News

Schlagzeilen * Details * Newsletter

Schlagzeilen:


zur Übersicht

Details:



16.03.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 122.0.6261.129 behebt drei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.

Der 122er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome: Lücke erlaubte Codeschmuggel' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.133 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.6 Update 2 (6.6.3271.50) updaten, falls nicht bereits durch das automatische Update erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (2) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 122.0.2365.92 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

16.03.2024 – Sicherheitsupdate für zahlreiche Adobe Programme

Adobe LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Premiere Pro

Im Video-Schnitt-Programm Premiere Pro hat Adobe zwei kritische Sicherheitslücken behoben. Anwender von Premiere Pro sollten zügig auf Version 23.6.4 (2023) oder 24.2.1 (2024) updaten.

Quelle: Adobe Security Bulletin APSB24-12 (Englisch)

Adobe Bridge

In Adobe Bridge wurden 4 Sicherheitslücken behoben, wovon drei kritisch sind. Das Update auf die abgesicherte Version 13.0.6 (2023) oder 14.0.2 (2024) sollte daher zügig installiert werden.

Quelle: 'Adobe Security Bulletin APSB24-15' auf Adobe.com (Englisch)

Adobe Lightroom:

Adobe's Lightroom (NICHT Lightroom Classic!) erhält ein Update gegen eine als "kritisch" eingestufte Sicherheitslücke. Dies betrifft jedoch nur die macOS-Version, die Windows-Ausgabe scheint nicht betroffen zu sein. Die abgesicherte Ausgabe trägt die Versionsnummer 7.2. Alle Anwender von Lightroom (macOS) sollten die neue Version bei nächster Gelegenheit installieren.

Info: Adobe Security Bulletin APSB24-17 (Englisch)

Adobe Animate:

Das ehemals Flash genannte Web-Animationsprogramm enthielt vier Sicherheitslücken wovon eine als "kritisch" eingestuft wurde. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.4 (2023) oder 24.0.1 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.

Info: Adobe Security Bulletin APSB24-19 (Englisch)

Adobe ColdFusion:

Nutzer von Adobe ColdFusion 2021 und 2023 sollten unbedingt rasch auf ColdFusion ColdFusion 2021 Update 13 bzw. ColdFusion 2023 Update 7 aktualisieren, um Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2018 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.

Quelle: 'Adobe Security Bulletin APSB24-14' auf Adobe.com (Englisch)

Adobe Experience Manager

Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine ellenlange Liste an "wichtigen" Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.

Quelle: Adobe Security Bulletin APSB24-05 (Englisch)

zur Übersicht

16.03.2024 – Microsoft's Tag der Updates

Micosoft LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

zur Übersicht

16.03.2024 – Sicherheitsupdates für HP Computer

HP LogoHP hat begonnen für zahlreiche Computer-Systeme BIOS-Updates zu veröffentlichen, die Sicherheitslücken schließen. Betroffen sind Modelle aus dem Business-Portfolio von HP, eine ausführliche Liste der betroffenen Modelle listet der Hersteller in seinem Sicherheitsbericht auf.

Besitzer und Administratoren sollten prüfen, ob für verwendete HP Computer BIOS-Updates bereitstehen und diese installieren. Privat-Anwender verwenden dafür am einfachsten den HP Support Assistant.

Quelle: 'HP: Viele Laptops und PCs von Codeschmuggel-Lücke betroffen' auf Heise Online

Quelle: 'HP Sicherheitsmeldung HPSBHF03924' auf hp.com (Englisch)

zur Übersicht

16.03.2024 – Qnap: Rasch Sicherheitsupdates installieren!

QNAP LogoQnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS-, QuTS-hero- oder und QuTScloud-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!

Quelle: 'Qnap hat teils kritische Lücken in seinen Betriebssystemen geschlossen' auf Heise Online

zur Übersicht

14.03.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'ArubaOS: Sicherheitslücken erlauben Befehlsschmuggel' auf Heise Online

Quelle: 'SAP schließt zehn Sicherheitslücken am März-Patchday' auf Heise Online

Quelle: 'Synology: Update schließt "wichtige" Lücken in Synology Router Manager' auf Heise Online

Quelle: 'GitLab fixt PostgreSQL-Lücke nicht: Angreifer können Admin-Rechte erlangen' auf Heise Online

Quelle: 'Fortinet-Patchday: Updates gegen kritische Schwachstellen' auf Heise Online

Quelle: 'Cisco schließt hochriskante Lücken in IOS XR' auf Heise Online

zur Übersicht

08.03.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 122.0.6261.112 behebt drei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.

Der 122er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome: Update dichtet drei hochriskante Sicherheitslecks ab' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.116 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.6 Update 1 (6.6.3271.48) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler, wie z.B. nicht funktionierende Downloads.

Download: Aktuelle Vivaldi Version

Info: 'Minor update for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 122.0.2365.80 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

08.03.2024 – Sicherheitsupdate für VMware Workstation (Player & Pro)

VMware LogoIn der Desktop-Virtualisierungslösung VMware Workstation wurden mehrere Sicherheitslücken behoben. Anwender des Programms (egal ob Player oder Pro) sollten daher ein Update auf Version 17.5.1 durchführen.

Quelle: 'VMware schließt Schlupflöcher für Ausbruch aus virtueller Maschine' auf Heise Online

zur Übersicht

08.03.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Jetzt patchen! Deutschland führt Liste mit verwundbaren TeamCity-Systemen an' auf Heise Online

Quelle: 'Jetzt updaten: Kritische Admin-Sicherheitslücken bedrohen TeamCity' auf Heise Online

Quelle: 'Aruba: Codeschmuggel durch Sicherheitslücken im Clearpass Manager möglich' auf Heise Online

Quelle: 'Solarwinds: Schadcode-Lücke in Security Event Manager' auf Heise Online

Quelle: 'Angreifer können Systeme mit Dell-Software kompromittieren' auf Heise Online

Quelle: 'Sicherheitslücken: Angreifer können Systeme mit IBM-Software attackieren' auf Heise Online

Quelle: 'Cisco: Angreifer können sich zum Root-Nutzer unter Linux machen' auf Heise Online

Quelle: 'VMware schließt Schlupflöcher für Ausbruch aus virtueller Maschine' auf Heise Online

zur Übersicht

01.03.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 122.0.6261.95. Zwei der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, über die anderen beiden Lücken hüllt Google einmal mehr den Mantel des Schweigens.

Die 122er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome: Sicherheitsupdate bessert vier Schwachstellen aus' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi-Entwickler haben wie erwartet diese Woche ebenfalls auf den 122er Chromium Unterbau umgestellt und schließen damit alle aktuellen Sicherheitslücken. Abgesehen von den Sicherheitskorrekturen haben die Vivaldi Entwickler weiter an den Funktionen zum Übersetzen sowie für E-Mails gearbeitet. Da die Neuerungen überschaubar sind ersparen wir uns einen eigenen Artikel zur neuen Vivaldi-Version.

Download: Aktuelle Vivaldi Version

Info: 'Vivaldi verbessert Mail Suche und Übersetzung, erweitert Web Panels mit Erweiterungsunterstützung' auf Vivaldi.com

Microsoft Edge LogoMicrosoft Edge:

Auch die Microsoft Edge Entwickler lassen diese Woche den auf Chromium 122 basierenden Edge vom Stapel und schließen alle aktuellen Sicherheitslücken. Genauer gesagt wurden sogar noch ein paar Lücken mehr als bei Google geschlossen, denn auch im eigenen Code hatte Microsoft ein paar Probleme entdeckt und behoben. Wer Microsoft Edge nutzt, sollte daher zügig auf die 122er-Version updaten.

Quelle: 'Webbrowser: Microsoft Edge-Update schließt Sicherheitslücken' auf Heise Online

zur Übersicht

01.03.2024 – Microsoft macht jetzt ungefragt Outlook-"Updates"!

Micrsooft Outlook LogoDas Drama rund um das Datenschutz-Desaster "neues Outlook" verschärft sich zunehmend. Denn Microsoft beginnt jetzt damit ungefragt Updates von "Windows 10 Mail" zum "neuen Outlook" durchzuführen. Noch kann man das zwar rückgängig machen, aber sobald das Postfach einmal migriert wurde ist das Kind Datenschutztechnisch bereits in den Brunnen gefallen, sprich Microsoft hat dann bereits die Zugangsdaten in seine Cloud übertragen.

Wir können daher nur allen Nutzern, die "Windows 10 Mail" (bzw. das Windows 11 Pendant dazu) verwenden, raten schnellstmöglich auf andere E-Mail-Programme umzusteigen. Zumindest wenn man nicht ohnehin ein Microsoft Postfach verwendet, in dem Fall hat Microsoft die Zugangsdaten ja sowieso in der Hand und das "neue Outlook" verschlimmert die Lage nicht. Damit Microsoft auch wirklich keine geheimen Daten abfragt, muss man die Postfächer aus der alten App aber auch wirklich löschen, sonst ist der ganze Wechsel nutzlos. Alternativ kann man auch das Passwort der Postfächer nach dem Umzug ändern, dann werden die von Microsoft "gestohlenen" Passwörter nutzlos. Die Passwörter für E-Mail-Postfächer regelmäßig zu ändern empfiehlt sich sowieso.

Quelle: 'Microsoft macht Ernst: Mail und Kalender werden durch neues Outlook ersetzt' auf Heise Online

zur Übersicht

01.03.2024 – Microsoft will Windows 11 auf Domänen-Computern durchdrücken!

Microsoft Windows LogoAls würde Microsoft Kunden und Administratoren mit dem "neuen Outlook" nicht schon genug Ärger aufhalsen, will der Konzern jetzt auch noch Windows 11 mit allen Mitteln auf Domänen-Rechner bekommen. Dort hat Microsoft mit Windows 11 bisher einen besonders schweren Stand, denn kaum ein Unternehmen will freiwillig auf Windows 11 umsteigen bevor es unbedingt sein muss. Und weil das Microsoft nicht schnell genug geht, hat man kurzerhand angekündigt Windows 11 ab April auch auf Domänen-Rechnern "anzubieten". Das heißt die Administratoren werden umgangen und die Benutzer der jeweiligen Rechner können selbst mal eben so den Computer auf Windows 11 upgraden, mit all den teils fatalen Folgen die das haben kann.

Weil der Aufschrei unter Administratoren entsprechend massiv gewesen sein dürfte, hat man dann ganz schnell und heimlich ein bisschen am Wortlaut der Meldung gefeilt, und darauf hingewiesen, dass Computer die per WSUS mit Updates versorgt werden, nicht zum Upgrade auffordern werden. Das dürfte für viele Firmen allerdings ein schwacher Trost sein, denn seit Corona und dem massiv gestiegenen Anteil an HomeOffice, ist eine Verteilung der Windows Updates per stationärem WSUS-Server kaum mehr vertretbar.

Es bleibt noch zu hoffen das Microsoft selbst ein Einsehen hat, das das so nicht funktionieren kann und von dem Plan wieder Abstand nimmt. Andernfalls wäre die letzte Hoffnung, dass findige Programmierer einen anderen Weg finden, um Anwender von einem unerwünschten Windows-Upgrade abzuhalten. Aufgrund der Tragweite dieses potenziellen Desasters ist hier sicher noch nicht das letzte Wort gesprochen.

Quelle: 'Windows-10-Rechner bekommen Umstiegshinweise auf Windows 11 – in der Domäne' auf Heise Online

Quelle: 'Microsoft rudert etwas zurück: WSUS macht Rechner "verwaltet"' auf Heise Online

zur Übersicht

01.03.2024 – Wieder Sicherheitsprobleme mit Nvidia Treibern & Software

Nvidia LogoNvidia hat wieder einige Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. In den Grafikkartentreibern für "echte" Grafikkarten wurden in Summe 6 Lücken gefunden die teils hohe Bedrohungsstufen haben. In den "virtuellen" Grafikkarten (VGPU) wurden 2 Sicherheitslücken behoben, wovon eine ebenfalls als hohe Gefahr eingestuft wurde.

Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 551.61 oder 474.82 bei den GameReady-Treibern bzw. Version 551.61 bei den Studio-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 474.82, 538.33 oder 551.61) bereit.

Quelle: 'Sicherheitsupdate: Nividia-Grafikkarten-Treiber als Einfallstor für Angreifer' auf Heise Online

Download: Aktuelle Grafikkarten-Treiber von Nvidia.de

zur Übersicht

01.03.2024 – Sicherheitslücken in Teamviewer geschlossen

Malware LogoWer Teamviewer auf seinem PC installiert hat, sollte zügig auf die Version 15.51.5 aktualisieren. Dort wird eine schwere Sicherheitslücke behoben. Wer die Software zwar installiert hat aber gar nicht regelmäßig verwendet, sollte sie hingegen deinstallieren. Details zur Lücke gibt es im Heise Online Artikel.

Quelle: 'Teamviewer: Sicherheitslücke im Client ermöglicht Rechteausweitung' auf Heise Online

zur Übersicht

01.03.2024 – RustDesk brachte gefährliches Zertifikat mit sich

Malware LogoUnd noch eine Fernwartungs-Software die negativ auf sich aufmerksam macht. Die Software RustDesk hat bis vor kurzem bei der Installation ein Test-Zertifikat installiert, das so eigentlich nie auf Kunden-Computern gelangen hätte dürfen, und Angreifern weitreichende Angriffsmöglichkeiten bot. Wer diese Software installiert hat, sollte entweder ein Update auf Version 1.2.3-1 durchführen oder das fragliche Zertifikat von Hand entfernen. Details dazu gibt es wie immer im verlinkten Heise Online Artikel.

Quelle: 'Remote-Desktop: RustDesk-Update entfernt Test-Zertifikat' auf Heise Online

zur Übersicht

01.03.2024 – Sophos Software: Probleme aufgrund des Schaltjahrs

Malware LogoDass Februar auch mal 29 Tage haben kann, dürfte den Programmierern bei Sophos bisher nicht bekannt gewesen sein. Anders ist es nicht vorstellbar, dass Kunden des Unternehmens gestern vor dem Besuch von völlig legitimen Webseiten gewarnt wurden. Das Problem dürfte sich heute aufgrund des wieder "normalen" Datums von selbst gelöst haben. Bleibt zu hoffen, dass Sophos dann in vier Jahren besser vorbereitet ist.

Quelle: 'IT-Sicherheitsprodukte von Sophos verschlucken sich am Schaltjahr' auf Heise Online

zur Übersicht

01.03.2024 – Wieder Sicherheitslücken in WordPress

WordPress LogoFür das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Kritische Lücke in Wordpress-Plug-in Ultimate Member leakt Passwort-Hashes' auf Heise Online

zur Übersicht

01.03.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Cisco: Sicherheitslücken in NX-OS, FX-OS und weiteren Geräten geschlossen' auf Heise Online

Quelle: 'CISA und Experten warnen vor hartnäckigen Backdoors auf Ivanti-Geräten' auf Heise Online

zur Übersicht

23.02.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 122.0.6261.58. Zwei der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, die anderen 10 Lücken haben Einstufungen zwischen Mittel und Niedrig.

Die 122er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome 122: Zwölf Sicherheitslecks gestopft' auf Heise Online

Vivaldi LogoVivaldi:

Wie bei der Umstellung auf eine neue Hauptversion üblich dauert es noch eine Weile bis zur neuen Vivaldi Version. Die Entwickler arbeiten noch an der Integration der neuen Chromium-Version. Gut möglich, dass diese nächste Woche erscheint. Sorgen müssen sich Vivaldi Anwender aber aktuell wohl noch keine machen.

Microsoft Edge LogoMicrosoft Edge:

Die Microsoft Edge Entwickler lassen sich genau wie Vivaldi noch etwas Zeit, um der neuen Version Feinschliff zukommen zu lassen. Auch hier ist es vorstellbar, dass Edge 122 nächste Woche erscheint.

zur Übersicht

23.02.2024 – Thunderbird 115.8 behebt Sicherheitslücken

Mozilla Thunderbird LogoDie Entwickler von Thunderbird haben die Version 115.8 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 8 Sicherheitslücken behoben, wovon vier eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bzw. "gering" bezeichnet werden.

Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 16 Detailverbesserungen auf.

Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Quelle: 'Firefox und Thunderbird: Neue Versionen liefern Sicherheitsfixes' auf Heise Online

Info: 'Thunderbird 115.8.0 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

23.02.2024 – Firefox 123 bringt Sicherheitsupdate

Mozilla Firefox LogoMozilla hat Firefox 123 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken wovon 4 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 8 Lücken geschlossen, wovon drei als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.8.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Firefox und Thunderbird: Neue Versionen liefern Sicherheitsfixes' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

23.02.2024 – Wieder Sicherheitslücken in HP-Druckern und Scannern

HP LogoHP hat wieder zwei Sicherheitsbulletins für Drucker und Scanner aus den Produktreihen Laser Jet, PageWide, Digital Sender Flow und ScanJet veröffentlicht. Die erste Lücke ist hochkritisch, weshalb Besitzer/Administratoren eines Drucker/Scanners aus den genannten Produktreihen unbedingt prüfen sollten, ob ihr Drucker in einem der Bulletins vorkommt und dann die entsprechenden Gegenmaßnahmen ergreifen. Meistens wird das ein Firmware-Update sein das installiert werden muss.

Die zweite Lücke ist nicht ganz so dramatisch wie die erste, aber auch Drucker und Scanner, die hier erwähnt werden, sollten unbedingt aktualisiert werden.

Quelle: 'HP Laser-Drucker: Sicherheitslücken erlauben Codeschmuggel' auf Heise Online

Quelle: 'HP Sicherheitsbulletin 1 mit Liste betroffener Drucker' auf hp.com (Englisch)

Quelle: 'HP Sicherheitsbulletin 1 mit Liste betroffener Drucker' auf hp.com (Englisch)

zur Übersicht

23.02.2024 – Gefährliche Lücke in Eset Software

Malware LogoEset hat eine Sicherheitsmeldung veröffentlicht, wonach es ein schwerer Fehler in seinen Produkten Angreifern ermöglicht beliebige Dateien auf dem Computer des Opfers zu löschen. Der Fehler zieht sich querbeet durch die gesamte Produktpalette sowohl für Privat-Anwender wie Gewerbe. Wer Software von Eset nutzt, sollte sich die Sicherheitsmeldung des Herstellers genau ansehen und die notwendigen Maßnahmen ergreifen.

Quelle: 'Eset: Schwachstelle in Hintergrundscanner löscht beliebige Dateien' auf Heise Online

Quelle: Sicherheitswarnung von Eset

zur Übersicht

23.02.2024 – Wichtiges Sicherheitsupdate für Joomla

Malware LogoWer Joomla für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 5.0.3 oder 4.4.3 installiert wurde oder das rasch nachholen. In den neuen Versionen wurden mehrere Sicherheitslücken geschlossen, wovon eine als hochriskant eingestuft wurde.

Quelle: 'CMS Joomla bessert riskante Schwachstellen aus' auf Heise Online

zur Übersicht

23.02.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Solarwinds: Codeschmuggel möglich, Updates verfügbar' auf Heise Online

Quelle: 'Jetzt updaten: Kritische Codeschmuggel-Lücken in Connectwise Screenconnect' auf Heise Online

Quelle: 'Sicherheitsupdate: Root-Lücke bedroht Servermonitoringtool Nagios XI' auf Heise Online

Quelle: 'Sicherheitslücken: GitLab gegen mögliche Attacken abgesichert' auf Heise Online

Quelle: 'Malware über kritische Lücke in ConnectWise ScreenConnect verteilt' auf Heise Online

Quelle: 'Broadcom schließt Sicherheitslücken in VMware Aria Operations und EAP-Plug-in' auf Heise Online

Quelle: 'WS_FTP: Updates dichten hochriskante Sicherheitslücke ab' auf Heise Online

zur Übersicht

16.02.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat diese Woche lediglich eine Sicherheitslücke in Google Chrome und Chromium behoben. Da der Hersteller aber keinerlei Informationen über die Lücke veröffentlicht, ist unklar, ob das nur eine "Kleinigkeit" war oder eine kritische Schwachstelle. Aufgrund der unklaren Lage sollten Anwender von Google Chrome zügig auf die neue Version (121.0.6167.185) updaten.

Im Extended Stable Zweig wurde die Lücke (vermutlich) mit der Versionsnummer 120.0.6099.291 behoben.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome Release Notes' auf googleblog.com (Englisch)

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.293 upgedated und schließen so ebenfalls die neue Sicherheitslücke. Vivaldi Anwender sollten zügig auf Version 6.5 Update 9 (6.5.3206.63) updaten, falls nicht bereits durch das automatische Update erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (9) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Die Entwickler von Microsoft Edge haben ebenfalls eine neue Version ihres Browsers veröffentlicht. Leider fehlt aber noch das Release Note dazu, daher können wir nur vermuten, dass dieser ebenfalls auf die neue Chromium-Version upgedatet und damit abgesichert wurde.

zur Übersicht

16.02.2024 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Reader LogoAdobe Reader & Acrobat

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 23.008.20533 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB24-07 (Englisch)

Adobe Audition

In Adobes Audio-Bearbeitungs-Programm Audition wurde eine kritische Sicherheitslücke behoben. Anwender sollten zügig auf Version 23.6.4 (2023) oder 24.2 (2024) updaten um sicher zu sein.

Quelle: Adobe Security Bulletin APSB24-11 (Englisch)

Adobe Substance 3D Painter

In Adobes 3D-Programm 'Substance 3D Painter' wurden in Summe 9 Sicherheitslücken behoben, wovon nicht weniger als 6 kritischer Natur waren. Anwender des Programms sollten so rasch wie möglich auf Version 9.1.2 updaten.

Quelle: 'Adobe Security Bulletin APSB24-04' auf Adobe.com (Englisch)

Adobe Substance 3D Designer

In Adobes 3D-Programm 'Substance 3D Designer' wurde ebenfalls eine "kritische" Sicherheitslücke behoben. Anwender des Programms sollten so rasch wie möglich auf Version 13.1.1 updaten.

Quelle: 'Adobe Security Bulletin APSB24-13' auf Adobe.com (Englisch)

Adobe Magento bzw. Adobe Commerce

Im Webshop-System "Magento" bzw. "Commerce" wurden 5 Sicherheitslücken behoben, wovon zwei kritisch waren. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.

Quelle: Adobe Security Bulletin APSB24-03 (Englisch)

Adobe Framemaker Publishing Server

Im Desktop-Publishing-Programm Adobe Framemaker bzw. diesmal in dessen "Publishing Server" wurde eine kritische Sicherheitslücke gefunden und behoben. Wer den Server einsetzt, sollten so schnell wie nur irgend möglich das Update auf Version 2022 Update 2 durchführen oder den Server vom Netz nehmen.

Quelle: Adobe Security Bulletin APSB24-10 (Englisch)

zur Übersicht

16.02.2024 – Microsoft's Tag der Updates

Microsoft LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Wieder Handarbeit für Exchange Administratoren nötig!

Administratoren, die einen Exchange-Server betreuen, sollten sich diesen Monat wieder besonders gut und vor allem rasch in die diversen Knowledge-Base-Artikel rund um die Februar-Updates einlesen. Wenn wir es richtig verstanden haben, ist in den allermeisten Fällen Handarbeit nötig, nur auf wenigen Systemen wird es mit dem automatisch installierten Update gut sein. Im Falle von Exchange 2019 muss nun mindestens das CU 13 installiert sein, um überhaupt noch das neueste Sicherheitsupdate zu erhalten. Bei allen CU’s außerdem dem neuen CU 14 für Exchange 2019 muss zudem die "Extended Protection" aktiviert werden. Das CU14 macht das automatisch bei der Installation, was aber Fallstricke mit sich bringt. Und dann muss auch noch sichergestellt werden, dass die "NTLM-Sicherheitsstufe" richtig konfiguriert ist. Wie schon geschrieben, findet man all das grundsätzlich in den Artikeln von Microsoft, aber man muss alles wirklich sehr sorgfältig studieren.

Quelle: 'Jetzt patchen! Angreifer nutzen kritische Lücke in Microsoft Exchange Server aus' auf Heise Online

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

zur Übersicht

16.02.2024 – Die nächsten Sicherheitslücken in Zoom

Malware LogoWieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.17.0 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.

Quelle: 'Webkonferenz-Tool Zoom: Rechteausweitung durch kritische Schwachstelle' auf Heise Online

zur Übersicht

16.02.2024 – Qnap: Rasch Sicherheitsupdates installieren!

QNAP LogoQnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- oder QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!

Quelle: 'Qnap: Sicherheitslücken in Firmware erlauben Einschleusen von Befehlen' auf Heise Online

zur Übersicht

16.02.2024 – AMD liefert wieder Sicherheitsupdates

AMD LogoDer Prozessor-Hersteller liefert wieder zahlreiche Sicherheitsupdates in Form von aktualisierten BIOS-Bausteinen aus. Der Hersteller hat gleich für vier verschiedene Produktbereiche Sicherheitsbenachrichtigungen veröffentlicht. In den gängigen Ryzen Prozessoren für Desktops und Notebooks sind demnach bis zu 4 neue Schwachstellen gefunden und beseitigt worden. Da AMD nur Teile des kompletten BIOS/UEFI an die Hersteller liefert, muss der Endkunde letztendlich warten bis die Geräte bzw. Mainboard-Hersteller entsprechende BIOS-Updates ausliefern. Ein paar haben bereits damit begonnen, wie ein zweiter Heise Online Artikel berichtet.

Für Privatanwender sollten die Schwachstellen in der Regel nicht kritisch sein, dennoch raten wir auch hier dazu verfügbare BIOS-Updates unbedingt zu installieren. Für Firmen ist die Relevanz schon deutlich höher und am massivsten sind wie üblich Server-Betreiber betroffen.

Quelle: 'AMD meldet zahlreiche Sicherheitslücken in Prozessoren' auf Heise Online

Quelle: 'AMD-CPU-Sicherheitslücken: Erste BIOS-Updates stehen bereit' auf Heise Online

zur Übersicht

16.02.2024 – Sicherheitslücke legt Netzwerke lahm

Malware LogoDie neu entdeckte Sicherheitslücke "KeyTrap" kann auf Systemen mit den DNS-Servern "Bind", "dnsmasq" und "Unbound" zu so viel Last führen, dass keine weiteren DNS-Anfragen mehr verarbeitet werden können. Das wiederum würde Netzwerke größtenteils lahmlegen.

Die Namen der drei bekannten DNS-Servern dürfte den wenigsten Anwendern etwas sagen, und dennoch dürften die meisten den einen oder anderen davon Zuhause verwenden. Die "dnsmasq" Software dürfte in etlichen Routern vorkommen. Allerdings sehen wir aktuell kein großes Risiko für Heimnetzwerke durch diese Lücken, da ein Angriff dazu aus dem internen Netzwerk heraus stattfinden müsste. Bei DD-WRT z.B. lässt sich die Lücke aber z.B. umgehen, indem man die Verifizierung von DNSSEC-Anfragen ausschaltet, was standardmäßig der Fall sein dürfte.

Wer jedoch einen öffentlich erreichbaren DNS-Server betreibt, sollte sehr wohl dafür Sorge tragen, diesen möglichst bald auf eine abgesicherte Version zu aktualisieren.

Quelle: 'DNS-Server: Bind, dnsmasq und Unbound stolpern über Sicherheitslücke "KeyTrap"' auf Heise Online

zur Übersicht

16.02.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'SAP: 13 neue Sicherheitswarnungen zum Februar-Patchday' auf Heise Online

Quelle: 'Sicherheitslücke in Webmailer Roundcube wird angegriffen' auf Heise Online

Quelle: 'PostgreSQL lässt sich beliebiges SQL unterjubeln' auf Heise Online

Quelle: 'Sicherheitslücken: Angreifer können Dell Unity kompromittieren' auf Heise Online

Quelle: 'Node.js: Sicherheitsupdates beheben Codeschmuggel und Serverabstürze' auf Heise Online

Quelle: 'F5 behebt 20 Sicherheitslücken in Big-IP-Loadbalancer, WAF und nginx' auf Heise Online

zur Übersicht

09.02.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.161 behebt 3 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.283 behoben.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome: Update schließt mögliche Codeschmuggel-Lücken' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.285 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 8 (6.5.3206.61) updaten, falls nicht bereits durch das automatische Update erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (8) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten. Edge Anwender sollten auf Version 121.0.2277.112 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

09.02.2024 – Sicherheitsupdate für FileZilla

FileZilla LogoDer FileZilla FTP-Client hat ein Sicherheitsupdate auf Version 3.66.5 erhalten. Einmal mehr wurden dabei die enthaltenen GnuTLS-Bibliotheken aktualisiert die immer wieder mal für Sicherheitslücken bei verschlüsselten FTP-Verbindungen sorgen. FilaZilla Anwender die wert auf sicher verschlüsselte FTP-Verbindungen legen sollten FileZilla daher zügig aktualisieren.

Quelle: 'FileZilla Version history' auf filezilla-project.org (Englisch)

zur Übersicht

09.02.2024 – Schweres Sicherheitsleck bei AnyDesk

Malware LogoWer AnyDesk irgendwann einmal für eine Fernwartung verwendet hat, sollte alle Reste dieses Programmes tunlichst rasch entfernen. Ältere AnyDesk-Versionen stellen aktuell ein erhebliches Sicherheitsrisiko dar. Nur die Windows Version 8.0.8 soll sich sicher verwenden lassen laut Heise Online Artikel. Für Android, AppleTV, iOS, Linux und macOS gibt es aktuell keine sicheren Versionen.

Wer AnyDesk häufiger oder gar beruflich genutzt hat, sollte sich darüber hinaus mindestens den verlinkten Heise Online Artikel genau durchlesen, wenn nicht sogar die dort verlinkten weiteren Sicherheitsberichte. Wer einen Benutzer-Account bei AnyDesk hat, sollte darüber hinaus unbedingt sein Passwort ändern.

Quelle: 'Anydesk-Einbruch: Französisches BSI-Pendant vermutet Dezember als Einbruchsdatum' auf Heise Online

zur Übersicht

09.02.2024 – Qnap: Rasch Sicherheitsupdates installieren!

QNAP LogoQnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- oder QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!

Quelle: 'QNAP: Neue Firmware-Versionen beheben Befehlsschmuggel-Lücke' auf Heise Online

zur Übersicht

09.02.2024 – Kritische Sicherheitslücken in Canon Druckern

Malware LogoNeuere Canon-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.

Besitzer der folgenden Canon Drucker sollten daher unbedingt die Firmware aktualisieren: i-SENSYS X C1333P, i-SENSYS X C1333i, i-SENSYS MF754Cdw, i-SENSYS MF750C und i-SENSYS LBP673Cdw.

Wer einen Drucker der Reihe "Color imageCLASS" (USA) bzw. "Satera" (Japan) besitzt, sollte den Heise Online Artikel prüfen für die Liste der betroffenen Drucker.

Quelle: 'Kritische Schwachstellen in Multifunktions- und Laserdruckern von Canon' auf Heise Online

zur Übersicht

09.02.2024 – Samsung behebt Sicherheitslücke in Magican Software

Samsung LogoDas Samsung Programm "Magican" zur Verwaltung von SSDs des Herstellers hat in Version 8.0 eine Sicherheitslücke die es Angreifern ermöglicht Rechte auszuweiten und damit einen Angriff auf das System durchzuführen. Wer Version 8.0 einsetzt, sollte daher auf Version 8.0.1 aktualisieren, um die Lücke zu schließen.

Quelle: 'Samsung Magician: Update stopft Sicherheitsleck im SSD-Tool' auf Heise Online

zur Übersicht

09.02.2024 – Sicherheitsleck in Alpha Innotec- und Novelan-Wärmepumpen

Malware LogoSicherheitsmeldungen über Wärmepumpen sind eine Neuheit bei uns, aber sobald so eine Anlage ans Netzwerk angeschlossen ist gilt es als IoT Gerät und darüber haben wir wiederum schon sehr viel berichtet. Problem bei diesen Wärmepumpen ist etwas, was bei namhaften IT-Herstellern eigentlich längst Geschichte sein sollte, sich in der Heizungs-Branche aber scheinbar noch nicht herumgesprochen hat. Die Rede ist von einer fest in die Firmware eingebauten "Hintertür" über die Angreifer nun leicht ins System eindringen können.

Um das zu verhindern, sollten Besitzer oder Wartungstechniker dieser Anlagen ein Firmware-Update installieren, dass die Lücke entfernt. Um es Kunden so einfach wie möglich zu machen, hat der Hersteller dafür sogar ein YouTube-Video als Anleitung veröffentlicht das im Heise Online-Artikel verlinkt ist.

Quelle: 'Update gegen Sicherheitsleck in Alpha Innotec- und Novelan-Wärmepumpen' auf Heise Online

zur Übersicht

09.02.2024 – Achtung bei Billig-USB-Sticks

Bad USB LogoWir hatten schon einmal vor den Gefahren billiger NoName USB-Sticks gewarnt, nun berichtet Heise Online von einer weiteren Firma  die vor derlei Datenträgern warnt. Die USB-Sticks werden dabei immer günstiger und um das zu erreichen auch immer schlechter, was die Qualität angeht. Und so verzeichnet der deutsche Dienstleister "CBL Datenrettung" immer mehr defekte USB-Sticks von verzweifelten Kunden, die von äußerst zweifelhafter Qualität und Herkunft sind.

Zwar können auch USB-Sticks namhafter Hersteller kaputtgehen, aber das Risiko ist doch deutlich geringer. Nichtsdestotrotz gilt für USB-Sticks genau wie für jeden Datenträger, das man wichtige Daten immer auf mehreren Datenträgern ablegen sollte, wovon mindestens einer "offline" ist.

Quelle: 'Datenretter: Billige USB-Sticks werden immer schlechter' auf Heise Online

zur Übersicht

09.02.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'IT-Sicherheitsüberwachung Juniper JSA für mehrere Attacken anfällig' auf Heise Online

Quelle: 'HCL schließt Sicherheitslücken in Bigfix, Devops Deploy und Launch' auf Heise Online

Quelle: 'IBM Business Automation Workflow für DoS-Attacken & Co. anfällig' auf Heise Online

Quelle: 'Sicherheitslücken: Update schützt Server-Monitoringtool Nagios XI vor Attacken' auf Heise Online

Quelle: 'Sicherheitsupdates: Dell schließt ältere Lücken in Backuplösungen wie Avamar' auf Heise Online

Quelle: 'Jetzt patchen! TeamCity-Schwachstelle ermöglicht Zugang ohne Authentifizierung' auf Heise Online

Quelle: 'VMware Aria-Schwachstellen ermöglichen Erhöhung der Zugriffsrechte' auf Heise Online

Quelle: 'Rechtausweitung durch Lücken in Veeam Recovery Orchestrator möglich' auf Heise Online

Quelle: 'Sicherheitsupdates: Kritische Lücken bedrohen Cisco Expressway Series' auf Heise Online

Quelle: 'Sicherheitslücken: Codeschmuggel und Leistungsverweigerung bei ClamAV' auf Heise Online

Quelle: 'Sicherheitsupdates: SSL-VPN-Komponente von FortiOS angreifbar' auf Heise Online

Quelle: 'SonicOS SSL-VPN: Angreifer können Authentifzierung umgehen' auf Heise Online

Quelle: 'Sicherheitsupdates: Authentifizierung von Ivanti Connect Secure & Co. defekt' auf Heise Online

Quelle: 'Bootloader-Lücke: Viele Linux-Distributionen sind gefährdet' auf Heise Online

Quelle: 'Elastic Stack: Pufferüberlauf ermöglicht Codeschmuggel in Kibana-Komponente' auf Heise Online

zur Übersicht

02.02.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.140 behebt 4 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.276 behoben.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome: Update schließt vier Sicherheitslücken' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.278 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 7 (6.5.3206.59) updaten, falls nicht bereits durch das automatische Update erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (7) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten. Edge Anwender sollten auf Version 121.0.2277.98 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

02.02.2024 – LibreOffice 24.2 ist fertig

LibreOffice LogoDie LibreOffice Entwickler haben eine brandneue Ausgabe der freien Office-Suite fertiggestellt und wie angekündigt macht die Versionsnummer einen riesigen Sprung auf 24.2. Das liegt nicht etwa an einem Funktions-Feuerwerk, das einen so großen Versionssprung von 7.6 auf 24.2 rechtfertigen würde, sondern schlicht an der Tatsache, dass die ersten beiden Stellen der Versionsnummer nun für Jahr und Monat der Veröffentlichung dieses neuen Entwicklungszweiges stehen.

Inhaltlich punktet die neue Version vor allem mit der neuen Highlight-Funktion in der Tabellenkalkulation. Was wir und viele andere Anwender sich jahrelang gewünscht haben wurde nun endlich umgesetzt. Zeile und Spalte der aktiven Zelle wird farblich hervorgehoben, sodass man in großen Tabellen einen besseren Überblick hat, welche Werte noch zum aktuellen Datensatz gehören. Aktivieren lässt sich das sehr leicht über Ansicht → Spalten/Zeilen hervorheben.

Wie gewohnt gehen wir ausführlicher auf die Neuerungen ein, wenn der neue Entwicklungszweig ein wenig gereift ist. Eine brandneue LibreOffice Version empfehlen wir nur Anwendern die unbedingt die neuesten Funktionen haben wollen und dafür etwaige Kinderkrankheiten in Kauf nehmen. Wer will, kann sich aber jetzt schon anhand der verlinkten Quellen weiter informieren.

Quelle: 'LibreOffice mit neuer Zählnummer: Version 24.2 veröffentlicht' auf Heise Online

Quelle: Release Notes mit allen Neuerungen auf LibreOffice.org

Quelle: Vorstellungsvideo auf YouTube (Englisch)

zur Übersicht

02.02.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Ivanti: Updates mit Verspätung, dafür neue Sicherheitslücke missbraucht' auf Heise Online

Quelle: 'Jetzt updaten! Exploits für kritische Jenkins-Sicherheitslücke im Umlauf' auf Heise Online

Quelle: 'Sicherheitsupdates: DoS- und Schadcode-Attacken auf IBM ODM möglich' auf Heise Online

Quelle: 'Linux: Sicherheitslücke in glibc bringt Angreifern Root-Privilegien' auf Heise Online

Quelle: 'Mastodon: Diebstahl beliebiger Identitäten im föderierten Kurznachrichtendienst' auf Heise Online

Quelle: 'Sicherheitsupdate: IBM-Sicherheitslösung QRadar SIEM unter Linux angreifbar' auf Heise Online

zur Übersicht

26.01.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.86 behebt 17 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.268 behoben.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Chrome-Update dichtet 17 Sicherheitslecks ab' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.270 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 6 (6.5.3206.57) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (6) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten, schließt darüber hinaus aber auch noch 6 weitere Sicherheitslücken. Daher ist die Risiko-Einschätzung bei Microsoft Edge auch auf "kritisch" und nicht nur "hoch" wie bei Google. Edge Anwender sollten daher besonders rasch auf Version 121.0.2277.83 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Microsoft Edge 121 unterstützt moderne Codecs und stopft Sicherheitslecks' auf Heise Online

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

26.01.2024 – Thunderbird 115.7 behebt Sicherheitslücken

Mozilla Thunderbird LogoDie Entwickler von Thunderbird haben die Version 115.7 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 9 Sicherheitslücken behoben, wovon zwei eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.

Während die letzten Thunderbird-Updates fast ausschließlich Sicherheitslücken geschlossen haben und funktionale Verbesserungen kaum vorhanden waren, ist das dieses Mal anders, die Release Notes listen ganze 15 Detailverbesserungen auf.

Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Info: 'Thunderbird 115.7.0 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

26.01.2024 – Firefox 122 bringt Sicherheitsupdate

Mozilla Firefox LogoMozilla hat Firefox 122 veröffentlicht. Die neue Version behebt 15 Sicherheitslücken wovon 5 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 9 Lücken geschlossen, wovon zwei als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.7.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Firefox: Passkey-Unterstützung und Sicherheitsfixes' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

26.01.2024 – Bluetooth: Zu unsicher für US Navy

Bluetooth LogoLangjährige Leser werden wissen, dass wir schon unzählige Artikel über Bluetooth-Sicherheitslücken veröffentlicht haben und Bluetooth als grundsätzlich unsicher einstufen. Seit jeher raten wir deshalb Bluetooth am besten gar nicht, oder nur für das absolut notwendigste zu verwenden. Die US Navy ist nun wohl zum selben Schluss gekommen, hat aber anders als wir die Möglichkeiten Alternativen entwickeln zu lassen. Daher hat die US Navy eine Ausschreibung für eine Bluetooth-Alternative gestartet. In besagter Ausschreibung wird Bluetooth wie folgt beschrieben: "Unfortunately, Bluetooth is not secure and is vulnerable to a variety of hacking and tracking methods.". Übersetzt bedeutet das: "Unglücklicherweise ist Bluetooth nicht sicher, und verletzlich durch eine Reihe an Angriffs- und Tracking-Methoden."

Die Ausschreibung erwähnt auch, dass eine zivile Nutzung der alternativ-Technologie wünschenswert wäre. Bahnt sich hier womöglich Konkurrenz für die Bluetooth-SIG an? Zu wünschen wäre es, denn die Bluetooth SIG hat eines nachgewiesenermaßen nicht auf der Agenda und das ist Sicherheit.

Quelle: 'Bluetooth zu unsicher: US Navy sucht Alternative' auf Heise Online

zur Übersicht

26.01.2024 – Kritische Sicherheitslücken in Lexmark Druckern

Malware LogoNeuere Lexmark-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.

Besitzer von Lexmark Druckern sollten daher unbedingt prüfen, ob ihr Modell von den Lücken betroffen ist und wenn ja die entsprechenden Sicherheitsupdates installieren. Auch für Drucker, die in der Sicherheitsmeldung des Herstellers aktuell nicht genannt werden, lohnt es sich natürlich zu prüfen, ob die aktuellste Firmware verwendet wird und diese gegebenenfalls zu aktualisieren.

Leider gibt es keine gesammelte Liste der verwundbaren Drucker, sondern man muss 4 verschiedene Listen (für jede Sicherheitslücke eine eigene) separat durchgehen und prüfen, ob der eigene Drucker auf einer davon aufscheint. Links zu den 4 Sicherheitsmitteilungen finden sie im Heise Online Artikel.

Quelle: 'Sicherheitsupdates: Schlupflöcher für Schadcode in Lexmark-Druckern geschlossen' auf Heise Online

zur Übersicht

26.01.2024 – Microsoft Cloud erneut gehackt

Microsoft LogoErst vor wenigen Monaten wurde bekannt, das chinesische Hacker die gesamte Microsoft Cloud unterwandert haben, nun gelang es Angreifern aus Russland in die Microsoft Infrastruktur einzudringen, wenngleich nicht in dem massiven Umfang wie es den Chinesen gelang. Besonders peinlich für Microsoft ist daran, dass ausgerechnet die "Sicherheitsabteilung" von Microsoft für die Schlamperei, die zu dem Einbruch geführt hat, verantwortlich war.

Wie üblich spielt Microsoft selbst die Angriffe herunter oder hüllt sich in Schweigen. Man darf aber davon ausgehen, dass die beiden bekannt gewordenen Angriffe nur die Spitze des Eisbergs sind. Wer nach wie vor denkt, seine Dateien wären in der Cloud sicher, sollte sich vielleicht nochmal hinterfragen.

Quelle: 'Fehlende MFA, Standardpasswort: So lief der Angriff auf die MS-Securityabteilung' auf Heise Online

zur Übersicht

26.01.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Kritische VMware-Sicherheitslücke wird angegriffen' auf Heise Online

Quelle: 'Confluence: Kritische Sicherheitslücke in veralteten Versionen wird ausgenutzt' auf Heise Online

Quelle: 'Monitoringsoftware Splunk: Teils kritische Sicherheitslücken' auf Heise Online

Quelle: 'Barracuda WAF: Kritische Sicherheitslücken ermöglichen Umgehung des Schutzes' auf Heise Online

Quelle: 'Fortra GoAnywhere MFT: Kritische Lücke macht Angreifer zu Admins' auf Heise Online

Quelle: 'Codeschmuggel-Lücke in HPE Oneview' auf Heise Online

Quelle: 'Trend Micro Apex Central: Update schließt im zweiten Anlauf Sicherheitslücken' auf Heise Online

Quelle: 'Gitlab-Kontoklau-Lücke: Tausende verwundbare Server im Netz' auf Heise Online

Quelle: 'Cisco: Lücke erlaubt komplette Übernahme von Unified Communication-Produkten' auf Heise Online

Quelle: 'Automatisierungstool Jenkins: Codeschmuggel durch Sicherheitslücke möglich' auf Heise Online

Quelle: 'Angreifer können eigene Befehle auf Juniper-Firewalls und Switches ausführen' auf Heise Online

Quelle: 'Diesmal bitte patchen: Security-Update behebt kritische Schwachstelle in GitLab' auf Heise Online

Quelle: 'Schadcode-Attacken auf Onlineshops auf Gambio-Basis möglich' auf Heise Online

zur Übersicht

19.01.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.225 behebt vier Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Allerdings wird eine der Lücken bereits aktiv ausgenützt, weshalb Anwender von Google Chrome besonders rasch auf die neue Version updaten sollten.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome: Sicherheitslücke wird in freier Wildbahn ausgenutzt' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.238 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 5 (6.5.3206.55) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (5) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Die zuletzt etwas lahmen Microsoft Edge Entwickler haben angesichts der bereits ausgenutzten Sicherheitslücke in Chromium mal wieder etwas schneller reagiert und sowohl neue Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 120.0.2210.144 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

19.01.2024 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 389 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java LogoJava:

Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 10 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 401 aktualisieren.

Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.22, 17.0.10 oder 21.0.2 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.

Download: Aktuelle Java Version

MySQL:

Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - January 2024' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - January 2024' auf Oracle.com (Englisch)

Quelle: 'Critical Patch Update: Oracle veröffentlicht 389 Sicherheitsupdates' auf Heise Online

zur Übersicht

19.01.2024 – Keine Besserung bei problematischem Windows Update

Microsoft Windows LogoMicrosoft hat auch in der Woche nach der Veröffentlichung des problematischen Windows Updates keine Lösung für Heimanwender gefunden. Es wurde nur abermals auf die diversen Skripte hingewiesen, die aber nur für Windows-Profis relevante Informationen liefern, ein normaler Heimanwender wird es damit eher nicht schaffen das Update zu installieren. Da die Sicherheitslücke, welches das problematische Update schließen soll, gerade für Privatanwender zumindest vorübergehend vernachlässigbar ist, sollte man die diversen Skripte von Microsoft nur einsetzen, wenn man sehr genau weiß, was man tut. Andernfalls ist es besser die Finger davonzulassen, als im schlimmsten Fall vor einem nicht mehr startbaren Windows-System zu stehen.

Quelle: 'Microsoft: Update-Fehler 0x80070643 und Erinnerung an Bootloader-Blockade' auf Heise Online

zur Übersicht

19.01.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Microsoft: Update-Fehler 0x80070643 und Erinnerung an Bootloader-Blockade' auf Heise Online

Quelle: 'Nvidia-Updates schließen kritische Sicherheitslücken in KI-Systemen' auf Heise Online

Quelle: 'Cross-Site-Scripting in Monitoringsoftware PRTG erlaubt Sessionklau' auf Heise Online

Quelle: 'Atlassian: Updates zum Patchday schließen 28 hochriskante Schwachstellen' auf Heise Online

Quelle: 'Kritische Sicherheitslücke: VMware vergaß Zugriffskontrollen in Aria Automation' auf Heise Online

Quelle: 'Jetzt patchen! Vorsicht vor DoS-Angriffen auf Citrix NetScaler ADC und Gateway' auf Heise Online

Quelle: 'MOVEit Transfer: Updates gegen DOS-Lücke' auf Heise Online

Quelle: 'Trend Micro: Sicherheitslücken in Security-Agents ermöglichen Rechteausweitung' auf Heise Online

Quelle: 'Nextcloud: Lücken in Apps gefährden Nutzerkonten und Datensicherheit' auf Heise Online

Quelle: 'Angreifer attackieren Ivanti EPMM und MobileIron Core' auf Heise Online

zur Übersicht

13.01.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.217 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Update für Google Chrome: Hochriskantes Sicherheitsleck abgedichtet' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.2021 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 4 (6.5.3206.53) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücke, sondern auch andere Fehler.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (4) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Wie schon letzte Woche, hat das Entwickler-Team von Microsoft Edge noch keine neue Version fertiggestellt, die die neue Chromium Version enthält. Übermäßige Sorgen sollte man sich keine machen, da laut Google auch die neueste Lücke wohl noch nicht aktiv ausgenützt wird, es zeigt aber einmal öfter warum Vivaldi auch in Sachen Sicherheit der bessere Browser ist.

zur Übersicht

13.01.2024 – Microsoft's Tag der Updates

Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Microsoft Windows LogoMassive Probleme durch Sicherheitsupdate für Bitlocker!

Im Jänner hat Microsoft wohl eines der am schlechtesten getesteten Sicherheitsupdates seit vielen Jahren auf seine Kunden losgelassen. Das Sicherheitsupdate soll eine Bitlocker-Schwachstelle im "Windows Recovery Environment" (kurz WinRE) schließen. Das Problem dabei ist, dass die Partition die das WinRE-Image aufnimmt, seit Jahren von Microsoft mit gerade einmal 512MB viel zu klein ausgeführt wird. Schon in der Vergangenheit hat sich mehrfach gezeigt, das Updates des WinRE-Images häufig nicht funktionieren, einfach, weil die Partition zu klein ist. Daher hat Microsoft es bisher immer den Administratoren überlassen die WinRE von Hand zu aktualisieren und hat sich nicht über ein automatisches Update drüber getraut – bis zu diesem Monat. Die Folge ist, dass auf etlichen Windows Installationen (geschätzt sicher über 50%) das Update misslingt und damit eine Update-Schleife ausgelöst wird, die in weiterer Folge zu Performance-Problemen führen kann. Damit wird das fehlerhafte Update selbst für die Leute zum Problem, die Bitlocker gar nicht verwenden.

Zuverlässige Problemlösung bisher nur von Hand!

Eine zuverlässige Lösung des Problems ist aktuell unserer Meinung nach nur von Hand möglich. Die erste von Microsoft bereitgestellte Hilfestellung geht grundsätzlich in die richtige Richtung, in dem Sinne als das die WinRE-Partition vergrößert wird. Das zweite Skript, das laut Heise Online von Microsoft als "Lösung" angeboten worden sein soll, ist eigentlich ein Skript, das für einen anderen Zweck konzipiert wurde und die Größe der WinRE-Partition nicht anpasst. Durch Nebenwirkungen kann dieses Skript auf dem einen oder anderen PC zum Ziel führen, aber grundsätzlich behebt es die Ursache des Problems – die zu kleine WinRE-Partition – nicht. Wer sich von dem Problem nicht eingeschränkt fühlt, weil der Sicherheitsaspekt vernachlässigbar ist und es keine Performance-Probleme gibt, kann das Problem aktuell durchaus auch mal aussitzen. Vielleicht findet Microsoft ja doch noch eine vernünftige Lösung das Update unters Volk zu bringen oder zieht es vorübergehend ganz zurück. Wer das Problem aber jetzt sofort behoben haben möchte, sollte entweder gut mit Windows Interna vertraut sein oder sich an einen Fachmann wenden.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Patchday Microsoft: Kerberos-Authentifizierung unter Windows verwundbar' auf Heise Online

zur Übersicht

13.01.2024 – Die nächsten Sicherheitslücken in Zoom

Malware LogoWieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.16.10 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.

Quelle: 'Webkonferenzen: Zoom-Sicherheitslücken ermöglichen Rechteausweitung' auf Heise Online

zur Übersicht

13.01.2024 – Sicherheitslücke in Adobe Substance 3D Stager

Adobe LogoDie Adobe Sicherheitsupdates fallen im Jänner ungewöhnlich mager aus. Nur das 3D-Programm "Substance 3D Stager" wird mit Sicherheitsupdates versorgt. Wer diese Anwendung einsetzt, sollte zügig auf Version 2.1.4 updaten.

Quelle: 'Patchday Adobe: Mehrere Schwachstellen in Substance 3D Stager geschlossen' auf Heise Online

zur Übersicht

13.01.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Sicherheitsupdates für Dell- und Lenovo-BIOS' auf Heise Online

Quelle: 'Sicherheitsupdates: Schadcode- und DoS-Attacken auf Qnap NAS möglich' auf Heise Online

Quelle: 'Synology warnt vor Sicherheitslücke im DSM-Betriebssystem' auf Heise Online

Quelle: 'IBM warnt vor Sicherheitslücke in Db2' auf Heise Online

Quelle: 'Jetzt patchen! Attacken auf Messaging-Plattform Apache RocketMQ' auf Heise Online

Quelle: 'SAP-Patchday: Teils kritische Lücken in Geschäftssoftware' auf Heise Online

Quelle: 'Fortinet: Sicherheitsupdate gegen Rechteverwaltungsfehler in FortiOS und -Proxy' auf Heise Online

Quelle: 'Zerodays bei Ivanti aktiv genutzt: Connect Secure und Policy Secure sinds nicht' auf Heise Online

Quelle: 'Sicherheitspatch: API-Fehler in Cisco Unity Connection macht Angreifer zum Root' auf Heise Online

Quelle: 'Zoho ManageEngine: Kritische Sicherheitslücke in ADSelfService Plus' auf Heise Online

Quelle: 'Sicherheitspatch: IBM Security Verify für Root-Attacken anfällig' auf Heise Online

Quelle: 'Juniper Networks bessert zahlreiche Schwachstellen aus' auf Heise Online

Quelle: 'Splunk, cacti, checkmk: Sicherheitslücken in Monitoring-Software' auf Heise Online

zur Übersicht

05.01.2024 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.200 behebt 6 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Update für Google Chrome schließt sechs Sicherheitslücken' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.205 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 3 (6.5.3206.50) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die 6 Sicherheitslücken, sondern auch andere Fehler.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (3) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Das Entwickler-Team von Microsoft Edge hat noch keine neue Edge-Version fertiggestellt. Damit endet der gute Lauf der letzten 2 bis 3 Updates, die relativ zügig bereitgestellt wurden. Übermäßige Sorgen sollte man sich keine machen, da laut Google keine der Lücken aktiv ausgenützt wird, es zeigt aber einmal öfter warum Vivaldi auch in Sachen Sicherheit der bessere Browser ist.

zur Übersicht

05.01.2024 – Google Konto gehackt? – Passwort-Änderung nutzlos!

Google LogoFalls die Zugangsdaten für ein Google Konto durch einen Virus auf dem Computer abgegriffen wurden, nützt im schlimmsten Fall nicht einmal das Ändern des Passworts vor Missbrauch. Durch eine fehlerhaft programmierte Schnittstelle bei Google können Angreifer, die einmal in den Besitz eines Google-Session-Cookies gelangt sind, sich immer wieder Zugriff auf den Account verschaffen, selbst wenn zwischenzeitlich das Passwort geändert wurde.

Somit hat das Opfer keinerlei Möglichkeiten mehr sein Konto vor unbefugtem Zugriff zu schützen. Wenn der Angreifer das möchte, kann er umgekehrt sogar das Opfer selbst von seinem Account aussperren. Abhilfe gibt es im Moment keine, außer das Google-Konto selbst komplett zu löschen, was aber für die meisten Besitzer eines Google-Kontos wohl keine Option sein dürfte. Für alle Google Anwender bleibt also nur zu hoffen, dass sie einerseits gar nicht erst Opfer derartiger Viren werden und zum anderen das Google den Fehler in der Schnittstelle möglichst bald behebt.

Quelle: 'Malware stiehlt Google-Cookies – auch Passwortänderung wirkungslos' auf Heise Online

zur Übersicht

05.01.2024 – IrfanView mit Mini-Update

IrfanView LogoWenige Tage nach Version 4.65 hat der IrfanView-Programmierer nun Version 4.66 nachgelegt. Darin wurden 3 kleinere Fehler der Vorversion wieder ausgebügelt. Um alle Fehler zu beheben, muss neben IrfanView selbst aber auch die Plugin-Sammlung aktualisiert werden.

Info: IrfanView Changelog (Englisch)

Download: IrfanView Version 4.66, 64Bit, Deutsch

Download: IrfanView Plugins Version 4.66, 64Bit, Deutsch

zur Übersicht

05.01.2024 – SSD Preise steigen rasant!

HDD LogoWährend die Preise für SSDs und USB-Sticks die letzten Jahre kontinuierlich gefallen sind, steigen sie nun wieder rasant an. Gründe dafür sind die verringerten Produktionskapazitäten wie die gestiegene Nachfrage. Wer also vorhat, sich auf absehbare Zeit eine neue SSD oder USB-Sticks zu kaufen, sollte das möglichst bald noch tun. Eine baldige Umkehr dieses Zyklus ist unwahrscheinlich, erfahrungsgemäß dürften die Preise über Jahre hinweg wieder steigen.

Quelle: 'SSD-Preise steigen zum Jahreswechsel teils drastisch' auf Heise Online

zur Übersicht

05.01.2024 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'BSI: Windows-Treibermanagement ist "herausfordernd", Härtung empfehlenswert' auf Heise Online

Quelle: 'Kritische Schadcode-Lücke gefährdet Ivanti Endpoint Manager' auf Heise Online

Quelle: 'Neue Lücke in altem E-Mail-Protokoll: SMTP smuggling' auf Heise Online

Quelle: 'Sicherheitsupdate: Schadcode-Attacken auf Juniper Secure Analytics möglich' auf Heise Online

Quelle: 'Lücke in Barracuda E-Mail Security Gateway ermöglichte Code-Einschleusung' auf Heise Online

Quelle: 'Netzwerkanalysetool Wireshark gegen mögliche Attacken abgesichert' auf Heise Online

zur Übersicht

22.12.2023 – Wir wünschen ein frohes Fest

Weihnachten BildWir wünschen allen Lesern ein frohes Weihnachtsfest. Auf das nur sichere Hardware unter dem Christbaum liegt :)

zur Übersicht

22.12.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.130 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Da die Lücke bereits aktiv ausgenutzt wird, sollten Anwender von Google Chrome so rasch wie möglich updaten.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome: Zero-Day-Lücke wird angegriffen, Update verfügbar' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben das Sicherheitsupdate aus Chromium 120.0.6099.130 übernommen, ohne aber die komplette neue Chromium-Version zu übernehmen. Gründe dafür werden nicht. Auch Vivaldi Anwender sollten so rasch wie möglich auf die neue Version updaten, falls nicht bereits durch das automatische Update erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Das Entwickler-Team von Microsoft Edge hat es auch diese Woche geschafft Release Notes rechtzeitig zur neuen Version bereitzustellen. Wer Microsoft Edge verwendet sollte möglichst rasch auf Version 120.0.2210.91 updaten. Diese Version behebt die oben erwähnte Chromium-Sicherheitslücke.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

22.12.2023 – Thunderbird 115.6 behebt Sicherheitslücken

Mozilla Thunderbird LogoDie Entwickler von Thunderbird haben die Version 115.6 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 11 Sicherheitslücken behoben, wovon 4 eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bzw. "gering" bezeichnet werden.

Abgesehen von den Sicherheitskorrekturen ist die Zahl der restlichen Verbesserungen und Fehlerkorrekturen recht überschaubar, es scheint also so, als wäre die 115er Serie mittlerweile halbwegs ausgereift.

Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Info: 'Thunderbird 115.6.0 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

22.12.2023 – Firefox 121 bringt Sicherheitsupdate

Mozilla Firefox LogoMozilla hat Firefox 121 veröffentlicht. Die neue Version behebt 18 Sicherheitslücken wovon 5 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 11 Lücken geschlossen, wovon 3 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.6.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Firefox und Thunderbird: Sicherheitslücken geschlossen und Funktionen ergänzt' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

22.12.2023 – Angriffe auf Qnap NAS!

QNAP LogoSicherheitsforscher berichten aktuell von massiv angestiegenen Angriffen auf NAS-Systeme von QNAP. Interessant daran ist, dass die zugrunde liegende Sicherheitslücke von QNAP eigentlich schon 2014 behoben wurde. Das zeigt leider einmal mehr, wie wenig Zeit NAS-Besitzer dem Thema Sicherheit einräumen, mit teils fatalen Folgen. Daher wie üblich der Aufruf an alle Besitzer eines NAS (egal welcher Hersteller) – bitte sowohl Betriebssystem als auch Anwendungen immer aktuell halten.

Details zu den Angriffen findet man in dem verlinkten heise Online Artikel. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!

Quelle: 'Jetzt patchen! Botnetz InfectedSlurs hat es auf Qnap NAS abgesehen' auf Heise Online

zur Übersicht

22.12.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Kritische Lücken in Mobile-Device-Management-Lösung Ivanti Avalanche geschlossen' auf Heise Online

zur Übersicht

15.12.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.110 behebt 9 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt. Alle Anwender von Google Chrome sollten wie üblich zügig auf die neue Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Vivaldi LogoVivaldi:

Die Vivaldi Entwickler haben nun die Version 6.5 fertiggestellt und veröffentlicht. Sie bringt neben etlichen Neuerungen (sieh Artikel unten) auch die abgesicherte Chromium Engine 120.0.6099.121 mit, womit man Google aktuell sogar deutlich voraus ist. Vivaldi Anwender sollten zügig auf die neue Version updaten, falls nicht bereits durch das automatische Update erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Vivaldi feiert die Feiertage mit einem funktionsreichen Update' auf Vivaldi.com

Microsoft Edge LogoMicrosoft Edge:

Das Entwickler-Team von Microsoft Edge hat es auch diese Woche geschafft Release Notes rechtzeitig zur neuen Version bereitzustellen. Wer Microsoft Edge verwendet sollte möglichst rasch auf Version 120.0.2210.77 updaten. Diese Version behebt nicht nur die 9 Chromium Lücken wie oben erwähnt, sondern zusätzlich auch noch ein weiteres Edge-spezifisches Sicherheits-Problem.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

15.12.2023 – Vivaldi veröffentlicht Version 6.5

Vivaldi LogoGestern haben die Vivaldi-Entwickler Version 6.5 des gleichnamigen Browsers veröffentlicht. Zum Einsatz kommt nun Chromium 120.0.6099.121, womit man sicherheitstechnisch wieder ganz vorne dabei ist.

Vivaldi 6.5 ist mal wieder ein recht großes Update, weshalb es auch nicht ganz zu Unrecht als "Weihnachtsgeschenk" angepriesen wird. Die Liste der Neuerungen ist lang und diesmal sollte für alle Anwender etwas Nützliches dabei sein.

Sitzungs-Panel:
Den Anfang macht das neue Session-Panel. Vivaldi konnte schon von Anfang an Sessions, bzw. "Sitzungen" wie es in der deutschen Oberfläche heißt, speichern und wiederherstellen, aber die Funktion war etwas mühsam über Menüs zu erreichen. Das neue Panel macht die Sitzungen mit einem Klick zugänglich. Außerdem lasen sich Sitzungen nun auch öffnen und bearbeiten, sodass man z.B. nun auch einzelne Tabs aus einer alten Sitzung wiederherstellen kann. Des Weiteren kann man jetzt auch eine automatische Sicherung der Sitzungen aktivieren und dabei den Zeitraum wählen wie lange diese aufbewahrt werden sollen.

Synchronisation:
Der Umfang der Synchronisation wurde in den letzten Ausgaben laufend erweitert, so auch in Dieser. Neben dem vollständigen Verlauf werden nun auch die Notizen synchronisiert. Zudem sind die synchronisierten Tabs jetzt auch direkt über die Adressleiste zugänglich und nicht nur über das Cloud-Icon.

Arbeitsbereichs-Regeln:
Arbeitsbereiche sind eine tolle Funktion, aber Vivaldi 6.5 macht sie noch ein bisschen besser durch Arbeitsbereichs-Regeln. Was kompliziert klingt, sind einfach nur einfache Regeln mit denen man bestimmte Adressen einem Arbeitsbereich zuordnen kann. So kann man z.B. einen Amazon-Tab automatisch im Arbeitsbereich "Einkaufen" öffnen.

Auf der Blog-Seite zur neuen Version werden alle neuen Funktionen ausführlich beschrieben und auch mit jeweils einem Video vorgestellt. Anschauen lohnt sich, vielleicht ist ja etwas dabei das auch ihr Leben in Zukunft leichter macht.

Quelle: 'Vivaldi feiert die Feiertage mit einem funktionsreichen Update' auf Vivaldi.com

Quelle: 'Englischer Blog-Artikel zur neuen Vivaldi-Version mit Changelog' auf Vivaldi.com

zur Übersicht

15.12.2023 – Sicherheitsupdate für zahlreiche Adobe Programme

Adobe LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe After Effects

In Adobe After Effects wurden 3 kritische und eine "moderate" Sicherheitslücke behoben. Alle Anwender von After Effects sollten zügig auf Version 23.6.2 (2023) oder 24.1 (2024) updaten und alle älteren Fassungen deinstallieren. Alle älteren Jahrgänge erhalten keinen Support mehr und sollten deinstalliert werden.

Quelle: Adobe Security Bulletin APSB23-75 (Englisch)

Adobe Dimension

In Adobes 3D-Programm 'Dimension' wurde eine "wichtige" und 3 "moderate" Schwachstellen behoben. Anwender des Programms sollten bei Gelegenheit auf Version 3.4.11 updaten.

Quelle: 'Adobe Security Bulletin APSB23-71' auf Adobe.com (Englisch)

Adobe Experience Manager

Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine ellenlange Liste an "wichtigen" Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.

Quelle: Adobe Security Bulletin APSB23-72 (Englisch)

Adobe Illustrator

Im Vektorgrafik Programm Illustrator hat Adobe drei als "kritisch" eingestufte Sicherheitslücken behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.9.1 (2023) oder 28.1 (2024) updaten.

Info: Adobe Security Bulletin APSB23-68 (Englisch)

Adobe InDesign

Im Layout-Programm InDesign hat Adobe zwei Sicherheitslücken mit Risikoeinstufung "wichtig" behoben. Anwender des Programmes sollten froh sein, dass die Lücken kein hohes Risiko-Potenzial haben, denn entweder steht das Update noch nicht bereit, oder Adobe hat sich verschrieben. Das Bulletin nennt die Versionen 18.5.1 sowie 19.1 als abgesichert. Aber eine Version 19.1 ist aktuell (zumindest in Österreich) nicht zu bekommen. Die neueste 2024er-Version die man hierzulande bekommt, ist die 19.0.1. Wie schon geschrieben, muss man sich zum Glück aufgrund des geringen Risikos darüber nicht allzu viele Sorgen machen. Ein Update auf die neueste 2023- oder 2024er-Version ist aber natürlich anzuraten.

Info: Adobe Security Bulletin APSB23-70 (Englisch)

Adobe Prelude

In Prelude hat Adobe eine "moderate" Sicherheitslücke behoben. Das Update auf Version 22.6.1 behebt die Probleme.

Quelle: Adobe Security Bulletin APSB23-67 (Englisch)

Adobe Substance 3D Sampler

In Adobes 3D-Programm 'Substance 3D Sampler' wurden 6 "kritische" Sicherheitslücken behoben. Anwender des Programms sollten so rasch wie möglich auf Version 4.2.2 updaten.

Quelle: 'Adobe Security Bulletin APSB23-74' auf Adobe.com (Englisch)

Adobe Substance 3D Stager

In Adobes 3D-Programm 'Substance 3D Stager' wurden zwei "wichtige" Sicherheitslücken behoben. Anwender des Programms sollten auf Version 2.1.3 updaten.

Quelle: 'Adobe Security Bulletin APSB23-73' auf Adobe.com (Englisch)

zur Übersicht

15.12.2023 – Microsoft's Tag der Updates

Microsoft LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Patchday Microsoft: Outlook kann sich an Schadcode-E-Mail verschlucken' auf Heise Online

zur Übersicht

15.12.2023 – Die nächsten Sicherheitslücken in Zoom

Malware LogoWieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.16.5 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.

Quelle: 'Zoom behebt Sicherheitslücken unter Windows, Android und iOS' auf Heise Online

zur Übersicht

15.12.2023 – Die nächste Bluetooth Sicherheitslücke

Bluetooth LogoNachdem es jetzt einige Monate verhältnismäßig ruhig war rund um das Thema Bluetooth-Unsicherheit, schlagen die Negativmeldungen jetzt wieder deutlich häufiger ein. Gerade erst vor 2 Wochen hatten wir über BLUFFS berichtet, nun ist eine neue Lücke dran die nicht mit einem "schicken Namen" versehen wurde, aber deshalb nicht weniger kritisch ist.

Sicherheitsforscher Marc Newlin hat Lücken in mehrere Bluetooth Stacks gefunden, die zum Teil auf eine mangelhafte Spezifikation durch die Bluetooth SIG zurückzuführen ist, zum Teil aber auch auf eine mangelhafte Umsetzung der Programmierer. Und die Lücke könnte kaum kritischer sein, ermöglicht sie doch Tastatureingaben aus der Umgebung, ohne jedwedes Zutun des "Opfers".

Windows ist glücklicherweise nicht betroffen, das heißt die Windows Entwickler haben hier mal besser gearbeitet als die von Linux, Apple und Google. Deren Betriebssysteme, also macOS, iOS usw. sowie die diversen Linux- und Android-Distributionen sind oder waren verwundbar. Und hier ist auch schon ein großer Unterschied zu früheren Bluetooth-Lücken, dadurch, dass die Probleme rein in der Software liegen, können sie auch viel schneller behoben werden. Sowohl die Apple Betriebssysteme, Android als auch die diversen Linux-Derivate sollten mittlerweile bereits abgesichert sein. Die Krux hier ist wie üblich der Punkt, das nur Systeme sicher sind, die auch noch regelmäßig mit Updates versorgt werden. Irgendwelche Uralt-Systeme die seit Monaten kein Update gesehen haben, sind noch verwundbar und dann eben so richtig!

Sogar die oft kritisierten IoT-Geräte, also das ganze "Spielzeug" und Gadgets, das mit Bluetooth daherkommt, sollte dieses Mal relativ Safe sein. Sicherheitsupdates sucht man hier zwar oft vergeblich, aber die wenigsten Geräte dürften überhaupt für Tastatur-Eingaben ausgelegt sein, weshalb Angriffe hier unwahrscheinlich sind. Unwahrscheinlich bedeutet aber nicht unmöglich – gut möglich also, dass ein nicht aktualisiertes BT-fähiges Gadget in einer Firma als Einfallstor für umfangreichere Attacken missbraucht werden kann. In sicherheitskritischen Firmenumgebungen haben daher Bluetooth-Geräte generell nichts zu suchen.mit Bluetooth-Chip (wie auch bei den meisten IoT-Geräten) ist so oder so nicht davon auszugehen, dass die jemals ein Update erhalten werden.

Und so bleibt das Fazit des Artikels dasselbe wie schon bei all den vorhergegangenen Artikeln zum Thema Bluetooth – wenn möglich abschalten! Bluetooth war nie sicher, ist nicht sicher und wird auch nie sicher sein.

Quelle: 'Bluetooth-Lücke: Tastenanschläge in Android, Linux, iOS und macOS einschleusbar' auf Heise Online

zur Übersicht

15.12.2023 – Qnap: Rasch Sicherheitsupdates installieren!

QNAP LogoQnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- oder QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!

Quelle: 'Sicherheitslücken: Angreifer können Schadcode auf Qnap NAS schieben' auf Heise Online

zur Übersicht

15.12.2023 – Wieder Sicherheitslücken in WordPress

WordPress LogoFür das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'WordPress Elementor: Halbgarer Sicherheitspatch gefährdete Millionen Websites' auf Heise Online

zur Übersicht

15.12.2023 – Netatmo-Sicherheitskameras gefährden Privatsphäre

Malware LogoHeise Online hat einen längeren Artikel veröffentlicht der schildert, wie zwei Sicherheitskameras von Netatmo von einer "Sicherheitskamera" zum Privatsphären-Alptraum mutieren können. Gleich vorweg, in dem Artikel sind letztendlich "nur" 2 Familien betroffen, er zeigt aber stellvertretend sehr gut auf, wie hoch die Gefahren sind die man sich mit solchen "Sicherheitskameras" an Board holt.

Man sollte sich also gut überlegen, ob man überhaupt eine "Sicherheitskamera" braucht, wo man diese platziert und welches Modell man letztendlich kauft. Wenn schon, würden wir unbedingt eine Kamera ohne Cloud-Anbindung empfehlen. Hier muss man dann zwar etwas mehr Arbeit investieren, wenn man von unterwegs darauf zugreifen möchte, man liefert aber private Daten nicht an irgendwelche externe Rechenzentren, wo man nicht weiß was dort damit geschieht und wer aller Zugriff darauf hat. Was der Artikel auch noch zeigt ist, dass man sich von irgendwelchen ISO-Zertifikaten und Datenschutzversprechungen nicht einlullen lassen darf. All das hat die Firma Netatmo eigentlich, und trotzdem war deren Reaktion auf dieses Datenschutzproblem katastrophal.

Quelle: 'Unerwünschte Einblicke: Fataler Fehler bei Netatmo-Sicherheitskameras' auf Heise Online

zur Übersicht

15.12.2023 – IrfanView mit Neuerungen und Sicherheitsupdate

IrfanView LogoDer Programmierer von IrfanView hat eine neue Version des beliebten Bildbetrachters veröffentlicht. Dies bringt unter anderem eine dunkle Benutzeroberfläche, die über die Optionen einschaltbar ist, aber unserer Meinung nach noch etwas Feinschliff vertragen könnte, eine Vorschau-Funktion beim Kopieren/Verschieben-Dialog und viele weitere Verbesserungen. Das (leider nur in Englisch verfügbare) Changelog listet alle Neuerungen auf.

Von den funktionalen Verbesserungen abgesehen kommt IrfanView 4.65 auch mit einem Sicherheitsupdate. Oder genauer gesagt die zugehörige Plugin-Sammlung enthält ein Sicherheitsupdate. Das JPEG2000 Plugin wurde von einem kleinen Sicherheits-"Problemchen" befreit. Um von dem Problem aber überhaupt betroffen zu sein, muss die Plugin-Sammlung installiert und das JPEG2000-Plugin in den Einstellungen aktiviert sein. Dennoch empfehlen wir allen Anwendern natürlich das Update auf die neue Version. Wer die Plugins installiert hat, sollte natürlich auch diese aktualisieren.

Info: IrfanView Changelog (Englisch)

Download: IrfanView Version 4.65, 64Bit, Deutsch

Download: IrfanView Plugins Version 4.65, 64Bit, Deutsch

zur Übersicht

15.12.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Patchday: 15 Sicherheitswarnungen von SAP' auf Heise Online

Quelle: 'Sicherheitsupdate Apache Struts: Uploadfunktion kann Schadcode passieren lassen' auf Heise Online

Quelle: 'Squid-Proxy: Denial of Service durch Endlosschleife' auf Heise Online

Quelle: 'Sicherheitsupdates: Fortinet schützt Firewalls & Co. vor möglichen Attacken' auf Heise Online

zur Übersicht

09.12.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.60.99.63 behebt 10 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt. Alle Anwender von Google Chrome sollten wie üblich zügig auf die neue Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Zehn Sicherheitslücken in aktueller Chrome-Version geschlossen' auf Heise Online

Vivaldi LogoVivaldi:

Wie bei Sprüngen der Hauptversion leider nicht unüblich haben die Vivaldi-Entwickler noch keine fertige neue Version mit Chromium 120 Unterbau fertig. Die Vorabversionen kommen aber momentan täglich, was eine Veröffentlichung nächste Woche sehr wahrscheinlich macht. Da die Vivaldi-Entwickler bei sehr dringenden Sicherheitslücken in der Regel Fixes auch für ältere Versionen ausliefern, müssen Anwender sich vermutlich keine Sorgen machen.

Microsoft Edge LogoMicrosoft Edge:

Das Entwickler-Team von Microsoft Edge hat es auch diese Woche geschafft Release Notes rechtzeitig zur neuen Version bereitzustellen. Wer Microsoft Edge verwendet sollte möglichst rasch auf Version 120.0.2210.61 updaten. Diese Version behebt nicht nur die 10 Chromium Lücken wie oben erwähnt, sondern zusätzlich auch noch 3 weitere Edge-spezifische Sicherheits-Probleme. Was Microsoft in dem Release-Notes gut versteckt, im Heise Online Artikel aber ausdrücklich erwähnt wird ist, dass Microsoft nun umfangreichere Nutzerdaten sammelt, wenn man das nicht explizit abschaltet. Wir empfehlen allen Anwendern von Microsoft Edge dies auch zu machen um den Datenschutz nicht zu verschlechtern.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

Quelle: 'Sicherheitslücke in Microsoft Edge ermöglicht Codeschmuggel' auf Heise Online

zur Übersicht

09.12.2023 – Neue VeraCrypt Versionen: sicherer & kompatibler

VeryCrypt LogoDie Laufwerksverschlüsselung VeryCrypt wurde nach weit mehr als einjähriger Entwicklungszeit auf Version 1.26.7 aktualisiert. Laut Hersteller ist diese Version ein großer Schritt nach vorne in puncto Sicherheit. Allerdings schneidet die neue Version auch alte Zöpfe ab. In der Vorversion wurde der Support für Windows 8 und älter eingestellt (wir hatten berichtet) diesmal fällt die Unterstützung für TrueCyrpt-Dateien weg. Wer immer noch Dateien/Laufwerke in Verwendung hat die ursprünglich mit TruCrypt erstellt wurden, sollte diese also unbedingt konvertieren, bevor man auf Version 1.26.7 upgradet.

Es ist auch bereits eine noch neuere Version als Beta-Ausgabe verfügbar. Für Windows 11 Anwender könnte das interessant sein, denn 1.26.10 verbessert unter anderem die Einbindung in besagtes Windows 11. Wer das stabile Windows 10 einsetzt und mit VeraCrypt 1.26.7 keine Probleme feststellen kann, sollte aber vorerst bei der offiziellen Version bleiben.

Download: VeraCrypt v1.26.7, Windows, Mehrsprachig, 36 MB

Info: VeraCrypt Release Notes (Englisch)

zur Übersicht

09.12.2023 – Wieder Sicherheitslücken in WordPress

WordPress LogoFür das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Sicherheitsupdate: WordPress unter bestimmten Bedingungen angreifbar' auf Heise Online

zur Übersicht

09.12.2023 – LibreOffice 7.6.4 veröffentlicht

LibreOffice LogoNach all den Sicherheitslücken zum Abschluss auch noch eine erfreuliche Nachricht. Die LibreOffice-Entwickler haben Version 7.5.9 und 7.6.4 der freien Büro-Suite veröffentlicht.

Wie üblich ist die "Punkt 4"-Ausgabe einer Hauptversion für uns der Startschuss diese Version selbst einzusetzen. Da wir das noch nicht lange machen haben wir noch keine Langzeiterfahrung, aber bisher haben wir keine Probleme gegenüber Version 7.5.8 feststellen können. Die 7.5er Serie hat ebenfalls ein Update auf Version 7.5.9 erhalten, diese ist aber nur für macOS-Anwender relevant, für Windows bringt sie keinerlei Verbesserungen mit sich.

Die 7.6er Version bringt ein paar spannende Neuerungen mit sich. So lassen sich Tabellen nun nach Farben sortieren, ein neuer Assistent erleichtert das Einfügen von z.B. Seitenzahlen in die Fußzeile, Tabellen in Writer laufen nun schöner über mehrere Seiten hinweg, Links in Tabellen-Dokumenten werden hübscher angezeigt und vieles mehr.

Was wir in der Liste der Neuerungen nicht gesehen haben und daher eine weitere positive Überraschung war, ist die hübschere Ansicht von Inhaltsverzeichnissen. Während diese in Ausdrucken auch bisher schon schön formatiert waren, wurden sie in LibreOffice selbst immer mit grauem Hintergrund dargestellt. Das sieht nun erheblich hübscher und moderner aus.

Wer auf die neuen Funktionen der 7.6er Serie verzichten kann, kann bis auf Weiteres noch bei Version 7.5.7 bleiben. Wir schätzen aber, dass es bald Sicherheitsupdates geben wird, die ein Upgrade auf die 7.6er Version nötig machen werden, da der Support für die 7.5er Serie eingestellt wurde.

Übrigens ist das der letzte Versionszweig mit einer 7 am Anfang. Die nächste LibreOffice-Hauptversion wird mit 24 beginnen. Das bedeutet nicht, dass LibreOffice einfach mal eben so 17 Versionen überspringt, stattdessen wird in Zukunft das Datum verwendet und da diese Version erst nächstes Jahr erscheinen wird, wird es eben eine Version 24 werden.

Download: Aktuelle LibreOffice Versionen

zur Übersicht

09.12.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Active Directory über dynamische DNS-Updates angreifbar' auf Heise Online

Quelle: 'Support ausgelaufen: Mehr als 20.000 Exchange Server potenziell angreifbar' auf Heise Online

Quelle: 'Sicherheitspatch verfügbar: Kritische Lücke in VMware Cloud Director behoben' auf Heise Online

Quelle: 'Sicherheitsupdate: Verwundbare Komponenten gefährden Nessus Network Monitor' auf Heise Online

Quelle: 'Entwicklungsplattform: Neue GitLab-Versionen beheben zehn Sicherheitslücken' auf Heise Online

Quelle: 'Sicherheitsupdates: Angreifer können Zyxel-NAS mit präparierten URLs attackieren' auf Heise Online

Quelle: 'Neue Squid-Version behebt Denial-of-Service-Lücken' auf Heise Online

Quelle: 'Codeschmuggel in Atlassian-Produkten: Vier kritische Lücken aufgetaucht' auf Heise Online

zur Übersicht

01.12.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 119.0.6045.199 behebt 7 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der Extended Stable Zweig von Chromium wurde auf Version 118.0.5993.159 aktualisiert. Wie üblich gibt Google hier aber keinerlei Informationen zu Umfang und Bedrohungsgrad eventuell behobener Sicherheitslücken preis.

Da eine der Lücken bereits aktiv ausgenützt wird, sollten Anwender von Google Chrome so schnell wie möglich auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Jetzt patchen! Attacken auf Google Chrome' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version (118.0.5993.161) am Dienstag in Form von Vivaldi 6.4 Update 4 veröffentlicht.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (4) for Vivaldi Desktop Browser 6.4' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Das Entwickler-Team von Microsoft Edge hat es auch diese Woche geschafft Release Notes rechtzeitig zur neuen Version bereitzustellen. Wer Microsoft Edge verwendet sollte möglichst rasch auf Version 119.0.2151.97 updaten.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

01.12.2023 – Sicherheitslücken in Überwachungskameras von Hikvision, Ezviz und weiteren

Überwachungskamera LogoIn Überwachungskameras und Netzwerkvideorekordern des Herstellers Hikvision wurden Sicherheitslücken entdeckt, die es Angreifern sehr einfach ermöglichen auf die Bilder/Videos der Geräte zuzugreifen. Die Geräte dieses Herstellers werden jedoch nicht nur über den Namen Hikvision vertrieben, sondern auch als "Ezviz" und weiteren Marken-Namen.

Besitzer eines Gerätes von Hikvision sollten in dem Sicherheitsbericht nachsehen, ob dieses von den Sicherheitslücken betroffen ist. Ist dies der Fall, sollte man die Firmware des Gerätes aktualisieren. Allerdings sieht es Stichproben nach zu urteilen so aus, als würde noch lange nicht für jedes Gerät auch eine aktualisierte Firmware parat stehen.

Für Besitzer eines Gerätes der Marke "Ezviz" gilt das gleiche, nur das hier analog der Sicherheitsbericht von Ezviz zurate gezogen werden muss. Im Gegensatz zur sehr langen Liste betroffenere Geräte bei der Muttergesellschaft sind hier aber nur 4 Kameras betroffen. Das Update soll über die Ezviz-App möglich sein.

Über Lücken in Geräten die über andere Markennamen verkauft werden, aber letztendlich ebenfalls von Hikvision stammen ist bisher leider nichts bekannt. Hier kann man nur hoffen das diese Anbieter ebenfalls zügig reagieren und Updates bereitstellen.

Quelle: 'Sicherheitslücke in Hikvision-Kameras und NVR ermöglicht unbefugten Zugriff' auf Heise Online

Quelle: 'Sicherheitsbericht von Hikvision' auf hikvision.com (Englisch)

Quelle: 'Sicherheitsbericht von EZVIZ' auf ezviz.com (Englisch)

zur Übersicht

01.12.2023 – Wieder neue Bluetooth Sicherheitslücke

Bluetooth LogoWer unsere News-Artikel regelmäßig liest, für den ist das Thema Bluetooth Unsicherheit nichts Neues. Wir haben schon unzählige Artikel über diverse Bluetooth-Sicherheitslücken geschrieben, und werden das wohl auch in Zukunft immer wieder mal machen müssen. Dafür steht das Thema Sicherheit bei der Bluetooth SIG (die Organisation die für den Bluetooth-Standard verantwortlich ist) einfach zu weit unten auf der Prioritätenliste (falls Sicherheit überhaupt auf der Agenda steht).

So ist es nicht weiter verwunderlich, dass ein Sicherheitsforscher wieder neue Lücken entdeckt hat. Die BLUFFS genannte Lücke lässt sich nutzen, um die eigentlich verschlüsselte Kommunikation zwischen Geräten zu belauschen. Was bei einem Kopfhörer meist noch relativ harmlos sein dürfte, kann bei Tastaturen fatal sein.

Die Bluetooth SIG hat auf die Lücken reagiert und will Korrekturen durchführen. Wie bei Bluetooth-Sicherheitslücken üblich ist aber davon auszugehen, dass die wenigsten bereits verkauften Geräte jemals ein dahingehendes Update erhalten werden. Für Besitzer ist es meist unmöglich festzustellen, welche der Sicherheitslücken in seinen Bluetooth fähigen Geräten vorhanden sind und ob es jemals Updates dafür geben wird bzw. wann. Bei den ganzen Spielzeugen mit Bluetooth-Chip (wie auch bei den meisten IoT-Geräten) ist so oder so nicht davon auszugehen, dass die jemals ein Update erhalten werden.

Und so bleibt das Fazit des Artikels dasselbe wie schon bei all den vorhergegangenen Artikeln zum Thema Bluetooth – wenn möglich abschalten! Bluetooth war nie sicher, ist nicht sicher und wird auch nie sicher sein.

Quelle: 'BLUFFS: Neue Angriffe gefährden Bluetooth-Datensicherheit auf Milliarden Geräten' auf Heise Online

zur Übersicht

01.12.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Sicherheitslücke: Schadcode-Attacken auf Solarwinds Platform möglich' auf Heise Online

Quelle: 'Apache ActiveMQ: Mehrere Codeschmuggel-Lücken von Botnetbetreibern ausgenutzt' auf Heise Online

zur Übersicht

24.11.2023 – Thunderbird 115.5 behebt Sicherheitslücken

Mozilla Thunderbird LogoDie Entwickler von Thunderbird haben die Version 115.5 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 7 Sicherheitslücken behoben, wovon 5 eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.

Abgesehen von den Sicherheitskorrekturen ist die Zahl der restlichen Verbesserungen und Fehlerkorrekturen recht überschaubar, es scheint also so, als wäre die 115er Serie mittlerweile halbwegs ausgereift.

Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Info: 'Thunderbird 115.5.0 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

24.11.2023 – Firefox 120 bringt Sicherheitsupdate

Mozilla Firefox LogoMozilla hat Firefox 120 veröffentlicht. Die neue Version behebt 10 Sicherheitslücken wovon 6 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 7 Lücken geschlossen, wovon 5 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.5.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Mozilla erweitert Datenschutz und Sicherheit von Firefox und Thunderbird' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

24.11.2023 – Sicherheitsupdates für Foxit PDF Reader und PDF Editor

Malware LogoWer anstelle des Adobe Reader bzw. Acrobat auf PDF Reader bzw. PDF Editor aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 2023.3 behebt mehrere Sicherheitslücken von denen wir ein paar durchaus als "kritisch" einstufen würden.

Wer den kostenlosen "PDF Reader" oder bereits eine 13er Version von "PDF Editor" verwendet sollte unbedingt zügig auf die aktuelle Version updaten. Wer noch Version 12 des Editors oder Foxit PhantomPDF (der alte Name von Foxit PDF Editor) einsetzt, sollte ein Upgrade auf die aktuelle Version von Foxit PDF Editor erwerben und installieren.

Quelle: 'Sicherheitsupdates: Foxit PDF unter macOS und Windows verwundbar' auf Heise Online

zur Übersicht

24.11.2023 – Neue Wege Fingerabdruckleser auszutricksen

Malware LogoDass Fingerabdruckleser eher als Spielerei, nicht aber als Sicherheitsfeature zu verstehen sind, sollte für regelmäßige Leser unserer Website bzw. Newsletter nichts Neues sein. Die meisten bisher bekannten Wege um diese Leser auszutricksen bestand darin einen Fingerabdruck "nachzubauen". Sicherheitsforscher haben nun aber Wege gefunden diese Lesegeräte auszutricksen, ohne überhaupt im Besitz des Fingerabdrucks des Opfers zu sein und auch ganz ohne Anfertigen eines Fingerabdruck-Dummies. Sie haben herausgefunden, dass mindestens 3 der bekannten Fingerabdruckleser am Markt kapitale Designfehler besitzen bzw. vorhandene Sicherheitsfunktionen nicht verwendet werden.

Wie schon gesagt, dass Fingerabdrücke keine sichere Authentifizierung ermöglichen ist nichts Neues, nun zeigt sich aber, dass sie noch leichter und schneller auszutricksen sind als bisher angenommen. Daher sollte man sich sehr gut überlegen, ob/wo man Fingerabdrücke zur Authentifizierung verwenden möchte.

Quelle: 'Windows Hello: Sicherheitsforscher fälschen Fingerabdruck mit Raspberry Pi 4' auf Heise Online

zur Übersicht

24.11.2023 – Neues zum Thema "neues" Outlook

Outlook LogoDa die Fakten zu dem Thema längst auf dem Tisch liegen – das "neue" Outlook verursacht (wie die mobilen Outlook-Apps) ein massives Datenschutz-Problem – ist das neue diese Woche eigentlich nur, das weitere Datenschützer vor dem "neuen" Outlook warnen. Aufgrund der Wichtigkeit dieses Themas gehen wir aber auch darauf gerne nochmal ein.

Diese Woche reiht sich also auch Thüringens Landesdatenschutzbeauftragter in die Gruppe der Warner ein, die von dem "neuen" Outlook abraten. Auch ein ehemaliger Datenschützer von Baden-Württemberg rät vom Einsatz des "neuen" Outlooks ab. Auch er sagt übrigens, das die Nutzung dieses E-Mail-Programs unter gewissen Umständen sogar strafbar sein kann.

Auch wenn es für manche Anwender vielleicht kein Problem sein sollte diese Programme zu verwenden, so raten wir doch weiterhin generell von deren Einsatz ab.

Quelle: 'Neues Outlook: Zugangsdatenabfluss alarmiert weitere Datenschützer' auf Heise Online

zur Übersicht

24.11.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Sicherheitsupdates: Juniper Secure Analytics ist angreifbar' auf Heise Online

Quelle: 'Code-Schmuggel: Neue Splunk-Versionen beheben Sicherheitslücken' auf Heise Online

Quelle: 'Synology schließt kritische Firmware-Lücke in Überwachungskameras' auf Heise Online

Quelle: 'Sicherheitsforscher finden kritische Fehler in KI-Werkzeugen Ray, MLflow und H2O' auf Heise Online

Quelle: 'Atlassian rüstet Jira Data Center and Server & Co. gegen mögliche Attacken' auf Heise Online

Quelle: 'Cloud-Computing-Software ownCloud und Nextcloud angreifbar' auf Heise Online

Quelle: 'Synology schließt Pwn2Own-Lücke in Router-Manager-Firmware' auf Heise Online

zur Übersicht

18.11.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 119.0.6045.160 behebt vier Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der Extended Stable Zweig von Chromium wurde auf Version 118.0.5993.144 aktualisiert. Wie üblich gibt Google hier aber keinerlei Informationen zu Umfang und Bedrohungsgrad eventuell behobener Sicherheitslücken preis.

Anwender von Google Chrome sollten zügig auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Vier Schwachstellen weniger nach Google Chrome-Update' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version (118.0.5993.146) gestern in Form von Vivaldi 6.4 Update 3 veröffentlicht.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (3) for Vivaldi Desktop Browser 6.4' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Das Entwickler-Team von Microsoft Edge hat es auch diese Woche geschafft Release Notes rechtzeitig zur neuen Version bereitzustellen. Wer Microsoft Edge verwendet sollte zügig auf Version 119.0.2151.72 updaten.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

18.11.2023 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Reader LogoAdobe Reader & Acrobat

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 23.006.20380 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB23-54 (Englisch)

Adobe After Effects

In Adobe After Effects wurden 6 kritische und zwei "moderate" Sicherheitslücken behoben. Alle Anwender von After Effects sollten zügig auf Version 23.6.2 (2023) oder 24.0.3 (2024) updaten und alle älteren Fassungen deinstallieren. Alle älteren Jahrgänge erhalten keinen Support mehr und sollten deinstalliert werden.

Quelle: Adobe Security Bulletin APSB23-66 (Englisch)

Adobe Animate:

Das ehemals Flash genannte Web-Animationsprogramm enthielt eine als "wichtig" eingestufte Sicherheitslücke. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.3 (2023) oder 24.0 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.

Info: Adobe Security Bulletin APSB23-61 (Englisch)

Adobe Audition

In Adobes Audio-Bearbeitungs-Programm Audition wurde 6 kritische und 3 weitere Sicherheitslücken mit geringerer Gefahrenstufe behoben. Anwender sollten zügig auf Version 23.6.2 (2023) oder 24.0.3 (2024) updaten um sicher zu sein.

Quelle: Adobe Security Bulletin APSB23-64 (Englisch)

Adobe Bridge:

In Adobe Bridge wurden drei moderate Sicherheitslücken behoben. Anwender, die Adobe Bridge installiert haben, sollten bei Gelegenheit auf Version 13.0.5 oder 14.0.1 updaten.

Info: Adobe Security Bulletin APSB23-57 (Englisch)

Adobe ColdFusion:

Nutzer von Adobe ColdFusion 2021 und 2023 sollten unbedingt rasch auf ColdFusion ColdFusion 2021 Update 12 bzw. ColdFusion 2023 Update 6 aktualisieren, um Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2018 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.

Quelle: 'Adobe Security Bulletin APSB23-52' auf Adobe.com (Englisch)

Adobe Dimension

In Adobes 3D-Programm 'Dimension' wurde eine "wichtige" Schwachstelle behoben. Anwender des Programms sollten bei Gelegenheit auf Version 3.4.10 (bzw. die aktuellste Version, ich bin mir nicht sicher, ob sich Adobe hier nicht vertan hat) updaten.

Quelle: 'Adobe Security Bulletin APSB23-62' auf Adobe.com (Englisch)

Adobe Framemaker Publishing Server

Im Desktop-Publishing-Programm Adobe Framemaker bzw. diesmal in dessen "Publishing Server" wurde eine kritische Sicherheitslücke gefunden und behoben. Wer den Server einsetzt, sollten so schnell wie nur irgend möglich das Update auf Version 2022 Update 1 durchführen oder den Server vom Netz nehmen.

Quelle: Adobe Security Bulletin APSB23-58 (Englisch)

Adobe InCopy:

Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier sollte unbedingt auf Version 18.5.1 oder 19.0 aktualisiert werden, um sicher zu sein.

Info: Adobe Security Bulletin APSB23-60 (Englisch)

Adobe InDesign

Im Layout-Programm InDesign hat Adobe 7 Sicherheitslücken mit mittlerer Risikoeinstufung behoben. Anwender sollten bei nächster Gelegenheit aktualisieren. Es stehen die abgesicherten Versionen 18.5.1 (2023) oder 19.0 (2024) zur Verfügung.

Info: Adobe Security Bulletin APSB23-55 (Englisch)

Adobe Media Encoder

Im Adobe Media Encoder wurden 4 kritische und eine "moderate" Sicherheitslücke behoben. Anwender, die den Media Encoder installiert haben, sollten rasch auf Version 23.6.2 (2023) oder 24.0.3 (2024) updaten.

Quelle: Adobe Security Bulletin APSB23-63 (Englisch)

Adobe Photoshop

In Photoshop 2023 und 2024 wurde eine "kritische" und 5 "wichtige" Sicherheitslücken behoben. Die 2023er Ausgabe bekommt das Sicherheitsupdate mit Version 24.7.2 und die 2024er Fassung ist ab Version 25.1 abgesichert. Sämtliche älteren Photoshop Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.

Quelle: 'Adobe Security Bulletin APSB23-56' auf Adobe.com (Englisch)

Adobe Premiere Pro

Im Video-Schnitt-Programm Premiere Pro hat Adobe 5 kritische und eine moderate Sicherheitslücke behoben. Anwender von Premiere Pro sollten zügig auf Version 23.6.2 (2023) oder 24.0.3 (2024) updaten.

Quelle: Adobe Security Bulletin APSB23-65 (Englisch)

Adobe RoboHelp Server

In Adobe RoboHelp Server wurden 4 "kritische" und eine als "moderat" eingestufte Sicherheitslücke behoben. Anwender, die die Software installiert haben, sollten so schnell wie möglich auf Version 11 Update 5 updaten.

Quelle: 'Adobe Security Bulletin APSB23-53' auf Adobe.com (Englisch)

zur Übersicht

18.11.2023 – Microsoft's Tag der Updates

Microsoft LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Patchday Microsoft: Angreifer nutzen drei Lücken in Windows aus' auf Heise Online

zur Übersicht

18.11.2023 – Intel veröffentlicht November-Sicherheitsupdates

Prozessorhersteller Intel hat mal wieder neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider sind wieder sehr viele Updates dabei, die für den Endanwender schwer bis gar nicht zu bekommen sind, da es wieder um etliche Firmware-Updates geht. Es gibt aber auch wieder ein paar einfach zu behebende Sicherheitslücken, vor allem in Grafik- und Chipsatz-Treibern.

Intel LogoSicherheitslücken in Grafik-Treibern ...

In den Grafik-Treibern für Intel’s Prozessoren und Grafikkarten wurden 7 mittelschwere Sicherheitslücken behoben. Sechsmal geht dabei um Rechteausweitung und einmal um Informationsabfluss. Auch wenn diese Lücken für Privatanwender meist weniger relevant sind, empfehlen wir allen Besitzer dieser Prozessoren bzw. Grafikkarten die Grafiktreiber zu aktualisieren. Am einfachsten gelingt dies mit dem "Intel Driver and Support Assistant". Betroffen sind Intel Prozessoren mit integrierter "Arc" bzw. "Iris XE" Grafik, sowie alle Intel Grafikkarten.

Quelle: 'Intel® Graphics Drivers Advisory - SA-00864' auf Intel.com

... und Chipsatz-Treibern

Auch in den Chipsatz-Treibern wurde eine Rechteausweitungs-Lücke behoben. Leider macht es Intel den Anwendern unmöglich zu bestimmen, ob man betroffen ist oder nicht. Intel sagt, alle Chipsatz-Treiber vor Version 10.1.19444.8378 sind betroffen. Das würde aber auch alle Uralt-Chipsätze bzw. Treiber mit einschließen, die jemals veröffentlicht wurden. Updates gibt es aber nur für Chipsätze ab der 100er Serie (ab H110, HM170, B150, Q150, QM170, QMS380, Z170, X299) und neuer. Ob ältere Chipsätze nicht betroffen sind, oder sie nur kein Update mehr erhalten, klärt das Bulletin nicht auf. Wir empfehlen daher allen Besitzern eines Computers mit Intel Prozessor die aktuellen Chipsatz-Treiber runterzuladen und versuchen diese zu installieren. Läuft die Installation durch, kann man sicher sein das Problem behoben zu haben. Meldet das Installations-Programm hingegen eine "nicht unterstützte Plattform" bleibt die bereits erwähnte Ungewissheit zurück.

Quelle: 'Intel's Chipsatz Sicherheitsmeldung - SA-00870' auf Intel.com

Download: Aktuelle Intel Chipsatztreiber von Intel.com

Und viele weitere Sicherheitsmeldungen

Die restlichen Advisories sind schwieriger umzusetzen. Wer alle Meldungen "abarbeiten" möchte, kann sich unter dem folgenden Link eine Übersicht aller Intel Sicherheitsmeldungen anzeigen lassen.

Quelle: 'Intel® Product Security Center Advisories' auf Intel.com

Quelle: 'Patchday: Intel patcht sich durch sein Produktportfolio' auf Heise Online

zur Übersicht

18.11.2023 – Wieder Sicherheitslücken in WordPress

WordPress LogoFür das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'WordPress-Plug-in: Lücke in WP Fastest Cache gefährdet hunderttausende Websites' auf Heise Online

zur Übersicht

18.11.2023 – Schutz vor Microsofts "neuem" Outlook

Microsoft Outlook LogoWie wir letzte Woche schon berichtet haben, zieht Microsoft gerade wieder einmal die Blicke von Datenschützern, Administratoren und Anwendern rund um den Globus auf sich. Das "neue" Outlook sendet Passwörter und Mails an Microsoft-Server, wodurch der Datenschutz massiv untergraben wird. Für Anwender und Firmen, die auf Datenschutz wert legen, ist dieses "neue" Outlook daher ein absolutes NoGo.

Heise Online hat in einem Artikel daher nun Informationen zusammengetragen, die zumindest verhindern sollen, dass Anwender "aus Versehen" auf das "neue" Outlook wechseln. Interessierte bzw. Firmen-Administratoren sollten das auf jeden Fall abarbeiten. Eine Lösung für Firmen, die auch nach dem Support-Ende von Outlook 2021 noch eine Datenschutzkonforme Mail-Lösung benötigen ist dies jedoch nicht. Allerdings gibt es von Microsoft auch noch gar kein Datum dafür, wann das "neue" Outlook das klassische (echte) Outlook ersetzen soll.

Quelle: 'Neues Outlook: Schutz vor zu neugieriger Microsoft-Mail-App' auf Heise Online

Quelle: 'Neues Outlook: Microsoft bezieht Stellung zur Übertragung von Zugangsdaten' auf Heise Online

zur Übersicht

18.11.2023 – Kostenloses Windows 10/11 Upgrade wirklich beendet?!

Microsoft Windows LogoOffiziell ist das kostenlose Upgrade von Windows 7/8 auf Windows 10/11 ja ohnehin schon lange Geschichte. In der Realität konnte man aber auch bis vor kurzem immer noch CD-Keys von Windows 7 und 8 für die Aktivierung von Windows 10 und 11 nutzen. Mehreren Berichten nach zu urteilen, könnte dies nun aber endgültig vorbei sein.

Wer also eine Upgrade-Lizenz für Windows 10 "besitzt" könnte beim nächsten Rechner-Upgrade oder Reparatur auch eine neue Windows 10 oder 11 Lizenz benötigen. Gebrauchte Windows 7 bzw. 8 Lizenzen sind damit über Nacht praktisch wertlos geworden.

Quelle: 'Microsoft: Windows-Aktivierungsprobleme nach Ende des Gratis-Updates' auf Heise Online

zur Übersicht

18.11.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'FortiNet flickt schwere Sicherheitslücken in FortiOS und anderen Produkten' auf Heise Online

Quelle: 'Cloud-Schutzlösung: IBM Security Guardium vielfältig attackierbar' auf Heise Online

Quelle: 'Computer-Fehler verraten geheime SSH-Schlüssel' auf Heise Online

Quelle: 'Sicherheitsupdates: Access Points von Aruba sind verwundbar' auf Heise Online

Quelle: 'VMware: Neue Cloud-Director-Version behebt kritische Sicherheitslücke' auf Heise Online

Quelle: 'Patchday: SAP behandelt nur drei Sicherheitslücken' auf Heise Online

Quelle: 'CacheWarp: Loch in Hardware-Verschlüsselung von AMD-CPUs' auf Heise Online

zur Übersicht

10.11.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 119.0.6045.124 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der Extended Stable Zweig von Chromium wurde auf Version 118.0.5993.136 aktualisiert. Wie üblich gibt Google hier aber keinerlei Informationen zu Umfang und Bedrohungsgrad eventuell behobener Sicherheitslücken preis.

Anwender von Google Chrome sollten zügig auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Google Chrome-Update dichtet Lücke mit hohem Risiko ab' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version (118.0.5993.138) gestern in Form von Vivaldi 6.4 Update 2 veröffentlicht. Neben den zu vermutenden Sicherheitslücken behebt diese neue Vivaldi Version auch weitere Kinderkrankheiten der 6.4er Reihe, weshalb Anwender zügig aktualisieren sollten, sofern nicht bereits erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (2) for Vivaldi Desktop Browser 6.4' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Das Entwickler-Team von Microsoft Edge hat es diese Woche ausnahmsweise geschafft auch Release Notes rechtzeitig zur neuen Version bereitzustellen. Damit ist einerseits geklärt, das Edge auf dem aktuellen Chromium-Sicherheitsstand ist, andererseits verrät Microsoft aber auch, das in Edge eine Sicherheitslücke mehr als in Chromium geschlossen wurde. Wer Microsoft Edge verwendet sollte zügig auf Version 119.0.2151.58 updaten.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

10.11.2023 – Finger weg vom "neuen" Outlook!

Outlook LogoHeise Online Redakteure haben eine neue Vorab-Version des "neuen" Outlooks getestet und dabei beängstigende Tatsachen festgestellt. Das "neue" Outlook fragt E-Mail-Konten nicht direkt ab, sondern leitet alle Anfragen über die Microsoft Cloud. Das heißt, jemand der sich aus Datenschutzgründen für einen E-Mail-Anbieter in der EU entschieden hat, kann diesen mit dem "neuen" Outlook gar nicht Datenschutz-konform verwenden.

Ganz neu ist dieses Verhalten aber nicht, denn auch die Mobilversionen von Outlook (Android und iOS) verwenden dieses Konzept von Anfang an. Daher raten wir auch seit der Einführung dieser mobilen Outlook-Versionen von deren Einsatz ab.

Die europäischen Datenschützer haben sich des Falls bereits angenommen. Darauf, dass Microsoft einlenken und eine DSGVO-konforme Version des Clients entwickeln wird, würden wir aber nicht wetten. Daher kann bis auf weiteres die einzige Empfehlung in Bezug auf das "neue" Outlook nur heißen – Finger weg!

Das Outlook Namenschaos!

Bis vor einigen Jahren war mit dem Begriff "Outlook" völlig klar das Programm Outlook für Windows gemeint. Dann hat Microsoft angefangen den Namen Outlook auch für den E-Mail-Dienst im Internet zu verwenden, was es schon erheblich schwieriger gemacht hat zu wissen was jeweils gemeint ist. Dann hat Microsoft noch diese mobilen Clients von "Acompli" zugekauft und auch denen den Namen "Outlook" übergestülpt, obwohl diese Mobilversionen technisch absolut nichts mit Outlook zu tun hatten und haben. Und nun soll auch auf Windows das "neue" Outlook zum Standard-E-Mail-Programm werden, obwohl auch dieses Programm technisch betrachtet mit dem "echten" Outlook-Client für Windows nichts zu tun hat. Daher fügen wir auch immer dieses "neue" vor Outlook ein, wenn wir das "neue" Outlook meinen, um klarzustellen, das damit nicht das klassische Outlook für Windows gemeint ist.

Quelle: 'Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook' auf Heise Online

Quelle: 'Microsofts Outlook-Datenumleitung: BfDI will Bericht von EU-Datenschützer' auf Heise Online

zur Übersicht

10.11.2023 – Neue Gimp Version verbessert Sicherheit und bringt neue Funktionen

Gimp LogoDie Gimp Entwickler haben Version 2.10.36 der kostenlosen Bildbearbeitungssoftware veröffentlicht. Wie früher bereits erwähnt haben liegt der Fokus der Gimp Entwickler längst auf der zukünftigen Version 3.0, daher gibt es immer weniger sichtbare Neuerungen in der 2.10 Serie.

In Version 2.10.36 wurden dennoch ein paar funktionale Verbesserungen eingepflegt. Eine neue Funktion im Verlaufs-Werkzeug ermöglicht es z.B. ganz schnell und einfach komplexe Muster zu erstellen. Die Unterstützung neuer Farbpaletten von Adobe verbessert den Datenaustausch mit Adobe Anwendern. Alle weiteren funktionalen Neuerungen können in dem bebilderten Artikel zur neuen Version auf der Gimp-Website nachgelesen werden.

Zusätzlich zu den funktionalen Neuerungen und den weiteren Fehlerkorrekturen behebt die neue Version auch 4 Sicherheitslücken. Diese stecken in den Import-Filtern für die Bildformate DDS, PSD und PSP. Alle Anwender von Gimp sollten daher auf die neue Version updaten.

Download: Gimp 2.10.36, Windows, mehsprachig

Quelle: 'GIMP 2.10.36 Released' auf Gimp.org (Englisch)

zur Übersicht

10.11.2023 – UCheck beerbt SUMo – so halbwegs

Malware LogoLetzte Woche hatten wir auf den traurigen Umstand hinweisen müssen, dass der Hersteller des Programmes SUMo den Geschäftsbetrieb eingestellt hat und SUMo daher nicht mehr verwendet werden kann. In der vergangenen Woche hatten wir nun Gelegenheit uns mit der potenziellen Alternative Namens UCheck zu befassen.

Der Installer von Ucheck bietet leider keine Möglichkeit den Installationsordner zu ändern, davon abgesehen ist daran aber nichts auszusetzen und die Installation geht schnell und einfach. Wenn man das Programm öffnet, bekommt man es mit einer gegenüber SUMo doch sehr unterschiedlichen Anwendung zu tun. Während SUMo nur eine zentrale Ansicht hatte, auf der alle gefundenen Programme übersichtlich sortiert angezeigt wurden, ist die Oberfläche von UCheck in verschiedene Bereiche gegliedert.

Auf der "Dashboard" genannten Startseite bekommt man eine Übersicht über die Anzahl der installierten Programme, ausstehender Updates und Downloads angezeigt. Auf letzteres gehen wir nicht weiter ein, da wir UCheck nicht zum Aktualisieren nutzen wollen, sondern nur um herauszufinden welche Programme aktualisiert werden sollten. Direkt nach dem Start von UCheck präsentiert das Programm hier aber gar nichts. 0 installierte Programme, 0 verfügbare Updates. Grund dafür ist, dass sich UCheck im Gegensatz zu SUMo nicht so einstellen lässt, dass es direkt nach dem Start nach Programmen und Updates sucht. Erst nach einem Klick auf "Scan" beginnt UCheck mit der Arbeit.

Der Scan selbst geht schnell und schon bald werden die zuvor erwähnten Nullen durch reale Werte ersetzt. Klickt man nun auf "Ausstehende Updates" auf dem Dashboard (bzw. auf "Updates" in der Navigationsleiste links) gelangt man in eine Ansicht mit ausstehenden Updates. Wer es wie wir bevorzugt die eigentlichen Updates von Hand zu erledigen, kann die Liste nun der Reihe nach abarbeiten. Hier ist einer der Nachteile gegenüber SUMo, das man einzelne Programme nach dem Update nicht erneut scannen kann, man muss immer einen kompletten Scan durchführen, was natürlich deutlich länger dauert. Außerdem bietet UCheck keine Möglichkeit den Ordner des gefundenen Programms zu öffnen, was wir sehr schmerzlich vermissen.

Für Anwender, die sich gerne auf Automatiken verlassen, bietet UCheck aber den Knopf "Aktionen" an, über den sich Programme auch direkt updaten lassen, sofern in der Datenbank von UCheck hinterlegt ist, wo das Update runterzuladen ist. Das geht dann wieder deutlich über den Funktionsumfang von (der kostenlosen Version von) SUMo hinaus.

Fazit:

Ein 1:1 Ersatz für SUMo ist UCheck sicher nicht, zu unterschiedlich sind die Ansätze. Administratoren werden SUMo dabei vermutlich mehr hinterherweinen als weniger erfahrene Anwender, die die integrierte Update-Funktion von UCheck vielleicht zu schätzen wissen. Da SUMo wie schon geschrieben nicht mehr verwendet werden kann, muss man sich vorerst mit UCheck arrangieren oder nach besseren Alternativen suchen. Den eigentlichen Zweck – eine möglichst umfangreiche Übersicht über fehlende Programm-Updates zu liefern, erfüllt UCheck aber sehr gut.

Download: UCheck von Adlice Software

zur Übersicht

10.11.2023 – Audacity 3.4 konzentriert sich auf Musikbearbeitung

Audacity LogoDie Audacity Entwickler haben Version 3.4.1 des beliebten Audio-Editors veröffentlicht. In der 3.4 Serie hat sich der Hersteller auf das Thema Musik-Bearbeitung konzentriert und eine neue Ansicht für die "Lineale" ersonnen – statt wie bisher "Minuten und Sekunden" lassen sich nun auch "Beats und Takte" anzeigen. Auch die Zeitanzeige unten im Audacity-Fenster lässt sich entsprechend umstellen. Zudem lassen sich Clips nun direkt in der Timeline "strecken" bzw. "stauchen", was sich qualitativ nicht hinter professioneller Konkurrenz verstecken muss laut Hersteller. Wir können hier nur ein subjektives und unprofessionelles "klingt wirklich gut" anheften.

Auch die Export-Funktion wurde überarbeitet und ist nun nicht nur einfacher und effizienter, sondern beherrscht mit Opus auch ein neues Format. Letzteres kann nun auch importiert werde, was ebenfalls praktisch ist.

Das Releasenote zeigt nicht nur die prominentesten Neuerungen in bebilderter Version (bzw. als Video), sondern listet auch noch einige weitere Verbesserungen und Fehlerkorrekturen auf. Wir haben die Version 3.4.1 einem kurzen Test unterzogen und dabei keine neuen auffälligen Probleme festgestellt. Vor allem für alle die mit Audacity tatsächlich Musik erzeugen wollen, sind die Neuerungen sicher Gold wert. Alle anderen profitieren zumindest von dem deutlich verbesserten Export sowie weiteren Bugfixes.

Download: Aktuelle Audacity Version

Quelle: 'Release Notes zu Audacity 3.4.1' auf audacityteam.org (Englisch)

zur Übersicht

10.11.2023 – Qnap: Rasch Sicherheitsupdates installieren!

QNAP LogoQnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- QuTS-hero- oder QuTScloud-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!

Quelle: 'Sicherheitsupdates QNAP: Angreifer können eigene Befehle auf NAS ausführen' auf Heise Online

zur Übersicht

10.11.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'SaaS-Analyse-Plattform: IT-Sicherheitsvorfall bei Sumo Logic' auf Heise Online

Quelle: 'Sicherheitsupdates: Zwei kritische Lücken bedrohen Monitoringtool Veeam One' auf Heise Online

Quelle: 'Kritische Atlassian-Confluence-Lücke wird angegriffen' auf Heise Online

Quelle: 'Malware-Schutz: Rechteausweitung in Trend Micros Apex One möglich' auf Heise Online

Quelle: 'Kritische Sicherheitslücke in WS_FTP erlaubt Datei-Upload an beliebige Stellen' auf Heise Online

Quelle: 'Hinweis auf Sicherheitslücke in FileZilla Server in den Releasenotes' auf filezilla-project.org

zur Übersicht

03.11.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 119.0.6045.106 behebt 15 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der Extended Stable Zweig von Chromium wurde auf Version 118.0.5993.129 aktualisiert. Wie üblich gibt Google hier aber keinerlei Informationen zu Umfang und Bedrohungsgrad eventuell behobener Sicherheitslücken preis. Aus dem Blogpost von Vivaldi lässt sich aber entnehmen, das mehrere Sicherheitslücken behoben wurden.

Anwender von Google Chrome sollten zügig auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Google Chrome bessert 15 Schwachstellen aus und kann HTTPS-Upgrades' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version (118.0.5993.129) gestern in Form von Vivaldi 6.4 Update 1 veröffentlicht. Neben den Sicherheitslücken behebt diese neue Vivaldi Version auch weitere Kinderkrankheiten der 6.4er Reihe, weshalb Anwender zügig aktualisieren sollten, sofern nicht bereits erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update for Vivaldi Desktop Browser 6.4' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Microsoft Edge hat den Sprung auf eine 119er Version gemacht, weshalb davon auszugehen ist, dass die aktuellen Sicherheitsupdates enthalten sind. Mit Gewissheit lässt sich das wie so oft bei Microsoft nicht sagen, weil es noch keine Release Notes für die neue Version gibt. Wer Microsoft Edge verwendet sollte zügig auf Version 119.0.2151.44 updaten.

zur Übersicht

03.11.2023 – Neuer VLC media player: stabiler und sicherer!

VLC media player LogoKurz nach der Version 3.0.19 des VLC Media Players, über die wir letzte Woche berichtet haben, veröffentlichen die Entwickler abermals eine neue Ausgabe. In Version 3.0.20 wurde unter anderem das Problem mit älteren AMD Grafikkarten (über das wir berichtet hatten) behoben. Aber auch die Sicherheit wurde nochmals verbessert, was das Update für alle Anwender des VLC media players empfehlenswert macht, unabhängig davon welche Grafikkarte zum Einsatz kommt.

Insgesamt wurden 5 Fehler und eine Sicherheitslücke behoben. Anwender von VLC media player sollten bei nächster Gelegenheit updaten.

Download: VLC Media Player 3.0.20 für Windows (64Bit)

Download: VLC Media Player 3.0.20 für Windows (32Bit)

zur Übersicht

03.11.2023 – SUMo-Hersteller schließt Firma

SUMo Logo"KC Softwares", der Hersteller von Programmen wie SUMo, DUMo und weiteren schließt die Pforten. Wer SUMo aktuell verwendet bekommt schnell eine Fehlermeldung zu sehen. Grund dafür ist, dass die Server des Herstellers mit Ende Oktober abgedreht wurden. Damit sind zumindest all die Programme, die auf eine Server-Verbindung angewiesen sind, wie z.B. SUMo und DUMo, schlagartig nutzlos geworden.

Über die Gründe für die Aufgabe kann man nur spekulieren. Am naheliegendsten ist, dass die Firma unterm Strich einfach nicht profitabel war. SUMo war zwar ein immens beliebtes Programm, aber eben auch in der kostenlosen Version schon sehr gut nutzbar. Daher haben wohl die wenigsten Anwender zur kostenpflichtigen Version gegriffen.

Speziell das SUMo-Ende stellt Anwender jetzt vor das Problem, eine neue Software finden zu müssen, die verlässlich auf Programm-Updates hinweist. Ein Mitarbeiter von KC Softwares erwähnt im Forum das Programm "UCheck" des Herstellers "Adlice Software". Für einen Test der Software hatten wir aber bisher noch keine Zeit, sobald wir das nachgeholt haben werden wir auch darüber berichten.

zur Übersicht

03.11.2023 – Wieder Sicherheitsprobleme mit Nvidia Treibern & Software

Nvidia LogoNvidia hat wieder einige Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. In den Grafikkartentreibern für "echte" Grafikkarten wurden in Summe 8 Lücken gefunden die teils sehr hohe Bedrohungsstufen haben. In den "virtuellen" Grafikkarten (VGPU) wurden 3 Sicherheitslücken behoben, die ebenfalls als hohe Gefahr eingestuft wurde.

Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 474.64 oder 546.01 bei den GameReady-Treibern bzw. Version 546.01 bei den Studio-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 474.64, 537.70 oder 546.01) bereit.

Quelle: 'Sicherheitsupdates Nvidia: GeForce-Treiberlücken gefährden PCs' auf Heise Online

Download: Aktuelle Grafikkarten-Treiber von Nvidia.de

zur Übersicht

03.11.2023 – Apples "Wo ist" wird zum Sicherheitsrisiko

Malware LogoApples "Wo ist"-Dienst kann Angreifern als Komplize dienen, um hochsensible Daten auszuspionieren. Der Dienst, der eigentlich zum Aufspüren verlorener Geräte gedacht ist, erlaubt es leider deutlich mehr Daten zu übertragen als eigentlich notwendig wäre. Das können sich Angreifer zunutze machen um z.B. Daten von Keyloggern zu übertragen. Dazu muss keine Software auf Fremdgeräte geschleust werden, man benötigt kein WLAN-Passwort oder sonstige Dinge an die ein Angreifer potenziell nicht so einfach gelangt. Stattdessen reicht ein einziges Apple-Gerät mit aktiviertem "Wo ist"-Dienst um die gestohlenen Daten an den Angreifer zu übertragen.

Ob Apple die Lücke im "Wo Ist" Dienst beheben kann und wird ist aktuell nicht klar. Vorerst sollte jeder Besitzer eines Apple-Gerätes diese Funktion tunlichst abschalten. Dazu geht man in die Einstellungen → "Einstellungen/[Ihr Name]/Wo ist?/Mein [Gerät] suchen" und deaktiviert dort die Option '"Wo ist?"-Netzwerk'.

Quelle: 'Apples "Wo ist": Keylogger-Tastatur nutzt Ortungsnetz zum Passwortversand' auf Heise Online

zur Übersicht

03.11.2023 – Defekte SSDs - WD bzw. Sandisk verweigert Fehlerbehebung

HDD News LogoBereits am 18.08.2023 haben wir über gehäufte Ausfälle bei externen USB-SSDs aus dem Hause Sandisk bzw. Western Digital (WD) berichtet. Offenbar hat sich in den letzten zwei Monaten nichts geändert und der Hersteller steckt weiterhin den Kopf in den Sand. Im Support-Forum des Herstellers wird die Zahl der Hilfe-suchenden immer größer, nützliche Antworten erhalten diese Kunden aber laut Heise Online Artikel nicht. Auch auf Anfragen renommierter Computer Fachzeitschriften, wie eben Heise, antwortet Western Digital nicht.

Heise Online Redakteur Mark Mantel spricht von einem desaströsen Vertrauensverlust von Sandisk bzw. Western Digital bei seinen Kunden und dem können wir leider nur zustimmen.

Wer nicht das gesamte Portfolio von Sandisk und Western Digital boykottieren möchte oder kann, sollte zumindest um externe USB-SSDs der beiden Marken einen großen Bogen machen. Wer schon so eine SSD besitzt, sollte sie nicht für wichtige Dateien verwenden oder zumindest regelmäßig Sicherungen davon erstellen.

Quelle: 'SSD-Ausfälle: Western Digital verspielt alles Vertrauen' auf Heise Online

zur Übersicht

03.11.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Sicherheitslücken: Angreifer können Schadcode in SugarCRM hochladen' auf Heise Online

Quelle: 'Jetzt patchen: Kritische Sicherheitslücke in Confluence aufgetaucht' auf Heise Online

Quelle: 'Sicherheitslücken: Angreifer können Cisco-Firewalls manipulieren' auf Heise Online

Quelle: 'Solarwinds Platform 2023.4 schließt Codeschmuggel-Lücken' auf Heise Online

Quelle: 'Lücke in VMware ONE UEM ermöglicht Login-Klau' auf Heise Online

zur Übersicht

27.10.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 118.0.5993.118. Eine der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, über die zweite Lücke hüllt Google einmal mehr Schweigen.

Die 118er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Google-Chrome-Update schließt zwei Sicherheitslücken' auf Heise Online

Vivaldi LogoVivaldi:

Die Vivaldi-Entwickler haben diese Woche nun ebenfalls auf Chromium 118 umgestellt und sind somit sicherheitstechnisch wieder absolut aktuell. Details zur neuen Vivaldi-Version gibt es weiter unten.

Microsoft Edge LogoMicrosoft Edge:

Ob die aktuelle Microsoft Edge Version 118.0.2088.69 auf dem aktuellen Sicherheitsstand ist lässt sich mangels Release-Note von Microsoft leider wieder einmal nicht feststellen, es ist aber zu vermuten. Wer noch eine ältere Edge Version im Einsatz hat, sollte daher zügig aktualisieren.

zur Übersicht

27.10.2023 – Vivaldi veröffentlicht Version 6.4

Vivaldi LogoGestern haben die Vivaldi-Entwickler Version 6.4 des gleichnamigen Browsers veröffentlicht. Zum Einsatz kommt nun Chromium 118.0.5993.122, womit man sicherheitstechnisch wieder ganz vorne dabei ist.

Vivaldi 6.4 vereinheitlicht die Versionsnummern auf allen Plattformen (Desktop, Android und iOS) auf Version 6.4. Die vor einigen Wochen veröffentlichte iOS-Version von Vivaldi hatte da ein wenig Chaos reingebracht, daher wurde auf Desktops die Version 6.3 übersprungen.

Optisch fällt vor allem ein neues "Cloud"-Icon rechts oben im Browser auf. Zwar beherrschte Vivaldi schon länger die Synchronisation von Lesezeichen und dergleichen, aber offenbar wollte man das jetzt noch etwas prominenter zeigen. Zum Glück lässt sich das Icon aber in den Einstellungen in der Kategorie "Tabs" deaktivieren in dem man das Häkchen vor "Synchroniations-Schaltfläche anzeigen" entfernt.

Weitere separat erwähnte Neuerungen sind ein Lautstärken-Regler in Popout-Videos und Kalender-Vorlagen. Das Changelog listet aber wie immer noch erheblich mehr Neuerungen und Fehlerkorrekturen auf.

Quelle: 'Vivaldi wird noch leistungsfähiger und funktioniert auf allen Geräten' auf Vivaldi.com

Quelle: 'Englischer Blog-Artikel zur neuen Vivaldi-Version mit Changelog' auf Vivaldi.com

zur Übersicht

27.10.2023 – Thunderbird 115.4.1 behebt Sicherheitslücken

Mozilla Thunderbird LogoDie Entwickler von Thunderbird haben die Version 115.4.1 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 8 Sicherheitslücken behoben, wovon zwei eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.

Von den behobenen Sicherheitslücken abgesehen gibt es eine recht lange Liste an Fehlerkorrekturen die in diese Version eingeflossen sind, was zeigt, dass die 115er Reihe noch lange nicht frei von Kinderkrankheiten war oder ist. Dennoch sollten Anwender von Thunderbird 102 zügig auf diese Version upgraden, da die 102er Serie keine Sicherheitsupdates mehr erhält.

Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Info: 'Thunderbird 115.4.1 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

27.10.2023 – Firefox 119 bringt Sicherheitsupdate

Mozilla Firefox LogoMozilla hat Firefox 119 veröffentlicht. Die neue Version behebt 11Sicherheitslücken wovon 3 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 8 Lücken geschlossen, wovon ebenfalls 3 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.4.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Sicherheitsupdates: Firefox-Browser anfällig für Clickjacking-Attacken' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

27.10.2023 – Sicherheitslücke in HP Print and Scan Doctor

HP LogoIn der HP-Anwendung "HP Print and Scan Doctor" wurde eine Sicherheitslücke behoben, über die sich normale Anwender Administratorrechte erschleichen konnten. Offenbar ist der einzige Weg diese Anwendung zu aktualisieren der "HP Support Assistant". Ist dieser installiert, sollte man damit tunlichst seine ganze HP-Software aktualisieren. Ist der Assistent nicht installiert, deinstalliert man besser auch den "Doctor".

Quelle: 'Rechteausweitung durch Lücke in HP Print and Scan Doctor' auf Heise Online

zur Übersicht

27.10.2023 – Wieder Sicherheitslücken in WordPress

WordPress LogoFür das Contentmanagement-System 'WordPress' bzw. seine Plugins sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Lücke in LiteSpeed-Cache-Plug-in gefährdet 4 Millionen WordPress-Websites' auf Heise Online

zur Übersicht

27.10.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Jetzt patchen! Attacken auf Citrix NetScaler ADC und Gateway beobachtet' auf Heise Online

Quelle: 'Proxy: Squid-Entwickler dichten teils kritische Lecks in Version 6.4 ab' auf Heise Online

Quelle: 'Exploitcode für Root-Lücke in VMware Aria Operations for Logs in Umlauf' auf Heise Online

Quelle: 'Webmailer Roundcube: Attacken auf Zero-Day-Lücke' auf Heise Online

Quelle: 'Teils kritische Lücken in VMware vCenter Server und Cloud Foundation geschlossen' auf Heise Online

Quelle: 'Sicherheitsupdates: Jenkins-Plug-ins als Einfallstor für Angreifer' auf Heise Online

Quelle: 'Sicherheitslücken im X.Org X-Server und Xwayland erlauben Rechteausweitung' auf Heise Online

Quelle: 'Lücken in Nessus Network Monitor ermöglichen Rechteerhöhung' auf Heise Online

Quelle: 'Konfigurationsprogramm von BIG-IP-Appliances als Sprungbrett für Angreifer' auf Heise Online

Quelle: 'Sicherheitslücken in VMware Tools erlauben Rechteausweitung' auf Heise Online

zur Übersicht

20.10.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder eine Sicherheitslücke in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 118.0.5993.89. Welches Risiko von der Lücke ausgeht, verschweigt Google leider wieder einmal.

Die 118er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Update dichtet eine Schwachstelle in Google Chrome ab' auf Heise Online

Vivaldi LogoVivaldi:

Wie bei Versions-Zweig-Wechseln üblich hat Vivaldi noch keine neue Version bereit. Da keine der neu bekanntgewordenen Sicherheitslücken aktiv ausgenützt werden dürfte, ist das noch kein Problem. Die Vivaldi-Entwickler arbeiten mit Hochdruck an der neuen Version, die wir in der nächsten Woche erwarten würden.

Microsoft Edge LogoMicrosoft Edge:

Ob die aktuelle Microsoft Edge Version 118.0.2088.57 auf dem aktuellen Sicherheitsstand ist lässt sich mangels Release-Note von Microsoft leider wieder einmal nicht feststellen, es ist aber zu vermuten. Wer noch eine ältere Edge Version im Einsatz hat, sollte daher zügig aktualisieren.

zur Übersicht

20.10.2023 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 387 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java LogoJava:

Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 5 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 391 aktualisieren.

Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.21, 17.0.9 oder 21.0.1 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.

Download: Aktuelle Java Version

VirtualBox:

In dem PC-Emulator VirtualBox wurden 3 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich keine der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, sollte trotzdem auf die neue Version 7.0.12 updaten, da auch einige Bugs behoben wurden.

Download: Aktuelle VirtualBox 7.x Version auf VirtualBox.org

MySQL:

Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - July 2023' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - October 2023' auf Oracle.com (Englisch)

Quelle: 'Patchday: 387 Sicherheitsflicken von Oracle' auf Heise Online

zur Übersicht

20.10.2023 – Neue VLC media player Version schließt Sicherheitslücken!

VLC media player LogoDas VideoLAN Team hat die neue Version 3.0.19 des VLC Media Players veröffentlicht. Neben den üblichen funktionalen Verbesserungen wurden auch mindestens zwei Sicherheitslücken behoben.

Alle Anwender des VLC Media Players sollten daher umgehend auf die neue Version updaten.

Nebenwirkungen:

Ganz ohne Nebenwirkungen scheint die neue VLC Version allerdings nicht zu sein. Auf einem PC mit älterer AMD-Grafik stürzte der Player im Test reproduzierbar ab. Ist hier ein Treiber-Update nicht mehr möglich, weil der Grafik-Chip schon so alt ist, hilft es oftmals in VLC selbst die Video-Ausgabe auf "Direct3D9-Videoausgabe" umzustellen (Werkzeuge → Einstellungen → Video → Ausgabe).

Download: VLC Media Player 3.0.19 für Windows (32Bit)

Download: VLC Media Player 3.0.19 für Windows (64Bit)

Quelle: NEWS-File von VLC, da noch keine Releasenotes verfügbar sind (Englisch)

zur Übersicht

20.10.2023 – AMD sichert Radeon Grafiktreiber ab

AMD LogoAMD hat ein Sicherheitsbulletin veröffentlicht, wonach der Radeon Grafiktreiber 23.9.2 eine Sicherheitslücke schließt. Diese ermöglichte es eingeschränkten Benutzern sich Administratorrechte zu verschaffen. Auf den meisten privat genutzten Computern dürfte das keine Rolle spielen, vor allem aber auf geschäftlich genutzten Computern sollte zügig auf Version 23.9.2 (oder neuer) aktualisiert werden.

Besitzer älterer Grafikkarten, die nicht mehr mit dem aktuellen Treiber kompatibel sind, müssen sich zumindest diesmal scheinbar keine Gedanken machen, da die Lücke offenbar nur relativ neue Grafikkarten (Radeon 5000 bis 7000er Serie) bzw. Prozessoren (Ryzen 6000 bis 7000er Serie) betrifft.

Update für Profikarten steht noch aus:

Wer eine Profi-Grafikkarte aus den Serien Radeon PRO W5000 bis W7000 besitzt, muss sich noch bis November gedulden. Dann soll der Treiber "23.Q4" erscheinen, der die Lücken ebenfalls schließt.

Quelle: 'AMD-Grafiktreiber: Codeschmuggel durch Sicherheitslücke möglich' auf Heise Online

zur Übersicht

20.10.2023 – Sicherheitsupdate für VMware Workstation (Player & Pro)

vmWare LogoIn der Desktop-Virtualisierungslösung VMware Workstation wurden mehrere Sicherheitslücken behoben. Anwender des Programms (egal ob Player oder Pro) sollten daher ein Update auf Version 17.5 durchführen.

Quelle: 'VMware dichtet hochriskante Lecks in Aria, Fusion und Workstation ab' auf Heise Online

zur Übersicht

20.10.2023 – Wieder Sicherheitslücken in WordPress

WordPress LogoFür das Contentmanagement-System 'WordPress' bzw. seine Plugins sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Wordpress: Übernahme durch Lücke in Royal Elementor Addons and Template' auf Heise Online

zur Übersicht

20.10.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Samba: Neue Versionen beheben mehrere Sicherheitslücken' auf Heise Online

Quelle: 'Cisco: Schwere Sicherheitslücke in IOS XE ermöglicht Netzwerk-Übernahme' auf Heise Online

Quelle: 'Sonicwall: SonicOS-Lücken ermöglichen DoS-Angriffe' auf Heise Online

Quelle: 'Sophos Firewall: PDF-Passwortschutz der SPX-Funktion umgehbar' auf Heise Online

Quelle: 'Microsoft 365: Exchange-Online-Regel markierte alle ausgehenden Mails als Spam' auf Heise Online

Quelle: 'Neue Version von SolarWinds Access Rights Manager behebt Codeschmuggel-Lücken' auf Heise Online

Quelle: 'VMware dichtet hochriskante Lecks in Aria, Fusion und Workstation ab' auf Heise Online

zur Übersicht

14.10.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 118.0.5993.71 behebt 20 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.

Die 118er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Google-Chrome-Update schließt kritische Sicherheitslücke' auf Heise Online

Vivaldi LogoVivaldi:

Wie bei Versions-Zweig-Wechseln üblich hat Vivaldi noch keine neue Version bereit. Da keine der neu bekanntgewordenen Sicherheitslücken aktiv ausgenützt werden dürfte, ist das noch kein Problem. Die Vivaldi-Entwickler arbeiten mit Hochdruck an der neuen Version, die wir in der nächsten Woche erwarten würden.

Microsoft Edge LogoMicrosoft Edge:

Die Microsoft Edge Entwickler haben die neuesten Chromium-Sicherheitsupdates bereits übernommen. Die neue Edge-Versionsnummer ist damit 118.0.2088.46. Wer Edge verwendet sollte zügig aktualisieren.

zur Übersicht

14.10.2023 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Photoshop LogoAdobe Photoshop

In Photoshop 2023 und 2024 wurde eine "kritische" Sicherheitslücke behoben. Die 2022er Jahresausgabe (Version 23.x) wird nicht mehr abgesichert und sollte zügig deinstalliert werden. Die 2023er Version bekommt das Sicherheitsupdate mit Version 24.7.1 und die 2024er Version ist vom Fleck weg abgesichert (Version 25.0). Sämtliche (!!) Photoshop Versionen vor der 2023er Ausgabe gelten als unsicher und sollten nicht mehr verwendet werden.

Quelle: 'Adobe Security Bulletin APSB23-51' auf Adobe.com (Englisch)

Adobe Bridge:

In Adobe Bridge wurden zwei Sicherheitslücken behoben die als "wichtig" eingestuft wurden. Anwender, die Adobe Bridge installiert haben, sollten daher zügig auf Version 13.0.4 oder 14.0 updaten.

Info: Adobe Security Bulletin APSB23-49 (Englisch)

Adobe Magento bzw. Adobe Commerce

Im Webshop-System "Magento" bzw. "Commerce" wurden etliche kritische Sicherheitslücken behoben. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.

Quelle: Adobe Security Bulletin APSB23-50 (Englisch)

zur Übersicht

14.10.2023 – Microsoft's Tag der Updates

Microsoft LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Bye Bye Windows Server 2012 R2!

Wer immer noch Windows Server 2012 R2 einsetzt, sollte sich spätestens jetzt zügig um ein Upgrade bzw. einen neuen Server kümmern. Das 10 Jahre alte Server-Betriebssystem hat zum letzten Mal Updates erhalten, jede Woche die solche Server länger im Einsatz bleiben steigt also das Gefahrenpotential, das davon ausgeht.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Patchday Microsoft: Attacken auf Skype for Business und WordPad' auf Heise Online

zur Übersicht

14.10.2023 – Wieder Sicherheitslücken in WordPress

WordPress LogoFür das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Sicherheitsupdate für WordPress erschienen und angreifbares Plug-in repariert' auf Heise Online

zur Übersicht

14.10.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'SAP: Patchday im Oktober geht ruhiger zu' auf Heise Online

Quelle: 'Netzwerk-Monitoring: Zabbix behebt schwere Sicherheitslücken' auf Heise Online

Quelle: 'Backup: Acronis schließt Sicherheitslücken im Agent für Linux, Mac und Windows' auf Heise Online

Quelle: 'Sicherheitsupdates: Schadcode- und Root-Lücken bedrohen IBM-Software' auf Heise Online

Quelle: 'libcue-Lücke reißt Sicherheitsleck in Gnome' auf Heise Online

Quelle: 'Citrix dichtet kritisches Leck in Netscaler ab' auf Heise Online

Quelle: 'Sicherheitsupdates Fortinet: Angreifer können Passwörter im Klartext einsehen' auf Heise Online

Quelle: 'Patchday F5: Sicherheitslücken in BIG-IP ermöglichen Angreifern Codeausführung' auf Heise Online

Quelle: 'Sicherheitsupdates: Backdoor-Lücke bedroht Netzwerkgeräte von Juniper' auf Heise Online

Quelle: '40 Schwachstellen in IBM-Sicherheitslösung QRadar SIEM geschlossen' auf Heise Online

Quelle: 'Proxy: Mindestens 35 von 55 Sicherheitslücken klaffen in Squid' auf Heise Online

zur Übersicht

06.10.2023 – Das nächste Chromium Sicherheitsupdate

Google Chrome LogoGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 117.0.5938.150 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücke als "hoch" ein.

Der Extended Stable Zweig von Chromium hat kein Update erhalten, was vermuten lässt, dass die Lücke dort nicht vorhanden war.

Benutzer von Google Chrome sollten das Update bei nächster Gelegenheit installieren, sofern das nicht bereits durch das automatische Update erledigt wurde.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Update für Google Chrome schließt Lücke mit hohem Risiko' auf Heise Online

Vivaldi LogoVivaldi:

Da Vivaldi auf dem Extended Stable Zweig von Chromium basiert gibt es hier sicherheitstechnisch nichts zu beachten. Dennoch hat Vivaldi diese Woche zwei Updates veröffentlicht, die kleinere Probleme behoben haben.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (6) for Vivaldi Desktop Browser 6.2' auf Vivaldi.com (Englisch)

Info: 'Minor update (7) for Vivaldi Desktop Browser 6.2' auf Vivaldi.com (Englisch)

Microsoft Edge LogoMicrosoft Edge:

Microsoft Edge ist diese Woche offiziell wieder sicher. Während man letzte Woche nichts Genaues sagen konnte, basiert Edge Version 117.0.2045.55 auf Chromium 117.0.5938.150 und ist damit auf dem aktuellen Stand. Wer noch eine ältere Edge Version verwendet sollte zügig aktualisieren.

zur Übersicht

06.10.2023 – Sicherheitsmeldungen für Administratoren

Malware LogoZum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Kritische Lücke im Mailserver Exim' auf Heise Online

Quelle: 'Jetzt patchen! Exploit für kritische Sharepoint-Lücke veröffentlicht' auf Heise Online

Quelle: 'Jetzt patchen! Ransomware schlüpft durch kritische TeamCity-Lücke' auf Heise Online

Quelle: 'Erste Angriffe gesichtet: Angreifer können über Lücken in WS_FTP Daten löschen' auf Heise Online

Quelle: 'Jetzt patchen! Confluence Data Center: Angreifer machen sich zu Admins' auf Heise Online

Quelle: 'KI-Tool: Kritische Sicherheitslücken in TorchServe' auf Heise Online

Quelle: 'Root- und DoS-Attacken auf Cisco-Produkte möglich' auf Heise Online

Quelle: 'Malware-Schutz: Watchguard EPDR und AD360 schließen Sicherheitslücken' auf Heise Online

Quelle: 'Sicherheitsupdate: Root-Lücke bedroht Dell SmartFabric Storage Software' auf Heise Online

Quelle: 'Jetzt patchen! Exploits für glibc-Lücke öffentlich verfügbar' auf Heise Online

zur Übersicht

Newsletter:


Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen:

Newsletter beantragen

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Vivaldi Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C