Angreifern ist es gelungen, in die Server von Piriform einzubrechen, und Schadcode in CCleaner Version 5.33.6162 einzubauen. Auf diesem Wege dürfte sich die Schad-Software auf etliche Rechner verbreitet haben und ermöglichte es den Angreifern dadurch Zugriff auf diese Computer zu erhalten.
Anwender, die CCleaner installiert haben, sollten die Software am besten deinstallieren. Wir können CCleaner ohnehin schon seit längerem nicht mehr uneingeschränkt empfehlen. Wer unbedingt an CCleaner festhalten möchte, sollte zumindest sichergehen, dass Version 5.34 oder neuer installiert ist.
Quelle: 'Backdoor in CCleaner ermöglichte Fernzugriff – Update dringend empfohlen' auf Heise Online
Google hat schwere Sicherheitslücken in seinem Browser Google Chrome geschlossen. Anwender dieses Browsers sollten sicherstellen, dass sie Version 61.0.3163.100 oder neuer verwenden. Für Anwender die nicht wissen, wie sie die Google Chrome Versionsnummer prüfen bzw. Updates installieren können, haben wir die passende Google Chrome Support-Website verlinkt.
Quelle: 'Google schließt Lücken in Chrome und Chromium' auf Heise Online
Info: 'Google Chrome aktualisieren' auf Google.com
Die LibreOffice Entwickler haben die Version 5.3.6 und 5.4.1 der freien Bürosuite veröffentlicht. In der neuen Fassung wurden wieder etliche Fehler korrigiert, sicherheitsrelevante sind jedoch nicht darunter.
Da auch in diesen neuen LibreOffice Versionen der Bug mit den flackernden Menüs noch immer nicht behoben wurde, raten wir weiterhin zur Benutzung von LibreOffice Version 5.2.7.
Wie schon im letzten Artikel zum diesem Thema geschrieben, gehen wir auf die neuen Funktionen der 5.4 Serie dann ein, wenn man diese auch vernünftig nutzen kann.
Download: LibreOffice Version 5.2.7 für Windows
Egal ob Windows, iOS (MacOS?), Android oder Linux, alle System sind oder waren anfällig für Sicherheitslücken, wenn sie einen Bluetooth-Chip haben. Je nach System erlauben diese Lücken das belauschen des Netzwerkverkehrs (Windows) bis zur Infektion der Geräte mit Viren (Android, Linux und iOS). MacOS, also das Betriebssystem der Apple Notebooks, wurde anscheinend gar nicht erst untersucht (vermutlich wegen des geringen Marktanteils), da aber in der Vergangenheit oft dieselben Lücken in iOS und MacOS zu finden waren, ist es gut möglich, das auch ältere MacOS Versionen anfällig sind.
Windows:
Wie schon geschrieben, sind die Auswirkungen der Lücken unter Windows nicht ganz so schlimm wie unter den anderen Betriebssystemen, aber trotzdem alles andere als Harmlos. Microsoft hat die Lücken mit den Updates von Juli und September behoben. Alle Windows Versionen ab Windows 7 sind also geschützt, wenn alle Sicherheitsupdates installiert sind. Windows Vista, XP und davor werden nicht mehr mit Updates versorgt und sind dementsprechend sehr unsicher.
Apple iOS und MacOS:
Apple hat die Lücken bereits in iOS 10 behoben. Alle iOS Geräte (iPhone, iPod, iPad) die noch Version 9 oder älter installiert haben, sind daher über Bluetooth angreifbar. Bei älteren Geräten, die kein Update auf iOS 10 bekommen, sollte man daher Bluetooth abschalten, zumindest in der Öffentlichkeit.
Über MacOS muss man wie schon geschrieben spekulieren. Sollten die Fehler in MacOS auch vorhanden sein, dürften sie wohl zur selben Zeit wie das iOS 10 Upgrade behoben worden sein. Da MacOS 10.12 wenige Tage nach iOS 10 veröffentlicht wurde, wäre es naheliegend, das die Lücken darin behoben wurden, sofern sie existiert haben. Mac-Anwender sind also gut beraten auf diese Version zu aktualisieren oder Bluetooth in der Öffentlichkeit abzuschalten.
Android:
Bei Android über Sicherheit zu schreiben ist zwar ein bisschen wie gegen eine Wand zu reden, da sehr viele Android Geräte selten bis nie Sicherheitsupdates bekommen, dennoch sei erwähnt, dass die Lücken in Android von Google kürzlich behoben wurden. Die Google eigenen Geräte der Pixel und Nexus Baureihen sollten bereits Update erhalten haben (sofern sie überhaupt noch Updates bekommen). Von anderen Herstellern liegen keine Meldungen dazu vor. Wer auf seinem Gerät aber ohnehin schon eine Weile keine Sicherheits-Updates mehr bekommen hat, sollte ebenfalls Bluetooth dauerhaft deaktivieren.
Linux:
Für Linux liegen bisher noch keine Sicherheitsupdates bereit. Hier sollte Bluetooth ebenfalls bis auf weiteres deaktiviert werden.
Quelle: 'BlueBorne: Android, Linux und Windows über Bluetooth angreifbar' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Die neueste Version des Flash-Plugins trägt die Nummer 27.0.0.130. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Nutzer von Adobe ColdFusion sollten ebenfalls unbedingt Updates installieren, um schwere Sicherheitslücken zu schließen. Updates gibt es hier für die Versionen 11 und 2016. Wie die Updates zu installieren sind, steht in dem 'Adobe Security BulletinAPSB17-30'.
Quelle: 'Adobe Security Bulletin APSB17-30' auf Adobe.com (Englisch)
Zu guter Letzt steht ein Update für Adobe's Hilfetext-Editor ‚RoboHelp‘ zur Verfügung. Auch dieses wurde als wichtig eingestuft. Wer Adobe RoboHelp auf seinem PC installiert hat, sollte das folgende Update herunterladen und installieren.
Download: Adobe RoboHelp 2017.0.2 für Windows
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Diesen Monat sind unter anderem Sicherheitslücken für den Bluetooth-Stack (siehe Artikel weiter oben) enthalten, aber auch für etliche andere Windows-Komponenten bzw. Microsoft Programme.
Download: Microsoft Update Website (nur mit Internet Explorer)
Am 10. Oktober 2017 beendet Microsoft den Support für Office 2007. Anwender die dieses Office Paket immer noch einsetzten, sollten sich nun wirklich bald um ein Upgrade auf Office 2016 oder einen Wechsel auf LibreOffice Gedanken machen.
Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. fünf Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.
Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.
Mindestens 10 schwere Sicherheitslücken hat D-Link in seinen WLAN-Router DIR-850L eingebaut. Das hat kürzlich ein Sicherheitsforscher herausgefunden. Weil D-Link in der Vergangenheit offenbar sehr langsam auf seine Entdeckungen reagiert haben, hat er die Schwachstellen diesmal gleich veröffentlicht, statt sie vorher an den Hersteller zu melden. Das setzt Besitzer des Gerätes einerseits einem höheren Risiko aus, andererseits wird D-Link so unter starken Zugzwang versetzt die Lücken rasch zu beheben.
Es sieht aus, als hätte die Taktik funktioniert, denn bereits am 19. September will D-Link nun ein Update bereitstellen, das die Lücken schließt. Besitzer dieses Routers sollten also ab diesem Tag nach Updates auf der D-Link Website suchen. Ohne dieses Update ist der Router so verwundbar, dass er vorübergehend besser aus dem Verkehr gezogen wird.
Quelle: 'Schwere Lücke im Router D-Link DIR-850L: Patches kommen am 19. September' auf Heise Online
Download: D-Link Support Website für DIR-850L
Router (und IoT Geräte) sind des Hackers beste Freunde. Diese unscheinbaren kleinen Kästchen, die das Internet im Haushalt verteilen, sind ein gefundenes Fressen für Hacker. Denn die allerwenigsten Besitzer dieser Kästchen installieren jemals Sicherheitsupdates. Und so kam es, dass ein Hacker mühelos etliche Netgear Router kapern konnte, und diese für Angriffe auf besonders lohnenswerte Firmen missbrauchen konnte. Die gekaperten Netgear Router wurden so zu Erfüllungsgehilfen des Hackers, der damit nicht nur die angegriffenen Firmen schädigte, sondern vermutlich auch den Internetzugang der Router-Besitzer massiv stört.
Der Hacker benutzt zwar aktuell nur Netgear-Router des Modells WNR2000, aber nachdem alle Router-Hersteller regelmäßig Sicherheits-Updates veröffentlichen, appellieren wir hiermit gleich an ALLE Besitzer eines Routers, mal wieder nachzusehen, ob nicht Updates für das Gerät verfügbar sind und diese gegebenenfalls rasch zu installieren.
Quelle: 'RouteX: Netgear-Router für Brute-Force-Angriffe missbraucht' auf Heise Online
Download: Netgear Support Website
Adobe Reader und Acrobat liegen nun jeweils in Version 2017.012.20098 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. Wer vorerst noch bei Version 11 des Reader oder Acrobat bleiben will oder muss, sollte das Update auf Version 11.0.21 installieren. Von älteren Versionen von Reader raten wir aus Sicherheitsgründen ab.
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die Updates für die Windows Versionen unten an.
Download: Adobe Reader DC Update 2017.012.20098
Download: Adobe Acrobat DC Update 2017.012.20098
Ein Programmierfehler in Instagram wurde vermutlich von Hacker ausgenutzt, um Millionen von Nutzerdaten von Instagram zu stehlen.Zwar sollen keine Passwörter gestohlen worden sein, aber immerhin E-Mail-Adressen und Telefonnummern. Diese könnten für große Spam-Fluten oder Social-Engineering missbraucht werden.
Mozilla hat kürzlich Version 52.3.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt laut Mozilla auch Sicherheitslücken, Details dazu hat der Hersteller aber bisher nicht veröffentlicht. Da das Ausmaß der behobenen Sicherheitslücken nicht bekannt ist, sollten alle Thunderbird-Anwender das Update zügig installieren.
Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.
Download: Aktuelle Thunderbird 52er Version
Die Firma Foxit hat gerade erst gezeigt, wie man mit Sicherheitslücken besser nicht umgeht. Zwei von Sicherheitsexperten gefundene Schwachstellen in seinem PDF-Reader wollte Foxit zuerst nicht beheben, da sie laut dem Hersteller aufgrund anderer Sicherheitsfunktionen nicht ausnutzbar wären. Einen Tag später und vermutlich unter reichlich Kritik aus der Security-Szene eingebrochen, machte das Unternehmen dann eine Kehrtwende und versprach dann doch rasche Updates für die Software.
Von dem PR-Desaster abgesehen, sollten Anwender von Foxit Reader sehr gut aufpassen welche PDF-Dokumente sie öffnen, bis die versprochenen Updates verfügbar sind, oder gleich zum original PDF-Reader von Adobe wechseln.
Info: 'Zero-Day-Lücken im PDF Reader: Foxit will doch patchen' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Die neueste Version des Flash-Plugins trägt die Nummer 26.0.0.151. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2017.012.20093 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, der sollte auf Version 2015.006.30352 updaten.
Anwender, die noch mit Acrobat XI auskommen müssen, sollten auf Version 11.0.21 updaten. Anwender die noch Reader XI einsetzen sollten eher auf Adobe Reader CC upgraden.
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB17-24 (Englisch)
In Adobes E-Book-Reader Software ‚Digital Editions‘ wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten dringend auf Version 4.5.6 updaten.
Download: Adobe Digital Editions v4.5.6 für Windows
Quelle: Adobe Digital Editions Security Bulletin APSB17-27 (Englisch)
Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Auch dieses wurde als wichtig eingestuft. Details findet man im Adobe Security Bulletin APSB17-26.
Quelle: Adobe Security Bulletin APSB17-26 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Download: Microsoft Update Website (nur mit Internet Explorer)
Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. vier Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.
Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.
Die Mozilla Entwickler waren fleißig und haben etliche Sicherheitslücken in den beiden neuen Firefox Versionen behoben (siehe unten). Leider ist es aber gar nicht so einfach diese Updates zu bekommen, denn der Update-Mechanismus streikt offenbar, zumindest auf unserem Test-PC. Auch nach einigen Tagen zeigt Firefox bei uns immer noch die Version 54 als aktuell an, obwohl mittlerweile Version 55.0.1 verfügbar ist. Firefox Anwender die sich nicht anderweitig informieren, wiegen sich so also in falsche Sicherheit, während sie in Wirklichkeit eine stark verwundbare Version einsetzen.
Abhilfe schafft ein manuelles Update, aber auch hier hat Mozilla einen Stolperstein eingebaut. Lädt man nämlich das reguläre Installationspaket von der Mozilla Website herunter, bekommt man ohne Rückfrage eine zum Betriebssystem "passende“ Version von Firefox. Also 32Bit Firefox für 32Bit Windows und 64Bit Firefox für 64Bit Windows. Was auf den ersten Blick gut klingt, sorgt deshalb für Probleme, weil die 32Bit Version auf 64Bit Windows nicht deinstalliert wird. Das heißt die alte, unsichere Version ist parallel zur neuen Version auf dem System. Wir raten daher allen Firefox Anwendern dazu, sämtlich alten Firefox Versionen zu deinstallieren, bevor man die neue installiert.
Version 55.0.(1) behebt 29 Sicherheitslücken in Firefox, wovon 6 als kritisch eingestuft wurden. Anwender die noch eine Firefox Version vor 54.0 verwenden (abgesehen von der ESR Version) sollten rasch updaten.
Die Firefox ESR Ausgabe 52.3 beinhaltet alle Sicherheitskorrekturen aus Firefox 55, aber keine neuen Funktionen.
Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Die LibreOffice Entwickler haben die Version 5.3.5 und 5.4.0 der freien Bürosuite veröffentlicht. In der neuen Fassung wurden wieder etliche Fehler korrigiert, sicherheitsrelevante sind jedoch nicht darunter.
Normalerweise würden wir jetzt auf die neuen Funktionen der Version 5.4.0 eingehen und gleichzeitig davor warnen diese Version jetzt schon produktiv einzusetzen, weil sie potentiell noch Fehler enthält. Leider ist die Situation bei LibreOffice zurzeit aus unserer Sicht nicht normal, denn in Version 5.3.2 wurde ein Fehler in LibreOffice eingebaut, der flackernde Menüs zur Folge hat. Obwohl sich bereits zahlreiche Anwender darüber beschwert haben, wurde das Problem seit Monaten nicht behoben. Manche mögen diese Probleme als kosmetischer Natur einstufen, aber wer täglich mit LibreOffice arbeitet, kann sich dadurch durchaus gestört fühlen, uns geht es jedenfalls so.
Obwohl der Fehler LibreOffice also nicht unbenutzbar oder instabil macht, betrachten wir die 5.3er und 5.4er Serien vorläufig als einen Rückschritt gegenüber Version 5.2.7. Nachdem bisher keine Sicherheitslücken in 5.2.7 bekannt sind, raten wir Anwendern dieser Version die Update-Aufforderungen vorerst zu ignorieren und bei dieser Version zu bleiben.
Wer unbedingt die neuen Funktionen der 5.3er oder gar schon der brandneuen 5.4er Serie verwenden möchte, der hat die Qual der Wahl zwischen einer flackernden oder einer etwas trägen und unschönen Benutzeroberfläche. Letzteres kann erreicht werden, wenn man unter EXTRAS → OPTIONEN das Optionen-Fenster öffnet, und dort in dem Bereich ANSICHT ein Häkchen bei "OpenGL ...“ macht.
Einen Artikel über die Neuerungen der 5.4er Serie reichen wir nach, wenn diese aus unserer Sicht benutzbar geworden ist.
Download: LibreOffice Version 5.2.7 für Windows
Wer kennt es nicht, man geht auf irgendeine Website, und an allen Ecken und Enden blickt und zappelt irgendetwas. Und es sind nicht immer nur Werbebanner, die nerven. Vivaldi 1.11 macht jetzt Schluss mit nervigen GIF-Animationen. Ein Klick auf das Bild-Symbol in der Taskleiste genügt und schon öffnet sich ein kleines Menü, indem man unter "Animationen“ zwischen "Immer, Einmal“ und Niemals“ wählen kann. Unser Favorit ist "Einmal“, denn so laufen GIF-Animationen genau einmal durch und stören danach nicht länger. Da das Menü nur einen Klick entfernt ist, kann man je nach Bedarf schnell umschalten.
Der Lesemodus, de man über ein kleines Buch-Icon in der Adresszeile de/aktivieren kann, wurde deutlich aufgewertet. Über das Zahnrad-Symbol rechts oben kann man eine Formatierungsleiste einblenden, wo man rasch die Schrift-Eigenschaften des Lesemodus an seine Bedürfnisse einstellen kann.
Weitere Änderungen umfassen unter anderem einen Schieberegler für die Sensibilität von Mausgesten, einen aktualisierte Chromium-Unterbau und Verbesserungen bei den Schnellwahl-Thumbnails.
Abgesehen davon hat Vivaldi jetzt ein neues Icon. Zufälligerweise hat es Ähnlichkeit mit einem roten Kreis, was wiederum nicht so weit weg von einem roten O ist. Ein kleiner Seitenhieb von Vivaldi Boss Jon von Tetzchner auf seine frühere Firma Opera? ;)
Download: Aktuelle Vivaldi Version
Quelle: 'Vivaldi 1.11 – Focus on accessibility' auf Vivaldi.com (Englisch)
Microsofts Notebooks und Tabletts der Surface Reihe wurden Anfangs belächelt, sind jetzt aber begehrt und das trotz happiger Preise. Das schicke Design und der große Funktionsumfang weckt natürlich Interesse. Eigentlich würde man bei den stolzen Preisen der Surface Produkte erwarten, dass diese auch hervorragend verarbeitet sind, doch laut Aussagen der amerikanischen Verbraucherschützer von ‚Consumer Reports‘ soll das nicht der Fall sein. So hätte eine 90741 Personen umfassende Gruppe von Surface Besitzern überdurchschnittlich häufig mit Hardware-Problemen zu kämpfen. Die Autoren kommen daher zu dem Schluss, dass die Verarbeitung der Surface Tabletts und Notebooks unterdurchschnittlich sei.
Auch der Heise Redaktion waren schon einige Unzulänglichkeiten bei ihren Surface Testgeräten aufgefallen. Wir selbst haben bisher nur einen Kunden mit Surface Geräten und dort sind bislang keine Probleme mit der Hardware aufgefallen.
Wie nicht anders zu erwarten, widerspricht Microsoft den Daten von ‚Consumer Reports‘ deutlich. Microsoft nennt die Ausfallrate ‚significantly lower than 25%‘ (signifikant weniger als 25%) auf 2 Jahre gemessen, ohne selbst exakte Zahlen zu nennen. Dafür nennt Microsoft einen andere Zahl, nämlich nur einen Vorfall pro 100 verkaufter Einheiten bei den neuesten Surface Generationen. Eine Erklärung, warum die Zahlen von ‚Consumer Reports‘ so weit von Microsofts eigenen Zahlen abweichen, haben wir bisher leider nicht entdeckt.
Quelle: Microsofts Reaktion auf die Zahlen von Consumer Reports (Englisch)
Zu ungewohntem Zeitpunkt veröffentlichte Microsoft für Outlook wichtige Sicherheitsupdates. Das Microsoft mit der Veröffentlichung der Updates nicht bis zum nächsten Tag der Updates warten wollte, lässt tief blicken. Anwender von Outlook sollte diese Updates daher möglichst rasch installieren.
Zwar schreibt Heise Online, dass die Updates über Windows Update ausgeliefert würden, aber leider tauchen da in der Realität einige Hürden auf. Zum einen dürften die meisten Privatanwender mittlerweile die sogenannten Click-To-Run Versionen von Microsoft Office verwenden. Diese Endkunden-Versionen lassen sich gar nicht über Windows bzw. Microsoft Update mit Updates versorgen. Stattdessen muss das Update aus der Anwendung heraus gestartet werden. Die meisten Anwender von Microsoft Office / Outlook dürften das gar nicht wissen und daher lange mit unsicheren Versionen arbeiten. Zwar sollten auch diese Updates theoretisch automatisch durchgeführt werden, in der Praxis haben wir aber bei den meisten Kunden mit Microsoft Office noch fehlende Sicherheitsupdates feststellen müssen. Die Webseite ‚Installieren von Office-Updates‘ liefert die Anleitung zur Update-Suche für die Office Click-to-Run Versionen.
Wer die auf der zuvor genannten Website gezeigten Update Funktion in Outlook nicht findet, setzt wahrscheinlich eine klassisch installierte Office Version ein. Diese finden sich neuerdings leider nur mehr in Unternehmen mit Volumen-Lizenzen, bei alten Office Versionen waren sie aber auch noch im Handel zu finden. Hier ist das Update Prozedere wesentlich besser gelöst. Es muss nur sichergestellt sein, dass in Windows Update die Funktion zum Aktualisieren aller Microsoft Produkte aktiviert ist. Dank der EU-Antimonopolgesetze wird leider standardmäßig nur Windows selbst mit Updates versorgt. So können sie Microsoft Update aktivieren bzw. prüfen, ob es aktiviert ist:
Windows 7 & Windows 8.1:
Windows 7 hatten wir gerade nicht zur Verfügung, die Einstellung sollte aber identisch zu Windows 8.1 sein. Öffnen Sie die Systemsteuerung und suchen/öffnen sie Windows Update. Klicken sie in der linken Spalte auf ‚Einstellungen ändern‘. Machen Sie ein Häkchen bei ‚Updates für andere Microsoft Produkte bereitstellen...‘.
Windows 10:
Drücken Sie die Windows-Taste auf der Tastatur und klicken sie auf das Zahnradsymbol links unten im Startmenü. In der "Einstellungen“-App klicken sie auf ‚Update und Sicherheit‘. Unter Windows Update klicken sie auf ‚Erweiterte Optionen‘. Unter ‚Erweiterte Optionen‘ machen Sie ein Häkchen bei ‚Updates für andere Microsoft Produkte bereitstellen...‘. Damit wäre das Thema erledigt, aber wenn wir schon Windows Update konfigurieren, sehen wir uns noch einen wichtigen Punkt in Windows 10 an. Klicken sie relativ weit unten im Fenster auf ‚Übermittlung von Updates auswählen‘. Auf dieser Seite stellen sie sicher, dass die Option ‚PCs in meinem lokalen Netzwerk‘ aktiviert ist. Auf keinen Fall sollte die Option ‚PCs in meinem lokalen Netzwerk und PCs im Internet‘ aktiviert sein, denn in dem Fall würden fremde Personen ihre Internetverbindung nutzen um Updates herunterzuladen, was in niemandes Interesse sein dürfte, solange man nicht unendlich schnelles Internet hat. Vor allem bei Tarifen mit beschränktem Datenvolumen kann das schnell sehr teuer werden!
(Die Anleitung gilt für Windows 10 Creators Update [1703]. Ältere Windows 10 Versionen können leicht unterschiedlich sein.)
Quelle: 'Microsoft Outlook: Wichtige Sicherheitsupdates schließen Lücken' auf Heise Online
Info: 'Installieren von Office-Updates' auf Microsoft.com
Wenige Tage nachdem Oracle Update 141 mit etlichen Sicherheitsupdates für Java 8.0 veröffentlicht hat, steht schon das nächste Java Update vor der Tür. Eine der Änderungen in dem 141er Update verursachte Probleme bei manchen Webstart-Anwendungen, dieses Problem wird nun mit Update 144 behoben. Wer mit Java 8.0 Update 141 also keine Probleme hat bräuchte auch nicht upzudaten. Der Einfachheit halber empfehlen wir aber allen Anwendern immer die aktuellste Java Version zu verwenden.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurück setzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.
Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')
Quelle: '8u144 Update Release Notes' auf Oracle.com (Englisch)
Eine Woche nach Microsoft bringt nun auch Oracle Sicherheitsupdates für etliche seiner Programme. Das wichtigste dabei ist das Java Sicherheitsupdate, aber auch VirtualBox dürfte bei manchen Anwendern installiert sein. Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - Juli 2017‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - July 2017' auf Oracle.com (Englisch)
Oracle hat Version 8.0 Update 141 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stolze 28 Sicherheitslücken geschlossen, wovon man die meisten als kritisch einstufen kann.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurück setzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.
Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')
In dem PC-Emulator VirtualBox wurden 14 Sicherheitslücken geschlossen, kritisch ist jedoch keine. Nichtsdestotrotz sollten Anwender von VirtualBox bei Gelegenheit auf die Version 5.1.24 updaten.
Download: Aktuelle VirtualBox Versionen auf VirtualBox.org
Wie bereits im März musste Cisco mal wieder Lücken in seiner Web-Conferencing-Software ‚WebEx‘ schließen. Da diese Lücken über den Browser ausnutzbar sind, sollten Anwender die dieses Plugin installiert haben, es unbedingt rasch aktualisieren oder deinstallieren.
Die abgesicherte Ausgaben tragen folgende Versionsnummer:
Für Google Chrome / Opera / Vivaldi / Firefox: 1.0.12
Für Internet Explorer: Kein Update nötig
Quelle: 'Web-Conferencing-Software: Cisco stopft erneut kritische Lücke in WebEx' auf Heise Online
WannaCry war erst der Anfang. Über einen ähnlichen Infektionsweg lassen sich wunderbar auch NAS-Boxen (Netzwerkfestplatten) infizieren, auf denen üblicherweise eine (veraltete) Linux-Version eingesetzt wird. Während Betriebssysteme auf Heim-Computern üblicherweise monatlich mit Updates versorgt werden, sehen NAS-Boxen oft niemals ein Update.
Kein Wunder also, dass sich nun auch die ersten Angriffe auf NAS-Boxen bekannt werden. Immerhin sind es extrem lohnende Ziele, denn viele Benutzer solcher Boxen denken die Daten darauf wären sicher und machen keine Backups davon. Dabei sind Daten auf NAS-Geräte kaum sicherer verwahrt als auf dem PC an sich, bzw. bei veralteter Software sogar deutlich unsicherer!
Anwender von NAS-Boxen sollten also unbedingt regelmäßig nach Updates für diese Geräte suchen. Zudem sollte man sehr gut überlegen, ob man den Zugriff auf seine Daten über das Internet wirklich aktivieren sollte. Zu guter Letzt sollten Daten auf dem NAS selbstverständlich ebenso gesichert werden, wie Daten auf PCs!
Quelle: 'SambaCry: Erste Angriffe auf Linux-NAS-Boxen gesichtet' auf Heise Online
Langsam aber sicher entwickeln sich Überwachungskameras zum Albtraum jedes Administrators. Immer wenn in irgendeiner Kamera eine Lücke gefunden wird, sind in der Regel gleich Millionen von Kameras betroffen, die dieselbe Software verwendet. So aktuell wieder mit Kameras von Axis. Beim Hersteller selbst sind schon 249 Modelle betroffen, da der Fehler aber in einer Software-Bibliothek eines Fremdanbieters steckt, sind noch unzählige andere Hersteller betroffen. Genau Zahlen kann man nicht nennen, weil die Bibliothek OpenSource ist und von jedem Hersteller kostenlos und ohne Registrierung genutzt werden kann.
Betreibern von Sicherheitskameras (und allen sonstigen IoT Gräten) können wir daher nur folgendes raten:
Quelle: 'Sicherheitslücke in Axis-Überwachungskamera mit Breitenwirkung' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Die neueste Version des Flash-Plugins trägt die Nummer 26.0.0.137. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.
Quelle: Adobe Captivate Security Bulletin APSB17-22 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Download: Microsoft Update Website (nur mit Internet Explorer)
Microsoft hat den Support für Windows Phone 8.1 eingestellt. Wer mit solchen Smartphones regelmäßig im Internet surft oder E-Mail nutzt, sollte auf Windows 10 Mobile upgraden, wenn möglich.
Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über zwei Jahren (XP) bzw. drei Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2003 und älter.
Laut einem Heise Online Artikel wurde in der Fritzbox Firmware ein Sicherheitsproblem entdeckt, das zum Erkunden der Heimnetz-Konfiguration genutzt werden kann. Angreifer können sich so detaillierte Einblicke ins Heimnetz verschaffen und mögliche Angriffe starten.
AVM, Hersteller der Fritzboxen hat bisher keine öffentliche Stellungnahme zu dem Thema abgegeben, laut Heise dürften aber alle Fritzboxen betroffen sein, die IPv6 unterstützen. Bisher gibt es keine Updates gegen diese Sicherheitslücke, weshalb wir allen Anwendern solcher Geräte empfehlen, IPv6 zumindest vorübergehend abzuschalten. Das gelingt unter "Heimnetz/Netzwerkeinstellungen/IPv6".
Quelle: 'Fritzbox-Lücke erlaubt delikate Einblicke ins lokale Netz' auf Heise Online
An alle Leser die sich fragen, warum wir nichts zum Thema Petya/NotPetya schreiben, also dem Erpressungstrojaner, der in den letzten Tagen wieder weltweit tausende Systeme beschädigt hat: Unserer Meinung nach gibt es dazu nicht viel zu schreiben. Letztendlich ist das mehr oder weniger dasselbe Phänomen wie vor einigen Wochen die WannaCry Epidemie. Anwender, die immer noch mit Windows Vista oder älter hantieren, sollten langsam begriffen haben, dass sie auf tickenden Zeitbomben sitzen. Dasselbe gilt natürlich für Anwender, die zwar ausreichend aktuelle Betriebssysteme einsetzen (Windows 7 oder neuer) aber aus welchen Gründen auch immer keine Updates installieren.
Anwender, die ihre Systeme aktuell halten und nicht auf dubiose E-Mails hereinfallen, müssen sich letztendlich keine Sorgen machen. Sicherungen seiner wichtigen Daten sollte man so oder so regelmäßig erstellen, nicht nur wegen Erpressungsstrojanern.
Info: 'Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen' auf Heise Online