News Archiv 4. Quartal 2018

Schlagzeilen * Details

Schlagzeilen:

24.12.2018 - Wir wünschen ein frohes Fest
24.12.2018 - Kritische Sicherheitslücke in Internet Explorer
24.11.2018 - Thunderbird 60.4.0 behebt kleinere Fehler
19.12.2018 - Sicherheitsupdate für Adobe Reader & Acrobat
19.12.2018 - Microsoft's Tag der Updates
19.12.2018 - Firefox 64 behebt schwere Sicherheitslücken
19.12.2018 - Vivaldi behebt Sicherheitslücken
19.12.2018 - VeraCrypt behebt Sicherheitslücke
19.12.2018 - Wichtiges Sicherheitsupdate für WordPress
19.12.2018 - Intel behebt Sicherheitslücken in NUC Bios
19.12.2018 - Kritische Sicherheitslücke in Logitech Tastatur-Software!
19.12.2018 - Kritische Sicherheitslücke in Bosch Überwachungskameras
09.12.2018 - Sicherheitsupdates für Google Chrome!
09.12.2018 - Schon wieder ein Flash Sicherheitsupdate
09.12.2018 - Trojaner 'Emotet' legt zahlreiche Firmen lahm
09.12.2018 - Angriffswelle auf veraltete MikroTik-Router hält an
23.11.2018 - Noch ein Flash Sicherheitsupdate
23.11.2018 - Sicherheitsupdates für Vivaldi und Google Chrome!
23.11.2018 - Thunderbird 60.3.1 jetzt für alle
23.11.2018 - Auch Instagram patzte bei DSGVO Umsetzung
23.11.2018 - Wichtige Sicherheitsupdates für TP-Link TL-R600VPN Router
16.11.2018 - Sicherheitsupdate für zahlreiche Adobe Programme
16.11.2018 - Microsoft's Tag der Updates
16.11.2018 - Massive Angriffswelle auf veraltete Router
16.11.2018 - Das alte Lied der unsicheren Fingerabdruckscanner
16.11.2018 - Windows 10 1909 wieder verfügbar
11.11.2018 - Gimp 2.10.8 - Verbesserte Performance und Stabilität
09.11.2018 - Daten auf verschlüsselten SSDs nicht geschützt
09.11.2018 - Kritische Schwachstelle in DSGVO-Wordpress-Plugin
09.11.2018 - Sennheiser Software reißt Sicherheitsloch in Windows
06.11.2018 - LibreOffice 6.1.3 veröffentlicht
04.11.2018 - Thunderbird 60.3 schließt Sicherheitslücken
04.11.2018 - Facebook + Erweiterung = Datendiebstahl
04.11.2018 - Das ewige Sicherheitsthema Bluetooth…
04.11.2018 - Jetzt schützt auch Lexmark vor bösen FAX-Nachrichten
04.11.2018 - BIOS Einstellung kann manche ThinkPad Notebooks zerstören
26.10.2018 - Firefox 63 behebt schwere Sicherheitslücke
26.10.2018 - Vivaldi veröffentlicht Version 2.1!
22.10.2018 - Sicherheitsupdate für Google Chrome!
22.10.2018 - Sicherheitslücken in VLC Media Player und MPlayer
22.10.2018 - Sicherheitsupdates für Java und weitere Oracle Software
22.10.2018 - Schwere Sicherheitslücke in weit verbreitetem Website-Plugin!
22.10.2018 - Schwere Sicherheitslücken in Routern von D-Link
22.10.2018 - Linksys behebt Sicherheitslücken in Routern!
22.10.2018 - Microsoft stopft gefährliche Lücke in Yammer
12.10.2018 - WhattsApp Sicherheitslücke gefährdet Milliarden Smartphones
12.10.2018 - Sicherheitsupdate für zahlreiche Adobe Programme
12.10.2018 - Microsoft's Tag der Updates
12.10.2018 - Apple behebt jede Menge Sicherheitslücken in iCloud!
12.10.2018 - Wieder sehr viele Betrugs-E-Mails unterwegs!
12.10.2018 - Wieder einmal Millionen Überwachungskameras unsicher!
12.10.2018 - Windows 10 Version 1809 vorerst zurückgezogen!
05.10.2018 - Wieder Sicherheitslücken in Adobe Reader/Acrobat
05.10.2018 - Thunderbird 60.2.1 – Zeit für Upgrade ist da
05.10.2018 - Firefox 62.0.3 behebt Sicherheitslücken
05.10.2018 - Auch Windows 10 Version 1809 mit Startproblemen!
05.10.2018 - Das ist neu in Windows 10 Version 1809!
01.10.2018 - Audacity 2.3.0 - Sicherheitsloch endlich behoben!
01.10.2018 - Firefox 62.0.2 behebt Sicherheitslücke
01.10.2018 - Wieder Sicherheitslücke in Western Digitals 'MyCloud' und 'MyCloud Mirror' Systemen!
01.10.2018 - Cisco schließt Sicherheitslücken in Webex und Video Surveillance Manager
01.10.2018 - Vivaldi veröffentlicht Version 2.0!
01.10.2018 - LibreOffice 6.1.2 veröffentlicht

zur Übersicht

Details:

24.12.2018 – Wir wünschen ein frohes Fest

Weihnachten Bild Wir wünschen allen Lesern und Kunden ein frohes Weihnachtsfest und einen guten Rutsch ins Jahr 2019.

zur Übersicht

24.12.2018 – Kritische Sicherheitslücke in Internet Explorer

Nur wenige Tage nach dem Tag der Updates musste Microsoft ein kritisches Loch in Internet Explorer schließen. Anwender, die Updates nicht automatisch installieren lassen (wovon wir ausdrücklich abraten), sollten das Update zügig installieren. Selbst Anwender die Internet Explorer selbst nicht nutzen können betroffen sein, da der IE auch als Render-Engine in anderen Microsoft Programmen genutzt wird.

Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Quelle: 'Notfallpatch: Angreifer malträtieren Internet Explorer mit Schadcode' auf Heise Online

zur Übersicht

24.11.2018 – Thunderbird 60.4.0 behebt kleinere Fehler

Die Entwickler von Thunderbird haben Version 60.4.0 veröffentlicht. Darin wurden keine Sicherheitslücken, sondern nur kleine funktionale Fehler behoben. So werden Nachrichten die sich im Entwurfsmodus befinden nun nicht mehr im "Neue Nachricht“ Popup angezeigt, wenn eine neue Nachricht eingeht.

Allerdings soll sich auch ein neuer Fehler eingeschlichen haben – wer einen eigenen Benachrichtigungssound für neue Nachrichten in Thunderbird eingestellt hat, soll sich laut Mozilla auf Abstürze beim Eingang neuer Nachrichten einstellen. Wir können den Fehler aber nicht bestätigen. Falls doch jemand von dem Fehler betroffen ist, soll man den Standard-Benachrichtigungssound, einstellen bis der Fehler behoben ist.

Für Anwender, die gerne große Dateien über Clouddienste wie "WeTransfer“ versenden, wurde eine neue Schnittstelle für Erweiterungen in Thunderbird geschaffen. Bisher sind solche Erweiterungen aber noch nicht verfügbar. Man kann aber nach wie vor auf den Anbieter "Box“ zurückgreifen, der schon seit längerem in Thunderbird direkt integriert ist.

Download: Aktuelle Thunderbird Version

Info: 'Thunderbird 60.4.0 Release Notes' auf Mozilla.org (Englisch)

zur Übersicht

19.12.2018 – Sicherheitsupdate für Adobe Reader & Acrobat

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Reader & Acrobat:

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.010.20064 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-41 (Englisch)

zur Übersicht

19.12.2018 – Microsoft's Tag der Updates

Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Es wird wieder upgegradet!

Windows 10 Home Anwender, die Windows Update manuell starten, werden jetzt wieder mit Version 1809 des Betriebssystems zwangsbeglückt. Eine empfehlenswerte Abhilfe dagegen gibt es nicht, allerdings haben wir selbst Version 1809 schon seit einiger Zeit selbst produktiv in Verwendung und können eigentlich nicht klagen. Windows 10 Home Anwender, die es partout nicht haben möchten, müssen den Windows Update Dienst komplett stilllegen. Anwender der Pro-Version können hingegen das Upgrade bis zu ein Jahr aufschieben.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

19.12.2018 – Firefox 64 behebt schwere Sicherheitslücken

Mozilla hat Firefox 64 veröffentlicht. Darin wurden unter anderem zwei schwere Sicherheitslücken behoben, die zur Infektion des Computers genutzt werden konnten. Darüber hinaus schließt die neue Version noch 9 weitere Sicherheitslücken. Anwender sollten das Update daher rasch installieren, sofern das durch das automatische Update nicht bereits erledigt wurde.

In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.4.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Mozilla Foundation Security Advisory 2018-29' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

19.12.2018 – Vivaldi behebt Sicherheitslücken

Die Vivaldi Entwickler waren wieder fleißig und bringen knapp eine Woche nach Google ebenfalls eine auf Chromium 71 basierende neue Browserversion. Es ist davon auszugehen, dass damit eine ähnlich stattliche Zahl an Sicherheitslücken geschlossen wurde, wie in Google Chrome kürzlich.

Aber es gibt auch sichtbare Verbesserungen. Vor allem am ohnehin schon vorbildlichen Tab-Management wurde einmal mehr geschraubt. So lassen sich jetzt mehrere markierte Tabs einfach in eine neue Session exportieren. Kürzlich besuchte Seiten aus der Historie der Vor- und Zurück-Buttons können nun einfach per Klick mit der mittleren Maustaste in einem neuen Tab geöffnet werden. Videos können nun in einem eigenen Pop-Out betrachtet werden, so kann man auf der Website weiterscrollen, ohne das Video aus den Augen zu verlieren. Tastatur-Fans dürfen sich über erweiterte Möglichkeiten der Schnellbefehle freuen. Weiters wurde ein erster Schritt gemacht die Oberfläche noch weiter anpassbar zu machen, so kann man nun ungenutzte Icons aus der Benutzeroberfläche entfernen.

