News Archiv: April - Juni 2024
News Archiv: Jänner - März 2024
News Archiv: Oktober - Dezember 2023
News Archiv: Juli - September 2023
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 131.0.6778.69 schließt 12 Sicherheitslücken mit Risiko-Einstufung "hoch". Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome bei nächster Gelegenheit aktualisieren.
Im Extended Stable Zweig geht es mit Versionsnummer 130.0.6723.127 weiter. Wie viele Lücken Google hier behoben hat verschweigt der Hersteller wie üblich, es ist aber davon auszugehen, dass die neue Version sicherheitstechnisch auf demselben Stand ist wie die neue 131er Ausgabe.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler haben Update 3 von Vivaldi 7 veröffentlicht. Neben der neuen Chromium Version 130.0.6723.129 repariert die neue Version auch noch mögliche Absturz-Ursachen und andere Kinderkrankheiten der 7er Ausgabe. Allerdings verursachte Update 3 auch ein neues Problem, warum kurz darauf Update 4 veröffentlicht wurde. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (3) for Vivaldi Desktop Browser 7.0' auf Vivaldi.com (Englisch)
Info: 'Minor update (4) for Vivaldi Desktop Browser 7.0' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch die Microsoft Programmierer haben ihre Hausaufgaben erledigt und stellen eine neue Edge-Version zum Download parat. Version 131.0.2903.48 enthält die neue Chromium Version 131.0.6778.69 und befördert den Browser damit wieder in einen sicheren Zustand. Edge Anwender sollten bei nächster Gelegenheit updaten.
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
In Adobe After Effects wurden unter anderem drei als "kritisch" eingestufte Sicherheitslücken behoben. Alle Anwender von After Effects sollten auf Version 24.6.3 (2024) oder 25.0 (2025) updaten. Alle älteren Jahrgänge erhalten keinen Support mehr und sollten deinstalliert werden.
Quelle: Adobe Security Bulletin APSB24-85 (Englisch)
In Adobes Audio-Bearbeitungs-Programm Audition wurde eine "wichtige" Sicherheitslücke behoben. Anwender sollten zügig auf Version 24.6.3 (2024) oder 25.0 (2025) updaten um sicher zu sein.
Quelle: Adobe Security Bulletin APSB24-83 (Englisch)
In Adobe Bridge wurden zwei "wichtige" Sicherheitslücken behoben. Das Update auf die abgesicherte Version 14.1.3 (2024) oder 15.0 (2025) sollte zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB24-77' auf Adobe.com (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurde eine kritische Sicherheitslücke behoben. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB24-90 (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe vier als "kritisch" eingestufte und fünf Sicherheitslücken mit etwas geringerer Risiko-Einstufung behoben. Um wieder sicher zu sein, müssen Anwender auf Version 28.7.2 (2024) oder 29.0 (2025) updaten.
Info: Adobe Security Bulletin APSB24-87 (Englisch)
Im Layout-Programm InDesign hat Adobe drei kritische und drei wichtige Sicherheitslücken behoben. Die Angaben bzgl. Versionsnummern, die Adobe im Bulletin macht, dürften einmal mehr nicht stimmen (sie ergeben keinen Sinn), wir können folgendes daher nur raten: Anwender des Programmes sollten rasch auf die Version 19.5.3 (2024) bzw. 20.0 (2025) updaten. Sämtliche älteren InDesign Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Info: 'Adobe Security Bulletin APSB24-88' auf Adobe.com (Englisch)
In Photoshop 2023 und 2024 wurde eine "kritische" Sicherheitslücke behoben. Leider machen auch hier die Versionsangaben keinen Sinn, da teils ältere Versionen als im letzten Photoshop Bulletin genannt werden. Am besten sorgt man einfach dafür, dass die neueste 2024er oder 2025er Version installiert ist und alle älteren Ausgaben entfernt werden, dann sollte man sicher sein.
Quelle: 'Adobe Security Bulletin APSB24-89' auf Adobe.com (Englisch)
In Adobes 3D-Programm 'Substance 3D Painter' wurden 16 (!) kritische Sicherheitslücken behoben und noch einige weitere mit geringerem Risiko. Anwender des Programms sollten besonders zügig auf Version 10.1.1 updaten.
Quelle: 'Adobe Security Bulletin APSB24-86' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Für Administratoren wird der November voraussichtlich kein ruhiger Monat werden. Grund dafür sind die Sicherheits-Updates für den Exchange-Server, die Microsoft veröffentlicht und dann später wieder zurückgezogen hat. Dort, wo die Updates bereits installiert wurden und nun Probleme mit Transport- oder DLP-Regeln auftreten, muss das November-Update wieder deinstalliert werden. Wo keine derartigen Regeln verwendet werden kann das Update manuell installiert werden, um die Sicherheitslücken zu schließen. Per Windows-Update wird das Update erst dann erneut freigegeben, wenn die Nebenwirkungen behoben sind. Laut Microsoft werden die Lücken die mit dem November-Update geschlossen werden noch nicht aktiv angegriffen, das verschafft dem Hersteller hoffentlich die nötige Zeit.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday Microsoft: Internet-Explorer-Komponente ermöglicht Attacken' auf Heise Online
Quelle: 'Fehlerhafte Patches: Microsoft stoppt Exchange-Server-Updates' auf Heise Online
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 6.2.0 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Sicherheitsupdates: Zoom Room Client & Co. angreifbar' auf Heise Online
Drei Wochen hat es gedauert, bis auch vom Studio-Treiber eine abgesicherte Ausgabe verfügbar ist. Diese liegt nun in Form von Version 566.14 vor. Nutzer von Nvidia-Grafikkarten, die den Studio-Treiber verwenden, sollten zügig auf diese Version updaten, um die Ende Oktober bekannt gewordenen Sicherheitslücken zu beheben.
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - October 2024' (Englisch)
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Für das Contentmanagement-System 'WordPress', bzw. dessen Plugins, sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Artikel:
Quelle: 'Wordpress-Plug-in Really Simple Security gefährdet 4 Millionen Websites' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Fehlerhafte Patches: Microsoft stoppt Exchange-Server-Updates' auf Heise Online
Quelle: 'Palo Alto untersucht mögliche Sicherheitslücke in PAN-OS-Webinterface' auf Heise Online
Quelle: 'Sicherheitsupdates: Dell Enterprise SONiC für mehrere Attacken anfällig' auf Heise Online
Quelle: 'Veeam Backup Enterprise Manager: Unbefugte Zugriffe durch Angreifer möglich' auf Heise Online
Quelle: 'SAP Patchday: Acht neue Sicherheitslücken, davon eine hochriskant' auf Heise Online
Quelle: 'Dell SmartFabric OS10: Angreifer können Schadcode ausführen' auf Heise Online
Quelle: 'Monitoring-Software Icinga: Updates schließen kritische Sicherheitslücke' auf Heise Online
Quelle: 'Citrix schließt Sicherheitslücken in Netscaler ADC und Gateway und weitere' auf Heise Online
Quelle: 'Ivanti patcht Endpoint Manager, Avalanche, VPN- und NAC-Software' auf Heise Online
Quelle: 'Fortinet stopft Sicherheitslecks in FortiOS, FortiAnalyzer und FortiClient' auf Heise Online
Quelle: 'Software-Entwicklungs-Tool Jenkins schließt mehrere Sicherheitslücken' auf Heise Online
Quelle: 'Updates verfügbar: Mehrere Sicherheitslücken bedrohen Gitlab' auf Heise Online
Quelle: 'Sicherheitspatches: Apache Traffic Server über mehrere Lücken angreifbar' auf Heise Online
Quelle: 'CISA warnt vor Angriffen auf Palo-Alto-Software' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 130.0.6723.117 schließt zwei Sicherheitslücken mit Risiko-Einstufung "hoch". Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome bei nächster Gelegenheit aktualisieren.
Der 130er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler haben Update 2 von Vivaldi 7 veröffentlicht. Neben der neuen Chromium Version 130.0.6723.121 repariert die neue Version auch noch eine mögliche Absturz-Ursache. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (2) for Vivaldi Desktop Browser 7.0' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch die Microsoft Programmierer haben ihre Hausaufgaben erledigt und stellen eine neue Edge-Version zum Download parat. Version 130.0.2849.80 enthält die neue Chromium Version 130.0.6723.117 und befördert den Browser damit wider in einen sicheren Zustand. Edge Anwender sollten bei nächster Gelegenheit updaten.
Microsoft hält an seinen Plänen fest, mit der "neues Outlook" genannten App das klassische Outlook zu ersetzen, auch gegen den Willen der Anwender, wenn nötig. Denn wer noch nicht freiwillig auf das "neue Outlook" umgestiegen ist, der soll ab Jänner "automatisch" auf das "neue Outlook" umgestellt werden. Verhindern kann man das nur, wenn man entweder eine Kaufversion von Microsoft Office einsetzt oder einen Registry-Eintrag setzt.
Gerade in kleinen Firmen ohne eigenen Administrator dürfte dann im nächsten Jahr das böse Erwachen anstehen, wenn Benutzer auf das "neue Outlook" umgestellt wurden und nicht mehr auf ihre PST-Dateien zugreifen können.
Und das ist nur eine der vielen Mängel der App "neues Outlook", für viele noch wichtiger dürfte der Datenschutz-Supergau sein, den die neue App darstellt. Denn Mails und Passwörter werden nicht mehr lokal auf dem eigenen Computer gespeichert, sondern immer auf Microsoft-Servern, selbst wenn man einen eigenen Mail-Server betreibt oder einen in der EU-ansässigen Datenschutz-konformen E-Mail-Provider nutzt.
Mehr zu Thema, darunter auch welcher Registry-Eintrag gesetzt werden muss, um vor der unfreiwilligen Umstellung geschützt zu sein, erfahren sie im verlinkten Heise Online Artikel.
Quelle: 'Microsoft verteilt das neue Outlook ab Januar an Business-Kunden' auf Heise Online
Im neuen Jahr läuft nicht nur der Support für Windows 10 aus, auch Office 2016 und 2019, sowie Exchange 2019 bekommen am Herbst 2025 keine Updates mehr. Auch wenn man sich für Windows 10 noch ein weiteres Jahr Updates kaufen können wird (wir haben letzte Woche berichtet) wird damit 2025 zum großen Jahr der Software-Upgrades. Wer Office 2016 oder 2019 einsetzt und weiterhin nicht auf LibreOffice umstellen, sondern auch künftig mit Microsoft Office arbeiten will, kommt um das neue Office 2024 oder ein Abonnement nicht herum.
Firmen die Exchange-Server einsetzen sollen kurz vor Ablauf des Supports ein entsprechendes Nachfolge-Angebot erhalten, noch ist aber unklar wie viel Microsoft dafür verlangen wird. Firmenkunden möglichst lange um Unklaren zu lassen dürfte ebenfalls eine Taktik sein, um möglichst viele Firmen zum Umstieg auf die Cloud-Version zu bewegen.
Quelle: 'Microsoft-Produkte: Kleinen deutschen Firmen droht brutale Migrationswelle' auf Heise Online
Der Hersteller Synology hat abermals wichtige Sicherheitsupdates für seine NAS-Systeme veröffentlicht. Wer ein Synology-NAS besitzt, sollte die verlinkten Heise Online Artikel lesen und die dort genannten Updates installieren.
Quelle: 'Synology korrigiert weitere kritische Pwn2Own-Sicherheitslücken' auf Heise Online
Die letzte Ausgabe aus der 24.2 Reihe ist nun verfügbar. Version 24.2.7 behebt noch einmal 57 Fehler gegenüber der Vorversion. Bisher haben wir die neue Version erst einem Kurztest unterziehen können der keine neuen Probleme offenbarte. Generell ist bei der Version nicht mehr mit neuen Fehlern zu rechnen, da ja keine neuen Funktionen mehr einfließen, sondern nur mehr Fehler behoben wurden.
Eine dringende Notwendigkeit für ein Update besteht aber vorerst nicht, wenn mindestens Version 24.2.5 verwendet wird. Ältere Versionen sollten aber unbedingt auf Version 24.2.7 aktualisiert werden, um gegen alle Sicherheitslücken geschützt zu sein.
Von den 24.8-Versionen raten wir vorerst noch ab, zumindest was die Masse der Anwender betrifft. Wer gerne "das Allerneueste" hat und Kinderkrankheiten in Kauf nimmt, kann natürlich sein Glück mit Version 24.8.2 versuchen. Gefundene Bugs sollten dann aber auch an die Entwickler gemeldet werden.
Download: Aktuelle LibreOffice Version
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Microsoft: Windows Server 2025 ist da!' auf Heise Online
Quelle: 'Okta: Sicherheitslücke in Verify gibt Angreifern Zugriff auf Passwörter' auf Heise Online
Quelle: 'Zoho ManageEngine ADManager Plus: Angreifer können SQL-Befehle einschleusen' auf Heise Online
Quelle: 'Veritas Netbackup: Rechteausweitung in Windows möglich' auf Heise Online
Quelle: 'HPE Aruba stopft Codeschmuggel-Lücken in Access Points' auf Heise Online
Quelle: 'Office unter Windows 11 24H2 mit installiertem Crowdstrike lahmgelegt' auf Heise Online
Quelle: 'Cisco: Sicherheitslücken in zahlreichen Produkten' auf Heise Online
Quelle: 'CISA warnt vor vier aktiv angegriffenen Sicherheitslücken' auf Heise Online
Quelle: 'Backup-Appliance PowerProtect DD von Dell als Einfallstor für Angreifer' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 130.0.6723.91 schließt zwei Sicherheitslücken, wovon eine mit kritischem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome rasch aktualisieren.
Der 130er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren wieder flott wie gewohnt und haben Update 1 von Vivaldi 7 bereits wenige Stunden nach Google veröffentlicht. Neben der neuen Chromium Version 130.0.6723.96 repariert die neue Version auch noch einige Kinderkrankheiten der 7.0er Reihe. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update for Vivaldi Desktop Browser 7.0' auf Vivaldi.com (Englisch)
Microsoft Edge:Einen Tag später als Vivaldi, aber immerhin, hat auch Microsoft seinen Edge-Browser auf die neue Chromium-Version aktualisiert. Edge Anwender sollten auf Version 130.0.2849.68 updaten.
Die Entwickler von Thunderbird haben die Version 128.4 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 10 Sicherheitslücken behoben, wovon zwei als "hohes Risiko" eingestuft wurden. Die 115er Serie erhält endgültig keine Updates mehr, weshalb Anwender die diese Ausgabe noch verwenden jetzt wirklich auf die 128er Version updaten sollten.
Alle Thunderbird Anwender sollten auf eine der neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Quelle: 'Sicherheitsupdates: Firefox und Thunderbird gegen Schadcode-Attacken gerüstet' auf Heise Online
Info: 'Thunderbird 128.4.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Anwender, die Mozilla Firefox verwenden, sollten auf Version 132 bzw. die ESR-Version 128.4 oder 115.17 upgraden. Diese beheben 11 Sicherheitslücken von denen zwei die Risikoeinstufung "hoch" erhalten haben.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Sicherheitsupdates: Firefox und Thunderbird gegen Schadcode-Attacken gerüstet' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Nvidia hat wieder Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. Es gibt Updates für die Grafikarten-Treiber und die VGPU-Software. In den echten Grafiktreibern hat Nvidia 6 Sicherheitsprobleme behoben, in der VGPU-Software waren es zwei. Alle Lücken wurden als "hohes Risiko" eingestuft.
Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 566.03 bei den GameReady-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 566.03, 553.24 bzw. 538.95) bereit.
Leider stehen einmal mehr keine abgesicherten Studio-Treiber bereit, wer bisher auf diese gesetzt hat, muss also entweder vorübergehend auf GameReady-Treiber ausweichen oder warten bis ein abgesicherter Studio-Treiber verfügbar ist.
Quelle: 'Nvidia: Rechteausweitung durch Sicherheitslücken in Grafiktreiber möglich' auf Heise Online
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - October 2024' (Englisch)
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Die Hersteller QNAP sowie Synology haben wichtige Sicherheitsupdates für ihre NAS-Systeme veröffentlicht. Wer ein NAS der genannten Hersteller besitzt, sollte die verlinkten Heise Online Artikel lesen und die dort genannten Updates installieren.
Quelle: 'Qnap schließt NAS-Sicherheitslücken aus Hackerwettbewerb' auf Heise Online
Quelle: 'Sicherheitsupdates: Schadcode-Attacken auf Synology-NAS möglich' auf Heise Online
Thunderbird für Android hat die Beta-Phase hinter sich gelassen und steht jetzt in finaler Version 8 für Android-Geräte im Playstore zur Verfügung. Warum Mozilla für die erste Ausgabe die Version 8 gewählt hat, ist uns ein Rätsel.
Das man nicht die Versionsnummer der Desktop-Version übernommen hat, ist logisch, denn die Ausgaben für Desktop und Android haben kaum etwas gemeinsam. Logisch wäre gewesen, die Versionsnummer von K9-Mail zu übernehmen, denn bei Thunderbird für Android handelt es sich eigentlich um K9-Mail in Thunderbird Optik. Dort ist die aktuelle Version aber 6.8, also weit von 8.0 entfernt.
Thunderbird für Android kann per QR-Code die Einstellungen der Desktop-Fassung übernehmen, was es Neueinsteigern erheblich einfacher macht mit Thunderbird auf Android loszulegen. Wer bisher schon K9-Mail verwendet hat und auf Thunderbird umsteigen will, kann die Konfiguration ebenfalls übernehmen.
Für Anwender von K9-Mail gibt es bisher aber keine gravierenden Gründe auf die Thunderbird-Fassung umzusteigen, da die Programme noch sehr ähnlich sind. Für Fans der Desktop-Version von Thunderbird, die schon lange nach einem ordentlichen E-Mail-Programm für Android gesucht haben, bietet sich nun aber eine perfekte Gelegenheit zum Probieren.
Quelle: 'Thunderbird für Android ist fertig' auf Heise Online
Vierzehn Monate nach Vorstellung von Version 1.3 macht Inkscape den nächsten größeren Sprung auf Version 1.4. Das beliebte Vektorgrafik-Programm hat eine Filtergalerie erhalten, die es leichter machen soll geeignete Filter auszuwählen. Auch das Anlegen von Rastern soll nun deutlich einfacher sein und gleichzeitig mehr Möglichkeiten bieten. In den Einstellungen kann zudem eine noch experimentelle Schriftart-Vorschau aktiviert werden.
Das Online-Magazin Linuxnews hat einen deutschsprachigen Artikel zur neuen Version veröffentlicht. Auf der Inkscape-Seite selbst ist noch eine deutlich ausführlichere Vorstellung der neuen Features verfügbar, allerdings nur in englischer Sprache.
Mit eigenen Erfahrungen zur neuen Version können wir noch nicht dienen, für mehr als einen ersten Blick auf die neue Version hat die Zeit bisher nicht gereicht. Sollten sich in der Praxis Probleme zeigen werden wir natürlich berichten.
Quelle: 'Inkscape 1.4 mit neuen Funktionen für Power-User' auf linuxnews.de
Download: Inkscape v1.4.0 (Windows, 64Bit)
Download: Weitere Inkscape Downloads
Bisher musste man davon ausgehen, dass zumindest Privat-Anwender im Herbst 2025 keine Wahl haben würden als auf Windows 11 upzugraden. Für Firmen, war schon länger klar, dass man sich eine Support-Verlängerung erkaufen können wird. Nun hat Microsoft aber überraschend auch eine Support-Verlängerung für Privat-Anwender angekündigt. Alle Details gibt es noch nicht, aber für 30 Dollar soll man sich ein weiteres Jahr Updates erkaufen können. Ein fairer Preis, wenn man dadurch das ungeliebte Windows 11 noch ein weiteres Jahr hinauszögern kann. Spätestens bis zum Sommer 2025 sollten alle Details vorliegen und man entscheiden können, ob man den Support noch ein Jahr verlängert oder nicht.
Wobei "Support-Verlängerung" eigentlich der falsche Ausdruck ist, denn es geht wirklich nur um eine Fortsetzung der Sicherheitsupdates. Support im Sinne von Problemlösung durch Microsoft-Techniker wird es nach Herbst 2025 nicht mehr geben.
Quelle: 'Microsoft: Supportverlängerung für Windows 10 auch für Privatanwender' auf Heise Online
Während viele Unternehmen und Privatanwender gerade erst dabei sind die Cloud für sich zu entdecken, gehen große Firmen oftmals bereits den umgekehrten Weg und holen wichtige Geschäftsprozesse wieder zurück auf eigene Server. Datenschutz, Performance und nicht zuletzt Kosten sind ein wichtiger Faktor beim Trend weg von der Cloud zurück zu OnPremise.
Quelle: 'Kosten meist höher als gedacht: Kunden verabschieden sich (teils) von der Cloud' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'VMware Tanzu Spring Security: Umgehung von Autorisierungsregeln möglich' auf Heise Online
Quelle: 'IBM App Connect Enterprise: Angreifer können Anmeldung umgehen' auf Heise Online
Quelle: 'IBM behebt drei Jahre alte Sicherheitslücke in Business Automation Workflow' auf Heise Online
Quelle: 'Nvidia ConnectX, BlueField: Angreifer können Daten manipulieren' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 130.0.6723.69 schließt 3 Sicherheitslücken, wovon eine mit hohem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Der 130er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Wie erwartet hat Vivaldi diese Woche eine komplett neue Version vorgestellt. Details dazu gibt es im folgenden Artikel.
Microsoft Edge:Microsoft hat diese Woche ebenfalls ein Update für Edge bereit und schreibt dazu, dass es "die letzten Chromium Sicherheitsupdates enthält", nennt aber keine konkreten Versionsnummern. Edge Anwender sollten auf Version 130.0.2849.56 updaten.
Vivaldi verabschiedet sich von Versionsnummer 6 und geht in die siebte Runde. Wie zu erwarten bzw. befürchten war, geht dieser Versionsnummern-Wechsel mit einer Designänderung einher. Vivaldi begrüßt Anwender nach dem Update nun mit runden Ecken und "schwebenden Tabs". Ganz so schlimm wie bei Firefox, wo dieser "moderne" Look bereits vor Monaten für viel Ärger bei den Anwendern gesorgt hat, ist es bei Vivaldi nicht.
Das liegt auch am neuen "Kompakt"-Modus, der mit der Platzverschwendung des neuen Designs zumindest etwas aufräumt und den Look wieder etwas mehr in Richtung der 6er-Serie verschiebt. Aktivieren kann man den Kompakt-Modus im Einstellungs-Fenster unter "Darstellung → Fenstereinstellungen → Benutzeroberflächendichte". Standardmäßig wird der Modus "Normal" verwendet, wer weniger Platz verschwenden will schaltet stattdessen auf "Kompakt" um. Die Checkbox "Kompaktes Menü-Layout" bewirkt unter anderem, dass das Kontext-Menü der Tabs ebenfalls weniger Platz verschwendet und man kürzere Wege hat.
Abgesehen von der umstrittenen Design-Änderung ist das neue "Dashboard" der Star des 7.0er Updates – zumindest in den Augen des Vivaldi Teams. Ob es auch unter Vivaldi-Nutzern zum Liebling mutiert ist fraglich, zumindest bei den Anwendern die Vivaldi nur zum Internetsurfen verwenden. Wer Vivaldi hingegen auch für Mails, Kalender usw. nutzt, bei dem könnte das Dashboard als vereinheitlichte Startseite eventuell Sinn ergeben.
Weitere Neuerungen sind ein verbesserter Feedreader, optimierte E-Mail-Handhabung und eine schnellere Synchronisation. Die wichtigste Neuerung verbirgt sich aber wie jedes Mal unter der Haube, denn natürlich bringt Vivaldi 7.0 die neueste Chromium Software 130.0.6723.80 an den Start und schließt damit alle bekannten Sicherheitslücken. Wie üblich ist das auch der Grund, warum Vivaldi-Anwender auf jeden Fall zügig updaten sollten, egal was man von dem neuen Design halten mag.
Quelle: 'Ein neues Vivaldi – ein völlig neues Browsing-Erlebnis' auf Vivaldi.com
Download: Aktuelle Vivaldi Version
Windows 11 Anwende sind regelmäßige Probleme ja bereits gewohnt, dennoch sollte man zumindest um das Update auf Version 24H2 vorerst noch einen großen Bogen machen. Denn die Liste der Probleme mit der neuen Windows 11 Version wird länger und länger. Neben Problemen mit manchen SSDs kommen jetzt Probleme mit Asus-Geräten und diversen Apps hinzu.
Details zu den ganzen Problemen gibt es im verlinkten Heise Online Artikel. Allen Anwendern die noch Windows 10 verwenden empfehlen wir weiterhin mit dem Upgrade auf Windows 11 so lange wie irgend möglich zu warten.
Quelle: 'Microsoft: Weitere Windows 11 24H2-Probleme bestätigt' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Neue OpenSSL-Lücke ist gefährlich, aber sehr schwer auszunutzen' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer können über Grafana-Lücke eigene Befehle ausführen' auf Heise Online
Quelle: 'Ubiquiti Unifi Network Server: Hochriskantes Leck ermöglicht Rechteausweitung' auf Heise Online
Quelle: 'Spring Framework: Angreifer können Dateien einsehen' auf Heise Online
Quelle: 'Atlassian: Schwachstellen machen Bitbucket, Confluence und Jira verwundbar' auf Heise Online
Quelle: 'Sicherheitsupdates: DoS-Attacken auf IBM-Software möglich' auf Heise Online
Quelle: 'Roundcube Webmail: Angriffe mit gefälschten Anhängen' auf Heise Online
Quelle: 'VMware vCenter: Patch unwirksam, neues Update nötig' auf Heise Online
Quelle: 'Fortinet bestätigt kritische angegriffene Sicherheitslücke in Fortimanage' auf Heise Online
Quelle: 'Angreifer missbrauchen Sharepoint-Sicherheitsleck für Codeschmuggel' auf Heise Online
Quelle: 'Cisco meldet mehr als 35 Sicherheitslücken in Firewall-Produkten' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 130.0.6723.58 schließt 17 Sicherheitslücken, wovon eine mit hohem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Der 130er-Versionszweig stellt auch die neue Basis für den Extended Stable Zweig dar, weshalb es keine separate Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Wie üblich gibt es in der ersten Woche nach einem Chromium-Versionswechsel noch keine neue Vivaldi-Version, die darauf aufbaut. Die Sicherheit ist dadurch offenbar nicht gefährdet, sonst hätten die Vivaldi-Entwickler einzelne Fixes zurückportiert, wie dies in der Vergangenheit schon mehrfach gemacht wurde.
Microsoft Edge:Microsoft hat Edge bereits auf die neue Chromium-Version aktualisiert. Edge Anwender sollten auf Version 130.0.2849.46 updaten.
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 334 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 7 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 431 aktualisieren.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19, 20 und 22 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.25, 17.0.13, 21.0.5 oder 23.0.1 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
VirtualBox:In dem PC-Emulator VirtualBox wurden 5 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich keine der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, sollte auf Version 7.0.22 updaten. Die noch sehr neue 7.1er Serie würden wir bisher noch vermeiden, wer diese aber bereits verwendet sollte auf Version 7.1.2 updaten.
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory – October 2024' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - October 2024' auf Oracle.com (Englisch)
Quelle: 'Oracle schützt Softwareprodukte mit 334 Sicherheitsupdates' auf Heise Online
Im beliebten Bildbetrachter IrfanView wurden wieder Sicherheitslücken korrigiert. Genauer gesagt trifft es wieder einmal eines der (optionalen) Plugins, konkret das Plugin zur Anzeige von WSQ-Dateien. Wer die IrfanView-Plugins installiert hat, sollte also unbedingt sowohl IrfanView als auch die zugehörigen Plugins unbedingt auf Version 4.70 aktualisieren.
Abgesehen von den Sicherheitskorrekturen hat sich der Entwickler in dieser Ausgabe hauptsächlich dem Thema Transparenz gewidmet und viele Neuerungen rund um dieses Thema eingebaut. Bilder mit transparentem Hintergrund können nun auch mit dem bekannten Schachbrett-Muster als Hintergrund angezeigt werden, sofern man genau das in den Einstellungen (Anzeige) aktiviert. Alle weiteren Neuerungen sind im Changelog (leider nur in englischer Sprache) zusammengefasst.
Info: IrfanView Changelog (Englisch)
Download: IrfanView Version 4.70, 64Bit, Deutsch
Download: IrfanView Plugins Version 4.70, 64Bit, Deutsch
Wer eine 2 Terrabyte große SSD im M.2-Format von Western Digital oder Sandisk besitzt, sollte prüfen, ob diese zu einer Serie von SSDs gehört, die ein Firmware-Update benötigen, um mit der neuesten Windows 11 Version zu funktionieren.
Auch Anwender die das Upgrade auf Windows 11 so lange wie irgend möglich hinauszögern wollen, sollten dennoch möglichst bald die Firmware aktualisieren, wer weiß, ob man in einem Jahr noch daran denkt. Ohne das Update wird auch ein Upgrade (per Windows Update) auf Windows 11 gesperrt.
Der Hersteller hat eine Website erstellt, auf dem die betroffenen Modelle ersichtlich sind. Dort lässt sich auch das Programm "Western Digital Dashboard" herunterladen, mit dem das Firmware-Update gegebenenfalls installiert werden kann.
Quelle: 'Wichtige Firmware-Updates für Western-Digital-SSDs' auf Heise Online
Quelle: 'Info-Seite von WD/Sandisk' auf Sandisk.com
HP hat wieder ein Sicherheitsbulletin für Drucker aus der Produktreihe "DesignJet" veröffentlicht. Angreifer könnten SMTP-Passwörter aus dem Drucker DesignJet T730 und DesignJet T830 auslesen, weshalb Besitzer/Administratoren dieser Drucker das aktuellste Firmware-Update einspielen sollten.
Quelle: 'Sicherheitsupdate: Zwei Drucker-Modelle aus HPs DesignJet-Serie attackierbar' auf Heise Online
Wer "Veeam Backup & Replication" auf seinem Computer installiert hat, sollte das Programm rasch aktualisieren oder deinstallieren. Cyber Ganoven nutzen Sicherheitslücken in dem Programm, um Computer mit Erpressungs-Trojanern zu infizieren.
Quelle: 'Ransomware: Sophos warnt vor Angriffen auf Veeam-Sicherheitslücke' auf Heise Online
Google hat nun offenbar damit begonnen auf ersten Computern die Manifest v2-Schnittstelle abzuschalten, was zur Folge hat, dass viele Blocker-Tools wie z.B. µBlock Origin nicht mehr funktionieren. Wer auf betroffenen Computern weiterhin unerwünschte Inhalte blockieren möchte, muss auf Alternativen wie z.B. µBlock Origin Lite ausweichen. Allerdings können Blocker mit der neuen v3-Schnittstelle nicht mehr so effizient gegen unerwünschte Inhalte vorgehen, weshalb µBlock Origin Macher Raymond Hill den Wechsel auf Firefox empfiehlt, wo µBlock noch ungehindert filtern kann.
Leider sieht man hier sehr deutlich wie Google sein Quasi-Browser-Monopol ausnützt, um seinen Profit zu schützen. Immerhin verdient Google sein Geld fast ausschließlich über Werbung und Blocker stehen diesen Einnahmen im Weg.
Quelle: 'Chrome: Google verbietet uBlock Origin auf ersten Systemen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitslücke in Sonicwall SMA1000-Reihe ermöglicht Rechteausweitung' auf Heise Online
Quelle: 'Sicherheitsupdate: Angreifer können Netzwerkanalysetool Wireshark crashen lassen' auf Heise Online
Quelle: 'Kritische Sicherheitslücken: Telerik Report Server auf mehreren Wegen angreifbar' auf Heise Online
Quelle: 'Github Enterprise Server: Angreifer können Authentifizierung umgehen' auf Heise Online
Quelle: 'Jetzt patchen! Angreifer attackieren Solarwinds Web Help Desk' auf Heise Online
Quelle: 'VMware HCX: Codeschmuggel durch SQL-Injection-Lücke möglich' auf Heise Online
Quelle: 'Solarwinds: Lücken in Plattform und Serv-U ermöglichen Schadcode-Schmuggel' auf Heise Online
Quelle: 'F5 BIG-IP: Zugriffsbeschränkungen umgehbar' auf Heise Online
Quelle: 'Sicherheitsupdates: Root-Attacken auf VoIP-Adapter von Cisco möglich' auf Heise Online
Quelle: 'Kritische Sicherheitslücke: Angreifer können Kubernetes als Root attackieren' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 129.0.6668.100 schließt 3 Sicherheitslücken, wovon mindestens drei mit hohem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 128.0.6613.186 behoben.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren wieder flott wie gewohnt und haben Update 6 von Vivaldi 6.9 bereits wenige Stunden nach Google veröffentlicht. Neben der neuen Chromium Version 128.0.6613.188 repariert die neue Version auch noch zwei weitere kleine Probleme. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (6) for Vivaldi Desktop Browser 6.9' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch Microsoft hat Edge bereits auf die neue Chromium-Version aktualisiert. Edge Anwender sollten auf Version 129.0.2792.89 updaten.
Die Entwickler von Thunderbird haben die Versionen 115.16 bzw. 128.3.1 des beliebten E-Mail-Programmes veröffentlicht. Darin wurde eine kritische Sicherheitslücke behoben. Das Update für die 115er-Schiene kommt unerwartet, eigentlich sollten alle Thunderbird Installationen längst auf die 128er-Schiene aktualisiert worden sein.
Alle Thunderbird Anwender sollten auf eine der neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Quelle: 'Firefox- und Thunderbird-Notfall-Update stopft angegriffenes Sicherheitsleck' auf Heise Online
Info: 'Thunderbird 115.16.0 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 128.3.1 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Anwender, die Mozilla Firefox verwenden, sollten schnellstmöglich auf Version 131.0.2 bzw. die ESR-Version 128.3.1 oder 115.16.1 upgraden. Diese beheben eine kritische Sicherheitslücke die bereits in freier Wildbahn ausgenutzt wird, um Computer mit Schadcode zu infizieren.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox- und Thunderbird-Notfall-Update stopft angegriffenes Sicherheitsleck' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Das ehemals Flash genannte Web-Animationsprogramm enthielt 11 Sicherheitslücken wovon 9 als "kritisch" eingestuft wurden. Wer Adobe Animate installiert hat, sollte rasch auf Version 23.0.8 (2023) oder 24.0.5 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB24-76 (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurden 6 kritische und etliche weitere Sicherheitslücken behoben. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB24-73 (Englisch)
In Adobes 3D-Programm 'Dimension' wurden zwei "kritische" Schwachstellen behoben. Anwender des Programms sollten zügig auf Version 4.0.4 updaten.
Quelle: 'Adobe Security Bulletin APSB24-74' auf Adobe.com (Englisch)
Im Desktop-Publishing-Programm Adobe Framemaker wurden 5 kritische Sicherheitslücken gefunden und behoben. Wer das Programm einsetzt, sollte unbedingt die im Security Bulletin verlinkten Updates installieren.
Quelle: Adobe Security Bulletin APSB24-82 (Englisch)
Im Layout-Programm InDesign hat Adobe eine kritische Sicherheitslücke behoben. Anwender des Programmes sollten rasch auf die Version 18.5.4 (2023) bzw. 19.5 (2024) updaten. Sämtliche älteren InDesign Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Info: 'Adobe Security Bulletin APSB24-80' auf Adobe.com (Englisch)
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier sollte unbedingt auf Version 18.5.4 oder 19.5 aktualisiert werden, um sicher zu sein.
Info: Adobe Security Bulletin APSB24-79 (Englisch)
Adobe's Lightroom erhält ein Update gegen eine als "wichtig" eingestufte Sicherheitslücke. Dies betrifft sowohl die Cloud-Version (ohne Classic im Namen) als auch die "normale" Version (mit Classic im Namen). Die abgesicherten Ausgaben tragen die Versionsnummern 7.5 (Cloud), 13.5.1 (Classic) bzw. 12.5.2 (Classic LTS). Alle Anwender von Lightroom sollten das entsprechende Update bei nächster Gelegenheit installieren.
Info: Adobe Security Bulletin APSB24-78 (Englisch)
In Adobes 3D-Programm "Substance 3D Stager" wurden 8 "kritische" Sicherheitslücken behoben. Anwender des Programms sollten rasch auf Version 3.0.4 updaten.
Quelle: 'Adobe Security Bulletin APSB24-81' auf Adobe.com (Englisch)
In Adobes 3D-Programm 'Substance 3D Painter' wurde eine Sicherheitslücke behoben die als "wichtig" eingestuft wird. Anwender des Programms sollten bei Gelegenheit auf Version 10.1.0 updaten.
Quelle: 'Adobe Security Bulletin APSB24-52' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Ausnahmsweise scheint es mit den Oktober-Updates keine größeren Probleme zu geben und es gibt auch keine Sicherheitslücken die Handarbeit von Administratoren erfordern, also sieht alles nach einem ruhigen Monat aus.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Microsoft Patchday: Zwei Zeroday-Lücken werden bereits angegriffen' auf Heise Online
Unter gewissen Umständen löscht die Abonnement-Version von Microsoft Word Dokumente, statt sie zu speichern. Laut Microsoft tritt das Problem auf, wenn die Dateierweiterung des zu bearbeitenden Dokumentes großgeschrieben ist (z.B. "test.DOCX") oder wenn der Dateiname eine Raute enthält (z.B. "#test.docx"). In beiden Fällen wird das Dokument beim Speichern nicht gespeichert, sondern gelöscht.
Mit etwas Glück kann man die gelöschte Datei noch im Papierkorb finden, aber das funktioniert nicht in allen Fällen. Die Kaufversionen von Word (2016, 2019, 2021 und 2024) sind von dem Problem nicht betroffen.
Wer die Abo-Version von Word nutzt, sollte aktiv nach Updates suchen, denn in der allerneuesten Version vom 08.10.2024 sollte der Bug behoben sein.
Quelle: 'Microsoft: Word-Fehler löscht Dokumente, statt sie zu speichern' auf Heise Online
Die Software die auf HP Business Notebooks die Hotkey-Funktionalität bereitstellt, hatte eine Sicherheitslücke die zur Ausweitung von Berechtigungen genutzt werden konnte. Besitzer/Administratoren eines HP Notebooks sollten daher das verlinkte HP Sicherheitsbulletin lesen, um festzustellen, ob das Gerät betroffen ist oder nicht und gegebenenfalls das verlinkte Update installieren.
Quelle: 'HP Business-Notebooks: Hotkey-Unterstützung ermöglicht Rechteausweitung' auf Heise Online
Quelle: 'HP Support Artikel zu dem Thema' auf HP.com (Englisch)
Wer einen Router des Herstellers Draytek besitzt bzw. administriert sollte umgehend prüfen, ob dieser in der Liste verwundbarer Geräte im verlinkten Sicherheitsbericht (Seite 11) zu finden ist. Wenn dem so ist, sollte die Firmware des Routers so rasch wie möglich aktualisiert werden.
In der alten Firmware wurden etliche, teils kritische Sicherheitslücken gefunden. In Summe lassen sich die Geräte dadurch sehr leicht von Hackern komplett übernehmen. Beim geringsten Verdacht, dass das Gerät womöglich schon "infiziert" war, sollte man es nach dem Update außerdem zurücksetzen und das Admin-Passwort ändern. Wichtige Einstellungen sollte man sich ev. notieren, um das Gerät nach dem Reset leichter wieder einstellen zu können.
Die Firmware von Routern immer aktuell zu halten gilt natürlich grundsätzlich für alle Router, nicht nur für Geräte von Draytek.
Quelle: 'Kritische Sicherheitslücken in Draytek-Geräten erlauben Systemübernahme' auf Heise Online
Quelle: 'Sicherheitsbericht zu den Draytek Routern' auf forescout.com (Englisch)
Für das Contentmanagement-System 'WordPress', bzw. dessen Plugins, sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Wordpress-Plug-in: Abermals gravierende Sicherheitslücke in Litespeed Cache' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'SAP-Patchday: Sechs neu gemeldete Sicherheitslücken in Business-Software' auf Heise Online
Quelle: 'Ivanti stopft ausgenutzte Sicherheitslücken und mehr' auf Heise Online
Quelle: 'Kritische Fortinet-Sicherheitslücke wird angegriffen' auf Heise Online
Quelle: 'Juniper: Mehr als 30 Sicherheitslücken gestopft' auf Heise Online
Quelle: 'CISA warnt vor Sicherheitslücken in 21 IoT-Industrie-Kontrollsystemen' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 129.0.6668.89 schließt 4 Sicherheitslücken, wovon mindestens drei mit hohem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 128.0.6613.178 behoben.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren wieder flott wie gewohnt und haben Update 5 von Vivaldi 6.9 bereits wenige Stunden nach Google veröffentlicht. Neben der neuen Chromium Version 128.0.6613.180 repariert die neue Version auch noch drei weitere kleine Probleme. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (5) for Vivaldi Desktop Browser 6.9' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch Microsoft hat Edge bereits auf die neue Chromium-Version aktualisiert. Edge Anwender sollten auf Version 129.0.2792.79 updaten.
Samsung hatte vorübergehend ein fehlerhaftes Update an Smartphones des Typs Galaxy-S10, Note10, Galaxy M51 und A90 ausgeliefert, was diese Geräte in eine Bootschleife beförderte aus dem sie nicht ohne weiteres herauskommen. Besitzer der genannten Geräte, die dieses Problem bereits haben, sollten den verlinkten Heise Online Artikel lesen um zu erfahren wie man am besten vorgeht.
Quelle: 'Samsung-Update legt Galaxy-Handys lahm' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Monitoring-Software Whatsup Gold: Hersteller rät zum schleunigen Update' auf Heise Online
Quelle: 'CERT-Bund warnt: Mehr als 15.000 Exchange-Server mit Sicherheitslücken' auf Heise Online
Quelle: 'Windows-Update-Vorschau: Vermehrt Reboot-Schleifen und Bluescreens beobachtet' auf Heise Online
Quelle: 'Web-Config von Seiko-Epson-Geräten ermöglicht Angreifern Übernahme' auf Heise Online
Quelle: 'Zimbra: Codeschmuggel-Lücke wird angegriffen' auf Heise Online
Quelle: 'Sicherheitsupdates: Cisco patcht Lücken in Produkten quer durch die Bank' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 129.0.6668.70 schließt 5 Sicherheitslücken, wovon eine mit hohem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 128.0.6613.170 behoben.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren wieder flott wie gewohnt und haben Update 4 von Vivaldi 6.9 bereits wenige Stunden nach Google veröffentlicht. Neben der neuen Chromium Version 128.0.6613.172 repariert die neue Version auch noch drei weitere kleine Probleme. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (4) for Vivaldi Desktop Browser 6.9' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch Microsoft hat Edge bereits auf die neue Chromium-Version aktualisiert. Edge Anwender sollten auf Version 129.0.2792.65 updaten.
Wie wir letzte Woche schon erwähnt haben, ist die neue LibreOffice Version 24.2.6 verfügbar. Anders als bei unserem Kurztest letzte Woche hat die neue Fassung diese Woche eine gute Figur abgegeben, wir sehen also keinen Grund warum man nicht auf Version 24.2.6 updaten sollte.
Unbedingt notwendig ist ein Update aber nur, wenn man noch eine Version älter als 24.2.5 einsetzt.
Download: Aktuelle LibreOffice Version
Wer Teamviewer auf seinem PC installiert hat, sollte zügig auf die Version 15.58.4 aktualisieren. Dort wird eine Sicherheitslücke mit "hohem" Risiko behoben. Wer die Software zwar installiert hat aber gar nicht regelmäßig verwendet, sollte sie hingegen deinstallieren. Details zur Lücke gibt es im Heise Online Artikel.
Quelle: 'Teamviewer: Hochriskante Lücken ermöglichen Rechteausweitung' auf Heise Online
Wer anstelle des Adobe Reader bzw. Acrobat auf PDF Reader bzw. PDF Editor aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 2024.3 behebt drei Sicherheitslücken mit hohem Risiko.
Wer den kostenlosen "PDF Reader" oder die kostenpflichtige "PDF Editor Suite" verwendet sollte unbedingt zügig auf die aktuelle Version updaten. Wer noch eine Kauf-Version von Foxit Editor oder Foxit PhantomPDF (der alte Name von Foxit PDF Editor) einsetzt, muss wohl auf das Abo-Modell umsteigen, um weiterhin Sicherheitsupdates zu erhalten.
Quelle: 'Foxit PDF: Manipulierte PDFs können Schadcode durchschleusen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Atlassian Bitbucket, Confluence & Co. attackierbar' auf Heise Online
Quelle: 'Monitoring-Software checkmk: Sicherheitslücke ermöglicht 2FA-Umgehung' auf Heise Online
Quelle: 'HPE Aruba: Access Points für Codeschmuggel aus dem Netz anfällig' auf Heise Online
Quelle: 'Progress Telerik: hochriskante Lücken erlauben Code- und Befehlsschmuggel' auf Heise Online
Quelle: 'Sicherheitsupdates: DoS-Angriffe auf Cisco-Netzwerkhardware möglich' auf Heise Online
Quelle: 'Schadcode-Schlupfloch in Nvidia Container Toolkit geschlossen' auf Heise Online
Quelle: 'Teils kritische Lücken in Unix-Drucksystem CUPS ermöglichen Codeschmuggel' auf Heise Online
Quelle: 'Kritische Sicherheitslücken: PHP 8.3.12 und 8.2.24 dichten Schwachstellen ab' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 129.0.6668.58 schließt 9 Sicherheitslücken, wovon eine mit hohem Sicherheitsrisiko eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 128.0.6613.162 behoben.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren wieder flott wie gewohnt und haben Update 3 von Vivaldi 6.9 bereits wenige Stunden nach Google veröffentlicht. Neben der neuen Chromium Version 128.0.6613.164 repariert die neue Version auch noch zwei weitere kleine Probleme. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (3) for Vivaldi Desktop Browser 6.9' auf Vivaldi.com (Englisch)
Microsoft Edge:Auch Microsoft hat Edge bereits auf die neuen Chromium-Versionen aktualisiert. Edge Anwender sollten auf Version 129.0.2792.52 oder 128.0.2739.90 updaten. Zusätzlich zu den Chromium-Sicherheitsupdates, hat Microsoft hier auch noch drei eigene Sicherheitslücken behoben.
Wer noch LibreOffice 24.2.4 oder älter einsetzt, sollte auf Version 24.2.5 aktualisieren. Die bereits seit einigen Wochen verfügbare Version behebt eine Sicherheitslücke in der Reparatur-Funktion für Dokumente, die von Angreifern zur Infektion mit Makroviren genutzt werden könnte.
Zwar ist mittlerweile bereits Version 24.2.6 verfügbar, diese hatte in einem ersten Kurztest aber Probleme verursacht die in 24.2.5 nicht aufgetreten sind, weshalb wir diese Version erst noch ausführlicher testen wollen bis wir dafür eine Empfehlung aussprechen (oder eben nicht).
Außerdem ist auch Version 24.8.1 verfügbar, wo die Sicherheitslücke ebenfalls bereits behoben ist, von dir wir aber ebenfalls noch abraten.
Quelle: 'LibreOffice: Reparaturmodus ermöglicht Signaturfälschung' auf Heise Online
Download: LibreOffice 24.2.5
In drei Routern von D-Link wurden jeweils zwei kritische und hohe Sicherheitslücken entdeckt. Der Hersteller bietet für alle drei Router Firmware-Updates an, die die Lücken schließen. Diese sollten aufgrund der kritischen Gefahreneinstufung möglich zügig installiert werden.
Die betroffenen Router sind:
Quelle: 'Sicherheitspatch: Hintertür in einigen D-Link-Routern erlaubt unbefugte Zugriffe' auf Heise Online
HP, die die Druckersparte von Samsung übernommen hat, stellt für etliche Samsung Drucker aktualisierte Treiber zur Verfügung, die eine Rechteausweitungs-Sicherheitslücke schließt. Zwar sind solche Lücken primär auf Firmen-Computern ein Problem, aber auch Privatanwendern mit Samsung-Drucker raten wir zum Update.
Betroffen sind alle Drucker, die den "Samsung Universal-Druckertreiber für Windows" in einer Version älter als "V3.00.16.0101:01" besonderes Augenmerk sei hier auf das ":01" am Ende gelegt, denn nur dann ist es die abgesicherte Version. Hat man Version "V3.00.16.0101" (also bis auf das ":01" identisch) oder älter, verwendet man noch den unsicheren Treiber und sollte auf die neue Version updaten. Zu bekommen ist diese im Support-Center von HP nach Eingabe seines Drucker-Modells.
Quelle: 'Samsung-Druckertreiber ermöglichen Angreifern Rechteausweitung' auf Heise Online
Download: HP-Updates aus dem Support-Center
Für viele Notebooks aus den Alienware-, Aurora-, Inspiron- und XPS-Modellreihen stellt Dell jetzt abgesicherte UEFI-Versionen (BIOS-Updates) bereit. Welche Notebooks genau betroffen sind lässt sich im verlinkten Sicherheitsbericht von Dell nachlesen.
Auch wenn Angriffe auf das UEFI eines Notebooks eher seltener durchgeführt werden dürften, sollten Besitzer der betroffenen Notebooks reagieren und das BIOS aktualisieren.
Quelle: 'Sicherheitsupdates: BIOS-Lücken gefährden Dell-Computer' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitspatch verfügbar: Angriffe auf Ivanti Cloud Service Appliance' auf Heise Online
Quelle: 'Jetzt patchen! Attacken auf Ivanti Cloud Service Appliance verschärfen sich' auf Heise Online
Quelle: 'Angreifer attackieren Sicherheitslücken in Microsofts MSHTML und Whatsup Gold' auf Heise Online
Quelle: 'VMware vCenter: Angreifer aus dem Netz können Schadcode einschleusen' auf Heise Online
Quelle: 'Sicherheitslücken: Netzwerk-Controller und -Gateways von Aruba sind verwundbar' auf Heise Online
Quelle: 'Kritische SAML-Anmelde-Lücke mit Höchstwertung gefährdet Gitlab-Server' auf Heise Online
Quelle: 'Office LTSC 2024 ist da: Microsofts Programmpaket für die Offline-Nutzung' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 128.0.6613.137 schließt fünf Sicherheitslücken, wovon vier mit hohem Sicherheitsrisiko eingestuft werden. Über die fünfte Lücke hüllt Google wieder einmal den Mantel des Schweigens. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Die 128er-Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren diesmal wieder so flott wie gewohnt und haben Update 2 von Vivaldi 6.9 bereits wenige Stunden nach Google veröffentlicht. Neben der neuen Chromium Version 128.0.6613.146 repariert die neue Version auch noch zwei weitere kleine Probleme. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (2) for Vivaldi Desktop Browser 6.9' auf Vivaldi.com (Englisch)
Microsoft Edge:Diese Woche hat Microsoft es wieder geschafft Release-Notes für die neue Edge-Version zu veröffentlichen. Allerdings verraten diese nun nicht mehr welche Chromium-Version zum Einsatz kommt, dafür muss man jetzt zwingend im "Leitfaden für Sicherheitsupdates" nachsehen, was es noch umständlicher macht. Hat man sich endlich bis zur gewünschten Information durchgehangelt, bestätigt sich das zu erwartende Verhalten, nämlich, dass die aktuelle Edge Version 128.0.2739.79 den aktuellen Chromium-Unterbau 128.0.6613.137 mitbringt. Nutzer von Microsoft Edge sollten auf diese Version updaten.
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 24.003.20112 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB24-70 (Englisch)
In Photoshop 2023 und 2024 wurden vier "kritische" und eine "wichtige" Sicherheitslücke behoben. Die 2023er-Ausgabe bekommt das Sicherheitsupdate mit Version 24.7.5 und die 2024er-Fassung ist ab Version 25.12 abgesichert. Sämtliche älteren Photoshop Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB24-72' auf Adobe.com (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe vier als "kritisch" eingestufte und zwei Sicherheitslücken mit etwas geringerer Risiko-Einstufung behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.9.6 (2023) oder 28.7.1 (2024) updaten.
Info: Adobe Security Bulletin APSB24-66 (Englisch)
Im Video-Schnitt-Programm Premiere Pro hat Adobe eine kritische und eine moderate Sicherheitslücke behoben. Anwender von Premiere Pro sollten zügig auf Version 23.6.9 (2023) oder 24.6 (2024) updaten.
Quelle: 'Adobe Security Bulletin APSB24-58' auf Adobe.com (Englisch)
In Adobe After Effects wurden unter anderem drei als "kritisch" eingestufte Sicherheitslücken behoben. Alle Anwender von After Effects sollten auf Version 23.6.9 (2023) oder 24.6 (2024) updaten. Alle älteren Jahrgänge erhalten keinen Support mehr und sollten deinstalliert werden.
Quelle: Adobe Security Bulletin APSB24-09 (Englisch)
Im Adobe Media Encoder wurden unter anderem zwei kritische Sicherheitslücken behoben. Anwender, die den Media Encoder installiert haben, sollten rasch auf Version 23.6.9 (2023) oder 24.6 (2024) updaten.
Quelle: Adobe Security Bulletin APSB24-53 (Englisch)
In Adobes Audio-Bearbeitungs-Programm Audition wurde unter anderem eine "kritische" Sicherheitslücke behoben. Anwender sollten zügig auf Version 23.6.9 (2023) oder 24.6 (2024) updaten um sicher zu sein.
Quelle: Adobe Security Bulletin APSB24-54 (Englisch)
Nutzer von Adobe ColdFusion 2021 und 2023 sollten auf ColdFusion ColdFusion 2021 Update 16 bzw. ColdFusion 2023 Update 10 aktualisieren, um Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2018 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.
Quelle: 'Adobe Security Bulletin APSB24-71' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Ausnahmsweise scheint es mit den September-Updates keine größeren Probleme zu geben und es gibt auch keine Sicherheitslücken die Handarbeit von Administratoren erfordern, also sieht alles nach einem ruhigen Monat aus.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday Microsoft: Angreifer attackieren vier Lücken in Windows & Co.' auf Heise Online
Lenovo hat für unzählige Geräte Sicherheitsupdates veröffentlicht bzw. plant für etliche weitere dies in Kürze zu tun. Geschlossen werden in Summe 19 Sicherheitslücken in verschiedensten Ecken des BIOS bzw. UEFI sowie Treibern, wobei vermutlich in kaum einem Gerät alle 19 auf einmal vorkommen dürften. Wer ein Lenovo Gerät besitzt oder administriert, sollte nachsehen ob dieses in dem Security-Bulletin erwähnt wird und ob ein Update bereits verfügbar ist bzw. für welches Datum ein Update angekündigt wurde.
Die Installation des BIOS/UEFI- bzw. Sicherheits-Updates dürfte in den meisten Fällen über die vorinstallierten Update-Programe (Lenovo System Update bzw. Lenovo Vantage) klappen.
Quelle: 'Lenovo schließt Lücken in BIOS, Management-Controller und WLAN-Treiber' auf Heise Online
Quelle: 'Multi-vendor BIOS Security Vulnerabilities (September, 2024)' auf lenovo.com (Englisch)
Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS-, QuTS-hero- oder QuTScloud-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'Qnap: Zahlreiche Updates für mehrere Produkte' auf Heise Online
Mit der Veröffentlichung von Version 3.6.1 hatten wir vor ca. eineinhalb Monaten geschrieben, dass Audacity 3.6 damit wohl stabil genug sein dürfte um es auszuprobieren. Mittlerweile liegt bereits Version 3.6.3 vor. Mit den neuen Versionen wurden nicht nur Kinderkrankheiten behoben, auch der "alte" Kompressor und Limiter ist nun wieder verfügbar.
Zumindest alle Anwender die bereits eine 3.6er Audacity Version nutzen sollten auf die neueste Version updaten um möglichst problemlos arbeiten zu können. Für alle die noch eine ältere Version von Audacity verwenden ist damit vielleicht auch der Zeitpunkt gekommen der 3.6er-Serie eine Chance zu geben und von den neuen Funktionen zu profitieren.
Mehr zu den Neuerungen in Audacity 3.6 im Artikel vom 19.07.2024.
Quelle: 'Audacity Blogeintrag zur Version 3.6' auf audacityteam.org (Englisch)
Download: Audacity 3.6.3 für Windows 64Bit
Download: Aktuelle Audacity Versionen für andere Plattformen
Oracle hat Version 7.1 von VirtualBox veröffentlicht. Für Windows Nutzer die nur mit lokalen virtuellen (Windows-)Maschinen hantieren hat sich den Release-Notes nach wohl primär an der Oberfläche etwas getan. Außerdem hat Oracle an den Lizenzen etwas geändert, inwieweit das Auswirkung auf Privatanwender hat wissen wir aber noch nicht, für einen Test der neuen Ausgabe war bisher keine Zeit. Auch, dass das NAT-Modul jetzt IPv6 unterstützt wird die meisten Anwender am Heim-PC kalt lassen, wenngleich sich der eine oder andere Administrator womöglich darüber freut.
Neugierige Naturen, die nicht zwingend auf die virtuellen Maschinen angewiesen sind, können relativ gefahrlos ausprobieren, ob die neue Version für sie irgendwelche Vorteile bietet. Wer auf sauber funktionierende VM’s angewiesen ist, wird hingegen vielleicht eher noch ein paar Updates abwarten. Vorausgesetzt Oracle liefert noch eine Weile Sicherheitsupdates für VirtualBox 7.0. Das wird sich beim nächsten Oracle Patchday am 15. Oktober zeigen.
Quelle: 'VirtualBox 7.1: Dateien leichter zwischen Windows und Linux teilen' auf Heise Online
Symantec… pardon … Norton Lifelock … pardon Gen Digital Inc (wie Symantec jetzt heißt) war in den letzten Jahren auf großer Einkaufstour. Zuerst hat man sich Avast einverleibt, das davor seinerseits AVG aufgekauft hatte und seit Ende 2020 gehört auch Avira zu der US-Firma. Deutsche Avira Fans haben aber wohl noch etwas Schonfrist, vorerst dürfte die Entwicklung des ehemals deutschen Virenprogramms wohl noch bei unseren nordischen Nachbarn vonstattengehen.
Der eigentliche Grund dieses Artikels ist eher die Einstellung der Norton Viren-Engine. Auch in Norton-Produkten wird in Zukunft die Avast-Engine nach Viren Ausschau halten. Man möchte fast sagen, da haben sich die richtigen gefunden. Denn AVG, Avast und Norton hatten schon vor der Übernahme eines gemeinsam, relativ viele Probleme. Zumindest der Name Norton zieht dabei bei vielen älteren Windows-Anwendern immer noch, obwohl die Produkte eigentlich schon seit ewiger Zeit nicht mehr wirklich empfehlenswert waren. Auch von Avast und AVG haben wir meist eher abgeraten.
Die bereits angesprochene Schonfrist für Avira Fans dürfte aber nicht ewig halten. Selbst wenn der Name vermutlich noch eine Weile erhalten bleibt, was technisch gesehen von Avira auf längere Sicht übrig bleibt wird sich zeigen. Für den Mutterkonzern macht es langfristig keinen Sinn zweigleisig zu fahren, was die Entwicklung angeht. Die Frage ist also, wird sich die Avira Technik durchsetzen oder die von Avast?
Laut Experten gewinnen durch die Zusammenlegungen der diversen Anti-Virus-Spezialisten aber vor allem eine – die Viren-Schreiber! Denn immer weniger Anti-Viren-Labore können nicht dieselbe Arbeit leisten, als wenn das auf viele Schultern verteilt wird. Profitieren wird also 'Gen Digital Inc.' durch höhere Profitabilität und die Viren-Schreiber, weil es in Zukunft weniger schlaue Leute geben wird die gegen sie ankämpfen.
Quelle: 'Norton setzt auf Avast-Scan-Engine' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Angreifer attackieren Firewalls von Sonicwall' auf Heise Online
Quelle: 'Schadcode-Lücken gefährden Visualiserungsplattform Kibana' auf Heise Online
Quelle: 'SAP-Patchday: 16 Sicherheitsmitteilungen zu diversen Produkten' auf Heise Online
Quelle: 'CISA warnt: Acht Jahre alte Lücke in ImageMagick und weitere angegriffen' auf Heise Online
Quelle: 'ownCloud: Update stopft teils hochriskante Sicherheitslücken' auf Heise Online
Quelle: 'Ivanti: Updates gegen kritische Lecks im Endpoint Manager und weiteren Produkten' auf Heise Online
Quelle: 'Citrix Workspace App für Windows ermöglicht Rechteausweitung' auf Heise Online
Quelle: 'Cisco: DoS- und Rechteausweitungslücken in IOS und weiteren Produkten' auf Heise Online
Quelle: 'Microsoft Office: ActiveX wird abgedreht' auf Heise Online
Quelle: 'Sicherheitspatch: Gitlab behebt Lücken in Serverversionen' auf Heise Online
Quelle: 'Solarwinds ARM: Unbefugte Zugriffe und Schadcode-Attacken möglich' auf Heise Online
06.09.2024 – Das nächste Chromium SicherheitsupdateGoogle hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 128.0.6613.119 schließt vier Sicherheitslücken, wovon zwei mit hohem Sicherheitsrisiko eingestuft werden. Über die anderen zwei Lücken hüllt Google wieder einmal den Mantel des Schweigens. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome zeitnah aktualisieren.
Die 128er-Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Quelle: 'Google Chrome Release Note' auf googleblog.com (Englisch)
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren ausnahmsweise nicht besonders flott, erst gestern wurde Vivaldi auf den aktuellen Stand gebracht. Ursache ist womöglich, dass nicht nur die neue Chromium-Version übernommen wurde, sondern auch etliche weitere Bugs behoben wurden. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten, falls dies nicht bereits automatisch erledigt wurde.
Download: Aktuelle Vivaldi Version
Info: 'Minor update for Vivaldi Desktop Browser 6.9' auf Vivaldi.com (Englisch)
Microsoft Edge:Die Microsoft Edge Entwickler haben diese Woche eine neue Edge Version veröffentlicht, was sie unter der Haube mitbringt verschweigen sie aber bisher. Wir können daher nur spekulieren, dass Edge 128.0.2739.67 die neueste Chromium Version mitbringt und entsprechend sicherheitstechnisch aktuell ist.
Die Entwickler von Thunderbird haben die Versionen 115.15 bzw. 128.2.0 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden Sicherheitslücken behoben, wie viele und wie gefährlich diese waren, ist bisher aber noch unbekannt, da die entsprechenden Sicherheits-Bulletins noch fehlen. Das 128er-Update bringt neben den Sicherheitskorrekturen auch noch 3 allgemeine Fehlerbehebungen.
Zuletzt hatten wir noch geschrieben, dass es beim Wechsel auf die 128er-Version zumindest keine Probleme mit nicht kompatiblen Erweiterungen gibt. Da waren wir leider etwas zu voreilig, denn mittlerweile sind wir doch auf Erweiterungen gestoßen, die in der 115er-Ausgabe einwandfrei funktioniert haben, und in 128 gar nicht laufen. Wer auf gewisse Erweiterungen angewiesen ist, sollte also vorerst noch mit einem Upgrade auf die 128er-Serie warten, sofern Thunderbird nicht automatisch upgraded. Lange geht das jedoch nicht, denn für die 115er-Serie sind keine weiteren Sicherheitsupdates mehr geplant, das Upgrade auf 128 ist also unausweichlich.
Alle Thunderbird Anwender sollten auf eine der neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 115.15.0 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 128.2.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 130 veröffentlicht. Die neue Version behebt 10 Sicherheitslücken, die zur Hälfte als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 4 bzw. 7 Lücken geschlossen, wobei das höchste Risiko jeweils die Stufe "hoch" erhalten hat. Hier lauten die neuen Versionsnummern 115.15 bzw. 128.2.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
PDFforge hat seinen beliebten PDFCreator auf Version 5.3.0 bzw. 5.3.1 gehievt. Letztere Version beseitigt Kinderkrankheiten, während 5.3.0 unter anderem Ghostscript Version 10.03.1 als Neuerung aufführt. Das ist ein sehr wichtiger Hinweis, denn diese Ghostscript Version behebt fünf teils kritische Sicherheitslücken (wir hatten berichtet).
Ob die Ghostscript Lücken in PDFCreator zum Tragen gekommen sind wissen wir nicht, PDFforge macht dazu keine Angaben. Wer PDFCreator auf seinem Rechner installiert hat, sollte daher unbedingt updaten. Aber aufgepasst, das Setup-Programm versucht jede Menge unnötige Bestandteile mitzuinstallieren.
Quelle: 'PDFCreator 5.3.0 is out' auf pdfforge.org (Englisch)
Download: Aktuelle PDFCreator Version
Für das Contentmanagement-System 'WordPress', bzw. dessen Plugins, sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Plug-in LiteSpeed Cache erneut angreifbar' auf Heise Online
Im Office Paket "WPS Office" wird eine Sicherheitslücke aktiv ausgenutzt, um Anwender anzugreifen. Wer dieses Office Paket installiert hat, sollte zügig auf Version 12.2.0.16909 updaten.
Und wer die Anwendung "VigorConnect" des Herstellers "Draytek" installiert hat, sollte zügig auf eine aktuelle Version updaten (aktuell 1.9.2). Versionen bis einschließlich 1.6 werden aktuell ebenfalls von Hackern aufs Korn genommen. Die Lücken sind zwar seit 2021 bekannt, aber offenbar werden diese Anwendungen nur selten aktualisiert.
Quelle: 'CISA warnt vor Angriffen auf WPS Office und VigorConnect' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'BSI entdeckt schwere Sicherheitslücken in Mastodon, einige kleinere in Matrix' auf Heise Online
Quelle: '"Whatsup Gold": Umgehen der Anmeldung durch kritische Sicherheitslücken möglich' auf Heise Online
Quelle: 'VMware Fusion: Update stopft Rechteausweitungslücke' auf Heise Online
Quelle: 'Zyxel: Mehrere hochriskante Sicherheitslücken in Firewalls' auf Heise Online
Quelle: 'Yubikey: Cloning-Angriff über Seitenkanal' auf Heise Online
Quelle: 'Angreifer können durch Hintertür in Cisco Smart Licensing Utility schlüpfen' auf Heise Online
Quelle: 'Veeam behebt mehrere Sicherheitslücken - Codeschmuggel möglich' auf Heise Online
Quelle: 'Apache OFBiz: Aktueller Sicherheitspatch repariert ältere Patches' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 128.0.6613.113. Darin wurden vier Sicherheitslücken behoben die alle als "hohes Risiko" eingestuft wurden.
Die 128er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten zügig auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi-Entwickler haben wie erwartet diese Woche ebenfalls auf den 128er Chromium Unterbau umgestellt und schließen damit alle aktuellen Sicherheitslücken.
Abgesehen von den Sicherheitskorrekturen haben die Vivaldi Entwickler wieder einmal am Tab-Handling geschraubt. So lassen sich Tabs nun umbenennen und die Übersicht bei synchronisierten Tabs soll besser sein.
Besonders praktisch ist die Neuerung, dass Dateien aus dem Download-Panel von Vivaldi, nun direkt in Ordner des Computers (z.B. den Desktop, oder den Dokumente-Ordner) gezogen werden können.
Abgesehen von den großen genannten Änderungen gibt es aber wie immer zahlreiche weitere Verbesserungen unter der Haube. Allein schon wegen der Sicherheitsupdates ist die neue Version für alle Vivaldi Anwender unbedingt empfehlenswert.
Download: Aktuelle Vivaldi Version
Microsoft Edge:Die Microsoft Edge Entwickler haben die neuesten Sicherheitsupdates noch nicht übernommen. Bleibt zu hoffen, dass dies noch im Laufe des Tages oder Wochenende geschieht. Ein vorübergehender Wechsel auf einen anderen Browser sollte (vorerst) nicht nötig sein, da laut Google keine der vier neuen Sicherheitslücken bereits aktiv ausgenutzt wird.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Für viele Notebooks aus der Alienware Serie stellt Dell jetzt abgesicherte UEFI-Versionen (BIOS-Updates) bereit. Welche Notebooks genau betroffen sind lässt sich im verlinkten Sicherheitsbericht von Dell nachlesen.
Auch wenn Angriffe auf das UEFI eines Notebooks eher seltener durchgeführt werden dürften, sollten Besitzer der betroffenen Notebooks reagieren und das BIOS aktualisieren.
Quelle: 'BIOS-Update: Angreifer können Secure Boot auf Alienware-Notebooks umgehen' auf Heise Online
Quelle: 'Dell Sicherheitsbericht DSA-2024-354' auf Dell.com
Für das Contentmanagement-System 'WordPress', bzw. dessen Plugins, sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Wordpress: 1 Million Webseiten nutzen verwundbares Plug-in WPML' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Netzwerksoftware Versa Director attackiert' auf Heise Online
Quelle: 'Ticketsystem OTRS: Angreifer können unverschlüsselte Passwörter einsehen' auf Heise Online
Quelle: 'Hitachi Ops Center: Attacken auf Hitachi-Speicherinfrastruktur möglich' auf Heise Online
Quelle: 'Sicherheitsupdates: Cisco Switches sind für DoS-Attacken anfällig' auf Heise Online
Quelle: 'Fortra FileCatalyst Workflow: Hintertür macht Angreifer zu Admins' auf Heise Online
Quelle: 'Support ausgelaufen: Attacken auf IP-Kamera von Avtech beobachtet' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 128.0.6613.84.
Sieben Lücken tragen die Risikoeinstufung "hoch", 8 "mittel" und 4 "niedrig". Von den hochriskanten Lücken wird eine bereits aktiv für Angriffe ausgenützt, weshalb Anwender von Google Chrome unbedingt dringend aktualisieren sollten.
Die 128er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Update stopft angegriffene Sicherheitslücke und 37 weitere' auf Heise Online
Vivaldi:Wie bei der Umstellung auf eine neue Hauptversion üblich dauert es noch eine Weile bis zur neuen Vivaldi Version. Die Entwickler arbeiten noch an der Integration der neuen Chromium-Version. Gut möglich, dass diese nächste Woche erscheint. Dennoch hat das fleißige Vivaldi-Team flott reagiert und die eine aktiv ausgenützte Sicherheitslücke in Vivaldi 6.8 Update 5 behoben. Wie bei Google Chrome gilt auch hier, das das Update dringend installiert werden sollte, sofern es nicht bereits von der Update-Funktion erledigt wurde.
Quelle: 'Minor update (5) for Vivaldi Desktop Browser 6.8' auf Vivaldi.com (Englisch)
Microsoft Edge:Die Microsoft Edge Entwickler haben den Umzug auf die 128er-Version bereits gestemmt und damit ebenfalls die aktiv ausgenützte Sicherheitslücke geschlossen. Wer Microsoft Edge verwendet sollte dringend auf Version 128.0.2739.42 aktualisieren.
Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)
Quelle: 'Notfall-Update: Microsoft behebt riskante Sicherheitslücke in Edge' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Plug-in: Kritische Lücke mit Höchstwertung in GiveWP geschlossen' auf Heise Online
Quelle: '5 Millionen Wordpress-Seiten gefährdet: Kritisches Leck in LiteSpeed Cache' auf Heise Online
Es hat fast zwei Monate gedauert, aber nun scheint Microsoft die Probleme mit der Update-Funktion seiner Office-Pakete in den Griff bekommen zu haben. Auf zwei Kunden-Computern, wo bisher Updates nur manuell installiert werden konnten, funktioniert dies jetzt wieder automatisch. Und auch die Kommentare in Günther Born’s Blog-Eintrag zu dem Thema signalisieren eine Entspannung der Situation.
Es war aber auch allerhöchste Zeit, denn in den diversen Microsoft Office Versionen waren sehr gefährliche Sicherheitslücken enthalten. Wenn dann das Update nicht funktioniert, sind Benutzer Angriffen schutzlos ausgeliefert. Wer Microsoft Office benutzt, kann jetzt also wieder ein wenig ruhiger schlafen. Das gilt natürlich nur für Anwender, die mindestens Office 2016 verwenden, denn ältere Versionen erhalten keine Sicherheitsupdates mehr und sind entsprechend gefährlich.
Die LibreOffice Entwickler haben Version 24.8 der freien Office-Suite vorgestellt. Größere sichtbare Neuerungen gibt es nicht, aber wie üblich wurden an allen Ecken und Enden Feinschliff betrieben.
Wie gewohnt gehen wir ausführlicher auf die Neuerungen ein, wenn der neue Entwicklungszweig ein wenig gereift ist. Eine brandneue LibreOffice Version empfehlen wir nur Anwendern die unbedingt die neuesten Funktionen haben wollen und dafür etwaige Kinderkrankheiten in Kauf nehmen. Wer will, kann sich aber jetzt schon anhand der verlinkten Quellen weiter informieren.
Quelle: Release Notes mit allen Neuerungen auf LibreOffice.org
Quelle: Vorstellungsvideo auf YouTube (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Serverüberwachung: OpenBMC-Lücke bringt Systeme in Gefahr' auf Heise Online
Quelle: 'Jetzt patchen! Schadcode-Attacken auf Solarwinds Web Help Desk beobachtet' auf Heise Online
Quelle: 'Sicherheitspatch: Angreifer können Dovecot-Mail-Server lahmlegen' auf Heise Online
Quelle: 'Server mit IBM App Connect Enterprise können nach Attacke abstürzen' auf Heise Online
Quelle: 'Exploit-Versuch auf Ivanti Virtual Traffic Manager-Lücke' auf Heise Online
Quelle: 'Sicherheitsupdates: Lernplattform Moodle vielfältig angreifbar' auf Heise Online
Quelle: 'Softwareentwicklung: Schadcode-Attacken auf Jenkins-Server beobachtet' auf Heise Online
Quelle: 'Microsoft: Fahrplan zur Mehr-Faktor-Authentifizierung in Azure konkretisiert' auf Heise Online
Quelle: 'Angreifer können Ciscos VoIP-System Unified Communications Manager lahmlegen' auf Heise Online
Quelle: 'Admin-Attacken auf GitHub Enterprise Server möglich' auf Heise Online
Quelle: 'Hartkodierte Zugangsdaten gefährden Solarwinds Web Help Desk' auf Heise Online
Quelle: 'August-Updates können Windows Server 2019 lahmlegen' auf Heise Online
Quelle: 'Sicherheitsupdate: Attacken auf Sonicwall-Firewalls können Crash auslösen' auf Heise Online
Quelle: 'Bamboo, Confluence, Jira und Co.: Atlassian schließt hochriskante Lücken' auf Heise Online
Quelle: 'Update verfügbar: IT-Sicherheitslösung IBM QRadar SIEM ist verwundbar' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 24.002.21005 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB24-57 (Englisch)
In Photoshop 2023 und 2024 wurde eine "kritische" Sicherheitslücke behoben. Die 2023er-Ausgabe bekommt das Sicherheitsupdate mit Version 24.7.4 und die 2024er-Fassung ist ab Version 25.11 abgesichert. Sämtliche älteren Photoshop Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB24-49' auf Adobe.com (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe eine als "kritisch" eingestufte und mehrere "wichtige" Sicherheitslücken behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.9.5 (2023) oder 28.6 (2024) updaten.
Info: Adobe Security Bulletin APSB24-45 (Englisch)
Im Layout-Programm InDesign hat Adobe unter anderem 9 kritische Sicherheitslücken behoben. Anwender des Programmes sollten rasch auf die Version 18.5.3 (2023) bzw. 19.5 (2024) updaten. Sämtliche älteren InDesign Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Info: 'Adobe Security Bulletin APSB24-56' auf Adobe.com (Englisch)
In Adobe Bridge wurden zwei "kritische" und eine "moderate" Sicherheitslücke behoben. Das Update auf die abgesicherte Version 13.0.9 (2023) oder 14.1.2 (2024) sollte zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB24-59' auf Adobe.com (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurden 7 kritische und 16 "moderate" Sicherheitslücken behoben. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB24-61 (Englisch)
In Adobes 3D-Programm 'Dimension' wurden 3 "kritische" und 3 "wichtige" Schwachstellen behoben. Anwender des Programms sollten zügig auf Version 4.0.2 updaten.
Quelle: 'Adobe Security Bulletin APSB24-47' auf Adobe.com (Englisch)
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier sollte unbedingt auf Version 18.5.3 oder 19.5 aktualisiert werden, um sicher zu sein.
Info: Adobe Security Bulletin APSB24-64 (Englisch)
In Adobes 3D-Programm 'Substance 3D Designer' wurde eine "kritische" Sicherheitslücke behoben. Anwender des Programms sollten zügig auf Version 14.0 updaten.
Quelle: 'Adobe Security Bulletin APSB24-67' auf Adobe.com (Englisch)
In Adobes 3D-Programm 'Substance 3D Sampler' wurde eine "kritische" und 3 "wichtige" Sicherheitslücken behoben. Anwender des Programms sollten so rasch wie möglich auf Version 4.5.1 updaten.
Quelle: 'Adobe Security Bulletin APSB24-65' auf Adobe.com (Englisch)
In Adobes 3D-Programm 'Substance 3D Stager' wurde eine "kritische" Sicherheitslücke behoben. Anwender des Programms sollten rasch auf Version 3.0.3 updaten.
Quelle: 'Adobe Security Bulletin APSB24-60' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Die Probleme mit der nicht funktionierenden Update-Funktion bei MS-Office (Click 2 Run Versionen) hat der Konzern offenbar immer nicht lösen können. Vereinzelt bekommen Office-Installationen nun zwar wieder Updates, aber nicht alle. Wer seine Office-Installation "manuell" aktualisieren möchte, um auf den aktuellen Sicherheitsstand zu gelangen, findet im verlinkten Artikel von BornCity sehr weit unten in den Kommentaren die nötigen Informationen.
Quelle: 'Microsoft Office Click2Run Update-Funktion kaputt?' auf BornCity.com
Den Fehler, der etliche Windows-Computer in den Bitlocker-Wiederherstellungsmodus befördert hat, statt diese regulär zu booten, wurde nach Angaben von Microsoft mit den August-Updates behoben. Zumindest von dieser Seite droht aktuell also scheinbar keine Gefahr mehr.
Quelle: 'Patchday Microsoft: Angreifer attackieren Office und Windows mit Schadcode' auf Heise Online
Das Problem mit den häufig nicht funktionierenden Office-Updates scheint Microsoft immer noch nicht in den Griff bekommen zu haben. Immerhin sind die Bitlocker/Boot-Probleme scheinbar aus der Welt geschafft und bislang gibt es noch keine Hinweise auf neue Probleme durch die August-Updates. Insofern gab es schon schlimmere Update-Tage.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 6.1.6 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Zoom schützt Anwendungen unter Linux, macOS und Windows vor möglichen Attacken' auf Heise Online
Sicherheitsexperten der secuvera GmbH haben schwere Mängel in VPN-Programmen und Passwort-Managern diverser Hersteller gefunden. Von 14 getesteten Anwendungen, haben nicht weniger als 8 Passwörter im Klartext im Arbeitsspeicher abgelegt – ein gefundenes Fressen für Angreifer. Von den 8 Herstellern unsicherer Programme hat nur 'Cyberghost VPN’ bereits reagiert und ein entsprechendes Sicherheitsupdate veröffentlicht.
Das andere Ende der Verantwortlichkeits-Skala offenbart ein Hersteller, der den Forschern verboten hat seinen Firmen- bzw. Produktnamen zu veröffentlichen. Für den Hersteller einer Sicherheitssoftware ist das ein absolutes Armutszeugnis. Die Forscher folgen der "Bitte" aus Angst vor einer Klage, auch wenn das bedeutet, dass Anwender der betroffenen Software im Unklaren gelassen werden über den Zustand des Produktes. Hier kann man nur hoffen, dass der Hersteller möglichst bald seine Hausaufgaben macht, das Produkt absichert und seine Anwender dann über die Lücken informiert.
Bisher nicht abgesicherte Software kommt von: OpenVPN, Mullvad, HeyLogin, PureVPN / PureKeep / PureEncrypt, 1password und BitWarden.
In den Programmen NordVPN, ProtonVPN, Parsec, Kaspersky, GData und Keepass wurden die Sicherheitsforscher nicht fündig, hier werden keine sensiblen Daten im Klartext abgelegt.
Wer 'Cyberghost VPN’ installiert hat, sollte umgehend das neueste Update installieren. Wer eine der anderen unsicheren Anwendungen nutzt, sollte bei dem jeweiligen Hersteller nachforschen, wann mit einem Update zu rechnen ist, und bei nicht akzeptablen Antworten den Hersteller wechseln.
Quelle: 'VPN-Clients und Passwortmanager betroffen: Klartextpasswort im Prozessspeicher' auf Heise Online
Sicherheitsforscher haben eine weitere Sicherheitslücke in AMD-Prozessoren nachgewiesen. Im Gegensatz zu früheren Prozessor-Sicherheitslücken wirkt die Veröffentlichung hier aber schlecht koordiniert. Die Forscher haben die Lücke auf einer Sicherheitskonferenz präsentiert, vorab darüber auch schon mit dem Wired-Magazin gesprochen, aber einen offiziellen Bericht seitens der Forscher scheint es bislang nicht zu geben. So kann man bisher nur spekulieren, ob es sich um ein Hard- oder Software-Problem handelt, ob es eine einzige Lücke oder mehrere sind. Und auch welche Prozessoren eigentlich betroffen sind, wird nur sehr vage mit "ab 2006, womöglich aber auch schon früher" angegeben.
Jahrgang 2006 würde bedeuten, dass die Lücke bereits in seeligen AMD Athlon Zeiten vorhanden war. Aber ja, selbst solche Oldtimer-Prozessoren sind mancherorts noch im Einsatz., weshalb eine klare Aussage wichtig wäre.
Von AMD selbst gibt es mittlerweile ein Sicherheitsbulletin, dort wird aber nur auf Prozessoren ab Ryzen 3000 eingegangen, kein Wort zur Ersten oder zweiten Ryzen-Generation. Zumindest Ryzen’s der 2000er Baureihe sind bereits Windows 11 kompatibel, sind also bestenfalls noch viele Jahre im Einsatz. Hier keine Updates zu veröffentlichen wäre bitter.
Bei Servern sieht es besser aus, hier hat AMD Updates bis runter zur ersten Epyc-Generation angekündigt. Kein Wunder, denn bei Servern hat diese Lücke auch eine viel größere Bedeutung als bei privat genutzten Computern. Das hat die neue Lücke mit den meisten Prozessor-Lücken gemeinsam.
Selbst da wo AMD bereits Updates ausliefert, heißt das aber nicht, dass diese sofort für jedermann verfügbar sind. Wie immer bei solchen Updates muss ja auch der Mainboard- bzw. Computer-Hersteller mitspielen und die Firmware-Updates in neue BIOS-Updates verpacken. Hier besteht nochmals die Gefahr, dass Systeme die von Seiten AMDs eigentlich noch mit Updates versorgt werden durchs Raster fallen, weil der System-Hersteller kein Update mehr liefert.
Das ganze wirkt schlecht koordiniert und aktuell noch relativ dürftig mit Informationen versehen, sonst aber wie eine relativ "normale" Prozessor-Lücke, wie sie seit einigen Jahren immer wieder mal gemeldet wurde. Für Privatanwender ist wichtig zu wissen, dass man deswegen nicht in Panik verfallen muss und auch nicht sofort alle AMD basierten Computer ein Fall fürs Recycling sind. Wie üblich gilt es regelmäßig nach BIOS-Updates Ausschau zu halten und diese gegebenenfalls zu installieren. Wer in den nächsten Monaten ein BIOS-Update für ein Ryzen-System erhält, bekommt damit vermutlich auch dieses Sicherheitsupdate. Wer kein Update mehr bekommt, wird es auch überleben. Für Privatanwender ist die Gefahr durch infizierte MS-Office-Dokumente und Co sehr viel größer, als eine eher kompliziert auszunutzende Prozessor-Sicherheitslücke.
Quelle: 'CPU-Sicherheitslücke in AMD-Prozessoren ermöglicht Malware-Infektionen' auf Heise Online
Quelle: 'AMD Sicherheitsmeldung bzgl. SMM Lock Bypass' auf amd.com (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Noch kein Patch: Sicherheitsforscher beraubt Windows sämtlicher Schutzfunktionen' auf Heise Online
Quelle: 'Root-Sicherheitslücke bedroht Datenbankmanagementsystem PostgreSQL' auf Heise Online
Quelle: 'Sicherheitslücken: Netzwerkmonitoringtool Zabbix kann Passwörter leaken' auf Heise Online
Quelle: 'Patchday: Angreifer können SAP BusinessObjects kompromittieren' auf Heise Online
Quelle: 'Ivanti schließt unter anderem Admin-Lücke in Virtual Traffic Manager' auf Heise Online
Quelle: 'IBM-Entwickler schließen Schadcode-Lücken in AIX und App Connect' auf Heise Online
Quelle: 'Solarwinds Web Help Desk: Schadcode kann Host-System infizieren' auf Heise Online
Quelle: 'Sicherheitsupdates F5: Angreifer können unbefugt auf BIG-IP-Appliances zugreifen' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 127.0.6533.99 schließt fünf Sicherheitslücken, wovon eine als kritisch eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome sehr zügig aktualisieren.
Im 126er Versionszweig ist nun die Version 126.0.6478.234 aktuell. Wie üblich gibt Google keinerlei Informationen über geschlossene Sicherheitslücken in diesem Zweig preis, es ist aber davon auszugehen, dass auch diese Version gänzlich abgesichert ist.
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren diese Woche nicht ganz so schnell wie sonst, und so hat es bis zum Donnerstag gedauert, bis das Chromium-Update (126.0.6478.236) vom Dienstag-Abend übernommen wurde. Mangels Informationen von Google muss man auch hier von kritischen Sicherheitslücken ausgehen, weshalb auch Vivaldi-Anwender möglichst zügig auf die aktuelle Version updaten sollten.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (4) for Vivaldi Desktop Browser 6.8' auf Vivaldi.com (Englisch)
Microsoft Edge:Die Microsoft Edge Entwickler haben die neuen Chromium-Sicherheitsupdates ebenfalls übernommen, allerdings nur die für die 127er Serie. Anwender des "Extended Stable Channels" schauen aktuell scheinbar durch die Finger. Wer Microsoft Edge verwendet sollte zügig auf Version 127.0.2651.98 updaten.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Die Entwickler von Thunderbird haben die Versionen 115.14 bzw. 128.1.0 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 7 bzw. 10 Sicherheitslücken behoben, wobei die größte Gefahreneinstufung jeweils "hoch" lautet.
Die neue 128er Version ist keine "Revolution" wie die 115er Reihe, Anwender müssen also keine Angst haben, dass wieder unzählige Erweiterungen nicht mehr funktionieren oder die Bedienoberfläche sich erneut massiv verändert hat. Selbst benutzerdefinierte Anpassungen an den Konfigurationsdateien, um die (nicht für jedermann gelungene) Bedienoberfläche der 115er Version "wieder hinzubiegen" funktionieren weiterhin.
Und doch ist die 128er Version ein dezentes Facelift. Das Kontextmenü der Nachrichtenliste wurde nun z.B. im Stil von Windows 11 modifiziert. Aber keine Sorge, im Gegensatz zum Windows 11 Kontextmenü, kann man die Implementation in Thunderbird durchaus verwenden. Muss man auch, denn eine Möglichkeit das alte Kontextmenü zurückzuholen gibt es hier scheinbar nicht. Die Benachrichtigung über neue E-Mails verwendet jetzt standardmäßig das Windows-Benachrichtigungssystem. Wer das nicht mag, kann das aber in den Einstellungen abschalten, dann sieht man stattdessen wieder das altbekannte Popup bei neuen Mails (und müllt sich das Benachrichtigungscenter nicht mit E-Mails zu).
Unter der Haube soll sich laut Entwicklern deutlich mehr getan haben als an der Oberfläche. So wurde einiges an Code in die Programmiersprache 'Rust’ portiert, was zwar dem Anwender im ersten Moment keinen Vorteil bringt, den Programmierern aber wohl schon. Und last but not least wirbt Mozilla damit, dass die 128er Serie in einigen Bereichen deutlich flotter sein soll als altere Ausgaben. Das können wir weder bestätigen noch widerlegen, weil wir auch in 115 eigentlich keine Performance-Probleme hatten. Auf schwächeren Computern mag das aber eventuell bemerkbar sein.
Offenbar rechnet auch Mozilla nicht damit, dass es beim Upgrade von 115 auf 128 größere Probleme geben wird, denn das Auto-Update wurde bereits aktiviert. Das heißt auch ohne manuelles Zutun dürften alle Thunderbird 115 Anwender bald von der 128er Oberfläche begrüßt werden. Will man das nicht, müsste man das automatische Update wohl explizit abschalten, was aus Sicherheitsperspektive natürlich nicht ratsam ist.
Alle Thunderbird Anwender sollten auf eine der neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 115.14.0 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 128.1.0 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Willkommen bei Thunderbird 128 "Nebula"' auf thunderbird.net
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 129 veröffentlicht. Die neue Version behebt 14 Sicherheitslücken, die großteils als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 9 bzw. 12 Lücken geschlossen, wobei das höchste Risiko jeweils die Stufe "hoch" erhalten hat. Hier lauten die neuen Versionsnummern 115.14 bzw. 128.1.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Wer das E-Book-Tool 'Calibre' auf seinem Computer installiert hat, sollte handeln. Grund dafür sind mehrere Lücken, wovon zumindest die im "Content Server" von kritischer Natur ist. Wer sich nicht sicher ist, was der "Content Server" ist bzw. ob der verwendet wird oder nicht, sollte einfach auf die neue Version updaten, dann stellt sich die Frage gar nicht mehr.
Wie üblich lautet aber die erste Empfehlung erst mal nachzudenken, ob dieses Programm überhaupt noch benötigt wird. Ist das nämlich nicht der Fall, ist es immer besser Software zu deinstallieren, statt sie regelmäßig zu aktualisieren.
Quelle: 'E-Book-Tool Calibre: Codeschmuggel durch kritische Sicherheitslücke möglich' auf Heise Online
Da Makro-Viren seit einigen Jahren ja wieder ein großes Thema sind (wenngleich eher für Microsoft Office Anwender) hat auch LibreOfice hier in den letzten Jahren immer wieder mal nachgebessert. In der aktuellen Version 24.2.5 gab es abermals eine Änderung. Neu ist, dass digital signierte Makros generell nicht mehr ausgeführt werden, wenn die Signatur nicht als vertrauenswürdig überprüft werden kann. Davor war es möglich, die Warnung zu übergehen.
Eine "Sicherheitslücke" war das nicht, vorsichtige Anwender hätten die Warnung auch jetzt vermutlich schon nicht weggeklickt, aber für Anwender die weniger Firm mit EDV-Sicherheit sind, ist diese Änderung sicher willkommen.
Wer noch eine 7er Version (oder noch älter) von LibreOffice verwendet sollte ohnehin aktualisieren, da auch 24.2.4 bereits ein Sicherheitsupdate war. Aber selbst der Sprung von 24.2.4 auf 24.2.5 ist nicht nur wegen der geänderten Makro-Sicherheit ratsam, es wurden ja auch etliche weitere Fehler behoben, was nie schadet.
Quelle: 'LibreOffice bessert bei der Makro-Sicherheit nach' auf Heise Online
Das Content-Blocker wie µBlock Origin Google ein Dorn im Auge sind, ist klar. Immerhin werden Content-Blocker primär zum Ausblenden von nervigen Werbebannern genutzt und Werbung ist Googles primäre Einnahmequelle. Kein Wunder also, dass Google seine Quasi-Monopol-Stellung, die mittlerweile nicht nur die Suchmaschine, sondern auch Browser und Smartphone-Betriebssysteme umfasst massiv ausnützt, um möglichst wenig von seinen Milliarden-Einnahmen zu verlieren.
Deshalb macht jetzt auch der 'µBlock Origin' Programmierer Raymond Hill darauf aufmerksam, dass in Google Chrome (und damit vermutlich auch in allen anderen auf Chromium basierten Browsern) bald schon etliche Content-Blocker nicht mehr funktionieren werden, darunter eben auch 'µBlock Origin' selbst. Hill bleibt nichts anderes übrig, als eine abgespeckte Version von 'µBlock Origin', nämlich 'µBlock Origin Lite' anzubieten. Diese wird auch mit zukünftigen Versionen von Chrome kompatibel sein, kann aber bei weitem nicht mehr so effizient arbeiten wie die Vollversion. Daher rät Hill auch zum Umstieg auf Firefox, dort funktioniere der Blocker auch in Zukunft ohne Einschränkungen.
Quelle: 'Adblocker: uBlock Origin stellt Chrome-Vollversion ein und empfiehlt Firefox' auf Heise Online
Google hat einen Prozess um wettbewerbswidrige Ausnutzung seiner Monopol-Stellung in erster Instanz verloren. Da mit Sicherheit davon auszugehen ist, dass Google den Urteilsspruch anfechten wird und das ganze vor die nächste Instanz gelangt, spielt es auch keine Rolle das aktuell noch gar nicht klar ist, wie genau die Strafe aussehen würde.
Dennoch ist dies als gutes Zeichen für die Geschädigten – also quasi jeden der in irgendeiner Art und Weise einen Computer nutzt – zu sehen, dass hier langsam etwas vorangeht. Wobei es natürlich wie so oft an den Menschen selbst liegen würde, einfach Alternativen zu verwenden. Google ist ja zum Glück weder die Einzige noch die beste Suchmaschine, insofern läge es an uns einfach Alternativen zu verwenden und Googles gefährliches Monopol endlich aufzuweichen.
Für Öko-Freunde wäre hier z.B. Ecosia zu nennen, die ihre Einnahmen zumindest zum Teil dafür verwenden Bäume zu pflanzen. Wer wert auf Datenschutz legt, könnte stattdessen DuckDuckGo eine Chance geben, anstatt sich von Google auszuspionieren lassen. Oder man greift einfach zu den Klassikern wie Bing oder Yahoo. Es gibt so viele Alternativen, die einen Blick wert wären.
Quelle: 'Googles Suchmaschinen-Geschäfte sind illegal, sagt US-Gericht' auf Heise Online
Moderne Dating-Apps wie Tinder und Co sammeln sehr, sehr viele Daten über ihre Nutzer. Eigentlich sollten diese Daten auch bei den jeweiligen Anbietern bleiben und nicht Dritten zugespielt werden. Dass das aber leider allzu oft bewusst oder unbewusst umgangen wird, und so auch Parteien Zugriff auf die sensiblen Daten erhalten, die eigentlich draußen bleiben sollten, haben nun Forscher aus Belgien nachgewiesen.
Zumindest bei den Ortungsdaten scheint der Sicherheitsbericht Konsequenzen haben, denn manche Anbieter sollen die Lokalisierung seitdem etwas ungenauer gemacht haben. Im Großen und Ganzen wäre das aber vielleicht ein Fall für die Datenschutzbehörden, denn wenn saftige Strafen drohen, werden die App-Betreiber eher aktiv als wenn ein Sicherheitsforscher auf die Lücken nur hinweisen kann, es aber eigentlich ohne Konsequenzen bleibt.
Quelle: 'Tinder, OKCupid, Grindr & Co. lassen intime Daten abfließen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Kritische Sicherheitslücke bedroht Unternehmenssoftware Apache OFBiz' auf Heise Online
Quelle: 'Sicherheitsupdate: Kritische Schadcode-Lücke bedroht Analyseplattform Kibana' auf Heise Online
Quelle: 'Microsoft wirft Adobe-Postscript-Type-1-Unterstützung aus Windows raus' auf Heise Online
Quelle: 'Einbrecher löschen tausende Geräte beim MDM-Anbieter Mobile Guardian' auf Heise Online
Quelle: 'TeamCity: Fehlerhafte Rechtevergabe ermöglicht Rechteausweitung' auf Heise Online
Quelle: 'Cisco: Angreifer können Befehle auf IP-Telefonen ausführen, Update kommt nicht' auf Heise Online
Quelle: 'Roundcube Webmail: Angreifer können durch kritische Lücke E-Mails kapern' auf Heise Online
Quelle: 'Sicherheitstipps Cisco: Angreifer missbrauchen Smart-Install-Protokoll' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das Update auf Version 127.0.6533.88 schließt drei Sicherheitslücken, wovon eine als kritisch eingestuft wurde. Aufgrund der Gefahreneinstufung sollten Anwender von Google Chrome sehr zügig aktualisieren.
Im 126er Versionszweig ist nun die Version 126.0.6478.226 aktuell. Wie üblich gibt Google keinerlei Informationen über geschlossene Sicherheitslücken in diesem Zweig preis, es ist aber davon auszugehen, dass auch diese Version gänzlich abgesichert ist.
Quelle: 'Kritische Sicherheitslücke bedroht Google Chrome' auf Heise Online
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren wieder sehr schnell und haben am Mittwoch Version 6.8 Update 3 veröffentlicht, die auf Chromium-Version 126.0.6478.228 basiert. Mangels Informationen von Google muss man auch hier von kritischen Sicherheitslücken ausgehen, weshalb auch Vivaldi-Anwender möglichst zügig auf die aktuelle Version updaten sollten.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (3) for Vivaldi Desktop Browser 6.8' auf Vivaldi.com (Englisch)
Microsoft Edge:Die Microsoft Edge Entwickler haben die neuen Chromium-Sicherheitsupdates ebenfalls übernommen, wenngleich sie etwas länger dafür gebraucht haben als die Vivaldi-Crew. Wer Microsoft Edge verwendet sollte zügig auf Version 127.0.2651.86 oder 126.0.2592.132 updaten.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Die Anti-Viren-Programme von Avast sind in der Vergangenheit schon öfter durch mehr oder weniger gefährliche Fehler auffällig geworden, und auch aktuell machen sie wieder mit Negativ-Schlagzeilen auf sich aufmerksam. Sicherheitsforscher berichten über insgesamt acht Sicherheitslücken in "Avast Free Antivirus", die zum Teil bereits letztes Jahr an den Hersteller gemeldet und immer noch nicht behoben wurden.
Ob die kostenpflichtigen Programme des Herstellers ebenfalls von der Lücke betroffen sind, ist ungewiss. Erwähnt werden sie nicht explizit, aber üblicherweise sind die kostenlosen Produkte nur abgespeckte Versionen der kommerziellen Produkte, Lücken gelten damit meist für alle Ausgaben innerhalb einer Reihe.
Da Avast seit vielen Monaten von den Lücken weiß aber nichts unternommen hat, kann man allen Anwendern nur zum Umstieg auf andere Schutzlösungen raten. Branchen-Primus ist wie gehabt Kaspersky, der ebenfalls kostenlose Angebote im Sortiment hat. Wer unter der aktuellen politischen Lage keine Software aus Russland einsetzen möchte, kann z. B. zum kostenlosen Avira greifen, die trotz amerikanischem Besitzer den Haupt-Firmensitz immer noch in Deutschland haben. Allerdings ist auch Avira in der Vergangenheit öfter mal durch Fehler aufgefallen, die Software bremst den Rechner etwas mehr aus und der Installer bringt etliche unnötige Programme mit auf die Festplatte.
Quelle: 'Keine Sicherheitsupdates in Sicht: Avast Free Antivirus ist verwundbar' auf Heise Online
Der Meta-Konzern, zu dessen Portfolio auch der WhatsApp Messenger gehört, bekleckert sich ebenfalls nicht mit Rum was das Schließen von Sicherheitslücken angeht. Hier hat ein Sicherheitsforscher im Juni entdeckt, dass der Windows-Client ungefragt gefährliche Dateien öffnet, sofern Python auf dem Rechner installiert ist. Bewusst dürften zwar meist nur Entwickler Python installiert haben, unbewusst kann die Software aber durchaus auch auf normalen Endanwender-Computern zu finden sein.
META bzw. WhatsApp hat dem Forscher über ein Monat nach der Meldung des Bugs geantwortet, dass der Fehler behoben sei, was sich aber als Irrtum herausgestellt hat. Der Fehler ist aktuell nach wie vor vorhanden und gefährdet Windows-Nutzer. Wer WhatsApp auf Windows installiert hat, sollte die Software zumindest vorübergehend deinstallieren, um auf Nummer sicher zu gehen.
Quelle: 'Whatsapp-Sicherheitslücke erlaubt Skript-Ausführung' auf Heise Online
Der einstige Beinahe-Prozessor-Monopolist strauchelt aktuell an allen Ecken und Enden. Die Finanzzahlen sehen tiefrot und die aktuellen Prozessoren machen durch immer mehr Fehler auf sich aufmerksam. Erst letzte Woche haben wir über drei Probleme der aktuellen Intel-Prozessoren berichtet, da weitet sich das Debakel diese Woche bereits noch weiter aus.
Wie Heise Online berichtet, sollten nun alle Prozessoren der Raptor Lake Reihe dringendst (!) mit BIOS-Updates versorgt werden. Damit werden ja wie schon länger bekannt diverse Fehler im Mikrocode der Prozessoren behoben. Bisher dachte man, das hat ausschließlich Auswirkung auf die Stabilität der Prozessoren. Inzwischen aber wird klar, dass ohne Update auch die Lebensdauer der Prozessoren massiv verkürzt wird, da diese durch die falschen Betriebsparameter sehr schnell "altern".
Wer also einen Computer mit Prozessor aus der Core i-13000 oder Core i-14000 Reihe hat, sollte unbedingt regelmäßig nach BIOS-Updates Ausschau halten und diese so bald wie möglich auch installieren. Denn ist ein Prozessor erst einmal instabil, wird sich nachträglich durch ein Update nichts mehr daran ändern, dann muss der Prozessor ersetzt werden.
Intel hat jetzt auch bekannt gegeben, die Garantie für Prozessoren der Raptor Lake Reihe von 3 auf 5 Jahren zu verlängern. Wohl um noch kostspieligeren Klagen vor Gericht zuvorzukommen.
Quelle: 'Fast alle Raptor-Lake-CPUs benötigen dringend BIOS-Updates' auf Heise Online
Quelle: 'Raptor Lake: Intel gewährt zwei zusätzliche Jahre Garantie' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdate schützt SolarWinds Platform vor möglichen Attacken' auf Heise Online
Quelle: 'Angreifer nutzen Schadcode-Lücke in Acronis Cyber Infrastructure aus' auf Heise Online
Quelle: 'Selenium Grid: Unsichere Standardkonfiguration lässt Krypto-Miner passieren' auf Heise Online
Quelle: 'Jetzt patchen! Ransomware-Attacken auf VMware ESXi-Server beobachtet' auf Heise Online
Quelle: 'Unbefugte Zugriffe auf IT-Managementlösung Aruba ClearPass möglich' auf Heise Online
Google hat diese Woche 22 Sicherheitslücken in Google Chrome und Chromium behoben. Mindestens drei der Lücken wurden als hohes Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome zügig auf die neue Version (127.0.6533.72) updaten sollten.
Im Extended Stable Zweig gab es diese Woche kein Update, hier ist nach wie vor die Version 126.0.6478.182 von letzter Woche aktuell und sicher.
Quelle: 'Stable Channel Update for Desktop' auf googleblog.com (Englisch)
Vivaldi:Bei Vivaldi gab es kein Update, da der "Extended Stable"-Zweig von Google diese Woche nicht aktualisiert wurde. Version 6.8 Update 2 von Vivaldi ist daher nach wie vor aktuell und sicher.
Microsoft Edge:Die Microsoft Edge Entwickler haben ebenfalls bereits auf die 127er Version umgeschwenkt. Den release Notes ist zu entnehmen, dass zusätzlich zu den 22 Chromium-Sicherheitslücken auch noch zwei Edge-spezifische Sicherheitslücken behoben wurden. Microsoft Edge Anwender sollten daher zügig auf Version 127.0.2651.74 aktualisieren.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Wie vor zwei Wochen schon berichtet, haben es die Juli-Updates bei Microsoft in sich. Weiterhin verlieren Anwender weltweit ihre Daten wegen nicht gesicherter Bitlocker-Schlüssel und auch Office bereitet nach wie vor Kopfzerbrechen.
Falls Bitlocker verwendet wird, sollte der Wiederherstellungsschlüssel unbedingt gesichert werden! Falls jemand nicht weiß, ob eines der Laufwerke durch Bitlocker geschützt ist, tippt man ins Startmenü einfach "Bitlocker" ein und klickt dann auf "Bitlocker verwalten". Dort sieht man dann sofort, ob ein Laufwerk mit Bitlocker verschlüsselt ist oder nicht. Falls ein Laufwerk verschlüsselt ist und man das beibehalten möchte, sollte man sicherstellen, dass der Bitlocker-Wiederherstellungsschlüssel gesichert wurde. In der Bitlocker-Verwaltung gibt es dafür mehrere Möglichkeiten. Falls die Laufwerke in dem Computer gar nicht verschlüsselt werden müssen, weil der PC immer nur in kontrollierten Umgebungen eingesetzt wird, kann man die Verschlüsselung hier auch dauerhaft deaktivieren.
Quelle: 'Windows-Update kann Nachfrage nach Bitlocker-Schlüssel auslösen' auf Heise Online
An dem Problem mit den Office-Updates hat Microsoft bisher auch nichts geändert. Nach wie vor klagen zahlreiche Office-Anwender bzw. Administratoren, dass diese Systeme keine Updates erhalten. Was natürlich prekär ist, da die Juli-Updates eine kritische Sicherheitslücke in Outlook schließen sollten.
Quelle: 'Microsoft Office Click2Run Update-Funktion kaputt?' auf BornCity.com
HP hat begonnen für zahlreiche Desktop-Computer BIOS-Updates zu veröffentlichen, die Sicherheitslücken schließen. Betroffen sind Modelle aus den Reihen 'All-in-One’ und 'Pavilion'. Eine ausführliche Liste der betroffenen Modelle listet der Hersteller in seinem Sicherheitsbericht auf – vermutlich, aktuell scheint die Seite überlastet zu sein.
Besitzer und Administratoren sollten prüfen, ob für verwendete HP Computer BIOS-Updates bereitstehen und diese installieren. Privat-Anwender verwenden dafür am einfachsten den HP Support Assistant.
Quelle: 'BIOS-Sicherheitslücke gefährdet unzählige HP-PCs' auf Heise Online
Quelle: 'Sicherheitsbericht von HP' auf hp.com (Englisch)
Letzte Woche haben wir noch über die neue Audacity Version berichtet, und mit den Worten abgeschossen das man ruhig noch etwas warten könne, weil üblicherweise rasch ein Update folgt, das die ärgsten Kinderkrankheiten kuriert. Diese Woche ist es schon so weit, Version 3.6.1 behebt zwei Crashes und 3 weitere Probleme der neuen Version.
Das haben wir zum Anlasse genommen, um uns die neue Version mal kurz anzusehen und ein paar Basis-Tests zu machen. Hierbei konnten wir keine Probleme feststellen. Das heißt nicht, dass im Alltag oder bei intensiveren Tests nicht noch die eine oder andere weitere Kinderkrankheit auffallen kann. Aber zumindest neugierige Naturen, oder solche für die die neuen Master-Effekte ein absoluter Game-Changer sind, können der neuen Version jetzt durchaus mal eine Chance geben.
Mehr zu den Neuerungen in Audacity 3.6 im Artikel von letzter Woche.
Quelle: 'Audacity Blogeintrag zur Version 3.6' auf audacityteam.org (Englisch)
Download: Audacity 3.6.1 für Windows 64Bit
Download: Aktuelle Audacity Versionen für andere Plattformen
Besitzer von Computern mit Intel Prozessoren aus der 1300 und 1400er Serie, könnten gleich aus mehreren Gründen über Instabilität-Probleme stolpern. Bisher wurde dafür maßgeblich ein Fehler im Microcode der Prozessoren verantwortlich gemacht, wie im verlinkten Heise Online Artikel aber ersichtlich wird, gibt es gleich 3 Ursachen für Probleme mit den aktuellen Intel-Prozessoren.
Zu dem bereits erwähnte Fehler im Microcode der Prozessoren hat sich mittlerweile ein zweiter gesellt. Immerhin, wie schon beim ersten Problem, lässt sich das per BIOS-Update beheben, sobald der Mainboard- bzw. PC-Hersteller dieses ausliefert. Grundsätzlich sollte man das BIOS eines Computers so oder so immer aktuell halten, weil diese sehr oft auch Sicherheitslücken schließen oder eben die Stabilität verbessern. Für Besitzer genannter Intel-Prozessoren gilt das halt aktuell mehr denn je.
Das dritte Problem ist leider deutlich massiver, denn es ist ein Fertigungs-Problem. Hier hilft nur der Austausch des Prozessors. Bei Fertig-Systemen ist hierbei der Hersteller des Komplett-Systems der erste Ansprechpartner, bei selbst gebauten Computern kann man sich angeblich an den Intel Kunden-Support wenden.
Quelle: 'Prozessor-Abstürze: Intel entdeckt weiteren Fehler' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Angreifer können Sonicwall-Firewalls lahmlegen' auf Heise Online
Quelle: 'Backup-System Data Protection Advisor von Dell vielfältig angreifbar' auf Heise Online
Quelle: 'Software-Distributionssystem TeamCity erinnert sich an gelöschte Zugangstoken' auf Heise Online
Quelle: 'Das Crowdstrike-Fiasko: Ursachenforschung und erste Lehren' auf Heise Online
Quelle: 'Siemens SICAM: Angreifer können Admin-Passwort zurücksetzen' auf Heise Online
Quelle: 'Docker: Alte Sicherheitslücke zur Rechteausweitung wieder aufgetaucht' auf Heise Online
Quelle: 'Sicherheitsupdates: Aruba EdgeConnect SD-WAN vielfältig attackierbar' auf Heise Online
Quelle: 'Sicherheitslücke: Entwickler raten zum zügigen Patchen von Telerik Report Server' auf Heise Online
Quelle: 'UEFI Secure Boot: Hunderte Computer haben unsichere Kryptoschlüssel' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die neue Version behebt 10 Sicherheitslücken, die allesamt die Gefahreneinstufung "hoch" tragen. Anwender von Google Chrome sollten sicherstellen, dass Version 126.0.6478.182 (oder neuer) bereits zum Einsatz kommt oder andernfalls schnell updaten.
Die 126er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Quelle: 'Stable Channel Update for Desktop' auf Googleblog.com
Info: 'Google Chrome aktualisieren' auf Google.com
Vivaldi:Die Vivaldi Entwickler waren wieder sehr schnell und haben das Sicherheitsupdate binnen weniger Stunden übernommen. Die aktuellste Version ist nun 6.8 Update 2, die auf Chromium-Version 126.0.6478.192 basiert. Auch hier gilt es zügig zu aktualisieren, falls noch nicht geschehen.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (2) for Vivaldi Desktop Browser 6.8' auf Vivaldi.com (Englisch)
Microsoft Edge:Die Microsoft Edge Entwickler haben das aktuelle Sicherheitsupdate ebenfalls übernommen. Wer Microsoft Edge verwendet sollte zügig auf Version 126.0.2592.113 updaten.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 386 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 6 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.4 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 421 aktualisieren.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.24, 17.0.12, 21.0.4 oder 22.0.2 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
VirtualBox:In dem PC-Emulator VirtualBox wurden 3 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich keine der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, muss aber aktuell gut überlegen, ob er ein Upgrade ins Auge fasst, da die Stabilität wie bei allen Versionen seit der 7.0.16er Ausgabe zu Wünschen übrig lässt. Anwender müssen also gut zwischen Sicherheit und Stabilität abwägen. Bei wem die 7.018 aber bisher schon stabil lief, kann vermutlich auch die 7.0.20 bedenkenlos einsetzen.
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory – July 2024' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - July 2024' auf Oracle.com (Englisch)
Quelle: 'Critical Patch Update: Oracles Quartalsupdate liefert 386 Sicherheitspatches' auf Heise Online
Wie Ende Juni bekannt wurde, hat die Version 24.2.4 von LibreOffice eine Sicherheitslücke geschlossen. Zwar dürfte der anfällige "LibreOfficeKit mode" von kaum einem regulären Anwender verwendet worden sein, dennoch empfiehlt es sich auf die aktuelle Version upzugraden, um auf Nummer sicher zu gehen. Mittlerweile ist bereits Version 24.2.5 aktuell und von uns erfolgreich getestet.
Quelle: 'Sicherheitswarnung von LibreOffice' auf libreoffice.org (Englisch)
Download: Aktuelle LibreOffice Versionen
Wer eine Powerbank der Reihe "Varmfront" besitzt, sollte prüfen, ob diese von einem Rückruf durch Ikea betroffen ist. Wie das geht und welche Modelle betroffen sind, zeigt der verlinkte Heise Online Artikel sehr gut.
Quelle: 'Varmfront: Ikea ruft Powerbanks wegen Brandgefahr zurück' auf Heise Online
Bisher konnte man in Audacity nur Filter auf einzelne Spuren legen, eine Master-Spur, wie professionelle Audio-Software-Pakete sie längst geboten haben, fehlte bisher. Das ändert sich nun in Version 3.6. Um den neuen Master-Effekt auch sofort nutzen zu können, wurden auch zwei neue Filter eingebaut. Ein neuer, echtzeitfähiger, Limiter und Kompressor ersetzen die jeweiligen Vorgänger. Wie üblich sollten aber auch die meisten (echtzeitfähigen) VST-Filter als Master-Effekt genutzt werden können.
Auch an der Benutzeroberfläche wurde geschraubt: sowohl das helle als auch dunkle Theme haben ein Facelift erhalten. Wer die alte Oberfläche bevorzugt, kann das Classic-Theme einstellen.
Last but not least, soll Audacity insgesamt flotter geworden sein. Das klingt alles toll, getestet haben wir es bisher aber nicht, da wir bei Audacity um "Nuller-Versionen" einen Bogen machen. Üblicherweise kommt relativ schnell ein Update, dass die ärgsten Kinderkrankheiten einer neuen Hauptversion behebt.
Quelle: 'Audacity Blogeintrag zur Version 3.6' auf audacityteam.org (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Admin-Lücke bedroht Palo Alto Networks Migration-Tool Expedition' auf Heise Online
Quelle: 'Sicherheitslücken im Management-Controller XClarity gefährden Lenovo-Server' auf Heise Online
Quelle: 'Jetzt patchen! Schadcode-Attacken auf GeoTools-Server' auf Heise Online
Quelle: 'Sicherheitslücke mit Höchstwertung in Cisco Smart Software Manager On-Prem' auf Heise Online
Quelle: 'Atlassian Bamboo: Angreifer können Entwicklungsumgebungen kompromittieren' auf Heise Online
Quelle: 'Schlupfloch für Schadcode in Ivanti Endpoint Manager geschlossen' auf Heise Online
Quelle: 'SolarWinds Access Rights Manager: Angreifer mit Systemrechten und Schadcode' auf Heise Online
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
In Adobe Bridge wurde eine "kritische" und eine "wichtige" Sicherheitslücke behoben. Das Update auf die abgesicherte Version 13.0.8 (2023) oder 14.1.1 (2024) sollte zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB24-51' auf Adobe.com (Englisch)
Im Layout-Programm InDesign hat Adobe vier kritische Sicherheitslücken behoben. Anwender des Programmes sollten rasch auf die Version 18.5.3 (2023) bzw. 19.4 (2024) updaten. Sämtliche älteren InDesign Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Info: 'Adobe Security Bulletin APSB24-48' auf Adobe.com (Englisch)
Im Video-Schnitt-Programm Premiere Pro hat Adobe eine kritische Sicherheitslücke behoben. Anwender von Premiere Pro sollten zügig auf Version 23.6.7 (2023) oder 24.5 (2024) updaten.
Quelle: 'Adobe Security Bulletin APSB24-46' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Bei einem Kunden mit Microsoft Office 2016 haben wir kürzlich ein Problem mit der Update-Funktion festgestellt. In Borns IT- und Windows-Blog konnten wir dann sehen, das bereits einige Nutzer über dieses Problem klagen. Es betrifft nur die "Click 2 Run Versionen" der MS-Office-Pakete (ab Office 2019 gibt es MS-Office [leider] nur mehr in dieser Ausführung). Alle (oder zumindest sehr viele) dieser Officepakete erhalten aktuell keine automatischen Updates mehr und auch die manuelle Suche nach Updates bringt nur eine Fehlermeldung. Ob Microsoft das Problem bereits kennt und daran arbeitet ist uns nicht bekannt, man kann es nur hoffen. Fakt ist aber, dass die Officepakete (bzw. Outlook) dringend Sicherheitsupdates benötigen würden. Wer also ein MS-Officepaket einsetzt, sollte prüfen, ob die Update-Funktion funktioniert. Ist das nicht der Fall, hilft laut einem Bog-Leser eine "online Reparatur" des Office Paketes. Das repariert zwar nicht die Update-Funktion, hievt die Software aber einmalig auf den aktuellen Stand und schließt damit kritische Sicherheitslücken.
Quelle: 'Microsoft Office Click2Run Update-Funktion kaputt?' auf BornCity.com
Ebenfalls in Borns Blog konnten wir sehen, dass wohl viele PCs nach den Juli-Updates nicht mehr booten, sondern den Bitlocker-Wiederherstellungsschlüssel anfordern. Wer den nicht notiert oder gesichert hat, hat ein massives Problem. Mit etwas Glück hilft es das Juli-Windows-Update wieder zu deinstallieren. Betroffen sind wohl hauptsächlich Windows 11 Systeme, wo Probleme ohnehin keine Besonderheit sind. Vereinzelt sollen aber auch Windows 10 Systeme betroffen sein. Microsoft führt dieses Problem aktuell noch nicht als "bekanntes Problem" auf.
Quelle: 'Windows 10/11 Updates triggern Bitlocker-Abfragen' auf BornCity.com
Wohl um das Sprichwort, "aller guten Dinge sind drei", zu bestätigen hat Microsoft auch noch ein Problem mit Remote-Desktop-Verbindungen in die Juli-Updates eingebaut. Auch hier sieht es wieder danach aus, als ob ausschließlich oder zumindest hauptsächlich Windows 11 Systeme betroffen sind. Da Microsoft auch dieses Problem noch nicht als "bekanntes Problem" ausweist, kann man sich auch hier bisher nur in diversen Blogs informieren.
Quelle: 'Windows Juli 2024-Updates machen Remote Verbindungen kaputt' auf BornCity.com
Sieht so aus, als würden die Juli-Updates Administratoren wieder ordentlich fordern. Und einmal mehr stellt sich die Frage, wie lange kann Microsoft es sich noch leisten so viele kaputte Updates auszuliefern?
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 6.0.10 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Webkonferenzen: Zoom dichtet acht Sicherheitslücken ab' auf Heise Online
Die Postcript/PDF-Software Ghostscript ist wieder einmal Dreh- und Angel-Punkt schwerer Sicherheitslücken. Gleich fünf Lücken haben Sicherheitsforscher entdeckt, eine davon gilt als besonders kritisch und sie wird auch bereits aktiv angegriffen.
Die wenigsten Anwender dürften Ghostscript bewusst installiert haben und doch kommt sie auf sehr vielen Computern vor. Zahlreiche Anwendungen die irgendwie mit Postscript bzw. PDF arbeiten, verwenden Ghostscript als Unterbau, so auch LibreOffice und PDFCreater, um nur ein paar zu nennen. Bisher ist aber nicht bekannt, ob die Lücken in Ghostscript auch über andere Anwendungen missbraucht werden können.
Wer Ghostcript auf seinem Computer installiert hat, sollte es unbedingt auf Version 10.3.1 aktualisieren. Ob LibreOffice und Co Updates benötigen wird sich noch zeigen.
Quelle: 'Codeschmuggel-Lücke in Ghostscript wird angegriffen' auf Heise Online
In Multifunktionsdruckern von Toshiba und Sharp wurden Sicherheitslücken entdeckt und aktualisierte Firmware bereitgestellt. Da laut Preisvergleichswebseiten im deutschsprachigen Raum praktisch keine Multifunktionsdrucker dieser beiden Hersteller angeboten werden, verweisen wir auf den Heise Online Artikel für Details.
Quelle: 'Root- und Backdoor-Lücken in Mufu von Toshiba und Sharp geschlossen' auf Heise Online
Nvidia hat wieder Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. Es gibt Updates für die Grafikarten-Treiber, für die VGPU-Software und die Software "Nvidia Cloud Gaming". Überall wurde dieselbe Lücke behoben, die mit einer Bedrohungsbewertung von 7,8 von 10 durchaus ernst genommen werden sollte.
Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 556.12 oder 475.14 bei den GameReady-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 475.14, 538.78 oder 552.74) bereit.
Leider stehen einmal mehr keine abgesicherten Studio-Treiber bereit, wer bisher auf diese gesetzt hat, muss also entweder vorübergehend auf GameReady-Treiber ausweichen oder warten bis ein abgesicherter Studio-Treiber verfügbar ist.
Wer die Software "Nvidia Cloud Gaming" installiert hat, sollte diese unbedingt auf die Juli 2024 Version updaten.
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - July 2024' (Englisch)
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Wordpress-Plug-in mit 150.000 Installation ermöglicht beliebige Dateiuploads' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Mastodon: Sicherheitslücke ermöglicht unbefugten Zugriff auf Posts' auf Heise Online
Quelle: 'Sicherheitslücken GitLab: Angreifer können Softwareentwicklung manipulieren' auf Heise Online
Quelle: 'Patchday: SAP rüstet Unternehmenssoftware gegen etwaige Angriffe' auf Heise Online
Quelle: 'Citrix stopft teils kritische Sicherheitslücken in mehreren Produkten' auf Heise Online
Quelle: 'OpenSSH: Weitere RegreSSHion-artige Lücke entdeckt' auf Heise Online
Quelle: 'Patchday Fortinet: FortiAIOps und FortiOS gegen mögliche Attacken gerüstet' auf Heise Online
Quelle: 'Blast-RADIUS: Sicherheitslücke im Netzwerkprotokoll RADIUS veröffentlicht' auf Heise Online
Quelle: 'VMware stopft SQL-Injection-Lücke in Aria Automation' auf Heise Online
Quelle: 'Juniper Networks: 46 Sicherheitswarnungen veröffentlicht' auf Heise Online
Quelle: 'Cisco: Secure Boot bei einigen Routern umgehbar, Anfälligkeit auf RADIUS-Lücke' auf Heise Online
Quelle: 'IT-Sicherheitslösung Trend Micro Apex One vor möglichen Attacken abgesichert' auf Heise Online
AVM, der Hersteller hinter den bekannten Fritzboxen und anderem Netzwerk-Equipment, wurde zu einer Strafe von 16 Millionen Euro verurteilt. Grund dafür sind illegale Preisabsprachen. Das ist das erste Mal, dass wir etwas Negatives über AVM berichten müssen, sonst können wir eigentlich immer nur positives berichten.
Doch auch in dieser Strafe, bzw. den Konsequenzen daraus, können Endkunden etwas Positives sehen. Wenn es keine Preisabsprachen mehr gibt, können Online-Händler die Geräte nun möglicherweise billiger anbieten. Ob Fritzboxen in nächster Zeit im Handel günstiger werden wird sich also zeigen, aktuell ist davon noch nichts zu sehen.
Quelle: 'Fritzboxen & Co.: AVM bezahlt Millionenstrafe wegen Preisabsprachen' auf Heise Online
Nach dreijähriger Untersuchung, hat der EU-Datenschutzbeauftragte Wojciech Wiewiórowski festgestellt, dass die Nutzung der Software Microsoft 365 durch die EU-Kommission, gegen die DSGVO verstößt. Das war wenig verwunderlich, Datenschützer laufen schon seit Jahren Sturm gegen diverse Cloud-Dienste, allen voran Microsoft 365.
Die Anwender in der EU-Kommission fanden das aber gar nicht lustig und wollen nun Klage gegen den EU-Datenschutzbeauftragten erheben. Vereinfacht gesagt hat also Abteilung A der EU gegen ein Gesetz verstoßen, das Abteilung B der EU erlassen hat und Abteilung C, die darauf hinweist, wird nun von Abteilung A verklagt. Microsoft reibt sich die Hände, weil das bedeutet, dass sie ihre nicht DSGVO-konforme Software weiterhin ungehindert in der EU vertreiben kann, weil nicht mal die EU-Kommission selbst ohne diese auszukommen scheint. Viel trauriger könnte das Bild der EU kaum sein. Unabhängigkeit von amerikanischen Software-Unternehmen und Cloud-Anbietern sieht jedenfalls anders aus.
Quelle: 'Streit über Microsoft 365: EU-Kommission verklagt EU-Datenschutzbeauftragten' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'IP-Telefonie: Avaya IP Office stopft kritische Sicherheitslecks' auf Heise Online
Quelle: 'RegreSSHion: Sicherheitslücke in OpenSSH gibt geduldigen Angreifern Root-Rechte' auf Heise Online
Quelle: 'Juniper: Notfall-Update für Junos OS auf SRX-Baureihe' auf Heise Online
Quelle: 'Update für IBM InfoSphere Information Server dichtet viele Sicherheitslücken ab' auf Heise Online
Quelle: 'Exim: Umgehung des Attachment-Filters ermöglicht Schadcodeanhänge' auf Heise Online
Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen:
Wir empfehlen:
Diese Website ist kompatibel zu:
