Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 103.0.5060.53 behebt 14 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.
Die neue Ausgabe der Extended-Stable-Channel-Fassung hat die Versionsnummer 102.0.5005.134. Wie viele und welche Sicherheitslücken hier geschlossen wurden verrät Google wie üblich nicht, es ist aber davon auszugehen, dass diese Version ebenfalls alle relevanten Sicherheitskorrekturen der 103er Ausgabe erhalten hat.
Anwender von Google Chrome sollten aufgrund der als kritisch eingestuften Sicherheitslücken unbedingt zügig auf die neue Version aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Google schließt 14 Sicherheitslücken in Chrome' auf Heise Online
Vivaldi:Vivaldi hat wie gewohnt rasch reagiert und die abgesicherte Vivaldi Version 5.3 Update 7 bereits wenige Stunden nach Google am Start. Vivaldi Nutzer sollten ebenfalls zügig auf diese Version updaten.
Quelle: 'Minor update (7) for Vivaldi Desktop Browser 5.3' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch die Microsoft Edge Entwickler aus Redmond haben ihren Browser mittlerweile aktualisiert. Anwender von Microsoft Edge sollten sicherstellen, dass Version 103.0.1264.37 installiert ist oder das rasch nachholen.
Adobe hat, wenn man den Aussagen der Sicherheitsfirma Minerva Glauben schenken darf, bei den aktuellen Versionen von Adobe Reader bzw. Adobe Acrobat eine Funktion eingebaut, um die Vorgänge in der Software vor den Blicken von Virenscannern zu schützen.
Es wird vermutet, dass Adobe das aus Gründen der Kompatibilität gemacht hat und um lästige Support-Anfragen zu minimieren. Aus Sicherheitsperspektive ist das aber natürlich eine, gelinde gesagt, fragwürdige Entscheidung, denn im schlimmsten Fall ist der Virenscanner die einzige Verteidigungslinie zwischen Virus und dem Computer. Nimmt man dem Virenscanner die Möglichkeit auf verdächtige Vorgänge innerhalb der Adobe Software zu reagieren, erhöht dies mutmaßlich das Risiko für den Anwender bzw., den Computer.
Eine Stellungnahme von Adobe gibt es wohl bisher nicht, zumindest ist in dem verlinkten Heise Online Artikel nichts davon zu lesen. Wir würden aber hoffen, dass Adobe hierzu Stellung nimmt. Weiters gibt es aktuell keine "einfache" Anleitung für Endanwender, wie man diese "Schutzreduktion" abschalten kann. Administratoren und erfahrene Anwender werden allerdings mit dem Original-Artikel von Minerva und einem Citrix-Blogpost (beide im Heise Online Artikel verlinkt) herausfinden, welche Registry-Schlüssel gesetzt werden müssen, um das unsichere Verhalten (vermutlich) abzuschalten.
Quelle: 'Du kommst hier nicht rein: Adobes PDF-Tools blockieren Virenschutz' auf Heise Online
Die Firma Synology hat eine Reihe von Schwachstellen in seinen Geräten entdeckt und für die meisten Fehler bereits Sicherheitsupdates zur Verfügung gestellt. Besitzer von Synology Routern sollten unbedingt den verlinkten Heise Online Artikel lesen um herauszufinden wie das eigene Gerät abgesichert werden kann.
Quelle: 'Synology: Aktualisierte Firmware dichtet Sicherheitslecks in Routern ab' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'AWS: Amazon-Hotpatch für log4j-Lücke ermöglicht Rechteausweitung' auf Heise Online
Quelle: 'Angreifer nutzen kontinuierlich Log4Shell-Lücke in VMware Horizon aus' auf Heise Online
Quelle: 'Sicherheits-Management: Teils kritische Lücken in Splunk geschlossen' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Im Layout-Programm InDesign hat Adobe sieben kritische Sicherheitslücken behoben. Hier sollte man auf Version 16.4.2 (2021) oder 17.3 (2022) aktualisieren.
Info: Adobe Security Bulletin APSB22-30 (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe etliche kritische Sicherheitslücke behoben. Um wieder sicher zu sein, müssen Anwender auf Version 25.4.6 (2021) oder 26.3.1 (2022) updaten.
Info: Adobe Security Bulletin APSB22-26 (Englisch)
In Adobe Bridge wurden etliche Sicherheitslücken behoben, die in Summe ebenfalls eine kritische Bedrohung ergeben. Anwender, die Adobe Bridge installiert haben, sollten daher zügig auf Version 12.0.2 updaten.
Info: Adobe Security Bulletin APSB22-25 (Englisch)
Das ehemals Flash genannte Web-Animationsprogramm enthielt ebenfalls eine kritische Sicherheitslücke. Wer Adobe Animate installiert hat, sollte es zügig auf Version 21.0.11 (2021) oder 22.0.6 (2022) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB22-24 (Englisch)
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen kritische Sicherheitslücken. Hier sollte unbedingt auf Version 17.3 aktualisiert werden, um sicher zu sein.
Im verlinkten Sicherheitsbulletin schreibt Adobe zwar von Version 16.4.2, jedoch erzwingt eine ältere Sicherheitslücke bereits die Version 17, daher sollte man auch wirklich gleich zur Version 17 greifen und nicht mehr zu Version 16.4.2.
Info: Adobe Security Bulletin APSB22-29 (Englisch)
In Adobe RoboHelp Server wurde eine als "moderat" eingestufte Sicherheitslücke behoben. Anwender, die die Software installiert haben, sollten den Hotfix für Version 11 Update 3 einpflegen. Das Sicherheitsupfdate erhöht also nicht die Versionsnummer, daher muss man gezielt prüfen, ob der Hotfix bereits installiert ist und es gegebenenfalls nachholen.
Quelle: 'Adobe Security Bulletin APSB22-31' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Das wichtigste Sicherheitsupdate ist zweifelsfrei die MSDT- bzw. MS-Office-Sicherheitslücke, die bereits seit 2 Wochen intensiv für Vireninfektionen ausgenutzt wird. Wer den MSDT-Handler also bisher nicht gemäß Anleitung deaktiviert hat, sollte schnellstmöglich alle Windows-Updates installieren, um sich auf diesem Weg abzusichern. Wer den MSDT-Handler entfernt hat, kann ihn nach der Installation der Juni-Updates wieder hinzufügen (die damals gesicherte Reg-Datei doppelklicken und so wieder hinzufügen).
Quelle: 'Patchday: Microsoft schließt MSDT-Lücke, die auch ohne Makros funktioniert' auf Heise Online
Microsoft hat am Mittwoch abermals deutlich darauf hingewiesen, dass der Internet Explorer ab sofort keine Sicherheitsupdates mehr erhält. Leider traut sich Microsoft einmal mehr nicht, unsichere Software über Board zu schmeißen, aus Angst vor Kompatibilitätsproblemen. In Firmen kann es mitunter tatsächlich noch vorkommen, das gewissen Web-Anwendungen nur im Internet-Explorer störungsfrei funktionieren. Statt den Internet Explorer ganz zu entfernen und den wenigen, die das Fossil tatsächlich noch dringend benötigen einen Workaround anzubieten, lässt man den Internet Explorer aber einfach weiterhin an Board. Damit sind wir jetzt in der absurden Situation, dass aktuelle Windows 10 Ausgaben als ganzes zwar noch Sicherheitsupdates erhalten, eine einzelne Komponente die zum Lieferumfang von Windows 10 gehört, aber nicht. Man den Internet Explorer zwar nicht tatsächlich deinstallieren, aber man sollte zumindest alle Verknüpfungen auf die Software löschen und sicherstellen, dass modernere Browser als Standard-Browser eingestellt sind.
Quelle: 'Internet Explorer 11 beendet Support für bestimmte Betriebssysteme' auf Heise Online
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Die Woche gibt es zwar keine neuen Sicherheitslücken in den Geräten, aber der Hersteller warnt einmal mehr von aktuellen Angriffswellen und rät dazu die aktuellen Sicherheitsupdates möglichst zügig zu installieren.
Details zu den aktuellen Bedrohungen kann man im Heise Online Artikel nachlesen.
Quelle: 'NAS: Qnap warnt vor Angriffswelle mit DeadBolt-Ransomware' auf Heise Online
Für die Contentmanagement-Systems 'WordPress' und 'Drupal' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Kritische Sicherheitslücke in WordPress-Plug-in Ninja Forms behoben' auf Heise Online
Quelle: 'Update installieren: Drupal-Lücke erlaubt abermals Website-Übernahm' auf Heise Online
Sicherheitsforscher haben in der Smart-Home-Zentrale Eufy Homebase 2 drei Sicherheitslücken entdeckt, von denen eine als "kritisch" eingestuft wurde. Angreifer könnten diese Systeme aus der Ferne mit Viren infizieren. Besitzer dieser Geräte sollten dringend die aktuellen Updates des Herstellers installieren, die diese Lücken beseitigen.
Quelle: 'Kritische Lücke mit Höchstwertung in Smart-Home-Zentrale Anker Eufy Homebase 2' auf Heise Online
Zumindest für Anwender von Microsoft OneDrive und Sharepoint gilt, dass die Daten in der Cloud nicht vor Ransomware und den einhergehenden Lösegeld-Forderungen schützt. Angreifer können nämlich leicht dafür sorgen, dass auch in der Cloud nur verschlüsselte Daten liegen. Das belegt einmal mehr, dass eine vernünftig lokale Datensicherung auf einem (oder noch bessere mehreren) externen Datenträgern nach wie vor die beste Lösung darstellen. OneDrive, oder ähnliche Cloud-Dienste, ersetzen niemals eine echte eigene Datensicherung.
Quelle: 'Funktion von Microsofts OneDrive und SharePoint erleichtert Ransomware-Befall' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Krypto-Miner und Verschlüsselungstrojaner schlüpfen durch Confluence-Lücke' auf Heise Online
Quelle: 'Patchday: Updates bessern zehn SAP-Schwachstellen aus' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten E-Mail-Schutz von Cisco stören' auf Heise Online
Quelle: 'Zügig aktualisieren: Angreifer könnten Citrix ADM übernehmen' auf Heise Online
Quelle: 'Sicherheitslücke in E-Mail-Lösung Zimbra kann Zugangsdaten leaken' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 102.0.5005.115 behebt 7 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Anwender von Google Chrome sollten aufgrund der als kritisch eingestuften Sicherheitslücken unbedingt zügig auf die neue Version aktualisieren.
Offenbar hat Google die anderen Hersteller von Chromium-basierten Browsern mal wieder überrascht, denn Vivaldi hat erst gestern eine neue Version veröffentlicht, darin aber noch nicht die aktuelle Chromium Version integriert. Und auch bei Microsoft’s Edge Browser ist noch eine alte Chromium Version enthalten. Wir würden bei beiden Herstellern deshalb Updates innerhalb der nächsten Tage erwarten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Chrome-Update dichtet sieben Sicherheitslücken ab' auf Heise Online
Die letzte Woche in Office bzw. der Windows-Komponente MSDT gemeldete Sicherheitslücke wird nun immer intensiver ausgenützt. Allein heise Online hat diese Wiche schon 2 Artikel zu dem Thema veröffentlicht. Das Fazit ist dabei immer dasselbe, jeder der MS-Office bzw. Word installiert hat und sich dazu in der Lage sieht, sollte den MSDT-Handler entfernen.
Grundsätzlich wird in beiden Heise Online Artikeln nochmals erklärt, wie das geht, nichtsdestotrotz ist dieser "Eingriff" aber nur etwas für Anwender die sich zumindest etwas mit der Eingabeaufforderung auskennen.
Quelle: 'Zero-Day-Lücke: Optimierte Angriffe auf Microsofts Diagnostic Tool (MSDT)' auf Heise Online
Quelle: 'Zero-Day-Lücke: Cybergangs missbrauchen MSDT-Leck für Qakbot-Infektionen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Lage um Attacken auf Atlassian Confluence spitzt sich zu' auf Heise Online
Quelle: 'Sicherheitspatch erschienen: Schadcode-Lücke bedroht Horde Webmail' auf Heise Online
Quelle: 'Versionsverwaltung: GitLab-Update schließt kritische Sicherheitslücke' auf Heise Online
Quelle: 'Fehler in Linux-Kernel ermöglicht Rechteausweitung' auf Heise Online
Quelle: 'Sicherheitslücken in veralteten Zyxel-Firewalls: Neukauf als Fix' auf Heise Online
Quelle: 'Videokonferenz-Hardware Meeting Owl Pro wird sicherer, bleibt aber noch unsicher' auf Heise Online
Quelle: 'Fortinet entfernt hartcodierten Schlüssel und verhindert unberechtigte Zugriffe' auf Heise Online
Quelle: 'PHP: Updates verhindern Einschleusen von Schadcode' auf Heise Online
Vergangenen Freitag hatten wir die Veröffentlichung von Vivaldi 5.3 noch für Anfang der Woche erwartet, geworden ist es letztendlich Mittwoch. Dafür wurden am Mittwoch dann gleich 3 Versionen veröffentlicht, da in der ursprünglichen Ausgabe dann doch noch Fehler gefunden wurden, die in der Vorab-Version noch nicht aufgefallen waren.
Das Wichtigste an Vivaldi 5.3 ist natürlich wie immer der aktualisierte Unterbau in Form von Chromium 102.0.5005.72, womit Vivaldi sicherheitstechnisch wieder perfekt aufgestellt ist. Schon allein deshalb sollten Anwender von Vivaldi auf die neue Version updaten. Allerdings ist das automatische Update vorerst noch deaktiviert, weil man sich bei Vivaldi wohl noch nicht so ganz sicher ist, ob die aktuelle Version nun wirklich bei allen Anwendern stabil läuft. Wer also sofort von der abgesicherten Version (oder den neuen Funktionen) profitieren möchte, muss vorerst noch manuell updaten.
Schon bisher war die Benutzeroberfläche von Vivaldi hochgradig anpassbar, mit Version 5.3 wurde das Level nochmals gesteigert. Nun lassen sich auch die meisten Symbolleisten relativ frei anpassen. Will man ein Icon aus der Navigations- oder Statusleiste entfernen, klickt man es einfach mit der rechten Maustaste an und wählt im Kontextmenü "BEARBEITEN → REMOVE FROM TOOLBAR". Der Deutsch/Englisch Mischmasch verdeutlicht, dass noch nicht alles so ganz fertig ist. Über "BEARBEITEN → SYMBOLLEISTE ANPASSEN" erhält man ein neues kleines Fenster, wo man zusätzliche Icons zu den Iconleisten hinzufügen kann. Besonders mächtig wird das in Zusammenhang mit eigenen Befehlsketten. Diese lassen sich ja schon länger in Vivaldi anlegen, aber erst jetzt kann man einen Button für seine eigenen Befehlsketten in die Iconleisten pflanzen, wodurch diese Funktion nochmals deutlich aufgewertet wird.
Ganz rechts in der Adressleiste hat sich ein weiteres Icon dazugesellt. Was aussieht wie ein Puzzleteil ist jedoch selbst keine Erweiterung. Da ein Klick darauf bei den allermeisten Anwendern keine Reaktion zeigen dürfte, verbirgt sich der Sinn dieses Icons bis auf Weiteres. Auch im Blog-Artikel zur neuen Version wird auf das neue Icon nicht eingegangen. Erst als wir im Forum gefragt haben, wie das platz-fressende Icon entfernt werden kann und wir auf die Einstellungen verwiesen wurden, hat sich langsam der Sinn (oder Unsinn) des Icons offenbart. Man kann nun die Icons einzelner Erweiterungen ausblenden. Die Erweiterung bleibt dadurch weiterhin aktiv (anders als wenn man diese gänzlich deaktivieren würde) aber sie ist standardmäßig ausgeblendet. Und erst dann macht das neue Icon Sinn, da man durch klick auf dieses Icon die ausgeblendeten Icons kurzfristig anzeigen lassen kann. Hat jemand aber gar keine Erweiterungen installiert, oder nur solche, die dann auch wirklich immer angezeigt werden sollen, ist das neue Icon einfach Platzverschwendung. Zum Glück kann das neue Verhalten auch einfach wieder deaktiviert werden. Dazu geht man in die Einstellungen in den Abschnitt "Adressleiste" und sucht den Bereich "Sichtbarkeit von Erweiterungen". Dort aktiviert man die Option "Nur ausgeblendete Erweiterungen ein- und ausblenden" und macht ein Häkchen bei "Ausgeblendete Erweiterungen im Auswahlmenü erweitern". Dann ist das neue Icon verschwunden und zumindest dieser Bereich wieder so wie in früheren Versionen.
Leider haben die Vivaldi Entwickler aber noch eine Verschlimmbesserung eingebaut. Diesmal geht es um den Installation-Assistenten. Aber keine Sorge, für 99% aller Anwender spiet diese Änderung keine Rolle. Die restlichen 1% sind die Anwender, die die Ordnerstruktur, in der ein Programm installiert wird, gerne selbst bestimmen. Das war bisher kein Problem, nun aber bevormundet Vivaldi all die Anwender, die eine System-Installation in einen benutzerdefinierten Pfad vornehmen wollen. Das geht nun nämlich über den Installations-Assistenten schlicht nicht mehr. Wer das früher schon so gemacht hat, kann also auch kein manuelles Update mehr durchführen. Einziger Ausweg hier besteht aktuell darin, Vivaldi über die Kommandozeile zu installieren und die nötigen Optionen anzugeben. Das macht aber wahrlich keine Freude und wird viele Anwender auch schlicht überfordern.
Otto-Normal-Verbraucher muss sich vor Vivaldi 5.3 weder fürchten, noch darf man irgendwelche Wunder erwarten. Manche Administratoren und Power-User werden sich jedoch über den verschlimmbesserten Installer ärgern. Das zumeist unnötige Icon auf der Oberfläche ist hingegen schnell deaktiviert. Nicht upzudaten ist aus Sicherheitsgründen natürlich keine Option.
Download: Aktuelle Vivaldi Version
Die Entwickler von Thunderbird haben die Version 91.10 des beliebten E-Mail-Programms veröffentlicht. Gegenüber Version 91.9.1 wurden 9 Sicherheitslücken behoben, die meisten mit "hoher" Risiko-Einstufung. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 91.10, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.10, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.10.0 Release Notes' auf Mozilla.org (Englisch)
Mozilla hat Firefox 101 veröffentlicht. Die neue Version behebt 8 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 91.10. Anwender die immer noch eine 78er ESR-Version verwenden, müssen nun unbedingt auf die 91.10 upgraden.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Sicherheitslücken in Firefox und Thunderbird abgedichtet' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Ein kürzlich in Weißrussland entdecktes Word-Dokument hat eine neue Sicherheitslücke in Microsoft-Office aufgedeckt. Da die Lücke so einfach auszunützen ist, hat es keinen Tag gedauert, bis auch Cyber-Gangster auf den Zug aufgesprungen sind und nun bereits massenhaft Word-Dokumente verbreitet werden, die potenziell zur Infektion des Computers genutzt werden können.
In der Regel sollen diese Dokumente in der "geschützten Ansicht" geöffnet werden, die eine Infektion noch verhindert. Text im Word Dokument sollen wie üblich den Anwender dazu überreden, diese geschützte Ansicht zu deaktivieren. Fällt ein Anwender darauf herein und deaktiviert die geschützte Ansicht tatsächlich, steht einer Infektion des Computers oftmals nichts mehr im Weg.
Microsoft hat seinerseits dann ebenfalls relativ rasch reagiert und stellt eine "Anleitung" zur Verfügung, wie man die verwundbare Komponente deaktivieren kann. Jeder der Microsoft Office (auf Windows) verwendet sollte der Empfehlung Microsofts nachkommen. Allerdings ist die Anleitung bei Microsoft selbst in Englisch, und auch die deutsche Übersetzung im Heise Online Artikel dürfte manche Anwender überfordern.
Wer auf Nummer sicher gehen möchte, sich selbst aber nicht zutraut die nötigen Änderungen durchzuführen, sollte sich Hilfe holen. Einen waschechten Administrator benötigt es dazu nicht, aber jemand der ein bisschen Ahnung hat, sollte es schon sein. Vor allem EDV-Administratoren sind nun aber wieder einmal gefordert, ihre Netze möglichst schnell abzusichern und die Benutzer einmal mehr über die Gefahren zu informieren.
Quelle: 'Zero-Day-Lücke in MS Office: Microsoft gibt Empfehlungen' auf Heise Online
Quelle: 'Zero-Day-Lücke in Microsoft Office ermöglicht Codeschmuggel' auf Heise Online
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Content Management System: Sicherheitslücke in Drupal erlaubt Website-Übernahme' auf Heise Online
Nach all den Nachrichten über Sicherheitslücken und Risiken gibts auch mal wieder erfreulichere Nachrichten. Das Inkscape-Team hat Version 1.2 des freien Vector-Grafik-Programms veröffentlicht. Anwender des Programms dürfen sich auch etliche nützliche Neuerungen freuen, die teils im verlinkten Heise Online Artikel, bzw. noch deutlich umfangreicher auf der Inkscape-Website erläutert werden.
Vor allem das neue Werkzeug zum Erstellen und Anpassen von Farbverläufen macht die Arbeit mit dem Programm erheblich einfacher. Auch die nun kombinierte Ansicht von Ebenen und Objekten steigert die Übersicht und macht es einfacher sich in komplexen Projekten zurechtzufinden.
Quelle: 'Vektorgrafikprogramm: Inkscape 1.2 mit mehrseitigen Dokumenten' auf Heise Online
Quelle: 'Was ist neu in Inkscape 1.2?' auf Inkscape.org
Download: Inkscape v1.2.0 (Windows, 64Bit)
Download: Weitere Inkscape Downloads
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Open Automation Software: Anmeldung ohne Nutzernamen und Kennwort möglich' auf Heise Online
Quelle: 'Angriffe auf Code-Execution-Lücke bedrohen Confluence-Installationen' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 102.0.5005.61 behebt 32 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.
Anwender von Google Chrome sollten aufgrund der als kritisch eingestuften Sicherheitslücken unbedingt zügig auf die neue Version aktualisieren. Übermäßig große Sorgen sollten sich Anwender der anderen Browser mit Chromium Unterbau (die großteils noch keine Updates erhalten haben) aber nicht machen, denn Google erwähnt nicht, dass die behobenen Lücken bereits ausgenutzt werden.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Google Chrome 102 schließt 32 Sicherheitslücken' auf Heise Online
Vivaldi:Vivaldi hat aktuell leider nur eine Beta-Version mit abgesicherter Chromium Version am Start. Theoretisch könnte zwar heute oder am Wochenende noch eine finale Fassung erscheinen, wir würden aber eher auf Anfang nächster Woche tippen.
Microsoft Edge:Auch die Microsoft Edge Entwickler aus Redmond haben ihren Browser noch nicht auf den 102er Zweig aktualisiert. Genau wie bei Vivaldi dürfte es aber auch bei Microsoft in den nächsten Tagen soweit sein. Wer auf Nummer sicher gehen will, sollte ausgiebige Internet Exkursionen bis dahin vermeiden.
Die Entwickler von Thunderbird haben die Version 91.9.1 des beliebten E-Mail-Programms veröffentlicht. Gegenüber Version 91.8 wurden 10 Sicherheitslücken behoben, darunter zwei als kritisch eingestufte. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 91.9.1, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.9.1, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.9.1 Release Notes' auf Mozilla.org (Englisch)
Mozilla hat Firefox 100.0.2 veröffentlicht. Die neue Version behebt 13 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'kritisch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 91.9.1. Anwender die immer noch eine 78er ESR-Version verwenden, müssen nun unbedingt auf die 91.9.1 upgraden.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Mozillas Firefox und Thunderbird: Kritische Lücken aus Pwn2Own geschlossen' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Nachdem die Video-Konferenz-Software Zoom vor einigen Monaten gar nicht aus den Negativ-Schlagzeilen rauskam, wurde es daraufhin etwas ruhiger in der Angelegenheit. Das sich Zoom in der Zwischenzeit aber keineswegs zum Saubermann entwickelt hat belegen die neuesten Sicherheitslücken in den diversen Software-Paketen von Zoom.
Wer Zoom auf deinem Computer installiert hat aber nicht regelmäßig nutzt, sollte es unbedingt deinstallieren. Wenn möglich sollte man nicht den Zoom-Client, sondern die Webversion verwenden, dann hat man automatisch immer die aktuellste Version und auch generell weniger Angriffsfläche. Wenn man den installierten Client unbedingt benötigt, sollte man auf jeden Fall die automatische Update-Prüfung in den Optionen aktivieren und regelmäßig Updates installieren.
Quelle: 'Sicherheitsupdate: Angreifer könnten Zoom-Chats belauschen' auf Heise Online
Nvidia Besitzer die ihre Grafikkarte für Media Creation verwenden und daher auf den Studio-Treiber setzen, erhalten nun mit einer Woche Verspätung ebenfalls eine abgesicherte Version ohne die zuletzt bekannt gewordenen Sicherheitslücken (siehe Artikel von letzter Woche).
Besitzer einer geeigneten Grafikkarte sollten auf die neue Version 512.96 updaten.
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - May 2022' auf nvidia.custhelp.com
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Angreifer attackieren Cisco 8000 Series Router' auf Heise Online
Quelle: 'Oracle warnt vor Sicherheitslücke in E-Business Suite' auf Heise Online
Quelle: 'Zyxel: Lücken in Access-Points, Access-Point-Controllern und Firewalls' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Netzwerk-Hardware von Citrix lahmlegen' auf Heise Online
Apple behebt mit iTunes 12.12.4 fünf Sicherheitslücken in der Multimedia Software für Windows. Eine Risiko-Einstufung liefert Apple nicht, allerdings wird in zwei der Schwachstellen-Beschreibungen Code-Ausführung erwähnt, was potenziell auf kritische Lücken hindeuten könnte.
Anwender, die iTunes tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs spürbar langsamer machen, selbst wenn sie gar nicht verwendet werden.
Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.
Quelle: 'Update empfohlen: iTunes für Windows 12.12.4 behebt mehrere Sicherheitslücken' auf Heise Online
Wer noch Windows 10 in Version 20H2 (oder gar noch älter) verwendet, sollte nun unbedingt auf Version 21H1 oder neuer aktualisieren. Grund dafür ist, dass Microsoft für 20H2 und älter keine Sicherheitsupdates mehr bereitstellt.
Quelle: 'Keine Updates mehr für Windows Server und Windows 10 20H2' auf Heise Online
Nvidia hat wieder einmal Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. In den Grafikkartentreibern für "echte" Grafikkarten wurden in Summe 10 Lücken gefunden die teils sehr hohe Bedrohungsstufen haben. In den "virtuellen" Grafikkarten (VGPU) wurden zwei Sicherheitslücken behoben, die als mittlere Gefahr eingestuft wurden.
Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 512.77), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 473.47 oder 512.78) bereit.
Wer eine GeForce Karte gekauft hat, diese aber nicht fürs spielen, sondern kreatives Arbeiten einsetzt (Content Creators), muss noch bis nächste Woche auf den Studio-Treiber warten. Hier muss man also entscheiden, ob man das Risiko noch ein paar Tage länger eingeht und mit dem aktuellen Treiber auskommt, oder für ein paar Tage auf den Gaming-Treiber setzt.
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - May 2022' auf nvidia.custhelp.com
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Quelle: 'Sicherheitsupdates: Schadcode-Lücken in GPU-Treibern von Nvidia geschlossen' auf Heise Online
Wer unsere Newsletter bzw. Homepage regelmäßig liest, dürfte schon mitbekommen haben welch (Vorsicht Ironie) "Guten Ruf" Bluetooth bei uns genießt. Als wir den unten verlinkten Heise Online Artikel gelesen haben, war daher schnell klar, dass auch dieses weitere Kapitel in der langen List der Bluetooth-Sicherheitslücken einen Ehrenplatz bei uns finden würde.
Die Begriffe Auto und Bluetooth werden ältere Semester gar nicht unter einen Hut bekommen, jüngere Leser werden hingegen eher an Autoradios mit Bluetooth-Anbindung denken. Bluetooth auch als virtuellen "Autoschlüssel" zu verwenden erscheint angesichts der ellenlangen Liste an Sicherheitsproblemen so abwegig, dass manche Hersteller sich wohl gedacht haben: Dann erst recht!
Anders lässt es sich nicht erklären, dass Tesla seinen Kunden eben ermöglicht, ein Smartphone mit aktiviertem Bluetooth als "Autoschlüssel" zu verwenden. Die Idee dabei ist, dass Bluetooth LE (Low Energy) theoretisch eine so begrenzte Reichweite hat, das besagtes Handy schon bis auf wenige Meter an dem Auto dran sein muss, um dieses zu entsperren. Dass man aber mit handelsüblichen Bluetooth-Adaptern und der passenden Software, diese Entfernungs-Hürde sehr einfach umgehen kann, war bei Tesla wohl niemandem bewusst.
Besitzer eines Tesla sollten also nach Möglichkeit auf die Verwendung eines Smartphones als Autoschlüssel tunlichst verzichten, oder zumindest die optionale PIN-Abfrage aktivieren. Ob es dann nicht einfacher ist gleich den richtigen Autoschlüssel zu verwenden sei mal dahingestellt.
Quelle: 'Bluetooth-Angriff: Tesla Model 3 und Tesla Y flott gestohlen' auf Heise Online
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Die Woche gibt es zwar keine neuen Sicherheitslücken in den Geräten, aber der Hersteller warnt einmal mehr von aktuellen Angriffswellen und rät dazu die aktuellen Sicherheitsupdates möglichst zügig zu installieren.
Details zu den aktuellen Bedrohungen kann man im Heise Online Artikel nachlesen.
Quelle: 'Qnap warnt vor Ransomware-Angriffen auf Netzwerkspeicher' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Massive Angriffe auf Lücke in WordPress-Plug-in Tatsu Builder' auf Heise Online
Quelle: 'Sicherheitsupdates: Admin-Lücke bedroht WordPress-Websites mit Jupiter Theme' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Zugangskontrolle: Aruba schließt Sicherheitslücken in ClearPass Policy Manager' auf Heise Online
Quelle: 'Attacken auf VMware-Sicherheitslücken: Jetzt updaten!' auf Heise Online
Quelle: 'Nutzer könnten Sonicwall SMA-100 beliebigen Code unterjubeln' auf Heise Online
Quelle: 'Angreifer könnten mit DNS-Software BIND erstellte TLS-Sessions "zerstören"' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 101.0.4951.64 behebt 13 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hohes Risiko" ein.
Zusätzlich hat Google Version 100.0.4896.160 von Chromium veröffentlicht, das ist die Ausgabe aus dem zweimonatigen Release-Zyklus. Wie üblich verrät Google nicht wieviele Lücken hier behoben wurden, es ist aber davon auszugehen, das diese Ausgabe ebenso abgesichert ist wie die 101er.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Google schließt in Chrome 13 Sicherheitslücken' auf Heise Online
Vivaldi:Am Mittwoch wurde auch Vivaldi auf die abgesicherte Chromium-Version 100.0.4896.162 aktualisiert. Anwender von Vivaldi sollten sicherstellen, dass sie Version 5.2 Update 8 (5.2.2623.46) bereits installiert haben, oder den eingebauten Update-Mechanismus (V → Hilfe → Nach Updates suchen) bemühen um das zügig nachzuholen.
Quelle: 'Minor update (8) for Vivaldi Desktop Browser 5.2' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch die Microsoft Edge Entwickler aus Redmond haben ihren Browser mittlerweile aktualisiert. Anwender von Microsoft Edge sollten sicherstellen, dass Version 101.0.1210.47 installiert ist oder das rasch nachholen.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Im Layout-Programm InDesign hat Adobe drei kritische Sicherheitslücken behoben. Hier sollte man auf Version 16.4.2 (2021) oder 17.2 (2022) aktualisieren.
Info: Adobe Security Bulletin APSB22-23 (Englisch)
In Adobe Character Animator wurde eine Lücke behoben die als "kritisch" eingestuft wurde. Betroffen sind alle Versionen von Character Animator. Wer die Software einsetzt, sollte unbedingt auf Version 4.4.7 (2021) oder 22.4 (2022) updaten und alle älteren Versionen deinstallieren.
Quelle: Adobe Security Bulletin APSB22-21 (Englisch)
Nutzer von Adobe ColdFusion 2018 und 2021 sollten unbedingt auf ColdFusion 2018 Update 14 bzw. ColdFusion 2021 Update 4 aktualisieren, um eine als "wchtig" eingestufte Sicherheitslücke zu schließen. Details zu der Lücke gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2016 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.
Quelle: 'Adobe Security Bulletin APSB22-22' auf Adobe.com (Englisch)
Im Desktop-Publishing-Programm Adobe Framemaker wurden 9 kritische und eine "wichtige" Sicherheitslücke gefunden und behoben. Wer das Programm einsetzt, sollte unbedingt die im Security Bulletin verlinkten Updates installieren.
Quelle: Adobe Security Bulletin APSB22-27 (Englisch)
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen kritische Sicherheitslücken. Hier sollte unbedingt auf Version 17.2 aktualisiert werden, um sicher zu sein.
Im verlinkten Sicherheitsbulletin schreibt Adobe zwar von Version 16.4.2, jedoch erzwingt eine ältere Sicherheitslücke bereits die Version 17, daher sollte man auch wirklich gleich zur Version 17 greifen und nicht mehr zu Version 16.4.2.
Info: Adobe Security Bulletin APSB22-28 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday Microsoft: Windows-Schwachstelle attackiert - Domain-Controller updaten' auf Heise Online
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20.04 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Anwender, die auf die ZoneAlarm-Firewall des Herstellers Checkpoint setzen, sollten unbedingt zügig ein Sicherheitsupdate auf Version 15.8.200.19118 installieren.
Quelle: 'Desktop-Firewall ZoneAlarm: Kritische Lücke ermöglicht Rechteausweitung' auf Heise Online
Sowohl AMD als auch Intel haben im Mai eine Menge Sicherheitslücken in ihren Prozessoren bzw. Firmware-Paketen gemeldet. Beide Hersteller haben bereits auch abgesicherte Versionen an die jeweiligen Mainboard- bzw. Computer-Hersteller geliefert. Ob diese die Updates jedoch auch an Endkunden weitergeben ist immer mit Fragezeichen versehen.
AMD hat bereits Jänner/Februar abgesicherte AGESA Versionen an seine Partner ausgesendet. Kurze Stichproben bei je einem Mainboard von Asus und MSI haben ergeben, dass Asus das Update bisher verschlafen hat (dafür aber bereits die nachfolgende Version als BETA Bios testet) MSI es bereits ausliefert. Aufgrund der riesigen Menge an Herstellern und Modellen ist das wie gesagt nur eine Stichprobe. Wer einen Ryzen basierten Prozessor besitzt sollte auf jeden Fall mal wieder nachsehen, ob es für das Mainboard bzw. Notebook eine neue BIOS-Version gibt. Da die meisten Hersteller mittlerweile angeben welche AGESA Version in einem BIOS verwendet wird, kann man dann anhand der AMD Sicherheitsbenachrichtigung prüfen, ob diese BIOS bereits abgesichert ist oder nicht.
Quelle: AMD Sicherheitsbenachrichtigung für Client-Systeme, Mai 2022
Auch bei Intel gilt, dass Endkunden sich in den allermeisten Fällen an den Hersteller des Mainboards oder Notebooks halten müssen. Betroffen sind jedenfalls zumindest Prozessoren aus der 7ten bis 11 Core-i Generation. Ob ältere Prozessoren tatsächlich nicht betroffen oder nur nicht erwähnt werden (weil zu alt) ist nicht bekannt. Anders als bei AMD gibt es hier keine AGESA Version, nach der man bei einem neuen BIOS Ausschau halten könnte, um zu wissen, ob es eine abgesicherte Version ist oder nicht. Hier muss man darauf hoffen, dass der Hersteller mindestens eine der unzähligen CVEs auflistet, um einen Anhaltspunkt zu haben. Allerdings weis man dann nicht, ob wenn eine CVE "behoben" ist das für alle anderen auch gilt.
Quelle: 'Prozessoren-Patchday: AMD und Intel verteilen Updates' auf Heise Online
In etlichen Computern von HP, die wohl meistens eher dem Business-Segment zuzuordnen sind, wurden Sicherheitslücken mit dem Bedrohungsgrad "hoch" entdeckt. BIOS Updates sollen diese schließen. In der verlinkten HP Sicherheitsmeldung sind die betroffenen Modelle aufgeführt und die zugehörigen Updates verlinkt.
Quelle: 'Aktuelle BIOS/UEFI-Versionen schließen Schadcode-Schlupflöcher in HP-Computern' auf Heise Online
Quelle: 'HP PC BIOS - May 2022 Security Updates' auf HP.com (Englisch)
Spielkonsolen sind ein eher seltener Vertreter in unseren Newslettern, aber letztendlich sind auch das nur kleine Heim-Computer die natürlich auch entsprechende Sicherheitslücken haben können. Aktuell liefert die Playstation 4 und 5 von Sony den Beweis. Besitzer dieser Konsolen sollten zügig auf die aktuellste Software-Version updaten, falls noch nicht geschehen.
Quelle: 'Playstation: Lücke in NetBSD-Treiber könnte Codeschmuggel ermöglichen' auf Heise Online
In den im Rahmen des Projektes 'Freifunk' verwendeten Router wurde eine schwere Sicherheitslücke entdeckt, die es Angreifern ermöglichte, eigene Software auf die Router zu installieren. Das Problem wurde durch ein Firmware-Update behoben. Wer einen Freifunk-Router betreibt, sollte umgehend die Aktualisierung vornehmen.
Quelle: 'Freifunk: Einschleusen schädlicher Firmware durch kritische Lücke möglich' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Microsoft Windows 11 verliert Zugriff auf Private Keys von Zertifikaten' auf Heise Online
Quelle: 'Patchday: Fortinet schützt IP-Telefone vor Schadcode-Attacken' auf Heise Online
Quelle: 'Patchday: SAP behebt acht neu entdeckte Sicherheitsprobleme' auf Heise Online
Quelle: 'Jetzt patchen! F5 BIG-IP-Systeme werden aktiv angegriffen' auf Heise Online
Quelle: 'Windows-Updates verursachen Start- und Authentifizierungsprobleme' auf Heise Online
Quelle: 'Jetzt patchen! Zyxel Firewalls als Schlupfloch in Firmen-Netzwerke' auf Heise Online
Quelle: 'Sicherheitslücken in Sonicwall SMA 1000 und SSL-VPN erlauben unbefugten Zugriff' auf Heise Online
Qnap hat erneut eine Sicherheitswarnung für mehrere seiner Produkte veröffentlicht. Ausnahmsweise geht es nicht nur um NAS-Systeme, sondern auch um Videoüberwachungssysteme. Angreifern könnten auf den Überwachungssystemen Schadcode ausführen, was die schwerste Form einer Sicherheitslücke darstellt und von Qnap folgerichtig auch als "kritische" Bedrohung eingestuft wird. Bei den betroffenen NAS Systemen wurden vier Lücken entdeckt, die in Summe ein "hohes" Risiko darstellen.
Besitzer bzw. Administratoren von Qnap-Systemen sollten unbedingt prüfen ob die eigenen Systeme betroffen sind und diese gegebenenfalls umgehend aktualisieren.
Wer jedoch denkt, dass nach Installation der neuesten Updates alle Systeme rund um abgesichert sind, irrt. Noch immer fehlen teilweise Updates gegen die Sicherheitslücke über die wir letzte Woche berichtet hatten. Und auch Apache und OpenSSL in den Qnap-Systemen sind immer noch löchrig.
Quelle: 'Schadcode-Attacken auf Videoüberwachungssystem und NAS von Qnap möglich' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'TLStorm 2: Kritische Lücken bedrohen Switches von Aruba und Avaya' auf Heise Online
Quelle: 'Angreifer könnten die volle Kontrolle über F5 BIG-IP-Systeme erlangen' auf Heise Online
Quelle: 'Sicherheitsupdates: Cisco schließt VM-Ausbruch-Lücken mit Root-Zugriff' auf Heise Online
Quelle: 'Sicherheitsupdate schützt IBMs Datenbanksystem Informix Dynamic Server' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 101 behebt 30 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hohes Risiko" ein.
Zusätzlich hat Google Version 100.0.4896.143 von Chromium veröffentlicht, das ist die Ausgabe aus dem zweimonatigen Release-Zyklus. Wie üblich verrät Google nicht wieviele Lücken hier behoben wurden, es ist aber davon auszugehen, das diese Ausgabe ebenso abgesichert ist wie die 101er.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser Google Chrome 101 schließt 30 Sicherheitslücken' auf Heise Online
Vivaldi:Am Donnerstag wurde auch Vivaldi auf die abgesicherte Chromium-Version 100.0.4896.147 aktualisiert. Anwender von Vivaldi sollten sicherstellen, dass sie Version 5.2 Update 7 (5.2.2623.41) bereits installiert haben, oder den eingebauten Update-Mechanismus (V → Hilfe → Nach Updates suchen) bemühen um das zügig nachzuholen.
Quelle: 'Minor update (7) for Vivaldi Desktop Browser 5.2' auf Vivaldi.com (Englisch)
Microsoft Edge:Hatte das Microsoft-Edge-Team die Sicherheitsupdates vor 2 Wochen noch verschlafen, lieferte es Version 101 wieder zeitnah aus. Anwender von Microsoft Edge sollten sicherstellen, dass Version 101.0.1210.32 installiert ist oder das rasch nachholen.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Nachdem die Video-Konferenz-Software Zoom vor einigen Monaten gar nicht aus den Negativ-Schlagzeilen rauskam, wurde es daraufhin etwas ruhiger in der Angelegenheit. Das sich Zoom in der Zwischenzeit aber keineswegs zum Saubermann entwickelt hat belegen die neuesten Sicherheitslücken in den diversen Software-Paketen von Zoom.
Wer Zoom auf deinem Computer installiert hat aber nicht regelmäßig nutzt, sollte es unbedingt deinstallieren. Wenn möglich sollte man nicht den Zoom-Client, sondern die Webversion verwenden, dann hat man automatisch immer die aktuellste Version und auch generell weniger Angriffsfläche. Wenn man den installierten Client unbedingt benötigt, sollte man diesen regelmäßig aktualisieren, zumindest aber vor jeder Benutzung. Leider aktualisiert sich die Software nicht selbst.
Quelle: 'Videokonferenzen: Schwachstellen in Zoom ermöglichen Rechteausweitung und mehr' auf Heise Online
Der Super-Virus Emotet ist zurück. Die Macher des Virus setzen nun erstaunlicherweise auf eine neue Masche. Statt Word-Dateien mit Macro-Virus werden nun LNK-Dateien (Verknüpfungen) verwendet. Da viele E-Mail-Programme diese Dateitypen aber blockieren werden die LNK-Dateien in Passwort-geschützte ZIP-Archive gepackt. Das Passwort für die ZIP-Datei ist im E-Mail logischerweise enthalten, sodass die "Opfer" die Datei entpacken können.
Wie schon gesagt waren wir über die Strategie-Änderung verwundert, denn die manipulierten Word-Dateien waren weniger verdächtig, viele Anwender haben die ohne groß nachzudenken ausgeführt und sich den Virus so schnell eingefangen. Eine Datei aus einem passwortgeschützten Archiv auszupacken ist schon grundsätzlich sehr viel verdächtiger, und in den allermeisten Fällen sollte man so etwas grundsätzlich nicht tun.
Andererseits steigt so natürlich die zahl der potenziell verwundbaren System noch einmal extrem, denn selbst Firmen wo die Ausführung von Macros per Gruppenrichtlinie verboten sind kommen so wieder ins Visier von Emotet. Ebenso Anwender von LibreOffice, die bisher über Macro-Viren in MS-Office-Dokumenten ebenfalls nur müde lächeln konnten.
Fazit: Die neue Methode macht es aufgeklärten Anwender letztendlich leichter potenzielle Viren zu erkennen. Öffnen sie einfach niemals ZIP-Dateien mit einem Passwort, außer sie sind sich 100% sicher, dass die Datei sauber ist. Ein Scan der passwortgeschützten ZIP-Datei mit einem Virenscanner ist indes nutzlos, weil der Inhalt der ZIP-Datei ohne das Passwort eben nicht geprüft werden kann.
Quelle: 'Emotet war kaputt, infiziert jetzt aber wieder vermehrt Windows-Computer' auf Heise Online
In den NAS System der Hersteller Synology und QNAP stecken kritische Sicherheitslücken. Beide Hersteller liefern bisher nur für wenige Geräte Updates aus, die meisten Geräte sind noch nicht abgesichert.
Bei Qnap ist die verwundbare Funktion abschaltbar. Der Hersteller schreibt jedoch nur, dass man "AFP" abschalten solle, wenn noch kein Update verfügbar ist, wo genau diese Einstellung zu finden ist, wird leider nicht erwähnt.
Ob man das unsichere Apple-Protokoll auch bei Synology deaktivieren kann wissen wir leider nicht. Falls möglich und noch kein Update verfügbar sollte man das auf jeden Fall tun. Ist es nicht möglich, sollte zumindest der Zugriff auf das NAS übers Internet deaktiviert werden.
Wie der aktuelle Stand bzgl. Updates der Hersteller ist, können sie in den jeweiligen Sicherheits-Warnungen nachlesen.
Quelle: 'Netzwerkspeicher: Apple-Protokolle reißen Sicherheitslücken in Qnap-NAS' auf Heise Online
Quelle: 'QNAP Sicherheitswarnung zu Netatalk' auf qnap.com (englisch)
Quelle: 'Netzwerkspeicher: Auch Synology von netatalk-Sicherheitslücken betroffen' auf Heise Online
Quelle: 'Synology Sicherheitswarnung zu Netatalk' auf synology.com (englisch)
Das VideoLAN Team hat eine neue Version des VLC Media Players veröffentlicht. Primär gibt es jede Menge kleinere Verbesserungen unter der Haube und auch zwei Sicherheitsupdates erwähnen die Entwickler beiläufig. Ob die geschlossenen Sicherheitslücken in VLC überhaupt ausnutzbar waren ist aber nicht geklärt. Das deutsche BSI und Cert führen die neue VLC-Version nicht als Sicherheitsupdate.
Auch wenn die neue Version wohl sicherheitstechnisch nicht relevant ist, empfiehlt es sich trotzdem für alle Anwender der Software auf die neue Version upzudaten.
Download: VLC Media Player 3.0.17.4 für Windows (32Bit)
Download: VLC Media Player 3.0.17.4 für Windows (64Bit)
Quelle: 'Releasenotes für VLC Media Player 3.0.17' auf Videolan.org (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Lagebild: Gefahr durch kritische Log4Shell-Lücke ungebrochen' auf Heise Online
Quelle: 'Schadcode könnte Nvidias Embedded-System Jetson gefährlich werden' auf Heise Online
Quelle: 'Microsoft findet root-Lücken in Linux' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Firewalls von Cisco neu starten lassen' auf Heise Online
Quelle: 'Angreifer könnten in Installationsprozess von Sonicwall Global VPN einsteigen' auf Heise Online
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 520 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:Oracle hat Version 8.0 Update 331 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 12 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein, obwohl mehrere Lücken aus der Ferne ausnützbar sein sollen. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15 und 16 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.15, 17.0.3 oder 18.0.1 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
Quelle: 'Bug in Java macht digitale Signaturen wertlos' auf Heise Online
In dem PC-Emulator VirtualBox wurden 5 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich zwar keine der Lücken übers Internet ausnützen, dennoch sind die Gefahreneinstufungen relativ hoch. Wer VirtualBox auf seinem PC nutzt, sollte also unbedingt auf die neue Version 6.1.34 updaten.
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - April 2022' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - April 2022' auf Oracle.com (Englisch)
Quelle: 'Oracle stellt 520 Sicherheitspatches für sein Software-Portfolio bereit' auf Heise Online
Lenovo hat in letzter Zeit gleich mehrere Sicherheits-Bulletins veröffentlicht. Es gibt Updates für Software wie auch BIOS.
Lenovo warnt davor, dass bei Update-Paketen die vor dem 15.02.2022 veröffentlicht wurden, die Gefahr besteht, dass normale Anwender sich Admin-Rechte erschleichen. Für Privatanwender wird das in der Regel keine Rolle spielen, Firmen-Administratoren sollten überlegen den Zugriff auf das Programm auf Administratoren zu beschränken.
Quelle: 'Lenovo System Update Privilege Escalation Vulnerability' auf Lenovo.com (Englisch)
Quelle: 'Lenovo System Update könnte Schadcode auf Computer lassen' auf Heise Online
In den BIOS Versionen etlicher Lenovo Heimanwender-Notebooks (Marken: Lenovo, IdeaPad, Legion usw.) wurden bis zu 3 Sicherheitslücken behoben. Welche Notebooks betroffen sind und welche BIOS-Version die Lücken schließt (bzw. ob das Update überhaupt schon verfügbar ist), kann man dem umfangreichen Sicherheitsbulletin dazu entnehmen. In der Regel reicht es aber die Updates zu installieren, die über die Update-Tools ("Lenovo System Update" oder "Lenovo Vantage") angeboten werden.
Quelle: 'Lenovo Notebook BIOS Vulnerabilities' auf Lenovo.com (Englisch)
Und auch für die Business-Notebooks von Lenovo gibt es BIOS-Updates. Auch hier gibt das Sicherheitsbulletin Auskunft darüber, welche Geräte betroffen sind und welches Update die Lücke schließt. Genau wie bei den Heimanwender-Notebooks genügt es auch hier alle Updates die über "Lenovo System Update" angeboten werden zu installieren. Im Gegensatz zu den günstigen Heimanwender-Geräten sind bei den Profi-Geräten bereits sämtliche BIOS-Updates verfügbar.
Quelle: 'ThinkPad BIOS Vulnerabilities' auf Lenovo.com (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Angreifer könnten sich als Admins an Cisco Wireless LAN Controller anmelden' auf Heise Online
Quelle: 'Patch gegen Log4j für Amazon Web Services reißt neue Sicherheitslöcher auf' auf Heise Online
Quelle: 'Kritische Lücken in XML Parser Expat gefährden IBM Db2' auf Heise Online
Quelle: 'Sicherheitsupdates Atlassian Jira: Angreifer könnten Authentifizierung umgehen' auf Heise Online
Quelle: 'IBM schließt kritische Sicherheitslücken in Cognos Analytics' auf Heise Online
Und wieder einmal liegt eine Arbeitswoche hinter uns, in der uns Google mit 2 Sicherheitsupdates beglückt hat. Am Montag (US-Zeit) hat der Konzern 11 Sicherheitslücken mit Version 100.0.4896.88 geschlossen. Gestern nach US-Zeit, heißt heute nach europäischer Zeit, lieferte man dann noch Version 100.0.4896.127 hinterher, die nochmals 2 Sicherheitslücken behoben hat. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser Google Chrome: Elf Sicherheitslücken gestopft' auf Heise Online
Quelle: 'Stable Channel Update for Desktop' auf googleblog.com (Englisch)
Vivaldi:Vivaldi Anwender haben die "Aktualisierung verfügbar"-Benachrichtigung diese Woche besonders ausgiebig studieren können. Denn die Norweger haben nicht nur die beiden Sicherheitsupdates ausgeliefert, sondern auch noch mehrere Stabilitäts-Updates, die diverse Abstürze behoben haben.
Anwender von Vivaldi sollten sicherstellen, dass sie Version 5.2 Update 6 (5.2.2623.39) bereits installiert haben, oder den eingebauten Update-Mechanismus (V → Hilfe → Nach Updates suchen) bemühen um das zügig nachzuholen.
Quelle: 'Minor update (6) for Vivaldi Desktop Browser 5.2' auf Vivaldi.com (Englisch)
Microsoft Edge:Das Microsoft-Edge-Team ist vermutlich schon in den Osterferien, denn die Leute aus Redmond haben beide Chromium-Sicherheitsupdates "verschlafen". Edge Anwender die auf Nummer sicher gehen wollen, sollten (zumindest vorübergehend) zu Vivaldi wechseln.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & AcrobatAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 22.001.20117 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB22-16 (Englisch)
Adobe PhotoshopIn Photoshop 2021 und 2022 wurden ebenfalls mehrere als "kritisch" eingestufte Schwachstellen behoben. Die 2021er Jahresausgabe (Version 22.x) sollte auf Version 22.5.7 aktualisiert werden, die 2022er Jahresausgabe (Version 23.x) auf Version 23.3. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB22-20' auf Adobe.com (Englisch)
Adobe After EffectsIn Adobe After Effects wurden zwei kritische Sicherheitslücken behoben. Alle Anwender von After Effects sollten zügig auf Version 18.4.6 (2021) oder 22.3 (2022) updaten und alle älteren Fassungen deinstallieren.
Quelle: Adobe Security Bulletin APSB22-19 (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurde eine Sicherheitslücke behoben, deren Einstufung als "kritisch" bezeichnet wird. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB22-13 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Angreifer nehmen von der NSA entdeckte Windows-Lücke ins Visier' auf Heise Online
Kein Support mehr!Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20.04 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Verschlüsselungsschwächen in Datenmanagementsoftware Dell EMC PowerScale OneFS' auf Heise Online
Quelle: 'Patchday: SAP dichtet 30 Sicherheitslücken ab' auf Heise Online
Quelle: 'Sicherheitspatch für Apache Struts unvollständig – neues Updates soll es richten' auf Heise Online
Quelle: 'Drittherstellermodule reißen kritische Sicherheitslücken in HP Teradici PCoIP' auf Heise Online
Quelle: 'Angreifer könnten unberechtigt auf Systeme mit Citrix-Software zugreifen' auf Heise Online
Quelle: 'Jetzt patchen! Attacken auf VMware Identity Manager und Workspace One Access' auf Heise Online
Quelle: 'Lücken in mehren Komponente machen Datenmanagement-Software IBM Db2 angreifbar' auf Heise Online
Quelle: 'Sicherheitsupdate: Admin-Tool Grafana Enterprise ist verwundbar' auf Heise Online
Quelle: 'Sicherheitslücke: Git liefert Patch für Windows- und Multi-User-Systeme' auf Heise Online
Nachdem Google erst letzte Woche 2 Sicherheitsupdate veröffentlicht hat, hat der Konzern diesen Dienstag gleich nochmal Sicherheitsupdates hinterhergeschoben. Die neue Versionsnummer von Google Chrome bzw. Chromium lautet nun 100.0.4896.75. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Update für Google Chrome schließt Sicherheitslücke' auf Heise Online
Vivaldi:Die Vivaldi Entwickler haben unsere zeitliche Einschätzung von letztem Freitag gerade noch so erfüllt, und die Version 5.2 von Vivaldi am Mittwoch veröffentlicht. Darin war bereits die abgesicherte Chromium Version enthalten, die Google tags zuvor veröffentlicht hat. Das heißt, Vivaldi ist wieder auf dem neuesten Sicherheits-Stand.
Die neue Version bringt natürlich auch wieder kleine Neuerungen an der Benutzeroberfläche, aber einmal mehr nichts Gravierendes. Die Leseliste ist nun nicht nur als Flyout aus der Adresszeile verfügbar, sondern auch in der Panelleiste.
Auf der Schnellstartseite wird nun die Zahl der unterdrückten Tracker und Werbeanzeigen angezeigt (aktuell noch auf Englisch). Letzteres funktioniert natürlich nur, wenn der Vivaldi eigene Blocker aktiviert ist und auch nur für die damit unterdrückten Objekte. Von Blocker-Erweiterungen unterdrückte Objekte kann die eingebaute Statistik nicht berücksichtigen.
Heute hat Vivaldi dann noch ein erstes Update für Version 5.2 nachgeschoben. Hier werden vor allem ein paar mögliche Absturz-Ursachen und andere kleine Fehler behoben. Vivaldi Anwender sollten sicherstellen, dass sie bereits Version 5.2 Update 1 verwenden oder die Software über den eingebauten Updater aktualisieren.
Quelle: 'Vivaldi 5.2 bringt Datenschutzstatistik und integriert die Suchmaschine Qwant' auf Heise Online
Quelle: 'News Artikel zu Version 5.2' auf Vivaldi.com (Deutsch)
Quelle: 'Minor update for Vivaldi Desktop Browser 5.2' auf Vivaldi.com (Englisch)
Microsoft Edge:Das Microsoft-Edge-Team ist offenbar aus dem kurzen Winterschlaf erwacht und hat diese Woche Edge auf den neuesten Sicherheits-Stand gebracht. Anwender von Edge sollten sicherstellen, dass bereits Version 100.0.1185.36 verwendet wird oder zügig updaten.
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
Die Entwickler von Thunderbird haben die Version 91.8 des beliebten E-Mail-Programms veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe 9 Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 91.8.0, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.8.0, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.8.0 Release Notes' auf Mozilla.org (Englisch)
Mozilla hat Firefox 99 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 91.8. Anwender die immer noch eine 78er ESR-Version verwenden, müssen nun unbedingt auf die 91.8 upgraden.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox 99: Kreditkartendaten im Browser und zwölf Sicherheitslücken geschlossen' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Fortinet dichtet Schwachstellen in Security-Lösungen und weiteren Produkten ab' auf Heise Online
Quelle: 'Jetzt aktualisieren: VMware patcht teils kritische Sicherheitslücken' auf Heise Online
Quelle: 'Netzwerkausstatter: Zahlreiche Schwachstellen in Cisco-Produkten' auf Heise Online
Google hat in den letzten 7 Tagen wieder zweimal Sicherheitsupdates veröffentlicht. Zuerst wurde am vergangenen Samstag ein Notfall-Update ausgeliefert, weil eine Sicherheitslücke bereits aktiv in freier Wildbahn ausgenutzt wurde. Die neuen Versionsnummern waren hier 99.0.4844.84 bzw. 98.0.4758.141.
Am Mittwoch (europäischer Zeit) folgte dann das geplante Update auf Chromium 100. Hier wurden dann noch einmal 28 Sicherheitslücken behoben, die aber aktuell wohl noch nicht ausgenutzt werden. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Notfallupdate für Google Chrome – jetzt aktualisieren' auf Heise Online
Quelle: 'Chrome 100 bringt Multi-Monitor-Setup und schließt 28 Sicherheitslücken' auf Heise Online
Vivaldi:Die Vivaldi Entwickler haben das Chromium-Sicherheitsupdate vom Samstag mal wieder schnell übernommen und wenige Stunden später bereits Vivaldi 5.1 Update 5 veröffentlicht. Vivaldi Anwender sollten prüfen, ob sie die aktuelle Version verwenden und falls nicht umgehend updaten.
Das Update auf die Chromium 100 Basis dauert aber wie nicht anders zu erwarten noch ein paar Tage länger. Da bisher nur die am Samstag geschlossene Lücke aktiv ausgenutzt wird, stellt das aber aktuell keine größere Bedrohung dar. Vivaldi 5.2 wird vermutlich in der ersten Hälfte der kommenden Woche fertig werden, es gab diese Woche bereits mehrere Vorab-Versionen zum Testen.
Quelle: 'Minor update (5) for Vivaldi Desktop Browser 5.1' auf Vivaldi.com (Englisch)
Microsoft Edge:Das Microsoft-Edge-Team hat scheinbar beide Chromium-Releases der letzten Tage verschlafen und liefert immer noch eine unsichere Chromium-Version aus. Anwender von Edge sollten entweder (zumindest vorübergehend) zu Vivaldi wechseln oder sehr vorsichtig beim surfen im Internet sein.
Opera hat unerwarteterweise immerhin das Update von letztem Samstag "bereits" übernommen. Es hat zwar fast eine ganze Woche länger gedauert als bei Vivaldi, aber immerhin ist Opera diese Woche mal nicht das Sicherheits-Schlusslicht. Das Update auf Chromium 100 ist aber wie bei Vivaldi und Edge noch nicht angekommen. Dieser einmalige Ausreißer genügt auch nicht unsere langfristige Meinung zu Opera zu ändern. Daher empfehlen wir Opera Anwendern nach wie vor zu Vivaldi zu wechseln.
Wer sein Heim mit RaspberryMatic "Smart" gemacht hat, sollte unbedingt prüfen, ob bereits Version 3.63.8.20220330 installiert ist und falls nicht umgehend updaten. Wer das unterlässt, begibt sich in Gefahr Opfer einer kritischen Sicherheitslücke zu werden. Laut den Entwicklern der Software bringt die neue Version auch Abseits des Sicherheitsthemas viele Verbesserungen.
Quelle: 'Smart Home: Übernahme durch kritische Sicherheitslücke in RaspberryMatic möglich' auf Heise Online
Die LibreOffice Gemeinde hat die Versionen 7.2.6 und 7.3.2 veröffentlicht. Beide Ausgaben sind Fehlerkorrekturen ihrer jeweiligen Vorgänger bringen aber keine neuen Funktionen oder Sicherheitsupdates. Wer bereits Version 7.2.5 oder neuer verwendet und mit der Software zufrieden ist muss also nicht unbedingt updaten.
Die Version 7.3.2 ist bisher ohnehin nur für Anwender gedacht die unbedingt die allerneuesten Funktionen haben wollen und dafür ev. Mangelnde Stabilität in Kauf nehmen. Für die breite Masse ist aktuell Version 7.2.6 die bessere Wahl.
Auch LanguageTool wurde aktualisiert!Auch die Entwickler der Grammatik- und Rechtschreibprüfung "LanguageTool" haben eine neue Version veröffentlicht. In Ausgabe 5.7 wurden einmal mehr die Grammatik-Regeln verbessert und die Wörterbücher aktualisiert.
Download: Aktuelle LibreOffice Versionen
Download: Aktuelle LanguageTool Versionen
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Firewall: Kritische Lücke in Sonicwall erlaubt Angreifern Einschmuggeln von Code' auf Heise Online
Quelle: 'Sicherheitsupdate: Sophos Firewall könnte Schadcode passieren lassen' auf Heise Online
Quelle: 'Geräteübernahme durch Sicherheitslücke in Zyxel Firewalls' auf Heise Online
Quelle: 'Kritische Schadcode-Lücke in In-Memory-Datenbank Redis geschlossen' auf Heise Online
Quelle: 'Root-Lücke im netfilter-Subsystem des Linux-Kernels' auf Heise Online
Quelle: 'Jetzt aktualisieren! Angriffe auf Sicherheitslücke in Trend Micro Apex Central' auf Heise Online
Quelle: 'Alte Sicherheitslücke in zlib könnte Codeschmuggel ermöglichen' auf Heise Online
Quelle: 'Verwirrung um kritische Sicherheitslücke im Umfeld des Spring-Framework' auf Heise Online
Quelle: 'Industriesteuerung: CISA warnt vor kritischer Lücke in Rockwell Automation' auf Heise Online
Quelle: 'Kritische Sicherheitslücke: Gitlab-Update außer der Reihe' auf Heise Online
Wir empfehlen:
Diese Website ist kompatibel zu:
