ist der Support dafür vermutlich ausgelaufen, wie wir in den letzten Monaten mehrfach angekündigt haben. Dann sollte man das Gerät aus dem verkehr ziehen oder zumindest dafür sorgen, dass es nicht aus dem Internet erreichbar ist.
Quelle: 'Western Digital schließt Root-Schadcode-Lücke in My-Cloud-Netzwerkspeichern' auf Heise Online
Und gleich noch einmal Sicherheitsupdates von Western Digital. Diesmal geht es um das Programm EdgeRover, dass für Windows und macOS verfügbar ist. WD stuft den in der neuen Version 1.5.1-594 behobenen Fehler als kritisch ein. Anwender der Software sollten also zügig aktualisieren.
Quelle: 'Kritische Sicherheitslücke in Western Digital EdgeRover geschlossen' auf Heise Online
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Angreifer könnten im Drupal-CMS Kontrolle übernehmen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Paketmanager npm: Angriff durch Paketabhängigkeiten' auf Heise Online
Quelle: 'Adminrechte durch Sicherheitslücke in Backup-Software IBM Spectrum Protect' auf Heise Online
Quelle: 'Sophos schließt Sicherheitslücken in Unified Threat Management-Firmware' auf Heise Online
Quelle: 'VMware Carbon App Control: Angreifer könnten Schadcode auf Server schieben' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 99.0.4844.74 behebt 11 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.
Zusätzlich hat Google Version 98.0.4758.132 von Chromium veröffentlicht, das ist die Ausgabe aus dem zweimonatigen Release-Zyklus. Wie üblich verrät Google nicht wieviele Lücken hier behoben wurden, es ist aber davon auszugehen, das diese Ausgabe ebenso abgesichert ist wie die 99er.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Kritische Schwachstelle bedroht Google Chrome' auf Heise Online
Vivaldi:Die Vivaldi Entwickler haben das Chromium-Sicherheitsupdate mal wieder schnell übernommen und haben am Mittwoch Vivaldi 5.1 Update 4 veröffentlicht. Benutzer von Vivaldi sollten zügig auf diese Version updaten, falls nicht bereits geschehen.
Quelle: 'Minor update (4) for Vivaldi Desktop Browser 5.1' auf Vivaldi.com (Englisch)
Microsoft Edge:Das Microsoft-Edge-Team hat die neue Chromium-Version bereits übernommen. Anwender die Edge verwenden sollten also zügig auf Version 99.0.1150.46 updaten, um sicher zu sein.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Die Anti-Viren-Lösung "Total Protection" von McAfee enthielt mehrere schwere Sicherheitslücken, über die Angreifer den PC mit Viren infizieren konnten. Wir raten allen Anwendern, die diese Software installiert haben, diese auf Version 16.0.43 zu aktualisieren.
Außerdem sollte man nach Auslaufen der Lizenz überlegen zu einem anderen Anti-Viren-Anbieter zu wechseln, denn McAffee wird in unseren Newslettern ein wenig zu häufig negativ erwähnt.
Quelle: 'McAfee Total Protection: Angreifer könnten Daten löschen' auf Heise Online
Der Computerhersteller Dell warnt vor Sicherheitslücken in BIOS-Versionen etlicher Geräte von Dell und Alienware. Updates stehen laut Heise Online bereits seit Februar zum Download bereit, jedoch gab der Hersteller erst jetzt eine Warnung diesbezüglich heraus. Wer ein betroffenes Gerät besitzt, sollte das aktualisierte BIOS herunterladen und einspielen.
Quelle: 'Sicherheitsupdates: Schadcode-Schlupflöcher in Dell-BIOS' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Update: Angreifer könnten Admins Schadcode unterschieben' auf Heise Online
Wie nicht anders zu erwarten, hat das BSI in Deutschland nun eine offizielle Warnung vor Kaspersky Software ausgesprochen. Wie gesagt, die Reaktion war nicht anders zu erwarten, denn würde das BSI keine Warnung aussprechen würden sie dumm dastehen, sollte tatsächlich mal was in dem Zusammenhang passieren.
Kaspersky hat natürlich als Reaktion darauf bekannt gegeben, dass die Aussage des BSI rein politisch motiviert ist und nicht auf technischen Grundlagen basiert. Allerdings hat das BSI das auch niemals behauptet. Es geht vielmehr darum, dass Kaspersky immer noch Büros in Russland betreibt (auch wenn vieles schon in die Schweiz ausgelagert wurde) und damit natürlich letztendlich im Einflussbereich des Kremels steht, wie jede Firma die Büros auf russischem Boden betreibt.
Wir bleiben jedoch weiterhin bei unserer Sichtweise von letzter Woche, wonach eine tatsächliche Verwicklung von Kaspersky in den Krieg aktuell eher unwahrscheinlich ist. Aber unwahrscheinlich bedeutet natürlich nicht unmöglich. Es ist aber auch genauso wenig unmöglich, dass Mitarbeiter bei anderen Firmen auf der Welt dem Putin-Regime treu ergeben sind und dort Sabotage-Aktionen durchführen. Von dem her ist also kein Software- oder Hardware-Anbieter weltweit vollkommen vertrauenswürdig.
Von unserer Seit aus gibt es daher aktuell weder eine Warnung noch eine uneingeschränkte Empfehlung (wie wir sie vor dem Krieg jederzeit ausgesprochen hätten) für Kaspersky Software. Jeder Nutzer von Kaspersky muss selbst entscheiden, ob er aktuell weiterhin auf Kaspersky setzt oder nicht.
Quelle: 'Kaspersky zur Warnung des BSI: "Beruht nicht auf technischer Bewertung"' auf Heise Online
Quelle: 'Ukraine-Krieg: BSI warnt vor Kasperskys Sicherheits- und Antiviren-Software' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Microsoft veröffentlicht Trickbot-Scanner für MikroTik-Geräte' auf Heise Online
Quelle: 'Online-Analysetool ClickHouse DBMS: Komprimierte Dateien als Schadcode-Schleuder' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Schadcode durch pfSense-Firewall schieben' auf Heise Online
Quelle: 'Sicherheitslücke: Präparierte TLS-Zertifikate können OpenSSL-Systeme gefährden' auf Heise Online
Quelle: 'Sicherheitsupdate für IBM Spectrum Protect: Fremdzugriff auf Datenbanken möglich' auf Heise Online
Quelle: 'Lücken in Veeam Backup & Replication könnten zur Systemübernahme führen' auf Heise Online
Die Entwickler von Thunderbird haben die Version 91.7 des beliebten E-Mail-Programms veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe 5 Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 91.7.0, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.7.0, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.7.0 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Thunderbird und Tor-Browser dichten Sicherheitslecks ab' auf Heise Online
Mozilla hat Firefox 98 veröffentlicht. Die neue Version behebt 7 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 91.7. Anwender die immer noch eine 78er ESR-Version verwenden, müssen nun unbedingt auf die 91.7 upgraden.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Patchday: Weitere Sicherheitsupdates für Firefox' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
In Photoshop 2021 und 2022 wurde eine als "wichtig" eingestufte Schwachstelle behoben. Die 2021er Jahresausgabe (Version 22.x) sollte auf Version 22.5.6 aktualisiert werden, die 2022er Jahresausgabe (Version 23.x) auf Version 23.2. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB22-14' auf Adobe.com (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe eine kritische Sicherheitslücke behoben. Um wieder sicher zu sein, müssen Anwender auf Version 26.1.0 (2022) updaten.
Info: Adobe Security Bulletin APSB22-15 (Englisch)
In Adobe After Effects wurden vier kritische Sicherheitslücken behoben. Alle Anwender von After Effects sollten zügig auf Version 18.4.5 (2021) oder 22.2.1 (2022) updaten und alle älteren Fassungen deinstallieren.
Quelle: Adobe Security Bulletin APSB22-17 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Angreifer könnten Windows via RDP attackieren' auf Heise Online
Nicht alle Sicherheits-Updates kommen über Windows Update!Diesen Monat ist es nicht damit getan Windows Update aktiviert zu haben. Zwar werden viele der Sicherheitslücken auch in diesem Monat per Windows Update behoben, es gibt aber auch ein paar Fälle wo man Updates über andere Kanäle beziehen muss:
In der Skype-Browser-Erweiterung für Chrome wurden ebenfalls Sicherheitslücken behoben. Wer in seinem Browser eine Skype-Erweiterung installiert hat, sollte diese unbedingt updaten, falls es sich noch nicht um Version 10.2.0.9951 oder neuer handelt.
Auch ein paar Apps aus dem Windows-Store erhalten diesmal Sicherheitsupdates. "HEVC Videoerweiterungen", "VP9 Videoerweiterungen" und "Paint 3D". Um alle diese Apps zu aktualisieren, öffnet man den Windows Store, geht auf "Updates" oder "Bibliothek" (je nach Windows-Version) und klickt dann auf "Updates abrufen".
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20.04 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'CPU-Sicherheitslücke: Spectre V2 ist auch bei Intel und ARM zurück' auf Heise Online
Quelle: 'CPU-Sicherheitslücke Spectre V2: Neuer Dreh betrifft AMDs Ryzen und Epyc' auf Heise Online
Quelle: 'Linux: Dirty Pipe beschert Root-Rechte' auf Heise Online
Quelle: 'Fernverwaltung mit Sicherheitslücke gefährdet medizinische Geräte' auf Heise Online
Quelle: 'Jetzt patchen! Kritische Sicherheitslecks in APC Smart-UPS' auf Heise Online
Quelle: 'Patchday: SAP behebt 16 Schwachstellen' auf Heise Online
Quelle: 'Alte Lücke in Pulse Connect Secure-VPN wird angegriffen' auf Heise Online
Quelle: 'Siemens Ruggedcom: Angreifer könnten sich in KRITIS einklinken' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 99.0.4844.51 behebt 28 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Zusätzlich hat Google Version 98.0.4758.119 von Chromium veröffentlicht, das ist die Ausgabe aus dem zweimonatigen Release-Zyklus. Wie üblich verrät Google nicht wieviele Lücken hier behoben wurden, es ist aber davon auszugehen, das diese Ausgabe ebenso abgesichert ist wie die 99er.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser Chrome 99 dichtet diverse Schwachstellen ab' auf Heise Online
Vivaldi:Die Vivaldi Entwickler haben das Chromium-Sicherheitsupdate mal wieder schnell übernommen und haben am Mittwoch Vivaldi 5.1 Update 3 veröffentlicht. Benutzer von Vivaldi sollten zügig auf diese Version updaten, falls nicht bereits geschehen.
Quelle: 'Minor update (3) for Vivaldi Desktop Browser 5.1' auf Vivaldi.com (Englisch)
Microsoft Edge:Das Microsoft-Edge-Team hat die neue Chromium-Version bereits übernommen. Anwender die Edge verwenden sollten also zügig auf Version 99.0.1150.30 updaten, um sicher zu sein.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Sicherheitsforscher haben speziell seit Jänner dieses Jahres einen stark steigende Anzahl von Viren festgestellt, die über Microsoft Teams verbreitet werden. Den Forschern nach vertrauen viele Anwender Dateien die per Teams zugesendet werden eher, als dies z.B. bei E-Mail der Fall ist. Es gibt jedoch keinen Grund einer Datei die per Teams übertragen wird mehr zu vertrauen, als einer die per E-Mail ankommt. Im Gegenteil, E-Mails werden gerade in Firmen oft mehrfach geprüft, bevor sie an den Mitarbeiter zugestellt werden. Für Teams, als noch sehr jungem Kommunikationsmittel, fehlen solche Prüfungen zumeist. Kein Wunder also, dass Angreifer nun vermehrt auf Teams setzen, wenn dort die Chance besser stehen, das ein Virus auch tatsächlich gestartet wird.
Wer Microsoft Teams verwendet, sollte dort also mindestens genauso skeptisch bei zugesendeten Dateien sein, wie es bei E-Mail der Fall sein sollte, besser noch skeptischer.
Quelle: 'Phishing und Malware: Microsoft Teams rückt in den Fokus von Angreifern' auf Heise Online
Mozilla hat in seiner VPN Software eine Lücke geschlossen die als "hohes" Risiko gekennzeichnet wurde. Anwender von Mozilla VPN sollten daher rasch auf Version 2.71 updaten.
Quelle: 'Mozillas VPN-Client könnte Schadcode nachladen' auf Heise Online
Anfang der Woche wurde bekannt, das Hacker bei Nvidia eingedrungen sind und dort eine große Menge an Daten gestohlen haben. Neben Details über aktuelle und zukünftige Grafikkarten gelangten so unter anderem zwei Zertifikate zur Software-Signierung in die Hände der Hacker.
Bereits wenige Tage später tauchten bereits erste Software-Pakete auf, die sich die gestohlenen Zertifikate zunutze machen, um diverse Windows-Schutzfunktionen zu umgehen.
Die Tragweite diese Entdeckung einzugrenzen und eine Empfehlung für den Umgang damit abzugeben fällt schwer, nachdem es bisher noch keine Stellungnahme dazu von Microsoft oder einer Organisation wie dem deutschen BSI dazu gibt. Nvidias Stellungnahme bietet aktuell nur den Hinweis auf gestohlene Passwörter (von Mitarbeitern), aber nichts in Bezug auf die gestohlenen Zertifikate.
Grundsätzlich wäre Software, die die gestohlenen Zertifikate nutzt, von Virenscannern sehr einfach zu identifizieren, da die "Fingerabdrücke" der gestohlenen Zertifikate bekannt ist. Allerdings gibt es natürlich immer noch Nvidia-Treiber im Einsatz, die diese Zertifikate natürlich zu Recht nutzt. Würde ein Virenscanner hier blind löschen, könnte das zahlreiche Systeme mit Nvidia-Grafik ins Verderben schicken.
Vorerst können wir daher nur den Rat geben, dass wenn Software auftaucht, die mit einem Nvidia Zertifikat signiert ist, äußerst vorsichtig zu sein. Speziell wenn es Software ist, die nicht von einem Nvidia-Server heruntergeladen wurde. Ob Nvidia selbst aktuell noch Treiber mit den gestohlenen Zertifikaten zum Download anbietet, ist zurzeit leider ebenso wenig bekannt. Wir hoffen, dass es hier noch eine konkretere Stellungnahme von Nvidia und Microsoft geben wird.
Quelle: 'Nvidias geleakte Code-Signing-Zertifikate missbraucht' auf Heise Online
Im Zuge des Krieges Russlands gegen die Ukraine haben deutsche Politiker auch das Thema Kaspersky Software wieder auf die Agenda gebracht. Zwar gibt es aktuell keinerlei Informationen darüber, dass der Einsatz von Kaspersky Software für europäische Bürger ein Sicherheitsrisiko darstellt, aber auch wenn Kaspersky viele Standorte rund um die Welt hat, ist der Hauptsitz immer noch in Moskau. Dass der Kreml theoretisch Druck auf Kaspersky ausüben könnte, ist also nicht von der Hand zu weisen.
Gleichzeitig muss man aber auch darauf hinweisen, dass Kaspersky anderen Staaten und Organisationen rund um die Welt schon seit Jahren ermöglicht, den Quellcode der Virenscanner wie auch der Updates genau unter die Lupe zu nehmen. Wäre dabei jemals bösartiger Code gefunden worden, wäre es bekannt worden.
Gleichwohl muss auch klar sein, dass wenn Kaspersky während dieses Krieges jemals eine unterstützende Rolle für Russland spielen sollte, der Hersteller auf alle Zeit das Vertrauen verliert, dass er sich über nun gut 25 Jahre erarbeitet hat. Eugene Kaspersky, Gründer der Firma, würde das also kaum freiwillig machen. Und der Kreml selbst würde es sich wohl zweimal überlegen, ob man eine Firma, die gutes Geld ins Land spült, einfach so ruiniert.
Rein aus Security-Sicht würden wir die Lage für Kaspersky Kunden daher aktuell nicht als problematisch betrachten. Aus finanzieller Sicht wird sich ohnehin noch zeigen müssen, wie die ganzen Sanktionen gegen Russland sich auf den Verkauf von Kaspersky Software in der EU auswirken werden. "Hamsterkäufe" von Kaspersky Lizenzen machen jedenfalls keinen Sinn.
Quelle: 'Kaspersky & Co.: Politiker fordern Neubewertung russischer Sicherheitssoftware' auf Heise Online
Forschungsergebnisse der Firma "Palo Alto" malen einmal mehr ein düsteres Bild von der EDV-Sicherheit in Krankenhäusern. So fehlten z.B. auf 75% der getesteten Infusionspumpen wichtige Sicherheitsupdates, was Patentienten direkt in potentielle Gefahr bringt, da Hacker die Pumpen stören und damit die Leben der Patienten gefährden könnten.
Ob sich diese Zahlen 1:1 auf Krankenhäuser in Österreich übertragen lassen können ist unklar, da in dem Report von Palo Alto keine Hinweise auf die jeweiligen Länder zu finden sind. Es würde uns aber überraschen, wenn sich Europa hier deutlich von anderen Kontinenten abheben würde. Machen kann mal als Patient natürlich nichts. Wie die Antwort des Arztes auf die Frage, ob die Infusionspumpe denn das letzte Sicherheitsupdate bekommen hat, aussehen würde, können wir nur raten.
Quelle: 'Medizinische Infusionspumpen: Gefährdung durch alte Sicherheitslücken' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cloud-Schutzlösung von Okta könnte Schadcode auf Server lassen' auf Heise Online
Quelle: 'IBM warnt vor zahlreichen Sicherheitslücken' auf Heise Online
Quelle: 'Sicherheitsupdates von Fortinet: Angreifer könnten Admin-Zugänge erraten' auf Heise Online
Quelle: 'Firewall-Distribution pfSense: Neue Versionen mit Sicherheitsupdates' auf Heise Online
Quelle: 'Programmiersprache: Sicherheitslücke ermöglicht Codeschmuggel in PHP' auf Heise Online
Quelle: 'Sicherheitslücken in IP-Kommunkationsbibliothek PJSIP könnten WhatsApp gefährden' auf Heise Online
Quelle: 'Sicherheitsupdate: Admin-Lücke gefährdet Packet-Sniffer VoIPmonitor' auf Heise Online
Quelle: 'Schneider Electric: Fest codierte Anmeldedaten gefährden Industriesteuersysteme' auf Heise Online
Quelle: 'Kritische Root-Lücken gefährden Ciscos Fernzugriff-Software Expressway Series' auf Heise Online
Für Betreiber von Websites sind diese Woche zwei wichtige Sicherheitsupdates erschienen. Details zu den Problemen bzw. Updates gibt es wie gewohnt bei Heise Online.
Quelle: 'WordPress-Plug-in: UpdraftPlus könnte Website-Backups leaken' auf Heise Online
Quelle: 'Rechnerverwaltung: Webmin-Nutzer könnten Schadcode einschleusen' auf Heise Online
Für Besitzer bzw. Administratoren von NAS Systemen der Hersteller Synology und Asustor gibt es wichtige Sicherheitsupdates die schnellstmöglich installiert werden sollten. Details zu den Problemen bzw. Updates gibt es wie gewohnt bei Heise Online.
Quelle: 'Ransomware Deadbolt befällt Asustor-NAS' auf Heise Online
Quelle: 'NAS: Sicherheitslücke in Synology DSM erlaubt Ausführen beliebiger Befehle' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco schließt Root-Lücke in Netzwerk-OS, gibt wichtige Hinweise für Firewalls' auf Heise Online
Quelle: 'Russische Cybergang: Cyclops-Blink-Botnet befällt WatchGuard-Firewalls' auf Heise Online
Quelle: 'Übernahme möglich: Sicherheitslücken in Switches der HPE-Tochter Aruba' auf Heise Online
Quelle: 'Schlupfloch in Trend Micro ServerProtect lässt Angreifer auf Server' auf Heise Online
Quelle: 'Sicherheitsupdates: Java- und Kernel-Lücken in IBM AIX bedrohen Server' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Versionen 98.0.4758.102 beheben 11 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Zumindest eine der Lücken wird bereits aktiv ausgenützt, weshalb man das Update zügig durchführen sollte.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Attacken auf Google Chrome könnten bevorstehen' auf Heise Online
Vivaldi:Die Vivaldi Entwickler haben das Chromium-Sicherheitsupdate mal wieder schnell übernommen und haben am Dienstag Vivaldi 5.1 Update 1 veröffentlicht. Am nächsten Tag wurde gleich noch Update 2 hinterhergeschoben, dass ein Problem mit langer Video-Wiedergabe beheben soll.
Benutzer von Vivaldi sollten zügig auf Vivaldi 5.1 Update 2 updaten, falls nicht bereits geschehen.
Quelle: 'Minor update (1) for Vivaldi Desktop Browser 5.1' auf Vivaldi.com (Englisch)
Quelle: 'Minor update (2) for Vivaldi Desktop Browser 5.1' auf Vivaldi.com (Englisch)
Microsoft Edge:Das Microsoft-Edge-Team hat die neue Chromium-Version bereits übernommen. Anwender die Edge verwenden sollten also zügig auf Version 98.0.1108.56 updaten, um sicher zu sein.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Die Entwickler von Thunderbird haben die Version 91.6.1 nachgelegt, um eine Schwachstelle bei der Verarbeitung von E-Mails zu beheben. Die Mozilla Entwickler haben die Lücke als "hohes Risiko" eingestuft, daher sollten alle Anwender von Thunderbird zügig updaten, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 91.6.1, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.6.1, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.6.1 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Sicherheitsupdate: Präparierte Mails können Thunderbird aus dem Tritt bringen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Onlineshops: Erneut kritische Lücke in Adobe Commerce und Magento entdeckt' auf Heise Online
Quelle: 'VMware-Sicherheitsupdates: Angreifer könnten Schadcode in Host-Systeme schieben' auf Heise Online
Quelle: 'Angreifer könnten E-Mail Appliances von Cisco per Mail lahmlegen' auf Heise Online
Quelle: 'Atlassian Confluence und Jira für mehrere Attacken anfällig' auf Heise Online
Quelle: 'Codeschmuggel durch kritische Lücke in der NoSQL-Datenbank Apache Cassandra' auf Heise Online
Quelle: 'Internet of Things: Forscher demonstrieren Sicherheitslücken in MXview' auf Heise Online
Quelle: 'root-Rechte durch Schwachstelle in Softwareverteilungssystem Snap' auf Heise Online
Vivaldi hat Version 5.1 des Browsers für Desktop-Systeme und Android veröffentlicht. Die wichtigste Neuerung ist wie so oft das Upgrade auf die aktuelle Chromium Version 98.0.4758.88. Das bedeutet, dass alle aktuellen Sicherheitsupdates in Vivaldi eingepflegt wurden.
Als Neuerungen an der Oberfläche bringt 5.1 eine horizontal scrollbare Tableiste mit, eine Leseliste und die Schnellstartseite kann nun direkt über ein neues Icon angepasst werden. Dieses Icon ist auch das einzige, dass Vivaldi-Anwender automatisch zu Gesicht bekommen werden. Sowohl das Icon für die Leseliste als auch die scrollbare Tableiste muss manuell in den Einstellungen aktiviert werden, was die Chancen auf weite Verbreitung dieser neuen Funktion ziemlich limitieren dürfte, dafür aber bestehende Vivaldi Benutzer nicht irritiert.
Während wir ob der Nützlichkeit der scrollbaren Tableiste skeptisch sind, könnte die Leseleiste durchaus praktisch sein. Vorausgesetzt man lässt sich darauf ein und speichert Seiten die man später lesen möchte tatsächlich in der Leseliste, statt sie als Tab im Hintergrund offenzulassen, würde das der Übersichtlichkeit und Performance zugutekommen. Die verlinkten Artikel von Heise Online und Vivaldi selbst gehen genauer auf die neuen Funktionen ein.
Quelle: 'Vivaldi 5.1: Horizontal scrollbare Tabs, Leseliste und Farbschemata für Android' auf Heise Online
Quelle: 'Das neue Update von Vivaldi fügt scrollbare Tabs und eine Leseliste hinzu' auf Vivaldi.com
Download: Aktuelle Vivaldi Version
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
In Photoshop 2021 und 2022 wurde eine kritische Schwachstellen behoben. Die 2021er Jahresausgabe (Version 22.x) sollte unbedingt rasch auf Version 22.5.5 aktualisiert werden, die 2022er Jahresausgabe (Version 23.x) auf Version 23.1.1. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB22-08' auf Adobe.com (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe 13 Sicherheitslücken behoben, wovon zwei als "kritisch" eingestuft wurden. Um wieder sicher zu sein, müssen Anwender auf Version 25.4.4 (2021) oder 26.0.3 (2022) updaten.
Info: Adobe Security Bulletin APSB22-07 (Englisch)
In Adobe After Effects wurde eine kritische Sicherheitslücke behoben. Alle Anwender von After Effects sollten zügig auf Version 18.4.4 (2021) oder 22.2 (2022) updaten und alle älteren Fassungen deinstallieren.
Quelle: Adobe Security Bulletin APSB22-09 (Englisch)
Auch im abgespeckten Videoschnitt-Programm Premiere Rush hat Adobe eine Sicherheitslücke behoben. Anwender, die das Programm auf Windows oder MacOS verwenden, sollten auf Version 2.3 updaten. Die Smartphone-Versionen für Android und iOS werden im Security Bulletin nicht erwähnt.
Quelle: Adobe Security Bulletin APSB22-06 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday Microsoft: Angreifer könnten eine Kernel-Lücke in Windows ausnutzen' auf Heise Online
Die Jänner-Updates hatten ja auf manchen Systemen erhebliche Nebenwirkungen, bei den Februar Updates sieht es bisher viel besser aus. Komplett fehlerfrei sind die Februar-Updates aber nicht, denn seit der Installation können Programme im Startmenü nicht mehr per Tastenkürzel als Administrator gestartet werden. Der Otto-Normal-Verbraucher wird das vermutlich nie bemerken, aber für Administratoren ist das sehr ärgerlich und zeitaufwendig.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20.04 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Die Entwickler von Thunderbird haben die Version 91.6 des beliebten E-Mail-Programms veröffentlicht. Diese Version behebt Sicherheitslücken gegenüber der Vorversion. Wie viele und wie schlimm die Lücken sind, lässt sich aber nicht sagen, da Mozilla das zugehörige Security-Bulletin bisher nicht veröffentlicht hat. Aber auch so raten wir allen Thunderbird Anwendern dazu das Update zügig zu installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 91.6.0, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.6.0, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.6.0 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Firefox- und Thunderbird-Updates schließen Sicherheitslecks' auf Heise Online
Mozilla hat Firefox 97 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 91.6. Anwender die immer noch eine 78er ESR-Version verwenden, müssen nun unbedingt auf die 91.6 upgraden.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox- und Thunderbird-Updates schließen Sicherheitslecks' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Normalerweise berichten wir über Sicherheitslücken in Apple- oder Android-Systemen nicht, aber aufgrund des enormen Gefahrenpotentials der aktuellen Lücken machen wir wieder einmal eine Ausnahme. Vor allem die aktuellen Lücken in Apple Systemen sind für die Geräte extrem gefährlich, da diese bereits aktiv ausgenützt werden. Besitzer eines Apple- bzw. Android-Gerätes sollten sich daher unbedingt den jeweiligen verlinkten Heise Online Artikel durchlesen.
Quelle: 'Notfall-Patch für iPhones, iPads und Macs: iOS 15.3.1 und macOS 12.2.1 verfügbar' auf Heise Online
Quelle: 'Patchday: Kritische Systemlücke lässt Angreifer Android-Geräte übernehmen' auf Heise Online
Prozessorhersteller Intel hat mal wieder neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider sind wieder sehr viele Updates dabei, die für den Endanwender schwer bis gar nicht zu bekommen sind, da es wieder um etliche Firmware-Uupdates geht. Es gibt aber auch wieder ein paar einfach zu behebende Sicherheitslücken, vor allem in WLAN und Bluetooth Treibern.
In den Treibern für Intel’s WLAN-Module wurden wieder einmal schwere Sicherheitslücken gefunden und behoben. Auch hier finden sie die Liste der betroffenen WLAN-Module im Sicherheits-Advisory von Intel. Bei den meisten aktuellen WLAN-Modulen reicht es sicherzustellen, dass mindestens Version 22.80 des Intel WLAN-Treibers installiert ist.
Quelle: 'Intel® PROSet/Wireless WiFi and Killer™ WiFi Software Advisory' auf Intel.com
Auch die Sicherheits-Dauer-Baustelle Bluetooth kommt nicht zu kurz. Neue Treiber für Intels Bluetooth Module beheben ebenfalls Sicherheitslücken die man als "mittleres" Risiko betrachtet. Es gibt hier gleich zwei Sicherheitsmeldungen, unterm Strich gilt aber, man sollte mindestens Treiberversion 22.100 verwenden (Achtung, 22.100 ist neuer als 22.80!).
Quelle: 'Intel's Bluetooth Sicherheitsmeldung - INTEL-SA-00581' auf Intel.com
Quelle: 'Intel's Bluetooth Sicherheitsmeldung - INTEL-SA-00604' auf Intel.com
Die restlichen Advisories sind schwieriger umzusetzen. Wer alle Meldungen "abarbeiten" möchte kann sich unter dem folgenden Link eine Übersicht aller Intel Sicherheitsmeldungen anzeigen lassen.
Quelle: 'Intel® Product Security Center Advisories' auf Intel.com
Quelle: 'Patchday: Intel liefert Firmware-Updates' auf Heise Online
Acronis hat sich offenbar mehrere Monate Zeit gelassen um schwere Sicherheitslücken im Backup-Programm Acronis TrueImage zu schließen. Nun ist aber Version 2021 Update 6 verfügbar und alle Anwender die TrueImage verwenden sollten auf diese Version updaten (bzw. kostenpflichtig upgraden, wenn eine Version vor 2021 verwendet wird).
Die teils selben Fehler die Acronis jetzt in TrueImage behoben hat, hat der Hersteller schon vor Monaten auch den Produkten "Acronis Agent", "Cyber Protect 15" und "Cyber Protect Home Office" behoben. Warum ausgerechnet das Zugpferd "TrueImage" so viel länger auf die Updates warten musste ist ein Rätsel und spricht nicht unbedingt für das Verantwortungsbewusstsein des Herstellers.
Quelle: 'Rechteausweitung durch Backup-Software Acronis True Image' auf Heise Online
Ein kurzes Update zu dem Artikel von letzter Woche. Mittlerweile hat auch HP eine Sicherheitsmeldung veröffentlicht, wo betroffene Geräte und die zugehörigen BIOS-Updates aufgelistet sind. Besitzer eines HP-Notebooks sollten unbedingt nachsehen, ob das eigene Gerät in der Liste vertreten ist, und falls ja das verlinkte BIOS-Update herunterladen und installieren.
Quelle: 'Updates notwendig: Sicherheitslücken im UEFI-BIOS erleichtern Rootkitverankerung' auf Heise Online
Quelle: 'Sicherheitsbulletin zu dem Thema von Lenovo' auf Lenovo.com (Englisch)
Quelle: 'Sicherheitsbulletin zu dem Thema von HP' auf hp.com (Englisch)
Quelle: 'Sicherheitsbulletin zu dem Thema von Fujitsu' auf fujitsu.com (Englisch)
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Übernahme durch kritische Lücken in PHP Everywhere' auf Heise Online
Quelle: 'Sicherheitsupdate: Wordpress-Plug-in WP Statistics könnte Passwort-Hashes leaken' auf Heise Online
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Details zu den betroffenen Geräten bzw. Lücken gibt es im Heise Online Artikel.
Auf Updates gegen die OpenSSL-Sicherheitslücken müssen Besitzer der Geräte übrigens immer noch warten, QNAP "untersucht" die Probleme bereits seit Ende August 2021 ohne eine Lösung.
Quelle: 'Netzwerkspeicher: Qnap warnt vor root-Lücke in Samba' auf Heise Online
Klingonisch, die fiktive Sprache aus dem Star Trek Universum, ist natürlich nicht die einzige Neuerung die in LibreOffice 7.3 steckt. Wie immer gibt es grundsätzlich viele Neuerungen in dem neuen Office Paket zu entdecken, dass die Entwickler jetzt veröffentlicht haben.
Wie üblich raten wir aber vor ganz neuen LibreOffice Version ab, bzw. sollten man diese nur installieren, wenn man unbedingt die neusten Funktionen haben möchte und dafür Kinderkrankheiten in Kauf nimmt und Fehler auch meldet. Wer einfach nur ein stabiles Office Paket nutzen möchte, ist mit LibreOffice 7.1.8 oder 7.2.5 aktuell noch bestens bedient. Ältere LibreOffice Versionen sollte man aus Sicherheitsgründen nicht mehr verwenden.
Auf die Neuerungen in der 7.3 Serie werden wir später genauer eingehen, wenn das Paket reif für den Durchschnittsanwender ist. Neugierige können ihren Informationsdurst aber mit dem verlinkten Heise Online Artikel stillen.
Quelle: 'LibreOffice 7.3 bringt Klingonisch und Interslawisch als weitere Sprachen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Kritische Lücke in Kernkomponente bedroht SAP-Produkte' auf Heise Online
Quelle: 'Patchday: Lücken in SAP-Produkten ermöglichen Codeschmuggel' auf Heise Online
Quelle: 'Netzwerkausrüster: Kritische Sicherheitslücken in Mimosa-Geräten' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Versionen 98.0.4758.80/81/82 beheben 27 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein, hat aber bisher keine Angriffe feststellen können die diese Lücken ausnützen, was die Lage etwas entspannt.
Der 98er Zweig ist der neue stabile Zweig, das heißt sowohl die Serie mit 4 Wochen Updates als auch die mit 8 Wochen basieren aktuell beide auf Version 98.
Anwender von Google Chrome sollten zügig auf eine der beiden neuen Versionen updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Google Chrome für Schadcode-Attacken anfällig' auf Heise Online
Vivaldi:Da Chromium 97 nicht mehr mit Updates versorgt wird, kommt das nächste Vivaldi-Sicherheitsupdate in Form von Version 5.1. Diese Version (inklusive abgesichertem Chromium-Unterbau) wird aktuell als Beta-Version getestet. Der Hersteller hat diese Woche 4 Vorab-Versionen veröffentlicht, mit der finalen Version 5.1 ist aber die Woche eher nicht mehr zu rechnen. Wir würden die finale Vivaldi 5.1 Ausgabe dann Anfang nächster Woche erwarten.
Microsoft Edge:Das Microsoft-Edge-Team hat die neue Chromium-Version bereits übernommen. Anwender die Edge verwenden sollten also zügig auf Version 98.0.1108.43 updaten um sicher zu sein.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Eset vertreibt eine Reihe von Software-Paketen, die eigentlich Systeme vor Viren schützen sollen. Besonders bitter, wenn dann ausgerechnet in dieser Software Fehler gefunden werden, die genau das Gegenteil bewirken. Aktuell ist das bei Eset leider eingetroffen, wie sie in dem verlinkten Heise Online Artikel nachlesen können. Überall dort wo Eset Software zum Einsatz kommt, sollte man also sehr genau prüfen ob ein Update notwendig ist, oder ob sich dieses vielleicht schon automatisch installiert hat.
Quelle: 'Einige Eset-Produkte könnten Angreifern System-Rechte verschaffen' auf Heise Online
Wer anstelle des Adobe Reader bzw. Acrobat auf PDF Reader bzw. PDF Editor aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 11.2.1 behebt eine stattliche Anzahl von Sicherheitslücken. Foxit selbst gibt keine Einschätzung der Schwere der Lücken ab, jedoch wird in drei der Lücken-Beschreibungen Remote-Code-Ausführung erwähnt, weshalb wir insgesamt von einer kritischen Bedrohung ausgehen.
Wer den kostenlosen "PDF Reader" oder bereits eine 11er Version von "PDF Editor" verwendet sollte unbedingt zügig auf die aktuelle Version updaten. Wer noch Foxit PhantomPDF (der alte Name von Foxit PDF Editor) einsetzt, sollte ein Upgrade auf die aktuelle Version von Foxit PDF Editor erwerben und installieren.
Quelle: 'Einschleusen von Malware in Foxit PDF möglich' auf Heise Online
Der erste Februar gilt in manchen Kreisen als der "Ändere dein Passwort Tag". Warum das nicht unter allen Umständen eine gute Idee ist und welche Alternativen es gibt können sie im verlinkten Heise Online Artikel nachlesen. Auf jeden Fall lesenswert für alle Personen die mit Computern und/oder Online-Diensten zu tun haben, und die Sicherheit nicht als unwichtig erachten.
Quelle: '"Ändere dein Passwort"-Tag? Besser: "Aktiviere 2FA"!' auf Heise Online
Der NAS-Geräte-Hersteller Qnap hat einen mutigen, wenngleich nicht bei allen Anwendern willkommenen Schritt gesetzt, und erzwingt auf kompatiblem NAS Systemen nun das letzte Sicherheitsupdate. Der Hersteller ist sich bewusst, dass dieses Vorgehen für manche Anwender negative Konsequenzen haben kann, hat sich aber trotzdem zu dem Schritt entschieden, um der Deadbolt-Epidemie Herr zu werden. Viele Besitzer von QNAP-NAS-Systemen machen wohl zu selten Updates und sind dem aktuellen Virus damit schutzlos ausgeliefert. Das Zwangs-Update behebt diese Problematik.
Über Risiken und Nebenwirkungen dieser Maßnahme informiert der verlinkte Heise Online Artikel.
Quelle: 'Jetzt patchen oder zwangsgepatcht werden – QNAP verteilt ungefragt Updates' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Plug-in Essential Addons for Elementor als Schadcode-Schleuder' auf Heise Online
Jeder Computer bringt ein minimales Software-System bereits mit, dass den Prozessor und alle Komponenten auf dem Mainboard initialisiert und dann das Betriebssystem lädt. Früher nannte sich das BIOS, heute wird eher ein System Namens UEFI verwendet.
Im UEFI des Herstellers "Insyde H2O" wurden nun mehrere Schwachstellen gefunden. Wer jetzt denkt, der Name sagt mir nichts, dann betrifft mich da auch nicht, liegt vermutlich falsch. Bei dem Hersteller handelt es sich um einen klassischen Zulieferer, der unter anderem von Lenovo, HP, Fujitsu, Siemens, Dell, Microsoft, Intel und vielen anderen Computer-Herstellern genutzt wird.
Das heißt, die Sicherheitslücken können in Millionen von Computern weltweit stecken. Da das UEFI aber immer auf einen bestimmten Computer bzw., ein bestimmtes Mainboard maßgeschneidert wird, kann nur der Hersteller des Computers/Mainboard auch ein neues, abgesichertes UEFI liefern. Und wie die Vergangenheit leider schon sehr oft gezeigt hat, liefern diese Hersteller oft nur für relativ neue Geräte Updates, weil die Produktion dieser Updates natürlich viel Geld kostet und das bei sehr alten billigen Geräten nicht mehr rentabel ist. Teurere Geräte, wie z.B. Business-Notebooks, erhalten in der Regel länger Updates als Heimanwender-Geräte, aber auch hier versiegt die Quelle irgendwann mal.
Besitzer von Computern sollten beim Hersteller nachfragen, ob ein UEFI Update in Planung ist, sofern es nicht bereits auf den Download-Servern parat steht. Da die Probleme ursprünglich auf Fujitsu Computern entdeckt wurden, gibt es von diesem Hersteller auch als erstes Updates, allerdings liefert Fujitsu eine Liste der betroffenen Systeme erst ab dem 9. Februar aus. Bei Lenovo haben wir ebenfalls bereits ein Security-Bulletin gefunden, dass alle Geräte auflistet die betroffen sind und ein Update erhalten werden (es ist zu vermuten, dass noch viel mehr Geräte betroffen sind, diese aber eben keine Updates mehr erhalten werden und deshalb nicht gelistet sind). Die anderen großen Hersteller werden vermutlich bald nachziehen.
Quelle: 'Updates notwendig: Sicherheitslücken im UEFI-BIOS erleichtern Rootkitverankerung' auf Heise Online
Quelle: 'Sicherheitsbulletin zu dem Thema von Lenovo' auf Lenovo.com (Englisch)
Quelle: 'Sicherheitsbulletin zu dem Thema von Fujitsu' auf fujitsu.com (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Update installieren! Beispiel-Exploit zeigt Rechteausweitung in Windows' auf Heise Online
Quelle: 'Log4Shell: Eine Bestandsaufnahme' auf Heise Online
Quelle: 'Cisco-Router-Serie mit mehreren kritischen Lücken' auf Heise Online
Quelle: 'root-Lücke in Samba-Dienst' auf Heise Online
Quelle: 'Sicherheitsupdate: IBMs Backup-Lösung Spectrum Protect Plus ist löchrig' auf Heise Online
Quelle: 'Schwachstelle in GitOps-Tool: Argo CD über Path Traversal angreifbar' auf Heise Online
Quelle: 'Gezielte Angriffe auf Zero-Day-Lücke in Zimbra' auf Heise Online
Die Vivaldi Entwickler mussten vergangene Woche ein paar Überstunden einlegen, denn das aktuelle Sicherheitsupdate wurde erst am Samstag fertig. Wer das Update vom vergangenen Samstag bereits installiert hat, kann sich mit Vivaldi wieder sicher im Netz bewegen.
Gleichzeitig gehen die Arbeiten an der nächsten Vivaldi-Version gut voran. Die Chance stehen also nicht schlecht, dass wenn Google Chrome 98 veröffentlicht, Vivaldi’s neue Version auch nicht lange auf sich warten lassen wird.
Quelle: 'Minor update (6) for Vivaldi Desktop Browser 5.0' auf Vivaldi.com (Englisch)
In Lexmark Druckern wurden kritische Sicherheitslücken gefunden. Der Hersteller hat daraufhin abgesicherte Firmware-Versionen für zahlreiche Drucker veröffentlicht. Eine vollständige Liste der betroffenen Drucker findet sich in der Sicherheitsmitteilung von Lexmark. Besitzer eines Lexmark Druckers sollten anhand der Liste umgehend prüfen, ob der eigene Drucker betroffen ist und gegebenenfalls zügig die neue Firmware installieren.
Quelle: 'Sicherheitsupdates: Lexmark-Drucker mit kritischer Schadcode-Lücke' auf Heise Online
Quelle: 'Lexmark Security Advisory' auf lexmark.com (Englisch)
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Details zu den betroffenen Geräten bzw. Lücken gibt es im Heise Online Artikel.
Auf Updates gegen die OpenSSL-Sicherheitslücken müssen Besitzer der Geräte übrigens immer noch warten, QNAP "untersucht" die Probleme bereits seit Ende August 2021 ohne eine Lösung.
Quelle: 'Jetzt handeln! Erpressungstrojaner DeadBolt hat es auf Qnap NAS abgesehen' auf Heise Online
Für die Contentmanagement-Systems 'WordPress' und 'Drupal' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Vollzugriff durch Hintertür in WordPress-Erweiterungen' auf Heise Online
Quelle: 'Jetzt deinstallieren: Zahlreiche Drupal-Erweiterungen nicht mehr unterstützt' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'XML-Parser Expat ermöglicht Angreifern Einschleusen von Schadcode' auf Heise Online
Quelle: 'Backup-Software: Dell EMC AppSync kompromittierbar' auf Heise Online
Quelle: 'Kritische Sicherheitslücke in Unisys Messaging Integration Services' auf Heise Online
Quelle: 'Jetzt patchen! Attacken auf Fernzugrifflösung SMA 100 von Sonicwall' auf Heise Online
Quelle: 'Root-Zugriff unter Linux durch Polkit-Lücke' auf Heise Online
Quelle: 'Finanzsoftware IBM Cognos Controller könnte Finanzberichte leaken' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 97.0.4692.99 behebt 26 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein, hat aber bisher keine Angriffe feststellen können die diese Lücken ausnützen, was die Lage etwas entspannt.
Im 96er Zweig hat Google die Lücken in Form von Version 96.0.4664.174 behoben. Zumindest ist davon auszugehen, Google gibt nach wie vor keine Hinweise darauf was in den Updates der "Langzeit-Version" geändert wurde.
Anwender von Google Chrome sollten zügig auf eine der beiden neuen Versionen updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Kritische Sicherheitslücke in Google Chrome geschlossen' auf Heise Online
Vivaldi:Bei Vivaldi wird aktuell vorrangig an Version 5.1 gearbeitet, ein Update für Vivaldi 5.0 ist aktuell noch nicht verfügbar. Da aber schon beim letzten Mal ein Update noch Freitag Abends erschienen ist, würden wir das auch für heute nicht ausschließen.
Microsoft Edge:Das Microsoft-Edge-Team hat die neue Chromium-Version bereits übernommen. Anwender die Edge verwenden sollten also zügig auf Version 97.0.1072.69 updaten um sicher zu sein.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 483 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Oracle hat Version 8.0 Update 321 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mehr als 17 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung "nur" mit einer 6.5 von 10 ein, obwohl mehrere Lücken aus der Ferne ausnützbar sein sollen. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15 und 16 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.14 oder 17.0.2 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
In dem PC-Emulator VirtualBox wurden 2 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich zwar keine der Lücken übers Internet ausnützen, dennoch sind die Gefahreneinstufungen relativ hoch. Wer VirtualBox auf seinem PC nutzt, sollte also unbedingt auf die neue Version 6.1.32 updaten.
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - January 2022' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - October 2021' auf Oracle.com (Englisch)
Quelle: 'Oracle: Januar-Patchday bringt hunderte Sicherheitsupdates' auf Heise Online
Mit den Jänner-Updates hat Microsoft ein paar Probleme verursacht, die nun über erneute Updates teilweise wieder behoben werden. Zudem hat Microsoft jetzt auch ein Problem mit Outlook behoben, dass schon durch Updates im November ausgelöst wurde.
Quelle: 'Microsoft: E-Mail-Suche in Outlook unter Windows 10 funktioniert wieder' auf Heise Online
Quelle: 'Microsoft patcht wieder außer der Reihe' auf Heise Online
Eine Sicherheitslücke in einem Treiber für USB-über-Netzwerk gefährdet etliche Router mehrere Hersteller. Betroffen sein sollen unter anderem D-Link, EDiMAX, Netgear, Tenda, TP-Link und Western Digital. Zumindest D-Link und TP-Link haben mittlerweile eine Liste mit Geräten veröffentlicht, für die bereits Updates bereitstehen, welche die Lücke beheben. Aber Achtung, das ist keine Liste mit betroffenen Geräten. Das heißt, nur weil ein Router nicht auf einer der beiden Listen steht, bedeutet das nicht, er ist nicht von der Lücke betroffen.
Im Endeffekt würden wir pauschal alle Router der genannten Hersteller als verwundbar bezeichnen, wenn diese über eine USB-über-Netzwerk-Funktion verfügen. Allerdings ist das nicht immer so leicht festzustellen, ob das so ist. Bei einem der verwundbaren Netgear-Router mussten wir das Handbuch durchforsten, um überhaupt einen Hinweis auf eine derartige Funktion zu finden. Das die Hersteller auch noch jeweils eigene Bezeichnungen für diese Funktion verwenden macht es nicht einfacher. Das heißt viele Anwender haben womöglich einen Router mit so einer Funktion und wissen es gar nicht, weil es weder auf der Verpackung noch in den Spezifikationen erwähnt wird.
Immer wenn man auf dem PC eine Software installieren muss um auf ein über USB an den Router angeschlossenen Gerät zugreifen zu können, kann man davon ausgehen, dass diese USB-über-Netzwerk-Funktion zum Einsatz kommt. Und wenn dann eben schon länger kein Sicherheitsupdate mehr für den Router veröffentlicht wurde, ist er sehr wahrscheinlich nicht mehr sicher.
Die Lücke in dem Treiber ermöglicht die Ausführung von eigenem Code auf dem Router mit Systemrechten, das ist so ziemlich die kritischste Art einer Lücke, da der Router danach als vollständig kompromittiert gelten muss. Wer auf Nummer sicher gehen möchte, sollte betroffene Router, die kein Sicherheitsupdate mehr erhalten, aus dem Verkehr ziehen, und z.B. durch eine aktuelle Fritzbox ersetzen, die in der Regel mit halbwegs langen Support-Zeiten aufwarten können. Aus ökologischer Sicht sollte man auf keinen Fall einen Billig-Router durch einen neuen Billig-Router ersetzen, der womöglich nach einem Jahr schon wieder keine Sicherheitsupdates mehr erhält, oder womöglich überhaupt niemals ein Update zu sehen bekommt.
Quelle: 'Sicherheitslücke in Kernel-Treiber gefährdet diverse Router' auf Heise Online
Quelle: 'Sicherheitsmeldung von TP-Link' auf TP-link.com (Englisch)
Quelle: 'Sicherheitsmeldung von Netgear' auf netgear.com (Englisch)
NAS-Systeme von WD, die immer noch mit dem Betriebssystem "My Cloud OS 3" arbeiten, erhalten ein vermutlich letztes Sicherheitsupdate. Wer so ein Gerät im Einsatz hat, sollte das Update wie üblich zügig installieren.
Darüber hinaus sollten Besitzer der Geräte auf "My Cloud OS 5" upgraden, wo immer dies möglich ist, denn Geräte mit "My Cloud OS 3" fallen im April aus dem Support und erhalten keine Sicherheitsupdates mehr. Zudem wurde der Remote-Zugang auf diesen Geräten bereits deaktiviert.
Quelle: 'Western Digital fixt kritische Sicherheitslücken in My-Cloud-NAS-Systemen' auf Heise Online
Die Streaming-"Box" Shield TV ist neu in unserem Newsletter. Dabei handelt es sich hierbei eigentlich um ein interessantes Produkt, denn es verwandelt jeden Fernseher mit HDMI-Eingang in einen Smart-TV. Selbst Fernseher die eigentlich schon Smart-TVs sind können profitieren, denn anders als die Hersteller aus der Unterhaltungselektronik weiß PC-Grafik-Spezialist Nvidia wie wichtig regelmäßige Sicherheitsupdates sind.
Daher berichtet Nvidia auch regelmäßig über behobene Sicherheitslücken in seinen Produkten, darunter eben auch dem Shield TV. Das aktuelle Update hebt das System auf Android 11 und bringt damit nicht nur wichtige Sicherheitsupdates sondern auch etliche funktionale Verbesserungen.
Wer bereits ein Shield TV besitzt sollte dort im Menü "Einstellungen → Über → System Update" nach Updates suchen und diese gegebenenfalls installieren.
Quelle: 'Sicherheitsupdate: Mediaplayer Nvidia Shield TV für Schadcode-Attacke anfällig' auf Heise Online
Für die Contentmanagement-Systems 'WordPress' und 'Drupal' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Admin-Lücke in drei Wordpress-Plug-ins geschlossen' auf Heise Online
Quelle: 'Plugin "Email Template Designer" reißt Sicherheitslücke in WordPress' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Drupal-Websites ins Visier nehmen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Netzwerkausrüster F5 sichert BIG-IP & Co. gegen mögliche Attacken ab' auf Heise Online
Quelle: 'Angreifer könnten sich über Lücken in McAfee Agent in Windows einnisten' auf Heise Online
Quelle: 'Rechenfehler im Linux-Kernel erlaubt Rechteausweitung' auf Heise Online
Quelle: 'Netzwerk-Admins aufgepasst: Root-Lücke bedroht Cisco StarOS' auf Heise Online
Quelle: 'Fernwartungssoftware Desktop Central: Angreifer könnten auf Server zugreifen' auf Heise Online
Wenige Stunden nach unserer letzten Sicherheitsmeldung am vergangenen Freitag hatte Vivaldi dann doch noch eine abgesicherte Version seines Browsers veröffentlicht. Wer alle Updates installiert hat, surft mit Vivaldi aktuell also wieder so sicher wie es eben geht.
Gestern hat Vivaldi dann noch ein fünftes Update für Vivaldi 5 veröffentlicht, die Neuerungen darin sind aber weder Sicherheits- noch Stabilitäts-Relevant.
Apropos Stabilität: Entweder Google oder Vivaldi hat in die aktuelle Version einen Bug in die Hardware-Beschleunigung eingebaut. Ein Vivaldi-Anwender hat nach den Updates nur mehr ein schwarzes Vivaldi-Fenster, ein paar andere Anwender klagten über häufige Abstürze. Beides konnte scheinbar durch Deaktivierung der Hardware-Beschleunigung in Vivaldi behoben werden. Im Falle des schwarzen Fensters muss man Windows dafür im abgesicherten Modus starten, um in Vivaldi die Hardware-Beschleunigung deaktivieren zu können.
Quelle: 'Minor update (4) for Vivaldi Desktop Browser 5.0' auf Vivaldi.com (Englisch)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 21.011.20039 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB22-01 (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe zwei Sicherheitslücken mit Einstufung "moderat" bzw. "wichtig" behoben. Um wieder sicher zu sein, müssen Anwender auf Version 25.4.3 (2021) oder 26.0.2 (2022) updaten.
Info: Adobe Security Bulletin APSB22-02 (Englisch)
Im Layout-Programm InDesign hat Adobe zwei kritische und eine moderate Sicherheitslücke behoben. Leider gibt es hier Updates nur in Form der Jahresversion 2022. Hier sollte man auf Version 16.4.1 aktualisieren.
Info: Adobe Security Bulletin APSB22-05 (Englisch)
In Adobe Bridge wurden 6 Sicherheitslücken behoben, wovon eine kritisch ist. Das Update auf die abgesicherte Version 11.1.3 (2021) oder 12.0.1 (2022) sollte daher zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB22-03' auf Adobe.com (Englisch)
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen kritische Sicherheitslücken. Hier sollte unbedingt auf Version 17 aktualisiert werden, um sicher zu sein.
Im verlinkten Sicherheitsbulletin schreibt Adobe zwar von Version 16.4.1, jedoch erzwingt eine ältere Sicherheitslücke bereits die Version 17, daher sollte man auch wirklich gleich zur Version 17 greifen und nicht mehr zu Version 16.4.1. Wir haben daher auch das frühere Sicherheitsbulletin nochmal verlinkt.
Info: Adobe Security Bulletin APSB21-110 (Englisch)
Info: Adobe Security Bulletin APSB22-04 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Trojaner könnte sich über kritische Windows-Lücke wurmartig verbreiten' auf Heise Online
Offenbar hat Microsoft mit den Jänner-Updates kein glückliches Händchen, denn schon kurz nach dem Tag der Updates gab es zahlreiche Meldungen zu Problemen auf Servern, nach Installation der Updates. Aus eigener Erfahrung können wir dazu (zum Glück) nichts sagen, aber die Meldung von Heise Online verspricht nichts gutes.
Quelle: 'Sicherheitsupdates vom Januar 2022 mit massiven Kollateralschäden in Windows' auf Heise Online
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20.04 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Die Entwickler von Thunderbird haben die Version 91.5 des beliebten E-Mail-Programms veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe 14 Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Letztes Mal haben wir an der Stelle auf das vermeintlich fehlende Sicherheitsupdate des Zertifikats-Moduls (Mozilla NSS) hingewiesen. Auch in diesem Monat gibt es keinen Hinweis auf ein solches Update. Da aber eine andere Sicherheitslücke in Verbindung mit Zertifikaten in dieser Version behoben wurde, gehen wir davon aus, dass die Annahme, Thunderbird würde NSS verwenden, grundlegend falsch war. Anderenfalls hätten die Thunderbird Entwickler längst ein. Daher würden wir Thunderbird wieder als vollständig abgesichert betrachten.
Download: Thunderbird Version 91.5.0, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.5.0, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.5.0 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Firefox, Thunderbird: Angreifer könnten Opfer im Vollbildmodus gefangen halten' auf Heise Online
Mozilla hat Firefox 96 veröffentlicht. Die neue Version behebt 18 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 91.5. Anwender die immer noch eine 78er ESR-Version verwenden, müssen nun unbedingt auf die 91.5 upgraden.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox, Thunderbird: Angreifer könnten Opfer im Vollbildmodus gefangen halten' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Details zu den betroffenen Geräten bzw. Lücken gibt es im Heise Online Artikel.
Auf Updates gegen die OpenSSL-Sicherheitslücken müssen Besitzer der Geräte übrigens immer noch warten, QNAP "untersucht" die Probleme bereits seit Ende August 2021 ohne eine Lösung.
Quelle: 'Schadcode-Schlupflöcher in Qnap NAS geschlossen' auf Heise Online
Quelle: 'Qnap warnt vor Ransomware-Attacken auf Netzwerkspeicher' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates vom Januar 2022 mit massiven Kollateralschäden in Windows' auf Heise Online
Quelle: 'Viele Lücken im Software-System Jenkins entdeckt – und noch nicht geschlossen' auf Heise Online
Quelle: 'Sicherheitsupdates: Admin-Lücke bedroht Cisco Unified Contact Manager' auf Heise Online
Quelle: 'Juniper Networks stopft zahlreiche Sicherheitslücken' auf Heise Online
Quelle: 'Patchday: SAP schließt in mehreren Anwendungen Lücke mit Höchstwertung' auf Heise Online
Quelle: 'IBM sichert sein Server- und Workstation-System AIX ab' auf Heise Online
Quelle: 'Sicherheitsupdate: Schadcode-Lücke bedroht Computer mit HP-UX' auf Heise Online
Quelle: 'Citrix liefert Sicherheitsupdates für Workspace App und Hypervisor' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 97.0.4692.71 behebt 37 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein, hat aber bisher keine Angriffe feststellen können die diese Lücken ausnützen, was die Lage etwas entspannt.
Im 96er Zweig hat Google die Lücken in Form von Version 96.0.4664.131 behoben. Zumindest ist davon auszugehen, Google gibt nach wie vor keine Hinweise darauf was in den Updates der "Langzeit-Version" geändert wurde.
Anwender von Google Chrome sollten zügig auf eine der beiden neuen Versionen updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Entwickler schließen 37 Sicherheitslücken in Chrome 97' auf Heise Online
Vivaldi:Bei Vivaldi sind scheinbar alle Mitarbeiter noch in Urlaub, es gibt jedenfalls keinerlei Anzeichen dafür, dass ein Update unmittelbar bevorsteht.
Microsoft Edge:Das Microsoft-Edge-Team hat die neue Chromium-Version bereits übernommen. Anwender die Edge verwenden sollten also zügig auf Version 97.0.1072.55 updaten um sicher zu sein.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Wieder einmal muss Netgear gefährliche Sicherheitslücken in seinen Geräten schließen. Aufgrund der Menge der betroffenen Geräte verweisen wir an der Stelle auf den Artikel von Heise Online. Besitzer dieser Geräte sollten rasch ein Firmware-Update durchführen.
Quelle: 'Jetzt patchen: Netgear-Router Nighthawk R6700v3 könnte Passwörter leaken' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitsupdate: Angreifer könnten sich auf WordPress-Websites einnisten' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Y2K22-Bug stoppt Exchange-Mailzustellung: Antimalware-Engine stolpert über 2022' auf Heise Online
Quelle: 'Rootkit schlüpft durch Lücke in HPEs Fernwartung iLO' auf Heise Online
Quelle: 'Sicherheitspatches: Angreifer könnten Datenbanken in IBM Db2 manipulieren' auf Heise Online
Quelle: 'Trend Micro Apex One und Worry-Free Business Security gefährden Windows-PCs' auf Heise Online
Wir empfehlen:
Diese Website ist kompatibel zu:
