Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 117.0.5938.132 behebt 10 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der drei genauer beleuchteten Lücken als "hoch" ein, über die anderen 7 Lücken hüllt die Firma Schweigen.
Der Extended Stable Zweig von Chromium wurde auf Version 116.0.5845.228 aktualisiert. Wie üblich gibt Google hier aber keinerlei Informationen zu Umfang und Bedrohungsgrad eventuell behobener Sicherheitslücken preis. Aus dem Blogpost von Vivaldi lässt sich aber entnehmen, das zumindest die eine bereits ausgenützte Lücke auch im 116er Zweig vorhanden war und behoben wurde.
Es wurden bereits Angriffe auf eine der Schwachstellen beobachtet, daher sollte das Update so rasch wie irgend möglich installiert werden.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Zehn Sicherheitslücken in Chrome geschlossen, eine wird bereits ausgenutzt' auf Heise Online
Vivaldi:Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version (116.0.5845.230) heute in Form von Vivaldi 6.2 Update 5 veröffentlicht.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (5) for Vivaldi Desktop Browser 6.2' auf Vivaldi.com (Englisch)
Microsoft Edge:Bei Microsoft Edge lässt sich aktuell leider nicht sagen, ob Microsoft die aktuellen Lücken schon behoben hat. Es gibt zwar eine Version die neuer ist, als die, die im letzten Release Note erwähnt wurde, aber ob damit die aktuellen Lücken behoben wurden kann man daraus nicht mit Sicherheit ableiten. Wer auf Nummer sicher gehen will, sollte also vorübergehend auf Vivaldi ausweichen.
Die Entwickler von Thunderbird haben die Version 115.3.1 des beliebten E-Mail-Programmes veröffentlicht. Darin wurde eine Sicherheitslücke mit Gefahren-Einstufung "kritisch" behoben.
Am Fehlen einer aktualisierten 102er Version erkennt man, dass deren Support nun ausgelaufen ist. Wer immer noch eine 102er Version von Thunderbird nutzt, sollte nun auf die aktuelle 115er Version updaten. Dazu hat Mozilla nun auch das automatische Update freigegeben, sodass die Upgrades von der 102er auf die 115er Serie automatisch über die Bühne gehen sollten. Leider funktioniert aber das automatisch Update von Erweiterungen immer noch nicht, sodass man nach dem Upgrade wieder zahlreiche Erweiterungen manuell auf den aktuellen Stand bringen muss, damit sie mit Thunderbird 115 kompatibel werden. Hier ist leider zu befürchten, dass das weniger erfahrene Anwender Probleme bereiten könnte. Wer keine Erweiterungen verwendet sollte aber ein relativ problemloses Upgrade erleben.
Allerdings ist die neue Benutzeroberfläche von Thunderbird in einigen Punkten ein klarer Rückschritt gegenüber der 102er Serie. So wandert die Tableiste nun unverständlicherweise zwischen die Werzeugleiste und das Nachrichtenfenster, sodass Wege nun unnötig lange ausfallen. Ein weiteres Problem ist, dass (zumindest auf Hi-DPI-Monitoren) der Zeilenabstand in der Nachrichtenliste viel zu klein ist. Profis können alle diese Probleme durch beherzte Eingriffe in die Datei "userChrome.css" beheben, aber für durchschnittliche Anwender gibt es wohl im Moment keine Möglichkeit die Benutzbarkeit der neuen Oberfläche zu verbessern.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 115.3.1 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Schadcode-Lücken in Firefox, Firefox ESR und Thunderbird geschlossen' auf Heise Online
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 118.0.1 veröffentlicht. Die neue Version behebt ebenfalls dieselbe Sicherheitslücke wie in den Chromium-Browsern (siehe Artikel oben) und in Thunderbird. Auch hier kann man also von einem kritischen Bedrohungsgrad ausgehen. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurde die Lücke ebenfalls geschlossen. Hier lautet die neue Versionsnummer 115.3.1.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Schadcode-Lücken in Firefox, Firefox ESR und Thunderbird geschlossen' auf Heise Online
Die von Google "geerbte" Sicherheitslücke im WebP-Decoder hat nun auch LibreOffice zu einem Sicherheitsupdate bewegt. Die 7.5er Serie hat daher das ungeplante Update auf Version 7.5.7 erhalten während der Fehler in der 7.6er Serie in Form von Version 7.6.2 behoben wurde. Beides sind "Notfall-Updates" die nicht ganz so ausführlich getestet wurden wie normale Releases.
Alle Anwender von LibreOffice sollten zügig auf eine dieser beiden neuen Versionen updaten, wobei sich für die allermeisten Anwender die Version 7.5.7 aufdrängt. Der 7.6er Versionszweig ist noch relativ neu und könnte potenziell Kinderkrankheiten enthalten.
Download: Aktuelle LibreOffice Versionen
Den Anfang machten die Browser, letzte Woche haben wir über Mp3tag berichtet, wo diese Lücke ebenfalls behoben wurde, und diese Woche ist LibreOffice dran. Der WebP-Decoder steckt nun mal in etlichen Programmen und aktuell hat vermutlich nur ein Bruchteil davon ein Update erhalten. Der verlinkte Heise Online Artikel gibt einen Überblick über potenziell betroffene Software, ohne den Anspruch erheben zu wollen auch nur annähernd "komplett" zu sein.
Da kann man nur hoffen, dass der VPx-Decoder (den Google mit den neuen Chromium-Updates und Mozilla mit den neuen Firefox- und Thunderbird-Versionen absichert) keine ähnlich hohe Verbreitung hat.
Quelle: 'Unzählige Anwendungen betroffen: Chaos bei WebP-Lücke' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Softwareentwicklung: Angreifer können über TeamCity-Lücke Sourcecode stehlen' auf Heise Online
Quelle: 'Jetzt patchen! Angreifer haben Netzwerkgeräte von Cisco im Visier' auf Heise Online
Wer Mp3tag auf seinem Computer installiert hat, sollte das Programm auf Version 3.22a oder neuer updaten. Darin wurde die Software-Komponente " libwebp" erneuert um der Sicherheitslücke zu Leibe zu rücken, die letzte Woche schon für Updates aller großen Browser-Hersteller gesorgt hatte.
Im Falle von Mp3tag wäre es vermutlich denkbar, dass eine Medien-Datei mit eingebettetem manipuliertem WebP-Bild zu einer Vireninfektion führen könnte. Die neue Version beugt dem vor.
Quelle: 'Mp3tag Release Notes' auf mp3tag.de
Download: Aktuelle Mp3tag Versionen
Für das Contentmanagement-System 'Drupal' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitslücke: Datenleaks auf Drupal-Websites möglich' auf Heise Online
Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- und QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'Qnap warnt vor Codeschmuggel durch Schwachstellen' auf Heise Online
Quelle: 'Qnap-Updates schließen hochriskante Lücke' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Tausende Juniper-Firewalls immer noch ohne Sicherheitsupdate' auf Heise Online
Quelle: 'Sicherheitsupdate: Authentifizierung von HPE OneView umgehbar' auf Heise Online
Quelle: 'Sicherheitsupdate: Passwort-Lücke bedroht Nagios XI' auf Heise Online
Quelle: 'MOVEit Transfer: Schwachstellen ermöglichen Angreifern Datenschmuggel' auf Heise Online
Quelle: 'Atlassian stopft Sicherheitslecks in Bitbucket, Confluence und Jira' auf Heise Online
Quelle: 'Gitlab warnt vor kritischer Sicherheitslücke' auf Heise Online
Quelle: 'Jetzt patchen! Angreifer attackieren Trend Micro Apex One & Co.' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 116.0.5845.188 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.
Die 116er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Es wurden bereits Angriffe auf die Schwachstelle beobachtet, daher sollte das Update so rasch wie irgend möglich installiert werden.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Attacken auf kritische Schadcode-Lücke in Chrome naheliegend' auf Heise Online
Vivaldi:Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version am Dienstag in Form von Vivaldi 6.2 Update 3 veröffentlicht.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (3) for Vivaldi Desktop Browser 6.2' auf Vivaldi.com (Englisch)
Microsoft Edge:Die Microsoft Edge Entwickler haben ihre abgesicherte Version ebenfalls am Dienstag veröffentlicht. Die Version 116.0.1938.81 von Edge enthält die aktuelle Chromium Version. Anwender, die Microsoft Edge nutzen, sollten ebenfalls zügig updaten, wenn das nicht bereits durch das automatische Update erledigt wurde.
Die Entwickler von Thunderbird haben die Versionen 102.15.1 bzw. 115.2.2 des beliebten E-Mail-Programmes veröffentlicht. In beiden Versionen wurde dieselbe Schwachstelle behoben, die Anfangs der Woche schon in den Chromium-basierten Browsern behoben wurde. Auch hier kann man also von einem kritischen Bedrohungsgrad ausgehen,
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 102.15.1 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 115.2.2 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Notfallpatch sichert Firefox und Thunderbird gegen Attacken ab' auf Heise Online
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 117.0.1 veröffentlicht. Die neue Version behebt ebenfalls dieselbe Sicherheitslücke wie in den Chromium-Browsern (siehe Artikel oben) und in Thunderbird. Auch hier kann man also von einem kritischen Bedrohungsgrad ausgehen. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurde die Lücke ebenfalls geschlossen. Hier lauten die neuen Versionsnummern 102.15.1 bzw. 115.2.1.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Notfallpatch sichert Firefox und Thunderbird gegen Attacken ab' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & AcrobatAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 23.006.20320 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe zwar nur eine Sicherheitslücke geschlossen, die ist aber besonders kritisch, weshalb Anwender sehr rasch updaten sollten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB23-34 (Englisch)
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es zwei Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB23-43 (Englisch)
In der Web-Conferencing-Software wurden zwei Sicherheitslücken mit der Einstufung "wichtig" behoben. Wer die Software nutzt, sollte diese zügig auf Version 12.4.1 aktualisieren. Details dazu gibt es im Sicherheitsbulletin von Adobe.
Quelle: Adobe Connect Security Bulletin APSB23-33 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday: Angreifer attackieren unter anderem Microsoft Word' auf Heise Online
Wer anstelle des Adobe Reader bzw. Acrobat auf PDF Reader bzw. PDF Editor aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 2023.2 behebt mehrere Sicherheitslücken von denen wir ein paar durchaus als "kritisch" einstufen würden.
Wer den kostenlosen "PDF Reader" oder bereits eine 13er Version von "PDF Editor" verwendet sollte unbedingt zügig auf die aktuelle Version updaten. Wer noch Version 12 des Editors oder Foxit PhantomPDF (der alte Name von Foxit PDF Editor) einsetzt, sollte ein Upgrade auf die aktuelle Version von Foxit PDF Editor erwerben und installieren.
Quelle: 'Sicherheitsupdates: Schadcode-Schlupflöcher in Foxit PDF geschlossen' auf Heise Online
Letzte Woche hatten wir noch berichtet, dass der Programmierer von Notepad++ sich weigerte Sicherheitslücken in dem Editor zu beheben. Der Druck der Öffentlichkeit dürfte nun aber doch zu groß geworden sein und der Hersteller hat doch eine abgesicherte Version veröffentlicht. Wer Notepad++ einsetzt, sollte also unbedingt auf Version 8.5.7 updaten.
Auch wenn der Programmierer spät aber doch eine abgesicherte Version veröffentlicht hat, wirft die zögerliche Behebung von Sicherheitslücken kein gutes Licht auf den Herausgeber der Software. Das sollte man bei der Auswahl seinen bevorzugten Text-Editors bedenken.
Quelle: 'Sicherheitslücken: Notepad++ gegen Schadcode-Attacken abgesichert' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Patchday: SAP schließt kritische Datenleak-Lücke in BusinessObjects' auf Heise Online
Quelle: 'Management-Controller Lenovo XCC: Angreifer können Passwörter manipulieren' auf Heise Online
Quelle: 'Jetzt patchen! Sicherheitslösungen von Fortinet als Sicherheitsrisiko' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 116.0.5845.180 behebt vier Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Die 116er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten. Das dürfte in der Zukunft generell noch viel häufiger als ohnehin schon notwendig werden, denn Google liefert seit kurzem nicht mehr alle zwei Wochen, sondern wöchentlich Sicherheitsupdates!
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Hochriskante Schwachstellen in Google Chrome geschlossen' auf Heise Online
Vivaldi:Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgescherte Chromium Version am Mittwoch in Form von Vivaldi 6.2 Update 2 veröffentlicht. Abgesehen von den Sicherheitslücken wurden hier auch noch weitere Fehler behoben. Vivaldi-Anwender sollten zügig auf die neue Version updaten.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (2) for Vivaldi Desktop Browser 6.2' auf Vivaldi.com (Englisch)
Microsoft Edge:Die Microsoft Edge Entwickler haben etwas länger gebraucht, aber seit Donnerstag ist auch Edge abgesichert. Die Version 116.0.1938.76 von Edge enthält die aktuelle Chromium Version. Anwender, die Microsoft Edge nutzen, sollten ebenfalls zügig updaten, wenn das nicht bereits durch das automatische Update erledigt wurde.
Wer eine Fritzbox als Heim-Router nutzt, sollte dringend Updates installieren bzw. überprüfen, ob diese eventuell schon durch das automatische Update installiert wurden. AVM hat für mehrere Router die Firmware-Versionen 7.57 bzw. 7.31 (für ältere Router) veröffentlicht. Darin wurde eine bisher nicht näher erläuterte Sicherheitslücke geschlossen.
AVM selbst gibt aktuell sehr wenige Informationen zu der Lücke preis. Heise Online schreibt, dass es laut Internet-Foren sehr wahrscheinlich ist, dass diese Lücke bereits aktiv ausgenützt wird. Besitzer bzw. Administratoren einer Fritzbox sollten daher möglichst rasch handeln.
Quelle: 'AVM: Fritzbox-Firmware 7.57 und 7.31 stopfen Sicherheitsleck' auf Heise Online
Auch Besitzer eines Routers von Asus sollten ihr Gerät prüfen. Hier geht es konkret um die drei Modelle: RT-AC86U, RT-AX55 und RT-AX56U_V2. Das Computer Emergency Response Team (CERT) aus Taiwan stuft die jeweils drei Sicherheitslücken als "kritisch" ein. Besitzer dieser Router sollten die verfügbaren Firmware-Updates daher schnellstmöglich installieren.
Quelle: 'Sicherheitsupdates: Angreifer können Kontrolle über Asus-Router erlangen' auf Heise Online
Um das Trio abzuschließen, hat auch TP-Link Sicherheitsupdates für 16 Router veröffentlicht. Hier sind die folgenden Modelle betroffen:
Archer A10, Archer AX10, Archer AX50, Archer AX11000, Archer AX6000, Archer C7, Archer C9, Archer C20, Archer C50, Archer C55, Archer C1200, Archer C3150, Deco M4, TL-WR802N, TL-WR841N, TL-WR902AC und TL-WR940N. Besitzer dieser Router sollten zügig auf die neueste Firmware-Version updaten.
Auch im Archer C5 wurden die Lücken bestätigt, da das Gerät aber keinen Support mehr hat, gibt es auch keine Sicherheitsupdates mehr dafür. Dieses Gerät sollte also leider entsorgt und gegen einen Router mit möglichst langer Support-Dauer ersetzt werden. Bastler können Archer C5 der ersten Generation auch mit DD-WRT als Firmware ausstatten und so das Lebensende des Routers nochmal deutlich verlängern.
Quelle: 'Sicherheitsupdates: Unbefugte Zugriffe auf TP-Link-Router möglich' auf Heise Online
Intel hat ein fehlerhaftes BIOS an seine Mainboard-Partner gesendet, welches Computer mit Prozessoren aus der Baureihe Core i-13000 abstürzen lässt. MSI, als einer der Hersteller der die betroffenen BIOSe als erste ausgeliefert hat, dürfte wohl am meisten betroffen sein, aber grundsätzlich kann es jeden Hersteller treffen.
Wer erst kürzlich das BIOS seinen Intel basierten Rechners aktualisiert hat, sollte sicherheitshalber nochmals nachsehen, ob das BIOS womöglich zurückgezogen oder bereits durch eine neuere Version ersetzt wurde.
Quelle: 'Core i-13000: Fehlerhafte BIOS-Versionen verursachen Bluescreens' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt aktualisieren! Proof-of-Concept für kritische VMware-Aria-Lücke' auf Heise Online
Quelle: 'Microsoft: Verbesserter Schutz vor MitM-Attacken in Exchange' auf Heise Online
Quelle: 'Cisco warnt vor teils kritischen Lücken und liefert Updates für mehrere Produkte' auf Heise Online
Quelle: 'Aruba-Controller und -Gateways mit hochriskanten Sicherheitslücken' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 116.0.5845.141 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Die 116er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten. Das dürfte in der Zukunft generell noch viel häufiger als ohnehin schon notwendig werden, denn Google liefert seit kurzem nicht mehr alle zwei Wochen, sondern wöchentlich Sicherheitsupdates!
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Google-Chrome-Update stopft hochriskante Sicherheitslücke' auf Heise Online
Vivaldi:Die Vivaldi-Entwickler haben die 6.2er Version, mit aktuellen (sicheren) Chromium 116-Unterbau am Mittwoch vorgestellt. Die Entwickler stellen diesmal vor allem die verbesserte Performance beim Öffnen neuer Fenster in den Vordergrund. Ebenfalls interessant ist aber die Möglichkeit, nun selbst zu bestimmen welche Quellen und in welcher Reihenfolge für Vorschläge in der Adresszeile genutzt werden. Vivaldi-Anwender sollten möglichst zügig auf die neue Version updaten.
Download: Aktuelle Vivaldi Version
Info: 'Massives Code-Refactoring bringt Geschwindigkeit in den Vivaldi Browser' auf Vivaldi.com
Microsoft Edge:Auch die Microsoft Edge Entwickler haben das neueste Chromium-Sicherheitsupdate nun übernommen. Die Version 116.0.1938.69 von Edge enthält die aktuelle Chromium Version. Anwender, die Microsoft Edge nutzen, sollten ebenfalls zügig updaten, wenn das nicht bereits durch das automatische Update erledigt wurde.
Die Entwickler von Thunderbird haben die Versionen 102.15 bzw. 115.2 des beliebten E-Mail-Programmes veröffentlicht. Darin werden 5 bzw. 14 Sicherheitslücken behoben die in Summe zu einer Bedrohung der Einstufung "hoch" führen.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 102.15 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 115.2 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 117 veröffentlicht. Die neue Version behebt 13 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lauten die neuen Versionsnummern 102.15 bzw. 115.2.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Webbrowser: Neue Firefox-Releases schließen mehrere Sicherheitslücken' auf Heise Online
Für das Contentmanagement-System 'Drupal' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitsupdates: Drupal-Plug-ins mit Schadcode-Lücken' auf Heise Online
Wer noch eine 7-Zip Version mit Jahreszahl 2022 oder noch älter verwendet, sollte zügig auf Version 23.01 updaten. Bereits mit 23.00 wurden zwei Sicherheitslücken behoben, wie erst jetzt bekannt gemacht wurde. Beide Sicherheitslücken wurden als "hohes" Risiko eingestuft, Anwender von 7-Zip sollten daher nicht lange warten mit dem Update. Zum Updaten einfach die neueste Version runterladen und installieren, eine bereits vorhandene ältere Version wird dabei einfach überschrieben.
Quelle: 'Jetzt updaten! Hochriskante Sicherheitslücken in 7-Zip ermöglichen Codeschmuggel' auf Heise Online
Download: 7-Zip 23.01 für 64Bit Windows
Download: 7-Zip 23.01 für 32Bit Windows
Im bekannten Text-Editor Notepad++ schlummern mehrere Sicherheitslücken. Die Entdecker der Lücken haben den Entwickler bereits vor Monaten kontaktiert, dieser ignoriert die Hinweise auf die Lücken aber bisher. Von der Verwendung einer Software, dessen Entwickler auch nach Monaten noch Hinweise auf Sicherheitslücken ignoriert, obwohl die "Lösungen" zu den Lücken ebenfalls mitgeliefert wurden, muss man leider abraten. Wer partout nicht auf Notepad++ verzichten möchte, sollte sich der Risiken zumindest im Klaren sein.
Quelle: 'Entwickler von Notepad++ ignoriert offensichtlich Sicherheitslücken' auf Heise Online
In einem aktuellen Bericht von Heise Online werden Sicherheitslücken in den folgenden Acronis Anwendungen erwähnt: Acronis Agent, Acronis Cyber Protect, Acronis Cloud Manager und Acronis Cyber Protect Home Office.
Wer eines dieser Software-Pakete einsetzt, sollte zügig auf die jeweils neueste Version updaten.
Quelle: 'Acronis: Updates dichten Sicherheitslecks in mehreren Produkten ab' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Attacken auf Juniper-Firewalls beobachtet' auf Heise Online
Quelle: 'Zoho ManageEngine: Schwachstelle erlaubt Umgehen von Mehrfaktorauthentifizierung' auf Heise Online
Quelle: 'Kritische Sicherheitslücke in VMware Aria Operations for Networks' auf Heise Online
Quelle: 'Sicherheitsupdates: Schadcode-Attacken auf Aruba-Switches möglich' auf Heise Online
Quelle: 'VMware Tools: Schwachstelle ermöglicht Angreifern unbefugte Aktionen in Gästen' auf Heise Online
Quelle: 'Big Data: Splunk dichtet hochriskante Lücken ab' auf Heise Online
Quelle: 'Kritische Lücke in VPN von Securepoint' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 116.0.5845.111 behebt 5 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Die 116er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten. Das dürfte in der Zukunft generell noch viel häufiger als ohnehin schon notwendig werden, denn Google will ab sofort nicht mehr alle 2 Wochen Updates liefern, sondern wöchentlich!
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Update für Google Chrome dichtet hochriskante Sicherheitslücken ab' auf Heise Online
Vivaldi:Wie bei Versions-Zweig-Wechseln üblich hat Vivaldi noch keine neue Version bereit. Da keine der neu bekanntgewordenen Sicherheitslücken aktiv ausgenützt werden dürfte, ist das noch kein Problem. Die Vivaldi-Entwickler arbeiten mit Hochdruck an der neuen Version, die wir in der nächsten Woche erwarten würden.
Microsoft Edge:Auch die Microsoft Edge Entwickler haben die neuesten Chromium-Sicherheitsupdates noch nicht übernommen. Auch hier sollte es nächste Woche so weit sein. Genau wie für Vivaldi-Anwender gilt auch hier, dass man sich aktuell noch keine Sorgen machen sollte deshalb.
Die Hersteller von WinRAR haben kürzlich Sicherheitsupdates für WinRAR sowie die Bibliotheken unrar.dll und unrar64.dll veröffentlicht. Darin wurden gleich mehrere, teils kritische Sicherheitslücken behoben. Wer WinRAR installiert hat, sollte unbedingt auf Version 6.23 oder neuer updaten.
Bis die aktualisierten DLL’s in allen Programmen, die diese nutzen, aktualisiert wurden, kann es aber schlimmstenfalls Jahre dauern, wenn denn der Hersteller überhaupt jemals ein Update liefert. Gut supportete Software wurde aber womöglich ebenfalls bereits aktualisiert, wie z.B. ein bekannter Datei-Manager beweist. Das Problem ist halt, dass kaum ein Anwender wissen dürfte, welche Software aller die UnRAR-DLLs verwenden. Laut Sicherheitsforschern sind das mindestens 400 Anwendungen. Jede Software die RAR-Dateien verarbeiten kann, sollte daher auf verwundbare Versionen der Unrar-DLLs untersucht werden.
Der Programmierer des beliebten Pack-Programmes 7-Zip hat unterdessen schon klargestellt, das 7-Zip nicht für die WinRAR-Sicherheitslücken anfällig ist.
Quelle: 'WinRAR-Lücke weitreichender als gedacht' auf Heise Online
Die als "Windows-Update-Vorschauen" gekennzeichneten Windows-Updates sind mehr oder weniger Beta-Updates. Wer ein solches installiert ist daher Nebenwirkungen eher ausgesetzt als die Anwender, die nur die automatisch installierten Updates verwenden.
Die Update-Vorschau für September macht dem Beta-Status alle Ehre, und führt auf zahlreichen Computern zu Start-Problemen. Glücklicherweise "erfangen" sich die Systeme wieder, indem nach mehreren erfolglosen Starts das problematische Update wieder deinstalliert wird, dennoch kann das für den Anwender sehr ärgerlich sein.
Microsoft untersucht die Probleme noch, ein eindeutiger Auslöser scheint aber noch nicht gefunden zu sein. Der Hersteller hat nun drei Wochen Zeit die Probleme zu finden und zu beheben, bevor die September-Updates an die breite Masse ausgeliefert werden.
Quelle: 'Windows-Update-Vorschau: Möglicher Boot-Abbruch wegen nicht unterstützter CPU' auf Heise Online
Sicherheitsforscher demonstrieren anhand einer unsicheren "smarten" Lampe von TP-Link, welche Gefahren bei der Verwendung von IoT-Geräten lauern. Im konkreten Fall können Angreifer über Sicherheitslücken in der WLAN-Implementierung der Lampe sowie der zugehörigen Steuerungs-App ansetzen, um Zugang zum Heimnetz zu erhalten. Ist ein Angreifer einmal ins private Netzwerk vorgedrungen, kann er dort nach weiteren Lücken suchen, um dann richtigen Schaden anzurichten.
TP-Link arbeitet an einem Sicherheitsupdate. Der Fall soll aber eher als allgemeine Warnung vor IoT-Geräten, also vernetzten Haushaltsgeräten warnen. Jedes Gerät, dass irgendwie vernetzt ist, sei es durch Bluetooth, WLAN oder Kabel, ist sicherheitstechnisch als Computer zu betrachten, der Updates benötigen kann. Der Einsatz von "smarten" Geräten im Haushalt sollte also immer gut bedacht sein und wenn es unbedingt "smart" sein soll, greift man besser zu Marken-Produkten wo Sicherheitsupdates eher vorstellbar sind, als bei NoName-Geräten vom Discounter.
Quelle: 'Sicherheitslücken: Smarte Glühbirne von TP-Link als Einfallstor ins WLAN' auf Heise Online
Der Hersteller Asustor hat 5 Sicherheitslücken in seinem NAS-Betriebssystem "Asustor Data Master" gefunden und behoben. Die Lücken werden als hochriskant eingestuft, weshalb alle Besitzer bzw. Administratoren dieser Geräte zügig auf Version 4.2.3 RK91 (oder neuer) updaten sollten.
Quelle: 'Asustor: Schwachstellen im NAS-Betriebssystem ermöglichen Übernahme' auf Heise Online
Nach all den Sicherheitslücken zum Abschluss auch noch eine erfreuliche Nachricht. Die LibreOffice-Entwickler haben Version 7.6 der freien Büro-Suite veröffentlicht. Die neue Version bringt dabei ein paar spannende Neuerungen mit sich. So lassen sich Tabellen nun nach Farben sortieren, ein neuer Assistent erleichtert das Einfügen von z.B. Seitenzahlen in die Fußzeile, Tabellen in Writer laufen nun schöner über mehrere Seiten hinweg, Links in Tabellen-Dokumenten werden hübscher angezeigt und vieles mehr.
Wie üblich raten wir konservativen Anwendern und Firmen aber vor einem verfrühten Update ab. So sehr die manche Neuerungen auch Lust machen würden sie auszuprobieren, es schadet nicht noch 2 bis 3 Monate zu warten. Üblicherweise werden in den ersten Monaten einer neuen Version noch dutzende Bugs gefunden. Daher werden wir auch später nochmal auf Version 7.6 zurückkommen, wenn diese ausgereifter ist.
Übrigens ist das die letzte Version mit einer 7 am Anfang. Die nächste LibreOffice-Hauptversion wird mit 24 beginnen. Das bedeutet nicht, dass LibreOffice einfach mal eben so 17 Versionen überspringt, stattdessen wird in Zukunft das Datum verwendet. Und da diese Version erst nächstes Jahr erscheinen wird, wird es eben eine Version 24 werden.
Quelle: 'LibreOffice 7.6: Freie Office-Suite ein letztes Mal mit altem Versionsschema' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Angreifer können Sicherheitslücken in Junos OS zu kritischer Gefahr eskalieren' auf Heise Online
Quelle: 'Kritische Sicherheitslücke in Ivanti Sentry wird bereits missbraucht' auf Heise Online
Quelle: 'CISA warnt vor Angriffen auf Veeam-Backup-Sicherheitslücke' auf Heise Online
Quelle: 'Schwachstellen im Web-Interface machen Aruba Orchestrator angreifbar' auf Heise Online
Quelle: 'Sicherheitslücken: Patches schützen Firewalls und Switches von Cisco' auf Heise Online
Quelle: 'Sicherheitsupdates: IBM Security Guardium auf mehreren Wegen angreifbar' auf Heise Online
Quelle: 'Jetzt patchen! Angreifer platzieren Backdoors auf Openfire-Servern' auf Heise Online
Quelle: 'FBI-Warnung: Barracuda ESG-Updates unwirksam, Appliances sofort entfernen' auf Heise Online
Microsoft hatte letzte Woche ein fehlerhaftes Sicherheitsupdate für Exchange-Server veröffentlicht, das viele Administratoren weltweit zu Überstunden verdonnert hatte. Sei es um kaputte Exchange-Server wieder in Gang zu setzen bzw. um das kaputte Update mithilfe eines Workarounds doch noch zu installieren, um die Server abzusichern. Diese Woche nun hat Microsoft eine reparierte Fassung des Updates veröffentlicht, doch "alles gut" wird damit nicht wirklich:
Wer sich den Blog-Eintrag zum neuen Update ansieht bemerkt, dass das erste August-Sicherheitsupdate in den meisten Fällen wieder deinstalliert werden muss. Damit das aber möglich ist, muss das neue Update ebenfalls deinstalliert werden. Das heißt Admins müssen zwei Exchange-Sicherheitsupdates deinstallieren, einen zuvor angelegten AD-Benutzer löschen und dann das letzte Update erneut installieren. Das heißt mehrere Stunden Arbeit und mehrere Neustarts verbunden mit langer Nicht-Erreichbarkeit des E-Mail-Servers. Da kann man nur sagen – Danke Microsoft.
Quelle: 'Re-release of August 2023 Exchange Server Security Update packages' auf Microsoft.com (Englisch)
Wer eine USB-SSDs von Sandisk, bzw. der Mutterfirma Western Digital besetzt, die seit Ende 2022 vom Band gelaufen ist sollte sich unbedingt den verlinkten Heise Online Artikel ansehen. Kurz gesagt, es droht Datenverlust!
Quelle: 'USB-SSDs von Sandisk: Ausfälle häufen sich' auf Heise Online
Wer ein Auto von Ford mit dem Infotainmentsystem "SYNC 3" besitzt, sollte den Versionsstand der Software prüfen. Eine Website von Ford zeigt wie man die Software-Versionsstände abrufen kann.
Verwendet das System den WLAN-Treiber "WILINK8-WIFI-MCP8" in Version "8.5 SP3" (oder älter), können Angreifer Schadsoftware in das Infotainment-System einschleusen. Ein Sicherheitsupdate gibt es bisher dafür nicht, Ford schreibt in einem Sicherheitsbericht, das betroffene Auto-Besitzer die WLAN-Funktion abschalten sollten bis ein Update verfügbar ist.
Quelle: 'Schadcode-Attacken via WLAN auf einige Automodelle von Ford möglich' auf Heise Online
Quelle: 'Anleitung zur Prüfung der Software-Versionen' auf Ford.com (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Schwerwiegende Sicherheitslücken bedrohen hierzulande kritische Infrastrukturen' auf Heise Online
Quelle: 'Vielfältige Attacken auf Ivanti Enterprise Mobility Management möglich' auf Heise Online
Quelle: 'Sicherheitslücken: Angreifer können Hintertüren in Datenzentren platzieren' auf Heise Online
Quelle: 'Lücken in Kennzeichenerkennungssoftware gefährden Axis-Überwachungskamera' auf Heise Online
Quelle: 'Jetzt patchen! Citrix ShareFile im Visier von Angreifern' auf Heise Online
Quelle: 'Sicherheitsupdates: Root-Lücken bedrohen Cisco-Produkte' auf Heise Online
Quelle: 'Sicherheitslösung: IBM Security Guardium als Einfallstor für Angreifer' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & AcrobatAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 23.003.20269 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB23-30 (Englisch)
In Adobes 3D-Programm 'Dimension' wurden zwei "kritische" und eine "moderate" Schwachstelle behoben. Anwender des Programms sollten so rasch wie nur möglich auf Version 3.4.10 updaten.
Quelle: 'Adobe Security Bulletin APSB23-44' auf Adobe.com (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurden drei Sicherheitslücken behoben, darunter auch eine mit Einstufung "kritisch". Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB23-42 (Englisch)
Anwendungen, die mithilfe des "Adobe XMP Toolkit SDK" erstellt wurden, sollten unbedingt auf das neueste SDK aktualisiert und neu kompiliert/veröffentlicht werden. Programmierer sollten nur mehr das SDK 2023.07 (oder neuer) verwenden.
Info: Adobe Security Bulletin APSB23-45 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday: Angreifer umgehen Schutzmechanismus von Windows' auf Heise Online
HP hat im August wieder Sicherheitsupdates für Drucker der eigenen Marke sowie für die zugekaufte Samsung-Drucker-Sparte veröffentlicht. Bei den HP Druckern sind "nur" Drucker der Reihe "LaserJet" betroffen, bei den Samsung Druckern müssen wir (aufgrund der Menge betroffener Geräte) auf das HP Security Bulletin verweisen. Geschlossen wird in all diesen Druckern jeweils eine Sicherheitslücke, diese wird aber mit einem CVS-Wert von 8.2 recht hoch eingestuft, ist also relativ gefährlich. Besitzer bzw. Admins dieser Drucker sollten daher zügig die bereitgestellten Updates installieren.
Quelle: 'Sicherheitsupdates: Angreifer können Drucker von HP und Samsung attackieren' auf Heise Online
Quelle: 'HP Sicherheitsbulletin mit Liste betroffener Drucker' auf hp.com (Englisch)
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.15.2 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Videomeeting-Anwendungen: Zoom rüstet Produkte gegen mögliche Attacken' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'MS: Update legt deutsche Exchange-Server lahm, Workaround inzwischen verfügbar' auf Heise Online
Quelle: 'Druck-Management-Lösung: Sicherheitslücken gefährden Papercut-Server' auf Heise Online
Quelle: 'Patchday: Angreifer können Zugangsbeschränkungen von SAP PowerDesigner umgehen' auf Heise Online
Quelle: 'Sicherheitsupdates für Nextcloud: Angreifer können Daten löschen' auf Heise Online
Quelle: 'Statischer Schlüssel in Dell Compellent leakt Zugangsdaten für VMware vCenter' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 115.0.5790.171 behebt 17 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Im 114er Versionszweig wurde ebenfalls ein Update veröffentlicht. Leider gibt Google das (wie letzte Woche schon vermerkt) gar nicht mehr bekannt. Da Vivaldi üblicherweise eine neuere Chromium-Version verwendet und Microsoft Edge noch nicht aktualisiert hat, können wir weder Versionsnummer noch Gefahreneinstufung nennen.
Anwender von Google Chrome sollten zügig auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die flinken Vivaldi-Mitarbeiter haben Version 6.1 Update 6 ein paar Stunden nach Google veröffentlicht. Es basiert auf Chromium 114.0.5735.321, das heißt es dürfte sicherheitstechnisch aktuell sein. Mehr kann man aufgrund Googles fragwürdiger Informationspolitik leider nicht sagen.
Quelle: 'Minor update (6) for Vivaldi Desktop Browser 6.1' auf Vivaldi.com (Englisch)
Microsoft Edge:Microsoft könnte die Lücken in der neuesten Edge Version eventuell bereits abgesichert haben, mit Sicherheit können wir dies aber nicht sagen, weil noch keine Release Notes vorliegen. Anwender von Microsoft Edge sollten trotzdem zügig auf die neue Version updaten.
Die Entwickler von Thunderbird haben die Versionen 102.14 bzw. 115.1 des beliebten E-Mail-Programmes veröffentlicht. Darin werden 9 bzw. 11 Sicherheitslücken behoben die in Summe zu einer Bedrohung der Einstufung "hoch" führen.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 102.14 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 115.1 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Quelle: 'Firefox, Thunderbird und Tor Browser bekommen Sicherheitsupdates' auf Heise Online
Mozilla hat Firefox 116 veröffentlicht. Die neue Version behebt 14 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 102.14.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Firefox, Thunderbird und Tor Browser bekommen Sicherheitsupdates' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitsupdate: WordPress-Websites mit Plug-in Ninja Forms attackierbar' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Ivanti schließt erneut Zero-Day-Lücke in EPMM' auf Heise Online
Quelle: 'Upgrade nötig: Kritische Lücke bedroht ältere MobileIron-Ausgaben von Ivanti' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer können Aruba-Switches kompromittieren' auf Heise Online
Quelle: 'Microsoft-Cloud: Weitere kritische Lücke – scharfe Kritik an Microsoft' auf Heise Online
Quelle: 'Sicherheitsupdates F5 BIG-IP: Angreifer können Passwörter erraten' auf Heise Online
Letzte Woche hatten wir noch geschrieben, dass in der 114er Serie von Chromium und darauf aufbauenden Browsern keine Sicherheitsupdates nötig sind. Das war leider nicht richtig, aber wieder einmal Zeugnis dafür, wie nachlässig Google’s Informationspolitik betreffend dem "Longterm Stable"-Zweig von Chromium ist. Schon bisher hatten wir oft bemängelt, dass Google zwar Sicherheitsupdates für den LTS-Zweig erwähnt hat, aber keine Details dazu. Für Chromium/Chrome 114.0.5735.243 hat sich Google jetzt überhaupt jegliche Information gespart, sodass Anwender besagter Browser nicht einmal wissen konnten, das ein Update verfügbar ist und welche Lücken es behebt.
Erst ein Vivaldi-Sicherheitsupdate am vergangenen Wochenende hat uns darauf aufmerksam gemacht, dass es doch ein Update für die 114er Serie gibt. Und aus dem Blog von Microsoft ght wenigstens hervor, dass darin wohl 2 Sicherheitslücken behoben wurden. Eine Sicherheitsrisiko-Einschätzung findet sich aber auch dort nicht.
Anwender der LTS-Version von Google Chrome sollten sicherstellen, dass der Browser bereits auf Version 114.0.5735.243 aktualisiert wurde oder dies zügig nachholen.
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi-Entwickler haben das aktuelle Chromium-Sicherheitsupdate auf Version 114.0.5735.245 am Samstag vergangener Woche veröffentlicht. Vivaldi 6.1 Update 5 behebt außerdem noch zwei funktionale Bugs. Anwender von Vivaldi sollten sicherstellen, dass bereits Version 6.1 Update 5 (6.1.3035.204) installiert ist oder dies zügig nachholen.
Quelle: 'Minor update (5) for Vivaldi Desktop Browser 6.1' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch die Entwickler von Microsoft Edge haben letzte Woche bereits das Update für den 114er Edge veröffentlicht. Anwender von Edge sollten sicherstellen, dass sie entweder Version 114.0.1823.90 oder 115.0.1901.183 im Einsatz haben oder zügig updaten.
Quelle: 'Edge Release Notes' auf Microsoft.com (Englisch)
Vierzehn Monate nach Vorstellung von Version 1.2 macht Inkscape den nächsten größeren Sprung auf Version 1.3. Das beliebte Vektorgrafik-Programm verbessert dabei die Leistung durch mehr Parallelisierung, erleichtert das Erstellen komplexer Formen und schafft mehr Übersicht. Weiter wollen wir an der Stelle nicht auf die Neuerungen eingehen, weil wir allen Inkscape Anwendern (oder solchen die es immer schon werden wollten) die entsprechende Release-Seite auf der Inkscape Homepage ans Herz legen. Dort wird mit zahlreichen Animationen erklärt, wo überall Verbesserungen umgesetzt wurden.
Quelle: 'Inkscape 1.3 macht die Arbeit mit Vektoren effizienter' auf inkscape.org
Quelle: 'Freier Vektorzeichner Inkscape 1.3: Werkzeuge für Geometrie und Muster' auf Heise Online
Download: Inkscape v1.3.0 (Windows, 64Bit)
Download: Weitere Inkscape Downloads
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Zenbleed: Sicherheitslücke in allen Zen-2-CPUs von AMD' auf Heise Online
Quelle: 'Ivanti schließt Zero-Day-Lücke in MobileIron' auf Heise Online
Quelle: 'Jetzt patchen! Weltweit über 15.000 Citrix-Server angreifbar' auf Heise Online
Quelle: 'Jetzt patchen! Root-Sicherheitslücke gefährdet Mikrotik-Router' auf Heise Online
Quelle: 'Sicherheitsupdates: Sicherheitslücken bedrohen Hyperscale-Systeme von Lenovo' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer können Access Points von Aruba übernehmen' auf Heise Online
Quelle: 'Sicherheitsupdate: Angreifer können Sicherheitslösung Sophos UTM attackieren' auf Heise Online
Quelle: 'Jetzt patchen! Angreifer attackieren E-Mail-Lösung Zimbra' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 115.0.5790.99 (für Windows) behebt 20 Sicherheitslücken gegenüber der Vorversion. Mehreren der Lücken hat Google den Bedrohungsgrad "hoch" zugeteilt.
Im stabilen Entwicklungszweig der 114er-Serie gibt es keine Updates, weshalb anzunehmen ist, dass die 20 Lücken ausschließlich die 115er-Serie betroffen haben.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Google stopft 20 Sicherheitslecks in Chrome 115' auf Heise Online
Vivaldi:Da Vivaldi noch die 114er-Serie von Chromium nutzt, sind hier im Moment keine Sicherheitsupdates notwendig.
Microsoft Edge:Auch Microsoft Edge ist aktuell noch beim 114er-Entwicklungszweig von Chromium und erfordert daher diese Woche keine Sicherheitsupdates.
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 508 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 8 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.4 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 371 aktualisieren.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18 und 19 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.20, 17.0.8 oder 20.0.2 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
In dem PC-Emulator VirtualBox wurden 4 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lassen sich zudem zwei der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, sollte also unbedingt auf die neue Version 6.1.46 oder 7.0.10 updaten.
Download: Aktuelle VirtualBox 7.x Version auf VirtualBox.org
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - July 2023' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - July 2023' auf Oracle.com (Englisch)
Quelle: 'Patchday: Oracle liefert mehr als 500 Sicherheitsupdates für über 130 Produkte' auf Heise Online
Wer Adobe ColdFusion einsetzt, hat neuerdings viel zu tun. Letzte Woche hatten wir von regulären Sicherheitsupdates für ColdFusion berichtet, die mehrere extrem gefährliche, bereits aktiv ausgenützte Sicherheitslücken geschlossen haben. Diese Woche musste Adobe noch zweimal nachbessern, weil wieder hochgefährliche Lücken gefunden wurden.
Zumindest eine der Lücken wird offenbar auch wieder aktiv für Angriffe ausgenützt, für eine weitere Lücke ist zumindest Code im Umlauf der die Lücke demonstriert und vermutlich leicht genutzt werden könnte, um ebenfalls Angriffe zu starten.
Wer Adobe ColdFusion im Einsatz hat, sollte daher dringendst auf ColdFusion 2018 Update 19, ColdFusion 2021 Update 9 oder ColdFusion 2023 Update 3 updaten.
Quelle: 'Neue Notfall-Updates für Adobe Coldfusion' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Juniper dichtet teils kritische Sicherheitslücken ab' auf Heise Online
Quelle: 'Mehrere kritische Lücken in Sonicwalls GMS-Firewall-Management geschlossen' auf Heise Online
Quelle: 'Zyxel dichtet hochriskante Sicherheitslücken in Firewalls ab' auf Heise Online
Quelle: 'JavaScript-Sandbox vm2: Neue kritische Schwachstelle, kein Update mehr' auf Heise Online
Quelle: 'Citrix: Updates schließen kritische Zero-Day-Lücke in Netscaler ADC und Gateway' auf Heise Online
Quelle: 'VMware Tanzu Spring: Updates gegen teils kritische Sicherheitslücken' auf Heise Online
Quelle: 'OpenSSH 9.3p2 dichtet hochriskantes Sicherheitsleck ab' auf Heise Online
Mozilla hat Firefox 115.0.2 veröffentlicht. Die neue Version behebt eine Sicherheitslücke die als "hohes" Risiko eingestuft wurde. Außerdem behebt die neue Version ein paar Kinderkrankheiten der neuen 115er Ausgabe. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls eine Sicherheitslücke geschlossen. Hier lautet die neue Versionsnummer 115.0.2. innerhalb der 102er Ausgaben von Firefox ESR ist nach wie vor Version 102.13 aktuell und sicher.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Webbrowser: Firefox und Firefox ESR 115.0.2 schließen Sicherheitslücke' auf Heise Online
Der Tag der Updates im Juli geht bei Adobe unüblich ruhig zutage. Für gerade mal zwei Programme hat der Software-Konzern Sicherheitsupdates veröffentlicht. Speziell die Lücken in ColdFusion haben es aber in sich:
Nutzer von Adobe ColdFusion 2018, 2021 und 2023 sollten unbedingt rasch auf die neuen Versionen auf ColdFusion 2018 Update 17, ColdFusion 2021 Update 7 bzw. ColdFusion 2023 Update 1 aktualisieren, um Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2016 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.
Quelle: 'Adobe Security Bulletin APSB23-40' auf Adobe.com (Englisch)
Im Layout-Programm InDesign hat Adobe etliche Speicherfehler behoben, der schlimmste davon eignete sich zur Ausführung von Code und damit potenziell zur Infektion des Computers. Anwender sollten auch hier zügig aktualisieren. Es stehen die abgesicherten Versionen 17.4.2 (2022) oder 18.4 (2023) zur Verfügung.
Info: Adobe Security Bulletin APSB23-38 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Für die Sicherheitslücken CVE-2023-36884 hat Microsoft noch keine Updates parat. Gleichzeitig werden diese bereits aktiv zur Verbreitung von Viren missbraucht! Microsoft stellt in einem eigenen Blog-Eintrag mehrere Methoden vor, die gegen die Angriffe schützen sollen, aber auch Nebenwirkungen haben können. Das Anlegen der dort beschriebenen Registrierungs-Schlüssel (siehe Heise Online Artikel) dürfte eine gute Idee sein, um sich zu schützen. Wer das nicht umsetzen kann, sollte noch größere Vorsicht beim Öffnen fremder Dokumente in MS-Office walten lassen als ohnehin schon.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.15.0 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Webkonferenzen: Zoom schließt mehrere Sicherheitslücken' auf Heise Online
Die Entwickler von Thunderbird haben die Version 115 des beliebten E-Mail-Programms veröffentlicht. Diese Version dient vor allem der Einführung einer neuen Benutzeroberfläche Namens "Supernova". Laut Mozilla soll die neue Version "Schneller und hübscher" sein als je zuvor. Inwieweit das nachvollziehbar ist müssen wir vorerst schuldig bleiben, denn nur ein echter Test kann hier zeigen wie viel besser die neue Version tatsächlich ist, wenn überhaupt. Bisher hatten wir für so einen Test keine Zeit, daher können wir nur ein paar der Themen aus anderen Berichten wiedergeben.
Die Menüleiste soll sich nun je nach ausgewähltem Element dynamisch anpassen. Die Abstände zwischen Icons lassen sich in 3 Stufen verringern bzw. vergrößern je nach individueller Vorliebe. Ein globaler Posteingang ermöglicht jetzt eingegangene Mails zentral zu sehen ohne mehrere unterschiedliche Posteingänge abklappern zu müssen. Das Design des Kalenders soll abermals überarbeitet worden sein und das Adressbuch hat ein paar neue Funktionen spendiert bekommen.
Zumindest werden nirgendwo Probleme mit Erweiterungen genannt. Das Fiasko vom letzten Hauptversionswechsel, als etliche Erweiterungen nicht mehr funktioniert hatten, dürfte also dieses Mal kein Thema sein. Wer bisher Version 102 von Thunderbird einsetzt, bekommt die neue Version aber ohnehin noch nicht automatisch aufs Auge gedrückt. Dafür besteht auch keine Notwendigkeit, da Thunderbird 102 noch ein paar Monate mit Sicherheitsupdates versorgt wird. Wer sich die neue Version unbedingt jetzt schon ansehen möchte, sollte sein aktuelles Thunderbird-Benutzerprofil aber sichern, um bei Nichtgefallen vorerst noch auf die alte Version zurückwechseln zu können.
Quelle: 'Thunderbird 115: Jetzt ist die neue Oberfläche da' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Teils kritische Sicherheitslücken in Citrix' Secure Access Clients' auf Heise Online
Quelle: 'Codeschmuggel möglich: Hochriskante Sicherheitslücken in ArubaOS-Firmware' auf Heise Online
Quelle: 'Cisco schließt kritische Lücke in SD-WAN vManage' auf Heise Online
Quelle: 'Groupware Zimbra: Zero-Day-Lücke macht manuelles Patchen nötig' auf Heise Online
Quelle: 'Update gegen kritische Lücke in FortiOS/FortiProxy' auf Heise Online
Die Entwickler von Thunderbird haben die Version 102.13 des beliebten E-Mail-Programmes veröffentlicht. Darin werden fünf Sicherheitslücken behoben die in Summe zu einer Bedrohung der Einstufung "hoch" führen.
Alle Thunderbird Anwender sollten auf die neue Version updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 102.13 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Quelle: 'Firefox 115 und Thunderbird 102.13 dichten Sicherheitslecks ab' auf Heise Online
Mozilla hat Firefox 115 veröffentlicht. Die neue Version behebt 13 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 102.13.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Quelle: 'Firefox 115 und Thunderbird 102.13 dichten Sicherheitslecks ab' auf Heise Online
HP meldet Sicherheitslücken in den folgenden Drucker-Serien:
HP Color LaserJet MFP M478-M479 series, HP Color LaserJet Pro M453-M454 series, HP LaserJet Pro M304-M305 Printer series, HP LaserJet Pro M404-M405 Printer series, HP LaserJet Pro MFP M428-M429 f series und HP LaserJet Pro MFP M428-M429 series.
In diesen Druckern wurden vier Sicherheitslücken behoben die jeweils per Firmware-Update behoben werden. Da der Bedrohungsgrad mit "hoch" eingestuft ist, sollten Besitzer bzw. Administratoren die Firmware-Updates zügig installieren.
Quelle: 'Sicherheitsupdates: Schadcode-Attacken auf HP-LaserJet-Pro-Drucker möglich' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitsupdate: Attacken auf WordPress-Plug-in Ultimate Member' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Backups von ArcServe UDP durch Admin-Attacke in Gefahr' auf Heise Online
Quelle: 'Jetzt patchen! Über 335.000 SSL-VPN-Interfaces von Fortinet attackierbar' auf Heise Online
Quelle: 'Geräteverwaltung: hochriskante Schwachstelle in Ivanti Endpoint Manager' auf Heise Online
Quelle: 'Progress schließt weitere kritische Sicherheitslücke in MOVEit Transfer' auf Heise Online
Quelle: 'Cisco Nexus 9000: Angreifer können Verschlüsselung brechen – kein Update' auf Heise Online
Quelle: 'Fediverse: Kritische Sicherheitslücken in Mastodon-Software abgedichtet' auf Heise Online
Quelle: 'Linux: Sicherheitslücke erlaubt Rechteausweitung, Exploit angekündigt' auf Heise Online
Wir empfehlen:
Diese Website ist kompatibel zu:
