Die LibreOffice Entwickler haben die Versionen 4.3.5 sowie 4.2.8 der freien Bürosuite veröffentlicht. Beide Versionen korrigieren Fehler der jeweiligen Vorversionen.
Anwender, die noch eine LibreOffice Version vor 3.2.7 bzw. 4.3.3 einsetzen, sollten aus Sicherheitsgründen unbedingt auf eine aktuelle Version updaten.
Die 4.3er Serie ist mittlerweile ausgereift genug um auch in Firmen eingesetzt zu werden. Sehr konservative Anwender können noch bei der 4.2er Serie bleiben, jedoch ist Version 4.2.8 die letzte Ausgabe dieser Schiene.
Quelle: Liste der Neuerungen in LibreOffice 4.3
Download: Aktuelle LibreOffice Versionen (4.3 Serie) - (Empfohlen)
Download: Aktuelle LibreOffice Versionen (4.2 Serie)
Üblicherweise berichten wir jeden Monat über die neuesten Sicherheitsupdates aus dem Hause Microsoft in einer eher überschaubaren Form, weil es damit in der Vergangenheit nur selten Probleme gegeben hat. Diesen Monat ist alles anders, denn mittlerweile umfasst unsere Liste von 'fehlerhaften' Updates bereits fünf Exemplare.
Und als wäre das nicht schon schlimm genug, wurde kürzlich noch eine Sicherheitslücke im Internet Explorer bekannt, für die Microsoft bisher noch gar kein Update bereitstellen kann, weshalb man zumindest vorübergehend ganz auf den Browser mit dem blauen E verzichten sollte. Hier nun der Reihe nach alle Updates, die Probleme verursachen:
KB3004394 – Rootzertifikat Update
Dieses Update hat wohl für die größte Zahl 'geschädigter' Anwender gesorgt. Nach Installation dieses Updates auf Windows 7 (mit SP1) bzw. dem verwandten Windows Server 2008 R2 SP1 ging auf diesen Systemen fast nichts mehr. Etliche Programme ließen sich nicht mehr starten, und die Systeme wurden sehr langsam. Mittlerweile hat Microsoft hier reagiert, und das Update KB3024777 veröffentlicht, das die durch das originale Update verursachten Fehler behebt. Anwender sollten das UpdateKB3004394 unbedingt deinstallieren, sofern es nicht bereits durch KB3024777 abgelöst wurde.
KB2986475 - Exchange 2010 SP3 Update Rollup 8
Dieses Update dürfte etliche Server-Administratoren verärgert haben. Nach der automatischen Installation am Dienstagabend, war die Kommunikation von Exchange 2010 mit den Outlook Clients massiv gestört. KB2986475 sollte unbedingt deinstalliert werden, sofern möglich. Ein fehlerbereinigtes Update ist bisher nicht verfügbar, das fehlerhafte wurde zurückgezogen.
KB3013769 - Dezember Update Rollup für Windows 8.1 und Server 2012 R2
Dieses Update ist streng genommen nicht fehlerhaft – so unsere Einschätzung, aber es ist inkompatibel zu Kaspersky Sicherheitsprogrammen, sofern es um Windows 8.1 32Bit geht. Auf diesen Systemen führt die Installation des Updates zu einem Bluescreen. Nur eine Systemwiederherstellung (falls möglich) lässt den Computer danach wieder starten. Zum Glück betrachtet Microsoft das Update als Optional, weshalb es nicht vollautomatisch installiert wird. Anwender von Windows 8.1 32Bit mit Kaspersky sollten dieses Update in 'Windows Update' unbedingt ausblenden, damit es nicht versehentlich installiert wird. Wir haben Kaspersky umgehend über das Problem informiert, und der Hersteller hat es mittlerweile bestätigt. Ob, wann, und von wem es eine Korrektur dieser Panne geben wird ist noch völlig unklar.
KB3011970 – Update für Silverlight
Die Konsequenzen durch die Installation von Update KB3011970 sind zum Glück weniger dramatisch als die vorhergegangenen. Natürlich werden das alle Anwender, die keine Videos mehr über kopiergeschützte Verbindungen betrachten können, anders sehen, aber die Zahl der betroffenen Anwender im deutschsprachigen Raum dürfte überschaubar sein. Eine Deinstallation des Updates löst die 'Sehbeschwerden', ein korrigiertes Update ist bisher nicht verfügbar. Auch dieses Update wurde von Microsoft bereits zurückgezogen.
KB3002339 - Visual Studio 2012 Update
Und auch Programmierer dürfen sich über ein fehlerhaftes Update 'freuen'. Die Installation von KB3002339 soll teils sehr lange dauern, teils auch ganz abbrechen. Auf keinen Fall sollte man während der Installation den Computer ausschalten, sonst sind die Folgen meist noch verheerender. Bei manchen Anwendern soll es geholfen haben, zuerst alle anderen nötigen Updates zu installieren, und KB3002339 nach einem Neustart manuell zu installieren, statt über Windows Update.
Quelle: 'Microsoft: Neues Zertifikats-Update, noch ein zurückgezogener Patch' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an, und veröffentlicht für viele Anwendungen Updates. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 16.0.0.235 . Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Adobe Reader & Acrobat:
Adobe Reader und Acrobat liegen nun jeweils in Version 11.0.10 vor. Auch wenn es immer noch Updates der 10er Serie gibt, empfehlen wir doch allen Anwendern des Readers auf die Version 11 upzugraden, da diese einfach mehr Sicherheit bietet. Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am einfachsten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Reader unten zum Download an.
ColdFusion :
Nutzer von Adobe ColdFusion sollten ebenfalls unbedingt Updates installieren, um schwere Sicherheitslücken zu schließen. Updates gibt es hier für die Versionen 10 und 11. Wie die Updates zu installieren sind, steht in dem 'Adobe Security Bulletin APSB14-29'.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Download: Adobe Reader XI (v11.0.10), Windows, Mehrsprachig → 74 MB
Quelle: 'Adobe Security Bulletin APSB14-29' auf Adobe.com (Englisch)
Vor etwas mehr als zwei Monaten begann HP damit fehlerhafte Stromkabel zurückzurufen. Nun haben auch Toshiba und Lenovo, die wohl dasselbe Stromkabel mit ihren Notebooks geliefert haben, Rückrufprogramme gestartet.
Das von HP, Toshiba und Lenovo gelieferte Kabel kann überhitzen und dadurch schlimmstenfalls zu Bränden führen. Die betroffenen Kabel haben auf dem Stecker ein 'LS-15' eingegossen. Jedoch sind nicht automatisch alle Kabel mit dem 'LS-15' Schriftzug betroffen. Kunden können auf den Webseiten der Hersteller prüfen, ob ihre Kabel betroffen sind.
Wir raten allen Besitzern von HP, Toshiba und Lenovo Geräten die Stromkabel zu prüfen, um sich hier keinem unnötigen Risiko auszusetzen.
Info: Rückruf- und Ersatzprogramm für HP-Stromkabel
Info: Rückruf- und Ersatzprogramm für Toshiba-Stromkabel
Info: Rückruf- und Ersatzprogramm für Lenovo-Stromkabel
Quelle: Lenovo ruft Stromkabel zurück
Quelle: HP ruft Kabel von Notebook-Netzteilen zurück
Nachdem wir uns kürzlich noch so positiv über die Kaspersky Security Lösungen geäußert haben, müssen wir auch wieder mal ein bisschen Kritik anbringen. Bei unseren Tests rund um die 'Poodle' Sicherheitslücke haben wir auch ein Problem mit der Funktion 'Untersuchung geschützter Verbindungen' entdeckt. Ist diese aktiviert, zeigt die Poodle-Testseite an, der Browser sei anfällig für Poodle. Schaltet man die Untersuchung ab, zeigt die Testseite wieder OK an, sofern SSLv3 im Browser abgeschaltet ist.
Im englischen Kaspersky Supportforum hat der Hersteller das Problem noch heruntergespielt, indem behauptet wurde, das Testergebnis sei nicht aussagekräftig, da Kaspersky einen realen Angriff erkennen und abfangen würde. Fürs erste ließen wir uns damit abspeisen, aber irgendwann waren die Zweifel dann doch zu groß, weshalb wir uns an die Heise Security Redaktion wandten.
Die Heise Redakteure haben die Vorwürfe direkt an Kaspersky weitergeleitet. Der Hersteller hat daraufhin zugegeben, dass die Kaspersky-Produkte nach wie vor auf das unsichere SSLv3 zurückfallen können. Ein Update sei demnach für das erste Quartal 2015 geplant. Ob dieses Updates nur für die 2015er Produkte, oder auch ältere Versionen (die immer noch zahlreich im Einsatz sind) kommen werden, lies Kaspersky im unklaren.
Grund zur Panik gibt es aber keinen. Die genannte Funktion ist standardmäßig deaktiviert, solange die Jugendschutzfunktion (nur in 'Internet Security' und 'PURE' enthalten) nicht aktiv ist. Allerdings war es bisher ratsam die Funktion einzuschalten, wenn man z.B. Thunderbird als E-Mail-Programm nützt, weil Kaspersky dann Viren direkt beim E-Mail-Download entfernen kann. Im Moment raten wir Anwendern dazu, die Funktion 'Untersuchung geschützter Verbindungen' zu deaktivieren. Zu finden ist die Option unter EINSTELLUNGEN → ERWEITERT → NETZWERK.
Quelle: 'Kaspersky-Schutzsoftware senkt Sicherheit von SSL-Verbindungen' auf Heise Online
Die Version 31.3.0 von Thunderbird behebt sechs Sicherheitslücken der Vorversion. Drei der Lücken sind kritisch. Thunderbird Anwender sollten rasch auf die neue Version aktualisieren.
Zusätzlich zu den Sicherheitslücken haben die Mozilla Entwickler auch kleinere Fehlerkorrekturen angebracht.
Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.
Download: Aktuelle Thunderbird Version
Firefox 34.0:
Die neue Version 34.0 des Browsers Firefox behebt einmal mehr Sicherheitslücken der Vorversion, weshalb eine Nutzung der Version 33 oder älter (Ausnahme ESR Ausgaben) ein erhebliches Sicherheitsrisiko darstellt.
Firefox ESR 31.3:
Die Firefox ESR Ausgabe der 31er Schiene beinhaltet alle Sicherheitskorrekturen aus Firefox 34, aber keine neuen Funktionen.
Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren.
Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungs Zeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Im letzten Virenscanner-Test der c't Redaktion (in Heft 26/14) konnte Kaspersky seine Spitzenposition unter den Antiviruslösungen erneut unter Beweis stellen. Der von c't beauftragte Test enthält etwas andere Prüfkriterien als die Tests von AV-Test.org, wobei man die c't Tests als praxisbezogener einstufen kann. Und genau hier zeigt sich einmal mehr die Stärke Kaspersky's, indem es sämtliche Bedrohungen bis auf eine abwenden konnte. Bei den nächstbesten Konkurrenten (TrendMicro und Eset) blieben bereits zwei bzw. drei Schädlinge unerkannt.
Der schlechteste der schlechten ist bei diesem Test ausnahmsweise nicht Microsoft Security Essentials (bzw. Windows Defender bei Windows 8/8.1), sondern Panda Cloud Security mit ganzen 38 unentdeckten Schädlingen. Allerdings folgte die Microsoft Lösung schon knapp dahinter mit 32 Infektionen. Zusätzlich zu den beiden genannten, kann man noch die Produkte von Avira, AVG und McAfee als nicht empfehlenswert einstufen. Die c't Redakteure haben sogar die Lösung von G Data negativ hervorgehoben, allerdings nicht wegen generell schlechten Ergebnissen, sondern weil es den Nutzer extrem häufig mit Nachfragen belästigt, was die Lösung für unerfahrene Anwender tatsächlich nicht empfehlenswert macht, Profis dagegen wenig bis gar nicht stören dürfte.
Avira, das im deutschsprachigen Raum sehr weit verbreitet ist, hat mit 21 Infektionen schlecht abgeschnitten. Der beste kostenlose Virenschutz kommt von Avast, das mit 9 Infektionen deutlich besser als Avira oder AVG abschnitt, aber auch klar zeigt um wie viel besser der Schutz bei Kaspersky ist.
Generell waren im Test die kostenlosen Ausgaben ihren jeweils kostenpflichtigen Brüdern desselben Herstellers ebenbürtig, das ist aber auch dem Testverfahren geschuldet. In der Praxis können schon noch einmal deutliche Unterschiede auftreten, da die kostenlosen Versionen meistens nur einmal am Tag ihre Definitionen updaten. Da jede Stunde tausende neue Schädlinge bzw. Variationen auftauchen, kann man sich leicht vorstellen, wie stark die Schutzwirkung bereits gesunken ist, wenn die Datenbanken einmal bis zu 23 Stunden alt sind. Da allerdings die kostenpflichtigen Varianten von Avira, Avast und Co kaum weniger kosten, investiert man sein Geld besser gleich in wirklich guten Schutz durch Kaspersky.
Fazit:
Kaspersky beweist Jahr für Jahr und Test für Test, dass es unterm Strich die beste Virenschutzlösung am Markt ist. Jeder, der seinen PC für Online Banking oder online Einkäufe nutzt, sollte eigentlich nichts Geringeres als den bestmöglichen Schutz verwenden. Wem die Sicherheit seines Computers, und damit auch seiner persönlichen Daten, nichts wert ist, bekommt mit 'avast! Free Antivirus' zur Zeit den besten Schutz für lau.
Das letzte Sicherheitsupdate für Adobe Flash hat einer der vermeintlich geschlossenen Sicherheitslücken doch nicht so ganz abgedichtet, weshalb Adobe hier noch einmal nachbessern musste.
Die neueste Version des Flash-Plugins trägt die Nummer 15.0.0.239. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an, und veröffentlicht für viele Anwendungen Updates. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 15.0.0.223. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Adobe AIR:
Adobe AIR wurde auf Version 15.0.0.356 aktualisiert. Ob Adobe AIR installiert ist, sieht man in der Systemsteuerung unter "Programme und Features". Nur wenn Adobe AIR dort aufscheint, sollte man die neue Version herunterladen und installieren.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Download: Aktuelle Adobe AIR Version (nur updaten wenn bereits installiert!)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlenden Updates können da auch gleich nachinstalliert werden.
Die Updates beinhalten auch eine Lösung für die OLE-Sicherheitslücke, über die wir am 24.10.2014 berichtet haben. Wer das in dem Artikel beschriebene Fixit verwendet hat, um die OLE-Schnittstelle zu deaktivieren, kann dies nach der Installation der aktuellen Sicherheitsupdates mit dem Fixit 51027 wieder rückgängig machen.
Wie üblich die Warnung an Benutzer von Windows XP: Dieses Uralt-Betriebssystem bekommt KEINE Sicherheitsupdates mehr! Wer XP immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.
Download: Microsoft Update Website (nur mit Internet Explorer)
Download: 'Microsoft Fix it 51027' (deaktiviert Notlösung gegen OLE Sicherheitslücke)
Die Entwickler von LibreOffice haben erneut Sicherheitslücken in ihrem Office Paket geschlossen. Der Fehler versteckte sich im Präsentations-Programm 'Impress'. Die Lücke kann aber nur im internen Netzwerk und auch nur bei geöffnetem Impress ausgenutzt werden, sodass die Schwachstelle für die meisten Anwender kein echtes Sicherheitsrisiko darstellen dürfte. Nichtsdestoweniger sollten LibreOffice Anwender auf Version 4.2.7 bzw. 4.3.4 updaten.
Zusätzlich zu der Sicherheitskorrektur, schließen die neuen Versionen natürlich auch weitere Programmfehler, und verbessern so die Stabilität der Anwendungen.
Download: Aktuelle LibreOffice Version (4.3 Serie)
Download: Aktuelle LibreOffice Version (4.2 Serie)
Nach Intel, Dell und Lenovo (siehe Artikel 'Schwere Sicherheitslücke betrifft fast alle modernen Computer' vom 24.10.2014) haben nun weitere Hersteller zum Thema UEFI Sicherheitslücke Stellung genommen. Acer, Gigabyte, Medion und Shuttle untersuchen das Problem noch. Wortmann will "zu diesem Thema keine Stellungnahme" abgeben, was nichts gute verheißt. Die restlichen Hersteller, die schon Meldungen dazu abgegeben haben, hier in Listenform:
Info: Artikel 'Schwere Sicherheitslücke betrifft fast alle modernen Computer' vom 24.10.2014
Zum Thema BadUSB (siehe Artikel 'BadUSB und wie man sich schützen kann' vom 17.09.2014) gibt es neue Informationen. Wie nun bekannt wurde, beschränkt sich ein BadUSB Angriff keineswegs auf USB-Sticks als Mittelsmann, vielmehr können auch praktisch beliebige andere USB-Geräte als 'Überträger' genutzt werden. Sicherheitsforscher haben dies zumindest mit verschiedenen Webcams nachgewiesen. Grundsätzlich komme jedwedes USB-Gerät als Überträger in Frage.
Allerdings ist es letztendlich völlig egal, welcher Art das USB-Gerät ist, wenn es auf die Schutzmöglichkeit ankommt. Jedes Gerät, dass sich als Tastatur ausgibt, ohne wirklich eine Tastatur zu sein, ist verdächtig. Hat man eine Schutzsoftware wie den G DATA USB KEYBOARD GUARD installiert, kann man solche Angriffe leicht unterbinden, sofern man mit der Funktionsweise der Software vertraut ist.
Richtig blöd wird es jedoch, wenn eine echte USB-Tastatur 'infiziert' wird, denn diese muss sich ja zwangsweise als Tastatur am System anmelden. Hier nützt also eine Tastatur-Sperr-Software nichts. Bleibt nur zu hoffen, dass in Zukunft gerade bei Tastaturen verstärkt auf dieses Problem geachtet wird. Vielleicht erleben aber auch die guten alten Tastaturen mit PS2-Stecker wieder eine Renaissance.
Info: BadUSB und wie man sich schützen kann
Download: G DATA USB KEYBOARD GUARD
Microsoft hat den Verkauf von Windows 7 (Home und Ultimate) offiziell am 31.10.2014 eingestellt. Abgesehen von Lagerware wird es also keine Geräte mit diesen Betriebssystem-Versionen mehr zu kaufen geben. Dasselbe gilt natürlich auch für reine Software-Lizenzen dieses Betriebssystems.
Die Professional Variante wird noch für einige Zeit länger erhältlich sein. Genaue Angaben macht Microsoft zwar nicht, aber mit mindestens einem weiteren Jahr ist zu rechnen.
Abgesehen von Ausnahmefällen empfiehlt sich der Kauf eines Windows 7 Computers aber ohnehin nicht mehr. Windows 8.1 ist, der schlechten Mundpropaganda zum trotz, in den meisten Belangen das bessere Betriebssystem. Zudem ist bereits Mitte nächsten Jahres der Nachfolger Windows 10 zu erwarten.
Kürzlich wurde eine neue Sicherheitslücke in Windows bekannt, die anscheinend bereits aktiv ausgenützt wird um Computer mit Viren zu infizieren. Zurzeit finden anscheinend alle Angriffe über Powerpoint-Dateien statt, auch wenn Powerpoint selbst eigentlich nicht das Problem ist.
Ein Sicherheitsupdate, dass das Problem an der Wurzel behebt, gibt es zurzeit noch nicht, nur ein paar Notbehelfslösungen für Anwender die Powerpoint (bzw. Microsoft Office) installiert haben. Für Privatanwender und kleine Firmen ohne Administrator ist wohl das 'Microsoft Fix it 51026' noch am ehesten akzeptabel. Möglicherweise funktionieren dann aber OLE-Verknüpfungen zwischen Powerpoint-Dokumenten nicht mehr, Informationen dazu gibt es leider bisher keine. Sollte die Funktion zu sehr eingeschränkt werden, kann man die Notlösung mit 'Microsoft Fix it 51027' wieder abschalten. Das muss man vermutlich auch machen, wenn es dann später ein echtes Sicherheitsupdate gibt.
Grundsätzlich gilt, öffnen sie keine Dokumente aus unbekannten oder sonst wie nicht vertrauenswürdigen Quellen. Das gilt jetzt natürlich um so mehr für Powerpoint-Dokumente. Meldet sich beim Öffnen einer Datei die Benutzerkontensteuerung (dieser Warnhinweis beim Starten fremder Programme), sollten ebenfalls die Alarmglocken läuten, und unbedingt auf NEIN geklickt werden, um den Schaden zumindest zu minimieren.
Quelle: 'Zero-Day-Lücke in Windows' auf Heise Online
Download: 'Microsoft Fix it 51026' (aktiviert Notlösung gegen OLE Sicherheitslücke)
Download: 'Microsoft Fix it 51027' (deaktiviert Notlösung gegen OLE Sicherheitslücke)
UEFI (Unified Extensible Firmware Interface) ist heute das was früher mal BIOS hieß. Nahezu alle modernen Computer nutzen UEFI, und eben darin haben nun Sicherheitsforscher eine gravierende Sicherheitslücke gefunden. Genauer gesagt haben sie das bereits vor einiger Zeit getan, bisher wurde es aber unter Verschluss gehalten. So erklärt es sich auch, dass Intel bereits für dutzende Mainboards Updates bereit hat, und HP sogar für 1500 Computer bereinigte UEFI-Versionen bereitstellt.
Um so verwunderlicher, dass viele Hersteller sich noch gar nicht zu dem Thema geäußert haben. Ob Intel und HP hier früher informiert wurden als andere ist unklar.
Dell jedenfalls behauptet, seine Computer seien von der Lücke nicht betroffen, planen aber trotzdem UEFI-Updates für unzählige Systeme. So ganz überzeugend klingt unter den Umständen deren 'unsere Systeme sind nicht betroffen' nicht.
Lenovo hat bereits für einige Systeme Updates bereitgestellt, und wird in den kommenden Wochen wohl noch etliche mehr anbieten.
Das große Problem an dieser Sicherheitslücke ist: Wird das UEFI des Mainboards von einem Virus infiziert, kann dieser dort mit normalen Mitteln weder aufgespürt noch beseitigt werden. Sofern man also von der Existenz jemals erfahren würde, wäre der einzige Weg ihn loszuwerden, das Mainboard zu ersetzen – ein teures Vergnügen, vor allem bei Notebooks. Daher ist es um so wichtiger, dass eventuell verfügbare UEFI-Updates auch wirklich installiert werden. Allerdings prüft wohl kaum ein Anwender regelmäßig, ob für seinen Computer ein solches Update verfügbar ist.
Wer einen Computer mit Mainboard von Intel, HP, Dell oder Lenovo besitzt, kann sich auf den unten verlinkten Seiten informieren, ob für dieses System ein Update verfügbar oder zumindest geplant ist. Wir bleiben natürlich am Ball, bzgl. Updates von anderen Herstellern.
Quelle: 'Extreme Privilege Escalation: Gefährliche Sicherheitslücken in UEFI-Firmware' auf Heise Online
Info: UEFI-Updates von Intel
Info: UEFI-Updates von HP
Info: UEFI-Updates von Lenovo
Info: UEFI-Updates von Dell
Eine Woche nach unserem ersten Artikel zum Thema Poodle, gibt es jetzt neue Informationen:
Schon letzte Woche hatten wir Opera auf nahezu allen Plattformen als nicht für Poodle anfällige Alternative genannt, mittlerweile ist auch bekannt, dass selbst der 'alte' Opera (v12.17) nicht (mehr) für Poodle anfällig ist, weil Opera per 'Fernwartung' SSLv3 auf allen Opera 12.x Versionen deaktiviert hat.
Ebenfalls bekannt ist, dass viele E-Mail-Anbieter noch nicht auf Poodle reagiert haben. Auch die großen, wie GMX, Microsoft, Google und Yahoo verwenden nach wie vor das unsichere SSLv3 für den E-Mail-Empfang. Zwar ist nach wie vor unklar, ob Poodle überhaupt in Kombination mit E-Mail funktioniert, dennoch wäre es für das Wohlbehagen der Anwender vorteilhaft, das veraltete und unsichere SSLv3 auch hier endlich abzuschalten. Nur bei wenigen E-Mail-Programmen kann man SSLv3 direkt deaktivieren, etwa bei Thunderbird (siehe Artikel von letzter Woche).
Ähnliches wie bei den E-Mail-Servern gilt auch für HBCI- respektive FinTS-fähige Online-Banking-Programme. Onlinebanking über den Browser ist hingegen sicher, sofern der verwendete Browser gegen Poodle imun ist, oder SSLv3 deaktiviert wurde.
Auf jeden Fall handeln sollten Anwender von Firefox und Internet Explorer. Anleitungen zum deaktivieren von SSLv3 finden sie in dem Heise Online Artikel 'So wehren Sie Poodle-Angriffe ab'. Ob ihr Browser anfällig für Poodle ist, können sie auf der Website 'https://www.poodletest.com' prüfen. Wird dort ein Pudel angezeigt, ist der Browser verwundbar.
Quelle: 'SSL-Verschlüsselung: Noch viel Arbeit für Mail-Provider und Banken' auf Heise Online
Quelle: 'So wehren Sie Poodle-Angriffe ab' auf Heise Online
Die Entwickler von FileZilla haben rasch auf die Poodle-Sicherheitslücke reagiert, und eine neue Version des beliebten FTP-Programmes zur Verfügung gestellt, in der das verwundbare SSLv3 entfernt wurde.
Download: Filezilla v3.9.0.6, Windows, Deutsch → 5 MB
Apple behebt mit Quicktime Version 7.7.6 insgesamt 4 Sicherheitslücken in der Multimedia Software. Insgesamt stuft der unabhängige Sicherheitsdienstleister Secunia die nun behobenen Lücken in die mittlere Gefahrenstufe.
Anwender, die Quicktime auf ihrem PC haben, sollten zügig auf die jeweils aktuelle Version aktualisieren. Das gelingt am einfachsten über die Software 'Apple Software Update', bei der man aber aufpassen sollte, dass wirklich nur erwünschte Software installiert wird.
Apple versucht nämlich immer wieder auch Programme zu installieren, die der Anwender gar nicht haben will. Befinden sich in dem Update Programm also Häkchen vor Programmen, die man nicht installieren will, sollte man diese entfernen. Ein unbeabsichtigt installiertes iTunes z.B., verlangsamt selbst moderne Computer durch mehrere Hintergrundprozesse deutlich. Ein unbewusst installierter Safari Webbrowser bringt hingegen zusätzliche Sicherheitslücken auf den Computer. Daher unbedingt darauf achten, dass man wirklich nur vorhandene Software aktualisiert, keine Neue installiert.
Download: Quicktime 7.7.6 für Windows, Mehrsprachig → 40 MB
Die Pidgin Entwickler haben Version 2.10.10 des beliebten Messengers veröffentlicht. Darin wurden Fehler in den einzelnen Protokoll-Plugins behoben, aber auch allgemeine Fehler, die für alle Anwender relevant sind, egal welchen Dienst sie verwenden.
Wir raten daher allen Anwendern, die Pidgin installiert haben, das Update auf die neue Version zu installieren.
Download: Pidgin v2.10.10 für Windows
Quelle: Pidgin 2.10.10 Release Notes
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an, und veröffentlicht für viele Anwendungen Updates. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 15.0.0.189. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht bereits vom neuen Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Adobe AIR:
Adobe AIR wurde auf Version 15.0.0.293 aktualisiert. Ob Adobe AIR installiert ist, sieht man in der Systemsteuerung unter "Programme und Features". Nur wenn Adobe AIR dort aufscheint, sollte man die neue Version herunterladen und installieren.
ColdFusion:
Nutzer von Adobe ColdFusion sollten ebenfalls unbedingt Updates installieren, um schwere Sicherheitslücken zu schließen. Updates gibt es hier für die Versionen 9, 10 und 11. Wie die Updates zu installieren sind, steht in der Beschreibung zu 'ColdFusion Security hot fix APSB14-23'.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Download: Aktuelle Adobe AIR Version (nur updaten wenn bereits installiert!)
Quelle: 'ColdFusion Security Hotfix APSB14-23' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlenden Updates können da auch gleich nachinstalliert werden.
Wie üblich die Warnung an Benutzer von Windows XP: Dieses Uralt-Betriebssystem bekommt KEINE Sicherheitsupdates mehr! Wer XP immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.
Download: Microsoft Update Website (nur mit Internet Explorer)
Poodle heißt das neue allgemeine Schreckensgespenst für alle Nutzer, die in irgendeiner Art und Weise mit dem Internet in Verbindung stehen. Zurückzuführen ist Poodle auf ein veraltetes Verschlüsselungsprotokoll namens SSL v3, das aber aus Kompatibilitätsgründen immer noch in vielen Geräten vorhanden ist. Üblicherweise verwenden Geräte immer die bestmögliche Verschlüsselungsfunktion, um eine Verbindung aufzubauen, ein Angreifer kann über Poodle nun aber dafür Sorgen, dass das veraltete SSL v3 verwendet wird, was es ihm in weiterer Folge ermöglicht, die eigentlich verschlüsselten Daten zu entschlüsseln.
Als Beispiel wäre damit die Manipulation einer Online Banking Sitzung möglich, ohne dass der Anwender davon im ersten Moment etwas mitbekommt. Diese neue Lücke ist also kein derartiger Supergau wie die Heartbleed Sicherheitslücke vor einigen Monaten, aber durchaus Ernst zu nehmen.
Bei Browsern lässt sich relativ leicht überprüfen, ob dieser gegen Poodle anfällig ist oder nicht. Besuchen sie einfach die Seite 'https://www.poodletest.com'. Wird dort ein Pudel angezeigt, ist der Browser verwundbar.
Aktuelle Versionen von Google Chrome sollen angeblich gegen Poodle immun sein. In unserem Test mit Opera 25, der ja ebenfalls auf Google Chrome basiert, wurde der Poodle-Test jedenfalls erfolgreich absolviert. In Firefox und Internet Explorer kann man SSL v3 ebenfalls abschalten, Anleitungen dazu finden sie im verlinkten Artikel 'So wehren Sie Poodle-Angriffe ab' von Heise Online.
Aussagen über die Anfälligkeit von Mobilgeräten gibt es bisher wenige, Android bis einschließlich Version 4.2.2 dürfte verwundbar sein, wie es mit neueren Android Versionen aussieht ist unklar. Ein erster eigener Test mit einem Android Tablet zeigte, dass der eingebaute Browser anfällig für Poodle ist, ein nachträglich installierter Opera aber nicht. Somit ist für Android User auf jeden Fall der Wechsel zu alternativen Browsern aus dem App Store ratsam, denn der eingebaute Browser wird bei den meisten Android Geräten wohl niemals ein Update bekommen.
Windows Phone, bzw. der eingebaute Internet Explorer ist bis einschließlich der aktuellsten Windows Phone Version ebenfalls verwundbar. Eine Möglichkeit SSL v3 zu deaktivieren haben wir (noch) nicht gefunden. Dafür steht auch hier eine mobile Opera Version im Store zur Verfügung, die den Poodle-Test bestanden hat.
E-Mail-Programme sollten laut Heise Online gegenüber Poodle eher nicht anfällig sein, das ist jedoch eher eine Einschätzung, als eine verbindliche Aussage. Deshalb empfiehlt es sich auch in E-Mail-Programmen wo möglich SSL v3 zu deaktivieren. Bei Thunderbird gelingt dies auf demselben Weg wie bei Firefox, nur dass man dort die Konfigurationsseite über das Menü aufrufen muss. Der genaue Weg ist EINSTELLUNGEN → ERWEITERT → ALLGEMEIN → KONFIGURATION BEARBEITEN. Für die restliche Konfiguration halten sie sich wieder an die Beschreibung für Firefox in dem Heise Artikel.
Quelle: 'So wehren Sie Poodle-Angriffe ab' auf Heise Online
Mit Version 25 verbessert Opera einmal mehr die Lesezeichen-Funktionalität des norwegischen Browsers. Zum einen gibt es jetzt im Opera-Menü wieder einen Eintrag für Lesezeichen, zum anderen kann man selbe nun etwa effizienter verwalten. Opera selbst hebt jedoch die neue Möglichkeit hervor, ein Bild für jedes Lesezeichen festzulegen, und spricht daher nun von 'Visual Bookmarks' also visuellen Lesezeichen. Dennoch, reicht die Lesezeichen-Funktionalität nicht an die der letzten 'echten' Opera Version (12.17) heran.
Wie üblich bringt die neueste Opera Version auch die neueste Fassung der mit Google gemeinsam weiterentwickelten Blink Engine mit, die eine Schutzfunktion gegen 'Poodle' mitbringt, insofern stellt Opera 25 auch ein Sicherheitsupdate dar. Die Aktualisierung auf Opera 25 geht für Anwender, die bereits eine direkte Vorversion installiert haben vollautomatisch.
Download: aktuelle Opera Version
Oracle hat Version 7.0 Update 71 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 25 Sicherheitslücken geschlossen!
Wer Java nur für lokale benötigte Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugins:
Suchen Sie in der Systemsteuerung nach Java, und doppelklicken sie den Eintrag. Gehen sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurückmachen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch für einige Funktionen.
Download: Aktuelle Java 7 Version
Die Version 31.2.0 von Thunderbird behebt sechs Sicherheitslücken der Vorversion. Drei der Lücken sind kritisch. Thunderbird Anwender sollten rasch auf die neue Version aktualisieren.
Zusätzlich zu den Sicherheitslücken haben die Mozilla Entwickler auch kleinere Fehlerkorrekturen angebracht.
Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.
Download: Aktuelle Thunderbird Version
Firefox 33.0:
Die neue Version 33.0 des Browsers Firefox behebt einmal mehr Sicherheitslücken der Vorversion, weshalb eine Nutzung der Version 32 oder älter (Ausnahme ESR Ausgaben) ein erhebliches Sicherheitsrisiko darstellt.
Firefox ESR 31.2:
Die Firefox ESR Ausgabe der 31er Schiene beinhaltet alle Sicherheitskorrekturen aus Firefox 33, aber keine neuen Funktionen.
Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren.
Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungs Zeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Wir empfehlen:
Diese Website ist kompatibel zu:
