News Archiv 2. Quartal 2021
Schlagzeilen * Details
Schlagzeilen:
- 25.06.2021 - ACHTUNG: Western Digital My Book Live – unbedingt vom Netz nehmen!
- 25.06.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 25.06.2021 - BIOS-Sicherheitsupdates für DELL Computer
- 25.06.2021 - Sicherheitslücken in AutoCAD & Co
- 25.06.2021 - Sicherheitslücke in Drupal behoben
- 25.06.2021 - Neue VLC Media Player Version
- 25.06.2021 - Aktualisiertes Supportende bei AMD und Nvidia
- 25.06.2021 - EU Direktive für längere Nutzung elektronischer Geräte
- 25.06.2021 - Sicherheitsmeldungen für Administratoren
- 18.06.2021 - Das nächste Chromium Sicherheitsupdate
- 18.06.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 18.06.2021 - Sicherheitsmeldungen für Administratoren
- 11.06.2021 - Das nächste Chromium Sicherheitsupdate
- 11.06.2021 - Vivaldi 4.0 mit Sicherheitsupdates und vielen neuen Funktionen
- 11.06.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 11.06.2021 - Microsoft's Tag der Updates
- 11.06.2021 - Intel veröffentlicht zahlreiche Sicherheitsupdates
- 11.06.2021 - Wieder kritische Android Sicherheitslücken
- 11.06.2021 - Sicherheitslücken in Samsung Smartphone Apps
- 11.06.2021 - Sicherheitsmeldungen für Administratoren
- 04.06.2021 - Thunderbird 78.11 behebt Sicherheitslücken
- 04.06.2021 - Firefox 89 bringt Sicherheitsupdates und neuen Look
- 04.06.2021 - IrfanView Update verbessert Sicherheit und entfernt Funktion
- 04.06.2021 - Blender 2.93 mit Langzeitsupport
- 04.06.2021 - Gefährliche Sicherheitslücken in WebEx Videokonferenz-Software
- 04.06.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 04.06.2021 - Kritische Sicherheitslücke in Plug-in 'Fancy Product Designer'
- 04.06.2021 - Sicherheitsmeldungen für Administratoren
- 28.05.2021 - Das nächste Chromium Sicherheitsupdate
- 28.05.2021 - Inkscape 1.1 ist da!
- 28.05.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 28.05.2021 - Wichtige Updates für Trend Micro Produkte
- 28.05.2021 - Sicherheitslücke in Drupal behoben
- 28.05.2021 - Sicherheitsmeldungen für Administratoren
- 21.05.2021 - VLC Media Player: manuelles Sicherheitsupdate nötig
- 21.05.2021 - Sicherheitsupdate für Mozilla Thunderbird
- 21.05.2021 - LibreOffice 7.0.6 und 7.1.3 veröffentlicht
- 21.05.2021 - Windows 10 21H1 bringt kaum Neuerungen
- 21.05.2021 - Samsung verlängert Support für Smartphones!
- 21.05.2021 - Sicherheitsmeldungen für Administratoren
- 14.05.2021 - Das nächste Chromium Sicherheitsupdate
- 14.05.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 14.05.2021 - Microsoft's Tag der Updates
- 14.05.2021 - FragAttack! Die nächste WLAN-Sicherheitslücke
- 14.05.2021 - Umweltsünder BitCoin und Co
- 14.05.2021 - Wieder Sicherheitslücken in WordPress
- 14.05.2021 - Sicherheitsmeldungen für Administratoren
- 07.05.2021 - Thunderbird 78.10.1 behebt Sicherheitslücke
- 07.05.2021 - Firefox 88.0.1 bringt Sicherheitsupdates
- 07.05.2021 - Sicherheitsupdates für Foxit Reader und PhantomPDF
- 07.05.2021 - gefährliche Sicherheitslücke in Dell Computern!
- 07.05.2021 - Wieder kritische Android Sicherheitslücken
- 07.05.2021 - Sicherheitsmeldungen für Administratoren
- 01.05.2021 - Schwere Sicherheitslücke in ABUS Alarmanlagen!
- 01.05.2021 - Für Administratoren: wichtige CISCO-Sicherheitsupdates
- 29.04.2021 - Das nächste Chromium Sicherheitsupdate
- 29.04.2021 - Vivaldi 3.8 – Der Cookie-Zerbrösler ist da!
- 29.04.2021 - PasswordState: Passwort-Manager gehackt!
- 29.04.2021 - Neuer Radeon Grafiktreiber speckt ab
- 29.04.2021 - Sicherheitsmeldungen für Administratoren
- 23.04.2021 - Das nächste Chromium Sicherheitsupdate
- 23.04.2021 - Thunderbird 78.10 behebt Sicherheitslücken
- 23.04.2021 - Firefox 88 bringt Sicherheitsupdates
- 23.04.2021 - Sicherheitsupdates für Java und weitere Oracle Software
- 23.04.2021 - Und wieder Sicherheitsprobleme mit Nvidia Grafikkarten
- 23.04.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 23.04.2021 - Sicherheitslücke in Drupal behoben
- 23.04.2021 - Neue Inkscape Version
- 23.04.2021 - Auch Microsoft und Wordpress blockieren Googles FLoC!
- 23.04.2021 - Sicherheitsmeldungen für Administratoren
- 17.04.2021 - Das nächste Chromium Sicherheitsupdate
- 17.04.2021 - VLC, Telegram und Co: Das Dilemma mit den Links
- 17.04.2021 - LibreOffice 7.0.5 wird zum Sicherheitsupdate!
- 17.04.2021 - Gefährliche Exchange Lücken fordern Administratoren
- 17.04.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 17.04.2021 - Microsoft's Tag der Updates
- 17.04.2021 - Thunderbird 78.9.1 behebt Sicherheitslücken
- 17.04.2021 - DuckDuckGo: Verwendet Google Chrome nicht!
- 17.04.2021 - Schwere Sicherheitslücke in Counter-Strike GO
- 17.04.2021 - Dauerthema IoT (Un)Sicherheit
- 17.04.2021 - Sicherheitsmeldungen für Administratoren
- 09.04.2021 - Das nächste Facebook-Datenleck!
- 09.04.2021 - Gigaset lieferte Viren per Software-Update aus!
- 09.04.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 09.04.2021 - Router: die nächste Geräteklasse mit Lieferengpässen
- 09.04.2021 - Vorsicht beim Kauf von Sony Playstation Konsolen
- 09.04.2021 - Sicherheitsmeldungen für Administratoren
- 03.04.2021 - Das nächste Chromium Sicherheitsupdate
- 03.04.2021 - Neue Gimp Version mit verbessertem Import und Export
- 03.04.2021 - LibreOffice 7.0.5 und 7.1.2 veröffentlicht
- 03.04.2021 - Tipps für das LanguageTool
- 03.04.2021 - Sicherheitsmeldungen für Administratoren
Details:
25.06.2021 – ACHTUNG: Western Digital My Book Live – unbedingt vom Netz nehmen!
Wer eine "Western Digital My Book Live" bzw. "Western Digital My Book Live Duo" Festplatte mit Netzwerkanschluss besitzt und diese bisher mit dem Internet verbunden hatte, sollte die Netzwerkverbindung umgehend trennen!
Hacker attackieren diese Systeme aktuell und löschen dabei sämtliche Daten auf den Festplatten. Dabei nützen die Hacker Sicherheitslücken in den Geräten, die von Western Digital nicht mehr behoben wurden, da diese Geräte bereits seit vielen Jahren keinen Support mehr genießen. Das die Firma für diese Geräte noch Sicherheitsupdates bereitstellen wird ist also äußerst unwahrscheinlich, auch wenn das bis jetzt nicht konkret so mitgeteilt wurde. Man sollte ich also darauf einstellen, das diese Geräte nie wieder ans Netz gehen sollten und da sie (laut schneller Recherche) wohl auch keinen USB-Anschluss haben, sind die Geräte damit praktisch nutzlos geworden.
Quelle: 'Western Digital My Book Live: Trennen Sie Ihre Festplatten vom Internet' auf Heise Online
25.06.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss das Betriebssystem aktualisiert werden, um sicher zu bleiben. Details zu den Lücken sowie den benötigten Sicherheitsupdates entnehmen sie bitte dem verlinkten Heise Online Artikel.
Wie üblich an der Stelle auch nochmal der allgemeine Hinweis, dass ein NAS am besten grundsätzlich NICHT übers Internet erreichbar sein sollte. Außerdem sollten unbedingt Standard-Passwörter gegen eigene ersetzt und nicht benötigte User-Accounts gesperrt oder gelöscht werden.
Quelle: 'Sicherheitsupdate: Angreifer könnten eigene Befehle auf Qnap NAS ausführen' auf Heise Online
25.06.2021 – BIOS-Sicherheitsupdates für DELL Computer
Sicherheitsforscher haben in Computern von Dell schwere Sicherheitslücken im BIOS/UEFI entdeckt. Zwar sind die Lücken nicht ganz einfach auszunützen, aber wenn es gelingt dafür um so kritischer.
Dell hat eine eigene Website mit Informationen zu den Lücken eingerichtet. Dort ist ersichtlich, welche Computer betroffen sind und wie man sich dagegen schützen kann. Wir können Besitzern von Dell Computern nur raten die Seite zu besuchen und zu prüfen, ob der eigene Computer betroffen ist.
Quelle: 'Sicherheitsupdate Dell-Computer: Angreifer könnten Code auf BIOS-Ebene ausführen' auf Heise Online
Quelle: 'Dell Security Bulletin DSA-2021-106' auf Dell.com
25.06.2021 – Sicherheitslücken in AutoCAD & Co
In der CAD-Software 'AutoCAD' (alle Editionen) sowie in 'Autodesk Advance Steel' und 'Autodesk Civil 3D' wurden Sicherheitslücken entdeckt, die zur Infektion des Computers genutzt werden können. Dazu genügt es bereits eine manipulierte DWG-Datei zu öffnen.
Autodesk stellt Sicherheits-Updates für alle Programme ab den 2019er Ausgaben zur Verfügung. Wer eine ältere Version einsetzt, muss auf eine neuere Version upgraden oder mit den Sicherheitslücken leben.
Quelle: 'Autodesk schließt Schadcode-Schlupflöcher in AutoCAD-Anwendungen' auf Heise Online
25.06.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'CMS Drupal: Updates für Module von Opigno beseitigen Schwachstellen' auf Heise Online
25.06.2021 – Neue VLC Media Player Version
Das VideoLAN Team hat eine neue Version des VLC Media Players veröffentlicht. Auch wenn es diesmal keine Sicherheitslücken zu schießen gab, möchten wir dennoch kurz darauf hinweisen, denn das Update behebt ein paar funktionale Probleme. Wer VLC Media Player verwendet, sollte also auf die Version 3.0.16 updaten.
Download: VLC Media Player 3.0.16 für Windows (32Bit)
Download: VLC Media Player 3.0.16 für Windows (64Bit)
Quelle: 'Releasenotes für VLC Media Player 3.0.16' auf Videolan.org (Englisch)
25.06.2021 – Aktualisiertes Supportende bei AMD und Nvidia
Die beiden Grafikchip-Hersteller AMD und Nvidia stellen beide den Support älterer Grafikchips ein.
Bei AMD fallen alle Grafikarten vor der RX 400 Serie durchs Raster. Bei Nvidia fällt alles vor den Maxwell-Chips aus dem Support, also Chips aus dem Jahr 2013 und älter. Allerdings gewährt Nvidia noch eine Gnadenfrist bis Oktober.
Nvidia will jedoch wichtige Sicherheitsupdates für diese Grafikchips (Kepler Serie) noch bis 2024 bereitstellen, damit wäre die Sache nicht so schlimm, solange man die Grafik-Chips nicht für Spiele nutzt. AMD hat nichts in Bezug auf Sicherheitsupdates erwähnt, hier muss man also von einem völligen Support-Ende ausgehen.
Quelle: 'Spielergrafikkarten: AMD und Nvidia beenden Treiber-Support vieler GPUs' auf Heise Online
25.06.2021 – EU Direktive für längere Nutzung elektronischer Geräte
Erst kürzlich hatten wir im Rahmen eines Android-Artikels erwähnt, dass wir die EU in der Pflicht sehen würden dafür zu sorgen, dass elektronische Geräte nur mehr mit einer Update-Garantie innerhalb der EU verkauft werden dürfen. Einem heise Online Artikel nach zu urteilen, war der Wunsch gar nicht so weit hergeholt, denn anscheinend soll 2022 eine Regelung aktiv werden, die mehr oder weniger genau das bewirken soll.
Gemäß der EU Direktive müssen Händler dann garantieren, dass Geräte für (im Durchschnitt) 5 Jahre mit Updates versorgt werden. Da der Händler das natürlich nur garantieren kann, wenn der Hersteller das auch tut, verspricht das einiges. Wir sind jedenfalls gespannt, was genau das nächste Jahr in der Sache bringen wird und ob Billig-Elektronik-Geräte dann aus den Discount-Märkten verschwinden werden.
Quelle: 'Update-Pflicht für digitale Geräte: Gesetz steht zur Abstimmung' auf Heise Online
25.06.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Attacken auf Zyxel-Netzwerkhardware: Bislang nur vage Details verfügbar' auf Heise Online
Quelle: 'Gefährliche Lücken in Nvidias Jetson-Computerplatinen geschlossen' auf Heise Online
Quelle: 'Sicherheitslücken im Zephyr-Betriebssystem gefährden Embedded-Systeme' auf Heise Online
Quelle: 'Kritische Admin-Lücke bedroht VMware Carbon Black App Control' auf Heise Online
18.06.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben.
Die Version 91.0.4472.114 behebt 4 Sicherheitslücken gegenüber der Vorversion.
Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein.
Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt Sicherheitsupdate installieren: Abermals Angriffe auf Google Chrome' auf Heise Online
Vivaldi:
Jetzt, wo Version 4.0 von Vivaldi draußen ist, finden die Entwickler auch wieder zu ihrem gewohnten Update-Tempo zurück. Nur wenige Stunden nach Google stellt auch Vivaldi bereits die aktuellen Sicherheitskorrekturen in Form des dritten Updates für Vivaldi 4.0 zur Verfügung.
Auch in der Android-Ausgabe von Vivaldi wurden die Lücken behoben, hier ist die aktuelle Version 4.0 Update 2.
Quelle: 'Minor update (3) for Vivaldi Desktop Browser 4.0' auf Heise Online
Quelle: 'Minor update (2) for Vivaldi Android Browser 4.0' auf Heise Online
Microsoft Edge:
Das Microsoft-Edge-Team hat es bis jetzt noch nicht geschafft das gestern veröffentlichte Chromium-Update zu übernehmen. Edge verwendet aktuell immer noch die Chromium-Version von letzter Woche. Wir vermuten aber, dass eine neue Edge-Version nicht mehr lange auf sich warten lässt.
Opera bleibt unsicher:
Opera hat aktuell immerhin das Sicherheitsupdate von letzter Woche übernommen und ist damit fast schon ungewohnt aktuell. Letztendlich hängen sie aber immer noch hinterher und da das leider die Regel und nicht die Ausnahme ist, bleibt unsere Empfehlung zu Vivaldi zu wechseln aufrecht.
18.06.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss das Betriebssystem und auch diverse Anwendungen aktualisiert werden, um sicher zu bleiben. Details zu den Lücken sowie den benötigten Sicherheitsupdates entnehmen sie bitte dem verlinkten Heise Online Artikel.
Wie üblich an der Stelle auch nochmal der allgemeine Hinweis, dass ein NAS am besten grundsätzlich NICHT übers Internet erreichbar sein sollte. Außerdem sollten unbedingt Standard-Passwörter gegen eigene ersetzt und nicht benötigte User-Accounts gesperrt oder gelöscht werden.
Quelle: 'Qnap: Updates für NAS beseitigen aus der Ferne ausnutzbare Schwachstelle' auf Heise Online
18.06.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Root-Sicherheitslücke bedroht Switches von Cisco' auf Heise Online
Quelle: 'SonicWall schließt Denial-of-Service-Lücke in Firewall-Betriebssystem SonicOS' auf Heise Online
Quelle: 'Sicherheitsupdates für IBM Db2 und AIX schließen Lücken' auf Heise Online
11.06.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 91.0.4472.101 behebt 14 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "kritisch" ein. Anwender, die Google Chrome installiert haben, sollten so rasch wie möglich aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Attacken auf Googles Webbrowser Chrome könnten bevorstehen' auf Heise Online
Vivaldi:
Deutlich später als erhofft, hat Vivaldi diese Woche endlich eine auf Chromium 91 basierte Version veröffentlicht. Siehe den folgenden Artikel über Vivaldi 4.0.
Microsoft Edge:
Das Microsoft-Edge-Team hat es bis jetzt noch nicht geschafft das gestern veröffentlichte Chromium-Update zu übernehmen. Edge verwendet aktuell immer noch die Chromium-Version von vor 2 Wochen. Wir vermuten aber, dass eine neue Edge-Version nicht mehr lange auf sich warten lässt. Aufgrund des hohen Gefahren-Potentials der aktuellen Lücken, empfehlen wir allen Edge-Anwendern regelmäßig nach Updates zu suchen.
Nachtrag: Mittlerweile ist auch für Edge das passende Sicherheitsupdate verfügbar.
Opera bleibt unsicher:
Opera hängt wie üblich mehrere Wochen zurück was Sicherheitsupdates angeht, daher können wir unsere Empfehlung, von Opera auf Vivaldi zu wechseln, nur einmal mehr wiederholen.
11.06.2021 – Vivaldi 4.0 mit Sicherheitsupdates und vielen neuen Funktionen
Vor 2 Wochen dachten wir noch, Version 3.9 würde "bald" erscheinen um wichtige Sicherheitslücken zu beheben. Um zu verstehen, warum es nun eine Woche länger gedauert hat und es nicht Version 3.9, sondern 4.0 wurde, müssen wir etwas ausholen.
Als der ehemalige Opera-Chef 'Jon von Tetzchner' im März 2016 die Version 1.0 von Vivaldi vorstellte, war bereits klar, dass es nicht für immer bei einem reinen Browser bleiben würde. Schon von Beginn an wurde klar kommuniziert, das das Ziel ist, eine 'Internet Suite’ zu entwickeln, wie es die Original-Version des Opera-Browsers (bis Version 12.x) war. Also eine Browser- und E-Mail-Kombination. 5 Jahre später wird dieses Ziel nun mit Version 4.0 erreicht, denn ab sofort ist nicht nur die E-Mail-Funktion offiziell freigeschaltet, sondern auch noch ein Kalender, ein Feed-Reader und ein Übersetzer. Daher auch der Sprung auf Version 4.0, denn eine Version 3.9 würde diesem Meilenstein nicht gerecht werden.
Vermutlich war es auch der Feinschliff an den neuen Funktionen, der dafür gesorgt hat, dass Vivaldi Anwender eine Woche länger als gewünscht auf Sicherheitsupdates warten mussten. Dafür ist Vivaldi beim Update auf die Chromium Ausgabe dieser Woche wieder rasend schnell gewesen, denn das erste "kleine" Update für Vivaldi 4.0 kam bereits am Tag nach der Google-Ankündigung.
Vivaldi als Nachrichtenzentrale:
Mit Version 4.0 wird Vivaldi also zur Nachrichtenzentrale, wenn man mal Chat-Funktionen außer Acht lässt. Allerdings werden die neuen Funktionen niemandem aufgedrängt, sie bleiben auch standardmäßig verborgen, wenn man von früheren Versionen auf Version 4.0 upgradet. Abgesehen davon, dass es diese Funktionen nun gibt, können wir ehrlich gesagt nichts darüber berichten. Unser Interesse daran war so gering, dass wir es in all den Monaten, wo diese Funktionen schon in Vivaldi integriert (wenn auch versteckt) waren, nie auch nur einen Blick drauf geworfen hatten. Auch diese Woche war keine Zeit das nachzuholen. Neugierige finden aber viele Informationen darüber in dem verlinkten Heise Online Artikel, sowie in der Ankündigung von Vivaldi selbst.
Übersetzer:
Beim Übersetzer ist Vivaldi nicht den Weg des geringsten Widerstands gegangen. Es wäre simpel gewesen, einfach die Funktion von Google zu übernehmen. Vivaldi hat sich aber für das zypriotische Unternehmen Lingvanex entschieden. Dies soll einerseits bessere Ergebnisse als Google erzielen, und auf der anderen Seite auch für besseren Datenschutz sorgen. Einen Vergleich haben wir aber aus Zeitmangel nicht durchgeführt.
Fazit:
Bei weitem nicht jeder Vivaldi Nutzer wird die neuen Funktionen benötigen, aber sie werden auch niemandem aufgezwungen. Wer auf dem neuen Willkommensbildschirm die mittlere Option wählt, hat wie eh und je den altbekannten Vivaldi-Browser vor sich und bekommt von den neuen Kommunikationsmöglichkeiten gar nichts mit. Der neue Übersetzer ist da schon ein wenig aufdringlicher. Es hat nicht lange gedauert, bis er angeboten hat eine Website zu übersetzen. Ein Klick auf das Zahnrad-Symbol und schon kann man einstellen, dass die aktuelle Sprache "Niemals" (oder auch "Immer") übersetzt wird, und schon ist der Spuk vorbei. Wirklich wichtig ist, dass Vivaldi Anwender mit der neuen Version wieder auf einen sicheren Browser vertrauen können.
Quelle: 'Vivaldi 4.0 bietet Browser, Mail-Client, Kalender, Feed Reader und Übersetzer' auf Heise Online
Quelle: 'Was ist neu in Vivaldi' auf Vivaldi.com
Quelle: 'Minor update for Vivaldi Desktop Browser 4.0' auf Vivaldi.com (Englisch)
11.06.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & Acrobat
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2021.005.20048 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe zwar 'nur' fünf Sicherheitslücken geschlossen, die sind aber alle kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB21-37 (Englisch)
Adobe Photoshop
In Photoshop 2020 und 2021 wurden zwei kritische Schwachstellen behoben. Die 2021er Jahresausgabe (bzw. Version 22.x sollte unbedingt rasch auf Version 22.4.2 aktualisiert werden, Version 21 auf Version 21.2.8. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-38' auf Adobe.com (Englisch)
Adobe Photoshop & Premiere Elements
Die Installationsprogramme der beiden Heimanwender-Programme von Adobe haben eine Schwachstelle die zur Rechteausweitung genutzt werden kann. Da die Software für Privatanwender gedacht ist und die Lücke nur im Installationsprogramm zu finden ist, betrachten wir das als Vernachlässigbar. Adobe verrät im Security Bulletin noch nicht einmal für welche Versionen der Anwendungen diese Lücken gelten. Wer Adobe Photoshop Elements und/oder Premiere Elements installiert hat und ein Update angeboten bekommt, sollte es natürlich dennoch installieren.
Quelle: 'Adobe Security Bulletin APSB21-46' auf Adobe.com (Englisch)
Quelle: 'Adobe Security Bulletin APSB21-47' auf Adobe.com (Englisch)
Adobe After Effects
In Adobe After Effects wurde eine ganze Reihe von Sicherheitslücken behoben, die in Summe zu einer kritischen Bedrohung führen. Alle Anwender von After Effects sollten zügig auf Version 18.2.1 updaten und alle älteren Fassungen deinstallieren.
Quelle: Adobe Security Bulletin APSB21-49 (Englisch)
Adobe Animate
Das ehemals Flash genannte Web-Animationsprogramm enthielt ebenfalls eine Fülle von Sicherheitslücken. Auch hier ist die Bedrohungslage in Summe kritisch. Wer Adobe Animate installiert hat, sollte es zügig auf Version 21.0.7 aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB21-50 (Englisch)
Adobe Creative Cloud Installationsprogramm
Anwender die noch alte Installationsprogramme für die 'Creative Cloud'-Anwendung auf der Festplatte liegen haben, sollten diese Dateien entsorgen. Neue Versionen von der Adobe-Homepage enthalten zwei Schwachstellen weniger. Eine der Lücken wird als kritisch betrachtet. Die 'Creative Cloud'-Anwendung selbst ist von dem Fehler nicht betroffen.
Quelle: 'Adobe Security Bulletin APSB21-41' auf Adobe.com (Englisch)
Adobe Experience Manager
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es 4 Lücken. Details finden sie im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB21-39 (Englisch)
Adobe Connect
Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.
Quelle: Adobe Connect Security Bulletin APSB21-36 (Englisch)
Adobe RoboHelp Server
In Adobe RoboHelp Server wurde eine als "kritisch" eingestufte Sicherheitslücke behoben. Anwender, die die Software installiert haben, sollten auf Version 2020.0.1 aktualisieren.
Quelle: 'Adobe Security Bulletin APSB21-44' auf Adobe.com (Englisch)
11.06.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Angreifer nutzen sechs Sicherheitslücken in Windows aus' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.09 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
11.06.2021 – Intel veröffentlicht zahlreiche Sicherheitsupdates
Prozessorhersteller Intel hat mal wieder reichlich neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Wieder einmal sind auch Sicherheitslücken in den Prozessoren selbst dabei, die ein BIOS-Update des Herstellers oder ein Microcode-Update von Microsoft erfordern. Es sind aber auch einige Updates dabei, die für Endanwender anwendbar sind, was nicht bedeutet, dass es kinderleicht ist, aber immerhin.
RapidStorage, WLAN und Bluetooth:
Treiber für Grafikchips sind diesmal nicht dabei, aber mit Lücken in WLAN und Bluetooth-Treibern sind dennoch alte Bekannte dabei. Nicht ganz so oft werden Lücken in den RapidStorage-Treibern (SATA, RAID) gefunden, diesen Monat war es aber mal wieder soweit. Versionsnummern können wir aufgrund der Vielzahl unterschiedlicher Modelle und Treiber keine nennen, aber für alle drei Geräte-Klassen sollte man idealerweise Treiber aus diesem Monat installieren. Alternativ kann man auch die sehr umfangreichen Security-Buletins von Intel für Juni der Reihe nach abarbeiten.
Intel Helferlein:
Der Intel Driver & Support Assistant hat sich mittlerweile zu einem brauchbaren Werkzeug entwickelt. Auf vielen Systemen dürfte dieser Aktualisierung für die drei oben genannten Geräte-Klassen finden und downloaden. Das soll aber nicht bedeuten, dass wenn das Programm keine Updates findet es keine Sicherheitslücken oder Updates gibt! Manuelle Kontrolle ist auf jeden Fall ratsam. Außerdem rückt diesen Monat das Update-Tool selbst in den Fokus von Sicherheitsforschern. Ein Update auf Version 20.11.50.9 (oder neuer) behebt drei Sicherheitslücken die in Summe ein hohes Risiko ergeben.
Intel Computing Improvement Programm:
Auch im 'Intel Computing Improvement Programm’ wurden zwei Sicherheitslücken entdeckt. Wer das Programm installiert hat, sollte es deinstallieren, es ist ohnehin nicht wirklich notwendig. Andernfalls kann man auch auf Version 2.4.6522 (oder neuer) updaten um die Sicherheitslücken zu beheben.
Insgesamt 29 Sicherheitsbulletins:
Insgesamt hat Intel 29 Sicherheitsbulletins für in Summe 73 Sicherheitslücken veröffentlicht, die man am besten alle durchgeht. Auch eine Prüfung mit den Update-Tools der Geräte-Hersteller ist ratsam. Details und Links zu den einzelnen Sicherheits-Bullletins gibt es im Heise Online Artikel.
Quelle: 'Patchday bei Intel: Microcode-Updates, aber auch viele Downloads für Endnutzer' auf Heise Online
Download: 'Intel Driver & Support Assistant' von Intel.com
11.06.2021 – Wieder kritische Android Sicherheitslücken
Genau wie Microsoft liefert auch Google jeden Monat Sicherheitsupdates für seine Computersysteme aus. Während jedoch grundsätzlich jeder Windows-PC in den Genuss dieser Updates kommt, sieht das bei Android leider sehr viel schlechter aus. Wir vermuten, dass der überwiegende Großteil der tatsächlich genutzten Android-Geräte schon länger keine Sicherheitsupdates mehr erhalten haben und dementsprechend unsicher sind.
Im Juni hat Google mal wieder eine besonders gefährliche Sicherheitslücke in Android geschlossen. Abgesicherte Android Systeme zeigen in den Eigenschaften des Systems entweder den Sicherheitsstand 2021-06-01 oder 2021-06-05 an. Alle älteren Sicherheitsstände sind entsprechend unsicher und können von Hackern leicht übernommen werden.
Aufgrund des hohen Risikos der neuen Lücken sollten wirklich mal wieder alle Android Anwender auf Updates prüfen und diese installieren. Bei Geräten, die schon länger kein Update mehr erhalten haben, sollte man ernsthaft in Erwägung ziehen diese zu ersetzen.
Quelle: 'Patchday Android: Kritische System- und Qualcomm-Lücken geschlossen' auf Heise Online
11.06.2021 – Sicherheitslücken in Samsung Smartphone Apps
Die auf Samsung-Smartphones vorinstallierten Apps ziehen nicht nur die Leistungsfähigkeit der Geräte nach unten, sie strotzen auch nur so vor Sicherheitslücken, wie nun ein Sicherheitsforscher von Oversecured nachgewiesen hat. Mehr als ein Dutzend Schwachstellen hat der Forscher entdeckt und an Samsung gemeldet. Darunter kritische Schwachstellen, die zur Infektion der Geräte genutzt werden können. Da Samsung bis heute noch nicht alle Lücken behoben hat, und auch ungeklärt ist, ob überhaupt alle Besitzer von Samsung Geräten die Updates erhalten, können wir nur raten möglichst viele dieser Apps zu deinstallieren bzw. deaktivieren. Laut Heise Online Artikel benötigt man für manche Updates zwingend eine Anmeldung im Samsung Galaxy Store. Scheinbar kommen manche Updates nicht über den Store von Android selbst. Besitzer eines Samsung Smarthones sollten sich also unbedingt auch im Galaxy-Store anmelden, auch wenn dafür ein eigenes Samsung Konto notwendig ist.
Quelle: 'Mehrere Sicherheitslücken in vorinstallierten Apps bedrohen Samsung-Smartphones' auf Heise Online
11.06.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Qnap sichert Switches und Netzwerkspeicher vor unberechtigten Zugriffen ab' auf Heise Online
Quelle: 'Jetzt patchen! Angreifer attackieren VMware vCenter Server' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Netzwerke mit Citrix-Produkten attackieren' auf Heise Online
Quelle: 'Patchday: SAP NetWeaver AS für ABAP & Java erhält viele wichtige Lücken-Fixes' auf Heise Online
Quelle: 'Wago: Updates fixen gefährliche Lücken in industriellen Steuerungssystemen' auf Heise Online
Quelle: 'Exploit für kritische Lücke in Rocket.Chat veröffentlicht' auf Heise Online
04.06.2021 – Thunderbird 78.11 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 78.11 veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe zwei Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 78.11, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.11, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.11 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Sicherheitsupdate: Schadcode-Lücken in Mail-Client Thunderbird geschlossen' auf Heise Online
04.06.2021 – Firefox 89 bringt Sicherheitsupdates und neuen Look
Mozilla hat Firefox 89 veröffentlicht. Die neue Version behebt 9 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
Allerdings bringt Firefox 89 nicht nur Sicherheitsupdates, sondern auch eine neue Benutzer-Oberfläche und die spaltet die Meinungen der Anwender erheblich. Während die einen das moderne frische Design loben, bemängeln die anderen einen gewaltigen Rückschritt in Sachen Benutzerfreundlichkeit. Tatsächlich scheint es so, dass das Designziel der neuen Oberfläche ganz klar ein modernes Aussehen war, und man dafür wohl bewusst Benutzerfreundlichkeit geopfert hat. Fehlende Trenner zwischen den Tabs sowie der Verzicht auf Icons in den Menüs erschweren die Arbeit mit der neuen Benutzeroberfläche deutlich.
Wer sich mit der neuen Benutzeroberfläche nicht anfreunden kann, kann zumindest ein paar der Änderungen rückgängig machen. Dazu tippt man in die Adresszeile von Firefox den folgenden Text ein "about:config" und klickt dann auf "Risiko akzeptieren und fortfahren". In die Leiste wo steht "Einstellungsname suchen" tippt man nun folgenden Text ein: "browser.proton.enabled". Dann wird nur diese eine Einstellung angezeigt, die standardmäßig auf "true" steht. Durch Doppelklick auf die Zeile wird der Wert zu "false" geändert und das bringt zumindest Tab-Trenner und Icons in den Menüs zurück. Wer das neue Design nicht mag, sollte das aber auch unbedingt Mozilla mitteilen, sei es per Mail, Twitter oder Instagram. Denn nur wenn es genug "Kritiker" gibt, ist sichergestellt, dass man das neue Design auch in zukünftigen Ausgaben noch abschalten kann, oder dass es vielleicht sogar eine generelle Rückbesinnung gibt.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.11. Designsorgen muss man sich bei der ESR Version vorerst noch keine machen.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Version 89: Ein neuer Look für Firefox' auf Heise Online
Quelle: 'Firefox 89 und ESR 78.11: Neue Browser-Versionen, neue Sicherheits-Updates' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
04.06.2021 – IrfanView Update verbessert Sicherheit und entfernt Funktion
Der (für Privatpersonen) kostenlose und sehr beliebte Bildbetrachter IrfanView ist in Version 4.58 erschienen. Darin wurden unter anderem mindestens zwei Sicherheitslücken behoben. Wer also IrfanView installiert hat, sollte das Programm auf Version 4.58 updaten. Wer auch die Pugins für IrfanView installiert hat, muss unbedingt auch diese aktualisieren.
Abgesehen von dem Sicherheitsupdates gibt es diesmal nur wenige funktionale Neuerungen. Die auffälligste "Neuerung" ist noch die Entfernung der beliebten Funktion "Speichern fürs Web...". Dieses Plugin wurde nun ersatzlos gestrichen. Begründet wurde das in der Liste der Neuerungen nicht, ich weiß aber aus früheren Mails mit dem IrfanView-Programmierer, dass dieses Plugin schon länger ein Sorgenkind war. Zwar kann man nun im regulären JPG-Speichern-Dialog eine Ziel-Dateigröße eingeben, ein vollwertiger Ersatz für die entfernte Funktionalität ist dies aber nicht. Für solche Szenarien muss man nun also auf andere Programme ausweichen. Alle weiteren Neuerungen sind auf der IrfanView Website aufgelistet.
Falls sie bereits die 64Bit Version von IrfanView verwenden, klicken sie auf der Downloadseite bitte auf "IrfanView-DE 64-bit Windows Installer". Falls sie nicht die 64Bit Version verwenden oder sich nicht sicher sind, klicken sie stattdessen die Datei "IrfanView-DE 32-bit Windows Installer" an. Falls sie auch die Plugins bereits installiert haben oder neu installieren wollen, laden sie sich bitte die Dateien "IrfanView-DE All Plugins - 32-bit Windows Installer" (für ein 32Bit IrfanView) oder "IrfanView-DE All Plugins - 64-bit Windows Installer" (für ein 64Bit IrfanView) herunter.
Download: 'IrfanView Downloads' auf Fosshub.com
Quelle: 'History of changes' auf IrfanView.com (Englisch)
Quelle: Security Bulletin zu zwei der geschlossenen Sicherheitslücken (Englisch)
04.06.2021 – Blender 2.93 mit Langzeitsupport
Das 3D-Programm Blender erhält mit Version 2.93 wieder ein paar nette Neuerungen. Das Entwicklungstempo bei Blender ist nach wie vor beeindruckend, wir kennen kein anderes Programm, das so rasant weiterentwickelt wird. So gibt es auch diesmal wieder etliche Neuerungen und Verbesserungen, trotz des kleinen Versionsnummernsprunges.
Darüber hinaus ist 2.93 eine LTS Version, das heißt es wird für diese Version mindestens 2 Jahre lang Sicherheitsupdates und kleinere Bugfixes geben falls nötig. Neue Funktionen wird es erst in Version 3.0 wieder geben, doch auch diese Version soll schon im Herbst dieses Jahres fertig sein. Wir sind schon gespannt, was die Blender Programmierer dann wieder alles aus dem Hut zaubern.
Wer sich ein umfangreiches Bild über die Neuerungen machen möchte, sollte daher die Release Notes auf der Blender Homepage (Englisch) oder den verlinkten Heise Online Artikel lesen.
Quelle: 'Blender 2.93 Release Information' auf Blender.org
Quelle: 'Freie 3D-Software Blender 2.93 mit Langzeit-Support' auf Heise Online
04.06.2021 – Gefährliche Sicherheitslücken in WebEx Videokonferenz-Software
Üblicherweise ist Cisco eher ein Kandidat für den Artikel für Administratoren, da aber Cisco’s 'WebEx' durchaus auch auf privat genutzten PCs installiert sein könnte, warnen wir hier nochmal separat und gezielt.
Sicherheitslücken in der WebEx Software ermöglichen es Angreifern Computer mit Viren zu infizieren. Wer WebEx auf seinem Computer installiert hat, sollte es also tunlichst deinstallieren. Funktionalität geht damit keine verloren, denn spätestens bei der nächsten WebEx-Sitzung wird die Software automatisch wieder (in aktualisierter Form) installiert.
Quelle: 'Schlupflöcher für Schadcode in Videokonferenz-Software Cisco Webex geschlossen' auf Heise Online
04.06.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss das Betriebssystem und auch diverse Anwendungen aktualisiert werden, um sicher zu bleiben. Details zu den Lücken sowie den benötigten Sicherheitsupdates entnehmen sie bitte dem verlinkten Heise Online Artikel.
Wie üblich an der Stelle auch nochmal der allgemeine Hinweis, dass ein NAS am besten grundsätzlich NICHT übers Internet erreichbar sein sollte. Außerdem sollten unbedingt Standard-Passwörter gegen eigene ersetzt und nicht benötigte User-Accounts gesperrt oder gelöscht werden.
Quelle: 'Wichtige Sicherheitsupdates für Netzwerkspeicher von Qnap' auf Heise Online
04.06.2021 – Kritische Sicherheitslücke in Plug-in 'Fancy Product Designer'
Das Plug-in 'Fancy Product Designer' für Wordpress und 'WooCommerce' enthält eine kritische Sicherheitslücke, die gegenwärtig für Angriffe ausgenützt wird. Da es noch keine abgesicherte Version des Plugins gibt, sollten alle Betreiber eines Webshops auf Basis der genannten Plattformen das Plugin deinstallieren, solange keine abgesicherte Version erscheinen ist.
Quelle: 'Kritische Zero-Day-Lücke in Plug-in Fancy Product Designer bedroht Online-Shops' auf Heise Online
04.06.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Schlupflöcher für Schadcode in Videokonferenz-Software Cisco Webex geschlossen' auf Heise Online
Quelle: 'Cisco: Mehrere Produkte von Schwachstelle in freier Programmbibliothek betroffen' auf Heise Online
Quelle: 'Sicherheitsupdate: BIG-IP Edge Client könnte Sprungbrett für Angreifer sein' auf Heise Online
Quelle: 'Siemens: Wichtige Updates für Simatic S7 beseitigen Remote-Angriffsmöglichkeit' auf Heise Online
Quelle: 'Sicherheitsupdate: Root-Lücke in Sonicwalls Network Security Manager' auf Heise Online
28.05.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 91.0.4472.77 behebt 32 Sicherheitslücken gegenüber der letzten 90er Version. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google sichert Chrome gegen NAT-Slipstreaming-Attacken ab' auf Heise Online
Vivaldi:
Wie bei Chromium-Hauptversions-Updates leider üblich, hat es das Vivaldi-Team nicht geschafft, binnen so kurzer Zeit eine auf Chromium 91 basierte Version fertigzustellen. Ein entsprechendes Update befindet sich aber in der Testphase, sodass zu hoffen bleibt, dass wir nächste Woche dann über Vivaldi 3.9 berichten werden können.
Microsoft Edge:
Das Microsoft-Edge-Team hat es wieder einmal flott geschafft die neue Chromium Version zu übernehmen. Edge Version 91.0.864.37 enthält alle aktuellen Sicherheitsupdates. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: Microsoft Update Guide (listet auch Edge-Sicherheitsupdates)
Opera bleibt unsicher:
Opera hängt wie üblich mehrere Wochen zurück was Sicherheitsupdates angeht, daher können wir unsere Empfehlung, von Opera auf Vivaldi zu wechseln, nur einmal mehr wiederholen.
28.05.2021 – Inkscape 1.1 ist da!
Nach all den Nachrichten über Sicherheitslücken und Risiken gibts auch mal wieder erfreulichere Nachrichten. Das Inkscape-Team hat Version 1.1 des freien Vector-Grafik-Programms veröffentlicht. Anwender des Programms dürfen sich auch etliche nützliche Neuerungen freuen, die teils im verlinkten Heise Online Artikel, bzw. noch deutlich umfangreicher auf der Inkscape-Website erläutert werden.
Quelle: 'Vektorgrafikprogramm: Inkscape 1.1 lässt sich visuell leichter anpassen' auf Heise Online
Quelle: 'Willkommen zu Inkscape 1.1!' auf Inkscape.org
Download: Inkscape v1.1.0 (Windows, 64Bit)
Download: Weitere Inkscape Downloads
28.05.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss das Betriebssystem und auch diverse Anwendungen aktualisiert werden, um sicher zu bleiben.
Die kritischste Lücke steckt in der App Hybrid Backup Sync (HBS). Diese sollte unbedingt auf die aktuelle Version upgedated werden. Aber auch in den Betriebssystemen selbst (QTS und QuTS hero) wurden Sicherheitslücken behoben. Auch hier sollte man rasch aktualisieren.
Wie üblich an der Stelle auch nochmal der allgemeine Hinweis, dass ein NAS am besten grundsätzlich NICHT übers Internet erreichbar sein sollte. Außerdem sollten unbedingt Standard-Passwörter gegen eigene ersetzt und nicht benötigte User-Accounts gesperrt oder gelöscht werden.
Weitere Details zu den Schwachstellen und darauf basierenden Angriffen finden sie im verlinkten Heise Online Artikel.
Quelle: 'Qnap sichert NAS spät gegen Qlocker-Attacken ab' auf Heise Online
28.05.2021 – Wichtige Updates für Trend Micro Produkte
Trend Micro hat gleich für mehrere Produkte Updates veröffentlicht. Anwender die Software oder Geräte des Herstellers verwenden, sollten die verlinkten Heise Online Artikel lesen und die jeweiligen Updates installieren.
Quelle: 'Trend Micro Maximum Security 2021: Fehler im Installer kann Angreifer einladen' auf Heise Online
Quelle: 'Trend Micro: Home Network Security Station gegen drei Schwachstellen abgesichert' auf Heise Online
28.05.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal: Update schließt Cross-Site-Scripting-Lücke in mehreren CMS-Versionen' auf Heise Online
28.05.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Kritische Schadcode-Lücke bedroht VMware vCenter Server' auf Heise Online
Quelle: 'Jetzt patchen! Kritische Lücke in HPE SIM geschlossen' auf Heise Online
Quelle: 'Schadcode-Attacken: Fehler im Update-Check vom Datenbanksystem IBM Db2' auf Heise Online
21.05.2021 – VLC Media Player: manuelles Sicherheitsupdate nötig
Leider haben wir letzte Woche einen Artikel über VLC Media Player übersehen. Das VideoLAN-Team liefert nun VLC Media Player 3.0.14 aus. Eigentlich schließt zwar Version 3.0.13 die Sicherheitslücken, da diese Version aber einen Fehler im Updater enthielt, wurde gleich Version 3.0.14 nachgeschoben.
Da der Fehler im Update-System bereits seit Version 3.0.12 vorhanden war, können alle Anwender die diese Version verwenden nicht per eingebautem Updater auf Version 3.0.14 aktualisieren, sondern müssen die Installationsdatei von VLC Media Player 3.0.14 selbst von der Homepage herunterladen und installieren.
Details zu den Sicherheitslücken die geschlossen wurden, verrät das VideoLAN Team nicht. Es wurde aber unter anderem die Sicherheitslücke bei der Verarbeitung von Playlists, über die wir am 17.04.2021 berichtet hatte, behoben. Zudem noch mindestens 3 weitere Schwachstellen. Anwender von VLC Media Player sollten also zügig (manuell) auf die neue Version updaten.
Download: VLC Media Player 3.0.14 für Windows (32Bit)
Download: VLC Media Player 3.0.14 für Windows (64Bit)
Quelle: 'Releasenotes für VLC Media Player 3.0.13' auf Videolan.org (Englisch)
Quelle: 'Security Bulletin VLC 3.0.13' auf VideoLAN.org
21.05.2021 – Sicherheitsupdate für Mozilla Thunderbird
Die noch relativ junge OpenPGP Implementierung in Thunderbird enthielt ein paar Schwachstellen die mit Version 78.10.2 behoben wurden. Mozilla selbst stuft den Schweregrad der Lücken als "Gering" ein, Fans von OpenPGP betrachten es aber als größere Lücke. Wer OpenPGP nutzt, sollte sicherstellen, dass die neue Version bereits installiert ist. Für alle anderen Thunderbird Anwender ist das eher ein optionales Update.
Quelle: 'Mail-Verschlüsselung: Thunderbird schlampte mit PGP-Schlüsseln' auf Heise Online
21.05.2021 – LibreOffice 7.0.6 und 7.1.3 veröffentlicht
Die Document Foundation hat neue Versionen des LibreOffice Paketes veröffentlicht. Version 7.1.3 richtet sich nach wie vor eher an Anwender die unbedingt die allerneusten Features haben wollen und Instabilitäten oder andere Kinderkrankheiten dafür in Kauf nehmen. Für alle anderen Anwender ist Version 7.0.6 die richtige.
Große Neuerungen sind in beiden Updates nicht zu finden, sie dienen primär der Fehlerbehebung. Dennoch ist es ratsam immer die letzte Version innerhalb eines Versionszweiges zu nutzen. Wer also z.B. LibreOffice 7.0.5 oder älter verwendet, sollte auf 7.0.6 updaten. Ein Muss ist es aber nicht, beide Updates enthalten keine Sicherheitskorrekturen. Nur für MacOS Anwender sollte ein Update auf 7.0.6 oder 7.1.3 Pflicht sein, denn hier wurde eine kleine Schwachstelle beim Handling von Links korrigiert.
Download: Aktuelle LibreOffice Versionen
Quelle: 'LibreOffice Sicherheitsmeldung CVE-2021-25632 (MacOS)' auf LibreOffice.org
21.05.2021 – Windows 10 21H1 bringt kaum Neuerungen
Windows 10 21H1 ist seit dieser Woche allgemein verfügbar, lässt sich also von der Microsoft-Homepage herunterladen und wird ersten Anwendern per Windows-Update angeboten. Sichtbare Veränderungen muss man allerdings mit der Lupe suchen. Der Fokus der Entwicklung lag eindeutig bei Verbesserungen der Stabilität und nicht bei neuen Funktionen. Das muss allerdings nicht unbedingt eine schlechte Nachricht sein, denn so kann man immerhin davon ausgehen, dass Upgrades auf die neue Version relativ problemlos über die Bühne gehen sollten.
Quelle: 'Windows 10: Update Mai 2021 (21H1) freigegeben' auf Heise Online
21.05.2021 – Samsung verlängert Support für Smartphones!
Als hätte Samsung sich unseren Artikel 'Wieder kritische Android Sicherheitslücken' vom 07.05.2021 zu Herzen genommen, gab der koreanische Konzern nun bekannt, dass man den Support für viele Smartphones auf 4 Jahre ausdehnen wolle. Das sind natürlich gute Nachrichten, dennoch gibt es auch hier wieder den einen oder anderen Pferdefuß.
Zum einen kommen nicht alle Samsung Smartphones in den Genuss des verlängerten Supports, zum anderen sagt es nichts darüber aus, wie rasch und wie häufig man Sicherheitsupdates bekommt. Der Mitteilung von Samsung ist zu entnehmen, dass Updates entweder monatlich oder quartalsweise erscheinen sollen. Darüber, wie schnell ein Update verfügbar sein soll, geht aus der Mitteilung nichts hervor. Es bleibt zu Befürchten, dass Google’s Pixel-Geräte weiterhin deutlich früher in den Genuss der Updates kommen werden als dies bei den restlichen Herstellern der Fall ist. Und selbst wenn es rasch kommen würde, was machen sicherheitsbewusste Anwender während der 2 Monate in denen sie womöglich kein Update erhalten, weil diese nur mehr alle 3 Monate ausgeliefert werden? Soll man das Smartphone dann nur 4 Monate im Jahr verwenden und die restliche Zeit über ausgeschaltet lassen?
Verstehen sie uns nicht falsch, der Schritt von Samsung geht absolut in die richtige Richtung, aber wir denken es sollte eben noch mehr sein ... viel mehr. Wir wünschen uns mindestens 5 Jahre lang monatliche Updates. Dass das Geld kostet ist klar. Geld, dass Samsung den Käufern bestehender Smarthones nicht angerechnet hat. Aber bei Geräten, die neu auf den Markt kommen würde sich eine neuerlich deutlich verlängerte Support-Phase durchaus machen lassen.
Quelle: 'Samsungs Galaxy-Geräte sollen vier Jahre Sicherheitsupdates erhalten' auf Heise Online
21.05.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Kritische Lücke in Fernwartungstool Dell iDRAC 9 gefährdet PCs' auf Heise Online
Quelle: 'Cisco bringt Security-Updates' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Cisco Prime Infrastructure übernehmen' auf Heise Online
Quelle: 'Sicherheitsupdate steht noch aus: Root-Lücke in Pulse Connect Secure' auf Heise Online
14.05.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 90.0.4430.212 behebt 19 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Stable Channel Update for Desktop' auf Googleblog.com (Englisch)
Vivaldi:
Vivaldi war mal wieder ausgesprochen schnell und hat das Update auf die neue Chromium-Version bereits wenige Stunden nach Google’s Ankündigung ausgeliefert. Die neue Version ist Vivaldi 3.8 Update 2, und zwar praktischerweise auf dem Desktop wie auch für Android.
Quelle: 'Minor update (2) for Vivaldi Desktop Browser 3.8' auf Vivaldi.com
Quelle: 'Minor update (2) for Vivaldi Android Browser 3.8' auf Vivaldi.com
Microsoft Edge:
Das Microsoft-Edge-Team wurde auch diese Woche wieder erheblich von dem kleinen Vivaldi-Team abgehängt. Erst 3 Tage nach Google hatte Microsoft die angepasste Edge Version parat.
Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: Microsoft Update Guide (listet auch Edge-Sicherheitsupdates)
Opera bleibt unsicher:
Opera hängt wie üblich mehrere Wochen zurück was Sicherheitsupdates angeht, daher können wir unsere Empfehlung, von Opera auf Vivaldi zu wechseln, nur einmal mehr wiederholen.
14.05.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & Acrobat
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2021.001.20155 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe unzählige (!) Sicherheitslücken geschlossen, sehr viele davon kritischer Art. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB21-29 (Englisch)
Adobe InDesign
Das Layout-Programm InDesign erhält diesen Monat ein Sicherheitsupdate, das drei kritische Sicherheitslücken schließt. Anwender von InDesign sollten sicherstellen, dass sie bereits auf Version 16.2.1 (InDesign 2021) aktualisiert haben oder dies rasch nachholen.
Info: Adobe Security Bulletin APSB21-22 (Englisch)
Adobe Illustrator
Im Vektorgrafik Programm Illustrator hat Adobe fünf kritische Sicherheitslücken behoben. Wie bei Adobe leider üblich, gibt es nur Updates für die 2021er Programme, alle älteren Ausgaben bleiben unsicher. Die abgesicherte Ausgabe trägt die Versionsnummer 25.2.3.
Info: Adobe Security Bulletin APSB21-24 (Englisch)
Adobe After Effects
In Adobe After Effects wurden drei Sicherheitslücken behoben die zur Infektion des Computers mit Viren genutzt werden können. Alle Anwender von After Effects sollten auf Version 18.2 updaten und alle älteren Fassungen deinstallieren.
Quelle: Adobe Security Bulletin APSB21-33 (Englisch)
Adobe Media Encoder
Im Adobe Media Encoder 15.2 wurde eine Sicherheitslücke behoben die als "wichtig" eingestuft wurde. Sie erlaubt die Ausweitung von Benutzerrechten. Auch hier sind wieder frühere Versionen betroffen, Adobe liefert aber nur für die 2021er Ausgabe ein Update.
Wer auf Premiere 2020 und Media Encoder angewiesen ist bekommt dadurch ein Problem, da Premiere und Media Encoder zusammenpassen müssen, wenn man Projekte aus Premiere direkt an ME übergeben möchte, die 2020er Version des Media Encoders aber deinstalliert werden sollte. Premiere 2021 ist die erste Premiere Version, die nicht mehr alle früheren Premiere-Projekte öffnen kann. Bleibt nur zu hoffen, dass zumindest Premiere 2020 selbst noch länger Updates erhält, damit man nicht so bald in Kompatibilitäts-Probleme gerät.
Quelle: Adobe Security Bulletin APSB21-32 (Englisch)
Adobe Animate
Das ehemals Flash genannte Web-Animationsprogramm enthielt zwei kritische und fünf mit Gefahrenpotential "hoch" eingestufte Sicherheitslücken. In Summe können die Lücken genutzt werden, um den Computer mit Viren zu infizieren. Das Problem wurde in Version 21.0.6 behoben.
Info: Adobe Security Bulletin APSB21-35 (Englisch)
Adobe Creative Cloud Desktop Application
Auch in der Creative Cloud Desktop App wurde eine kritische Schwachstelle behoben. Hier sollte unbedingt zügig auf Version 5.4.3 oder neuer aktualisiert werden. Das wird in der Regel beim Starten der Anwendung angeboten oder gleich automatisch durchgeführt.
Quelle: 'Adobe Security Bulletin APSB21-31' auf Adobe.com (Englisch)
Adobe Genuine Service
Adobe genuine Service ist keine eigenständige Software, sondern ein 'Hintergrund-Programm' das mit vielen Adobe-Programmen mitinstalliert wird. Hier wurde eine Sicherheitslücke behoben die Adobe als 'wichtig' einstuft. Das Update sollte sich selbst installieren, sofern der PC mit dem Internet verbunden ist. Im Security Bulletin ist beschrieben, wie man prüfen kann, ob das Update durchgeführt wurde. Grundsätzlich sollte hier aber für Endkunden kein Handlungsbedarf herrschen.
Quelle: Adobe Security Bulletin APSB21-27 (Englisch)
Adobe Experience Manager
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es 2 Lücken. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB21-15 (Englisch)
Adobe Magento
Im Webshop-System "Magento" wurde gleich eine ganze Reihe Sicherheitslücken behoben, deren Einstufung von "moderat" bis "wichtig" reicht. Wer Magento einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB21-30 (Englisch)
Adobe InCopy
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier sollte unbedingt auf Version 16.2.1 aktualisiert werden, um sicher zu sein.
Info: Adobe Security Bulletin APSB21-25 (Englisch)
Adobe Medium
Im 3D-Tool Adobe Medium wurde ebenfalls eine kritische Sicherheitslücke behoben. Anwender der Software sollten zügig auf Version 2.4.5.332 updaten. Details finden Sie im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB21-34 (Englisch)
14.05.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Microsoft-Patchday: Windows-Trojaner könnte sich wurmartig auf PCs verbreiten' auf Heise Online
Warnung vor Wurm-Gefahr!
Vor allem Windows-Systeme die auf Version 2004 oder 20H2 (2009) basieren sind besonders bedroht. Eine Schwachstelle im TCP-IP-Stack ermöglicht es diese Systeme über das Internet zu attackieren. Vor allem Server sind hier besonders gefährdet, da sie oft direkt aus dem Internet erreichbar sind. Anwender dieser Windows Versionen, bzw. Administratoren betroffener Server, sollten sichergehen, dass die Mai-Updates bereits installiert wurden oder dies schnellstens nachholen.
Support für Windows 10 1909 beendet!
Der Support für die Version 1909 von Windows 10 ist mit 11.05.2021 eingestellt. Das heißt, alle Anwender die diese Version noch verwenden, sollten bis spätestens zum nächsten 'Tag der Updates' auf Version 2004 oder 20H2 aktualisiert haben. Wenn Windows-Update die neue Ausgabe noch nicht von sich aus anbietet, muss man zum 'Windows 10 Media Creation Tool' greifen, um das Update durchzuführen.
Download: Windows 10 Media Creation Tool (Version 20H2)
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.03 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
14.05.2021 – FragAttack! Die nächste WLAN-Sicherheitslücke
Der Sicherheitsforscher Mathy Vanhoef erschüttert mal wieder die (EDV)Welt. Er hat bereits die WLAN-Sicherheitslücken "KRACK" und "Dragonblood" entdeckt, nun fand er neue Lücken, die die Grundfesten von WLAN einmal mehr erschüttern. Wir werden im folgenden nur ganz kurz auf die technischen Hintergründe eingehen, und uns dann ausführlicher der Frage widmen, für wen das ganze ein Risiko ist und wie man sich schützen kann.
Teilen + Zusammensetzen = Gefahr
Der Name FragAttack kommt daher, dass die Basis dieses Angriffs fragmentierte WLAN-Pakete sind. Vanhoef hat hier einmal mehr eine Designschwäche im WLAN-Standard entdeckt, die es Angreifern ermöglicht, durch geschickte Kombination von fragmentierten WLAN-Paketen senden zu können, ohne die Zugangsdaten für dieses WLAN zu kennen. Was FragAttack nicht kann, ist die Zugangsdaten für das WLAN zu knacken, oder Daten die im WLAN-versendet werden zu belauschen, das wäre dann noch erheblich schlimmer, aber auch so stellt FragAttack ein Risiko dar.
Was kann ein Angreifer damit bewirken?
Wie wir schon geschrieben haben, ermöglicht es FragAttack Netzwerkpakete an WLAN-fähige Geräte zu senden. Wären alle diese Geräte perfekt abgesichert, hätte FragAttack praktisch keine Bedeutung, aber wie die vielen Sicherheitsmeldungen jede Woche klar verdeutlichen, gibt es das Gerät mit "perfekter Sicherheit" eben nicht. Das Hauptproblem sind aber einmal mehr die Geräte, die nicht regelmäßig Sicherheitsupdates erhalten. Vanhoef demonstriert in einem Video zu seinem Sicherheitsbericht drei konkrete Fälle. Einmal schaltet er eine Lampe die an einer "Smarten" Steckdose hängt aus und ein. Hier nützt er die vielen Sicherheitslücken in billigen IoT-Geräten aus. In der zweiten Demo greift er einen Windows 7 PC an und erlangt in wenigen Sekunden die vollständige Kontrolle darüber. Auch hier ist das Problem wieder, dass Windows 7 keine Sicherheitsupdates mehr erhält und dementsprechend unsicher ist. Die dritte Demo zeigt, wie ein Surfer auf eine gefälschte Webseite umgelenkt wird. Diese Demo sehen wir allerdings ein wenig skeptisch, weil diese Art von Angriffen funktionieren grundsätzlich auch ohne FragAttack.
Bin ich betroffen?
Wie so oft kann hier keine klare Ja/Nein-Antwort gegeben werden, weil es von den verwendeten Gerätschaften abhängt. Stand heute muss man aber davon ausgehen, dass der Großteil aller Geräte mit WLAN betroffen sind. Da es sich eben um eine Design-Schwachstelle handelt, haben erst einmal grundsätzlich ALLE Geräte mit WLAN diese Sicherheitslücken. Die Lücken wurden aber unter Ausschluss der Öffentlichkeit schon vor 9 Monaten an diverse Hersteller gemeldet. So kann es auch sein, dass z.B. Intel-WLAN-Treiber schon seit einigen Wochen abgesichert sind. Oder das Microsoft diesen Monat bereits Updates gegen FragAttack ausliefert. Wie eigentlich immer, sind also nicht die Geräte das Problem, die regelmäßig Sicherheitsupdate erhalten. Sondern die, wo das nicht der Fall ist. Wann hat ihr Router das letzte Mal ein Sicherheitsupdate erhalten? Oder ihr Fernseher? Festplattenrekorder? NAS? Smartphone? Usw. die Liste läst sich ewig fortsetzen... Daher nochmals: Ja, die allermeisten Personen dürften ein oder mehrere verwundbare Geräte benutzen.
Macht mich FragAttack zum Ziel?
Das die Lücken auf den allermeisten (WLAN-fähigen) Geräten vorhanden sind ist geklärt, aber macht mich das automatisch zum Ziel? Das hängt letztlich stark davon ab, was es bei einem "Opfer" zu holen gibt. Für flächendeckende Angriffe eignet sich FragAttack natürlich nicht, weil der Angreifer dazu in der Nähe des Opfers sein muss. Das heißt die Lücken eignen sich nur für gezielte Angriffe auf Personen oder Firmen. Das Risiko für z.B einen Fließband-Arbeiter angegriffen zu werden ist also sicher erheblich geringer als das eines leitenden Bankangestellten. Allerdings ist auch nicht auszuschließen, dass in dicht besiedelten Geräten, wo oft ein Dutzend WLAN-Netze verfügbar sind, sich ein "Freizeit-Hacker" mit FragAttack beschäftigt und einfach blind die Umgebung abgrast. Man sollte FragAttack also durchaus ernst nehmen, aber auch nicht in Panik verfallen.
Wie kann man sich schützen?
Die Antwort darauf ist dieselbe wie so oft – Updates machen! Updates machen! Updates machen! Idealerweise schließt ein Update natürlich gleich die FragAttack Lücke, wie z.B. die Mai-Windows-Updates. Aber selbst ein Update das FragAttack nicht behebt aber andere Sicherheitslücken schießt, kann letztendlich zum Ziel führen, wenn das Gerät einfach nicht mehr verwundbar ist. Und wie so oft gilt auch, dass man bei Geräten, die schon länger kein Update erhalten haben, überlegen sollte, ob es nicht besser wäre dieses zu entsorgen oder zumindest vom Netzwerk zu trennen.
Wer hat bereits Updates gegen FragAttack und wer nicht?
Wie bereits erwähnt hat Microsoft seine unterstützten Betriebssysteme bereits abgesichert. Für Linux gibt es ebenfalls Updates, die einige Distributionen bereits ausliefern. Von Apple ist bislang nichts über FragAttack zu erfahren, sowohl MacOS als auch iOS dürften demnach noch verwundbar sein. Auch Google hat noch keine Infos veröffentlicht, daher ist unklar, ob Android bereits abgesichert wurde oder nicht. Samsung sagt, das seine Smartphones abgesichert sind, wenn sie auf Sicherheitsstand von April 2021 sind. Ob das aber aufgrund von Android-Updates oder Samsung eigener Updates so ist, ist unbekannt.
Bei Routern haben bereits einige Hersteller von exklusiveren Geräten Updates veröffentlicht, darunter z.B. AVM (bisher nur FritzBox 7590), Cisco, Linksys, Netgear und Zyxel. Auch die neueste DD-WRT-Fassung ist bereits abgesichert. Intel hat wie gesagt schon seit einigen Wochen abgesicherte Treiber für seine WLAN-Chips auf der Downloadseite und auch Notebook-Hersteller wie Dell und Lenovo bringen bereits erste Updates.
Hier dürfte sich in den nächsten Wochen noch etliches tun. Voraussetzung ist aber wie immer, dass ein Gerät generell noch im Support ist. Ein Gerät das schon seit Monaten oder gar Jahren keine Updates mehr erhalten hat, wird jetzt wegen FragAttack nicht plötzlich wieder ein Update erhalten.
Quelle: 'FragAttacks: Neue Angriffe gefährden nahezu alle WLAN-Geräte' auf Heise Online
Quelle: 'WLAN-Sicherheitslücken FragAttacks: Erste Updates' auf Heise Online
Quelle: FragAttack Website von Mathy Vanhoef (Englisch)
14.05.2021 – Umweltsünder BitCoin und Co
Dass das "schürfen" von Crypto-Währungen wie BitCoin viel Strom frisst ist schon länger kein Geheimnis. Aufgrund der miserablen Umwelt-Bilanz stoppt Tesla jetzt (vorerst) die Möglichkeit mit BitCoins zu zahlen. Allerdings muss man sich schon fragen, warum das Unternehmen dann erst im März dieses Jahres damit angefangen hat, BitCoin als Zahlungsmittel zu akzeptieren. Auch die mehreren Millionen Dollar Gewinn, die durch den Anstieg der virtuellen Währung zuletzt entstanden ist, nimmt der Elektro-Auto-Pioneer gerne mit, obwohl der durch BitCoin verursachte Klimagas-Ausstoß auch damals schon bekannt gewesen sein dürfte.
Ökonomen schätzen, dass der aktuelle Energieverbrauch der durch Schürfen und Handel mit BitCoins entsteht, aktuell mindestens so groß ist wie der Bedarf der ganzen Niederlande mit seinen 17 Millionen Einwohnern. Der Anteil an fossilen Treibstoffen, die zur Gewinnung dieses Stroms eingesetzt wird, steigt dabei dramatisch an. Schon jetzt schätzt man, dass 50% des Stroms aus fossilen Rohstoffen gewonnen wird. Vor allem die Kohle-Kraftwerke tragen dabei überdimensional zum Treibhausgas-Ausstoß bei. Das nein zu BitCoin von Tesla hat daher einen durchaus positiven Effekt auf die Entwicklung, denn der BitCoin-Kurs ist dadurch zumindest vorübergehend etwas eingebrochen, was das Schürfen der Währung etwas weniger attraktiv macht.
Geradezu furchterregend klingen Zahlen von Forschern aus Cambridge, wonach jede Transaktion mit BitCoin einen CO2-Ausstoß von 482kg nach sich zieht. Zum Vergleich: Das entspricht ungefähr einer Million Transaktionen bei Visa oder 71.000 Stunden YouTube schauen.
Bleibt nur zu hoffen, dass mehr Unternehmen BitCoin und andere Crypto-Währungen verbannen. Auch die Regierungen weltweit wären hier gefordert Maßnahmen gegen diese sinnlose Umweltverschmutzung zu setzen.
Quelle: 'Wegen schlechter Umweltbilanz: Tesla stoppt Zahlung mit Bitcoin' auf Heise Online
14.05.2021 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7' auf Heise Online
14.05.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'SAP-Patchday: Angreifer könnten Daten von SAP-Software leaken' auf Heise Online
Quelle: 'AnyConnect VPN: Cisco schließt sechs Monate alte Zero-Day-Lücke' auf Heise Online
07.05.2021 – Thunderbird 78.10.1 behebt Sicherheitslücke
Die Entwickler von Thunderbird haben die Version 78.10.1 veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe eine Sicherheitslücke, die eine moderate Bedrohung darstellt. Alle Thunderbird Anwender sollten das Update bei Gelegenheit einspielen, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 78.10.1, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.10.1, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.10.1 Release Notes' auf Mozilla.org (Englisch)
07.05.2021 – Firefox 88.0.1 bringt Sicherheitsupdates
Mozilla hat Firefox 88.0.1 veröffentlicht. Die neue Version behebt 2 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'kritisch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.10.1.
Und auch die Android-Version von Firefox enthielt die kritische Lücke. Hier sollte man unbedingt zügig auf Version 88.1.3 aktualisieren, um Sicher zu sein. Auf Android kann man das Update über den Playstore starten.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox und Thunderbird: Websitebesuch kann unter Android gefährlich werden' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
07.05.2021 – Sicherheitsupdates für Foxit Reader und PhantomPDF
Wer anstelle des Adobe Acrobat auf PhantomPDF aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 10.1.4 behebt einen Fehler der möglicherweise zur Infektion des Computers genutzt werden könnte. Anwender die noch Version 9 der Software oder gar noch älter einsetzen sollten unbedingt auf die aktuelle Version upgraden.
Auch in dem 3D-Plugin für die beiden Anwendungen wurden mehrere Lücken behoben. Hier sollte man ein Update auf Version 10.1.4.37623 (Beta) durchführen oder das Plugin entfernen, falls es nicht benötigt wird.
Quelle: 'Sicherheitsupdates: Schadcode-Lücken in Foxit Reader und PhantomPDF geschlossen' auf Heise Online
07.05.2021 – gefährliche Sicherheitslücke in Dell Computern!
Besitzer eines Computers von Dell oder Alienware sind aktuell einem erhöhten Risiko ausgesetzt. Um das Problem zu beheben ist die Installation einer Dell-Software erforderlich, die die unsichere Software vom System löscht. Außerdem sollten etwaige Update-Tools von Dell/Alienware aktualisiert werden. Details finden sie wie üblich im verlinkten Heise Online Artikel (deutsch) oder direkt in der Sicherheitsmeldung von Dell (englisch).
Quelle: 'Sicherheitsforscher warnen: Treiber gefährdet hunderte Millionen Dell-Computer' auf Heise Online
Quelle: 'Dell Sicherheitsmeldung DSA-2021-088' auf Dell.com (Englisch)
07.05.2021 – Wieder kritische Android Sicherheitslücken
Genau wie Microsoft liefert auch Google jeden Monat Sicherheitsupdates für seine Computersysteme aus. Während jedoch grundsätzlich jeder Windows-PC in den Genuss dieser Updates kommt, sieht das bei Android leider sehr viel schlechter aus. Wir vermuten, dass der überwiegende Großteil der tatsächlich genutzten Android-Geräte schon länger keine Sicherheitsupdates mehr erhalten haben und dementsprechend unsicher sind.
Im Mai hat Google mal wieder eine besonders gefährliche Sicherheitslücke in Android geschlossen. Abgesicherte Android Systeme zeigen in den Eigenschaften des Systems entweder den Sicherheitsstand 2021-05-01 oder 2021-05-05 an. Alle älteren Sicherheitsstände sind entsprechend unsicher und können von Hackern leicht übernommen werden.
Aufgrund des hohen Risikos der neuen Lücken sollten wirklich mal wieder alle Android Anwender auf Updates prüfen und diese installieren. Bei Geräten, die schon länger kein Update mehr erhalten haben, sollte man ernsthaft in Erwägung ziehen diese zu ersetzen.
Da häufige Geräte-Wechsel natürlich ein Öko-Alptraum sind, sollte man tunlichst auf Hersteller setzen, die eine möglichst lange Update-Versorgung versprechen. Die Geräte von Nokia und Google selbst sind (was Android Geräte betrifft) relativ vorbildlich, auch wenn wir uns eine noch deutlich längere Update-Unterstützung erhoffen würden. Außerdem sehen wir hier die EU in der Verantwortung dafür Sorge zu tragen, dass eine ökologisch sinnvolle Mindest-Update-Unterstützung für alle in der EU verkauften Geräte eingeführt wird. Das würde die Geräte zwar teurer machen, aber die Elektro-Müllberge dafür deutlich verkleinern.
Quelle: 'Android-Patchday: Kritische System-Lücke gibt Angreifern die volle Kontrolle' auf Heise Online
07.05.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco SD-WAN: Angreifer könnten Admin-Accounts erstellen' auf Heise Online
Quelle: 'Kritische Schadcode-Lücke in VMware vRealize Business for Cloud geschlossen' auf Heise Online
Quelle: 'Jetzt patchen! Kritische Root-Lücken bedrohen Exim-Mail-Server' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten auf BIG-IP Appliances zugreifen' auf Heise Online
Quelle: 'Jetzt patchen! Sicherheitsupdate für Pulse Connect Secure verfügbar' auf Heise Online
01.05.2021 – Schwere Sicherheitslücke in ABUS Alarmanlagen!
Wer eine ABUS Alarmanlage des Typs Secvest FUAA50000 im Einsatz hat, sollte DRINGEND ein Update auf Firmware-Version 3.01.21 durchführen, da in älteren Ausgaben schwere Sicherheitslücken gefunden wurden, die für Hacker/Einbrecher ein gefundenes Fressen sind. Laut Hersteller sollte man vor dem Update unbedingt die Konfiguration sichern, da diese beim Update verloren gehen könnte.
Details über Lücken und Updates entnehmen Sie bitte dem verlinkten Heise Online Artikel.
Quelle: 'c't deckt auf: Security-GAU bei Abus-Alarmanlagen' auf Heise Online
01.05.2021 – Für Administratoren: wichtige CISCO-Sicherheitsupdates
Administratoren die Geräte von Cisco im Einsatz haben stehen wieder Updates ins Haus. Details finden Sie im verlinkten Heise Online Artikel.
Quelle: 'Angreifer könnten Sicherheitslösungen von Cisco außer Gefecht setzen' auf Heise Online
29.04.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 90.0.4430.93 behebt 9 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitslücken in Chrome: Aktuelles Browser-Update bessert nach' auf Heise Online
Vivaldi:
Vivaldi hat diese Woche die Version 3.8 veröffentlicht und damit auch die oben erwähnten Sicherheitslücken behoben. Details zur neuen Vivaldi-Version finden sie im folgenden Artikel.
Microsoft Edge:
Das sonst so flotte Microsoft-Edge-Team hat dieses Sicherheitsupdate (bisher) verschlafen. Stand heute 17:00 werkelt in Edge immer noch die Chromium-Engine von letzter Woche. Bleibt zu hoffen, dass Microsoft hier bald nachbessert.
Quelle: Microsoft Update Guide (listet auch Edge-Sicherheitsupdates)
Opera bleibt unsicher:
Opera hat es diese Woche auch endlich auch Chromium-Version 90 geschafft. Wie aber nicht anders zu erwarten, liefert Opera nicht die aktuelle Chromium 90 Version aus, sondern die von letzter Woche, womit genau wie bei Edge auch hier Sicherheitslücken offen bleiben. Wie üblich wiederholen wir an dieser Stelle daher unsere Empfehlung, von Opera auf Vivaldi zu wechseln.
29.04.2021 – Vivaldi 3.8 – Der Cookie-Zerbrösler ist da!
Vivaldi hat die Version 3.8 des Desktop-Browsers veröffentlicht und beginnt den zugehörigen Blogpost mit folgender Überschrift: "Vivaldi zerbröselt Cookie-Dialoge und legt die Messlatte für Datenschutz und Design höher". Klingt lustig, ist es auch, also die Überschrift zumindest. So ganz funktioniert das Wortspiel freilich nur in Englisch, aber nun zum Inhalt.
Das wichtigste aus unserer Sicht sind natürlich wieder die Sicherheitsupdates die mit der neuen Version einhergehen. Vivaldi liefert hier den aktuellen Chromium 90.0.4430.93 Unterbau aus und ist damit sicherheitstechnisch absolut aktuell. Aber auch abseits der Sicherheitsupdates hat die neue Version einiges zu bieten, und zwar in den Bereichen Cookies, Panele, Lesezeichen und FLoC.
Der Keks-Zerbrösler!
Die neue Funktion die Vivaldi an erster Stelle nennt, dient dazu Cookie-Dialoge zu unterdrücken. Wer kennt sie nicht, fast jede Website bringt beim ersten Besuch einen Dialog, wo man Cookies entweder generell zustimmen muss, oder sich in endlose Menüs, wo man für jeden erdenklichen Zweck einzeln entscheiden kann welche Cookies man verwenden möchte und welche nicht, verzetteln kann. Auf die Sinnhaftigkeit dieser Website-Dialoge gehen wir hier nicht ein, das allein würde vermutlich Bücher füllen. Der Wunsch vieler Anwender diese Dialoge auszublenden ist aber real und wohl häufig genug, um die Funktion direkt in Vivaldi zu integrieren. Alles was man machen muss, um die meisten Cookie-Dialoge zu unterdrücken, ist in den Einstellungen von Vivaldi, im Bereich "Privatsphäre" den Tracking- und Werbeblocker zu aktivieren (falls noch nicht gemacht), dann den Button "Quellen Verwalten" anklicken, und dann im Bereich "Werbeblocker-Quellen" eine oder beide Listen zu aktivieren, die mit den Worten "Entferne Cookie Warnungen" beginnen.
Achtung Nebenwirkungen!
So schön es auch ist, dass mit ein paar Klicks auf vielen Webseiten keine Cookie-Nachfragen mehr kommen, man muss sich der Nebenwirkungen klar sein. Die Funktion kann nicht zaubern, sie unterdrückt wirklich nur die Abfrage nach Cookies. Sie setzt werden Cookies noch blockiert sie das Setzen von Cookies. Kommt man auf eine Seite, die ohne Cookies tatsächlich nicht oder nur eingeschränkt funktioniert, muss man den Cookie-Dialog-Blocker für diese Seite deaktivieren. Das geht grundsätzlich einfach, indem man in der Adresszeile auf das Sicherheits-Schild-Symbol klickt und in dem Menü dann entweder "nicht blockieren" oder "Tracker blockieren" auswählt. Werbung und Cookie-Dialog sind dann gemeinschaftlich für diese Website wieder erlaubt, ohne die Funktion grundsätzlich abschalten zu müssen. Möglicherweise wird das in zukünftigen Versionen auch noch geändert, um den Cookie-Dialog-Blocker unabhängig vom Werbeblocker aus/einschalten zu können, aber fürs Erste gehen beide Dinge mal Hand in Hand.
Panel Facelift!
Das Seitenpanel hat ein kleines Facelift bekommen. Hat man ein Hintergrundbild in Vivaldi definiert, scheint dieses nun etwas in den Panel-Bereich durch. Auch die Icons wurden modernisiert. Auch wenn es keine gravierenden Neuerungen sind, sie stechen doch als erstes positiv ins Auge, wenn man die neue Version das erste Mal startet.
Schneller Lesezeichen speichern!
Die Tastenkombination STRG + D speichert nun Lesezeichen, ohne zuvor ein Menü dafür anzuzeigen. Besagtes Menü wurde ebenfalls überarbeitet und öffnet sich wie gewohnt durch anklicken des Lesezeichen-Icons in der Adresszeile. Neu ist aber, dass man nun bereits dort alle Optionen für das Lesezeichen direkt festlegen kann.
No FLoC!
Schon in Version 3.7 hatte Vivaldi FLoC deaktiviert, die neue Version baut den Schutz vor Google’s Tracking-Mechanismus noch weiter aus. Vivaldi nutzt jede Gelegenheit, um klarzustellen, dass der Datenschutz seiner Anwender Vorrang vor allem anderen hat. Und das, obwohl natürlich auch Vivaldi letztendlich von Werbeeinnahmen lebt.
Quelle: 'Vivaldis Update kann Cookie-Dialoge und Banner sperren' auf Heise Online
Download: Aktuelle Vivaldi Version
29.04.2021 – PasswordState: Passwort-Manager gehackt!
Anwender, die den Passwort-Manager "PasswordState" verwenden, haben unter Umständen jetzt ein massives Problem! Für einige Tage war die Update-Funktion der Software unter Kontrolle von Hackern. Darüber wurden dann modifizierte Fassungen des PasswortManagers verteilt womit die Angreifer Zugriff auf die im PasswortManager gespeicherten Passwörter erlangen konnten.
Das ist natürlich so ziemlich das Worstcase-Szenario und mit unglaublich viel Arbeit verbunden, denn zuerst muss sichergestellt werden, dass das betroffene System wieder komplett sauber ist, danach müssen sämtliche Passwörter, die in dem Manager gespeichert waren, geändert werden. Wenn dort nur eine handvoll Passwörter gespeichert waren, geht das noch halbwegs flott. Sind dort aber hunderte Zugangsdaten gespeichert, ist das eine Beschäftigung für Tage oder auch mal ne ganze Woche. Und schnell sein sollte man natürlich auch noch, weil die Diebe mit den Passwörtern in der Zwischenzeit allerlei Schaden anrichten könnten.
Angesichts dieser Ereignisse zeigt sich einmal mehr die Weitsicht der Macher von "Password Safe". Diese wehren sich standhaft gegen jegliche Netzwerkfunktion in dem Passwort-Manager. Auch eine Update-Funktion gibt es dort ganz bewusst nicht. Denn nur ein Passwort-Manager der komplett offline arbeitet, ist ein wirklich vertrauenswürdiger Passwort-Manager.
Quelle: 'Passwordstate: Passwort-Manager von Click Studios gehackt' auf Heise Online
29.04.2021 – Neuer Radeon Grafiktreiber speckt ab
Als AMD vor einiger Zeit die Möglichkeit zur benutzerdefinierte Installation abgeschafft hat, dürfte das doch so einige Anwender weltweit ziemlich verärgert haben. Jetzt endlich hat AMD darauf reagiert, und bietet im neuesten Treiber endlich wieder die Option den Treiber ohne das Kontrollzentrum ("Radeon Settings") zu installieren. Genauer gesagt gibt es nun sogar drei Optionen: 'Nur Treiber', die bisherige Variante mit dem kompletten Kontrollcenter und eine neue Option, bei der ein etwas abgespecktes Kontrollcenter enthalten ist.
Ob die mittlere Option viele Anhänger finden wird ist fraglich, denn Gamer werden wohl eher zur Variante greifen die absolut alle Einstellmöglichkeiten bietet (egal ob notwendig oder nicht) und für Anwender die nicht spielen ist das Kontrollcenter in den meisten Fällen eigentlich unnötig, hier empfehlen wir also zur "Nur Treiber"-Variante. Ob es also drei Varianten sein müssen sei dahingestellt, über die "Nur Treiber" Variante freuen wir uns jedoch so sehr, dass es dafür sogar einen News-Artikel gibt, was wir normalerweise für neue Treiber nicht machen, solange sie keine Sicherheitslücken beheben.
Abgesehen von den neuen (alten) Optionen bei der Installation schaltet der neue Treiber auf Grafikkarten der RX 6000 Serie auch den Hardware-Decoder für AV1-Videos frei. Zudem gibt es die üblichen Fehlerkorrekturen und Verbesserungen für diverse Spiele.
Quelle: 'AMD Radeon: Grafikkartentreiber schaltet AV1-Decoder frei plus neue Funktionen' auf Heise Online
29.04.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Fernverwaltungssoftware Webmin unter bestimmten Voraussetzungen attackierbar' auf Heise Online
Quelle: 'Schadcode-Lücke in IBM Spectrum Protect gefährdet Server' auf Heise Online
23.04.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 90.0.4430.85 behebt 7 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser Chrome erneut im Visier von Angreifern' auf Heise Online
Vivaldi:
Für Vivaldi-Nutzer gibt es auch diese Woche wieder gute und schlechte Nachrichten. Diesmal die schlechte zuerst: Die für diese Woche erhoffte Version 3.8 wurde noch nicht freigegeben. Die aktuelle Beta-Version enthält aber bereits die abgesicherte Chromium-Version. Wer eine Beta-Version nicht scheut, kommt also auch bei Vivaldi bereits in den Genuss sämtlicher Sicherheitsupdates.
Die gute Nachricht ist aber, dass Vivaldi die eine Sicherheitslücke von der aktuell die größte Gefahr ausging (CVE-2021-21224), auch in der Ausgabe 3.7 behoben hat. Dazu wurde Version 3.7 Update 4 (3.7.2218.58) veröffentlicht. Die 3.8er Version wird dann hoffentlich nächste Woche in finaler Fassung vorliegen.
Quelle: 'Minor update (4) for Vivaldi Desktop Browser 3.7' auf Vivaldi.com
Microsoft Edge:
Microsoft hat die neue Edge Version 90.0.818.46 bereitgestellt, die die Änderung aus Chromium 90.0.4430.85 enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: Microsoft Update Guide (listet auch Edge-Sicherheitsupdates)
Opera bleibt unsicher:
Opera hat nun immerhin das Sicherheitsupdate vom Dienstag letzter Woche übernommen, hängt aber damit der Konkurrenz in puncto Sicherheit weiterhin wie üblich hinterher. Deshalb können wir unsere Empfehlung, zu Vivaldi zu wechseln, nur noch einmal wiederholen.
23.04.2021 – Thunderbird 78.10 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 78.10 veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe 9 Sicherheitslücken, die unterm Strich eine hohe Bedrohung ergeben. Alle Thunderbird Anwender sollten daher zügig updaten.
Abgesehen von den Sicherheitskorrekturen bringt die neue Version nur Fehlerbehebungen unter der Haube, aber keine "sichtbaren" Veränderungen.
Download: Thunderbird Version 78.10, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.10, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.10 Release Notes' auf Mozilla.org (Englisch)
23.04.2021 – Firefox 88 bringt Sicherheitsupdates
Mozilla hat Firefox 88 veröffentlicht. Die neue Version behebt 13 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.10.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox & Thunderbird: Sicherheitsrelevante Updates für Browser & E-Mail-Client' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
23.04.2021 – Sicherheitsupdates für Java und weitere Oracle Software
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 390 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:
Oracle hat Version 8.0 Update 291 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 10 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14 und 15 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.11 oder 16.0.1 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
VirtualBox:
In dem PC-Emulator VirtualBox wurden 20 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich eine der Lücken übers Internet ausnützen, zudem sind die Gefahreneinstufungen relativ hoch. Wer VirtualBox auf seinem PC nutzt, sollte also unbedingt auf die neue Version 6.1.20 updaten.
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
MySQL:
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Weitere Oracle Programme:
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - April 2021' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - April 2021' auf Oracle.com (Englisch)
Quelle: 'Oracle veröffentlicht 390 Sicherheitsupdates für MySQL, Java & Co' auf Heise Online
23.04.2021 – Und wieder Sicherheitsprobleme mit Nvidia Grafikkarten
Nvidia hat wieder einmal Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. Insgesamt wurden 5 Lücken behoben die in Summe ein hohes Gefahrenpotential haben. Besitzer einer GeForce Grafikkarte sollten unbedingt auf Version 466.11 des (Game Ready) Treibers aktualisieren. Für Besitzer einer Grafikkarte mit Studio-Treiber-Anspruch steht Version 462.31 bereit.
Treiber-Version 466.11 unterstützt Grafikkarten bis einschließlich der GeForce 600 Serie. Wer eine noch ältere Grafikkarte besetzt hat Pech und erhält kein Sicherheitsupdate mehr. Dann bleibt nur noch der Tausch der Grafikkarte (bei PCs) bzw. des ganzen Notebooks.
Besitzer der teureren Quadro, NVS oder Tesla-Grafikkarten entnehmen die Versionsnummern der abgesicherten Treiber bitte dem Nvidia Sicherheitsbulletin.
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - April 2021' auf nvidia.custhelp.com
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Quelle: 'Sicherheitsupdates: GPU-Treiber von Nvidia macht PCs vielfältig angreifbar' auf Heise Online
23.04.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss das Betriebssystem und auch diverse Anwendungen aktualisiert werden, um sicher zu bleiben.
Die kritischste Lücke steckt in den Betriebssystemen QTS und QuTS hero. Sie erlaubt die Ausführung fremder Befehle und damit die komplette Übernahme des NAS. Qnap NAS-Geräte sollten daher umgehend aktualisiert werden. Ist ein Gerät zu alt um noch aktuelle Updates zu erhalten, sollte man es aus dem Verkehr ziehen oder ZUMINDEST den Zugang zu dem Gerät aus dem Internet deaktivieren.
Ebenfalls kritisch ist die Lücke in der App 'HBS 3 Hybrid Backup Sync'. Auch diese Lücke ermöglicht Angreifern ungehinderten Zugang zum NAS! Ein Update auf die aktuellste Version beseitigt das Risiko.
Weitere Lücken stecken in den Apps 'Multimedia Console', 'Media Streaming' und 'File Station'. Für alle drei Apps sollten im Store des NAS Updates bereitstehen, die die Lücken schließen.
Zu schlechter Letzt gibt es noch eine Sicherheitslücke im 'Twonky Server'. Die Lücke ermöglicht es Angreifern Passwörter auszuspähen und klingt damit ebenfalls kritisch, auch wenn Qnap sie 'nur' als hohes Risiko einstuft. Das Problem hier ist jedoch, dass noch kein Update verfügbar ist, dass den Fehler behebt. Wer auf Nummer sicher gehen möchte, muss die App also vorübergehend deinstallieren, oder den Betrieb des NAS solange aussetzen, bis das Update verfügbar ist.
Quelle: 'Kritische Schadcode-Lücken in NAS-Systemen von Qnap geschlossen' auf Heise Online
Quelle: 'Sicherheitsupdates: Statische Zugangsdaten gefährden Qnap NAS' auf Heise Online
23.04.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal-Entwickler schließen kritische Lücke im CMS' auf Heise Online
23.04.2021 – Neue Inkscape Version
Nach all den Nachrichten über Sicherheitslücken und Risiken gibts auch mal wieder erfreulichere Nachrichten. Das Inkscape-Team hat Version 1.0.2 des freien Vector-Grafik-Programms veröffentlicht. Große Neuerungen darf man nicht erwarten, der Fokus lag primär auf Stabilitäts-Verbesserungen. Jedoch soll die macOS-Version schneller geworden sein und darüber hinaus gibt es zwei neue Einstellungsmöglichkeiten betreffend Zoom und Leinwand-Rotation.
Wem das zu wenig Neuerungen sind, der kann auch die Version 1.1 Alpha testen. Hier gibt es viele spannende Neuerungen aber sicher auch ebenso viele Fehler, die darauf warten an die Entwickler gemeldet zu werden.
Download: Inkscape v1.0.2 (Windows, 64Bit)
Download: Weitere Inkscape Downloads
23.04.2021 – Auch Microsoft und Wordpress blockieren Googles FLoC!
Die Chance für Google, dass deren Tracking-System "FLoC" sich durchsetzen wird sinken immer weiter. Nachdem wir schon letzte Woche von zahlreichen Firmen berichtet hatten, die das System blockieren wollen, stimmten diese Woche auch Microsoft und Wordpress in den Chor der FloC-Gegner ein.
Microsoft wird FLoC demnach nicht in den Edge-Browser übernehmen. Und Wordpress hat angekündigt, FLoC so gut es geht zu blockieren. Gerade die Ankündigung von Wordpress dürfte dabei für Google das größere Problem sein, denn der Großteil der Blogs im Internet laufen auf Wordpress, dessen Entwickler haben also durchaus Relevanz für Google.
Bleibt zu hoffen, dass Google den Vorstoß bald als gescheitert eingesteht und Werbeindustrie auf der einen und Datenschützer sowie Hersteller auf der anderen Seite bald einen Datenschutz-freundlicheren Kompromiss finden. Andernfalls ist zu befürchten, dass jeder Werbevermarkter mit eigenen (Spionage)'Lösungen' daherkommt und die Situation dadurch noch schlimmer wird.
Quelle: 'Alle gegen Google: Auch Firefox, Edge, Safari und Wordpress blockieren FLoC' auf Heise Online
23.04.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Wichtiges Sicherheitsupdate für VMware NSX-T erschienen' auf Heise Online
Quelle: 'Kritische 0-Day-Lücke in Pulse Secure VPN aktiv ausgenutzt' auf Heise Online
Quelle: 'Jetzt patchen! Attacken auf E-Mail Security Appliances von SonicWall' auf Heise Online
Quelle: 'Kritische Schadcode-Lücke bedroht Netzwerkgeräte mit Juniper OS' auf Heise Online
17.04.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Damit die Sache ein wenig unübersichtlicher wird, hat der Konzern allerdings gleich zwei Updates an zwei Tagen veröffentlicht. Am Dienstag kam Version 89.0.4389.128, die zwei Lücken mit hohem Gefahrenpotential schloss. Nur einen Tag später veröffentlichte Google dann Version 90.0.4430.72. Darin wurden dann gleich 37 Lücken geschlossen, die in Summe ebenfalls zu einer hohen Bedrohung führen. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdates: Mehrere gefährliche Lücken in Chrome gestopft' auf Heise Online
Quelle: 'Browser-Update: Aktualisierung für Chrome schützt vor möglichen Angriffen' auf Heise Online
Vivaldi:
Für Vivaldi-Nutzer gibt es gute und schlechte Nachrichten. Die Gute ist, dass das Chromium 89.0.4389.128 Update in der neuen Vivaldi Version 3.7 Update 3 eingebaut und damit verfügbar ist. Die Schlechte ist, dass wie üblich das "große" Update auf Chromium 90 ein paar Tage länger dauern wird. Wir vermuten, dass es im Laufe der kommenden Woche so weit sein wird, die Beta-Tests der neuen Ausgabe laufen schon.
Dass Google aber nur einen Tag vor einem großen Update auch den 89er Zweig nochmal absichert, könnte bedeuten, dass diese Version gar nicht so unsicher ist, wie man angesichts der Zahlen des 90er Updates denken mag. Schließlich ergibt es wenig Sinn ein Update zu veröffentlichen, dass nur 2 von 37 bekannten Lücken schließt. Gut möglich also, dass von den Lücken die in der 90er Ausgabe behoben wurde gar nicht alle in der letzten 89er Version vorhanden sind. Letztendlich natürlich alles Spekulation, wirklich aufatmen wird man erst können, wenn Vivaldi 3.8 verfügbar ist.
Quelle: 'Minor update (3) for Vivaldi Desktop Browser 3.7' auf Vivaldi.com
Microsoft Edge:
Microsoft hat die neue Edge Version 90.0.818.39 bereitgestellt, die die Änderung aus Chromium 90.0.4430.72 enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: Microsoft Update Guide (listet auch Edge-Sicherheitsupdates)
Opera bleibt unsicher:
Opera ist gerade einmal bei dem Update von Anfang April angekommen, hängt also wie üblich deutlich zurück in puncto Sicherheit. Deshalb können wir unsere Empfehlung, zu Vivaldi zu wechseln, nur noch einmal wiederholen.
17.04.2021 – VLC, Telegram und Co: Das Dilemma mit den Links
Links bzw. Verknüpfungen sind eine schöne Sache. Ein Kick genügt, und man spart sich die Eingabe oft langer Adressen auf diverse Ziele. Leider können Links natürlich auch von Angreifern genutzt werden, um Zugriff auf die Computer ihrer Opfer zu erhalten. Damit diese Komfort-Funktion also möglichst nicht für böse Zwecke ausgenützt wird, müssen Anwendung und Betriebssystem gut aufeinander abgestimmt sein. Genau das haben Sicherheitsforscher mit einigen aktuellen Anwendungen und Betriebssystemen mal getestet, und dabei ein paar Kandidaten entdeckt, wo die Hausaufgaben noch nicht komplett gemacht wurden.
Im beliebten MediaPlayer VLC könnten Angreifer z.B. durch manipulierte Playlisten einen Angriff auslösen. Bis zur Veröffentlichung von VLC 3.0.13, in der diese Lücken behoben sein sollen, sollten VLC Anwender daher besonders vorsichtig im Umgang mit Playlisten-Dateien sein und möglichst nur selbst erzeugte Dateien nutzen.
Gerade Messenger sind natürlich ein sehr beliebtes Mittel um Links zu teilen. Hier mal das Katzenvideo XY, dort ein anderes angebliches Highlight des Tages. In der Vielzahl an Links einen bösartigen Verweis zu platzieren scheint also besonders erfolgversprechend. Hier haben die Forscher z.B bei Telegram eine Schwachstelle gefunden, die mittlerweile aber bereits behoben wurde.
Eine komplette Übersicht über alle anfälligen Programm/Betriebssystem-Kombinationen finden sie im Heise Online Artikel bzw. im Original-Report der Sicherheitsforscher.
Quelle: 'LibreOffice, VLC & Co.: Wer auf Links klickt, könnte Schadcode serviert bekommen' auf Heise Online
Quelle: 'Allow arbitrary URLs, expect arbitrary code execution' auf positive.security (Englisch)
17.04.2021 – LibreOffice 7.0.5 wird zum Sicherheitsupdate!
Bei der letzten Meldung über LibreOffice 7.0.5 haben wir noch geschrieben, dass alle die Anwender, die zufrieden sind mit der 6er Version von LibreOffice, noch nicht unbedingt updaten müssen. Das hat sich nun geändert. Auch LibreOffice war von dem Link-Problem (siehe obigen Artikel) betroffen und hat auch umgehend reagiert. In Version 7.0.5 und 7.1.2 wurde das Problem behoben.
Damit empfehlen wir jetzt allen Anwendern auf LibreOffice 7.0.5 upzudaten. Die Version 7.1.2 ist nur für Anwender gedacht, die unbedingt die neuesten Funktionen haben wollen und dafür Kinderkrankheiten in Kauf nehmen.
Download: Aktuelle LibreOffice Versionen
Quelle: 'LibreOffice Security Advisory CVE-2021-25631' auf libreoffice.org (Englisch)
17.04.2021 – Gefährliche Exchange Lücken fordern Administratoren
Nachdem bereits im März hundertausende Exchange-Server Hackern zum Opfer gefallen sind, weil die Administratoren der Server nicht schnell genug Updates installiert hatten, könnte sich das Spiel im April wiederholen. Auch diesen Monat hat Microsoft wieder Sicherheitsupdates für gefährliche Exchange Lücken veröffentlicht und wieder ist zu erwarten, dass viele Server noch nicht aktualisiert wurden.
Microsoft macht es den Administratoren auch nicht unbedingt leicht, denn um die Sicherheitsupdates zu erhalten, muss auch ein aktuelles CU (Cumulative Update) des Exchange-Servers installiert sein. Exchange 2019 erfordert mindestens CU8, die 2016er Version mindestens CU19 und bei Exchange 2013 muss es das allerneueste CU sein, also Ausgabe 23. Erst dann erhält man über Windows Update das eigentliche Sicherheitsupdate für April.
Quelle: 'Jetzt updaten: BSI warnt erneut vor kritischen Exchange Server-Lücken' auf Heise Online
17.04.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Photoshop
In Photoshop 2020 und 2021 wurden zwei kritische Schwachstellen behoben. Die 2021er Jahresausgabe (bzw. Version 22.x sollte unbedingt rasch auf Version 22.3.1 aktualisiert werden, Version 21 auf Version 21.2.7. Sämtliche (!!) Photoshop Versionen vor 21.2.7 (2020) gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-28' auf Adobe.com (Englisch)
Adobe Bridge
In Adobe Bridge wurden stolze sechs Sicherheitslücken behoben, vier davon tragen die Einstufung "kritisch". Das Update auf die abgesicherte Version 11.0.2 sollte daher zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB21-23' auf Adobe.com (Englisch)
Adobe Digital Editions
In der macOS-Ausgabe von Adobes E-Book-Reader Software 'Digital Editions' wurde ebenfalls eine kritische Lücke behoben. Anwender der Software sollten zügig auf Version 4.5.11.187606 updaten bzw. sich überlegen, ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren.
Quelle: Adobe Digital Editions Security Bulletin APSB21-26 (Englisch)
Adobe RoboHelp
In Adobe RoboHelp wurde eine als "wichtig" eingestufte Sicherheitslücke behoben. Anwender, die die Software installiert haben, sollten auf Version RH2020.0.4 aktualisieren.
Quelle: 'Adobe Security Bulletin APSB21-20' auf Adobe.com (Englisch)
17.04.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Microsoft-Patchday: Updates entfernen aktiv genutzten Angriffsweg aus Windows' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.03 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
17.04.2021 – Thunderbird 78.9.1 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 78.9.1 veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe 3 Sicherheitslücken, die unterm Strich eine moderate Bedrohung ergeben. Da alle Lücken die OpenPGP-Integration betreffen, ist das Update nur für Anwender relevant die OpenPGP in Thunderbird nutzen.
Download: Thunderbird Version 78.9.1, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.9.1, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.9.1 Release Notes' auf Mozilla.org (Englisch)
17.04.2021 – DuckDuckGo: Verwendet Google Chrome nicht!
Drittanbieter-Cookie! Der durchschnittliche Anwender wird davon kaum noch etwas gehört haben, in den Reihen von Browser-Herstellern, Datenschützern und auf der anderen Seite der Werbeindustrie, ist das aber gerade ein Riesen-Thema.
Drittanbieter-Cookies dienen praktisch ausschließlich dem Tracking von Anwendern, um diesen möglichst zielgerichtete Werbung präsentieren zu können. Verständlicherweise ist das Datenschützern ein Dorn im Auge und auch mit der DSGVO sind diese Cookies nur schwer zu vereinbaren.
Das Ende der Drittanbieter-Cookies ist daher bereits beschlossene Sache. Manche Browser-Hersteller haben das bereits umgesetzt (Mozilla und Apple) aber Google wehrt sich dagegen mit Händen und Füßen. Der Hintergrund ist klar, Google ist nicht nur der Hersteller des meistgenutzten Browsers (Google Chrome), sondern auch der weltgrößte Werbeplatzvermarkter. Das heißt die Abschaffung dieser Cookies kostet dem Unternehmen viel Geld, weil die Einnahmen aus dem Werbegeschäft zurückgehen würden.
Daher hat Google sich etwas Neues einfallen lassen: FLoC. Das Problem daran ist, es ist im Endeffekt alter Wein in neuen Schläuchen, denn FLoC dient letztendlich wieder demselben Zweck wie die Drittanbieter-Cookies, nämlich dem eindeutigen Tracking der Benutzer. Kein Wunder also, dass Datenschützer gegen FLoC Sturm laufen. Die 'Electronic Frontier Foundation’ hält FLoC z.B. für "eine furchtbare Idee". Vivaldi hat sofort angekündigt, FLoC nicht in seinen Browsern zu unterstützen und offenbar gilt dies für fast alle Browser-Hersteller, selbst die, die Google’s Chromium als technische Basis nutzen.
Der Datenschutz-freundliche Suchmaschinen-Betreiber 'DuckDuckGo' hat einerseits ein Plugin für Chrome angekündigt, dass FLoC versucht "unschädlich" zu machen, andererseits rät die Firma ganz klar von der Nutzung von Google Chrome ab (Zitat: Don't use Chrome!).
Wir raten bereits von Anfang an von der Nutzung von Google Chrome (und generell jeglicher Google Dienste) ab. Eigentlich sollte jedem Nutzer klar sein, dass es nicht gut sein kann, wenn ein einziger Hersteller beinahe die komplette Kontrolle über das Internet hat. Und Google Chrome hat primär den Zweck möglichst viele Daten über seine Benutzer zu sammeln und diese möglichst innerhalb des Google-Ökosystems zu halten. Um so mehr und enger Anwender an Google gebunden sind, um so mehr Einnahmen kann der Konzern mit deren Daten generieren.
Quelle: 'DuckDuckGo blockiert Googles FLoC per Erweiterung' auf Heise Online
Quelle: 'Privacy and Ads in Chrome are about to become flocing complicated' auf theverge.com (Englisch)
17.04.2021 – Schwere Sicherheitslücke in Counter-Strike GO
Über Sicherheitslücken in Spielen wird verhältnismäßig wenig berichtet. Dass Spiele grundsätzlich sicherer programmiert werden als Anwendungsprogramme ist allerdings eher unwahrscheinlich, vielmehr dürften Computer-Spiele nicht unbedingt im Fokus von Sicherheitsforschern stehen.
In der 'Source Engine' des Herstellers 'Valve' wurde dennoch ein schwerwiegender Sicherheitsfehler gefunden. Die Lücke erlaubt es Cyberganoven Spiele auf Basis dieser Engine anzugreifen und den Computer mit Viren zu infizieren. Der Angriff basiert auf dem Einladungssystem der Engine, dass in vielen Spielen genutzt wird, um andere Spieler zu einem Spiel einzuladen.
Valve hat den Fehler scheinbar in den meisten Spielen bereits behoben, aber ausgerechnet in einem der populärsten Titel – Counter-Strike GO – nicht. Vermutlich, weil das Spiel an sich schon sehr alt ist und regulär keine Updates mehr erhalten dürfte.
Valve selbst gab bisher keinerlei Statement zu der Lücke ab, daher ist unklar, ob der Fehler in besagtem Spiel noch irgendwann behoben wird. Solange der Fehler besteht, sollten Spieler Einladungen in Counter-Strike GO auf keinen Fall annehmen.
Quelle: '"Counter-Strike GO": Code kann über Steam-Einladungslink eingeschleust werden' auf Heise Online
17.04.2021 – Dauerthema IoT (Un)Sicherheit
Regelmäßige Leser unseres Newsletters bzw. Homepage sind ja schon öfter über Artikel um Thema IoT-(Un)Sicherheit gestolpert. Für die denen IoT noch nichts sagt, eine kurze Einführung.
IoT steht für "Internet of Things". Vereinfacht gesagt, bezeichnet man damit alle Gerätschaften, die mit dem Internet in Verbindung stehen. Das würde theoretisch auch konventionelle Laptop und Desktop-Computer mit einschließen, allerdings würden wir diese ausklammern, weil hier in der Regel sehr gut dokumentiert ist, wie lange diese Systeme mit Sicherheitsupdates versorgt werden, und innerhalb dieses Zeitraums Sicherheitsupdates regelmäßig angeboten werden. Es geht also eher um die "unscheinbaren Boxen" mit Internetanschluss, also z.B. Router, Smart-TVs, NAS, Smart-Uhren usw. Auch eine Strom-Steckerleiste kann z.B. ein IoT Gerät sein, da ja heutzutage sehr viele Gerätschaften des täglichen Lebens vernetzt werden, bis hin zur Waschmaschine und dem Kühlschrank. Alle diese Geräte (und viele mehr) können heutzutage IoT Geräte sein.
Anlass für diesen Artikel ist ein Bericht von heise online, über Schwachstellen die einmal mehr in Software gefunden wurde, die üblicherweise (auch) in IoT Geräten zum Einsatz kommt. Genauer gehen wir hier auf den heise Bericht nicht ein, er ist am Ende des Artikels verlinkt für alle die es interessiert.
Vielmehr ist für uns dieser Artikel einmal mehr der Anlas, auf die zahlreichen gefahren dieser IoT Geräte hinzuweisen. Denn klar ist, dass alle diese Geräte, die selten bis gar nie Updates erhalten, tickende Zeitbomben sind. Vor allem, wenn man sich keine Gedanken macht wie und wo man das Gerät einsetzt. Auf alle möglichen gefahren einzugehen ist praktisch unmöglich, zu vielfältig sind die Angriffsmöglichkeiten und die Folgen, und es kommen laufend neue dazu.
Unsere Empfehlung ist daher grundsätzlich, sich schon vor dem Kauf eines Gerätes Gedanken über eine mögliche Internet-Anbindung zu machen. Brauche ich diese Netzwerkanbindung oder nicht? Wenn nicht, am besten Geräte kaufen, die diese Möglichkeit von vornherein gar nicht anbieten. So setzt man sich selbst nicht später mal der Versuchung aus, doch ein Netzwerkkabel anzuschließen oder das Gerät mit dem WLAN zu verbinden. Weiß man vorab schon, dass man den Anschluss definitiv nutzen möchte oder es zumindest nicht auszuschließen ist, sollte man ein Gerät auswählen, das vom Hersteller möglichst lange unterstützt wird. Hat ein Gerät längere Zeit kein Update mehr erhalten, muss es zwar nicht zwangsläufig unsicher sein, die Wahrscheinlichkeit steigt aber mit jedem Monat das vergeht.
Wurde ein Gerät längere Zeit mit Internetanschluss verwendet, nun aber nicht mehr, weil es z.B. aufgrund veralteter Apps nicht mehr sinnvoll genutzt werden kann, sollte man den Netzwerkanschluss kappen. Z.B. ein Smart-TV: Ist die App-Anbindung veraltet und nutzlos, sollte man die Netzwerkverbindung kappen, um sich keinem unnötigen Risiko auszusetzen. Dann können externe Zuspieler (diverse Sticks oder Settop-Boxen) die Internetanbindung übernehmen, und der Fernseher kann weiterverwendet werden. Das ist auf jeden Fall wirtschaftlicher, als alle paar Jahre den Fernseher auszutauschen.
Wie schon gesagt, es dreht sich alles um Updates. Geräte die vom Hersteller möglichst lange damit versorgt werden sind NoName-Produkten, die selten oder nie Updates bekommen, immer vorzuziehen. Und wenn man von vornherein auf Netzwerkanschlüsse verzichten kann ist es noch besser. Auf jeden Fall sollte man sich vor dem Kauf solcher Geräte Gedanken darüber machen. Und auch regelmäßig im eigenen Haushalt oder Firma nachsehen, was denn da aktuell so am Netz hängt und ob das wirklich nötig ist. Das schlimmste, was man machen kann, ist, ein Gerät mit dem Netzwerk zu verbinden, nur weil man es kann.
Quelle: 'Name:Wreck – Forscher entdecken weitere Schwachstellen in TCP/IP-Stacks' auf Heise Online
17.04.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Junos OS abgesichert: Angreifer könnten Firewalls umgehen' auf Heise Online
Quelle: 'Patchday: Fixes für SAP Commerce beseitigen Gefahr durch Remote Code Execution' auf Heise Online
09.04.2021 – Das nächste Facebook-Datenleck!
Wenn man sich die Geschichte der Facebook-Datenlecks anschaut, kann man zwangsläufig nur ungläubig den Kopf schütteln. Hier mal ein paar Millionen Kundendaten gestohlen, dort ein paar Millionen, hier mal eben eine halbe Milliarde Passwörter wegen unzureichendem Schutz gestohlen usw... Hätte Facebook nicht ein derartiges Defacto-Monopol, wäre die Firma wohl längst pleite aufgrund von Strafen.
Und nun das neueste Datenleck: Nicht mal eben ein paar Millionen, nein, mehr als eine halbe Milliarde Datensätze sind dem Unternehmen mal wieder "abhanden gekommen". Will Facebook die betroffenen Nutzer über ihre gestohlenen Datensätze informieren? Nein, die können ja eh daran nichts ändern! Was soll man dazu noch sagen, es fehlen einfach die Worte dafür.
Massive Konsequenzen für betroffen Anwender:
Die Folgen des Datendiebstahls sind dabei für die betroffenen Anwender ziemlich drastisch. Schon seit Tagen werden diese von SMSen bombardiert, die einen dazu verleiten sollen bösartige Websites aufzurufen. Klickt man die Links in den SMSen an, wird versucht das Smartphone mit Viren zu infizieren.
Wie kann man sich schützen:
Das wichtigste ist natürlich am besten gar keine Links in SMSen anzuklicken und diese SMSe am besten umgehend zu löschen (sofern man keine Anzeige erstatten möchte). Auch eine Sperrung von Mehrwertdiensten beim Telefonanbieter ist zumindest in diesem Fall empfehlenswert.
Quelle: 'Daten hunderter Millionen Facebook-Nutzer erneut im Netz entdeckt' auf Heise Online
Quelle: 'SMS-Spam nach Datenleck: Facebook will Betroffene nicht informieren' auf Heise Online
Quelle: Prüfseite ob ihr Facebook-Account betroffen ist
09.04.2021 – Gigaset lieferte Viren per Software-Update aus!
Viele ältere Smartphones des Herstellers Gigaset wurden seit letzte Freitag mit Viren infiziert, die allerlei unerwünschte Dinge auf den Geräten ausführten. Die Schädlinge kamen über einen gekaperten Update-Server des Unternehmens auf die Geräte. Mittlerweile sollen die Probleme unter Kontrolle sein. Im verlinkten Heise Online Artikel können betroffene Anwender mehr über die Probleme, sowie die Lösungsmöglichkeiten erfahren.
Quelle: 'Gigaset veröffentlicht Reparaturanleitung für befallene Android-Geräte' auf Heise Online
09.04.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopft ein Update für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss das Betriebssystem der NAS-Geräte aktualisiert werden, um sicher zu bleiben.
Betroffen sind hier überwiegend Geräte die eigentlich gar keinen Support des Herstellers mehr erhalten, aber aufgrund der ernsten Lage dennoch ein Sicherheitsupdate erhalten. Ein derart kulantes Vorgehen muss man dem Hersteller hoch anrechnen, dennoch sollte man Geräte, deren Support bereits abgelaufen ist, aus dem verkehr ziehen und sich nicht darauf verlassen, dass weitere ungeplante Sicherheitsupdates veröffentlicht werden. Details im verlinkten Heise Online Artikel.
Quelle: 'QNAP: Firmware-Updates für ältere NAS-Modelle schließen Remote-Schwachstellen' auf Heise Online
09.04.2021 – Router: die nächste Geräteklasse mit Lieferengpässen
Seit Beginn der Corona-Epidemie wird es zunehmend schwerer, an gewisse EDV-Geräte bzw. Komponenten zu gelangen. Sogar auf die Automobil-Branche hat der erhebliche Chipmangel schon Auswirkungen. Die nächste Produktklasse in der EDV der schon bald mit erheblichen Lieferschwierigkeiten zu kämpfen haben dürfte sind Router. Und auch hier ist einmal mehr der weltweite Chipmangel die Ursache.
Wer schon weiß, dass dieses Jahr noch ein neuer Router benötigt wird, sollte sich eher bald darum kümmern diesen auch rechtzeitig aufzutreiben.
Auch Internet-Anbieter sind von dem Problem betroffen, weil sie über kurz oder lang keine neuen Internetzugänge mehr anbieten können, wenn sie dem Kunden keinen Router zur Verfügung stellen können. Auch das sollte man ev. Berücksichtigen, wenn man vorhat dieses Jahr noch den Internet-Anbieter zu wechseln.
Quelle: 'Chipmangel: WLAN-Router werden als nächstes knapp' auf Heise Online
09.04.2021 – Vorsicht beim Kauf von Sony Playstation Konsolen
Die extrem hohe Nachfrage nach Playstation 5 Konsolen führt nicht nur zu Wucher-Preisen auf eBay, sondern auch richtigen Betrugsversuchen. Heise Online berichtet von einer Website die den Original-Sony Websites täuschend ähnlich sieht und sich erst nach genauerer Untersuchung als Fälschung herausstellt. Wer dort eine Konsole bestellt hat, wird wohl weder sein Geld noch die Konsole je zu Gesicht bekommen. Wer sich eine Playstation 5 zulegen möchte, sollte also sehr genau schauen, wem er sein Geld gibt.
Quelle: 'Fake-Shop täuscht PS5-Kunden: Warnung vor "playstation-sony.eu"' auf Heise Online
09.04.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco: Wichtige Updates beseitigen aus der Ferne attackierbare Sicherheitslücken' auf Heise Online
Quelle: 'Cisco: Keine Patches mehr für angreifbare SoHo-Router' auf Heise Online
Quelle: 'DoS-Lücke in Virtualisierungsplattform Citrix Hypervisor geschlossen' auf Heise Online
Quelle: 'Fortinet: Angreifer nutzen kritische Schwachstellen im VPN für künftige Attacken' auf Heise Online
03.04.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 89.0.4389.114 behebt 8 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome: Update für Desktop-Ausgabe beseitigt mehrere Sicherheitsprobleme' auf Heise Online
Vivaldi:
Die Vivaldi-Entwickler waren diesmal wieder besonders flott und haben wenige Stunden nach Google ebenfalls das Chromium Sicherheitsupdate ausgeliefert. Bei Vivaldi heißt die neue Version 3.7 Update 2 (3.7.2218.52).
Auch die Android-Version hat am selben Tag das Update erhalten. Hier ist Vivaldi Google sogar voraus, denn Chrome für Android liegt bisher nur in einer älteren Version vor.
Quelle: 'Minor update (2) for Vivaldi Desktop Browser 3.7' auf Vivaldi.com
Microsoft Edge:
Microsoft hat die neue Edge Version 89.0.774.68 bereitgestellt, die die Änderung aus Chromium 89.0.4389.114 enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: Microsoft Update Guide (listet auch Edge-Sicherheitsupdates)
Opera bleibt unsicher:
Opera hat zwar mittlerweile das Upgrade auf Chromium 89 geschafft, liefert aber mal wieder eine 2 Wochen alte und entsprechend unsichere Chromium Version aus. Deshalb können wir unsere Empfehlung, zu Vivaldi zu wechseln, nur noch einmal wiederholen.
03.04.2021 – Neue Gimp Version mit verbessertem Import und Export
Die Gimp Entwickler haben Version 2.4.24 der kostenlosen Bildbearbeitungssoftware veröffentlicht. Wie wir beim letzten Artikel zum Gimp bereits erwähnt haben liegt der Fokus der Gimp Entwickler längst auf der zukünftigen Version 3.0, daher gibt es immer weniger sichtbare Neuerungen in der 2.4 Serie. Eine Neuerung an der Benutzeroberfläche hat sich dennoch eingeschlichen, so orientieren sich manche Werkzeuge nun auch außerhalb der "Leinwand" an Bildgrenzen, Hilfslinien usw.
Die wichtigsten Neuerungen befinden sich aber in den Import/Export-Filtern. Bei den Dateitypen TIFF, HEIF, PNG, JPEG, PDF, DDS und RAW gibt es hier nennenswerte Verbesserungen. Auch an der Metadaten-Unterstützung wurde heftig geschraubt. In Summe dürften der Import und Export von Bildern aus unterschiedlichsten Quellen so nochmals verbessert worden sein und das schadet nie, auch wenn man davon vielleicht gar nichts mitbekommt. Eine vollständige (englischsprachige) Liste der Neuerungen findet man im verlinkten Artikel auf Gimp.org.
Neues von Gimp 3.0
Eine neue offizielle Entwicklerversion der zukünftigen Gimp 3.0 Serie gibt es seit Version 2.99.4 nicht (und diese war ja leider unter Windows wegen der fehlerhaften Export-Funktion nicht für ausgiebige Tests zu gebrauchen) aber wer gerne den aktuellen Entwicklungsstand mitverfolgen möchte ist trotzdem nicht länger auf Version 2.44.2 angewiesen. Auf der Gimp Website sind auch tagesaktuelle Entwickler Snapshots zu bekommen. Hier sind wirklich die allerneuesten Entwicklungen enthalten, allerdings gibt es diese nur als ZIP- und nicht als EXE-Datei. Man muss also die "Installation" manuell durchführen und die eine oder andere Konfigurationsdatei anpassen bis alles läuft. Wer sich aber die Mühe macht, erhält eine Version die alle Verbesserungen aus 2.99.4 enthält (vor allem die verbesserten Slider sind eine Wohltat!) und trotzdem nicht eingeschränkt ist beim Export. Wer den Aufwand scheut, aber trotzdem gespannt auf die Neuerungen ist, muss auf Version 2.99.6 warten, die hoffentlich nicht mehr allzu lange auf sich warten lässt. Allen Entwicklerversionen gemein ist, dass sie schonmal abstürzen oder andere Probleme machen können. Wer einfach nur eine stabile Bildbearbeitung möchte, ist mit Gimp 2.10.24 bestens bedient.
Quelle: 'GIMP 2.10.24 Released' auf Gimp.org
03.04.2021 – LibreOffice 7.0.5 und 7.1.2 veröffentlicht
Die Document Foundation hat neue Versionen des LibreOffice Paketes veröffentlicht. Version 7.1.2 richtet sich nach wie vor eher an Anwender die unbedingt die allerneusten Features haben wollen und Instabilitäten oder andere Kinderkrankheiten dafür in Kauf nehmen.
Version 7.0.5 ist bereits seit ein paar Wochen verfügbar, wir wollten aufgrund der bisherigen Probleme mit der 7.0 Serie aber einen ausgiebigen Praxistest abwarten bis wir darüber schreiben. Und hier hat sich 7.0.5 gut geschlagen, denn wir hatten mit dieser Version noch überhaupt keinen Absturz und auch sonst keine Probleme. Endlich hat also auch die 7.0er Serie die Stabilität, die man von früheren LibreOffice Versionen gewohnt war. Dem Einsatz bei konservativen Anwendern als auch in Firmen dürfte daher nichts mehr im Weg stehen.
Upgrade noch kein Muss!
Wer mindestens Version 6.4.4 von LibreOffice einsetzt, muss aber vorerst nicht zwingend auf 7.0.5 upgraden. Die letzten bekannten Sicherheitslücken wurden eben mit dieser Version 6.4.4 behoben. Nur wer noch eine frühere Version einsetzt, sollte unbedingt upgraden.
Neuerungen in LibreOffice 7.0:
Was aber bringt LibreOffice 7.0 gegenüber der 6.4er Serie an Neuerungen mit sich? Wie bei jeder neuen LibreOffice Versionen sind das zuviele Neuerungen um sie alle aufzuzählen. Wer den kompletten Überblick will, findet diese auf der im Anschluss verlinkten Webseite. Ein Highlight picken wir uns aber wieder heraus.
Die wichtigste Neuerung ist eine, die man nur sieht, wenn man sehr genau schaut. So wurde die Software, die für die Bildschirmdarstellung zuständig ist (Skia statt Cairo), komplett umgebaut. Langfristig gesehen soll das der Leistung und Darstellungsqualität zugutekommen. Vergleicht man 7.0 und 6.4 ganz genau, sieht man deutliche Unterschiede in der Textdarstellung. Nicht jeder einzelne Unterschied mag dabei ein Vorteil sein, unterm Strich wirkt die Schrift in 7.0 aber ein wenig besser und vor allem kontrastreicher. Skia ermöglicht aber auch Schrifteffekte, die vorher nicht möglich waren, wie z.B. transparente Texte. Diese gravierende Änderung war möglicherweise auch der Grund, warum die 7.0er Serie verhältnismäßig lange gebraucht hat bis sie ausreichend stabil war.
Für jeden Anwender mag aber eine andere Neuerung DIE Änderung sein auf die man lange gewartet hat oder die einem das Leben einfacher macht, daher lohnt es sich auf jeden Fall zumindest einmal die Liste der kompletten Neuerungen durchzugehen, um seine persönlichen Favoriten zu entdecken. Wer dazu noch ein wenig Motivations-Nachschub benötigt, fängt vielleicht mit dem zugehörigen Video an, in dem die wichtigsten Neuerungen vorgestellt werden (englischer Ton mit deutschen Untertiteln).
Grammatikkorrektur:
LibreOffice bringt von Haus aus zwar eine Rechtschreibprüfung für die deutsche Sprache mit, aber (noch?) keine Grammatik-Prüfung. Diese lässt sich über das Plugin LanguageTool nachrüsten. Details dazu finden sie im folgenden Artikel.
Info: LibreOffice 7.0 - New Features (Video)
Info: Vollständige Liste der Neuerungen in 7.0 (Deutsch, bebildert)
Quelle: 'Büropaket LibreOffice 7.0: Grafikbibliothek "Skia" kommt, Markenstrategie bleibt' auf Heise Online
Download: Aktuelle LibreOffice Versionen
03.04.2021 – Tipps für das LanguageTool
.svg){kind=logo}
Wer LibreOffice mit einer ausgefeilten Grammatik-Korrektur ausstatten möchte, muss dazu das (für LibreOffice Anwender kostenlose) LanguageTool-Plugin installieren. Zu Beginn war das Gespann LibreOffice 7.0 und LanguageTool nicht sehr harmonisch, aber LibreOffice 7.0.5 und LanguageTool 5.2.3 verstehen sich nun wieder gut.
LanguageTool Tuning:
Anwender die nur kleine Dokumente mit wenigen Seiten bearbeiten werden mit den Standard-Einstellungen von LanguageTool keinerlei Probleme haben. Wer aber sehr umfangreiche Dokumente bearbeitet wird eine zunehmende Verschlechterung der Leistung feststellen, wenn LangageTool aktiviert ist. Das liegt an der Art wie LanguageTool den Arbeitsspeicher nutzt und kann im schlimmsten Fall auch zu Abstürzen des Plugins führen was wiederum manchmal auch LibreOffice mit in den Abgrund reißt. Beide Probleme lassen sich aber mit einer einfachen Änderung in den LanguageTool-Einstellungen beheben. Dazu ändert man das Prüfverhalten lediglich zu "Nur den Absatz prüfen (am schnellsten)". Laut den Entwicklern werden dadurch zwar ein paar Regeln der Grammatikprüfung deaktiviert, wir konnten im Alltag aber diesbezüglich keinen Unterschied erkennen. Dafür benötigt LanguageTool mit dieser Einstellung erheblich weniger Arbeitsspeicher, was selbst auf üppig ausgestatteten PCs eine massiv verbesserte Leistungsfähigkeit nach sich zieht.
LanguageTool Tuning für Nerds:
Wer in LanguageTool partout nicht auf "Nur den Absatz prüfen (am schnellsten)" umschalten will, findet noch andere Wege um die Performance des Plugins zu verbessern. Diese sind jedoch absolut nicht Mainstream-tauglich, sondern nur für Anwender mit sehr guten EDV-Kentnissen ratsam. Ein weg die Performance zu verbessern ist die Umstellung auf eine alternative Java Version. Während für den Durchschnittsanwender die Versionen von Java.com die beste Lösung sind, bringen alternative Java Versionen aus neueren Versionszweigen gerade auf modernen Prozessoren erhebliche Performance-Verbesserungen. Allerdings muss man sich dann auch selbst um Updates kümmern, was diese Lösungen eben für den Durchschnittsanwender disqualifiziert.
Der zweite Weg die Performance zu verbessern klingt auf den ersten Blick absurd. Aber die Gesamtperformance von LibreOffice und LanguageTool wird besser, je weniger Arbeitsspeicher (Heapspace) man der JVM in den LibreOffice-Optionen zuweist (nicht unter 256MB gehen!). Limitiert man den Speicher nicht, schnellt der Arbeitsspeicher des LanguageTools bei großen Dokumenten schnell auf mehrere Gigabyte (bei 64Bit LibreOffice). Dann dauert jeder Speichervorgang im Dokument erheblich länger. Die ultimative Performance erhält man durch Kombination von "Nur den Absatz prüfen (am schnellsten)" und moderner Java Version.
Download: LanguageTool 5.2.3 für LibreOffice
Download: Aktuelle Java Version
03.04.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Angreifer könnten Admin-Zugangsdaten von VMware vRealize kopieren' auf Heise Online
Quelle: 'DoS-Lücke in Virtualisierungsplattform Citrix Hypervisor geschlossen' auf Heise Online