Für eine teilweise bebilderte Zusammenfassung der Neuerungen verweisen wir auf den englischsprachigen Artikel ‚Vivaldi 2.2: Focus on details‘ auf der Vivaldi Homepage.

Download: Aktuelle Vivaldi Version

Quelle: 'Vivaldi 2.2: Focus on details' auf Vivaldi.com (Englisch)

Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)

zur Übersicht

19.12.2018 – VeraCrypt behebt Sicherheitslücke

Die Entwickler des TrueCrypt Nachfolgers VeraCrypt haben eine kleine Sicherheitslücke behoben und Detailverbesserungen betrieben. Anwender von TrueCrypt sollten auf VeraCrypt umsteigen. VeraCrypt Anwender sollten auf Version 1.23 Hotfix 2 updaten.

Download: VeraCrypt v1.23 Hotfix 2, Windows, Mehrsprachig, 34MB

zur Übersicht

19.12.2018 – Wichtiges Sicherheitsupdate für WordPress

Wer WordPress für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 5.0.1 installiert wurde oder das rasch nachholen. In der neuen Version wurden mehrere Sicherheitslücken geschlossen.

Quelle: 'Wichtiges Sicherheitsupdate: WordPress 5.0.1 ist da' auf Heise Online

zur Übersicht

19.12.2018 – Intel behebt Sicherheitslücken in NUC Bios

Intel hat schwere Sicherheitslücken in den BIOS Versionen seiner NUC Minirechner behoben. Besitzer eines NUC Rechners sollten unbedingt prüfen, ob für ihr System eine aktualisierte BIOS Version verfügbar ist und diese gegebenenfalls einspielen.

Quelle: 'Intels NUCs: Viele Mini-PCs mit fehlerhaftem BIOS-Schutz' auf Heise Online

zur Übersicht

19.12.2018 – Kritische Sicherheitslücke in Logitech Tastatur-Software!

Besitzer einer Logitech Tastatur sollten unbedingt prüfen, ob sie die zu einigen Tastaturen des Herstellers gehörende Software ‚Logitech Options‘ installiert haben. Ist das der Fall, sollte man die Software am besten gänzlich deinstallieren. Wer die Software aber tatsächlich benötigt, um Tasten an der Tastatur umzuprogrammieren, der sollte unbedingt auf Version 7.00.564 oder neuer (Windows) bzw. 7.00.554 oder neuer (MacOS) updaten.

In der neuen Version wurde ein gravierender Fehler behoben, der es Angreifern ermöglicht hat den Computer aus der Ferne mit Viren zu infizieren.

Quelle: 'Sicherheitslücke in Logitech Options: Tastaturen wie von Geisterhand bedient' auf Heise Online

zur Übersicht

19.12.2018 – Kritische Sicherheitslücke in Bosch Überwachungskameras

Bosch hat eine schwerwiegende Sicherheitslücke in diversen IP-Kameras des Herstellers behoben. Der Fehler ermöglichte es Angreifern die vollständige Kontrolle über die Kameras zu erhalten. Betroffen sind etliche Kamera-Serien des Herstellers, eine komplette Liste aller betroffenen Geräte finden sie in der Sicherheitswarnung von Bosch. In dem Dokument findet sich auch ein Link zu der Downloadseite für Firmware-Updates die Besitzer betroffener Kameras zügig installieren sollten.

Quelle: 'Sicherheitsupdates: Angreifer könnten IP-Kameras von Bosch übernehmen' auf Heise Online

Quelle: 'Sicherheitswarnung von Bosch mit Firmware Downloadverweisen' auf Boschsecurity.com

zur Übersicht

09.12.2018 – Sicherheitsupdates für Google Chrome!

Google hat Version 71.0.3578.80 von Google Chrome veröffentlicht. Darin wurden ganze 43 Sicherheitslücken geschlossen. Seltsamerweise bezeichnet Google keine der Lücken als "gravierend“, obwohl gleich mehrere davon geeignet sind um Computer aus der Ferne mit Viren zu infizieren. Anwender, die Google Chrome installiert haben, sollten es also zügig aktualisieren.

Vivaldi und Opera hängen diesmal beide hinterher. Vivaldi hat immerhin die Sicherheitsupdates von Ende November übernommen, Opera noch nicht einmal das.

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

09.12.2018 – Schon wieder ein Flash Sicherheitsupdate

Momentan kommen Anwender aus dem Updaten von Adobe Flash gar nicht mehr heraus. Ein Sicherheitsupdate jagt das nächste.

Die neueste Version des Flash-Plugins trägt die Nummer 32.0.0.101. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

09.12.2018 – Trojaner 'Emotet' legt zahlreiche Firmen lahm

Der Trojaner ‚Emotet‘ ist sehr gut gemacht und hat bereits etliche Firmen (auch im deutschsprachigen Raum) befallen. Die E-Mails die den Virus verbreiten sind in gutem Deutsch verfasst und so konzipiert, dass sie den Eindruck erwecken von einem Kollegen zu stammen. Letztendlich ist mal wieder ein Word-Dokument enthalten mit einem Makro-Virus. Bestätigen Anwender leichtsinnigerweise die Ausführung des Makros wird der Virus aktiv und verbreitet sich von da an im gesamten Firmennetzwerk.

Abgesehen von ordentlichen Viren-Lösungen sollten daher Makros von Administratoren per Gruppenrichtlinien deaktiviert werden. Wo das nicht möglich ist (die günstigen Variante von MS Office unterstütze keine Gruppenrichtlinien) müssen die Anwender eindringlich instruiert werden, KEINE Makros auszuführen, egal von wem das Dokument zu stammen scheint.

Außerdem sollten Administratoren alle verfügbaren Microsoft Sicherheits-Updates auf allen Computern und Servern im Netzwerk installieren, um die Ausbreitung per Netzwerk zu unterbinden.

Firmen, die diese Maßnahmen ordentlich umgesetzt haben, sollten von 'Emotet' nichts zu befürchten haben.

Quelle: 'Gefährliche Trojaner-Welle Emotet legt ganze Firmen lahm' auf Heise Online

zur Übersicht

09.12.2018 – Angriffswelle auf veraltete MikroTik-Router hält an

Im August hatte MikroTik bereits Updates für mehrere Router der Firma veröffentlicht. Aber Besitzer der Router haben es mit der Installation der Updates offenbar nicht eilig und lassen damit das Tor für Angreifer weit offen stehen. Sicherheitsforscher schätzen die Zahl der infizierten MikroTik Router aktuell auf ca. 400.000 Stück. Dabei wäre das Update wohl relativ leicht durchzuführen, denn es muss nur ein Button in der Router-Konfigurationsoberfläche angeklickt werden.

Besitzer eines MikroTik Router sollten unbedingt sicherstellen, dass bereits die aktuellste Version der Firmware eingesetzt wird oder diese umgehend aktualisieren. Wenn die Firmware nicht aktuell war, ist es darüber hinaus ratsam den Router nach dem Update auf die Werkseinstellungen zurückzusetzen um Manipulationen der Konfiguration möglichst ausschließen zu können.

Quelle: 'MikroTik: Hunderttausende Router schürfen heimlich Kryptogeld' auf Heise Online

zur Übersicht

23.11.2018 – Noch ein Flash Sicherheitsupdate

Adobe hat erst kürzlich am Tag der Updates eine neue Version des Flash Players veröffentlicht, nun musste der Software Gigant noch einmal nachbessern, um kritische Sicherheitslücken zu schließen.

Die neueste Version des Flash-Plugins trägt die Nummer 31.0.0.153. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

23.11.2018 – Sicherheitsupdates für Vivaldi und Google Chrome!

Google hat Version 70.0.3538.110 von Google Chrome veröffentlicht. Darin wurde mindestens eine kritische Sicherheitslücke geschlossen. Vivaldi hat unmittelbar reagiert und stellt Version 2.1.1337.51 zur Verfügung, in der derselbe Fehler behoben wurde.

Opera verwendet hingegen immer noch Chromium 69 und hängt den beiden zuvor genannten Herstellern damit sicherheitstechnisch deutlich hinterher.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)

zur Übersicht

23.11.2018 – Thunderbird 60.3.1 jetzt für alle

Die Entwickler von Thunderbird haben Version 60.3.1 veröffentlicht. Darin wurden keine Sicherheitslücken, sondern nur kleine funktionale Fehler behoben. Der Grund, warum wir über dieses Update trotzdem berichten ist, dass nun auch Anwender die noch auf der alten Thunderbird 52 Version waren dieses Update automatisch erhalten. Die 52er Serie ist damit endgültig tot und auch die letzten Anwender sollten sich nun um einen raschen Umstieg auf die 60er Serie kümmern, sofern noch nicht geschehen.

Leider hat sich auf der Erweiterungs-Front seit letztem Monat nichts bewegt, es sind also nach wie vor etliche Erweiterungen verfügbar, die mit Thunderbird 60.x gar nicht oder nur eingeschränkt funktionieren. Hinweise, wie sie inkompatible Erweiterungen möglicherweise doch noch zum Laufen bekommen, können sie unserem Artikel vom 05.10.2018 entnehmen.

Download: Aktuelle Thunderbird Version

Info: 'Thunderbird 60.3.1 Release Notes' auf Mozilla.org (Englisch)

Info: Informationen zur Erweiterungs-Kompatibilität in unserem früheren Artikel zu dem Thema

zur Übersicht

23.11.2018 – Auch Instagram patzte bei DSGVO Umsetzung

Erst kürzlich hatten wir von einem Wordpress Plugin für DSGVO Unterstützung berichtet, dass weltweit unzählige Server verwundbar für Angriffe machte, nun hat auch Instagram einen gravierenden Fehler in seiner DSGVO Umsetzung eingestanden.

Durch den mittlerweile behobenen Fehler wurde das Passwort von Nutzern im Klartext übertragen, wenn dieser eine DSGVO Datenauskunft eingereicht hat. Dadurch hätten Angreifer sehr leicht an die Zugangsdaten gelangen können.

Instagram hat die betroffenen Nutzer angeblich kontaktiert und gebeten ihr Passwort zu ändern. Wir empfehlen auch Instagram Anwendern die nicht informiert wurden, ihr Passwort zu ändern, wenn diese Datenabfrage ("Download your data") verwendet wurde.

Quelle: 'Instagram: DSGVO-Tool verrät Nutzerpasswörter im Klartext' auf Heise Online

zur Übersicht

23.11.2018 – Wichtige Sicherheitsupdates für TP-Link TL-R600VPN Router

Sicherheitsforscher haben mehrere schwere Sicherheitslücken im TP-Link Router TL-R600VPN entdeckt. Besitzer bzw. Administratoren dieser Geräte sollten umgehend aktualisiert Firmware von der TP-Link Website herunterladen und installieren (siehe Handbuch).

Download: 'Firmware für TL-R600VPN' (Hardwar Revision beachten!) von TP-Link.com

Quelle: ''TP-Link-Router TL-R600VPN vielfältig angreifbar' auf Heise Online ' auf Heise Online

zur Übersicht

16.11.2018 – Sicherheitsupdate für zahlreiche Adobe Programme

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 31.0.0.148. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.008.20081 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-40 (Englisch)

Adobe Photoshop:

Auch Photoshop erhält diesen Monat ein Sicherheitsupdate. Geschlossen wurden darin eine Sicherheitslücke, die irgendwie zum Informationsdiebstahl genutzt werden kann. Details verrät Adobe bisher nicht.

Photoshop CC 2018 trägt nach dem Update die Versionsnummer 19.1.7. Auch in der neuen Photoshop 2019er Version wurde der Fehler bereits behoben. Ältere Ausgaben von Photoshop sind und bleiben verwundbar, da Adobe dafür keine Updates mehr entwickelt. Das Update ist über die eingebaute Update-Funktion erhältlich.

Info: Adobe Security Bulletin APSB17-43 (Englisch)

zur Übersicht

16.11.2018 – Microsoft's Tag der Updates

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

zur Übersicht

16.11.2018 – Massive Angriffswelle auf veraltete Router

Sicherheitsforscher haben eine große Angriffswelle auf Router mit veralteter und damit unsicherer Software aufgedeckt. Überwiegend werden dabei Fehler in den UPnP-Implementationen der Router angegriffen. Über derartige Lücken haben wir schon vor Jahren berichtet, aber es gibt eben immer noch genug Besitzer von Routern weltweit, die diese Geräte nie aktualisieren oder erneuern.

Wir raten daher jedem Router-Besitzer (und das ist heutzutage fast jeder mit DSL- oder Kabel-Internetanschluss) nach Updates für seinen Router zu suchen und diese zu installieren. Router für die seit einem Jahr oder länger kein Update mehr angeboten wurde sollten in der Regel durch neuere Modelle mit aktivem Support ersetzt werden.

Wer einen Router mit alter Software einsetzt und keinen neuen kaufen kann oder will, sollte zumindest die UPnP-Funktion deaktivieren. Und auch gleich noch jede andere Funktion, die nicht unbedingt notwendig ist, vor allem Fernwartungs-Funktionen.

Quelle: 'Jetzt patchen! Fünf Jahre alte Lücke in Routern als Einfallstor für Angreifer' auf Heise Online

zur Übersicht

16.11.2018 – Das alte Lied der unsicheren Fingerabdruckscanner

Wir haben schon sehr oft darauf hingewiesen, dass Fingerabdruckscanner als Komfort-Funktion zu verstehen sind und nicht als Sicherheitsmerkmal. Nicht nur, dass auf den meisten Geräten, die per Fingerabdruck entsperrt werden können, genügend dieser Fingerabdrücke zu finden sind, haben Forscher jetzt auch nachgewiesen, dass es künstlich erzeugte Fingerabdrücke gibt, die sozusagen als Universalschlüssel für Fingerabdruckscanner fungieren können.

Zwar erreichen die universellen Fingerabdrücke nur eine Erfolgsrate zwischen einem und 22 Prozent (je nachdem wie genau der Scanner bzw. die Software ist), mit mehreren dieser Fingerabdrücke hätten Angreifer aber bereits bei einer großen Menge an Geräten Erfolg.

Wer den Fingerabdruck zum Entsperren seines Gerätes nur als besseren Sichtschutz versteht, kann diese Methode durchaus beibehalten. Wer sein Gerät aber wirklich absichern will, fährt mit Passwort, ja sogar mit einer vierstelligen PIN (wenn es nicht gerade 0000 oder 1234 ist) immer noch besser.

Quelle: 'Generalschlüssel für Fingerabdruckscanner: Master-Prints entsperren Smartphones' auf Heise Online

zur Übersicht

16.11.2018 – Windows 10 1909 wieder verfügbar

Microsoft hat nun die schlimmsten Fehler in dem Windows 10 Oktober 2018 Update (kurz Version 1809) behoben und bietet es erneut zum Download an. Auch über Windows Update wird es seit Dienstag Abend wieder angeboten, wenn auch etwas vorsichtiger als beim letzten Versuch.

Wir empfehlen weiterhin den Anwendern von Windows 10 Pro den Update Kanal ‚Semi-Anual Channel‘ anstelle von ‚Semi-Anual Channel (Targeted)‘ in Windows Update einzustellen, um nicht sofort in den "Genuss“ des neusten Windows Updates zu gelangen. Anwender der Windows 10 Home Version sollten nach Möglichkeit Windows Update einfach nicht manuell aufrufen. Sie bekommen das Upgrade noch früh genug aufs Auge gedrückt.

Wer im umgekehrten Fall bewusst upgraden möchte, die neue Version aber nicht in Windows Update angeboten bekommt, kann dazu das Windows Media Creation Tool verwenden. Als Belohnung für den Wagemut bekommt man unter anderem die neue Zwischenablage, die jetzt mehr als nur einen Eintrag aufnehmen kann. Weitere Neuerungen finden sie im verlinkten Heise Online Artikel.

Quelle: 'Windows 10 Oktober 2018 Update: Es ist wieder da' auf Heise Online

Quelle: 'Windows 10 1809: Das sind die Highlights der kommenden Version' auf Heise Online

zur Übersicht

11.11.2018 - Gimp 2.10.8 - Verbesserte Performance und Stabilität

Gimp 2.10.8 ist das erste Update aus der Gimp 2.10 Reihe, das keine neuen Werkzeuge oder Filter mitbringt. Dennoch gibt es eine kleine sichtbare Neuerung – im Speichern-Dialog lassen sich nun Informationen zur Kompatibilität einblenden. So lässt sich feststellen was man alles ändern müsste, um eine Datei zu älteren Gimp-Versionen kompatibel zu machen.

Die wichtigsten Änderungen finden sich diesmal aber unter der Haube. Neben etlichen Fehlerkorrekturen wurde auch eine neue Funktion eingebaut, mit der sich Gimp auf langsamer Hardware weniger Träge anfühlen soll, zugleich aber auf schneller Hardware schneller als bisher zu Werke geht.

Wie immer findet man auf Gimp.org eine ausführlichere Beschreibung der Neuerungen, wenngleich in englischer Sprache.

Download: Gimp 2.10.8 für Windows

Info: 'Gimp 2.10.8 Ankündigung' auf Gimp.org (Englisch)

zur Übersicht

09.11.2018 – Daten auf verschlüsselten SSDs nicht geschützt

SSDs mit Hardware Verschlüsselung sind nicht so sicher wie von den Herstellern versprochen. Niederländischen Forschern ist es gelungen auf mehreren solcher SSDs die eigentlich verschlüsselten Daten zu entschlüsseln, ohne dabei das Passwort zu kennen.

Auch Anwender, die die Windows Verschlüsselungs-Funktion BitLocker verwenden, sind potenziell gefährdet, wenn eine SSD mit Hardware-Verschlüsselung im System steckt, denn standardmäßig verwendet Bitlocker dann die Hardware-Verschlüsselung der SSD und keine Software-Verschlüsselung. Per Gruppenrichtlinie kann man Bitlocker aber anweisen immer die Software-Verschlüsselung zu verwenden. Details dazu finden sie im Heise Artikel.

Die Forscher nennen nur ein paar SSDs von Micron und Samsung als nachweislich betroffen, das bedeutet aber keineswegs, dass alle anderen SSDs sicher sind. Erstens könnte kein Test ALLE SSDs umschließen, zweitens nennen die Forscher auch nicht die Zahl der gesamt getesteten Geräte. Daher nennen wir auch die nachweislich betroffenen Geräte nicht, um Besitzer anderer SSDs nicht in falsche Sicherheit zu wiegen.

Was tun?

Anwender, die mit der Verschlüsselung nur einen Schutz vor Gelegenheitsdieben erzielen wollen, dürften auch mit der Hardware-Verschlüsselung noch eine Weile gut bedient sein. Vorteil ist dabei, dass die Verschlüsselung keine Systemressourcen verbraucht.
Wer aber seine Daten wirklich verlässlich schützen möchte, muss auf die Software-Verschlüsselung umsteigen und dabei möglicherweise leichte Performance-Einbusen hinnehmen.

Quelle: 'Daten von einigen selbstverschlüsselnden SSDs ohne Passwort einsehbar' auf Heise Online

zur Übersicht

09.11.2018 – Kritische Schwachstelle in DSGVO-Wordpress-Plugin

Wer eine WordPress-Installation für sich selbst oder einen Kunden betreut, sollte umgehend prüfen, ob ein Plugin namens ‚WP GDPR Compliance‘ installiert ist. Ist dem der Fall sollte das Plugin umgehend deinstalliert oder aktualisiert werden. Außerdem sollte man den Server auf verdächtige Spuren prüfen, denn das Plugin wurde bereits vielfach für Angriffe auf Webserver missbraucht. Details finden sie im verlinkten Heise Online Artikel.

Quelle: 'Schwerwiegendes Schwachstelle in DSGVO-Plugin für WordPress' auf Heise Online

zur Übersicht

09.11.2018 – Sennheiser Software reißt Sicherheitsloch in Windows

Besitzer eines Sennheiser Kopfhörers aufgepasst: Wer die Sennheiser Software ‚HeadSetup‘ auf seinem PC installiert hat, hat damit ein großes Sicherheitsloch in Windows eingebaut. Grund dafür ist, dass Sennheiser nicht nur ein eigenes Root Zertifikat installiert (was für sich alleine schon Bedenklich wäre), sondern Angreifern auch gleich noch den privaten Schlüssel dafür frei Haus liefert. Das ganze erinnert stark an das Superfish-Fiasko das u.a. Lenovo vor ein paar Jahren schlechte Presse eingebracht hatte.

Eine fehlerbereinigte Version der Software wird laut Sennheiser erst gegen Ende November fertig sein. Bis dahin sollte man nicht nur die Software deinstallieren, sondern unbedingt auch die Zertifikate aus dem Windows-Zertifikats-Store löschen. Die Zertifikate heißen "127.0.0.1" und "SennComRootCA".

Zertifikate verwalten:

Sie können die installierten Zertifikate wie folgt prüfen bzw. löschen: Starten sie Internet Explorer und klicken sie dann rechts oben auf das Zahnrad-Symbol gefolgt von ‚Internetoptionen‘. Im Fenster ‚Internetoptionen‘ klicken sie die Registerkarte ‚Inhalte‘ an und dann den Button ‚Zertifikate‘. Im Fenster ‚Zertifikate‘ wählen sie den Karteireiter ‚Vertrauenswürdige Stammzertifizierungsstellen‘. Danach sehen sie eine Liste aller Root-Zertifikate, die auf dem PC installiert sind. Suchen sie dort die Zertifikate anhand der Namen oben und löschen sie diese.

Quelle: 'Sennheiser-Software spielt Angreifern mächtige Werkzeuge in die Hände' auf Heise Online

zur Übersicht

06.11.2018 - LibreOffice 6.1.3 veröffentlicht

Die LibreOffice Entwickler haben die Version 6.1.3 der freien Bürosuite veröffentlicht. Auch wenn in dieser Version wieder etliche Fehler korrigiert wurden, empfiehlt sich die noch relativ junge 6.1er Serie eher für neugierige Anwender, die immer die neueste Software einsetzen wollen und dafür Fehler in Kauf nehmen.

Für konservative Anwender und Firmen haben die LibreOffice Entwickler Version 6.0.7 veröffentlicht, in der ebenfalls etliche Fehler behoben wurden.

Quelle: Liste der Neuerungen in LibreOffice 6.1 – Kurzübersicht

Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.1

Download: Aktuelle LibreOffice Versionen (6.0 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.1 Serie)

zur Übersicht

04.11.2018 – Thunderbird 60.3 schließt Sicherheitslücken

Vor fast genau einem Monat haben wir zuletzt über Sicherheitslücken in Thunderbird geschrieben. Bereits damals haben wir gesagt, dass die Zeit für ein Upgrade auf die 60er Serie gekommen ist, da die 52er Ausgabe keine Updates mehr erhält. Nun ist Thunderbird 60.3 veröffentlicht worden und abermals wurden ein paar kritische Sicherheitslücken behoben, wenngleich Mozilla betont, dass die Lücken nicht beim normalen Lesen von E-Mails ausgenutzt werden können, weil hier Javascript standardmäßig deaktiviert ist.

Leider hat sich auf der Erweiterungs-Front seit letztem Monat nichts bewegt, es sind also nach wie vor etliche Erweiterungen verfügbar, die mit Thunderbird 60.x gar nicht oder nur eingeschränkt funktionieren. Trotzdem wird es immer dringlicher auf die 60er Version upzugraden, auch wenn dafür eventuell die eine oder andere Erweiterung über die Klippe springen muss. Hinweise, wie sie inkompatible Erweiterungen möglicherweise doch noch zum Laufen bekommen, können sie unserem Artikel vom 05.10.2018 entnehmen.

Nur wenn eine bestimmte Erweiterung unabdingbar für einen Geschäftsprozess ist, sollte man noch bei Thunderbird 53 bleiben. In dem Fall sollte der Hersteller der Erweiterung zwecks Update kontaktiert werden um das Upgrade so bald wie möglich angehen zu können. Außerdem sollte sichergestellt sein, dass Javascript deaktiviert ist.

Mozilla liefert das Update auf Version 60 nach wie vor NICHT an Benutzer der 52er Serie aus. Wer von 52.x auf 60.3 updaten möchte, muss also das Installationspaket herunterladen und installieren.

Download: Aktuelle Thunderbird Version

Quelle: 'Security vulnerabilities fixed in Thunderbird ESR 60.3' auf Mozilla.org (Englisch)

Info: Informationen zur Erweiterungs-Kompatibilität in unserem früheren Artikel zu dem Thema

zur Übersicht

04.11.2018 – Facebook + Erweiterung = Datendiebstahl

Facebook kommt aus den Negativ-Schlagzeilen dieses Jahr wohl nicht mehr raus. Seit der Cambridge Analytica Affaire musste Facebook einige weitere Datendiebstähle eingestehen. Jetzt kommen auch noch Probleme von anderer Seite hinzu – Browser Erweiterungen.

Der neueste massive Datendiebstahl – es sollen immerhin 120 Millionen Facebook Konten mitsamt teils sehr persönlicher Chat-Verläufe kopiert worden sein – dürfte nämlich nicht durch Unachtsamkeit seitens Facebook ausgelöst worden ein, sondern eher aus unüberlegtem Handeln der Benutzer. Laut Facebook wurden diese 120 Millionen Konten nämlich relativ trivial über Browser-Erweiterungen ausgelesen.

Was sind Browser Erweiterungen?

Browser Erweiterungen sind kleine Programme die innerhalb des Webbrowsers laufen. Ein Beispiel: Da Firefox keinen eigenen Werbeblocker mitbringt, installieren viele Anwender einen solchen als Erweiterung. Die Werbeblocker Software hat im folgenden Zugriff auf die jeweils betrachtete Website um seine Funktion – eben Werbung zu blockieren – erfüllen zu können. Surft der Anwender gerade auf Facebook, ist es also für diese Software problemlos möglich alle diese Inhalte an den Hersteller der Software zu senden. Das ist wie gesagt nur ein Beispiel und soll nicht bedeuten, dass alle Werbeblocker böse sind.

Sind Browser Erweiterungen grundsätzlich böse?

Wie bei jedem Programm das man aus dem Internet herunterladen kann, gilt natürlich auch für Browser-Erweiterungen, dass der Programmierer nicht immer gutes beabsichtigt. Viele Programme machen auf den ersten Blick das was sie vorgeben zu tun, im Hintergrund aber noch andere unerwünschte Dinge. Natürlich gibt es auch sehr viele Programme die ohne böse Absicht programmiert wurden. Das Problem ist, das der Anwender nicht ohne weiteres erkennen kann, ob ein Programm eine bösartige Funktion enthält.

Welcher Erweiterung kann vertraut werden?

Eine berechtigte Frage, auf die es leider keine einfache Antwort gibt. Eigentlich würde man erwarten, dass die Browser-Hersteller alle Erweiterungen prüfen, die in ihren jeweiligen Portalen ("chrome web store“ bei Google bzw. "addons.mozilla.org“ bei Mozilla) angeboten werden, aber offensichtlich sind diese Prüfungen zu selten oder zu oberflächlich, jedenfalls gab es in den letzten Monaten auf beiden Portalen schädliche Erweiterungen. Trotzdem sollte man Erweiterungen nach Möglichkeit nur von diesen offiziellen Portalen installieren. Allerdings raten wir auch dort dazu, die Erweiterungen vorher gründlich zu prüfen. Zwar ist nicht jeder Programmierer und kann den Quellcode begutachten, aber man kann schauen, ob eine Datenschutzerklärung vorliegt. Die Rezensionen prüfen. Gegebenenfalls das Impressum der Homepage des Herstellers und so weiter. Alles was einem irgendwie dabei hilft, einen Eindruck von der Glaubwürdigkeit des Anbieters zu erhalten. Grundsätzlich sollte man außerdem so wenig Erweiterungen wie möglich installieren. Das fördert nicht nur die Sicherheit, sondern auch Stabilität und Leistung.

Fazit:

Leider gibt Facebook die Namen der bösartigen Erweiterungen nicht preis. Sie wurden aber angeblich an die Browser-Hersteller gemeldet. Allerdings bewirkt eine Löschung aus den Erweiterungs-Portalen nur, dass diese nicht mehr neu installiert werden können. Bereits installierte Erweiterungen verrichten weiterhin ihre womöglich bösartige Arbeit. Anwender sollten daher prüfen, ob alle Erweiterungen die sie installiert haben noch verfügbar sind. Außerdem schadet es bei der Gelegenheit nicht überflüssige Erweiterungen zu entsorgen. Auf PCs auf denen mehrere Benutzerprofile existieren muss diese Prüfung darüber hinaus für jeden Benutzer und für jeden Browser durchgeführt werden.

Quelle: 'Neuer Facebook-Hack? Angeblich Daten von 120 Millionen Nutzern erbeutet' auf Heise Online

zur Übersicht

04.11.2018 – Das ewige Sicherheitsthema Bluetooth…

Wer unsere Artikel dieses Jahr regelmäßig gelesen hat, dürfte mitbekommen haben, wie sehr das Vertrauen in Bluetooth dieses Jahr gelitten hat. Eigentlich ist das Vertrauen nicht nur geschmälert, sondern komplett abhandengekommen, weshalb wir bereits von der Verwendung jeglicher Bluetooth Geräte abgeraten haben.

Zusätzlich zu der ohnehin schon prekären Sicherheitslage bei Bluetooth melden Sicherheitsforscher jetzt auch noch Schwachstellen in einigen Bluetooth (Smart) Chips von Texas Instruments. Diese Chips wiederum kommen bevorzugt in teureren Accesspoints von Cisco, Aruba und Meraki vor. Es können aber noch etliche andere Hersteller auf diese Chips zurückgegriffen haben. Auf der Website der Sicherheitsforscher befindet sich eine Liste der bisher als verwundbar bekannten Geräte.

Betreiber von Accesspoints eines der drei Hersteller sollten unbedingt prüfen, ob ihre Geräte betroffen sind und wenn ja beim Hersteller nach Updates suchen. Aruba und Cisco haben bereits Updates veröffentlicht.

Auch Apple mit Bluetooth Ärger...

Auch Apple Geräte hatten bis vor kurzem noch mit gravierenden Bluetooth-Bugs zu kämpfen, wenngleich hier ‚nur‘ ein Neustart der Geräte provoziert werden konnte. Dieses Problem wurde in iOS 12.1, watchOS 5.1 und tvOS 12.1 behoben.

Quelle: 'Bleedingbit: Sicherheitslücken in Bluetooth LE gefährden Access Points' auf Heise Online

Quelle: 'BLEEDINGBIT Sicherheitsbericht' auf Armis.com (Englisch)

Quelle: 'iOS, macOS, watchOS und tvOS lassen sich per Funk abschießen' auf Heise Online

zur Übersicht

04.11.2018 – Jetzt schützt auch Lexmark vor bösen FAX-Nachrichten

Bereits am 17.08.2018 hatten wir über FAX-Nachrichten als Einfallstor für Hacker berichtet. HP hatte zu dem Zeitpunkt bereits Sicherheits-Updates für etliche Drucker veröffentlicht. Erst jetzt, fast drei Monate später, schickt sich auch Lexmark an, das Problem in seinen Multifunktionsdruckern zu beheben. Obwohl die Liste der Lexmark-Updates lang ist, bezweifeln wir, dass das Problem damit tatsächlich in allen jemals produzierten Lexmark Druckern behoben wurde. Lexmark Geräte für die kein Update bereitgestellt wurde, sollten daher weiterhin vom Telefonnetz getrennt bleiben.

Canon (und andere Hersteller mit Ausnahme von HP und jetzt Lexmark) hat sich unseres Wissens nach bis heute nicht zu einer Stellungnahme zu dem Problem genötigt gesehen, weshalb Canon Drucker ebenfalls nicht an die Telefondose angeschlossen werden sollten.

Quelle: 'Sicherheitsupdates: Multifunktionsgeräte von Lexmark anfällig für "böse" Faxe' auf Heise Online

zur Übersicht

04.11.2018 – BIOS Einstellung kann manche ThinkPad Notebooks zerstören

In manchen Thinkpad Notebooks des Herstellers Lenovo reicht eine kleine Änderung in den BIOS-Optionen aus, um das Notebook unbrauchbar zu machen. Genauer gesagt geht es um eine Option rund um die Verwaltung von Thunderbolt-Anschlüssen.

Betroffen sind die Geräte: ThinkPad P1, ThinkPad P72, ThinkPad P52, ThinkPad P52s und ThinkPad X1 Yoga 2018.

So richtig offiziell Stellung genommen scheint Lenovo bisher noch nicht zu haben, allerdings dürfte das Problem zumindest für die Geräte P52 und P72 durch ein BIOS-Update behoben sein. Allerdings muss das BIOS-Update VOR einem eventuellen Schaden eingespielt werden, startet das Gerät nicht mehr, kann auch das BIOS nicht mehr aktualisiert werden und das Gerät muss zur Reparatur an den Hersteller gesendet werden.

Anwender der genannten Geräte sollten in den nächsten Tagen regelmäßig nach BIOS-Updates Ausschau halten. Die Thunderbolt-Einstellungen im BIOS sollten auf keinen Fall geändert werden, solange nicht ein BIOS installiert ist, das diesen Fehler ausdrücklich nicht mehr enthält.

Quelle: 'BIOS-Option macht ThinkPads zu Briefbeschwerern' auf Heise Online

zur Übersicht

26.10.2018 – Firefox 63 behebt schwere Sicherheitslücke

Mozilla hat Firefox 63 veröffentlicht. Darin wurde unter anderem eine schwere Sicherheitslücke behoben, die zur Infektion des Computers genutzt werden konnte. Darüber hinaus schließt die neue Version noch 13 weitere Sicherheitslücken. Anwender sollten das Update daher rasch installieren, sofern das durch das automatische Update nicht bereits erledigt wurde.

In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.3.

Quelle: 'Mozilla Foundation Security Advisory 2018-26' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

26.10.2018 – Vivaldi veröffentlicht Version 2.1!

Vivaldi hat kürzlich Version 2.1 seines Browsers veröffentlicht. Darin kommt nun Chromium 70 zum Einsatz, was auf einige geschlossene Sicherheitslücken vermuten lässt. Vivaldi Anwender sollten daher zügig aktualisieren.

Abgesehen vom aktualisierten Unterbau hat sich auch bei den Features wieder etwas getan. Schwerpunkt diesmal war die Funktion ‚Schnellbefehle‘. Diese kann nun ein paar neue Befehle verarbeiten, wie z.B. eine neue Notiz anlegen, Notizen durchsuchen oder die Zoom-Stufe ändern. Außerdem beherrscht Vivaldi nun das neue Videoformat AV1, das in Zukunft mehr an Bedeutung gewinnen dürfte und irgendwann h264 verdrängen soll.

Download: Aktuelle Vivaldi Version

Quelle: 'Vivaldi 2.1 launches with improved Quick Commands' auf Vivaldi.com (Englisch)

zur Übersicht

22.10.2018 – Sicherheitsupdate für Google Chrome!

Google hat Version 70 von Google Chrome veröffentlicht. Darin wurden zahlreiche, zum Teil kritische, Sicherheitslücken behoben. Wer entgegen unserer Empfehlung, keine Produkte von Google einzusetzen, Google Chrome verwendet, sollte rasch auf Version 70 updaten.

Abgesehen von den Sicherheitslücken hat Google auch auf Kritik an einigen Neuerungen aus Chrome 69 reagiert und ist hier teils ein wenig zurückgerudert.

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

22.10.2018 – Sicherheitslücken in VLC Media Player und MPlayer

In einer Software-Komponente, die sowohl von VLC Media Player als auch MPlayer verwendet wird, wurde eine Schwachstelle entdeckt, die zur Infektion eines Rechners genutzt werden kann.

In VLC Media Player wurde das Problem bereits in Version 3.0.4 behoben. Anwender, die noch eine ältere Fassung des beliebten Media Players verwenden, sollten zügig auf diese Version aktualisieren.

Von den Programmierern von MPlayer fehlt bisher noch eine Auskunft über eine abgesicherte Fassung. Anwender, die MPlayer installiert haben, sollten diese Software bis auf weiteres meiden.

Quelle: 'Jetzt patchen! Kritische Lücke in den Mediaplayern VLC und MPlayer' auf Heise Online

zur Übersicht

22.10.2018 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 301 Sicherheitsupdates veröffentlicht.Das wichtigste dabei ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java:

Oracle hat Version 8.0 Update 191 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stolze 12 Sicherheitslücken geschlossen. Alle bis auf eine Lücke lasen sich Remote ausnützen, eine sogar ohne jegliche Benutzerinteraktion, was sie besonders kritisch macht. Anwender die Java installiert haben sollten also rasch updaten.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

VirtualBox:

In dem PC-Emulator VirtualBox wurden 14 Sicherheitslücken geschlossen, zwei davon sind kritisch da sie aus der Ferne ausgenützt werden können. Anwender von VirtualBox sollten daher umgehend auf Version 5.2.20 updaten. Für die 5.1er Serie (und älter) gibt es keine abgesicherten Ausgaben mehr, hier muss unbedingt upgegradet werden.

Download: Aktuelle VirtualBox Versionen auf VirtualBox.org

MySQL:

Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat für die Datenbank selbst sowie die zugehörenden Verwaltungsprogramme in Summe 38 Lücken geschlossen von denen drei aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - October 2018‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - October 2018' auf Oracle.com (Englisch)

zur Übersicht

22.10.2018 – Schwere Sicherheitslücke in weit verbreitetem Website-Plugin!

Im ‚jQuery-File-Upload Plug-in‘, das in etlichen Content-Management-Systemen oder Website-Plugins enthalten ist, schlummert seit vielen Jahren eine schwere Sicherheitslücke, die es Angreifern ermöglicht volle Kontrolle über den Webserver zu erhalten.

Im Original-Plugin wurde das Problem durch Version 9.22.1 behoben. Es gibt jedoch zahlreiche Variationen (Forks) des Plugins, die womöglich ein komplett anderes Versionsschema verwenden. Hier ist also jeder Server- bzw. Content-Management-System-Betreuer angehalten, selbst genau nachzuschauen, ob dieses bzw. ein verwandtes Plugin vorhanden ist, und gegebenenfalls eine abgesicherte Version zu installieren.

Quelle: 'Sicherheitslücke in jQuery-File-Upload Plug-in macht unzählige Server verwundbar' auf Heise Online

zur Übersicht

22.10.2018 – Schwere Sicherheitslücken in Routern von D-Link

Durch die Kombination dreier Sicherheitslücken ist es einem Forscher gelungen D-Link Router komplett zu übernehmen. Das heißt, der Angreifer erhält vollständige Kontrolle über den Router und kann den Netzwerkverkehr beliebig verändern oder den Router als Brückenkopf für Angriffe auf das eigene Heimnetzwerk missbrauchen.

Die zugrunde liegenden Lücken sind zumindest in acht Routern von D-Link zu finden, vermutlich aber in wesentlich mehr. D-Link hat sich bisher nicht öffentlich zu dem Problem geäußert, arbeitet laut dem Entdecker aber zumindest an Updates für die Router DWR-116 und DWR-111.

Für die Geräte DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 und DWR-921 wollte D-Link eine Mitteilung veröffentlichen, was zumindest auf der amerikanischen Website von D-Link nun geschehen ist. Eine Auskunft der europäischen Zweigstelle steht noch aus. In der Mitteilung behauptet D-Link, dass die Gefahren-Einschätzung des Forschers übertrieben ist, da der Angriff in der Standard-Konfiguration nicht aus dem Internet durchgeführt werden könne. Abgesehen davon enthält die Mitteilung D-Links bisher nichts Nützliches, denn für alle genannten Geräte sagt D-Link nur, dass das Problem untersucht werde. Wohlgemerkt 5 Monate nachdem die Firma auf die Lücken aufmerksam gemacht wurde.

Mangels eigenem Testgerät können wir nicht nachprüfen, welche Partei jetzt tatsächlich recht hat. Im Demonstrationsvideo sieht es tatsächlich so aus, als würde der Angriff aus dem lokalen Netz heraus erfolgen, mit Sicherheit sagen lässt sich das jedoch nicht. Selbst wenn der Angriff tatsächlich nur aus dem lokalen Netzwerk heraus funktioniert, wäre das immer noch eine bedenkliche Sicherheitslücke. Klappt es auch aus der Ferne, wäre es natürlich noch viel dramatischer.

Fazit:
Da D-Link bisher noch nicht mal Informationen bereut stellt, welche Geräte genau betroffen sind und für welche es Updates geben wird, bleibt Anwendern, die auf Nummer sicher gehen wollen, eigentlich nur der Wechsel auf einen anderen Router, z.B. eine Fritzbox oder auf eine alternative Firmware wie DD-WRT, sofern verfügbar. Für wen beides nicht infrage kommt, empfehlen wir zumindest sicherzustellen, dass die Remote-Administration abgeschaltet ist. Ist diese Funktion aktiviert, ist der Angriff nämlich sehr wahrscheinlich auch aus der Ferne möglich.

Quelle: 'Sicherheitslücken-Cocktail bringt D-Link-Router zu Fall' auf Heise Online

Quelle: 'D-Link routers - full takeover' Original Sicherheitsreport (Englisch)

Quelle: 'Sicherheits-Benachrichtigung von D-Link' auf D-Link.com (Englisch)

zur Übersicht

22.10.2018 – Linksys behebt Sicherheitslücken in Routern!

Linksys macht es deutlich besser als D-Link (siehe Artikel oben) und veröffentlicht in einem halbwegs angemessenem Zeitraum Sicherheits-Updates für zwei Router. Ein Forscherteam hatte die drei zugrunde liegenden Lücken im Juli an Linksys gemeldet. Updates für die betroffenen Router sind dann im August bzw. Oktober erschienen, noch bevor die Lücken öffentlich bekannt wurden.

Betroffen sind die beiden Linksys Router 'e1200' und 'e2500'. Anwender, die einen der beiden Router besitzen, sollten zügig die Updates herunterladen und installieren. Anleitungen dazu finden sich jeweils in den Handbüchern der Geräte.

Quelle: 'Sicherheitsupdates: Linksys-Router anfällig für Schadcode' auf Heise Online

Download: 'Firmware Updates für Linksys e2500 Router' auf Linksys.com

Download: 'Firmware Updates für Linksys e1200 Router' auf Linksys.com

zur Übersicht

22.10.2018 – Microsoft stopft gefährliche Lücke in Yammer

Falls Ihnen der Name Microsoft Yammer nichts sagt, keine Sorge, uns erging es ebenso. Yammer ist ein soziales Netzwerk für den Firmengebrauch. Privatleute dürften also kaum von dem Problem betroffen sein. Im Client für das Netzwerk wurde ein Sicherheitsproblem gefunden, das zur Infektion von Computern genutzt werden könnte.

Microsoft verteilt als Reaktion nun Version 2.0 des Clients für Windows und Mac OS. Computer, auf denen der Client installiert ist, sollten umgehend auf die neue Version aktualisiert werden.

Quelle: 'Sicherheitsupdate: Ein Klick zu viel und Microsoft Yammer führt Schadcode aus' auf Heise Online

zur Übersicht

12.10.2018 - WhattsApp Sicherheitslücke gefährdet Milliarden Smartphones

Eine kritische Lücke in WhatsApp für Android und iOS (iPhone, iPad) ermöglicht es das Smartphone bzw. Tablet ganz leicht zu übernehmen. Der Angreifer hätte dann vollständige Kontrolle über das Gerät!

WhatsApp hat bereits mit neuen Versionen auf die Bedrohung reagiert. Anwender, die WhatsApp installiert haben, sollten unbedingt prüfen, ob sie bereits Version 2.18.306 (oder neuer, Android) bzw. 2.18.93 (oder neuer, iOS) auf ihrem Gerät haben und falls nicht möglichst rasch aktualisieren.

Auf Firmen-Smartphones oder privaten Smartphones auf denen geschäftliche Daten verarbeitet werden, hat WhatsApp aufgrund der DSGVO ohnehin nichts zu suchen und sollte umgehend deinstalliert werden.

Quelle: 'Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer' auf Heise Online

zur Übersicht

12.10.2018 - Sicherheitsupdate für zahlreiche Adobe Programme

Der Tag der Updates fällt diesen Monat bei Adobe ungewöhnlich aus. Kein Update für Adobe Reader oder Acrobat (das wurde ja bereits letzte Woche veröffentlicht) und für Adobe Flash gibt es zwar ein Update, es behebt aber angeblich keine Sicherheitslücken. Doch auch ohne die beiden üblichen Verdächtigen, beschafft Adobe seinen Anwendern wieder Arbeit, denn andere Programme haben Sicherheitslücken:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 31.0.0.122. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Digital Editions:

In Adobes E-Book-Reader Software ‚Digital Editions‘ wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten dringend auf Version 4.5.9 updaten bzw. sich überlegen, ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren. Digital Editions wird nämlich in letzter Zeit relativ häufig von Sicherheitslücken geplagt.

Download: Adobe Digital Editions v4.5.9 für Windows

Quelle: Adobe Digital Editions Security Bulletin APSB18-27 (Englisch)

Framemaker:

Ein Update für Adobe Framemaker dürfte eher für Firmen relevant sein. Administratoren und interessierte Privatnutzer können die Details aus dem verlinkten Security Bulletin entnehmen.

Quelle: Adobe Security Bulletin APSB18-37 (Englisch)

Technical Communications Suite:

Quasi derselbe Fehler wie in Framemaker ist auch in der Technical Communications Suite zu finden. Auch hier gilt, Administratoren und interessierte Privatnutzer finden weitere Informationen in dem verlinkten Adobe Security Bulletin.

Quelle: Adobe Security Bulletin APSB18-38 (Englisch)

Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Dieses behebt mehrere Sicherheitslücken und wurden von Adobe als wichtig eingestuft Details findet man im verlinkten Security Bulletin.

Quelle: Adobe Security Bulletin APSB18-36 (Englisch)

zur Übersicht

12.10.2018 - Microsoft's Tag der Updates

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Rasch handeln wegen aktueller Angriffe!

Microsoft hat in diesem Monat unter anderem eine Sicherheitslücke geschlossen, die von Kriminellen bereits aktiv ausgenützt wird. Alle Anwender von Windows PCs sollten daher prüfen, ob die neuen Updates bereits installiert wurden und falls nicht, dies rasch nachholen.

Quelle: 'Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke' auf Heise Online

Zusatz-Arbeit für Administratoren!

Microsoft hat festgestellt, dass es Administratoren von Exchange noch nicht darauf hingewiesen hat, dass der Mail-Server ein Visual Studio Runtime Update erfordert. Fehlt das bereits 2010 veröffentlichte Update, klafft in Exchange eine schwere Sicherheitslücke. Administratoren sollten also rasch prüfen, ob das Update bereits installiert ist, oder es rasch nachinstallieren.

Quelle: 'MFC Insecure Library Loading Vulnerability' auf Microsoft.com (Englisch)

Letztes Update für Windows 10 v1703

Für Windows 10 v1703 hat das letzte Stündlein geschlagen. Während Anwender der Home-Version längst zwangsweise auf neuere Windows 10 Versionen upgraden mussten, gibt es nun auch für Anwender der Pro-Version kein entkommen mehr, denn diesen Monat wurden die letzten Updates ausgeliefert.

Kein Support mehr!

zur Übersicht

12.10.2018 - Apple behebt jede Menge Sicherheitslücken in iCloud!

Apple behebt mit iCloud für Windows Version 7.7 jede Menge Sicherheitslücken, darunter auch kritische. Anwender, die iCloud nicht unbedingt benötigen, sollten die Software am besten komplett deinstallieren. Wer nicht ohne auskommen kann oder will, sollte rasch auf Version 7.7 updaten, was am einfachsten über das Programm 'Apple Software Update' gelingt.

Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.

Quelle: 'iCloud für Windows: Apple fixt Bugs noch und nöcher' auf Heise Online

zur Übersicht

12.10.2018 - Wieder sehr viele Betrugs-E-Mails unterwegs!

Viele Kunden und auch wir selbst, erhalten momentan wieder betrügerische E-Mails, in denen behauptet wird, die Absender hätten den Computer des Empfängers mit einer speziellen Software ausspioniert und sie seien nun im Besitz kompromittierender Informationen.

Als Beleg für diese Behauptung beziehen sich die Betrüger dabei auf dem Umstand, dass das Mail angeblich über den Mailserver des Empfängers versendet wurde. Da viele Leute nicht wissen, dass Absenderadressen kinderleicht zu fälschen sind, verfällt da so mancher in Panik.

In den allermeisten Fällen besteht jedoch KEIN Grund zur Sorge. Wie gesagt, nur weil ein fremdes E-Mail die eigene E-Mail-Adresse als Absender trägt, bedeutet das noch lange nicht, dass der Absender tatsächlich irgendwelche Daten vom Empfänger erbeutet hat.

Das Problem ist jedoch, dass man anhand des E-Mails kaum feststellen kann, worüber es versendet wurde. Nur Anwender oder Administratoren, die sich mit E-Mail-Headern auskennen, und/oder Zugriff auf die Logfiles des fraglichen Mailservers haben, können feststellen, ob ein Mail über diesen Mailserver versendet wurde.

Fazit: In den allermeisten Fällen sind solche E-Mails reine Panikmache und spielen mit der Unkenntnis der Anwender. Eine generelle Entwarnung können wir jedoch auch nicht geben, weil es grundsätzlich durchaus möglich ist, dass jemand auf ihren Computer eingebrochen und sensible Daten gestohlen hat. Allerdings dürften in solchen Fällen wohl eher Daten von der Festplatte als "Beweis“ im Erpressungs-Mail mitgesendet werden.

zur Übersicht

12.10.2018 - Wieder einmal Millionen Überwachungskameras unsicher!

Für regelmäßige Leser unserer Website ist es ja keine große Überraschung mehr - wieder einmal wurden Sicherheitslöcher in Überwachungskameras entdeckt. Wieder einmal sind weltweit etliche Millionen Geräte betroffen und wieder einmal ist es für die Besitzer sehr schwer festzustellen, ob das alles für die eigene Kamera gilt oder nicht.

Diesmal ist der eigentliche Hersteller der unsicheren Geräte die Firma Xiongmai, allerdings wird man diesen Namen auf keiner Kamera finden. Wege um eventuell trotzdem festzustellen, ob die eigene Überwachungskamera von diesem Hersteller gefertigt wurde, finden sie im verlinkten Heise Online Artikel.

Quelle: 'Offen wie ein Scheunentor: Millionen Überwachungskameras im Netz angreifbar' auf Heise Online

zur Übersicht

12.10.2018 - Windows 10 Version 1809 vorerst zurückgezogen!

Microsoft hat auf die Probleme mit Datenverlust beim Upgrade auf Windows 10 v1809 mit der einzig richtigen Antwort reagiert, und das Upgrade vorerst gestoppt. Alle Download-Links auf der Microsoft Seite sind verschwunden und auch über Windows Update ist das Herbst-Update vorerst nicht mehr zu bekommen.

Datenverlust geklärt

Die Ursache für den Datenverlust konnte Microsoft mittlerweile herausfinden und korrigierte Versionen von Windows 10 wurden bereits an Mitglieder des Windows Insider Programms ausgeliefert. Nach so einer gravierenden Panne wird Microsoft die korrigierte Fassung aber hoffentlich ausgiebiger testen, weshalb wir die Aufhebung der Auslieferungspause nicht so bald erwarten.

Noch mehr Problemen

Zusätzlich zu der Datenverlust-Problematik und den anderen bereits letzte Woche erwähnten Problemen gesellen sich nun auch noch Fehler im Benachrichtigungssystem, Abstürze während des Upgrades und fehlerhafte Intel Grafik-Treiber dazu.

Fazit:

Gut, dass die hier beschrieben Probleme momentan wohl kaum jemanden betreffen, weil Microsoft die Auslieferung rechtzeitig pausiert hat. Das Microsoft aber aus dem katastrophalen Start von Version 1803 keine Lehren gezogen hat und mit Version 1809 noch tiefer ins Klo greift, hätte echt niemand erwartet.

zur Übersicht

05.10.2018 – Wieder Sicherheitslücken in Adobe Reader/Acrobat

Irgendwie scheint bei Adobe Reader und Acrobat im Moment der Wurm drin zu sein. Das letzte Update für die PDF-Programme kam für den Tag der Updates zu spät. Jetzt hat Adobe erneut ein Mega-Sicherheitsupdate bereitgestellt und ist dem nächsten Tag der Updates damit vorausgeeilt.

Nicht nur das Datum ist außergewöhnlich, auch der Umfang an Sicherheitslücken die das Update schließt, hat es in sich. Nicht weniger als 87 (!) Lücken hat Adobe in Reader/Acrobat geschlossen und das keine zwei Wochen nach dem letzten Sicherheitsupdate. Aufgrund der schieren Menge an Lücken sollten alle Anwender die Reader und/oder Acrobat installiert haben möglichst rasch auf die neue Version updaten.

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.008.20071 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-30 (Englisch)

zur Übersicht

05.10.2018 – Thunderbird 60.2.1 – Zeit für Upgrade ist da

Vor zwei Monaten haben wir über die Neuerungen in Mozilla Thunderbird 60 berichtet und all die Probleme, die man potenziell mit Erweiterungen in der neuen Fassung haben kann. Leider hat sich an der Erweiterungs-Problematik noch nicht so viel geändert, sprich, es gibt immer noch jede Menge nützlicher aber nicht kompatibler Erweiterungen für Thunderbird 60.

Nun hat Mozilla aber Version 60.2.1 herausgegeben (die Versionen 60.1.x und 60.2.0 wurden übersprungen) und diese neue Version enthält auch Sicherheitsupdates. Mozilla selbst schreibt, dass 60.2.1 auch als automatisches Update für Thunderbird 52 ausgeliefert werden soll, bisher können wir das aber noch nicht bestätigen, sprich unsere Thunderbird 52.9.1 Test-Installation hat noch kein automatisches Update auf Version 60.2.1 angeboten bekommen. Da nicht bekannt ist, inwieweit die nun behobenen Sicherheitslücken auch in der 52er Serie existent sind, bleibt nur das Upgrade auf 60.2.1 um sicher zu bleiben.

Anwender, die keine Erweiterungen (außer den mitgelieferten bzw. Wörterbüchern) verwenden, sollten kein Problem mit dem Upgrade auf 60.2.1 bekommen. Falls Thunderbird auch bei Ihnen das Update nicht automatisch anbietet, können sie es einfach im Anschluss an den Artikel herunterladen.

Die Crux mit den Erweiterungen …

Für Anwender, die Erweiterungen benötigen die nicht mit Thunderbird mitgeliefert werden, wird es jetzt ernst. Aus Sicherheitsgründen sollte man nun updaten, aber noch sind nicht alle gängigen Erweiterungen angepasst. Letztendlich hilft nur der Selbstversuch. Wir raten in diesem Fall jedoch zu einer Sicherung des Thunderbird Profils. Standardmäßig finden sie das im Ordner "C:\Benutzer\IhrBenutzerName\AppData\Roaming\Thunderbird\Profiles". Kopieren Sie sich den oder die hier enthaltenen Unterordner, um sie bei Bedarf wiederherstellen zu können. Danach können sie gefahrlos die neue Version installieren und testen, ob alle benötigten Erweiterungen funktionieren. Falls eine Erweiterung nicht funktioniert, schauen sie auf der Homepage der Erweiterung nach, ob nicht eventuell bereits aktualisierte Fassungen der Erweiterungen zur Verfügung stehen.

Das Kompatibilitäts-Flag ...

Will eine Erweiterung partout nicht mehr funktionieren, gibt es noch einen letzten Strohhalm, an den man sich klammern kann. Um Thunderbird eventuell doch noch mit alten Erweiterungen kompatibel zu machen, geht man in die EINSTELLUNGEN → ERWEITERT → ALLGEMEIN → ‚Konfiguration bearbeiten‘. In dem neuen Fenster suchen sie nach der Zeichenfolge "extensions.strictCompatibility" (ohne Anführungszeichen). Falls der WERT in der Zeile "true" lautet, doppelklicken sie die Zeile, bis der Wert "false" angezeigt wird. Dann schließen sie den erweiterten Konfigurationseditor, starten Thunderbird neu und testen die Erweiterungen abermals. Sollte die Änderung keine Besserung gebracht haben, ist der Moment gekommen, an dem man sich entscheiden muss: Entweder Sicherheit oder die Erweiterung(en).

Download: Aktuelle Thunderbird Version

zur Übersicht

05.10.2018 – Firefox 62.0.3 behebt Sicherheitslücken

Mozilla hat ein kleines Update für Firefox 62 auf Version 62.0.3 veröffentlicht. Neben anderen kleinen Fehlerkorrekturen enthält die neue Version Updates für drei kritische Sicherheitslücken. Anwender sollten das Update daher rasch installieren, sofern das durch das automatische Update nicht bereits erledigt wurde.

In Firefox ESR wurden ebenfalls drei Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.2.2.

Quelle: 'Mozilla Foundation Security Advisory 2018-24' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

05.10.2018 – Auch Windows 10 Version 1809 mit Startproblemen!

Vor einem halben Jahr haben wir über die unzähligen Probleme geschrieben, die Windows 10 Version 1803 hatte. Von der Nachfolgeversion wurde eigentlich erwartet, dass sie einen deutlich bessern Start haben sollte, schließlich dient Version 1809 auch als Basis für den Windows Server 2019 und andere Windows-Varianten mit langem Support.

Aber irgendwie hat es Microsoft auch dieses Mal das Ziel verfehlt, denn bereits wenige Tage nach dem Startschuss für 1809 gab es in den diversen Foren etliche Problemberichte, darunter sogar ein geradezu fataler Fehler!

Daten sind nach Upgrade futsch!

Der wohl übelste Fehler, der nur passieren kann ist, wenn nach dem Windows Upgrade (das Windows 10 Home Benutzern ungefragt aufs Auge gedrückt wird) plötzlich eigene Dateien unwiederbringlich verschwunden sind. Genau dieser Worst-Case wurde aber bereits mindestens dreimal in Foren unabhängig voneinander dokumentiert. Das heißt, Anwender von Windows 10 Home die keine aktuelle Sicherung haben, sollten nun unbedingt mal wieder eine anfertigen, andernfalls riskieren sie einen Datenverlust wenn Windows sich früher oder später von selbst upgradet. Anwender der Pro-Version sollten zwar natürlich ebenfalls regelmäßig Backups machen, sie können aber darüber hinaus auch das Upgrade auf Version 1809 hinauszögern, indem man in den erweiterten Optionen von Windows Update unter dem Punkt "Installationszeitpunkt für Updates auswählen" den Kanal "Semi-Anual Channel" anstelle von "Semi-Anual Channel (Targeted)" auswählt.

Store und Apps ohne Internet!

Auf einigen Rechnern ist nach einem Upgrade der Store und alle Apps offline, was zahlreiche andere Probleme nach sich zieht. Laut Microsoft selbst soll es in dem Fall helfen, IPv6 in den Eigenschaften des Netzwerkadapters wieder zu aktivieren. Auch wir hatten auf einem Testrechner dieses Problem, mussten zur Lösung aber etwas tiefer in die Trickkiste greifen.

Intel Treiber verhindern Upgrade

Ob es sich hierbei um ein Problem oder nicht eher um ein ‚Feature‘ handelt, sei mal dahingestellt. Jedenfalls verhindern manche Intel Grafik-Treiber ein Upgrade auf Version 1809. Wer einen PC mit Intel-Grafik verwendet und trotz aller Warnungen freiwillig auf 1809 upgraden möchte, muss zuerst die Intel-Grafik-Treiber aktualisieren. Diese sind auf der Intel Homepage verfügbar.

Ungereimtheiten im Taskmanager

Der Taskmanager wurde in Windows 10 v1809 wieder einmal erweitert. Er zeigt jetzt z.B. Stromverbrauchswerte an. Allerdings hat Microsoft auch ein paar Fehler eingebaut. So soll die Prozessorauslastung nicht immer korrekt angezeigt werden und es gibt es ein paar visuelle Probleme. Nichts Gravierendes also, gut möglich, dass das schon am nächsten Tag der Updates behoben wird.

Fazit:

Wir würden nicht soweit gehen und Windows 10 v1809 jetzt schon in einen Topf mit Version 1803 zu werfen, aber vor allem das Problem mit den verloren gegangen Dateien, ist gravierend und lässt eigentlich im Moment nur einen Rat zu – wenn immer möglich meiden sie das Upgrade auf Version 1809. Wo das nicht möglich ist, achten sie auf regelmäßige Sicherungen. Allerdings sollte letzteres ohnehin selbstverständlich sein, unabhängig davon welches Betriebssystem eingesetzt wird.

zur Übersicht

05.10.2018 – Das ist neu in Windows 10 Version 1809!

Auch wenn wir uns zuerst den diversen Problemen der neuen Windows 10 Version gewidmet haben, so gibt es natürlich auch durchaus positive Neuerungen zu berichten. Vor allem die neue Zwischenablage dürfte uns in Zukunft viel Arbeit ersparen, auch wenn wir die Cloud-Funktion natürlich wie üblich nicht verwenden würden (Passwörter im Klartext in der Cloud? Keine gute Idee!). Auch die kleinen aber feinen Neuerungen in Notepad kommen uns nicht ungelegen. Da aber die Redakteure von Heise Online das Thema Neuerungen schon schön aufbereitet haben, verweisen wir einfach darauf, anstatt das Rad nochmal neu zu erfinden.

Quelle: 'Windows 10 1809: Das sind die Highlights der kommenden Version' auf Heise Online

zur Übersicht

01.10.2018 – Audacity 2.3.0 – Sicherheitsloch endlich behoben!

Über 2 Jahre lang haben sich die Entwickler von Audacity standhaft geweigert eine DLL-Hijacking Sicherheitslücke in Audacity zu schließen, trotz etlicher Bemühungen unsererseits. In der neuen Version 2.3.0 gibt es nun plötzlich die Kehrtwende und die Lücke wurde endlich behoben. Anwender, die gemäß unserer Empfehlung, die Verknüpfung von Audacity-Projekten entfernt haben, müssen diesen Schritt also ab Version 2.3.0 nicht mehr machen. Das FFmpeg-Plugin für Audacity wurde aber weiterhin nicht aktualisiert und sollte daher auf jeden Fall deinstalliert bzw. nicht installiert werden!

Abgesehen von der geschlossenen Sicherheitslücke ist uns ein Problem beim Starten der neuen Audacity Version aufgefallen. Mit manchen Einstellungen aus früheren Versionen kommt 2.3.0 offenbar nicht zurecht. Falls Audacity nicht startet, hilft es die Installation erneut durchzuführen und im Setup-Assistenten das Kästchen bei "Einstellungen zurücksetzen?“ auszuwählen.

Abgesehen von den Sicherheitskorrekturen und dem Problem mit älteren Einstellungsdateien betreffen die meisten Neuerungen die Aufnahmefunktion, die deutlich ausgebaut wurde. Auch die Möglichkeit, wiederkehrende Aufgaben per Makros zu automatisieren, wurde massiv aufgebohrt. Zudem wurden die Menüs erneut aufgeräumt und ein paar kleinere Neuerungen an der Oberfläche gemacht. Außerdem gibt es über 90 Fehlerkorrekturen, die allein das Update auf Version 2.3.0 schon rechtfertigen würden.

Fazit: Das Audacity bei einigen Anwendern möglicherweise nicht auf Anhieb startet, sollte niemanden abhalten rasch auf die neue Version upzudaten. Die verbesserte Sicherheit und die zahlreichen Fehlerkorrekturen allein sollten als Begründung ausreichen. Die Neuerungen bei der Aufnahme und Makros sind dann noch ein Bonus obendrauf. Von dem optionalen FFmpeg-Plugin sollte man aber weiterhin die Finger lassen.

Download: Aktuelle Audacity Version

Info: Neue Funktionen in Audacity 2.3.0 (Englisch)

Info: Vollständige Release Notes für Audacity 2.3.0 (Englisch)

zur Übersicht

01.10.2018 – Firefox 62.0.2 behebt Sicherheitslücke

Mozilla hat ein kleines Update für Firefox 62 auf Version 62.0.2 veröffentlicht. Neben anderen kleinen Fehlerkorrekturen enthält die neue Version ein Sicherheitsupdate. Auch wenn die geschlossene Lücke nicht schwerwiegender Natur war, sollten Anwender Firefox bei nächster Gelegenheit updaten.

In Firefox ESR wurden zwei Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.2.1.

Quelle: 'Mozilla Foundation Security Advisory 2018-20' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

01.10.2018 – Wieder Sicherheitslücke in Western Digitals 'MyCloud' und 'MyCloud Mirror' Systemen!

Es vergeht kein Jahr ohne mindestens eine Sicherheitslücke in NAS-Systemen von Western Digital (kurz WD). Bereits im Jänner dieses Jahres haben wir über Lücken berichtet, die der Hersteller monatelang ignoriert hat. Jetzt gibt es wieder eine Lücke die es Angreifern ermöglicht das Gerät anzugreifen, sofern es mit dem Internet verbunden ist (ein Schritt, den man sich bei NAS-Geräten grundsätzlich gut überlegen sollte).

Auch dieses Mal hat WD die Lücken ewig lange ignoriert – 17 Monate um genau zu sein! Das belegt einmal mehr, das WD die Sicherheit der Daten seiner Kunden praktisch egal ist und unsere Empfehlung, keine NAS-Systeme von diesem Hersteller zu kaufen, aus gutem Grund besteht.

Anwender die bereits mit solchen Geräten gestraft sind (und nicht extra neue Geräte kaufen wollen), sollten die nun erhältlichen Software-Updates zügig installieren und die Geräte, wenn irgendwie möglich, vom Internet abschotten.

Quelle: 'Western Digital patcht über ein Jahr alte Sicherheitslücke im NAS My Cloud' auf Heise Online

Download: Aktuelle Firmware-Updates für WD-Geräte auf wdc.com

zur Übersicht

01.10.2018 – Cisco schließt Sicherheitslücken in Webex und Video Surveillance Manager

Cisco hat Sicherheitslücken in der Video-Konferenz-Software ‚Webex‘ und der Überwachungssoftware ‚Video Surveillance Manager‘ behoben. Anwender, die eine der beiden Software-Pakete auf ihrem PC haben, sollten in den entsprechenden Security Bulletins nachlesen, wie die passenden Updates installiert werden können.

Info: 'Cisco Security Bulleting SA-20180919 - Webex' auf Cisco.com

Info: 'Cisco Security Bulleting SA-20180921 - Video Surveillance Manager' auf Cisco.com

zur Übersicht

01.10.2018 – Vivaldi veröffentlicht Version 2.0!

Vivaldi hat soeben den größten Versionsnummernsprung in seiner Geschichte hingelegt und spaltet damit ein bisschen die Meinungen:

Für Cloud-Verweigerer (wie uns), bietet Vivaldi 2.0 kaum Neues und stellt damit eigentlich ein eher "langweiliges“ Release dar, das auf keinen Fall so einen hohen Versionssprung rechtfertigt. Es gibt zwar ein paar kleinere sichtbare Neuerungen, aber die bisherigen Releases fanden wir spannender.

Cloud-Fans, bzw. Anwender, die Browser-Synchronisation für ein unverzichtbares Feature halten, werden mit Vivaldi 2.0 hingegen ihre Freude haben. Die Synchronisation erlaubt es Lesezeichen, Schnellstart-Einträge, Passwörter (!), AutoAusfüll-Formulardaten, den Verlauf, die verwendeten Erweiterungen und die Notizen zwischen mehreren Geräten zu synchronisieren. Immerhin landen all diese Daten nicht im Klartext auf den Servern Vivaldis, sondern sind verschlüsselt. Als Passwort für die Verschlüsselung kann dasselbe Passwort wie für das Vivaldi-Konto verwendet werden (dann hat Vivaldi und mögliche Hacker zugriff auf diese Daten), man kann aber auch ein unabhängiges Passwort verwenden. In letzterem Fall sollten die Daten dann vor neugierigen Blicken relativ sicher sein.

Abgesehen von der Browser Synchronisation gibt es ein paar kleine Neuerungen beim Tab-Handling, eine aktuelle Chromium-Version und natürlich jede Menge kleinerer Fehlerkorrekturen.

Download: Aktuelle Vivaldi Version

Quelle: 'Vivaldi-Browser gibt Account-Synchronisierung frei' auf Heise Online

Quelle: 'Vivaldi 2.0 – Your browser matters' auf Vivaldi.com (Englisch)

zur Übersicht

01.10.2018 – LibreOffice 6.1.2 veröffentlicht

Die LibreOffice Entwickler haben die Version 6.1.2 der freien Bürosuite veröffentlicht. Auch wenn in dieser Version wieder etliche Fehler korrigiert wurden, empfiehlt sich die noch relativ junge 6.1er Serie eher für neugierige Anwender, die immer die neueste Software einsetzen wollen und dafür Fehler in Kauf nehmen.

Konservative Anwender und Firmen sollten bis auf weiteres bei LibreOffice 6.0.6 bleiben.