News Archiv 2. Quartal 2023

Schlagzeilen * Details

Schlagzeilen:

• 30.06.2023 - Das nächste Chromium Sicherheitsupdate
• 30.06.2023 - Wieder Sicherheitsprobleme mit Nvidia Treibern & Software
• 30.06.2023 - Dell sichert BIOS zahlreicher Computer ab
• 30.06.2023 - Sicherheitsmeldungen für Administratoren
• 23.06.2023 - Kritische Sicherheitslücken in Asus-Routern
• 23.06.2023 - Sicherheitsupdate für Huawei Router
• 23.06.2023 - Sicherheitsupdates für Zyxel NAS Systeme
• 23.06.2023 - LibreOffice und Thunderbird rücken näher zusammen
• 23.06.2023 - Sicherheitsmeldungen für Administratoren
• 16.06.2023 - Das nächste Chromium Sicherheitsupdate
• 16.06.2023 - Sicherheitsupdate für zahlreiche Adobe Programme
• 16.06.2023 - Microsoft's Tag der Updates
• 16.06.2023 - Die nächsten Sicherheitslücken in Zoom
• 16.06.2023 - Wieder Sicherheitslücken in WordPress-Plugin
• 16.06.2023 - Sicherheitsmeldungen für Administratoren
• 09.06.2023 - Das nächste Chromium Sicherheitsupdate
• 09.06.2023 - Etliche gefährliche Erweiterungen im Chrome Web Store
• 09.06.2023 - Thunderbird 102.12 behebt Sicherheitslücken
• 09.06.2023 - Firefox 114 bringt Sicherheitsupdates
• 09.06.2023 - Gigabyte veröffentlicht erste BIOS-Sicherheitsupdates
• 09.06.2023 - Infizierte Minecraft-Add-Ons stehlen Zugangsdaten
• 09.06.2023 - Sicherheitsmeldungen für Administratoren
• 02.06.2023 - Das nächste Chromium Sicherheitsupdate
• 02.06.2022 - Neue iTunes Version behebt Sicherheitslücken!
• 02.06.2023 - Wieder Sicherheitslücken in WordPress-Plugin
• 02.06.2023 - Sicherheitsmeldungen für Administratoren
• 26.05.2023 - Neue LibreOffice Versionen beheben Sicherheitslücken
• 26.05.2023 - Sicherheitsupdates für Synology NAS Systeme
• 26.05.2023 - WordPress: Update für das Sicherheitsupdate
• 26.05.2023 - Sicherheitsmeldungen für Administratoren
• 19.05.2023 - Das nächste Chromium Sicherheitsupdate
• 19.05.2023 - Wieder Sicherheitslücken in WordPress
• 19.05.2023 - Sicherheitsmeldungen für Administratoren
• 12.05.2023 - Thunderbird 102.11 behebt Sicherheitslücken
• 12.05.2023 - Firefox 113 bringt Sicherheitsupdates
• 12.05.2023 - Microsoft's Tag der Updates
• 12.05.2023 - Adobe schließt im Mai nur wenige Sicherheitslücken
• 12.05.2023 - Sicherheitsmeldungen für Administratoren
• 05.05.2023 - Das nächste Chromium Sicherheitsupdate
• 05.05.2023 - Kritische Sicherheitslücke in TP-Link Archer AX21
• 05.05.2023 - Sicherheitsmeldungen für Administratoren
• 28.04.2023 - Aktive Sicherheitslücke in Microsoft Edge
• 28.04.2023 - Sicherheitsupdate für VMware Workstation (Player & Pro)
• 28.04.2023 - Sicherheitsmeldungen für Administratoren
• 21.04.2023 - Das nächste Chromium Sicherheitsupdate
• 21.04.2023 - Vivaldi 6.0 ist da!
• 21.04.2023 - Sicherheitsupdates für Java und weitere Oracle Software
• 21.04.2023 - Sicherheitsupdates für Foxit PDF Reader und PDF Editor
• 21.04.2023 - Dell sichert Notebooks mit erheblicher Verspätung ab
• 21.04.2023 - Sicherheitslücke in Trend Micro Software
• 21.04.2023 - Sicherheitsmeldungen für Administratoren
• 14.04.2023 - Thunderbird 102.10 behebt Sicherheitslücken
• 14.04.2023 - Firefox 112 bringt Sicherheitsupdates
• 14.04.2023 - Sicherheitsupdate für zahlreiche Adobe Programme
• 14.04.2023 - Microsoft's Tag der Updates
• 14.04.2023 - Wieder Sicherheitslücken in Lenovo Notebooks
• 14.04.2023 - Sicherheitslücken in Wireshark
• 14.04.2023 - Sicherheitsmeldungen für Administratoren
• 07.04.2023 - Das nächste Chromium Sicherheitsupdate
• 07.04.2023 - Wieder Sicherheitsprobleme mit Nvidia Treibern & Software
• 07.04.2023 - Wieder Sicherheitslücken in WordPress
• 07.04.2023 - Sicherheitsmeldungen für Administratoren

zur Übersicht

Details:

30.06.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 114.0.5735.199 (für Windows) behebt 4 Sicherheitslücken gegenüber der Vorversion. Eine der Lücken wird von Google mit Bedrohungsgrad "hoch" eingestuft.

Die 114er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Update für Google Chrome dichtet hochriskante Sicherheitslücken ab' auf Heise Online

Vivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und Version 6.1 Update 4 veröffentlicht. Abgesehen von der neuen Chromium-Version enthält diese Ausgabe auch weitere Fehlerkorrekturen.

Vivaldi Anwender sollten aufgrund der hochriskanten Sicherheitslücken ebenfalls möglichst rasch auf die aktuelle Version updaten.

Quelle: 'Minor update (4) for Vivaldi Desktop Browser 6.1' auf Vivaldi.com (Englisch)

Microsoft Edge:

Auch die Microsoft Edge Entwickler haben in Version 114.0.1823.67 die aktuellen Sicherheitsupdates übernommen. Genau wie für die Chrome- und Vivaldi-Anwender gilt auch hier, dass man möglichst rasch aktualisieren sollte.

Quelle: 'Edge Release Notes' auf Microsoft.com (Englisch)

zur Übersicht

30.06.2023 – Wieder Sicherheitsprobleme mit Nvidia Treibern & Software

Nvidia hat wieder einige Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. In den Grafikkartentreibern für "echte" Grafikkarten wurden in Summe 3 Lücken gefunden die teils sehr hohe Bedrohungsstufen haben. In den "virtuellen" Grafikkarten (VGPU) wurden eine Sicherheitslücke behoben, die ebenfalls als hohe Gefahr eingestuft wurde.

Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 474.44 oder 536.23 bei den GameReady-Treibern bzw. Version 536.40 bei den Studio-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 474.44, 529.11 oder 536.25) bereit.

Quelle: 'Nvida: Treiber-Updates gegen Sicherheitslücken' auf Heise Online

Download: Aktuelle Grafikkarten-Treiber von Nvidia.de

zur Übersicht

30.06.2023 – Dell sichert BIOS zahlreicher Computer ab

Dell hat Sicherheitslücken in der UEFI (BIOS) Software zahlreicher Desktop und Notebook Modelle aus seinem Portfolio behoben. Die behobenen Lücken können zwar nicht übers Internet ausgenützt werden, Besitzer eines der betroffenen Geräte sollten das BIO dennoch bei nächster Gelegenheit aktualisieren.

Leider hat Dell keine kombinierte Liste mit allen betroffenen Geräten, sondern eigene Listen für jede der drei Sicherheitslücken. Besitzer eines Dell-Computers sollten daher auf allen drei Listen nachsehen ob der eigene Computer dort aufscheint und gegebenenfalls die angebotenen Updates installieren.

Quelle: 'Sicherheitsupdates: Dell-BIOS gegen verschiedene Attacken gerüstet' auf Heise Online

Quelle: 'Dell Client BIOS Security Update for An Improper Authentication' auf Dell.com

Quelle: 'Dell Client BIOS Security Update for an Improper Input Validation' auf Dell.com

Quelle: 'Dell Client BIOS Security Update for an Out-of-bounds Write' auf Dell.com

zur Übersicht

30.06.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Lücken der SAP-Authentifizierung' auf Heise Online

Quelle: 'FortiNAC: Kritische Sicherheitslücke erlaubt Codeschmuggel, Update verfügbar' auf Heise Online

zur Übersicht

23.06.2023 – Kritische Sicherheitslücken in Asus-Routern

Asus hat für 18 Router aus seinem Portfolio Updates veröffentlicht die kritische Sicherheitslücken schließen. Besitzer eines Asus-Routers sollten unbedingt prüfen ob der eigene Router auf der Liste der betroffenen Geräte steht und gegebenenfalls zügig die neue Firmware installieren.

Quelle: 'Router: Asus rät zum zügigen Installieren von Sicherheitspatches' auf Heise Online

Quelle: 'Asus Sicherheitsbericht für Router' auf Asus.com (Englisch)

zur Übersicht

23.06.2023 – Sicherheitsupdate für Huawei Router

Auch für den WLAN-Router B535-232a von Huawei gibt es ein wichtiges Sicherheitsupdate. Laut dem Sicherheitsbericht von Huawei dürfte das Update direkt über die Router-Konfiguration möglich sein. Alle Besitzer dieses Routers sollten das Update zügig installieren.

Quelle: 'Sicherheitsupdate: Angreifer können Traffic von Huawei-WLAN-Router hijacken' auf Heise Online

Quelle: 'Security Advisory - Traffic Hijacking Vulnerability in Huawei Routers' auf Huawei.com (Englisch)

zur Übersicht

23.06.2023 – Sicherheitsupdates für Zyxel NAS Systeme

Wer ein NAS-System von Zyxel besitzt sollte prüfen ob es eventuell zu den Typen NAS326, NAS540 oder NAS542 gehört. Für diese 3 Typen von NAS-Systemen hat der Hersteller neue Firmware-Versionen veröffentlicht die eine als "kritisch" eingestufte Sicherheitslücke schließen. Betroffene Geräte sollten möglichst bald aktualisiert werden.

Quelle: 'Sicherheitsupdates: Angreifer können Zyxel NAS ins Visier nehmen' auf Heise Online

Quelle: 'Zyxel security advisory for pre-authentication command injection vulnerability in NAS products' auf Zyxel.com (Englisch)

zur Übersicht

23.06.2023 – LibreOffice und Thunderbird rücken näher zusammen

LibreOffice und Thunderbird waren auch bisher schon Anwendungen die oft gemeinsam anzutreffen waren, nun sollen die beiden Programme aber noch näher aneinander rücken. Aus dutzenden Einsendungen hat ein Team dabei 5 Bereiche ausgewählt, wie LibreOffice und Thunderbird in Zukunft besser zusammenarbeiten sollen. Vereinfacht gesagt geht es dabei darum die Benutzer-Oberflächen und Bedienung aneinander anzupassen. Weiters soll Thunderbird in Zukunft direkt auf bestimmte Funktionen aus LibreOffice zugreifen und LibreOffice umgekehrt z.B. das einfache einfügen von E-Mail-Adressen aus dem Thunderbird-Adressbuch beherrschen.

Abgesehen von einer nicht bebilderten Absichtserklärung gibt es bisher aber nichts davon zu sehen. Die beiden Organisationen hinter LibreOffice und Thunderbird bleiben auch weiterhin getrennt. Hoffen wir das hinter den Kulissen mehr Energie in dieses Projekt gesteckt wird als es der kahle Blog-Eintrag vermuten lässt.

Quelle: 'Thunderbird und LibreOffice: So sollen die Programme bald besser interagieren' auf Heise Online

Quelle: 'Community Voice: 5 Ways To Make Thunderbird and LibreOffice Better Together' auf Thunderbird.net (Englisch)

zur Übersicht

23.06.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'VMware Aria: Angriffe auf kritische Sicherheitslücke – Update installieren!' auf Heise Online

Quelle: 'Netzwerkbetriebssystem: Sicherheitslücke in Junos OS gestopft' auf Heise Online

Quelle: 'Hochriskante Sicherheitslecks in VMware vCenter Server und Cloud Foundation' auf Heise Online

Quelle: 'Sicherheitslücke: Exploit-Code für Cisco AnyConnect und Secure Client' auf Heise Online

zur Übersicht

16.06.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 114.0.5735.134 (für Windows) behebt 5 Sicherheitslücken gegenüber der Vorversion. Eine der Lücken wird von Google als "kritisch" eingestuft.

Die 114er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Neue Chrome-Version schließt kritische Schwachstelle' auf Heise Online

Vivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und Version 6.1 Update 2 veröffentlicht. Abgesehen von der neuen Chromium-Version enthält diese Ausgabe auch weitere Fehlerkorekturen.

Vivaldi Anwender sollten aufgrund der kritischen Sicherheitslücke ebenfalls möglichst rasch auf die aktuelle Version updaten.

Quelle: 'Minor update (2) for Vivaldi Desktop Browser 6.1' auf Vivaldi.com (Englisch)

Microsoft Edge:

Auch die Microsoft Edge Entwickler haben in Version 114.0.1823.51 die aktuellen Sicherheitsupdates übernommen. Genau wie für die Chrome- und Vivaldi-Anwender gilt auch hier, dass man möglichst rasch aktualisieren sollte.

Quelle: 'Edge Release Notes' auf Microsoft.com (Englisch)

zur Übersicht

16.06.2023 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Animate:

Im ehemals Flash genannten Web-Animationsprogramm wurde eine kritische Sicherheitslücke behoben. Wer Adobe Animate installiert hat, sollte es zügig auf Version 22.0.10 (2022) oder 23.0.2 (2023) aktualisieren und sämtliche älteren Fassungen deinstallieren.

Info: Adobe Security Bulletin APSB23-36 (Englisch)

Adobe Substance 3D Designer

In Adobes 3D-Programm 'Substance 3D Designer' wurde ebenfalls eine "kritische" Sicherheitslücke behoben. Anwender des Programms sollten so rasch wie möglich auf Version 13.0 updaten.

Quelle: 'Adobe Security Bulletin APSB23-39' auf Adobe.com (Englisch)

Adobe Experience Manager

Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es vier Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.

Quelle: Adobe Security Bulletin APSB23-31 (Englisch)

Adobe Magento bzw. Adobe Commerce

Im Webshop-System "Magento" bzw. "Commerce" wurden jede Menge Sicherheitslücken behoben, darunter auch zwei mit Einstufung "kritisch". Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.

Quelle: Adobe Security Bulletin APSB23-35 (Englisch)

zur Übersicht

16.06.2023 – Microsoft's Tag der Updates

Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Patchday: Microsoft repariert Exchange-Sicherheitsupdates' auf Heise Online

zur Übersicht

16.06.2023 – Die nächsten Sicherheitslücken in Zoom

Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.14.10 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.

Quelle: 'Webkonferenz-Software: Mehrere hochriskante Lücken in Zoom gestopft' auf Heise Online

zur Übersicht

16.06.2023 – Wieder Sicherheitslücken in WordPress-Plugin

Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'WordPress-Shops mit WooCommerce-Plug-in: Angreifer könnten Kundendaten einsehen' auf Heise Online

zur Übersicht

16.06.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Microsoft Patchday: Eines der Updates bedarf manueller Aktivierung' auf Heise Online

Quelle: 'HP Laserjet MFP: Kritische Lücke in mehr als 50 Modellen erlaubt Codeschmuggel' auf Heise Online

Quelle: 'Update anwenden: MOVEit Transfer schließt weitere Sicherheitslücke' auf Heise Online

Quelle: 'Fortinet: SSL-VPN-Lücke ermöglicht Codeschmuggel' auf Heise Online

Quelle: 'Patchday Fortinet: Passwort- und Schadcode-Attacken möglich' auf Heise Online

Quelle: 'Patchday: SAP schließt unter anderem eine Authentifizierungslücke' auf Heise Online

Quelle: 'Angreifer können Citrix ShareFile StorageZones Controller übernehmen' auf Heise Online

Quelle: 'Neue kritische MOVEit-Sicherheitslücke – Cybergang Cl0p veröffentlicht Namen' auf Heise Online

zur Übersicht

09.06.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 114.0.5735.110 (für Windows) behebt zwei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.

Die 114er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten, da eine der Sicherheitslücken bereits aktiv ausgenützt wird!

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Zero-Day-Lücke: Schwachstelle in Javascript-Engine von Chrome wird angegriffen' auf Heise Online

Vivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch auf die aktuell ausgenutzte Sicherheitslücke reagiert. Am Montag wurde zuerst ein Sicherheitsupdate für die 6.0er Serie veröffentlicht. Am Donnerstag kam dann Vivaldi 6.1 mit der aktuellen Chromium Software und heute haben die Norweger noch einmal ein Update hinterhergeschoben, das ein paar kleinere Fehler behoben hat.

Neu in der 6.1er Serie sind verbesserte Möglichkeiten sich als anderer Browser auszugeben, da leider immer noch viele Webseiten Vivaldi aussperren. Zudem wurden die Funktion Arbeitsbereiche nochmals verbessert und URLS von Websites lassen sich nun gleich für mehrere Tabs auf einmal kopieren.

Vivaldi Anwender sollten aufgrund der aktiv ausgenutzten Sicherheitslücken ebenfalls möglichst rasch auf die aktuelle Version updaten.

Quelle: 'Minor update (5) for Vivaldi Desktop Browser 6.0' auf Vivaldi.com (Englisch)

Quelle: 'Vivaldi umgeht die Einschränkungen für den Zugriff auf Bing Chat. Verbessert Workspaces.' auf Vivaldi.com (Deutsch)

Quelle: 'Minor update for Vivaldi Desktop Browser 6.1' auf Vivaldi.com (Englisch)

Microsoft Edge:

Auch die Microsoft Edge Entwickler haben in Version 114.0.1823.41 die aktuellen Sicherheitsupdates übernommen. Genau wie für die Chrome- und Vivaldi-Anwender gilt auch hier, dass man möglichst rasch aktualisieren sollte.

Quelle: 'Edge Release Notes' auf Microsoft.com (Englisch)

zur Übersicht

09.06.2023 – Etliche gefährliche Erweiterungen im Chrome Web Store

Google hat über seinen Chrome Web Store gefährliche Erweiterungen an mindestens 87 Millionen Nutzer verteilt. Das genaue Ausmaß der betrügerischen Erweiterungen ist mit Sicherheit gar nicht bekannt, aber bereits die Liste der Erweiterungen bei denen man mit Sicherheit weiß, dass sie schädlich waren bzw. immer noch sind, ist lang.

Wir empfehlen daher jedem Nutzer der Erweiterungen aus dem Chrome Web Store bezogen hat nachzusehen, ob diese in der Liste aufscheinen und wenn ja, diese umgehend zu deinstallieren.

Allerdings bedeutet es nicht, das Erweiterungen die nicht auf der Liste stehen, automatisch sicher sind. Generell gilt das man so wenig Erweiterungen wie nur irgend möglich verwenden sollte, da jede einzelne davon eine potentielle Sicherheitslücke darstellt. Zwar behauptet Google alle Erweiterungen zu prüfen, doch dass diese Prüfung nicht sehr umfangreich ist belegen die immer neuen Funde von bösartigen Erweiterungen im Store.

Quelle: 'Webbrowser: Schadcode in Chrome-Erweiterungen mit 87 Millionen Nutzern' auf Heise Online

Quelle: 'Liste der gefährlichen Erweiterungen' auf palant.info (Englisch)

zur Übersicht

09.06.2023 – Thunderbird 102.12 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 102.12 des beliebten E-Mail-Programmes veröffentlicht. Bisher steht nur fest, das auch diese Version wieder Sicherheitslücken schließt. Wie viele Lücken und mit welcher Auswirkung ist mangels Sicherheitsbericht noch nicht ersichtlich. Basierend auf dem Bericht von Firefox ESR dürften es aber mindestens 1 bis 2 Lücken mit "hoher" Risikobewertung sein.

Abgesehen von den Sicherheitslücken wurden auch noch ein paar funktionale Fehler behoben.

Alle Thunderbird Anwender sollten auf die neue Version updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Info: 'Thunderbird 102.12 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

09.06.2023 – Firefox 114 bringt Sicherheitsupdates

Mozilla hat Firefox 114 veröffentlicht. Die neue Version behebt 4 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 102.12.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

Quelle: 'Sicherheitsupdates: Firefox und Firefox ESR gegen mögliche Attacken gerüstet' auf Heise Online

zur Übersicht

09.06.2023 – Gigabyte veröffentlicht erste BIOS-Sicherheitsupdates

Gigabyte war kürzlich ins Visier von Sicherheitsforschern geraten, als in mindestens 270 Mainboard-BIOS-Dateien Sicherheitslücken gefunden wurden. Der Hersteller hat mittlerweile reagiert und für erste Mainboards abgesicherte BIOS-Updates veröffentlicht. Besitzer eines PCs mit Gigabyte Mainboard sollten in den nächsten Wochen und Monaten daher auf jeden Fall öfter mal nach passenden BIOS-Updates suchen und diese gegebenenfalls auch installieren.

Quelle: 'Unsichere Firmware: Gigabyte liefert BIOS-Updates für Mainboards' auf Heise Online

zur Übersicht

09.06.2023 – Infizierte Minecraft-Add-Ons stehlen Zugangsdaten

In Zusatzsoftware für das beliebte Computerspiel "Minecraft" wurde der Trojaner "Fractureise" entdeckt. Wer Erweiterungen für das Spiel nicht von den offiziellen Microsoft-Servern heruntergeladen hat, sollte seinen PCs sicherheitshalber überprüfen und seine Zugangsdaten ändern. Details dazu im Heise Online Artikel.

Quelle: 'Minecraft-Modifikationspakete mit Fractureiser-Malware verseucht' auf Heise Online

zur Übersicht

09.06.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Big-Data-Unternehmen Splunk schließt teils kritische Sicherheitslücken' auf Heise Online

Quelle: 'Sicherheitsupdates Cisco: Angreifer könnten Passwörter beliebiger Nutzer ändern' auf Heise Online

Quelle: 'Trend Micro Apex One: Hochriskante Schwachstellen ausgebessert' auf Heise Online

Quelle: 'Schadcode-Attacken auf Netzwerk-Monitoringlösung von VMware möglich' auf Heise Online

Quelle: 'Windows-Admins aufgepasst: SMB-Dateitransfer nur noch mit Signatur' auf Heise Online

Quelle: 'Cyber-Attacken: Admins müssen attackierte Barracuda ESG sofort ersetzen' auf Heise Online

zur Übersicht

02.06.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 114.0.5735.91 behebt 16 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.

Die 114er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Google Chrome 114 schließt 16 Lücken und verbessert Sicherheit' auf Heise Online

Vivaldi:

Wie bei Versions-Zweig-Wechseln üblich hat Vivaldi noch keine neue Version bereit. Da keine der neu bekanntgewordenen Sicherheitslücken aktiv ausgenützt werden dürfte, ist das noch kein Problem. Die Vivaldi-Entwickler arbeiten mit Hochdruck an der neuen Version, die wir in der nächsten Woche erwarten würden.

Microsoft Edge:

Auch die Microsoft Edge Entwickler haben Chromium 113 noch nicht übernommen. Genau wie für Vivaldi-Anwender gilt auch hier, dass man sich aktuell noch keine Sorgen machen sollte deshalb. Bei Microsoft ist auch ein Update am Wochenende nicht auszuschließen.

zur Übersicht

02.06.2022 – Neue iTunes Version behebt Sicherheitslücken!

Apple behebt mit iTunes 12.12.9 zwei Sicherheitslücken in der Multimedia Software für Windows. Beide Lücken ermöglichen eine Rechteausweitung und dienen daher nicht primär zur Infektion eines Computers.

Anwender, die iTunes tatsächlich benötigen, sollten bei Gelegenheit auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs spürbar langsamer machen, selbst wenn sie gar nicht verwendet werden.

Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.

Quelle: 'iTunes: Sicherheitslücke unter Windows schnell patchen' auf Heise Online

zur Übersicht

02.06.2023 – Wieder Sicherheitslücken in WordPress-Plugin

Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Zwangsupdate: WordPress-Websites über Jetpack-Lücke manipulierbar' auf Heise Online

zur Übersicht

02.06.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Kollaborations-Tool Nextcloud: Updates schließen hochriskante Lücken' auf Heise Online

Quelle: 'Angreifer könnten Netzwerkanalysetool Wireshark crashen lassen' auf Heise Online

Quelle: 'Zero-Day-Lücke: Leck in Barracudas ESG bereits seit 7 Monaten missbraucht' auf Heise Online

Quelle: 'Jetzt patchen! Angreifer leiten Daten über MOVEit-Transfer-Sicherheitslücke aus' auf Heise Online

Quelle: 'Sicherheitsupdates: Schwachstellen machen Schutzsoftware von Symantec angreifbar' auf Heise Online

zur Übersicht

26.05.2023 – Neue LibreOffice Versionen beheben Sicherheitslücken

Die LibreOffice-Entwickler haben die Versionen 7.4.7 und 7.5.3 des freien OfficePaketes veröffentlicht. Darin wurden unter anderem Sicherheitslücken geschlossen die zur Infektion eines Computers führen können. Bereits das Öffnen einer LibreOffice-Datei kann von Angreifern ausgenützt werden.

Anwender von LibreOffice sollten also auf die Version 7.4.7 updaten. Die Version 7.5.3 ist nach wie vor eher für Anwender geeignet die kein Problem mit letzten Kinderkrankheiten haben und auch bereit sind diese an die Entwickler zu melden.

Quelle: 'LibreOffice-Lücken: Risiko von Codeschmuggel mit präparierten Dokumenten' auf Heise Online

Download: Aktuelle LibreOffice Versionen

zur Übersicht

26.05.2023 – Sicherheitsupdates für Synology NAS Systeme

Synology hat Sicherheitsupdates für sein NAS-Betriebssystem DSM 6.2 veröffentlicht. Alle Besitzer/Administratoren eines NAS-Gerätes mit dieser Software sollten zügig auf Version 6.2.4-25556-7 oder neuer aktualisieren, um das Gerät abzusichern.

Quelle: 'Pwn2own-Lücken: Synology liefert Sicherheitsupdate für DSM 6.2 nach' auf Heise Online

zur Übersicht

26.05.2023 – WordPress: Update für das Sicherheitsupdate

Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'WordPress 6.2.2: Durch Sicherheitspatch ausgelösten Fehler ausgebügelt' auf Heise Online

zur Übersicht

26.05.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'HP OfficeJet: Schadhaftes Firmware-Update legt manche Multifunktionsdrucker lahm' auf Heise Online

Quelle: 'CUPS: Sicherheitslücke in Drucksystem ermöglicht Schadcodeausführung' auf Heise Online

Quelle: 'Angreifer könnten Entwicklungsumgebungen mit Jenkins attackieren' auf Heise Online

Quelle: 'Zero-Day-Lücke in Barracudas Email Security Gateway' auf Heise Online

Quelle: 'Sicherheitsupdates: Zyxel-Firewalls anfällig für Schadcode-Attacken' auf Heise Online

Quelle: 'Teils kritische Sicherheitslücken in Mitel MiVoice Connect' auf Heise Online

Quelle: 'Kritische Sicherheitslücke mit Höchstwertung bedroht GitLab' auf Heise Online

Quelle: 'Kritische Lücken in Netzwerkverwaltungssoftware D-Link D-View 8 geschlossen' auf Heise Online

zur Übersicht

19.05.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 113.0.5672.127 behebt 12 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.

Im 112er Versionszweig wurde Version 112.0.5615.204 veröffentlicht. Google nennt leider wie üblich keine Details, es ist aber davon auszugehen, dass diese Version denselben Sicherheitsstand hat wie die neueste 113er Version.

Anwender von Google Chrome sollten zügig auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Kritische Sicherheitslücke in Google Chrome' auf Heise Online

Vivaldi:

Die flinken Vivaldi-Mitarbeiter haben Version 6.0 Update 3 ein paar Stunden nach Google veröffentlicht. Es basiert auf Chromium 112.0.5615.205, das heißt es ist sicherheitstechnisch aktuell. Darüber hinaus wurden einige weitere Fehler behoben.

Quelle: 'Minor update (3) for Vivaldi Desktop Browser 6.0' auf Vivaldi.com (Englisch)

Microsoft Edge:

Microsoft hat die neuesten Sicherheitsupdates aus dem Chromium-Projekt ebenfalls relativ zügig übernommen und am Donnerstag Edge Version 113.0.1774.50 veröffentlicht. Anwender von Microsoft Edge sollten ebenfalls zügig auf die neue Version updaten.

zur Übersicht

19.05.2023 – Wieder Sicherheitslücken in WordPress

Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Millionen Webseiten betroffen: Kritische Lücke in populärem Wordpress-Plug-in' auf Heise Online

zur Übersicht

19.05.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Synology VPN Plus Server aufgrund von Schwachstelle angreifbar' auf Heise Online

Quelle: 'Angreifer könnten Netzwerke über Lücken in Nessus Network Monitor attackieren' auf Heise Online

Quelle: 'JavaScript-Sandbox vm2: PoC zeigt neuen Sandbox-Ausbruch' auf Heise Online

Quelle: 'Attacken könnten bevorstehen: Kritische Root-Lücken bedrohen Cisco-Switches' auf Heise Online

zur Übersicht

12.05.2023 – Thunderbird 102.11 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 102.11 des beliebten E-Mail-Programmes veröffentlicht. Darin werden mehrere Sicherheitslücken behoben die in Summe zu einer Bedrohung der Einstufung "hoch" führen.

Alle Thunderbird Anwender sollten auf die neue Version updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Info: 'Thunderbird 102.11 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

12.05.2023 – Firefox 113 bringt Sicherheitsupdates

Mozilla hat Firefox 113 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 102.11.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

Quelle: 'Webbrowser: Firefox 113 schließt Sicherheitslücken und kennt mehr Bildformate' auf Heise Online

zur Übersicht

12.05.2023 – Microsoft's Tag der Updates

Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Überfälliges Edge-Update nachgeholt!

Vergangenen Freitag hatten wir noch berichtet, dass Microsoft Anwender von Edge ein wenig im Regen stehen lässt, weil wichtige Sicherheitsupdate gefehlt haben. Das hat Microsoft inzwischen nachgeholt und somit präsentiert sich Microsoft Edge sicherheitstechnische wieder auf demselben Stand wie Google Chrome. Nicht behoben scheint jedoch das Datenschutz-Problem mit der Funktion "Vorschläge zum Folgen von Creator in Microsoft Edge anzeigen", die daher weiterhin abgeschaltet bleiben sollte.

Heikle Sicherheitslücke gefährdet vor allem Outlook-Nutzer!

Unter den zahlreichen Sicherheitslücken, die Microsoft mit den Mai-Updates schließt, ist eine besonders kritisch, da sie die Infektion des Computers nur durch Betrachten einer E-Mail in Outlook ermöglicht. Outlook ist dabei aber nur ein Einfallstor, die eigentliche Lücke steckt in der Windows Funktion "OLE". Abgesehen von E-Mails sind deshalb auch andere Angriffe wie manipulierte Office-Dateien möglich. Windows-Anwender sollten daher unbedingt zügig die Mai-Windows-Updates installieren.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 20H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Microsoft Patchday: Angreifer verschaffen sich System-Rechte unter Windows' auf Heise Online

Quelle: 'Microsoft-Webbrowser: Edge 113 schließt Sicherheitslücken' auf Heise Online

zur Übersicht

12.05.2023 – Adobe schließt im Mai nur wenige Sicherheitslücken

Adobe beschert Administratoren rund um den Globus erfreulich wenig Arbeit im Mai. Wenn es dabei bleibt, gilt es nur Updates für die 3D-Anwendung "Substance 3D Painter" zu installieren. Da es kein sehr weit verbreitetes Programm ist, dürfte der Aufwand für Admins sehr oft bei null liegen.

Wer "Substance 3D Painter" verwendet sollte sich mit der Aktualisierung aber sputen, denn Adobe hat nicht weniger als 14 Sicherheitslücken behoben, 11 davon kritischer Natur. Die Versionsnummer der abgesicherten Version lautet 8.3.1.

Quelle: 'Patchday: Adobe schließt Schadcode-Lücke in Substance 3D Painter' auf Heise Online

zur Übersicht

12.05.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Kritische Schwachstellen ermöglichen Übernahme von Aruba Access Points' auf Heise Online

Quelle: 'Shopsystem: Kritische Sicherheitslücke in Prestashop wird angegriffen' auf Heise Online

Quelle: 'Patchday: 18 Sicherheitsnotizen zu teils kritischen Lücken in SAP-Software' auf Heise Online

zur Übersicht

05.05.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 113.0.5672.64 behebt 15 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.

Im 112er Versionszweig wurde Version 112.0.5615.179 veröffentlicht. Google nennt leider wie üblich keine Details, es ist aber davon auszugehen, dass diese Version denselben Sicherheitsstand hat wie die neueste 113er Version.

Anwender von Google Chrome sollten zügig auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome 113: Sicherheitsupdate für den Webbrowser' auf Heise Online

Vivaldi:

Die flinken Vivaldi-Mitarbeiter haben Version 6.0 Update 2 ein paar Stunden nach Google veröffentlicht. Es basiert auf Chromium 112.0.5615.180, das heißt es ist sicherheitstechnisch aktuell.

Quelle: 'Minor update (2) for Vivaldi Desktop Browser 6.0' auf Vivaldi.com (Englisch)

Microsoft Edge:

Microsoft hat die neuesten Sicherheitsupdates aus dem Chromium-Projekt leider noch nicht übernommen und lässt seine Anwender daher wieder einmal etwas im Regen stehen. Zumindest gibt es keine Anzeichen dafür, das eine der Lücken bereits aktiv ausgenützt wird, sodass Anwender von Edge nicht zwangweise auf einen anderen Browser ausweichen müssen bis ein Update vorliegt.

zur Übersicht

05.05.2023 – Kritische Sicherheitslücke in TP-Link Archer AX21

Im WLAN-Router TP-Link Archer AX21 wurde eine kritische Sicherheitslücke bekannt, die es Angreifern relativ einfach ermöglicht die vollständige Kontrolle über den Router zu bekommen. Da der Angriff auch aus dem Internet heraus möglich ist, ist das eine extrem kritische Sicherheitslücke und Besitzer des Geräts sollten unbedingt schnellstmöglich die abgesicherte Firmware von TP-Link installieren.

Welche Hardware-Revision ist betroffen?

Leider sind alle Sicherheitsmeldungen unspezifisch was die Hardware-Revision angeht. Den AX21 gibt es aktuell bereits in sechs Hardware-Revisionen (1.20, 1.26, 2.0, 2.6, 3.0 3.6), die unterschiedliche Firmware-Pakete verwenden. Abgesichert scheinen nur die beiden 3.x Revisionen zu sein. Ob der Fehler in älteren Hardware-Revision nicht enthalten ist, ist unklar. Besitzer des Gerätes müssen jedenfalls die Firmware passend zur Hardware-Revision herunterladen. Wenn die TP-Link-Website nachfrägt, ob man "from Austria?" sei, klicken sie die Meldung über das "x" weg, andernfalls werden nur 2 Hardware-Revisionen angeboten.

Quelle: 'Angriffe auf Lücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic' auf Heise Online

Quelle: 'Beschreibnung der Sicherheitslücke von den Entdeckern' auf tenable.com (Englisch)

Download: Abgesicherte Firmware für TP-Link Archer AX21

zur Übersicht

05.05.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Medizin-Geräte: Warnung vor kritischer Sicherheitslücke in Illumina-Software' auf Heise Online

Quelle: 'Angriffe auf Lücken in TP-Link Archer, Apache Log4j2 und Oracle Weblogic' auf Heise Online

Quelle: 'HP-Drucker: Hochriskante Sicherheitslücken in mehreren Laserjet Pro/MFPs' auf Heise Online

Quelle: 'Patchday Fortinet: Angreifer könnten eigene Befehle ausführen' auf Heise Online

Quelle: 'Gefährliche Lücke in Veritas InfoScale Operations Manager mit Hürden' auf Heise Online

Quelle: 'Kritische Schadcode-Lücke in Cisco SPA112 2-Port Phone Adapter bleibt offen' auf Heise Online

Quelle: 'Patchday: Angreifer könnten F5-Netzwerkprodukte aus dem Verkehr ziehen' auf Heise Online

zur Übersicht

28.04.2023 – Aktive Sicherheitslücke in Microsoft Edge

In Edge wurde eine aktuelle Sicherheitslücke bekannt, die bisher noch nicht behoben wurde. Die standardmäßig aktivierte Funktion "Folgen von Creator", ist nicht nur schlecht ins Deutsche übersetzt, sie enthält auch einen Bug, der dafür sorgt, dass sämtliche besuchte Website-Adresse an Microsoft übermittelt werden. Wer auf Datenschutz Wert legt sollte diese Funktion in Edge daher unbedingt deaktivieren.

Dazu klickt man in Edge auf oben rechts auf das Symbol mit den drei waagerechten Pünktchen und dann auf Einstellungen. Im Einstellungsfenster klickt man in der linken Spalte auf "Datenschutz, Suche und Dienste" und scrollt dann rechts bis ganz nach unten. Unter "Dienste" findet sich dann die Option "Vorschläge zum Folgen von Creator in Microsoft Edge anzeigen", die man deaktivieren sollte. Dann kann man den "Einstellungen"-Tab wieder schließen.

Quelle: 'Feature mit Bug: Microsoft Edge telefoniert besuchte Seiten nach Hause' auf Heise Online

zur Übersicht

28.04.2023 – Sicherheitsupdate für VMware Workstation (Player & Pro)

In der Desktop-Virtualisierungslösung VMware Workstation wurden mehrere Sicherheitslücken behoben. Anwender des Programms (egal ob Player oder Pro) sollten daher ein Update auf Version 17.0.2 durchführen.

Quelle: 'VMware Workstation und Fusion: Hersteller stopft kritische Zero-Day-Lücke' auf Heise Online

zur Übersicht

28.04.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Jetzt patchen! Angreifer attackieren Druck-Management-Lösung Papercut MF/NG' auf Heise Online

Quelle: 'Solarwinds-Update dichtet zwei hochriskante Sicherheitslücken ab' auf Heise Online

Quelle: 'Zyxel schließt teils kritische Sicherheitslücken in Firewalls und Access Points' auf Heise Online

Quelle: 'Onlineshop-System PrestaShop: Angreifer könnten Datenbank manipulieren' auf Heise Online

Quelle: 'Grafana: Update schließt hochriskante Schwachstelle im Datenvisualisierungs-Tool' auf Heise Online

Quelle: 'Sicherheitspatches: Angreifer könnten Nvidia Cuda, DGX-1 & Co. attackieren' auf Heise Online

Quelle: 'VMware Workstation und Fusion: Hersteller stopft kritische Zero-Day-Lücke' auf Heise Online

zur Übersicht

21.04.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Seit dem letzten Newsletter musste der Konzern sogar zweimal Updates veröffentlichen, um kritische Sicherheitslücken, die in freier Wildbahn bereits aktiv ausgenutzt wurden, zu beheben. Das betraf zumindest das Update von letzten Samstag. Das Update, das diese Woche veröffentlicht wurde, dürfte hingegen eher ein geplantes Update gewesen sein, mit dem Google 8 weitere Sicherheitslücken geschlossen hat. Die letzte Ausgabe trägt nun unter Windows die Version 112.0.5615.138.

Die 112er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten zügig auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Zero-Day-Lücke: Google aktualisiert Webbrowser Chrome außer der Reihe' auf Heise Online

Quelle: 'Webbrowser: Neue Zero-Day-Lücke in Google Chrome' auf Heise Online

Vivaldi:

Bei Vivaldi gibt es so viele Neuigkeiten, dass wir das in einen separaten Artikel (siehe unten) ausgelagert haben.

Microsoft Edge:

Bei Microsoft herrscht diese Woche verkehrte Welt. Bisher haben wir meist bekrittelt, dass zwar ein Update für Edge verfügbar war, es aber keine Information dazu gibt. Diese Woche gibt es zwar die Information zu einem Update auf Edge Version 112.0.1722.54, nur das Update selbst kann blöderweise noch nicht heruntergeladen werden – zumindest in Österreich. Ob die Verteilung des Updates regional gestaffelt ist wissen wir nicht, aber wer wie wir, bisher noch Edge Version 112.0.1722.48 auf seinem Windows-PC hat, ist noch nicht gegen die zuletzt bekannt gewordenen Sicherheitslücken geschützt. Dann sollte man entweder erhöhte Vorsicht walten lassen oder zumindest vorübergehend auf Vivaldi ausweichen.

zur Übersicht

21.04.2023 – Vivaldi 6.0 ist da!

Vivaldi hat seit dem letzten Newsletter sogar 3 Updates veröffentlicht! Zuerst haben die Norweger das Sicherheitsupdate vom Samstag zurückportiert in die Vivaldi 5.7 Serie und dort ein entsprechendes Update veröffentlicht. Am Dienstag wurde dann Version 6.0 von Vivaldi fertiggestellt, worin neue Funktionen Einzug hielten und weitere Sicherheitslöcher gestopft wurden, und bereits einen Tag später gab es Vivaldi 6.0 Update 1, welches vor allem das zweite Chromium Sicherheitsupdate der vergangenen Tage mit sich brachte.

Vivaldi 6.0 bringt "Arbeitsbereiche"

Wenn Vivaldi von Version 5.7 auf 6.0 springt, würde man ein "umfangreicheres" Update erwarten und tatsächlich bringt die neue Version zumindest eine neue Funktion mit, die sich doch deutlich von den eher "verspielten" Neuerungen der letzten Ausgaben abhebt. Die Rede ist von "Arbeitsbereichen" (auf Englisch "Workspaces"). Anders als der Name suggerieren könnte, sind diese Arbeitsbereiche auch für Leute interessant, die den Browser nicht zum "arbeiten" verwenden. Arbeitsbereiche ermöglichen es Tabs, die zu einem Themenbereich gehören, zusammenzufassen. Man könnte also einen Arbeitsbereich für "Arbeit" anlegen, einen für "Hobby", einen für "Reisen" und so weiter. Jeder Arbeitsbereich kann seinen eigenen Namen und Symbol erhalten, sodass man diese gut auseinanderhalten kann. Über einen Knopf links in der Adresszeile schaltet man zwischen den Arbeitsbereichen hin und her. Kurzum, diese neue Funktion ist eine echte Erleichterung um in bisher prall gefüllten Tab-Leisten Ordnung zu schaffen. Auch wenn Vivaldi wahrscheinlich die innovativste Browser-Firma ist, diese Neuerung geht auf das Konto von Opera, wo diese Funktion schon seit längerer Zeit verfügbar ist.

Andere Neuigkeiten und Fazit

Vivaldi selbst listet übrigens die nochmals verbesserte Anpassbarkeit der Benutzeroberfläche an erster Stelle der Neuerungen in Version 6.0. Diese geht nun sogar so weit, das man sogar das Look and Feel von Windows 95 simulieren könnte, wenn man denn wollte. Erreicht wird das unter anderem dadurch, das man sogar einzelne Icons der Benutzeroberfläche durch eigene Symbole austauschen kann. Funktional und aus unserer Sicht betrachtet, stufen wir die "Arbeitsbereiche" als die erheblich wichtigere Neuerung ein. Wer die "Arbeitsbereiche" nicht nutzen möchte, kann den Knopf in der Adresszeile wie üblich einfach ausblenden. An dem Update führt (wie bei Browsern üblich) allein schon aufgrund der Sicherheitsupdates kein Weg vorbei, daher sollten alle Vivaldi Anwender möglichst zügig auf Version 6.0 Update 1 (6.0.2979.15) aktualisieren, sofern nicht bereits geschehen.

Quelle: 'Vivaldi 6.0: Organisiert Tabs mit den neuen Workspaces und personalisiert deinen Browser mit Custom Icons.' auf Vivaldi.com

zur Übersicht

21.04.2023 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 433 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java:

Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 8 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.4 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender die Java installiert haben sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 371 aktualisieren.

Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 11, 12, 13, 14, 15, 16, 18 und 19 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 17.0.7 oder 20.0.1 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.

Download: Aktuelle Java Version

VirtualBox:

In dem PC-Emulator VirtualBox wurden 11 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich zudem eine der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, sollte also unbedingt auf die neue Version 6.1.44 oder 7.0.8 updaten.

Download: Aktuelle VirtualBox 7.x Version auf VirtualBox.org

MySQL:

Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - January 2023' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - April 2023' auf Oracle.com (Englisch)

Quelle: 'Critical Patch Update: Oracle kümmert sich um 433 Sicherheitslücken' auf Heise Online

zur Übersicht

21.04.2023 – Sicherheitsupdates für Foxit PDF Reader und PDF Editor

Wer anstelle des Adobe Reader bzw. Acrobat auf PDF Reader bzw. PDF Editor aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 12.1.2 behebt mehrere Sicherheitslücken von denen wir ein paar durchaus als "kritisch" einstufen würden.

Wer den kostenlosen "PDF Reader" oder bereits eine 12er Version von "PDF Editor" verwendet sollte unbedingt zügig auf die aktuelle Version updaten. Wer noch Version 11 des Editors oder Foxit PhantomPDF (der alte Name von Foxit PDF Editor) einsetzt, sollte ein Upgrade auf die aktuelle Version von Foxit PDF Editor erwerben und installieren.

Quelle: 'Mehrere Schadcode-Lücken in Foxit PDF geschlossen' auf Heise Online

zur Übersicht

21.04.2023 – Dell sichert Notebooks mit erheblicher Verspätung ab

Für manche Notebooks aus den Serien Alienware, G15, Inspiron und Vostro stellt Dell jetzt abgesicherte UEFI-Versionen (BIOS-Updates) bereit. Die darin behobenen Sicherheitslücken sind teilweise seit über einem Jahr bekannt. Warum der Hersteller die Updates erst so spät veröffentlicht, und noch später darauf hingewiesen hat, ist nicht bekannt.

Besitzer eines Notebooks aus den betroffenen Serien sollten prüfen, ob ein aktualisiertes UEFI verfügbar ist und dieses gegebenenfalls zügig updaten.

Quelle: 'Sicherheitsupdates: Dell sichert seit 2022 verwundbare Laptops erst jetzt ab' auf Heise Online

zur Übersicht

21.04.2023 – Sicherheitslücke in Trend Micro Software

In der Software des Anti-Virus Herstellers Trend Micro wurden Sicherheitslücken entdeckt, die Angreifer für eine Rechteausweitung ausnützen könnten. Trend Micro hat den Fehler in den Consumer-Produkten mit den Jahreszahlen 2021, 2022 und 2023 behoben und per "ActiveUpdate" ausgeliefert. Anwender, die diese Software verwenden, sollte daher rasch auf die neuesten Versionen updaten.

Quelle: 'Sicherheitsupdates: Trend Micro Security macht Windows-PCs verwundbar' auf Heise Online

zur Übersicht

21.04.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Kritische Lücken bedrohen Cisco Industrial Network Director und Modeling Labs' auf Heise Online

Quelle: 'Root-Lücken bedrohen Analysetool VMware Aria Operations for Logs' auf Heise Online

zur Übersicht

14.04.2023 – Thunderbird 102.10 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 102.10 des beliebten E-Mail-Programmes veröffentlicht. Darin werden mehrere Sicherheitslücken behoben die in Summe zu einer Bedrohung der Einstufung "hoch" führen.

Alle Thunderbird Anwender sollten auf die neue Version updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Info: 'Thunderbird 102.10 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

14.04.2023 – Firefox 112 bringt Sicherheitsupdates

Mozilla hat Firefox 112 veröffentlicht. Die neue Version behebt 22 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 102.10.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

Quelle: 'Firefox 112: Funktionsverbesserungen – und 22 Schwachstellen weniger' auf Heise Online

zur Übersicht

14.04.2023 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Reader & Acrobat

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 23.001.20143 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB23-24 (Englisch)

Adobe Digital Editions

In der Windows-Ausgabe von Adobes E-Book-Reader Software 'Digital Editions' wurde ebenfalls eine kritische Lücke behoben. Anwender der Software sollten zügig auf Version 4.5.11.187658 updaten bzw. sich überlegen, ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren.

Quelle: Adobe Digital Editions Security Bulletin APSB23-04 (Englisch)

Adobe InCopy:

Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier sollte unbedingt auf Version 17.4.1 oder 18.2 aktualisiert werden, um sicher zu sein.

Info: Adobe Security Bulletin APSB23-13 (Englisch)

Adobe Dimension

In Adobes 3D-Programm 'Dimension' wurden unzählige "kritische" Schwachstellen behoben. Anwender des Programms sollten so rasch wie nur möglich auf Version 3.4.9 updaten.

Quelle: 'Adobe Security Bulletin APSB23-27' auf Adobe.com (Englisch)

Adobe Substance 3D Stager

In Adobes 3D-Programm 'Substance 3D Stager' wurden ebenfalls unzählige "kritische" Sicherheitslücken behoben. Anwender des Programms sollten so rasch wie möglich auf Version 2.0.2 updaten.

Quelle: 'Adobe Security Bulletin APSB23-26' auf Adobe.com (Englisch)

Adobe Substance 3D Designer

In Adobes 3D-Programm 'Substance 3D Designer' wurden ebenfalls unzählige "kritische" Sicherheitslücken behoben. Anwender des Programms sollten so rasch wie möglich auf Version 12.4.1 updaten.

Quelle: 'Adobe Security Bulletin APSB23-28' auf Adobe.com (Englisch)

zur Übersicht

14.04.2023 – Microsoft's Tag der Updates

Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Adieu Microsoft Office 2013!

Wie angekündigt hat Microsoft diesen Monat zum letzten Mal Updates für die Programme aus der Office 2013 Suite veröffentlicht. Wer immer noch Word und Co in 2013er-Ausführung nutzt, sollte spätestens jetzt dringend entweder auf LibreOffice umsteigen oder eine neue MS-Office-Lizenz erwerben. Die 2013er-Programme noch weiter zu verwenden ist jedenfalls keine gute Idee, da sie nun zunehmen unsicher werden ohne weitere Updates.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 20H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Patchday: Angreifer infizieren Windows mit Nokoyawa-Ransomware' auf Heise Online

zur Übersicht

14.04.2023 – Wieder Sicherheitslücken in Lenovo Notebooks

In den Lenovo Notebooks der Privatanwender-Serien (IdeaPad, Slim 7, ThinkBook und Yoga) wurden wieder einmal Sicherheitslücken im UEFI (BIOS) gemeldet. Leider hat Lenovo für keines der Geräte aktuell eine abgesicherte UEFI-Version parat. Noch schlimmer, aktuell wird bei allen Geräten noch eine Verfügbarkeit des Updates am 08.08.2023 angezeigt! Wir gehen hier aber entweder von einem Fehler oder einer extremst übervorsichtigen Prognose aus, weil ein UEFI-Update sollte eigentlich nicht 4 Monate Entwicklungszeit benötigen.

Besitzer der Geräte können ohnehin nichts weiter machen, als regelmäßig das Update-Programm zu verwenden, um nach Updates zu suchen. Eine provisorische Gegenmaßnahme scheint nicht möglich zu sein.

Quelle: 'Warten auf Sicherheitspatches: BIOS-Lücken gefährden Lenovo-Laptops' auf Heise Online

Quelle: 'Lenovo Sicherheitsnachricht zu den UEFI-Lücken' auf Lenovo.com (Englisch)

zur Übersicht

14.04.2023 – Sicherheitslücken in Wireshark

Wer das kostenlose Netzwerkanalyse-Programm Wireshark einsetzt um seinem Netzwerk auf den Zahn zu fühlen, sollte dafür tunlichst nur die aktuelle Version 3.6.13 oder neuer, bzw. 4.0.5 oder neuer verwenden. Ältere Versionen könnten von Angreifern über manipulierte Netzwerkpakete "abgeschossen" werden. Einen Virus kann man sich so zwar nicht einfangen, ärgerlich ist es aber dennoch. Natürlich haben die Entwickler auch andere Probleme in den neuen Versionen behoben, die nicht sicherheitsrelevanter Natur waren.

Quelle: 'Sicherheitsupdates: Netzwerkanalysetool Wireshark anfällig für DoS-Attacken' auf Heise Online

zur Übersicht

14.04.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Jetzt patchen! QueueJumper-Lücke gefährdet hunderttausende Windows-Systeme' auf Heise Online

Quelle: 'Jetzt patchen! ALPHV-Ransomware schlüpft durch Veritas-Backup-Lücken' auf Heise Online

Quelle: 'Exploit-Code: Schadcode könnte aus JavaScript-Sandbox vm2 ausbrechen' auf Heise Online

Quelle: 'Patchday: SAP meldet 19 teils kritische Sicherheitslücken' auf Heise Online

Quelle: 'Patchday: Fortinet schließt kritische und hochriskante Lücken' auf Heise Online

Quelle: 'Softwareentwicklung: Jenkins-Plug-ins verwundbar, viele Updates stehen noch aus' auf Heise Online

Quelle: 'Netzwerkausrüster Juniper verteilt viele Sicherheits-Aktualisierungen' auf Heise Online

Quelle: 'Sicherheitsupdates: Netzwerkanalysetool Wireshark anfällig für DoS-Attacken' auf Heise Online

zur Übersicht

07.04.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 112.0.5615.50 behebt 16 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.

Die 112er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten zügig auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Chrome 112: 16 Sicherheitslücken gestopft' auf Heise Online

Vivaldi:

Wie bei Versions-Zweig-Wechseln üblich hat Vivaldi noch keine neue Version bereit. Da keine der neu bekanntgewordenen Sicherheitslücken aktiv ausgenützt werden dürfte, ist das noch kein Problem. Die Vivaldi-Entwickler arbeiten mit Hochdruck an der neuen Version, die wir in der nächsten Woche erwarten würden.

Microsoft Edge:

Die Microsoft Edge Entwickler haben Chromium 112.0.5615.50 bereits in Edge (Version 112.0.1722.34) übernommen und, erstaunlicherweise, sogar schon die Release-Notes dafür fertig. Anwender von Microsoft Edge sollten das Update bei nächster Gelegenheit starten, falls es nicht bereits automatisch erledigt wurde.

zur Übersicht

07.04.2023 – Wieder Sicherheitsprobleme mit Nvidia Treibern & Software

Nvidia hat wieder einmal eine lange Liste an Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. In den Grafikkartentreibern für "echte" Grafikkarten wurden in Summe 17 Lücken gefunden die teils sehr hohe Bedrohungsstufen haben. In den "virtuellen" Grafikkarten (VGPU) wurden eine Sicherheitslücke behoben, die als mittlere Gefahr eingestuft wurde.

Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 474.30 oder 531.41 bei den GameReader-Treibern bzw. Version 528.89 oder 531.41 bei den Studio-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 474.30, 518.03, 528.89 oder 531.41) bereit.

Aber nicht nur in den Treibern hat Nvidia Sicherheitslücken behoben, sondern auch in der Verwaltungssoftware "Data Center GPU Manager" (DCGM). Dies betrifft wohl ausschließlich Administratoren, die sich bitte im Heise Artikel ausführlicher informieren.

Quelle: 'Nvidia schließt Sicherheitslücken in Treibern und Verwaltungssoftware' auf Heise Online

Download: Aktuelle Grafikkarten-Treiber von Nvidia.de

zur Übersicht

07.04.2023 – Wieder Sicherheitslücken in WordPress

Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Angriffe auf hochriskante Sicherheitslücke in Wordpress-Plug-in Elementor Pro' auf Heise Online

zur Übersicht

07.04.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Geräteverwaltung HCL Bigfix dichtet DoS-Lücke ab' auf Heise Online

Quelle: 'Sophos: Kritische Sicherheitslücke in Web-Appliance ermöglicht Codeschmuggel' auf Heise Online

Quelle: 'Jetzt updaten: Kritische Schwachstelle in Nextcloud' auf Heise Online

Quelle: 'Cisco: Teils hochriskante Lücken in mehreren Produkten abgedichtet' auf Heise Online

Quelle: 'Trellix-Agent ermöglicht Rechteausweitung am System' auf Heise Online

Quelle: 'HP LaserJet-Drucker über Workaround absichern, Patch erst in 90 Tagen' auf Heise Online

zur Übersicht