News

Schlagzeilen * Details * Newsletter

Schlagzeilen:


zur Übersicht

Details:



12.01.2018 - Sicherheitsupdate für Adobe Flash

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 28.0.0.137. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

12.01.2018 - Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Neben den Updates gegen Meltdown und Spectre, die Microsoft nun auch für Windows 7 und 8.1 über Windows Update ausliefert, steht hier vor allem ein Update für Office im Vordergrund. Angreifer nutzen präparierte RTF Dokumente, um Computer mit Viren zu infizieren. Die Office Sicherheitsupdates beheben diese Lücke. Erstaunlicherweise gibt es das Update auch für Office 2007, das eigentlich seit Herbst letzten Jahres keine Updates mehr erhält. Was Microsoft hiermit bezweckt entzieht sich unserer Logik, denn durch solche Aktionen werden Anwender von Office 2007 nur in falsche Sicherheit gewogen.

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit 2014 (XP) bzw. Februar 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Frisch aus dem Support rausgewachsen ist nun leider auch Windows 10 Mobile Version 1511. Wer ein Handy mit diesem System hat und kein Update auf neuere Versionen angeboten bekommt, sieht sich nun leider mit einem potenziell unsicheren System konfrontiert. Wer sicher bleiben möchte, braucht ein neueres Handy. Dasselbe gilt natürlich auch für Windows Phone 6, 7, 8 und 8.1. Bereits im Herbst dieses Jahres geht dann Version 1607 in den Ruhestand.

zur Übersicht

12.01.2018 - Neuigkeiten zu den Spectre und Meltdown Sicherheitslücken!

Meltdown & Spectre LogoSeit dem letzten Artikel über die Spectre und Meltdown Lücken hat sich viel getan. Hier eine Übersicht über die neuen Erkenntnisse:

Nicht betroffene Prozessoren und Geräte

Fangen wir mal mit einer guten Nachricht an. Es gibt tatsächlich auch moderne Computersysteme, die nicht von Spectre oder Meltdown betroffen sind. Das liegt vor allem daran, das manche sehr stromsparende ARM Prozessoren gar keine spekulativen Funktionen nutzen. Dazu gehört beispielsweise das ARM Cortex-A53 Design. Dieses Design verwenden z.B. der Raspberry Pi oder das Motorola Moto G3. Hier ist man also unabhängig von irgendwelchen Software-Updates immun gegen Spectre und Meltdown. Welche (Android-)Geräte sonst noch immun sind lässt sich leider mangels umfangreicher Listen der Hersteller im Moment schwer herausfinden.

BIOS-Updates für Intel und AMD Systeme

UEFI LogoGegen Spectre Variante 2 hilft nach aktuellem Kenntnisstand nur ein BIOS- bzw. UEFI-Update (weiters nur noch BIOS-Update genannt). Mit Betriebssystem- oder Programm-Updates alleine kommt man hier nicht weiter.
- Intel hat bereits angekündigt, für Prozessoren ab Modelljahr 2014 BIOS-Updates bis spätestens Ende Jänner 2018 bereitzustellen. Danach kümmert man sich um ältere Prozessoren, ohne Details dazu zu nennen. Sollte Intel nicht auch Updates für ältere Prozessoren anbieten, müssten Milliarden von Anwendern weltweit neue Computer kaufen, um sich gehen Spectre 2 zu wappnen.
- AMD hat seine erste Meldung bzgl. den Lücken nun leider etwas revidieren müssen, auch AMD Prozessoren benötigen demnach ein BIOS-Update. Für Prozessoren aus der Ryzen, Epic (und vermutlich auch Threadripper) Baureihe sollen die Updates bereits auf dem Weg zu den Mainboard- und System-Herstellern sein. Weiters sagt AMD, das Updates für ältere Prozessoren in den nächsten Wochen bereitstehen sollen. Welche ‚ältere Prozessoren‘ aber genau das sein sollen, lässt AMD vorerst im Unklaren.
- Das Problem bei BIOS-Updates ist natürlich, dass man dabei nicht nur vom Prozessor-Hersteller, sondern auch vom jeweiligen Mainboard bzw. Notebook-Hersteller abhängig ist. Denn diese müssen die Updates von Intel und AMD schlussendlich in fertige BIOS-Updates ummünzen. Und wieviele Hersteller können es sich leisten für sämtliche Produkte der letzten 10 Jahre Updates anzubieten? Es ist zu befürchten, das hier sehr viele ältere System auf der Strecke bleiben, was einem Sicherheits-Supergau entspricht.
- Zuguterletzt bleibt es dann noch am Besitzer des Computers hängen, nach diesen möglicherweise verfügbaren BIOS-Updates zu suchen, sie herunterzuladen und einzuspielen. Leider ist das ein Prozess der die meisten Endanwender überfordern dürfte, was zu noch mehr verwundbaren Rechnern führen wird.

Probleme mit dem Windows-Update bei AMD Prozessoren

AMD LogoMicrosoft zieht Updates für Systeme mit "manchen AMD Prozessoren" zurück. Bei AMD selbst erfährt man immerhin, dass folgende Prozessor Familien betroffen sind: AMD Opteron, Athlon und AMD Turion X2 Ultra. Wirklich detailliert ist auch diese Auskunft nicht, aber besser als "ältere Prozessoren". Es ist aber davon auszugehen, dass Microsoft bald eine neue Revision der Updates fertig haben wird, die sich dann auch auf Systemen mit diesen Prozessoren nützen lässt.

Spontane Neustarts bei Intel Prozessoren nach BIOS-Update

Intel LogoGerade haben wir noch eine Meldung gesehen, wonach Intel Prozessoren aus der Core i 4000 und 5000 Generation (bzw. die entsprechenden Xeon, Celeron und Pentium Varianten) unter gewissen Umständen zu spontanen Neustarts neigen, wenn die aktuellen BIOS-Updates installiert wurden. Besitzer solcher Rechner haben aktuell also die Wahl zwischen einem sicheren oder stabilen Prozessor – keine schöne Wahlmöglichkeit. Intel untersucht das Problem gerade und will so bald wie möglich neue BIOS-Updates an die Hersteller senden.

Spectre & Meltdown in freier Wildbahn?

Für Meltdown und Spectre wurde bereits Schadsoftware im Internet entdeckt. Vor allem das einfacher auszunutzende Meltdown (nur Intel Prozessoren) dürfte schon bald aktiv angewendet werden. Spectre ist sehr viel komplizierter, weshalb Anwender hier (hoffentlich) noch ein paar Tage oder Wochen Schonfrist haben.

Angaben zum Leistungsverlust präzisiert:

Intel LogoNun liegen auch etwas mehr Informationen zum Leistungsverlust bei aktivierten Meltdown- bzw. BIOS-Updates vor. So leidet vor allem die Geschwindigkeit von sehr schnellen SSDs stark nach Einspielen der Intel-BIOS-Updates. Die Meltdown-Updates in den Betriebssystemen treffen hingegen speziell ältere Intel-Prozessoren (Core i 1000-4000) stärker, während neuere Prozessoren (Core i 6000 und neuer) weniger stark ausgebremst werden. Die nicht erwähnte 5000er Serie wird vermutlich dazwischen liegen.
Da AMD Prozessoren nicht über Meltdown angreifbar sind, sollten die Betriebssystem-Updates hier auch keine Performance-Auswirkungen zeigen. Wie sich das ganze dann verhält, wenn die BIOS-Updates verfügbar sind, wird sich erst noch zeigen.

Apple hat erste Spectre-Updates fertig

Apple LogoApple hat nun ebenfalls Sicherheitsupdates gegen Spectre veröffentlicht. Dabei handelt es sich um iOS 11.2.2, macOS High Sierra 10.13.2 Supplemental Update, und Safari 11.0.2 für macOS Sierra und OS X El Capitan. Letzteres ist ein wenig merkwürdig, denn es stehen jetzt zwar Updates gegen Spectre für macOS 10.10 und 10.11 bereit, aber KEINE Updates gegen Meltdown! Apple-Geräte mit einer älteren macOS Version als 10.12.2 bleiben damit unsicher! Immerhin können iPhone und iPad Anwender jetzt wieder halbwegs beruhigt sein, sofern sie eben iOS 11.2.2 auf dem Gerät haben. Ein Problem bleibt aber bei allen Apple Geräten: Apple hat keinerlei Informationen bereitgestellt, die erläutern gegen welche Spectre Version die Updates schützen sollen. Da, wie wir gelernt haben, für den Schutz gegen Spectre 2 ein BIOS-Update (bei Apple Geräten traditionell eine EFI-Variante) nötig ist, nützen Safari-Updates hier nichts. Vielleicht können wir ja nächste Woche hier für Aufklärung sorgen, bis dahin betrachten wir Apple Geräte aber NICHT vollständig immun gegen Spectre.

Nvidia liefert ebenfalls Spectre Updates!

Etwas unerwartet war die Ankündigung von Nvidia, ebenfalls Updates gegen Spectre zu veröffentlichen. Die neuen Treiber sollen Spectre 1 Angriffe erschweren. Updates gegen Spectre 2 sollen später kommen. Ob die Lücken tatsächlich im Treiber selbst oder den mitgelieferten Anwendungen behoben wurden, ist unklar. Von Konkurrent AMD ist bisher nur zu hören, das Radeon Grafikkarten nicht anfällig auf Meltdown und Spectre sind. Ob das explizit auch für die Treiber gilt, wird sich vielleicht noch zeigen.

Meltdown Updates bisher nutzlos auf 32Bit Systemen!

Und noch ein Nachtrag in letzter Sekunde: Wie Heise Security soeben festgestellt hat, zeigen die letzten Windows Updates auf 32Bit Systemen keine Wirkung! Auch unter Linux soll es noch keine wirksamen Updates gegen Meltdown auf 32Bit Systemen geben. Technische Gründe gibt es dafür laut einem Linux-Entwickler nicht, es war schlicht noch nicht die Zeit um wirksame Updates für 64Bit UND 32Bit Systeme zu entwickeln, und da 32Bit Systeme heutzutage deutlich seltener sind, kommen diese erst später dran. Warum aber eine riesige Firma wie Microsoft nicht beide Varianten gleichzeitig entwickeln konnte ist merkwürdig. Anwender von 32Bit Systemen sind daher einem massiv höheren Risiko ausgesetzt als Besitzer eines 64Bit Systems.

Quelle: 'An Update on AMD Processor Security' auf AMD.com

Quelle: 'Meltdown und Spectre: Mitentdecker warnt vor erstem Schadcode' auf Heise Online

Quelle: 'Patch gegen Spectre: Aktualisierte Nvidia-Grafiktreiber für GeForce und Quadro, Tesla-Treiber später' auf Heise Online

Quelle: 'Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern' auf Heise Online

Quelle: 'Meltdown-Patches: 32-Bit-Systeme stehen hinten an' auf Heise Online

zur Übersicht

05.01.2018 - Sicherheitslücken Spectre und Meltdown - Ein Überblick

Meltdown & Spectre LogoSo mancher Leser dieses Artikels wird in den Nachrichten schon über die gravierenden Sicherheitslücken in Prozessoren gehört oder gelesen haben. Teils sind diese Meldungen allerdings hoffnungslos übertrieben, weshalb wir hier etwas Klarstellung betreiben wollen:

Was ist Meltdown und Spectre?

Unter diesen zwei Begriffen werden in Summe eigentlich 3 Sicherheitslücken zusammengefasst. Allen drei ist gemeinsam, dass das eigentliche Problem in den betroffenen Prozessoren von Intel, ARM und AMD liegt. Meldungen, wonach nur Intel Prozessoren betroffen sind, stimmen nicht, wenngleich Intel am meisten falsch gemacht hat, während in AMD Prozessoren „nur“ eine Sicherheitslücke steckt. Alle 3 Lücken ermöglichen das Auslesen von Bereichen des Arbeitsspeichers, der eigentlich geschützt sein sollte. Dadurch könnte ein bösartiges Programm oder eine Webseite sensible Daten stehlen, z. B. Passwörter oder Kreditkarten-Daten.

Was die Lücken NICHT können!

In den Nachrichten haben wir wie gesagt die wildesten Geschichten gehört, wie z.B. dass ein Programm, dass diese Lücken ausnützt, die gesamten Daten der Festplatte auslesen kann. Das ist NICHT korrekt. Wie schon geschrieben, kann über die Lücke nur auf manche Bereiche des Arbeitsspeichers zugegriffen werden, NICHT direkt auf die Festplatte.
Auch ermöglichen die Lücken keinen schreibenden Zugriff auf den PC, es können also keine Dateien manipuliert oder der PC verseucht werden. Außerdem kann ein Angreifer die Lücken nicht direkt aus dem Internet ausnützen, man muss immer erst ein Programm auf den betroffenen Computer schleusen, oder das Opfer zum Besuch einer entsprechend manipulierten Website bewegen. Daher sind abgesehen von den Betriebssystemherstellern auch die Browser-Hersteller die Ersten, die Sicherheitsupdates anbieten.

Werden PCs wirklich deutlich langsamer durch die Updates?

Noch eine Aussage aus dem Rundfunk, die man klar entkräften muss. Zwar können im schlimmsten Fall wohl tatsächlich Leistungseinbußen bis zu 30% auftreten, aber das gilt nur für sehr seltene Anwendungsfälle. Die meisten privaten Computernutzer werden durch diese Updates keine Verlangsamung des Computers bemerken.

Also ist das eigentlich harmlos?

NEIN! Das sind tatsächlich ernste Lücken, die möglichst rasch behoben werden müssen. Außerdem ist es ein Sargnagel mehr für Geräte, die keine Betriebssystem-Updates mehr bekommen, wie Computer mit Windows XP oder Vista, oder die meisten älteren Smartphones und Tabletts. Von den unzähligen IoT Geräten (Smart-Devices, Router, IP-Kameras usw.), die wohl niemals ein Update erhalten werden, ganz zu schweigen!
Auch wichtig, wenn die ganzen Updates dann mal installiert sind (sofern es überhaupt welche gibt), sollten auch alle Passwörter geändert werden, für den Fall, dass diese bereits ausgelesen wurden. Nachdem die Lücken praktisch schon ewig existieren und die ersten Leute schon monatelang darüber informiert sind, ist nicht auszuschließen, dass sensible Daten auf einzelnen Computern bereits abgegriffen wurden.

Microsoft:

MS Windows LogoMicrosoft hat Updates für alle unterstützten Betriebssysteme veröffentlicht, allerdings werden bisher nur die Updates für Windows 10 über die Windows Update Funktion vertrieben, und auch dort nur in Wellen. Wer unbedingt sofort geschützt sein will, muss die Updates also manuell herunterladen, was wir nur Profis empfehlen. Die Updates für Windows 7 und 8.1 werden voraussichtlich ab der Nacht von 9. auf 10. Jänner per Windows Update vertrieben. Die Update-Pakete enthalten jeweils Sicherheitskorrekturen für Windows selbst, Internet Explorer und Microsoft Edge. Hier eine Liste der jeweiligen Knowledgebase Artikel für die einzelnen Betriebssysteme bzw. die Buildnummern für Windows 10 nach erfolgreich installiertem Update:

Wichtig zu Wissen für Windows Anwender ist zudem, dass diese Updates überhaupt nur dann installiert werden können, wenn der auf dem System installierte Virenscanner das „genehmigt“. Alle noch unterstützten Virenscanner von Kaspersky wurden schon entsprechend modifiziert, selbes soll auch für aktuelle Produkte von Avast und Microsoft selbst gelten. Wie die Situation bei anderen Anti-Virus Anbietern aussieht, können wir leider aktuell nicht sagen. Ist auf dem System jedenfalls ein nicht ausdrücklich als kompatibler Virenscanner installiert, wird das Windows Update gar nicht erst angeboten und kann auch manuell nicht installiert werden.

Außerdem sieht es so aus, als würden die Updates für Windows 10 auf manchen PCs mit AMD-Prozessoren nicht gelingen. Hier entstehen dann sehr unangenehme Boot-Schleifen, weil der Computer immer wieder versucht das Update zu installieren und es immer wieder misslingt. Details, welche AMD-Prozessoren genau betroffen sind, oder ob es andere Zusammenhänge gibt, sind leider noch nicht verfügbar.

Google Chrome & Android:

Google Chrome LogoGoogle hat Sicherheitskorrekturen für Version 64 von Google Chrome angekündigt, die am 23. Jänner erwartet wird. Wer bis dahin sicher bleiben will, kann auf Desktop/Notebook-Systemen die experimentelle Funktion „Strict site isolation“ einschalten. Geben sie dazu die Adresse "chrome://flags#enable-site-per-process" (ohne Anführungszeichen) in die Adressleiste des Browsers ein gefolgt von Enter. Klicken sie dann im Absatz „Strict site isolation“ auf AKTIVIEREN. Das soll ebenfalls verhindern, dass z.B. Anmeldedaten einer Website ausspioniert werden können.
Besitzer eines Android Gerätes sind hingegen auf der sicheren Seite, wenn das Sicherheitsupdate 2018-01-05 installiert ist, und zwar (anscheinend, laut Google) unabhängig davon welcher Browser verwendet wird. Da die allermeisten Android-Geräte, wenn überhaupt, nur für eher kurze Zeit Sicherheitsupdates bekommen, dürften das jedoch relativ wenige Geräte sein. Anders ausgedrückt, der Großteil der aktuellen Android Geräte wird wohl bis zu ihrer Entsorgung über diese Lücken angreifbar bleiben.

Vivaldi und Opera:

Opera LogoBeide Firmen haben sich bisher nicht zu Spectre und Meltdown geäußert. Spätestens wenn auch dort jeweils der Blink Unterbau aus Chrome 64 zum Einsatz kommt, sollte das Thema vorerst erledigt sein. Wann das sein wird, ist aber für uns leider nicht vorhersagbar. Aufgrund der Brisanz erwarten wir aber bald Stellungnahmen der Firmen zu dem Thema. In beiden Browsern funktioniert jedoch die im Chrome Absatz beschriebene experimentelle Option, mit der man sich vorübergehend schützen kann.

Mozilla Firefox & Thunderbird:

Mozilla Firefox LogoMozilla hat Version 57.0.4 von Firefox veröffentlicht, in der ähnliche Einstellungen geändert wurden wie bei den anderen Browser-Herstellern, um erste Schutzmaßnahmen gegen Spectre und Meltdown zu bieten. In der aktuellen ESR Version des Browsers (52.5.2) wurde nur eine der beiden Maßnahmen bisher umgesetzt, weshalb diese Fassung etwas weniger Schutz bietet als Firefox 57.0.4.
In Thunderbird gibt es noch keine speziellen Updates gegen die beiden Sicherheitslücken, jedoch haben diese keinen Effekt solange Javascript deaktiviert ist, was der Standardeinstellung entspricht.

Apple:

Apple LogoApple hat Updates gegen Meltdown in den folgenden Produktversionen integriert:
iOS 11.2, macOS 10.13.2, und tvOS 11.2. WatchOS soll gegen Meltdown immun sein.
Updates gegen Spectre, die alle Browser unter iOS bzw. Safari unter macOS betreffen, sind noch nicht erhältlich. Das bedeutet, dass man aktuell auf iPhones und iPads nicht sicher im Internet surfen kann! Unter macOS nutzt man am besten Firefox, solange kein Sicherheitsupdate für Safari verfügbar ist.

Quelle: 'Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates' auf Heise Online

zur Übersicht

05.01.2018 - Neue Akku Rückrufaktion bei HP

Brennendes Notebook LogoHP tauscht wieder einmal unsichere Notebook Akkus aus. Diesmal geht es um Akkus, die zwischen Dezember 2015 und Dezember 2017 entweder separat oder mit einem Notebook verkauft wurden. Anwender, deren Akku auch nur annähernd in dieses Kaufdatum fallen könnte (Lagerzeiten bedenken!), sollten Ihr Gerät unbedingt mit dem HP Akku Dienstprogramm von der HP Akku Rückrufseite untersuchen. Stellt dieses fest, dass der Akku ersetzt werden muss, finden HP Kunden auf der Seite weitere Informationen zum Ablauf des Austauschs.

Info: HP Akku Rückrufseite

Quelle: 'Wegen Brandgefahr: HP ruft Akkus vieler Notebooks und Workstations zurück' auf Heise Online

zur Übersicht

05.01.2018 - Schon wieder Sicherheitslücke in Western Digitals 'MyCloud' Systemen!

Router/NAS Security LogoEs ist noch kein Jahr her, das wir zuletzt vor den NAS-Systemen von Western Digital warnen mussten, jetzt gibt es die nächste Hiobs-Botschaft über diese Geräte.

Sicherheitsforscher der Firma GulfTech haben in WD‘s NAS-Systemen nichts weniger als eine Backdoor entdeckt. Eine Backdoor ist ein Hintertürchen, über das der Hersteller eines Gerätes oder einer Software immer aus der Ferne auf dieses zugreifen kann, egal was der Anwender mit dem Gerät gemacht hat.

Im Falle der WD NAS-Geräte können Angreifer also kinderleicht auf die betroffenen Geräte zugreifen, sofern diese mit dem Internet verbunden sind, und sie beliebig konfigurieren, die Daten stehlen oder Viren einschleusen. Da Western Digital auch nach 6 Monaten nicht Willens oder in der Lage war Sicherheitsupdates anzufertigen, sollten alle Besitzer dieser Geräte unbedingt den Internetzugang dieser Geräte kappen. Aufgrund der immer wiederkehrenden Probleme mit den NAS Geräten dieses Herstellers würden wir darüber hinaus vom Kauf jeglicher Western Digital NAS Geräte abraten. Hier die Liste der neuerlich betroffenen Geräte:

Nicht betroffen sind laut GulfTech Geräte der MyCloud 04.Xer-Serie.

Quelle: 'My Cloud: Netzwerkspeicher von Western Digital via Backdoor angreifbar' auf Heise Online

zur Übersicht

28.12.2017 – Sicherheitsupdate für Adobe Flash

Adob Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Im Gegensatz zum letzten Monat, in dem Adobe extrem viele Updates auslieferte, bietet der Dezember nur das Übliche. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 28.0.0.126. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

28.12.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. acht Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

28.12.2017 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.5.2 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt fünf Sicherheitslücken, wovon eine als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

28.12.2017 – Opera verschläft Sicherheitsupdate!

Opera Software LogoOpera hat leider noch kein Update auf Version 63 der Blink Engine veröffentlicht. Auch finden sich bei Opera keinerlei Hinweise darauf, ob man (wie bei Vivaldi) die Sicherheitsupdates aus der 63er Blink Version in die aktuelle Opera-Version reintegriert hat. Daher muss davon ausgegangen werden, dass diese Sicherheitslücken in Opera aktuell noch nicht behoben sind!

Es handelt sich dabei um zwei Sicherheitslücken, von denen Google eine als hohe Sicherheitsbedrohung einstuft. Der Besuch einer manipulierten Website kann den PC mit Viren infizieren.

Wann Opera 50 (mit Version 63 der Blink Engine) kommen wird, ist nicht bekannt. Opera Anwender, die auf Nummer Sicher gehen wollen, können vorübergehend auf Vivaldi ausweichen.

Download: Aktuelle Vivaldi Version

zur Übersicht

28.12.2017 – Sicherheitsupdates für Vivaldi

Vivaldi LogoVivaldi hat die kürzlich von Google veröffentlichten Sicherheitsupdates nun in eine neue Vivaldi Version eingebaut. Die abgesicherte Fassung trägt die Versionsnummer 1.13.1008.40. Anwender von Vivaldi sollten zügig auf die neue Version aktualisieren, falls nicht bereits geschehen.

Download: Aktuelle Vivaldi Version

zur Übersicht

28.12.2017 – Gesichtserkennung bleibt unsicher!

Biohazard LogoErst im Juli haben wir berichtet, dass praktisch alle Systeme, die Gesichtserkennung zur Identifikation nutzen, unsicher sind, da sie mehr oder wenige leicht ausgetrickst werden können. Windows Hello stellte bisher eine der wenigen löblichen Ausnahmen dar, aber auch das ist jetzt mehr oder weniger Geschichte. Sicherheitsforschern ist es nun mit einem Foto auf Papier gelungen, auch diverse Geräte mit Windows Hello zu überlisten. Der Aufwand dafür ist zwar höher als bei den einfachen Kameras der Konkurrenz, aber wirklich sicher ist das System damit trotzdem nicht mehr.

Nur ein paar Microsoft Surface Gerät, mit allerneuester Windows 10 Version (1709) und aktivierter ‚Enhanced-Anti-Spoofing‘ Funktion, konnten nicht überlistet werden.

Damit gilt weiterhin was wir schon immer über Biometrie geschrieben haben, egal ob Fingerabdruck, Retina-Scan oder Gesichtserkennung, all das ist aktuell in normalen Heimanwendergräten NICHT sicher genug um damit sensible Daten zu schützen. Ein ordentliches Passwort ist dramatisch sicherer als all diese Verfahren, ja sogar ein simpler vierstelliger PIN ist den biometrischen Funktionen vorzuziehen.

Quelle: 'Gesichtserkennung von Windows 10 mit Papierausdruck reingelegt' auf Heise Online

zur Übersicht

28.12.2017 – LibreOffice 5.4.4 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 5.4.4 der freien Bürosuite veröffentlicht. In der neuen Fassung wurden wieder etliche Fehler korrigiert, sicherheitsrelevante sind jedoch nicht darunter.

Da der Support für die 5.3er Serie bereits ausgelaufen ist, sollten alle Anwender nun auf die aktuelle 5.4er Ausgabe aktualisieren.

Hinweis:
Nach wie vor sollte für zügiges Arbeiten in LibreOffice die OpenGL Anzeige deaktiviert werden. Dazu klickt man auf EXTRAS → OPTIONEN. Im Optionen-Fenster wählt man in der linken Spalte ANSICHT und entfernt dann rechts den Haken bei "OpenGL für das rendern verwenden" falls es gesetzt ist. Der daraufhin folgenden Aufforderung LibreOffice neu zu starten sollte man nachkommen.

Download: Aktuelle LibreOffice Versionen (5.4 Serie)

zur Übersicht

08.12.2017 – Wieder Sicherheitslücke in Microsoft Anti-Viren-Software

Microsoft WIndows LogoWieder einmal wurde ein Fehler in der Microsft Anti-Viren-Software entdeckt, die zur Infektion des Computers genutzt werden kann. Auch dieses Mal hat Microsoft wieder sehr flott eine Lösung für das Problem per Update bereitgestellt.

Betroffen sind alle Anwender eines der folgenden Endanwender-Programme: Windows Defender, Security Essentials und Forefront Security. Die neue sichere Version der Malware Protection Engine trägt die Versionsnummer 1.1.14405.2. Wie sie die Version prüfen und gegebenenfalls aktualisieren können erfahren sie im Artikel vom 03.06.2017.

Quelle: 'Notfall-Patch für Windows & Co.: Kritische Sicherheitslücke im Virenscanner von Microsoft' auf Heise Online

Info: Artikel zum selben Thema vom 03.06.2017

zur Übersicht

08.12.2017 – Firefox Sicherheitsupdates!

Mozilla Firefox LogoDie Mozilla Entwickler waren fleißig und haben schwere Sicherheitslücken in den beiden neuen Firefox Versionen behoben.

Firefox 57.0.2:

Version 57.0.2 behebt eine als kritisch eingestufte Sicherheitslücke in Firefox. Anwender die noch eine Firefox Version vor 57.0.2 verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.5.2:

Die Firefox ESR Ausgabe 52.5.2 beinhaltet alle Sicherheitskorrekturen aus Firefox 57.0.2, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

08.12.2017 – Google schließt Sicherheitslücke in Chrome

Google Chrome LogoGoogle hat schwere Sicherheitslücken in seinem Browser Google Chrome geschlossen. Anwender dieses Browsers sollten sicherstellen, dass sie Version 63.0.3239.84 oder neuer verwenden. Für Anwender die nicht wissen, wie sie die Google Chrome Versionsnummer prüfen bzw. Updates installieren können, haben wir die passende Google Chrome Support-Website verlinkt.

Quelle: '37 Sicherheitslücken in Chrome geschlossen' auf Heise Online

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

08.12.2017 – VLC Media Player 2.2.8 behebt Sicherheitslücken

VLC Media Player LogoDas Team rund um den VLC Media Player hat eine neue Ausgabe der Software veröffentlicht. Version 2.2.8 behebt mehrere Sicherheitslücken der Vorversionen. Über manipulierte Audio- und Video-Dateien war es möglich, den PC mit Viren zu infizieren. Wir raten allen VLC-Anwendern dazu das Update zügig zu installieren.

Download: VLC Media Player 2.2.8 für Windows (32Bit)

Download: VLC Media Player 2.2.8 für Windows (64Bit)

Quelle: 'VLC Media Player 2.2.8 Release Notes' auf Videolan.org (Englisch)

zur Übersicht

08.12.2017 – Apple: Sicherheitsupdates für iTunes

Apple LogoApple behebt mit iTunes 12.7.2 Sicherheitslücken in der Multimedia Software ohne aber bisher irgendwelche Details darüber zu nennen. Aufgrund der mangelhaften Kommunikation von Apple müssen wir von kritischen Sicherheitslücken ausgehen.

Anwender, die iTunes tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten iTunes deinstallieren, da das Programm PCs deutlich langsamer macht, selbst wenn es gar nicht verwendet wird.

Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.

Quelle: 'iTunes 12.7.2: Fehlerbehebungen, "mehr Leistung", aber kein iOS App Store' auf Heise Online

zur Übersicht

08.12.2017 – KRACK – Android Patch gegen KRACK erst jetzt verfügbar, wenn überhaupt!

Brocken WLAN LogoAm 07.11.2017 hatten wir berichtet, dass Android ab Sicherheitspatch-Ebene 2017.11.06 oder neuer gegen KRACK abgesichert wäre. Das hat sich jetzt als Fehler herausgestellt, der durch irreleitende Patch-Beschreibungen Googles entstanden ist.

Tatsächlich bringt erst das Android Sicherheitsupdate 2017.12.05 einen wirksamen Schutz gegen die KRACK Sicherheitslücke. So lange Reaktionszeiten sind besonders traurig, wenn man sich in Erinnerung ruft, das gerade Android am stärksten von der KRACK Lücke bedroht ist!

Noch trauriger ist die Situation natürlich, wenn man bedenkt, dass die allermeisten Android Geräte überhaupt keine Sicherheitsupdates bekommen werden. Das heißt, da draußen sind Millionen von Android Geräten unterwegs, deren WLAN Kommunikation von Jedermann in Funkreichweite mitgelesen und sogar verändert werden kann!

Besitzer eines Android Handies/Tabletts sollten daher unbedingt nachsehen, ob das Sicherheits-Update 2017.12.05 für ihr Gerät verfügbar ist, und wenn nicht ernsthaft überlegen auf WLAN zu verzichten. Vor allem Tabletts ohne Mobilfunkmodem sind ohne WLAN aber natürlich praktisch nutzlos. Ob man das Risiko eingeht, muss dann jeder Nutzer selbst entscheiden.

Für Bastler bietet sich mit LineageOS ein Ausweg aus der Misere, sofern das Gerät von der alternativen Android-Distribution unterstützt wird. In LineageOS wurde die KRACK-Lücke wie berichtet bereits letzten Monat behoben.

Quelle: 'Dezember-Patches für Android schützen Pixel- und Nexus-Geräte vor KRACK' auf Heise Online

Info: 20.10.2017 - KRACK - Massive Schwachstelle in WLAN Standard

zur Übersicht

08.12.2017 – Neuer Trojaner für NAS-Geräte gesichtet

Router/NAS Security LogoDas NAS-Geräte (Netzwerkfestplatten) ein immer beliebteres Ziel für Cyber-Kriminelle werden, haben wir bereits berichtet. Auch, dass dabei vor allem die Sicherheitslücke SambaCry eine große Rolle spielt. Nun wurde ein neuer Trojaner gesichtet, der versucht NAS-Geräte, die immer noch nicht gegen SambaCry abgedichtet wurden, zu infizieren.

Sind die Daten auf dem NAS erst einmal verschlüsselt, gibt es keinen Weg mehr an sie heranzukommen, außer die Lösegeldforderung zu erfüllen. Die hat es, mit aktuell ungefähr 25.000 Euro, aber in sich. Zudem gibt es natürlich keinerlei Garantien, dass man nach Zahlung der Summe tatsächlich seine Daten zurückerhält.

Wer ein aktuelles Backup aller seiner Daten hat, muss vor solchen Verschlüsselungstrojanern keine all zu große Angst haben, liegt das Backup aber eben auf so einem NAS-Gerät, war die Sicherung für die Katz. Daher raten wir auch von NAS-Geräten als Sicherungslaufwerk ab.

Anwender, die ein NAS-Gerät verwenden, sollten also immer ein Backup der NAS-Daten auf einem separaten Laufwerk/Band haben, das NICHT im Netzwerk verfügbar ist! Zudem sollte das Gerät unbedingt per Firmware-Update gegen SambaCry abgesichert werden. Generell sollte man sich gut überlegen, ob man das eigene NAS tatsächlich aus dem Internet erreichbar macht, ohne Sicherheitsupdates ist das aber ein absolutes Tabu!

Quelle: 'StorageCrypt: Ransomware infiziert NAS-Geräte via SambaCry-Lücke' auf Heise Online

zur Übersicht

29.11.2017 - Sicherheitslücken in Foxit Reader und Foxit Phantom!

Biohazard LogoIm PDF Reader 'Foxit Reader' sowie im PDF Editor 'Foxit Phantom' wurden mehrere schwere Sicherheitslücken behoben. Anwender, die die Software auf ihrem PC installiert haben (ob absichtlich oder nicht), sollten entweder auf Version 9 des Foxit Readers bzw. mindestens auf Version 8.3.5 von Foxit PhantomPDF updaten. Wer diese Programme nicht verwendet sollte sie stattdessen gänzlich deinstallieren.

Quelle: 'Foxit schließt Sicherheitslücken in Reader und PhantomPDF' auf Heise Online

zur Übersicht

27.11.2017 - Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.5.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt drei Sicherheitslücken, wovon zwei als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Darüber hinaus haben die Entwickler ein paar Bugs im Umgang mit IMAP- und POP-Servern behoben, sowie ein Problem mit Such-Ordnern gelöst.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

24.11.2017 - Wieder Sicherheitslücken in Intel-Prozessoren!

Intel LogoErst im Mai dieses Jahres hatten wir zuletzt über Sicherheitslücken in Intels Management-Engine (Intel ME), die in allen aktuellen Intel Prozessoren steckt, berichtet, nun wurden in dieser Einheit neue Sicherheitslücken entdeckt. Offenbar ermöglichen die Lücken primär eine Rechteausweitung, was die Lücke nicht ganz so schlimm wie die Letzte macht, aber nichtsdestotrotz gefährlich ist.

Welche Prozessoren sind betroffen?

Während bei den im Mai gefundenen Lücken Prozessoren ab Jahrgang 2010 betroffen waren, finden sich diese neuen Lücken überwiegend in Intel Prozessoren der letzten 2 Jahre. Wir listen jetzt nicht alle betroffenen Prozessoren auf, sondern verweisen gleich auf das Prüfprogramm von Intel. Anwender, die einen Computer mit Intel Prozessor haben (oder nicht wissen welcher Prozessor in ihrem Computer steckt), sollten das Intel Prüfprogramm herunterladen und den PC damit testen.

Wie verwende ich das Intel Prüfprogramm (SA-00086)?

Öffnen Sie die heruntergeladene Datei 'SA00086_Windows.zip' und kopieren sie den Ordner 'DiscoveryTool.GUI' in (z.B.) den Ordner Downloads. Öffnen Sie nun den kopierten Ordner und starten das Programm 'Intel-SA-00086-GUI.exe'. Bestätigen Sie die Sicherheitsfrage von Windows. Ein neues Fenster öffnet sich und in der zweiten Zeile berichtet das Programm ob Sicherheitslücken auf dem System gefunden wurden oder nicht.

Was tun, wenn das Prüfprogramm Sicherheitslücken meldet?

Besitzer eines verwundbaren Systems sollten beim Computer- oder Mainboard-Hersteller nach einem BIOS- bzw. UEFI-Update suchen/anfragen. Viele Anbieter haben Stand heute bereits aktualisierte BIOS/UEFI Versionen bereitgestellt. Zum Einspielen des Updates beachten Sie bitte die Anleitungen des jeweiligen Herstellers.

Download: 'Intel Testtool für die ME-Schwachstelle (SA-00086)' auf Intel.com

Quelle: 'Intel stopft neue Sicherheitslücken der Management Engine (SA-00086) ' auf Heise Online

zur Übersicht

24.11.2017 - Kritische Sicherheitslücke in HP-Druckern!

HP LogoDass Drucker, die übers Internet oder E-Mail genutzt werden können, aus Sicherheitsperspektive keine gute Idee sind, beweist HP. In zahlreichen Druckern des Herstellers wurden Sicherheitslücken gefunden, die zur Infektion des gesamten Heimnetzwerkes führen können.

HP stellt für diese Drucker bereits Sicherheitsupdates zur Verfügung. Alle Besitzer von HP-Druckern sollten unbedingt in der verlinkten Liste nachsehen, ob Ihr Drucker betroffen ist und gegebenenfalls das passende Firmware-Update installieren. Die Updates selbst sind leider nicht in der Liste verknüpft, sondern müssen auf der HP-Homepage im Supportbereich des jeweiligen Druckers heruntergeladen werden. Da HP die Sicherheitsupdates auf den Download-Seiten nicht gesondert kennzeichnet, sollten sie nach dem Begriff „Firmware“ im Namen der Datei suchen, um wirklich das Sicherheitsupdate und nicht nur einen Treiber herunterzuladen.

Info: Liste der betroffenen HP-Drucker auf HP.com (Englisch)

Download: HP Support Website

Quelle: 'Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit' auf Heise Online

zur Übersicht

24.11.2017 - Vivaldi erweitert die Tab-Verwaltung!

Vivaldi LogoEinmal mehr beweist Vivaldi, dass man nicht den Internet-Gelegenheits-Anwender im Visier hat, sondern sich voll und ganz dem Vielsurfer verschrieben hat. Diese kennen das Problem, bei sehr vielen geöffneten Tabs geht die Übersicht verloren und es wird immer schwerer den richtigen Tab wiederzufinden. Vivaldi gibt dem Anwender nun dazu ein neues Panel zur Verfügung. Im Fenster-Panel werden alle Tabs vertikal aufgelistet. Dadurch steht mehr Platz für den Namen der Websites zur Verfügung und man gewinnt deutlich an Übersicht bei vielen geöffneten Tabs. Zudem werden dort auch die in dieser Sitzung geschlossenen Tabs aufgelistet.

Das Download-Panel stellt nun mehr Informationen über laufende Downloads zur Verfügung und ermöglicht diese zu pausieren und fortzusetzen. Darüber hinaus wurde wie üblich die Render-Engine aktualisiert. Mehr Details können die dem Heise Online Artikel (Deutsch) oder dem Vivaldi Blog (Englisch) entnehmen.

Download: Aktuelle Vivaldi Version

Quelle: 'Vivaldi-Browser mit neuer Tab-Verwaltung' auf Heise Online

Quelle: 'Vivaldi 1.13 adds Window Panel, improves Downloads and ...' auf Vivaldi.com (Englisch)

zur Übersicht

17.11.2017 – Sicherheitsupdate für Adobe Flash, Reader, Photoshop und weitere ...

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash LogoAdobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 27.0.0.187. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Reader LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2018.009.20044 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch mit Acrobat XI auskommen müssen, sollten auf Version 11.0.23 updaten. Dies ist zugleich die letzte Version aus der 11.x Reihe. Acrobat 11 Anwender sollten also unbedingt über ein Upgrade auf die Version 2017 nachdenken, um auch weiterhin sicher zu sein.

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB17-36 (Englisch)

Adobe Digital Editions:

In Adobes E-Book-Reader Software ‚Digital Editions‘ wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten dringend auf Version 4.5.7 updaten.

Download: Adobe Digital Editions v4.5.7 für Windows

Quelle: Adobe Digital Editions Security Bulletin APSB17-39 (Englisch)

Adobe Photoshop:

Adobe Photoshop LogoAuch Photoshop erhält diesen Monat ein Sicherheitsupdate. Geschlossen wurden darin mindestens zwei Sicherheitslücken, die zur Infektion des Computers über manipulierte Dateien genutzt werden können.

Photoshop CC 2017 trägt nach dem Update die Versionsnummer 18.1.2. Auch in der neuen Photoshop 2018er Version wurde der Fehler bereits behoben. Das Update ist über die eingebaute Update-Funktion erhältlich.

Info: Adobe Security Bulletin APSB17-38 (Englisch)

Adobe InDesign:

Auch InDesign erhält diesen Monat ein Sicherheitsupdate. Geschlossen wurden darin mindestens eine kritische Sicherheitslücke die zur Infektion des Computers über manipulierte Dateien genutzt werden können. Hier behebt das Upgrade auf Version 13 das Risiko. Ein reines Sicherheitsupdate für ältere InDesign Versionen steht leider nicht zur Verfügung. Das Upgrade auf Version 13 ist für alle CC Abonnenten über den Creative Cloud Client möglich.

Info: Adobe Security Bulletin APSB17-34 (Englisch)

Biohazard LogoVorsicht vor älteren Photoshop und InDesign Versionen!

Sämtliche Photoshop Versionen vor Version 18.1.2 (2017.1.2) sind unsicher und werden es für alle Zeiten bleiben! Dasselbe gilt für InDesign vor Version 13.0. Wer fremde Dateien mit einem dieser Programme öffnet, kann den PC jederzeit mit Schadsoftware infizieren.

Adobe DNG Converter:

Adobe‘s Konverter für digitale Negative enthielt ebenfalls eine Sicherheitslücke, die genutzt werden kann, um den PC mit Schadsoftware zu infizieren. Dieses Problem wurde mit Version 10.0 des DNG Konverters behoben.

Quelle: Adobe Security Bulletin APSB17-37 (Englisch)

Download: Adobe DNG Konverter 10.0 für Windows

Shockwave :

Auch das Shockwave Plugin, sozusagen der "große Bruder" des Flash Plugins, hat einmal mehr ein Sicherheitsupdate erhalten. Die neue Ausgabe trägt die Versionsnummer 12.3.1.201. Den meisten Anwendern raten wir zur Deinstallation der Software, da Shockwave kaum noch benötigt wird. Wer Shockwave tatsächlich benötigt, sollte das Update aber unbedingt einspielen.

Adobe Connect:

Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.

Quelle: Adobe Connect Security Bulletin APSB17-35 (Englisch)

Adobe Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Auch dieses wurde als wichtig eingestuft. Details findet man im Adobe Security Bulletin APSB17-26.

Quelle: Adobe Security Bulletin APSB17-41 (Englisch)

zur Übersicht

17.11.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. sieben Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

17.11.2017 – LibreOffice 5.4.3 veröffentlicht

LibreOffice LogoWie letzte Woche angekündigt, steht nun auch eine Ausgabe aus der 5.4er Reihe parat, in der der „Flackerbug“ behoben wurde.

Was bringt nun also LibreOffice 5.4.3 gegenüber der 5.3er Reihe, deren Support Ende des Monats ausläuft, neues? Da hätten wir vor allem PivotTabellen in Calc, besseren Dokumentenaustausch mit Microsoft Office, AutoText aus Word-Vorlagen, Wasserzeichen-Generator und erweiterte Kontextmenüs. Einen etwas detaillierteren Überblick über die neuen Funktionen finden sich in dem verlinkten Heise Online Artikel. Wer noch mehr Details über die Neuerungen erfahren möchte, sollte sich dagegen die umfangreiche Liste der Neuerungen der LibreOffice-Entwickler selbst anschauen.

Hinweis:
Nach wie vor sollte für zügiges arbeiten die OpenGL Anzeige deaktiviert werden. Dazu klickt man auf EXTRAS → OPTIONEN. Im Optionen-Fenster wählt man in der linken Spalte ANSICHT und entfernt dann rechts den Haken bei "OpenGL für das rendern verwenden" falls es gesetzt ist. Der daraufhin folgenden Aufforderung LibreOffice neu zu starten sollte man nachkommen.

Quelle: 'LibreOffice 5.4 unterstützt Pivot-Charts und OpenPGP' auf Heise Online

Quelle: Liste der Neuerungen in LibreOffice 5.4

Download: Aktuelle LibreOffice Versionen (5.3 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (5.4 Serie)

zur Übersicht

17.11.2017 – Neue Firefox Version komplett runderneuert!

Firefox LogoDie Mozilla Entwickler waren fleißig und haben nun Firefox 57 alias ‚Firefox Quantum‘ veröffentlicht. Laut eigener Marketingaussagen soll dies das größte Firefox Upgrade aller Zeiten sein. Tatsächlich wurde Firefox von Grund auf generalüberholt. Sowohl die Renderengine als auch die Oberfläche wurden zu weiten Teilen komplett neu programmiert. Ergebnis soll ein Firefox sein, der in Sachen Geschwindigkeit zur Konkurrenz aufschließen soll. Laut ersten unabhängigen Tests wurde das Ziel eindeutig erreicht.

Mozilla hofft, mit Quantum Anwender zu Firefox zurückzuholen, die zwischenzeitlich zur ehemals schnelleren Konkurrenz abgewandert sind. Wir hoffen, dass der Plan aufgeht, denn die immer größere Verbreitung von Google Chrome ist definitiv nicht gut für ein offenes Internet.

Einziger Haken am neuen Firefox ist, dass die alten Erweiterungen nicht mehr kompatibel sind. Nur Erweiterungen die bereits für den neuen Standard „WebExtensions“ programmiert sind funktionieren mit Firefox 57. Wer unbedingt bestimmte Erweiterungen benötigt, die noch nicht an Firefox 57 angepasst sind, muss vorerst auf die ESR Version von Firefox umsteigen, wo die alten XUL bzw. XPCOM Erweiterungen noch funktionieren. Diese Version 52 ESR wird noch bis Juni 2018 gepflegt, danach ist mit den alten Erweiterungen endgültig Schluss.

Firefox 57.0:

Version 57.0 behebt 15 Sicherheitslücken in Firefox, wovon drei als kritisch eingestuft wurden. Anwender die noch eine ältere Firefox Version verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.5:

Die Firefox ESR Ausgabe 52.5 schließt drei Sicherheitslücken, wovon zwei als kritisch eingestuft wurden.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Firefox Quantum ist da: "Größtes Update aller Zeiten"' auf Heise Online

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

07.11.2017 - KRACK - Der aktuelle Stand der Dinge

WLAN Lücke LogoDas Thema KRACK, also der Sicherheitslücke in WPA2, wird langsam transparenter. Die beste Nachricht überhaupt ist, dass die Lücke in Windows wohl tatsächlich bereits beim letzten Tag der Updates behoben wurde. Erste Befürchtungen, dass auch die WLAN-Treiber Sicherheitsupdates benötigen, scheinen unbegründet gewesen zu sein. Anwender von Windows 7 oder neuer sind, vorausgesetzt alle Upates wurden installiert, also nicht von KRACK bedroht.

Bei Apple ist KRACK in iOS 11.1 und macOS 10.13.1 behoben. WatchOS wird mit Version 4.1 und tvOS durch Version 11.1 abgesichert. Ältere Versionen bekommen wohl keine Sicherheitsupdates gegen KRACK mehr, was viele ältere iPhones und iPads zu Sondermüll macht oder halt einfach zu unsicheren Geräten.

Die meisten Desktop-Linux Distributionen sollten mittlerweile Patches ausgeliefert haben, natürlich ebenfalls nur für noch unterstützte Versionen.

Android Geräte sollten gegen KRACK geschützt sein, wenn sie die Android-Sicherheitspatch-Ebene 2017.11.06 oder neuer haben. Alle Android Geräte mit kleinerem Datum sind für KRACK anfällig, sofern der Hersteller nicht separate Patches dafür eingepflegt hat. Beim alternativen Android System ‚Lineage‘ wurde der Fehler schon ein wenig früher behoben. Der Einfachheit halber verweisen wir aber auch hier auf das Datum 2017.11.06.

Auch die Entwickler des freien Router-Betriebssystems DD-WRT haben bereits Patches gegen KRACK (bzw. den Fehler in der WPA-Supplicant Komponente) eingebaut. Besitzer eines Routers mit DD-WRT Betriebssystem sollten ebenfalls auf eine aktuelle Version updaten. Bei den anderen freien Router Betriebssystemen lohnt sich sicher auch eine Suche nach Updates. Gleiches gilt natürlich auch für die originale Firmware zahlreicher Router-Hersteller, auch hier kann man mit zahlreichen Updates bei allen möglichen Herstellern rechnen.

Fazit: Während man mit aktuellen Desktop-Betriebssystemen keine all zu großen Sorgen haben muss, sofern alle Updates installiert wurden, stellen vor allem alte Smartphones ein eklatantes Datenschutzrisiko dar. Gerade billige Android Smartphones bekommen meist niemals Updates und sind damit in vielerlei Hinsicht extrem unsichere Geräte. Aber selbst High-End Smartphones wie Samsung Galaxy S oder iPhones bekommen meist nur ein paar Jahre lang Updates. So bekommen z.B. sämtliche iPhone 5 und älter keine Updates mehr. Noch schlimmer ist die Situation bei IoT Geräten wie Überwachungskameras und dergleichen, da man hier bei vielen Anbietern überhaupt keine Informationen zum Sicherheitsstand erhält.

Info: 20.10.2017 - KRACK - Massive Schwachstelle in WLAN Standard

zur Übersicht

07.11.2017 - LibreOffice 5.3.7 löst Flackerproblem!

LibreOffice LogoDie LibreOffice Entwickler haben in Version 5.3.7 nun endlich den Fehler korrigiert, der mit Version 4.3.2 eingeführt wurde und zu flackernden Menüs geführt hatte. Warum es Monate gedauert hat, um einen einzigen Befehl im Quellcode zurückzunehmen, ist uns ein Rätsel, zumal die LibreOffice Entwickler sonst wirklich vorbildlich auf Fehlerberichte reagieren.

Damit steht LibreOffice Anwendern nun endlich wieder eine funktionierende LibreOffice Version mit Support zur Verfügung, wenn auch nur kurz, denn die Unterstützung von LibreOffice 5.3.7 endet bereits Ende November. Bis dahin steht aber dann LibreOffice 5.4.3 bereit, in der das Flacker-Problem ebenfalls gelöst sein dürfte.

Die Sache mit OpenGL:
Eine kleine Unannehmlichkeit bleibt in den neuen LibreOffice Versionen aber bestehen, sie verwenden nun standardmäßig OpenGL für die Darstellung der Benutzeroberfläche. Das war eine erste Maßnahme gegen das Flacker-Problem, welches nun aber unnötig wurde. Da die OpenGL Darstellung deutlich träger reagiert, sollte man wieder auf die klassische Darstellung zurückschalten. Dazu klickt man in LibreOffice auf EXTRAS → OPTIONEN. Im Optionen-Fenster klickt man in der linken Spalte auf ANSICHT und entfernt dann rechts den Haken bei "OpenGL für das rendern verwenden" falls es gesetzt ist. Der daraufhin folgenden Aufforderung LibreOffice neu zu starten sollte man nachkommen. Im Anschluss sollte die "Hardwarebeschleunigung" aktiv sein was man im Optionen-Fenster unter Ansicht auch jederzeit prüfen kann.

Download: LibreOffice Version 5.3.7 für Windows

zur Übersicht

07.11.2017 - Neues von Windows 10!

Microsoft Windows 10 LogoSeit einiger Zeit liefert Microsoft die neue Windows 10 Version 1709 aus. All zu viele spannende Neuerungen gibt es darin nicht, weshalb wir Neugierige hier einfach auf den entsprechenden Artikel von Heise Online verweisen. Die gute Nachricht ist aber, immerhin haben wir bisher noch keine neuen Fehler entdecken konnten, alle Upgrades die wir bisher durchgeführt haben, liefen problemlos.

Bald keine kostenlosen Windows 10 Upgrades mehr?
Dafür könnte es nun bald wirklich Schluss sein mit dem kostenlosen Windows 10 Upgrades. Zumindest das kostenlose Upgrade auf Windows 10 für Benutzer, die auf Assistenzsysteme angewiesen sind, endet zum 31.12.2017. Das Upgrade für alle ist ja bereits seit Mitte 2016 offiziell nicht mehr möglich. Inoffiziell ist es aber nach wie vor für alle Anwender mit mindestens Windows 7 noch möglich auf Windows 10 upzugraden. Ob das eben im neuen Jahr immer noch funktionieren wird, steht nun in den Sternen. Microsoft hat sich diesbezüglich auch auf Nachfrage von Heise Online keine Stellungnahme entlocken lassen.

Anwender, die aktuell noch Windows 7 oder 8.1 verwenden, sollten also vielleicht überlegen dieses Jahr noch auf Windows 10 upzugraden. Wenn das Upgrade auf einem PC einmal vollzogen wurde, kann man auch problemlos wieder zur alten Windows Version zurückkehren und behält dennoch die Windows 10 Lizenz für diesen Computer, sodass man später jederzeit wieder Windows 10 installieren kann.

Info: 'Windows 10: Microsoft veröffentlicht das "Fall Creators Update"' auf Heise Online

Quelle: 'Gratis-Upgrade auf Windows 10 für Nutzer von "Hilfstechniken" endet Ende des Jahres' auf Heise Online

zur Übersicht

07.11.2017 - Audacity 2.2 - Facelift aber weiterhin unsicher!

Audacity LogoDie Audacity Programmierer haben kürzlich Version 2.2 des beliebten Audio Editors veröffentlicht. Auffälligste Neuerung ist ein moderates Facelift der Programmoberfläche. Zudem kann man nun verschiedene Designs für die Oberfläche auswählen. Neben dem standardmäßig aktiven Theme ‚Leicht‘ steht ein dunkles Design, eines mit hohem Kontrast und das klassische Design der früheren Versionen zur Verfügung. Das Theme „Eigenes“ kann von bastel-willigen Anwendern selbst gestaltet werden. Trotz Facelift gewinnt Audacity sicher keinen Preis fürs Design, funktional gibt es aber nichts zu bemängeln.

Auch die Menüs wurden umsortiert um alles logischer zu gestalten. Altgewohnte Audacity Anwender werden aber anfangs erst mal etwas suchen müssen, um die umsortierten und teils auch umbenannten Menüeinträge wieder zu finden.

Abgesehen von den Renovierungsarbeiten an der Oberfläche sollen auch noch zahlreiche andere Fehler behoben worden sein. In Summe wurden 198 gemeldete Fehler behoben bzw. gewünschte Korrekturen angebracht.

Keine Sicherheitskorrekturen!
Leider haben sich die Audacity Entwickler des Themas Sicherheit einmal mehr nicht angenommen. Audacity ist weiterhin für DLL-Hijacking anfällig und das optional erhältliche FFmpeg-Plugin, das benötigt wird um gängige Audio-Dateien bearbeiten zu können, ist völlig veraltete und sorgt für zahlreiche weitere Infektionsmöglichkeiten. Dateien aus dem Internet oder von Fremden sollte man deshalb mit Audacity keinesfalls öffnen, ohne es zuvor in einem sicheren Programm konvertiert zu haben. Zudem sollte man die Audacity Projektedateien (*.aup) mit Notepad verknüpfen, um sich gegen das DLL-Hijacking abzusichern.

Download: Aktuelle Audacity Version

Info: Neue Funktionen in Audacity 2.2.0 (Englisch)

Info: Vollständige Release Notes für Audacity 2.2.0 (Englisch)

zur Übersicht

20.10.2017 – Sicherheitsupdates für Adobe Flash!

Adobe Flash LogoAdobe hat uns am vergangenen Tag der Updates überrascht, als es keinerlei Updates veröffentlicht hat, obwohl man ja eigentlich jeden Monat fest mit Sicherheitsupdates für zumindest Flash rechnet. Möglicherweise ist Adobe aber einfach nicht rechtzeitig fertig geworden mit dem Update, denn wenige Tage später steht ein Flash Update bereit und das hat es auch noch in sich, weil die Schwachstelle, die mit dem Update geschlossen wird, bereits aktiv zur Infektion von Computern ausgenutzt wird.

Die neueste Version des Flash-Plugins trägt die Nummer 27.0.0.170. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

20.10.2017 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle Java LogoEine Woche nach Microsoft bringt nun auch Oracle Sicherheitsupdates für etliche seiner Programme. Das wichtigste dabei ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist. Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - Oktober 2017‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Oracle hat Version 8.0 Update 151 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stolze 16 Sicherheitslücken geschlossen. In Summe haben die Lücken die höchste Gefahrenstufe vom Sicherheitsforscher Secunia zugewiesen bekommen, Anwender sollten also rasch updaten.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurück setzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

Quelle: 'Oracle Critical Patch Update Advisory - Oktober 2017' auf Oracle.com (Englisch)

zur Übersicht

20.10.2017 - KRACK - Massive Schwachstelle in WLAN Standard

KRACK LogoBelgische Sicherheitsforscher haben eine massive Sicherheitslücke im WLAN Standard WPA2 entdeckt. Angreifer können den Datenstrom zwischen zwei WLAN Geräten mitlesen, sofern sie sich in ausreichender Nähe zu beiden Geräten befinden. Somit können alle Informationen die über das WLAN versendet werden mitgelesen werden, sofern diese Übertragungen nicht noch einmal separat verschlüsselt sind, wie es z.B. bei HTTPS gesicherten Webseiten oder VPN-Tunneln üblich ist.

KRACK - Was geht!
Angreifer können die Kommunikation zwischen WLAN Geräten auslesen und manipulieren, sofern diese nicht noch einmal verschlüsselt ist. Durch das Auslesen der Daten könnten sensible Daten in fremde Hände fallen. Durch die Manipulation des Datenstroms könnten z.B. Viren eingeschleust werden.

KRACK - Was nicht geht!
Die KRACK Schwachstelle ermöglicht es Angreifern NICHT sich selbst in das WLAN einzuklinken. Daten, die sich auf den WLAN-Geräten befinden, können darüber also nicht ausgelesen oder manipuliert werden.

Welche WLAN Geräte sind betroffen?
Die schlechte Nachricht lautet mehr oder weniger ALLE, also sowohl PCs, Notebooks, Smartphones, Smart-Uhren und natürlich sämtliche IoT-Geräte. Während PCs und Notebooks relativ rasch mit Sicherheitsupdates versorgt werden dürften, sieht die Sache bei den SMART-Geräten ziemlich düster aus. Die allermeisten Android-Smartphones und Tabletts dürften wohl keine Updates mehr bekommen und sind dadurch gleich doppelt gefährdet, weil im Linux Programm WPA_Suplicant, das eben auch von Android verwendet wird, noch eine weitere kritische Lücke enthalten ist. Und von der grauenhaften Lage bei den IoT Geräten (Sicherheitskameras, Fernseher, Staubsauger usw…) haben wir schon zu oft berichten müssen, auch hier sehen wir schwarz. Während es vielleicht nicht so schlimm ist, wenn Angreifer die Daten des Staubsaugers mitlesen können, sind die Bilder der Überwachungskamera ein ganz anderer Fall.

Was ist mit den Routern?
Es wäre natürlich schön gewesen, wenn man das Problem mit einem Update am WLAN-Router beheben könnte, aber das ist leider nicht möglich, da das Problem bei den Empfängern (Clients) liegt. Router, dessen WLAN ausschließlich als Access-Point (also als WLAN-“Server“) fungiert brauchen keine Updates. Router, die so konfiguriert wurden, dass sie das WLAN-Netz eines anderen Routers/Access-Point „verstärken“ sind sehr wohl betroffen und daher sollten hier nach Updates Ausschau gehalten werden.

Was ist mit Range-Extendern?
Range Extender sind Geräte die sowohl Sender (Access-Point) als auch Client sind. Sie sind daher ebenfalls anfällig und sollten Updates erhalten.

Und Powerline/WLAN Adapter?
WLAN-Adapter fürs Stromnetz (Powerline/WLAN-Adapter) sind in der Regel nicht betroffen, da sie mist nur als Access-Point fungieren. Es gibt aber auch Geräte, die als WLAN-Powerline Bridge konfiguriert werden können, was sie zu ebenfalls verwundbaren Clients macht. Deshalb bieten erste Hersteller bereits Updates für Powerline-WLAN-Adapter.

Ausweg WPA1?
Findige Nutzer könnten jetzt auf die Idee kommen, statt WPA2 das ältere WPA(1) in ihren Routern einzustellen. Zwar können wir nicht mit Sicherheit sagen, ob die KRACK Attacke nicht auch bei WPA(1) funktioniert, aber es ist unbestritten, dass WPA(1) generell schon länger nicht mehr als Sicher gilt.

Fazit!
Die KRACK Schwachstelle ist echt übel. Sie wird zwar nicht zu massenhaft infizierten Computern führen, aber anders als z.B. Windows-Schwachstellen, die meist extrem rasch geschlossen werden, wird uns dieses Problem über Jahre, wenn nicht Jahrzehnte begleiten. Welche Anwender werfen schon Geräte weg, die in ihren Augen funktionieren! Dass es keine einfache Möglichkeit für den Endanwender gibt seine Geräte auf den Fehler hin zu überprüfen, macht es nicht einfacher. Daher können wir nur hoffen, dass es bald WPA3 oder WPA2+ gibt, um sichere Geräte anhand der Kennzeichnung eindeutig zu erkennen. Bis dahin werden aber jeden Tag Millionen von unsicheren Geräten über die Ladentheken wandern.

Quelle: 'KRACK: So funktioniert der Angriff auf WPA2' auf Heise Security

Quelle: 'KRACK: Hersteller-Updates und Stellungnahmen' auf Heise Security

zur Übersicht

12.10.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Microsoft beerdigt Office 2007 und Windows 10 Version 1511!

Office 2007 LogoWie schon oft erwähnt, ist nun auch Office 2007 aus dem Support rausgefallen. Das 10 Jahre alte Office Paket sollte daher nicht länger auf Computern eingesetzt werden die mit dem Internet verbunden sind, oder mit Dateien aus dem Internet in Berührung kommen.
Ebenfalls beendet ist der Support für die zweite Version von Windows 10 (1511). Anwender dieser Version sollten nun rasch auf Windows 10 1607 oder 1703 aktualisieren.

Kein Support mehr!

Windows Vista LogoWie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. sechs Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

12.10.2017 – Microsoft stellt Windows 10 Mobile Entwicklung ein!

Windows 10 LogoNur wenige Tage nachdem HP angekündigt hat, sein Windows 10 Mobile Flaggschiff „Elite X3“ nicht länger zu produzieren, macht Microsoft endlich offiziell, was sich leider bereits lange angedeutet hat – der Software Konzern stellt die Weiterentwicklung von Windows 10 Mobile ein!

Laut Microsoft Manager Joe Belfiore hat Microsoft es nicht geschafft ausreichend Entwickler für Apps zu finden, obwohl man alles versucht habe einschließlich finanziellem Anreiz und weitreichender technischer Unterstützung. Es scheint, als können nicht einmal ein so großer Konzern wie Microsoft aus dem Teufelskreis ausbrechen. Kunden kaufen keine Geräte mit Windows 10 Mobile (früher Windows Phone) weil es zu wenige Apps gibt, und es gibt zu wenige Apps weil es zu wenige Kunden gibt.

Dabei wäre Windows Phone bzw. Windows 10 Mobile seiner Konkurrenz in einigen Punkten deutlich überlegen gewesen. Bedienung und Sicherheit sind deutlich besser als bei Android Geräten und gegenüber Apple konnte man ebenfalls mit einfacherer Bedienung und über den Preis punkten.

Leider ist das jetzt alles Schnee von gestern. Zwar gibt es immer noch günstige Geräte bei den Händlern, aber mangels neuen Versionen wird voraussichtlich auch der Support auf absehbare Zeit enden. Die älteste Version von Windows 10 Mobile wird nur noch bis Jänner 2018 unterstützt. Geräte mit der neuesten Version erhalten voraussichtlich wenigstens bis Juni 2019 Sicherheitsupdates.

Quelle: 'Microsoft-Manager: Keine neuen Funktionen mehr für Windows-Phones' auf Heise Online

Quelle: 'Windows 10 Mobile Lifecycle Policy' auf Microsoft.com (Englisch)

zur Übersicht

12.10.2017 – Kaspersky bietet kostenlosen Virenschutz an!

Kaspersky Lab LogoKaspersky begibt sich unter die Anbieter kostenloser Virenschutz-Lösungen – und wie! Im Gegensatz zur Konkurrenz belästigt Kaspersky die Anwender der Gratis-Version nicht mit Werbung und auch der Aktualisierungs-Intervall ist nicht reduziert gegenüber den kostenpflichtigen Varianten. Wir konnten gegenüber der günstigsten Bezahlversion – Kaspersky Anti-Virus, nur 2 Einschränkungen feststellen: Es gibt keinen Aktivitätsmonitor. Diese Funktion soll Daten aktiv vor Verschlüsselungstrojanern schützen und auch die Fernverwaltung durch MyKaspersky ist in Kaspersky Free nicht verfügbar.

Damit ist Kaspersky Free auf jeden Fall ganz klar der beste kostenlose Virenschutz und abgesehen von dem theoretisch etwas schlechteren Schutz gegenüber Verschlüsselungstrojanern Kaspersky Anti-Virus praktisch ebenbürtig. Die teureren Versionen wie Kaspersky Internet Security bringen dann natürlich noch weitere Schutzfunktionen mit, die Kaspersky Free nicht bietet.

Quelle: 'Kaspersky Free: Kostenloser Antiviren-Schutz ab sofort verfügbar' auf Heise Online

Download: Aktuelle Kaspersky Free Version

zur Übersicht

12.10.2017 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.4.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt neun Sicherheitslücken, wovon eine als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

12.10.2017 – Firefox Sicherheitsupdates!

Mozilla Firefox LogoDie Mozilla Entwickler waren fleißig und haben etliche Sicherheitslücken in den beiden neuen Firefox Versionen behoben.

Firefox 56.0:

Version 56.0 behebt 18 Sicherheitslücken in Firefox, wovon eine als kritisch eingestuft wurden. Anwender die noch eine Firefox Version vor 55.0 verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.4:

Die Firefox ESR Ausgabe 52.4 beinhaltet alle Sicherheitskorrekturen aus Firefox 56, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

12.10.2017 – Wieder Sicherheitslücke in Nvidia Treibern!

Nvidia LogoErst Ende April dieses Jahres haben wir über Sicherheitslücken in den Nvidia Grafiktreibern berichtet, jetzt musste der Grafikchip-Hersteller erneut nachbessern.

Die Version 385.69 der Treiber für Gforce, NVS und Quadro Serien behebt das Problem. Anwender mit Nvidia Grafik sollten bei Gelegenheit updaten und dabei nach Möglichkeit die „Geforce Experience“ deinstallieren/weglassen.

Quelle: 'Sicherheitsupdates: Lücke in GPU-Treiber von Nvidia könnte Angreifer zu Admins machen' auf Heise Online

Download: 'Aktuelle NVIDIA Treiber' auf NVIDIA.de

zur Übersicht

Newsletter:


Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen:

Newsletter beantragen

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C