News Archiv 1. Quartal 2025
Schlagzeilen * Details
Schlagzeilen:
- 28.03.2025 - Das nächste Chromium Sicherheitsupdate
- 28.03.2025 - Firefox 136.0.4 schließt Sicherheitslücken
- 28.03.2025 - Mehrere Sicherheitslücken in Ghostscript behoben
- 28.03.2025 - Neue VeraCrypt Versionen beheben Sicherheitslücken
- 28.03.2025 - Auch Gimp 3.0.2 ohne Signatur
- 28.03.2025 - Sicherheitsmeldungen für Administratoren
- 21.03.2025 - Das nächste Chromium Sicherheitsupdate
- 21.03.2025 - Vivaldi veröffentlicht Version 7.2
- 21.03.2025 - Gimp 3.0 ist endlich fertig - irgendwie ...
- 21.03.2025 - Sicherheitsmeldungen für Administratoren
- 14.03.2025 - Das nächste Chromium Sicherheitsupdate
- 14.03.2025 - Sicherheitsupdate für zahlreiche Adobe Programme
- 14.03.2025 - Microsoft's Tag der Updates
- 14.03.2025 - Die nächsten Sicherheitslücken in Zoom
- 14.03.2025 - Erfahrungsbericht mit der "Speicher-Integrität"
- 14.03.2025 - Audacity 3.7.3: Update fürs Update
- 14.03.2025 - Sicherheitsmeldungen für Administratoren
- 07.03.2025 - Das nächste Chromium Sicherheitsupdate
- 07.03.2025 - Thunderbird 128.8 mit Sicherheitsupdates
- 07.03.2025 - Firefox 135 schließt Sicherheitslücken
- 07.03.2025 - Windows: Signierter Treiber reißt Sicherheitslücken auf
- 07.03.2025 - LibreOffice 24.8.5 schließt zwei Sicherheitslücken
- 07.03.2025 - Auch Notebooks von mangelhaften Nvidia-Chips betroffen
- 07.03.2025 - Sicherheitsmeldungen für Administratoren
- 28.02.2025 - Das nächste Chromium Sicherheitsupdate
- 28.02.2025 - LibreOffice 24.8.5 schließt Sicherheitslücke
- 28.02.2025 - Wieder Sicherheitslücken in WordPress
- 28.02.2025 - Probleme mit GeForce Grafikkarten häufen sich
- 28.02.2025 - Die neuesten Windows 10 Troubles
- 28.02.2025 - Sicherheitsmeldungen für Administratoren
- 21.02.2025 - Das nächste Chromium Sicherheitsupdate
- 21.02.2025 - Schwere Sicherheitslücke in Firefox bzw. OpenH264
- 21.02.2025 - AMD sichert Radeon Grafiktreiber ab
- 21.02.2025 - Wieder Sicherheitslücken in HP-Druckern
- 21.02.2025 - Sicherheitslücke in Xerox Multifunktionsdruckern
- 21.02.2025 - Schwere Sicherheitslücke in WinZip
- 21.02.2025 - Sicherheitsupdates für Computer und Software von Dell
- 21.02.2025 - Sicherheitsmeldungen für Administratoren
- 14.02.2025 - Das nächste Chromium Sicherheitsupdate
- 14.02.2025 - Sicherheitsupdate für zahlreiche Adobe Programme
- 14.02.2025 - Microsoft's Tag der Updates
- 14.02.2025 - Intel veröffentlicht Februar-Sicherheitsupdates
- 14.02.2025 - Kritische Sicherheitslücken in Lexmark Druckern
- 14.02.2025 - Sicherheitsmeldungen für Administratoren
- 07.02.2025 - Das nächste Chromium Sicherheitsupdate
- 07.02.2025 - Thunderbird 128.7 mit Sicherheitsupdates
- 07.02.2025 - Firefox 135 schließt Sicherheitslücken
- 07.02.2025 - Kritische Sicherheitslücken in HP- und Samsung-Druckern
- 07.02.2025 - Keine Sicherheitsupdates mehr für attackierte Zyxel-Router
- 07.02.2025 - Sichrheitslücken in mehreren Netgear Routern
- 07.02.2025 - Rechnung per Mail kann für Firmen teuer werden!
- 07.02.2025 - Sicherheitsmeldungen für Administratoren
- 31.01.2025 - Das nächste Chromium Sicherheitsupdate
- 31.01.2025 - Wieder Sicherheitsprobleme mit Nvidia Treibern & Software
- 31.01.2025 - Sicherheitslücke in Teamviewer geschlossen
- 31.01.2025 - Sicherheitslücken in SimpleHelp RMM behoben
- 31.01.2025 - Sicherheitsupdate für D-Link Router "DSL-3788"
- 31.01.2025 - Ökologie á Fritzbox
- 31.01.2025 - Sicherheitsmeldungen für Administratoren
- 25.01.2025 - Das nächste Chromium Sicherheitsupdate
- 25.01.2025 - Sicherheitsmeldungen für Administratoren
- 17.01.2025 - Das nächste Chromium Sicherheitsupdate
- 17.01.2025 - Sicherheitsupdate für zahlreiche Adobe Programme
- 17.01.2025 - Microsoft's Tag der Updates
- 17.01.2025 - Die nächsten Sicherheitslücken in Zoom
- 17.01.2025 - Wieder Sicherheitslücken in WordPress und Typo3
- 17.01.2025 - Sicherheitsmeldungen für Administratoren
- 10.01.2025 - Das nächste Chromium Sicherheitsupdate
- 10.01.2025 - Thunderbird 128.6 mit Sicherheitsupdates
- 10.01.2025 - Firefox 134 schließt Sicherheitslücken
- 10.01.2025 - Sicherheitslücken in Asus Routern
- 10.01.2025 - Wieder Sicherheitslücken in WordPress und Sitefinity
- 10.01.2025 - Sicherheitsmeldungen für Administratoren
- 03.01.2025 - Sicherheitsmeldungen für Administratoren
Details:
28.03.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 134.0.6998.177 schließt eine als "hohes Risiko" eingestufte Sicherheitslücke, die bereits aktiv in freier Wildbahn ausgenutzt wird. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome sehr rasch aktualisieren.
Der 134er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Die Vivaldi Entwickler haben diese Woche gleich 3 Updates veröffentlicht. Das erste war das obligatorische Sicherheitsupdate, dass den Chromium-Kern auf Version 134.0.6998.182 aktualisiert hat.
Gestern wurde dann ein Update veröffentlicht, dass einen VPN-Button mitbrachte und heute wurde diese neue Funktion in einem weiteren Update verfeinert. Was in dem Blogpost zu der Neuerung nicht stand - die Versionsnummer von Vivaldi wurde dadurch auf 7.3 erhöht, obwohl es eigentlich kaum Neuerungen gibt, die diesen Versionsschritt rechtfertigen würden. Zum Glück haben die Entwickler den VPN-Code nicht fest in Vivaldi integriert, sondern das ganze bei einer Erweiterung belassen. Diese wird erst installiert, wenn man auf den neuen VPN-Button oben rechts klickt. Auch kann man die Erweiterung wieder deinstallieren, wenn man später bemerkt, dass man diese VPN-Erweiterung eigentlich nicht benötigt. Während so ein VPN für Whistleblower und andere besonders gefährdete Personen sicher sinnvoll sein mag, ist es unserer Meinung nach für den "regulären Anwender" unnötig, weshalb diese Erweiterung in der Regel nicht installiert werden sollte. Den VPN-Knopf kann man per rechter Maustaste einfach aus der Benutzeroberfläche entfernen.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (2) for Vivaldi Desktop Browser 7.2' auf Vivaldi.com (Englisch)
Info: 'Privatsphäre ohne Kompromisse: Proton VPN ist jetzt in Vivaldi integriert' auf Vivaldi.com
Microsoft Edge:
Die Microsoft Programmierer haben die neue Edge-Version 134.0.3124.93 veröffentlicht, die die aktuelle Chromium Version beinhaltet. Anwender von Microsoft Edge sollten bei nächster Gelegenheit aktualisieren.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
28.03.2025 - Firefox 136.0.4 schließt Sicherheitslücken
Anwender, die Mozilla Firefox verwenden, sollten auf Version 136.0.4 bzw. die ESR-Version 128.8.1 oder 115.21.1 upgraden. Diese beheben eine Sicherheitslücke die der in Google Chrome am Dienstag behobenen ähnelt. Ob die Lücke auch in Firefox bereits ausgenutzt wird ist nicht bekannt, aber Firefox-Anwender sollten so rasch wie möglich updaten.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Firefox: Mozilla schließt kritische Sandbox-Lücke in Windows-Version' auf Heise Online
28.03.2025 - Mehrere Sicherheitslücken in Ghostscript behoben
Die Postcript/PDF-Software Ghostscript ist wieder einmal Dreh- und Angel-Punkt schwerer Sicherheitslücken. Die neue Version 10.05 behebt nicht weniger als 9 Sicherheitslücken. Eine offizielle Risikobewertung liegt noch nicht vor, aber mehrere der Lücken sollen sich zur Infektion durch Viren nutzen lassen, wir gehen als mindestens von einer Einstufung als "hohes Risiko" aus. Wer Ghostcript auf seinem Computer installiert hat, sollte es zügig auf die neue Version updaten.
Da Ghostscript auch von vielen anderen Programmen genutzt wird, würde es nicht überraschen, wenn auch diverse PDF-Drucker, Desktop-Publishing-Programme usw. sehr bald Updates veröffentlichen.
Quelle: 'Sicherheitsupdate: Ghostscript über mehrere Sicherheitslücken attackierbar' auf Heise Online
28.03.2025 - Neue VeraCrypt Versionen beheben Sicherheitslücken
Bereits Ende Jänner haben die französischen Entwickler von VeraCrypt die Version 1.26.18 der gleichnamigen Verschlüsselungs-Software veröffentlicht. Darin wurden zwei Sicherheitslücken behoben, die jedoch nur unter Linux und macOS relevant sind. Da die Vergangenheit gezeigt hat, dass größere VeraCrypt Updates in der Regel noch das eine oder andere kleinere Update nach sich ziehen, haben wir nicht sofort im Jänner davon berichtet.
In der Tat wurden im Anschluss zwei weitere Updates veröffentlicht, die Probleme der 1.26.18er-Version korrigiert haben. Version 1.26.20 wurde Anfang Februar veröffentlicht und dürfte sich wohl als stabil erwiesen haben. Wer mit VeraCrypt nur externe Datenträger verschlüsselt oder virtuelle Datenträger nutzt, der kann getrost zur neuen Version greifen. Sollten wieder erwarten doch Probleme auftreten, kann man ja einfach wieder zu einer älteren Fassung zurückkehren.
Wer mit VeraCrypt jedoch die Systempartition verschlüsselt, der sollte vor dem Update unbedingt eine vollständige Systemsicherung anfertigen, nur für den Fall, dass der Computer nach dem Update nicht mehr bootet.
Download: VeraCrypt v1.26.20, Windows, Mehrsprachig, 33 MB
Info: VeraCrypt Release Notes (Englisch)
28.03.2025 - Auch Gimp 3.0.2 ohne Signatur
Die Gimp Entwickler waren fleißig und haben eine Woche nach der 3.0 bereits Version 3.0.2 nachgelegt und darin über ein dutzend Bugs behoben. Leider nicht in der Liste der behobenen Probleme sind die fehlenden digitalen Signaturen, weshalb wir auch diese Version nicht für die Allgemeinheit empfehlen können. Da auf der Gimp-Website die aktuelle 2.10-Version von Gimp nicht mehr zum Download angeboten wird, verlinken wir hier auf die Datei, damit Interessierte sich die neueste Ausgabe aus der 2.10 Serie herunterladen können. Wer trotz der Signatur-Probleme die 3er Version testen möchte, klickt auf den Link darunter.
Download: Gimp 2.10.38-1, Windows, mehrsprachig (empfohlen)
Download: Gimp 3.0.2-1, Windows, mehrsprachig
28.03.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Next.js: Kritische Lücke ermöglicht Kompromittierung von Web-Apps' auf Heise Online
Quelle: 'VMware Tools ermöglichen Rechteausweitung in VMs' auf Heise Online
Quelle: 'NGINX Controller for Kubernetes: Kubernetes-Cluster kompromittierbar' auf Heise Online
Quelle: 'Datentransfer-Software CrushFTP ermöglicht unbefugten Zugriff' auf Heise Online
Quelle: 'Admin-Sicherheitslücke gefährdet Backuplösung SnapCenter' auf Heise Online
Quelle: 'Splunk: Teils hochriskante Sicherheitslecks in mehreren Produkten' auf Heise Online
Quelle: 'Storage-Appliances: Dell schließt unzählige Sicherheitslücken in Unity-Serien' auf Heise Online
Quelle: 'Sicherheitslücken Gitlab: Heruntergestufte Admins behalten weitreichende Rechte' auf Heise Online
21.03.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 134.0.6998.117 schließt zwei Sicherheitslücken, wovon eine als kritisches Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Der 134er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Vivaldi hat diese Woche Version 7.2 veröffentlicht. Details unten als eigenständiger Artikel.
Microsoft Edge:
Die Microsoft Programmierer bieten aktuell die Edge-Version 134.0.3124.72 zum Download an. Welche Chromium Version in ihr steckt, bzw. auf welchem Sicherheitsstand sich die Software bewegt, ist aber aktuell unbekannt. Wir vermuten, dass Microsoft hinterherhinkt. Da die Sicherheitslücken dieser Woche aber scheinbar noch nicht ausgenutzt werden, hat Microsoft hier noch etwas Galgenfrist. Besonders sicherheitsorientierte Nutzer können aber auf Vivaldi umsteigen, was für dieses Klientel ohnehin die bessere Wahl sein dürfte.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
21.03.2025 - Vivaldi veröffentlicht Version 7.2
Vivaldi hat am Dienstag, eine Woche später als vermutet, Version 7.2 veröffentlicht und damit den Wechsel auf die aktuelle Chromium-Version 134 vollzogen. Am Mittwoch wurde gleich nochmal ein kleines Update hinterhergeschoben, sodass Vivaldi jetzt bei Chromium Version 134.0.6998.117 hält und als vollständig abgesichert gilt.
Mehr Geschwindigkeit ...
Das große Schlagwort für Vivaldi 7.2 ist einmal mehr "Geschwindigkeit". Viele Aktionen im Browser sollen jetzt noch schneller ausgeführt werden als ohnehin schon. Vor allem soll das für die Adresszeile gelten, aber auch die Ladezeit von Webseiten soll schneller geworden sein.
... und mehr Nebenwirkungen
Die tiefgreifenden Umbauarbeiten zeigen aber auch unerwünschte Nebenwirkungen. Unter die Kommentare zur neuen Version finden sich zwar viele, die die abermals verbesserte Performance loben, aber auch solche, die sich über Verschlimmbesserungen beschweren oder von neuen Bugs berichten. So einen Bug können wir auch selbst bestätigen, denn bei uns werden Websites teilweise durchsichtig, sodass die Hintergrundfarbe von Vivaldi sichtbar wird, wenn man eine Weile in einem anderen Programm arbeitet und dann zu Vivaldi zurückwechselt. Vivaldi einmal zu minimieren und wieder maximieren macht die Seite wieder sichtbar. Es ist also kein eklatantes Problem, aber doch ärgerlich. Auch das neue Hintergrundbild das beim Starten von Vivaldi ganz kurz zu sehen ist, stößt auf Kritik, um mal nur zwei der genannten Probleme aufzuzählen.
Ganz klar positiv zu werten ist, dass die Verwaltung von Tastenkürzeln noch weiter ausgebaut wurde. Jetzt kann man nicht nur für so ziemlich alles Tastenkürzel vergeben, man kann auch einstellen, welche davon Vorrang gegenüber Tastenkürzeln auf Websites haben sollen.
Fazit:
So Mancher hätte sich gerne etwas mehr Feinschliff für die Version 7.2 gewünscht, aber da die bisher genutzte Chromium-Version keine Sicherheitsupdates mehr erhält, war ein Wechsel unausweichlich. Große Probleme konnten wir keine entdecken, die eine oder andere unliebsame Kleinigkeit kann man aber finden. Nicht auf die neue Version upzudaten ist, wie üblich, aus Sicherheitsgründen keine Option.
Quelle: 'Vivaldi 7.2: Schnell und intelligent, ein ernsthaftes Update.' auf Vivaldi.com
Download: Aktuelle Vivaldi Version
21.03.2025 - Gimp 3.0 ist endlich fertig - irgendwie ...
Sieben Jahre nach Veröffentlichung von Gimp 2.10 ist Gimp 3.0 fertig. Eigentlich sollte man meinen, dass das ein Grund zum Feiern wäre, aber so richtig Partystimmung mag bei uns nicht aufkommen.
Signatur? Fehlanzeige!
Eigentlich ist es bei gängigen Programmen seit vielen Jahren üblich, dass ausführbare Dateien digital signiert werden. Schon bei Gimp 2.10 waren zumindest alle Exe-Dateien digital signiert. Schon bei den Release Kandidaten ist uns aufgefallen, dass diese nicht signiert waren, ein sofort eingebrachter Bugreport stieß jedoch auf taube Ohren bei den Entwicklern und auch die nun "finale" Version von Gimp 3.0 hat in dieser Hinsicht leider enttäuscht. Durch die fehlende Signatur ist es ein Glücksspiel, ob die Anwendung auf dem eigenen PC richtig läuft oder nicht. Unter diesen Bedingungen können wir Gimp 3.0 für konservative Anwender und Firmen leider nicht empfehlen.
Non-Destruktiver Workflow
Unter diesem Begriff versteht man, dass man Filter auf eine Ebene anwenden kann, ohne sie fest "einzubrennen". So lassen sich die Einstellungen von Filtern auch nachträglich noch jederzeit ändern. Wenn das richtig funktioniert, kann das eine große Hilfe sein. Eigentlich war diese Funktion erst für eine spätere Gimp Version vorgesehen, sie kam dann letztes Jahr etwas überraschend schon in den 3.0er Zweig. Zu Beginn hat das nicht wirklich gut funktioniert, ob das in der finalen Version nun stabil ist, können wir aktuell noch nicht sagen, weil noch kaum Zeit zum Testen war. Wenn man in den Filterdialogen ein Häkchen bei "Filter vereinen" setzt, werden Filter wieder sofort angewendet, wie bis Gimp 2.10 üblich.
So viel mehr ...
Gimp 3.0 auf den Non-Destruktiven Workfow als einzige Neuerung zu reduzieren wäre aber kurzsichtig. In Wahrheit gibt es so viel Neues zu entdecken. Gimp 3.0 ist ein wirklich sehr großer Meilenstein. Sei es die Benutzer-Oberfläche, die Format-Unterstützung, die Farbraum-Unterstützung, alles ist so viel besser geworden. Nicht ohne Grund haben wir Gimp 3.0 Vorabversionen schon seit Jahren verwendet, trotz des teils unfertigen Zustands.
Fazit:
Ohne das Signatur-Dilemma wäre jetzt große Party angesagt und wir könnten Gimp 3.0 fast jedem Anwender unbekümmert ans Herz legen, auch wenn man die non-destruktiven Filter vielleicht erst einmal noch nicht verwendet. So müssen sich Neugierige leider auf mögliche Probleme einstellen, weshalb wir für alle, die einfach nur ein funktionierendes Bildbearbeitungsprogramm benötigen, raten bei Gimp 2.10 zu bleiben bis das Signatur-Problem behoben ist. Wer Gimp 3.0 trotzdem schon ausprobieren möchte, kann sich das verlinkte Video ansehen, um einen Eindruck der wichtigsten Neuerungen zu bekommen.
Download: Gimp 3.0, Windows, mehrsprachig
Quelle: 'GIMP 3.0 Released' auf Gimp.org (Englisch)
Quelle: 'GIMP 3.0: Großes Update nach sieben Jahren fertig' auf Heise Online
Info: 'Das GIMP 3.0 UPDATE ist da! | Neue Funktionen im Überblick' auf YouTube
21.03.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'KI und LLM: Kritische Sicherheitslücken gefährden Low-Coding-Plattform Flowise' auf Heise Online
Quelle: 'Sicherheitslücke mit maximaler Risikostufe in Server-Fernwartung' auf Heise Online
Quelle: 'Schwerwiegende Sicherheitslücken bedrohen Serverbetriebssystem IBM AIX' auf Heise Online
Quelle: 'Angreifer können Kemp LoadMaster mit präparierten HTTP-Anfragen attackieren' auf Heise Online
Quelle: 'Veeam Backup & Replication anfällig für Schadcode-Attacken' auf Heise Online
Quelle: 'Ransomware-Testballon im offiziellen Marktplatz von Visual Studio Code entdeckt' auf Heise Online
Quelle: 'Angreifer machen sich an Hintertür in Cisco Smart Licensing Utility zu schaffen' auf Heise Online
Quelle: 'Jetzt patchen! Angreifer attackieren Nakivo Backup & Replication Director' auf Heise Online
14.03.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 134.0.6998.88 schließt 5 Sicherheitslücken, wovon drei mit hohem Sicherheitsrisiko eingestuft wurde. Auf Apple-Geräten wird eine der Lücken darüber hinaus bereits aktiv ausgenützt. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Der 134er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Auch in der zweiten Woche nach dem Wechsel auf den 134er Zweig gibt es bei Vivaldi noch keine darauf basierende fertige Version. Seit heute gibt es aber einen Vivaldi 7.2 Release Kandidaten, die finale Freigabe dürfte also kommende Woche erfolgen. Die auf Apple-Geräten bereits aktiv ausgenützte Sicherheitslücke CVE-2025-24201 haben die Vivaldi-Entwickler aber in Version 7.1 Update 7 behoben, sodass hier keine Gefahr besteht.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (7) for Vivaldi Desktop Browser 7.1' auf Vivaldi.com (Englisch)
Microsoft Edge:
Die Microsoft Programmierer haben die neue Edge-Version 134.0.3124.62 veröffentlicht, die die aktuelle Chromium Version beinhaltet. Anwender von Microsoft Edge sollten bei nächster Gelegenheit aktualisieren.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
14.03.2025 - Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & Acrobat
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 25.001.20432 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB25-14 (Englisch)
Adobe InDesign
Im Layout-Programm InDesign hat Adobe 7 kritische und 2 wichtige Sicherheitslücken behoben. Anwender des Programmes sollten rasch auf die Version 19.5.3 (2024) bzw. 20.2 (2025) updaten. Sämtliche älteren InDesign Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Info: 'Adobe Security Bulletin APSB25-19' auf Adobe.com (Englisch)
Adobe Illustrator
Im Vektorgrafik Programm Illustrator hat Adobe drei als "kritisch" und zwei als "wichtig" eingestufte Sicherheitslücken behoben. Um wieder sicher zu sein, müssen Anwender auf Version 28.7.5 (2024) oder 29.3 (2025) updaten.
Info: Adobe Security Bulletin APSB25-17 (Englisch)
Adobe Substance 3D Sampler
In Adobes 3D-Programm 'Substance 3D Sampler' wurden 7 kritische Sicherheitslücken behoben. Anwender des Programms sollten so rasch wie möglich auf Version 5.0 updaten.
Quelle: 'Adobe Security Bulletin APSB25-16' auf Adobe.com (Englisch)
Adobe Substance 3D Painter
In Adobes 3D-Programm 'Substance 3D Painter' wurden zwei kritische Sicherheitslücken behoben. Anwender des Programms sollten besonders zügig auf Version 11.0 updaten.
Quelle: 'Adobe Security Bulletin APSB25-18' auf Adobe.com (Englisch)
Adobe Substance 3D Modeler
In Adobes 3D-Programm 'Substance 3D Modeler' wurden 2 kritische und 2 wichtige Sicherheitslücken behoben. Anwender des Programms sollten besonders zügig auf Version 1.21.0 updaten.
Quelle: 'Adobe Security Bulletin APSB25-21' auf Adobe.com (Englisch)
Adobe Substance 3D Designer
In Adobes 3D-Programm 'Substance 3D Designer' wurden zwei "kritische" Sicherheitslücken behoben. Anwender des Programms sollten zügig auf Version 14.1.1 updaten.
Quelle: 'Adobe Security Bulletin APSB25-22' auf Adobe.com (Englisch)
14.03.2025 - Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Unsichere Windows 11 Versionen:
Auch die ersten beiden Windows 11 Versionen (21H2 & 22H2) erhalten keine Updates mehr, sofern es sich um die Editionen "Home" und "Pro" handelt. Wer einen nicht kompatiblen PC mit Tricks auf Windows 11 upgegradet hat, steckt jetzt womöglich in der Upgrade-Falle fest und sollte den PC entsprechend aufrüsten, um wieder Sicherheitsupdates zu erhalten.
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Microsoft-Patchday: 5 kritische Windows-Lücken, 6 andere bereits ausgenutzt' auf Heise Online
14.03.2025 - Die nächsten Sicherheitslücken in Zoom
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass die neueste Version installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Sicherheitsupdates: Zoom-Apps können Angreifern als Sprungbrett dienen' auf Heise Online
14.03.2025 - Erfahrungsbericht mit der "Speicher-Integrität"
Letzte Woche haben wir in der News-Meldung "Windows: Signierter Treiber reißt Sicherheitslücken auf" berichtet, dass unter Windows 10 die einzige Abhilfe gegen eine bestimmte Art von Angriffen das Aktivieren der Sicherheitsfunktion "Speicher-Integrität" ist. Damals haben wir auch gleich ergänzt, dass die Funktion Nebenwirkungen haben kann. Von genau diesen Nebenwirkungen werden wir heute berichten.
Ärger mit VirtualBox
Wir hatten diese Woche Ärger mit den virtuellen Computern in VirtualBox. Nachdem wir zuerst VirtualBox selbst, dann Kaspersky, dann ein Windows Update im verdacht hatten, hat sich letztendlich herausgestellt, dass die aktivierte "Speicher-Integrität" Schuld an den Problemen war.
Auch Kaspersky betroffen
Auch Kaspersky meldet mit aktivierter "Speicher-Integrität", dass eine Schutzfunktion nicht aktiviert werden kann. Wirkliches Problem ist das nicht, aber es sei erwähnt. Wenn das das einzige Problem wäre, würden wir der "Speicher-Integrität" den Vorzug geben, weil nur so der Schutz vor unsicheren Treibern unter Windows 10 aktiviert ist. Unter Windows 11 würden wir hingegen die Kaspersky-Funktion bevorzugen und die "Speicher-Integrität" deaktivieren, da dort die Liste unsicherer Treiber ja separat aktiviert werden kann.
Fazit
Wie letzte Woche schon gesagt, hat die "Speicher-Integrität" ihre Nebenwirkungen. Wer auf VirtualBox (oder ähnliche Virtualisierungsprogramme) angewiesen ist, hat keine Wahl und muss die "Speicher-Integrität" abgeschaltet lassen. Für alle anderen Fälle muss jeder selbst abwägen, ob der potenzielle Ärger den besseren Schutz wert ist. Windows 11 Anwender haben es ausnahmsweise gut, weil hier die Liste der verwundbaren Treiber nicht an die "Speicher-Integrität" gekoppelt ist und separat aktiviert werden kann.
14.03.2025 - Audacity 3.7.3: Update fürs Update
In dieser Woche haben die Audacity Entwickler gleich zwei neue Versionen veröffentlicht. Zuerst die 3.7.2, die eine relativ lange Liste an Fehlerkorrekturen enthielt und dann 2 Tage darauf die Ausgabe 3.7.3. Eine der Fehlerkorrekturen aus Version 3.7.2 hatte so viele Nebenwirkungen verursacht, dass man sie in Version 3.7.3 wieder rückgängig machen musste.
Das belegt leider einmal mehr, dass neue Audacity Versionen vor ihrer Veröffentlichung zu wenig getestet werden. Deshalb können wir unsere Empfehlung, bei neuen Audacity Versionen immer ein wenig abzuwarten, nur wiederholen. Sicherheitslücken wurden in Audacity schon sehr lange keine mehr gemeldet, sodass auch von dieser Seite her keine Notwendigkeit für Updates besteht, wenn eine 3er Version von Audacity im Einsatz ist.
Download: Audacity 3.7.3 für Windows 64Bit
Download: Aktuelle Audacity Versionen für andere Plattformen
Quelle: 'Audacity Changelogs' auf audacityteam.org (Englisch)
14.03.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Microsoft stellt Remote Desktop App hastig ein' auf Heise Online
Quelle: 'Sicherheitslücken: Gitlab-Entwickler raten zu zügigem Update' auf Heise Online
Quelle: 'Sicherheitsupdates: Root-Sicherheitslücke bedroht Cisco-ASR-Router' auf Heise Online
Quelle: 'Schadcode-Sicherheitslücken bedrohen FortiOS, FortiSandbox & Co.' auf Heise Online
Quelle: 'Fernzugriff: Ivanti Secure Access Client als Einfallstor für Angreifer' auf Heise Online
07.03.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 134.0.6998.35 schließt 14 Sicherheitslücken, wovon mindestens eine mit hohem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Der 134er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Google macht in der neuen Chrome Version auch den nächsten Schritt in seinem Kampf gegen Blocker-Erweiterungen. µBlock Origin wird jetzt automatisch deaktiviert, lässt sich aber vorerst noch reaktivieren. Wie das geht, steht im Heise Online Artikel.
Quelle: 'Browser-Updates: Sicherheitslücken gestopft - und uBlock abgedreht' auf Heise Online
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Wie üblich gibt es in der ersten Woche nach einem Chromium-Versionswechsel noch keine neue Vivaldi-Version, die darauf aufbaut. Die Sicherheit ist dadurch offenbar nicht gefährdet, sonst hätten die Vivaldi-Entwickler einzelne Fixes zurückportiert, wie dies in der Vergangenheit schon mehrfach gemacht wurde.
Microsoft Edge:
Microsoft Edge präsentiert sich bereits mit 134er-Versionsnummer, man kann also annehmen, dass es bereits die abgesicherte Chromium-Software verwendet. Ob das aber tatsächlich so ist, lässt wieder einmal mangels fehlender Release Notes nicht sagen. Edge-Anwender sollten auf jeden Fall auf die 134er Version updaten.
07.03.2025 - Thunderbird 128.8 mit Sicherheitsupdates
Die Entwickler von Thunderbird haben die Version 128.8 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 10 Sicherheitslücken behoben, wovon eine die Risiko-Einstufung "kritisch" erhalten hat. Darüber hinaus wurden auch ein paar funktionale Probleme behoben.
Alle Thunderbird Anwender sollten auf die neue Version updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 128.8.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
07.03.2025 - Firefox 135 schließt Sicherheitslücken
Anwender, die Mozilla Firefox verwenden, sollten auf Version 136 bzw. die ESR-Version 128.8 oder 115.21 upgraden. Diese beheben 16 Sicherheitslücken von denen 8 die Risikoeinstufung "hoch" erhalten haben.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Browser-Updates: Sicherheitslücken gestopft - und uBlock abgedreht' auf Heise Online
07.03.2025 - Windows: Signierter Treiber reißt Sicherheitslücken auf
Ein von Microsoft signierter Treiber des Herstellers Paragon wird gerade zum Sicherheitsproblem. Ursprünglich ist der unsichere Treiber in Paragon's Software "Partition Manager" enthalten, jedoch nutzen Cyberkriminelle den Treiber mittlerweile ebenfalls für Angriffe, sodass die unsichere Paragon-Software gar nicht installiert sein muss.
Als Konsequenz hat Microsoft die unsicheren Versionen des Treibers auf eine "schwarze Liste" gesetzt, sodass sie von Windows nicht mehr genutzt werden können. Klingt gut, hat aber einen Haken - diese Liste mit unsicheren Treibern wird standardmäßig nur in Windows 11 genutzt, nicht in Windows 10.
Windows 10:
In Windows 10 kann man die schwarze Liste für Treiber nicht separat ein/auschalten, sondern es wird mit der Funktion "Speicher-Integrität" aktiviert bzw. deaktiviert. Das ist etwas unglücklich, weil diese Funktion für sich genommen heikel sein kann und im schlimmsten Fall dafür sorgt, das der Computer nicht mehr hochfährt. Außerdem dürfte diese Funktion vor allem auf älteren Prozessoren zu leichten Geschwindigkeitseinbußen führen, weshalb gerade Spieler sie sehr oft ausschalten. Wer sich des Risikos bewusst ist und ein sichereres System bevorzugt, kann die Funktion wie folgt aktivieren. Öffnen sie das Sicherheitscenter durch Doppelklick auf das Schild-Symbol in der Taskleiste. Klicken sie im Sicherheitscenter der Reihe nach auf "Gerätesicherheit" → "Details zur Kernisolierung" → "Speicher-Integrität" und setzen sie den Schiebeschalter dort auf "EIN". Danach muss der Computer neugestartet werden damit die Funktion aktiv wird.
Windows 11:
Ausnahmsweise ist in Windows 11 mal etwas besser gelöscht als in Windows 10, denn hier kann man die Treiber-Liste unabhängig von der "Speicher-Integrität" aktivieren, außerdem ist sie standardmäßig bereits aktiviert. Wer prüfen möchte, ob das der Fall ist, geht genau wie oben bei Windows 10 vor, aktiviert dort jedoch nicht die "Speicher-Integrität" sondern die Funktion "Microsoft-Sperrliste gefährdeter Treiber". Die "Speicher-Integrität" kann hier, muss aber nicht aktiviert werden, um das gewünschte Ziel zu erreichen.
Paragon Software aktualisieren
Wer die Paragon Software "Partition Manager" installiert hat, sollte diese zudem auf Version 17.9.1 updaten oder deinstallieren, da ältere Versionen mit dem unsicheren Treiber bei sicherer Windows-Konfiguration nicht mehr funktionieren.
Quelle: 'Angreifer bringen verwundbaren Paragon-Treiber mit und missbrauchen ihn' auf Heise Online
07.03.2025 - LibreOffice 24.8.5 schließt zwei Sicherheitslücken
Letzte Woche hatten wir berichtet, dass LibreOffice Version 24.8.5 eine Sicherheitslücke bei der Behandlung von Links behebt. Dort wurde nur die 25er Version noch nicht erwähnt.
Diese Woche wurde eine weitere Sicherheitslücke in LibreOffice bekannt, die auch in der 25.er Version enthalten war. In Verbindung mit einem SharePoint-Server war es möglich unerwünschte Befehle auszuführen.
Auch diese Sicherheitslücke wird durch Version 24.8.5 behoben, wer also auf die Meldung letzte Woche reagiert und LibreOffice aktualisiert hat, ist bereits abgesichert. Zusätzlich ist diesmal auch die 25er Reihe betroffen, wer diese schon einsetzt, sollte unbedingt auf Version 25.2.1 updaten.
Download: Aktuelle LibreOffice Versionen
Quelle: 'LibreOffice: Funktion zur Sharepoint-Integration ermöglicht Makro-Ausführung' auf Heise Online
07.03.2025 - Auch Notebooks von mangelhaften Nvidia-Chips betroffen
Letzte Woche haben wir berichtet, dass manche Nvidia-Grafikkarten nicht der Spezifikation entsprechen und daher nicht die Leistung entfalten können, die sie eigentlich haben sollten. Diese Woche wurde bekannt, dass auch Notebooks mit Nvidia-Grafikchip von dem Problem betroffen sein können. Zum Glück wurden bisher noch keine Notebooks mit diesen Chips ausgeliefert, sodass das Umtausch-Prozedere wohl keine Kunden, sondern nur den Großhandel betreffen dürfte.
Angesichts der Unsummen die Nvidia aktuell mit seinen KI-Prozessoren verdient, sind die zahlreichen Qualitäts-Probleme bei den (ebenfalls unverschämt teuren) Grafikkarten bzw. Grafik-Chips des Herstellers unverständlich.
Quelle: 'GeForce RTX 5000: Auch Notebook-GPUs sind vom ROP-Schwund betroffen' auf Heise Online
07.03.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Attacken auf Sicherheitslecks in Cisco RV-Routern, WhatsUp Gold und Windows' auf Heise Online
Quelle: 'Kritische Lücke in VMware ESXi, Fusion und Workstation wird missbraucht' auf Heise Online
Quelle: 'Attacken auf VMware ESXi: Immer noch zehntausende Server verwundbar' auf Heise Online
Quelle: 'Massive Sicherheitslücken bei Gebäude-Zugangssystemen entdeckt' auf Heise Online
Quelle: 'Sicherheitslücke in IBM Storage Virtualize ermöglicht Schadcode-Ausführung' auf Heise Online
Quelle: 'Zohocorp ADSelfService Plus: Sicherheitsleck ermöglicht Kontenübernahme' auf Heise Online
Quelle: 'HP stopft 233 Sicherheitslecks im Thin-Client-OS ThinPro' auf Heise Online
Quelle: 'Linux-Lücke wird attackiert' auf Heise Online
Quelle: 'Vielfältige Attacken auf Nvidias KI-Architektur Hopper vorstellbar' auf Heise Online
Quelle: 'Zwei Sicherheitslücken in IBM Business Automation Workflow geschlossen' auf Heise Online
Quelle: 'Sicherheitsupdate: Kritische Schadcode-Lücke bedroht Kibana' auf Heise Online
Quelle: 'Angreifer können Hintertür in Backuplösung Commvault verankern' auf Heise Online
Quelle: 'Akira-Ransomware schlüpft über Webcam an IT-Schutzlösung vorbei' auf Heise Online
28.02.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 133.0.6943.141 schließt eine Sicherheitslücke mit unbekannter Risiko-Einstufung. Anwender von Google Chrome sollten den Browser bei nächster Gelegenheit aktualisieren.
Im Extended Stable Zweig geht es mit Versionsnummer 132.0.6834.210 weiter. Wie viele Lücken Google hier behoben hat, verschweigt der Hersteller wie üblich, es ist aber davon auszugehen, dass die neue Version sicherheitstechnisch auf demselben Stand ist wie die neue 133er Ausgabe.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Die Vivaldi Entwickler haben Update 6 von Vivaldi 7.1 veröffentlicht, die die neue Chromium Version 132.0.6834.211 enthält und damit die bekannten Sicherheitslücken behebt. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (6) for Vivaldi Desktop Browser 7.1' auf Vivaldi.com (Englisch)
Microsoft Edge:
Die Microsoft Edge Entwickler haben eine neue Version des Browsers veröffentlicht. Wie leider allzu oft bei Microsoft liegen jedoch noch keine Informationen darüber vor, welche Chromium-Version darin Verwendung findet. Damit lässt sich auch nicht sagen, ob die neue Version bereits abgesichert ist oder nicht, auch wenn es zu vermuten wäre. Anwender die Edge verwenden sollten trotzdem sichergehen diese Version zu nutzen.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
28.02.2025 - LibreOffice 24.8.5 schließt Sicherheitslücke
In Version 24.8.5 der kostenlosen Office-Suite LibreOffice wurde eine Sicherheitslücke geschlossen. In älteren Versionen konnte die Prüfung eingebetteter Links ausgetrickst werden, sodass ein Klick auf einen Link ein Programm hätte starten können. Dass Angreifer die Lücke in absehbarer Zeit ausnützen ist nicht sehr wahrscheinlich, dennoch sollten Anwender von LibreOffice auf Version 24.8.5 aktualisieren.
Von der Version 25.2.1 raten wir bisher noch ab. Diese ist noch nicht so ausgereift wie die 24.8-Serie und empfiehlt sich daher nur für Anwender, die unbedingt immer die neueste Version einsetzen wollen und bereit sind Bugreports zu senden.
Quelle: 'LibreOffice: Manipulierte Dokumente können in Windows Befehle einschleusen' auf Heise Online
Download: Aktuelle LibreOffice Versionen
28.02.2025 - Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress', bzw. dessen Plugins, sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Artikel:
Quelle: 'Angreifer können Wordpress-Websites mit Everest-Forms-Plug-in übernehmen' auf Heise Online
28.02.2025 - Probleme mit GeForce Grafikkarten häufen sich
Schon bei der 4000er-Serie der GeForce-Grafikkarten von Nvidia machten Meldungen von verschmorten Stromsteckern die Runde. Bei der 5000er Serie scheint Nvidia nichts dazu gelernt zu haben, denn abermals gibt es Berichte über verschmorte Grafikarten.
Aber nicht nur mit der Stromversorgung der äußert "durstigen" Karten hat Nvidia Probleme, die Grafik-Prozessoren der Grafikkarten enthalten teils nicht so viele Recheneinheiten wie sie haben sollten. Angesichts der aberwitzig hohen Preise die Nvidia für seine Grafikkarten aufruft, sollten Käufer unbedingt prüfen, ob die Grafikkarte auch tatsächlich der Spezifikation entspricht. Falls nicht, soll man sich an den Händler wenden zwecks Umtausch.
Beide Probleme werden in den jeweiligen Heise Online Artikel nähert beschrieben.
Quelle: 'Auch die GeForce RTX 5080 ist vom ROP-Mangel betroffen' auf Heise Online
Quelle: 'GeForce RTX 5090: Einzelne Berichte über schmelzende Stecker' auf Heise Online
Quelle: 'GeForce RTX 5090: Nvidia hat offenbar die Stromversorgung verbockt' auf Heise Online
28.02.2025 - Die neuesten Windows 10 Troubles
Nachdem es im Jänner unerwartet ruhig um Windows 11 war, bringt der Februar wieder eine der bekannten Problem-Meldungen rund um Windows 10 24H2. Diese Woche wurde bekannt, dass AutoCad 2022 sich auf dem Betriebssystem nicht mehr starten lässt. Abhilfe gibt es keine, wer AutoCad 2022 verwendet sollte also tunlichst nicht auf Windows 11 (24H2) updaten.
Quelle: 'Windows-Update-Vorschau: kleine Fehlerkorrekturen, neues Problem mit 24H2' auf Heise Online
28.02.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Bösartiger Code in 200 GitHub-Repositories stiehlt knapp 500.000 Euro' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer können Wireshark crashen lassen' auf Heise Online
Quelle: 'Cyberattacken auf Adobe Coldfusion und Oracle Agile PLM beobachtet' auf Heise Online
Quelle: 'KI-Plattformen: UEFI-Sicherheitslücke bedroht Nvidia Jetson und IGX Orin' auf Heise Online
Quelle: 'X.Org und Xwayland: Sicherheitslücken ermöglichen Codeschmuggel' auf Heise Online
Quelle: 'CISA warnt vor Angriffen auf Microsoft Partner Center und Zimbra' auf Heise Online
Quelle: 'Cisco stopft Sicherheitslücken in Nexus-Switches und in APIC' auf Heise Online
Quelle: 'Angreifer können Konfiguration vom Netzwerkbetriebssystem Arista EOS ändern' auf Heise Online
Quelle: 'Sicherheitsupdate: Angreifer können Middleware IBM TXSeries kompromittieren' auf Heise Online
Quelle: 'Fünf Sicherheitslücken in Gitlab geschlossen' auf Heise Online
21.02.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 133.0.6943.126 schließt drei Sicherheitslücken mit Risiko-Einstufung "hoch". Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome bei nächster Gelegenheit aktualisieren.
Im Extended Stable Zweig geht es mit Versionsnummer 132.0.6834.209 weiter. Wie viele Lücken Google hier behoben hat, verschweigt der Hersteller wie üblich, es ist aber davon auszugehen, dass die neue Version sicherheitstechnisch auf demselben Stand ist wie die neue 133er Ausgabe.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Die Vivaldi Entwickler haben Update 5 von Vivaldi 7.1 veröffentlicht. Neben der neuen Chromium Version 132.0.6834.209 repariert die neue Version auch noch diverse Kinderkrankheiten der 7.1er Ausgabe. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (5) for Vivaldi Desktop Browser 7.1' auf Vivaldi.com (Englisch)
Microsoft Edge:
Auch die Microsoft Edge Entwickler haben das neueste Chromium-Update übernommen. Die neue Edge Version 133.0.3065.171 schließt nicht nur die Chromium-Sicherheitslücken, sondern auch noch vier Edge-spezifische. Anwender die Edge verwenden sollten daher sichergehen diese Version zu nutzen.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
21.02.2025 - Schwere Sicherheitslücke in Firefox bzw. OpenH264
Eine schwere Sicherheitslücke in Ciscos Video-Codec "OpenH264" ermöglicht die Infektion des Computers. Neben diversen Cisco-Produkten die diesen Codec vermutlich einsetzen, ist auch Firefox betroffen. Allerdings nur dann, wenn im Betriebssystem kein eigener h264-Codec installiert ist. Bei den meisten aktuellen Windows-Versionen ist das der Fall, es gibt aber Ausnahmen. Unter Linux dürfte der gefährdete OpenH264-Code öfter in Verwendung sein.
Firefox Anwender können OpenH264 in den Einstellungen gänzlich deaktivieren (siehe Heise Online Artikel). Ein Sicherheitsupdate von Firefox liegt aktuell noch nicht vor.
Quelle: 'OpenH264-Sicherheitslücke: Schadcode über Videos im Browser' auf Heise Online
21.02.2025 - AMD sichert Radeon Grafiktreiber ab
AMD hat ein Sicherheitsbulletin veröffentlicht, wonach der Radeon Grafiktreiber 24.7.1 zwei Sicherheitslücken mit Einstufung "mittleres Risiko" schließt. Viren können durch die Lücken zwar keine auf das System kommen, dennoch sollten Besitzer einer halbwegs aktuellen AMD Grafikkarte auf den neuesten Treiber updaten (aktuell 24.12.1 bei modernen Radeon Karten ab RX5000 Serie, 24.9.1 bei älteren Radeon Karten und 24.Q4 bei den Profi-Karten) um auf Nummer sicher zu gehen.
Die abgesicherten Treiber gibt es sowohl für Grafikkarten bis hinunter zur RX Vega bzw. RX 400 Reihe sowie Ryzen Prozessoren bis runter zur Ryzen 2000 Baureihe.
Quelle: 'AMD Graphics Driver Vulnerabilities - February 2025' auf amd.com (englisch)
Download: Aktuelle AMD Radeon Treiber
21.02.2025 - Wieder Sicherheitslücken in HP-Druckern
HP hat wieder ein Sicherheitsbulletin für Drucker aus der Produktreihe "LaserJet" veröffentlicht. Darin werden drei Sicherheitslücken erwähnt, wovon eine ein kritisches Risiko darstellen soll. Viele Details nennt HP jedoch nicht. Besitzer eines HP LaserJet Druckers sollten zügig die Firmware des Gerätes aktualisieren.
Quelle: 'HP-Laserdrucker ermöglichen Codeschmuggel durch Postscript-Sicherheitsleck' auf Heise Online
21.02.2025 - Sicherheitslücke in Xerox Multifunktionsdruckern
Xerox Multifunktionsdrucker der Serien Phaser-, Versalink- und WorkCentre enthalten zwei Sicherheitslücken von denen eine als hohes Risiko eingestuft wurde. Eine umfangreiche Liste aller betroffenen Drucker können sie dem Heise Online Artikel entnehmen. Wie bei den HP-Druckern oben stehen auch hier aktualisierte Firmware-Dateien zum Download bereit.
Quelle: 'Xerox Versalink: Multifunktionsdrucker geben Zugangsdaten preis' auf Heise Online
21.02.2025 - Schwere Sicherheitslücke in WinZip
Das Packprogramm WinZip enthielt bis vor kurzem eine schwere Sicherheitslücke, die zur Infektion des Computers mit Viren genutzt werden konnte. Anwender, die diese Software installiert haben, sollten zügig auf Version 29 updaten, wo die Lücke behoben ist.
Quelle: 'Winzip: Angreifer können durch Sicherheitsleck Schadcode einschleusen' auf Heise Online
21.02.2025 - Sicherheitsupdates für Computer und Software von Dell
Für diverse Computer und auch Software von Dell sind wichtige Sicherheitsupdates verfügbar. Wer Geräte von Dell oder die Software "NetWorker" verwendet sollte im verlinkten Heise Online Artikel nachlesen, ob die eigenen Geräte betroffen sind und diese gegebenenfalls aktualisieren.
Quelle: 'Sicherheitsupdates Dell: BIOS- und NetWorker-Lücke geschlossen' auf Heise Online
21.02.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Angreifer kapern VPN-Verbindungen von Sonicwall-Firewalls' auf Heise Online
Quelle: 'Brocade SANnav: Angreifer können Zugangsdaten durch Sicherheitslecks erlangen' auf Heise Online
Quelle: 'Juniper Session Smart Router: Sicherheitsleck ermöglicht Übernahme' auf Heise Online
Quelle: 'Bootloader U-Boot: Sicherheitslücken ermöglichen Umgehen der Chain-of-Trust' auf Heise Online
Quelle: 'Sicherheitsupdate OpenSSH: Angreifer können sich in Verbindungen einklinken' auf Heise Online
Quelle: 'Sicherheitsupdates: Lernplattform Moodle vielfältig angreifbar' auf Heise Online
Quelle: 'Unifi Protect: Kritische Sicherheitslücken in Kameras und Verwaltungsoberfläche' auf Heise Online
Quelle: 'Citrix Netscaler ermöglicht Rechteausweitung' auf Heise Online
Quelle: 'Microsoft: Attacken auf Power Pages, Bing abgesichert' auf Heise Online
Quelle: 'Cyberangriffe auf Palo Alto PAN-OS und Craft CMS laufen' auf Heise Online
Quelle: 'Sicherheitsupdates Atlassian: Attacken auf Bamboo Data Center and Server möglich' auf Heise Online
Quelle: 'Backup-Spezialist Overland-Tandberg schließt' auf Heise Online
14.02.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 133.0.6943.98 schließt vier Sicherheitslücken mit Risiko-Einstufung "hoch". Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome bei nächster Gelegenheit aktualisieren.
Im Extended Stable Zweig geht es mit Versionsnummer 132.0.6834.207 weiter. Wie viele Lücken Google hier behoben hat, verschweigt der Hersteller wie üblich, es ist aber davon auszugehen, dass die neue Version sicherheitstechnisch auf demselben Stand ist wie die neue 133er Ausgabe.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Die Vivaldi Entwickler haben Update 4 von Vivaldi 7.1 veröffentlicht. Neben der neuen Chromium Version 132.0.6834.208 repariert die neue Version auch noch diverse Kinderkrankheiten der 7.1er Ausgabe. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (4) for Vivaldi Desktop Browser 7.1' auf Vivaldi.com (Englisch)
Microsoft Edge:
Die Microsoft Edge Entwickler haben eine neue Edge-Version veröffentlicht, es fehlen aber noch Hinweise auf die verwendete Chromium-Version. So kann aktuell nur spekuliert werden, dass Edge 133.0.3065.59 die aktuelle Chromium-Version nutzt. Anwender die Edge verwenden sollten trotzdem sichergehen diese Version zu nutzen.
14.02.2025 - Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe InDesign
Im Layout-Programm InDesign hat Adobe vier kritische und drei wichtige Sicherheitslücken behoben. Anwender des Programmes sollten rasch auf die Version 19.5.2 (2024) bzw. 20.1 (2025) updaten. Sämtliche älteren InDesign Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Info: 'Adobe Security Bulletin APSB25-01' auf Adobe.com (Englisch)
Adobe Illustrator
Im Vektorgrafik Programm Illustrator hat Adobe drei als "kritisch" eingestufte Sicherheitslücken behoben. Um wieder sicher zu sein, müssen Anwender auf Version 28.7.4 (2024) oder 29.2.1 (2025) updaten.
Info: Adobe Security Bulletin APSB25-11 (Englisch)
Adobe Photoshop Elements
In Photoshop Elements 2025 wurde eine als "wichtig" gekennzeichnete Schwachstelle entdeckt und behoben. Betroffen ist jedoch nur die Mac-Version.
Quelle: 'Adobe Security Bulletin APSB25-13' auf Adobe.com (Englisch)
Adobe Commerce bzw. Adobe Magento
Im Webshop-System "Magento" bzw. "Commerce" wurden jede Menge Sicherheitslücken behoben, viele davon kritisch. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB25-08 (Englisch)
Adobe InCopy:
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier sollte unbedingt auf Version 19.5.2 oder 20.1 aktualisiert werden, um sicher zu sein.
Info: Adobe Security Bulletin APSB25-10 (Englisch)
Adobe Substance3D Designer
In Adobes 3D-Programm 'Substance3D Designer' wurde eine "kritische" Sicherheitslücke behoben. Anwender des Programms sollten zügig auf Version 14.1 updaten.
Quelle: 'Adobe Security Bulletin APSB25-6' auf Adobe.com (Englisch)
Adobe Substance3D Stager
In Adobes 3D-Programm "Substance3D Stager" wurde eine wichtige Sicherheitslücke behoben. Anwender des Programms sollten rasch auf Version 3.1.1 updaten.
Quelle: 'Adobe Security Bulletin APSB25-9' auf Adobe.com (Englisch)
14.02.2025 - Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Windows 11 Blamage geht weiter ...
Vor einigen Wochen hatten wir schon berichtet, dass Systeme die mit einem Windows11-Installationsmedium mit integrierten Updates aus Oktober oder November 2024 installiert wurden, keine Updates mehr installiert werden können. Seit damals hat Microsoft nach einer Lösung gesucht um betroffene Kunden "automatisch" aus der Bredouille zu helfen, nun gibt der Software Konzern (mal wieder) auf! Wer ein derart "defektes" Windows 11 verwendet, muss ein "Inplace Upgrade" mit einem neuen Installations-Medium durchführen, um wieder Updates zu erhalten.
Quelle: 'Microsoft gibt auf: Windows 11 24H2-Update-Probleme nur manuell lösbar' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Microsoft-Patchday: Angreifer attackieren Windows und löschen Daten' auf Heise Online
14.02.2025 - Intel veröffentlicht Februar-Sicherheitsupdates
Prozessorhersteller Intel hat mal wieder neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider sind wieder sehr viele Updates dabei, die für den Endanwender schwer bis gar nicht zu bekommen sind, da es wieder um etliche Firmware-Updates geht. Es gibt aber auch wieder ein paar einfach zu behebende Sicherheitslücken, vor allem in Grafik- und Chipsatz-Treibern.
Sicherheitslücken in Grafik-Treibern
In den Grafik-Treibern für Intel's Prozessoren und Grafikkarten wurden drei Sicherheitslücken gefunden. Für Intel Prozessoren der 7ten bis 10ten (Core i)Generation steht Version 31.0.101.2130 des Grafiktreibers parat. Neuere Prozessoren bzw. Grafikkarten mit Arc- oder Iris Xe-Grafikeinheit, sind ab Grafiktreiber-Version 31.0.101.5768 abgesichert. Wer eine 'Arc Pro'-Grafikeinheit im Computer hat, sollte mindestens Version 31.0.101.5978 einsetzen. Am einfachsten gelingt das Update zumeist mit dem "Intel Driver and Support Assistant".
Quelle: 'Intel Graphics Software Advisory - SA-01235' auf Intel.com
Intel Driver and Support Assistant
Zuvor erwähnte Software zum einfachen Aktualisieren von (manchen) Intel-Treibern hat jedoch auch selbst ab und zu Sicherheitslücken. Diesmal nennt Intel zwei davon in zwei getrennten Advisories. Anwender sollten sicher gehen, dass Version 24.2.19.5 (oder neuer) der Software installiert ist. Üblicherweise sollte sich die Software bei Benutzung selbst aktualisieren.
Quelle: 'Intel® DSA Installer Advisory - SA-01156' auf Intel.com
Quelle: 'Intel® Driver Support Assistant Software Advisory - SA-01030' auf Intel.com
Chipsatz-Treiber
Auch in den Chipsatz-Treibern wurde eine Rechteausweitungs-Lücke behoben. Leider macht es Intel den Anwendern unmöglich zu bestimmen, ob man betroffen ist oder nicht. Intel sagt, alle Chipsatz-Treiber vor Version 10.1.19867.8574 sind betroffen. Das würde aber auch alle Uralt-Chipsätze bzw. Treiber mit einschließen, die jemals veröffentlicht wurden. Updates gibt es aber nur für Chipsätze ab der 100er Serie (ab H110, HM170, B150, Q150, QM170, QMS380, Z170, X299) und neuer. Ob ältere Chipsätze nicht betroffen sind, oder sie nur kein Update mehr erhalten, klärt das Bulletin nicht auf. Wir empfehlen daher allen Besitzern eines Computers mit Intel Prozessor die aktuellen Chipsatz-Treiber runterzuladen und versuchen diese zu installieren. Läuft die Installation durch, kann man sicher sein das Problem behoben zu haben. Meldet das Installations-Programm hingegen eine "nicht unterstützte Plattform" bleibt die bereits erwähnte Ungewissheit zurück.
Quelle: 'Intel® Chipset Software Installation Utility Advisory - SA-01184' auf Intel.com
Download: Aktuelle Intel Chipsatztreiber von Intel.com
Bluetooth Treiber
Das Sicherheitsbulletin zu den Bluetooth-Treibern ist gelinde gesagt "merkwürdig". Entweder setzt uns Intel hier tatsächlich eine Sicherheitsmitteilung für eine uralte Lücke mit einem eben so uralten Treiber vor die Nase, oder das Bulletin hat wiederholt Zahlendreher im Text. Die dem Bulletin zugrunde liegende Sicherheitslücke wurde 2021 gefunden. Als "Lösung" schreibt Intel im Jahr 2025, man möge auf den Bluetooth-Treiber 22.100 (oder neue) aktualisieren. Aktuell ist aber Version 23.100 des Treibers, eine Version 22.100 ist nicht zu finden. Anwender sollten sicherheitshalber auf Version 23.100 (oder neuer) des Bluetooth-Treibers aktualisieren. Wie bei den Grafiktreibern können auch dieses Updates meistens mit dem "Intel Driver and Support Assistant" einfach durchgeführt werden.
Quelle: 'Intel® Wireless Bluetooth® and Killer Bluetooth® Advisory - SA-00606' auf Intel.com
Intel LAN Treiber
Für die diversen Netzwerkchips von Intel gibt es gleich 3 Sicherheitsbulletins. Jedes davon gibt eine andere Mindest-Version vor, um die Lücken zu beheben. Unterm Strich ergibt sich daraus die Version 29.3 der LAN-Netzwerktreiber als Mindest-Version um sicher zu sein. Diese Treber werden (leider) NICHT über den "Intel Driver and Support Assistant" aktualisiert, man muss die Treiber selbst herunterladen und installieren.
Quelle: 'Intel® Ethernet Connection I219 Series Software Advisory - SA-00590' auf Intel.com
Quelle: 'Intel® Ethernet Adapter Complete Driver Pack Advisory - SA-01144' auf Intel.com
Quelle: 'Intel® 800 Series Ethernet Driver Software - SA-01236' auf Intel.com
Download: Aktuelle Intel LAN-Treiber von Intel.com
Und viele weitere Sicherheitsmeldungen
Die restlichen Advisories sind schwieriger umzusetzen, Besitzer von Computern mit Intel-Prozessoren sollten aber die Augen nach BIOS-Updates offen halten. Wer alle Meldungen "abarbeiten" möchte, kann sich unter dem folgenden Link eine Übersicht aller Intel Sicherheitsmeldungen anzeigen lassen.
Quelle: 'Intel® Product Security Center Advisories' auf Intel.com
Quelle: 'Patchday: Intel schließt Sicherheitslücken in CPUs und Grafiktreibern' auf Heise Online
14.02.2025 - Kritische Sicherheitslücken in Lexmark Druckern
Lexmark warnt wieder einmal vor Sicherheitslücken in seinen Druckern. In Summe sechs Sicherheitslücken gefährden Drucker von Lexmark und damit seine Besitzer/Anwender.
Wie bei Lexmark leider üblich, gibt es keine gesammelte Liste der verwundbaren Drucker, sondern man muss sich wieder einmal alle 6 Listen separat durchsehen um feststellen zu können, ob der eigene Drucker betroffen ist. Das sollte man auch tunlichst machen, denn die Lücken sind kritisch und könnten von Angreifern missbraucht werden, um ins eigene Netzwerk einzudringen. Links zu den Sicherheitsmitteilungen finden sie im Heise Online Artikel.
Besitzer von Lexmark Druckern sollten daher unbedingt prüfen, ob ihr Modell von den Lücken betroffen ist und wenn ja die entsprechenden Sicherheitsupdates installieren. Auch für Drucker, die in der Sicherheitsmeldung des Herstellers aktuell nicht genannt werden, lohnt es sich natürlich zu prüfen, ob die aktuellste Firmware verwendet wird und diese gegebenenfalls zu aktualisieren.
Quelle: 'Lexmark warnt vor Sicherheitslücken in Drucker-Software und -Firmware' auf Heise Online
14.02.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Schadcode-Attacken auf Trimble Cityworks beobachtet' auf Heise Online
Quelle: 'SAP-Patchday: 18 Sicherheitsmitteilungen zu teils hochriskanten Lücken' auf Heise Online
Quelle: 'Sicherheitsupdates Zimbra: Angreifer können Metadaten von E-Mails auslesen' auf Heise Online
Quelle: 'AMD schließt schwere Microcode-Sicherheitslücke - per Microcode-Update' auf Heise Online
Quelle: 'Solarwinds: Update schließt teils kritische Lücken in Platform' auf Heise Online
Quelle: 'Ivanti: Kritische Codeschmuggel-Lücken in VPN und CSA' auf Heise Online
Quelle: 'Fortinet: Angriffe auf Schwachstellen laufen, Updates für diverse Produkte' auf Heise Online
Quelle: 'Sicherheitslücken: Gitlab-Entwickler raten zu zügigem Update' auf Heise Online
Quelle: 'Progress Telerik und Loadmaster: Updates dichten Sicherheitslecks ab' auf Heise Online
Quelle: 'Sicherheitslücke: Angreifer können PostgreSQL-Datenbanken attackieren' auf Heise Online
Quelle: 'Palo Alto PAN-OS: Exploit-Code für hochriskante Lücke aufgetaucht' auf Heise Online
07.02.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 133.0.6943.53 schließt 12 Sicherheitslücken mit Risiko-Einstufung "hoch". Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome bei nächster Gelegenheit aktualisieren.
Im Extended Stable Zweig geht es mit Versionsnummer 132.0.6834.194 weiter. Wie viele Lücken Google hier behoben hat, verschweigt der Hersteller wie üblich, es ist aber davon auszugehen, dass die neue Version sicherheitstechnisch auf demselben Stand ist wie die neue 133er Ausgabe.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Die Vivaldi Entwickler haben Update 2 von Vivaldi 7.1 veröffentlicht. Neben der neuen Chromium Version 132.0.6834.196 repariert die neue Version auch noch diverse Kinderkrankheiten der 7.1er Ausgabe. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (2) for Vivaldi Desktop Browser 7.1' auf Vivaldi.com (Englisch)
Microsoft Edge:
Auch die Microsoft Edge Entwickler haben das neueste Chromium-Update übernommen. Die neue Edge Version 133.0.3065.51 schließt nicht nur die Chromium-Sicherheitslücken, sondern auch noch sieben Edge-spezifische. Anwender die Edge verwenden sollten daher sichergehen diese Version zu nutzen.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
07.02.2025 - Thunderbird 128.7 mit Sicherheitsupdates
Die Entwickler von Thunderbird haben die Version 128.7 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 12 Sicherheitslücken behoben, vier davon mit Risiko-Einstufung "hoch". Die 115er Serie erhält schon länger keine Updates mehr, weshalb Anwender die diese Ausgabe immer noch verwenden jetzt wirklich auf die 128er Version updaten sollten.
Alle Thunderbird Anwender sollten auf die neue Version updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 128.7.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
07.02.2025 - Firefox 135 schließt Sicherheitslücken
Anwender, die Mozilla Firefox verwenden, sollten auf Version 135 bzw. die ESR-Version 128.7 oder 115.20 upgraden. Diese beheben 11 Sicherheitslücken von denen vier die Risikoeinstufung "hoch" erhalten haben.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
07.02.2025 - Kritische Sicherheitslücken in HP- und Samsung-Druckern
HP hat wieder ein Sicherheitsbulletin für Drucker aus eigenem Haus sowie solche der zugekauften Samsung-Druckersparte veröffentlicht. Die kritische Sicherheits-Lücke steckt im "HP Universal Print Driver" (HP Universal Druckertreiber) weshalb fast das gesamte Drucker-Portfolio von HP und Samsung potenziell betroffen sein könnte.
Überall dort, wo dieser Treiber installiert ist, sollte man zügig auf die abgesicherte Version 7.3.0.25919 updaten. Wie genau dieses Update vonstattengeht, steht leider nicht in dem Security-Bulletin. Eventuell muss man die Versionsnummer des Treibers als manuell prüfen und ihn gegebenenfalls auch von Hand aktualisieren.
Quelle: 'HP: Kritische Lücken in Universal-Druckertreiber ermöglichen Codeschmuggel' auf Heise Online
Download: 'Aktuelle Version des "HP Universal Print Driver"' auf hp.com
07.02.2025 - Keine Sicherheitsupdates mehr für attackierte Zyxel-Router
Aktuell werden zahlreiche verwundbare Router von dem Mirai-Botnetz angegriffen, darunter auch verschiedene Router von Zyxel. Wie alle Router-Besitzer sollten auch Eigentümer von Zyxel-Geräten regelmäßig auf Updates prüfen.
Allerdings sind auch folgende Geräte von Zyxel betroffen, die keine Sicherheitsupdates mehr erhalten, weil der Support ausgelaufen ist:
VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300, SBG3500.
Besitzer dieser Geräte sollten diese rasch durch einen modernen Router ersetzen, der noch möglichst lange mit Sicherheitsupdates versorgt werden. Falls es sich um einen vom Provider zur Verfügung gestellten Router handelt, ist dieser für Ersatz verantwortlich.
Quelle: 'Support ausgelaufen: Keine Sicherheitsupdates mehr für attackierte Zyxel-Router' auf Heise Online
07.02.2025 - Sichrheitslücken in mehreren Netgear Routern
Auch in mehreren Routern von Netgear wurden schwere Sicherheitslücken entdeckt. Während für die Modelle XR500, XR1000 und XR1000v2 neue Firmware-Versionen verfügbar sind, die die Lücken schließen, gilt das für die veralteten Geräte FVS336Gv2 und FVS336Gv3 nicht. Hier hilft nur der Austausch der Geräte.
Quelle: 'Netgear: Nighthawk Pro Gaming-Router mit Schadcode-Leck' auf Heise Online
07.02.2025 - Rechnung per Mail kann für Firmen teuer werden!
Firmen, die ihre Rechnungen per E-Mail an ihre Kunden senden, werden über dieses Urteil des Oberlandesgerichts (OLG) Schleswig-Holstein nicht erfreut sein. Eine Firma in Deutschland hatte geklagt, weil ein Kunde eine Rechnung nicht bezahlt hatte. Diesem wurde von Hackern eine gefälschte Rechnung untergeschoben, das Geld daher an einen Betrüger bezahlt. Vereinfacht gesagt hat das Gericht zu Gunsten des Kunden geurteilt, weil E-Mail generell nicht sicher genug für die Übermittlung von Rechnungen sei (wie gesagt, vereinfacht gesagt)!
Das ist ein gefährlicher Präzedenzfall, der die Übermittlung von Rechnungen per E-Mail in Zukunft zumindest infrage stellt. Wir sind gespannt was sich hieraus noch ergibt, denn gerade für kleine Firmen kann das rasch existenzbedrohend werden.
Der Autor des Heise-Artikels nennt als möglichen Ausweg den Versand von Rechnungen per Post. Wirklich sicherer scheint uns das aber nicht. Wer haftet denn für den Schaden, wenn ein krimineller Postbote eine Rechnung auf Papier manipuliert?
Quelle: 'Urteil: TLS-Verschlüsselung bei E-Mail-Rechnungen an Privatkunden zu wenig?' auf Heise Online
07.02.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Medizinischer Überwachungsmonitor: Hintertür in Contec CMS8000 entdeckt' auf Heise Online
Quelle: 'Sicherheitsupdates: Zahlreiche Lücken gefährden Backup-Appliances von Dell' auf Heise Online
Quelle: 'HP Anyware: Linux-Client ermöglicht Rechteausweitung' auf Heise Online
Quelle: 'Zugriffsmanagement: HPE Aruba Networking CPPM ist verwundbar' auf Heise Online
Quelle: 'Veeam Backup: Codeschmuggel durch MitM-Lücke im Updater möglich' auf Heise Online
Quelle: 'CISA warnt vor Angriffen auf Linux, Apache OFBiz, .NET und Paessler PRTG' auf Heise Online
Quelle: 'Quartalssicherheitsupdates: F5 rüstet BIG-IP-Appliances gegen mögliche Angriffe' auf Heise Online
Quelle: 'Cisco stopft Sicherheitslücken in mehreren Produkten - auch kritische' auf Heise Online
Quelle: 'BSI-Analyse von Nextcloud: Zwei-Faktor-Authentifizierung war angreifbar' auf Heise Online
Quelle: 'Defekter Sicherheitspatch für HCL BigFix Server Automation repariert' auf Heise Online
31.01.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 132.0.6834.159 schließt 2 Sicherheitslücken, wovon eine mit mittlerem Sicherheitsrisiko eingestuft wurde, während die Gefahrenstufe der zweiten Lücke von Google verheimlicht wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Der 132er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Vivaldi hat wie üblich schnell reagiert und kurz nach Google die Version 7.1 Update 1 veröffentlicht. Sie basiert auf Chromium 132.0.6834.168 womit alle aktuellen Sicherheitslücken behoben sind. Darüber hinaus wurden auch ein paar Kinderkrankheiten der noch recht neuen 7.1er-Serie behoben. Vivaldi Nutzer sollten zügig auf die neue Version updaten, falls dies nicht bereits vom automatischen Update erledigt wurde.
Quelle: 'Minor update for Vivaldi Desktop Browser 7.1' auf Vivaldi.com (Englisch)
Microsoft Edge:
Auch die Microsoft Edge Entwickler haben das neueste Chromium-Update übernommen. Die neue Edge Version 132.0.2957.140 ist sicherheitstechnisch wieder aktuell. Anwender die Edge verwenden sollten daher sichergehen diese Version zu nutzen.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
31.01.2025 - Wieder Sicherheitsprobleme mit Nvidia Treibern & Software
Nvidia hat wieder Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. Es gibt Updates für die Grafikarten-Treiber und die VGPU-Software. In den echten Grafiktreibern hat Nvidia 5 Sicherheitsprobleme behoben, in der VGPU-Software waren es zwei. Die jeweils gefährlichste Lücke wurde als "hohes Risiko" eingestuft, weshalb beide Software-Pakete aktualisiert werden sollten.
Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 572.16 bei den GameReady-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 572.16, 553.62 bzw. 539.19) bereit.
Administratoren eines Servers mit Nvidia VGPU oder Tesla-Karten entnehmen die Informationen zu den Sicherheitsupdates bitte dem Nvidia Sicherheitsbulletin.
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - January 2025' (Englisch)
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
31.01.2025 - Sicherheitslücke in Teamviewer geschlossen
Wer Teamviewer auf seinem PC installiert hat, sollte zügig auf die Version 15.62 aktualisieren. Dort wird eine Sicherheitslücke mit "hohem" Risiko behoben. Wer die Software zwar installiert hat aber gar nicht regelmäßig verwendet, sollte sie hingegen deinstallieren. Details zur Lücke gibt es im Heise Online Artikel.
Quelle: 'Teamviewer: Sicherheitsleck ermöglicht Angreifern die Ausweitung ihrer Rechte' auf Heise Online
31.01.2025 - Sicherheitslücken in SimpleHelp RMM behoben
In der Fernwartungs-Software "SimpleHelp RMM" wurden drei Sicherheitslücken mit den Risiko-Bewertungen "kritisch" und "hoch" gefunden. Wer diese Software auf seinem PC hat, sollte sie daher dringend deinstallieren oder auf die Version 5.5.8 aktualisieren.
Quelle: 'SimpleHelp RMM: Angriffe auf Sicherheitslücken beobachtet' auf Heise Online
31.01.2025 - Sicherheitsupdate für D-Link Router "DSL-3788"
Im Router "DSL-3788" von D-Link wurde eine kritische Sicherheitslücke entdeckt. Die Lücke ermöglicht Angreifern die vollständige Kontrolle über den Router zu übernehmen. Besitzer dieses Routers sollten daher umgehend auf die neue Firmware v1.01R1B037 updaten, wo der Fehler behoben wurde.
Download: 'Firmware-Update v1.01R1B037 für D-Link DSL-3788' von dlink.com
Quelle: 'Sicherheitsupdate: Schadcode-Attacken können D-Link-Router schaden' auf Heise Online
31.01.2025 - Ökologie á Fritz!Box
Das Router nicht immer nach wenigen Jahren aufgrund von Sicherheitslücken auf den Elektro-Schrott wandern müssen, beweist einmal mehr der deutsche Hersteller AVM. Laut einem aktuellen Heise Online Artikel hat der Hersteller gerade erst ein neues Update für einen 12 Jahre alten Router veröffentlicht. Zwar heißt das nicht, das man bei allen Geräten von AVM derart lange Updates erhält, von den Mitbewerbern setzt man sich aber auf jeden Fall deutlich ab. Das und die generell gute Sicherheitsbilanz der Fritz!Boxen, machen diese Router für uns immer wieder zur Empfehlung Nummer 1.
Quelle: '12 Jahre nach Vorstellung: Fritzbox 7490 bekommt FritzOS 7.60' auf Heise Online
31.01.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Palo-Alto: Sicherheitslücken in Firmware und Bootloadern von Firewalls' auf Heise Online
Quelle: 'Silicon Labs: Software- und Treiber-Installer mit DLL-Injection-Lücken' auf Heise Online
Quelle: 'Gdata Security Client und Management Server erlauben Rechteausweitung' auf Heise Online
Quelle: 'Sonicwall: Tausende Geräte für trivial angreifbare SSL-VPN-Lücke anfällig' auf Heise Online
Quelle: 'Industrielle Kontrollsysteme: Attacken auf kritische Infrastrukturen möglich' auf Heise Online
Quelle: 'VMware: Hochriskante SQL-Injection-Lücke gefährdet Avi Load Balancer' auf Heise Online
Quelle: 'VMware Aria Operations: Angreifer können Zugangsdaten auslesen' auf Heise Online
Quelle: 'Warten auf Patch: Das Admin-Interface Voyager für Laravel-Apps ist verwundbar' auf Heise Online
Quelle: 'Mirai-Botnetz: Angreifer attackieren Zyxel-Router und Mitel-SIP-Phones' auf Heise Online
Quelle: 'Zoho ManageEngine Applications Manager: Sicherheitslücke verschafft Admin-Rechte' auf Heise Online
Quelle: 'Schadcode-Schlupfloch in Dell NetWorker geschlossen' auf Heise Online
Quelle: 'Angreifer können Dell Enterprise Sonic Distribution kompromittieren' auf Heise Online
25.01.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 132.0.6834.110 schließt 3 Sicherheitslücken, wovon mehrere mit hohem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Der 132er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Vivaldi hat jetzt Version 7.1 seines Browsers veröffentlicht. Darin gibt es einmal mehr nur Neuerungen, die für alle die nur den Browser nutzen eher unwichtig sind, weshalb wir hier nicht weiter darauf eingehen. Interessierte können den Blogpost zur Version 7.1 lesen, die die Neuerungen ausführlich beschreibt. Für alle Vivaldi Nutzer wichtig ist aber wie üblich das Chromium Update auf Version 132.0.6834.110, was Vivaldi sicherheitstechnisch wieder auf den aktuellsten Stand bringt.
Quelle: 'Vivaldi 7.1: Widgets, Tabs und schlanker Start bis 2025' auf Vivaldi.com
Microsoft Edge:
Auch die Microsoft Edge Entwickler haben jetzt den Sprung auf die aktuelle Chromium Version geschafft. Die neue Edge Version 132.0.2957.127 ist sicherheitstechnisch wieder aktuell. Anwender die Edge verwenden sollten daher sichergehen diese Version zu nutzen.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
25.01.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitspatch: Unbefugte Zugriffe auf bestimmte Switches von Moxa möglich' auf Heise Online
Quelle: 'Großflächige Brute-Force-Angriffe auf M365 - vorsichtshalber Log-ins checken' auf Heise Online
Quelle: 'Heimserver-Betriebssystem: Updates beheben Sicherheitslücken in Unraid' auf Heise Online
Quelle: 'Schwachstellen in Jenkins-Plug-ins gefährden Entwicklungsumgebungen' auf Heise Online
Quelle: 'Sicherheits-Appliance: Angreifer kapern SonicWall-Geräte mit Systemkommandos' auf Heise Online
Quelle: 'Cisco: Kritische Sicherheitslücke in Meeting Management' auf Heise Online
Quelle: 'Angriffe auf alte jQuery-Bibliotheken beobachtet' auf Heise Online
Quelle: 'Jetzt patchen: Cross-Site-Scripting und Denial of Service in GitLab möglich' auf Heise Online
17.01.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 132.0.6834.83 schließt 16 Sicherheitslücken, wovon mehrere mit hohem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Der 132er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Wie üblich gibt es in der ersten Woche nach einem Chromium-Versionswechsel noch keine neue Vivaldi-Version, die darauf aufbaut. Die Sicherheit ist dadurch offenbar nicht gefährdet, sonst hätten die Vivaldi-Entwickler einzelne Fixes zurückportiert, wie dies in der Vergangenheit schon mehrfach gemacht wurde.
Microsoft Edge:
Microsoft Edge hat ebenfalls noch kein Update auf die 132er Version erhalten. Sorgen müssen sich Edge-Anwender aber deshalb vorerst noch keine machen.
17.01.2025 - Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Photoshop
In Photoshop 2023 und 2024 wurden zwei "kritische" Sicherheitslücken behoben. Die 2024er-Ausgabe bekommt das Sicherheitsupdate mit Version 25.12.1 und die 2025er-Fassung ist ab Version 26.2 abgesichert. Sämtliche älteren Photoshop Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB25-2' auf Adobe.com (Englisch)
Adobe Animate
Das ehemals Flash genannte Web-Animationsprogramm enthielt eine Sicherheitslücke die als "kritisch" eingestuft wurde. Wer Adobe Animate installiert hat, sollte rasch auf Version 23.0.10 (2023) oder 24.0.7 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB25-5 (Englisch)
Adobe Substance3D Designer
In Adobes 3D-Programm 'Substance3D Designer' wurden vier "kritische" Sicherheitslücken behoben. Anwender des Programms sollten zügig auf Version 14.1 updaten.
Quelle: 'Adobe Security Bulletin APSB25-6' auf Adobe.com (Englisch)
Adobe Substance3D Stager
In Adobes 3D-Programm "Substance3D Stager" wurden 5 "kritische" Sicherheitslücken behoben. Anwender des Programms sollten rasch auf Version 3.1.0 updaten.
Quelle: 'Adobe Security Bulletin APSB25-3' auf Adobe.com (Englisch)
17.01.2025 - Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Microsoft-Patchday: Angreifer nutzen drei Lücken in Hyper-V aus' auf Heise Online
17.01.2025 - Die nächsten Sicherheitslücken in Zoom
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 6.2.10 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Webkonferenzen: Zoom Workplace Apps mit Sicherheitslücken' auf Heise Online
17.01.2025 - Wieder Sicherheitslücken in WordPress und Typo3
Für die Contentmanagement-Systeme 'WordPress' und 'Typo3' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Plug-in W3 Total Cache: Potenziell 1 Millionen Websites attackierbar' auf Heise Online
Quelle: 'CMS: Typo3-Entwickler dichten zehn Sicherheitslücken ab' auf Heise Online
17.01.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdate für Paessler PRTG Network Monitor ist da' auf Heise Online
Quelle: 'Log Source Management App für IBM QRadar SIEM ist auf vielen Wegen angreifbar' auf Heise Online
Quelle: 'SAP-Patchday: Updates schließen 14 teils kritische Schwachstellen' auf Heise Online
Quelle: 'Jetzt patchen! Attacken auf Netzwerkgeräte von Fortinet beobachtet' auf Heise Online
Quelle: 'Kopierdienst rsync mit kritischer Lücke' auf Heise Online
Quelle: 'Windows-Update-Probleme: Rollback bei installiertem Citrix-Agent' auf Heise Online
Quelle: 'Updates gegen Lecks in Ivanti Application Control Engine, Avalanche und EPM' auf Heise Online
Quelle: 'Es kann Schadcode auf HPE Aruba Networking AOS Controllers und Gateways gelangen' auf Heise Online
10.01.2025 - Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 131.0.6778.264 schließt 4 Sicherheitslücken mit Risiko-Einstufung "hoch". Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome bei nächster Gelegenheit aktualisieren.
Zum Extended Stable Zweig nennt Google diese Woche immerhin eine neue Versionsnummer - 130.0.6723.191. Was darin geändert wurde, verrät der Hersteller aber wieder einmal nicht. Man muss aber wie üblich davon ausgehen, dass es ebenfalls ein Sicherheitsupdate ist. Wer also die Extended Stable Version von Google Chrome oder Chromium einsetzt, sollte ebenfalls updaten.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:
Die Vivaldi Entwickler haben Update 10 von Vivaldi 7 veröffentlicht. Diesmal wurde wirklich nur die Chromium Version auf Ausgabe 130.0.6723.193 aktualisiert, weitere Fehlerbehebungen gibt es keine, was wohl bedeutet das nun alle Kinderkrankheiten der 7er Serie behoben wurden. Anwender von Vivaldi sollten zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (10) for Vivaldi Desktop Browser 7.0' auf Vivaldi.com (Englisch)
Microsoft Edge:
Microsoft dürfte sich noch im Winterschlaf oder Ferien befinden, denn es gibt keine neue Edge-Version, was Anwender wieder einmal mit einem unsicheren Browser zurücklässt. Wer sich sicher im Internet bewegen will, kann zumindest vorübergehend auf Vivaldi umsteigen.
10.01.2025 - Thunderbird 128.6 mit Sicherheitsupdates
Die Entwickler von Thunderbird haben die Version 128.6 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden Sicherheitslücken behoben, wieviele und wie kritische diese waren lässt sich aktuell mangels Bulletin leider noch nicht sagen, mindestens eine Lücke mit "hohem" Bedrohungsgrad verrät aber das Firefox Security Bulletin. Die 115er Serie erhält schon länger keine Updates mehr, weshalb Anwender die diese Ausgabe immer noch verwenden jetzt wirklich auf die 128er Version updaten sollten.
Alle Thunderbird Anwender sollten auf die neue Version updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 128.6.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
10.01.2025 - Firefox 134 schließt Sicherheitslücken
Anwender, die Mozilla Firefox verwenden, sollten auf Version 134 bzw. die ESR-Version 128.6 oder 115.19 upgraden. Diese beheben 11 Sicherheitslücken von denen drei die Risikoeinstufung "hoch" erhalten haben.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Webbrowser: Chrome- und Firefox-Updates stopfen teils hochriskante Lücken' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
10.01.2025 - Sicherheitslücken in Asus Routern
Asus erwähnt in seinem Security-Bulletin zwei neue Sicherheitslücken in seinen Routern. Im Detail steckt diese in der Funktion "AiCloud", es dürften also alle Asus Router betroffen sein, die diese Funktion haben. Eine Liste betroffenere Router gibt es leider nicht. Asus erwähnt aber, dass wohl auch Router betroffen sind, die bereits "End of Life" sind, also keine Updates mehr erhalten. Diese Geräte sollten ausgemustert werden. Router, die noch supportet werden, sollten ein Firmware-Update erhalten haben. Kunden sollten dies umgehend herunterladen und installieren.
Quelle: 'Stimmen die Voraussetzungen, kann Schadcode auf Asus-Router gelangen' auf Heise Online
10.01.2025 - Wieder Sicherheitslücken in WordPress und Sitefinity
Für die Contentmanagement-Systeme 'WordPress' und 'Sitefinity' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Kein Patch für Lücke in WordPress-Plug-in Fancy Product Designer in Sicht' auf Heise Online
Quelle: 'CMS: Updates stopfen Sicherheitslecks in Progress Sitefinity' auf Heise Online
10.01.2025 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Dell Update-Paket-Framework bedroht Systemsicherheit' auf Heise Online
Quelle: 'Zero-Day-Sicherheitslücke in Sonicwall SSL-VPN wird angegriffen' auf Heise Online
Quelle: 'HCL BigFix Server Automation: Angreifer können Traffic umleiten' auf Heise Online
Quelle: 'Sicherheitslücken: Hintertür gefährdet Industrie-Router von Moxa' auf Heise Online
Quelle: 'US-Sicherheitsbehörde warnt vor Attacken auf MiCollab und WebLogic Server' auf Heise Online
Quelle: 'IBM stopft Sicherheitslecks in Cognos Controller' auf Heise Online
Quelle: 'Ivanti Connect Secure: Angreifer attackieren kritische Sicherheitslücke' auf Heise Online
Quelle: 'Sicherheitsupdates: Bridge und Switch von HPE Aruba Networking angreifbar' auf Heise Online
Quelle: 'Migrationstool Palo Alto Expedition gefährdet Netzwerksicherheit' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer können Netzwerkgeräte mit Junos OS crashen lassen' auf Heise Online
03.01.2025 - Sicherheitsmeldungen für Administratoren
Diese Woche gibt es keine wichtigen Sicherheitsnachrichten für Privatanwender, daher "nur" drei Meldungen die für Administratoren wichtig sein könnten. Wie üblich verlinken wir nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Kein Sicherheitspatch in Sicht: Paessler PRTG Network Monitor ist attackierbar' auf Heise Online
Quelle: 'Sicherheitslücke: Angreifer können Palo-Alto-Firewalls in Wartungsmodus schicken' auf Heise Online
Quelle: 'Authentifizierung von IBM Db2 unter Cloud Pak for Data umgehbar' auf Heise Online
