News

Schlagzeilen * Details * Newsletter

Schlagzeilen:


zur Übersicht

Details:



20.10.2017 – Sicherheitsupdates für Adobe Flash!

Adobe Flash LogoAdobe hat uns am vergangenen Tag der Updates überrascht, als es keinerlei Updates veröffentlicht hat, obwohl man ja eigentlich jeden Monat fest mit Sicherheitsupdates für zumindest Flash rechnet. Möglicherweise ist Adobe aber einfach nicht rechtzeitig fertig geworden mit dem Update, denn wenige Tage später steht ein Flash Update bereit und das hat es auch noch in sich, weil die Schwachstelle, die mit dem Update geschlossen wird, bereits aktiv zur Infektion von Computern ausgenutzt wird.

Die neueste Version des Flash-Plugins trägt die Nummer 27.0.0.170. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

20.10.2017 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle Java LogoEine Woche nach Microsoft bringt nun auch Oracle Sicherheitsupdates für etliche seiner Programme. Das wichtigste dabei ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist. Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - Oktober 2017‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Oracle hat Version 8.0 Update 151 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stolze 16 Sicherheitslücken geschlossen. In Summe haben die Lücken die höchste Gefahrenstufe vom Sicherheitsforscher Secunia zugewiesen bekommen, Anwender sollten also rasch updaten.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurück setzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

Quelle: 'Oracle Critical Patch Update Advisory - Oktober 2017' auf Oracle.com (Englisch)

zur Übersicht

20.10.2017 - KRACK - Massive Schwachstelle in WLAN Standard

KRACK LogoBelgische Sicherheitsforscher haben eine massive Sicherheitslücke im WLAN Standard WPA2 entdeckt. Angreifer können den Datenstrom zwischen zwei WLAN Geräten mitlesen, sofern sie sich in ausreichender Nähe zu beiden Geräten befinden. Somit können alle Informationen die über das WLAN versendet werden mitgelesen werden, sofern diese Übertragungen nicht noch einmal separat verschlüsselt sind, wie es z.B. bei HTTPS gesicherten Webseiten oder VPN-Tunneln üblich ist.

KRACK - Was geht!
Angreifer können die Kommunikation zwischen WLAN Geräten auslesen und manipulieren, sofern diese nicht noch einmal verschlüsselt ist. Durch das Auslesen der Daten könnten sensible Daten in fremde Hände fallen. Durch die Manipulation des Datenstroms könnten z.B. Viren eingeschleust werden.

KRACK - Was nicht geht!
Die KRACK Schwachstelle ermöglicht es Angreifern NICHT sich selbst in das WLAN einzuklinken. Daten, die sich auf den WLAN-Geräten befinden, können darüber also nicht ausgelesen oder manipuliert werden.

Welche WLAN Geräte sind betroffen?
Die schlechte Nachricht lautet mehr oder weniger ALLE, also sowohl PCs, Notebooks, Smartphones, Smart-Uhren und natürlich sämtliche IoT-Geräte. Während PCs und Notebooks relativ rasch mit Sicherheitsupdates versorgt werden dürften, sieht die Sache bei den SMART-Geräten ziemlich düster aus. Die allermeisten Android-Smartphones und Tabletts dürften wohl keine Updates mehr bekommen und sind dadurch gleich doppelt gefährdet, weil im Linux Programm WPA_Suplicant, das eben auch von Android verwendet wird, noch eine weitere kritische Lücke enthalten ist. Und von der grauenhaften Lage bei den IoT Geräten (Sicherheitskameras, Fernseher, Staubsauger usw…) haben wir schon zu oft berichten müssen, auch hier sehen wir schwarz. Während es vielleicht nicht so schlimm ist, wenn Angreifer die Daten des Staubsaugers mitlesen können, sind die Bilder der Überwachungskamera ein ganz anderer Fall.

Was ist mit den Routern?
Es wäre natürlich schön gewesen, wenn man das Problem mit einem Update am WLAN-Router beheben könnte, aber das ist leider nicht möglich, da das Problem bei den Empfängern (Clients) liegt. Router, dessen WLAN ausschließlich als Access-Point (also als WLAN-“Server“) fungiert brauchen keine Updates. Router, die so konfiguriert wurden, dass sie das WLAN-Netz eines anderen Routers/Access-Point „verstärken“ sind sehr wohl betroffen und daher sollten hier nach Updates Ausschau gehalten werden.

Was ist mit Range-Extendern?
Range Extender sind Geräte die sowohl Sender (Access-Point) als auch Client sind. Sie sind daher ebenfalls anfällig und sollten Updates erhalten.

Und Powerline/WLAN Adapter?
WLAN-Adapter fürs Stromnetz (Powerline/WLAN-Adapter) sind in der Regel nicht betroffen, da sie mist nur als Access-Point fungieren. Es gibt aber auch Geräte, die als WLAN-Powerline Bridge konfiguriert werden können, was sie zu ebenfalls verwundbaren Clients macht. Deshalb bieten erste Hersteller bereits Updates für Powerline-WLAN-Adapter.

Ausweg WPA1?
Findige Nutzer könnten jetzt auf die Idee kommen, statt WPA2 das ältere WPA(1) in ihren Routern einzustellen. Zwar können wir nicht mit Sicherheit sagen, ob die KRACK Attacke nicht auch bei WPA(1) funktioniert, aber es ist unbestritten, dass WPA(1) generell schon länger nicht mehr als Sicher gilt.

Fazit!
Die KRACK Schwachstelle ist echt übel. Sie wird zwar nicht zu massenhaft infizierten Computern führen, aber anders als z.B. Windows-Schwachstellen, die meist extrem rasch geschlossen werden, wird uns dieses Problem über Jahre, wenn nicht Jahrzehnte begleiten. Welche Anwender werfen schon Geräte weg, die in ihren Augen funktionieren! Dass es keine einfache Möglichkeit für den Endanwender gibt seine Geräte auf den Fehler hin zu überprüfen, macht es nicht einfacher. Daher können wir nur hoffen, dass es bald WPA3 oder WPA2+ gibt, um sichere Geräte anhand der Kennzeichnung eindeutig zu erkennen. Bis dahin werden aber jeden Tag Millionen von unsicheren Geräten über die Ladentheken wandern.

Quelle: 'KRACK: So funktioniert der Angriff auf WPA2' auf Heise Security

Quelle: 'KRACK: Hersteller-Updates und Stellungnahmen' auf Heise Security

zur Übersicht

12.10.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Microsoft beerdigt Office 2007 und Windows 10 Version 1511!

Office 2007 LogoWie schon oft erwähnt, ist nun auch Office 2007 aus dem Support rausgefallen. Das 10 Jahre alte Office Paket sollte daher nicht länger auf Computern eingesetzt werden die mit dem Internet verbunden sind, oder mit Dateien aus dem Internet in Berührung kommen.
Ebenfalls beendet ist der Support für die zweite Version von Windows 10 (1511). Anwender dieser Version sollten nun rasch auf Windows 10 1607 oder 1703 aktualisieren.

Kein Support mehr!

Windows Vista LogoWie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. sechs Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

12.10.2017 – Microsoft stellt Windows 10 Mobile Entwicklung ein!

Windows 10 LogoNur wenige Tage nachdem HP angekündigt hat, sein Windows 10 Mobile Flaggschiff „Elite X3“ nicht länger zu produzieren, macht Microsoft endlich offiziell, was sich leider bereits lange angedeutet hat – der Software Konzern stellt die Weiterentwicklung von Windows 10 Mobile ein!

Laut Microsoft Manager Joe Belfiore hat Microsoft es nicht geschafft ausreichend Entwickler für Apps zu finden, obwohl man alles versucht habe einschließlich finanziellem Anreiz und weitreichender technischer Unterstützung. Es scheint, als können nicht einmal ein so großer Konzern wie Microsoft aus dem Teufelskreis ausbrechen. Kunden kaufen keine Geräte mit Windows 10 Mobile (früher Windows Phone) weil es zu wenige Apps gibt, und es gibt zu wenige Apps weil es zu wenige Kunden gibt.

Dabei wäre Windows Phone bzw. Windows 10 Mobile seiner Konkurrenz in einigen Punkten deutlich überlegen gewesen. Bedienung und Sicherheit sind deutlich besser als bei Android Geräten und gegenüber Apple konnte man ebenfalls mit einfacherer Bedienung und über den Preis punkten.

Leider ist das jetzt alles Schnee von gestern. Zwar gibt es immer noch günstige Geräte bei den Händlern, aber mangels neuen Versionen wird voraussichtlich auch der Support auf absehbare Zeit enden. Die älteste Version von Windows 10 Mobile wird nur noch bis Jänner 2018 unterstützt. Geräte mit der neuesten Version erhalten voraussichtlich wenigstens bis Juni 2019 Sicherheitsupdates.

Quelle: 'Microsoft-Manager: Keine neuen Funktionen mehr für Windows-Phones' auf Heise Online

Quelle: 'Windows 10 Mobile Lifecycle Policy' auf Microsoft.com (Englisch)

zur Übersicht

12.10.2017 – Kaspersky bietet kostenlosen Virenschutz an!

Kaspersky Lab LogoKaspersky begibt sich unter die Anbieter kostenloser Virenschutz-Lösungen – und wie! Im Gegensatz zur Konkurrenz belästigt Kaspersky die Anwender der Gratis-Version nicht mit Werbung und auch der Aktualisierungs-Intervall ist nicht reduziert gegenüber den kostenpflichtigen Varianten. Wir konnten gegenüber der günstigsten Bezahlversion – Kaspersky Anti-Virus, nur 2 Einschränkungen feststellen: Es gibt keinen Aktivitätsmonitor. Diese Funktion soll Daten aktiv vor Verschlüsselungstrojanern schützen und auch die Fernverwaltung durch MyKaspersky ist in Kaspersky Free nicht verfügbar.

Damit ist Kaspersky Free auf jeden Fall ganz klar der beste kostenlose Virenschutz und abgesehen von dem theoretisch etwas schlechteren Schutz gegenüber Verschlüsselungstrojanern Kaspersky Anti-Virus praktisch ebenbürtig. Die teureren Versionen wie Kaspersky Internet Security bringen dann natürlich noch weitere Schutzfunktionen mit, die Kaspersky Free nicht bietet.

Quelle: 'Kaspersky Free: Kostenloser Antiviren-Schutz ab sofort verfügbar' auf Heise Online

Download: Aktuelle Kaspersky Free Version

zur Übersicht

12.10.2017 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.4.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt neun Sicherheitslücken, wovon eine als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

12.10.2017 – Firefox Sicherheitsupdates!

Mozilla Firefox LogoDie Mozilla Entwickler waren fleißig und haben etliche Sicherheitslücken in den beiden neuen Firefox Versionen behoben.

Firefox 56.0:

Version 56.0 behebt 18 Sicherheitslücken in Firefox, wovon eine als kritisch eingestuft wurden. Anwender die noch eine Firefox Version vor 55.0 verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.4:

Die Firefox ESR Ausgabe 52.4 beinhaltet alle Sicherheitskorrekturen aus Firefox 56, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

12.10.2017 – Wieder Sicherheitslücke in Nvidia Treibern!

Nvidia LogoErst Ende April dieses Jahres haben wir über Sicherheitslücken in den Nvidia Grafiktreibern berichtet, jetzt musste der Grafikchip-Hersteller erneut nachbessern.

Die Version 385.69 der Treiber für Gforce, NVS und Quadro Serien behebt das Problem. Anwender mit Nvidia Grafik sollten bei Gelegenheit updaten und dabei nach Möglichkeit die „Geforce Experience“ deinstallieren/weglassen.

Quelle: 'Sicherheitsupdates: Lücke in GPU-Treiber von Nvidia könnte Angreifer zu Admins machen' auf Heise Online

Download: 'Aktuelle NVIDIA Treiber' auf NVIDIA.de

zur Übersicht

25.09.2017 - CCleaner mit Trojaner verseucht

Biohazard LogoAngreifern ist es gelungen, in die Server von Piriform einzubrechen, und Schadcode in CCleaner Version 5.33.6162 einzubauen. Auf diesem Wege dürfte sich die Schad-Software auf etliche Rechner verbreitet haben und ermöglichte es den Angreifern dadurch Zugriff auf diese Computer zu erhalten.

Anwender, die CCleaner installiert haben, sollten die Software am besten deinstallieren. Wir können CCleaner ohnehin schon seit längerem nicht mehr uneingeschränkt empfehlen. Wer unbedingt an CCleaner festhalten möchte, sollte zumindest sichergehen, dass Version 5.34 oder neuer installiert ist.

Quelle: 'Backdoor in CCleaner ermöglichte Fernzugriff – Update dringend empfohlen' auf Heise Online

zur Übersicht

25.09.2017 - Google schließt Sicherheitslücke in Chrome

Google Chrome LogoGoogle hat schwere Sicherheitslücken in seinem Browser Google Chrome geschlossen. Anwender dieses Browsers sollten sicherstellen, dass sie Version 61.0.3163.100 oder neuer verwenden. Für Anwender die nicht wissen, wie sie die Google Chrome Versionsnummer prüfen bzw. Updates installieren können, haben wir die passende Google Chrome Support-Website verlinkt.

Quelle: 'Google schließt Lücken in Chrome und Chromium' auf Heise Online

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

25.09.2017 - LibreOffice 5.3.6 und 5.4.1 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 5.3.6 und 5.4.1 der freien Bürosuite veröffentlicht. In der neuen Fassung wurden wieder etliche Fehler korrigiert, sicherheitsrelevante sind jedoch nicht darunter.

Da auch in diesen neuen LibreOffice Versionen der Bug mit den flackernden Menüs noch immer nicht behoben wurde, raten wir weiterhin zur Benutzung von LibreOffice Version 5.2.7.

Wie schon im letzten Artikel zum diesem Thema geschrieben, gehen wir auf die neuen Funktionen der 5.4 Serie dann ein, wenn man diese auch vernünftig nutzen kann.

Download: LibreOffice Version 5.2.7 für Windows

zur Übersicht

15.09.2017 – Bluetooth-Sicherheitslücken in allen Computern und Smartphones

Bluetooth LogoEgal ob Windows, iOS (MacOS?), Android oder Linux, alle System sind oder waren anfällig für Sicherheitslücken, wenn sie einen Bluetooth-Chip haben. Je nach System erlauben diese Lücken das belauschen des Netzwerkverkehrs (Windows) bis zur Infektion der Geräte mit Viren (Android, Linux und iOS). MacOS, also das Betriebssystem der Apple Notebooks, wurde anscheinend gar nicht erst untersucht (vermutlich wegen des geringen Marktanteils), da aber in der Vergangenheit oft dieselben Lücken in iOS und MacOS zu finden waren, ist es gut möglich, das auch ältere MacOS Versionen anfällig sind.

Windows:
Wie schon geschrieben, sind die Auswirkungen der Lücken unter Windows nicht ganz so schlimm wie unter den anderen Betriebssystemen, aber trotzdem alles andere als Harmlos. Microsoft hat die Lücken mit den Updates von Juli und September behoben. Alle Windows Versionen ab Windows 7 sind also geschützt, wenn alle Sicherheitsupdates installiert sind. Windows Vista, XP und davor werden nicht mehr mit Updates versorgt und sind dementsprechend sehr unsicher.

Apple iOS und MacOS:
Apple hat die Lücken bereits in iOS 10 behoben. Alle iOS Geräte (iPhone, iPod, iPad) die noch Version 9 oder älter installiert haben, sind daher über Bluetooth angreifbar. Bei älteren Geräten, die kein Update auf iOS 10 bekommen, sollte man daher Bluetooth abschalten, zumindest in der Öffentlichkeit.
Über MacOS muss man wie schon geschrieben spekulieren. Sollten die Fehler in MacOS auch vorhanden sein, dürften sie wohl zur selben Zeit wie das iOS 10 Upgrade behoben worden sein. Da MacOS 10.12 wenige Tage nach iOS 10 veröffentlicht wurde, wäre es naheliegend, das die Lücken darin behoben wurden, sofern sie existiert haben. Mac-Anwender sind also gut beraten auf diese Version zu aktualisieren oder Bluetooth in der Öffentlichkeit abzuschalten.

Android:
Bei Android über Sicherheit zu schreiben ist zwar ein bisschen wie gegen eine Wand zu reden, da sehr viele Android Geräte selten bis nie Sicherheitsupdates bekommen, dennoch sei erwähnt, dass die Lücken in Android von Google kürzlich behoben wurden. Die Google eigenen Geräte der Pixel und Nexus Baureihen sollten bereits Update erhalten haben (sofern sie überhaupt noch Updates bekommen). Von anderen Herstellern liegen keine Meldungen dazu vor. Wer auf seinem Gerät aber ohnehin schon eine Weile keine Sicherheits-Updates mehr bekommen hat, sollte ebenfalls Bluetooth dauerhaft deaktivieren.

Linux:
Für Linux liegen bisher noch keine Sicherheitsupdates bereit. Hier sollte Bluetooth ebenfalls bis auf weiteres deaktiviert werden.

Quelle: 'BlueBorne: Android, Linux und Windows über Bluetooth angreifbar' auf Heise Online

zur Übersicht

15.09.2017 – Sicherheitsupdates für Adobe Flash, ColdFusion und RoboHelp!

Adobe LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 27.0.0.130. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

ColdFusion:

Nutzer von Adobe ColdFusion sollten ebenfalls unbedingt Updates installieren, um schwere Sicherheitslücken zu schließen. Updates gibt es hier für die Versionen 11 und 2016. Wie die Updates zu installieren sind, steht in dem 'Adobe Security BulletinAPSB17-30'.

Quelle: 'Adobe Security Bulletin APSB17-30' auf Adobe.com (Englisch)

Adobe RoboHelp:

Zu guter Letzt steht ein Update für Adobe's Hilfetext-Editor ‚RoboHelp‘ zur Verfügung. Auch dieses wurde als wichtig eingestuft. Wer Adobe RoboHelp auf seinem PC installiert hat, sollte das folgende Update herunterladen und installieren.

Download: Adobe RoboHelp 2017.0.2 für Windows

zur Übersicht

15.09.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Diesen Monat sind unter anderem Sicherheitslücken für den Bluetooth-Stack (siehe Artikel weiter oben) enthalten, aber auch für etliche andere Windows-Komponenten bzw. Microsoft Programme.

Download: Microsoft Update Website (nur mit Internet Explorer)

Letztes Monat für Office 2007 hat begonnen!

Am 10. Oktober 2017 beendet Microsoft den Support für Office 2007. Anwender die dieses Office Paket immer noch einsetzten, sollten sich nun wirklich bald um ein Upgrade auf Office 2016 oder einen Wechsel auf LibreOffice Gedanken machen.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. fünf Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

15.09.2017 – Schwere Sicherheitslücken in WLAN-Router D-Link DIR-850L

Router Security LogoMindestens 10 schwere Sicherheitslücken hat D-Link in seinen WLAN-Router DIR-850L eingebaut. Das hat kürzlich ein Sicherheitsforscher herausgefunden. Weil D-Link in der Vergangenheit offenbar sehr langsam auf seine Entdeckungen reagiert haben, hat er die Schwachstellen diesmal gleich veröffentlicht, statt sie vorher an den Hersteller zu melden. Das setzt Besitzer des Gerätes einerseits einem höheren Risiko aus, andererseits wird D-Link so unter starken Zugzwang versetzt die Lücken rasch zu beheben.

Es sieht aus, als hätte die Taktik funktioniert, denn bereits am 19. September will D-Link nun ein Update bereitstellen, das die Lücken schließt. Besitzer dieses Routers sollten also ab diesem Tag nach Updates auf der D-Link Website suchen. Ohne dieses Update ist der Router so verwundbar, dass er vorübergehend besser aus dem Verkehr gezogen wird.

Quelle: 'Schwere Lücke im Router D-Link DIR-850L: Patches kommen am 19. September' auf Heise Online

Download: D-Link Support Website für DIR-850L

zur Übersicht

15.09.2017 – Router für Hacker-Angriffe missbraucht

Router Security LogoRouter (und IoT Geräte) sind des Hackers beste Freunde. Diese unscheinbaren kleinen Kästchen, die das Internet im Haushalt verteilen, sind ein gefundenes Fressen für Hacker. Denn die allerwenigsten Besitzer dieser Kästchen installieren jemals Sicherheitsupdates. Und so kam es, dass ein Hacker mühelos etliche Netgear Router kapern konnte, und diese für Angriffe auf besonders lohnenswerte Firmen missbrauchen konnte. Die gekaperten Netgear Router wurden so zu Erfüllungsgehilfen des Hackers, der damit nicht nur die angegriffenen Firmen schädigte, sondern vermutlich auch den Internetzugang der Router-Besitzer massiv stört.

Der Hacker benutzt zwar aktuell nur Netgear-Router des Modells WNR2000, aber nachdem alle Router-Hersteller regelmäßig Sicherheits-Updates veröffentlichen, appellieren wir hiermit gleich an ALLE Besitzer eines Routers, mal wieder nachzusehen, ob nicht Updates für das Gerät verfügbar sind und diese gegebenenfalls rasch zu installieren.

Quelle: 'RouteX: Netgear-Router für Brute-Force-Angriffe missbraucht' auf Heise Online

Download: Netgear Support Website

zur Übersicht

08.09.2017 – Sicherheitsupdates für Adobe Reader und Acrobat!

Adobe Reader LogoAdobe Reader und Acrobat liegen nun jeweils in Version 2017.012.20098 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. Wer vorerst noch bei Version 11 des Reader oder Acrobat bleiben will oder muss, sollte das Update auf Version 11.0.21 installieren. Von älteren Versionen von Reader raten wir aus Sicherheitsgründen ab.

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die Updates für die Windows Versionen unten an.

Download: Adobe Reader DC Update 2017.012.20098

Download: Adobe Acrobat DC Update 2017.012.20098

zur Übersicht

08.09.2017 – Vermutlich Millionen Instagram-Benutzerdaten gestohlen

Ein Programmierfehler in Instagram wurde vermutlich von Hacker ausgenutzt, um Millionen von Nutzerdaten von Instagram zu stehlen.Zwar sollen keine Passwörter gestohlen worden sein, aber immerhin E-Mail-Adressen und Telefonnummern. Diese könnten für große Spam-Fluten oder Social-Engineering missbraucht werden.

Quelle: 'Fehler in API: Möglicherweise Millionen Kontaktdaten von Instagram-Usern öffentlich' auf Heise Online

zur Übersicht

20.08.2017 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.3.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt laut Mozilla auch Sicherheitslücken, Details dazu hat der Hersteller aber bisher nicht veröffentlicht. Da das Ausmaß der behobenen Sicherheitslücken nicht bekannt ist, sollten alle Thunderbird-Anwender das Update zügig installieren.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

20.08.2017 – FOXIT: Sicherheitslücken und PR-Desaster

Biohazard LogoDie Firma Foxit hat gerade erst gezeigt, wie man mit Sicherheitslücken besser nicht umgeht. Zwei von Sicherheitsexperten gefundene Schwachstellen in seinem PDF-Reader wollte Foxit zuerst nicht beheben, da sie laut dem Hersteller aufgrund anderer Sicherheitsfunktionen nicht ausnutzbar wären. Einen Tag später und vermutlich unter reichlich Kritik aus der Security-Szene eingebrochen, machte das Unternehmen dann eine Kehrtwende und versprach dann doch rasche Updates für die Software.

Von dem PR-Desaster abgesehen, sollten Anwender von Foxit Reader sehr gut aufpassen welche PDF-Dokumente sie öffnen, bis die versprochenen Updates verfügbar sind, oder gleich zum original PDF-Reader von Adobe wechseln.

Info: 'Zero-Day-Lücken im PDF Reader: Foxit will doch patchen' auf Heise Online

zur Übersicht

12.08.2017 – Sicherheitsupdate für Adobe Flash, Reader/Acrobat, Digital Editions und Experience Manager!

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Adobe Flash LogoDie neueste Version des Flash-Plugins trägt die Nummer 26.0.0.151. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Reader LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2017.012.20093 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, der sollte auf Version 2015.006.30352 updaten.

Anwender, die noch mit Acrobat XI auskommen müssen, sollten auf Version 11.0.21 updaten. Anwender die noch Reader XI einsetzen sollten eher auf Adobe Reader CC upgraden.

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB17-24 (Englisch)

Adobe Digital Editions:

In Adobes E-Book-Reader Software ‚Digital Editions‘ wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten dringend auf Version 4.5.6 updaten.

Download: Adobe Digital Editions v4.5.6 für Windows

Quelle: Adobe Digital Editions Security Bulletin APSB17-27 (Englisch)

Adobe Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Auch dieses wurde als wichtig eingestuft. Details findet man im Adobe Security Bulletin APSB17-26.

Quelle: Adobe Security Bulletin APSB17-26 (Englisch)

zur Übersicht

12.08.2017 – Microsoft's Tag der Updates

Microoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. vier Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

12.08.2017 – Firefox: Sicherheitsupdates und Update-Ärger!

Firefox LogoDie Mozilla Entwickler waren fleißig und haben etliche Sicherheitslücken in den beiden neuen Firefox Versionen behoben (siehe unten). Leider ist es aber gar nicht so einfach diese Updates zu bekommen, denn der Update-Mechanismus streikt offenbar, zumindest auf unserem Test-PC. Auch nach einigen Tagen zeigt Firefox bei uns immer noch die Version 54 als aktuell an, obwohl mittlerweile Version 55.0.1 verfügbar ist. Firefox Anwender die sich nicht anderweitig informieren, wiegen sich so also in falsche Sicherheit, während sie in Wirklichkeit eine stark verwundbare Version einsetzen.

Abhilfe schafft ein manuelles Update, aber auch hier hat Mozilla einen Stolperstein eingebaut. Lädt man nämlich das reguläre Installationspaket von der Mozilla Website herunter, bekommt man ohne Rückfrage eine zum Betriebssystem „passende“ Version von Firefox. Also 32Bit Firefox für 32Bit Windows und 64Bit Firefox für 64Bit Windows. Was auf den ersten Blick gut klingt, sorgt deshalb für Probleme, weil die 32Bit Version auf 64Bit Windows nicht deinstalliert wird. Das heißt die alte, unsichere Version ist parallel zur neuen Version auf dem System. Wir raten daher allen Firefox Anwendern dazu, sämtlich alten Firefox Versionen zu deinstallieren, bevor man die neue installiert.

Firefox 55.0.1:

Version 55.0.(1) behebt 29 Sicherheitslücken in Firefox, wovon 6 als kritisch eingestuft wurden. Anwender die noch eine Firefox Version vor 54.0 verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.3:

Die Firefox ESR Ausgabe 52.3 beinhaltet alle Sicherheitskorrekturen aus Firefox 55, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

12.08.2017 – LibreOffice 5.3.5 und 5.4.0 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 5.3.5 und 5.4.0 der freien Bürosuite veröffentlicht. In der neuen Fassung wurden wieder etliche Fehler korrigiert, sicherheitsrelevante sind jedoch nicht darunter.

Normalerweise würden wir jetzt auf die neuen Funktionen der Version 5.4.0 eingehen und gleichzeitig davor warnen diese Version jetzt schon produktiv einzusetzen, weil sie potentiell noch Fehler enthält. Leider ist die Situation bei LibreOffice zurzeit aus unserer Sicht nicht normal, denn in Version 5.3.2 wurde ein Fehler in LibreOffice eingebaut, der flackernde Menüs zur Folge hat. Obwohl sich bereits zahlreiche Anwender darüber beschwert haben, wurde das Problem seit Monaten nicht behoben. Manche mögen diese Probleme als kosmetischer Natur einstufen, aber wer täglich mit LibreOffice arbeitet, kann sich dadurch durchaus gestört fühlen, uns geht es jedenfalls so.

Obwohl der Fehler LibreOffice also nicht unbenutzbar oder instabil macht, betrachten wir die 5.3er und 5.4er Serien vorläufig als einen Rückschritt gegenüber Version 5.2.7. Nachdem bisher keine Sicherheitslücken in 5.2.7 bekannt sind, raten wir Anwendern dieser Version die Update-Aufforderungen vorerst zu ignorieren und bei dieser Version zu bleiben.

Wer unbedingt die neuen Funktionen der 5.3er oder gar schon der brandneuen 5.4er Serie verwenden möchte, der hat die Qual der Wahl zwischen einer flackernden oder einer etwas trägen und unschönen Benutzeroberfläche. Letzteres kann erreicht werden, wenn man unter EXTRAS → OPTIONEN das Optionen-Fenster öffnet, und dort in dem Bereich ANSICHT ein Häkchen bei „OpenGL ...“ macht.

Einen Artikel über die Neuerungen der 5.4er Serie reichen wir nach, wenn diese aus unserer Sicht benutzbar geworden ist.

Download: LibreOffice Version 5.2.7 für Windows

zur Übersicht

12.08.2017 – Vivaldi stoppt das Herumgezappel!

Vivaldi LogoWer kennt es nicht, man geht auf irgendeine Website, und an allen Ecken und Enden blickt und zappelt irgendetwas. Und es sind nicht immer nur Werbebanner, die nerven. Vivaldi 1.11 macht jetzt Schluss mit nervigen GIF-Animationen. Ein Klick auf das Bild-Symbol in der Taskleiste genügt und schon öffnet sich ein kleines Menü, indem man unter „Animationen“ zwischen „Immer, Einmal“ und Niemals“ wählen kann. Unser Favorit ist „Einmal“, denn so laufen GIF-Animationen genau einmal durch und stören danach nicht länger. Da das Menü nur einen Klick entfernt ist, kann man je nach Bedarf schnell umschalten.

Der Lesemodus, de man über ein kleines Buch-Icon in der Adresszeile de/aktivieren kann, wurde deutlich aufgewertet. Über das Zahnrad-Symbol rechts oben kann man eine Formatierungsleiste einblenden, wo man rasch die Schrift-Eigenschaften des Lesemodus an seine Bedürfnisse einstellen kann.

Weitere Änderungen umfassen unter anderem einen Schieberegler für die Sensibilität von Mausgesten, einen aktualisierte Chromium-Unterbau und Verbesserungen bei den Schnellwahl-Thumbnails.

Abgesehen davon hat Vivaldi jetzt ein neues Icon. Zufälligerweise hat es Ähnlichkeit mit einem roten Kreis, was wiederum nicht so weit weg von einem roten O ist. Ein kleiner Seitenhieb von Vivaldi Boss Jon von Tetzchner auf seine frühere Firma Opera? ;)

Download: Aktuelle Vivaldi Version

Quelle: 'Vivaldi 1.11 – Focus on accessibility' auf Vivaldi.com (Englisch)

zur Übersicht

12.08.2017 – Microsoft Surface: Design Hui, Verarbeitung Pfui?

Microsoft Surface LogoMicrosofts Notebooks und Tabletts der Surface Reihe wurden Anfangs belächelt, sind jetzt aber begehrt und das trotz happiger Preise. Das schicke Design und der große Funktionsumfang weckt natürlich Interesse. Eigentlich würde man bei den stolzen Preisen der Surface Produkte erwarten, dass diese auch hervorragend verarbeitet sind, doch laut Aussagen der amerikanischen Verbraucherschützer von ‚Consumer Reports‘ soll das nicht der Fall sein. So hätte eine 90741 Personen umfassende Gruppe von Surface Besitzern überdurchschnittlich häufig mit Hardware-Problemen zu kämpfen. Die Autoren kommen daher zu dem Schluss, dass die Verarbeitung der Surface Tabletts und Notebooks unterdurchschnittlich sei.

Auch der Heise Redaktion waren schon einige Unzulänglichkeiten bei ihren Surface Testgeräten aufgefallen. Wir selbst haben bisher nur einen Kunden mit Surface Geräten und dort sind bislang keine Probleme mit der Hardware aufgefallen.

Wie nicht anders zu erwarten, widerspricht Microsoft den Daten von ‚Consumer Reports‘ deutlich. Microsoft nennt die Ausfallrate ‚significantly lower than 25%‘ (signifikant weniger als 25%) auf 2 Jahre gemessen, ohne selbst exakte Zahlen zu nennen. Dafür nennt Microsoft einen andere Zahl, nämlich nur einen Vorfall pro 100 verkaufter Einheiten bei den neuesten Surface Generationen. Eine Erklärung, warum die Zahlen von ‚Consumer Reports‘ so weit von Microsofts eigenen Zahlen abweichen, haben wir bisher leider nicht entdeckt.

Quelle: 'Erhöhte Ausfallraten: US-Verbraucherschützer warnen vor Microsofts Laptops und Tablets' auf Heise Online

Quelle: Microsofts Reaktion auf die Zahlen von Consumer Reports (Englisch)

zur Übersicht

05.08.2017 – MS Outlook: Drei schwere Sicherheitslücken geschlossen!

Microsoft Office LogoZu ungewohntem Zeitpunkt veröffentlichte Microsoft für Outlook wichtige Sicherheitsupdates. Das Microsoft mit der Veröffentlichung der Updates nicht bis zum nächsten Tag der Updates warten wollte, lässt tief blicken. Anwender von Outlook sollte diese Updates daher möglichst rasch installieren.

Zwar schreibt Heise Online, dass die Updates über Windows Update ausgeliefert würden, aber leider tauchen da in der Realität einige Hürden auf. Zum einen dürften die meisten Privatanwender mittlerweile die sogenannten Click-To-Run Versionen von Microsoft Office verwenden. Diese Endkunden-Versionen lassen sich gar nicht über Windows bzw. Microsoft Update mit Updates versorgen. Stattdessen muss das Update aus der Anwendung heraus gestartet werden. Die meisten Anwender von Microsoft Office / Outlook dürften das gar nicht wissen und daher lange mit unsicheren Versionen arbeiten. Zwar sollten auch diese Updates theoretisch automatisch durchgeführt werden, in der Praxis haben wir aber bei den meisten Kunden mit Microsoft Office noch fehlende Sicherheitsupdates feststellen müssen. Die Webseite ‚Installieren von Office-Updates‘ liefert die Anleitung zur Update-Suche für die Office Click-to-Run Versionen.

Wer die auf der zuvor genannten Website gezeigten Update Funktion in Outlook nicht findet, setzt wahrscheinlich eine klassisch installierte Office Version ein. Diese finden sich neuerdings leider nur mehr in Unternehmen mit Volumen-Lizenzen, bei alten Office Versionen waren sie aber auch noch im Handel zu finden. Hier ist das Update Prozedere wesentlich besser gelöst. Es muss nur sichergestellt sein, dass in Windows Update die Funktion zum Aktualisieren aller Microsoft Produkte aktiviert ist. Dank der EU-Antimonopolgesetze wird leider standardmäßig nur Windows selbst mit Updates versorgt. So können sie Microsoft Update aktivieren bzw. prüfen, ob es aktiviert ist:

Windows 7 & Windows 8.1:
Windows 7 hatten wir gerade nicht zur Verfügung, die Einstellung sollte aber identisch zu Windows 8.1 sein. Öffnen Sie die Systemsteuerung und suchen/öffnen sie Windows Update. Klicken sie in der linken Spalte auf ‚Einstellungen ändern‘. Machen Sie ein Häkchen bei ‚Updates für andere Microsoft Produkte bereitstellen...‘.

Windows 10:
Drücken Sie die Windows-Taste auf der Tastatur und klicken sie auf das Zahnradsymbol links unten im Startmenü. In der „Einstellungen“-App klicken sie auf ‚Update und Sicherheit‘. Unter Windows Update klicken sie auf ‚Erweiterte Optionen‘. Unter ‚Erweiterte Optionen‘ machen Sie ein Häkchen bei ‚Updates für andere Microsoft Produkte bereitstellen...‘. Damit wäre das Thema erledigt, aber wenn wir schon Windows Update konfigurieren, sehen wir uns noch einen wichtigen Punkt in Windows 10 an. Klicken sie relativ weit unten im Fenster auf ‚Übermittlung von Updates auswählen‘. Auf dieser Seite stellen sie sicher, dass die Option ‚PCs in meinem lokalen Netzwerk‘ aktiviert ist. Auf keinen Fall sollte die Option ‚PCs in meinem lokalen Netzwerk und PCs im Internet‘ aktiviert sein, denn in dem Fall würden fremde Personen ihre Internetverbindung nutzen um Updates herunterzuladen, was in niemandes Interesse sein dürfte, solange man nicht unendlich schnelles Internet hat. Vor allem bei Tarifen mit beschränktem Datenvolumen kann das schnell sehr teuer werden!
(Die Anleitung gilt für Windows 10 Creators Update [1703]. Ältere Windows 10 Versionen können leicht unterschiedlich sein.)

Quelle: 'Microsoft Outlook: Wichtige Sicherheitsupdates schließen Lücken' auf Heise Online

Info: 'Installieren von Office-Updates' auf Microsoft.com

zur Übersicht

05.08.2017 – Java: Update für das Sicherheitsupdate

Oracle Java LogoWenige Tage nachdem Oracle Update 141 mit etlichen Sicherheitsupdates für Java 8.0 veröffentlicht hat, steht schon das nächste Java Update vor der Tür. Eine der Änderungen in dem 141er Update verursachte Probleme bei manchen Webstart-Anwendungen, dieses Problem wird nun mit Update 144 behoben. Wer mit Java 8.0 Update 141 also keine Probleme hat bräuchte auch nicht upzudaten. Der Einfachheit halber empfehlen wir aber allen Anwendern immer die aktuellste Java Version zu verwenden.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:

Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurück setzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

Quelle: '8u144 Update Release Notes' auf Oracle.com (Englisch)

zur Übersicht

24.07.2017 – Sicherheitsupdates für Java, VirtualBox und weitere Programme

Eine Woche nach Microsoft bringt nun auch Oracle Sicherheitsupdates für etliche seiner Programme. Das wichtigste dabei ist das Java Sicherheitsupdate, aber auch VirtualBox dürfte bei manchen Anwendern installiert sein. Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - Juli 2017‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - July 2017' auf Oracle.com (Englisch)

Java:

Java LogoOracle hat Version 8.0 Update 141 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stolze 28 Sicherheitslücken geschlossen, wovon man die meisten als kritisch einstufen kann.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:

Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurück setzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

VirtualBox:

In dem PC-Emulator VirtualBox wurden 14 Sicherheitslücken geschlossen, kritisch ist jedoch keine. Nichtsdestotrotz sollten Anwender von VirtualBox bei Gelegenheit auf die Version 5.1.24 updaten.

Download: Aktuelle VirtualBox Versionen auf VirtualBox.org

zur Übersicht

24.07.2017 – Cisco WebEx: Die nächste Sicherheitslücke geschlossen

Biohazard LogoWie bereits im März musste Cisco mal wieder Lücken in seiner Web-Conferencing-Software ‚WebEx‘ schließen. Da diese Lücken über den Browser ausnutzbar sind, sollten Anwender die dieses Plugin installiert haben, es unbedingt rasch aktualisieren oder deinstallieren.

Die abgesicherte Ausgaben tragen folgende Versionsnummer:

Für Google Chrome / Opera / Vivaldi / Firefox: 1.0.12

Für Internet Explorer: Kein Update nötig

Quelle: 'Web-Conferencing-Software: Cisco stopft erneut kritische Lücke in WebEx' auf Heise Online

zur Übersicht

24.07.2017 – Verschlüsselungstrojaner jetzt auch für NAS-Boxen

Router Security LogoWannaCry war erst der Anfang. Über einen ähnlichen Infektionsweg lassen sich wunderbar auch NAS-Boxen (Netzwerkfestplatten) infizieren, auf denen üblicherweise eine (veraltete) Linux-Version eingesetzt wird. Während Betriebssysteme auf Heim-Computern üblicherweise monatlich mit Updates versorgt werden, sehen NAS-Boxen oft niemals ein Update.

Kein Wunder also, dass sich nun auch die ersten Angriffe auf NAS-Boxen bekannt werden. Immerhin sind es extrem lohnende Ziele, denn viele Benutzer solcher Boxen denken die Daten darauf wären sicher und machen keine Backups davon. Dabei sind Daten auf NAS-Geräte kaum sicherer verwahrt als auf dem PC an sich, bzw. bei veralteter Software sogar deutlich unsicherer!

Anwender von NAS-Boxen sollten also unbedingt regelmäßig nach Updates für diese Geräte suchen. Zudem sollte man sehr gut überlegen, ob man den Zugriff auf seine Daten über das Internet wirklich aktivieren sollte. Zu guter Letzt sollten Daten auf dem NAS selbstverständlich ebenso gesichert werden, wie Daten auf PCs!

Quelle: 'SambaCry: Erste Angriffe auf Linux-NAS-Boxen gesichtet' auf Heise Online

zur Übersicht

24.07.2017 – Wieder Sicherheitslücke in Millionen Überwachungskameras

Router Security LogoLangsam aber sicher entwickeln sich Überwachungskameras zum Albtraum jedes Administrators. Immer wenn in irgendeiner Kamera eine Lücke gefunden wird, sind in der Regel gleich Millionen von Kameras betroffen, die dieselbe Software verwendet. So aktuell wieder mit Kameras von Axis. Beim Hersteller selbst sind schon 249 Modelle betroffen, da der Fehler aber in einer Software-Bibliothek eines Fremdanbieters steckt, sind noch unzählige andere Hersteller betroffen. Genau Zahlen kann man nicht nennen, weil die Bibliothek OpenSource ist und von jedem Hersteller kostenlos und ohne Registrierung genutzt werden kann.

Betreibern von Sicherheitskameras (und allen sonstigen IoT Gräten) können wir daher nur folgendes raten:

Quelle: 'Sicherheitslücke in Axis-Überwachungskamera mit Breitenwirkung' auf Heise Online

zur Übersicht

14.07.2017 – Sicherheitsupdate für Adobe Flash und Connect!

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Adobe Flash LogoDie neueste Version des Flash-Plugins trägt die Nummer 26.0.0.137. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Connect:

Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.

Quelle: Adobe Captivate Security Bulletin APSB17-22 (Englisch)

zur Übersicht

14.07.2017 – Microsoft's Tag der Updates

Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Supportende für Windows Phone 8.1

Microsoft hat den Support für Windows Phone 8.1 eingestellt. Wer mit solchen Smartphones regelmäßig im Internet surft oder E-Mail nutzt, sollte auf Windows 10 Mobile upgraden, wenn möglich.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über zwei Jahren (XP) bzw. drei Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.

zur Übersicht

10.07.2017 - Sicherheitslücke in Fritzbox Geräten

Router Security LogoLaut einem Heise Online Artikel wurde in der Fritzbox Firmware ein Sicherheitsproblem entdeckt, das zum Erkunden der Heimnetz-Konfiguration genutzt werden kann. Angreifer können sich so detaillierte Einblicke ins Heimnetz verschaffen und mögliche Angriffe starten.

AVM, Hersteller der Fritzboxen hat bisher keine öffentliche Stellungnahme zu dem Thema abgegeben, laut Heise dürften aber alle Fritzboxen betroffen sein, die IPv6 unterstützen. Bisher gibt es keine Updates gegen diese Sicherheitslücke, weshalb wir allen Anwendern solcher Geräte empfehlen, IPv6 zumindest vorübergehend abzuschalten. Das gelingt unter "Heimnetz/Netzwerkeinstellungen/IPv6".

Quelle: 'Fritzbox-Lücke erlaubt delikate Einblicke ins lokale Netz' auf Heise Online

zur Übersicht

03.07.2017 – Zum Thema Petya/NotPetya

Biohazard LogoAn alle Leser die sich fragen, warum wir nichts zum Thema Petya/NotPetya schreiben, also dem Erpressungstrojaner, der in den letzten Tagen wieder weltweit tausende Systeme beschädigt hat: Unserer Meinung nach gibt es dazu nicht viel zu schreiben. Letztendlich ist das mehr oder weniger dasselbe Phänomen wie vor einigen Wochen die WannaCry Epidemie. Anwender, die immer noch mit Windows Vista oder älter hantieren, sollten langsam begriffen haben, dass sie auf tickenden Zeitbomben sitzen. Dasselbe gilt natürlich für Anwender, die zwar ausreichend aktuelle Betriebssysteme einsetzen (Windows 7 oder neuer) aber aus welchen Gründen auch immer keine Updates installieren.

Anwender, die ihre Systeme aktuell halten und nicht auf dubiose E-Mails hereinfallen, müssen sich letztendlich keine Sorgen machen. Sicherungen seiner wichtigen Daten sollte man so oder so regelmäßig erstellen, nicht nur wegen Erpressungsstrojanern.

Info: 'Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen' auf Heise Online

zur Übersicht

29.06.2017 – Kritisches Skype Sicherheitsupdate

Skype LogoIn den Skype Versionen 7.2, 7.35, und 7.36 wurde eine kritische Sicherheitslücke entdeckt die es Angreifern erlaubt den PC mit Viren zu infizieren. Nachdem nicht genau eruiert werden kann, ob tatsächlich nur die genannten Versionen, oder auch alle Versionen dazwischen bzw. davor betroffen sind, raten wir ALLEN Anwendern von Skype auf die Version 7.37 oder neuer upzudaten.

Quelle: Stack Buffer Overflow Zero Day Vulnerability uncovered in Microsoft Skype v7.2, v7.35 & v7.36 (Englisch)

Download: Aktuelle Skype Version

zur Übersicht

29.06.2017 – Wieder Sicherheitslücke in Microsoft Anti-Viren-Software

Microsoft Windows LogoDie Google Sicherheitsforscher haben sich nun offenbar auf die Microsoft Anti-Viren-Lösungen eingeschossen und veröffentlichen bereits die dritte Sicherheitslücke innerhalb weniger Wochen. Auch dieses Mal hat Microsoft wieder sehr flott eine Lösung für das Problem per Update bereitgestellt.

Betroffen sind alle Anwender eines der folgenden Programme: Windows Defender, Security Essentials und Forefront Security. Die neue sichere Version der Malware Protection Engine trägt die Versionsnummer 1.1.13903.0. Wie sie die Version prüfen und gegebenenfalls aktualisieren können erfahren sie im Artikel vom 03.06.2017.

Quelle: 'Erneut kritische Lücke in Windows Defender & Co' auf Heise Online

Info: Artikel zum selben Thema vom 03.06.2017

zur Übersicht

29.06.2017 – Bug in Intel Kaby-Lake und Skylake Prozessoren

Intel LogoIntel hat kürzlich bekannt gegeben, dass in Prozessoren aus der Kaby-Lake und Skylake Generation Fehler enthalten sind, die unter Umständen zu Abstürzen führen können. Als Abhilfe soll es BIOS- bzw. UEFI-Updates geben.

Besitzer eines Computers mit einem dieser beiden Prozessorreihen sollten deshalb auf der Herstellerwebsite des Computers (oder Mainboards) nach passenden Updates suchen und diese gegebenenfalls Zeitnah installieren. Wer noch kein Update bekommen hat, sollte vorübergehend die Multithreading-Funktion deaktivieren.

Quelle: 'Bug in aktuellen Intel-Prozessoren macht die Runde' auf Heise Online

zur Übersicht

28.06.2017 – IrfanView nun auch als Windows 10 App

Irfan View LogoDer beliebte Bildbetrachter IrfanView ist nun auch im Store von Windows 10 erhältlich. Das betrachten wir grundsätzlich als tolle Neuigkeit, denn ein Store-Programm hat gegenüber einem Desktop-Programm einen entscheidenden Vorteil, es wird vollautomatisch aktualisiert.

Im konkreten Fall hat die Medaille aber auch eine Kehrseite. So gibt es aktuell nur eine Variante von IrfanView ohne das separat erhältliche Plugin-Paket. Wer also den vollständigen Funktionsumfang von IrfanView behalten möchte, muss vorerst bei der Desktop-Anwendung bleiben und sich selber um deren Updates kümmern.

Anwender, die nur die Basis-Funktionalität und keine exotischen Bildformate verwenden, sollten aber auch ohne Plugins auskommen und dann ist die Store-Variante durchaus interessant.

Download: IrfanView im Microsoft Store

zur Übersicht

28.06.2017 – Thunderbird Update für Gmail-Kompatibilität

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.2.1 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt keine Sicherheitslücken, sondern ein Problem mit dem E-Mail-Dienst Gmail. Wer Gmail in Thunderbird verwendet sollte also unbedingt auf Version 52.2.1 updaten, alle anderen Anwender können vorerst bei Version 52.2.0 bleiben.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

23.06.2017 – Gefährliche Schwachstellen in WinRAR

Biohazard LogoIm Packprogramm WinRAR wurden mehrere schwere Sicherheitslücken entdeckt, durch die ein Computer mit Viren infiziert werden könnte. Da es bisher noch keine finale Version gibt, in der die Lücken behoben wurden, raten wir allen Anwendern WinRAR zu deinstallieren. Das kostenlose 7-Zip kann als Ersatz verwendet werden.

Quelle: 'WinRAR Multiple Out-of-Bounds Vulnerabilities' auf Secunia.com (Registrierung erforderlich)

zur Übersicht

16.06.2017 – Sicherheitsupdate für Adobe Flash, Shockwave, Digital Editions und Captivate!

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Adobe Flash LogoDie neueste Version des Flash-Plugins trägt die Nummer 26.0.0.126 (26.0.0.120 bei Edge und Internet Explorer unter Windows 8.1 und Windows 10). Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Shockwave :

Auch das Shockwave Plugin, sozusagen der "große Bruder" des Flash Plugins, hat einmal mehr ein Sicherheitsupdate erhalten. Die neue Ausgabe trägt die Versionsnummer 12.2.9.199. Den meisten Anwendern raten wir zur Deinstallation der Software, da Shockwave kaum noch benötigt wird. Wer Shockwave tatsächlich benötigt, sollte das Update aber unbedingt einspielen.

Adobe Digital Editions:

In Adobes E-Book-Reader Software ‚Digital Editions‘ wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten dringend auf Version 4.5.5 updaten.

Download: Adobe Digital Editions v4.5.5 für Windows

Quelle: Adobe Digital Editions Security Bulletin APSB17-20 (Englisch)

Adobe Captivate:

Für das eLearning-Tool Captivate gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.

Quelle: Adobe Captivate Security Bulletin APSB17-19 (Englisch)

zur Übersicht

16.06.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über zwei Jahren (XP) bzw. einem Monat (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.

zur Übersicht

16.06.2017 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.2.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt 14 Sicherheitslücken, wovon 2 als kritisch eingestuft wurden. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

16.06.2017 – Mozilla: Sicherheitsupdates für Firefox

Mozilla Firefox LogoFirefox 54.0:

Version 54.0 behebt 24 Sicherheitslücken in Firefox, wovon 3 als kritisch eingestuft wurden. Anwender die noch eine Firefox Version vor 54.0 verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.2:

Die Firefox ESR Ausgabe 52.2 beinhaltet alle Sicherheitskorrekturen aus Firefox 54, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

03.06.2017 – Wieder Sicherheitslücke in Microsoft Anti-Viren-Software

Microsoft Windows LogoDie Google Sicherheitsforscher haben sich nun offenbar auf die Microsoft Anti-Viren-Lösungen eingeschossen und veröffentlichen bereits die zweite Sicherheitslücke innerhalb weniger Wochen. Auch dieses Mal hat Microsoft wieder sehr flott eine Lösung für das Problem per Update bereitgestellt.

Betroffen sind alle Anwender eines der folgenden Programme: Windows Defender, Security Essentials und Forefront Security. Alle diese Programme verwenden intern dieselbe Malware Protection Engine. Eben diese Engine hat Microsoft jetzt auf die sichere Version 1.1.13804.0 upgedated.

Wer eine der genannten Sicherheitslösungen einsetzt, dürfte das Update bereits automatisch über die Update-Funktion erhalten haben. Eigentlich trifft diese Lücke daher nur Anwender von nicht mehr unterstützten Betriebssystemen wie Windows XP und VISTA.

Aufgrund des extrem hohen Risikofaktors empfehlen wir trotzdem ALLEN Anwendern zu prüfen, ob das Update installiert ist:

Für alle Systeme gilt, wird eine kleinere Versionsnummer angezeigt, muss die jeweilige Schutzsoftware rasch aktualisiert werden. Gelingt dies nicht, sollten sie sich umgehend an einen Fachmann wenden.

Quelle: 'Kritische Lücke in Microsofts Malware Protection Engine' auf Heise Online

zur Übersicht

03.06.2017 – Sicherheitslücke in VLC und anderen Media Playern

VLC Media Player LogoEine ganze Reihe von Media Playern, darunter die beliebte Software VLC, enthalten Schwachstellen im Umgang mit Untertitel-Dateien. Offenbar kann man diese Player dazu bringen, automatisch Untertitel-Dateien aus dem Internet anzuzeigen, über die sich dann wiederum Viren auf dem System einnisten können.

In VLC Media Player (v2.2.6), Kodi (v17.3) und Stremio (v3.6.5) wurden die Lücken bereits behoben, Anwender der genannten Programme sollten diese umgehend aktualisieren. Der Player Popcorn-Time ist nach Angaben von Heise Online nach wie vor verwundbar und sollte daher deinstalliert werden.

Download: VLC Media Player 2.2.6 für Windows (32Bit)

Download: VLC Media Player 2.2.6 für Windows (64Bit)

Quelle: 'Pwned per Untertitel: Viele Mediaplayer führen Schadcode in Subtitle-Dateien aus' auf Heise Online

zur Übersicht

03.06.2017 – Aktuelle Iris-Scanner nicht sicher

Biohazard LogoErst kürzlich haben wir über das Sicherheitsrisiko von Fingerabdruck-Sensoren berichtet. Damit lassen sich z.B. relativ einfach Smartphones entsperren. Viele Anwender dachten dann wohl, dass Iris-Scanner eine sichere Alternative darstellen würden, aber auch das haben Forscher nun widerlegt.

Einem Mitglied des Chaos Computer Clubs ist es gelungen, den Iris-Scanner des Samsung Galaxy S8 mit dem Foto aus einer handelsüblichen Fotokamera zu überlisten. Er hat auch ein Video veröffentlicht, das den kompletten Angriff inklusive unauffälliger Anfertigung des Fotos demonstriert. Auch wenn im Video und zugehörigem Artikel eine Infrarot-Aufnahme erwähnt wird, würde es uns nicht überraschen, wenn der Angriff auch mit sehr guten Selfies aus z.B. Facebook funktionieren würde, aber das ist pure Spekulation unsererseits.

Was die Demonstration eindeutig aufzeigt ist, dass gängige Biometrie-Scanner, seien es nun Fingerabdruck- oder Iris-Scanner, ganz klar bestenfalls Komfortfunktionen sind, aber keine Sicherheitsfunktionen. Selbst ein simpler 4 stelliger Pin stellt eine höhere Hürde für Angreifer/Diebe dar, solange die Zahl der Eingabeversuche streng begrenzt ist.

Quelle: 'Samsung Galaxy S8: CCC trickst Iris-Scanner mit Kontaktlinse aus' auf Heise Online

zur Übersicht

22.05.2017 – Google Chrome oder Opera & Windows = Sicherheitslücke

Microsoft Windows LogoSowohl Google Chrome als auch Opera besitzen Eigenheiten, die, wenn man sie mit weiteren Eigenheiten von Windows kombiniert, zu einer handfesten Sicherheitslücke ausarten.

Google Chrome und Opera wollen es Anwendern extrem einfach machen Dateien aus dem Internet herunterzuladen. Deshalb fragen sie standardmäßig beim Anwender nicht nach, wenn eine Website eine Datei herunterladen möchte. Stattdessen landen diese ungefragt im Windows-Download-Ordner. Das alleine ist zwar bedenklich, aber noch keine Sicherheitslücke.

Lädt der Browser aber automatisch Dateien herunter, die Windows dann wiederum automatisch ausführt, und sich ein Angreifer so das Passwort des Anwenders ergaunern kann, dann ist das durchaus eine Sicherheitslücke, und zwar eine dramatische!

Genau das haben Sicherheitsforscher jetzt anhand von Google Chrome und SCF-Dateien demonstriert. Der Besuch einer entsprechend präparierten Website genügt um in Google Chrome und Opera eine SCF-Datei herunterzuladen. Das sind nur kleine Text-Dateien die Befehle enthalten. Unter anderem kann man dadurch eine Grafik laden, die auf einer Netzwerkfreigabe im Internet liegt. Das wäre auch noch kein Problem, aber Windows möchte sich standardmäßig bei Zugriffen auf solche Freigaben mit den Zugangsdaten des Benutzers anmelden. Zwar wird dabei nicht das Passwort im Klartext übertragen, aber Angreifer mit der richtigen Hardware können aus den so abgefangenen Informationen in ca. einem Tag das Passwort (bei 8 Zeichen, mit gängigen Sonderzeichen, Zahlen, Groß- und Kleinschreibung) berechnen. Sogar ohne das Passwort könnten Angreifer mit den erbeuteten Informationen schon Zugriff auf diverse Dienste im Namen des Anwenders erlangen.

Da die Sicherheitsforscher nur Google Chrome erwähnt haben, haben wir alle gängigen Browser für Windows getestet, und konnten das Problem eben auch in Opera nachstellen. Firefox und die Microsoft Browser laden die Datei gar nicht herunter und Vivaldi warnt vor dem Download.

Wie kann man sich schützen:

Am einfachsten kann man sich schützen, wenn man in Google Chrome und Opera die Einstellungen so anpasst, das Dateien immer erst auf Nachfrage heruntergeladen werden. Das nützt im konkreten Fall natürlich nur dann etwas, wenn der Benutzer am PC dann auch keine SCF-Dateien herunterlädt, wenn sie ihm angeboten werden. Die Umstellung geht wie folgt:

Opera:
Drücken Sie die Tasten ALT + P gleichzeitig → tippen sie "vor dem" in das Suchfeld ganz oben im Einstellungsfenster ein → machen sie ein Häkchen vor "Vor dem Download von Dateien nach dem Speicherort fragen". Danach können sie den Karteireiter "Einstellungen" wieder schließen.

Google Chrome:
Klicken sie auf die drei Punkte rechts oben → Einstellungen → tippen sie "vor dem" in das Suchfeld ganz oben im Einstellungsfenster ein → machen sie ein Häkchen vor "Vor dem Download von Dateien nach dem Speicherort fragen". Danach können sie den Karteireiter "Einstellungen" wieder schließen.

Um zu testen, ob die Umstellung funktioniert hat, können sie HIER klicken. Lädt ihr Browser jetzt ohne Nachfrage eine (harmlose) SCF-Datei herunter, haben sie etwas falsch gemacht. Wenn alles richtig gemacht wurde, fragt sie Chrome/Opera jetzt, ob sie eine Datei des Typs "File Explorer Command" herunterladen wollen. Das sollten sie IMMER verweigern!

Noch besserer Schutz:

Noch besser wäre es natürlich, wenn man Windows diese Eigenart abgewöhnen könnte, sich überall mit den eigenen Zugangsdaten anzumelden. Glücklicherweise funktioniert das, es erfordert aber ein bisschen mehr Arbeit und Verständnis, als die Umstellung in den Browsern.

Bevor wir also zeigen, wie man die Anmeldung an fremde Computer verhindern kann, müssen wir auf die möglichen Probleme damit hinweisen: Das womöglich größte Problem sind Microsoft Konten, die man bei Windows 8.1 und Windows 10 nutzen kann, um sich an den PC anzumelden. Viele Nutzer verwenden Microsoft Konten statt lokaler Konten, weil sie gar nicht wissen, dass man hier auch weiterhin normale lokale Benutzer anlegen kann. Verwenden Sie ein Microsoft Konto zur Anmeldung an den PC, raten wir aktuell davon ab die automatische Anmeldung zu deaktivieren. Nicht, weil wir wüssten, dass es Probleme gibt, sondern weil wir es schlicht nicht getestet haben. Wir verwenden aus Datenschutzgründen auf allen PCs grundsätzlich NUR lokale Konten.

Aber auch andere Benutzer könnten durch eine Deaktivierung der automatischen Anmeldung Probleme erhalten bzw. Komfort-Einbußen feststellen. So müsste man unter Umständen sehr häufig das Passwort eingeben, wenn man auf Netzwerklaufwerke, Exchange oder sonstige Netzwerkdienste zugreifen möchte. Daher gibt es die Möglichkeit bestimmte Server/Computer von der Sperre wieder auszunehmen. Man kann also die automatische Anmeldung grundsätzlich für alle Computer verbieten, dann aber einzelne Server, wie. z.B. den eigenen Exchange Server oder dergleichen, wieder erlauben. Dazu muss für den Server dieselbe Schreibweise verwendet werden, wie sie auch der Benutzer verwendet. Greift ein Benutzer also per IP-Adresse auf den Server zu, muss man die passende IP-Adresse verwenden. Verwendet der Nutzer den Netzwerknamen des Servers, muss dieser verwendet werden, und zwar entweder mit oder ohne Domäne, je nachdem. Am besten gibt man also gleich alle 3 Schreibweisen (IP-Adresse, Rechnername, rechnername.domäne.tld) an. Glücklicherweise akzeptiert Windows hier den Stern (*) als Wildcardzeichen, man kann also mehrere Server zusammenfassen (z.B. 192.168.0.*; server*.domäne.tld). Sehr weit gefasste Wildcards wie z.B. „Server*“ sollte man aber natürlich vermeiden, sonst öffnet man Angreifern erst wieder Tür und Tor.

Und wo konfiguriert man das alles nun? Sofern möglich, per Gruppenrichtlinie. Wenn sie also eine Pro-Version von Windows haben, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf das Windows-Logo links unten am Bildschirm → tippen Sie „Gruppe“ und wählen dann aus den Suchresultaten den Eintrag „Gruppenrichtlinie bearbeiten“.
  2. Im Gruppenrichtlinien-Editor in der linkten Spalte. Klicken sie sich zu folgendem "Ordner" durch: Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen → Netzwerksicherheit.
  3. Rechte Spalte: Öffnen sie den Eintrag "Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern".
  4. Setzen sie den Wert auf "Alle verweigern" und klicken sie OK.
  5. Wenn sie Remoteserver haben, an die sie sich anmelden müssen (z.B. Ordnerfreigaben, Remotedesktop, Exchange usw.) öffnen sie den Eintrag "Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen".
  6. Fügen sie die Namen und/oder IP-Adressen der zu verwendeten Remoteserver hinzu. Es können hier auch * als Wildcard verwendet werden um z.B. ganze Domänen (z.B. *.domäne.local) oder Adressbereiche (z.B. 19.168.0.*) als Ausnahmen hinzuzufügen. Wichtig, für jeden Eintrag eine eigene Zeile beginnen.

Anwender, die eine Home-Version von Windows verwenden können nicht auf den Gruppenrichtlinien-Editor zurückgreifen. Hier muss die Registry direkt bearbeitet werden. Um das nicht zu kompliziert zu machen, bieten wir Ihnen eine ZIP-Datei zum Download an, die alles Nötige enthält. Auch die Anleitung befindet sich in der ZIP-Datei, um diesen ohnehin schon sehr langen Artikel nicht noch weiter aufzublähen.

Quelle: 'Chrome-Lücke erlaubt das Auslesen von Windows-Login-Hashes' auf Heise Online

Download: 'Reg-Dateien zum aus/einschalten der NTLM-RemoteAuthentifizierung' auf CB Computerservice

zur Übersicht

22.05.2017 – VLC Media Player 2.2.5.1 behebt Sicherheitslücken

VLC Media Player LogoDas Team rund um den VLC Media Player hat eine neue Ausgabe der Software veröffentlicht. Version 2.2.5.1 behebt mehrere Fehler der Vorversion. Auch das Zusammenspiel mit AMD-Grafikchips wurde verbessert. Zudem haben die Entwickler gleich eine ganze Reihe von Sicherheitslücken geschlossen. Über manipulierte Audio- und Video-Dateien war es möglich, den PC mit Viren zu infizieren. Wir raten allen VLC-Anwendern dazu das Update zügig zu installieren.

Download: VLC Media Player 2.2.5.1 für Windows (32Bit)

Download: VLC Media Player 2.2.5.1 für Windows (64Bit)

Quelle: 'VLC Media Player 2.2.5 Release Notes' auf Videolan.org (Englisch)

zur Übersicht

16.05.2017 – Apple: Sicherheitsupdates für iTunes, iCloud und iOS

Apple LogoApple behebt mit iTunes 12.6.1 mehrere Sicherheitslücken in der Multimedia Software. Insgesamt stuft der unabhängige Sicherheitsdienstleister Secunia die nun behobenen Lücken in die höchste Gefahrenstufe.

In iCloud wurden ebenfalls mehrere Sicherheitslücken behoben, die von Secunia ebenfalls in die höchste Gefahrenstufe eingeordnet wurden. Die abgesicherte Fassung trägt die Versionsnummer 6.2.1.

In iOS, also der Software die iPhones, iPads und iPods antreibt, hat Apple stolze 41 Sicherheitslücken behoben. Besitzer eines der genannten Geräte sollten hier auf Version 10.3.2 aktualisieren, um sicher zu sein.

Anwender, die iTunes oder iCloud tatsächlich benötigen, sollten rasch auf die jeweils neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten iTunes und/oder iCloud deinstallieren, da das Programm PCs deutlich langsamer macht, selbst wenn es gar nicht verwendet wird.

Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.

Quelle: 'Apple-Updates schließen unangenehme Sicherheitslücken in iCloud, iTunes und iOS' auf Heise Online

zur Übersicht

15.05.2017 – WannaCry als perfektes Statement gegen veraltete Computer

Microsoft Windows LogoDen Verschlüsselungs-Wurm ‚WannaCry‘ könnte man als perfektes Statement gegen veraltete Computer bezeichnen. Immerhin ist die Schwachstelle bereits seit März behoben, alle Windows-Computer, die grundsätzlich noch Updates erhalten und diese auch automatisch installieren dürfen, sind daher immun gegen die aktuelle Bedrohung, die auf der ganzen Welt schon Computer in Geiselhaft genommen hat.

Vista Anwender hatten dabei noch Glück. Zwar ist auch dieses Windows mittlerweile aus dem Support, aber im März, wo das Update gegen die von WannaCry genutzte Lücke verteilt wurde, bekam Vista noch Updates. XP Anwender wurde nun aber ganz klar vor Augen geführt, was es heißt mit einem Betriebssystem zu arbeiten, das keine Sicherheitsupdates mehr erhält.

Leider ist Microsoft wieder einmal eingeknickt und stellt mittlerweile auch für XP und Server 2003 Sicherheitsupdates bereit, die diese Schwachstelle beheben. Leider insofern, als sich Anwender von solch antiquierten PCs nun erst wieder in trügerische Sicherheit wähnen, wenn Microsoft bei besonders schlimmen Sicherheitslücken ‚eh wieder Updates liefert‘. Bleibt zu hoffen, dass Besitzer von XP und VISTA trotzdem ihre Lehren aus der weltweiten Infektion gezogen haben und diese PCs endlich upgraden, ausmustern oder zumindest sämtliche Netzwerkverbindungen trennen.

Quelle: 'WannaCry: Microsoft liefert Sicherheits-Patches für veraltete Windows-Versionen' auf Heise Online

zur Übersicht

15.05.2017 – Asus schließt Sicherheitslücken in zahlreichen Routern

Router Security LogoMehrere Sicherheitslücken in Asus Routern gefährden aktuell deren Besitzer. Angreifer können die Einstellungen des Routers verändern und das WLAN-Passwort auslesen. Für viele Modelle hat Asus bereits fehlerbereinigte Firmware-Downloads zur Verfügung gestellt:

RT-AC51U, RT-AC52U B1, RT-AC53, RT-AC53U, RT-AC55U, RT-AC56R, RT-AC56S, RT-AC56U, RT-AC66R, RT-AC66U, RT-AC66W, RT-AC68U, RT-AC68UF, RT-AC68W, RT-AC68P, RT-AC68R, RT-AC87R, RT-AC87U, RT-AC88U, RT-AC1200, RT-AC1750, RT-AC1900P, RT-AC3100, RT-AC3200, RT-AC5300, RT-N11P, RT-N12D1, RT-N12+, RT-N12E, RT-N16, RT-N18U, RT-N56U, RT-N66R, RT-N66UB1, RT-N66W, RT-N300, RT-N600.

Noch keine Updates sind für die Modelle 4G-AC55U und 4G-AC55U erhältlich, hier sollten die Besitzer regelmäßig die Asus-Supportseite nach Updates prüfen und bis dahin erhöhte Vorsicht walten lassen.

Download: ASUS Router Website

Quelle: 'Asus-Router können beim Vorbeisurfen im Netz gekapert werden' auf Heise Online

zur Übersicht

15.05.2017 – LibreOffice 5.3.3 und 5.2.7 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 5.3.3 der freien Bürosuite veröffentlicht. In der neuen Fassung wurden wieder etliche Fehler korrigiert, sicherheitsrelevante sind jedoch nicht darunter. Wer bereits mit LibreOffice 5.3 arbeitet, sollte die neue Fassung auf jeden Fall installieren.

Wie üblich raten wir den meisten Anwendern von brandneuen LibreOffice Versionen ab. Nur neugierige Anwender, die LibreOffice nicht für die tägliche Arbeit benötigen, können jetzt schon einen Blick darauf wagen.

Etwas unerwartet hat die Document Foundation auch LibreOffice 5.2.7 veröffentlicht. Unerwartet deshalb, weil normalerweise nur 6 Updates geplant sind. Auch hier wurden wieder einige Fehler korrigiert, weshalb Anwender, die ein möglichst stabiles und ausgereiftes Office Paket bevorzugen, zur Version 5.2.7 greifen sollten.

Quelle: Liste der Neuerungen in LibreOffice 5.3

Download: Aktuelle LibreOffice Versionen (5.2 Serie) - (Empfohlen)

Download: Brandneue LibreOffice Versionen (5.3 Serie)

zur Übersicht

10.05.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Hochkritische Sicherheitslücke in Defender, Security Essentials & Forefront!

Biohazard LogoIn Microsofts Antiviren Lösungen wurde ein massives Sicherheitsproblem entdeckt. Ohne Update können Windows PCs auf vielfältige Weise infiziert werden. Microsoft hat daher in Rekordzeit ein Sicherheits-Update entwickelt und bereits gestern begonnen es auszuliefern. Anwender, die zusätzliche Anti-Viren-Lösungen verwenden sind in der Regel ohnehin nicht betroffen, weil dann der Windows Defender üblicherweise abgeschaltet wird. Wer hingegen eine der genannten Sicherheitslösungen einsetzt, dürfte das Update bereits automatisch über die Update-Funktion erhalten haben. Eigentlich trifft diese Lücke daher nur Anwender von nicht mehr unterstützten Betriebssystemen wie Windows XP und VISTA.

Aufgrund des extrem hohen Risikofaktors empfehlen wir trotzdem ALLEN Anwendern zu prüfen, ob das Update installiert ist:

- Ein älterer Artikel von Microsoft beschreibt für alle Microsoft-Sicherheitslösungen, wie die Versionsnummer der Anti-Virus-Engine geprüft werden kann. Ignorieren sie dabei jedoch die veralteten Angaben zur Version der Engine. Die sichere Ausgabe hat die Versionsnummer 1.1.13704.0. Sämtliche älteren Versionen sind hochgradig unsicher!

- Anwender von Windows 10 (Creators Update) finden die Versionsnummer unter EINSTELLUNGEN → UPDATE & SICHERHEIT → WINDOWS DEFENDER.

Für alle Systeme gilt, wird eine kleinere Versionsnummer angezeigt, muss die jeweilige Schutzsoftware rasch aktualisiert werden. Gelingt dies nicht, sollten sie sich umgehend an einen Fachmann wenden.

Quelle: 'Dramatische Sicherheitslücke in Virenschutz-Software von Windows geschlossen' auf Heise Online

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über zwei Jahren (XP) bzw. einem Monat (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.

Download: Microsoft Update Website (nur mit Internet Explorer)

zur Übersicht

15.04.2017 – Sicherheitsupdate für Adobe Flash!

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Quelle: 'Patchday: Flash Player wie immer für Schadcode anfällig' auf Heise Online

Adobe Flash LogoAdobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 25.0.0.171. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

10.05.2017 – Thunderbird Sicherheitsupdates und mehr!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.1 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt stolze 31 Sicherheitslücken, wovon 9 als kritisch eingestuft wurden. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Auch wenn Thunderbird 52.1 keine neuen Funktionen gegenüber Version 52.0 enthält, gibt es doch gute Nachrichten. Die einjährige Unsicherheit, ob und wie es mit Thunderbird weitergeht, hat ein Ende. Das Thunderbird Team hat ein neues Zuhause gefunden. Zwar wird auch weiterhin Mozilla die Dachorganisation bleiben, aber intern löst sich Thunderbird nun gänzlich von Firefox. Das darf durchaus als gute Nachricht angesehen werden, denn der Zwang, regelmäßig die Firefox Software übernehmen zu müssen, dürfte einerseits unnötig Ressourcen verschwendet haben, zudem gelangten so immer wieder Firefox-Sicherheitslücken in Thunderbird.

Kurzfristig wird das für Anwender natürlich keine Auswirkungen haben, langfristig ist es aber gut zu wissen, dass die Zukunft von Thunderbird gesichert ist und in die richtige Richtung geht.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

Quelle: 'Thunderbird bleibt bei Mozilla – und wird unabhängig' auf Heise Online

zur Übersicht

10.05.2017 - Mozilla: Sicherheitsupdates für Firefox

Mozilla Firefox LogoFirefox 53.0.2:

Version 53.0.2 behebt eine Sicherheitslücke in Firefox 53. Anwender die noch eine Firefox Version vor 53.0.2 verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.1.1:

Die Firefox ESR Ausgabe der 52er Schiene beinhaltet alle Sicherheitskorrekturen aus Firefox 53, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

10.05.2017 – Sicherheitslücke in Intel-Chips!

Biohazard LogoViele Computer die auf Intel-Prozessoren beruhen und seit 2010 verkauft wurden, enthalten eine unsichere Management-Engine (Intel ME). Intel hat kürzlich eine Warnung für betroffene Systeme herausgegeben und klargestellt, dass diese Systeme ein Update benötigen. In der Regel kommen solche Updates per BIOS-Update, daher ist es nötig, dass der Hersteller des Computers bzw. des Mainboards diese bereitstellt.

Bei günstigen PCs bekommt man oft gar keine BIOS-Updates oder wenn nur für kurze Zeit. Betroffene Anwender, die kein solches Update bekommen, sollen zumindest den Windows Dienst Local Manageability Service (LMS) abschalten.

Ob der eigene PC von der Lücke betroffen ist, kann man mit einem Testtool von Intel herausfinden. Bitte entpacken Sie den Inhalt der heruntergeladenen ZIP-Datei auf ihre Festplatte und starten dort das Programm „Intel-SA-00075-GUI.exe“. Zeigt das Programm in der ersten Zeile nach der Überschrift ein grünes „Not Vulnerable“ an, ist kein Update für ihr System nötig. Andernfalls sollten sie sich beim Hersteller ihres PCs nach einem Update erkundigen oder zumindest den LMS Dienst abschalten.

Download: 'Intel Testtool für die ME-Schwachstelle' auf Intel.com

Quelle: 'Sicherheitslücke in vielen Intel-Systemen seit 2010' auf Heise Online

zur Übersicht

10.05.2017 – Fingerabdruck-Sensoren in Smartphones unsicher!

Biohazard LogoWir haben schon vor einiger Zeit darauf hingewiesen, dass sich die allermeisten Fingerabdruck-Sensoren durch nachgemachte Fingerabdrücke, von denen es ja auf Smartphones immer zur Genüge gibt, mit überschaubarem Aufwand austricksen lassen.

Forscher haben das Spielchen jetzt noch etwas weiter getrieben und einen künstlichen Fingerabdruck erschaffen, der wie ein General-Schlüssel gleich etliche Smartphones entsperren kann. Das Modell des Smartphones bzw. des Fingerabdruck-Scanners ist dabei nebensächlich, praktisch alle am Markt erhältlichen Geräte aus dem Heimanwender-Bereich sind laut Forschern zu ungenau.

Die Forscher machten sich zunutze, dass sich menschliche Fingerabdrücke selten extrem voneinander unterscheiden. Mit Hilfe von Computerprogrammen haben sie daher einen Fingerabdruck erschaffen, der zwar keinem echten Fingerabdruck zu 100% entspricht, aber dafür sehr hohe Ähnlichkeiten zu sehr vielen Fingerabdrücken aufweist. Damit haben sie Testweise eine ganze Reihe von Smartphones entsperren können. Ob der Angriff klappt, liegt dabei nicht am Gerät, sondern daran wie weit vom Durchschnitt sich der Fingerabdruck des Opfers unterscheidet. Personen mit sehr markanten Fingerabdrücken haben da also Glück.

Generell sollten Fingerabdruck-Sensoren eher als Komfort-Funktion und nicht als Sicherheitsmerkmal verstanden werden. Während ein Fingerabdruck einem vierstelligen PIN vielleicht gerade noch vorzuziehen ist, stellt ein komplexes langes Passwort definitiv einen sehr viel größeren Schutz dar.

Quelle: 'Mit Master-Fingerabdruck Zugriff auf fremde Smartphones bekommen' auf Heise Online

zur Übersicht

10.05.2017 – Hunderte Apps in Google‘s Play Store enthalten Spyware!

Biohazard LogoSicherheitsexperten der TU Braunschweig haben in Googles Play Store für Android 234 Apps gefunden, die die Spyware Silverpush enthalten. Silverpush benutzt die Mikrophone in Smartphones um, seine Benutzer auszuspionieren. Die Apps wurden dabei nicht „unabsichtlich infiziert“, sondern von deren Herstellern ganz bewusst mit dieser Spionage-Funktion ausgestattet. Die Hersteller nutzen diese Möglichkeiten um ihre Werbeformen noch besser auf die Kunden abstimmen zu können.

Leider haben die Forscher keine vollständige Liste der Apps veröffentlicht, die diese Technik nutzen. Auch sonst geben sie dem Anwender keine Hilfestellung an die Hand wie diese Apps zu erkennen sind und wie man damit umgehen sollte.

Unserer Meinung nach sollte man auch unter Android unbedingt einen Virenscanner installieren. Avira hat z.B. früher einmal gemeldet, die Silverpush Software in Apps aufspüren zu können. Ob das auch heute noch gilt, ist jedoch unbekannt. Ein weiteres Indiz auf Silverpush kann sein, wenn eine App Zugriff auf das Mikrophon anfordert, ohne auf den ersten Blick einen erkennbaren Nutzen daraus zu ziehen. Neuere Android Versionen können zumindest so eingestellt werden, dass der Zugriff auf das Mikrophon ausdrücklich genehmigt werden muss. Diese Datenschutz-Option sollte unbedingt genutzt und Mikrophon-Zugriff immer verweigert werden, wenn er keinen offensichtlichen Nutzen erfüllt.

Quelle: 'Tracking: Forscher finden Ultraschall-Spyware in 234 Android-Apps' auf Heise Online

zur Übersicht

05.05.2017 – Sicherheitslücke in Audacity wird vorerst nicht behoben!

Audacity LogoDas beliebte Audio-Bearbeitungsprogramm Audacity ist für eine sogenannte DLL-Hijacking Lücke anfällig. Das heißt, öffnet ein Anwender ein Audacity Projekt (*.aup) werden von Audacity auch mehre DLL-Dateien geladen, die sich im selben Ordner wie das geöffnete Projekt befinden. Das können Cyber-Kriminelle ausnützen, um Computer mit Viren zu infizieren oder Benutzerdaten zu stehlen. Die Sicherheitsfirma Secunia stuft das Problem deshalb als Hoch-Kritisch ein.

Im Audacity Forum wurde der Fehler bereits im letzten Jahr bekannt gemacht, aber die Audacity Forum Administratoren wollen den Fehler nicht wahrhaben. Dort wird behauptet, die Entwickler hätten dieses Thema schon mehrmals diskutiert, aber bisher nichts unternommen. Außerdem wird das Problem entweder abgestritten oder einfach nur darauf verwiesen, das Anwender halt keine Audacity Projekte aus unbekannten Quellen öffnen sollen. Letzteres ist zwar grundsätzlich immer ein guter Rat, nichtsdestotrotz sollten bekannte Sicherheitslücken in Programmen immer behoben werden, und die Verantwortung nicht immer auf die Anwender abgeschoben werden.

Wir haben in den letzten Tagen versucht im Forum Aufklärungsarbeit zu betreiben und zumindest die Foren-Admins von dem Problem zu überzeugen, aber letztendlich haben wir nichts erreicht. Wir werden in den nächsten Tagen versuchen uns direkt an die Entwickler zu wenden, aber all zu große Hoffnungen, dass der Fehler in naher Zukunft behoben wird, machen wir uns nicht.

Zum Glück ist Audacity nicht so weit verbreitet wie Beispielweise Java, Flash oder der Adobe Reader, sodass sich hoffentlich keine Kriminelle auf diese Lücke stürzen werden. Anwender sollten dennoch einen großen Bogen um Audacity Projekte aus fremden Quellen machen.

Quelle: 'Unsafe DLL search path in Audacity 2.1.2' auf Seclist.org (Englisch)

zur Übersicht

25.04.2017 – Mehrere Sicherheitsprobleme in NVIDIA Treibern

Biohazard LogoDer Grafikchip-Hersteller NVIDIA hat in seine Treiber ein paar unliebsame Überraschungen eingebaut. Zum einen enthalten diese Treiber einen umbenannten Node.js-Server. Bei NVIDIA heißt die Datei ‚NVIDIA Web Helper.exe ‘. Laut dem Sicherheitsspezialisten René Freingruber von SEC Consult Vulnerability Lab, lässt sich diese Datei von Angreifern ausnützen, um PCs zu infizieren oder zumindest erleichtert es das den Angreifern.

Eine Stellungnahme von NVIDIA selbst zu dem Thema steht (unseres Wissens nach) bisher aus, die einzige Lösung ist es diese Datei zu löschen. Laut einem Heise Forenmitgliedern wird diese Datei im Zuge des Programms „GeForce Experience“ installiert. Eine Deinstallation des Programms sollte also für Sicherheit sorgen, Bestätigen können wir dies mangels geeignetem Testsystem mit NVIDIA Grafik bisher aber leider nicht. Auch sollte das Programm bei Treiber-Neuinstallationen gar nicht erst installiert werden, auch wenn Hardcore-Gamer dafür auf ein paar Funktionen verzichten müssen. Vorsicht auch bei automatischen Treiber-Updates durch Windows selbst. Auch hierbei könnte unter Umständen die „GeForce Experience“ auf den PC gelangen und sollte daher im Anschluss wieder deinstalliert werden.

Im Zuge der Recherchen für diesen Artikel sind wir dann bei Secunia gleich noch über ein weiteres Sicherheitsrisiko in den NVIDIA Treibern gestolpert. So klafft in Treibern vor Version 378.52 (GeForce und NVS) bzw. Version 376.67 (Quadro) eine Sicherheitslücke die es Angreifern ebenfalls erleichtert den PC zu infizieren. Hier hilft ein Update auf mindestens eine der jeweils genannten Treiberversionen. Aber nicht vergessen das Häkchen vor „GeForce Experience“ im Installations-Assistenten zu entfernen!

Quelle: Eingebauter Node.js-Server: Per Nvidia-Treiber lassen sich Schädlinge einschleusen

Quelle: Security Bulletin: NVIDIA GPU Display Driver contains multiple vulnerabilities in the kernel mode layer handler

Download: 'Aktuelle NVIDIA Treiber' auf NVIDIA.de

zur Übersicht

22.04.2017 – Sicherheitsupdates für Java, VirtualBox und weitere Programme

Eine Woche nach Microsoft bringt nun auch Oracle Sicherheitsupdates für etliche seiner Programme. Das wichtigste dabei ist das Java Sicherheitsupdate, aber auch VirtualBox dürfte bei einigen Anwendern installiert sein. Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - April 2017‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - April 2017' auf Oracle.com (Englisch)

Java LogoJava:

Oracle hat Version 8.0 Update 131 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 8 Sicherheitslücken geschlossen, wovon man die meisten als kritisch einstufen kann.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurück setzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

VirtualBox:

In dem PC-Emulator VirtualBox wurden 9 Sicherheitslücken geschlossen, kritisch ist jedoch keine. Nichtsdestotrotz sollten Anwender von VirtualBox bei Gelegenheit auf die Version 5.0.38 oder 5.1.20 updaten.

Download: Aktuelle VirtualBox Versionen auf VirtualBox.org

zur Übersicht

22.04.2017 – Mozilla: Sicherheitsupdates für Firefox

Firefox LogoFirefox 53:

Version 53 behebt stolze 39 Sicherheitslücken in Firefox, davon sind 9 als kritisch eingestuft. Anwender die noch eine Firefox Version vor 53 verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Zusätzlich zu den Sicherheitslücken bringt diese Version ein paar Neuerungen. So soll die Grafikberechnung deutlich beschleunigt sein und Firefox seltener abstürzen. Zudem stehen zwei neue kompaktere Themes bereit.

Download: Aktuelle Firefox Version (Standard)

Firefox ESR 52.1:

Die Firefox ESR Ausgabe der 52er Schiene beinhaltet alle Sicherheitskorrekturen aus Firefox 53, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

22.04.2016 – Fritzbox Sicherheitsupdates!

Router Security LogoEin Fehler in der Fritzbox Firmware 6.80 und 6.81 hatte es Angreifern ermöglicht die Kontrolle über die Fritzbox aus der Ferne zu übernehmen. Die Schwachstelle wurden von einem deutschen Sicherheitsforscher entdeckt und Informationen wurden erst veröffentlicht, nachdem AVM die abgesicherte Version 6.83 veröffentlicht hat.

Besitzer einer Fritzbox 7390, 7490 und 7580 sollten sichergehen, dass die aktuelle Version 6.83 auf dem Router installiert ist und rasch updaten, falls nicht.

Quelle: 'Kritisches Sicherheitsloch in Fritzbox-Firmware gestopft' auf Heise Online

zur Übersicht

22.04.2017 – Mozilla: Thunderbird 52.0.1 behebt Link-Problem!

Mozilla Thunderbird LogoBei der Vorstellung von Thunderbird 52 hatten wir noch auf ein Problem mit dem Öffnen von Links im Browser hingewiesen und Anwender deshalb geraten mit dem Update zu warten. Diesbezüglich können wir nun Entwarnung geben, der Bug wurde in Version 52.0.1 behoben.

Was wir beim letzten Mal vergessen hatten, war, dass die Erweiterung „MoreFunctionsForAdressbook“ Probleme mit der Adressvervollständigung bereitete. Wer auf diese Erweiterung nicht verzichten kann oder will, muss die neue Version 1.0b1 manuell von der Homepage des Autors herunterladen und installieren, das automatische Update funktioniert hierbei nicht!

Da wir immer noch nicht in Erfahrung gebracht haben, ob die Version 45 noch Support erhält, gleichzeitig die größten bekannten Probleme in Version 52 behoben sind, raten wir nun allen Anwendern auf Version 52.0.1 upzudaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

Download: Erweiterung 'MoreFunctionsForAddressBook' von Kaosmos Website

zur Übersicht

22.04.2017 – Neues Windows 10 ändert Umgang mit USB-Sticks

Microsoft Windows 10 LogoBisher hat Windows immer nur die erste Partition auf USB-Sticks angezeigt. Diese Einschränkung ist nun (endlich) gefallen, die neue Windows Version 1703 (Creators Update) zeigt sämtliche auf einem USB-Stick vorhandene Partitionen an und kann nun auch selbst mehrere Partitionen darauf anlegen.

Wie so oft bringen neue Möglichkeiten aber neue Probleme mit sich. Befindet sich auf einer Partition ein Dateisystem das Windows nicht kennt (z.B. ein Linux- oder Apple-Dateisystem), bietet Windows sehr hartnäckig an diese Partition zu formatieren. Dann können schnell eine ganze Reihe von Klicks nötig sein um den Vorgang abzubrechen. Bestätigt man das Formatieren der Partition gehen die Daten darauf natürlich verloren.

Zwar ist dieser Formatierungs-Drang von Windows bei ihm unbekannten Dateisystemen nichts Neues, aber das es nun eben auch USB-Sticks treffen kann, an denen frühere Windows Versionen nichts zu beanstanden hatten, fanden wir einen Hinweis wert. Details können sie dem verlinkten Heise Online Artikel entnehmen.

Quelle: 'Windows 10: Dank Creators Update mehrere Partitionen auf USB-Sticks' auf Heise Online

zur Übersicht

22.04.2017 – Windows 10 Version 1703 hat Probleme mit Bluetooth!

Microsoft Windows 10 LogoDas seit letzter Woche angebotene Update auf Version 1703 (Creators Update) kann für Anwender die Bluetooth verwenden unangenehme Folgen haben. Bei Geräten mit Bluetooth-Chips von Broadcom oder Realtek wurden Fälle von Störungen bekannt wie sporadische Verbindungsabbrüche bis hin zu Geräten die sich gar nicht mehr koppeln lassen.

Microsoft hat das Problem bestätigt und arbeitet an einer Lösung. Anwender, die das neue Windows 10 bereits installiert haben und nun ebenfalls Probleme mit Bluetooth haben, sollen als Erstes der eingebauten Lösungssuche einen Besuch abstatten. Öffnen Sie dazu die Einstellungen App (Zahnradsymbol im Startmenü) und klicken dann der Reihe nach auf „Update und Sicherheit“ → „Problembehandlung“ → „Bluetooth“ → „Problembehandlung ausführen“. Daraufhin öffnet sich ein Assistent, der versucht das Problem zu lösen. Gelingt dies nicht und der Hersteller des Bluetooth-Chips stellt noch keinen neuen Treiber bereit, greift man entweder zu passenden Kabeln oder geht zur früheren Windows Version zurück.

Quelle: 'Microsoft Confirms Bluetooth Issues in Windows 10 Creators Update' auf Softpedia.com

zur Übersicht

15.04.2017 – Sicherheitsupdates für viele Adobe Programme!

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Quelle: 'Patchday: Adobe stopft kritische Lücken in Acrobat, Reader, Flash und Photoshop' auf Heise Online

Adobe Flash LogoAdobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 25.0.0.148. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Reader LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2017.009.20044 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, der sollte auf Version 2015.006.30306 updaten.

Anwender, die noch mit Acrobat XI auskommen müssen, sollten auf Version 11.0.20 updaten. Anwender die noch Reader XI einsetzen sollten eher auf Adobe Reader CC upgraden.

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB17-11 (Englisch)

Adobe Photoshop:

Adobe Photoshop LogoAuch Photoshop erhält diesen Monat ein Sicherheitsupdate. Geschlossen wurden darin mindestens zwei Sicherheitslücken, die zur Infektion des Computers über manipulierte Dateien genutzt werden können.

Photoshop CC 2017 trägt nach dem Update die Versionsnummer 18.0.1 und Photoshop CC 2015 bekommt die Versionsnummer 17.0.2. Sämtliche älteren Photoshop Versionen sind für diese und viele weitere Fehler empfänglich und sollten daher nicht mehr verwendet werden. Das Update ist über die eingebaute Update-Funktion erhältlich.

Info: Adobe Security Bulletin APSB17-12 (Englisch)

Creative Cloud Client:

Zwei Sicherheitslücken in der Creative Cloud Desktop App könnte es Angreifern erleichtern den PC mit Viren zu infizieren. Für Abhilfe sorgt das Update auf Version 4.0.0.185. Beim Starten der Creative Cloud App sollte diese automatisch auf das Update hinweisen.

Quelle: 'Adobe Security Bulletin APSB17-13' auf Adobe.com (Englisch)

Adobe Campaign:

Adobe Campaign enthält ebenfalls Schwachstellen. Da Campaign ein Marketingtool ist und daher nur in Unternehmen verwendet wird, verweisen wir hier nur auf das Security Bulletin von Adobe für Details.

Quelle: Adobe Campaign Security Bulletin APSB17-09 (Englisch)

zur Übersicht

15.04.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Microsoft Office im großen Stil für Virenangriffe genutzt!

Microsoft Office LogoMicrosoft hat Updates für alle unterstützten Versionen von Microsoft Office veröffentlicht, die eine Schwachstelle schließt, die bereits aktiv und im großen Stil genutzt wird, um PCs mit Viren zu infizieren. Anwender die Microsoft Office auf ihrem PC installiert haben, sollten daher dringend prüfen, ob auch wirklich alle Updates installiert sind.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Windows Phone 8.1

Der Internet Explorer von Windows Phone (Version 8.1 und älter) wird weiterhin stiefmütterlich behandelt. Er ist nach wie vor sowohl für Poodle als auch FREAK anfällig. Da im Store keine anderen aktuellen Browser für dieses Betriebssystem verfügbar sind, bleibt nur das Upgrade auf Windows 10 Mobile um das Internet sicher verwenden zu können. Anwender deren Telefon sich nicht für ein Upgrade auf Windows 10 Mobile eignen, aber auf einen sicheren Browser wert legen, sollten sich um ein neues Telefon kümmern.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP: Dieses Uralt-Betriebssystem bekommt seit zwei Jahren KEINE Sicherheitsupdates mehr! Wer XP immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.

zur Übersicht

15.04.2017 – Bye Bye Windows Vista!

Microsoft Windows LogoAm April Tag der Updates hat Microsoft zum allerletzten Mal Sicherheitsupdates für Windows Vista ausgeliefert. Seither gibt es keinen Support mehr für Windows Vista und Angreifer aller Art werden in Zukunft immer leichteres Spiel mit dem Betriebssystem haben. Anwender die immer noch Vista verwenden, sollten sich daher spätestens jetzt RASCH ein Upgrade oder einem neuen PC anschaffen.

All zu viele Benutzer sollte dieses Supportende jedoch nicht mehr treffen, denn Windows Vista war nicht unbedingt das Lieblings-Betriebssystem der Anwender. Viele sehen in Vista ein schlechtes Betriebssystem und Microsoft selbst stuft es als größten Flop der Firmengeschichte ein. Unserer Meinung nach haben beide damit unrecht. Natürlich war Vista nicht so ausgereift wie Windows 7, aber ohne Vista wäre Windows 7 eben nicht das System geworden, das es ist. Man kann bekanntlich nur einen Schritt nach dem anderen machen.

Windows Vista war technologisch betrachtet der größte Schritt seit Windows 2000. Es führte zahlreiche Technologien ein, die bis heute Relevanz haben. Selbst Windows 10 ist näher an Windows Vista dran, als es Vista an Windows XP war. Aber neue Technologien erfordern meistens auch eine Anpassung der Umwelt. In dem Fall mussten Hardware-Hersteller neue Treiber programmieren und Software-Hersteller ihre Programme anpassen. Das alles waren Schritte, die einfach überfällig waren, und hätte Vista hier nicht den Vorreiter gemacht, wäre stattdessen Windows 7 auf die Nase gefallen. Wir hatten übrigens Windows Vista auf zahlreichen Büro PCs im Einsatz und überaus erfolgreich wie man rückblickend sagen kann.

Wenn wir also Vista eigentlich als durchaus gelungenes System betrachten, werden wir ihm eine Träne nachweinen? Nein. Vista hatte seine Zeit, aber irgendwann ist alles mal vorüber. In der EDV bekanntlich schneller als in den meisten andren Bereichen. Bye Bye Windows Vista...

Quelle: 'Support-Ende erreicht: Tschüss, Vista' auf Heise Online

zur Übersicht

15.04.2017 – LibreOffice 5.3.2 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 5.3.2 der freien Bürosuite veröffentlicht. In der neuen Fassung wurden wieder etliche Fehler korrigiert, sicherheitsrelevante sind jedoch nicht darunter. Wer bereits mit LibreOffice 5.3 arbeitet, sollte die neue Fassung auf jeden Fall installieren.

Wie üblich raten wir den meisten Anwendern von brandneuen LibreOffice Versionen ab. Nur neugierige Anwender, die LibreOffice nicht für die tägliche Arbeit benötigen, können jetzt schon einen Blick darauf wagen.

Quelle: Liste der Neuerungen in LibreOffice 5.3

Download: Aktuelle LibreOffice Versionen (5.2 Serie) - (Empfohlen)

Download: Brandneue LibreOffice Versionen (5.3 Serie)

zur Übersicht

07.04.2017 – Mozilla: Thunderbird 52 ist da!

Mozilla Thunderbird LogoMozilla hat seinem E-Mail-Programm mal wieder ein größeres Update spendiert, als nur die üblichen Sicherheitslücken. Normalerweise picken wir an der Stelle immer ein paar Updates heraus, auf die wir besonders eingehen, aber nachdem sich die Thunderbird-Entwickler diesmal fast ausschließlich auf Verbesserungen unter der Haube konzentriert haben, gibt es da nichts Aufregendes zu berichten.

Leider müssen wir dafür gleich eine Warnung anbringen, bei zahlreichen Benutzern öffnen sich im E-Mail angeklickte Links nicht mehr im Browser nach dem Upgrade. Zwar lässt sich das Problem relativ leicht beheben, trotzdem raten wir Anwendern mit dem Upgrade noch zu warten bis Mozilla die Ursache der Upgrade-Probleme behoben hat.

Leider konnten wir nicht in Erfahrung bringen, wie lange die alte 45er Version noch Support erhält, daher muss davon ausgegangen werden, dass Benutzer eher früher als später auf die neue Version upgraden müssen, um weiterhin sicher E-Mails lesen zu können. Im Moment besteht da aber keine Eile, wenn es Updates für Thunderbird gibt werden wir wieder darüber berichten.

Quelle: 'Thunderbird 52 mit kleinen Neuerungen' auf Heise Online

zur Übersicht

07.04.2017 – Katastrophale Sicherheit bei vernetzten Geräten

Die Fachzeitschrift c‘t hat sich kürzlich wieder ein paar IoT bzw. Smart-Geräte, also Gerätschaften die in irgendeiner Weise mit dem Internet in Verbindung stehen, getestet und dabei katastrophale Resultate erzielt.

Im Test waren Stromsteckerleisten, WLAN-Accesspoints und andere ‚smarte‘ Geräte, und das Ergebnis ist schlichtweg erschreckend. Zugunsten des Komforts werden von den Herstellern teils katastrophale Tricks eingebaut, die sich dann auch von Angreifern leicht nutzen lassen, um in fremde Netzwerke einzubrechen.

Leider muss man fast alle diese angeblich so smarten Geräte als potentielle Trojaner betrachten. Mal hat der Hersteller einer Steckdosenleiste Zugriff auf das eigene Netzwerk, mal könnte der Nachbar mir nichts dir nichts auf Webcams oder den Staubsauger im Haushalt zugreifen. Um nur ein paar mögliche Bespiele zu nennen. Andere Hersteller bauen wiederum Mikrophone in ihre Geräte, ohne das auch nur irgendwie ansatzweise zu erwähnen.

Die c‘t Redakteure raten daher dazu, sämtliche dieser ‚smarten‘ Gerätschaften mit einem separaten abgeschotteten Netzwerk zu verbinden, damit zumindest die eigenen Computer und die Daten darauf in Sicherheit sind. Natürlich muss man dazu Kompromisse beim Komfort eingehen und selbst dann kann mit den Smart-Geräten immer noch massiv Schindluder getrieben werden. Wer auf Nummer sicher gehen will, schaltet seine Steckdosenleisten also besser von Hand, nutzt keine Staubsauger-Roboter und achtet bei den unbedingt nötigen Geräten auf Markenqualität. Zwar könnte man all diese Geräte durchaus auch sicher konzipieren, aber aufgrund des harten Preiskampfes, der durch die ‚Geiz ist Geil‘-Mentalität geschürt wird, ist für sichere Designs in der Regel kein Budget vorhanden.

Wir können interessierten Lesern das kurze Video der c‘t Redakteure im verlinkten Artikel nur ans Herz legen.

Quelle: 'Smart Home: c't findet versteckte Mikrofone und unsichere Web-Frontends' auf Heise Online

zur Übersicht

07.04.2017 – Windows 10 Creators Update steht in den Startlöchern

Microsoft Windows 10 LogoMicrosoft hat bereits begonnen die nächste Windows 10 Version in der finalen Fassung unters Volk zu bringen. Das automatische Update beginnt zwar erst kommenden Dienstag, aber für besonders neugierige Anwender gibt es jetzt schon mehrere Möglichkeiten, um an die neue Fassung zu gelangen. Welche das sind, verrät der verlinkte Heise Online Artikel ebenso, wie die vielen kleinen Neuerungen die darin enthalten sind.

Wir beschränken uns hier auf unsere eigenen ersten Erfahrungen mit dem Creators Update oder kurz Version 1703. Die Nummer steht für das Jahr und Monat, an dem das Upgrade ursprünglich debütieren hätte sollen, Microsoft ist also ein bisschen zu spät dran. Jedoch bevorzugen wir immer spätere Termine, wenn die Qualität dafür besser ist, und an Version 1703 können wir bisher nicht viel bemängeln, was die Qualität betrifft. Wir haben es bereits auf etlichen virtuellen und echten Computern installiert und bis auf ein Notebook nie Probleme damit gehabt. Aktuell macht das neue Windows bisher den besten Eindruck aller Windows 10 Versionen.

Wo Licht ist, gibt es aber bekanntlich immer auch etwas Schatten. Kommandozeilen-Akrobaten werden die gute alte Eingabeaufforderung im Datei-Menü des Windows-Explorers vermissen. Dort residiert nun nur mehr ausschließlich die Powershell, die zwar auch viele Befehle der Eingabeaufforderung versteht, aber eben nicht alle und zudem noch deutlich länger zum Starten benötigt. Auch im Win-X Menü (das auch per Rechtsklick auf das Windows Logo aufgerufen werden kann) wurde die Eingabeaufforderung durch die Powershell ersetzt. Im Gegensatz zum Windows Explorer lässt sich diese Änderung jedoch unter „Einstellungen → Personalisierung → Taskleiste“ wieder rückgängig machen.

Quelle: 'Mehr Kontrolle unter Windows 10: Das ist das Creators Update' auf Heise Online

zur Übersicht

07.04.2017 – Samsung Smart-TVs, Smartphones und Smartwatches unsicher!

Biohazard LogoGleich vorneweg, mit den Samsung Smartphones sind nicht die Android-Geräte des Herstellers gemeint! Android gilt zwar ebenfalls nicht gerade als sicheres System, aber Samsung‘s ‚Tizen‘ übertrifft (bzw. unterbietet) das nochmal um Welten.

Ein Sicherheitsforscher hat sich Samsungs Betriebssystem Tizen jedenfalls mal etwas genauer angeschaut und dabei 40, zum Teil massive, Sicherheitslücken entdeckt. Der Forscher sagt, dass es sich um den furchtbarsten Programmcode handelt, den er je gesehen hat.

Dieses Tizen Betriebssystem steckt in vielen Smart-TVs und Smartwatches von Samsung, von denen sich bereits viele Modelle im österreichischen Handel befinden, soll aber in Zukunft auch immer stärker in günstigen Smartphones zum Einsatz kommen.

Wie risikoreich die Smartwatches tatsächlich sind, ist für uns schwer einzuschätzen, da diese ja keinen eigenen Internetzugang haben, sondern sich nur mit Smartphones verbinden. Ein gutes Gefühl vermittelt das aber auch hier keinesfalls.

Bei den Smart-TVs dürfte die Sache aber eindeutig sein: Diese sollten aus Sicherheitsgründen NICHT mit dem regulären Heimnetz verbunden werden, sondern nur mit einem abgeschotteten Netzwerk wie z.B. dem Gastnetzwerk. Noch besser wäre es natürlich diese Fernseher gar nicht mit dem Internet zu verbinden, aber das würde den Nutzen eines Smart-TVs endgültig ad absurdum führen.

Übrigens plant Samsung zukünftig auch Waschmaschinen und Kühlschränke mit Tizen. Da kann man nur hoffen, dass Samsung bis dahin sämtliche Löcher gestopft hat und mehr Ressourcen für die Sicherheit abstellt.

Quelle: 'Betriebssystem Tizen für Samsung-Geräte von Sicherheitslücken durchsiebt' auf Heise Online

zur Übersicht

Newsletter:


Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen:

Newsletter beantragen

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C