News Archiv 1. Quartal 2023
Schlagzeilen * Details
Schlagzeilen:
- 31.03.2023 - Apple stopft (vermutlich) Sicherheitslücke in iTunes
- 31.03.2023 - Sicherheitsmeldungen für Administratoren
- 24.03.2023 - Das nächste Chromium Sicherheitsupdate
- 24.03.2023 - Sicherheitslücke in Drupal behoben
- 24.03.2023 - Sicherheitsmeldungen für Administratoren
- 17.03.2023 - Thunderbird 102.8 behebt Sicherheitslücken
- 17.03.2023 - Firefox 111 bringt Sicherheitsupdates
- 17.03.2023 - Sicherheitsupdate für zahlreiche Adobe Programme
- 17.03.2023 - Microsoft's Tag der Updates
- 17.03.2023 - Die nächsten Sicherheitslücken in Zoom
- 17.03.2023 - Kritische Sicherheitslücken in Lexmark Druckern
- 17.03.2023 - Sicherheitsmeldungen für Administratoren
- 10.03.2023 - Das nächste Chromium Sicherheitsupdate
- 10.03.2023 - Sicherheitsmeldungen für Administratoren
- 03.03.2023 - Sicherheitsmeldungen für Administratoren
- 24.02.2023 - Das nächste Chromium Sicherheitsupdate
- 24.02.2023 - Sicherheitsupdates für Foxit PDF Reader und PDF Editor
- 24.02.2023 - Sicherheitsupdates für HP Computer
- 24.02.2023 - Sicherheitsmeldungen für Administratoren
- 17.02.2023 - Thunderbird 102.8 behebt Sicherheitslücken
- 17.02.2023 - Firefox 110 bringt Sicherheitsupdates
- 17.02.2023 - Sicherheitsupdate für zahlreiche Adobe Programme
- 17.02.2023 - Microsoft's Tag der Updates
- 17.02.2023 - Wichtiges Update für Samsungs SSD 990 Pro!
- 17.02.2023 - Wichtiges Sicherheitsupdate für Joomla
- 17.02.2023 - Sicherheitsmeldungen für Administratoren
- 10.02.2023 - Das nächste Chromium Sicherheitsupdate
- 10.02.2023 - Sicherheitsupdate für Geforce Experience
- 10.02.2023 - Sicherheitsupdates für Typo3
- 10.02.2023 - Sicherheitsmeldungen für Administratoren
- 03.02.2023 - Wichtiges Update für Samsung SSDs!
- 03.02.2023 - Sicherheitsupdate für VMware Workstation (Player & Pro)
- 03.02.2023 - Dell sichert UEFI zahlreicher Computer ab
- 03.02.2023 - Qnap: Rasch Sicherheitsupdates installieren!
- 03.02.2023 - LibreOffice 7.5 verfügbar
- 03.02.2023 - Sicherheitsmeldungen für Administratoren
- 27.01.2023 - Massive Angriffe auf Router
- 27.01.2023 - Schwere Sicherheitslücke in Spiel "Grand Theft Auto V"!
- 27.01.2023 - Kritische Sicherheitslücken in Lexmark Druckern
- 27.01.2023 - Wieder Sicherheitslücken in WordPress
- 27.01.2023 - Schwere Sicherheitslücke auf Samsung Smartphones
- 27.01.2023 - Sicherheitsmeldungen für Administratoren
- 20.01.2023 - Thunderbird 102.7 behebt Sicherheitslücken
- 20.01.2023 - Firefox 109 bringt Sicherheitsupdates
- 20.01.2023 - Sicherheitsupdates für Java und weitere Oracle Software
- 20.01.2023 - Norton LifeLock – Passwörter gestohlen
- 20.01.2023 - MSI mit unsicherer SecureBoot Option
- 20.01.2023 - Sicherheitsmeldungen für Administratoren
- 13.01.2023 - Das nächste Chromium Sicherheitsupdate
- 13.01.2023 - Sicherheitsupdate für zahlreiche Adobe Programme
- 13.01.2023 - Microsoft's Tag der Updates
- 13.01.2023 - Die nächsten Sicherheitslücken in Zoom
- 13.01.2023 - UEFI Sicherheitslücken in ARM-Geräten
- 13.01.2023 - Sicherheitsmeldungen für Administratoren
- 06.01.2023 - Sicherheitsupdate für ThinkPad X13s
- 06.01.2023 - Sicherheitslücke in Trend Micro Maximum Security
- 06.01.2023 - Sicherheitsmeldungen für Administratoren
Details:
31.03.2023 – Apple stopft (vermutlich) Sicherheitslücke in iTunes
Apple hat eine Version 12.12.8 der Itunes-Software für Windows veröffentlicht. Auf der Apple Website selbst finden wir dazu aktuell keinerlei Informationen, aber laut MacRumors, die wohl die Quelle für die ganze Berichterstattung aktuell sein dürften, soll das Update Sicherheitslücken korrigieren und neue Geräte unterstützen.
Auch wenn Apple selbst diese Angaben bisher nicht bestätigt, wäre alles andere eine große Überraschung. Beinahe jedes iTunes-Update hat bisher Sicherheitslücken geschlossen, dass es bei diesem anders sein soll wäre daher sehr unwahrscheinlich. Und somit ist die Empfehlung wie üblich: Wer iTunes nicht mehr benötigt sollte es unbedingt deinstallieren. Wer es (aus welchen Gründen auch immer) noch braucht, sollte unbedingt auf die neueste Version updaten.
Quelle: 'iTunes für Windows: Apples klassische Musik-App lebt' auf Heise Online
31.03.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'VoIP-Software 3CX verteilt Schadcode nach Sideloading-Angriff' auf Heise Online
24.03.2023 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 111.0.5563.111 behebt acht Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Im 110er Versionszweig wurde Version 110.0.5481.208 veröffentlicht. Google nennt leider wie üblich keine Details, es ist aber davon auszugehen, dass diese Version denselben Sicherheitsstand hat wie die neueste 111er Version.
Anwender von Google Chrome sollten zügig auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Chrome-Update dichtet acht Sicherheitslücken ab' auf Heise Online
Vivaldi:
Die flinken Vivaldi-Mitarbeiter haben Version 5.7 Update 3 zwei Tage nach Google veröffentlicht. Es basiert auf Chromium 110.0.5481.209, das heißt es ist sicherheitstechnisch aktuell. Die Version 5.7 von Vivaldi hat eine erstaunlich hohe Zahl an neuen Fehlern mit sich gebracht, die auch mit dem neuesten Update leider noch nicht alle behoben wurden.
Quelle: 'Minor update (3) for Vivaldi Desktop Browser 5.7' auf Vivaldi.com (Englisch)
Microsoft Edge:
Die Microsoft Edge Entwickler haben mittlerweile eine auf Chromium 111 basierte Version an den Start gebracht. Ob aber auch das Sicherheitsupdate vom Dienstag bereits inkludiert ist, lässt sich wegen der wie üblich langsamen Dokumentation von Microsoft wieder einmal nicht sagen. Edge Anwender müssen damit Leben, dass der Browser sicherheitstechnisch häufig Fragen offen lässt. So oder so sollten Anwender darauf achten immer die aktuellste Version einzusetzen.
24.03.2023 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal-Sicherheitslücke könnte Angreifern die Systemübernahme ermöglichen' auf Heise Online
24.03.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Java-Plattform: Kritische Lücke in VMware Tanzu Spring Framework geschlossen' auf Heise Online
Quelle: 'Sicherheitslücke: Angreifer können Switches von Aruba kompromittieren' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Netzwerkgeräte von Cisco lahmlegen' auf Heise Online
Quelle: 'JavaScript-Runtime: Deno 1.32 schließt kritische Sicherheitslücke' auf Heise Online
17.03.2023 – Thunderbird 102.8 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 102.9 des beliebten E-Mail-Programmes veröffentlicht. Darin werden mehrere Sicherheitslücken behoben die in Summe zu einer Bedrohung der Einstufung "hoch" führen.
Alle Thunderbird Anwender sollten auf die neue Version updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 102.9 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
17.03.2023 – Firefox 111 bringt Sicherheitsupdates
Mozilla hat Firefox 111 veröffentlicht. Die neue Version behebt 13 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 102.9.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Webbrowser: Firefox 111 dichtet 13 Sicherheitslücken ab' auf Heise Online
17.03.2023 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Photoshop
In Photoshop 2022 und 2023 wurde eine "kritische" Sicherheitslücke behoben. Die 2022er Jahresausgabe (Version 23.x) sollte auf Version 23.5.4 aktualisiert werden, die 2023er Jahresausgabe (Version 24.x) auf Version 24.2.1. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB23-23' auf Adobe.com (Englisch)
Adobe Illustrator
Im Vektorgrafik Programm Illustrator hat Adobe vier als "kritisch" und eine als "wichtig" eingestufte Sicherheitslücken behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.3.1 (2023) updaten.
Info: Adobe Security Bulletin APSB23-19 (Englisch)
Adobe Creative Cloud Desktop Anwendung
Auch in der Creative Cloud Desktop App wurde eine kritische Schwachstelle behoben. Hier sollte unbedingt zügig auf Version 5.10 oder neuer aktualisiert werden. Das wird in der Regel beim Starten der Anwendung angeboten oder gleich automatisch durchgeführt.
Quelle: 'Adobe Security Bulletin APSB23-21' auf Adobe.com (Englisch)
Adobe Magento bzw. Adobe Commerce
Im Webshop-System "Magento" bzw. "Commerce" wurde eine kritische und drei weitere Sicherheitslücken behoben. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB23-17 (Englisch)
Adobe Experience Manager
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es stolze 18 Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB23-18 (Englisch)
Adobe Dimension
In Adobes 3D-Programm 'Dimension' wurden unzählige "kritische" Schwachstellen behoben. Anwender des Programms sollten so rasch wie nur möglich auf Version 3.4.8 updaten.
Quelle: 'Adobe Security Bulletin APSB23-20' auf Adobe.com (Englisch)
Adobe Substance 3D Stager
In Adobes 3D-Programm 'Substance 3D Stager' wurden ebenfalls unzählige "kritische" Sicherheitslücken behoben. Anwender des Programms sollten so rasch wie möglich auf Version 2.0.1 updaten.
Quelle: 'Adobe Security Bulletin APSB23-22' auf Adobe.com (Englisch)
Adobe ColdFusion:
Nutzer von Adobe ColdFusion 2018 und 2021 sollten unbedingt auf ColdFusion 2018 Update 16 bzw. ColdFusion 2021 Update 6 aktualisieren, um eine als "kritisch" eingestufte und zwei weitere Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2016 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.
Quelle: 'Adobe Security Bulletin APSB22-44' auf Adobe.com (Englisch)
17.03.2023 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Wieder manuelle Updates nötig!
Während die meisten Updates automatisch über Windows Update installiert werden, gibt es leider eine Ausnahme. Ein Fehler in Bitlocker ermöglicht es Angreifern mit Zugang zum Computer Daten aus einer eigentlich verschlüsselten Partition zu lesen. Wer eine sichere Laufwerksverschlüsselung benötigt, muss selbst aktiv werden. Eigentlich hat Microsoft bereits im September ein Update für die Lücke bereitgestellt, da musste aber noch sehr, sehr viel von Hand gemacht werden. Nun hat Microsoft ein Powershell-Skript zur Verfügung gestellt, das etliche Arbeitsschritte automatisiert. Für unerfahrene Anwender dürfte das immer noch zu komplex sein, aber wer ein bisschen mehr Erfahrung mit Windows hat und Englisch versteht sollte das Update mit dem Skript nun installieren können.
Quelle: 'Bitlocker-Lücke: Microsoft liefert Skript zum Patchen von WinRE-Partition' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday: Microsoft dichtet aktiv angegriffene Sicherheitslücken ab' auf Heise Online
17.03.2023 – Die nächsten Sicherheitslücken in Zoom
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.13.5 installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Webkonferenzen: Hochriskante Lücken in Zoom' auf Heise Online
17.03.2023 – Kritische Sicherheitslücken in Lexmark Druckern
Neuere Lexmark-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.
Besitzer von Lexmark Druckern sollten daher unbedingt prüfen, ob ihr Modell von den Lücken betroffen ist und wenn ja die entsprechenden Sicherheitsupdates installieren. Auch für Drucker, die in der Sicherheitsmeldung des Herstellers aktuell nicht genannt werden, lohnt es sich natürlich zu prüfen, ob die aktuellste Firmware verwendet wird und diese gegebenenfalls zu aktualisieren.
Leider gibt es keine gesammelte Liste der verwundbaren Drucker, sondern man muss 8 verschiedene Listen (für jede Sicherheitslücke eine eigene) separat durchgehen und prüfen, ob der eigene Drucker auf einer davon aufscheint. Links zu den 8 Sicherheitsmitteilungen finden sie im Heise Online Artikel.
Quelle: 'Kritische Sicherheitslücken: Lexmark aktualisiert Firmware für viele Drucker' auf Heise Online
17.03.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Bitlocker-Lücke: Microsoft liefert Skript zum Patchen von WinRE-Partition' auf Heise Online
Quelle: 'Patchday: SAP schließt 19 teils kritische Sicherheitslücken' auf Heise Online
Quelle: 'Kritisches Leck in SSL-VPN-Gateway von Array Networks' auf Heise Online
10.03.2023 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 111.0.5563.65 behebt 40 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Im 110er Versionszweig wurde Version 110.0.5481.192 veröffentlicht. Google nennt leider wie üblich keine Details, es ist aber davon auszugehen, dass diese Version denselben Sicherheitslevel hat wie die neueste 111er Version.
Anwender von Google Chrome sollten zügig auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Webbrowser in Version 111 mit 40 Sicherheitslücken weniger' auf Heise Online
Vivaldi:
Die flinken Vivaldi-Mitarbeiter haben Version 5.7 Update 2 einen Tag nach Google veröffentlicht. Es basiert auf Chromium 110.0.5481.195, das heißt es ist sicherheitstechnisch aktuell. Neben den Sicherheitslücken haben die Vivaldi auch etliche Bugs in dieser Version behoben. Die Version 5.7 hat eine erstaunlich hohe Zahl an neuen Fehlern mit sich gebracht, die auch mit dem neuesten Update noch nicht alle behoben wurden.
Quelle: 'Minor update (2) for Vivaldi Desktop Browser 5.7' auf Vivaldi.com (Englisch)
Microsoft Edge:
Die Microsoft Edge Entwickler haben noch keine 111er Version am Start, dafür aber ein Update innerhalb der 110er Reihe. Da es dafür aber noch keine Release-Notes gibt, kann man wieder einmal nur mutmaßen, ob darin die abgesicherte Chromium-Version 110.0.5481.192 steckt. Edge Anwender sollten die neue Version zügig installieren, auch wenn man aktuell nicht sagen kann welches Schutz-Niveau sie bietet.
10.03.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Hochriskante Denial-of-Service-Lücke in Cisco IOS XR' auf Heise Online
Quelle: 'Sonicwall SonicOS: Hochriskante Lücke erlaubt Lahmlegen der Firewall' auf Heise Online
Quelle: 'Veeam Backup & Replication: Angreifer könnten auf Anmeldeinformationen zugreifen' auf Heise Online
Quelle: 'Patchday: Fortinet dichtet 15 Schwachstellen ab, davon eine kritische' auf Heise Online
03.03.2023 – Sicherheitsmeldungen für Administratoren
Da es diese Woche keine nennenswerten Sicherheitsupdates für Privat-Anwender gibt, richtet sich unser Newsletter diese Woche ausschließlich an die fleißigen Administratoren in aller Herren Länder.
Wie üblich verlinken wir hier nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdate: Zoho ManageEngine ServiceDesk Plus ist verwundbar' auf Heise Online
Quelle: 'Netzwerkausrüster: Kompromittierung durch Schwachstellen in ArubaOS möglich' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnte IP-Telefone von Cisco als Root attackieren' auf Heise Online
Quelle: 'Schadcode-Attacken auf HPE Serviceguard unter Linux möglich' auf Heise Online
24.02.2023 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 110.0.5481.178 behebt 10 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.
Die 110er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Kritische Lücke in Google Chrome' auf Heise Online
Vivaldi:
Nachdem der üblicherweise etwas langsamere Hauptversions-Wechsel des Chromium-Unterbaus letzte Woche durch Vivaldi 5.7 vollzogen wurde, kam die Antwort von Vivaldi auf Google’s Sicherheitsupdate diese Woche wieder gewohnt schnell. Bereits am Tag nach Google hatte auch Vivaldi die neue Chromium Version übernommen und in Form von Version 5.7 Update 1 (5.7.2921.60) veröffentlicht. Genau wie Anwender von Google Chrome sollten auch Vivaldi Benutzer so rasch wie möglich auf die neue Version updaten, falls nicht bereits durch das automatische Update erledigt.
Quelle: 'Minor update for Vivaldi Desktop Browser 5.7' auf Vivaldi.com (Englisch)
Download: Aktuelle Vivaldi Version
Microsoft Edge:
Microsoft hat ebenfalls eine neuere Version von Microsoft Edge im Angebot, ob diese jedoch bereits die aktuelle Chromium Version enthält, verrät Microsoft wieder einmal nicht, da noch keine Release-Notes für diese Version vorliegen. Anwender von Microsoft Edge sollten dennoch auf die neueste Version updaten, auch wenn nicht klar ist, ob die kritischen Sicherheitslücken damit tatsächlich behoben sind.
24.02.2023 – Sicherheitsupdates für Foxit PDF Reader und PDF Editor
Wer anstelle des Adobe Reader bzw. Acrobat auf PDF Reader bzw. PDF Editor aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 12.1.1 behebt mehrere Sicherheitslücken von denen zumindest einige als "hohes Risiko" zu betrachten sind.
Wer den kostenlosen "PDF Reader" oder bereits eine 12er Version von "PDF Editor" verwendet sollte unbedingt zügig auf die aktuelle Version updaten. Wer noch Version 11 des Editors oder Foxit PhantomPDF (der alte Name von Foxit PDF Editor) einsetzt, sollte ein Upgrade auf die aktuelle Version von Foxit PDF Editor erwerben und installieren.
Quelle: 'Foxit PDF-Updates dichten hochriskante Schwachstellen ab' auf Heise Online
24.02.2023 – Sicherheitsupdates für HP Computer
HP hat für zahlreiche Computer-Systeme BIOS-Updates veröffentlicht, die Sicherheitslücken schließen. Betroffen sind Modelle aus dem Business-Portfolio von HP, Eine ausführliche Liste der betroffenen Modelle aus HP’s Business-Portfolio listet der Hersteller in seinem Sicherheitsbericht auf.
Besitzer und Administratoren sollten prüfen, ob für verwendete HP Computer BIOS-Updates bereitstehen und diese installieren. Private-Anwender verwenden dafür am einfachsten den HP Support Assistant.
Quelle: 'BIOS-Sicherheitsupdates: HP-Computer für Schadcode-Attacken anfällig' auf Heise Online
Quelle: 'HP Sicherheitsmeldung HPSBHF03835' auf hp.com (Englisch)
24.02.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: VMware dichtet kritisches Sicherheitsleck ab' auf Heise Online
Quelle: 'Jetzt patchen! Exploit-Code für kritische Fortinet FortiNAC-Lücke in Umlauf' auf Heise Online
Quelle: 'Warnung vor Angriffen auf IBM Aspera Faspex und Mitel MiVoice' auf Heise Online
Quelle: 'Cisco stopft teils hochriskante Schwachstellen' auf Heise Online
17.02.2023 – Thunderbird 102.8 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 102.8 des beliebten E-Mail-Programmes veröffentlicht. Darin werden mehrere Sicherheitslücken behoben die in Summe zu einer Bedrohung der Einstufung "niedrig" führen. Einzelne Lücken haben zwar für sich genommen eine höhere Bewertung, sind aber bei normaler Benutzung nicht relevant.
Alle Thunderbird Anwender sollten bei Gelegenheit auf die neue Version updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 102.8 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
17.02.2023 – Firefox 110 bringt Sicherheitsupdates
Mozilla hat Firefox 110 veröffentlicht. Die neue Version behebt 19 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 102.8.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Für verschiedene Attacken anfällig: Updates für Firefox und Firefox ESR' auf Heise Online
17.02.2023 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Photoshop
In Photoshop 2022 und 2023 wurden 3 "kritische" und 2 "wichtige" Sicherheitslücke behoben. Die 2022er Jahresausgabe (Version 23.x) sollte auf Version 23.5.4 aktualisiert werden, die 2023er Jahresausgabe (Version 24.x) auf Version 24.1.1. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB23-11' auf Adobe.com (Englisch)
Adobe InDesign
Im Layout-Programm InDesign hat Adobe eine als "wichtig" eingestufte Sicherheitslücke behoben. Hier sollte man auf Version 17.4.1 (2022) oder 18.2 (2023) aktualisieren.
Info: Adobe Security Bulletin APSB23-12 (Englisch)
Adobe After Effects
In Adobe After Effects wurden 3 kritische und eine "wichtige" Sicherheitslücke behoben. Alle Anwender von After Effects sollten zügig auf Version 22.6.4 (2022) oder 23.2 (2023) updaten und alle älteren Fassungen deinstallieren.
Quelle: Adobe Security Bulletin APSB23-02 (Englisch)
Adobe Animate:
Das ehemals Flash genannte Web-Animationsprogramm enthielt 3 kritische Sicherheitslücken. Wer Adobe Animate installiert hat, sollte es zügig auf Version 22.0.9 (2022) oder 23.0.1 (2023) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB23-15 (Englisch)
Adobe Bridge:
In Adobe Bridge wurden etliche Sicherheitslücken behoben, viele davon kritischer Natur. Anwender, die Adobe Bridge installiert haben, sollten daher zügig auf Version 12.0.4 oder 13.0.2 updaten.
Info: Adobe Security Bulletin APSB23-09 (Englisch)
Adobe Connect
In der Web-Conferencing-Software wurde eine Sicherheitslücke mit der Einstufung "wichtig" behoben. Wer die Software nutzt, sollte diese zügig auf Version 11.4.6 oder 12.2 aktualisieren. Details dazu gibt es im Sicherheitsbulletin von Adobe.
Quelle: Adobe Connect Security Bulletin APSB23-05 (Englisch)
Adobe Framemaker
Im Desktop-Publishing-Programm Adobe Framemaker wurden 3 kritische und 2 "wichtige" Sicherheitslücken gefunden und behoben. Wer das Programm einsetzt, sollte unbedingt die im Security Bulletin verlinkten Updates installieren.
Quelle: Adobe Security Bulletin APSB23-06 (Englisch)
Adobe Premiere Rush:
Auch im abgespeckten Videoschnitt-Programm Premiere Rush hat Adobe zwei kritische Sicherheitslücken behoben. Anwender, die das Programm auf Windows oder MacOS verwenden, sollten zügig auf Version 2.7 updaten. Die Smartphone-Versionen für Android und iOS werden im Security Bulletin nicht erwähnt.
Quelle: Adobe Security Bulletin APSB23-14 (Englisch)
Adobe Substance 3D Stager
In Adobes 3D-Programm 'Substance 3D Stager' wurden 5 kritische und eine "wichtige" Sicherheitslücke behoben. Anwender des Programms sollten zügig auf Version 2.0 updaten.
Quelle: 'Adobe Security Bulletin APSB23-16' auf Adobe.com (Englisch)
17.02.2023 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Bye Bye Internet Explorer!
Den Support für den "Internet Explorer" hat Microsoft ja schon vor langer Zeit eingestellt, nun fängt der Hersteller aber angeblich an, alle Verweise auf den Browser aus Windows 10 zu entfernen. Das ist auch höchst-überfällig, nichtsdestoweniger werden ein paar "alteingesessene" Windows-Anwender (trotz aller Hinweise in den letzten Monaten) wohl verdutzt aus der Wäsche gucken, wenn der Browser jetzt wirklich endgültig verschwindet.
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Angreifer attackieren Microsoft 365 Apps und Windows - Mehrere kritische Lücken' auf Heise Online
17.02.2023 – Wichtiges Update für Samsungs SSD 990 Pro!
Samsung hat für seine Hochleistungs-SSD 990 Pro ein Firmware Update veröffentlicht, dass es in sich hat. Mit der bisherigen Firmware "altert" die SSD offenbar extrem schnell. Manche Anwender berichte von einem Verlust von einem Prozent Speicherplatz pro Woche, womit die SSD dann nach etwas mehr als einem Jahr die Hälfte seiner Kapazität verloren hätte.
Angesichts dieser erschreckenden Zahlen sollte jeder Besitzer dieser SSD also so schnell wie möglich ein Backup der Daten auf der SSD anfertigen und dann das Firmware-Update installieren. Wie bei Samsung üblich gelingt dies über die Samsung Magican Software. Da diese Software aber Nebenwirkungen hat, empfehlen wir diese nach dem Firmware-Update wieder zu deinstallieren.
Wer bereits deutlich an Kapazität eingebüßt hat und das nicht hinnehmen möchte, kann sein Glück beim Samsung Support versuchen. Gut möglich, dass die SSD dann in einem RMA Verfahren ausgetauscht wird.
Quelle: 'SSD 990 Pro: Samsung behebt rapiden Verschleiß per Firmware-Update' auf Heise Online
17.02.2023 – Wichtiges Sicherheitsupdate für Joomla
Wer Joomla für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 4.2.8 installiert wurde oder das rasch nachholen. In der neuen Version wurde eine sehr kritische Sicherheitslücke geschlossen.
Quelle: 'Jetzt patchen! Entwickler des CMS Joomla warnen vor kritischer Sicherheitslücke' auf Heise Online
17.02.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Patchday bei Intel: Angreifer könnten Server über Root-Lücke attackieren' auf Heise Online
Quelle: 'Patchday: SAP schützt seine Software vor möglichen Attacken' auf Heise Online
Quelle: 'Sicherheitsupdates: Fernzugriffslösung Citrix Workspace attackierbar' auf Heise Online
Quelle: 'Open-Source-Virenschutz ClamAV gegen Schadcode-Attacke gerüstet' auf Heise Online
Quelle: 'Angreifer könnten Ciscos Netzwerk-Management Nexus Dashboard lahmlegen' auf Heise Online
10.02.2023 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 110.0.5481.78 behebt 15 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Die 110er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten zügig auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Google Chrome dichtet Sicherheitslecks ab und ändert Release-Zyklus' auf Heise Online
Vivaldi:
Wie bei Versions-Zweig-Wechseln üblich hat Vivaldi noch keine neue Version bereit. Da keine der neu bekanntgewordenen Sicherheitslücken aktiv ausgenützt werden dürfte, ist das noch kein Problem. Die Vivaldi-Entwickler arbeiten mit Hochdruck an der neuen Version, die wir in der nächsten Woche erwarten würden.
Microsoft Edge:
Die Microsoft Edge Entwickler haben Chromium 110.0.5481.78 bereits in Edge (Version 110.0.1587.41) übernommen, auch wenn sie die Hinweise darauf wie üblich gut verstecken. Anwender von Microsoft Edge sollten das Update bei nächster Gelegenheit starten, falls es nicht bereits automatisch erledigt wurde.
10.02.2023 – Sicherheitsupdate für Geforce Experience
Nvidia schließt wieder einmal mehrere Sicherheitslücken in der Geforce Experience Anwendung. Den meisten Anwendern raten wir dazu Geforce Experience gar nicht erst zu installieren bzw. es zu deinstallieren. Wer die Anwendung aber tatsächlich verwendet, sollte sie auch aktuell halten und das Sicherheitsupdate auf Version 3.27.0.112 installieren.
Quelle: 'Angreifer könnten über Nvidia GeForce Experience Daten manipulieren' auf Heise Online
10.02.2023 – Sicherheitsupdates für Typo3
Für das Contentmanagement-System Typo3 (bzw. dessen Plugins) sind auch diese Woche wieder wichtige Sicherheitsupdates erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'CMS Typo3: Hochriskante XSS-Lücke ermöglicht Unterschieben von schädlichem HTML' auf Heise Online
10.02.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Notfallpatch für Dateiübertragungslösung GoAnywhere MFT erschienen' auf Heise Online
Quelle: 'Sicherheitsupdate: Acht Sicherheitslücken in OpenSSL geschlossen' auf Heise Online
03.02.2023 – Wichtiges Update für Samsung SSDs!
Besitzer einer Samsung SSD 980 Pro sollten unbedingt zügig ein Firmware-Update durchführen. Samsung hat die Firmware 5B2QGXA7 bereitgestellt, die einem potenziellen Ausfall bzw. massiv erhöhtem Verschleiß entgegenwirkt. Das Update kann über die Samsung Software "Magican" durchgeführt werden.
Quelle: 'Samsung SSD 980 Pro: Wichtiges Firmware-Update behebt Defektursache' auf Heise Online
03.02.2023 – Sicherheitsupdate für VMware Workstation (Player & Pro)
In der Desktop-Virtualisierungslösung VMware Workstation wurde eine Sicherheitslücke behoben. Anwender des Programms (egal ob Player oder Pro) sollten daher bei Gelegenheit ein Update auf Version 17.0.1 durchführen.
Quelle: 'Angreifer könnten Windows-PCs mit VMware Workstation attackieren' auf Heise Online
03.02.2023 – Dell sichert UEFI zahlreicher Computer ab
Dell hat Sicherheitslücken in der UEFI Software zahlreicher Desktop und Notebook Modelle aus seinem Portfolio behoben. Die behobenen Lücken können zwar nicht übers Internet ausgenützt werden, Besitzer eines der betroffenen Geräte sollten das BIO dennoch bei nächster Gelegenheit aktualisieren. Eine (lange) Liste aller betroffenen Geräte finden sie im Sicherheitsbericht von Dell.
Quelle: 'DSA-2022-339: Dell Client Security Update for a Dell Client BIOS Vulnerability auf Dell.com
Quelle: 'Dell schließt Schadcode-Schlupfloch im BIOS mehrerer PC-Modelle' auf Heise Online
03.02.2023 – Qnap: Rasch Sicherheitsupdates installieren!
Qnap hat erneut eine Sicherheitswarnung für mehrere seiner Produkte veröffentlicht. Geräte mit QTS- und QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken hat der Hersteller bisher nicht genannt, aber angesichts der Einstufung als "kritisch" und des CVSS-Wertes von 9.8, raten wir allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'Qnap-NAS: Kritische Sicherheitslücke ermöglicht Unterjubeln von Schadcode' auf Heise Online
03.02.2023 – LibreOffice 7.5 verfügbar
Die LibreOffice Entwickler haben Version 7.5 der freien OfficeSuite fertiggestellt. Darin wurden wieder jede Menge Neuerungen eingebaut, auf die wir gerne später noch ausführlich eingehen werden, wenn die neue Ausgabe einen Reifegrad erreicht hat der es erlaubt auch von normalen Anwendern und Firmen genutzt zu werden. Vorerst richtet sich die neue Ausgabe eher an Anwender, die immer das Allerneueste haben wollen und auch gewillt sind Fehlerberichte (Bugreports) einzusenden.
Wer nicht warten möchte bis wir LibreOffice 7.5 reif für den Einsatz halten kann sich jetzt schon im verlinkten Heise Online Artikel oder auf der LibreOffice-Website über die Neuerungen informieren.
Außerdem steht nun LibreOffice 7.4.5 bereit, das wir als durchaus ausgereift einstufen würden. Ein (sicherheitstechnisches) muss ist diese Version für alle Anwender, die aktuell eine Version kleiner als 7.3.6 oder 7.4.1 verwenden.
Quelle: 'LibreOffice 7.5: Neue Symbolleiste, Icons und DeepL per API' auf Heise Online
Quelle: 'Übersicht über alle Neuerungen von LibreOffice 7.5' auf documentfoundation.org
Download: Aktuelle LibreOffice Versionen
03.02.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Sicherheitsforscher kombinieren Lücken in VMware vRealize Log' auf Heise Online
Quelle: 'Sicherheitsupdates: Attacken auf mehrere BIG-IP-Produkte von F5 möglich' auf Heise Online
Quelle: 'Kritische Sicherheitslücke in Jira Service Management ermöglicht Kontenübernahme' auf Heise Online
Quelle: 'Zwei Sicherheitsprobleme in OpenSSH 9.2 gelöst' auf Heise Online
27.01.2023 – Massive Angriffe auf Router
Das Router-Besitzer diese Geräte sehr oft vergessen, wenn es um das Thema Updates geht, nutzen aktuell Cyber Ganoven wieder für massive Angriffswellen auf diverse Router mit Realtek Chip aus. Allein in Deutschland sollen Millionen Angriffe stattgefunden haben in letzter Zeit. Die dabei ausgenutzte Schwachstelle ist seit Jahren bekannt und von Realtek auch längst behoben, wenn aber eben keine Updates installiert werden oder der Router keine Updates mehr vom Hersteller erhält, können auch diese Uralt-Lücken noch fatale Folgen haben.
Daher wieder einmal ein allgemeiner Aufruf, über alle Marken hinweg, bitte prüfen sie, ob die Firmware ihres Routers aktuell ist. Sollte für das Gerät schon seit Jahren kein Update mehr veröffentlicht worden sein (oder es exlizit als "End of Life" eingestuft sein), sollten sie über eine Neuanschaffung nachdenken. Z.B. eine aktuelle Fritzbox, die in der Regel sehr guten und halbwegs langen Support genießen.
Quelle: 'Massive Attacken auf Router von Asus, D-Link & Co. beobachtet' auf Heise Online
27.01.2023 – Schwere Sicherheitslücke in Spiel "Grand Theft Auto V"!
Über Sicherheitslücken in Spielen wird sehr selten berichtet. Nicht, weil diese Art Programme besonders sicher programmiert werden, sondern weil Sicherheitsforscher sich nicht unbedingt auf diese Programme konzentrieren. In GTA V wurden nun aber doch schwere Mängel entdeckt.
Der Fehler kann zur Infektion des Computers führen, ein Update vom Spiele-Hersteller steht aktuell noch aus. Solange kein Sicherheitsupdate verfügbar ist, sollte das Spiel besser nicht gestartet werden.
Quelle: 'Unter Attacke: Sicherheitsleck in GTA V ermöglicht Codeschmuggel' auf Heise Online
27.01.2023 – Kritische Sicherheitslücken in Lexmark Druckern
Neuere Lexmark-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.
Besitzer von Lexmark Druckern sollten daher unbedingt prüfen, ob ihr Modell von den Lücken betroffen ist und wenn ja die entsprechenden Sicherheitsupdates installieren. Auch für Drucker, die in der Sicherheitsmeldung des Herstellers aktuell nicht genannt werden, lohnt es sich natürlich zu prüfen, ob die aktuellste Firmware verwendet wird und diese gegebenenfalls zu aktualisieren.
Quelle: 'Kritische Sicherheitslücke: Neuere Lexmark-Drucker ermöglichen Codeschmuggel' auf Heise Online
27.01.2023 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Wordpress-Plug-in: Kritische Lücke in Learnpress auf 75.000 Webseiten' auf Heise Online
27.01.2023 – Schwere Sicherheitslücke auf Samsung Smartphones
Auf Android Smartphones von Samsung wurde eine schwere Sicherheitslücke im "Galaxy App Store" gefunden. Wer ein Gerät mit diesem Store hat, sollte unbedingt sicherstellen, dass die App auf die aktuellste Version 4.5.49.8 (oder neuer) aktualisiert wurde. Andernfalls können Angreifer unter Umständen aus der Ferne beliebige weitere gefährliche Apps installieren.
Quelle: 'Sicherheitslücken im Galaxy App Store gefährden Samsung-Android-Smartphones' auf Heise Online
27.01.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdate: Symantec Endpoint Protection als Sprungbrett für Angreifer' auf Heise Online
Quelle: 'Kritische Schadcode-Lücken in Logging-Tool VMware vRealize Log geschlossen' auf Heise Online
Quelle: 'Mehrere DoS-Lücken im Netzwerkanalysetool Wireshark geschlossen' auf Heise Online
Quelle: 'Anmeldung bei ManageEngine ServiceDesk Plus MSP mit beliebigem Passwort möglich' auf Heise Online
Quelle: 'Sicherheitsupdate BIND: Angreifer könnten DNS-Server mit Anfragen überfluten' auf Heise Online
Quelle: 'Windows-10-Probleme mit Taskleiste und Office durch Barco Clickshare' auf Heise Online
20.01.2023 – Thunderbird 102.7 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Versionen 102.7 des beliebten E-Mail-Programmes veröffentlicht. Darin werden mehrere Sicherheitslücken behoben die in Summe zu einer Bedrohung der Einstufung "hoch" führen.
Details zu den Lücken hat Mozilla noch nicht veröffentlicht, möglicherweise deshalb, weil Version 102.7 Probleme mit Microsoft 365 Business E-Mail-Accounts hat. Wer ein solches Postfach verwendet soll auf keinen Fall auf die neue Version updaten, sondern auf Version 102.7.1 warten. Daher wurde auch das automatische Update deaktiviert. Wer also kein solches Postfach verwendet, sollte das Update manuell durchführen, indem man auf HILFE → ÜBER THUNDERBIRD klickt und dort das Update startet.
Info: 'Thunderbird 102.7 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
20.01.2023– Firefox 109 bringt Sicherheitsupdates
Mozilla hat Firefox 109 veröffentlicht. Die neue Version behebt 10 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 102.7.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Manifest V3 als Standard: Firefox 109 mit Sicherheitsupdates' auf Heise Online
20.01.2023 – Sicherheitsupdates für Java und weitere Oracle Software
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 327 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:
Oracle hat Version 8.0 Update 361 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 2 Sicherheitslücken (in den neueren Java Versionen waren es 3 bis 4 Lücken) geschlossen. Oracle stuft die Bedrohung mit einer 5.3 von 10 ein, obwohl mehrere Lücken aus der Ferne ausnützbar sein sollen. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 11, 12, 13, 14, 15, 16 und 18 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 17.0.6 oder 19.0.2 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
VirtualBox:
In dem PC-Emulator VirtualBox wurden 6 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lassen sich zudem 1 der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, sollte also unbedingt auf die neue Version 6.1.42 oder 7.0.6 updaten.
Download: Aktuelle VirtualBox 7.x Version auf VirtualBox.org
MySQL:
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Weitere Oracle Programme:
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - January 2023' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - January 2023' auf Oracle.com (Englisch)
Quelle: 'Patchday: Sicherheitslücken in über 100 Oracle-Produkten' auf Heise Online
20.01.2023 – Norton LifeLock – Passwörter gestohlen
Die nächste Nachricht über gestohlene Passwörter aus einem online Passwort-Manager macht die Runde. Diesmal geht es um den LifeLock genannten Online-Passwort-Manager von Norton bzw. "Gen Digital", wie die Firma sich nun anscheinend nennt.
Eindringlinge haben wohl zahlreiche Zugangsdaten durch einfaches "ausprobieren" geknackt und daraufhin Zugang zu den dort gespeicherten Passwörtern erhalten. Die alleinige Schuld kann man dem Betreiber hier zwar nicht geben, denn zu einfache Passwörter hatten da wohl ganz erheblich Mitschuld, nichtsdestoweniger sollte jeder seriöse Online-Dienst solche primitiven Ausprobier-Angriffe eigentlich erkennen und abblocken.
Nutzer die Norton LifeLock verwendet haben und kein sehr kompliziertes Passwort oder die 2-Faktor-Authentifizierung verwendet haben, sollten vorsichtshalber alle darin gespeicherten Passwörter rasch ändern. Nutzer wo sich Norton sicher ist, dass sie gehackt wurden, schreibt Norton sogar selbst an, darauf sollte man aber nicht warten bzw. sich darauf verlassen.
Grundsätzlich zeigt es einmal mehr, warum Online-Passwort-Manager keine gute Idee sind – zumindest aus Sicherheitsperspektive.
Quelle: 'NortonLifeLock: Hersteller warnt vor potenziell geknackten Passwortmanagern' auf Heise Online
20.01.2023 – MSI mit unsicherer SecureBoot Option
SecureBoot soll eigentlich dafür sorgen, dass nur zertifizierter Code gebootet werden kann. Microsoft schreibt z.B. SecureBoot daher bei Windows 11 kompatiblen Mainboards voraus. MSI hat das Sicherheitskonzept bei seinen Desktop-Mainboards aber bewusst sabotiert und ausgehöhlt. Zwar kann man SecureBook im BIOS auch dort aktivieren, es ist aber standardmäßig nutzlos! Erst wenn man eine weitere Option ("Image Execution Policy" auf [vermutlich] "No Execution") umstellt, ist SecureBoot tatsächlich wirksam.
Da MSI SecureBook standardmäßig im BIOS ohnehin deaktiviert, macht der ganze "Trick" mit dem nur scheinbar aktiviertem SecureBoot nicht den geringsten Sinn. Es wiegt nur die Benutzer, die SecureBoot bewusst verwenden wollen, in falsche Sicherheit. Bleibt nur zu hoffen das MSI dieses Täuschungsmanöver in seinen BIOSen möglichst bald abstellt. Außerdem wäre es wünschenswert, wenn SecureBoot standardmäßig aktiviert wäre (bei allen Herstellern), sodass man es nach einem BIOS-Reset nicht immer erst wieder einschalten muss.
Quelle: 'MSI-Motherboards sollen trotz aktivem Secure Boot manipulierte Systeme starten' auf Heise Online
20.01.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco: Hochriskantes Sicherheitsleck in Unified Communications Manager' auf Heise Online
Quelle: 'Jetzt patchen! Tausende Firewalls von Sophos angreifbar' auf Heise Online
Quelle: 'Jetzt patchen! Viele Cacti-Server öffentlich erreichbar und verwundbar' auf Heise Online
Quelle: 'Attacken auf kritische Lücke in ManageEngine-Produkte von Zoho bald möglich' auf Heise Online
Quelle: 'Industrie-Router von InHand: Angreifer könnten Geräte in der Cloud übernehmen' auf Heise Online
13.01.2023 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 109.0.5414.75 behebt 17 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Im 108er Versionszweig wurde Version 108.0.5359.179 veröffentlicht. Google nennt leider wie üblich keine Details, es ist aber davon auszugehen, dass diese Version denselben Sicherheitslevel hat wie die neueste 109er Version.
Anwender von Google Chrome sollten zügig auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: 17 Sicherheitslücken in Google Chrome gestopft' auf Heise Online
Vivaldi:
Die flinken Vivaldi-Mitarbeiter haben Version 5.6 Update 4 einen Tag nach Google veröffentlicht. Es basiert auf Chromium 108.0.5359.180, das heißt es ist sicherheitstechnisch aktuell.
Quelle: 'Minor update (4) for Vivaldi Desktop Browser 5.6' auf Vivaldi.com (Englisch)
Microsoft Edge:
Die Microsoft Edge Entwickler haben Chromium 109.0.5414.75 ebenfalls bereits in Edge (Version 109.0.1518.49) übernommen, auch wenn sie die Hinweise darauf wie üblich gut verstecken. Immerhin waren sie diesmal halbwegs flott und lassen Edge Anwender nicht lange im Regen stehen.
13.01.2023 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & Acrobat
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 22.003.20310 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB23-01 (Englisch)
Adobe InDesign
Im Layout-Programm InDesign hat Adobe mehrere kritische Sicherheitslücken behoben. Hier sollte man auf Version 17.4.1 (2022) oder 18.1 (2023) aktualisieren.
Info: Adobe Security Bulletin APSB23-07 (Englisch)
Adobe Dimension
In Adobes 3D-Programm 'Dimension' wurden zwei als "wichtig" eingestufte Schwachstellen behoben. Anwender des Programms sollten bei Gelegenheit auf Version 3.4.7 updaten.
Quelle: 'Adobe Security Bulletin APSB23-10' auf Adobe.com (Englisch)
Adobe InCopy:
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen kritische Sicherheitslücken. Hier sollte unbedingt auf Version 17.4.1 oder 18.1 aktualisiert werden, um sicher zu sein.
Info: Adobe Security Bulletin APSB23-08 (Englisch)
13.01.2023 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Bye Bye Windows 8.1!
Vergangenen Freitag hat Windows 8.1 nun das endgültig letzte Sicherheitsupdate bekommen. Wer immer noch einen Computer mit diesem Betriebssystem einsetzt, sollte nun wirklich schnell ein Upgrade durchführen. Viele Anwender werden uns jetzt für verrückt halten, wenn wir sagen, das Windows 8.1 das beste Windows aller Zeiten war. Windows 10 ist zwar in mancherlei Hinsicht durchaus noch besser, hat aber auch deutlich mehr Bugs und Fehler als Windows 8.1. Zudem war Windows 10 das erste System wo Microsoft begonnen hat Funktionen wegzulassen die in früheren Windows Versionen noch vorhanden waren. Über Windows 11 Hüllen wir was das angeht besser den Mantel des Schweigens, so traurig ist die Situation dort. Bye Bye Windows 8.1 ...
Office 2013 stirbt im April!
Anwender die immer noch Office 2013 (bzw. eines der Programme aus dieser Suite - Word, Outlook usw.) verwenden haben noch Gnadenfrist bis April. Dann folgt auch dort das letzte Sicherheitsupdate und die Programme werden sehr schnell sehr unsicher werden. Auch hier sollte man sich also langsam um Upgrades Gedanken machen, wenn ein Umstieg auf das kostenlose und sicherere LibreOffice keine Option ist.
Quelle: 'Zeit, Tschüss zu sagen: Windows 7, 8.1 und Server 2008/R2 ab heute altes Eisen' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 20H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday: Angreifer verschaffen sich unter Windows System-Rechte' auf Heise Online
13.01.2023 – Die nächsten Sicherheitslücken in Zoom
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.13 (Windows & Android) bzw. 5.11.4 (macOS) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Meeting-Client Zoom unter Android, macOS und Windows angreifbar' auf Heise Online
13.01.2023 – UEFI Sicherheitslücken in ARM-Geräten
Im BIOS das Qualcomm an seine Kunden liefert waren etliche Sicherheitslücken. Betroffen sind zahlreiche Geräte mit Qualcomm Prozessoren, wie Notebooks, Tablets und Smartphones. Da der Hersteller fast alle Tablet und Smartphone Produzenten beliefert, dürfte die Zahl der betroffenen Geräte gigantisch sein. Namentlich genannt wurden hingegen nur ARM-Notebook Hersteller wie z.B. Lenovo, Microsoft und HP.
Lenovo ist auch der erste Hersteller der Updates für ein Gerät bringt, und zwar für das ThinkPad X13s. Besitzer dieses Gerätes sollten zügig die Lenovo Updates installieren.
Bei den Millionen Android-Geräten die diese Lücken vermutlich aufweisen (der Qualcomm Sicherheitsbericht listet Android explizit als betroffen aus) sieht die Lage wie üblich schlecht aus, da so viele Geräte im Umlauf sind die gar keine Updates mehr bekommen.
Bei den in der Anzahl überschaubaren Notebooks mit ARM-Prozessoren dürfte es zumeist bald Updates geben, wie Lenovo demonstriert. Besitzer betroffener Smartphones werden hingegen großteils gar nie erfahren, ob das eigene Gerät betroffen ist, geschweige denn Updates erhalten. Wer jedoch ein Android-Gerät hat das grundsätzlich noch mit Updates versorgt wird, sollte auch sicherstellen, dass man auf dem neuesten Stand ist.
Quelle: 'UEFI-Sicherheitslücken bedrohen ARM-Geräte wie Microsoft Surface' auf Heise Online
13.01.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Kritische Sicherheitslücke in MatrixSSL ermöglicht Codeschmuggel' auf Heise Online
Quelle: Securepoint UTM: Hotfix schließt kritische Sicherheitslücke
Quelle: 'Patchday: SAP behandelt vier kritische Schwachstellen' auf Heise Online
Quelle: 'Exploit-Code gesichtet: Attacken auf IT-Monitoring-Tool Cacti möglich' auf Heise Online
Quelle: 'Kritische Sicherheitslücke bedroht End-of-Life-Router von Cisco' auf Heise Online
Quelle: 'Jetzt aktualisieren! Sicherheitslücke in SugarCRM wird ausgenutzt' auf Heise Online
Quelle: 'Angreifer könnten Netzwerkgeräte mit Junos OS via DoS-Attacke lahmlegen' auf Heise Online
Quelle: 'Cyber-Attacken auf kritische Lücke in Control Web Panel' auf Heise Online
Quelle: 'Windows: Verschwundene Start-Menüs und Taskbars sorgen für Verwirrung' auf Heise Online
06.01.2023 – Sicherheitsupdate für ThinkPad X13s
Lenovo hat eine abgesicherte BIOS-Version für das Business-Notebook ThinkPad X13s veröffentlicht. Darin hat der Hersteller ganze 9 Sicherheitslücken behoben die in Summe zu einem hohen Risiko führen sollen. Besitzer bzw. Administratoren dieses Notebooks sollten das neue BIOS zeitnah installieren.
Quelle: 'BIOS-Sicherheitsupdates: Mehrere Attacken auf Leonovo ThinkPad X13s möglich' auf Heise Online
06.01.2023 – Sicherheitslücke in Trend Micro Maximum Security
In der 'Maximum Security’ Software des Anti-Virus Herstellers Trend Micro wurden Sicherheitslücken entdeckt, die Angreifer für eine Rechteausweitung ausnützen könnten. Trend Micro stellt ein Sicherheitsupdate für die 2022er Version der Software parat. Die Sicherheitsmitteilung erwähnt nichts von einem automatischen Update, wir müssen daher davon ausgehen, dass Anwender die diese Software installiert haben das Update tatsächlich manuell herunterladen und installieren müssen.
Quelle: 'Trend Micros Sicherheitslösung Maximum Security benötigt einen Sicherheitspatch' auf Heise Online
06.01.2023 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Tausende Citrix-Server sind noch verwundbar' auf Heise Online
Quelle: 'Jetzt patchen! Noch 60.000 Exchange-Server für ProxyNotShell-Attacken anfällig' auf Heise Online
Quelle: 'Sicherheitspatch: Angreifer könnten Systeme mit IBM Tivoli Monitoring übernehmen' auf Heise Online
Quelle: 'Synology warnt vor kritischer Lücke in VPN-Plus-Server' auf Heise Online
Quelle: 'Zoho fixt Datenbank-Lücke in Password Manager Pro und Zugriffskontroll-Software' auf Heise Online
Quelle: 'Fortinet stopft Schadcode-Lücken in Netzwerk-Produkten' auf Heise Online
