News Archiv 1. Quartal 2020
Schlagzeilen * Details
Schlagzeilen:
- 24.03.2020 - Kritische Sicherheitslücke in Windows!
- 24.03.2020 - Sicherheitsupdate für zahlreiche Adobe Programme
- 24.03.2020 - Das nächste Chromium Sicherheitsupdate
- 24.03.2020 - Firefox 74: Sicherheitsupdates und Corona Nebenwirkungen
- 24.03.2020 - Thunderbird 68.6 behebt Sicherheitslücken
- 24.03.2020 - Sicherheitsupdates für Drupal, Wordpress und Typo3
- 24.03.2020 - Dringende Updates für (Un)Sicherheitskameras von Lilin
- 24.03.2020 - Neue Firmware für unsichere Zyxel Geräten
- 24.03.2020 - Avast schaltet gefährliche Schutzfunktion ab
- 24.03.2020 - Sicherheitslücken in TrendMicro Schutzsoftware
- 24.03.2020 - Intel veröffentlicht zahlreiche Sicherheitsupdates
- 24.03.2020 - VMware: Wieder Sicherheitsupdates nötig
- 24.03.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 06.03.2020 - Das nächste Chromium Sicherheitsupdate
- 06.03.2020 - Microsoft erschwert Einrichtung lokaler Benutzer
- 06.03.2020 - CU2 für SQL Server 2019 sollte vermieden werden
- 06.03.2020 - Großes Gimp Update!
- 06.03.2020 - LibreOffice 6.3.4 verfügbar
- 06.03.2020 - Wieder Sicherheitslücken in Nvidia Treibern
- 06.03.2020 - Kritische Sicherheitslücke in Netgear Routern!
- 06.03.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 27.02.2020 - Das nächste Chromium Sicherheitsupdate
- 27.02.2020 - Opera: Neue Version schon wieder veraltet!
- 27.02.2020 - PayPal + Google Pay = Geld weg
- 27.02.2020 - Schwere Sicherheitslücke in McAfee WebAdvisor
- 27.02.2020 - Kritische Sicherheitslücken in Zyxel Geräten
- 21.02.2020 - Noch zwei Sicherheitsupdates von Adobe
- 21.02.2020 - Wieder wichtige Sicherheitsupdates für WordPress Plugins
- 21.02.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 17.02.2020 - Sicherheitsupdate für zahlreiche Adobe Programme
- 17.02.2020 - Microsoft's Tag der Updates
- 17.02.2020 - Sicherheit: Microsoft und Vivaldi hui, Opera pfui
- 17.02.2020 - Firefox 73: Sicherheitsupdates und neue Funktionen
- 17.02.2020 - Thunderbird 68.5 behebt Sicherheitslücken
- 17.02.2020 - Blender 2.82 brennt noch besser
- 17.02.2020 - Wichtiges Sicherheitsupdate für WordPress Plugin
- 17.02.2020 - Sicherheitslücken in Symantec Endpoint behoben
- 07.02.2020 - Das nächste Google Chrome Sicherheitsupdate
- 07.02.2020 - WhattsApp für iOS + Desktop = Sicherheitslücke
- 07.02.2020 - Die nächste Sicherheitslücke in zahlreichen Überwachungskameras
- 07.02.2020 - Philips Hue: Hackern geht ein Licht auf
- 07.02.2020 - Schwere Sicherheitslücke in Yealink Telefonsystem
- 07.02.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 31.01.2020 - Internet Explorer Sicherheitslücke immer noch offen
- 31.01.2020 - ThinkPad Updates beheben Probleme mit Thunderbolt
- 31.01.2020 - LibreOffice 6.4 bringt Verbesserungen
- 31.01.2020 - Windows Update verbessert Suchfunktion - teilweise
- 31.01.2020 - AVAST gesteht massiven Datenverkauf ein!
- 31.01.2020 - Sicherheitsupdates für Citrix Systeme komplett
- 31.01.2020 - Intel: Wieder BIOS-Updates nötig
- 31.01.2020 - Schwere Sicherheitslücke in Fortinet Sicherheits-Software
- 31.01.2020 - Sicherheitslücken in Magento
- 24.01.2020 - VeraCrypt behebt Sicherheitslücke
- 24.01.2020 - Neue Trojaner-Welle per E-Mail
- 24.01.2020 - Sicherheit von Daten auf SSDs , USB-Sticks usw.
- 24.01.2020 - Daten-Kidnapping per Windows Funktion!
- 24.01.2020 - Kritische Sicherheitslücke in Trend Micro Software
- 24.01.2020 - Sicherheit: Netgear legt versehentlich Zertifikat offen
- 24.01.2020 - Erste Sicherheitsupdates für unsichere Citrix Systeme
- 24.01.2020 - AMD Radeon + VMware = Sicherheitslücke
- 24.01.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 19.01.2020 - Microsoft's Tag der Updates
- 19.01.2020 - Das nächste Google Chrome Sicherheitsupdate
- 19.01.2020 - Vivaldi Update behebt Sicherheitslücken
- 19.01.2020 - Opera: Wieder Sicherheitsupdate verschlafen
- 19.01.2020 - Sicherheitsupdates für Java und weitere Oracle Software
- 19.01.2020 - Sicherheitsupdate für zahlreiche Adobe Programme
- 19.01.2020 - Intel veröffentlicht zahlreiche Sicherheitsupdates
- 19.01.2020 - Angriffe auf unsichere Citrix Systeme
- 19.01.2020 - VMware: Wieder Sicherheitsupdates nötig
- 19.01.2020 - Wichtiges Sicherheitsupdate für WordPress Plugin
- 19.01.2020 - Gefährliche Sicherheitslücke in Kabelmodems
- 12.01.2020 - Tarifanpassungen für 2020
- 12.01.2020 - Schon wieder Google Chrome Sicherheitsupdate
- 12.01.2020 - Vivaldi Update behebt Sicherheitslücken
- 12.01.2020 - Thunderbird 68.4.1 behebt Sicherheitslücken
- 12.01.2020 - Firefox 72: Sicherheitsupdates und neue Funktionen
- 12.01.2020 - Sicherheitslücken in Geräten von Juniper Networks behoben
- 12.01.2020 - Cisco deaktiviert automatische Updates auf RV-Serie Routern
- 12.01.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 06.01.2020 - Wieder Sicherheitslücken in Routern von D-Link
- 06.01.2020 - Vorsicht vor gefälschten Amazon Bestellbestätigungen
- 06.01.2020 - Wieder Probleme mit (Un)Sicherheitskamera
- 06.01.2020 - Dauerthema Bluetooth Unsicherheit
Details:
24.03.2020 – Kritische Sicherheitslücke in Windows!
Wir beginnen heute mit Microsoft, denn wer denkt, die Sicherheitsupdates von letzter Woche zu installieren genügt, um sich gegen alle aktuelle Bedrohungen zu wappnen, irrt leider. Gerade ist bekannt geworden, dass in allen aktuellen Windows Versionen (und auch nicht mehr aktuelle Versionen wie Windows 7, für die es keine Updates mehr gibt) eine Schwachstelle im Umgang mit Schriftart-Dateien existiert. Als langjähriger Beobachter der Szene möchte man fast sagen "schon wieder existiert", denn Lücken im Zusammenhang mit Schriftarten kommen immer wieder mal vor.
Die Lücken können laut Microsoft genutzt werden, um Computer darüber mit Viren zu infizieren. Da es bisher noch keine Sicherheitsupdates gibt, die diese Lücken schließen, sollten Anwender ein paar Funktionen deaktivieren. Microsoft selbst beschreibt das nur mit wenigen Worten, weshalb wir eine bebilderte Anleitung erstellt haben, anhand derer hoffentlich jeder in der Lage ist die gefährlichen Funktionen vorerst zu deaktivieren. Das alles nützt allerdings nur solange etwas, wie man die Dateien nicht erst wieder installiert, daher sollte man bis auf weiteres am besten gar keine Schriftarten mehr installieren, wenn es nicht absolut notwendig ist. Und falls es notwendig ist, sollte man Schriftarten nur aus vertrauenswürdigen Quellen beziehen und diese zuvor noch bei Virustotal.com gegenprüfen.
Info: Bebilderte Anleitung zum Deaktivieren der Vorschau Funktionen
Quelle: 'Angreifer attackieren Windows über Zero-Day-Lücken' auf Heise Online
Andere gefährliche Lücken behoben!
Die gefährlichen SMB-Sicherheitslücken in Windows Versionen ab Version 1903 hat Microsoft hingegen mit den letzten Updates behoben. Anwender, die die letzten Windows Updates noch nicht installiert haben, sollten das daher unbedingt zügig nachholen.
Quelle: 'Achtung: Sicherheitspatch gegen kritische SMBv3-Lücke jetzt verfügbar' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP , Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 18.03 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
24.03.2020 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Quelle: 'Sicherheitsupdates: Schadcode-Lücken in Adobe Acrobat und Reader' auf Heise Online
Quelle: 'Adobe: Weitere teils kritische Updates unter anderem für Photoshop und Bridge' auf Heise Online
Quelle: 'Notfallpatch für Adobe Creative Cloud Application' auf Heise Online
Adobe Reader & Acrobat:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2020.006.20042 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Version hat Adobe unzählige (!) Sicherheitslücken geschlossen, sehr viele davon kritischer Art. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB20-05 (Englisch)
Creative Cloud Client:
Eine Sicherheitslücke in der Creative Cloud Desktop App ermöglicht es Angreifern Dateien vom PC des Opfers zu löschen. Details verrät Adobe bisher nicht, da Adobe das Update aber außer der Reihe verteilt, dürfte klarmachen, dass es sich hier um ein sehr dringendes Problem handelt. Für Abhilfe sorgt das Update auf Version 5.1. Beim Starten der Creative Cloud App sollte diese automatisch auf das Update hinweisen.
Quelle: 'Adobe Security Bulletin APSB20-11' auf Adobe.com (Englisch)
Adobe Photoshop:
In Adobe Photoshop wurde diesen Monat stolze 23 Sicherheitslücken geschlossen. In Summe ist der Gefahrengrad durch die Lücken kritisch. Anwender, die Photoshop installiert haben, sollten daher rasch auf die Version 20.0.9 (2019) oder 21.1.1 (2020) updaten. Sämtliche (!!) frühere Photoshop Versionen gelten als unsicher und sollten nicht mehr verwendet werden.
Info: Adobe Security Bulletin APSB20-14 (Englisch)
Adobe Bridge:
In Adobe Bridge wurden zwei Sicherheitslücken behoben, die in Summe ebenfalls eine kritische Bedrohung ergeben. Anwender die Adobe Bridge installiert haben sollten daher zügig auf Version 10.0.3 updaten.
Info: Adobe Security Bulletin APSB20-17 (Englisch)
Adobe ColdFusion:
Nutzer von Adobe ColdFusion 2016 und 2018 sollten unbedingt auf ColdFusion 2016 Update 14 bzw. ColdFusion 2018 Update 8 aktualisieren, um zwei gefährliche Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin.
Quelle: 'Adobe Security Bulletin APSB20-16' auf Adobe.com (Englisch)
Adobe Experience Manager:
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine Lücke. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB20-15 (Englisch)
24.03.2020 – Das nächste Chromium Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 80.0.3987.149 behebt 13 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein.
Anwender von Google Chrome sollten unbedingt sicherstellen, dass sie die aktuelle Ausgabe verwenden (siehe Info-Link).
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: '13 Sicherheitslücken in Chrome geschlossen' auf Heise Online
Vivaldi:
Vivaldi hat seinen Browser bereits einen Tag später (Zeitzonen-bereinigt) aktualisiert und schließt die Lücken mit Version 2.11 Update 5 (2.11.1811.49).
Quelle: 'Minor update (5) for Vivaldi 2.11' auf Vivaldi.com
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version in die Edge Version 80.0.361.69 eingebaut.
Opera bleibt unsicher:
Opera hängt wie üblich mit den Sicherheitsupdates hinterher, weshalb wir Opera Anwendern schon seit längerem zu einem Wechsel auf Vivaldi raten.
24.03.2020 – Firefox 74: Sicherheitsupdates und Corona Nebenwirkungen
Mozilla hat Firefox 74 veröffentlicht. Die neue Version behebt in Summe 5 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'kritisch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
Abgesehen von den Sicherheitskorrekturen hätte Firefox 74 auch endlich Schluss mit den veralteten Verschlüsselungsprotokollen TLS1.1 und TLS 1.2 machen sollen. Da aber viele der Corono-Info-Websites in den USA noch diese veralteten Protokolle nutzen, ist Mozilla da wieder zurückgerudert, damit auch diese Webseiten problemlos aufgerufen werden können.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 68.6.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
24.03.2020 – Thunderbird 68.6 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 68.6 veröffentlicht. Gegenüber der Version 68.5 behebt die neue Version sieben Sicherheitslücken, die unterm Strich eine hohe Bedrohung ergeben (falls Javascript aktiviert wird, was standardmäßig nicht der Fall ist). Alle Thunderbird Anwender sollten daher zügig updaten.
Immer noch Thunderbird 60 in Verwendung?
Wer immer noch den 60er Versionszweig von Thunderbird verwendet sollte nun ebenfalls upgraden. Dabei sollte das Thema Erweiterungen unbedingt bedacht werden, über das wir in den letzten Wochen schon so ausgiebig geschrieben haben.
Download: Thunderbird Version 68.6, Windows, 32Bit, Deutsch
Download: Thunderbird Version 68.6, Windows, 64Bit, Deutsch
Info: 'Thunderbird 68.6 Release Notes' auf Mozilla.org (Englisch)
24.03.2020 – Sicherheitsupdates für Drupal, Wordpress und Typo3
Für die Contentmanagement-Systeme Drupal, Worpress und Typo3 (bzw. deren Plugins) sind auch diese Woche wieder wichtige Sicherheitsupdates erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'CMS Drupal: Angreifer könnten Admin-Accounts attackieren' auf Heise Online
Quelle: 'Sicherheitsupdate: SAML-Service-Provider-Modul gefährdet Drupal-Websites' auf Heise Online
Quelle: 'WordPress-Plugin Popup Builder: Update schließt zwei Schwachstellen' auf Heise Online
Quelle: 'Kritische Sicherheitslücken in Typo3-Add-ons' auf Heise Online
24.03.2020 – Dringende Updates für (Un)Sicherheitskameras von Lilin
Besitzer von (Un)Sicherheitskameras des Herstellers "Lilin" sollten unbedingt prüfen, ob für das Gerät ein Firmware-Update verfügbar ist. Kameras dieses Herstellers werden nämlich zurzeit massiv angegriffen und in Botnetze integriert. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Angreifer übernehmen Videoüberwachungssysteme von Lilin' auf Heise Online
24.03.2020 – Neue Firmware für unsichere Zyxel Geräten
Zyxel hat nun vollständige Firmware-Updates für die bisher nur per Hotfix abgesicherten Geräte verfügbar. Besitzer/Administratoren der folgenden Geräte sollten die im Sicherheitsbulletin von Zyxel verlinkten Firmware-Upgrades installieren, um diese Geräte wieder in einen sicheren Zustand zu versetzen.
Hier noch einmal die Liste der betroffenen Geräte:
NAS326, NAS520, NAS540, NAS542, ATP100, ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200, VPN50, VPN100, VPN300, VPN1000, ZyWALL110, ZyWALL310, ZyWALL1100
Folgende Geräte sind ebenfalls von den Schwachstellen betroffen, erhalten jedoch keine Sicherheitsupdates mehr, weshalb die Geräte entweder ausgemustert oder zumindest vom Internet getrennt werden sollten:
NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 und NSA325v2.
Quelle: 'Lücke in NAS von Zyxel: Nach Hotfixes im Februar nun neue Firmware verfügbar' auf Heise Online
24.03.2020 – Avast schaltet gefährliche Schutzfunktion ab
Avast musste aufgrund einer Sicherheitslücke, die auf sehr dummen Software-Design basiert, einen Teil der Schutzfunktionen seiner Virenscanner abschalten. Es geht dabei um eine Funktion die (unter anderem) Javascript-Code prüft, wie er auf Webseiten heutzutage massenhaft anzufinden ist. Die Art und Weise wie Avast diese Prüfung durchführt, steigert das Risiko dabei weit über das Maß hinaus, das der Javascript-Code ohne Prüfung anrichten könnte. Deshalb blieb Avast auch nichts anderes über, als die Funktion zu deaktivieren.
Um die Funktion korrekt einzubinden, sind vermutlich größere Umbauarbeiten an den Avast-Produkten notwendig, weshalb nicht damit zu rechnen ist, dass die abgeschaltete Funktion bald wieder nutzbar ist. Das heißt nicht, dass die Avast-Programme im Moment komplett unbenutzbar sind, aber die Schutzleistung dürfte dadurch in gewissen Situationen doch reduziert werden. Empfohlen hätten wir Avast-Produkte aber auch vor dieser Blamage nicht.
Quelle: 'Avast deaktiviert gefährliche Komponente seiner Antiviren-Software' auf Heise Online
24.03.2020 – Sicherheitslücken in TrendMicro Schutzsoftware
Auch TrendMicro bekleckert sich diesen Monat nicht mit Ruhm. In den Produkten des Herstellers fanden sich bisher fünf Sicherheitslücken, wovon vier kritischer Natur sind. Anwender der Programme Apex One 2019, OfficeScan XG und OfficeScan XG SP1 sollten dringend auf aktuelle Versionen updaten. Das wären Apex One CP 2117, OfficeScan XG CP 1988 und XG SP1 CP 5474.
Quelle: 'Jetzt patchen! Antiviren-Software von Trend Micro unter Beschuss' auf Heise Online
24.03.2020 – Intel veröffentlicht zahlreiche Sicherheitsupdates
Prozessorhersteller Intel hat mal wieder reichlich neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider ist es (wie schon öfter geschrieben) für Endanwender nicht einfach sich in all den Intel Sicherheitsupdates zurechtzufinden und die für die eigene Hardware passenden Updates zu installieren.
Die wichtigsten Updates stellen die neuen Grafik- und Audio-Treiber dar. Während erstere direkt von der Intel Homepage heruntergeladen werden können und teilweise leicht, teils nur über Umwege installierbar sind, verlässt sich Intel bei den Audio-Treibern auf die jeweiligen Geräte-Hersteller. Erfahrungsgemäß funktioniert das oft schlecht und Sicherheitsupdates kommen dann nicht bei den Besitzern betroffener Geräte an. Bleibt nur zu hoffen, dass Microsoft hier über Windows Update in die Bresche springt.
Die behobenen Lücken im Linux-Buetooth-Stack BlueZ dürfte kaum einen Endanwender interessieren, auch wenn viele davon sowas (unwissentlich) in Betrieb haben dürften. Auch hier wären die Hersteller der Geräte bzw. Distributionen verantwortlich dafür, die Updates an den Endkunden zu liefern.
Bei den Firmware-Updates für Intels NUCs sieht es wiederum gut aus. Diese sind einfach über die Intel-Homepage downloadbar.
Alle Infos und Download-Links finden Betroffene in dem Heise Online Artikel.
Quelle: 'Patchday: Intel bessert unter anderem bei Audio- und Grafiktreibern nach' auf Heise Online
24.03.2020 – VMware: Wieder Sicherheitsupdates nötig
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die zugrunde liegenden Heise Online Artikel:
Quelle: 'Kritische Lücke: Angreifer könnten aus VMware Fusion und Workstation ausbrechen' auf Heise Online
Quelle: 'VMware: Angreifer könnten virtuelle Maschinen abschießen' auf Heise Online
24.03.2020 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Netzwerk-Software: Root-Lücke bedroht Cisco SD-WAN' auf Heise Online
06.03.2020 – Das nächste Chromium Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 80.0.3987.132 behebt 4 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein.
Anwender von Google Chrome sollten unbedingt sicherstellen, dass sie die aktuelle Ausgabe verwenden (siehe Info-Link).
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Vier Lücken im Webbrowser Chrome geschlossen' auf Heise Online
Vivaldi:
Vivaldi hat seinen Browser bereits einen Tag später (Zeitzonen-bereinigt) aktualisiert und schließt die Lücken mit Version 2.11 Update 4 (2.11.1811.47).
Quelle: 'Minor update (4) for Vivaldi 2.11' auf Vivaldi.com
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version in die Edge Version 80.0.361.66 eingebaut.
Quelle: 'Sicherheitsupdate: Vier Lücken im Webbrowser Chrome geschlossen' auf Heise Online
Opera bleibt unsicher:
Opera hat zwar eine neue Version seines Desktop-Browsers veröffentlicht, liefert aber wieder eine veraltete Chromium-Version aus und schließt damit NICHT die aktuellen Sicherheitslücken. Da das bei Opera kein Einzelfall ist raten wir allen Opera Anwendern zum Wechsel auf Vivaldi.
06.03.2020 – Microsoft erschwert Einrichtung lokaler Benutzer
Wer Windows 10 von einem frisch heruntergeladenem Installationsmedium installiert, hat neuerdings nicht mehr die Wahl ein lokales Benutzerkonto einzurichten. Früher war die Option zwar nicht unbedingt offensichtlich, aber doch vorhanden. Microsoft möchte offenbar noch mehr Benutzer in seine Cloud-Dienste locken.
Aus Datenschutz- und Sicherheitsgründen, empfiehlt es sich jedoch ein lokales Benutzerkonto anzulegen, und kein Microsoft Konto. Während das bei den Pro-Versionen weiterhin problemlos möglich ist, müssen Anwender der Home-Version zu einem Trick greifen. Deaktiviert man das WLAN bzw. zieht da Netzwerkkabel ab, gelingt die Nutzung eines lokalen Kontos (von Microsoft auch gelegentlich "Offline Konto" genannt) doch wieder.
Wer später doch gewisse Funktionen nutzen möchte, die ein Microsoft Konto erfordern (OneNote, OneDrive, Store usw.) kann die jeweiligen Apps individuell mit einem Microsoft-Konto verknüpfen, ohne den ganzen Computer mit dem MS-Konto zu verbandeln. Man muss nur ein bisschen genauer lesen und nicht immer die auffälligste Schaltfläche anklicken, wenn Windows nach einem MS-Konto fragt. Teils nennt sich die gewünschte Option 'nur bei dieser App anmelden', teils 'nur für Microsoft Apps verwenden' oder ähnlich.
Quelle: 'Microsoft-Kontenzwang bei der Installation auch für Windows 10 in Deutschland' auf Heise Online
06.03.2020 – CU2 für SQL Server 2019 sollte vermieden werden
Das Cumulative Update 2 für SQL Server 2019 sollte besser vermieden werden. Das Update verursacht wohl mehr Probleme als es behebt. Details dazu im Heise Online Artikel.
Quelle: 'Update für SQL-Server zerschießt Job-Scheduler' auf Heise Online
06.03.2020 – Großes Gimp Update!
Wie in der 2.10 Serie üblich, haben die Gimp Entwickler auch mit Version 2.10.18 wieder etliche neue Funktionen eingebaut. Das dürfte sicher auch daran liegen, dass Version 2.10.16 wegen eines größeren Bugs übersprungen wurde, sonst wären die Neuerungen auf 2 Versionen verteilt erschienen.
Auffälligste Neuerung ist sicher die nun gruppierte Werkzeugleiste. Statt die Leiste mit dutzenden Werkzeugen zu überfrachten und damit auch etwas Platz zu vergeuden, werde nun ähnliche Werkzeuge unter einem Button zusammengefasst. Klickt man länger auf ein Werkzeug-Symbol, kann man zwischen den einzelnen Werkzeugen innerhalb der Gruppe umschalten. In den Programm-Optionen (Bearbeiten → Einstellungen → Werkzeugkasten) lässt sich die Reihenfolge und auch die Gruppierung selbst beeinflussen. Wer lieber wie gewohnt alle Werkzeuge auf einmal sehen möchte, kann das ebenfalls dort einstellen.
Das neue 3D Transformation Werkzeug erlaubt es Ebenen frei im 3D Raum zu bewegen. Das ist wesentlich genauer und intuitiver handzuhaben als das bisher für diesen Zweck gedachte (und immer noch verfügbare) Werkzeug 'Perspektive'. Der 3D-Raum steht aber nur während der Transformation zur Verfügung, sobald die Transformation angeschlossen ist, ist die Ebene wieder eine ganz normale 2D Ebene.
Wir können hier nicht auf alle Neuerungen detailliert eingehen, einfach, weil es so viele sind. Jedoch möchten wir zuguterletzt noch anmerken, das Gimp nun auch im CMYK-Fabsystem gespeicherte Photoshop-Dateien öffnen kann. Zwar werden die Dateien noch nach RGB konvertiert, solange Gimp selbst nicht mit CMYK arbeiten kann, aber dennoch erleichtert das den Datenaustausch zwischen Photoshop und Gimp-Anwendern enorm.
Wir können allen Gimp-Anwendern (und solchen, die es werden wollen) nur den Blog-Post von Gimp.org empfehlen, wo die Neuerungen genauer vorgestellt werden, wenn auch nur auf Englisch.
Quelle: 'GIMP 2.10.18 Released' auf Gimp.org (Englisch)
Download: Gimp 2.10.18, Mehrsprachig, Windows
06.03.2020 – LibreOffice 6.3.4 verfügbar
Die LibreOffice Entwickler haben nun Version 6.3.5 der freien Büro-Suite veröffentlicht. Die 6.3er Serie ist die aktuelle stabile Ausgabe von LibreOffice, die für konservative Privatanwender und Firmen geeignet ist. Wir verwenden die neue Version seit einigen Stunden und konnten keine neuen Probleme damit feststellen.
Auch in der 6.4 Serie steht ein Update bereit. Version 6.4.1 behebt zwar sehr viele Fehler der Vorversion, dennoch raten wir Anwendern von der 6.4er Serie noch ab, wenn man nicht unbedingt die neuest Software haben muss und Fehler auch an die Entwickler melden kann.
Download: LibreOffice Versionen (6.3 Serie) - Empfohlen
06.03.2020 – Wieder Sicherheitslücken in Nvidia Treibern
Nvidia schließt wieder einmal Sicherheitslücken in seinen Grafiktreibern. Diesmal sind jedoch nicht nur reale Grafikkarten betroffen, sondern auch virtuelle, von Nvidia vGPU genannt. Letzteres dürfte überwiegend Server-Admins betreffen, daher gehen wir hier nur auf das Problem mit den Treibern für die realen Grafikkarten ein. Details zu den vGPU Lücken finden sie im Heise Online Artikel.
In den Treibern für GeForce, Quadro, NVS und Tesla Karten wurden zwei Sicherheitslücken behoben, wovon die gefährlichere die Risiko-Einstufung 'Hoch' bekommen hat. Anwender (vor allem aber Administratoren von FirmenPCs) mit Nvidia-Grafikkarten, sollten die Updates installieren.
Keine Updates für ältere Grafikkarten und Notebooks:
Bietet die Nvidia Website nach Eingabe der Daten der jeweiligen Grafikkarte nur Treiber an, die älter als Version 442.50 sind (gilt nur für GeForce-Karten, die Versionsnummern für anderen Grafikkarten finden sein im Nvidia Security Bulletin), wird ihre Grafikkarte nicht mehr unterstützt. Bei Desktops müsste dann eine neue Grafikkarte angeschafft werden, wenn man die Sicherheitslücken schießen möchte. Bei Notebooks lassen sich die Grafikchips in der Regel nicht austauschen, hier müsste also das komplette Gerät erneuert werden.
Quelle: 'NVIDIA schließt Lücken in GPU-Treiber und vGPU-Software' auf Heise Online
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - February 2020' auf nvidia.custhelp.com
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
06.03.2020 – Kritische Sicherheitslücke in Netgear Routern!
Besitzer von Netgear Routern und Gateways sollten prüfen, ob für diese Geräte ein Firmware Update verfügbar ist. Der Hersteller hat für zahlreiche Geräte Updates veröffentlicht, die allesamt gefährliche Sicherheitslücken schießen. Aufgrund der Anzahl der betroffenen Geräte und weil auch Geräte die nicht in einer der drei Listen (siehe Heise Artikel) stehen mal upgedatet werden sollten, sparen wir uns eine Aufzählung der betroffenen Geräte.
Wenn für ihren Netgear Router schon seit Jahren kein Firmware-Update veröffentlicht wurde, sollte man sich eine Neu-Anschaffung überlegen. Leider veröffentlicht Netgear keine Liste von Geräten die keinen Support mehr erhalten, aber wenn seit Jahren kein Update veröffentlicht wurde, kann man davon ausgehen, dass auch keines mehr kommen wird und das Gerät nicht mehr sicher ist.
Quelle: 'Sicherheitslücken: Angreifer könnten WLAN-Router von Netgear übernehmen' auf Heise Online
06.03.2020 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Cisco veröffentlicht Sicherheits-Patches für diverse Produkte' auf Heise Online
27.02.2020 – Das nächste Chromium Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 80.0.3987.122 behebt 3 Sicherheitslücken gegenüber der letzten 80er Ausgabe. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein.
Anwender von Google Chrome sollten unbedingt sicherstellen, dass sie die aktuelle Ausgabe verwenden (siehe Info-Link).
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome: Aktuelles Stable Channel Update behebt drei Sicherheitsprobleme' auf Heise Online
Vivaldi:
Vivaldi hat seinen Browser bereits einen Tag später (Zeitzonen-bereinigt) aktualisiert und schließt die Lücken mit Version 2.11 Update 3 (2.11.1811.44).
Quelle: 'Minor update (3) for Vivaldi 2.11' auf Vivaldi.com
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version in die Edge Version 80.0.361.62 eingebaut.
Quelle: 'Edge: Chromium-basierte Ausgabe des Browsers erhält Sicherheitsfixes' auf Heise Online
Opera bleibt unsicher:
Opera hat zwar eine neue Version seines Desktop-Browsers veröffentlicht, liefert aber wieder eine veraltete Chromium-Version aus und schließt damit NICHT die aktuellen Sicherheitslücken. Da das bei Opera kein Einzelfall ist raten wir allen Opera Anwendern zum Wechsel auf Vivaldi. Details im nachfolgenden Artikel.
27.02.2020 – Opera: Neue Version schon wieder veraltet!
Opera hat etwa zur selben Zeit wie Vivaldi eine neue Version seines Browsers veröffentlicht. Wer aber nun denkt, dass Opera auch die neue abgesicherte Chromium Version darin ausliefert – irrt. Opera 67.0.3575.31 kommt mit Chromium Version 80.0.3987.100 daher, die drei im vorhergehenden Artikel beschriebenen Sicherheitslücken sind hier also noch NICHT behoben!
Daran lässt sich einmal mehr sehen, wo Opera seit einiger Zeit seine Schwerpunkte setzt. Den Norwegern ist es seit einiger Zeit wichtiger neue Funktionen an der Oberfläche zu entwickeln, als Sicherheitsupdates zeitnah umzusetzen. Daher raten wir auch Opera Anwender seit einiger Zeit auf Vivaldi zu wechseln, wo das Thema Sicherheit sehr viel ernster genommen wird.
Die Konzentration auf die Benutzeroberfläche hat in dieser neuen Ausgabe aber auch durchaus positive Früchte getragen. Opera führt "Arbeitsbereiche" ein mit denen man bestimmte Tätigkeiten und damit verbundene Tabs organisieren kann. Jeder Arbeitsbereich hat seine eigenen Tabs, die Grundeinstellungen und Erweiterungen sind aber für alle Arbeitsbereiche gleich. Das unterscheidet die Funktion von den "Benutzern" in Vivaldi, mit denen man einen ähnlichen aber eben nicht identischen Workflow erreichen kann.
Weitere Neuerungen in dieser Opera Version können sie dem verlinkten Heise Online Artikel entnehmen.
Quelle: 'Opera-Browser: Nutzer können Tabs nach Themen sortieren' auf Heise Online
27.02.2020 – PayPal + Google Pay = Geld weg
PayPal hat eine Sicherheitslücke, die bereits im Februar 2019 an PayPal gemeldet wurde, offenbar bis heute nicht vollständig geschlossen. Das haben einige PayPal Anwender, die den Dienst über Google Pay verwenden, bereits am eigenen Konto gespürt, denn Ganoven machen sich die Schwachstelle seit einiger Zeit zunutze, um hohe Geldbeträge zu erbeuten.
PayPal behauptet in einer Stellungnahme zwar, dass zu Unrecht abgebuchte Beträge rückerstattet werden, aber das muss man erst mal bemerken und Nachweisen. Selbst wenn man sein Geld zurückerhält, ist das immer noch mehr als ärgerlich. Das PayPal eine so gravierende Lücke so lange nicht behebt, zeugt nicht von Verantwortungsbewusstsein seinen Kunden gegenüber. Da PayPal auch eine Bank-Lizenz besitzt, könnte das auch rechtliche Nachwirkungen haben.
Alle Anwender die PayPal und Google Pay "verknüpft" haben, sollten diese Verknüpfung unbedingt löschen, solange das Problem nicht nachweislich behoben wurde. Wie das geht, können sie im verknüpften Heise Online Artikel nachlesen.
27.02.2020 – Schwere Sicherheitslücke in McAfee WebAdvisor
Die Browser-Erweiterung "WebAdvisor" von McAfee enthielt eine schwere Sicherheitslücke, über die Angreifer den PC mit Viren infizieren konnten. Wir raten allen Anwendern, die diese Erweiterung in ihrem Browser installiert haben, diese zu deinstallieren. Wer der Meinung ist, dass diese Erweiterung nützlich ist und sie daher nicht deinstallieren möchte, sollte sicherstellen, dass die neueste Version installiert wurde. Bei Chromium basierten Browsern (Vivaldi, Opera, Edge und Google Chrome) wäre das Version 8.0.0.37123. Die abgesicherte Firefox-Version der Erweiterung trägt hingegen Versionsnummer 8.0.0.37627.
Quelle: 'McAfees WebAdvisor für Chrome und Firefox kann Hacker einladen' auf Heise Online
27.02.2020 – Kritische Sicherheitslücken in Zyxel Geräten
Manche Firewalls, Gateways und NAS-Geräte (Netzwerk-Festplatten) von Zyxel lassen sich auf einfache Weise aus dem Internet angreifen. Die "Angriffswerkzeuge" für die Lücke sind in Untergrund-Foren bereits erhältlich, daher muss man davon ausgehen, dass Angriffe auf die unsicheren Geräte bereits laufen oder zumindest bald starten.
Besitzer folgender Zyxel Geräte sollten unbedingt den verlinkten Heise Online Artikel für weitere Details zur Problembehebung lesen:
NAS326, NAS520, NAS540, NAS542, ATP100, ATP200, ATP500, ATP800, USG20-VPN, USG20W-VPN, USG40, USG40W, USG60, USG60W, USG110, USG210, USG310, USG1100, USG1900, USG2200, VPN50, VPN100, VPN300, VPN1000, ZyWALL110, ZyWALL310, ZyWALL1100
Quelle: 'Jetzt patchen! Zero-Day-Exploit für Firewalls und NAS von Zyxel in Umlauf' auf Heise Online
21.02.2020 – Noch zwei Sicherheitsupdates von Adobe
Offenbar hat Adobe nicht alle Sicherheitsupdates rechtzeitig bis zum letzten Tag der Updates schließen können und liefert nun für zwei Anwendungen wichtige Sicherheitsupdates nach:
Quelle: 'Notfallpatches: Adobe sichert After Effects und Media Encoder ab' auf Heise Online
Adobe After Effects:
In Adobe After Effects wurde eine Lücke behoben, die die Infektion des Computers aus der Ferne zulässt. Details darüber, wie ein derartiger Angriff aussehen würde, hat Adobe nicht bereitgestellt. Alle Anwender von After Effects sollten daher zügig auf Version 17.0.3 updaten und alle älteren Fassungen deinstallieren. Die Lücke soll in allen früheren Versionen existieren, also vermutlich auch in den alten Kaufversionen (CS6 und noch älter).
Quelle: Adobe Security Bulletin APSB20-09 (Englisch)
Adobe Media Encoder:
Im Adobe Media Encoder wurde eine kritische Sicherheitslücke behoben, die sich ebenfalls aus der Ferne ausnützen lassen soll. Auch hier verschweigt Adobe Details und auch hier sollten Anwender rasch auf Version 14.0.2 updaten. Alle älteren Versionen des Adobe Media Encoders sollten deinstalliert werden.
Info: Adobe Security Bulletin APSB20-10 (Englisch)
21.02.2020 – Wieder wichtige Sicherheitsupdates für WordPress Plugins
Offenbar haben Sicherheitsforscher zurzeit verstärkt WordPress-Plugins im Visier, denn mit den zwei heute vorgestellten Updates sind es in Summe vier innerhalb weniger Wochen. Betreiber von WordPress-Installationen sollten angesichts der laufenden Gefahren grundsätzlich die Zahl der verwendeten Plugins auf das absolute notwendigste reduzieren.
Profile-Builder:
Im Profile-Builder-Plugin für WordPress war ein Fehler enthalten, der es Angreifern sehr einfach ermöglichte die vollständige Kontrolle über die WordPress-Installation zu erhalten. Das ist die schlimmstmögliche Lücke. Das Update auf Version 3.1.1 behebt die gravierende Sicherheitslücke. Wer das Plugin installiert hat, sollte es dringend aktualisieren oder deinstallieren, falls es nicht verwendet wird.
Quelle: 'Kritische Lücke in WordPress-Plugin Profile Builder macht jeden zum Site-Admin' auf Heise Online
ThemeGrill Demo Importer:
Um die Lücke im Plugin 'ThemeGrill Demo Importer' auszunutzen, muss ein System ein paar Voraussetzungen erfüllen. Ist dies der Fall, kann auch hier ein Angreifer vollständige Kontrolle über die WordPress-Installation erhalten. Wer das Plugin (Version 1.3.4 bis 1.6.1) installiert hat und nicht deinstallieren möchte, sollte unbedingt auf Version 1.6.3 updaten.
Quelle: 'Lücken in WordPress-Plugins ThemeGrill Demo Importer und ThemeREX Addons' auf Heise Online
ThemeREX Addons:
Bei den ThemeREX Addons können wir nur sagen, dass die Lücke ebenfalls kritisch ist und laut den Entdeckern der Lücke bereits aktiv ausgenutzt wird, was ein sehr rasches Handeln der Betreuer dieser Systeme nötig macht. Da es hier scheinbar nicht mit dem einfachen Aktualisieren eines Plugins getan ist, bitten wir betroffenen Personen sich den Heise Online Artikel gründlich durchzulesen.
Quelle: 'Lücken in WordPress-Plugins ThemeGrill Demo Importer und ThemeREX Addons' auf Heise Online
21.02.2020 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Ciscos High-Availability-Feature heißt Angreifer willkommen' auf Heise Online
17.02.2020 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Quelle: 'Patchday: Kritische Lücken in Adobe Framemaker, Reader & Co.' auf Heise Online
Adobe Reader & Acrobat:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2020.006.20034 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Version hat Adobe unzählige (!) Sicherheitslücken geschlossen, sehr viele davon kritischer Art. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB20-05 (Englisch)
Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 32.0.0.330. Darin wurde eine kritische Sicherheitslücke geschlossen. Anwender, die das Flash-Plugin installiert haben, sollten daher zügig auf die neue Version updaten, falls das nicht bereits geschehen ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Auskunft, welche Flash Version aktuell verwendet wird.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Adobe Digital Editions:
In Adobes E-Book-Reader Software 'Digital Editions' wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten dringend auf Version 4.5.11 updaten bzw. sich überlegen ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren. Digital Editions wird nämlich in letzter Zeit relativ häufig von Sicherheitslücken geplagt.
Download: Adobe Digital Editions v4.5.11 für Windows
Quelle: Adobe Digital Editions Security Bulletin APSB20-07 (Englisch)
Adobe Experience Manager:
Von Adobe Experience Manager sind die Versionen 6.4 bis 6.5 betroffen. Hier gibt es eine Lücke. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB20-8 (Englisch)
Adobe Framemaker:
Im Desktop-Publishing-Programm Adobe Framemaker wurden gleich 22 Sicherheitslücken gefunden und behoben. Wer das Programm einsetzt, sollte es unbedingt auf Version 2019.0.5 aktualisieren.
Quelle: Adobe Security Bulletin APSB20-4 (Englisch)
Adobe Magento:
Mit einem Monat Verspätung veröffentlichte Adobe nun auch das Security Buletin APSB20-2. Damit ist nun auch klar, dass es das 2018 von Adobe aufgekaufte Webshop-System "Magento" betrifft. Je nach Version wurden bis zu sechs Lücken behoben, manche davon kritischer Natur. Wer eine Magento-Webshop betreibt, sollte daher dringend Updates installieren. Details zu den betroffenen Versionen und den zugehörigen Updates finden sie im Securitybulletin.
Quelle: Adobe Security Bulletin APSB20-02 (Englisch)
17.02.2020 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Endlich Update für Internet Explorer Lücke!
Es hat ein wenig länger gedauert als es gut ist, aber nun hat Microsoft ein Update für die kritische Sicherheitslücke im Internet Explorer. Wer dieses Browser-Fosil also entgegen jeder Vernunft immer noch verwenden möchte, muss sich zumindest nicht mehr um eklatante Sicherheitslücken Sorgen machen.
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP , Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 18.03 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
17.02.2020 – Sicherheit: Microsoft und Vivaldi hui, Opera pfui
Als Google das letzte Chromium Sicherheitsupdate veröffentlicht hatte, waren wir neugierig wer sich den Preis für das flotteste Update wohl einverleiben mag. Obwohl Microsoft keine Releasenotes für den neuen Edge-Browser veröffentlicht (oder wir sie bisher nicht gefunden haben) dürfte der Preis für das schnellste Update nach Redmond gehen. Möglicherweise war Microsoft sogar schon am selben Tag fertig wie Google selbst. Vivaldi hatte die neue Version am Mittwochmorgen fertig, was immer noch recht gut ist.
Über Opera möchte man am liebsten den Mantel des Schweigens hüllen. Die Norweger haben es bis heute nicht geschafft das Chromium-80-Update an seine Benutzer auszuliefern (Beta-Versionen ausgenommen). Daher können wir nur einmal mehr allen Opera Anwendern empfehlen, zu Vivaldi zu wechseln.
Vivaldi 2.11:
Die neue Vivaldi Version bringt abgesehen von den Sicherheitskorrekturen eine neue "Pop-Out"-Funktion für Videos mit sich. Diese ermöglicht es ein Video aus einer Website z lösen und in einem separaten Fenster frei zu platzieren. So ganz ausgereift scheint die Funktion jedoch nicht, weil das Icon für das Pop-Out mitten im Video-Fenster eingeblendet ist und auf den ersten Blick nicht wegzubekommen ist. Erst nach langem suchen und probieren haben wir festgestellt, dass der Mauszeiger außerhalb des Videos platziert sein muss, damit das Symbol weggeht. Schaut man ein Video in Vollbild muss der Mauszeiger außerhalb des Monitors verschoben werden. Die weiteren Neuerungen von Vivaldi 2.11 finden sich im Vivaldi-Blog.
Info: 'Vivaldi 2.11 verbessert Pop-out video' auf Vivaldi.com
Microsoft Edge 80:
In den letzten Tagen hatten wir auch einen genaueren Blick auf den neuen Microsoft Edge Browser geworfen, der in Zukunft standardmäßig in Windows 10 enthalten sein wird und schon seit einiger Zeit als separater Download erhältlich ist. Aufgrund des Chromium Unterbaus (wie in Chrome, Opera und Vivaldi) ist der Browser flott und zeigt Websites wie gewohnt an. Die Oberfläche orientiert sich eher an Chrome denn an Vivaldi, was den Browser eher für Gelegenheitssurfer ausrichtet. Andererseits lässt er sich aber perfekt über Gruppenrichtlinien konfigurieren, was ihn (in Kombination mit WSUS-Updates) auch für Firmen interessant macht.
17.02.2020 – Firefox 73: Sicherheitsupdates und neue Funktionen
Mozilla hat Firefox 73 veröffentlicht. Die neue Version behebt in Summe 6 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hohes Risiko' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
Abgesehen von den Sicherheitskorrekturen enthält Firefox 73 abermals Verbesserungen beim Zoom und der Tonausgabe. Außerdem steht nun neben Cloudflare auch NextDNS als DOH (DNS over https) zur Verfügung.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 68.5.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
17.02.2020 – Thunderbird 68.5 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 68.5 veröffentlicht. Gegenüber der Version 68.4.1 behebt die neue Version sieben Sicherheitslücken, die unterm Strich eine hohe Bedrohung ergeben (falls Javascript aktiviert wird, was standardmäßig nicht der Fall ist). Alle Thunderbird Anwender sollten daher zügig updaten.
Immer noch Thunderbird 60 in Verwendung?
Wer immer noch den 60er Versionszweig von Thunderbird verwendet sollte nun ebenfalls upgraden. Dabei sollte das Thema Erweiterungen unbedingt bedacht werden, über das wir in den letzten Wochen schon so ausgiebig geschrieben haben.
Download: Thunderbird Version 68.5, Windows, 32Bit, Deutsch
Download: Thunderbird Version 68.5, Windows, 64Bit, Deutsch
Info: 'Thunderbird 68.5 Release Notes' auf Mozilla.org (Englisch)
17.02.2020 – Blender 2.82 brennt noch besser
Das 3D-Programm Blender erhält mit Version 2.82 wieder ein paar nette Neuerungen. Allen voran ist das neue Simulationssystem 'Manta Flow' zu nennen, dass das bestehende Simulationssystem komplett ersetzt und noch bessere Simulationen von Wasser, Feuer, Rauch usw. ermöglicht. Aber auch über die vielen weiteren Neuerungen könnte man viel schreiben. Wer sich ein umfangreiches Bild über die Neuerungen machen möchte, sollte daher die Release Notes auf der Blender Homepage (Englisch) oder den verlinkten Heise Online Artikel lesen.
Quelle: '3D-Software Blender 2.82 – Wasser, Feuer und Rauch simulieren' auf Heise Online
Quelle: 'Blender 2.82 Relase Information' auf Blender.org
17.02.2020 – Wichtiges Sicherheitsupdate für WordPress Plugin
Wer WordPress für seine Homepage/Blog nutzt und das Plugin 'GDPR Cookie Consent' installiert hat, sollte sicherstellen, dass Version 1.8.3 des Plugins installiert ist. In allen Versionen davor stecken kritische Sicherheitslücken, durch die Angreifer die vollständige Kontrolle über die WordPress Installation erlangen können.
Quelle: 'Kritische Sicherheitslücke im DSGVO-Plugin GDPR Cookie Consent für WordPress' auf Heise Online
17.02.2020 – Sicherheitslücken in Symantec Endpoint behoben
Administratoren der Sicherheitssoftware Symantec Endpoint Security sollten unbedingt sicherstellen, dass Version 14.2 RU2 MP1 installiert ist. Sämtliche älteren Versionen enthalten schwere Sicherheitslücken. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Symantec Endpoint Protection vielfältig angreifbar' auf Heise Online
07.02.2020 – Das nächste Google Chrome Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 80.0.3987.87 behebt stolze 56 Sicherheitslücken gegenüber der letzten 79er Ausgabe. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein, wir würden die Lücken anhand der kurzen Beschreibung auf Heise Online eher als kritisch betrachten.
Anwender von Google Chrome sollten unbedingt sicherstellen, dass sie die aktuelle Ausgabe verwenden (siehe Info-Link).
Vivaldi, Opera und der neue Microsoft Edge Browser nutzen alle noch eine 79er Ausgabe von Chromium. Hier wird es spannend, wie sich Microsoft im Vergleich zu Vivaldi und Opera schlägt in Bezug darauf wie rasch Updates ausgeliefert werden.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: '56 Sicherheitslücken in Chrome 80 geschlossen' auf Heise Online
07.02.2020 – WhattsApp für iOS + Desktop = Sicherheitslücke
Wer WhattsApp auf einem Apple Gerät (iPhone/iPad) und auf einem Desktop/Notebook verwendet, sollte die Apps auf beiden Geräten unbedingt aktualisieren. Andernfalls setzt man sich einer gefährlichen Sicherheitslücke aus.
Wie üblich hier auch nochmals der Hinweis alle Nutzer die WhattsApp auf einem Firmen-Smartphone oder auf einem auch geschäftlich genutztem Privat-Smartphone nutzen. WhattsApp ist auf geschäftlich genutzten Smartphones (eine einzige geschäftliche Kontaktadresse auf einem sonst überwiegend privat genutzten Smartphone genügt hierzu bereits) nicht mit der DSGVO vereinbar, da man keinerlei Kontrolle darüber hat an wen WhattsApp/Facebook die vom Smartphone abgegriffenen Kontaktdaten weiterverkauft.
Quelle: 'WhatsApp für iPhone und Desktop: Kombi-Lücke erlaubte unbefugten Dateizugriff' auf Heise Online
07.02.2020 – Die nächste Sicherheitslücke in zahlreichen Überwachungskameras
Wer regelmäßig unsere Artikel liest, wird bereits wissen, dass wir sehr häufig den Begriff "Unsicherheitskameras" für Überwachungskameras verwenden. Die Vergangenheit hat nämlich bereits all zu oft gezeigt, dass solche als "Sicherheitskameras" angepriesenen Geräte sich schnell ins Gegenteil verkehren lassen, wenn sie nicht vom Besitzer, sondern von Fremdem genutzt werden.
Eine weitere Lücke, die genau das ermöglicht, hat nun ein Sicherheitsforscher aus Russland in Chips der Firma HiSilicone bzw. genauer gesagt in der sehr oft mit diesen Chips verwendeten Firmware der Firma Xiongmai.
Wie üblich ist es mal wieder praktisch unmöglich eine Angabe zu machen, in welchen Kameras diese Firmware eingesetzt wird. NoName Produkte können genauso betroffen sein wie Markengeräte (Axis, Honeywell). Besitzer von Sicherheitskameras die auf Nummer Sicher gehen wollen, sollten sich beim Hersteller des Gerätes erkundigen, von wem die Firmware des Gerätes stammt. Kameras von Herstellern die auf so eine Anfrage nicht oder ausweichend reagieren, sollte man am besten deaktivieren oder zumindest die Verbindung zum Internet trennen.
Die betroffenen Chips stecken nicht nur in Überwachungskameras, sondern auch in zugehörigen Netzwerk-Video-Rekordern.
Generell können wir von Überwachungskameras, die nicht vom Fachhandel bezogen werden, nur abraten. Wer tatsächlich der Meinung ist, dass eine Überwachungskamera nötig sei, sollte sich von einem Experten auf diesem Gebiet beraten lassen.
Quelle: 'Hintertür in vielen Überwachungskameras mit HiSilicon-Chips' auf Heise Online
07.02.2020 – Philips Hue: Hackern geht ein Licht auf
Und gleich noch ein Beispiel, wie der allgemeine Trend alle Geräte über ein Netzwerk steuern zu wollen die Sicherheit beeinflusst. Hackern geht hier sprichwörtlich ein Licht auf, wenn ein Opfer die bekannten Philips Hue Birnen einsetzt. Von der Birne ausgehend kommt der Hacker nämlich zur Hue Bridge und von dort über eine Sicherheitslücke ins Netzwerk des Opfers.
Damit das nicht mehr möglich ist, muss die Firmware der Hue Bridge aktualisiert werden. Zum Glück hat einerseits Philips ein entsprechendes Update bereits fertiggestellt, zum anderen ist es auch relativ leicht zu installieren. Nach Recherche auf einigen Hue Websites, soll das Update wohl über die Philips Hue Smartphone App installiert werden können.
Besitzer einer Philips Hue Birne sollten daher mit der Hue App prüfen, ob die Software aller Geräte aktuell ist.
Quelle: 'Sicherheitspatch: Philips-Hue-Lampe als Sprungbrett in Netzwerke' auf Heise Online
07.02.2020 – Schwere Sicherheitslücke in Yealink Telefonsystem
Da bekanntlich aller guten Dinge drei sind, noch ein Artikel zum Thema unsichere IoT-Geräte (Internet of Things). Diesmal betrifft es IP-Telefone des chinesischen Herstellers Yealink. Genauer gesagt betrifft es weniger die Telefone an sich, als die Netzwerk-Infrastruktur dahinter. Eine Lücke in den Telefonen selbst wäre jedoch unter Umständen leichter zu beheben. In dem Fall sind jedoch die Betreiber der Telefon-Infrastruktur in der Pflicht.
Laut Heise Online gibt es alleine in Deutschland über 20 Anbieter, die Yealink Telefone für ihre Services nutzen, und nur drei davon haben bisher auf Anfragen von Heise bzw. den Entdeckern der Lücke gemeldet.
Yealink selbst ist zurzeit offenbar nicht in der Lage irgendwas gegen die Lücke zu unternehmen und auch viele Service-Anbieter dürften damit überfordert sein. Die Nutzer der Telefone selbst können überhaupt nichts machen, außer bei ihrem Anbieter nachzufragen, ob diese Lücke bereits bekannt ist und ob an einer Lösung gearbeitet wird.
Quelle: 'VoIP-Telefone: Schwere Sicherheitslücke bei Yealink entdeckt' auf Heise Online
07.02.2020 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: CDPwn-Lücken gefährden zahlreiche Cisco-Geräte' auf Heise Online
31.01.2020 – Internet Explorer Sicherheitslücke immer noch offen
Vor zwei Wochen haben wir über eine Sicherheitslücke in Microsoft's Internet Explorer berichtet. Bis heute gibt es kein Update, dass die Schwachstelle behebt. Der von Microsoft beschriebene Workaround sorgt indes für Probleme mit Druckern und sollte auch vermieden werden.
Anwender von Internet Explorer sollten das Problem zum Anlass nehmen, um dem Internet Explorer endgültig den Rücken zu kehren.
Quelle: 'Internet Explorer: Zero-Day-Schwachstelle in JScript Scripting Engine' auf Heise Online
31.01.2020 – ThinkPad Updates beheben Probleme mit Thunderbolt
Wer ein ThinkPad Notebook mit Thunderbolt Anschluss besitzt, sollte unbedingt das Lenovo System Update Programm aufrufen, um wichtige ausstehende Updates zu installieren.
Eines der angebotenen Updates aktualisiert die Firmware des Thunderbolt Controllers, ein anderes den Treiber. Beides zusammen soll die Lebensdauer des USB-C/Thunderbolt Anschlusses verbessern. Wenn der Anschluss jedoch bereits defekt ist oder Störungen zeigt, nützt das Update nichts mehr, dann sollte man sich unbedingt an den Support wenden, sofern das Notebook noch Garantie hat.
Quelle: 'Lenovo ThinkPad: Updates beheben Probleme mit Thunderbolt' auf Heise Online
31.01.2020 – LibreOffice 6.4 bringt Verbesserungen
Kürzlich haben die LibreOffice Entwickler Version 6.4.0 der freien Büro-Suite veröffentlicht. Während Heise Online offenbar den nun eingebauten QR-Code-Generator als die wichtigste Neuerung betrachten, schreiben die LibreOffice Entwickler selbst primär von weiteren Verbesserungen bei der Geschwindigkeit vor allem beim Öffnen und Speichern von Tabellen-Dokumenten und Präsentationen. Außerdem wird von "beinahe perfektem" Import von Microsoft Office-Dokumenten (DOCX, XLSX und PPTX) geschrieben.
Wie üblich widmen wir uns der neuen Version erst, wenn diese deutlich ausgereifter ist, dann werden wir auch ausführlicher auf die neuen Funktionen eingehen. Wie üblich empfehlen wir die ersten drei Ausgaben eines neuen LibreOffice-Versionszweiges nicht für die breite Masse, sondern eher für neugierige Privat-Anwender, die gerne das allerneueste haben wollen und auch bereit sind Fehlerberichte zu schreiben.
Quelle: 'Libre Office 6.4 bringt QR-Code-Generator' auf Heise Online
31.01.2020 – Windows Update verbessert Suchfunktion - teilweise
Das optionale kumulative Update KB4532695 für Windows 10 1903 und 1909 soll laut Microsoft Probleme mit dem Suchfeld im Windows Explorer beheben. Während wir nach der Installation des Updates die Suche im Explorer von Windows 10 1903 wie (von früheren Windows Versionen) gewohnt nutzen konnten, klappt das in Version 1909 weiterhin nicht so toll.
Während Suchbegriffe im Explorer bis einschließlich Windows 10 Version 1903 sofort nach Drücken der jeweiligen Tasten gesucht/angezeigt werden, muss man in Windows 10 1909 erst die Return/Enter Taste drücken. Fast noch schlimmer ist, dass ein Löschen des Suchbegriffs die Suche nicht zurücksetzt, um den ungefilterten Inhalt des Ordners wiederzusehen, muss man die Ansicht aktualisieren.
Das sind zwar keine katastrophalen Fehler, nichtsdestotrotz empfehlen wir vorerst noch nicht auf die Windows 10 Version 1909 upzugraden. Das gilt besonders für regelmäßige Nutzer der Windows Suche.
Quelle: 'January 28, 2020—KB4532695 (OS Builds 18362.628 and 18363.628)' auf Microsoft.com (Englisch)
31.01.2020 – AVAST gesteht massiven Datenverkauf ein!
Der Chef von AVAST hat nun zugegeben, dass AVAST in extremen Ausmaß Daten seiner Virenscaner-Nutzer weiterverkauft hat. Zwar wird weiterhin behauptet, das alles sei im Rahen der DGVO konform, trotzdem kündigt er die sofortige Schließung der Tochterfirma an, die bisher für die Auswertung und den Verkauf der Nutzerdaten verantwortlich war.
Aus unserer Sicht ist die Aussage, es sei alles DSGVO konform sehr schal. Es ist zu vermuten, dass Datenschutz-Behörden sich das Ganze genauer anschauen werden.
Schon davor, haben wir von AVAST Sicherheitsprodukten abgeraten, da diese relativ häufig mit unschönen Nebenwirkungen zu kämpfen haben, nun gibt es einen weiteren Grund der gegen die Verwendung der AVAST-Produkte spricht.
Quelle: 'Avast entschuldigt sich für Datenverkauf und schließt Jumpshot' auf Heise Online
31.01.2020 – Sicherheitsupdates für Citrix Systeme komplett
Laut Heise Online sind nun für alle ehemals unsicheren Citrix-Applikationen Sicherheitsupdates erschienen. Admins der betroffenen Systeme sollten diese umgehend installieren, sofern nicht bereits geschehen.
Allerdings schützen die Updates nur vor neuen Infektionen. Ist ein Citrix-System schon von z.B. einem Remote-Toolkit befallen, nützt die nachträgliche Installation des Updates wenig. Alle Systeme müssen daher auch auf mögliche Infektionen untersucht werden.
Quelle: 'Gefährliche Sicherheitslücke: Alle Updates für Citrix-Schwachstelle erschienen' auf Heise Online
31.01.2020 – Intel: Wieder BIOS-Updates nötig
Die Geschichte um Sicherheitslücken in Intel Prozessoren nimmt kein Ende. Die Neueste nennt sich L1D Eviction Sampling (L1DES). Wieder einmal können Angreifer auf Daten zugreifen, die eigentlich nicht einsehbar sein sollten. Zum Glück ist auch diese Lücke, wie die meisten dieser Art, hauptsächlich für Betreiber eines Servers relevant, auf dem mehrere virtuelle Server laufen.
Jedenfalls ist in den nächsten Monaten wieder mit BIOS-Updats für Intel-Prozessoren zu rechnen, zumindest auf Mainboards und Notebooks die noch vom Hersteller unterstützt werden.
Quelle: 'Sicherheitslücken in Intel-CPUs: Modifizierte Angriffe erfordern BIOS-Updates' auf Heise Online
31.01.2020 – Schwere Sicherheitslücke in Fortinet Sicherheits-Software
Wer die Security-Management-Lösung FortiSIEM aus dem Hause Fortinet einsetzt, sollte unbedingt darauf achten Version 7.2.7 zu installieren. Alle frühere Versionen enthalten eine massive Sicherheitslücke die von Angreifern missbraucht werden kann.
Quelle: 'Fortinet entfernt SSH-Backdoor aus Security-Management-Lösung FortiSIEM' auf Heise Online
31.01.2020 – Sicherheitslücken in Magento
Mehrere Sicherheitslücken im Web-Shop-System 'Magento' machen diese Systeme verwundbar. Betreiber der Software sollten daher zügig die aktuellen Sicherheitsupdates installieren.
Quelle: 'Jetzt updaten: Magento über sechs verschiedene Schwachstellen angreifbar' auf Heise Online
24.01.2020 – VeraCrypt behebt Sicherheitslücke
Die Entwickler des TrueCrypt Nachfolgers VeraCrypt haben eine kleine Sicherheitslücke behoben und Detailverbesserungen betrieben. Anwender von TrueCrypt sollten auf VeraCrypt umsteigen. VeraCrypt Anwender sollten auf Version 1.24 Update 4 updaten.
Download: VeraCrypt v1.24 Update 4, Windows, Mehrsprachig, 36 MB
24.01.2020 – Neue Trojaner-Welle per E-Mail
Wieder einmal grassiert eine gefährliche Trojaner-Welle per E-Mail. Die Mails enthalten ein Word-Dokument, dass in eine Passwort-geschützte ZIP-Datei gepackt wurde. Das Passwort zum Öffnen der Datei ist im E-Mail enthalten. Entpackt ein Anwender das Dokument und öffnet es, wird der eigentliche Trojaner heruntergeladen und ausgeführt.
Entgegen dem Trend verschlüsselt der Trojaner keine Dateien, sondern greift Login-Daten ab. Da viele Anwender Zugangsdaten unverschlüsselt im jeweiligen Browser speichern, sind die Daten leicht auslesbar. Eine Infektion mit dem Trojaner muss also nicht zwangsweise auffallen, kann aber unter Umständen eine sehr viel schlimmere Auswirkung haben als ein paar verschlüsselte Dateien.
Schutz vor dem Trojaner:
Sich auf den Virenscanner zu verlassen ist wie üblich keine gute Idee. Zwar erkennen mittlerweile viele gute Virenscanner die infizierten Dokumente bereits, aber viele auch noch nicht. Außerdem können kleinste Änderungen an dem Dokument diese wieder vorübergehend vor Virenscannern unsichtbar machen. Wesentlich wirkungsvoller ist es, Macros in MS-Office komplett zu deaktivieren. Leider ist dies nur in den teuren Varianten von Microsoft Office möglich, nicht in den üblicherweise von Privatanwendern oder kleinen Firmen genutzten Ausführungen. Dort hilft dann nur die Benutzer ausgiebig und immer wieder auf diese Gefahren hinzuweisen.
Was tun bei Infektion?
Ist das Kind schon in den Brunnen gefallen und der Trojaner aktiv geworden, sollte der PC schnellstmöglich ausgeschaltet und anschließend mit einem aktuellen Offline Virenscanner (der den Virus bereits erkennt) desinfiziert werden. Danach sollten SÄMTLICHE Passwörter geändert werden, die möglicherweise auf dem PC gespeichert sind. Das gilt jedoch nicht für Passwörter die (ausschließlich) in einem sicheren Passwort Safe gespeichert sind, sofern der Safe zum Zeitpunkt der Infektion "geschlossen" war.
Quelle: 'Aktuelle Welle: Ursnif-Trojaner versteckt sich in Zip-Archiven' auf Heise Online
24.01.2020 – Sicherheit von Daten auf SSDs , USB-Sticks usw.
Flash-basierte Datenträger wie SSDs, USB-Sticks oder Speicherkarten unterscheiden sich von mechanischen Datenträgern (Festplatten, CD, DVD, Floppy usw,) nicht nur in Bezug auf die Geschwindigkeit erheblich. Während dort die Flash-Datenträger meist erheblich im Vorteil sind, sieht das beim Thema Datenhaltbarkeit ganz anders aus. Da hier sehr viel Falsch-Information im Umlauf ist, wollen wir hier mal ein wenig Licht ins Dunkel bringen.
Was ist Datenhaltung?
Grundsätzlich müssen wir erst einmal klarstellen, dass es hier um die Datenhaltung (Fachbegriff "Data Retension") geht, nicht darum wie lange ein Flash-Chip hält, wenn er wenig oder oft genutzt wird. Auch ein perfekt funktionierender, noch nicht "abgenutzter" Flash-Chip hält Daten nicht ewig, da das im Chip verwendete Silizium eben kein Isolator, sondern ein Halbleiter ist. Das heißt, die winzigen Spannungen die letztendlich die Information in den Flash-Chips darstellen, sind irgendwann weg und die Daten damit nicht mehr lesbar.
Wie lange bleiben Daten auf Flash-Chips lesbar?
Gerne würden wir hier eine einfache Zahl nennen, noch dazu eine möglichst hohe, aber wie das im Leben so ist, ist es nicht so einfach. Grundsätzlich hängt die Datenhaltungs-Zeit von 4 Faktoren ab: der Qualität des Flash-Chips, die Zahl der Schreib-Zyklen, der Temperatur, bei der er beschrieben wird und die Temperatur bei der er gelagert wird. Die Qualität kann vom Besitzer des Datenträgers nur beim kauf beeinflusst werden, indem man nicht gerade zu dem 50 Cent Wühltisch-USB-Stick greift oder sich bei diversen Online-Shops einen gefälschten USB-Stick andrehen lässt. Wer im Fachhandel kauft, geht hier deutlich weniger Risiko ein.
Die Betriebs-Temperatur: Mehr ist mehr!
Die Temperatur, bei der der USB-Chip mit Daten befüllt wird, sollte (und das mag auf den ersten Blick verwirrend klingen) eher "hoch" sein. Ein Beispiel: Ein USB-Stick der mit 55° Celsius beschrieben wird hält seine Daten fast doppelt so lange, als wenn er mit 50° beschrieben wird. Wenn sich USB-Sticks im Betrieb also deutlich erwärmen, ist das grundsätzlich nichts Schlechtes, solange die vom Hersteller zertifizierten Temperaturen nicht überschritten werden. Leider endet die Tabelle, auf die wir uns hier beziehen, bei 55°. Ob noch höhere Temperaturen ein Vorteil wären, oder ob sich darüber wieder alles umkehrt ist uns nicht bekannt. Einfluss hat der Anwender letztendlich nicht über die Temperatur, man sollte halt nur davon absehen extra noch einen Lüfter auf USB-Sticks zu richten, die gerade beschrieben werden.
Die Lager-Temperatur: Weniger ist mehr!
Der Einfluss auf die Lager-Temperatur ist wieder deutlich intuitiver als die Schreibtemperatur. Denn, das Dinge länger halten, wenn sie kühl und trocken gelagert werden, trifft ja auf sehr viele Dinge zu, auch auf Flash-Chips. Ein bei 55° beschriebener und bei 25° gelagerter USB-Chip speichert die Daten 27 mal länger, als ein bei 55° gelagerter Chip. Wird der Chip sehr kühl (25°) beschrieben, hält der bei 25° gelagerte Chip die Daten sogar 58 mal so lange wie der bei 55° gelagerte Chip. All diese Daten gelten für Flash-Chips, die der JEDEC-Spezifikation entsprechen und bereits am Ende der vom Hersteller angegebenen Lebensdauer angekommen sind, leider haben wir keine Informationen darüber, wie das Verhältnis bei neuen Chips ist.
Die Schreibzyklen: Weniger ist mehr!
Wenig überraschend speichern Flash-Chips mit wenigen Schreib-Zyklen Daten länger als Datenträger, die schon sehr oft beschrieben wurden. Das heißt, obwohl Flash-Chips im Gegensatz zu Festplatten keine mechanischen Teile enthalten, unterliegen sie ganz klar einem Verschleiß.
Alles sehr relativ, bitte konkrete Zahlen!
Um die Tabelle aus der JEDEC-Spezifikation zu zitieren, liegt der Worst-Case der Daten-Haltbarkeit bei gerade einmal einem Monat. Das entspricht einer Schreib-Temperatur von 25° und eine Lager-Temperatur von 55°. Gut vorstellbar, dass Datenträger, die im Auto vergessen wurden, ihre Daten noch schneller verlieren (z.B. ein auf dem Armaturenbrett des Autos abgelegtes Handy oder Fotoapparat). Das andere Extrem, ein bei 55° beschriebener und bei 25° gelagerter Chip hält die Daten hingegen 404 Monate, also 33 Jahre. Wohlgemerkt, diese Daten gelten für Chips, welche die vom Hersteller genannte maximale Zahl der Schreibzyklen bereits erreicht haben. Ein fabrikneuer, hochwertiger Chip, behält die Daten also im Idealfall noch länger.
Fazit:
Websites, die mit absurd kurzen Datenhaltungszeiten für Schrecken sorgen, sollte man nicht zu ernst nehmen. Moderne Flash-Chips stellen kein akutes Risiko dar. Gleichzeitig ist aber auch klar, dass Festplatten gerade als Archiv-Systeme ihre Dominanz nicht so schnell verlieren werden, auch wenn sie mit der puren Leistung schon lange nicht mehr mit SSDs mithalten können. Uns ist wichtiger vor allem auf den Faktor Temperatur hinzuweisen, denn gerade die Lager-Temperatur hat doch erheblichen Einfluss auf die Datenhaltung.
Quelle: 'The Truth About SSD Data Retention' auf Anandtech.com
24.01.2020 – Daten-Kidnapping per Windows Funktion!
Forschern ist es gelungen die seit Windows 2000 in Pro Versionen enthaltene Datenverschlüsselungs-Funktion EFS für Angriffe zu nutzen. Gegenüber einem Verschlüsselungs-Trojaner, der seine eigene Verschlüsselungssoftware mitbringt, hätte die EFS-Funktion für Angreifer den Vorteil, dass sie Teil des Betriebssystems ist, eine massenhafte Verschlüsselung von Daten damit also von einem Virenscanner nicht als "verdächtig" betrachtet werden sollte.
Allerdings ist der Umstand, dass diese Funktion auf Windows Home Geräten nicht verfügbar ist, natürlich wieder ein Hemmschuh für Viren-Autoren, denn der Großteil der Windows System weltweit sind vermutlich ebensolche Home Editionen. Administratoren von Firmennetzen tun jedoch gut daran, per GPO die EFS-Funktion zu deaktivieren. Heim-Anwender, die die Pro-Version einsetzen, können EFS über einen Registry-Schlüssel deaktivieren. Details dazu im verlinkten Heise Online Artikel.
Quelle: 'Forscher entwickeln neuen Ransomware-Angriff via Windows Encrypting File System' auf Heise Online
24.01.2020 – Kritische Sicherheitslücke in Trend Micro Software
In der Software des Anti-Virus Herstellers Trend Micro wurden Sicherheitslücken entdeckt, die Angreifer für eine Rechteausweitung ausnützen könnten. Trend Micro hat den Fehler in den neuesten Versionen von "Premium Security", "Maximum Security", "Internet Security" und "Antivirus + Security" behoben. Anwender, die diese Software verwenden, sollte daher rasch auf die neuesten Versionen updaten.
Details über die Lücken und wie die jeweiligen Updates zu beziehen sind finden sie im verlinkten Heise Online Artikel.
Quelle: 'Sicherheitspatches: Trend Micro Security für Attacken anfällig' auf Heise Online
24.01.2020 – Sicherheit: Netgear legt versehentlich Zertifikat offen
Besitzer der Netgear Router R8900, R9000, RAX120 und XR700 steht Arbeit ins Haus. Netgear hat den eigentlich geheimen Schlüssel für die bei diesen Routern eingesetzten Zertifikate versehentlich mit in die Firmware gepackt. Die Schlüssel und damit auch die damit signieren Zertifikate gelten damit als kompromittiert.
Netgear hat für die Modelle R8900 und R9000 bereits einen Hotfix fertiggestellt, warnt aber in seinem Securitry Bulletin, dass diese Updates noch nicht ausgiebig getestet wurden. Besitzer der Geräte müssen also selbst entscheiden, ob die Sicherheitslücke oder das ungetestete Update das größere Übel ist. An Updates für die restlichen zwei Modelle wird gearbeitet.
Quelle: 'Netgear lässt ungeschützte private Schlüssel in Router-Firmware' auf Heise Online
24.01.2020 – Erste Sicherheitsupdates für unsichere Citrix Systeme
Die Entwickler bei Citrix haben wohl fleißig Überstunden gemacht und für die Citrix ADC Versionen 11.1 und 12.0 Sicherheitsupdates fertiggestellt. Administratoren dieser Systeme sollten die Updates zügig installieren.
Für die noch unsicheren Versionen von "Citrix ADC", "Citrix Gateway" und "Citrix SD-WAN WANOP" könnten eventuell morgen Updates fertig sein. Somit dürfte auch der eine oder andere Administrator in Europa morgen Überstunden machen.
Quelle: 'Jetzt patchen! Erste Sicherheitsupdates für kritische Citrix-Lücke erschienen' auf Heise Online
24.01.2020 – AMD Radeon + VMware = Sicherheitslücke
Wieder einmal ergibt sich aus der Kombination von VMware mit AMD-Grafikkarten eine Sicherheitslücke. Wer in einem VMware System eine AMD Radeon-Grafikarte stecken hat, sollte den Treiber auf Radeon Software Adrenalin Version 20.1.1 aktualisieren.
Quelle: 'Sicherheitsupdate: AMD-Treiber und VMware können ein gefährlicher Cocktail sein' auf Heise Online
24.01.2020 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Keine Anmeldung nötig - Angreifer könnten Cisco Firepower übernehmen' auf Heise Online
19.01.2020 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Microsoft – gleich drei Themen diese Woche
Während das Support-Ende von Windows 7 lange vorhersehbar war, waren es eher zwei andere Themen rund um Microsoft, die diese Woche besonders in den Schlagzeilen waren. Daher kommt Microsoft bei uns heute auch an erster Stelle.
Kritische Lücke in Internet Explorer!
Es soll ja tatsächlich immer noch Leute geben, die den Internet Explorer als Standard Browser verwenden. Auch wenn wir das grundsätzlich nicht wirklich verstehen können (der Internet Explorer kann viele moderne Websites nicht richtig anzeigen, ist langsam, unbequem und unsicher) sollten diese Anwender zumindest vorübergehend einen anderen Browser verwenden (wir empfehlen Vivaldi). Grund dafür ist eine Sicherheitslücke in dem Uralt-Browser die bereits aktiv ausgenutzt wird und für die es noch kein Update gibt.
Quelle: 'Internet Explorer: Zero-Day-Schwachstelle in JScript Scripting Engine' auf Heise Online
Gravierende Crypto-Lücke in Windows behoben!
Noch schlimmer als die Internet Explorer Lücke ist eine Schwachstelle in der Crypto-Bibliothek von Windows 10 und den entsprechenden Server Varianten. Ohne das Jänner-Sicherheitsupdate können Angreifer sich in verschlüsselte Verbindungen einklinken und den Datenverkehr sowohl mitlesen als auch manipulieren. Auch die Manipulation von Datei- und E-Mail-Signaturen war möglich. Experten schätzen, das Angriffe auf diese Lücke unmittelbar bevorstehen oder bereits ausgeführt werden. Wer die Jänner Sicherheitsupdates noch nicht installiert hat, sollte das also unbedingt zügig nachholen.
Quelle: 'Jetzt patchen! Exploit-Code für die NSA-Windows-Lücke aufgetaucht' auf Heise Online
Goodbye Windows 7, Windows 10 Mobile, Server 2008 R2 und WSUS 3.0!
Microsoft hat nun streng nach Zeitplan den Stecker aus Windows 7 sowie den darauf basierenden Servern gezogen. Auch Windows 10 Mobile und WSUS 3.0 fliegen aus dem Support. Alle diese System haben im Jänner ihre letzten Sicherheitsupdates erhalten. Während wir bei Windows 7 froh sind, dass Microsoft den Support nicht nochmal verlängert hat (wie damals bei Windows XP) sind wir über das Ende von Windows 10 Mobile traurig. Das Smartphone Betriebssystem war extrem gut gelungen, sicher und übersichtlich, konnte aber den Teufelskreis mit den "Apps" (zu wenige Benutzer → zu wenige Programmierer die Apps erstellen → zu wenige Benutzer) leider nicht durchbrechen. Wie auch immer, wer noch eines dieser Systeme einsetzt, sollte dringend ein Upgrade durchführen bzw. die Geräte ersetzen.
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP , Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 18.03 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
19.01.2020 – Das nächste Google Chrome Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 79.0.3945.130 behebt vier Sicherheitslücken, wovon mindestens eine kritisch ist. Die anderen drei Lücken stellen immer noch ein hohes Gefahrenpotential dar. Anwender von Google Chrome sollten das Update zügig installieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome Browser warnt vor NSA-Windows-Lücke' auf Heise Online
19.01.2020 – Vivaldi Update behebt Sicherheitslücken
Schon kurz nach Google hatte auch Vivaldi die neuesten Chromium-Sicherheitsupdates (siehe Meldung oben) eingebaut. Vivaldi Anwender sollten auf Version 2.10 Update 3 (Version 2.10.1745.27) updaten, falls das vom Update-Programm nicht bereits erledigt wurde.
Quelle: 'Minor update (3) for Vivaldi 2.10' auf Vivaldi.com
Download: aktuelle Vivaldi Version
19.01.2020 – Opera: Wieder Sicherheitsupdate verschlafen
Während Vivaldi wie oben gemeldet die Sicherheitsupdates für Chromium immer kurz nach Google zur Verfügung stellt, verschläft Opera die wichtigen Updates seit Monaten regelmäßig. Und während Chrome und Vivaldi bereits bei Version 79.0.3945.131 (Vivaldi) bzw. 79.0.3945.130 (Google Chrome) stehen, hat Opera gerade mal eine auf Chromium 79.0.3945.117 basierende Fassung an den Start gebracht. Google hat diese Chromium Version bereits am 7. Jänner veröffentlicht. Opera hat also 9 Tage benötigt das Update zu übernehmen während es bei Vivaldi nur wenige Stunden waren.
Und der hier geschilderte Fall ist noch bei weitem nicht der schlimmste Fall in der jüngeren Opera Geschichte. Anwender des Browsers mussten in den letzten Monaten oft noch sehr viel länger auf wichtige Sicherheitsupdates warten.
Daher haben wir auch die frühere Empfehlung für Opera (welche noch aus der "Original Opera Ära" stammte) von unserer Website entfernt und empfehlen nun Vivaldi. Wir können auch allen bestehenden Opera Anwendern nur den Wechsel ans Herz legen. 'Jon von Tezchner' führt bei Vivaldi nun das fort, was er früher bei Opera begonnen hat. Vivaldi ist sicher, schnell und hat (fast) alles eingebaut was Vielsurfer benötigen. Opera verzettelt sich hingegen immer mehr in unnötiges Brimborium und verliert dabei die wichtigen Dinge aus den Augen.
19.01.2020 – Sicherheitsupdates für Java und weitere Oracle Software
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 334 Sicherheitsupdates veröffentlicht. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:
Oracle hat Version 8.0 Update 241 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 12 Sicherheitslücken geschlossen. Alle Lücken lasen sich Remote ausnützen, viele davon ohne jegliche Benutzerinteraktion, was sie besonders kritisch macht. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10 und 12 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.6 oder 13.0.2 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline' [NICHT Windows Offline (64-Bit)!])
VirtualBox:
In dem PC-Emulator VirtualBox wurden 18 Sicherheitslücken geschlossen. Zwar lässt sich keine der Lücken aus der Ferne ausnützen, dennoch haben die Lücken in Summe eine sehr hohe Risiko-Bewertung. Anwender von VirtualBox sollten daher zügig auf Version 5.2.36, 6.0.16 oder 6.1.2 updaten. Für die 5.1er Serie (und älter) gibt es keine abgesicherten Ausgaben mehr, hier muss unbedingt upgegradet werden.
Download: Aktuelle VirtualBox 5.2.x Version auf VirtualBox.org
Download: Aktuelle VirtualBox 6.0.x Version auf VirtualBox.org
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
MySQL:
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder unzählige Lücken geschlossen, von denen einige aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Weitere Oracle Programme:
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - January 2020' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - January 2020' auf Oracle.com (Englisch)
Quelle: 'Critical Patch Update: Oracles Update-Paket schließt 334 Lücken' auf Heise Online
19.01.2020 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Quelle: 'Patchday: Kritische Sicherheitslücken in Adobe Illustrator CC' auf Heise Online
Adobe Illustrator:
Im Vektorgrafik Programm Illustrator hat Adobe fünf kritische Sicherheitslücken behoben. Leider veröffentlicht Adobe kein Update für die 2019er Ausgabe des Programms, sodass Anwender gezwungen sind auf die 2020er Version (24.0.2) umzusteigen. Adobe ist übrigens im zugehörigen Security Bulletin selbst durcheinander gekommen und verknüpft irrtümlich die Jahreszahl 2019 mit der Version 24. Tatsächlich trägt aber Illustator Version 24 die Jahreszahl 2020.
Info: Adobe Security Bulletin APSB20-3 (Englisch)
Adobe Experience Manager:
Von Adobe Experience Manager sind die Versionen 6.0 bis 6.5 betroffen. Hier gibt es 4 Lücken. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB20-1 (Englisch)
Was ist mit APSB20-2?
Wer die Nummern der Security Bulletins geprüft hat dürfte festgestellt haben, dass ein Bulletin übergangen wurde. Zwischen APSB20-1 und APSB20-3 würde man APSB20-2 erwarten, aber Adobe hat das Bulletin nicht veröffentlicht. Es ist daher davon auszugehen, dass Adobe schon bald eine weiteres Sicherheitsupdate veröffentlicht, außer es ist so 'harmlos', dass es bis zum 'Tag der Updates' im Februar warten kann.
19.01.2020 – Intel veröffentlicht zahlreiche Sicherheitsupdates
Prozessorhersteller Intel hat mal wieder reichlich neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider ist es (wie schon zuletzt geschrieben) für Endanwender nicht einfach sich in all den Intel Sicherheitsupdates zurechtzufinden und die für die eigene Hardware passenden Updates zu installieren. Zudem sind die Beschreibungen der einzelnen Lücken sehr vage und teils sogar noch widersprüchlich, sodass sich das wahre Risiko kaum einschätzen lässt. Nichtsdestotrotz empfehlen wir jedem Administratoren/Besitzer eines Intel Rechners die Updates nach besten Wissen zu installieren.
Die gefährlichste Lücke dürfte dieses Mal wohl in der Software VTune 'Amplifier for Windows' stecken. Version 8 ist abgesichert, alle Ausgaben zuvor sind vom dem kritischen Fehler betroffen. Allerdings haben wir diese Software noch nie in freier Wildbahn gesehen, der Zahl der betroffenen Systeme dürfte also eher gering sein.
Ganz anders sieht das bei den Grafik- und Chipsatztreibern aus, diese dürften auf den allermeisten PCs mit Intel Prozessor installiert sein. Intel hat Updates für Grafiktreiber bis zurück zur dritten Core-i-Generation veröffentlicht. Wie üblich ist es aber ein Glücksspiel ob diese sich auch wirklich installieren lassen, vor allem auf Notebooks. Der abgesicherte Chipsatztreiber dürfte da weniger heikel sein, allerdings setzt dieser Chipsätze der 100er Serie oder Neuer und Windows 10 voraus.
Die Updates für 'RAID Web Console (RWC) 3 for Windows', 'SNMP Subagent Stand-Alone Advisory for Windows' sowie 'Data Analytics Acceleration Library (DAAL)' dürften hingegen eher Server-Administratoren als Endanwender interessieren.
Fazit:
Intel stellt zwar umfangreiche Informationen darüber zur Verfügung, welcher Fehler sich in seinen Produkten so befinden, tut aber unserer Meinung nach zu wenig dafür, dass entsprechende Updates auch beim Endanwender ankommen. Mit den aktuellen Möglichkeiten können fast nur EDV-Profis etwas gegen die Lücken tun, wenn überhaupt.
Quelle: 'Sicherheitsupdates: Intel-Lücken zur Rechteausweitung geschlossen' auf Heise Online
19.01.2020 – Angriffe auf unsichere Citrix Systeme
Administratoren von Citrix Systemen sollten unbedingt den verlinkten Heise Online Artikel lesen. Privatanwender dürfte das in der Regel nicht betreffen.
Quelle: 'Citrix-Lücke: Immer mehr Attacken, Workaround funktioniert nicht immer' auf Heise Online
19.01.2020 – VMware: Wieder Sicherheitsupdates nötig
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die zugrunde liegenden Heise Online Artikel:
Quelle: 'Sicherheitsupdates: Lücken in VMware-Software bedrohen Android, iOS und Windows' auf Heise Online
19.01.2020 – Wichtiges Sicherheitsupdate für WordPress Plugin
Wer WordPress für seine Homepage/Blog nutzt und das Plugin 'WP Database Reset' installiert hat, sollte sicherstellen, dass Version 3.15 des Plugins installiert ist. In allen Versionen davor stecken kritische Sicherheitslücken, durch die Angreifer die vollständige Kontrolle über die WordPress Installation erlangen können.
Quelle: 'Jetzt updaten: Ernste Schwachstellen in WordPress-Plugin "WP Database Reset"' auf Heise Online
19.01.2020 – Gefährliche Sicherheitslücke in Kabelmodems
Kabelmodems mit Broadcom-Chip sind für eine Sicherheitslücke namens 'Cable Haunt' (zu Deutsch 'Kabel Spuk') anfällig. Angreifer können die Modems relativ leicht unter ihre Kontrolle bekommen und im Anschluss den Netzwerkverkehr belauschen, manipulieren oder das Modem in ein Botnetz integrieren.
Eine umfangreiche Liste betroffener Geräte gib es bisher nicht, nach ersten Tests dürften aber unter anderem Modelle von Arris, Cisco, Netgear, Technicolor und Humax betroffen sein. Nicht betroffen sollen Kabelmodems von AVM (Fritzbox) sein, da hier eine andere Software zum Einsatz kommt.
Wir empfehlen Anwendern, die Internet übers Fernsehkabel beziehen, sich bei ihrem Anbieter zu informieren, ob ein gefährdetes Modem eingesetzt wird und bis wann mit einem Sicherheitsupdate zu rechnen ist.
Quelle: 'Cable-Haunt-Lücke soll Millionen Kabel-Modems weltweit gefährden' auf Heise Online
12.01.2020 – Tarifanpassungen für 2020
Nachdem wir nun 15 Jahre lang unsere Preise nicht erhöht hatten, stand für 2020 endgültig eine kleine Korrektur an. Die gute Nachricht ist, der Stundensatz an sich bleibt auch dieses Jahr unverändert. Bei den (für uns bisher sehr unwirtschaftlichen) Anfahrtstarifen mussten wir jedoch nachbessern. Da wir seit einigen Jahren schon die Fernwartungstechnik von PCVisit lizenziert haben, sind viele VorOrt Termine ohnedies überflüssig geworden.
Ebenfalls unwirtschaftlich waren für uns Termine, bei denen nur eine Viertelstunde berechnet wurden. Daher wird ab 2020 mindestens eine halbe Stunde Arbeit pro Rechnung berechnet. Stundenpakete und reine Warenverkäufe sind davon nicht betroffen.
Info: CB Computerservice - Tarife
12.01.2020 – Schon wieder Google Chrome Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 79.0.3945.117 behebt drei Sicherheitslücken, wovon mindestens eine ein hohes Gefahrenpotential darstellen soll. Anwender von Google Chrome sollten das Update zügig installieren.
Opera hängt wie üblich mit dem Update hinterher, weshalb Opera Anwender über einen Wechsel zu Vivaldi nachdenken sollten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Drei Sicherheitslücken in Google Chrome geschlossen' auf Heise Online
12.01.2020 – Vivaldi Update behebt Sicherheitslücken
Schon kurz nach Google hatte auch Vivaldi die neuesten Chromium-Sicherheitsupdates (siehe Meldung oben) eingebaut. Vivaldi Anwender sollten auf Version 2.10 Update 2 (2.10.1745.26) updaten, falls das vom Update-Programm nicht bereits erledigt wurde.
Quelle: 'Minor update (2) for Vivaldi 2.10' auf Vivaldi.com
12.01.2020 – Thunderbird 68.4.1 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 68.4.1 veröffentlicht. Gegenüber der Version 68.3.2 behebt die neue Version sieben Sicherheitslücken, die unterm Strich eine kritische Bedrohung ergeben. Alle Thunderbird Anwender sollten daher zügig updaten.
Unzuverlässige Update Funktion:
Thunderbird Anwender sollten die Version unbedingt selbst prüfen und wenn diese noch nicht der neuen Version entspricht von Hand updaten. Die eingebaute Update-Funktion hat sich in letzter Zeit als nicht sehr zuverlässig erwiesen, auch wenn es dieses Mail bei uns geklappt hat.
32 oder 64 Bit?
Bei einem manuellen Update sollte man Thunderbird in der selbigen Bit-Zahl runterladen, wie sie bereits installiert ist. Welche das ist, sieht man hinter der Versionsnummer im 'Über Mozilla Thunderbird' Fenster. Wer von 32Bit auf 64Bit wechseln möchte (einen deutlichen Vorteil konnten wir dabei nicht feststellen) muss die alte Thunderbird Version deinstallieren, bevor die 64Bit Version installiert wird. Die E-Mails und die gesamte Konfiguration bleibt dabei erhalten.
Immer noch Thunderbird 60 in Verwendung?
Wer immer noch den 60er Versionszweig von Thunderbird verwendet sollte nun ebenfalls upgraden. Dabei sollte das Thema Erweiterungen unbedingt bedacht werden, über das wir in den letzten Wochen schon so ausgiebig geschrieben haben.
Download: Thunderbird Version 68.4.1, Windows, 32Bit, Deutsch
Download: Thunderbird Version 68.4.1, Windows, 64Bit, Deutsch
Info: 'Thunderbird 68.4.1 Release Notes' auf Mozilla.org (Englisch)
12.01.2020 – Firefox 72: Sicherheitsupdates und neue Funktionen
Mozilla hat Firefox 72.0.1 veröffentlicht. Die neue Version behebt in Summe 11 Sicherheitslücken (72.0) bzw. eine Lücke (72.0.1), was unterm Strich zur Risikoeinschätzung 'kritisch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
Abgesehen von den Sicherheitskorrekturen enthält Firefox 72 abermals Verbesserungen beim Trackingschutz.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 68.4.1.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
12.01.2020 – Sicherheitslücken in Geräten von Juniper Networks behoben
Der Netzwerk-Spezialist Juniper Networks hat einen Fehler in den Produkten Contrail Networking, Junos OS und Junos Space behoben. Administratoren bzw. Besitzer eines betroffenen Juniper Gerätes sollten unbedingt zügig die jeweiligen Updates installieren.
Quelle: 'Sicherheitslücken bedrohen Juniper Contrail Networking, Junos Space und Junos OS' auf Heise Online
12.01.2020 – Cisco deaktiviert automatische Updates auf RV-Serie Routern
Administratoren und Besitzer von manchen Cisco Routern der RV-Serie müssen in Zukunft selbst dafür Sorge tragen, dass diese Geräte mit Updates versorgt werden. Während Firmware-Updates in Zukunft grundsätzlich manuell durchgeführt werden müssen, sollen andere Updates (welche auch immer das sein sollen) wieder automatisch durchgeführt werden, wenn eine Programmierschnittstelle geändert wurde. Wann das sein wird, verrät Cisco aber bisher nicht.
Von der Änderung betroffen sind die Modelle RV160, RV160W, RV260, RV260W, RV260P, RV340, RV340W, RV345 und RV345P.
Quelle: 'Cisco stellt automatische Updates für mehrere Router-Modelle der RV-Serie ein' auf Heise Online
12.01.2020 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Cisco repariert IOS, Webex & Co.' auf Heise Online
06.01.2020 – Wieder Sicherheitslücken in Routern von D-Link
Wieder wurden in D-Link Routern zwei Sicherheitslücken gefunden. Die erste Lücke (CVE-2019-17621) ist grundsätzlich gravierend, kann aber wohl nur aus dem lokalen Netzwerk heraus ausgenutzt werden. Die zweite Lücke (CVE-2019-20213) ist nicht ganz so gravierend, soll aber dafür auch aus dem Internet heraus funktionieren.
D-Link hat für ein paar Modelle für den US Markt bereits Updates fertiggestellt. Die Nicht-US-Modelle DIR-822 und DIR-823 werden am 22. Jänner bzw. am 27.12.2019 erwartet. Nein wir haben uns nicht vertippt, das Update für den DIR-823 (Revision Bx) soll fertig sein, jedoch können wir dieses Modell generell bei D-Link nirgends finden. Wer so einen Router hat, muss also unbedingt auf die D-Link Support Seite des Landes gehen, wo dieser Router ursprünglich verkauft wurde. Noch schlimmer trifft es Kunden mit dem DIR-865L. Dieser ist generell nicht mehr supportet. Hier steht also ein neuer Router an.
Auch dort wo Updates verfügbar sind, macht es D-Link nicht gerade einfach, denn bei manchen Modellen muss die Firmware gleich zweimal aktualisiert werden. Wer eines der folgenden D-Link Router besitzt, muss also sehr genau studieren, ob ein Update bereit steht bzw. wann es verfügbar sein wird, und wie genau es zu installieren ist:
DIR-818Lx (Revision Bx), DIR-822 (Revision Bx), DIR-822 (Revision Cx), DIR-823 (Revision Ax), DIR-859 (Revision Ax), DIR-865L (Revision Ax), DIR-868L (Revision Ax), DIR-868L (Revision Bx), DIR-869 (Revision Ax), DIR-880L (Revision Ax), DIR-890L/R (Revision Ax), DIR-885L/R (Revision Ax), DIR-895L/R (Revision Ax)
Quelle: 'Sicherheitsupdates: Verschiedene D-Link-Router anfällig für Schadcode-Attacken' auf Heise Online
06.01.2020 – Vorsicht vor gefälschten Amazon Bestellbestätigungen
Im Moment versuchen Betrüger über gefälschte Amazon Bestellbestätigungen an Passwörter zu gelangen. Das Opfer erhält ein Mail mit der Bestätigung über eine angebliche Bestellung bei Amazon. Da sehr viele Leute tatsächlich bei Amazon einkaufen dürfte da dich einige stutzig werden. Klicken diese Leute nun den Link in der E-Mail an, gelangt man auf eine gefälschte Amazon Seite. Gibt man dort seine Amazon Zugangsdaten ein, spielt man die direkt den Betrügern in die Hände.
Wer eine vermeintliche Amazon Bestellbestätigung, über Dinge die nicht bestellt wurden, erhält, sollte KEINE Links in dem Mail anklicken, sondern sich direkt bei Amazon einloggen und seinen Bestellverlauf dort prüfen. Taucht der angeblich bestellte Artikel dort nicht auf, kann das Mail gelöscht werden.
Anwender die auf der gefälschten Website bereits ihr Passwort eingegeben haben, sollten es umgehend ändern. Wird dasselbe Passwort auch auf anderen Webseiten genutzt (was generell eine sehr schlechte Idee ist), sollte es auch auf allen diesen Seiten durch ein jeweils individuelles Passwort ersetzt werden.
Quelle: 'Polizei warnt: Falsche Amazon-Bestellbestätigungen kursieren' auf Heise Online
06.01.2020 – Wieder Probleme mit (Un)Sicherheitskamera
Warum mit dem Internet verbundene "Sicherheitskameras" meist keine gute Idee sind haben wir schon mit etlichen Artikeln zu Sicherheitslücken in diesen Kameras belegt. Nun hat es auch Xiaomi und Google getroffen. Ein Nutzer mit Xiaomi-Kamera und Google Assistant sah plötzlich Bilder eines anderen Benutzers auf seinem Gerät.
Der Fehler sollte zwar mittlerweile behoben sein, aber es beweist einmal mehr wie leicht es bei so vernetzten Systemen zu Sicherheitsproblemen kommen kann, immerhin hat es hier noch nicht mal einen konkreten Hackerangriff gegeben. Dass weltweit hunderttausende, wenn nicht Millionen von (Un)Sicherheitskameras wegen Standard- oder schlechten Passwörtern bzw. aufgrund von niemals behobenen Sicherheitslücken in Billig-Kameras für Angreifer weit offen stehen, ist kein Geheimnis.
Wir empfehlen Netzwerkkameras am besten in ein eigenes Netzwerk auszulagern oder sie zumindest nicht aus dem Internet zugänglich zu machen und schon gar nicht mit irgendwelchen SmartHome-Geräten zu verbinden.
Quelle: 'Fremde Fotos: Xiaomi behebt Fehler bei Sicherheitskamera' auf Heise Online
06.01.2020 – Dauerthema Bluetooth Unsicherheit
Regelmäßigen Lesern unserer Website bzw. Newsletters dürfte das Thema Bluetooth-Sicherheit schon bekannt vorkommen. Leider ist es halt auch ein Fass ohne Boden, denn eine deutsche Sicherheitsforscherin hat nun abermals etliche gravierende Lücken in Funkchips für Bluetooth/WLAN/NFC nachgewiesen.
Das auch WLAN nicht unknackbar ist (vor allem mit kurzen Passwörtern) haben wir auch schon berichtet, aber gerade Bluetooth ist auch Sicherheitsperspektive einfach eine Katastrophe. Und das die Hersteller lieber die Sicherheitsforscher zum Schweigen bringen wollen, statt endlich mal den Ursprung der vielen Sicherheitslücken anzupacken, spricht Bände.
Unsere Dauerempfehlung lautet daher wie üblich, Bluetooth wenn immer möglich ausgeschaltet zu lassen und es sich bei jedem einzelnen Gerät sehr gut zu überlegen, ob man sich tatsächlich damit koppeln möchte.
Quelle: '36C3: Vertraue keinem Bluetooth-Gerät – schon gar nicht im vernetzten Auto' auf Heise Online
