News

Schlagzeilen * Details * Newsletter

Schlagzeilen:


zur Übersicht

Details:



20.05.2018 - Sicherheitsupdate für zahlreiche Adobe Programme

Adobe LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 29.0.0.171. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Reader LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2018.011.20040 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-09 (Englisch)

Creative Cloud Client:

Drei Sicherheitslücken in der Creative Cloud Desktop App könnte es Angreifern erleichtern den PC mit Viren zu infizieren. Für Abhilfe sorgt das Update auf Version 4.5.0.331. Beim Starten der Creative Cloud App sollte diese automatisch auf das Update hinweisen.

Quelle: 'Adobe Security Bulletin APSB18-12' auf Adobe.com (Englisch)

Adobe Connect:

Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.

Quelle: Adobe Connect Security Bulletin APSB18-18 (Englisch)

zur Übersicht

20.05.2018 - Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Updates verursachen Ärger

Ein paar der Updates verursachen wohl mal wieder Ärger. Bei dem Update für Windows 7 (KB4103718 bzw. KB4103712) gehen auf manchen PCs die Netzwerkverbindungen mal wieder verloren. Nur eine Deinstallation des Updates löst das Problem gegebenenfalls. Das kumulative Update für Windows 10 1803 verursacht unter Umständen noch mehr Ärger, dazu ein eigener Artikel im Anschluss.

Kein Support mehr für Windows 10 Version 16.07

Die im Herbst 2016 veröffentlichte Windows 10 Version 16.07 erhält seit dem 10. April keine Sicherheitsupdates mehr. Anwender die immer noch Windows 10 Version 16.07 (oder älter) einsetzen sollten dringend auf Windows 10 Version 17.09 updaten.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit Jahren (XP) bzw. Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

20.05.2018 - Viele Probleme mit Windows 10 Version 1803

Microsoft Windows 10 LogoNachdem Microsoft den Start von Windows 10 Version 1803 (oder Windows 10 April 2018 Update – wie Microsoft es gerne nennt) bereits verschoben hatte, um einen schweren Fehler zu beheben, läuft es auch jetzt, fast 2 Wochen nach offiziellem Start, nicht rund. Wir selbst können zwar keine Probleme berichten (alle unsere Geräte, die bisher auf die neuesten Windows 10 Version upgegradet wurden, laufen problemlos) aber aus den einschlägigen Medien ist von allerhand Problemen zu hören, und auch Microsoft selbst hat mittlerweile einige Inkompatibilitäten bestätigt:

SSDs von Intel und Toshiba bereiten Probleme:

Ganz schlimm erwischt es Besitzer von Intel SSDs aus den Serien 600p oder Pro 6000p. Hier kann Windows 10 nach dem Upgrade überhaupt nicht mehr starten. Besitzer einer Toshiba SSD aus den Serien XG4, XG5 und BG3 bemerken mit Version 1903 lediglich einen deutlich höheren Stromverbrauch (also kürzere Akkulaufzeit bei Notebooks). In beiden Fällen hilft nur die Rückgängigmachung des Upgrades. Betroffen sind überdies nur Anwender, die das Upgrade manuell machen wollen, über Windows Update wird es betroffenen Computern gar nicht erst angeboten. Nachtrag: Möglicherweise konnte Microsoft das Problem bereits lösen, denn es gibt nun vereinzelte Berichte, dass Geräte auf denen das 1803-Upgrade zuvor nicht angeboten wurde, dieses nun erhalten haben.

Quelle: 'Windows 10: Spring Creators Update 1803 verursacht Probleme mit bestimmten SSDs' auf Heise Online

Quelle: 'Has Microsoft Fixed the Windows 10 April 2018 Update Intel and Toshiba SSD Bug?' auf Softpedia.com

Kumulatives Upgrade macht PCs unbrauchbar:

Das kumulative Update KB4103721 sorgt wohl auf manchen PCs dafür, dass der Rechner überhaupt nicht mehr hochfährt und stattdessen nur mehr einen schwarzen Bildschirm anzeigt. Hier soll nur noch die Rückkehr zu einem früheren Wiederherstellungspunkt gefolgt von einem Downgrade auf die zuvor verwendete Windows 10 Version helfen. Dieser Bug, sofern es einer ist, wurde von Microsoft bisher noch nicht bestätigt.

Quelle: 'Warning: Windows 10 April 2018 Update Cumulative Update KB4103721 Bricks PCs' auf Softpedia (Englisch

Einstellungen App stürzt ab:

Auf einigen PCs soll darüber hinaus die App „Einstellungen“ abstürzen. Hier haben sich mittlerweile Zusammenhänge mit manchen inkompatiblen Programmen ergeben. Namentlich bekannt und damit wohl mehr oder weniger bestätigt ist SumatraPDF. Deinstalliert man diese Anwendung stehen die Chance ganz gut, dass die Einstellungs-App wieder normal funktioniert. Falls das nicht ausreicht (oder das Programm gar nicht installiert war) muss man selbst probieren, welches Programm der Übeltäter ist. Verdächtig sind dabei vor allem Programme, die sich an Dateitypen binden wollen (so wie Sumatra PDF eben an den Dateityp PDF).

Quelle: 'How to Fix Settings App Crashing in Windows 10 April 2018 Update' auf Softpedia.com (Englisch)

Peripherie hängt auf Surface-Geräten:

Dieser Fehler dürfte für Microsoft besonders peinlich sein. Der Software Hersteller musste mittlerweile eine Inkompatibilität mit den eigenen Surface Studio Geräten bestätigen. Demnach verlieren die Geräte immer wieder mal die Verbindung zu Maus und Tastatur. Sobald man auf dem Bildschirm tippt, erholt sich die Peripherie wieder. Laut Leserberichten (Softpedia) sollen auch andere Surface-Geräte betroffen sein. Ein Update ist in Arbeit aber ein Termin wurde bisher nicht genannt.

Quelle: 'Windows 10 April 2018 Update Bug Breaks the Mouse and Keyboard on Surface Studio' auf Softpedia.com (Englisch)

Fazit:

Es gibt Geräte auf denen Windows 10 Version 1803 wie ein Uhrwerk und ohne das geringste Problem läuft und dann gibt es solche, wo das absolut nicht der Fall ist. Leider lässt sich vor einem Upgrade nicht vorhersagen, welches Szenario für einen selbst zutreffen wird. Da das Upgrade aber keine revolutionären Neuigkeiten mitbringt, würden wir allen Anwendern empfehlen das Upgrade vorerst noch aufzuschieben. Auf Geräten mit Windows 10 Pro lässt sich das einfach bewerkstelligen, indem man in den erweiterten Optionen von Windows Update unter dem Punkt ‚Installationszeitpunkt für Updates auswählen‘ den Kanal ‚Semi-Anual Channel‘ anstelle von ‚Semi-Anual Channel (Targeted)‘ auswählt. Das verzögert die Installation des Funktionsupgrades um 4 Monate. Auf Geräten mit Windows 10 (ohne Pro) sollte man dagegen möglichst einen Bogen um Windows Update machen. Denn wer hier auf „Nach Updates suchen“ klickt, bekommt das Upgrade auf jeden Fall. Mehr kann man mit der Home-Version leider nicht machen. Von einer kompletten Deaktivierung des Windows Update Dienstes (wie es leider immer wieder mal gewisse Leute empfehlen) raten wir dringend ab, denn dann erhalten sie auch keine Sicherheitsupdates mehr!

zur Übersicht

20.05.2018 - Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.8.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt 13 Sicherheitslücken, wovon zwei als kritisch eingestuft wurden. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Version 52.8 enthält auch erste Korrekturen gegen das ‚E-Fail‘-Angriffsszenario (siehe folgenden Artikel) aber noch keine komplette Absicherung dagegen. Bei verschlüsselten Mails sollte aus Sicherheitsgründen die Anzeige auf „Nur Text“ eingestellt werden.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

20.05.2018 - Firefox 60.0 behebt schwere Sicherheitslücken!

Mozilla Firefox LogoMozilla hat in der neuen Firefox Version insgesamt 26 Sicherheitslücken behoben, wovon zwei als kritisch gekennzeichnet sind. Firefox Anwender sollten daher rasch auf Version 60.0 aktualisieren, falls nicht bereits geschehen. Anwender von Firefox ESR sollten auf Version 52.8 ESR oder 60.0 ESR updaten. Abgesehen von den Sicherheitskorrekturen soll Firefox 60 jetzt Gruppenrichtlinien unterstützen, was den Browser auch für größere Firmen interessant machen könnte.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Firefox 60 mit Enterprise-Engine und Langzeit-Support' auf Heise Online

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

20.05.2018 - Efail: Fehler in E-Mail-Programmen torpedieren Verschlüsselung

Efail LogoEfail hat sich auf Heise Online in kürzester Zeit zu einem riesigen Thema aufgebauscht, obwohl es eigentlich nur Anwender betrifft, die E-Mail-Verschlüsselung verwenden. Viele sind das garantiert nicht, wir kennen jedenfalls keinen Einzigen (obwohl verschlüsselte E-Mails grundsätzlich sehr wünschenswert wären). Daher verweisen wir an der Stelle nur auf einen Heise Online Artikel für die Hintergrund-Informationen zu dem Thema.

Allerdings wurde auf Heise Online auch auf eine interessante Alternative zu verschlüsselten Mails hingewiesen. Siehe dazu den Artikel über den Messenger ‚Signal‘.

Quelle: 'Efail: Was Sie jetzt beachten müssen, um sicher E-Mails zu lesen' auf Heise Online

zur Übersicht

20.05.2018 - Sicherheitslücke in Messenger Signal behoben

Signal Messenger LogoWie im Efail Artikel erwähnt, hat Heise Online den Messenger ‚Signal‘ als überlegenswerte Alternative zu verschlüsselten E-Mails in den Raum gestellt. Der Vorteil von Signal gegenüber verschlüsseltem E-Mail ist schnell erklärt, der Einrichtungsaufwand bei Signal ist wesentlich geringer als bei verschlüsselten E-Mails. Zudem leidet Signal nicht unter den aktuellen Efail Lücken, bzw. nicht mehr, denn Signal hatte bis vor kurzen ein sehr ähnliches Problem, das ebenfalls Angreifern den Zugriff auf sämtliche Mitteilungen erlaubt hat, und das mit viel weniger Aufwand als bei Efail, also unterm Strich sogar noch gefährlicher. Dieses Problem haben die Signal-Entwickler mit Version 1.11 für Windows bzw. MacOS behoben. Die Smartphone Apps waren von dem Problem nicht betroffen.

Auch wenn die Entwickler rasch auf die Sicherheitslücke reagiert haben, so hinterlässt der Fehler doch einen schalen Nachgeschmack. Sicherheitsforscher haben festgestellt, dass zumindest die Desktop-Programme nicht gerade den durchdachtesten Programm-Code aufweisen. Zudem wird das Electron Framework verwendet, das in letzter Zeit ebenfalls häufiger negativ auf sich aufmerksam gemacht hat.

Gibts eine Empfehlung?

Für Anwender, die einfach zu benutzende verschlüsselte Kommunikation verwenden wollen, ist Signal sicher einen Versuch wert. Hoch sensible Daten würden wir Signal im Moment aber nicht anvertrauen. Tritt wieder ein Fehler auf wie der gerade Behobene, wären sogar unverschlüsselte E-Mails noch sicherer als ‚Signal‘-Nachrichten. Dann doch besser E-Mail Verschlüsselung mit PGP und gegen Efail abgesicherten Programmen bzw. Plugins.

Was ist mit WhatsApp?

WhatsApp bietet ebenfalls Ende zu Ende Verschlüsselung und wäre damit (Programmierfehler mal außen vor gelassen) theoretisch ebenso sicher wie Signal. Doch WhatsApp hat ein gravierendes Problem – es pfeift auf Datenschutz und generiert Profit aus den gierig aufgesogenen Kundendaten. Während Privatleute ohne Kundendaten (Kontakte, Mails usw.) auf dem Smartphone damit vielleicht noch leben können (die besagten Kontakte auf dem Smartphone können sich ja eh nicht dagegen wehren) ist das nicht DSGVO-konforme WhatsApp auf geschäftlich genutzten Computern/Smartphones absolut Tabu, denn bei Verstößen gegen die DSGVO drohen drastische Strafen.

Quelle: 'Updates fixen böses Loch in Signals Desktop-App' auf Heise Online

Info: 'WhatsApp illegal?' auf eu-dsgvo.at

zur Übersicht

20.05.2018 - Facebook: Der nächste Datenschutz-Skandal

Facebook LogoDie Berichterstattung über den Facebook/Cambridge Analytics ist kaum abgeebbt, schon macht die nächste gravierende Datenpanne bei Facebook die Runde. Die Facebook App ‚myPersonality‘, ein Persönlichkeits-Quiz der University of Cambridge, hat persönliche Daten, darunter auch sehr intime Details, von 3 Millionen Facebook Benutzern gesammelt. Bis hierher wäre das noch kein Problem, doch was danach an Fahrlässigkeit im Umgang mit den Daten an den Tag gelegt wurde, grenzt an Hohn (siehe Heise Artikel für Details). Letztendlich waren die Daten für jedermann frei zugänglich, sodass Facebook jetzt den nächsten Datenschutzskandal an der Backe hat.

Betroffene Anwender können jetzt nichts mehr machen, die Daten sind öffentlich. Bleibt nur noch der Hinweis, in Zukunft sorgfältig zu überlegen, welche persönliche Daten man in sozialen Netzwerken veröffentlicht bzw. welche „Apps“ man verwendet.

Quelle: 'Facebook: Neues Datenleck betrifft 3 Millionen Nutzer' auf Heise Online

zur Übersicht

20.05.2018 - Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoWährend das letzte Spectre-Fazit eher negativ ausgefallen ist, können wir diese Woche überwiegend positives berichten.

Microcode-Updates für Windows 10 1803:

Während wir uns beim letzten Spectre-Fazit noch gewundert haben, dass Microsoft für die allerneueste Windows 10 Ausgabe keine Microcode-Updates angeboten hat, hat sich die Situation jetzt um 180° gewendet. Nicht nur, dass Windows 10 1803 nun auch Microcode-Updates erhält, der Umfang ist sogar noch deutlich größer als der für Windows 10 1709. Während letzteres nur bis zu den 4er Generationen der Intel Prozessoren Updates enthält, sind es bei 1803 sogar bis zur 2er Generation zurück. Anfangs sah es sogar noch besser aus, weil Microsoft angegeben hatte, dass die Updates automatisch ausgerollt werden sollten, doch das dürfte offenbar ein Fehler auf der Website gewesen sein, denn aktuell ist davon leider nichts mehr zu lesen. Mit dieser Kehrtwende, wird 1803 auf jeden Falls (aus Spectre Sicht) zum sichersten Windows aktuell. Angesichts der vielen möglichen Problemen mit der nun Windows Version (siehe Artikel oben) raten wir von einem verfrühtem Upgrade dennoch ab.

Fehlerhafter Meltdown-Patch korrigiert:

Beim letzten Mal hatten wir noch über einen gravierenden Bug in allen Windows 10 Versionen mit Ausnahme von 1803 geschrieben, den Alex Inonescu gefunden hat. Mittlerweile sind die Angaben dazu präzisiert. Betroffen war demnach nur Windows 10 1709. Und dort hat Microsoft den Bug in Windeseile korrigiert und im Rahmen des Mai-Update-Tages ausgeliefert. Also keine Meltdown-Bugs in Windows 10 1709 mehr, sofern alle Updates installiert wurden.

Spectre-NG rückt näher:

Laut Heise könnte Intel morgen ein erstes öffentliches Statement bzgl. der Spectre-NG Sicherheitslücken angeben. Im nächsten Spectre-Fazit haben wir also sicher wieder was zu erzählen.

Quelle: 'CPU-Lücke Spectre V2: Microcode-Updates jetzt unter Windows 10 1803, unter Linux lückenhaft' auf Heise Online

Quelle: 'Microsoft Fixes “Fatal Flaw” in Windows 10 Fall Creators Update Meltdown Patch' auf Softpedia.com

zur Übersicht

20.05.2018 - Lenovo stopft Sicherheitslücke in Server-UEFI

UEFI LogoLenovo hat Sicherheitslücken in mehreren Server-Systemen gestopft. Die Probleme waren in der Secure-Boot-Implementierung. Zwar ist diese im Auslieferungszustand deaktiviert, Server-Administratoren sollten trotzdem die BIOS/UEFI Updates zügig installieren. Im verlinkten Heise Online Artikel gibt es die nötigen Details.

Info: 'Lenovo flickt Schutzmechanismus Secure Boot in einigen Servern' auf Heise Online

zur Übersicht

20.05.2018 - LibreOffice 5.4.7 und 6.0.4 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 5.4.7 der freien Bürosuite veröffentlicht. Dies ist die letzte Ausgabe aus der 5.4er Reihe, deren Support am 11. Juni endet. Dann sollten auch konservative Anwender langsam über einen Umstieg auf die 6.0er Serie nachdenken.

Besagte 6.0er Serie hat ebenfalls eine neue Version erhalten. Hier wurden über 80 Fehler korrigiert, sodass sich die 6.0er Serie sich langsam auch für Firmen und konservative Anwender eignen sollte. Bisher konnten wir LibreOffice 6.0.4 aber noch nicht selbst auf den Zahn fühlen.

OpenGL besser abschalten …

Nach wie vor sollte für zügiges Arbeiten in LibreOffice die OpenGL Anzeige deaktiviert werden. Dazu klickt man auf EXTRAS → OPTIONEN. Im Optionen-Fenster wählt man in der linken Spalte ANSICHT und entfernt dann rechts den Haken bei ‚OpenGL für das rendern verwenden‘, falls es gesetzt ist. Der daraufhin folgenden Aufforderung LibreOffice neu zu starten sollte man nachkommen.

Download: Aktuelle LibreOffice Versionen (5.4 Serie)

Download: Aktuelle LibreOffice Versionen (6.0 Serie)

zur Übersicht

04.05.2018 – Neue 7-Zip Version schließt Sicherheitslücke

7-Zip LogoDer Hersteller des beliebten kostenlosen Pack-Programmes ‚7-Zip‘ hat die Version 18.05 veröffentlicht. Darin wurde eine schwere Sicherheitslücke behoben, weshalb wir zu einem raschen Update raten. Natürlich gibt es auch einige weitere kleine Neuerungen (z.B. Performance Verbesserungen), die man in der Liste der Änderungen nachlesen kann.

Download: 7-Zip v18.05, mehrsprachig, 32Bit

Download: 7-Zip v18.05, mehrsprachig, 64Bit

Quelle: 'Sicherheitsupdate: Packprogramm 7-Zip ist für Speicherfehler anfällig' auf Heise Online

Info: 'What's new in 7-Zip 18.05' auf sourceforge.net (Englisch)

Info: 7-Zip Homepage (Englisch)

zur Übersicht

04.05.2018 – Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoDer Mai bringt eine Gute und mehrere schlechte Nachrichten rund um das Thema Prozessorsicherheitslücken.

Die guten Nachrichten zuerst:

AMDs Microcode-Updates kommen nun endlich zu den Anwendern durch. Zumindest bei Asus gibt es für etliche AM4-Mainbards BIOS-Updates, die (unter anderem) dem Spectre 2 Problem zu Leibe rücken.
Und Microsoft liefert nun auch Microcode-Updates für Prozessoren ab der 4ten (Core i) Generation, wenngleich weiterhin mit 2 großen Pferdehaken – siehe schlechte Nachrichten.

Die schlechten Nachrichten:

Leider überwiegt die Zahl und Auswirkung der schlechten Nachrichten die guten Nachrichten bei weitem, sodass sich das Thema Spectre 2 unterm Strich nicht wirklich besser präsentiert als vor Monaten.

Microcode Updates von Microsoft:

... werden nach wie vor NUR für Windows 10 Version 1709 angeboten. Nicht einmal die komplett neue Version 1803, die ab kommenden Dienstag auch per Microsoft Update verteilt wird, bekommt dieses Updates. Darüber hinaus ist das Update weiterhin optional und nur über den Update-Katalog erhältlich. Nur Profis wissen das, normale Anwender bekommen gar nicht mit, dass für Ihr System möglicherweise ein Update verfügbar ist, dass das Spectre 2 Problem lösen könnte.

Noch schlimmere Prozessor-Sicherheitslücken im Anrollen:

Laut Heise Online, sind bereit weitere Spectre ähnliche Sicherheitslücken bekannt. Da noch keine Namen bekannt sind, nennt Heise diese neuen Lücken vorläufig „Spectre NG“. Laut Heise Online vorliegenden Informationen, sollen es wohl in Summe 8 Sicherheitslücken sein, von denen vier kritisch sind. Vor allem eine Lücke soll besonders gravierend sein und die bisherigen Meltdown und Spectre Varianten völlig in den Schatten stellen was Ausnutzbarkeit und Schadenspotential angeht.

Eilmeldung:

Und gerade noch auf einen Tweet von Alex Ionescu aufmerksam geworden, wonach Microsoft in allen bisherigen Windows 10 Versionen mit Ausnahme von der neuen 1803 einen schweren Fehler in den Meltdown-Patch eingebaut hat. Genau Informationen über die Auswirkungen des Bugs fehlen noch, aber vermutlich reißt das wieder eine gröbere Sicherheitslücke auf. Wir belassen es für heute mal dabei und warten ab, ob Microsoft die Microcode-Updates am nächsten Tag der Updates für Windows 10 v1803 verfügbar macht. Dann wäre zumindest eindeutig, dass diese Version auf absehbare Zukunft die einzige sichere ist.

Fazit:

Alle Anwender die gedacht haben, das Meltdown & Spectre schon erledigt ist oder zumindest bald erledigt wäre, liegen leider völlig falsch. Das Thema Prozessor-Sicherheitslücken bleibt auf absehbare Zeit leider ein Dauerbrenner.

Quelle: 'Spectre-NG: Intel-Prozessoren von neuen hochriskanten Sicherheitslücken betroffen' auf Heise Online

Quelle: 'CPU-Sicherheitslücken unter Windows: Spectre-Schutz auch für Haswell' auf Heise Online

Quelle: 'Windows 10 1803 ohne Microcode-Updates gegen Spectre V2' auf Heise Online

Quelle: 'Alex Ionescu‏'s Tweet bzgl. fehlerhaftem Meltdown Patch' auf Twitter.com

zur Übersicht

04.05.2018 – Generalüberholte Version Gimp 2.10 verfügbar!

Gimp LogoWie bei Gimp üblich hat es länger gedauert als geplant, aber seit wenigen Tagen steht nun Gimp 2.10 als finale Version zum Download bereit. Der vermeintlich kleine Sprung von Version 2.8 auf 2.10 mag wenig Neues suggerieren, aber der Schritt ist ein gewaltiger. Nicht wenige sprechen vom größten Gimp Update aller Zeiten. Heise Online hat einen informativen Artikel über die Neuerungen in Gimp 2.10 geschrieben und auf der Gimp Website finden sich noch mehr Informationen, wenngleich in Englisch. Wir möchten hier ein paar Informationen teilen, die unserer Meinung nach in dem Heise Artikel fehlen oder untergegangen sind.

Installation und Start:

Die Installation ersetzt eine eventuell installierte 2.8er Version ungefragt. Für die meisten Anwender dürfte das für weniger Verwirrung sorgen, fortgeschrittenere Anwender ärgern sich aber möglicherweise über diese Bevormundung. Der erste Start von Gimp läuft dann so wie seit Jahr und Tag gewohnt, sofern keine zu Version 2.10 inkompatiblen Plugins vorhanden sind (siehe Plugin Ärger). Spätestens nach ein paar Tagen dürfte alteingesessenen Gimp-Anwendern etwas (im positiven Sinne) fehlen – die mitunter sehr nervig wahrgenommenen Aktualisierungen des Schriftarten-Cache sind wohl sehr selten geworden, jedenfalls haben wir seit dem ersten Start nach der Installation diesen Vorgang nicht mehr gesehen.

Plugin Ärger:

Die tief greifenden Änderungen an Gimp führen wohl dazu, dass viele alte Gimp-Plugins nicht mehr funktionieren. Das beliebte GMIC-Plugin ist z.B. ebensowenig mit 2.10 kompatibel, wie das alte Liquid Resize. Mehr Plugins haben wir aber bisher nicht getestet. Jedenfalls stellt das noch einen Grund dar, warum es problematisch ist, dass die 2.8er Version ungefragt deinstalliert wird.

Freistell-Werkzeug deutlich verbessert:

Das Freistell-Werkzeug ist wohl eines der häufiger genutzten Werkzeuge in Gimp. Erst vor Kurzem wurde Gimp 2.8 von einem Heise Redakteur in diesem Punkt als nicht mehr zeitgemäß bekrittelt. Ganz von der Hand zu weißen war das nicht, wenngleich das Werkzeug bei seiner Einführung durchaus überzeugend war. Jedenfalls bessert Version 2.10 hier ordentlich nach, auch wenn sich optisch an dem Tool kaum etwas geändert hat. Aber kompliziertere Freistellungen sind nun deutlich einfacher und sauberer möglich als zuvor. Das spart enorm viel Zeit und macht die (hoffentlich vorübergehende) Abwesenheit des GMIC-Plugins erträglicher.

Dunkle Oberfläche noch nicht perfekt:

Vielerorts wird von einer komplett neuen Oberfläche in Gimp 2.10 geschrieben, das ist aber falsch. Die Benutzeroberfläche wurde im Kern nicht modernisiert, das ist für Version 3.0 geplant. Es wurden lediglich die Farben der Themen überarbeitet. Zwar waren dunklere Themen schon in früheren Ausgaben von Gimp verfügbar, aber sie waren so fehlerhaft, dass sie de facto unbenutzbar waren. In der neuen Ausgabe hat sich das gravierend geändert. Die Gimp Entwickler sind sogar so zuversichtlich, dass sie das dunkle Thema nun als Standard-Einstellung auserkoren haben. Ganz fehlerfrei sind die dunkleren Themen aber noch nicht, vereinzelt sind daher Dialoge schwer oder gar nicht zu erkennen. Wer aus diesem oder anderen Gründen die „alte“ Farbgestaltung zurück haben möchte, muss in den Einstellungen das Thema „System“ sowie das „Symbol Thema“ „Legacy“ auswählen.

Keine 32Bit Version mehr?

In all den Dokumenten zu den Neuerungen in Version 2.10 wird nirgends erwähnt, dass der Support für 32Bit Windows gestrichen wurde. Tatsache ist aber, das zumindest im Moment keine 32Bit Fassung von Gimp 2.10 angeboten wird. Anwender eines 32Bit Windows Systems haben also (im Moment?) Pech.

Fazit:

Auch wenn die erste Ausgabe der 2.10er Version noch nicht perfekt ist, so bietet sie doch so viele Vorteile gegenüber der 2.8er Ausgabe, dass man über die kleinen Mängel leicht hinwegsehen kann. Zudem ist zu erwarten, dass noch viele kleine Fehler in den kommenden Wochen ausgebügelt werden. Wer allerdings Gimp 2.8 und 2.10 parallel nutzen möchte, muss einiges an Bastelarbeit in Kauf nehmen.

Download: Gimp 2.10 für Windows

Quelle: 'Gimp 2.10 und das alte Versprechen der neuen Engine' auf Heise Online

Info: 'Gimp 2.10 Release Notes' auf Gimp.org

zur Übersicht

04.05.2018 – Windows 10 Version 1803 ist fertig!

Windows 10 LogoSeit wenigen Tagen kann man bei Microsoft die finale Windows 10 Version 1803 herunterladen. Ab dem nächsten Tag der Updates (8. Mai) sollen dann auch erste Anwender über Windows Update mit der neuen Ausgabe zwangsbeglückt werden.

All zu viele spannende Neuerungen gibt es darin nicht, weshalb wir Neugierige hier einfach auf den entsprechenden Artikel von Heise Online verweisen. Die gute Nachricht ist immerhin, dass es abgesehen von den fehlenden Microcode-Updates gegen Spectre 2 (siehe Spectre Wochenfazit) wohl keine gravierenden Fehler geben dürfte. Unser erster eigener Test auf einem Notebook verlief völlig unspektakulär.

Anwender der Home Version von Windows 10 können sich gegen das Update ohnehin nicht wehren. Wer Windows 10 Pro einsetzt, kann das Update in den Windows Update Einstellungen immerhin für 4 Monate aufschieben.

Info: 'Neue Funktionen im Creators Update für Windows 10' auf Heise Online

zur Übersicht

04.05.2018 – Firefox Update für Windows 10 v1803!

Mozilla Firefox LogoMozilla hat rechtzeitig zum Start von Windows 10 v1803 eine neue Firefox Version veröffentlicht, die die Zusammenarbeit mit dem neuen Betriebssystem optimiert. Ältere Versionen von Firefox machen Probleme auf dem neuen System. Anwender, die auf die ESR Version von Firefox angewiesen sind, sollten im Moment tunlichst noch KEIN Update auf Windows 10 1803 machen, denn die ESR Ausgaben sind noch nicht angepasst.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

Quelle: 'Firefox 59.0.3 beseitigt Kompatibilitätsprobleme mit "Windows 10 April 2018 Update“' auf Heise Online

zur Übersicht

23.04.2018 – Sicherheitsupdate für zahlreiche Adobe Programme

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 29.0.0.140. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Digital Editions:

In Adobes E-Book-Reader Software ‚Digital Editions‘ wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten dringend auf Version 4.5.7 updaten bzw. sich überlegen ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren. Digital Editions wird nämlich in letzter Zeit relativ häufig von Sicherheitslücken geplagt.

Download: Adobe Digital Editions v4.5.8 für Windows

Quelle: Adobe Digital Editions Security Bulletin APSB18-13 (Englisch)

Adobe InDesign:

Auch InDesign erhält diesen Monat ein Sicherheitsupdate. Geschlossen wurden darin eine kritische Sicherheitslücke die zur Infektion des Computers über manipulierte Dateien genutzt werden können. Hier behebt das Upgrade auf Version 13.1 das Risiko. Ein reines Sicherheitsupdate für ältere InDesign Versionen steht leider nicht zur Verfügung. Das Upgrade auf Version 13.1 ist für alle CC Abonnenten über den Creative Cloud Client möglich.

Info: Adobe Security Bulletin APSB18-11 (Englisch)

ColdFusion:

Nutzer von Adobe ColdFusion sollten ebenfalls unbedingt Updates installieren, um schwere Sicherheitslücken zu schließen. Updates gibt es hier für die Versionen 11 und 2016. Wie die Updates zu installieren sind, steht in dem 'Adobe Security BulletinAPSB18-14'.

Quelle: 'Adobe Security Bulletin APSB18-14' auf Adobe.com (Englisch)

Adobe Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Auch dieses wurde als wichtig eingestuft. Details findet man im Adobe Security Bulletin APSB18-04.

Quelle: Adobe Security Bulletin APSB18-10 (Englisch)

zur Übersicht

23.04.2018 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr für Windows 10 Version 16.07

Die im Herbst 2016 veröffentlichte Windows 10 Version 16.07 erhält seit dem 10. April keine Sicherheitsupdates mehr. Anwender die immer noch Windows 10 Version 16.07 (oder älter) einsetzen sollten dringend auf Windows 10 Version 17.09 updaten.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit Jahren (XP) bzw. Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

23.04.2018 – Sicherheitsupdates für Java und weitere Oracle Software

Eine Woche nach Microsoft bringt nun auch Oracle Sicherheitsupdates für etliche seiner Programme. Das wichtigste dabei ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist. Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - April 2018‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - April 2018' auf Oracle.com (Englisch)

Java LogoJava:
Oracle hat Version 8.0 Update 171 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stolze 12 Sicherheitslücken geschlossen. In Summe haben die Lücken die höchste Gefahrenstufe vom Sicherheitsforscher Secunia zugewiesen bekommen, Anwender sollten also rasch updaten.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurück setzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

zur Übersicht

23.04.2018 – Neue LibreOffice Versionen schließen Sicherheitslücke!

LibreOffice LogoIn LibreOffice wurde eine Schwachstelle entdeckt, über die Angreifer den Computer mit Viren infizieren können. Dazu genügt es eine präparierte Word-Datei zu öffnen. Ein Update auf Version 5.4.6 oder 6.0.2 behebt das Problem.

Die 6er Serie, die übrigens mittlerweile bei Version 6.0.3 Halt macht, empfehlen wir nach wie vor nur Anwendern, die gerne brandneue Software testen und mit möglichen Programmfehlern umgehen können.

Download: Aktuelle LibreOffice Versionen (5.4 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.0 Serie)

Quelle: 'Security Advisorie CVE-2018-10120' auf LibreOffice.org (Englisch)

zur Übersicht

23.04.2018 - Neue iTunes & iCloud Versionen beheben kritische Sicherheitslücken!

Apple LogoApple behebt mit iTunes 12.7.4 zahlreiche teils kritische Sicherheitslücken in der Multimedia Software. Auch in iCloud musste Apple gehörig nachbessern und liefert diese Korrekturen mit Version 7.4 aus.

Anwender, die iTunes oder iCloud tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs deutlich langsamer machen, selbst wenn sie gar nicht verwendet werden.

Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.

Quelle: 'BSI warnt vor Sicherheitslücken in iTunes für Windows' auf Heise Online

zur Übersicht

23.04.2018 – Nvidia schließt Sicherheits-Lücken und verärgert sehr viele Leute!

Nvidia LogoNur wenige Wochen nachdem Nvidia Sicherheitsupdates für seine Grafiktreiber veröffentlicht hat, stehen nun schon wieder neue Treiber bereit, die Sicherheitslücken schließen. Es wurden gleich mehrere Lücken geschlossen die teils kritisch sind. PCs mit Nvidia Grafik sollten daher rasch aktualisiert werden!

Allerdings kommt nicht jeder in den „Genuss“ der abgesicherten Grafiktreiber, denn viele ältere Modelle sind aus dem Support gefallen. Wer für seine Nvidia Karte keinen aktuellen Treiber mehr bekommt, sollte diese dann auch nicht mehr einsetzen, egal wie teuer sie einmal war. Doch nicht nur das dürfte viele Kunden verärgern, denn Nvidia will in Zukunft 32Bit Systeme überhaupt nicht mehr mit neuen Treibern beliefern. Sicherheitsupdates für 32Bit Systeme soll es (für noch unterstützte Grafikkarten) gegebenenfalls zumindest noch bis Jänner 2019 geben, auch nicht unbedingt lange.

Zu guter Letzt verscherzt es sich Nvidia auch noch mit seinen Board-Partnern, AMD und womöglich der EU-Wettbewerbsaufsicht. Denn Nvidia zwingt nun Grafikkarten-Hersteller die von Nvidia beliefert werden wollen dazu, keine Grafikkarten mit Chips anderer Hersteller (also de facto AMD) mehr anzubieten. Große Hersteller wie Asus werden dadurch gezwungen ganze Produktbereiche in separate Firmen auszugliedern. Leider haben sich die großen Anbieter nicht getraut Nvidia hier die Stirn zu bieten und die Firma einfach zu boykottieren, dann wäre das Thema nämlich ganz schnell wieder vom Tisch gewesen. So könnte es eventuell ein Fall für die EU-Wettbewerbsbehörde werden. Intel hat vor vielen Jahren für ähnliche Aktionen sehr hohe Strafen zahlen müssen.

Quelle: 'Nvidia patcht mehrere Lücken in GPU-Treibern' auf Heise Online

Quelle: Nvidia kappt Treiber-Support für 72 Grafikkarten, ab sofort nur noch 64-Bit-Treiber

Quelle: 'Nach Druck von Nvidia: Asus gliedert AMD-Karten aus, weitere Hersteller folgen' auf Heise Online

zur Übersicht

23.04.2018 – Adieu Secunia Personal Software Inspector :(

Secunia PSI LogoVor ein paar Wochen hat Flexera (Secunia) angekündigt, dass mit 20. April der Secunia Software Inspector eingestellt wird. Zwar hat Stand heute PSI noch funktioniert, schon bald dürften aber tatsächlich die Lichter ausgehen. Das wäre dann ein trauriger Tag für Windows Anwender, denn uns ist bis heute keine andere Software bekannt, die ebenfalls PCs nach unsicherer Software absucht.

Zwar gibt es ähnliche Programme wie z.B. SUMo, aber diese zeigen nur stupide alle verfügbaren Updates an, ohne das Thema Sicherheit irgendwie einfließen zu lassen. Zudem zeigt SUMo z.B. ein völlig einwandfreies LibreOffice 5.4.6 als „nicht aktuelle“ an, nur weil es eben die instabile 6.0.2 gibt. Folgen uninformierte Anwender hier der Empfehlung von SUMo handeln sie sich also unter Umständen mehr Ärger als Nutzen ein.

Falls ein werter Leser oder eine werte Leserin einen Tipp für uns hat, welches Programm den Secunia PSI tatsächlich ersetzen könnte wären wir sehr dankbar. Sobald wir aber endgültig gezwungen werden mit den Alternativen zu leben, werden wir nochmal einen kurzen Artikel dazu schreiben.

Quelle: 'Forum Thread: PSI - End of Life' auf Secunia.com (Englisch)

zur Übersicht

23.04.2018 – Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoDie April-Sicherheitsupdates von Microsoft bringen auch in Hinsicht auf Meltdown und Spectre wieder gute Neuigkeiten. So gibt es jetzt endlich Updates gegen Spectre 2 für AMD Systeme. Leider sind dafür wie schon so oft gesagt auch BIOS-Updates notwendig. Diese hat AMD zwar mittlerweile an Mainboard und Computer-Hersteller gesendet. Der erste Haken ist aber, dass es wohl nur Updates für Prozessoren mit (der 7 Jahre alten) Bulldozer- oder neuerer Architektur gibt. Der zweite Haken ist wie schon so oft gesagt, dass Mainboard- und System-Hersteller nicht gezwungen sind ihren Kunden auch tatsächlich BIOS-Updates anzubieten. Bei Mainboards und Computern älter als 3 Jahre wird man wohl größtenteils durch die Finger schauen. Ein dritter Haken ist übrigens, dass aktuell nur (AMD) Spectre 2 Updates für Windows 10 v1709 verfügbar ist. Ältere Windows Ausgaben sollten aber spätestens dann verfügbar sein, wenn auch die BIOS-Updates erhältlich sind. Mal sehen wer hier schneller ist, Microsoft oder die Mainboard-Hersteller.

Quelle: 'AMD-Prozessoren bekommen Windows-10-Update gegen Spectre-V2-Lücke' auf Heise Online

zur Übersicht

23.04.2018 – Google Chrome wird noch Neugieriger!

Google Chrome LogoAktuelle Versionen von Google Chrome enthalten nun auch einen abgespeckten Virenscanner. Was auf den ersten Blick gut klingt, löst bei genauerer Betrachtung einmal mehr Unbehagen aus. Größte Kritik ist, dass Google seine Chrome Anwender nicht ordentlich über diese Neuerung informiert hat, zudem gibt es keine Möglichkeit den Virenscanner zu deaktivieren. Lediglich die Übertragung von Metadaten an Google soll sich in den Optionen abschalten lassen. Ja richtig gelesen, Google hat mit dem Virenscanner einmal mehr eine Möglichkeit gefunden noch mehr Informationen über seine Benutzer zu sammeln, jetzt sogar weit über die Grenzen des Browsers hinaus, denn der Virenschutz untersucht auch sämtliche Dateien des Benutzers.

Wir prangern die Google Produkte schon seit Jahren als unverschämte Spionage-Tools an und raten vom Einsatz jeglicher Google Anwendungen und Dienste ab. Bei Google Chrome gibt es nun einen guten Grund mehr, die Finger davon zu lassen.

Quelle: 'Google: Chrome-Browser scannt lokale Dateien auf Windows-PCs' auf Heise Online

zur Übersicht

23.04.2018 – Schwere Sicherheitslücken in Intel Remote Keyboard App!

Intel LogoIn der Software „Intel Remote Keyboard“ wurden gravierende Sicherheitslücken entdeckt, die Angreifern die völlige Kontrolle über die Systeme verschaffen können. Die ehemals für Android und iPhone (iOS) erhältlichen Apps wurden mittlerweile aus den entsprechenden Stores entfernt. Fehlerbereinigte Versionen wird es nicht geben. Anwender, die auf ihrem Smartphone die „Intel Remote Keyboard“ App installiert haben, sollten diese umgehend deinstallieren.

Quelle: 'Remote Keyboard App: Intel rät zur Deinstallation' auf Heise Online

zur Übersicht

23.04.2018 – Gefährliche Adressbuchfreigaben auf iPhone und Android

Biohazard LogoEin Sicherheitsforscher hat darauf hingewiesen, dass Apple bei seinen iPhones (und anderen iOS Geräten) bei Adressbuch-Freigaben nicht zwischen Lese- und Scheib-Zugriffen unterscheidet. Da Smartphone-Anwender meist nicht darüber nachdenken, welchen Apps sie Zugriff auf die Kontakte erlauben, ermöglicht dies diverse Angriffe. Der Sicherheitsforscher hat Apple angeregt in zukünftigen iOS Versionen zwischen Lese- und Schreib-Zugriffen zu unterscheiden. Anwendern können wir nur raten sehr gut zu überlegen, welcher App sie Zugriff auf ihre Kontakte geben.

Da bei Android ebenfalls keine Unterscheidung zwischen Lese- und Scheib-Zugriffen auf die Kontakte vorgesehen ist, gilt dieselbe Problematik auch hier.

Quelle: 'Entwickler warnt vor iOS-Angriffen über Kontakt-Berechtigungen' auf Heise Online

zur Übersicht

30.03.2018 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.7.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt 6 Sicherheitslücken, wovon drei als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

30.03.2018 – Firefox Sicherheitsupdates!

Mozilla Firefox LogoMozilla muss bereits wenige Tage nach der Veröffentlichung von Firefox 59 erneut eine schwere Sicherheitslücke beheben. Firefox Anwender sollten daher rasch auf Version 59.0.2 aktualisieren, falls nicht bereits geschehen. Anwender von Firefox ESR sollten auf Version 52.7.3 updaten.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

23.03.2018 – Sicherheitsupdate für Adobe Flash, Dreamweaver und Connect

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 29.0.0.113. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Dreamweaver:

Im HTML-Editor Dreamweaver wurde ebenfalls eine schwere Sicherheitslücke geschlossen. Alle Anwender von Dreamweaver sollten zügig auf Version 18.1 aktualisieren. Das gelingt am einfachsten über die Adobe Creative Cloud Desktopanwendung.

Quelle: Adobe Dreamweaver Security Bulletin APSB18-07 (Englisch)

Adobe Connect:

Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.

Quelle: Adobe Connect Security Bulletin APSB18-06 (Englisch)

zur Übersicht

23.03.2018 – Microsoft's Tag der Updates

Microsoft WIndows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Admins aufgepasst – Teil 1!

Administratoren von Windows-Servern müssen aufpassen, hier ist es mit der Installation der Updates nicht getan. Zusätzlich müssen noch Gruppenrichtlinien für CredSSP gesetzt werden. Im folgenden Security Buletin erläutert Microsoft die Vorgehensweise.

Quelle: 'CredSSP updates for CVE-2018-0886' auf Microsoft.com

Admins aufgepasst – Teil 2!

Noch mehr Ungemach hält Microsoft für Admins von Windows Server 2008 R2 (bzw. SBS 2011) bereit. Eines der Updates, nämlich KB4088875 bzw. KB4088878, kann unter Umständen die Konfiguration der Netzwerkadapter beschädigen. Vor allem Betreiber von virtuellen Servern sollten das Update sehr genau planen bzw. wenn möglich vorab testen. Details im folgenden Heise Online Artikel.

Quelle: 'Patchday: Microsoft sichert Browser und Windows-Kernel ab' auf Heise Online

Nur noch wenige Wochen Support für Windows 10 Version 16.07

Die im Herbst 2016 veröffentlichte Windows 10 Version 16.07 erhält am 10. April zum letzten Mal Updates. Anwender die immer noch diese (oder gar eine ältere) Version von Windows 10 einsetzen, sollten also bald auf Windows 10 Version 17.09 updaten.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. sieben Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

23.03.2018 – Passwörter in Browsern und E-Mail-Programmen nicht sicher!

Biohazard LogoEigentlich hätte das eine Newsmeldung zum Thema Masterpassword bei Mozilla Firefox und Thunderbird werden sollen, aber je mehr wir uns mit der Materie auseinandergesetzt haben, desto weniger wichtig erschien dieses Problem, und um so mehr rückten alle Browser und E-Mail-Programme in den Fokus. Doch der Reihe nach …

Sinn und Unsinn von Master-Passwörtern:

Kürzlich machte eine Meldung zur mangelhaften Verschlüsselung der Passwort-Verwaltung von Mozilla auf sich Aufmerksam. Ein Sicherheitsforscher hat darauf hingewiesen, dass Passwörter aus Thunderbird und Firefox selbst mit gesetzten Master-Passwort relativ einfach ausgelesen werden können. Das ist grundsätzlich nicht gut, aber betrifft letztendlich die wenigsten Anwender, denn wir kennen praktisch niemanden, der diese Master-Passwort-Funktion überhaupt verwendet. Als langjähriger Thunderbird Anwender haben wir die Funkion natürlich nochmal getestet und dabei festgestellt, dass sie so schlecht implementiert ist, dass wir fast 10 Mal das Masterpasswort eingeben müssten, um mit dem Programm arbeiten zu können. Anwender mit weniger Postfächern kommen wohl mit weniger Eingaben davon, trotzdem ist das letztlich unbrauchbar.

Sind also Anwender, die gar kein Master-Passwort verwenden, nicht von dem Problem betroffen? Die Antwort darauf ist ein klares JEINDOCH. Das Master-Passwort soll das Auslesen der Passwörter verhindern, indem diese verschlüsselt abgelegt werden. Mit passender Hard- und Software kann diese Verschlüsselung heutzutage in wenigen Sekunden geknackt werden. Nichtsdestotrotz stellt das Master-Passwort einen besseren Schutz vor solchen Szenarien dar, als gar kein Master-Passwort. Und genau das ist der Stand bei allen anderen Browsern und E-Mail-Programmen. Ein kurzer Test hat ergeben, dass die Passwörter aus allen Browsern binnen einer Sekunde ausgelesen werden können! Das Master-Passwort von Firefox (und Thunderbird) macht es Angreifern zumindest deutlich schwerer, sofern die Funktion denn verwendet wird, was wie gesagt Angesichts der nervigen Umsetzung in den Mozilla Produkten, wohl selten der Fall sein dürfte.

Wie schlimm ist das jetzt?

Was aber bedeutet das jetzt für den normalen Anwender? Es bedeutet schlicht und ergreifend, dass Passwörter die im Browser (egal von welchem Hersteller) gespeichert sind sehr schnell und einfach ausgelesen werden können. Lässt man z.B. den Arbeits-PC nur eine Minute aus den Augen ohne den Bildschirm zu sperren, könnte eine Person in der Nähe die Passwörter sämtlicher Browser auslesen und auf z.B, einen USB-Stick kopieren. Mit etwas Übung dauert das alles keine 20 Sekunden! Ein simpler Trojaner auf dem PC könnte dasselbe völlig unbemerkt im Hintergrund erledigen und die Passwörter online an die Angreifer übermitteln. Mit den abgegriffenen Passwörtern könnte der Angreifer dann z.B. den E-Mail-Account kidnappen, das Facebok-Profil übernehmen usw. je nachdem, welche Zugangsdaten eben im Browser gespeichert waren.

Abhilfe?

Damit wären wir auch gleich bei den Möglichkeiten sich zu schützen: An erster Stelle müssen wir leider sagen, speichern sie am besten einfach keine Passwörter im Browser! Wenn es aus Komfort-Gründen nicht verhindert werden kann, sollte man zumindest die kritischeren Passwörter nicht abspeichern, also z.B. OnlineBanking, Amazon, Postfächer usw. Wichtigere Passwörter wie die genannten, speichert man besser in einem Passwort Safe. Das ist zwar nicht so praktisch wie ein im Browser gespeichertes Passwort, aber immer noch komfortabler als z.B. ein verschlüsseltes Text-Dokument.

Und die E-Mail-Programme?

Wie bereits erwähnt können die Passwörter aus Thunderbird (wenn nicht durch Master-Passwort geschützt) genauso leicht gestohlen werden, wie aus Firefox oder den gängigen Browsern. Laut einem dieser Passwort-Auslese-Programme soll das auch in folgenden E-Mail-Programmen (bzw. Benachrichtigungs-Programmen) funktionieren:

Outlook Express, Microsoft Outlook, Windows Mail, Windows Live Mail, IncrediMail, Eudora, Yahoo! Messenger, MSN/Windows/Live Messenger, Gmail Notifier, Google Desktop, Google Talk.

Und es würde uns wundern, wenn die Liste tatsächlich vollständig ist. Kurzum alle Anbieter von E-Mail-Programmen sollten (genau wie die Browser-Kollegen) eigentlich nach Möglichkeiten suchen, ohne Komfortverlust einen besseren Schutz der Passwörter zu gewährleisten. Der Anwender selbst kann eigentlich gar nichts (praktikables) machen, außer die Passwörter regelmäßig zu ändern und die Passwort-Speicher der Browser möglichst nicht nutzen.

Quelle: 'Passwort-Tresor Webbrowser: Firefox pfuscht seit neun Jahren beim Master-Kennwort' auf Heise Online

zur Übersicht

23.03.2018 – Firefox 59.0 behebt schwere Sicherheitslücken!

Mozilla Firefox LogoMozilla hat in der neuen Firefox Version insgesamt 18 Sicherheitslücken behoben, wovon zwei als kritisch gekennzeichnet sind. Firefox Anwender sollten daher rasch auf Version 59.0 aktualisieren, falls nicht bereits geschehen. Abgesehen von den Sicherheitskorrekturen soll die neue Firefox Version einmal mehr schneller geworden sein und bringt ein verbessertes Screenshot-Tool mit.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Firefox 59 mit verbessertem Screenshot-Tool' auf Heise Online

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

23.03.2018 – Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoDie März-Sicherheitsupdates von Microsoft bringen auch in Hinsicht auf Meltdown und Spectre gute Neuigkeiten. So gibt es jetzt endlich Updates gegen Meltdown für 32Bit Windows 7 und 8.1 Systeme. Damit sollte Meltdown auf sämtlichen noch unterstützten Windows Systemen kein Thema mehr sein.

Auch die Auslieferung von Microcode-Updates gegen Spectre 2 weitet sich aus. Nachdem beim letzten Bericht nur Prozessoren aus der 6ten (Core i) Generation und auch nur unter der neuesten Windows 10 Version erhalten haben, sind es nun alle Intel Prozessoren AB der 6ten (Core i) Generation und unter allen noch unterstützten Windows 10 Versionen. Anwender von Windows 7 und 8.1 schauen aber vorerst weiter durch die Finger. Man sollte aber ohnehin besser beim Hersteller des Mainboards bzw. des Computers prüfen, ob eventuell neue BIOS-Updates verfügbar sind. Ein neues BIOS mit abgesichertem Microcode ist dem entsprechenden Windows Update grundsätzlich vorzuziehen, ist aber halt nur selten verfügbar und bedeutet (im Gegensatz zu den komfortablen Windows-Updates) Handarbeit.

Intel:

Intel selbst hat mittlerweile Microcode-Updates für Prozessoren bis zurück zur zweiten Core-i-Generation sowie die meisten Atom-Prozessoren fertiggestellt. Fehlt also nur noch die erste Core-i-Generation sowie die Core 2 Duo bzw. Core 2 Quad Prozessoren, dann wären der Großteil der noch im Einsatz befindlichen Intel Prozessoren vermutlich abgedeckt.

AMD:

Von AMD sind uns keine Microcode-Updates bekannt, obwohl diese seit längerem schon für zumindest die Ryzen-Prozessoren verfügbar sein sollten. Und als ob das nicht schon genug wäre, muss der kleine Intel Konkurrent sich nun auch noch mit weiteren Schwachstellen auseinandersetzen (siehe zusätzlichen AMD-Artikel weiter unten). Hoffentlich verzögert das die nötigen Updates gegen Spectre 2 nicht noch weiter.

Apple, Android und Co:

Von außerhalb der Windows Welt haben wir keine Neuerungen in Bezug auf Meltdown und Spectre vernommen, sodass hier weiterhin die bisherigen Artikel und damit viele Fragezeichen gelten. Abgesehen von Linux, die in Bezug auf diese Schwachstellen wohl zurzeit den umfangreichsten Schutz abliefern.

Quelle: 'Übersicht der Meltdown und Spectre Artikel' auf Heise Online

zur Übersicht

23.03.2018 – Neue Sicherheitslücken in AMD-Chips

AMD LogoWährend AMD-Kunden immer noch sehnsüchtig auf Microcode-Updates gegen Spectre 2 warten, werden schon die nächsten Sicherheitsprobleme in AMD Prozessoren und Chipsets bekannt. Unter dem Sammelbegriff ‚AMDflaws‘ haben bisher völlig unbekannte israelische Sicherheitsforscher 12 Sicherheitslücken in aktuellen AMD-Produkten veröffentlicht. Die Art und Weise wie die Forscher die Lücken veröffentlicht haben, ist dabei stark Kritik-würdig. Üblicherweise informieren Sicherheitsforscher immer den Hersteller der gefährdeten Produkte zuerst. Erst wenn die Probleme behoben und Updates bereitstehen, geht man üblicherweise an die Öffentlichkeit. In dem Fall wurde die Öffentlichkeit sofort informiert, sodass AMD keine Zeit hatte Updates zu entwickeln.

AMD hat die Probleme mittlerweile bestätigt und Updates für die nächsten Wochen angekündigt. Da nur Prozessoren und Chips seit März letzten Jahres betroffen sind, dürften alle Anwender passende BIOS-Updates von den Herstellern der Computer bzw. Mainboards erhalten, sobald AMD diese fertiggestellt hat.

Wie kritisch sind die Lücken?

Zum Glück hält sich das Risiko durch die Lücken relativ begrenzt. Anders als Spectre 1, müsste ein Angreifer bereits die vollständige Kontrolle über ein System haben, um aus den Schwachstellen irgendwie Nutzen zu ziehen. Für Angreifer dürften die Lücken damit eher Uninteressant sein. Größter geschädigter ist eigentlich AMD während den größten Nutzen Hauptkonkurrent Intel haben dürfte, der zufällig in Israel ein wichtiges Prozessor-Design-Büro betreibt …

Quelle: 'Ryzenfall, Fallout & Co: AMD bestätigt Sicherheitslücken in Ryzen- und Epyc-Prozessoren' auf Heise Online

zur Übersicht

23.03.2018 – Auch ASMedia USB-Controller mit Sicherheitslücken

Biohazard LogoDie israelischen Sicherheitsforscher wurden auch in USB-Chips der Firma ASMedia fündig. Auch hier sollen Schachstellen enthalten sein, die sich nur mit Administratorrechten ausnützen lassen. Damit stellen sie kein akutes Risiko dar. Allerdings könnte ein Angreifer der einmal die volle Kontrolle über das System hatte damit einen Virus hinterlassen, der später schwer bis gar nicht entdeckt oder entfernt werden könnte. Gut möglich, dass in den nächsten Wochen also auch Firmware-Updates für Mainboards und Controller-Karten mit ASMedia USB-Chips veröffentlicht werden.

Quelle: 'Hintertüren in USB-Controllern auch in Intel-Systemen vermutet' auf Heise Online

zur Übersicht

06.03.2018 – Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoTolle Nachrichten von Microsoft: Es wird nun doch Prozessor-Updates über Windows Update geben! Damit sind doch nicht Millionen PCs weltweit schrottreif, sondern können irgendwann in (hoffentlich) naher Zukunft wieder sicher genutzt werden. Das ist allerdings erst mal nur ein gutes Zeichen, erledigt ist die Angelegenheit noch lange nicht. Denn im Moment gibt es nur Updates für Intel Core i Prozessoren der 6000er Serie und auch nur für Windows 10 (Version 1709). Ältere Windows Versionen oder PCs mit andren Prozessoren schauen bis auf weiteres durch die Finger, wenn nicht der Hersteller des Computers bzw. des Mainboards neue BIOS-Updates bereitgestellt hat.

Leider hat Microsoft bisher nicht offiziell verlautbaren lassen, ob auch ältere Windows Versionen diese Updates bekommen, aber Microsoft kann es sich eigentlich gar nicht leisten diese Updates nicht für alle noch unterstützten Windows Generationen anzubieten. Womöglich liegt es auch daran, dass die Core i 6000 Prozessoren ohnehin nur unter Windows 10 unterstützt werden. Aber selbst in dem Fall müsste es noch Updates für Windows 10 Version 1703 geben. Aber geben wir Microsoft etwas Zeit, diese Microcode-Updates wollen gut getestet werden, bevor man sie auf die Menschheit loslässt.

Quelle: 'Spectre-Lücke: Microcode-Updates nun doch als Windows Update' auf Heise Online

Quelle: 'Übersicht der Meltdown und Spectre Artikel' auf Heise Online

zur Übersicht

06.03.2018 – Viele Android-Geräte schon ab Werk mit Viren infiziert!

Android Security LogoSicherheitsforscher haben auf 40 Android Geräten Viren entdeckt, die bereits ab Werk vorinstalliert waren! Bekannte Marken wie Samsung oder Sony (um nur ein paar zu nennen) sind um Glück nicht darunter, wer aber billige NoName-Smartphones oder Tablets kauft, bekommt möglicherweise ab Werk infizierte Geräte. So waren z.B. alleine vom Hersteller ‚Leagoo‘ 10 Geräte im Test ‚verwanzt‘. Ob die Geräte-Hersteller und die Software-Zulieferer unter einer Decke stecken ist nicht bekannt.

Leider kommen wir bei Android Geräten aus den Sicherheitswarnungen nicht raus, grundsätzlich sollten Anwender, die sich nicht mit alternativen Distributionen wie Lineage OS herumschlagen wollen, nur zu Markengeräten greifen. Wer ein Schnäppchen sucht, bezahlt das oft mit verwanzter Software. Aber auch Markengeräte sollte man eigentlich nur solange verwenden, wie man Updates dafür bekommt. Android Geräte, die noch keine 2018er Sicherheitsupdates erhalten haben, sollt man eigentlich nicht mehr verwenden.

Quelle: 'Bei 40 günstigen Android-Smartphones ist ein Trojaner ab Werk inklusive' auf Heise Online

zur Übersicht

06.03.2018 – Neue LibreOffice Versionen schließen Sicherheitslücke!

LibreOffice LogoIn LibreOffice wurde eine Schwachstelle entdeckt, über die Angreifer Daten aus einem Calc-Dokument abzweigen könnten. Ein Update auf Version 5.4.5 oder 6.0.1 behebt das Problem.

Ein akutes Risiko stellt die Lücke nicht dar, aber LibreOffice-Anwender sollten bei Gelegenheit auf Version 5.4.5 updaten. Die Version 6.0.2 empfehlen wir nach wie vor nur Anwendern, die gerne brandneue Software testen und mit möglichen Programmfehlern umgehen können.

Download: Aktuelle LibreOffice Versionen (5.4 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.0 Serie)

Quelle: 'Security Advisorie CVE-2018-6871' auf LibreOffice.org (Englisch)

zur Übersicht

06.03.2018 – Windows 7 – Keine Sicherheitsupdates ohne Virenscanner

Microsoft Windows LogoWie wir berichtet hatten, werden neue Windows-Sicherheitsupdates nur mehr dann installiert, wenn der im System installierte Virenscanner seine Kompatibilität zu den Spectre/Meltdown-Gegenmasnahmen signalisiert. Unter Windows 8.1 und 10 erledigt das zur Not der Windows Defender, wenn kein anderer Virenscanner installiert ist. Der Windows Defender in Windows 7 ist aber kein vollwertiger Virenscanner und setzt daher auch nicht diesen Kompatibilitäts-Eintrag in der Registry. Das führt dazu, dass Anwender die unter Windows 7 keinen (oder einen nach wie vor inkompatiblen) Virenscanner einsetzen, keine Windows-Sicherheitsupdates erhalten. Der PC ist dann gleich doppelt gefährdet.

Anwender, die immer noch Windows 7 verwenden, und bewusst keinen Virenschutz verwenden (warum auch immer), müssen den Eintrag in der Registry von Hand setzen (siehe Heise Online Artikel) um wieder Windows Updates zu beziehen.

Quelle: 'Windows 7: Keine aktuellen Updates ohne Virenscanner' auf Heise Online

zur Übersicht

06.03.2018 – Neues VLC Media Player Update

VLC Media Player LogoKeine zwei Wochen nachdem die neue VLC Version 3.0 erschienen ist, steht auch schon die erste Fehlerkorrektur bereit. Version 3.0.1 behebt jede Menge kleinerer Fehler. Da keine Sicherheitslücken geschlossen werden mussten, ist das Update nicht dringend. Wer aber mit Version 3.0.0 Probleme hatte, sollte Version 3.0.1 versuchen.

Download: VLC Media Player 3.0.1 für Windows (32Bit)

Download: VLC Media Player 3.0.1 für Windows (64Bit)

Quelle: 'VLC 3.0.1 Newsmeldung' auf Videolan.org (Englisch)

zur Übersicht

23.02.2018 - Das Ende von Skype 7 ist (mehr oder weniger) offiziell!

Skype LogoLetzte Woche hatten wir berichtet, dass wir aufgrund von Sicherheitslücken und ungenügender Kommunikation seitens Microsoft von der Verwendung von Skype 7 abraten müssen. Auch Stand heute hat Microsoft keine wirklich präzise Stellungnahme darüber abgegeben, welche Versionen nun genau, für welche Schwachstellen anfällig sind, jedoch hat Microsoft den Download von Skype 7 von der Skype Website entfernt. Weiters hat sich der Software Riese immerhin dazu durchringen können klarzustellen, dass es keine weiteren Ausgaben der 7er Serie mehr geben wird.

Damit ist das Ende von Skype 7 eindeutig eingetroffen und alle Anwender, die diese Software noch verwenden, sollten sie nun rasch deinstallieren und auf die 8er Serie (Windows 7 und 8.1) bzw. die Store Version von Skype (Windows 10) umsteigen.

Download: Aktuelle Skype Version

zur Übersicht

23.02.2018 - Sicherheitsupdates für Opera

Opera Software LogoDie norwegische Firma Opera hat kürzlich Version 51.0.2830.40 ihres Desktop-Browsers veröffentlicht. Wichtigste Neuerung des Updates ist die Integration von Chromium 64.0.3282.168 und damit das Schließen der Sicherheitslücken über die wir letzte Woche berichtet hatten.

Alle Anwender von Opera sollten rasch auf die neue Version aktualisieren, sofern das nicht bereits durch das automatische Update erledigt wurde. Im Menü 'Über Opera' kann man sehen, ob man bereits die aktuelle Version von Opera einsetzt, und gegebenenfalls auch gleich das Update starten.

Download: Aktuelle Opera Version

zur Übersicht

23.02.2018 - Schwere Sicherheitslücke in uTorrent & Bittorrent!

Maleware News LogoIn der Filesharing-Software uTorrent (Classic und Web) wurden schwere Sicherheitslücken entdeckt, die zur Infektion des Computers führen können.

Der Hersteller hat mittlerweile abgesicherte Versionen zum Download bereit gestellt. Die Versionsnummern der neuen Ausgaben lauten: uTorrent 3.5.3.44358, Bittorrent 7.10.3.44359, uTorrent Web 0.12.0.502.

Anwender, die eine ältere Version als oben erwähnt auf ihrem Computer haben, sollten rasch updaten.

Quelle: HTTP/RPC Security Vulnerabilities Resolved in uTorrent, BitTorrent and uTorrent Web

zur Übersicht

23.02.2018 - Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoDiese Woche berichten wir nur ganz kurz über dieses Thema. Intel hat neue Updates an die Mainboard- und PC-Hersteller gesendet. Neu hinzugekommen sind unter anderem Intel Core-i Prozessoren der 7ten und 8ten Generation. Die 6te Generation war bereits beim letzten Schwung Updates enthalten. Besitzer von Computern mit solchen Prozessoren sollten also in der nächsten Zeit regelmäßig beim Hersteller des PCs bzw. des Mainboards nachsehen, ob dafür neue BIOS-Updates angeboten werden.

Quelle: Meltdown und Spectre Artikel auf Heise Online

zur Übersicht

23.02.2018 - Audacity 2.2.2 - Kleine Verbesserungen aber weiterhin kein Sicherheitsupdate!

Audacity LogoDie Audacity Programmierer haben kürzlich Version 2.2.2 des beliebten Audio Editors veröffentlicht. Darin gibt es ein paar kleine aber nützliche Neuerungen der Zoom-Funktion und Verbesserungen der optionalen dunklen Benutzeroberfläche. Außerdem gibt es nun eine Erkennung von Aussetzern während Aufnahmen.

Leider wird das Thema Sicherheit von den Entwicklern immer noch stark vernachlässigt. Wir haben es zwar nicht noch einmal explizit nachgetestet, aber es wird weder eine Lösung für das DLL-Hijacking Problem in der Liste der Neuerungen erwähnt, noch stehen neuere Lame- oder FFmpeg-Bibliotheken zur Verfügung. Während die Lücken in Lame 3.99 in Audacity vernachlässigbar sein sollten, gilt das ganz und gar nicht für die uralte FFmpeg-Biblithek. Diese sollte sicherheitshalber gänzlich deinstalliert werden. Zum Öffnen von wav oder mp3-Dateien benötigt man diese ohnehin nicht. Verknüpft man dann noch Audacity Projekte (*.aup) mit einem anderen Programm wie z.B. Notepad.exe, kann man mit Audacity durchaus sicher arbeiten.

Download: Aktuelle Audacity Version

Info: Neue Funktionen in Audacity 2.2.2 (Englisch)

Info: Vollständige Release Notes für Audacity 2.2.2 (Englisch)

zur Übersicht

16.02.2018 – Sicherheitsupdate für Adobe Reader, Acrobat und Experience Manager

Adobe Reader/Acrobat LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Reader & Acrobat:

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2018.011.20035 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-2 (Englisch)

Adobe Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Auch dieses wurde als wichtig eingestuft. Details findet man im Adobe Security Bulletin APSB18-04.

Quelle: Adobe Security Bulletin APSB18-04 (Englisch)

zur Übersicht

16.02.2018 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Diese Woche sind vor allem die Updates für Outlook besonders wichtig. Eine Lücke in Outlook ermöglicht es Angreifern, per manipulierten Mails fremde Computer zu infizieren. Die Opfer müssen das E-Mail nur in der Vorschau betrachten, um den Virus zu aktivieren. Anwender sollten daher sicherstellen, dass die Updates für Office/Outlook tatsächlich installiert wurden. Bei den von Privatanwendern eingesetzten Office Versionen geschieht dies NICHT über Windows Update, stattdessen müssen sie in Outlook selbst prüfen, ob die Updates installiert sind. Wer immer noch Office (bzw. Outlook) 2007 (oder älter) verwendet, sollte die Software allerspätestens jetzt endgültig deinstallieren und auf LibreOffice/Thunderbird oder eine neue Microsoft Office Version upgraden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. sieben Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

16.02.2018 – Sicherheitsupdate für Vivaldi und Google Chrome

Google Chrome LogoVivaldi und Google haben kürzlich Sicherheitsupdates für ihre Browser veröffentlicht. Darin wird eine gefährliche Sicherheitslücke behoben, die für Angriffe, eventuell sogar zur Infektion des Computers genutzt werden kann. Opera hat das Update leider noch nicht fertiggestellt, wir erwarten aber auch von den Norwegern innerhalb der nächsten Tage eine neue Version.

Nutzer von Vivaldi können über V(ivaldi-Icon) → HILFE → NACH UPDATES SUCHEN … prüfen, ob sie bereits die aktuelle Version nutzen und diese gegebenenfalls aktualisieren. Anwender von Google Chrome finden im verlinkten Google Support Dokument die Anleitung wie man die Version prüfen und gegebenenfalls aktualisieren kann.

Download: Aktuelle Vivaldi Version

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

16.02.2018 – Noch eine Skype 7 Sicherheitslücke!

Skype LogoEs ist noch gar nicht lange her, dass wir vor Skype 7 warnen mussten, weil dort vermutlich eine schwere Sicherheitslücke vorhanden ist. Vermutlich deshalb, weil damals keine wirklich präzisen Informationen über die Lücken in Skype vorhanden waren. Daran hat sich auch leider bis heute nichts geändert.

Nun wurde eine weitere Sicherheitslücke in Skype gefunden und auch dieses Mal hat der Entdecker der Lücke es verabsäumt zu prüfen, welche Versionen eigentlich genau betroffen sind. Im Gegensatz zu vielen andern Webseiten, die alle irgendwie voneinander abgeschrieben haben, haben wir uns die Mühe gemacht dem genauer auf den Zahn zu fühlen. Einerseits haben wir selbst Tests durchgeführt, andererseits haben wir beim Entdecker der Schwachstelle nachgefragt, welche Version denn eigentlich betroffen ist. Dabei wurde klar, dass die Lücke definitiv in manchen Versionen der 7er Serie existiert. Die aktuellen 8er Versionen hat der Sicherheitsforscher gar nicht getestet. Wir konnten jedenfalls das beschriebene Problem in der 8er Serie nicht nachstellen, weshalb wir davon ausgehen, dass Skype v8.15.0.4 ebenso sicher ist wie die Skype App aus dem Windows 10 Store.

Da in Skype 7 nun eine bestätigte und eine vermutliche Sicherheitslücke existieren, können wir nur einmal mehr empfehlen, Skype 7 umgehend zu deinstallieren. Skype 8 stellt eine sichere Alternative dar, wennauch mit gewöhnungsbedürftiger Benutzer-Oberfläche.

Quelle: 'Microsoft Skype DLL Hijacking' auf packetstormsecurity.com

Download: Aktuelle Skype Version

zur Übersicht

16.02.2018 – VLC Media Player 3.0 mit HDR und mehr

VLC LogoDas Team rund um den VLC Media Player hat mit einjähriger Verspätung nun die Version 3.0 fertiggestellt. Die neue Version bietet einige sichtbare Neuerungen, wie dezent modernisierte Icons, aber vor allem ganz viel Neues unter der Haube. So kann VLC nun HDR- und VR-Videos abspielen, auf Chromecast-Sticks streamen oder direkt auf SMB, FTP oder NFS-Laufwerke zugreifen. Zusätzlich wird der vorhandene Grafikchip jetzt noch besser eingespannt, sodass sich die Prozessor-Belastung von großen Videos noch weiter verringert hat. Das ermöglicht jetzt sogar die Wiedergabe von 8K Videos in h265 Material mit 60 Bildern/Sekunde.

Weitere Informationen zu der neuen Version finden sie auf der verlinkten VLC-Website.

Download: VLC Media Player 3.0 für Windows (32Bit)

Download: VLC Media Player 3.0 für Windows (64Bit)

Quelle: 'VLC Media Player 3.0 Release Notes' auf Videolan.org (Englisch)

zur Übersicht

16.02.2018 – Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoObwohl es auch diese Woche wieder viele Neuigkeiten zum Thema Meltdown und Spectre gibt, werden wir uns ab sofort deutlich kürzer halten zu dem Thema. Für den Anwender gibt es im Moment ohnehin nichts weiter zu tun, als dafür Sorge zu tragen, dass alle Betriebssystem- und Browser-Updates installiert sind. Auch ein Blick auf die Website des PC bzw. Mainboard-Herstellers schadet nicht, um dort nach passenden BIOS-Updates zu suchen und diese gegebenenfalls auch zu installieren.

Microsofts Tag der Updates war diesen Monat ebenfalls enttäuschend, sofern man auf weitere Spectre Gegenmaßnahmen gehofft hat. Aber auch von Apple und Google haben wir diesbezüglich nichts Neues vernommen. Zusammengefasst muss man aktuell leider sagen, dass die Gesamtsituation schlimmer statt besser wird.

Ausführlicher Berichten werden wir erst wieder, wenn es wirklich konkrete Neuigkeiten gibt, die sich nicht irgendwie alle gegenseitig widersprechen. Wer weitere Informationen sucht, findet über den folgenden Link eine Übersicht aller Heise Online Artikel zu dem Thema.

Quelle: Meltdown und Spectre Artikel auf Heise Online

zur Übersicht

09.02.2018 – Dringendes Sicherheitsupdate für Adobe Flash erhältlich!

Adobe Flash LogoWie letzten Freitag angekündigt, hat Adobe nun ein Sicherheitsupdate für den Adobe Flash Player veröffentlicht. Darin wird nicht nur die bereits aktiv ausgenützte schwere Sicherheitslücke behoben, sondern auch noch eine zweite Lücke.

Die neueste Version des Flash-Plugins trägt die Nummer 28.0.0.161. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

09.02.2018 – Brandgefahr: Lenovo ruft Thinpad X1 Carbon zurück!

Brennendes Notebook LogoLenovo ruft Geräte der Serie Thinkpad X1 Carbon zurück, da sich darin eine Schraube lösen kann, was wiederum zu überhitzenden Akkus und damit Brandgefahr führen kann. Betroffen sind die Modelle 20HQ, 20HR, 20K3 und 20K4 die zwischen Dezember 2016 und Oktober 2017 produziert wurden.

Anwender eines dieser Geräte können auf der Produktrückruf-Website anhand der Seriennummer des Gerätes prüfen, ob eine Reparatur erforderlich ist und gegebenenfalls alles nötige in die Wege leiten.

Info: 'Rückrufaktion für Lenovo ThinkPad X1 Carbon Laptops der 5. Generation' auf Lenovo.com

Quelle: 'Brandgefahr: Lenovo ruft bestimmte Notebooks der Serie ThinkPad X1 Carbon zurück' auf Heise Online

zur Übersicht

09.02.2018 – Sicherheitsupdates gegen schwere Lücken in Netgear Routern

Router Security LogoKritische Sicherheitslücken ermöglichen es Angreifern wieder einmal Netgear Router ganz einfach übers Internet zu kapern. Hat sich der Angreifer erst Zugang zu dem Router verschafft, kann er in weiterer Folge den gesamten Internetverkehr umleiten oder auf Daten des Routers bzw. eventuell angeschlossener Festplatten/USB-Sticks zugreifen.

Besitzer der folgenden Router sollten daher zügig die entsprechenden Updates von der Netgear Support-Seite herunterladen und einspielen:

Download: Netgear Support Website

Quelle: ''Einige Netgear-Router lassen sich mit simplem URL-Trick übernehmen' auf Heise Online' auf Heise Online

zur Übersicht

09.02.2018 – Sicherheitsupdates für Cisco Router

Router Security LogoAuch Cisco Router stehen aktuell unter Beschuss aus dem Internet. Während die Administratoren der Business-Modelle alle Hände voll zu tun haben dürften, um etliche Router, Switches usw. abzudichten, sind auch 2 Heimanwender-Geräte von Cisco betroffen.

Besitzer der Router RV132W ADSL2+ Wireless-N VPN und RV134W VDSL2 Wireless-AC VPN sollten rasch nach den entsprechenden Updates auf der Cisco Support-Website suchen. Andernfalls besteht die Gefahr, dass Angreifer die Kontrolle über diese Router übernehmen.

Download: Aktuelle Firmware für RV132W ADSL2+ Wireless-N VPN Router

Download: Aktuelle Firmware für RV134W VDSL2 Wireless-AC VPN Router

Quelle: ''Sicherheitsupdates: Angreifer könnten Netzwerkgeräte von Cisco kapern' auf Heise Online' auf Heise Online

zur Übersicht

09.02.2018 – Browser Erweiterung Gramarly gefährdet Millionen von Nutzer!

Google Chrome LogoDas die Entwickler von Browser-Erweiterungen es mit der Sicherheit nicht immer so genau nehmen ist leider traurige Realität. Neueste Beispiel dafür ist die Erweiterung ‚Grammarly‘, die es Anwendern zum Beispiel ermöglicht die Rechtschreibung auf Social-Media Webseiten zu prüfen.

Der Zugang zu dem Grammarly-Account war schlecht abgesichert, sodass andere Websites auf die Grammarly-Daten des Benutzers zugreifen konnten. Der Fehler soll in der aktuellen Version behoben sein, dass weder der Entdecker noch Grammarly selbst aber Versionsnummern nennt, macht es dem Anwender unnötig schwierig zu prüfen, ob die installierte Erweiterung sicher ist oder nicht. Daher raten wir dazu, die Erweiterung, so sie denn vorhanden ist, einmalig zu deinstallieren und neu zu installieren.

Quelle: 'Chrome-/Firefox-Erweiterung Grammarly gefährdete Daten von 22 Millionen Nutzern' auf Heise Online

zur Übersicht

09.02.2018 – Erweiterung ‚Photobucket Hotlink Fix‘ spähte Nutzer aus

Firefox LogoUnd noch eine Meldung über eine gefährliche Browser-Erweiterung. Diesmal war aber kein unabsichtlicher Fehler die Ursache, sondern die Programmierer von ‚Photobucket Hotlink Fix‘ sammelten mit voller Absicht sehr viel mehr Nutzerdaten als für die eigentliche Funktion der Erweiterung nötig. Besonders schlimm war die Sammelwut wohl in der Firefox-Erweiterung, diese hat den gesamten Browserverlauf an die Macher der Erweiterung gesendet.

Zwar berichtet Mozilla, dass die neueste Version der Erweiterung diese Spionage-Funktion nicht mehr eingebaut hat, dennoch stellt sich die Frage, ob man einer Erweiterung, dessen Programmierer ganz offensichtlich fragwürdige Ziele hat, weiterhin vertrauen möchte. Wir raten dazu, diese Erweiterung zu deinstallieren.

Anwender sollten überhaupt sehr vorsichtig sein, welche Browser-Erweiterungen sie installieren. Diese Mini-Programme können auf viele sensible Daten im Browser zugreifen und dementsprechend auch sehr viel Schindluder damit treiben.

Quelle: 'Firefox-Erweiterung "Photobucket Hotlink Fix" spähte Nutzer aus' auf Heise Online

zur Übersicht

09.02.2018 – Spectre und Meltdown - Informationsupdate!

Meltdown & Spectre LogoKeine Woche ohne neue Informationen zu Spectre und Meltdown. Hier wie üblich eine Zusammenfassung:

Nichts Neues bei Windows, Apple und Android:

Bei den genannten Betriebssystemen gibt es keine Neuigkeiten. Der Informationsstand von letzter Woche gilt also nach wie vor.

Linux vorbildlich!

Während es bei den kommerziellen Betriebssystemen nichts zu berichten gibt und generell die Lage teils wegen unvollständiger Dokumentation vage ist, gehen die Linux Entwickler vorbildlich voran. Aktuelle Linux-Kernel nutzen alle zur Verfügung stehenden Abwehrmainahmen gegen Meltdown und Spectre Angriffe und schützten so mehr oder weniger gut gegen alle 3 Angriffe. Dabei nutzt Linux die Intel CPU-Updates sofern verfügbar aber auch Retpoline. Damit bietet Linux aktuell den besten Schutz gegen Meltdown und Spectre von allen Betriebssystemen. Falls Microsoft hier nicht nachzieht, könnte sich Linux als Betriebssystem für ältere Rechner anbieten, die keine BIOS-Updates mehr bekommen.

Retpoline doch nicht so toll?!

Letzte Woche haben wir die Google-Technik „Retpoline“ als mögliche Alternative zu CPU-Updates in den Raum gestellt und uns gefragt, warum Microsoft diese Technik nicht für Windows nutzt. Ein möglicher Grund dafür könnte die folgende Textpassage in einem Heise Online Artikel verdeutlichen: „Außerdem reicht Retpoline in einigen Situationen nicht “. Schon letzte Woche haben wir ja an der Schutzwirkung von Retpoline gezweifelt, nun haben wir es schwarz auf weiß, dass Retpoline keinen vollständigen Schutz gegen Spectre 2 liefert.

Warum Retpoline trotzdem gut ist…

Auch wenn Retpoline nicht zu 100 Prozent vor Spectre 2 Angriffen schützen kann, so wäre unserer Meinung eine nicht ganz vollständiger Schutz immer noch viel besser als gar kein Schutz. Linux macht ja sehr schön vor, dass sich Retpoline und CPU-Updates ergänzen können und sich nicht gegenseitig ausschließen. Vor allem unter dem Aspekt betrachtet, dass BIOS Updates vermutlich nur in sehr geringem Maß tatsächlich den Weg in die heimischen Computer finden werden, wird klar, dass Retpoline für alle Betriebssysteme sehr wichtig wäre.

Intel liefert wieder CPU-Updates an Hersteller!

Intel liefert wieder CPU-Microcode-Updates an Hersteller von Computern und Mainboards aus. Zudem hat der Prozessor-Gigant ein PDF veröffentlicht, das den aktuellen Stand für alle gängigen Intel Prozessoren aufzeigt. Interessant hierbei ist, dass z.B. schon Updates für viele Atom Prozessoren vorhanden sind. Oder, dass Intel Updates bis zurück zu den schon wirklich sehr alten Core 2 Prozessoren liefern möchte. Das macht Hoffnung, wenngleich natürlich das Problem damit nur an die Computer und Mainboard-Hersteller weitergereicht wird.

Quelle: Meltdown und Spectre Artikel auf Heise Online

zur Übersicht

02.02.2018 – Gefährliche Flash Sicherheitslücke bedroht Computer!

Adobe Flash LogoAdobe warnt vor einer neu entdeckten Sicherheitslücke in Adobe Flash Player, die bereits aktiv für Angriffe auf Windows-Computer ausgenutzt wird. Ein Update gibt es bisher noch nicht und deinstallieren ist nur auf Windows 7 möglich. Unter Windows 8.1 und 10 ist Flash Bestandteil des Betriebssystems und lässt sich nicht entfernen!

Die bisherigen Angriffe erfolgen aber nicht über Websites, sondern Office-Dateien die per Mail versendet werden. Für Benutzer von Microsoft Office bedeutet dies, dass sie entweder die Ausführung von ActiveX-Steuerelementen im Trust-Center deaktivieren (DATEI → OPTIONEN → Trust Center → EINSTELLUNGEN FÜR DAS TRUST CENTER → ActiveX-Einstellungen → ALLE STEUERELEMENTE OHNE BENACHRICHTIGUNG DEAKTIVIEREN → OK → OK ) oder in den nächsten Tagen einfach überhaupt keine per E-Mail zugesendeten Dokumente öffnen.

Anwender von LibreOffice 5.4 oder neuer sollten sicher sein, zumindest konnten wir keinen Hinweis darauf entdecken, dass in Version 5.4 und neuer überhaupt noch ActiveX-Plugins ausgeführt werden können. Wer noch eine Version vor LibreOffice 5.4.4 im Einsatz hat, sollte ohnehin updaten.

Bei Adobe wird sicherlich mit Hochdruck an einem entsprechenden Sicherheitsupdate gearbeitet, das dann in den nächsten Tagen veröffentlicht werden dürfte. Wir berichten natürlich wieder.

Quelle: 'Achtung: Zero-Day-Lücke! Angriff auf Flash Player, Patch noch nicht verfügbar' auf Heise Online

zur Übersicht

02.02.2018 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.6.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt 10 Sicherheitslücken, wovon eine als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

02.02.2018 – Firefox 58.0.1 behebt schwere Sicherheitslücke!

Mozilla Firefox LogoMozilla muss bereits wenige Tage nach der Veröffentlichung von Firefox 58 erneut eine schwere Sicherheitslücke beheben. Firefox Anwender sollten daher rasch auf Version 58.0.1 aktualisieren, falls nicht bereits geschehen. Anwender von Firefox ESR oder Firefox für Android sind von diesem Fehler nicht betroffen.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Wichtiges Sicherheitsupdate: Präparierte Webseiten können Firefox austricksen' auf Heise Online

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

02.02.2018 – Spectre und Meltdown - Informationsupdate!

Meltdown & Spectre LogoKeine Woche ohne neue Informationen zu Spectre und Meltdown. Hier wie üblich eine Zusammenfassung. Bevor wir auf die einzelnen Details eingehen, hier einmal eine aktuelle Übersicht wie es denn mit dem Spectre und Meltdown Schutz aktuell aussieht:

Aktueller Schutzstatus … für Windows Systeme:

Unter Windows ist der Schutz gegen Meltdown und Spectre 1 mittlerweile relativ gut, solange man ein 64Bit System verwendet, alle Updates installiert hat und eine aktuelle Vivaldi, Opera, Firefox, Edge, Internet Explorer oder Google Chrome Version verwendet. Besitzer eines Computers mit 32Bit Windows und Intel Prozessor sind gegen Meltdown noch ungeschützt, sofern nicht Windows 10 Version 1709 zum Einsatz kommt. Ebenfalls ungeschützt sind Windows Computer aktuell gegen Spectre Variante 2.

MacOS und iOS:

Apple LogoImmer noch hat Apple keinerlei Informationen veröffentlicht, gegen welche Spectre Variante seine Updates schützen sollen. Mangels Informationen gehen wir davon aus, das die Situation ähnlich wie unter Windows ist. Das heißt, Apple Geräte die alle Updates installiert haben (MacOS 10.13.2 oder neuer bzw. iOS 11.2.2 oder neuer) sollten vor Meltdown und Spectre Variante 1 relativ gut geschützt sein, solange sichere Browser zum Einsatz kommen. Ob Apple einen Schutz gegen Spectre Variante 2 implementiert hat, ist ungewiss, weshalb wir davon ausgehen müssen, dass Apple Geräte nach wie vor nicht gegen Spectre 2 geschützt sind.

Android:

Wie schon letzte Woche, können wir nur auf die Stellungnahme von Google verweisen, wonach das Android Sicherheitsupdate vom 5.1.2018 Updates gegen Spectre 1 bringt. Dies betrifft aber nur den eingebauten Browser, alle anderen Webbrowser müssen natürlich von den jeweiligen Herstellern abgesichert werden. So ist z.B. Opera für Android nach wie vor gegen Spectre 1 ungeschützt. Immerhin dürfte Meltdown hier kaum ein Thema sein.

AMD Aussendung beantwortet Fragen und schafft Neue:

AMD LogoAMD hat ein fünfseitiges Schreiben mit Details zu Spectre und Meltdown veröffentlicht. Die gute Nachricht zuerst, bisher soll es noch niemandem gelungen sein, einen erfolgreichen Angriff per Spectre 2 auf AMD Prozessoren zu demonstrieren. Die schlechte Nachricht ist, dass BIOS Updates, die die Lücke direkt im Prozessor blockieren sollen, wohl nur für aktuelle Prozessoren mit ZEN Architektur, also Ryzen, Threadripper und Epic kommen werden, da man auf älteren Prozessoren die nötigen Funktionen einfach nicht per Microcode-Update nachrüsten kann. Allerdings bringt AMD auch eine Technik ins Spiel, die die Situation mit Spectre 2 komplett verändern könnte. AMD nach zu urteilen ist es nämlich gar nicht zwingend nötig BIOS-Updates zu veröffentlichen, weil man Googles „Retpoline“-Technik zutraut die Gefahr auf ein vertretbares Maß zu reduzieren.

Ist Retpoline der heilige Grahl oder nur Augenauswischerei?

Retoline ist eine Google-Entwicklung die behauptet, Schutz gegen Spectre Variante 2 bieten zu können ohne die Prozessoren selbst upzudaten. Google prahlt damit, mit dieser Technik seine Server im Rechenzentrum schon seit Monaten gegen Spectre 2 abgesichert zu haben. Obendrein soll Retpoline weniger Leistung kosten als die Updates für die Prozessoren. Klingt zu gut um wahr zu sein? Das Problem ist, im wissenschaftlichen Bericht zu Spectre wird ausdrücklich erwähnt, dass nur Updates der Prozessoren eine Lösung darstellen. Und wenn Retoline rundherum besser ist, warum setzt dann Microsoft für Windows nicht ebenfalls auf diese Technik? Es bleibt also spannend.

Microsoft deaktiviert Spectre 2 Schutz wegen mangelhafter Intel Updates!

Intel LogoAufgrund der mangelhaften Microcode-Updates von Intel, die bei einigen Prozessoren zu sporadischen Neustarts geführt haben (wir haben berichtet), sah sich jetzt Microsoft gezwungen den Spectre 2 Schutz in Windows per Sicherheitsupdate zu deaktivieren! Ein eindeutiges Indiz dafür, dass es bei Intel gerade nicht so rund läuft. Auch neue Microcode-Updates sind noch nicht absehbar.

Zahl der Spectre 1 „Viren“ steigt rapide!

Laut Anti-Viren-Spezialisten sind mittlerweile rund 140 verschiedene Software-Varianten gesichtet worden, die Spectre 1 Code enthalten. Allerdings ist aktuell nicht zu sagen, wie viel davon „Testprogramme“ sind, die nur den Sicherheitsstatus prüfen, und wie viele davon tatsächlich schädliche Absichten haben. Es sollen jedenfalls noch keine erfolgreichen Angriffe über Spectre 1 entdeckt worden sein. Allerdings sollte man sich davon nicht in falsche Sicherheit wiegen lassen, denn sowohl gute wie böse Hacker arbeiten offensichtlich mit Hochdruck an dem Thema.

Quelle: Meltdown und Spectre Artikel auf Heise Online

zur Übersicht

02.02.2018 – Neue 7-Zip Version schließt mögliche Sicherheitslücke

Der Hersteller des beliebten kostenlosen Pack-Programmes ‚7-Zip‘ hat die Version 18.01 veröffentlicht. Unbestätigte Quellen deuten auf eine Sicherheitslücke hin, die in dieser Version behoben wurde. Auch wenn die Lücke nicht bestätigt ist bisher, raten wir das Update zu installieren. Besondere Eile herrscht aber wohl nicht. Fehler konnten wir in der neuen Fassung bei einem ersten Kurztest keinen finden, im Gegenteil, ein lästiger Bug aus Version 16.04 wurde behoben. Natürlich gibt es auch viele weitere kleine Neuerungen, die man in der Liste der Änderungen nachlesen kann.

Download: 7-Zip v18.01, mehrsprachig, 32Bit

Download: 7-Zip v18.01, mehrsprachig, 64Bit

Info: 'What's new in 7-Zip 18.01' auf sourceforge.net (Englisch)

Info: 7-Zip Homepage (Englisch)

zur Übersicht

02.02.2018 – LibreOffice 6.0 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 6.0 der freien Bürosuite veröffentlicht. Neben den üblichen Verbesserungen an unter anderem dem Datenaustausch mit Microsoft Office gibt es auch leichte Änderungen an der Benutzeroberfläche.

In einem ersten Kurztest konnten wir keine offensichtlichen neuen Fehler entdecken, da wir aber grundsätzlich brandneue LibreOffice Versionen immer nur für Leute empfehlen, die gerne neue Software testen, werden wir ausführlicher darüber berichten, wenn Version 6.0.1 veröffentlicht wird. Wer die neue Version jetzt bereits unter die Lupe nehmen möchte, findet auf Heise Online einen Artikel zu der neuen Version.

Quelle: 'LibreOffice 6.0 signiert und verschlüsselt mit OpenPGP' auf Heise Online

Quelle: Liste der Neuerungen in LibreOffice 6.0

Download: Aktuelle LibreOffice Versionen (5.4 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.0 Serie)

zur Übersicht

02.02.2018 – Microsoft Office 2019 nur für Windows 10

Microsoft Office LogoFans von Windows 7 und 8.1 werden enttäuscht sein, denn Microsoft wird wohl MS Office 2019 nur für Windows 10 auf den Markt bringen. Ob sich das neue Office auf älteren Betriebssystemen gar nicht installieren lassen wird oder man ‚nur‘ keinen Support erhält, wird sich erst herausstellen. Außerdem plant Microsoft angeblich das neue Office nur in Heimanwender-Versionen (Click and Run) auf den Markt zu bringen, was es für Firmen nahezu unbrauchbar machen würde. Zu guter Letzt soll auch noch der Support von 10 Jahren auf 7 Jahre heruntergeschraubt werden. Sollte sich das alles bewahrheiten, wird Microsoft da nicht gerade viel Freude bei Firmenkunden ernten.

Quelle: 'Microsoft: Office 2019 benötigt Windows 10' auf Heise Online

zur Übersicht

25.01.2018 - Endlich Spectre 1 Update für Google Chrome

Google Chrome LogoGoogle hat nun endlich als letzter der großen Hersteller eine Browser-Version veröffentlicht, in der erste Maßnahmen gegen Spectre 1 getroffen wurde. Das allein wäre schon Grund genug für jeden Anwender zügig zu aktualisieren, aber Google hat auch gleich noch weitere 53 (!) Sicherheitslücken in Google Chrome behoben. Details dazu hat Google noch nicht preisgegeben, aber es ist davon auszugehen, dass einige der Schwachstellen kritisch sind. Google Chrome Anwender sollten also möglichst rasch aktualisieren.

Quelle: 'Google wappnet Chrome gegen Spectre und 52 weitere Sicherheitslücken' auf Heise Online

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

25.01.2018 - Skype und andere Programme durch Electron-Sicherheitslücke bedroht

Skype LogoIm Programier-Framework Electron wurden kritische Fehler behoben, die zur Infektion des Computers mit Viren genutzt werden konnten. Dazu muss lediglich eine entsprechend präparierte Website besucht werden. Auch völlig legitime Webseiten können durch gehackte Werbebanner missbraucht werden.

Da Electron kaum einem Anwender etwas sagen wird, haben die Entdecker als Beispiel Skype und den Messenger 'Slack' genannt, die das fehlerhafte Framework verwenden und damit unsicher sind. Während Slack eine konkrete Version nennt, nämlich 3.0.3, ab der das Programm entsprechend abgesichert wurde, ist die Lage bei Skype leider sehr undurchsichtig.

Unklare Situation bei Skype für Windows

Microsoft hat als Kommentar auf die Electron Lücke nur verlautbaren lassen, dass "die neueste Version" von Skype bereits abgesichert ist. Da aber für Windows drei verschiedene Serien von Skype existieren, ist diese Aussage absolut ungenügend. Es könnte natürlich bedeuten, dass jede der drei Serien bereits abgesichert wurde. Ebenfalls möglich ist aber, dass nur die 8er Ausgaben für Windows 7 und 8.1, sowie die Windows 10 App abgesichert wurden. Wie gesagt, mangels präziser Information von Microsoft kann man momentan nur raten. Da die letzte Fassung der 7er Serie (Version 7.40) bereits seit ein paar Monaten kein Update mehr erhalten hat, ist es unwahrscheinlich, dass hier ein Electron Update eingearbeitet wurde. Allerdings könnte es auch sein, dass die 7er Serie gar kein Electron Framework nutzt.

War das der Todesstoß für Skype 7?

Aufgrund der unklaren Situation haben Anwender, die auf Nummer sicher gehen wollen, momentan keine andere Wahl als auf die neueste Version der 8er Serie bzw. unter Windows 10 auf die Skype Fassung aus dem Windows Store zu wechseln. Skype 7 sollte deinstalliert werden. Falls von Microsoft in den nächsten Tagen nicht noch genauere Informationen kommen, wäre das der Todesstoß für die Skype 7,x Serie. Das wird viele Skype Nutzer vor den Kopf stoßen, denn die 8er Serie ist nicht unbedingt jedermanns Sache. Auch wir empfinden die Benutzeroberfläche der 8er Serie als deutlich schlechter als die der Serie 7. Die Sicherheitslücke betrifft übrigens auch Anwender die Skype gar nicht gestartet haben, es genügt, wenn das Programm installiert ist.

Quelle: 'Electron: Schwachstelle in Framework betrifft zahlreiche Windows-Apps' auf Heise Online

Download: Aktuellste Skype Version

zur Übersicht

23.01.2018 - Spectre und Meltdown - Informationsupdate!

Spectre und Meltdown LogoSeit dem letzten Artikel über die Spectre und Meltdown Lücken hat sich wieder viel getan. Hier eine Übersicht über die neuen Erkenntnisse:

Meltdown Sicherheitsupdate jetzt auch für manche 32Bit Systeme

Letzte Woche kam ja noch in letzter Minute die Meldung rein, dass die bisherigen Windows-Sicherheitsupdates keinen Meltdown-Schutz auf 32Bit Systemen brachten. Hier gibt es eine gute und schlechte Nachricht: Die Gute, es gibt nun auch Sicherheitsupdates gegen Meltdown für 32Bit Windows Versionen. Die Schlechte: Das Update existiert bisher nur für Windows 10 Version 1709, alle anderen (32Bit) Windows Versionen schauen noch durch die Finger.

Sicherheitsupdate auf AMD System wieder ausgeliefert

Microsoft liefert nun wieder Sicherheitsupdates für alle Prozessoren aus, auch für ältere AMD Prozessoren, die wegen Boot-Problemen vorübergehend keine Updates bekamen. Diese Probleme wurden in aktualisierten Updates behoben.

Vivaldi und Opera integrieren erste Spectre Updates

Vivaldi und Opera kommen Google zuvor und haben bereits gestern Updates gegen Spectre ausgeliefert. Google soll mit Chrome 64 erst morgen folgen. Das heißt, Vivaldi (Version 1.13.1008.44) und Opera (Version 50.0.2762.67) Anwender haben schon mal einen ersten rudimentären Schutz gegen Spectre Variante 1. Gegen Spectre Variante 2 nützen diese Updates allesamt nichts, wenn unsere Informationen stimmen. Hier bedarf es nach wie vor BIOS Updates.

Intel zieht BIOS Updates zurück

Intel hatte bereits für viele aktuellere Prozessoren Updates an die Mainboard-Hersteller geliefert, muss diese aber nun zurückziehen. Grund dafür sind die sporadischen Neustarts, über die wir bereits letzte Woche berichtet hatten. Gerüchtweise soll Intel die Ursache allerdings gefunden haben, weshalb vielleicht bald neue Updates ausgeliefert werden können.

Noch keine BIOS-Updates für AMD Systeme

AMD muss keine fehlerhaften BIOS-Updates zurückziehen, denn es wurden noch gar keine ausgeliefert. Eigentlich hatten wir erste Updates bereits erwartet, vielleicht testet AMD angesichts der Probleme bei Intel aber noch etwas ausgiebiger.

Einfaches Meltdown und Spectre Prüfprogramm für Windows

Die Überschrift ist etwas ungenau, denn Meltdown-Spectre-Prüfprogramme für Windows gibt es schon länger, allerdings richteten sich diese eher an Profis. Eine Endanwender-freundliche Software bietet nun Ashampoo an. Einfach herunterladen, starten, und schon bekommen sie eine einfache Antwort auf die Frage, ob der getestete PC für Spectre und Meltdown anfällig ist. Ärgern Sie sich nicht, wenn das Programm sagt, dass ihr PC nicht sicher gegen Spectre ist, das gilt momentan für fast alle Computer weltweit, egal ob Windows, Linux, MacOS , iOS oder Android.

Browser Testwebsite für Spectre 1

Ebenfalls sehr Anwenderfreundlich ist ein Browser-Tester, der die Existenz der etablierten Gegenmaßnamen gegen Spectre 1 im Browser prüft. Zeigt der Test also ein grünes „Your browser is NOT VULNERABLE to Spectre“ an, bedeutet das nur, das die ersten bekannten Schutzmaßnahmen gegen Spectre Variante 1 aktiv sind. Das Testergebnis liefert keinen Hinweis auf den Schutz gegen Spectre Variante 2. Trotzdem ist der Test nützlich, um die persönlich verwendeten Browser mal selbst testen zu können und sich nicht auf Herstellerversprechen oder Gerüchte verlassen zu müssen.

Inoffizielle Update-Auskunft einiger Smartphone-Hersteller

Smartphone LogoDie Betreiber der italienischen Website Ricompro haben sich die Mühe gemacht bei einigen Smartphone-Herstellern nach deren Plänen für Sicherheits-updates für ihre Geräte nachzufragen. Das Ergebnis ist eine kleine Liste von Produkten und damit nur ein sehr kleiner Teil des gesamten Smartphone-Marktes. Mit Ausnahme des Motorola Moto E sollen demnach alle Geräte (der Liste) ab Verkaufsjahr 2016 noch ein Spectre-Update erhalten. Doch Vorsicht, erstens sind das nur Absichts-Erklärungen und noch lange keine fertigen Updates, zweitens bedeutet das nicht, dass diese Geräte auch Updates gegen Spectre Variante 2 erhalten. Ein Update gegen Spectre 1, so wie sie aktuelle Google und Apple für ihre Smartphones bereits anbieten, ist besser als nichts aber noch kein vollständiger Schutz vor Spectre. Zur Abwechslung wollen wir an der Stelle aber einmal Apple loben, denn nachdem Microsoft vom Smartphone-Markt leider verschwunden ist, bietet Apple jetzt den längsten Support für seine Geräte mit durchschnittlich 4 Jahren. Uns wären aber, angesichts gigantischer Smartphone-Müllbergen, noch deutlich längere Support-Zeiten recht. Nach Apple belegt jedenfalls Android-Marktführer Samsung Platz zwei, hier sollen die Galaxy S, A und J-Serien ab Verkaufsjahr 2015 noch Updates erhalten. Das bereits gezeichnete traurige Gesamtbild, wenn es um Sicherheit bei Android geht, bleibt leider bestehen. Meltdown und Spectre sind hier ja nur die Spitze des Eisberges, Android Geräte ohne aktuelle Sicherheitsupdates sehen sich auch dutzenden weiteren Bedrohungen ausgesetzt.

Quelle: 'Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück' auf Heise Online

Info: Spectre Variante 1 Browser Test (Englisch)

Download: Ashampoo Spectre Meltdown CPU Checker

Quelle: 'Kleine Übersicht über gängige Smartphones und voraussichtliche Sicherheitsupdates" auf GoogleWatchBlog.de

Quelle: 'Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern' auf Heise Online

zur Übersicht

23.01.2018 - Firefox 58 - Sicherheitsupdate und noch mehr Tempo

Firefox LogoDie Mozilla Entwickler waren fleißig und haben schwere Sicherheitslücken in den beiden neuen Firefox Versionen behoben.

Firefox 58.0:

Das die in weiten Teilen komplett neu programmierte Firefox Version 57 auch etliche neue Fehler mitbrachte belegt nun Version 58 von Firefox, denn die Entwickler haben nicht weniger als 32 Sicherheitslücken geschlossen. Eine der Lücken gilt als kritisch, die anderen haben hohes Gefahrenpotential. Firefox Anwender sollten daher wie üblich möglichst rasch auf die neue Version updaten. Belohnt werden sie dabei nicht nur durch mehr Sicherheit, sondern auch etwas mehr Tempo. Der neue Firefox soll nochmal an Geschwindigkeit zugelegt haben.

Firefox ESR 52.6:

Die Firefox ESR Ausgabe 52.6 beinhaltet insgesamt 11 Sicherheitskorrekturen, von denen ebenfalls eine als kritisch einstuft ist. Auch Firefox ESR Anwender sollten daher rasch aktualisieren.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

23.01.2018 - Schadsoftware im Chrome Web Store

Google Chrome LogoOft heißt es, dass die Apps und Erweiterungen, die über die Stores der jeweiligen Hersteller vertrieben werden, sicher sein sollen, dass das sehr häufig nicht zutrifft ist jedoch ebenfalls bekannt. Neustes Beispiel sind vier betrügerisch Erweiterungen für Google Chrome, die es trotz Prüfung in den Chrome Web Store geschafft haben. Namentlich sind das ‚Change HTTP Request Header‘, ‚Lite Bookmarks‘, ‚Nyoogle‘ und ‚Stickies‘. Anwender, die eine dieser Erweiterungen in Google Chrome, Opera oder Vivaldi installiert haben, sollten diese umgehend entfernen.

Die primäre Schadfunktion ist Werbebetrug, das heißt die Apps gaukeln Werbepartner Klicks auf deren Werbebanner vor, die der Anwender nie ausgeführt hat. Jedoch haben Analysen der Erweiterungen auch gezeigt, dass der Entwickler der Apps bereits an einem Fernzugriff auf die betroffenen Geräte gearbeitet hat, was noch weit größeren Schaden hätte anrichten können.

Google hat alle vier Erweiterungen mittlerweile aus dem Store entfernt. Anwender sollten dies als Warnschuss verstehen, sich nicht auf die Prüfung der Erweiterungen durch Google zu verlassen. Ein kritischer Blick auf alle potenziell interessanten Erweiterungen ist auf jeden Fall ratsam. Grundsätzlich sollte man mit Browser-Erweiterungen generell sparsam umgehen, da durch diese sehr leicht die Geschwindigkeit leiden kann oder unangenehme Wechselwirkungen entstehen.

Quelle: 'Chrome-Erweiterungen mit Schadcode bedrohen über 500.000 Nutzer' auf Heise Online

zur Übersicht

12.01.2018 - Sicherheitsupdate für Adobe Flash

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 28.0.0.137. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

12.01.2018 - Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Neben den Updates gegen Meltdown und Spectre, die Microsoft nun auch für Windows 7 und 8.1 über Windows Update ausliefert, steht hier vor allem ein Update für Office im Vordergrund. Angreifer nutzen präparierte RTF Dokumente, um Computer mit Viren zu infizieren. Die Office Sicherheitsupdates beheben diese Lücke. Erstaunlicherweise gibt es das Update auch für Office 2007, das eigentlich seit Herbst letzten Jahres keine Updates mehr erhält. Was Microsoft hiermit bezweckt entzieht sich unserer Logik, denn durch solche Aktionen werden Anwender von Office 2007 nur in falsche Sicherheit gewogen.

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit 2014 (XP) bzw. Februar 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Frisch aus dem Support rausgewachsen ist nun leider auch Windows 10 Mobile Version 1511. Wer ein Handy mit diesem System hat und kein Update auf neuere Versionen angeboten bekommt, sieht sich nun leider mit einem potenziell unsicheren System konfrontiert. Wer sicher bleiben möchte, braucht ein neueres Handy. Dasselbe gilt natürlich auch für Windows Phone 6, 7, 8 und 8.1. Bereits im Herbst dieses Jahres geht dann Version 1607 in den Ruhestand.

zur Übersicht

12.01.2018 - Neuigkeiten zu den Spectre und Meltdown Sicherheitslücken!

Meltdown & Spectre LogoSeit dem letzten Artikel über die Spectre und Meltdown Lücken hat sich viel getan. Hier eine Übersicht über die neuen Erkenntnisse:

Nicht betroffene Prozessoren und Geräte

Fangen wir mal mit einer guten Nachricht an. Es gibt tatsächlich auch moderne Computersysteme, die nicht von Spectre oder Meltdown betroffen sind. Das liegt vor allem daran, das manche sehr stromsparende ARM Prozessoren gar keine spekulativen Funktionen nutzen. Dazu gehört beispielsweise das ARM Cortex-A53 Design. Dieses Design verwenden z.B. der Raspberry Pi oder das Motorola Moto G3. Hier ist man also unabhängig von irgendwelchen Software-Updates immun gegen Spectre und Meltdown. Welche (Android-)Geräte sonst noch immun sind lässt sich leider mangels umfangreicher Listen der Hersteller im Moment schwer herausfinden.

BIOS-Updates für Intel und AMD Systeme

UEFI LogoGegen Spectre Variante 2 hilft nach aktuellem Kenntnisstand nur ein BIOS- bzw. UEFI-Update (weiters nur noch BIOS-Update genannt). Mit Betriebssystem- oder Programm-Updates alleine kommt man hier nicht weiter.
- Intel hat bereits angekündigt, für Prozessoren ab Modelljahr 2014 BIOS-Updates bis spätestens Ende Jänner 2018 bereitzustellen. Danach kümmert man sich um ältere Prozessoren, ohne Details dazu zu nennen. Sollte Intel nicht auch Updates für ältere Prozessoren anbieten, müssten Milliarden von Anwendern weltweit neue Computer kaufen, um sich gehen Spectre 2 zu wappnen.
- AMD hat seine erste Meldung bzgl. den Lücken nun leider etwas revidieren müssen, auch AMD Prozessoren benötigen demnach ein BIOS-Update. Für Prozessoren aus der Ryzen, Epic (und vermutlich auch Threadripper) Baureihe sollen die Updates bereits auf dem Weg zu den Mainboard- und System-Herstellern sein. Weiters sagt AMD, das Updates für ältere Prozessoren in den nächsten Wochen bereitstehen sollen. Welche ‚ältere Prozessoren‘ aber genau das sein sollen, lässt AMD vorerst im Unklaren.
- Das Problem bei BIOS-Updates ist natürlich, dass man dabei nicht nur vom Prozessor-Hersteller, sondern auch vom jeweiligen Mainboard bzw. Notebook-Hersteller abhängig ist. Denn diese müssen die Updates von Intel und AMD schlussendlich in fertige BIOS-Updates ummünzen. Und wieviele Hersteller können es sich leisten für sämtliche Produkte der letzten 10 Jahre Updates anzubieten? Es ist zu befürchten, das hier sehr viele ältere System auf der Strecke bleiben, was einem Sicherheits-Supergau entspricht.
- Zuguterletzt bleibt es dann noch am Besitzer des Computers hängen, nach diesen möglicherweise verfügbaren BIOS-Updates zu suchen, sie herunterzuladen und einzuspielen. Leider ist das ein Prozess der die meisten Endanwender überfordern dürfte, was zu noch mehr verwundbaren Rechnern führen wird.

Probleme mit dem Windows-Update bei AMD Prozessoren

AMD LogoMicrosoft zieht Updates für Systeme mit "manchen AMD Prozessoren" zurück. Bei AMD selbst erfährt man immerhin, dass folgende Prozessor Familien betroffen sind: AMD Opteron, Athlon und AMD Turion X2 Ultra. Wirklich detailliert ist auch diese Auskunft nicht, aber besser als "ältere Prozessoren". Es ist aber davon auszugehen, dass Microsoft bald eine neue Revision der Updates fertig haben wird, die sich dann auch auf Systemen mit diesen Prozessoren nützen lässt.

Spontane Neustarts bei Intel Prozessoren nach BIOS-Update

Intel LogoGerade haben wir noch eine Meldung gesehen, wonach Intel Prozessoren aus der Core i 4000 und 5000 Generation (bzw. die entsprechenden Xeon, Celeron und Pentium Varianten) unter gewissen Umständen zu spontanen Neustarts neigen, wenn die aktuellen BIOS-Updates installiert wurden. Besitzer solcher Rechner haben aktuell also die Wahl zwischen einem sicheren oder stabilen Prozessor – keine schöne Wahlmöglichkeit. Intel untersucht das Problem gerade und will so bald wie möglich neue BIOS-Updates an die Hersteller senden.

Spectre & Meltdown in freier Wildbahn?

Für Meltdown und Spectre wurde bereits Schadsoftware im Internet entdeckt. Vor allem das einfacher auszunutzende Meltdown (nur Intel Prozessoren) dürfte schon bald aktiv angewendet werden. Spectre ist sehr viel komplizierter, weshalb Anwender hier (hoffentlich) noch ein paar Tage oder Wochen Schonfrist haben.

Angaben zum Leistungsverlust präzisiert:

Intel LogoNun liegen auch etwas mehr Informationen zum Leistungsverlust bei aktivierten Meltdown- bzw. BIOS-Updates vor. So leidet vor allem die Geschwindigkeit von sehr schnellen SSDs stark nach Einspielen der Intel-BIOS-Updates. Die Meltdown-Updates in den Betriebssystemen treffen hingegen speziell ältere Intel-Prozessoren (Core i 1000-4000) stärker, während neuere Prozessoren (Core i 6000 und neuer) weniger stark ausgebremst werden. Die nicht erwähnte 5000er Serie wird vermutlich dazwischen liegen.
Da AMD Prozessoren nicht über Meltdown angreifbar sind, sollten die Betriebssystem-Updates hier auch keine Performance-Auswirkungen zeigen. Wie sich das ganze dann verhält, wenn die BIOS-Updates verfügbar sind, wird sich erst noch zeigen.

Apple hat erste Spectre-Updates fertig

Apple LogoApple hat nun ebenfalls Sicherheitsupdates gegen Spectre veröffentlicht. Dabei handelt es sich um iOS 11.2.2, macOS High Sierra 10.13.2 Supplemental Update, und Safari 11.0.2 für macOS Sierra und OS X El Capitan. Letzteres ist ein wenig merkwürdig, denn es stehen jetzt zwar Updates gegen Spectre für macOS 10.10 und 10.11 bereit, aber KEINE Updates gegen Meltdown! Apple-Geräte mit einer älteren macOS Version als 10.12.2 bleiben damit unsicher! Immerhin können iPhone und iPad Anwender jetzt wieder halbwegs beruhigt sein, sofern sie eben iOS 11.2.2 auf dem Gerät haben. Ein Problem bleibt aber bei allen Apple Geräten: Apple hat keinerlei Informationen bereitgestellt, die erläutern gegen welche Spectre Version die Updates schützen sollen. Da, wie wir gelernt haben, für den Schutz gegen Spectre 2 ein BIOS-Update (bei Apple Geräten traditionell eine EFI-Variante) nötig ist, nützen Safari-Updates hier nichts. Vielleicht können wir ja nächste Woche hier für Aufklärung sorgen, bis dahin betrachten wir Apple Geräte aber NICHT vollständig immun gegen Spectre.

Nvidia liefert ebenfalls Spectre Updates!

Etwas unerwartet war die Ankündigung von Nvidia, ebenfalls Updates gegen Spectre zu veröffentlichen. Die neuen Treiber sollen Spectre 1 Angriffe erschweren. Updates gegen Spectre 2 sollen später kommen. Ob die Lücken tatsächlich im Treiber selbst oder den mitgelieferten Anwendungen behoben wurden, ist unklar. Von Konkurrent AMD ist bisher nur zu hören, das Radeon Grafikkarten nicht anfällig auf Meltdown und Spectre sind. Ob das explizit auch für die Treiber gilt, wird sich vielleicht noch zeigen.

Meltdown Updates bisher nutzlos auf 32Bit Systemen!

Und noch ein Nachtrag in letzter Sekunde: Wie Heise Security soeben festgestellt hat, zeigen die letzten Windows Updates auf 32Bit Systemen keine Wirkung! Auch unter Linux soll es noch keine wirksamen Updates gegen Meltdown auf 32Bit Systemen geben. Technische Gründe gibt es dafür laut einem Linux-Entwickler nicht, es war schlicht noch nicht die Zeit um wirksame Updates für 64Bit UND 32Bit Systeme zu entwickeln, und da 32Bit Systeme heutzutage deutlich seltener sind, kommen diese erst später dran. Warum aber eine riesige Firma wie Microsoft nicht beide Varianten gleichzeitig entwickeln konnte ist merkwürdig. Anwender von 32Bit Systemen sind daher einem massiv höheren Risiko ausgesetzt als Besitzer eines 64Bit Systems.

Quelle: 'An Update on AMD Processor Security' auf AMD.com

Quelle: 'Meltdown und Spectre: Mitentdecker warnt vor erstem Schadcode' auf Heise Online

Quelle: 'Patch gegen Spectre: Aktualisierte Nvidia-Grafiktreiber für GeForce und Quadro, Tesla-Treiber später' auf Heise Online

Quelle: 'Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern' auf Heise Online

Quelle: 'Meltdown-Patches: 32-Bit-Systeme stehen hinten an' auf Heise Online

zur Übersicht

05.01.2018 - Sicherheitslücken Spectre und Meltdown - Ein Überblick

Meltdown & Spectre LogoSo mancher Leser dieses Artikels wird in den Nachrichten schon über die gravierenden Sicherheitslücken in Prozessoren gehört oder gelesen haben. Teils sind diese Meldungen allerdings hoffnungslos übertrieben, weshalb wir hier etwas Klarstellung betreiben wollen:

Was ist Meltdown und Spectre?

Unter diesen zwei Begriffen werden in Summe eigentlich 3 Sicherheitslücken zusammengefasst. Allen drei ist gemeinsam, dass das eigentliche Problem in den betroffenen Prozessoren von Intel, ARM und AMD liegt. Meldungen, wonach nur Intel Prozessoren betroffen sind, stimmen nicht, wenngleich Intel am meisten falsch gemacht hat, während in AMD Prozessoren „nur“ eine Sicherheitslücke steckt. Alle 3 Lücken ermöglichen das Auslesen von Bereichen des Arbeitsspeichers, der eigentlich geschützt sein sollte. Dadurch könnte ein bösartiges Programm oder eine Webseite sensible Daten stehlen, z. B. Passwörter oder Kreditkarten-Daten.

Was die Lücken NICHT können!

In den Nachrichten haben wir wie gesagt die wildesten Geschichten gehört, wie z.B. dass ein Programm, dass diese Lücken ausnützt, die gesamten Daten der Festplatte auslesen kann. Das ist NICHT korrekt. Wie schon geschrieben, kann über die Lücke nur auf manche Bereiche des Arbeitsspeichers zugegriffen werden, NICHT direkt auf die Festplatte.
Auch ermöglichen die Lücken keinen schreibenden Zugriff auf den PC, es können also keine Dateien manipuliert oder der PC verseucht werden. Außerdem kann ein Angreifer die Lücken nicht direkt aus dem Internet ausnützen, man muss immer erst ein Programm auf den betroffenen Computer schleusen, oder das Opfer zum Besuch einer entsprechend manipulierten Website bewegen. Daher sind abgesehen von den Betriebssystemherstellern auch die Browser-Hersteller die Ersten, die Sicherheitsupdates anbieten.

Werden PCs wirklich deutlich langsamer durch die Updates?

Noch eine Aussage aus dem Rundfunk, die man klar entkräften muss. Zwar können im schlimmsten Fall wohl tatsächlich Leistungseinbußen bis zu 30% auftreten, aber das gilt nur für sehr seltene Anwendungsfälle. Die meisten privaten Computernutzer werden durch diese Updates keine Verlangsamung des Computers bemerken.

Also ist das eigentlich harmlos?

NEIN! Das sind tatsächlich ernste Lücken, die möglichst rasch behoben werden müssen. Außerdem ist es ein Sargnagel mehr für Geräte, die keine Betriebssystem-Updates mehr bekommen, wie Computer mit Windows XP oder Vista, oder die meisten älteren Smartphones und Tabletts. Von den unzähligen IoT Geräten (Smart-Devices, Router, IP-Kameras usw.), die wohl niemals ein Update erhalten werden, ganz zu schweigen!
Auch wichtig, wenn die ganzen Updates dann mal installiert sind (sofern es überhaupt welche gibt), sollten auch alle Passwörter geändert werden, für den Fall, dass diese bereits ausgelesen wurden. Nachdem die Lücken praktisch schon ewig existieren und die ersten Leute schon monatelang darüber informiert sind, ist nicht auszuschließen, dass sensible Daten auf einzelnen Computern bereits abgegriffen wurden.

Microsoft:

MS Windows LogoMicrosoft hat Updates für alle unterstützten Betriebssysteme veröffentlicht, allerdings werden bisher nur die Updates für Windows 10 über die Windows Update Funktion vertrieben, und auch dort nur in Wellen. Wer unbedingt sofort geschützt sein will, muss die Updates also manuell herunterladen, was wir nur Profis empfehlen. Die Updates für Windows 7 und 8.1 werden voraussichtlich ab der Nacht von 9. auf 10. Jänner per Windows Update vertrieben. Die Update-Pakete enthalten jeweils Sicherheitskorrekturen für Windows selbst, Internet Explorer und Microsoft Edge. Hier eine Liste der jeweiligen Knowledgebase Artikel für die einzelnen Betriebssysteme bzw. die Buildnummern für Windows 10 nach erfolgreich installiertem Update:

Wichtig zu Wissen für Windows Anwender ist zudem, dass diese Updates überhaupt nur dann installiert werden können, wenn der auf dem System installierte Virenscanner das „genehmigt“. Alle noch unterstützten Virenscanner von Kaspersky wurden schon entsprechend modifiziert, selbes soll auch für aktuelle Produkte von Avast und Microsoft selbst gelten. Wie die Situation bei anderen Anti-Virus Anbietern aussieht, können wir leider aktuell nicht sagen. Ist auf dem System jedenfalls ein nicht ausdrücklich als kompatibler Virenscanner installiert, wird das Windows Update gar nicht erst angeboten und kann auch manuell nicht installiert werden.

Außerdem sieht es so aus, als würden die Updates für Windows 10 auf manchen PCs mit AMD-Prozessoren nicht gelingen. Hier entstehen dann sehr unangenehme Boot-Schleifen, weil der Computer immer wieder versucht das Update zu installieren und es immer wieder misslingt. Details, welche AMD-Prozessoren genau betroffen sind, oder ob es andere Zusammenhänge gibt, sind leider noch nicht verfügbar.

Google Chrome & Android:

Google Chrome LogoGoogle hat Sicherheitskorrekturen für Version 64 von Google Chrome angekündigt, die am 23. Jänner erwartet wird. Wer bis dahin sicher bleiben will, kann auf Desktop/Notebook-Systemen die experimentelle Funktion „Strict site isolation“ einschalten. Geben sie dazu die Adresse "chrome://flags#enable-site-per-process" (ohne Anführungszeichen) in die Adressleiste des Browsers ein gefolgt von Enter. Klicken sie dann im Absatz „Strict site isolation“ auf AKTIVIEREN. Das soll ebenfalls verhindern, dass z.B. Anmeldedaten einer Website ausspioniert werden können.
Besitzer eines Android Gerätes sind hingegen auf der sicheren Seite, wenn das Sicherheitsupdate 2018-01-05 installiert ist, und zwar (anscheinend, laut Google) unabhängig davon welcher Browser verwendet wird. Da die allermeisten Android-Geräte, wenn überhaupt, nur für eher kurze Zeit Sicherheitsupdates bekommen, dürften das jedoch relativ wenige Geräte sein. Anders ausgedrückt, der Großteil der aktuellen Android Geräte wird wohl bis zu ihrer Entsorgung über diese Lücken angreifbar bleiben.

Vivaldi und Opera:

Opera LogoBeide Firmen haben sich bisher nicht zu Spectre und Meltdown geäußert. Spätestens wenn auch dort jeweils der Blink Unterbau aus Chrome 64 zum Einsatz kommt, sollte das Thema vorerst erledigt sein. Wann das sein wird, ist aber für uns leider nicht vorhersagbar. Aufgrund der Brisanz erwarten wir aber bald Stellungnahmen der Firmen zu dem Thema. In beiden Browsern funktioniert jedoch die im Chrome Absatz beschriebene experimentelle Option, mit der man sich vorübergehend schützen kann.

Mozilla Firefox & Thunderbird:

Mozilla Firefox LogoMozilla hat Version 57.0.4 von Firefox veröffentlicht, in der ähnliche Einstellungen geändert wurden wie bei den anderen Browser-Herstellern, um erste Schutzmaßnahmen gegen Spectre und Meltdown zu bieten. In der aktuellen ESR Version des Browsers (52.5.2) wurde nur eine der beiden Maßnahmen bisher umgesetzt, weshalb diese Fassung etwas weniger Schutz bietet als Firefox 57.0.4.
In Thunderbird gibt es noch keine speziellen Updates gegen die beiden Sicherheitslücken, jedoch haben diese keinen Effekt solange Javascript deaktiviert ist, was der Standardeinstellung entspricht.

Apple:

Apple LogoApple hat Updates gegen Meltdown in den folgenden Produktversionen integriert:
iOS 11.2, macOS 10.13.2, und tvOS 11.2. WatchOS soll gegen Meltdown immun sein.
Updates gegen Spectre, die alle Browser unter iOS bzw. Safari unter macOS betreffen, sind noch nicht erhältlich. Das bedeutet, dass man aktuell auf iPhones und iPads nicht sicher im Internet surfen kann! Unter macOS nutzt man am besten Firefox, solange kein Sicherheitsupdate für Safari verfügbar ist.

Quelle: 'Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates' auf Heise Online

zur Übersicht

05.01.2018 - Neue Akku Rückrufaktion bei HP

Brennendes Notebook LogoHP tauscht wieder einmal unsichere Notebook Akkus aus. Diesmal geht es um Akkus, die zwischen Dezember 2015 und Dezember 2017 entweder separat oder mit einem Notebook verkauft wurden. Anwender, deren Akku auch nur annähernd in dieses Kaufdatum fallen könnte (Lagerzeiten bedenken!), sollten Ihr Gerät unbedingt mit dem HP Akku Dienstprogramm von der HP Akku Rückrufseite untersuchen. Stellt dieses fest, dass der Akku ersetzt werden muss, finden HP Kunden auf der Seite weitere Informationen zum Ablauf des Austauschs.

Info: HP Akku Rückrufseite

Quelle: 'Wegen Brandgefahr: HP ruft Akkus vieler Notebooks und Workstations zurück' auf Heise Online

zur Übersicht

05.01.2018 - Schon wieder Sicherheitslücke in Western Digitals 'MyCloud' Systemen!

Router/NAS Security LogoEs ist noch kein Jahr her, das wir zuletzt vor den NAS-Systemen von Western Digital warnen mussten, jetzt gibt es die nächste Hiobs-Botschaft über diese Geräte.

Sicherheitsforscher der Firma GulfTech haben in WD‘s NAS-Systemen nichts weniger als eine Backdoor entdeckt. Eine Backdoor ist ein Hintertürchen, über das der Hersteller eines Gerätes oder einer Software immer aus der Ferne auf dieses zugreifen kann, egal was der Anwender mit dem Gerät gemacht hat.

Im Falle der WD NAS-Geräte können Angreifer also kinderleicht auf die betroffenen Geräte zugreifen, sofern diese mit dem Internet verbunden sind, und sie beliebig konfigurieren, die Daten stehlen oder Viren einschleusen. Da Western Digital auch nach 6 Monaten nicht Willens oder in der Lage war Sicherheitsupdates anzufertigen, sollten alle Besitzer dieser Geräte unbedingt den Internetzugang dieser Geräte kappen. Aufgrund der immer wiederkehrenden Probleme mit den NAS Geräten dieses Herstellers würden wir darüber hinaus vom Kauf jeglicher Western Digital NAS Geräte abraten. Hier die Liste der neuerlich betroffenen Geräte:

Nicht betroffen sind laut GulfTech Geräte der MyCloud 04.Xer-Serie.

Quelle: 'My Cloud: Netzwerkspeicher von Western Digital via Backdoor angreifbar' auf Heise Online

zur Übersicht

Newsletter:


Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen:

Newsletter beantragen

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C