Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 106.0.5249.62 behebt 22 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Der 106er Versionszweig ist auch der neue extended stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt. Alle Anwender von Google Chrome sollten wie üblich zügig auf die neue Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser Chrome 106: Neue Funktionen und 20 abgedichtete Sicherheitslecks' auf Heise Online
Vivaldi:Wie so oft dauert es bei einem großen Versionssprung bei Vivaldi etwas länger, bis diese übernommen werden kann. So muss man auch beim Sprung auf die 106er Serie wieder etwas länger warten. Da aber keine der nun bekannten Lücken öffentlich ausgenutzt wird, muss man sich noch keine großen Sorgen machen deshalb.
Microsoft Edge:Auch Microsoft Edge hat den Sprung auf die 106er Version noch nicht geschafft. Wie bei Vivaldi gilt aber auch hier, dass man sich deswegen aktuell noch keine großen Sorgen machen muss.
Wieder einmal werden Angriffe auf Exchange Server beobachtet, gegen die es aktuell noch keine Sicherheitsupdates von Microsoft gibt. Exchange Server betreffen in der Regel keine normalen Anwender, aber aufgrund der großen Gefahr schreiben wir einen eigenen Artikel darüber und handeln dies nicht über die Zusammenfassung für Administratoren am Ende des Newsletters ab.
Einfallstor ist wieder einmal die Autodiscover-Funktion, diesmal aber eben auf Seite des Exchange-Servers und nicht in den Mail-Programmen (siehe frühere Autodiscover-Lücken, die bis heute ebenfalls nicht abgedichtet wurden). Ein Update ist wie schon angemerkt nicht erhältlich, aber mit ein paar Handgriffen in der ISS-Konfiguration soll man sich vor Angriffen schützen können. Wie genau das geht, ist in dem Bericht der Sicherheitsforscher von GTSC zu entnehmen, die zuerst auf die Angriffe aufmerksam wurden.
Administratoren von Exchange Servern, unabhängig davon, ob es sich um Fulltime-Admins oder normale Mitarbeiter handelt die "nebenbei" die Firmen-EDV warten, sollten die Schutzvorkehrung in IIS schnellstmöglich umsetzen, um das Firmennetz vor Angriffen zu schützen.
Quelle: 'Zero-Day-Attacken auf Microsoft Exchange Server – Sicherheitspatches fehlen' auf Heise Online
Quelle: Sicherheitsmeldung von GTSC mit Anleitung zur Absicherung auf gteltsc.vn
Lange war es angekündigt, jetzt ist es endlich soweit: Audacity 3.2 kann Effekte in Echtzeit anwenden! Anhand eines Beispiels zeigen wir wie gewaltig diese Änderung ist:
Angenommen, sie bearbeiten eine Audio-Datei und wenden zuerst einen Equalizer an, dann einen Limiter und dann einen dritten Filter. Nachdem der dritte Filter angewendet ist, würde man den Equalizer gerne etwas schwächer einstellen. Bisher musste man dann immer alle Filter wieder rückgängig machen, den Equalizer mit den neuen Werten neu anwenden, und dann auch die beiden folgenden Filter wieder neu anwenden.
Mit Echtzeit-Effekten ist das ein Ding der Vergangenheit, denn möchte man den Equalizer anders einstellen, öffnet man einfach den Filter und passt ihn neu an. Jeder einzelne Filter in der Effektkette kann jederzeit verändert werden. Auch die Reihenfolge der Filter kann jederzeit verändert werden. Im Beispiel könnte man also z.B. den Limiter einfach vor den Equalizer schieben.
Wie so oft hat die Sache aber einen Haken: Die mit Audacity mitgelieferten Filter sind (noch!) nicht Echtzeitfähig. Diese können weiterhin nur wie gehabt nacheinander angewendet werden. Echtzeitfähig sind bisher nur Effekte vom Typ 'Audio Units' (nur MacOS), VST3, LV2, und LADSPA. Die Unterstützung für VST3 ist zugleich eine weitere große Neuerung, denn bisher war in Audacity bei VST2 Schluss. Nun also auch VST3 und das sogar in Echtzeit.
Auch an der Oberfläche wurde ein wenig Feinschliff betrieben. Bei weitem kein so massiver Umbau wie die Echtzeit-Effekte, aber ein wenig frischer und aufgeräumter schaut die neue Audacty Version dann doch aus.
Wir hatten noch keine Zeit uns mit der neuen Version zu befassen, aber auf dem Papier (und im verlinkten Video) ist das eine Revolution. Schade nur, dass die mitgelieferten Effekt noch nicht echtzeitfähig sind. Zwar gibt es massenhaft kostenlose VST3-Plugins im Internet, aber langfristig bleibt zu hoffen, dass die mitgelieferten Effekte ebenfalls echtzeitfähig werden, um eine gemeinsame Basis für alle Audacity-Anwender zu haben. Außerdem würde man sich wünschen Echtzeit-Effekte nicht nur auf ganze Tracks, sondern auch Clips anwenden zu können. Aber vielleicht kommt ja auch das später noch.
Quelle: 'Update für Audacity: Echte Konkurrenz zu kommerzieller Audio-Software' auf Heise Online
Quelle: Ankündigungsvideo zu Audacity 3.2 auf YouTube (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Angreifer könnten DNS-Server bind lahmlegen' auf Heise Online
Quelle: 'Sophos Firewalls: Kritische Sicherheitslücke wird angegriffen' auf Heise Online
Quelle: 'Root-Lücke: Selbstheilungsfunktion gefährdet Cisco-Netzwerkhardware' auf Heise Online
Die Entwickler von Thunderbird haben die Versionen 102.3 des beliebten E-Mail-Programmes veröffentlicht. Darin werden einige Sicherheitslücken behoben die in Summe zu einer Bedrohung der Einstufung "hoch" führen.
Anwender, die bereits eine 102er Version von Thunderbird nutzen sollten zügig auf die Version 102.3 updaten. Wer aber noch Version 91 nutzt, hat nach wie vor die Qual der Wahl. Entweder Sicherheit und ein Upgrade auf die 102.3, oder die Funktion/Kompatibilität wahren und bei der letzten 91er Version bleiben. Jedem Anwender muss dabei klar sein, dass man den Wechsel nicht ewig hinauszögern kann, weil früher oder später wird es einfach zu unsicher mit der 91er Version weiterzuarbeiten.
Die gute Nachricht ist, TBSync und auch die Provider für CardDav/CalDav sowie für EAS sind mittlerweile "fertig". Allerdings sind diese Updates noch so frisch, dass sie bislang nur über Github downzuloaden sind und noch nicht über die Mozilla-Erweiterungs-Webseite. Damit funktioniert auch das automatische Update der Erweiterungen noch nicht.
Kurz gesagt, wer auf manche Erweiterungen dringend angewiesen ist, muss sich immer noch auf Bastelei einstellen, wenn man überhaupt schon eine Lösung mit der 102er Version zustande bekommt. Da ein Upgrade (von Version 91) also für viele Anwender immer noch erhebliche Probleme bereiten kann, können wir keine allgemeine Empfehlung für oder gegen ein Update aussprechen, das muss jeder für sich herausfinden. Wer ein Update wagt, sollte aber unbedingt ein Backup seines Thunderbird-Profils anfertigen, denn ein upgegradetes Profil kann mit Thunderbird 91 nicht mehr verwendet werden.
Aufgrund der aktuell verzwickten Lage bieten wir vorübergehend keine manuellen Downloads von Thunderbird an.
Info: 'Thunderbird 102.3 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Mozilla bringt Firefox 105 und Verbesserungen für Thunderbird 102' auf Heise Online
Mozilla hat Firefox 105 veröffentlicht. Die neue Version behebt Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 102.3
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Mozilla bringt Firefox 105 und Verbesserungen für Thunderbird 102' auf Heise Online
Erst im März und davor im Dezember musste HP für etliche Drucker Sicherheitsupdates veröffentlichen, nun wurden schon wieder schwere Sicherheitslücken in den HP Druckertreibern entdeckt. Über 50 Drucker sind diesmal betroffen und HP stuft die Lücken in Summe als kritisch ein.
Wer einen Drucker von HP installiert hat, sollte unbedingt rasch prüfen, ob es dafür neue Treiber bzw. Firmware gibt und diese zügig installieren.
Quelle: 'HP-Drucker: Kritische Lücke erlaubt Codeschmuggel in diversen Modellen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Notfallpatch für Microsoft Endpoint Configuration Manager erschienen' auf Heise Online
Quelle: 'Python: 15 Jahre alte Schwachstelle betrifft potenziell 350.000 Projekte' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Das ehemals Flash genannte Web-Animationsprogramm enthielt zwei kritische Sicherheitslücken. Wer Adobe Animate installiert hat, sollte es zügig auf Version 21.0.12 (2021) oder 22.0.8 (2022) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB22-54 (Englisch)
In Adobe Bridge wurden etliche Sicherheitslücken behoben, viele davon kritischer Natur. Anwender, die Adobe Bridge installiert haben, sollten daher zügig auf Version 12.0.3 updaten.
Info: Adobe Security Bulletin APSB22-49 (Englisch)
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es mehrere kritische Sicherheitslücken. Alle Details können sie im verlinkten Adobe Security Bulletin nachlesen.
Quelle: Adobe Security Bulletin APSB22-40 (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe eine "kritische" und zwei "wichtige" Sicherheitslücken behoben. Um wieder sicher zu sein, müssen Anwender auf Version 25.4.8 (2021) oder 26.5 (2022) updaten.
Info: Adobe Security Bulletin APSB22-55 (Englisch)
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen kritische Sicherheitslücken. Hier sollte unbedingt auf Version 17.4 aktualisiert werden, um sicher zu sein.
Im verlinkten Sicherheitsbulletin schreibt Adobe zwar von Version 16.4.3, jedoch erzwingt eine ältere Sicherheitslücke bereits die Version 17, daher sollte man auch wirklich gleich zur Version 17 greifen und nicht mehr zu Version 16.4.3.
Info: Adobe Security Bulletin APSB22-53 (Englisch)
Im Layout-Programm InDesign hat Adobe mehrere kritische Sicherheitslücken behoben. Hier sollte man auf Version 16.4.3 (2021) oder 17.4 (2022) aktualisieren.
Info: Adobe Security Bulletin APSB22-50 (Englisch)
In Photoshop 2021 und 2022 wurden etliche "kritische" und eine "wichtige" Sicherheitslücke behoben. Die 2021er Jahresausgabe (Version 22.x) sollte auf Version 22.5.9 aktualisiert werden, die 2022er Jahresausgabe (Version 23.x) auf Version 23.5. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB22-52' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday: Angreifer attackieren Windows 7 bis 11' auf Heise Online
Lenovo hat mehrere Sicherheitslücken in seinen UEFI-Firmwares (BIOS) behoben. Um die nun behobenen Lücken ausnützen zu können, muss ein Angreifer jedoch bereits administrativen Zugang zu den Geräten haben. Ein Angriff aus der Ferne ist auf diese Lücken nicht möglich. Nichtsdestotrotz sollten Besitzer bzw. Administratoren der betroffenen Geräte die bereits zur Verfügung gestellten Updates zeitnah einspielen. In der Regel gelingt das durch die Lenovo-Update-Programme, die auf den Geräten vorinstalliert sind (Lenovo System Update, Lenovo Vantage usw.).
Betroffen sind extrem viele Geräte sowohl aus dem Heimanwender- wie auch Business-Bereich. Für sehr viele Geräte sind die Updates bereits verfügbar, weitere werden bis Ende des Monats erwartet. Welche Geräte betroffen sind (bzw. welche Geräte ein Update erhalten) kann man dem Sicherheitsbericht von Lenovo entnehmen.
Quelle: 'Sicherheitsupdates: BIOS-Lücken gefährden unzählige Lenovo-PCs' auf Heise Online
Quelle: 'Sicherheitsbericht von Lenovo mit Liste der betroffenen Geräte' auf Lenovo.com (Englisch)
Sicherheitsforscher haben bereits vor über einem Jahr 3 Sicherheitslücken in diversen BIOS Versionen von HP vertraulich an den Hersteller gemeldet. Mittlerweile sind Ihnen bereits 6 Lücken bekannt, doch auch nach der langen Zeit warten viele Geräte, überwiegend aus dem Businessbereich (was die Sache noch brisanter macht), immer noch auf die entsprechenden Sicherheitsupdates.
Auch eine Nachfrage von Heise Security hat bisher keine Auskunft ergaben, wann denn hier mit Sicherheitsupdates zu rechnen ist. Details zu den Lücken sind nicht bekannt, auch nicht, ob diese aus der Ferne möglich sind, was sie extrem kritisch machen würde.
Fazit: HP bekleckert sich hier eindeutig nicht mit Ruhm und verprellt gerade Business-Kunden, die meist deutlich mehr Wert auf Sicherheit legen als Privatanwender. Anwender von HP Geräten sollten überprüfen, ob zumindest die verfügbaren Updates alle installiert sind.
Quelle: 'Warten auf Sicherheitsupdates: Einige HP-Computer sind seit Monaten verwundbar' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitslücke in WordPress-Plug-in WPGateway macht Angreifer zu Admins' auf Heise Online
Quelle: 'Supply-Chain-Attacke: Trojaner in FishPig-Software bedroht Onlineshops' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Lorenz Ransomware nutzt VoIP-Telefone MiVoice Connect von Mitel als Sprungbrett' auf Heise Online
Quelle: 'Patchday: SAP-Admins sollten jetzt handeln' auf Heise Online
Quelle: 'Sicherheitslösung Apex One von Trend Micro im Visier von Angreifern' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 105.0.5195.102 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Zusätzliche Brisanz erhält die Einstufung aber dadurch, das Angriffe auf die Lücke anscheinend bereits durchgeführt werden, weshalb man sehr zügig updaten sollte.
Im Zweig mit erweiterten Support lautet die neue Versionsnummer 104.0.5112.114, welche Lücken hier behoben wurden lässt Google leider wie üblich im Unklaren.
Alle Anwender von Google Chrome sollten wie üblich schnellstmöglich auf die neue Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Google warnt vor möglichen Attacken auf Chrome' auf Heise Online
Vivaldi:Wie üblich haben die Vivaldi-Entwickler bei dem Sicherheitsupdate wieder einen Sprint hingelegt, und die abgesicherte Vivaldi Version nur wenige Stunden nach Google präsentiert. Anwender von Vivaldi sollten aufgrund der kritischen Lücke ebenfalls zügig aktualisieren, falls nicht bereits geschehen.
Quelle: 'Minor update (6) for Vivaldi Desktop Browser 5.4' auf Vivaldi.com (Englisch)
Microsoft Edge:Microsoft macht es Anwendern bei der neuen Edge Version irrsinnig schwer herauszufinden welche Chromium-Version drinsteckt. Nach langer Suche können wir aber nun bestätigen, das die aktuelle Edge Version 105.0.1343.27 vom 3. September die aktuelle Chromium-Version enthält. Das heißt auch Edge Anwender können beruhigt im Internet surfen, sofern das aktuelle Update bereits installiert wurde.
Besitzer von HP Computern auf denen das Programm "HP Support Assistant" installiert ist, sollten dieses auf Version 9.11 oder neuer aktualisieren. Dazu sollte es genügen über eben dieses Programm nach Updates suchen zu lassen und diese zu installieren.
Versäumt man dies, können Anwender sich höhere Rechte verschaffen und so diverse Sicherheitsmechanismen aushebeln.
Quelle: 'Sicherheitslücke in vorinstalliertem Tool HP Support Assistant geschlossen' auf Heise Online
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal musste der Hersteller eine kritische Sicherheitslücke in seinem NAS-System beheben. Diese Lücke wird bereits aktiv ausgenutzt, um NAS-Systeme mit Lösegeld-Trojanern zu infizieren.
Alle Besitzer eines QNP-NAS Systems sollten daher rasch die neuesten Updates installieren um ihr System, und damit die wertvollen eigenen Dateien, zu schützen.
Details zu den aktuellen Bedrohungen und wie man sich davor schützen kann finden sie im Heise Online Artikel.
Quelle: 'Erpressungstrojaner DeadBolt nimmt erneut NAS-Systeme von Qnap ins Visier' auf Heise Online
Paolo Alta hat neue Sicherheitslücken in D-Link Routern entdeckt, die bereits aktiv zur Infektion durch das MooBot Botnetzwerk ausgenutzt werden. Die Sicherheitsforscher haben keinerlei Informationen darüber bereitgestellt welche D-Link-Router betroffen sind, aber auf der amerikanischen D-Link-Website kann man, mit etwas Mühe, einen Support-Artikel zu dem Problem entdecken. Darin steht geschrieben, dass (angeblich) nur Router betroffen sind, die bereits aus dem Support gefallen sind und entsprechend schon längere Zeit keine Updates mehr erhalten. Hier eine Liste:
DAP-1522, DIR-300, DIR-600, DIR-601, DIR-629, DIR-645, DIR-815, DIR-816L, DIR-817Lx, DIR-818Lx, DIR-820Lx, DIR-825, DIR-850L, DIR-860L, DIR-865L, DIR-868L, DIR-880L, DIR-885L/R, DIR-890L/R, DIR-895L/R
Besitzer eines der genannten Router sollten spätestens jetzt zügig für aktuellen Ersatz sorgen und die veralteten Geräte schnellstmöglich aus dem Verkehr ziehen. Beim Kauf eines neuen Routers ist unbedingt darauf zu achten, dass dieser wirklich "neu" ist. Nicht im Sinne von "unbenutzt", sondern im Sinne von "aktuell". Wer jetzt einen vermeintlich "neuen" Router irgendwo als Schnäppchen erwirbt, kauft womöglich ein Gerät das irgendwo Jahrelang auf Lager gelegen ist und ebenfalls keine Updates mehr erhält.
Quelle: 'Jetzt patchen! Angreifer bauen MooBot-Botnetz mit D-Link-Routern aus' auf Heise Online
Quelle: Sicherheitsmitteilung von D-Link (englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'VPN-Lücke in älteren Cisco-Routern wird nicht mehr geschlossen' auf Heise Online
Quelle: 'Auf NAS-Systeme von Zyxel könnte Schadcode gelangen' auf Heise Online
Quelle: 'Sicherheitsupdates: Kritische Schadcode-Lücken bedrohen IBM-Software' auf Heise Online
Quelle: 'RAID-Manager von Hitachi könnte Ansatzpunkt für Schadcode-Attacken sein' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 105.0.5195.54 behebt 24 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.
Im Zweig mit erweiterten Support lautet die neue Versionsnummer 104.0.5112.111, welche Lücken hier behoben wurden lässt Google leider wie üblich im Unklaren.
Alle Anwender von Google Chrome sollten wie üblich schnellstmöglich auf die neue Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Google Chrome 105 dichtet kritische Sicherheitslücke ab' auf Heise Online
Vivaldi:Wie üblich haben die Vivaldi-Entwickler bei dem Sicherheitsupdate wieder einen Sprint hingelegt, und die abgesicherte Vivaldi Version nur wenige Stunden nach Google präsentiert. Anwender von Vivaldi sollten aufgrund der kritischen Lücke ebenfalls zügig aktualisieren, falls nicht bereits geschehen.
Quelle: 'Minor update (5) for Vivaldi Desktop Browser 5.4' auf Vivaldi.com (Englisch)
Microsoft Edge:Microsoft macht es Anwendern bei der neuen Edge Version irrsinnig schwer herauszufinden welche Chromium-Version drinsteckt. Nach langer Suche können wir aber nun bestätigen, das die aktuelle Edge Version 105.0.1343.25 vom 1. September die aktuelle Chromium-Version enthält. Das heißt auch Edge Anwender können beruhigt im Internet surfen, sofern das aktuelle Update bereits installiert wurde.
Die Entwickler von Thunderbird haben die Versionen 102.2.1 des beliebten E-Mail-Programmes veröffentlicht. Darin wird unter anderem ein Fehler behoben, der die Ausführung von Javascript-Code auf dem PCs des Opfers ermöglicht. Die Entwickler haben dem Fehler die Gefahreneinstufung "hoch" zugeordnet, was fair erscheint.
Das eigentliche "Problem" ist nun aber (wie alle Jahre wieder), dass die alte 91er Ausgabe nicht mehr unterstützt wird, der Fehler aber vermutlich auch dort zu finden ist. Das heißt, aus Sicherheitsperspektive sollten Thunderbird-Anwender jetzt unbedingt auf Thunderbird 102.2.1 upgraden. Allerdings sind eben noch etliche Erweiterungen nicht an die 102er Version angepasst, darunter z.B. der Exchange Active Sync Provider für TBSync. Viele Anwender sind auf diverse Erweiterungen angewiesen und können nicht mal eben auf die Schnelle upgraden.
Wer also auf gewisse Erweiterungen zwingend angewiesen ist, sollte auf jeden Fall eine Liste aller unbedingt nötigen Erweiterungen machen und dann bei jeder davon prüfen, ob es bereits eine angepasste Version gibt, oder ob eine in absehbarer Zeit zu erwarten ist. Erhält man als Antwort ein vernünftiges Zeitfenster, kann man dieses wohl noch mit Thunderbird 91 überbrücken, vor allem wenn man die E-Mail Ansicht auf "Nur-Text" oder "Vereinfachtes HTML" umstellt. Außerdem muss man dann das automatische Update in den Thunderbird Einstellungen deaktivieren, sonst wird womöglich ungefragt auf die 102er Version upgegradet.
Ist jedoch nicht absehbar, dass die benötigten Erweiterungen angepasst werden, gilt es womöglich Arbeitsabläufe zu ändern. Sollte also z.B. kein Active-Sync-Plugin innerhalb eines zumutbaren Zeitrahmens erscheinen, muss womöglich der Kalender/Adressbuch Anbieter gewechselt werden, was dann aber eventuell auch Änderungen bei anderen Geräten wie z.B. Smartphones notwendig macht. Sofern das Smartphone das zulässt, stellt man am besten auf einen Anbieter um, der CardDAV und CalDAV unterstützt, denn diese beiden Protokolle werden nun von Thunderbird selbst verwendet, sodass man zumindest hier in Zukunft nicht mehr auf Erweiterungen angewiesen ist.
Überdies wäre es jetzt ein sehr guter Zeitpunkt um eine Sicherheitskopie des Thunderbird-Profil-Ordners zu erstellen, denn hat man einmal (versehentlich) auf 102 upgegradet, gibt es sonst keinen Weg zurück zur 91er Ausgabe.
Wer bereits auf die 102er Version aktualisiert hat, wird sich hingegen über zahlreiche weitere behobene Kinderkrankheiten in dem noch relativ neuen E-Mail-Programm freuen. Aufgrund der aktuell verzwickten Lage bieten wir vorübergehend keine manuellen Downloads von Thunderbird an.
Info: 'Thunderbird 102.2.1 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Sicherheitsupdate: Präparierte Mails könnten Thunderbird gefährlich werden' auf Heise Online
Lexmark warnt vor Sicherheitslücken in 120 Druckermodellen und rät zu einem zügigen Update der Firmware der Geräte. Das Problem an dieser Empfehlung ist jedoch, es gibt diese Updates noch gar nicht, oder besser gesagt nicht mehr. Lexmark hat die erste Ausgabe dieser Sicherheitsupdates bereits im Juni veröffentlicht, aber diese hatten wohl so viele Nebenwirkungen, dass der Hersteller die Updates wieder zurückgezogen hat.
Nun hat man angeblich funktionierende Updates parat, will diese aber nicht veröffentlichen, weil ein bald erwartetes Windows-Update wohl erneut ein Firmware-Update verlangen wird und man den Kunden nicht 2 Updates in kurzer Zeit zumuten will. Wer nicht warten und seinen Drucker sofort absichern möchte, muss sich deshalb an den Support des Herstellers wenden, um die aktualisierte Firmware zu erhalten.
Quelle: 'Lexmark: Angreifer können sich durch Firmware-Lücke einnisten' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitsupdate: Angreifer könnten WordPress-Websites attackieren' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Angreifer könnten auf Aruba-Switches Schadcode ausführen' auf Heise Online
Quelle: 'KI-Lernsoftware: Kritische Lücke in Nvidias Flare-SDK' auf Heise Online
Quelle: 'Kritische Lücke in zlib-Bibliothek ermöglicht Codeschmuggel' auf Heise Online
Quelle: 'Softwareentwicklung: Erneut kritische Sicherheitslücke in GitLab geschlossen' auf Heise Online
Die Entwickler von Thunderbird haben die Versionen 102.2 und 91.13 vom Stapel gelassen. Erstgenannte behebt fünf Sicherheitslücken mit "hohem" Gefahrengrad und etliche der Kinderkrankheiten der immer noch recht jungen 102er Serie. Für die Allgemeinheit empfehlen wir trotzdem weiterhin die 91er Ausgabe. Hier schließt das Update auf Version 91.13 vier Sicherheitslücken die ebenfalls als hohes Sicherheitsrisiko eingestuft wurden.
Alle Thunderbird Anwender sollten das jeweilige Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
In den Releasenotes zur 91.13er Version steht, dass das die finale Version des 91er Zweigs wäre. Wenn das stimmt, wird vermutlich auch bald mal das automatische Upgrade von der 91er auf die 102er Version aktiviert werden.
Download: Thunderbird Version 91.13, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.13, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.13.0 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 102.2 Release Notes' auf Mozilla.org (Englisch)
Mozilla hat Firefox 104 veröffentlicht. Die neue Version behebt Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lauten die neuen Versionsnummern 102.2 bzw. 91.13.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Firefox ESR, Thunderbird: Angreifer könnten Nutzereingaben abfangen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Einbruchsgefahr: Über 80.000 Hikvision-Kameras verwundbar' auf Heise Online
Quelle: 'Cyber-Attacken: CISA warnt vor Angriffen auf neu entdeckte Sicherheitslücken' auf Heise Online
Quelle: 'Middleware: IBM stopft Sicherheitslücken in MQ' auf Heise Online
Quelle: 'Updates für GitLab schließen kritische Sicherheitslücke' auf Heise Online
Quelle: 'Gefährliche Lücken bedrohen Sicherheit von kritischen Infrastrukturen' auf Heise Online
Quelle: 'Lücken in Ciscos FXOS und NX-OS ermöglichen Übernahme der Kontrolle' auf Heise Online
Quelle: 'Präparierte HTTP-Anfragen könnten Atlassian Bitbucket Server gefährlich werden' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 104.0.5112.101 behebt 11 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.
Diese eine kritische Lücke wird auch bereits aktiv ausgenützt, weshalb alle Anwender von Google Chrome schnellstmöglich auf die neue Version updaten sollten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome-Update: Exploit im Umlauf' auf Heise Online
Vivaldi:Wie üblich haben die Vivaldi-Entwickler bei dem Sicherheitsupdate wieder einen Sprint hingelegt, und die abgesicherte Vivaldi Version nur wenige Stunden nach Google präsentiert. Anwender von Vivaldi sollten aufgrund der kritischen Lücke ebenfalls zügig aktualisieren, falls nicht bereits geschehen.
Quelle: 'Minor update (3) for Vivaldi Desktop Browser 5.4' auf Vivaldi.com (Englisch)
Microsoft Edge:Die Edge Entwickler aus Redmond lassen ihre Anwender leider noch auf ein Sicherheitsupdate warten. Nicht ausgeschlossen, dass es im Laufe des Wochenendes noch erscheint.
Nachdem die Video-Konferenz-Software Zoom vor einigen Monaten gar nicht aus den Negativ-Schlagzeilen rauskam, wurde es daraufhin etwas ruhiger in der Angelegenheit. Das sich Zoom in der Zwischenzeit aber keineswegs zum Saubermann entwickelt hat belegen die neuesten Sicherheitslücken in den diversen Software-Paketen von Zoom.
Wer Zoom auf deinem Computer installiert hat, aber nicht regelmäßig nutzt, sollte es unbedingt deinstallieren. Wenn möglich sollte man nicht den Zoom-Client, sondern die Webversion verwenden, dann hat man automatisch immer die aktuellste Version und auch generell weniger Angriffsfläche. Wenn man den installierten Client unbedingt benötigt, sollte man auf jeden Fall die automatische Update-Prüfung in den Optionen aktivieren und regelmäßig Updates installieren.
Quelle: 'Webkonferenzen: Teils kritische Lücken in Zoom' auf Heise Online
Im TP-Link Router TL-WR841N wurde eine schwere Sicherheitslücke entdeckt. Kombiniert man diese Sicherheitslücke mit ein paar schlechten Einstellungen in der Konfiguration (Konfigurationsoberfläche im Internet verfügbar und Standard-Passwort z.B.) ergibt sich in Summe eine geradezu katastrophale Sicherheitslücke. Allerdings wären die genannten Einstellungen auch ohne explizite Sicherheitslücke im Gerät schon ein extremes Sicherheitsproblem, insofern muss man die Lücke differenzierter sehen.
Wir schreiben in der Überschrift übrigens von Routern(n), weil es zwar nur um ein Modell geht, es aber von dem Modell mehrere (Hardware)Revisionen gibt. Der Fehler steckt wohl auch in älteren Ausgaben als der aktuellen Revision 12, jedoch gibt es nur für diese Ausgabe eine aktualisierte Firmware, die den Fehler korrigiert. Besitzer älterer Revisionen schauen durch die Finger, zumal sich angesichts der Historie dieses Fehlers (siehe originalen Sicherheitsbericht) daran auch eher nichts mehr ändern wird.
Wegen dieses einen Fehlers würden wir ältere Revisionen des Routers jetzt nicht unbedingt sofort als Schrottreif betrachten. Wenn man die Konfiguration des Routers sauber erledigt, spielt zumindest dieser Fehler eigentlich keine große Rolle. Das heißt, die Konfigurationsoberfläche darf nur aus dem lokalen LAN erreichbar sein und es müssen starke Passwörter vergeben werden.
Das heißt aber auch umgekehrt nicht, dass wir besagten Router (egal ob 12er Revision oder älter) sicherheitstechnisch als unbedenklich einstufen. Gerade diese sehr billigen TP-Link-Router sind vor allem auf eines getrimmt → billige Verkaufspreise. Sicherheit steht da nicht unbedingt ganz oben auf der Agenda.
Quelle: 'TP-Link: Schadcode-Schmuggel durch Sicherheitslücke in Routern' auf Heise Online
Die Sicherheits-Analyse-Software "Security Scan Plus" von McAfee enthielt eine Sicherheitslücke, die sich unter gewissen Umständen zur Infektion des Computers nützen lassen könnte. Allerdings ist die Software auf der deutschsprachigen Website von MacAffee gar nicht zu finden und selbst wenn die Software installiert ist, müsste ein Angreifer bereits Zugriff auf das System haben.
Wie auch immer, sollte die Software auf einem Computer installiert sein, empfiehlt es sich diese auf den neuesten Stand zu bringen, also mindestens auf Version 4.1.262.1. Oder aber man deinstalliert die Software einfach, was wir eher als empfehlenswertes Szenario betrachten würden.
Quelle: 'Virenscanner: Schwachstelle von McAfee erleichtert Angreifern das Einnisten' auf Heise Online
Im verlinkten Heise Online Artikel stehen einige Dinge, die sich der Autor als "Highlights" herausgepickt hat, allerdings haben wir da einen etwas anderen Blick drauf. Weder der "Dark Mode" (nur als experimentelles Feature) noch die (angebliche) Integration des LanguageTools halten wir für das Highlight, sondern die Anhebung der maximalen Spaltenanzahl in Calc auf 16384. Auch diese deutlich vergrößerte Spaltenanzahl war bereits seit einigen Ausgaben als experimentelles Feature verfügbar, aber nun ist es eben auch ohne Konfigurationsänderung verfügbar. Und ja, es klingt absurd, das man mehr als 1024 Spalten in einer Tabellenkalkulation benötigt, aber es gibt tatsächlich Dokumente die soooooooo breit sind, dass sie mit "nur" 1024 Spalten nicht dargestellt werden können. Wie man sich denken kann, sind diese Dokumente ein Horror was die Lesbarkeit angeht und meistens wird die Tabellenkalkulation zu Unrecht für diese Aufgaben verwendet, weil teils gar keine Berechnungen durchgeführt werden. Aber wie dem auch sei, auch diese Dokumente werden mit LibreOffice 7.4 nun problemlos geöffnet.
Die Überschrift des Heise Online Artikels weckt zudem Hoffnungen, dass das LanguageTool nun fester Bestandteil von LibreOffice ist. Eine native Integration der LanguageTool-Funktionalität (ohne Notwendigkeit für Java) wäre in der Tat großartig, ist aber leider nicht der Fall. Vielmehr bietet LibreOffice nun die Möglichkeit die Online-Version des LanguageTools einzubinden. Das kann die öffentliche Version des Herstellers sein, aber auch eine Instanz irgendwo im eigenen Netzwerk. Zumindest von der Verwendung einer LanguageTool-Instanz im Internet würden wir aus Datenschutzgründen abraten. Und bevor man sich einen LanguageTool-Server im Netzwerk installiert greift man vielleicht doch besser wie gehabt zur altbewährten LanguageTool-Erweiterung. Daher sehen wir in dieser Neuerung jetzt nicht unbedingt ein "Highlight".
Schneller ist besser!
Anscheinend war für manche Anwender von LibreOffice der Seitenaufbau zu langsam. Möglicherweise war das nur auf seeeehr langsamen Rechner ein Problem, wir hätten davon jedenfalls nie etwas bemerkt. Wie dem auch sei, der Seitenaufbau soll in Version 7.4 erheblich schneller geworden sein. Und schneller ist eben immer besser, auch wenn man den Unterschied auf modernen Computern vielleicht nie bemerken wird.
Weitere Neuerungen:
Abgesehen von den bereits erwähnten Neuerungen, soll der Import sehr großer CSV-Dateien erheblich schneller geworden sein, Grafiken können nun auch in den Formaten WebP und EMZ/WMZ importiert werden und wie üblich wurde der Import von MS-Office-Dokumenten verbessert. Der verlinkte Heise Online Artikel bietet eine etwas umfangreichere Beschreibung der Neuerungen. Wer wirklich über jede Neuerung informiert sein möchte, liest stattdessen die offiziellen Release-Notes von LibreOffice selbst. Diese sind aber erst zu 40% übersetzt und enthalten noch einige englische Passagen.
Fazit:
Das LibreOffice Calc nun ebenso viele Spalten wie MS Excel darstellen kann ist ein Segen, auch wenn die meisten Anwender (hoffentlich) mit so umfangreichen Tabellen nie in Berührung kommen werden. Der Dark-Mode würde vielleicht den einen oder anderen Anwender ebenfalls freuen, wenn dieser nicht noch im experimentellen Stadium wäre. Wie immer raten wir aber bei den ersten Versionen einer neuen Hauptausgabe ohnehin noch davon ab, das Office-Paket für produktive Zwecke einzusetzen. Es wäre eher untypisch, würde nicht noch die eine oder andere Kinderkrankheit drin stecken.
Quelle: 'LibreOffice 7.4: Dunkles Gewand, WebP und Language Tool' auf Heise Online
Quelle: LibreOffice 7.4 Release Notes (teilweise noch Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Angreifer könnten PCs mit IBM-Software attackieren' auf Heise Online
Quelle: 'Fernwartung: Kritische Sicherheitslücken in HPE Integrated Lights-Out (iLO)' auf Heise Online
Unsere Vermutung von letztem Freitag, wonach Vivaldi 5.4 Anfang der Woche verfügbar sein wird, lag um einen Tag daneben. Am Mittwoch war es so weit und die Chromium 104 basierte Vivaldi Version 5.4 war "fertig". Wobei so ganz "fertig" wohl doch nicht, denn bereits 2 Tage später wurde nochmal eine neue Fassung hinterhergeschoben, die ein paar Kinderkrankheiten ausgebügelt hat.
Wie üblich ist der neue Unterbau, eben besagter Chromium 104, der wichtigste Grund für ein rasches Update, denn damit werden etliche Sicherheitslücken behoben.
Aber auch abseits der Sicherheit bringt die 5.4er Version wieder ein paar Neuerungen. Die aus unserer Sicht interessanteste davon ist die Möglichkeit Links zu Textmarkierungen zu erstellen. Man markiert also einen beliebigen Text auf einer Webseite, klickt diesen mit der rechten Maustaste an und wählt im Menü "Link zum markierten Text kopieren". Diesen Link kann man dann z.B. per E-Mail an Kollegen senden. Öffnet dieser den Link, ist der Text auch dort markiert und der Teil der Website wird direkt angesprungen, also ohne z.b. nach unten scrollen zu müssen. Das Beste ist, das funktioniert mit allen auf Chromium 104 basierten Browsern, also auch in Google Chrome, Microsoft Edge usw. In Browsern die nicht auf Chromium basieren (z.B. Firefox, Safari), funktioniert der Link zwar wie gehabt, also in dem Sinne, dass die Website dort geöffnet wird, aber der Text ist nicht markiert und die Position wird auch nicht direkt angesprungen.
Des Weiteren kann man den Rocker-Gesten nun selbst Funktionen zuteilen. Bisher war das starr an "zurück" bzw. "Tab schließen" gebunden. Auch das dürfte zumindest Viel-Surfer interessieren. Lärmende Webpanels sind nun ebenfalls ein Ding der Geschichte denn nun lassen sich Webpanels stummschalten. Soviel zu den Neuerungen im klassischen Browser selbst, wer auch die Mail- und Kalender-Funktion aktiviert hat, wird ev. noch sehr viele weitere kleine Verbesserungen bemerken. Da wir diese Funktionen nicht nutzen, verweisen wir hier nur auf den Blog Eintrag von Vivaldi, wo alle Funktionen ausführlich vorgestellt werden.
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & AcrobatAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 22.002.20191 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB22-39 (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe zwei "kritische" und zwei "wichtige" Sicherheitslücken behoben. Um wieder sicher zu sein, müssen Anwender auf Version 25.4.7 (2021) oder 26.4 (2022) updaten.
Info: Adobe Security Bulletin APSB22-41 (Englisch)
In der Video-Anwendung Premiere Elements 2022 wurde eine kritische Sicherheitslücke behoben. Wer das Programm verwendet sollte zügig auf Build 20220702.Git.main.e4f8578 updaten. Alle älteren Ausgaben von Premiere Elements sind unsicher und sollten nicht mehr verwendet werden!
Quelle: 'Adobe Security Bulletin APSB22-43' auf Adobe.com (Englisch)
Im Desktop-Publishing-Programm Adobe Framemaker wurden 5 kritische und eine "wichtige" Sicherheitslücke gefunden und behoben. Wer das Programm einsetzt, sollte unbedingt die im Security Bulletin verlinkten Updates installieren.
Quelle: Adobe Security Bulletin APSB22-42 (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurden 4 Sicherheitslücken behoben, deren Einstufung als "kritisch" bezeichnet wird und 3 weitere "wichtige" Lücken. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB22-38 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Kein Support mehr!Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Erst letzte Woche hatten wir über Sicherheitslücken in einem "smarten" Türschloss berichtet, diese Woche warnt nun das deutsche BSI vor einem Funk-Türschloss aus dem Hause Abus.
Das HomeTec Pro CFA3000 hat eine nicht behebbare Sicherheitslücke! Das heißt das Problem kann nicht durch ein Software-Update behoben werden, sondern das ganze Schloss muss ausgetauscht werden. Erschwert wird das ganze, da sich das unsichere Schloss optisch kaum von seinem (bisher als sicher eingestuften) Nachfolger unterscheidet.
Die Lücke ist jedenfalls gravierend, denn potenzielle Einbrecher können sich dank der Lücke mit Leichtigkeit Zugang zu dem Gebäude verschaffen. Besitzer eines Abus Funk-Schlosss sollten also den Artikel von heise Online sorgfältig lesen und im Zweifelsfall einen Experten hinzuziehen.
Quelle: 'BSI warnt vor unsicherem Funk-Türschloss von Abus' auf Heise Online
Besitzer bzw. Administratoren von Draytek Routern sollten schnellstmöglich prüfen, ob ihr Router zu den von einer aktuellen und extrem kritischen Sicherheitslücke betroffenen Geräten gehört. Eine Liste der Geräte ist sowohl im Heise Online Artikel wie auch in der Sicherheitsmeldung des Herstellers zu finden.
Betroffene Geräte sollten schnellstmöglich aktualisiert werden, andernfalls droht die komplette Übernahme der Geräte durch Angreifer aus dem Internet. Geräte für die keine Updates mehr angeboten werden, sollten durch neue Modelle ersetzt werden.
Quelle: 'Übernahme möglich: DrayTek-Router mit kritischer Sicherheitslücke' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Patchday: F5 dichtet Schwachstellen in BIG IP und Nginx ab' auf Heise Online
Quelle: 'Patchday: SAP schließt fünf Sicherheitslücken' auf Heise Online
Quelle: 'Jetzt handeln! Exploit-Code für VMware-Lücke aufgetaucht, neue Updates verfügbar' auf Heise Online
Quelle: 'Cisco: Angreifer könnten an private RSA-Schlüssel in ASA und Firepower gelangen' auf Heise Online
Quelle: 'Kritische Sicherheitslücke in Zoho ManageEngine OpManager' auf Heise Online
Quelle: 'Groupware Zimbra "trivial angreifbar" – Admins sollten schnell updaten' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 104.0.5112.81 behebt 27 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Die 104er Serie stellt auch die Basis für die neue Extended-Stable-Channel-Fassung bereit, die unter anderem von Vivaldi genutzt wird. Anwender von Google Chrome sollten bei nächster Gelegenheit auf die neue Version aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Stable Channel Update for Desktop' auf chromereleases.googleblog.com (Englisch)
Vivaldi:Wie üblich braucht auch Vivaldi bei den "großen" Updates etwas länger, daher gibt es aktuell noch keine finale Version von Vivaldi 5.4. Laut Meldungen im Vivaldi-Blog gehen wir aber davon aus, dass Vivaldi 5.4 vielleicht sogar noch heute oder morgen veröffentlicht wird, oder spätestens Anfang nächster Woche.
Microsoft Edge:Auch die Edge Entwickler aus Redmond haben noch keine aktualisierte Version des Browsers parat. Auch hier würden wir diese aber innerhalb der nächsten Tage erwarten.
Die Entwickler von Thunderbird haben die Versionen 91.12 und 102.1 des beliebten E-Mail-Programms veröffentlicht. Gegenüber der jeweiligen Vorversion wurden 2 (bzw. 4 bei der 102er Version) Sicherheitslücken behoben, die allesamt eine "moderate" Risiko-Einstufung erhalten haben. Alle Thunderbird Anwender sollten das entsprechende Update also installieren, aber hetzen muss man sich angesichts der relativ geringen Bedrohungsstufe nicht.
Die 102er Serie hat noch diverse Kinderkrankheiten, weshalb wir davon abraten und nur Download-Links für die 91er Version anbieten.
Quelle: 'Sicherheitsupdates: Schadcode-Attacken auf Thunderbird vorstellbar' auf Heise Online
Download: Thunderbird Version 91.12, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.12, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.12.0 Release Notes' auf Mozilla.org (Englisch)
Wer anstelle des Adobe Reader bzw. Acrobat auf PDF Reader bzw. PDF Editor aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 12.0.1 behebt eine stattliche Anzahl von Sicherheitslücken. Foxit selbst gibt keine Einschätzung der Schwere der Lücken ab, jedoch wird in vielen der Lücken-Beschreibungen Remote-Code-Ausführung erwähnt, weshalb wir insgesamt von einer kritischen Bedrohung ausgehen.
Wer den kostenlosen "PDF Reader" oder bereits eine 12er Version von "PDF Editor" verwendet sollte unbedingt zügig auf die aktuelle Version updaten. Wer noch Version 11 des Editors oder Foxit PhantomPDF (der alte Name von Foxit PDF Editor) einsetzt, sollte ein Upgrade auf die aktuelle Version von Foxit PDF Editor erwerben und installieren.
Quelle: 'Foxit PDF Reader und Editor unter macOS und Windows angreifbar' auf Heise Online
Wer unseren Newsletter bzw. die Website regelmäßig liest, kennt unsere Einstellung zu IOT-Geräten (Internet of Things Geräten – also Geräten mit Internet-Anbindung). So ist auch wenig verwunderlich, dass in (angeblich) "smarten" Türschlössern Sicherheitslücken gefunden hat, die es Einbrechern ermöglicht besagte Schlösser zu öffnen. In diesem Fall geht es um Schlösser des Herstellers "Nuki" sowie um eine WLAN-Bridge des Herstellers.
Positiv zu sehen ist in dem Fall, dass es immerhin Updates gibt, die diese Lücken beheben. Im Gegensatz zu den meisten IoT-Geräten, die ihr Leben lang wohl nie ein Sicherheitsupdate sehen werden, kümmert sich hier der Hersteller offenbar doch um die Sicherheit. Die Updates sollen in der App des Herstellers angezeigt werden.
Quelle: 'Sicherheitslücken als Türöffner in Nuki Smart Lock entdeckt und geschlossen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'VMware-Updates: Schnelles Handeln "extrem wichtig"' auf Heise Online
Quelle: 'Softwareerstellung: Einige Jenkins-Plug-ins werden abgesichert, andere nicht' auf Heise Online
Quelle: 'Kopieren mit rsync anfällig für Angriffe' auf Heise Online
Quelle: 'Kritische Lücken in Ciscos SMB-Routern' auf Heise Online
Anwender von LibreOffice sollten sichergehen, dass mindestens Version 7.2.7 oder 7.3.3 installiert sind. In früheren Ausgaben wurden 3 Sicherheitslücken gefunden die für Angriffe genutzt werden könnten. Die abgesicherten Ausgaben sind schon relativ lange verfügbar, das es sich dabei um Sicherheitsupdates handelt hat die Document Foundation aber erst kürzlich veröffentlicht.
Quelle: 'Sicherheitsupdates: LibreOffice könnte Passwörter für Web-Zugriffe leaken' auf Heise Online
Download: Aktuelle LibreOffice Versionen
Das veraltete Drucker-System von Windows bleibt weiterhin ein Quell ständiger Probleme. Nach den Juli-Sicherheits-Updates mehren sich wiedereinmal die Meldungen über Probleme mit Druckern. In dem verlinkten Heise Online Artikel finden sie weitere Details über die Art der Probleme wie auch Hinweise wie diese teilweise behoben werden können. Wann Microsoft die Probleme durch erneute Updates heben wird, ist bislang nicht bekannt.
Quelle: 'Microsoft bestätigt Windows-Druckprobleme nach Update' auf Heise Online
Mehrere Programme von WithSecure (vormals F-Secure) enthielten Sicherheitslücken, die dazu führen können, dass die Schutzfunktion ausgehebelt wird. Sofern die automatische Aktualisierung der Programme aktiv ist, sollten abgesicherte Versionen bereits selbstständig installiert worden sein. Wer das nachprüfen möchte, sollte mindestens Version "Capricorn database 2022-07-11_07" der Datenbanken vorfinden.
Quelle: 'Angreifer könnten Scan-Engine von F-Secure und WithSecure crashen lassen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Angreifer könnten Backend-Datenbank von IBM Security Access Manager manipulieren' auf Heise Online
Quelle: 'Sicherheitspatch: Sonicwall-Software für SQL-Injection-Attacken anfällig' auf Heise Online
Quelle: 'Weitere Lücken in Videokonferenz-Hardware Meeting Owl geschlossen' auf Heise Online
Quelle: 'Shop-System: Angreifer kopieren Kreditkarten-Daten aus PrestaShop-Websites' auf Heise Online
Quelle: 'Sicherheitsupdates Samba: Angreifer könnten Admin-Passwörter ändern' auf Heise Online
Quelle: 'IBM-Software: Kritische Lücke könnte Schadcode in Entwicklungsumgebungen lassen' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Veritas NetBackup vielfältig attackieren' auf Heise Online
Quelle: 'Jetzt patchen! Attacken auf Atlassian Confluence' auf Heise Online
Quelle: 'Sicherheitsupdate: Trend Micro Apex One und Worry-Free Business angreifbar' auf Heise Online
Quelle: 'McAfee Agent könnte als Schlupfloch für Schadcode dienen' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 103.0.5060.134 behebt 11 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Die neue Ausgabe der Extended-Stable-Channel-Fassung hat die Versionsnummer 102.0.5005.167. Die Freude, dass Google zuletzt auch für diesen Zweig die Sicherheitsupdates gelistet hatte, währte leider nur kurz. Diesmal kann man wie zuvor üblich nur davon ausgehen, dass die Version wieder sicher ist. Welche und wieviele Lücken behoben wurden, erfährt man von Google aber wieder nicht.
Anwender von Google Chrome sollten bei nächster Gelegenheit auf die neue Version aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Elf Sicherheitsprobleme in Google Chrome gelöst' auf Heise Online
Vivaldi:Vivaldi hat wie gewohnt rasch reagiert und die abgesicherte Vivaldi Version 5.3 Update 9 bereits wenige Stunden nach Google am Start. Vivaldi Nutzer sollten ebenfalls bei nächster Gelegenheit auf diese Version updaten.
Quelle: 'Minor update (9) for Vivaldi Desktop Browser 5.3' auf Vivaldi.com (Englisch)
Microsoft Edge:Das Microsoft Edge Entwickler Team aus Redmond ist womöglich durch Sommerferien geschwächt. Jedenfalls fehlt von Microsoft bislang eine aktualisierte Fassung von Edge. Es ist aber gut möglich, dass Microsoft das heute Abend oder am Wochenende noch nachholt.
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 349 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:In diesem Quartal will Oracle die Anwender mit Java wohl komplett in die Irre führen. Der Hersteller hat am selben Tag sowohl Java 8 Update 33 wie auch die Quartalsweise Sicherheitsnachricht veröffentlicht. Blöd nur, dass der Liste nach die gerade erst veröffentlichte Version nicht sicher ist! Wer nicht ganz genau aufpasst, geht natürlich davon aus, dass eine Software die am selben Tag veröffentlicht wird wie ein Sicherheitsbericht entsprechend abgesichert ist. Tatsache ist jedoch, dass die sichere Ausgabe von Java die Version 8 Update 41 ist und nicht 8 Update 33, wie es aktuell auf Java.com zum Download angeboten wird. Die neue Version ist aktuell nur auf der Oracle-Website zu bekommen, dafür ist jedoch eine Anmeldung erforderlich, weshalb wir hier keine Downloadlinks anbieten können.
Die neuen Versionen 18.0.2, 17.0.4, 11.0.16, und 8u341 beheben übrigens 5 Sicherheitslücken. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein, obwohl mehrere Lücken aus der Ferne ausnützbar sein sollen. Anwender die Java installiert haben sollten also so bald wie möglich updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15 und 16 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.16, 17.0.4 oder 18.0.2 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.
In dem PC-Emulator VirtualBox wurden 2 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich zwar keine der Lücken übers Internet ausnützen, dennoch sind die Gefahreneinstufungen relativ hoch. Wer VirtualBox auf seinem PC nutzt, sollte also unbedingt auf die neue Version 6.1.36 updaten.
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - July 2022' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - April 2022' auf Oracle.com (Englisch)
Quelle: 'Jetzt patchen! Oracle sichert seine Produkte mit 349 Updates ab' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Angreifer könnten Juniper-Software mit Schadcode attackieren' auf Heise Online
Quelle: 'Sicherheitsupdates: Root-Lücke bedroht Zyxel-Firewalls' auf Heise Online
Quelle: 'Nutzer-Account mit Standard-Passwort gefährdet Atlassian Confluence' auf Heise Online
Quelle: 'Schadcode-Attacken mit Root-Rechten auf Cisco Nexus Dashboard möglich' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & AcrobatAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 22.001.20169 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB22-32 (Englisch)
Adobe PhotoshopIn Photoshop 2021 und 2022 wurden eine "kritische" und eine "wichtige" Sicherheitslücke behoben. Die 2021er Jahresausgabe (Version 22.x) sollte auf Version 22.5.8 aktualisiert werden, die 2022er Jahresausgabe (Version 23.x) auf Version 23.4.1. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB22-35' auf Adobe.com (Englisch)
In Adobe RoboHelp wurde eine als "wichtig" eingestufte Sicherheitslücke behoben. Anwender, die die Software installiert haben, sollten auf Version RH2020.0.8 aktualisieren.
Quelle: 'Adobe Security Bulletin APSB22-10' auf Adobe.com (Englisch)
In Adobe Character Animator wurden zwei Lücken behoben die als "kritisch" eingestuft sind. Betroffen sind alle Versionen von Character Animator. Wer die Software einsetzt, sollte unbedingt auf Version 22.5 (2022) updaten und alle älteren Versionen deinstallieren.
Quelle: Adobe Security Bulletin APSB22-34 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Lücke in VMware vCenter Server und Cloud Foundation zum Teil abgedichtet' auf Heise Online
Quelle: 'Citrix: Update für Hypervisor und Xenserver gegen AMD-Schwachstellen' auf Heise Online
Quelle: 'SAP-Patchday: 20 neue Sicherheitslücken im Juli abgedichtet' auf Heise Online
Quelle: 'IBM-Middleware: Schwachstelle in MQ kann zu Rechtausweitung führen' auf Heise Online
Quelle: 'Sicherheitslücken in node.js ermöglichen Codeschmuggel' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 103.0.5060.114 behebt 4 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Die neue Ausgabe der Extended-Stable-Channel-Fassung hat die Versionsnummer 102.0.5005.148. Google überrascht im Blog-Eintrag zu dem Update erstmals mit einer Auflistung behobener Schwachstellen, denn bisher hat Google die geschlossenen Lücken in der Extended-Stable-Channel-Fassung nicht extra erwähnt. So kann man nun sagen, dass im 102er Zweig "nur" eine Lücke (Gefahrenstufe "hoch") behoben werden musste.
Anwender von Google Chrome sollten aufgrund der bereits aktiv ausgenutzten Sicherheitslücke unbedingt zügig auf die neue Version aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt aktualisieren! Zero-Day-Lücke in Google Chrome geschlossen' auf Heise Online
Vivaldi:Vivaldi hat wie gewohnt rasch reagiert und die abgesicherte Vivaldi Version 5.3 Update 8 bereits wenige Stunden nach Google am Start. Vivaldi Nutzer sollten ebenfalls zügig auf diese Version updaten.
Quelle: 'Minor update (8) for Vivaldi Desktop Browser 5.3' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch die Microsoft Edge Entwickler aus Redmond haben ihren Browser mittlerweile aktualisiert. Anwender von Microsoft Edge sollten sicherstellen, dass Version 103.0.1264.49 installiert ist oder das rasch nachholen.
In der Software des Anti-Virus Herstellers Trend Micro wurden Sicherheitslücken entdeckt, die Angreifer für eine Rechteausweitung ausnützen könnten. Trend Micro hat den Fehler in den neuesten Versionen von "Maximum Security", "Internet Security" und "Antivirus + Security" behoben. Anwender, die diese Software verwenden, sollte daher rasch auf die neuesten Versionen updaten.
Details über die Lücken und wie die jeweiligen Updates zu beziehen sind finden sie im verlinkten Heise Online Artikel. Allerdings ist der Heise Online Artikel dahingehend falsch, dass eben alle Consumer-Produkte von Trend Micro betroffen sind, und nicht nur "Maximum Security".
Quelle: 'Sicherheitsupdate: Trend Micro Maximum Security könnte Angreifer auf PCs lassen' auf Heise Online
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Die Woche gibt es zwar keine neuen Sicherheitslücken in den Geräten, aber der Hersteller warnt einmal mehr vor aktuellen Angriffswellen und rät dazu die aktuellen Sicherheitsupdates möglichst zügig zu installieren sowie die Tipps für eine sichere Konfiguration umzusetzen.
Details zu den aktuellen Bedrohungen und wie man sich davor schützen kann finden sie im Heise Online Artikel.
Quelle: 'Ransomware "Checkmate": Qnap warnt vor Angriffen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'CISA empfiehlt Installation von repariertem Windows-Update für Active Directory' auf Heise Online
Quelle: 'IBM warnt vor Codeschmuggel in Business Automation Workflow' auf Heise Online
Quelle: 'Wichtiges Sicherheitsupdate für Nvidias KI-System DGX A100 erschienen' auf Heise Online
Quelle: 'Sicherheitsupdate für Django Web-Framework' auf Heise Online
Quelle: 'Jetzt aktualisieren! Codeschmuggel durch Lücke in OpenSSL möglich' auf Heise Online
Quelle: 'IBM Engineering Test Management: Dateien im System über Lücke löschbar' auf Heise Online
Quelle: 'Fortinet dichtet mehrere Schwachstellen in zahlreichen Produkten ab' auf Heise Online
Quelle: 'Cisco dichtet teils kritische Sicherheitslücken ab' auf Heise Online
Quelle: 'Schwachstellen in OpenVPN Access Server geschlossen' auf Heise Online
Quelle: 'Sicherheitsupdates: Root-Lücke in Dell-EMC-Software geschlossen' auf Heise Online
Die Entwickler von Thunderbird haben die Version 102 des beliebten E-Mail-Programms veröffentlicht. Diese Version beinhaltet etliche funktionale Neuerungen. Die größte Neuerung ist aber ganz klar das generalüberholte Adressbuch. Dieses kann nun ohne zusätzliche Plugins oder Erweiterungen vCard Dateien importieren und exportieren. Aber auch optisch wurde kein Stein auf dem anderen gelassen. Sehr schön zu sehen ist, dass das Profilbild des Kontakts nun ebenfalls ohne Zusatzsoftware angezeigt werden kann. Aus der Ankündigung von Mozilla geht jedoch nicht hervor, ob Thunderbird jetzt vCard nur importieren/exportieren kann, oder ob das Adressbuch nun überhaupt auf vCard basiert. Das wäre ein massiver Umbau unter der Haube und damit eine Änderung die man lieber erstmal von neugierigen Anwendern ausprobieren lässt. Anders gesagt, Anwender die ihre Daten (Mails, Kontakte, Termine usw..) nicht riskieren wollen, sollten nicht sofort auf die neue Thunderbird Version umsteigen.
Wie bei brandneuen Thunderbird-Versionen üblich gibt es bis auf weiteres kein automatisches Update von Version 91.x auf 102.x. man muss also vorerst noch keine Angst haben, dass die Benutzeroberfläche von einem Tag zum andren komplett anders aussieht.
Die Icons für Mail, Adressbuch, Kalender und Aufgaben sind nun aus der Fenster-Leiste oben in eine eigene Leiste an der linken Seite gewandert. Wer jetzt (wie wir) als Erstes denkt – Platzverschwendung – der sei beruhigt, man kann die Leiste auch ausblenden, dann bleibt ein einzelner Knopf in der Tableiste übrig. Die Ansichten für Mail, Kalender und Aufgaben sind aber wie gehabt als Tabs ausgeführt, hier ändert sich am Handling also nichts. Nur das Adressbuch fügt sich nun eben auch als Tab in das Gesamtgefüge ein und ist kein separates Fenster mehr. Zumindest auf den Screenshots sieht das logischer aus als bisher, selbst ausprobiert haben wir das (aus Zeitmangel) aber noch nicht.
Thunderbird unterstützt nun auch das Chatprotokoll "Matrix", was wohl viele jüngere Anwender freuen dürfte.
Der Import- und Export-Assistent wurde ebenfalls komplett überarbeitet. Er soll nicht nur leichter verständlich sein als früher, sondern auch keine Dubletten mehr importieren. Ein weiteres Feature, auf das wir bei späteren Tests schon gespannt sind.
Auf dem Papier, oder besser gesagt den Bildern im Blogbeitrag von Mozilla, macht Thunderbird 102 eine sehr gute Figur. Wenn die Zeit es zulässt, werden wir später eventuell einen ausführlicheren Artikel zur neuen Thunderbird Version verfassen. Wer sich selbst ein Bild machen möchte, sollte unbedingt ein Backup seines aktuellen Thunderbird-Benutzer-Profils erstellen. Denn ob man ein aktualisiertes Profil von 102 wieder auf 91 downgraden kann, wenn in der neuen Fassung was nicht funktioniert, ist eher fraglich.
Quelle: 'Thunderbird 102 mit mehr Komfortfunktionen und Sicherheits-Fixes' auf Heise Online
Die Entwickler von Thunderbird haben zusätzlich zur Version 102 (siehe Artikel oben) die Version 91.11 des beliebten E-Mail-Programms veröffentlicht. Gegenüber Version 91.10 wurden 10 Sicherheitslücken behoben, die meisten mit "hoher" Risiko-Einstufung. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 91.11, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.11, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.11.0 Release Notes' auf Mozilla.org (Englisch)
Mozilla hat Firefox 102 veröffentlicht. Die neue Version behebt 21 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
Firefox 102 stellt zudem auch die Basis für den neuen ESR-Zweig, also die stabile Version von Firefox, die ungefähr ein Jahr lang Updates erhalten wird. Wie üblich überschneidet sich die neue ESR Version mit der bisherigen, das heißt es steht eine aktuelle ESR Version 91.11 bereit wie auch die brandneue Version 102.0. Beide erhalten aktuell Sicherheitsupdates. Die 91er Serie wird voraussichtlich noch für mindestens 2 Monate mit Sicherheitsupdates versorgt werden, spätestens bis dahin sollte man auf die 102er ESR-Version wechseln.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox 102: Mehrere Sicherheitslücken geschlossen' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Softwareentwicklung: Schadcode-Attacken auf Automation-Server Jenkins möglich' auf Heise Online
Quelle: 'Citrix dichtet Sicherheitslücken in Hypervisor ab' auf Heise Online
Quelle: 'Microsoft: Support-Ende von Exchange 2013 naht' auf Heise Online
Quelle: 'Datenverwaltung: Kritische Lücke in Dell EMC PowerScale OneFS abgedichtet' auf Heise Online
Quelle: 'Groupware: Präparierte E-Mails könnten zur Codeausführung in Zimbra führen' auf Heise Online
Quelle: 'Atlassian warnt vor Sicherheitslücke in Projektverwaltung Jira' auf Heise Online
Quelle: 'IBM Spectrum Protect Plus: Angreifer könnten Admin-Accounts anlegen' auf Heise Online
Quelle: 'Sicherheitsupdates: Viele Jenkins-Plug-ins als Schlupflöcher für Angreifer' auf Heise Online
Wir empfehlen:
Diese Website ist kompatibel zu:
