News Archiv 1. Quartal 2019

Schlagzeilen * Details

Schlagzeilen:


zur Übersicht

Details:



23.03.2019 – Firefox 66.0 behebt schwere Sicherheitslücken

Mozilla Firefox LogoMozilla hat Firefox 66.0 veröffentlicht. Darin wurden 21 Sicherheitslücken geschlossen deren Bedrohungsgrad Mozilla insgesamt als „kritisch“ einstuft. Mittlerweile liegt bereits Firefox 66.0.1 vor, in dieser Version wurden nochmals zwei kritische Lücken geschlossen. Anwender sollten das Update daher rasch installieren, sofern das durch das automatische Update nicht bereits erledigt wurde.

Abgesehen von den Sicherheitskorrekturen bietet Firefox 66 auch funktionale Neuerungen. So sollen unter anderem Werbe-Videos nun nicht mehr automatisch abgespielt werden.

In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.6.0.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Mozilla Foundation Security Advisory 2019-7' auf Mozilla.org

Quelle: 'Mozilla Foundation Security Advisory 2019-9' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

23.03.2019 – Sicherheitsupdates für FileZilla und Putty

FileZilla LogoDie WinSCP-Sicherheitslücke, über die wir Ende Jänner berichtet hatten, hat offenbar auch FileZilla betroffen. Mittlerweile liegen nämlich sowohl für Putty als auch FileZilla neue Versionen vor, die diese Lücke schließen.

FileZilla Anwender sollten unbedingt Version 3.41.2 oder neuer verwenden. Bei Putty lautet die Versionsnummer der abgesicherten Ausgabe 0.71. Anwender beider Programme sollten umgehend updaten.

Quelle: 'Neue Version: Entwickler machen SSH-Client PuTTY sicherer' auf Heise Online

Quelle: 'Hinweis auf Sicherheitskorrektur in FileZilla' auf FileZilla-Project.org

Download: Aktuelle FileZilla Version

zur Übersicht

23.03.2019 – D-Link schließt gravierende Sicherheitslücke

D-Link LogoIn vielen D-Link Geräten steckt eine gravierende Sicherheitslücke, über die Angreifer aus der Ferne die vollständige Kontrolle über die betroffenen Geräte erhalten können. Laut D-Link steckt die Lücke in folgenden Geräten:

Besitzer der betroffenen Geräte sollten die neue Firmware umgehend einspielen. Besitzer des DWR-711 sollten der D-Link-Info-Seite regelmäßig einen Besuch abstatten bis das Update auch dafür verfügbar ist.

Quelle: 'Aktuelle Firmware-Versionen schließen Remote-Code-Lücken in D-Link-Routern' auf Heise Online

Quelle: 'D-Link Info-Seite über EXCU_SHELL-Schwachstelle' auf DLink.com

Download: Aktuelle D-Link Firmware Updates im Support-Bereich

zur Übersicht

23.03.2019 – D-Link: Sicherheitslücken auch in NAS Geräten

D-Link LogoUnd gleich noch einmal D-Link. Diesmal geht es um NAS-Systeme des Herstellers. Auf diese gibt es aktuell Angriffe durch den Erpressungstrojaner ‚Cr1ptTor‘. Besitzer eines D-Link NAS-Systems sollten daher unbedingt den Zugriff aus dem Internet auf diese Geräte unterbinden.

Auch wenn dies von Seiten D-Links aktuell als „Notmaßnahme“ bezeichnet wird, sollten Besitzer eines NAS (unabhängig vom Hersteller) sich IMMER überlegen, ob ein NAS wirklich aus dem Internet erreichbar sein muss. Ein nur aus dem eigenen Netzwerk erreichbares NAS ist sicherheitstechnisch auf jeden Fall nicht so exponiert.

Zurück zu D-Link. Betroffen sind folgende Geräte:

Die neue Firmware sollte immer installiert werden (sofern bereits verfügbar), auch wenn das NAS nur aus dem eigenen Netzwerk heraus erreichbar ist.

Quelle: 'D-Link wappnet ältere NAS-Systeme gegen Erpressungstrojaner Cr1ptTor' auf Heise Online

Quelle: 'Meldung zu Trojaner-Angriff auf DNS-320' auf DLink.com

Download: Aktuelle D-Link Firmware Updates im Support-Bereich

zur Übersicht

23.03.2019 – Sicherheitslücke in VMware Workstation geschlossen

Malware LogoIn der VMwares Virtualisierungssoftware ‚Workstation‘ (‚Pro‘ und ‚Player‘) wurde eine schwere Sicherheitslücke behoben, über die Angreifer sich erhöhte Rechte erschleichen können. Anwender dieser Software sollten die Updates von VMware zeitnah installieren.

Quelle: 'Sicherheitsupdates: VMware Workstation als Sprungbrett zum Admin' auf Heise Online

zur Übersicht

23.03.2019 – Wichtiges Sicherheitsupdate für WordPress

Malware LogoWer WordPress für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 5.1.1 installiert wurde oder das rasch nachholen. In der neuen Version wurden mehrere Sicherheitslücken geschlossen.

Quelle: 'WordPress 5.1.1: Sicherheits- und Wartungsupdate fürs CMS' auf Heise Online

zur Übersicht

23.03.2019 – Und schon wieder Cisco… (Sicherheitslücken)

Cisco LogoAngesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: „Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute“. Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun um Löcher zu schließen die es eigentlich nicht geben dürfte. Diese Woche sind etliche IP-Telefone und andere Netzwerkgeräte betroffen. Details im Heise Online Artikel.

Quelle: 'Cisco: Update-Rundumschlag für zahlreiche Produkte' auf Heise Online

zur Übersicht

16.03.2019 – Sicherheitsupdates für Photoshop und Digital Editions

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Photoshop:

Adobe Photoshop LogoIn Adobe Photoshop wurde diesen Monat eine kritische Schwachstelle gestopft über die Angreifer den Computer mit Viren infizieren können. Anwender, die Photoshop installiert haben, sollten daher rasch auf die Version 19.1.8 (2018) oder 20.0.4 (2019) updaten. Sämtliche (!!) frühere Photoshop Versionen gelten als unsicher und sollten nicht mehr verwendet werden.

Info: Adobe Security Bulletin APSB19-15 (Englisch)

Digital Editions:

In Adobes E-Book-Reader Software ‚Digital Editions‘ wurde ebenfalls eine kritische Sicherheitslücke behoben. Anwender der Software sollten dringend auf Version 4.5.10.186048 updaten bzw. sich überlegen, ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren. Digital Editions wird nämlich relativ häufig von Sicherheitslücken geplagt. Achten sie bitte auf die vollständige Versionsnummer, es gibt nämlich auch noch ältere 4.5.10er Versionen, die noch verwundbar sind!

Download: Adobe Digital Editions v4.5.10.186048 für Windows

Quelle: Adobe Digital Editions Security Bulletin APSB19-16 (Englisch)

zur Übersicht

16.03.2019 – Microsoft's Tag der Updates

Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Micrsoft Windows LogoAuch Windows 7 Lücke bereits behoben!

Auch für die Sicherheitslücke in Windows 7, über die wir vor einer Woche berichtet hatten, hat Microsoft bereits ein Sicherheitsupdate bereit. Außerdem wurden Performance-Probleme in neueren Windows 10 Versionen behoben.

Microsoft blendet Warnungen auf Windows 7 Systemen ein

Microsoft hat darüber hinaus informiert, dass man bald damit beginnen wird Windows 7 Anwender per Nachrichten-Fenster darüber zu informieren, dass der Support zu Neige geht. Wie wir schon mehrmals berichtet hatten, wird Windows 7 ab Jänner 2020 keine Sicherheitsupdates mehr erhalten. Die Benachrichtigung soll sich laut Microsoft aber dauerhaft deaktivieren lassen. Auch wir können Anwendern von Windows 7 nur empfehlen, sich langsam über ein Upgrade oder einen neuen PC Gedanken zu machen.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

16.03.2019 – Und noch einmal Cisco Sicherheitslücken…

Cisco LogoDer amerikanische Netzwerk-Ausrüster Cisco kommt seit Wochen nicht aus den Negativ-Schlagzeilen. Diese Woche wurden Sicherheitslücken im IP-Telefon-Modell ‚Small Business SPA514G IP‘ sowie der Software ‚Common Services Platform Collector (CSPC)‘ bekannt.

Die mit hoher Gefahr bewertete Lücke im IP-Telefon ist für ebendieses ein Todesurteil, da Cisco den Support für dieses Modell bereits eingestellt hat. Besitzer dieses Telefons sollten sich also um Ersatz umsehen.

Für die kritische Sicherheitslücke in der CSPC-Software stehen Updates bereit.

Quelle: 'Jetzt updaten: Cisco patcht gegen eine von zwei Remote-Attacken' auf Heise Online

zur Übersicht

09.03.2019 – Schwere Sicherheitslücke in Google Chrome, Opera und Vivaldi!

Google Chrome LogoGoogle hat Version 72.0.3626.121 von Google Chrome veröffentlicht. Darin wurde eine kritische Sicherheitslücke behoben, die bereits aktiv von Angreifern ausgenutzt wird um Computer mit Viren zu infizieren!

Vivaldi hat wenig später Version 2.3.1440.60 seines Browsers veröffentlicht, wo der Fehler ebenfalls korrigiert wurde. Um Vivaldi zu aktualisieren, klicken sie das Vivaldi-Logo oben links an, dann auf HILFE → NACH UPDATES SUCHEN.

Opera, hat ein paar Tage später Version 58.0.3135.90 seines Desktop-Browsers veröffentlicht, und damit die Lücke ebenfalls geschlossen. In Opera klicken sie auf das Opera Logo gefolgt von ‚UPDATE & WIEDERHERSTELLUNG…‘ um die Software zu aktualisieren.

Anwender eines dieser drei Browser sollten auf jeden Fall sicherstellen, dass die aktuelle Version bereits installiert ist oder dies umgehend nachholen. Andere Browser, die ebenfalls auf Chromium basieren, werden vermutlich ebenfalls Updates benötigen.

Quelle: 'Jetzt patchen! Exploit-Code für Google Chrome in Umlauf' auf Heise Online

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Stable Channel Update for Desktop' auf Google.com

Quelle: 'Minor update (4) for Vivaldi 2.3' auf Vivaldi.com

Quelle: 'Opera 58.0.3135.90 Stable update' auf Opera.com

zur Übersicht

09.03.2019 – Sicherheitslücke in Windows 7 wird ausgenutzt!

Windows 7 LogoNicht nur Chromium basierte Browser werden zurzeit aktiv angegriffen (siehe Meldung oben), auch Windows 7 steht vermehrt unter Beschuss. Wer sowohl Windows 7 als auch einen der obigen Browser verwendet, setzt sich momentan einem hohen Risiko aus, da die beiden Schwachstellen in Kombination die Tür weit offen stehen lassen.

Sobald die Lücke im Browser (siehe Meldung oben) behoben ist, sind auch Windows 7 Systeme wieder halbwegs sicher, obwohl der Fehler in Windows 7 selbst damit natürlich nicht behoben ist. Daher empfiehlt Google, als Entdecker der Angriffe sowie der zugrunde liegenden Schwachstelle, auf Windows 10 upzugraden. Microsoft arbeitet an einem Update für Windows 7. Ob es bis zum nächsten Tag der Updates am 12. März jedoch fertig wird ist nicht sicher.

Die Empfehlung Googles, auf Windows 10 upzugraden, ist zwar etwas radikal, allerdings läuft der Support von Windows 7 in 10 Monaten ohnehin aus, daher macht es schon Sinn Anwender langsam zu einem Upgrade zu drängen, damit im Jänner nicht wieder Millionen von Anwender von dem Support-Ende ‚überrascht‘ werden.

Quelle: 'Google warnt vor Zero-Day-Lücke in Windows 7' auf Heise Online

zur Übersicht

03.03.2019 – Neue Nvidia-Treiber schließen Sicherheitslücken

Nvidia LogoNvidia stopft mal wieder Sicherheitslücken in seinen Treibern. Besitzer einer Geforce Grafikkarte sollten zügig auf den Geforce Treiber v419.17 updaten. Im neuen Treiber wurden insgesamt acht Lücken geschlossen, wovon fünf einen hohen Bedrohungsgrad haben sollen.

Anwender von Tesla oder Quadro Karten finden die Versionsnummern der abgesicherten Treiber im verlinkten Nvidia Security Bulletin.

Quelle: 'Sicherheitsupdates: Nvidia schützt Grafikkartentreiber vor Angriffen' auf Heise Online

Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - February 2019' auf Nvidia.com

Download: Aktuelle Nvidia Treiber

zur Übersicht

03.03.2019 – Adobe liefert Notfall Sicherheits-Update für ColdFusion

Adobe LogoAdobe hat ein Notfall-Sicherheits-Update für ColdFusion veröffentlicht, dass eine Lücke schließt die bereits aktiv ausgenutzt wird um Server zu hacken. Betreiber einer Adobe ColdFusion-Installation sollten das Update von Adobe daher umgehend installieren und den Server im Anschluss auf Spuren von Eindringlingen untersuchen.

Updates gibt es für die Versionen 11, 2016 und 2018. Wie die Updates zu installieren sind, steht in dem 'Adobe Security Bulletin APSB19-14'.

Quelle: 'Adobe Security Bulletin APSB19-14' auf Adobe.com (Englisch)

zur Übersicht

03.03.2019 – Schwere Sicherheitslücken in Routern von D-Link

Router Security LogoWieder wurden in D-Link Routern Sicherheitslücken gefunden, wieder einmal hat der Hersteller noch keine entsprechenden Updates bereitgestellt. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft die Bedrohung als ‚hoch‘ ein, kein Wunder, denn die Lücken ermöglichen es Angreifern die Geräte komplett unter ihre Kontrolle zu bekommen.

D-Link hat bisher lediglich eine Meldung veröffentlicht, wonach man das Problem untersuche. Ob und wann es Updates geben wird, steht in den Sternen. Betroffen sind die D-Link Router DIR-825 und DIR-878. Wer so ein Gerät besitzt und sicher sein möchte, sollte sich besser einen neuen Router besorgen. Zum Beispiel eine Fritzbox aus dem 2019er Jahrgang, dort sieht es mit dem Support deutlich besser aus. Wer sich das nicht leisten will oder kann, sollte zumindest regelmäßig auf die Meldung von D-Link schauen, bis es hoffentlich Updates gibt.

Quelle: 'Zwei D-Link-Router warten auf Sicherheitsupdates' auf Heise Online

Quelle: 'Schwachstellen in D‑Link Routern DIR‑825 und DIR‑878' auf D-Link.com

zur Übersicht

03.03.2019 – Sicherheitsupdates für Produkte von Cisco, Aruba und F5

Router Security LogoBesitzer bzw. Administratoren von Geräten der Hersteller Cisco, Aruba und F5 sollten unbedingt deren letzte Security Bulletins lesen, denn alle drei Hersteller haben Sicherheitslücken in ihren Produkten geschlossen. Privatanwender dürften in dem Fall eher nicht betroffen sein, da genannte Marken überwiegend in Firmen eingesetzt werden.

Nur die Software ‚WebEx Meetings‘ von Cisco dürfte sich auch auf den einen oder anderen Privat-PC verirrt haben. Dann sollten auch die Betreiber dieser Geräte ein Auge darauf werfen.

Quelle: 'Jetzt patchen: Cisco schließt Lücken in mehreren Produkten' auf Heise Online

Quelle: 'Aruba schließt Schwachstellen in Wireless Access Points' auf Heise Online

Quelle: 'Sicherheitsupdates: BIG-IP-Appliances von F5 für DoS-Attacken anfällig' auf Heise Online

zur Übersicht

24.02.2019 – Noch ein Adobe Reader/Acrobat Sicherheitsupdate!

Adobe Reader/Acrobat LogoAdobe hat es mit dem kürzlich veröffentlichten Sicherheitsupdate nicht geschafft alle Lücken zuverlässig zu schließen, die es hätte schließen sollen. Daher musste der Hersteller noch einmal nachbessern und bietet jetzt Version 2019.010.20098 zum Download an.

Die langen 'Versionsnummern' sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten schon lange KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB19-13 (Englisch)

zur Übersicht

24.02.2019 – Gefährliche Schwachstellen in WinRAR

Malware LogoIm Packprogramm WinRAR wurden wieder eine schwere Sicherheitslücke entdeckt, durch die ein Computer mit Viren infiziert werden könnte. Da es bisher noch keine finale Version gibt, in der die Lücken behoben wurden, raten wir allen Anwendern WinRAR zu deinstallieren. Das kostenlose 7-Zip kann als Ersatz verwendet werden. Wer partout nicht ohne WinRAR leben kann, sollte die aktuelle Beta Version 5.80 Beta 2 installieren, darin ist der Fehler behoben.

Quelle: 'Uralt-Bugs in WinRAR lassen Schadcode auf Computer' auf Heise Online

zur Übersicht

24.02.2019 – Windows 10 & Server 2016: Sicherheitslücke erfordert Handarbeit!

Microsoft Windows LogoIrritierenderweise hat Microsoft in den eigentlich nicht sicherheitsrelevanten Updates vom 19ten Februar auch eine durchaus sicherheitsrelevante Korrektur eingebaut. Und zwar ein neue Option zum Steuern des Verhalten von HTTP2 Verbindungen im eingebauten Webserver IIS.

Der IIS ist NICHT in Windows 10 Home enthalten, Anwender dieser Windows Edition sind also auf jeden Fall aus dem Schneider. In Windows 10 Pro kann der IIS installiert werden, ein aus dem Internet erreichbarer IIS auf einem Windows 10 Pro Rechner dürfte aber Seltenheitswert haben.

Damit sind es wieder einmal vor allem die Administratoren von Windows Servern, denen Microsoft Hausaufgaben verordnet. Denn nicht nur sollte eben die Updates vom 19. Februar installiert werden, es müssen auch in der Registry noch zwei Werte für HTTP2 Verbindungsoptionen nachgetragen werden, für die Microsoft leider keine Vorgaben macht. Ohne die beiden Einträge in der Registry ist das Update jedoch nutzlos und der Server kann übers Internet in die Knie gezwungen werden. Administratoren bleibt also nichts anderes übrig, sich in den Knowledgebase Artikel einzulesen und der Reihe nach abzuarbeiten.

Quelle: 'Windows 10 und Server 2016: IIS kann über HTTP/2 zum Absturz gebracht werden' auf Heise Online

zur Übersicht

19.02.2019 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash LogoAdobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 32.0.0.142. Ausnahmsweise wurden darin keine Sicherheitslücken geschlossen, stattdessen soll die neue Version eine bessere Performance aufweisen. Die Installation ist deshalb diesmal nicht so dringend wie sonst bei Flash-Updates üblich. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Auskunft, welche Flash Version aktuell verwendet wird.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Acrobat LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.010.20091 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB19-07 (Englisch)

Creative Cloud Client:

Adobe Creative Cloud LogoEine Sicherheitslücken in der Creative Cloud Desktop App könnte es Angreifern erleichtern den PC mit Viren zu infizieren. Für Abhilfe sorgt das Update auf Version 4.8.0.410. Beim Starten der Creative Cloud App sollte diese automatisch auf das Update hinweisen.

Quelle: 'Adobe Security Bulletin APSB19-11' auf Adobe.com (Englisch)

ColdFusion:

Nutzer von Adobe ColdFusion sollten ebenfalls unbedingt Updates installieren, um schwere Sicherheitslücken zu schließen. Updates gibt es hier für die Versionen 11, 2016 und 2018. Wie die Updates zu installieren sind, steht in dem 'Adobe Security Bulletin APSB19-10'.

Quelle: 'Adobe Security Bulletin APSB19-10' auf Adobe.com (Englisch)

zur Übersicht

19.02.2019 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Endlich ein Sicherheitsupdate für Exchange!

Administratoren eines Exchange Servers werden sich freuen zu lesen, dass Microsoft endlich ein Sicherheitsupdate für Exchange fertig hat, das die zuletzt bekannt gewordene Sicherheitslücke schließt. Die bisher empfohlenen Registry-Anpassungen sind damit nicht mehr länger nötig, müssen aber auch nicht Rückgängig gemacht werden, solange sie keine Nebenwirkungen hatten. Updates sind für folgende Exchange Versionen verfügbar:

Wer eine ältere Update Rollup bzw. CU Version nutzt, muss erst auf diese aktualisieren bevor das Sicherheitsupdate installiert werden kann.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

19.02.2019 – Firefox 65.0.1 behebt schwere Sicherheitslücken

Mozilla Firefox LogoMozilla hat Firefox 65.0.1 veröffentlicht. Darin wurden vier Sicherheitslücken geschlossen deren Bedrohungsgrad Mozilla als „hoch“ einstuft. Abgesehen davon wurden noch einige weitere nicht sicherheitsrelevante Probleme behoben. Anwender sollten das Update daher rasch installieren, sofern das durch das automatische Update nicht bereits erledigt wurde.

In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.5.1.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Mozilla Foundation Security Advisory 2019-4' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

19.02.2019 – Thunderbird 60.5.1 schließt Sicherheitslücken

Mozilla Thunderbird LogoDie Entwickler von Thunderbird haben Version 60.5.1 veröffentlicht. Darin wurden vier Sicherheitslücken geschlossen deren Bedrohungsgrad Mozilla als „hoch“ einstuft. Darüber hinaus wurde noch ein Problem mit der CalDav-Unterstützung behoben.

Download: Aktuelle Thunderbird Version

Info: 'Thunderbird 60.5.1 Release Notes' auf Mozilla.org (Englisch)

zur Übersicht

11.02.2019 – Vivaldi 2.3: Neue Funktionen und Sicherheitsupdates

Vivaldi LogoWie letzte Woche angekündigt haben die Vivaldi Entwickler Version 2.3 fertiggestellt. Darin wurden die selben Sicherheitsupdates eingearbeitet wie sie in Google Chrome 72 enthalten sind. Anwender von Vivaldi sollten daher zügig auf die neue Version aktualisieren sofern nicht bereits erledigt.

Abgesehen von den Sicherheitskorrekturen bringt Vivaldi auch wieder Neuerungen in der Tab-Verwaltung, was sich aber eher an Aufräum-unwillige Extrem-Surfer mit dutzenden offenen Tabs richtet. Diese Funktion ist daher standardmäßig deaktiviert, da sie für den Normal-Anwender wenig intuitiv wäre. Wesentlich besser gefallen uns hingegen die viel aufgeräumteren Suchergebnisse in der Adressleiste.

Anwender die sehr oft Screenshots von Webseiten machen müssen, werden sich hingegen extrem über die massiven Fortschritte auf dem Gebiet freuen. So kann man nun das Muster mit dem Screenshots gespeichert werden anhand vieler Parameter selbst definieren. Das kann sehr viel Tipp-Arbeit sparen.

Für eine teilweise bebilderte Zusammenfassung der Neuerungen verweisen wir auf den englischsprachigen Artikel ‚Vivaldi 2.3 introduces Auto-Stacking in Tabs, addresses the Address Field and more‘ auf der Vivaldi Homepage.

Download: Aktuelle Vivaldi Version

Quelle: 'Vivaldi 2.3 introduces Auto-Stacking ...' auf Vivaldi.com (Englisch)

Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)

zur Übersicht

11.02.2019 – LibreOffice: Neue Version und Sicherheitsupdates!

LibreOffice LogoWie jetzt bekannt wurde, haben die Versionen 6.1.0 bis 6.1.3 eine doch erhebliche Sicherheitslücke in der Makro-Funktion. Bis einschließlich der 6.0 Serie existiert der Fehler ebenfalls, kann dort aber nicht so leicht ausgenutzt werden. In beiden Fällen könnten Angreifer Dokumente erstellen, die unabhängig von der Macro-Einstellung in LibreOffice den PC infizieren. Ab den Versionen 6.1.4 bzw. 6.0.7 ist der Fehler behoben. Wer noch eine ältere Version einsetzt, sollte bald aktualisieren.

Anwender die immer noch OpenOffice einsetzen sind ebenfalls von dem Fehler (die etwas abgeschwächte Variante) betroffen und sollten endlich zu LibreOffice wechseln, da OpenOffice kaum noch weiterentwickelt wird und auch Sicherheitslücken nur mehr sehr langsam geschlossen werden.

Für einen Wechsel bzw. Upgrade bietet sich die neue Version 6.1.5 an. Wie üblich wurden darin wieder dutzende Fehler der Vorversion behoben. Die 6.1er Serie ist nun offiziell für alle Anwender und Firmen geeignet.

Ebenfalls neu ist Version 6.2.0. Die erste Ausgabe der 6.2 Serie bringt wieder etliche funktionale Neuerungen mit sich, auf die wir jedoch erst eingehen werden wenn diese ausreichend stabil für die breite Masse ist. In einem ersten Kurztest konnten wir zwar keine größeren neue Fehler entdecken, nichtsdestotrotz empfehlen wir brandneue LibreOffice Versionen nur für experimentierfreudige Nutzer.

Quelle: 'Sicherheitsupdates: Gefährliche Makros für LibreOffice' auf Heise Online

Quelle: 'LibreOffice 6.2: Ribbon-ähnliche Oberfläche nicht mehr experimentell' auf Heise Online

Quelle: Liste der Neuerungen in LibreOffice 6.2 – Kurzübersicht

Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.2

Download: Aktuelle LibreOffice Versionen (6.1 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.2 Serie)

zur Übersicht

02.02.2019 – Firefox 65 behebt schwere Sicherheitslücken

Mozilla Firefox LogoMozilla hat Firefox 65 veröffentlicht. Darin wurden unter anderem drei kritische Sicherheitslücken behoben, die zur Infektion des Computers genutzt werden konnten. Darüber hinaus schließt die neue Version noch sechs weitere Sicherheitslücken. Anwender sollten das Update daher rasch installieren, sofern das durch das automatische Update nicht bereits erledigt wurde.

In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.5.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Mozilla Foundation Security Advisory 2019-1' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

02.02.2019 – Thunderbird 60.5.0 schließt Sicherheitslücken

Mozilla Thunderbird LogoDie Entwickler von Thunderbird haben Version 60.5.0 veröffentlicht. Darin wurden zwei kritische Sicherheitslücken geschlossen, die potentiell zur Infektion des Computers durch Viren genutzt werden konnten. Darüber hinaus wurden noch zwei weitere Sicherheitslücken mit geringerem Sicherheitsrisiko behoben.

Es gibt aber auch über funktionale Neuerungen zu berichten. Die letztes mal bereits angekündigte Unterstützung für WeTransfer ist nun fest in Thunderbird integriert und kann problemlos in den Einstellungen (unter ‚Anhänge‘) aktiviert werden. Wer lieber DropBox verwendet kann den Dienst über eine Erweiterung in Thunderbird einbinden. Der Absturz in Verbindung mit benutzerdefinierten Benachrichtigungssounds wurde behoben und Wörterbücher können nun ebenfalls im neuen WebExtension-Format installiert werden.

Des weiteren soll Thunderbird bei der Einrichtung neuer E-Mail Konten auf die Erweiterung „Eule“ hinweisen, wenn es der Meinung ist es handelt sich um ein Exchange Konto. Im Test konnten wir das nicht erfolgreich nachstellen, zudem halten wir die Erweiterung mit 10 Euro pro Jahr definitiv für zu teuer, wenn man bedenkt, dass sie aktuell nur E-Mails synchronisieren kann. Kalender und Kontakte beherrscht sie (noch?) nicht. Die E-Mails über IMAP zu synchronisieren kostet nichts, sofern der Administrator des Servers IMAP/SMTP freigegeben hat.

Download: Aktuelle Thunderbird Version

Info: 'Thunderbird 60.5.0 Release Notes' auf Mozilla.org (Englisch)

zur Übersicht

02.02.2019 – Sicherheitsupdates für Google Chrome!

Google Chrome LogoGoogle hat Version 72 von Google Chrome veröffentlicht. Darin wurden ganze 58 Sicherheitslücken geschlossen. Mindestens eine der Lücken wird von Google selbst als kritisch eingestuft, sodass Anwender die Google Chrome verwenden (wovon wir grundsätzlich abraten) unbedingt zügig auf die neue Version aktualisieren sollten.

Vivaldi testet gerade Version 2.3, die wir in den nächsten Tagen erwarten. Opera hängt üblicherweise weiter hinterher. Wann Opera 59 erscheinen wird lässt sich momentan nicht einschätzen. Opera Anwender, die Wert auf Sicherheit legen, sollten daher über einen Wechsel zu Vivaldi nachdenken.

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

02.02.2019 – Neue iTunes & iCloud Versionen beheben kritische Sicherheitslücken!

Apple LogoApple behebt mit iTunes 12.9.3 zahlreiche teils kritische Sicherheitslücken in der Multimedia Software. Auch in iCloud musste Apple gehörig nachbessern und liefert diese Korrekturen mit Version 7.10 aus.

Anwender, die iTunes oder iCloud tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs spürbar langsamer machen, selbst wenn sie gar nicht verwendet werden.

Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.

Quelle: 'Diverse Sicherheitslücken in iTunes für Windows' auf Heise Online

Quelle: 'Informationen zum Sicherheitsinhalt von iCloud für Windows 7.10' auf Heise Online

zur Übersicht

02.02.2019 – Sicherheitslücken in Exchange erfordern manuellen Eingriff

Malware LogoEine Sicherheitslücke in allen Exchange Versionen erfordert ein kurzes manuelles Eingreifen von Administratoren. Den ein Update, dass die Lücke grundsätzlich behebt, hat Microsoft bisher nicht fertiggestellt. Eine kleine Änderung in der Registrierungsdatenbank umgeht das Problem jedoch zuverlässig, wie im verlinkten Heise Online Artikel beschrieben wird.

Jedoch kann die Änderung Auswirkungen auf andere Programme haben. Bestätigt ist das bisher zumindest für das Programm „Mailsecurity for Exchange“ von G-Data. Administratoren sollten daher nach der Änderung die Funktion der relevanten Applikationen prüfen. Notfalls muss man abwiegen ob Sicherheit oder Funktionalität wichtiger ist. Zumindest bis Microsoft die Schwachstelle per Update behoben hat.

Quelle: 'Sicherheitslücken in Microsoft Exchange gewähren Domain-Admin-Berechtigungen' auf Heise Online

zur Übersicht

02.02.2019 – Weitere riesige Passwort-Sammlungen entdeckt!

Malware LogoErst vor 2 Wochen haben wir über den Fund einer sehr großen Datenbank mit gehackten Zugangsdaten berichtet, nun sind weitere solcher Sammlungen aufgetaucht.

Das zunehmende Problem mit diesen Passwort-Datenbanken ist jedoch, das es immer schwieriger wird die Herkunft zu bestimmen. Es ist davon auszugehen, dass auch in den neuen Sammlungen viele Daten aus älteren Hacks zusammengefasst wurden. Nur weil eine E-Mail-Adresse also jetzt von einem der Webdienste (diesmal wird auf den Dienst des Hasso-Plattner-Institus verwiesen) als gehakt angezeigt wird, bedeutet das nicht, dass es zwangsweise eine neue Erkenntnis ist.

Das wird zunehmend zum Problem, wenn in immer kürzeren Intervallen Dienste behaupten die E-Mail-Adresse (bzw. ein damit verknüpfter Webdienst) wurde gehakt und man solle doch das Passwort ändern. Nur was, wenn die Adresse „max@muster.com“ (als Beispiel) nicht nur die Tore zum E-Mail-Account, sondern auch zum Facebook-, Dropbox-, Instagram- und X anderen Accounts öffnet? Es ist nicht praktikabel alle paar Tage bei einem Dutzend Webdiensten das Passwort zu ändern, weil die Zugangsdaten möglicherweise in fremde Hände gefallen sind.

Die vor 2 Wochen erwähnte Website‚Have I Been Pwned‘ bietet hier einen großen Vorteil: Man kann nicht nur nach E-Mail-Adressen, sondern auch nach Passwörtern suchen. Wurde also eine E-Mail-Adresse bei einem der Webdienste als gehackt beanstandet, kann man die Passwörter aller Dienste, die mit dieser Adresse verknüpft sind, bei ‚Have I Been Pwned‘ prüfen. Das ist zwar ebenfalls aufwendig, aber immer noch schneller, als wenn man bei all den Accounts prophylaktisch das Passwort ändern müsste.

Quelle: 'Neue Passwort-Leaks: Insgesamt 2,2 Milliarden Accounts betroffen' auf Heise Online

Info: Prüfung von E-Mail-Adressen duch das Hasso-Plattner-Institut

Info: 'have i been pwned' - Website zur Prüfung von Passwörtern

zur Übersicht

28.01.2019 – Gravierende Sicherheitslücke in WLAN-Chips von Marvell

WLAN Sicherheitsrisiko LogoEin Sicherheitsforscher hat eine gravierende Sicherheitslücke im WLAN-Chipsatz Marvell Avastar 88W8897 gefunden. Die Schwachstelle ermöglicht es einem Angreifer die vollständige Kontrolle über ein Gerät mit besagtem Chip zu nehmen, unabhängig davon welches Betriebssystem darauf läuft. Der Angreifer muss nicht einmal im selben WLAN eingebucht sein wie sein Opfer, es genügt, wenn der Angreifer in WLAN-Reichweite ist. Das können bei idealen Bedingungen bis zu 100 Meter sein.

Ist mein Gerät betroffen?

Ob ihr Computer exakt den genannten WLAN-Chip verwendet lässt sich nur mit spezieller Software ermitteln. Im Gerätemanager von Windows Geräten lässt sich aber zumindest feststellen, ob überhaupt ein Marvell WLAN-Chip verwendet wird. Drücken sie dazu die Tasten WINDOWS und „R“ gleichzeitig. Im Fenster „Ausführen“ tippen sie „devmgmt.msc“ (ohne Anführungszeichen) ein und klicken auf OK. Darauf hin sollte sich der Geräte-Manager öffnen. Dort öffnen sie die Kategorie „Netzwerkadapter“. Taucht in der Liste der Netzwerkadapter der Begriff Marvell überhaupt nicht auf, haben sie Glück gehabt.

Findet sich im Gerätemanager ein Marvell WLAN Gerät, sollte man das genauer untersuchen. Mangels passendem Testgerät können wir hierfür aber keine Anleitung zur Verfügung stellen. Im Zweifelsfall sollte man den Marvell Adapter aber im Gerätemanager gleich deaktivieren und den Computer neustarten.

Eine Anleitung für Smartphones können wir nicht geben. Hier kann man eventuell über die Herstellerangaben herausfinden, welchen WLAN-Chip das Gerät verwendet. Betroffen könnten aber auch alle möglichen IoT-Geräte sein oder andere Haushaltsgeräte mit WLAN, wie HiFi-Equipment, Festplattenrekorder und Fernseher. Die Liste ist nahezu unendlich und das alles durchzugehen extremst zeitaufwendig.

Was kann ich dagegen tun?

Im Moment ist die einzige Abhilfe leider den WLAN-Chip komplett zu deaktivieren. Da wir nicht sicher sind, ob dafür das Ausschalten über die reguläre Benutzeroberfläche genügt, empfehlen wir das Gerät im Geräte-Manager zu deaktivieren. Wer nicht auch zusätzlich einen Anschluss über Kabel verwenden kann, ist dann jedoch vom Netzwerk abgeschnitten. Wer einerseits sicher sein möchte, gleichzeitig aber auf WLAN angewiesen ist, könnte sich vorübergehend einen günstigen WLAN-USB-Adapter besorgen. Dieser darf dann aber natürlich ebenfalls keinen Marvell Avatar Chip verwenden. Die Kombination dürfte aber sehr selten sein.

Bekannte betroffene Geräte:

Von folgenden Geräten ist bereits bekannt, dass zumindest manche Serien betroffen sind: Playstation 4, Xbox One, mehrere Surface-Laptops von Microsoft, Chromebooks von Samsung. Auch einige Smartphones und die Streaming-Box Steam Link von Valve sind ebenfalls betroffen.

Sicherheitsupdates? Bitte warten …

Gelöst kann das Problem nur von Marvell selbst werden. Zudem müssen teilweise die Hersteller der PCs, Smartphones usw. dafür sorgen, dass neue Treiber bzw. neue Firmware die Geräte auch erreicht. Bisher sind aber noch keinerlei Zeitpläne bekannt, die Lücke steht also erst einmal für unbestimmte Zeit offen.

Wie schlimm ist das?

Prinzipiell sehr schlimm, da wie gesagt ein Angreifer die vollständige Kontrolle über die angegriffenen Geräte erhalten kann. Damit ist jegliche Form von Infektion, Datendiebstahl, Erpressung usw. möglich. Allerdings ist der Angriff noch neu und der Entdecker behält die genauen Details für sich, sodass es wohl ein wenig dauern wird, bis diese Lücke tatsächlich ausgenützt wird. Es bleibt zu hoffen, dass Marvell schneller reagiert als die Cyber Maffia und die Lücken zügig schließt. Unter Windows kann man dann in weiterer Folge wohl mit Sicherheits-Updates über Windows Update rechnen. Ob und wann die Lücke auf den Smartphones geschlossen wird, ist jedoch ein großes Fragezeichen. Hier hilft unter Umständen nur der Austausch des Smartphones.

Quelle: 'Playstation 4, Xbox One, Surface-Laptops: Kritische Schwachstellen im WLAN-Chip' auf Heise Online

Quelle: 'Remotely compromise devices by using bugs in Marvell Avastar Wi-Fi: from zero knowledge to zero-click RCE' auf Embedi.org

zur Übersicht

28.01.2019 – Sicherheitslücken in Cisco Routern aktiv ausgenützt!

Router Security LogoSicherheitslücken in den Cisco Routern RV320 und RV325 werden zurzeit aktiv ausgenutzt, um die Besitzer der Router anzugreifen. Betroffenen Personen sollten daher unbedingt die letzten Firmware-Updates für die Geräte einspielen (siehe Handbuch der Geräte).

Quelle: 'Jetzt patchen! Angreifer machen Jagd auf Cisco-Router' auf Heise Online

Download: Firmware Update für Cisco RV320 auf Cisco.com

Download: Firmware Update für Cisco RV325 auf Cisco.com

zur Übersicht

28.01.2019 – Sicherheitsupdate für Adobe Experience Manager (Forms)

Adobe LogoAdobe hat kürzlich eine Sicherheitsmeldung für Adobe Experience Manager veröffentlicht. Sowohl Experience Manager als auch Experience Manager Forms sind demnach von Sicherheitslücken betroffen.

Adobe Experience Manager:

Bei Adobe's Content Management System 'Experience Manager' sind alle Ausgaben ab Version 6.0 von mehreren Sicherheitslücken betroffen. Im verlinkten Adobe Security Bulletin APSB19-09 finden sich Hinweise auf die nötigen Sicherheitsupdates für die jeweiligen Versionen.

Quelle: Adobe Security Bulletin APSB19-09 (Englisch)

Adobe Experience Manager Forms:

Von Adobe Experience Manager Forms sind nur die Versionen 6.2 bis 6.4 betroffen. Außerdem gibt es hier ‚nur‘ eine Lücke. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin APSB19-03.

Quelle: Adobe Security Bulletin APSB19-03 (Englisch)

zur Übersicht

28.01.2019 – Unsichere IoT bzw. Smart Home Geräte – mal wieder...

Router Security LogoIoT (Internet of Things) Geräte haben wir ja schon sehr oft angeprangert, da die meisten günstigen Geräte einfach nur katastrophale Sicherheitsmängel aufweisen. Smart Home Geräte fallen ebenfalls in die Kategorie IoT, aber wir erwähnen das hier mal ausdrücklich, da sich der zugrunde liegende Heise Online Artikel auf diesen Begriff bezieht.

Ein Sicherheitsforscher hat demnach wieder mehrere Sicherheitslücken in diversen Smart Home Geräten der Firma Tuya entdeckt. Wenn Ihnen der Name nichts sagt, sind sie kein Einzelfall aber deshalb noch lange nicht aus dem Schneider, denn Tuya verkauft den Großteil seiner Geräte nicht direkt, sondern über diverse andere Hersteller bzw. Marken. Allen gemein ist jedoch, dass diese Geräte ernsthafte Löcher ins Netzwerk schießen können und darüber hinaus auch noch massenhaft Daten sammeln, die sie für ihre eigentliche Funktion nicht benötigen würden. Aber bekanntlich haben viele Hersteller im Verkaufen persönlicher Daten ja ein lukratives Nebengeschäft entdeckt.

Wir raten generell von jeglichen Smart Home IoT (oder wie auch immer genannten) Geräten ab. Wer unbedingt mit Hausautomatisierung, Sicherheitskameras und dergleichen loslegen möchte, sollte sich an einen Spezialisten dafür wenden und nicht irgendwelche Pseudo Smart-Geräte vom Sonderangebotsregal im Baumarkt oder vom Lebensmitteldiskounter mitnehmen.

Mehr Details entnehmen Sie bitte dem lesenswerten Artikel auf Heise Online.

Quelle: 'Sicherheitslücke: Tausende Smart-Home-Geräte angreifbar' auf Heise Online (Englisch)

zur Übersicht

28.01.2019 – Sicherheitslücke PostScript!

Malware LogoPostScript ist ein Dokumentenformat ähnlich zu PDF (vereinfacht gesagt). Im Standard zu PostScript hat ein Sicherheitsforscher nun eine Sicherheitslücke entdeckt. Alle Programme die den Standard befolgen, sind damit ebenfalls unsicher. Das bekannteste Programm, auf das das zutrifft, ist GhostScript. Das wird wiederum den wenigsten Heimanwendern geläufig sein, auch wenn sie es unwissentlich vermutlich auf ihrer Festplatte haben. GhostScript wird von zahlreichen Programme verwendet, darunter Gimp, Inkscape, Image Magik und den meisten PDF-Druckertreibern bzw. Konvertern.

Noch keine Updates:

Bisher gibt es offiziell noch keine aktualisierte Version von GhostScript, in der die Lücke geschlossen ist. Damit sind auch all die darauf basierenden Anwendungen noch nicht abgesichert. Wir gehen jedoch davon aus, dass es bald eine neue Version von GhostScrit geben wird, und dann können auch die anderen Hersteller neue Versionen veröffentlichen.

Sind Heimanwender im Ziel?

Um die Sicherheitslücke auf Heim-PCs auszunützen, müsste man einem Anwender eine manipulierte PostScript-Datei zusenden und hoffen, dass ein anfälliges Programm installiert ist, dass diese bei einem Doppelklick öffnet. Es ist zwar nicht auszuschließen, dass das versucht wird, aber die üblichen infizierten MS-Office-Dokumente sind da deutlich erfolgversprechender für die Cyber-Maffia. Daher an der Stelle einfach nur kurz der Hinweis, keine Dateien mit der Endung „.ps“ zu öffnen.

Server sind kritischer!

Administratoren von Servern sehen sich hier vermutlich einem höheren Risiko ausgesetzt, denn viele Server haben GhostScript und /oder Image Magick installiert. Hier wären also direkte Remote-Angriffe möglich, die für Angreifer durchaus lukrativ sein können. Die Linux Distributoren Suse, RedHat und Ubuntu liefern deshalb bereits aktualisierte GhostScript Versionen aus. Ob es auch aktualisierte Image Magik Versionen für Linux gibt, oder ob sie überhaupt nötig sind, müssen Linux Profis beantworten.
Administratoren von Windows Servern, auf denen die beiden erwähnten Programme installiert sind, stehen momentan vor dem Dilemma diese Pakete entweder vorübergehend zu deinstallieren, oder mit dem Risiko zu leben.

Quelle: 'Böser Bug in PostScript trifft GhostScript und damit viele andere Programme' auf Heise Online

zur Übersicht

20.01.2019 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 284 Sicherheitsupdates veröffentlicht. Das wichtigste dabei ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java:

Java LogoOracle hat Version 8.0 Update 201 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 6 Sicherheitslücken geschlossen. Alle Lücken lasen sich Remote ausnützen, zwei sogar ohne jegliche Benutzerinteraktion, was sie besonders kritisch macht. Anwender die Java installiert haben sollten also rasch updaten.

Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9 und 10 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.2 upgraden. Im Gegensatz zur 8er Version ist diese Ausgabe aber nur von der Oracle Homepage zu bekommen.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

VirtualBox:

In dem PC-Emulator VirtualBox wurden 30 Sicherheitslücken geschlossen, vier davon sind kritisch da sie aus der Ferne ausgenützt werden können. Anwender von VirtualBox sollten daher umgehend auf Version 5.2.24 oder 6.0.2 updaten. Für die 5.1er Serie (und älter) gibt es keine abgesicherten Ausgaben mehr, hier muss unbedingt upgegradet werden.

Download: Aktuelle VirtualBox 5.2 Version auf VirtualBox.org

Download: Aktuelle VirtualBox 6.0 Version auf VirtualBox.org

MySQL:

Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat für die Datenbank selbst sowie die zugehörenden Verwaltungsprogramme in Summe 30 Lücken geschlossen von denen drei aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - January 2019‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - January 2019' auf Oracle.com (Englisch)

zur Übersicht

20.01.2019 – Erste große Verschlüsselungstrojaner-Welle im neuen Jahr

Malware LogoEs hat keine drei Wochen gedauert, da hat auch das Jahr 2019 seine erste große Welle an Verschlüsselungstrojanern. Etwas wirklich neues hat der Trojaner GandCrab dabei nicht zu bieten, wieder einmal enthalten angebliche Bewerbungsunterlagen Makros, die den eigentlichen Virus nachladen, sobald man die Makros in dem Dokument aktiviert. Um das zu erreichen, enthält das Dokument einen Hinweis, der den Anschein machen soll, es handelt sich um einen Hinweis von Word selbst, dem ist aber nicht so.

Daher einmal mehr der Hinweis, das die Makro-Funktionalität in Microsoft Office Anwendungen unbedingt ausgeschaltet bleiben (bzw. werden) sollte. Administratoren in Firmen sollten die Makro-Funktionalität per Gruppenrichtlinie deaktivieren, sofern die dazu nötigen Office Varianten eingesetzt werden. Heimanwender sollten das immer im Hinterkopf behalten und niemals einer Aufforderung Makros zu aktivieren nachkommen, es sei denn sie sind 100% sicher, dass das Dokument vertrauenswürdig ist und die Makro-Funktion wirklich notwendig ist.

Auf Virenscanner sollten sie sich keinesfalls verlassen. Als uns der Virus vor einigen Tagen zugesendet wurde, hat nur eine Handvoll Virenscaner Alarm geschlagen. Die meisten hätten eine Infektion also nicht verhindert. Und auch Stand heute gibt es immer noch ein paar bekannte Virenscanner, die den Virus noch nicht als solchen erkennen.

Fazit: Machen sie regelmäßig Sicherheitsupdates, machen sie regelmäßig Sicherungskopien zumindest ihrer wichtigsten Daten und lassen sie den Hausverstand eingeschaltet, wenn sie Dokumente zugesendet bekommen.

Quelle: 'Erste Dynamit-Phishing Welle des Jahres: Trojaner GandCrab ist zurück' auf Heise Online

zur Übersicht

20.01.2019 – Wieder riesige Passwort-Sammlung entdeckt!

Malware LogoTroy Hunt, Betreiber der Website ‚Have I Been Pwned‘, hat eine riesige Sammlung von E-Mail-Adressen und Passwörtern entdeckt, die von gehackten Accounts stammen. Darin waren 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter zu finden. Leider ist nicht klar, ob die Daten nur aus bisherigen Hacks zusammengetragen wurden, oder ob auch neue Daten enthalten sind. Da nur E-Mail-Adressen und Passwörter bekannt sind, lässt sich die Herkunft nicht bestimmen.

Anwender sollten aber einmal mehr ihre Passwörter ändern oder zumindest prüfen, ob sie in einer der Listen enthalten sind. Dazu würde sich grundsätzlich besagte Website ‚Have I Been Pwned‘ hervorragend eignen. Troy Hunt hat auch wirklich alles unternommen, um seine Website so zu gestalten, dass mit Passwörtern die sie eingeben kein Schindluder getrieben wird. Trotzdem sagen wir ‚würde eignen‘, denn ein gewisses Restrisiko besteht natürlich immer, dass ihr Passwort nicht dort landet, wo es eigentlich sollte.

Wer auf Nummer sicher gehen möchte, ändert sein Passwort daher ohne vorher eine Prüfung durchzuführen, ob das denn ‚unbedingt nötig‘ wäre. Eigentlich sollten Passwörter für Online Accounts ja so oder so regelmäßig geändert werden. Noch wichtiger als regelmäßige Änderungen, ist aber die Komplexität des Passwortes (wir empfehlen mindestens 8 Zeichen, bestehend aus Groß-, Klein-Buchstaben, Zahlen und Sonderzeichen). Vor allem aber sollten Passwörter immer nur für EINEN Dienst verwendet werden. Also niemals dasselbe Passwort für z.B. ihren E-Mail-Account und ihr Facebook-Konto verwenden. Hat ein Hacker ein Konto geknackt, könnte er in dem Fall auf alle anderen Dienste mit denselben Anmeldedaten ebenfalls zugreifen.

Um bei den vielen nötigen Passwörtern nicht den Überblick zu verlieren, empfiehlt sich ein sicherer Passwort-Manager wie ‚Password Safe‘. Im Browser sollte man hingegen keine Passwörter speichern oder wenn dann nur eher harmlose. Die Passwörter im Browser auszulesen ist für Viren ein Kinderspiel.

Quelle: 'Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht' auf Heise Online

Info: 'have i been pwned' - Website zur Prüfung von Passwörtern

Download: Password Safe v3.48

zur Übersicht

20.01.2019 – SCP-Lücke gefährdet Putty, WinSCP, OpenSSH und Co!

Malware LogoIm Netzwerkprotokoll SCP (Secure Copy Protocol) wurden mehrere Schwachstellen gefunden, die die Sicherheit massiv gefährdet. SCP wird unter anderen in Putty, WinSCP und OpenSSH eingesetzt.

Während es von WinSCP bereits eine abgesicherte Version 5.14 gibt, sieht die Lage bei OpenSSH und Putty im Moment schlecht aus. Das letzte Update von Putty erschien im Juli 2017 und in der neuesten OpenSSH Version wurde bisher erst eine der drei Sicherheitslücken behoben. Wer auf Putty und/oder OpenSSH angewiesen ist, sollte das SCP Protokoll vorerst nicht verwenden.

Quelle: 'Sicherheitslücken in Protokoll gefährden OpenSSH, PuTTY & Co.' auf Heise Online

zur Übersicht

20.01.2019 – Wichtiges Sicherheitsupdate für Drupal

Malware LogoWer Drupal für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 8.6.6, 8.5.9 oder 7.62.5.0.1 installiert wurde oder das rasch nachholen. In der neuen Version wurden mehrere Sicherheitslücken geschlossen. Die Versionen 8.1 bis 8.4 erhalten keine Updates mehr. Hier sollte man auf Version 8.5.9 oder 8.6.6 upgraden.

Quelle: 'Sicherheitsupdates: Kritische Lücken gefährden Drupal-Websites' auf Heise Online

zur Übersicht

09.01.2019 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash LogoAdobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 32.0.0.114. Ausnahmsweise wurden darin keine Sicherheitslücken geschlossen, stattdessen soll die neue Version eine bessere Performance aufweisen. Die Installation ist deshalb diesmal nicht so dringend wie sonst bei Flash-Updates üblich. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Auskunft, welche Flash Version aktuell verwendet wird.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Connect:

Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.

Quelle: Adobe Connect Security Bulletin APSB19-05 (Englisch)

Digital Editions:

In Adobes E-Book-Reader Software ‚Digital Editions‘ wurde eine schwere Sicherheitslücke behoben. Anwender der Software sollten dringend auf Version 4.5.10 updaten bzw. sich überlegen, ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren. Digital Editions wird nämlich relativ häufig von Sicherheitslücken geplagt.

Download: Adobe Digital Editions v4.5.10 für Windows

Quelle: Adobe Digital Editions Security Bulletin APSB19-04 (Englisch)

zur Übersicht

09.01.2019 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

04.01.2019 – Sicherheitsupdate für Adobe Reader & Acrobat

Adobe Reader LogoWieder einmal muss Adobe seinen Reader und Acrobat außerhalb des üblichen Zeitplans abdichten. Grund sind wie üblich Sicherheitslöcher in der Software, die bereits aktiv ausgenutzt werden um PCs und Macs mit Viren zu infizieren.

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.010.20069 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Die komplette Installationsdatei des neuen Readers, die wir an dieser Stelle sonst immer anbieten, wird von Adobe (noch?) nicht bereitgestellt.

Info: Adobe Security Bulletin APSB19-02 (Englisch)

zur Übersicht

02.01.2019 – Schwere Sicherheitslücken in Synology Geräten

Router Security LogoDer NAS Entwickler Synology hat eine Reihe von Schwachstellen in seinen Geräten entdeckt und für die meisten Fehler bereits Sicherheitsupdates zur Verfügung gestellt. Folgende Firmware Varianten sind betroffen:

Anwender die nicht wissen, welche Firmware auf ihrem Synology NAS vorhanden ist, können im Synology Download-Zentrum einfach anhand der Modellbezeichnung nach Updates suchen.

Download: Synology Download-Zentrum

Quelle: 'Fehler in Software-Suite gefährdet NAS-Geräte von Synology' auf Heise Online

zur Übersicht

02.01.2019 – VLC Media Player 3.0.5 behebt kleine Sicherheitslücken

VLC Media Player LogoDas Team rund um den VLC Media Player hat eine neue Ausgabe der Software veröffentlicht. Version 3.0.5 behebt laut Änderungsliste ein paar nicht näher ausgeführte, kleinere Sicherheitslücken. Details, wie schwer die behobenen Lücken sind, oder wie sie ausgenützt werden können, liegen bisher noch keine vor. Wir raten allen VLC-Anwendern dazu das Update zügig zu installieren.

Download: VLC Media Player 3.0.5 für Windows (32Bit)

Download: VLC Media Player 3.0.5 für Windows (64Bit)

Quelle: 'VLC Media Player 3.0.5 Release Notes' auf Videolan.org (Englisch)

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C