News

Schlagzeilen * Details * Newsletter

Schlagzeilen:


zur Übersicht

Details:



16.11.2018 – Sicherheitsupdate für zahlreiche Adobe Programme

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 31.0.0.148. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Reader LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.008.20081 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-40 (Englisch)

Adobe Photoshop:

Adobe Photoshop LogoAuch Photoshop erhält diesen Monat ein Sicherheitsupdate. Geschlossen wurden darin eine Sicherheitslücke, die irgendwie zum Informationsdiebstahl genutzt werden kann. Details verrät Adobe bisher nicht.

Photoshop CC 2018 trägt nach dem Update die Versionsnummer 19.1.7. Auch in der neuen Photoshop 2019er Version wurde der Fehler bereits behoben. Ältere Ausgaben von Photoshop sind und bleiben verwundbar, da Adobe dafür keine Updates mehr entwickelt. Das Update ist über die eingebaute Update-Funktion erhältlich.

Info: Adobe Security Bulletin APSB17-43 (Englisch)

zur Übersicht

16.11.2018 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

16.11.2018 – Massive Angriffswelle auf veraltete Router

Router Security LogoSicherheitsforscher haben eine große Angriffswelle auf Router mit veralteter und damit unsicherer Software aufgedeckt. Überwiegend werden dabei Fehler in den UPnP-Implementationen der Router angegriffen. Über derartige Lücken haben wir schon vor Jahren berichtet, aber es gibt eben immer noch genug Besitzer von Routern weltweit, die diese Geräte nie aktualisieren oder erneuern.

Wir raten daher jedem Router-Besitzer (und das ist heutzutage fast jeder mit DSL- oder Kabel-Internetanschluss) nach Updates für seinen Router zu suchen und diese zu installieren. Router für die seit einem Jahr oder länger kein Update mehr angeboten wurde sollten in der Regel durch neuere Modelle mit aktivem Support ersetzt werden.

Wer einen Router mit alter Software einsetzt und keinen neuen kaufen kann oder will, sollte zumindest die UPnP-Funktion deaktivieren. Und auch gleich noch jede andere Funktion, die nicht unbedingt notwendig ist, vor allem Fernwartungs-Funktionen.

Quelle: 'Jetzt patchen! Fünf Jahre alte Lücke in Routern als Einfallstor für Angreifer' auf Heise Online

zur Übersicht

16.11.2018 – Das alte Lied der unsicheren Fingerabdruckscanner

Malware LogoWir haben schon sehr oft darauf hingewiesen, dass Fingerabdruckscanner als Komfort-Funktion zu verstehen sind und nicht als Sicherheitsmerkmal. Nicht nur, dass auf den meisten Geräten, die per Fingerabdruck entsperrt werden können, genügend dieser Fingerabdrücke zu finden sind, haben Forscher jetzt auch nachgewiesen, dass es künstlich erzeugte Fingerabdrücke gibt, die sozusagen als Universalschlüssel für Fingerabdruckscanner fungieren können.

Zwar erreichen die universellen Fingerabdrücke nur eine Erfolgsrate zwischen einem und 22 Prozent (je nachdem wie genau der Scanner bzw. die Software ist), mit mehreren dieser Fingerabdrücke hätten Angreifer aber bereits bei einer großen Menge an Geräten Erfolg.

Wer den Fingerabdruck zum Entsperren seines Gerätes nur als besseren Sichtschutz versteht, kann diese Methode durchaus beibehalten. Wer sein Gerät aber wirklich absichern will, fährt mit Passwort, ja sogar mit einer vierstelligen PIN (wenn es nicht gerade 0000 oder 1234 ist) immer noch besser.

Quelle: 'Generalschlüssel für Fingerabdruckscanner: Master-Prints entsperren Smartphones' auf Heise Online

zur Übersicht

16.11.2018 – Windows 10 1909 wieder verfügbar

Windows 10 LogoMicrosoft hat nun die schlimmsten Fehler in dem Windows 10 Oktober 2018 Update (kurz Version 1809) behoben und bietet es erneut zum Download an. Auch über Windows Update wird es seit Dienstag Abend wieder angeboten, wenn auch etwas vorsichtiger als beim letzten Versuch.

Wir empfehlen weiterhin den Anwendern von Windows 10 Pro den Update Kanal ‚Semi-Anual Channel‘ anstelle von ‚Semi-Anual Channel (Targeted)‘ in Windows Update einzustellen, um nicht sofort in den „Genuss“ des neusten Windows Updates zu gelangen. Anwender der Windows 10 Home Version sollten nach Möglichkeit Windows Update einfach nicht manuell aufrufen. Sie bekommen das Upgrade noch früh genug aufs Auge gedrückt.

Wer im umgekehrten Fall bewusst upgraden möchte, die neue Version aber nicht in Windows Update angeboten bekommt, kann dazu das Windows Media Creation Tool verwenden. Als Belohnung für den Wagemut bekommt man unter anderem die neue Zwischenablage, die jetzt mehr als nur einen Eintrag aufnehmen kann. Weitere Neuerungen finden sie im verlinkten Heise Online Artikel.

Quelle: 'Windows 10 Oktober 2018 Update: Es ist wieder da' auf Heise Online

Quelle: 'Windows 10 1809: Das sind die Highlights der kommenden Version' auf Heise Online

zur Übersicht

11.11.2018 - Gimp 2.10.8 - Verbesserte Performance und Stabilität

Gimp LogoGimp 2.10.8 ist das erste Update aus der Gimp 2.10 Reihe, das keine neuen Werkzeuge oder Filter mitbringt. Dennoch gibt es eine kleine sichtbare Neuerung – im Speichern-Dialog lassen sich nun Informationen zur Kompatibilität einblenden. So lässt sich feststellen was man alles ändern müsste, um eine Datei zu älteren Gimp-Versionen kompatibel zu machen.

Die wichtigsten Änderungen finden sich diesmal aber unter der Haube. Neben etlichen Fehlerkorrekturen wurde auch eine neue Funktion eingebaut, mit der sich Gimp auf langsamer Hardware weniger Träge anfühlen soll, zugleich aber auf schneller Hardware schneller als bisher zu Werke geht.

Wie immer findet man auf Gimp.org eine ausführlichere Beschreibung der Neuerungen, wenngleich in englischer Sprache.

Download: Gimp 2.10.8 für Windows

Info: 'Gimp 2.10.8 Ankündigung' auf Gimp.org (Englisch)

zur Übersicht

09.11.2018 – Daten auf verschlüsselten SSDs nicht geschützt

Malware LogoSSDs mit Hardware Verschlüsselung sind nicht so sicher wie von den Herstellern versprochen. Niederländischen Forschern ist es gelungen auf mehreren solcher SSDs die eigentlich verschlüsselten Daten zu entschlüsseln, ohne dabei das Passwort zu kennen.

Auch Anwender, die die Windows Verschlüsselungs-Funktion BitLocker verwenden, sind potenziell gefährdet, wenn eine SSD mit Hardware-Verschlüsselung im System steckt, denn standardmäßig verwendet Bitlocker dann die Hardware-Verschlüsselung der SSD und keine Software-Verschlüsselung. Per Gruppenrichtlinie kann man Bitlocker aber anweisen immer die Software-Verschlüsselung zu verwenden. Details dazu finden sie im Heise Artikel.

Die Forscher nennen nur ein paar SSDs von Micron und Samsung als nachweislich betroffen, das bedeutet aber keineswegs, dass alle anderen SSDs sicher sind. Erstens könnte kein Test ALLE SSDs umschließen, zweitens nennen die Forscher auch nicht die Zahl der gesamt getesteten Geräte. Daher nennen wir auch die nachweislich betroffenen Geräte nicht, um Besitzer anderer SSDs nicht in falsche Sicherheit zu wiegen.

Was tun?

Anwender, die mit der Verschlüsselung nur einen Schutz vor Gelegenheitsdieben erzielen wollen, dürften auch mit der Hardware-Verschlüsselung noch eine Weile gut bedient sein. Vorteil ist dabei, dass die Verschlüsselung keine Systemressourcen verbraucht.
Wer aber seine Daten wirklich verlässlich schützen möchte, muss auf die Software-Verschlüsselung umsteigen und dabei möglicherweise leichte Performance-Einbusen hinnehmen.

Quelle: 'Daten von einigen selbstverschlüsselnden SSDs ohne Passwort einsehbar' auf Heise Online

zur Übersicht

09.11.2018 – Kritische Schwachstelle in DSGVO-Wordpress-Plugin

Malware LogoWer eine WordPress-Installation für sich selbst oder einen Kunden betreut, sollte umgehend prüfen, ob ein Plugin namens ‚WP GDPR Compliance‘ installiert ist. Ist dem der Fall sollte das Plugin umgehend deinstalliert oder aktualisiert werden. Außerdem sollte man den Server auf verdächtige Spuren prüfen, denn das Plugin wurde bereits vielfach für Angriffe auf Webserver missbraucht. Details finden sie im verlinkten Heise Online Artikel.

Quelle: 'Schwerwiegendes Schwachstelle in DSGVO-Plugin für WordPress' auf Heise Online

zur Übersicht

09.11.2018 – Sennheiser Software reißt Sicherheitsloch in Windows

Malware LogoBesitzer eines Sennheiser Kopfhörers aufgepasst: Wer die Sennheiser Software ‚HeadSetup‘ auf seinem PC installiert hat, hat damit ein großes Sicherheitsloch in Windows eingebaut. Grund dafür ist, dass Sennheiser nicht nur ein eigenes Root Zertifikat installiert (was für sich alleine schon Bedenklich wäre), sondern Angreifern auch gleich noch den privaten Schlüssel dafür frei Haus liefert. Das ganze erinnert stark an das Superfish-Fiasko das u.a. Lenovo vor ein paar Jahren schlechte Presse eingebracht hatte.

Eine fehlerbereinigte Version der Software wird laut Sennheiser erst gegen Ende November fertig sein. Bis dahin sollte man nicht nur die Software deinstallieren, sondern unbedingt auch die Zertifikate aus dem Windows-Zertifikats-Store löschen. Die Zertifikate heißen "127.0.0.1" und "SennComRootCA".

Zertifikate verwalten:

Sie können die installierten Zertifikate wie folgt prüfen bzw. löschen: Starten sie Internet Explorer und klicken sie dann rechts oben auf das Zahnrad-Symbol gefolgt von ‚Internetoptionen‘. Im Fenster ‚Internetoptionen‘ klicken sie die Registerkarte ‚Inhalte‘ an und dann den Button ‚Zertifikate‘. Im Fenster ‚Zertifikate‘ wählen sie den Karteireiter ‚Vertrauenswürdige Stammzertifizierungsstellen‘. Danach sehen sie eine Liste aller Root-Zertifikate, die auf dem PC installiert sind. Suchen sie dort die Zertifikate anhand der Namen oben und löschen sie diese.

Quelle: 'Sennheiser-Software spielt Angreifern mächtige Werkzeuge in die Hände' auf Heise Online

zur Übersicht

06.11.2018 - LibreOffice 6.1.3 veröffentlicht

LibreOffic LogoDie LibreOffice Entwickler haben die Version 6.1.3 der freien Bürosuite veröffentlicht. Auch wenn in dieser Version wieder etliche Fehler korrigiert wurden, empfiehlt sich die noch relativ junge 6.1er Serie eher für neugierige Anwender, die immer die neueste Software einsetzen wollen und dafür Fehler in Kauf nehmen.

Für konservative Anwender und Firmen haben die LibreOffice Entwickler Version 6.0.7 veröffentlicht, in der ebenfalls etliche Fehler behoben wurden.

Quelle: Liste der Neuerungen in LibreOffice 6.1 – Kurzübersicht

Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.1

Download: Aktuelle LibreOffice Versionen (6.0 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.1 Serie)

zur Übersicht

04.11.2018 – Thunderbird 60.3 schließt Sicherheitslücken

Thunderbird LogoVor fast genau einem Monat haben wir zuletzt über Sicherheitslücken in Thunderbird geschrieben. Bereits damals haben wir gesagt, dass die Zeit für ein Upgrade auf die 60er Serie gekommen ist, da die 52er Ausgabe keine Updates mehr erhält. Nun ist Thunderbird 60.3 veröffentlicht worden und abermals wurden ein paar kritische Sicherheitslücken behoben, wenngleich Mozilla betont, dass die Lücken nicht beim normalen Lesen von E-Mails ausgenutzt werden können, weil hier Javascript standardmäßig deaktiviert ist.

Leider hat sich auf der Erweiterungs-Front seit letztem Monat nichts bewegt, es sind also nach wie vor etliche Erweiterungen verfügbar, die mit Thunderbird 60.x gar nicht oder nur eingeschränkt funktionieren. Trotzdem wird es immer dringlicher auf die 60er Version upzugraden, auch wenn dafür eventuell die eine oder andere Erweiterung über die Klippe springen muss. Hinweise, wie sie inkompatible Erweiterungen möglicherweise doch noch zum Laufen bekommen, können sie unserem Artikel vom 05.10.2018 entnehmen.

Nur wenn eine bestimmte Erweiterung unabdingbar für einen Geschäftsprozess ist, sollte man noch bei Thunderbird 53 bleiben. In dem Fall sollte der Hersteller der Erweiterung zwecks Update kontaktiert werden um das Upgrade so bald wie möglich angehen zu können. Außerdem sollte sichergestellt sein, dass Javascript deaktiviert ist.

Mozilla liefert das Update auf Version 60 nach wie vor NICHT an Benutzer der 52er Serie aus. Wer von 52.x auf 60.3 updaten möchte, muss also das Installationspaket herunterladen und installieren.

Download: Aktuelle Thunderbird Version

Quelle: 'Security vulnerabilities fixed in Thunderbird ESR 60.3' auf Mozilla.org (Englisch)

Info: Informationen zur Erweiterungs-Kompatibilität in unserem früheren Artikel zu dem Thema

zur Übersicht

04.11.2018 – Facebook + Erweiterung = Datendiebstahl

Facebook LogoFacebook kommt aus den Negativ-Schlagzeilen dieses Jahr wohl nicht mehr raus. Seit der Cambridge Analytica Affaire musste Facebook einige weitere Datendiebstähle eingestehen. Jetzt kommen auch noch Probleme von anderer Seite hinzu – Browser Erweiterungen.

Der neueste massive Datendiebstahl – es sollen immerhin 120 Millionen Facebook Konten mitsamt teils sehr persönlicher Chat-Verläufe kopiert worden sein – dürfte nämlich nicht durch Unachtsamkeit seitens Facebook ausgelöst worden ein, sondern eher aus unüberlegtem Handeln der Benutzer. Laut Facebook wurden diese 120 Millionen Konten nämlich relativ trivial über Browser-Erweiterungen ausgelesen.

Was sind Browser Erweiterungen?

Browser Erweiterungen sind kleine Programme die innerhalb des Webbrowsers laufen. Ein Beispiel: Da Firefox keinen eigenen Werbeblocker mitbringt, installieren viele Anwender einen solchen als Erweiterung. Die Werbeblocker Software hat im folgenden Zugriff auf die jeweils betrachtete Website um seine Funktion – eben Werbung zu blockieren – erfüllen zu können. Surft der Anwender gerade auf Facebook, ist es also für diese Software problemlos möglich alle diese Inhalte an den Hersteller der Software zu senden. Das ist wie gesagt nur ein Beispiel und soll nicht bedeuten, dass alle Werbeblocker böse sind.

Sind Browser Erweiterungen grundsätzlich böse?

Wie bei jedem Programm das man aus dem Internet herunterladen kann, gilt natürlich auch für Browser-Erweiterungen, dass der Programmierer nicht immer gutes beabsichtigt. Viele Programme machen auf den ersten Blick das was sie vorgeben zu tun, im Hintergrund aber noch andere unerwünschte Dinge. Natürlich gibt es auch sehr viele Programme die ohne böse Absicht programmiert wurden. Das Problem ist, das der Anwender nicht ohne weiteres erkennen kann, ob ein Programm eine bösartige Funktion enthält.

Welcher Erweiterung kann vertraut werden?

Eine berechtigte Frage, auf die es leider keine einfache Antwort gibt. Eigentlich würde man erwarten, dass die Browser-Hersteller alle Erweiterungen prüfen, die in ihren jeweiligen Portalen („chrome web store“ bei Google bzw. „addons.mozilla.org“ bei Mozilla) angeboten werden, aber offensichtlich sind diese Prüfungen zu selten oder zu oberflächlich, jedenfalls gab es in den letzten Monaten auf beiden Portalen schädliche Erweiterungen. Trotzdem sollte man Erweiterungen nach Möglichkeit nur von diesen offiziellen Portalen installieren. Allerdings raten wir auch dort dazu, die Erweiterungen vorher gründlich zu prüfen. Zwar ist nicht jeder Programmierer und kann den Quellcode begutachten, aber man kann schauen, ob eine Datenschutzerklärung vorliegt. Die Rezensionen prüfen. Gegebenenfalls das Impressum der Homepage des Herstellers und so weiter. Alles was einem irgendwie dabei hilft, einen Eindruck von der Glaubwürdigkeit des Anbieters zu erhalten. Grundsätzlich sollte man außerdem so wenig Erweiterungen wie möglich installieren. Das fördert nicht nur die Sicherheit, sondern auch Stabilität und Leistung.

Fazit:

Leider gibt Facebook die Namen der bösartigen Erweiterungen nicht preis. Sie wurden aber angeblich an die Browser-Hersteller gemeldet. Allerdings bewirkt eine Löschung aus den Erweiterungs-Portalen nur, dass diese nicht mehr neu installiert werden können. Bereits installierte Erweiterungen verrichten weiterhin ihre womöglich bösartige Arbeit. Anwender sollten daher prüfen, ob alle Erweiterungen die sie installiert haben noch verfügbar sind. Außerdem schadet es bei der Gelegenheit nicht überflüssige Erweiterungen zu entsorgen. Auf PCs auf denen mehrere Benutzerprofile existieren muss diese Prüfung darüber hinaus für jeden Benutzer und für jeden Browser durchgeführt werden.

Quelle: 'Neuer Facebook-Hack? Angeblich Daten von 120 Millionen Nutzern erbeutet' auf Heise Online

zur Übersicht

04.11.2018 – Das ewige Sicherheitsthema Bluetooth…

Bluetooth LogoWer unsere Artikel dieses Jahr regelmäßig gelesen hat, dürfte mitbekommen haben, wie sehr das Vertrauen in Bluetooth dieses Jahr gelitten hat. Eigentlich ist das Vertrauen nicht nur geschmälert, sondern komplett abhandengekommen, weshalb wir bereits von der Verwendung jeglicher Bluetooth Geräte abgeraten haben.

Zusätzlich zu der ohnehin schon prekären Sicherheitslage bei Bluetooth melden Sicherheitsforscher jetzt auch noch Schwachstellen in einigen Bluetooth (Smart) Chips von Texas Instruments. Diese Chips wiederum kommen bevorzugt in teureren Accesspoints von Cisco, Aruba und Meraki vor. Es können aber noch etliche andere Hersteller auf diese Chips zurückgegriffen haben. Auf der Website der Sicherheitsforscher befindet sich eine Liste der bisher als verwundbar bekannten Geräte.

Betreiber von Accesspoints eines der drei Hersteller sollten unbedingt prüfen, ob ihre Geräte betroffen sind und wenn ja beim Hersteller nach Updates suchen. Aruba und Cisco haben bereits Updates veröffentlicht.

Auch Apple mit Bluetooth Ärger...

Auch Apple Geräte hatten bis vor kurzem noch mit gravierenden Bluetooth-Bugs zu kämpfen, wenngleich hier ‚nur‘ ein Neustart der Geräte provoziert werden konnte. Dieses Problem wurde in iOS 12.1, watchOS 5.1 und tvOS 12.1 behoben.

Quelle: 'Bleedingbit: Sicherheitslücken in Bluetooth LE gefährden Access Points' auf Heise Online

Quelle: 'BLEEDINGBIT Sicherheitsbericht' auf Armis.com (Englisch)

Quelle: 'iOS, macOS, watchOS und tvOS lassen sich per Funk abschießen' auf Heise Online

zur Übersicht

04.11.2018 – Jetzt schützt auch Lexmark vor bösen FAX-Nachrichten

Malware LogoBereits am 17.08.2018 hatten wir über FAX-Nachrichten als Einfallstor für Hacker berichtet. HP hatte zu dem Zeitpunkt bereits Sicherheits-Updates für etliche Drucker veröffentlicht. Erst jetzt, fast drei Monate später, schickt sich auch Lexmark an, das Problem in seinen Multifunktionsdruckern zu beheben. Obwohl die Liste der Lexmark-Updates lang ist, bezweifeln wir, dass das Problem damit tatsächlich in allen jemals produzierten Lexmark Druckern behoben wurde. Lexmark Geräte für die kein Update bereitgestellt wurde, sollten daher weiterhin vom Telefonnetz getrennt bleiben.

Canon (und andere Hersteller mit Ausnahme von HP und jetzt Lexmark) hat sich unseres Wissens nach bis heute nicht zu einer Stellungnahme zu dem Problem genötigt gesehen, weshalb Canon Drucker ebenfalls nicht an die Telefondose angeschlossen werden sollten.

Quelle: 'Sicherheitsupdates: Multifunktionsgeräte von Lexmark anfällig für "böse" Faxe' auf Heise Online

zur Übersicht

04.11.2018 – BIOS Einstellung kann manche ThinkPad Notebooks zerstören

UEFI LogoIn manchen Thinkpad Notebooks des Herstellers Lenovo reicht eine kleine Änderung in den BIOS-Optionen aus, um das Notebook unbrauchbar zu machen. Genauer gesagt geht es um eine Option rund um die Verwaltung von Thunderbolt-Anschlüssen.

Betroffen sind die Geräte: ThinkPad P1, ThinkPad P72, ThinkPad P52, ThinkPad P52s und ThinkPad X1 Yoga 2018.

So richtig offiziell Stellung genommen scheint Lenovo bisher noch nicht zu haben, allerdings dürfte das Problem zumindest für die Geräte P52 und P72 durch ein BIOS-Update behoben sein. Allerdings muss das BIOS-Update VOR einem eventuellen Schaden eingespielt werden, startet das Gerät nicht mehr, kann auch das BIOS nicht mehr aktualisiert werden und das Gerät muss zur Reparatur an den Hersteller gesendet werden.

Anwender der genannten Geräte sollten in den nächsten Tagen regelmäßig nach BIOS-Updates Ausschau halten. Die Thunderbolt-Einstellungen im BIOS sollten auf keinen Fall geändert werden, solange nicht ein BIOS installiert ist, das diesen Fehler ausdrücklich nicht mehr enthält.

Quelle: 'BIOS-Option macht ThinkPads zu Briefbeschwerern' auf Heise Online

zur Übersicht

26.10.2018 – Firefox 63 behebt schwere Sicherheitslücke

Mozilla Firefox LogoMozilla hat Firefox 63 veröffentlicht. Darin wurde unter anderem eine schwere Sicherheitslücke behoben, die zur Infektion des Computers genutzt werden konnte. Darüber hinaus schließt die neue Version noch 13 weitere Sicherheitslücken. Anwender sollten das Update daher rasch installieren, sofern das durch das automatische Update nicht bereits erledigt wurde.

In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.3.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Mozilla Foundation Security Advisory 2018-26' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

26.10.2018 – Vivaldi veröffentlicht Version 2.1!

Vivaldi LogoVivaldi hat kürzlich Version 2.1 seines Browsers veröffentlicht. Darin kommt nun Chromium 70 zum Einsatz, was auf einige geschlossene Sicherheitslücken vermuten lässt. Vivaldi Anwender sollten daher zügig aktualisieren.

Abgesehen vom aktualisierten Unterbau hat sich auch bei den Features wieder etwas getan. Schwerpunkt diesmal war die Funktion ‚Schnellbefehle‘. Diese kann nun ein paar neue Befehle verarbeiten, wie z.B. eine neue Notiz anlegen, Notizen durchsuchen oder die Zoom-Stufe ändern. Außerdem beherrscht Vivaldi nun das neue Videoformat AV1, das in Zukunft mehr an Bedeutung gewinnen dürfte und irgendwann h264 verdrängen soll.

Download: Aktuelle Vivaldi Version

Quelle: 'Vivaldi 2.1 launches with improved Quick Commands' auf Vivaldi.com (Englisch)

zur Übersicht

22.10.2018 – Sicherheitsupdate für Google Chrome!

Google Chrome LogoGoogle hat Version 70 von Google Chrome veröffentlicht. Darin wurden zahlreiche, zum Teil kritische, Sicherheitslücken behoben. Wer entgegen unserer Empfehlung, keine Produkte von Google einzusetzen, Google Chrome verwendet, sollte rasch auf Version 70 updaten.

Abgesehen von den Sicherheitslücken hat Google auch auf Kritik an einigen Neuerungen aus Chrome 69 reagiert und ist hier teils ein wenig zurückgerudert.

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

22.10.2018 – Sicherheitslücken in VLC Media Player und MPlayer

VLC Media Player LogoIn einer Software-Komponente, die sowohl von VLC Media Player als auch MPlayer verwendet wird, wurde eine Schwachstelle entdeckt, die zur Infektion eines Rechners genutzt werden kann.

In VLC Media Player wurde das Problem bereits in Version 3.0.4 behoben. Anwender, die noch eine ältere Fassung des beliebten Media Players verwenden, sollten zügig auf diese Version aktualisieren.

Von den Programmierern von MPlayer fehlt bisher noch eine Auskunft über eine abgesicherte Fassung. Anwender, die MPlayer installiert haben, sollten diese Software bis auf weiteres meiden.

Quelle: 'Jetzt patchen! Kritische Lücke in den Mediaplayern VLC und MPlayer' auf Heise Online

zur Übersicht

22.10.2018 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 301 Sicherheitsupdates veröffentlicht.Das wichtigste dabei ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java:

Java LogoOracle hat Version 8.0 Update 191 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stolze 12 Sicherheitslücken geschlossen. Alle bis auf eine Lücke lasen sich Remote ausnützen, eine sogar ohne jegliche Benutzerinteraktion, was sie besonders kritisch macht. Anwender die Java installiert haben sollten also rasch updaten.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

VirtualBox:

In dem PC-Emulator VirtualBox wurden 14 Sicherheitslücken geschlossen, zwei davon sind kritisch da sie aus der Ferne ausgenützt werden können. Anwender von VirtualBox sollten daher umgehend auf Version 5.2.20 updaten. Für die 5.1er Serie (und älter) gibt es keine abgesicherten Ausgaben mehr, hier muss unbedingt upgegradet werden.

Download: Aktuelle VirtualBox Versionen auf VirtualBox.org

MySQL:

Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat für die Datenbank selbst sowie die zugehörenden Verwaltungsprogramme in Summe 38 Lücken geschlossen von denen drei aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - October 2018‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - October 2018' auf Oracle.com (Englisch)

zur Übersicht

22.10.2018 – Schwere Sicherheitslücke in weit verbreitetem Website-Plugin!

Biohazard LogoIm ‚jQuery-File-Upload Plug-in‘, das in etlichen Content-Management-Systemen oder Website-Plugins enthalten ist, schlummert seit vielen Jahren eine schwere Sicherheitslücke, die es Angreifern ermöglicht volle Kontrolle über den Webserver zu erhalten.

Im Original-Plugin wurde das Problem durch Version 9.22.1 behoben. Es gibt jedoch zahlreiche Variationen (Forks) des Plugins, die womöglich ein komplett anderes Versionsschema verwenden. Hier ist also jeder Server- bzw. Content-Management-System-Betreuer angehalten, selbst genau nachzuschauen, ob dieses bzw. ein verwandtes Plugin vorhanden ist, und gegebenenfalls eine abgesicherte Version zu installieren.

Quelle: 'Sicherheitslücke in jQuery-File-Upload Plug-in macht unzählige Server verwundbar' auf Heise Online

zur Übersicht

22.10.2018 – Schwere Sicherheitslücken in Routern von D-Link

Router Security LogoDurch die Kombination dreier Sicherheitslücken ist es einem Forscher gelungen D-Link Router komplett zu übernehmen. Das heißt, der Angreifer erhält vollständige Kontrolle über den Router und kann den Netzwerkverkehr beliebig verändern oder den Router als Brückenkopf für Angriffe auf das eigene Heimnetzwerk missbrauchen.

Die zugrunde liegenden Lücken sind zumindest in acht Routern von D-Link zu finden, vermutlich aber in wesentlich mehr. D-Link hat sich bisher nicht öffentlich zu dem Problem geäußert, arbeitet laut dem Entdecker aber zumindest an Updates für die Router DWR-116 und DWR-111.

Für die Geräte DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 und DWR-921 wollte D-Link eine Mitteilung veröffentlichen, was zumindest auf der amerikanischen Website von D-Link nun geschehen ist. Eine Auskunft der europäischen Zweigstelle steht noch aus. In der Mitteilung behauptet D-Link, dass die Gefahren-Einschätzung des Forschers übertrieben ist, da der Angriff in der Standard-Konfiguration nicht aus dem Internet durchgeführt werden könne. Abgesehen davon enthält die Mitteilung D-Links bisher nichts Nützliches, denn für alle genannten Geräte sagt D-Link nur, dass das Problem untersucht werde. Wohlgemerkt 5 Monate nachdem die Firma auf die Lücken aufmerksam gemacht wurde.

Mangels eigenem Testgerät können wir nicht nachprüfen, welche Partei jetzt tatsächlich recht hat. Im Demonstrationsvideo sieht es tatsächlich so aus, als würde der Angriff aus dem lokalen Netz heraus erfolgen, mit Sicherheit sagen lässt sich das jedoch nicht. Selbst wenn der Angriff tatsächlich nur aus dem lokalen Netzwerk heraus funktioniert, wäre das immer noch eine bedenkliche Sicherheitslücke. Klappt es auch aus der Ferne, wäre es natürlich noch viel dramatischer.

Fazit:
Da D-Link bisher noch nicht mal Informationen bereut stellt, welche Geräte genau betroffen sind und für welche es Updates geben wird, bleibt Anwendern, die auf Nummer sicher gehen wollen, eigentlich nur der Wechsel auf einen anderen Router, z.B. eine Fritzbox oder auf eine alternative Firmware wie DD-WRT, sofern verfügbar. Für wen beides nicht infrage kommt, empfehlen wir zumindest sicherzustellen, dass die Remote-Administration abgeschaltet ist. Ist diese Funktion aktiviert, ist der Angriff nämlich sehr wahrscheinlich auch aus der Ferne möglich.

Quelle: 'Sicherheitslücken-Cocktail bringt D-Link-Router zu Fall' auf Heise Online

Quelle: 'D-Link routers - full takeover' Original Sicherheitsreport (Englisch)

Quelle: 'Sicherheits-Benachrichtigung von D-Link' auf D-Link.com (Englisch)

zur Übersicht

22.10.2018 – Linksys behebt Sicherheitslücken in Routern!

Router Security LogoLinksys macht es deutlich besser als D-Link (siehe Artikel oben) und veröffentlicht in einem halbwegs angemessenem Zeitraum Sicherheits-Updates für zwei Router. Ein Forscherteam hatte die drei zugrunde liegenden Lücken im Juli an Linksys gemeldet. Updates für die betroffenen Router sind dann im August bzw. Oktober erschienen, noch bevor die Lücken öffentlich bekannt wurden.

Betroffen sind die beiden Linksys Router 'e1200' und 'e2500'. Anwender, die einen der beiden Router besitzen, sollten zügig die Updates herunterladen und installieren. Anleitungen dazu finden sich jeweils in den Handbüchern der Geräte.

Quelle: 'Sicherheitsupdates: Linksys-Router anfällig für Schadcode' auf Heise Online

Download: 'Firmware Updates für Linksys e2500 Router' auf Linksys.com

Download: 'Firmware Updates für Linksys e1200 Router' auf Linksys.com

zur Übersicht

22.10.2018 – Microsoft stopft gefährliche Lücke in Yammer

Biohazard LogoFalls Ihnen der Name Microsoft Yammer nichts sagt, keine Sorge, uns erging es ebenso. Yammer ist ein soziales Netzwerk für den Firmengebrauch. Privatleute dürften also kaum von dem Problem betroffen sein. Im Client für das Netzwerk wurde ein Sicherheitsproblem gefunden, das zur Infektion von Computern genutzt werden könnte.

Microsoft verteilt als Reaktion nun Version 2.0 des Clients für Windows und Mac OS. Computer, auf denen der Client installiert ist, sollten umgehend auf die neue Version aktualisiert werden.

Quelle: 'Sicherheitsupdate: Ein Klick zu viel und Microsoft Yammer führt Schadcode aus' auf Heise Online

zur Übersicht

12.10.2018 - WhattsApp Sicherheitslücke gefährdet Milliarden Smartphones

Biohazard LogoEine kritische Lücke in WhatsApp für Android und iOS (iPhone, iPad) ermöglicht es das Smartphone bzw. Tablet ganz leicht zu übernehmen. Der Angreifer hätte dann vollständige Kontrolle über das Gerät!

WhatsApp hat bereits mit neuen Versionen auf die Bedrohung reagiert. Anwender, die WhatsApp installiert haben, sollten unbedingt prüfen, ob sie bereits Version 2.18.306 (oder neuer, Android) bzw. 2.18.93 (oder neuer, iOS) auf ihrem Gerät haben und falls nicht möglichst rasch aktualisieren.

Auf Firmen-Smartphones oder privaten Smartphones auf denen geschäftliche Daten verarbeitet werden, hat WhatsApp aufgrund der DSGVO ohnehin nichts zu suchen und sollte umgehend deinstalliert werden.

Quelle: 'Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer' auf Heise Online

zur Übersicht

12.10.2018 - Sicherheitsupdate für zahlreiche Adobe Programme

Adobe Flash LogoDer Tag der Updates fällt diesen Monat bei Adobe ungewöhnlich aus. Kein Update für Adobe Reader oder Acrobat (das wurde ja bereits letzte Woche veröffentlicht) und für Adobe Flash gibt es zwar ein Update, es behebt aber angeblich keine Sicherheitslücken. Doch auch ohne die beiden üblichen Verdächtigen, beschafft Adobe seinen Anwendern wieder Arbeit, denn andere Programme haben Sicherheitslücken:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 31.0.0.122. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Digital Editions:

In Adobes E-Book-Reader Software ‚Digital Editions‘ wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten dringend auf Version 4.5.9 updaten bzw. sich überlegen, ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren. Digital Editions wird nämlich in letzter Zeit relativ häufig von Sicherheitslücken geplagt.

Download: Adobe Digital Editions v4.5.9 für Windows

Quelle: Adobe Digital Editions Security Bulletin APSB18-27 (Englisch)

Framemaker:

Ein Update für Adobe Framemaker dürfte eher für Firmen relevant sein. Administratoren und interessierte Privatnutzer können die Details aus dem verlinkten Security Bulletin entnehmen.

Quelle: Adobe Security Bulletin APSB18-37 (Englisch)

Technical Communications Suite:

Quasi derselbe Fehler wie in Framemaker ist auch in der Technical Communications Suite zu finden. Auch hier gilt, Administratoren und interessierte Privatnutzer finden weitere Informationen in dem verlinkten Adobe Security Bulletin.

Quelle: Adobe Security Bulletin APSB18-38 (Englisch)

Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Dieses behebt mehrere Sicherheitslücken und wurden von Adobe als wichtig eingestuft Details findet man im verlinkten Security Bulletin.

Quelle: Adobe Security Bulletin APSB18-36 (Englisch)

zur Übersicht

12.10.2018 - Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Rasch handeln wegen aktueller Angriffe!

Microsoft hat in diesem Monat unter anderem eine Sicherheitslücke geschlossen, die von Kriminellen bereits aktiv ausgenützt wird. Alle Anwender von Windows PCs sollten daher prüfen, ob die neuen Updates bereits installiert wurden und falls nicht, dies rasch nachholen.

Quelle: 'Patchday: Zero-Day-Fix für Windows, kritische Exchange-Lücke' auf Heise Online

Zusatz-Arbeit für Administratoren!

Microsoft hat festgestellt, dass es Administratoren von Exchange noch nicht darauf hingewiesen hat, dass der Mail-Server ein Visual Studio Runtime Update erfordert. Fehlt das bereits 2010 veröffentlichte Update, klafft in Exchange eine schwere Sicherheitslücke. Administratoren sollten also rasch prüfen, ob das Update bereits installiert ist, oder es rasch nachinstallieren.

Quelle: 'MFC Insecure Library Loading Vulnerability' auf Microsoft.com (Englisch)

Letztes Update für Windows 10 v1703

Für Windows 10 v1703 hat das letzte Stündlein geschlagen. Während Anwender der Home-Version längst zwangsweise auf neuere Windows 10 Versionen upgraden mussten, gibt es nun auch für Anwender der Pro-Version kein entkommen mehr, denn diesen Monat wurden die letzten Updates ausgeliefert.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

12.10.2018 - Apple behebt jede Menge Sicherheitslücken in iCloud!

Apple LogoApple behebt mit iCloud für Windows Version 7.7 jede Menge Sicherheitslücken, darunter auch kritische. Anwender, die iCloud nicht unbedingt benötigen, sollten die Software am besten komplett deinstallieren. Wer nicht ohne auskommen kann oder will, sollte rasch auf Version 7.7 updaten, was am einfachsten über das Programm 'Apple Software Update' gelingt.

Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.

Quelle: 'iCloud für Windows: Apple fixt Bugs noch und nöcher' auf Heise Online

zur Übersicht

12.10.2018 - Wieder sehr viele Betrugs-E-Mails unterwegs!

Biohazard LogoViele Kunden und auch wir selbst, erhalten momentan wieder betrügerische E-Mails, in denen behauptet wird, die Absender hätten den Computer des Empfängers mit einer speziellen Software ausspioniert und sie seien nun im Besitz kompromittierender Informationen.

Als Beleg für diese Behauptung beziehen sich die Betrüger dabei auf dem Umstand, dass das Mail angeblich über den Mailserver des Empfängers versendet wurde. Da viele Leute nicht wissen, dass Absenderadressen kinderleicht zu fälschen sind, verfällt da so mancher in Panik.

In den allermeisten Fällen besteht jedoch KEIN Grund zur Sorge. Wie gesagt, nur weil ein fremdes E-Mail die eigene E-Mail-Adresse als Absender trägt, bedeutet das noch lange nicht, dass der Absender tatsächlich irgendwelche Daten vom Empfänger erbeutet hat.

Das Problem ist jedoch, dass man anhand des E-Mails kaum feststellen kann, worüber es versendet wurde. Nur Anwender oder Administratoren, die sich mit E-Mail-Headern auskennen, und/oder Zugriff auf die Logfiles des fraglichen Mailservers haben, können feststellen, ob ein Mail über diesen Mailserver versendet wurde.

Fazit: In den allermeisten Fällen sind solche E-Mails reine Panikmache und spielen mit der Unkenntnis der Anwender. Eine generelle Entwarnung können wir jedoch auch nicht geben, weil es grundsätzlich durchaus möglich ist, dass jemand auf ihren Computer eingebrochen und sensible Daten gestohlen hat. Allerdings dürften in solchen Fällen wohl eher Daten von der Festplatte als „Beweis“ im Erpressungs-Mail mitgesendet werden.

zur Übersicht

12.10.2018 - Wieder einmal Millionen Überwachungskameras unsicher!

IP Kamera LogoFür regelmäßige Leser unserer Website ist es ja keine große Überraschung mehr - wieder einmal wurden Sicherheitslöcher in Überwachungskameras entdeckt. Wieder einmal sind weltweit etliche Millionen Geräte betroffen und wieder einmal ist es für die Besitzer sehr schwer festzustellen, ob das alles für die eigene Kamera gilt oder nicht.

Diesmal ist der eigentliche Hersteller der unsicheren Geräte die Firma Xiongmai, allerdings wird man diesen Namen auf keiner Kamera finden. Wege um eventuell trotzdem festzustellen, ob die eigene Überwachungskamera von diesem Hersteller gefertigt wurde, finden sie im verlinkten Heise Online Artikel.

Quelle: 'Offen wie ein Scheunentor: Millionen Überwachungskameras im Netz angreifbar' auf Heise Online

zur Übersicht

12.10.2018 - Windows 10 Version 1809 vorerst zurückgezogen!

Microsoft Windows 10 LogoMicrosoft hat auf die Probleme mit Datenverlust beim Upgrade auf Windows 10 v1809 mit der einzig richtigen Antwort reagiert, und das Upgrade vorerst gestoppt. Alle Download-Links auf der Microsoft Seite sind verschwunden und auch über Windows Update ist das Herbst-Update vorerst nicht mehr zu bekommen.

Datenverlust geklärt

Die Ursache für den Datenverlust konnte Microsoft mittlerweile herausfinden und korrigierte Versionen von Windows 10 wurden bereits an Mitglieder des Windows Insider Programms ausgeliefert. Nach so einer gravierenden Panne wird Microsoft die korrigierte Fassung aber hoffentlich ausgiebiger testen, weshalb wir die Aufhebung der Auslieferungspause nicht so bald erwarten.

Noch mehr Problemen

Zusätzlich zu der Datenverlust-Problematik und den anderen bereits letzte Woche erwähnten Problemen gesellen sich nun auch noch Fehler im Benachrichtigungssystem, Abstürze während des Upgrades und fehlerhafte Intel Grafik-Treiber dazu.

Fazit:

Gut, dass die hier beschrieben Probleme momentan wohl kaum jemanden betreffen, weil Microsoft die Auslieferung rechtzeitig pausiert hat. Das Microsoft aber aus dem katastrophalen Start von Version 1803 keine Lehren gezogen hat und mit Version 1809 noch tiefer ins Klo greift, hätte echt niemand erwartet.

zur Übersicht

05.10.2018 – Wieder Sicherheitslücken in Adobe Reader/Acrobat

Adobe Reader LogoIrgendwie scheint bei Adobe Reader und Acrobat im Moment der Wurm drin zu sein. Das letzte Update für die PDF-Programme kam für den Tag der Updates zu spät. Jetzt hat Adobe erneut ein Mega-Sicherheitsupdate bereitgestellt und ist dem nächsten Tag der Updates damit vorausgeeilt.

Nicht nur das Datum ist außergewöhnlich, auch der Umfang an Sicherheitslücken die das Update schließt, hat es in sich. Nicht weniger als 87 (!) Lücken hat Adobe in Reader/Acrobat geschlossen und das keine zwei Wochen nach dem letzten Sicherheitsupdate. Aufgrund der schieren Menge an Lücken sollten alle Anwender die Reader und/oder Acrobat installiert haben möglichst rasch auf die neue Version updaten.

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.008.20071 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-30 (Englisch)

zur Übersicht

05.10.2018 – Thunderbird 60.2.1 – Zeit für Upgrade ist da

Mozilla Thunderbird LogoVor zwei Monaten haben wir über die Neuerungen in Mozilla Thunderbird 60 berichtet und all die Probleme, die man potenziell mit Erweiterungen in der neuen Fassung haben kann. Leider hat sich an der Erweiterungs-Problematik noch nicht so viel geändert, sprich, es gibt immer noch jede Menge nützlicher aber nicht kompatibler Erweiterungen für Thunderbird 60.

Nun hat Mozilla aber Version 60.2.1 herausgegeben (die Versionen 60.1.x und 60.2.0 wurden übersprungen) und diese neue Version enthält auch Sicherheitsupdates. Mozilla selbst schreibt, dass 60.2.1 auch als automatisches Update für Thunderbird 52 ausgeliefert werden soll, bisher können wir das aber noch nicht bestätigen, sprich unsere Thunderbird 52.9.1 Test-Installation hat noch kein automatisches Update auf Version 60.2.1 angeboten bekommen. Da nicht bekannt ist, inwieweit die nun behobenen Sicherheitslücken auch in der 52er Serie existent sind, bleibt nur das Upgrade auf 60.2.1 um sicher zu bleiben.

Anwender, die keine Erweiterungen (außer den mitgelieferten bzw. Wörterbüchern) verwenden, sollten kein Problem mit dem Upgrade auf 60.2.1 bekommen. Falls Thunderbird auch bei Ihnen das Update nicht automatisch anbietet, können sie es einfach im Anschluss an den Artikel herunterladen.

Die Crux mit den Erweiterungen …

Für Anwender, die Erweiterungen benötigen die nicht mit Thunderbird mitgeliefert werden, wird es jetzt ernst. Aus Sicherheitsgründen sollte man nun updaten, aber noch sind nicht alle gängigen Erweiterungen angepasst. Letztendlich hilft nur der Selbstversuch. Wir raten in diesem Fall jedoch zu einer Sicherung des Thunderbird Profils. Standardmäßig finden sie das im Ordner "C:\Benutzer\IhrBenutzerName\AppData\Roaming\Thunderbird\Profiles". Kopieren Sie sich den oder die hier enthaltenen Unterordner, um sie bei Bedarf wiederherstellen zu können. Danach können sie gefahrlos die neue Version installieren und testen, ob alle benötigten Erweiterungen funktionieren. Falls eine Erweiterung nicht funktioniert, schauen sie auf der Homepage der Erweiterung nach, ob nicht eventuell bereits aktualisierte Fassungen der Erweiterungen zur Verfügung stehen.

Das Kompatibilitäts-Flag ...

Will eine Erweiterung partout nicht mehr funktionieren, gibt es noch einen letzten Strohhalm, an den man sich klammern kann. Um Thunderbird eventuell doch noch mit alten Erweiterungen kompatibel zu machen, geht man in die EINSTELLUNGEN → ERWEITERT → ALLGEMEIN → ‚Konfiguration bearbeiten‘. In dem neuen Fenster suchen sie nach der Zeichenfolge "extensions.strictCompatibility" (ohne Anführungszeichen). Falls der WERT in der Zeile "true" lautet, doppelklicken sie die Zeile, bis der Wert "false" angezeigt wird. Dann schließen sie den erweiterten Konfigurationseditor, starten Thunderbird neu und testen die Erweiterungen abermals. Sollte die Änderung keine Besserung gebracht haben, ist der Moment gekommen, an dem man sich entscheiden muss: Entweder Sicherheit oder die Erweiterung(en).

Download: Aktuelle Thunderbird Version

zur Übersicht

05.10.2018 – Firefox 62.0.3 behebt Sicherheitslücken

Mozilla Firefox LogoMozilla hat ein kleines Update für Firefox 62 auf Version 62.0.3 veröffentlicht. Neben anderen kleinen Fehlerkorrekturen enthält die neue Version Updates für drei kritische Sicherheitslücken. Anwender sollten das Update daher rasch installieren, sofern das durch das automatische Update nicht bereits erledigt wurde.

In Firefox ESR wurden ebenfalls drei Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.2.2.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Mozilla Foundation Security Advisory 2018-24' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

05.10.2018 – Auch Windows 10 Version 1809 mit Startproblemen!

Microsoft Windows 10 LogoVor einem halben Jahr haben wir über die unzähligen Probleme geschrieben, die Windows 10 Version 1803 hatte. Von der Nachfolgeversion wurde eigentlich erwartet, dass sie einen deutlich bessern Start haben sollte, schließlich dient Version 1809 auch als Basis für den Windows Server 2019 und andere Windows-Varianten mit langem Support.

Aber irgendwie hat es Microsoft auch dieses Mal das Ziel verfehlt, denn bereits wenige Tage nach dem Startschuss für 1809 gab es in den diversen Foren etliche Problemberichte, darunter sogar ein geradezu fataler Fehler!

Daten sind nach Upgrade futsch!

Der wohl übelste Fehler, der nur passieren kann ist, wenn nach dem Windows Upgrade (das Windows 10 Home Benutzern ungefragt aufs Auge gedrückt wird) plötzlich eigene Dateien unwiederbringlich verschwunden sind. Genau dieser Worst-Case wurde aber bereits mindestens dreimal in Foren unabhängig voneinander dokumentiert. Das heißt, Anwender von Windows 10 Home die keine aktuelle Sicherung haben, sollten nun unbedingt mal wieder eine anfertigen, andernfalls riskieren sie einen Datenverlust wenn Windows sich früher oder später von selbst upgradet. Anwender der Pro-Version sollten zwar natürlich ebenfalls regelmäßig Backups machen, sie können aber darüber hinaus auch das Upgrade auf Version 1809 hinauszögern, indem man in den erweiterten Optionen von Windows Update unter dem Punkt "Installationszeitpunkt für Updates auswählen" den Kanal "Semi-Anual Channel" anstelle von "Semi-Anual Channel (Targeted)" auswählt.

Store und Apps ohne Internet!

Auf einigen Rechnern ist nach einem Upgrade der Store und alle Apps offline, was zahlreiche andere Probleme nach sich zieht. Laut Microsoft selbst soll es in dem Fall helfen, IPv6 in den Eigenschaften des Netzwerkadapters wieder zu aktivieren. Auch wir hatten auf einem Testrechner dieses Problem, mussten zur Lösung aber etwas tiefer in die Trickkiste greifen.

Intel Treiber verhindern Upgrade

Ob es sich hierbei um ein Problem oder nicht eher um ein ‚Feature‘ handelt, sei mal dahingestellt. Jedenfalls verhindern manche Intel Grafik-Treiber ein Upgrade auf Version 1809. Wer einen PC mit Intel-Grafik verwendet und trotz aller Warnungen freiwillig auf 1809 upgraden möchte, muss zuerst die Intel-Grafik-Treiber aktualisieren. Diese sind auf der Intel Homepage verfügbar.

Ungereimtheiten im Taskmanager

Der Taskmanager wurde in Windows 10 v1809 wieder einmal erweitert. Er zeigt jetzt z.B. Stromverbrauchswerte an. Allerdings hat Microsoft auch ein paar Fehler eingebaut. So soll die Prozessorauslastung nicht immer korrekt angezeigt werden und es gibt es ein paar visuelle Probleme. Nichts Gravierendes also, gut möglich, dass das schon am nächsten Tag der Updates behoben wird.

Fazit:

Wir würden nicht soweit gehen und Windows 10 v1809 jetzt schon in einen Topf mit Version 1803 zu werfen, aber vor allem das Problem mit den verloren gegangen Dateien, ist gravierend und lässt eigentlich im Moment nur einen Rat zu – wenn immer möglich meiden sie das Upgrade auf Version 1809. Wo das nicht möglich ist, achten sie auf regelmäßige Sicherungen. Allerdings sollte letzteres ohnehin selbstverständlich sein, unabhängig davon welches Betriebssystem eingesetzt wird.

zur Übersicht

05.10.2018 – Das ist neu in Windows 10 Version 1809!

Microsoft Windows 10 LogoAuch wenn wir uns zuerst den diversen Problemen der neuen Windows 10 Version gewidmet haben, so gibt es natürlich auch durchaus positive Neuerungen zu berichten. Vor allem die neue Zwischenablage dürfte uns in Zukunft viel Arbeit ersparen, auch wenn wir die Cloud-Funktion natürlich wie üblich nicht verwenden würden (Passwörter im Klartext in der Cloud? Keine gute Idee!). Auch die kleinen aber feinen Neuerungen in Notepad kommen uns nicht ungelegen. Da aber die Redakteure von Heise Online das Thema Neuerungen schon schön aufbereitet haben, verweisen wir einfach darauf, anstatt das Rad nochmal neu zu erfinden.

Quelle: 'Windows 10 1809: Das sind die Highlights der kommenden Version' auf Heise Online

zur Übersicht

01.10.2018 – Audacity 2.3.0 – Sicherheitsloch endlich behoben!

Audacity LogoÜber 2 Jahre lang haben sich die Entwickler von Audacity standhaft geweigert eine DLL-Hijacking Sicherheitslücke in Audacity zu schließen, trotz etlicher Bemühungen unsererseits. In der neuen Version 2.3.0 gibt es nun plötzlich die Kehrtwende und die Lücke wurde endlich behoben. Anwender, die gemäß unserer Empfehlung, die Verknüpfung von Audacity-Projekten entfernt haben, müssen diesen Schritt also ab Version 2.3.0 nicht mehr machen. Das FFmpeg-Plugin für Audacity wurde aber weiterhin nicht aktualisiert und sollte daher auf jeden Fall deinstalliert bzw. nicht installiert werden!

Abgesehen von der geschlossenen Sicherheitslücke ist uns ein Problem beim Starten der neuen Audacity Version aufgefallen. Mit manchen Einstellungen aus früheren Versionen kommt 2.3.0 offenbar nicht zurecht. Falls Audacity nicht startet, hilft es die Installation erneut durchzuführen und im Setup-Assistenten das Kästchen bei „Einstellungen zurücksetzen?“ auszuwählen.

Abgesehen von den Sicherheitskorrekturen und dem Problem mit älteren Einstellungsdateien betreffen die meisten Neuerungen die Aufnahmefunktion, die deutlich ausgebaut wurde. Auch die Möglichkeit, wiederkehrende Aufgaben per Makros zu automatisieren, wurde massiv aufgebohrt. Zudem wurden die Menüs erneut aufgeräumt und ein paar kleinere Neuerungen an der Oberfläche gemacht. Außerdem gibt es über 90 Fehlerkorrekturen, die allein das Update auf Version 2.3.0 schon rechtfertigen würden.

Fazit: Das Audacity bei einigen Anwendern möglicherweise nicht auf Anhieb startet, sollte niemanden abhalten rasch auf die neue Version upzudaten. Die verbesserte Sicherheit und die zahlreichen Fehlerkorrekturen allein sollten als Begründung ausreichen. Die Neuerungen bei der Aufnahme und Makros sind dann noch ein Bonus obendrauf. Von dem optionalen FFmpeg-Plugin sollte man aber weiterhin die Finger lassen.

Download: Aktuelle Audacity Version

Info: Neue Funktionen in Audacity 2.3.0 (Englisch)

Info: Vollständige Release Notes für Audacity 2.3.0 (Englisch)

zur Übersicht

01.10.2018 – Firefox 62.0.2 behebt Sicherheitslücke

Mozilla Firefox LogoMozilla hat ein kleines Update für Firefox 62 auf Version 62.0.2 veröffentlicht. Neben anderen kleinen Fehlerkorrekturen enthält die neue Version ein Sicherheitsupdate. Auch wenn die geschlossene Lücke nicht schwerwiegender Natur war, sollten Anwender Firefox bei nächster Gelegenheit updaten.

In Firefox ESR wurden zwei Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 60.2.1.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Mozilla Foundation Security Advisory 2018-20' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

01.10.2018 – Wieder Sicherheitslücke in Western Digitals 'MyCloud' und 'MyCloud Mirror' Systemen!

Router Security LogoEs vergeht kein Jahr ohne mindestens eine Sicherheitslücke in NAS-Systemen von Western Digital (kurz WD). Bereits im Jänner dieses Jahres haben wir über Lücken berichtet, die der Hersteller monatelang ignoriert hat. Jetzt gibt es wieder eine Lücke die es Angreifern ermöglicht das Gerät anzugreifen, sofern es mit dem Internet verbunden ist (ein Schritt, den man sich bei NAS-Geräten grundsätzlich gut überlegen sollte).

Auch dieses Mal hat WD die Lücken ewig lange ignoriert – 17 Monate um genau zu sein! Das belegt einmal mehr, das WD die Sicherheit der Daten seiner Kunden praktisch egal ist und unsere Empfehlung, keine NAS-Systeme von diesem Hersteller zu kaufen, aus gutem Grund besteht.

Anwender die bereits mit solchen Geräten gestraft sind (und nicht extra neue Geräte kaufen wollen), sollten die nun erhältlichen Software-Updates zügig installieren und die Geräte, wenn irgendwie möglich, vom Internet abschotten.

Quelle: 'Western Digital patcht über ein Jahr alte Sicherheitslücke im NAS My Cloud' auf Heise Online

Download: Aktuelle Firmware-Updates für WD-Geräte auf wdc.com

zur Übersicht

01.10.2018 – Cisco schließt Sicherheitslücken in Webex und Video Surveillance Manager

Cisco hat Sicherheitslücken in der Video-Konferenz-Software ‚Webex‘ und der Überwachungssoftware ‚Video Surveillance Manager‘ behoben. Anwender, die eine der beiden Software-Pakete auf ihrem PC haben, sollten in den entsprechenden Security Bulletins nachlesen, wie die passenden Updates installiert werden können.

Info: 'Cisco Security Bulleting SA-20180919 - Webex' auf Cisco.com

Info: 'Cisco Security Bulleting SA-20180921 - Video Surveillance Manager' auf Cisco.com

zur Übersicht

01.10.2018 – Vivaldi veröffentlicht Version 2.0!

Vivaldi LogoVivaldi hat soeben den größten Versionsnummernsprung in seiner Geschichte hingelegt und spaltet damit ein bisschen die Meinungen:

Für Cloud-Verweigerer (wie uns), bietet Vivaldi 2.0 kaum Neues und stellt damit eigentlich ein eher „langweiliges“ Release dar, das auf keinen Fall so einen hohen Versionssprung rechtfertigt. Es gibt zwar ein paar kleinere sichtbare Neuerungen, aber die bisherigen Releases fanden wir spannender.

Cloud-Fans, bzw. Anwender, die Browser-Synchronisation für ein unverzichtbares Feature halten, werden mit Vivaldi 2.0 hingegen ihre Freude haben. Die Synchronisation erlaubt es Lesezeichen, Schnellstart-Einträge, Passwörter (!), AutoAusfüll-Formulardaten, den Verlauf, die verwendeten Erweiterungen und die Notizen zwischen mehreren Geräten zu synchronisieren. Immerhin landen all diese Daten nicht im Klartext auf den Servern Vivaldis, sondern sind verschlüsselt. Als Passwort für die Verschlüsselung kann dasselbe Passwort wie für das Vivaldi-Konto verwendet werden (dann hat Vivaldi und mögliche Hacker zugriff auf diese Daten), man kann aber auch ein unabhängiges Passwort verwenden. In letzterem Fall sollten die Daten dann vor neugierigen Blicken relativ sicher sein.

Abgesehen von der Browser Synchronisation gibt es ein paar kleine Neuerungen beim Tab-Handling, eine aktuelle Chromium-Version und natürlich jede Menge kleinerer Fehlerkorrekturen.

Download: Aktuelle Vivaldi Version

Quelle: 'Vivaldi-Browser gibt Account-Synchronisierung frei' auf Heise Online

Quelle: 'Vivaldi 2.0 – Your browser matters' auf Vivaldi.com (Englisch)

zur Übersicht

01.10.2018 – LibreOffice 6.1.2 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 6.1.2 der freien Bürosuite veröffentlicht. Auch wenn in dieser Version wieder etliche Fehler korrigiert wurden, empfiehlt sich die noch relativ junge 6.1er Serie eher für neugierige Anwender, die immer die neueste Software einsetzen wollen und dafür Fehler in Kauf nehmen.

Konservative Anwender und Firmen sollten bis auf weiteres bei LibreOffice 6.0.6 bleiben.

Quelle: Liste der Neuerungen in LibreOffice 6.1 – Kurzübersicht

Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.1

Download: Aktuelle LibreOffice Versionen (6.0 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.1 Serie)

zur Übersicht

19.09.2018 – Sicherheitsupdate für zahlreiche Adobe Programme

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 31.0.0.108. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Reader LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2018.011.20063 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-34 (Englisch)

ColdFusion:

Nutzer von Adobe ColdFusion sollten ebenfalls unbedingt Updates installieren, um schwere Sicherheitslücken zu schließen. Updates gibt es hier für die Versionen 11, 2016 und 2018. Wie die Updates zu installieren sind, steht in dem 'Adobe Security Bulletin APSB18-33'.

Quelle: 'Adobe Security Bulletin APSB18-33' auf Adobe.com (Englisch)

zur Übersicht

19.09.2018 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

19.09.2018 – Wieder Sicherheitslücken in Intel-Prozessoren!

Intel LogoWieder einmal wurden neue Sicherheitslücken in Intels Management Engine entdeckt. Betroffen sind diesmal Prozessoren ab der 6ten Core-Generation (z.B. Core i-6000) sowie verwandte XEON, Pentium und Celeron Prozessoren, aber auch Atom-Prozessoren der letzten 3 Jahre. Eine genaue Liste finden sie im verlinkten Artikel von Heise Online.

Wie erkenne ich, ob mein Computer betroffen ist?

Leider stellt Intel (bisher?) kein Prüfprogramm für die unter der Bezeichnung ‚INTEL-SA-00125‘ geführten Sicherheitslücken bereit. Eine Anleitung, wie man selbst prüfen kann, ob das verwendete BIOS sicher ist oder nicht, würden den Umfang dieses Artikels sprengen.

Was tun?

Solange Intel kein einfaches Prüfprogramm zur Verfügung stellt, bleibt Anwendern der betroffenen Prozessoren nur übrig auf Verdacht hin nach neuen BIOS-Versionen Ausschau zu halten. Angesichts der ständigen Sicherheitslücken in Intel Prozessoren (ME und Spectre) ist das ohnehin ein guter Rat für sämtliche PCs, Notebooks und Server.

Quelle: 'Bug in Intels ME-Firmware: Wieder BIOS-Updates nötig' auf Heise Online

Quelle: 'Intel Security Advisory SA-00125' auf Intel.com (Englisch)

zur Übersicht

19.09.2018 – Firefox 62 behebt Sicherheitslücken!

Mozilla Firefox LogoMozilla hat in der neuen Firefox Version 9 Sicherheitslücken behoben, wovon eine von kritischer Natur war. Firefox Anwender sollten daher rasch auf Version 62.0 aktualisieren, falls nicht bereits geschehen. Anwender von Firefox ESR sollten auf Version 60.2 ESR updaten.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Mozilla Foundation Security Advisory 2018-20' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

19.09.2018 – Cisco Router: 3 unsichere Geräte aber nur ein Update

Router Security LogoCisco hat in drei Routern für kleine Firmen und Privatanwender Sicherheitslücken gemeldet. Behoben wurden die Lücken jedoch nur in dem Modell RV130W Wireless-N. Die Modelle RV215W Wireless-N und RV110W Wireless-N bekommen kein Update mehr.

Besitzer des RV130W sollten umgehend die Firmware aktualisieren. Besitzer der beiden anderen Geräte sollten auf jeden Fall sicherstellen, dass der Gast-Zugang und die Remote-Management-Funktion deaktiviert ist. Langfristig sollte man sich aber auf jeden Fall um einen neueren Router umsehen, der vom Hersteller noch mit Support bedacht wird.

Download: Aktuelle Firmware für RV130W Wireless-N Multifunction VPN Router

Quelle: ''Sicherheitsupdates: Angreifer könnten VPN-Firewalls von Cisco übernehmen' auf Heise Online

zur Übersicht

07.09.2018 – Betriebsurlaub!

Wir begeben uns jetzt eine Woche in Betriebsurlaub. Wir sind ab dem 17.09.2018 wieder für unsere Kunden da.

zur Übersicht

07.09.2018 – Sicherheitsupdates für Google Chrome!

Google Chrome LogoGoogle hat Version 69 von Google Chrome veröffentlicht. Darin wurden zahlreiche, zum Teil kritische, Sicherheitslücken behoben. Wer entgegen unserer Empfehlung, keine Produkte von Google einzusetzen, Google Chrome verwendet, sollte rasch auf Version 69 updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

07.09.2018 – Nvidia schließt Sicherheits-Lücke in Geforce Experience

Nvidia LogoNvidia stopft mal wieder Sicherheitslücken in seinen Treibern bzw. der zugehörigen Software. Im aktuellen Fall gehts um die Software Geforce Experience. Besitzer einer Geforce Grafikkarte die nicht damit spielen, sollten Geforce Experience am besten komplett deinstallieren. Spieler, die das Programm verwenden, sollten zügig auf den Geforce Treiber v399.07 updaten, dort ist die abgesicherte Fassung v3.14.1 von Geforce Experience enthalten.

Quelle: 'Sicherheitsupdate: Nvidia Geforce Experience als Einfallstor für Angreifer' auf Heise Online

Download: Aktuelle Nvidia Treiber

zur Übersicht

31.08.2018 – Sicherheitsupdate für Adobe Creative Cloud

Adobe CC LogoEine Sicherheitslücke in der Creative Cloud Desktop App könnte es Angreifern erleichtern den PC mit Viren zu infizieren. Für Abhilfe sorgt das Update auf Version 4.6.1. Beim Start der Creative Cloud App sollte diese automatisch auf das Update hinweisen.

Quelle: 'Adobe Security Bulletin APSB18-32' auf Adobe.com (Englisch)

zur Übersicht

31.08.2018 – Bluetooth Sicherheit ist und bleibt (vorerst) schlecht!

Bluetooth LogoIm letzten Bluetooth Artikel hatten wir noch berichtet, dass eine Bluetooth-Verbindung sicher ist, wenn beide Geräte mindestens Bluetooth Standard 4.2 unterstützen. Das hat sich jetzt leider auch als nicht ganz korrekt herausgestellt, denn nach vielen Mails mit Lior Neumann und Damien Cauquil (beides Experten für Bluetooth {Un}Sicherheit) ist klar, dass Bluetooth LE 4.2 zwar eine sichere Verschlüsselung beherrschen muss (für das klassische Bluetooth gilt das schon länger), aber der Standard erzwingt die Verwendung nicht!

Vereinfacht gesagt, eine Verbindung zwischen zwei Bluetooth (LE) 4.2 Geräten KANN sicher sein, muss sie aber NICHT. Es gibt für den Anwender letztendlich keine Möglichkeit festzustellen, ob die Verbindung zwischen zwei Geräten sicher ist oder nicht.

Hier hat die Bluetooth SIG (die Verfasser der Bluetooth Spezifikationen) ganz klar versagt oder dem Drucker der Hersteller nachgegeben, die natürlich keine Geräte verkaufen wollen, die inkompatibel zu älteren Bluetooth Geräten wären. Dabei könnte man die Problematik eigentlich ganz einfach über ein Zusatz-Siegel á „Verschlüsselte Verbindung erzwungen“ lösen. Dann würden Anwender schon vor dem Kauf sehen, ob das Gerät sicher verwendet werden kann oder nicht.

Was bedeutet das in der Praxis?

Streng genommen müsste man von der Verwendung von Bluetooth generell abraten, immerhin kann schon eine simple Bluetooth-Maus von Angreifern dazu genutzt werden, um Daten von einem Computer zu stehlen, diesen mit Viren zu infizieren oder komplett zu übernehmen! Jedoch dürften manche Szenarien „vermutlich“ sicher sein. Eine Verbindung von Notebook/PC zu Smartphone sollte sicher sein, wenn mindesten folgende Betriebssysteme und Updates verwendet werden:

Was ist mit Fitnesstrackern, Mäusen, Tastaturen und anderen Bluetooth Geräten?

Sofern ein Test (am besten von unabhängigen Prüfinstituten) des jeweiligen Gerätes nicht explizit eine sichere Verbindung bescheinigt, muss man leider grundsätzlich davon ausgehen, dass die Verbindung nicht sicher ist. Streng genommen macht das die meisten dieser Geräte unbrauchbar, weil ein Fitnesstracker, den man nicht mit dem PC synchronisieren kann (bzw. sollte), ergibt kaum mehr Sinn als eine Bluetooth-Maus die man nicht mit dem PC koppeln darf. Da die Geräte aber der Spezifikation entsprechen, hat man auch kein Rückgaberecht oder ähnliches.

zur Übersicht

31.08.2018 – Weitere Software zum Schutz vor BadUSB!

BadUSB LogoLetzte Woche hatten wir im Rahmen des Artikels über gefährliche USB-(Lade)Kabel auf die Software ‚G DATA USB KEYBOARD GUARD‘ hingewiesen. Nun haben wir eine weitere Software gefunden, die sich als Schutz gegen BadUSB nutzen lässt.

Die Software USBDLM (USB Drive Letter Manager) ist eigentlich auf die Verwaltung von Laufwerksbuchstaben für USB-Laufwerke spezialisiert, kann aber bei korrekter Konfiguration auch gegen BadUSB eingesetzt werden, zumindest gegen die gefährlichste Variante mit virtueller Tastatur.

G Data oder USBDLM?

Beide Software Pakete haben ihre Vor- und Nachteile, wenn es um den Schutz gegen BadUSB geht. Die G Data Software ist von vornherein nur auf den Schutz vor BadUSB ausgelegt, man muss die Software also nur installieren und ist geschützt. Zudem ist die Software auch für gewerbliche Nutzung kostenlos. Nachteil ist jedoch, dass die Software ein Taskleisten-Symbol erzeugt das nicht abschaltbar ist und man keine strengeren Regeln für Firmen mit Administratoren einrichten kann. Bei USBDLM ist der Schutz gegen BadUB standardmäßig deaktiviert und man muss eine Konfigurationsdatei bearbeiten, um das zu ändern, was unerfahrene Anwender schon überfordern könnte. Zudem ist USBDLM für Firmen nicht kostenlos, wenngleich die Lizenzen günstig sind. Dafür kann man bei USBDLM erlaubte Geräte in eine Whitelist eintragen und alle anderen Tastaturen aussperren. Damit eignet sich eigentlich nur USBDLM wirklich für Firmen, wenn man den Schutz ernst nehmen möchte. Bei der G Data Software kann ein unwissender Anwender die virtuelle Tastatur zulassen und den Schutz damit komplett aushebeln.

Was ist mit manipulierten Tastaturen?

Gegen eine manipulierte oder verseuchte Tastatur mit USB-Anschluss hilft natürlich keine der beiden Programme, aber das ist wieder ein ganz anderes Thema. Von Second-Hand-Tastaturen raten wir jedoch aus eben diesen Gründen ab. Besser ein neue, original-verpackte Tastatur verwenden.

Download: USB Drive Letter Manager

Download: G DATA USB KEYBOARD GUARD

zur Übersicht

31.08.2018 – Gimp 2.10.6 – wieder neue Funktionen!

Gimp LogoLangsam gewöhnen sich Gimp Anwender daran, dass es regelmäßig Gimp Updates gibt die nicht nur Fehler beheben, sondern auch neue Funktionen bringen. Auch Gimp 2.10.6 bringt wieder ein paar kleine aber feine Neuerungen.

Die in der letzten Version eingeführte Funktion zum automatischen begradigen von Fotos kann nun Fotos nicht mehr nur anhand horizontaler, sondern auch vertikaler Linien ausrichten. Auch Test kann jetzt einfach vertikal gesetzt werden, egal ob von oben nach unten oder umgekehrt.

Auch das Filter-Arsenal wurde wieder erweitert. Der Filter „Kleiner Planet“ staucht Ebenen zu einer Kugel, was beim passenden Motiv tatsächlich wie ein (sehr) kleiner Planet aussieht. Der Filter ‚Long Shadow‘ ist physikalisch eigentlich unzutreffend benannt, denn er erzeugt eigentlich keine Schatten, sondern deutet eine Extrusion, also eine Erweiterung in die Tiefe, an.

Natürlich gibt es auch weitere klein Neuheiten und jede Menge Verbesserungen unter der Haube. Wer sich einen genaueren Überblick verschaffen möchte, sollte der englischen Newsmeldung auf Gimp.org einen Besuch abstatten, wo die neuen Funktionen teils durch Videos demonstriert werden.

Download: Gimp 2.10.6 für Windows

Info: 'Gimp 2.10.6 Ankündigung' auf Gimp.org (Englisch)

zur Übersicht

31.08.2018 – Skype jetzt mit Verschlüsselung!

Skype LogoSkype hat jetzt in Sachen Verschlüsselung zur Konkurrenz aufgeholt und bietet nun auf Wunsch ebenfalls verschlüsselte Kommunikation an. Über das Plus-Zeichen mit dem man einen neuen Chat oder Gespräch startet, lässt sich nun auch eine ‚private Unterhaltung‘ starten. Einer der größten Vorteile von Skype gegenüber der Konkurrenz ist dann jedoch hinfällig, denn prinzipbedingt können verschlüsselte Unterhaltungen nur an dem Gerät geführt werden, an dem man sie begonnen hat. Möchte man mitten in einem Chat also das Gerät wechseln (z.B. vom PC zum Smartphone oder Tablet) muss man den Chat beenden und am neuen Gerät neu beginnen.

Laut Skype-Website soll diese Funktion in allen aktuellen Skype-Fassungen enthalten sein, in der Windows 10 App-Fassung konnten wir jedoch keine entsprechende Option finden (geprüft in Windows 10 1709). Windows 10 Anwender, die verschlüsselt kommunizieren wollen, müssen also zur Desktop Version wechseln, bis die App-Fassung erneuert wurde.

Download: Aktuelle Skype Version

Quelle: 'Was sind private Skype-Unterhaltungen?' auf Skype.com

zur Übersicht

24.08.2018 – Sicherheitsupdate für Adobe Photoshop

Adobe Photoshop LogoOffenbar ist Adobe mit einem Sicherheitsupdate für Photoshop nicht rechtzeitig bis zum Tag der Updates fertig geworden und hat dieses nun nachgereicht. Adobe verrät bisher keine Details über die Lücken, außer, dass sie kritisch sind und sich zur Infektion des Computers nutzen lassen.

Photoshop Anwender sollten unbedingt auf (Photoshop CC 2019) Version 19.1.6 (oder neuer) bzw. (Photoshop CC 2018) Version 18.1.6 (oder neuer) updaten. Sämtliche älteren Versionen von Photoshop sollten nicht weiter verwendet werden!

Info: Adobe Security Bulletin APSB18-28 (Englisch)

zur Übersicht

24.08.2018 – Schwere Sicherheitslücken in Ghostscript!

Biohazard LogoDas US Cert warnt vor schweren Sicherheitslücken in der PDF/Postscript Software Ghostscript. Durch Verarbeitung manipulierter Dateien in den Formaten Post Script, Encapsulated Post Script (EPS), PDF oder XPS können Angreifer den PC mit Viren infizieren.

Den meisten Anwendern wird Ghostscript nichts sagen, dennoch könnten einige diese Software auf dem Rechner haben, denn sie wird teilweise mit PDF-Editoren bzw. PDF-Druckertreibern mitinstalliert. Auch Anwender von Gimp, Scribus oder anderen haben die Software vielleicht installiert. Linux Anwender haben die Software sogar fast sicher auf dem Rechner und bei Apple Systemen ist die Lage aktuell noch unklar.

Für Heim PCs:

Anwender von Windows-PCs sollten in der Liste der installierten Programme nachsehen ob Ghostscrip installiert ist und es gegebenenfalls vorübergehend deinstallieren. PDF-Druckertreiber die eine eigene Fassung von Ghostscript enthalten (wie z.B. PDFCreator) sollten sicher sein. Software, die aber Ghostscript als eigenständiges Paket installiert (siehe eben Liste der installierten Programme) sollte man vorübergehend meiden.

Webserver-Betreiber:

Auch wer eine Website, Blog oder dergleichen betreibt, könnte betroffen sein. Überall dort, wo Image Magick zum Einsatz kommt, wird ebenfalls auf Ghostscript zurückgegriffen. Hier kann man die Policies-Datei im IM-Ordner bearbeiten, um die betroffenen Dateiformate vorübergehend von der Verarbeitung auszuschließen (siehe Heise Online Artikel).

Kein Update in Sicht!

Der Hersteller von Ghostscript spielt aktuell die Vogel-Strauß-Taktik, sprich, es gibt keinerlei Stellungnahme zu dem Problem. Ob bereits an Updates gearbeitet wird, ist daher unbekannt und die oben erwähnten Maßnahmen gelten daher auf unbestimmte Zeit.

Quelle: 'Bislang kein Patch: Gefährliche Sicherheitslücken im PDF/Postscript-Interpreter Ghostscript' auf Heise Online

zur Übersicht

24.08.2018 – Gefährliche USB-Kabel!

BadUSB LogoIm Jahr 2014 haben wir zwei Artikel zum Thema BadUSB verfasst. Kurze Auffrischung, es geht um Fehler im USB-Standard, der es ermöglicht USB-Geräte zu manipulieren und sie für Angriffe auf Computer zu verwenden. Für Details lesen Sie bitte unseren Original-Artikel vom 17.09.2014.

Nachdem das Thema jahrelang vor sich hin dümpelte und eigentlich weder Betriebssystemhersteller noch Sicherheits-Software-Anbieter etwas dagegen getan haben, gibt es jetzt Neuigkeiten zu dem Thema. Forscher haben USB-Ladekabel vorgestellt, die sich ebenfalls für BadUSB-Angriffe nutzen lassen. Sie nennen das ganze USBHarpoon, es ist letztendlich aber dasselbe wie BadUSB, nur das die ganze Elektronik jetzt eben in USB-(Lade)Kabel integriert wurde.

Damit sollten Anwender nicht mehr nur vor fremden USB-Geräten gewarnt sein, sondern auch vor USB-Kabeln. Ohne Schutz, reicht das Anschließen eines Gerätes an so ein Ladekabel bereits, um einen Computer mit Viren zu infizieren. Also am besten keine fremden USB-Kabel verwenden und wieder verstärkt darauf achten, dass der G DATA USB KEYBOARD GUARD installiert ist und die Anwender damit auch umgehen können. Denn wenn Warnungen der Software ignoriert werden, bietet sie auch keinen Schutz.

Quelle: 'USBHarpoon: USB-Ladekabel als Gefahr' auf Heise Online

Quelle: '17.09.2014 – BadUSB und wie man sich schützen kann' auf CB-Computerservice.at

Download: G DATA USB KEYBOARD GUARD

zur Übersicht

17.08.2018 – Sicherheitsupdate für zahlreiche Adobe Programme

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 30.0.0.154. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Reader LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2018.011.20058 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-29 (Englisch)

Creative Cloud Client:

Eine Sicherheitslücken in der Creative Cloud Desktop App könnte es Angreifern erleichtern den PC mit Viren zu infizieren. Für Abhilfe sorgt das Update auf Version 4.5.5.342. Beim Starten der Creative Cloud App sollte diese automatisch auf das Update hinweisen.

Quelle: 'Adobe Security Bulletin APSB18-20' auf Adobe.com (Englisch)

Adobe Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Auch dieses wurde als wichtig eingestuft. Details findet man im Adobe Security Bulletin APSB18-23.

Quelle: Adobe Security Bulletin APSB18-26 (Englisch)

zur Übersicht

17.08.2018 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

17.08.2018 –Angriff auf Drucker per Telefonleitung!

Biohazard LogoForscher haben herausgefunden, dass zahlreiche im Umlauf befindliche Multifunktionsgeräte mit FAX-Funktion über die Telefonleitung angreifbar sind. Ist der Drucker erst unter Kontrolle eines Angreifers, kann dieser sich von dort aus möglicherweise auch auf andere Geräten im Netzwerk Zugriff verschaffen.

Die Meldung über zahlreiche Updates von Multifunktionsgeräten aus dem Hause HP hat genau mit diesem Angriffsszenario zu tun. Die Entdecker der Lücke gehen jedoch fest davon aus, dass nicht nur die zahlreichen HP Geräte angreifbar sind, sondern die meisten Geräte mit Fax-Funktion.

Da noch nicht einmal klar ist, welche Geräte tatsächlich betroffen sind, und selbst wenn völlig offen ist, ob entsprechende Update angeboten werden, sollten die Telefonkabel an allen Multifunktionsgeräten abgesteckt werden. Fax-Übertragungen sind für die meisten Anwender ohnehin eine absolute Seltenheit geworden. Im Fall der Fälle kann man das Gerät ja kurz anschließen und nach der Übertragung wieder abstecken. Firmen, die noch regelmäßig mit Faxen zu tun haben, sollten andere Methoden ausarbeiten, um Fax-Geräte nicht zum Einfallstor werden zu lassen.

Quelle: 'Totale Kontrolle: Multifunktions-Drucker über Fax angreifbar' auf Heise Online

zur Übersicht

17.08.2018 –Stimme nicht als „Passwort“ geeignet!

Biohazard LogoEigentlich sollte es niemanden überraschen, aber die eigene Stimme ist nicht geeignet um dadurch eine hinreichend sichere Authentifizierung vorzunehmen. Doch manche Firmen waren da optimistischer und bieten eine Authentifizierung per Sprache an, zum Beispiel eine Bank in USA.

Forscher haben jetzt aber Methoden vorgestellt, mit denen sie diese Stimmenerkennung überlisten können. Sie konnten dazu die benötigte Menge an Sprech-Muster-Material auf 10 Minuten reduzieren. Anders ausgedrückt, aus 10 Minuten Sprechproben Material können die Forscher eine künstliche Stimme erzeugen, die weder von Menschen noch Computern vom echten Sprecher unterschieden werden kann.

Wenn Ihnen ein Dienstleister also anbietet, sich per Sprache ausweisen zu können, lehnen sie dies ab und fordern sie eine Deaktivierung solcher Funktionen für ihre Konten/Dienste.

Quelle: 'Die eigene Stimme als Passwort? Besser nicht ...' auf Heise Online

zur Übersicht

10.08.2018 – Neuer Angriff auf WLAN-Verschlüsselung entdeckt!

Broken WLAN LogoBis vor kurzem waren Angriffe auf WLAN-Netze, die mit WPA2 verschlüsselt wurden, eher aufwendig. Durch Zufall wurde jetzt eine neue Methode entdeckt, die Angriffe auf WPA2 deutlich vereinfacht.

Bietet WPA2 damit gar keinen Schutz mehr?

WPA2 ist durch die neue Methode zwar schneller und einfacher zu knacken als bisher, aber völlig schutzlos ist man nicht. Letztendlich steigt die Bedeutung sicherer Passwörter.

Das Passwort machts … (vermutlich)

Wenn wir die Beschreibung des Angriffs richtig verstanden haben (für ausführliche eigene Tests fehlt uns die Zeit) bleibt das eigentliche Knacken des Passworts unverändert, was letztendlich nur die üblichen Schutzmaßnahmen bekräftigt. Die einfache Regel für Passwörter lautet ja bekanntlich, um so länger desto sicherer. Aus dem Original-Artikel kann man herauslesen, dass ein 7-stelliges Passwort auf der Hardware des Forschers (4 High-End Grafikkarten) in weniger als einer Minute geknackt war. Auf einem gewöhnlichen Notebook würde das dann vermutlich die eine oder andere Stunde dauern. Mit jeder weiteren Stelle steigt der Aufwand enorm an, verwendet man also ein 16 stelliges Passwort, sind Angreifer ohne spezielle Hardware praktisch außen vor. Geht man in die vollen und verwendet einen 63 stelligen Buchstaben-Zahlen-Salat, geht die zum Knacken benötigte Zeit so weit nach oben, dass auch Hacker mit der besten Hardware passen müssen.

Problemfall Fernseher und IoT …

Während bei Notebooks, PCs und Smartphones sehr lange WLAN-Passwörter kein Problem sind, da man diese per Textdateien kopieren kann, stellen ultralange Passwörter Fernseher und andere Geräte mit nur sehr primitiven Eingaben-Möglichkeiten, vor fast unlösbare Probleme. Wer allerdings auf eine Verbindung zwischen Notebook/PC und Fernseher verzichten kann und „nur“ Internet am Fernseher benötigt, kann die bei vielen neueren Routern vorhandene Funktion des Gast-WLANs nutzen. Für dieses WLAN kann man dann kürzere, praktischere Passwörter eingeben, ohne die Sicherheit der sensibleren Geräte zu gefährden. IoT Geräte sollten ohnehin in ein separates Netzwerk oder eben ins Gast-WLAN, da sie sehr häufig Sicherheitslücken enthalten die selten behoben werden.

WPA3 machts besser

Da die Tage von WPA2 spätestens jetzt eindeutig gezählt sind, wurde bereits der WPA3 Standard fertiggestellt. WPA3 bessert bei den jetzt anfälligen Methoden deutlich nach und soll auch primitive Geräte wie IoT oder Fernseher einfacher mit sicheren Schlüsseln verbinden. Allerdings müssen dafür alle involvierten Geräte WPA3 beherrschen, der Router alleine genügt nicht. Bis WPA3 großflächig verbreitet ist, dürften noch einige Jahre ins Land gehen. Allerdings sollte man bereits heute beim Kauf von WLAN-Geräten darauf achten, dass der Hersteller WPA3-Unterstützung anbietet oder nachreicht.

Quelle: 'WPA2 und WLAN-Sicherheit: Direkter Angriff auf WLAN-Router' auf Heise Online

Quelle: 'New attack on WPA/WPA2 using PMKID' auf Hashcat.net (Englisch)

zur Übersicht

10.08.2018 – Bluetooth (LE) 4.0 ist und bleibt unsicher!

Bluetooth LogoDa wir in unseren Bluetooth-Artikeln in den letzten beiden Wochen jeweils 2 Themen vermischt hatten, möchten wir an der Stelle nochmal explizit auf die Problematik rund um Bluetooth LE 4.0 eingehen.

Wie bereits letzte Woche geschrieben, sind Geräte die Bluetooth LE („Low Energy“ bzw. „Smart“) 4.0 unterstützen NICHT sicher. Ein Angreifer kann nicht nur die Kommunikation solcher Geräte belauschen, sondern auch selbst Informationen abfragen. Entscheidend ist dabei, das bereits EIN Gerät nach 4.0 LE Standard ausreicht. Also selbst wer ein relativ neues Smartphone mit BT 4.2 oder 5.0 besitzt, ist in Gefahr, wenn er sich z.B. mit einem BT LE 4.0 Fitnesstracker verbindet. Nur wenn BEIDE Geräte BT LE 4.2 oder neuer unterstützen, ist man vor einfachen Angriffen sicher (sofern Sicherheitsupdates gegen den Kurven-Angriff installiert sind).

Details können sie unseren letzten beiden Artikel zum Thema Bluetooth entnehmen, heute wollten wir nur noch einmal darauf hinweisen, dass man um Geräte die nur Bluetooth LE 4.0 unterstützen einen Bogen machen sollte. Das ist auch kein vorübergehendes Problem, dass sich irgendwann durch Sicherheitsupdate von selbst löst, sondern ein grundsätzlich unsicherer Standard.

Da die Hersteller selbst teilweise nur sehr spartanische Angaben bzgl. der unterstützen Bluetooth Standards ihrer Geräte machen, kann ein Blick in die Zertifizierungsdatenbank der Bluetooth SIG oder bei Smarthones und Tablets die Website GSMArena dabei helfen herauszufinden welchen Bluetooth-Standard die eigenen Geräte unterstützen.

Info: 'Datenbank zertifizierter Geräte der Bluetooth SIG' (Englisch)

Info: 'GSMArena Homepage - Spezifikationen für viele Mobilgeräte' auf gsmarena.com (Englisch)

zur Übersicht

10.08.2018 – Sicherheitsupdates für Vivaldi und Google Chrome!

Vivaldi LogoGoogle hat Version 68 von Google Chrome veröffentlicht. Darin wurden zahlreiche, zum Teil kritische, Sicherheitslücken behoben. Wer entgegen unserer Empfehlung, keine Produkte von Google einzusetzen, Google Chrome verwendet, sollte rasch auf Version 68 updaten.

Vivaldi hat die Sicherheitskorrekturen aus Chromium 68 in Vivaldi 1.15 (1147.55) übernommen.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)

zur Übersicht

10.08.2018 – Kritische Sicherheitslücken in etlichen HP-Druckern!

HP LogoSeelig die Zeiten, in denen Drucker ausschließlich über USB angeschlossen oder nur aus dem internen Netzwerk erreichbar waren. Heute müssen Drucker E-Mails empfangen können und mit der Cloud verbunden sein. Dass damit auch neue Bedrohungen einhergehen, ist selbstverständlich. HP hat bei vielen seiner Drucker gepatzt und kritische Lücken eingebaut. Angreifer müssen nur eine präparierte Datei an so einen Drucker senden, um volle Kontrolle über das Gerät zu erlangen. Von dort kann man sich dann weiter im internen Netzwerk umsehen, was die Lücke so kritisch macht.

Anwender, die einen Drucker von HP besitzen, sollten unbedingt prüfen, ob dieser in der langen Liste der betroffenen Geräte enthalten ist und gegebenenfalls die Firmware des Druckers aktualisieren. Darüber hinaus raten wir grundsätzlich immer dazu, alle Netzwerk/Cloud-Funktionen von Druckern zu deaktivieren, die nicht unbedingt benötigt werden.

Quelle: 'HP schließt zwei kritische Lücken in zahlreichen Inkjet-Druckern' auf Heise Online

Quelle: 'HPSBHF03589 rev. 2 - HP Ink Printers Remote Code Execution' auf hp.com (Deutsch/Englisch)

zur Übersicht

10.08.2018 – Mozilla: Thunderbird 60 ist da!

Mozilla Thunderbird LogoMozilla hat seinem E-Mail-Programm mal wieder ein größeres Update spendiert, als nur die üblichen Sicherheitslücken zu schließen. Auffälligste Änderung sind die nun eckigen Tabs. Auch sonst wurde die Oberfläche moderat modernisiert. Gewohnheitstiere müssen sich aber nicht fürchten, es sind wirklich nur dezente Neuerungen.

Auffälliger wird es, wenn man das dunkle oder helle Design aktiviert, die jetzt mitgeliefert werden. Speziell das dunkle Design löst dann doch einen gewissen Aha-Effekt aus. Noch viel mehr hat sich aber unter der Haube getan. Mit vielen Verbesserungen bei IMAP Konten und im Kalender.

Erweiterungen bereiten Kopfschmerzen ...

Aber die neue Version bringt nicht nur Vorteile. Mozilla hat sich vor einiger Zeit entschieden, die altbekannten Erweiterungen durch ein neues System zu ersetzen. Während aktuelle Firefox Versionen hier sehr konsequent sind, haben Thunderbird Anwender noch eine Schonfrist. Alte Erweiterungen laufen …. noch … teilweise. Um alte Erweiterungen weiterhin nutzen zu können, muss man in den erweiterten Optionen den Eintrag „extensions.strictCompatibility“ auf „falsch“ setzen. Aber auch dann laufen nicht alle alten Erweiterungen problemlos. Einige Erweiterungen lasen sich nicht mehr konfigurieren, weil das Konfigurationsfenster nicht richtig angezeigt wird. Andere Erweiterungen laufen völlig problemlos. Wer Erweiterungen verwendet, muss selbst testen, welche noch gehen und welche nicht.

Kein automatisches Update bis jetzt …

Thunderbird 60 wird aktuell noch nicht per automatischem Upgrade angeboten. Wer in Thunderbird 52.9.1 aktuell nach Updates schaut, dem wird angezeigt er hätte die neuesten Version. Das ist kein Fehler und auch nicht unbedingt ein Nachteil. Die Meldungen auf anderen Webseiten, wonach Thunderbird 60 ein Sicherheitsupdate für Thunderbird 52.9.1 wäre, sind schlichtweg falsch (bzw. schlecht recherchiert). Irgendwann müssen sich Thunderbird Anwender aber auf ein automatisches Update auf Version 60 einstellen.

Fazit:

Wer Thunderbird ohne Erweiterungen verwendet dürfte mit der neuen 60er Version keine großen Probleme haben, die Basis-Funktionen haben in einem ersten Kurztest problemlos funktioniert. Wer aber auf Erweiterungen angewiesen ist, sollte sich darauf einstellen hier in den nächsten Wochen Zeit zu investieren. Eventuell müssen neue Erweiterungen gesucht werden, die alte ersetzen usw. Im schlimmsten Fall muss man das Upgrade vielleicht auch noch verschieben.

Quelle: 'E-Mail-Client Thunderbird 60 mit neuem Photon-Design' auf Heise Online

Download: Aktuelle Thunderbird Version

zur Übersicht

10.08.2018 – LibreOffice 6.1 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 6.1 der freien Bürosuite veröffentlicht. Neben den üblichen Verbesserungen an unter anderem dem Datenaustausch mit Microsoft Office gibt es auch leichte Änderungen an der Benutzeroberfläche.

So wurde ein neuer Symbol-Stil eingeführt, dass sich stärker an den Symbolen und Farben von Microsoft Office anlehnt. Das sollte Umsteigern die Umgewöhnung einfacher machen. Der neue Symbolstil wird aber nur bei Neuinstallationen standardmäßig aktiviert, bei einem Upgrade von früheren Versionen bleibt der zuvor eingestellte Stil erhalten. In den Optionen kann aber jeder Anwender ganz einfach den bevorzugten Symbolstil einstellen.

Wirklich spannende Neuigkeiten bringt LibreOffice für Datenbank-Anwender. Schaltet man die experimentellen Funktionen ein, verwendet Base bei neuen Datenbanken Firebird als Backend. Firebird sollte deutlich flotter als das eher gemächliche HSQLDB sein, das bisher verwendet wurde. Ein Assistent ermöglicht die Migration bestehender Datenbanken hin zur neuen Firebird-Variante. Diese können dann aber nicht mehr in älteren LibreOffice Versionen geöffnet werden!

Auch andernorts wurde an der Leistungsfähigkeit geschraubt. So sollen Bilder nun schneller und schöner dargestellt werden und die Tabellenkalkulation ‚Calc‘ kann nun mehrere Prozessorkerne für aufwendige Berechnungen verwenden.

In einem ersten Kurztest konnten wir zwar keine offensichtlichen neuen Fehler entdecken, nichtsdestotrotz empfehlen wir brandneue LibreOffice Versionen nur für experimentierfreudige Nutzer.

Quelle: 'LibreOffice 6.1 mit Microsoft-konformem Icon-Design' auf Heise Online

Quelle: Liste der Neuerungen in LibreOffice 6.1 – Kurzübersicht

Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.1

Download: Aktuelle LibreOffice Versionen (6.0 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.1 Serie)

zur Übersicht

03.08.2018 - Bluetooth Sicherheitslücke(n) – weitere Details!

Bluetooth LogoDie Sicherheitslücke in Bluetooth, die uns letzte Woche noch vor jede Menge Rätsel gestellt hat, ist nun deutlich klarer geworden. An der Stelle möchten wir uns Lior Neumann (Mitentdecker der Lücke) bedanken, der unsere E-Mails sehr geduldig beantwortet hat.

Invalide Kurven!

Die von den beiden Sicherheitsforschern gefundene Sicherheitslücke namens "Fixed Coordinate Invalid Curve Attack" die unter der CVE Nummer CVE-2018-5383 verewigt wurde, betrifft Bluetooth ab Version 3 und Bluetooth LE ab Version 4.2. Ältere Varianten der jeweiligen Bluetooth Spielarten bieten gar keine ausreichend verschlüsselte Verbindung und sind damit natürlich noch viel unsicherer.

Wie gefährlich ist es?

Kurz gesagt, sehr gefährlich. Letzte Woche haben wir bereits ein Szenario geschildert, das für sich genommen schlimm genug wäre. Es ist aber sogar noch dramatischer, denn es ist eigentlich egal, welche Geräte gekoppelt wurden, ein Angreifer kann sich immer alles holen was die Geräte hergeben. Ein Beispiel: Max Muster hat einen Bluetooth-Lautsprecher mit seinem Smartphone gekoppelt. Ein Angreifer kann jetzt aber nicht nur die Musik hören die Max hört, sondern auch auf die Kontakte, SMSe usw. auf Max Handy zugreifen. Es gibt also insofern keine „harmlosen“ Geräte mehr, da jedes x-beliebige verbundene Bluetooth-Gerät zum Einfallstor für Angreifer werden kann.

Bluetooth ist nicht Bluetooth!

Um in weitere Folge auf die Lösungen für das Problem zu kommen, muss man erst die Unterschiede zwischen Bluetooth und Bluetooth LE verstehen. Das klassische Bluetooth (auch Bluetooth BR bzw. EDR genannt) unterscheidet sich gravierend von Bluetooth LE (Low Energy oder auch Bluetooth Smart genannt). Beim klassischen Bluetooth wird die meiste Arbeit vom Bluetooth-Chip selbst gemacht. Bluetooth LE überlässt aus Kostengründen viel Arbeit dem Hauptprozessor bzw. dem Betriebssystem.

Lücke schließen bei Bluetooth (BR/EDR):

Beim klassischen Bluetooth reicht ein Treiber-Update um die Lücke zu schließen. Intel hat hier ja schnell und vorbildlich gehandelt und bereits neue Bluetooth-Treiber bereitgestellt. Wer einen Intel-Bluetooth-Chip verwendet, ist also schonmal aus dem Schneider, wenn der neueste Treiber installiert ist. Bei Chips von Broadcom, Qualcom usw. ist die Lage sehr viel schwieriger, da die Hersteller selbst keine Treiber zum Download bereitstellen. Diesen muss man vom Hersteller des Gerätes selbst beziehen. Bei einem USB-Bluetooth-Stick, also z.B. vom Hersteller des Sticks. Gerade bei billigen NoName-Sticks praktisch aussichtslos. Aber selbst bei Marken-Herstellern haben wir Stichproben-artig bisher keine Updates gefunden.

Bluetooth LE – Ohje…

Bei Bluetooth LE (Bluetooth Smart) kommen 2 Faktoren zusammen:

  1. Bluetooth LE Version 4.0:
    In dieser Bluetooth LE Version gibt es überhaupt keine ausreichend gute Verschlüsselung. Das große Problem dabei ist, das die Zahl der Geräte die Bluetooth 4.2 unterstützen noch sehr überschaubar ist! Auch Windows unterstützt bis hin zu Windows 10 1709 nur Bluetooth 4.0! Koppelt man also an so ein Bluetooth 4 Gerät ein anderes Gerät per Bluetooth LE, setzt man sich einem massiven Risiko aus! Einzige Lösung in dem Fall ist also, BEIDE gekoppelten Geräte auf Bluetooth 4.2 oder neuer aufzurüsten. Bei Notebooks oder PCs ist das meistens noch relativ einfach möglich, bei Smartphones, Fitnesstrackern, Gesundheits-Geräten usw. kann man den Bluetooth-Chip jedoch nicht austauschen, hier hilft nur der Austausch der kompletten Geräte (sofern man Bluetooth überhaupt verwenden möchte/muss).
  2. Bluetooth LE Version 4.2 oder neuer:
    Sofern bereits beide zu koppelnden Geräte Bluetooth Version 4.2 oder neuer unterstützen, braucht man "nur" ein Software-Update für das Betriebssystem bzw. den Bluetooth-Stack um sich gegen den Kurven-Angriff abzusichern. Das ist aber gar nicht so einfach, denn die Bluetooth-Stacks für Windows sind alle schon seit Jahren nicht mehr aktualisiert worden. Ob diese überhaupt Bluetooth 4.2 unterstützen ist unbekannt, geschweige denn, ob sie ein Update gegen den Kurvenangriff bringen werden. Abhilfe könnte hier Windows 10 Version 1803 werden. Das April-Update, das bei uns bisher hauptsächlichen wegen der vielen Kinderkrankheiten im Fokus war, soll (laut Herrn Neumann) Bluetooth 5.0 unterstützen. Außerdem soll Microsoft über den Kurvenangriff informiert worden sein, weshalb anzunehmen ist, dass MS spätestens am nächsten Tag der Updates ein passendes Sicherheitsupdate anbieten dürfte. Damit wäre dann die Kombination Windows 10 1803 und mindestens Bluetooth 4.2 kompatibler Chip/Geräte ein sicheres Gespann (sofern auch wirklich der Microsoft Stack eingesetzt wird – alternative Stacks [Widcom, Toshiiba usw.] müssten dann also deinstalliert werden).
Wie finde ich heraus, ob BT oder BT LE verwendet wird?

Da hilft leider nur das Studium der Handbücher zu den zu verbindenden Geräten. Per Software erfährt man nicht, ob ein verbundenes Gerät BT oder BT LE verwendet. Da PCs, Notebooks und Smartphones in der Regel immer beide Varianten beherrschen, ist das Endgerät der entscheidende Faktor. Also z.B. die Maus, die Smart-Watch, das Headset usw...

Zusammenfassung:

Wer Bluetooth nicht nützt und immer ausgeschaltet hat, muss sich auch keine Sorgen machen.
Wer Bluetooth nützt, muss zuerst wissen, ob das zu verbindende Gerät klassisches Bluetooth, oder Bluetooth LE (Smart) verwendet.
Bei klassischem Bluetooth-Verbindungen muss „nur“ der Bluetooth-Treiber aktualisiert werden.
Bei Bluetooth LE (Smart) Verbindungen, müssen BEIDE Geräte mindestens Bluetooth LE 4.2 unterstützen und das Betriebssystem (bzw. der Blutooth Stack) muss ebenfalls Bluetooth 4.2 unterstützen und ein Update gegen den Kuvenangriff muss installiert sein.

Quelle: 'Bluetooth-Lücke in Millionen Geräten entdeckt' auf Heise Online

Quelle: 'Security Bulletin des US-Cert' auf cert.org (Englisch)

Quelle: 'Original Report der Entdecker der Lücke' auf technion.ac.il (Englisch)

zur Übersicht

03.08.2018 - LibreOffice 6.0.6 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 6.0.6 der freien Bürosuite veröffentlicht. Da die 5.4er Serie seit 11. Juni keinen Support mehr erhält, sollten auch Privatnutzer und Firmen nun langsam zu der neuen Version wechseln. In einem ersten Kurztest konnten wir keine gravierenden Fehler feststellen.

OpenGL besser abschalten ...

Nach wie vor sollte für zügiges Arbeiten in LibreOffice die OpenGL Anzeige deaktiviert werden. Dazu klickt man auf EXTRAS → OPTIONEN. Im Optionen-Fenster wählt man in der linken Spalte ANSICHT und entfernt dann rechts den Haken bei ‚OpenGL für das rendern verwenden‘, falls es gesetzt ist. Der daraufhin folgenden Aufforderung LibreOffice neu zu starten sollte man nachkommen.

Download: Aktuelle LibreOffice Versionen (6.0 Serie)

zur Übersicht

27.07.2018 – Bluetooth wird zum Sicherheits-Sorgenkind!

Bluetooth LogoSicherheitsforscher haben einen Weg gefunden, sich in die Verbindung zweier Bluetooth-Geräte einzunisten. Das ermöglicht einem Angreifer zahlreiche bösartige Möglichkeiten. So kann man die komplette Kontaktliste auslesen, SMSe oder Audio-Übertragungen aufzeichnen oder vermutlich auch Tastatur-Eingaben protokollieren! Man kann diese Lücke daher nicht anders als gravierend bzw. hoch-kritisch bezeichnen!

Beispiel:

Um zu verdeutlichen, wie gefährlich diese Lücke ist, hier ein Beispiel-Szenario. Max Muster hat eine Bluetooth-Tastatur an seinen PC angeschlossen und verwendet ein älteres Android-Smartphone, das schon eine ganze Weile keine Sicherheitsupdates mehr bekommt. Das Smartphone ist mit seinem Fitness-Armband gekoppelt (es könnte auch eine Smartwatch oder anderes sein). Heute macht Max eine Überweisung über Netbanking und gibt dazu seine Verfügernummer, Passwort und den per SMS erhaltenen mTAN am PC ein. Ab jetzt kann auch der (nicht ganz so nette) Nachbar nebenan Überweisungen von Max‘s Konto aus anstellen. Wieso? Nun, Verfügernummer und Passwort konnte er Abfangen, weil eine Bluetooth-Tastatur zur Eingabe verwendet wurde und er sich in diese Verbindung über besagte Lücke eingenistet hat. SMSe kann er abfangen, weil Max‘s Smartphone diese dankenswerterweise auf das Fitness-Armband leitet und auch diese Verbindung überwacht wird. Mehr Daten benötigt der Angreifer nicht, um Geld von Max‘s Konto abzuheben.

Was kann man dagegen tun?

Die kurze und naheliegende Antwort lautet Updates für die betroffenen Geräte zu installieren, allerdings ist das ja bekanntlich nicht immer ganz einfach. Viele Endgeräte wie Headsets, Mäuse usw. werden niemals ein Update erhalten, weil sie gar keine updatebare Firmware haben. Das ist aber weniger schlimm als befürchtet, weil von zwei verbundenen Geräten jeweils nur eines abgesichert sein muss. Ist das der Fall, kann der Angreifer sich während des Koppelung-Vorganges (Pairing) nicht mehr einnisten. Die Krux liegt wie so oft im Detail, zu denen wir nun kommen.

Apple Geräte:

In diesem Fall haben es Besitzer von MacBooks und iPhones gut, denn Apple hat die Fehler bereits in macOS 10.13.5, iOS 11.4, watchOS 4.3.1 und tvOS 11.4 behoben. Wer jedoch ein älteres Gerät verwendet, das nicht mehr auf diese Software-Versionen upgedatet werden kann, ist verwundbar.

Android Geräte:

Android Geräte mit mindestens Android 6 sind dann immun gegen den Angriff, wenn sie auf Sicherheitspatch-Level 2018.06.05 sind. Geräte mit älteren Android-Versionen oder älteren Sicherheitspatch-Level sind angreifbar.

Windows:

Jetzt wirds leider undurchsichtig. Unter Windows ist nämlich nicht nur der verwendete Bluetooth-Stack entscheidend, sondern auch der Bluetooth-Treiber. Wer nur den Heise-Artikel oder das Bulletin des US-Cert liest, glaubt Windows-Anwender in Sicherheit, da der Microsoft-Bluetooth-Stack nicht über DIESE Lücke angreifbar ist. Allerdings behaupten die Entdecker der Sicherheitslücke, dass der Microsoft-Bluetooth-Stack noch für ältere, nicht minder gefährliche, Lücken anfällig ist. Leider machen sie aber dabei keine Quellen-Angaben, anhand derer man das genauer nachlesen könnte. Außerdem ist nicht klar, inwieweit der Treiber das Problem lösen kann. Intel hat z.B. bereits neue Treiber für seine Bluetooth-Module veröffentlicht, das die Lücken schließen soll. Aber ob der neue Treiber etwas nützt, wenn der eingebaute Bluetooth-Stack angreifbar ist, darauf gehen leider weder die Entdecker der Lücke, noch Intel, noch das US-Cert noch der Autor des Heise Artikels ein. Da der einzige alternative Bluetooth-Stack für Windows (der frühere Widcom-Stack der jetzt Broadcom gehört) auch schon seit 2 Jahren nicht aktualisiert wurde, gehen wir davon aus, dass man unter Windows zurzeit keine sicheren Bluetooth-Verbindungen herstellen kann! Nichtsdestotrotz sollten Windows-Anwender die Bluetooth nutzen den neuesten Bluetooth-Treiber installieren.

Mein Gerät bekommt keine Updates, was nun?

Wenn sie ein Gerät einsetzen das keine Updates mehr bekommt oder Windows (siehe unklare Lage bei Windows oben), gibt es keine wirkliche Lösung für das Problem. Das einzige was sie machen können ist, entweder gar keine Bluetooth-Geräte koppeln, oder beim Koppeln darauf achten, dass niemand in der Nähe ist. Da Bluetooth aber bis zu 50 Meter Reichweite haben kann (bei freier Sicht) und schon ein kleines unscheinbares Kästchen in der Nähe reicht, um den Angriff durchzuführen, muss man dafür schon alleine auf einer großen Wiese oder mitten im Wald stehen – nicht unbedingt praktikabel. Was man auf jeden Fall überlegen sollte, wäre gerade kritische Geräte, wie kabellose Tastaturen zu verbannen. Gerade billige Funk-Tastaturen sind ein immenses Sicherheitsrisiko, wie wir schon häufiger geschrieben haben. Wir versuchen eine Stellungnahme von Heise Security zum tatsächlichen Ausmaß des Dilemmas unter Windows zu erhalten, wir können aber nichts versprechen.

Quelle: 'Bluetooth-Lücke in Millionen Geräten entdeckt' auf Heise Online

Quelle: 'Security Bulletin des US-Cert' auf cert.org (Englisch)

Quelle: 'Original Report der Entdecker der Lücke' auf technion.ac.il (Englisch)

zur Übersicht

27.07.2018 – Sicherheitslücken in Samsung SmartThings Hub!

Samsung LogoIn Samsungs „SmartThings Hub“, einem Smart-Home-Controller, stecken 30 empfindliche Sicherheitslücken. Angreifer könnten so sensible Daten der Besitzer stehlen bzw. die Kontrolle über das Smart Home übernehmen.

Besitzer eines solchen Samsung Gerätes sollten zügig Sicherheits-Updates installieren. Aktuell ist Firmware-Version 22.14.

Quelle: 'SmartThings Hub: Samsung patcht gegen unbefugten Remote-Zugriff' auf Heise Online

Download: 'Is my Hub's firmware up to date?' auf Samsung.com (Englisch)

zur Übersicht

20.07.2018 - Schon wieder Sicherheitslücken in Intel-Prozessoren!

Intel LogoErst im November letzten Jahres hatten wir zuletzt über Sicherheitslücken in Intels Management-Engine (Intel ME), die in allen aktuellen Intel Prozessoren steckt, berichtet, nun wurden in dieser Einheit neue Sicherheitslücken entdeckt. Da die Lücken übers Netzwerk ausnutzbar sind und bis hin zur Ausführung fremden Codes reicht, muss man die Lücken als kritisch betrachten.

Welche Prozessoren sind betroffen?

Die schlechte Nachricht ist, es sind praktisch alle Intel Prozessoren seit den Core 2 bzw. Centrino 2 Generationen betroffen. Die gute Nachricht ist jedoch, dass nur die Ausführungen mit der Fernwartungsfunktion ‚Intel Active Management Technology‘ kurz AMT angreifbar sind. Typische Heimanwender-Notebooks und PCs sind also in der Regel nicht betroffen, während übliche Businessgeräte in der Regel angreifbar sein dürften.

Wie erkenne ich, ob mein Computer AMT hat?

Leider stellt Intel (bisher?) kein eigenes Prüfprogramm für die unter der Bezeichnung 'INTEL-SA-00112' geführten Sicherheitslücken bereit. Über Umwege kann man sich aber mit dem Test-Programm für die älteren Lücken SA-00075 Klarheit verschaffen. Laden sie sich dazu das unten verlinkte Prüfprogramm (SA-00075) herunter, entpacken, installieren und starten sie es. Prüfen sie nun im unteren Bereich die Zeile die mit ‚SKU:‘ beginnt. Die Ausgabe dort sollte einer der drei folgenden Möglichkeiten entsprechen:

Mein Computer hat AMT, was tun?

Wenn der Computer AMT hat ist er Stand heute zu 100% angreifbar, da Intel gerade erst damit begonnen hat Updates an die Computer-Hersteller auszuliefern. Bis die Hersteller aktualisierte BIOS-Versionen ausliefern vergeht erfahrungsgemäß immer etwas Zeit, sofern es überhaupt noch BIOS-Updates für ihr Gerät geben wird. Bei Business-Geräten ist die Wahrscheinlichkeit für BIOS-Updates zum Glück etwas besser als bei Heimanwender-Geräten, aber trotzdem gilt, je älter desto unwahrscheinlicher, dass ein entsprechendes BIOS erscheint.

Neues BIOS wurde eingespielt, ist der PC jetzt sicher?

Wenn für ihren PC ein neues BIOS erschienen ist, muss es noch nicht zwangsweise die abgesicherte Intel ME Version beinhalten. Um zu prüfen, ob das der Fall ist, starten sie wieder das Intel Prüfprogramm SA-00075 und notieren sich den Prozessor-Typ (im Abschnitt ‚Host Computer Information‘) sowie die ME Versionsnummer (im Abschnitt ‚ME Information‘). Anschließend vergleichen sie die Informationen mit den Angaben in Intels Sicherheitsbulletin SA-00112. Entspricht die ME-Versionsnummer der Angabe aus der Tabelle oder ist sogar neuer, ist die Schwachstelle behoben. Die richtige Zeile der Tabelle ist dabei abhängig vom verbauten Prozessor. Bei einem Core i5-4590 (also Core Prozessor der vierten Generation) z.B. wäre die aktualisierte ME-Version 9.1.43 oder neuer, bzw. 9.5.63 oder neuer.

Sehr alte PCs kriegen garantiert keine Updates mehr!

Wer einen Prozessor bis zur dritten Core Generation (z.B. Core i7-3770K) in seinem Computer hat, schaut ohnehin in die Röhre. Für diese Prozessoren bietet Intel keine aktualisierte ME-Firmware mehr an. Derartige System sollten also durch neue Rechner ersetzt oder mit neuem Prozessor/Mainboard aufgerüstet werden.

Quelle: 'Intel-Prozessoren: Management Engine (ME) über Netzwerk angreifbar' auf Heise Online

Quelle: 'Intel Security Bulletin SA-00112' auf Intel.com (Englisch)

Download: 'Intel Testtool für die ME-Schwachstelle (SA-00075)' auf Intel.com
(Kein Prüfprogramm für aktuelle Lücken, bitte Anleitung oben beachten!)

zur Übersicht

18.07.2018 - Sicherheitsupdates für Java und weitere Oracle Software

Eine Woche nach Microsoft bringt nun auch Oracle Sicherheitsupdates für etliche seiner Programme. Das wichtigste dabei ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java:

Oracle hat Version 8.0 Update 181 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stolze 7 Sicherheitslücken geschlossen. In Summe haben die Lücken die zweithöchste Gefahrenstufe vom Sicherheitsforscher Secunia zugewiesen bekommen, Anwender sollten also rasch updaten.

Oracle Java LogoWer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

VirtualBox:

In dem PC-Emulator VirtualBox wurden 9 Sicherheitslücken geschlossen, kritisch ist jedoch keine. Nichtsdestotrotz sollten Anwender von VirtualBox bei Gelegenheit auf die Version 5.2.16 updaten. Für die 5.1er Serie (und älter) gibt es keine abgesicherten Ausgaben mehr, hier sollte upgegradet werden.

Download: Aktuelle VirtualBox Versionen auf VirtualBox.org

MySQL:

Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat sowohl für die Datenbank selbst, als auch für zahlreiche Verwaltungsprogramme Updates veröffentlicht. Die geschlossenen Lücken sind teils kritisch, hier sollte also zügig gehandelt werden.

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - July 2018‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - July 2018' auf Oracle.com (Englisch)

zur Übersicht

16.07.2018 – Sicherheitsupdate für zahlreiche Adobe Programme

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 30.0.0.113. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Reader LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2018.011.20055 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-21 (Englisch)

Adobe Connect:

Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.

Quelle: Adobe Connect Security Bulletin APSB18-22 (Englisch)

Adobe Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Auch dieses wurde als wichtig eingestuft. Details findet man im Adobe Security Bulletin APSB18-23.

Quelle: Adobe Security Bulletin APSB18-23 (Englisch)

zur Übersicht

16.07.2018 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

16.07.2018 – Thunderbird (Sicherheits?)Updates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.9.1 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt auf jeden Fall ein paar kleinere Probleme. Unsicherheit herrscht beim Thema Sicherheitslücken. Die Liste der Neuerungen deutet einerseits auf Sicherheitskorrekturen hin, Details dazu lasen sich aber nicht finden. Da auch die nicht sicherheitsrelevanten Korrekturen wichtig sind, sollten Anwender aber so oder so das Update installieren, falls nicht bereits geschehen.

Neues auf der Efail Front:

Auch dem Thema Efail, also der Problematik rund um verschlüsselte E-Mails, haben sich die Mozilla Entwickler weiter angenommen. Die Entwickler betrachten Thunderbird nun als vollständig abgesichert gegen die bisher bekannten Efail-Angriffszenarien. Zum einen wurde das durch Entfernen von unsicherem Code erreicht, zum anderen durch die neue Option ‚mailnews.p7m_subparts_external‘. Diese muss in der erweiterten Konfiguration auf „Wahr“ gesetzt werden. Was genau das aber bewirkt hat Mozilla nicht ausführlich erklärt. Hätte die Einstellung keinerlei Nebenwirkungen wäre sie aber vermutlich standardmäßig aktiviert worden. Wir empfehlen die Aktivierung dieser Option daher nur Anwendern, die tatsächlich verschlüsselte E-Mail verwenden und auf höchste Sicherheit der Verschlüsselung wert legen.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

10.07.2018 - Neue iTunes & iCloud Versionen beheben kritische Sicherheitslücken!

Apple LogoApple behebt mit iTunes 12.7.5 zahlreiche teils kritische Sicherheitslücken in der Multimedia Software. Auch in iCloud musste Apple gehörig nachbessern und liefert diese Korrekturen mit Version 7.5 aus.

Anwender, die iTunes oder iCloud tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs deutlich langsamer machen, selbst wenn sie gar nicht verwendet werden.

Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.

Quelle: 'iTunes und iCloud für Windows: Update dringend angeraten' auf Heise Online

zur Übersicht

10.07.2018 - Schwere Sicherheitslücken in HP-Server-BIOS!

UEFI LogoHP Server, die eine Firmware aus der iLO4 Reihe verwenden, sollten dringend auf Version 2.60 upgedated werden. Darin wurden schwere Sicherheitslücken behoben, die es Angreifern ermöglichen aus der Ferne die komplette Kontrolle über den Server zu übernehmen.

Quelle: 'Jetzt patchen! Exploit-Code für extrem kritische Lücke in HPE iLO4 öffentlich' auf Heise Online

zur Übersicht

06.07.2018 - Wichtige Firmware-Updates für A1-Router!

Router Security LogoDer WLAN-Router Hersteller ADB, der in Österreich vor allem Kunden des Internet-Providers A1 versorgt, hat neue Firmware-Updates für mehrere Router veröffentlicht. Darin wurden schwerwiegende Sicherheitslücken behoben, durch die Angreifer die vollständige Kontrolle über den Router und damit auch das Heimnetz erhalten können.

Besitzer eines Routers der Firma ADB, also z.B. A1 Kunden, sollten unbedingt prüfen, ob sie eines der folgenden Router-Modelle verwenden. Neben dem Modell sehen sie jeweils die neue Firmwareversion für diese Geräte:

A1 Kunden die ein betroffenes Gerät verwenden, können sich über das unten verlinkte PDF-Dokument informieren, wie das Firmware-Update zu installieren ist. Möglicherweise gilt das dort beschriebene Prozedere auch für ADB Router die nicht von A1 bereitgestellt wurden.

Quelle: 'Lücken in Provider-Routern entdeckt' auf Heise Online

Info: Firmware-Update-Anleitungen von A1

zur Übersicht

06.07.2018 - WLAN-Treiber für MacBooks mit Windows behebt Sicherheitslücken!

WLAN Lücke KRACK LogoMit etlichen Monaten Verspätung liefert Apple jetzt aktualisierte Windows-Treiber für seine MacBooks aus. Diese beheben das KRACK-WLAN Problem aufseiten des Notebooks.

Apple hatte dieselben Schwachstellen bereits Ende letzten Jahres in MacOS und iOS behoben. Warum der Hersteller sich mit den Windows-Treibern so viel länger Zeit gelassen hat, ist nicht bekannt.

MacBook Besitzer die Windows verwenden sollten „Apple Update“ starten um das WLAN-Update zu installieren. Unabhängig davon empfiehlt es sich auch den WLAN-Router regelmäßig zu aktualisieren, bzw. sollte dieser ersetzt werden, wenn der Hersteller dafür schon länger keine Updates mehr anbietet.

Download: 'Apple stopft WLAN-Lücken auf Macs unter Windows' auf Heise Online

zur Übersicht

06.07.2018 - Gimp 2.10.4: schon wieder Verbesserungen!

Gimp LogoAuf Gimp 2.10 musste man zwar lange warten, aber jetzt sind die Entwickler richtig in Fahrt und bringen schon wieder ein kleineres Update für das beliebte Grafik-Programm. Gimp 2.10.4 bringt neben etlichen Fehlerkorrekturen und Performance-Verbesserungen auch ein paar kleine funktionale Neuerungen.

Gleich bei der ersten Neuerung mussten wir schmunzeln, denn erst kürzlich dachten wir erst wieder, dass das Begradigen von Fotos noch ein wenig umständlich ist. Kaum gedacht, schon bringt die neue Gimp Version eine neue Funktion zum Begradigen von Bildern. Wie gehabt misst man mit dem „Maßband“ (das Zirkel-Icon) die Schräglage des Bildes. Statt aber wie bisher sich den Wert zu merken, das Rotationstool aufzurufen und dann den Wert einzutippen, genügt jetzt ein Klick auf die Schaltfläche „Straighten“, die sich im Paneel „Werkzeugeinstellungen“ befindet. Vielleicht wird die Schaltfläche dann ja in der nächsten Version noch eingedeutscht und heißt dann „Begradigen“. Abgesehen von der fehlenden Übersetzung hat die neue Funktion aber noch einen Haken: Sie eignet sich im Moment nur für horizontale Korrekturen. Will man etwas vertikal ausrichten, wie z.B. eine schiefe Häuserwand, eignet sich die neue Funktion nicht.

Freuen werden sich auch Gimp-Anwender die häufig Schriften installieren/entfernen. Gimp führt die Suche nach installierten Schriften jetzt in einem eigenen Prozess aus, sodass der Gimp-Start davon nicht mehr behindert wird.

Die vollständige Liste der Neuerungen finden sie wie üblich in englischer Sprache auf der Gimp Homepage.

Download: Gimp 2.10.4 für Windows

Info: 'Gimp 2.10.4 Ankündigung' auf Gimp.org

zur Übersicht

04.07.2018 - Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.9.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt 13 Sicherheitslücken, wovon drei als kritisch eingestuft wurden. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten. Version 52.9 enthält auch weitere Maßnahmen gegen das ‚E-Fail‘-Angriffsszenario.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

02.07.2018 - ENDLICH: Sicherheitsupdates für Opera

Opera LogoDie Firma Opera hat sich sehr viel Zeit gelassen, um die Sicherheitsupdates aus Chromium 67 (veröffentlicht vor einem Monat!) in die stabile Opera-Ausgabe einzupflegen. Wir würden es begrüßen, wenn die Norweger wieder mehr Fokus auf Sicherheit legen würden, als auf irgendwelchen Spielereien an der Benutzeroberfläche.

Alle Anwender von Opera sollten rasch auf die neue Version aktualisieren, sofern das nicht bereits durch das automatische Update erledigt wurde. Im Menü 'Über Opera' kann man sehen, ob man bereits die aktuelle Version von Opera einsetzt, und gegebenenfalls auch gleich das Update starten.

Download: Aktuelle Opera Version

zur Übersicht

27.06.2018 - Firefox 61 verbessert Leistung und behebt Sicherheitslücken!

Mozilla Firefox LogoMozilla hat in der neuen Firefox Version 18 Sicherheitslücken behoben, wovon 6 kritischer Natur waren. Firefox Anwender sollten daher rasch auf Version 61.0 aktualisieren, falls nicht bereits geschehen. Anwender von Firefox ESR sollten auf Version 52.9 ESR oder 60.1 ESR updaten.

Firefox 61 soll darüber hinaus weiter an der Performance-Schraube drehen und vor allem den Wechsel zwischen Tabs weiter beschleunigen.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Mozilla Foundation Security Advisory 2018-16' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

Newsletter:


Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen:

Newsletter beantragen

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C