News Archiv: Oktober - Dezember 2023
News Archiv: Juli - September 2023
News Archiv: April - Juni 2023
News Archiv: Jänner - März 2023
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben, und zwar gleich zweimal diese Woche. Mit dem Notfall-Update von Freitag sind das 3 Sicherheitsupdates innerhalb von 6 Tagen. Das Update vom Mittwoch war dabei wieder "geplant", aber auch das schloss einmal mehr Sicherheitslücken die bereits aktiv ausgenutzt werden. Anwender von Google Chrome sollten besonders rasch sicherstellen, dass Version 125.0.6422.60 (oder neuer) zum Einsatz kommt oder andernfalls schnell updaten.
Im 124er Versionszweig ist die Version 124.0.6367.221 aktuell. Wie üblich gibt Google keinerlei Informationen über geschlossene Sicherheitslücken in diesem Zweig preis, es ist aber davon auszugehen, dass auch diese Version gänzlich abgesichert ist.
Quelle: 'Chrome: Weitere Zero-Day-Lücke mit Update geschlossen' auf Heise Online
Info: 'Google Chrome aktualisieren' auf Google.com
Die Vivaldi Entwickler waren wieder sehr schnell und haben beide Updates von Google jeweils noch am selben Tag an die Vivaldi-Anwender weitergereicht. Die aktuellste Version ist nun 6.7 Update 6, die auf Chromium-Version 124.0.6367.221 basiert. Auch hier gilt es zügig zu aktualisieren, falls noch nicht geschehen.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (6) for Vivaldi Desktop Browser 6.7' auf Vivaldi.com (Englisch)
Die Microsoft Edge Entwickler haben ebenfalls beide Sicherheitsupdates diese Woche umgesetzt, wenngleich sie etwas länger dafür gebraucht haben als die Vivaldi-Crew. Wer Microsoft Edge verwendet sollte zügig auf Version 124.0.2478.109 updaten.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Die Entwickler von Thunderbird haben die Version 115.11 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden in Summe 6 Sicherheitslücken geschlossen, wovon eine mit hoher Risikostufe bedacht wurde.
Eine so lange Liste an funktionalen Verbesserungen wie zuletzt gibt es diesmal nicht. Lediglich zwei kleinere kosmetische Probleme wurden behoben.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Quelle: 'Firefox und Thunderbird: Verbesserte Funktionen und Sicherheitskorrekturen' auf Heise Online
Info: 'Thunderbird 115.11 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 126 veröffentlicht. Die neue Version behebt 16 Sicherheitslücken wovon zwei als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 6 Lücken geschlossen, wovon eine als hohes Risiko gilt. Hier lautet die neue Versionsnummer 115.11.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox und Thunderbird: Verbesserte Funktionen und Sicherheitskorrekturen' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 24.002.20759 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB24-29 (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe zwei als "kritisch" eingestufte und eine "wichtige" Sicherheitslücke behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.9.4 (2023) oder 28.5 (2024) updaten.
Info: Adobe Security Bulletin APSB24-30 (Englisch)
Das ehemals Flash genannte Web-Animationsprogramm enthielt 7 Sicherheitslücken wovon 6 als "kritisch" eingestuft wurden. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.6 (2023) oder 24.0.3 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB24-36 (Englisch)
Im HTML-Editor Dreamweaver wurde eine Lücke mit Einstufung "kritisch" behoben. Darüber hinaus wurde eine zweite Lücke behoben die keine Einstufung hat, aber ebenfalls kritisch "klingt". Anwender von Dreamweaver sollten auf die 2021er Ausgabe (Version 21.4) updaten.
Quelle: Adobe Dreamweaver Security Bulletin APSB24-39 (Englisch)
Im Desktop-Publishing-Programm Adobe Framemaker wurden 5 kritische und 3 "wichtige" Sicherheitslücken gefunden und behoben. Wer das Programm einsetzt, sollte unbedingt die im Security Bulletin verlinkten Updates installieren.
Quelle: Adobe Security Bulletin APSB24-37 (Englisch)
Im Augmented Reality Content Creation Programm "Aero" wurde eine kritische Sicherheitslücke behoben. Anwender des Programmes sollten zügig auf Version 0.24.4 updaten.
Quelle: Adobe Security Bulletin APSB24-33 (Englisch)
In Adobes 3D-Programm 'Substance 3D Designer' wurde eine "wichtige" Sicherheitslücke behoben. Anwender des Programms sollten so demnächst auf Version 13.1.2 updaten.
Quelle: 'Adobe Security Bulletin APSB24-35' auf Adobe.com (Englisch)
In Adobes 3D-Programm 'Substance 3D Painter' wurden in Summe 4 Sicherheitslücken behoben, wovon zwei kritischer Natur waren. Anwender des Programms sollten so rasch wie möglich auf Version 10.0 updaten.
Quelle: 'Adobe Security Bulletin APSB24-31' auf Adobe.com (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Microsoft steigt dieses Jahr wirklich von einem Fettnäpfchen ins Nächste. Praktisch jeden Monat sind Sicherheitsupdates dabei, die große Nebenwirkungen haben oder sich gar nicht erst installieren lassen. So auch beim kumulativen Sicherheitsupdate für Windows Server 2019. Wieder einmal ignoriert Microsoft, dass nicht alle Computer auf der Welt mit englischer Benutzeroberfläche laufen und hat einmal mehr nicht ausreichend getestet. Anders ist es kaum Vorstellbar, dass das Update auf allen Servern, wo keine englische Sprache installiert ist, fehlschlägt. Dabei schließt dieses Update wichtige Sicherheitslücken die bereits aktiv ausgenutzt werden. Jeder Tag wo dieses Updates nicht installiert sind erhöht daher das Risiko von Angriffen. Microsoft arbeitet an dem Problem eigener Aussage nach, eine erste Korrektur des Updates brachte aber keine Besserung, sondern versteckt das Update (scheinbar) nur auf betroffenen Servern. Eine manuelle Installation des EN-US-Sprachpaketes gefolgt von manueller Installation des Sicherheitsupdates soll wohl möglich sein, klappt aber nicht auf allen Servern.
Quelle: 'Windows Server 2019: Microsoft bestätigt Installationsfehler von Mai-Updates' auf Heise Online
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
In LibreOffice Versionen vor den Ausgaben 7.6.7 bzw. 24.2.3 kann ein Klick auf eine manipulierte Grafik ausreichen, um eine Viren-Infektion auszulösen. Anwender des freien Office-Paketes sollte daher rasch auf Version 7.6.7 updaten. Die Version 24.2.3 raten wir weiterhin nur experimentierfreudigen Anwendern, die im Idealfall auch bereit sind Fehlerberichte zu schreiben.
Quelle: 'LibreOffice: Verklickt – und Malware ausgeführt' auf Heise Online
Download: Aktuelle LibreOffice Versionen
Prozessorhersteller Intel hat mal wieder neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider sind wieder sehr viele Updates dabei, die für den Endanwender schwer bis gar nicht zu bekommen sind, da es wieder um etliche Firmware-Updates geht. Es gibt aber auch wieder ein paar einfach zu behebende Sicherheitslücken, vor allem in Grafik- und Chipsatz-Treibern.
In den Grafik-Treibern für Intel’s Prozessoren und Grafikkarten wurde eine Rechteausweitungslücke gefunden. Die Version 31.0.101.5081 oder neuer behebt das Problem. Auch wenn diese Lücken für Privatanwender meist weniger relevant sind, empfehlen wir allen Besitzer dieser Prozessoren bzw. Grafikkarten die Grafiktreiber zu aktualisieren. Am einfachsten gelingt dies mit dem "Intel Driver and Support Assistant". Betroffen sind Intel Prozessoren mit integrierter "Arc" bzw. "Iris XE" Grafik, sowie alle Intel Grafikkarten.
Quelle: 'Intel Arc & Iris Xe Graphics Software Advisory - SA-01053' auf Intel.com
Auch in den Chipsatz-Treibern wurde eine Rechteausweitungs-Lücke behoben. Leider macht es Intel den Anwendern unmöglich zu bestimmen, ob man betroffen ist oder nicht. Intel sagt, alle Chipsatz-Treiber vor Version 10.1.19444.8378 sind betroffen. Das würde aber auch alle Uralt-Chipsätze bzw. Treiber mit einschließen, die jemals veröffentlicht wurden. Updates gibt es aber nur für Chipsätze ab der 100er Serie (ab H110, HM170, B150, Q150, QM170, QMS380, Z170, X299) und neuer. Ob ältere Chipsätze nicht betroffen sind, oder sie nur kein Update mehr erhalten, klärt das Bulletin nicht auf. Wir empfehlen daher allen Besitzern eines Computers mit Intel Prozessor die aktuellen Chipsatz-Treiber runterzuladen und versuchen diese zu installieren. Läuft die Installation durch, kann man sicher sein das Problem behoben zu haben. Meldet das Installations-Programm hingegen eine "nicht unterstützte Plattform" bleibt die bereits erwähnte Ungewissheit zurück.
Quelle: 'Intel® Chipset Device Software Advisory - SA-01032' auf Intel.com
Download: Aktuelle Intel Chipsatztreiber von Intel.com
Auch in den WLAN- und Bluetooth-Treibern hat Intel wieder jede Menge Sicherheitslücken gefunden. Gerade hier sollte man tunlichst rasch updaten. In beiden Fällen lösen Treber ab Version 23.20 die Probleme. Wie bei den Grafiktreibern können auch dieses Updates meistens mit dem "Intel Driver and Support Assistant" einfach durchgeführt werden.
Quelle: 'Intel® PROSet/Wireless WiFi and Bluetooth® Advisory - SA-001039' auf Intel.com
Wer das Programm mit dem sperrigen Namen "Intel Computing Improvement Program" auf seinem Computer vorfindet, sollte es gänzlich deinstallieren. Das Programm hat für den Anwender keinen Nutzen, beinhaltet aber immer wieder Sicherheitslücken, so auch jetzt wieder.
Quelle: 'Intel® Computing Improvement Program Software Advisory - SA-01059' auf Intel.com
Die restlichen Advisories sind schwieriger umzusetzen. Wer alle Meldungen "abarbeiten" möchte, kann sich unter dem folgenden Link eine Übersicht aller Intel Sicherheitsmeldungen anzeigen lassen.
Quelle: 'Intel® Product Security Center Advisories' auf Intel.com
Quelle: 'Patchday: Intel schließt unter anderem kritische Lücke mit Höchstwertung' auf Heise Online
Nachdem vor einigen Wochen die amerikanische CISA einen vernichtenden Bericht über die miserable Sicherheit der Microsoft Cloud-Dienste abgegeben hat, wurde nun bekannt, dass das deutsche BSI eine Klage gegen Microsoft anstrebt oder bereits eingereicht hat. Hintergrund sind auch hier die gehäuften Einbrüche in die Microsoft Cloud im letzten Jahr, die Microsoft zu vertuschen versucht hat. Da Microsoft die Anfragen des BSI zu dem Thema nur sehr schleppend oder gar nicht beantwortet, reicht das Amt nun Klage ein. Bleibt zu hoffen, dass zumindest die deutschen Nachbarn das ganze ein wenig transparenter gestalten und die Vorfälle so auch in die Öffentlichkeit transportiert werden.
Quelle: 'BSI verklagt Microsoft auf Herausgabe von Informationen zu Security-Desaster' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Juniper schließt OpenSSH-Lücken in Junos OS und Junos OS Evolved' auf Heise Online
Quelle: 'Backup-Managementtool: Schadcode-Lücke bedroht Veeam Service Provider' auf Heise Online
Quelle: 'IBM Security Guardium: Lücken erlauben Codeschmuggel und Rechtausweitung' auf Heise Online
Quelle: 'Monitoring-Software: Cacti-Sicherheitslücken erlauben Einschleusen von Schadcode' auf Heise Online
Quelle: 'SAP-Patchday: Angreifer können Systeme durch Sicherheitslücke kompromittieren' auf Heise Online
Quelle: 'Cisco: Updates schließen Sicherheitslücken in mehreren Produkten' auf Heise Online
Quelle: 'Netzwerksicherheit: Diverse Fortinet-Produkte für verschiedene Attacken anfällig' auf Heise Online
Quelle: 'Access Points von Aruba verwundbar – keine Updates für ältere Versionen' auf Heise Online
Quelle: 'Freies Admin-Panel: Codeschmuggel durch Cross-Site-Scripting in Froxlor' auf Heise Online
Quelle: 'VMware Workstation und Fusion: Ausbruch aus Gastsystem möglich' auf Heise Online
Quelle: 'Trellix ePolicy Orchestrator ermöglicht Rechteausweitung' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben, und zwar gleich zweimal diese Woche. Wie "geplant" gab es Dienstagabend ein Update, das zwei Sicherheitslücken geschossen hat. Gestern musste Google dann aber nochmal dringend nachbessern, als Details über eine aktiv ausgenützte Sicherheitslücke bekannt wurden. Diese hat Google dann mit Version 124.0.6367.201 behoben. Da diese Lücke bereits aktiv ausgenutzt wird, sollten Anwender von Google Chrome besonders rasch auf die neue Version updaten.
Der 124er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Quelle: 'Google Chrome: Exploit für Zero-Day-Lücke gesichtet' auf Heise Online
Info: 'Google Chrome aktualisieren' auf Google.com
Die Vivaldi Entwickler haben auf die Chromium-Version 124.0.6367.166 upgedatet, und waren Google zu dem Zeitpunkt leicht voraus. Dann musste Google eine weitere Lücke schließen (siehe oben) und dieses Update konnten die Leute bei Vivaldi bis jetzt noch nicht übernehmen. Wir gehen aber davon aus, dass Vivaldi das Update diese Woche noch veröffentlicht, vielleicht sogar heute noch.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (3) for Vivaldi Desktop Browser 6.7' auf Vivaldi.com (Englisch)
Die Microsoft Edge Entwickler haben bisher weder die geplanten Sicherheitskorrekturen von Dienstagabend noch das Notfall-Update von Donnerstag übernommen. Die Microsoft Entwickler haben aber bereits darüber informiert Kenntnis über das Problem zu haben und an einer Lösung zu arbeiten. Vielleicht kommt ja auch hier diese Woche noch ein Update.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Laut Heise Online Artikel ändert Microsoft bei der Office 365 bzw. Microsoft 365-Variante von Word das Standard-Verhalten beim Einfügen von Text aus anderen Anwendungen. Bisher war es dort wohl üblich, dass Text standardmäßig alle Formatierungen aus der Quelle übernommen hat, was dann teils viel Arbeit gemacht hat, um den eingefügten Text wieder richtig zu formatieren. In Zukunft werden nur mehr ein paar Formatierungs-Optionen aus der Quelle übernommen, andere sollen hingegen vom aktuellen Dokument beibehalten werden. Wie üblich gilt bei solchen Änderungen: Des einen Freud des anderen Leid, daher kann man das Standard-Einfüge-Verhalten in den Optionen einstellen – vorausgesetzt man weiß das.
Das ganze betrifft wie gesagt nur die Abonnement-Variante von Word. In der Kauf-Version (bis einschließlich Version 2021) gibt es hier keine Änderung.
Quelle: 'Für alle: Microsoft ändert Standard-Einfügeoption in Word' auf Heise Online
Wie angekündigt haben wir seit dem "kaputten" Update 7.0.16 ein Auge auf die Entwicklungen bei VirtualBox. Mittlerweile haben die Entwickler auch eine fehlerbereinigte Fassung 7.0.18 veröffentlicht, die den gravierendsten Bug aus 7.0.16 beheben soll.
Doch so wirklich stabil war auch diese Version in unserem Test nicht. Die Grafikausgabe hat sich mehrfach aufgehängt und auch das Herunterfahren von virtuellen Maschinen gelingt häufig nicht. Zumindest bei letzterem Problem dürften wir nach einem kurzen Exkurs in das VirtualBox Forum nicht die einzigen sein.
Wir haben daher wieder auf Version 7.0.14 downgegradet. Überall dort wo VirtualBox nur für gelegentliche Tests verwendet wird sollte das kein Problem sein. Wer aber VirtualBox produktiv nützt und Instanzen aus dem Internet erreichbar sind, sollte genau studieren, ob die mit Version 7.0.16 geschlossenen Sicherheitslücken für dieses Szenario nicht doch relevant sind.
Das Gimp Team hat Version 2.10.38 veröffentlicht. Die Liste der Neuerungen ist eher kurz, da wie so oft schon geschrieben der Fokus der Entwickler seit langer Zeit bereits auf der kommenden Version 3.0 liegt. Ein paar Verbesserungen aus der Entwicklung dort sind nun aber doch wieder mal in die 2.10er Version zurückgeflossen. Vor allem Anwender mit Grafik-Tablets können sich freuen, denn die neue Version unterstützt nun auch Tabletts die mit dem moderneren "Windows Ink"-Treiber arbeiten. Darüber hinaus wurden zwei mögliche Absturz-Ursachen eliminiert und ein paar weitere kleine Verbesserungen eingebaut.
Anwender einer Gimp 2.10 Version bei denen alles wunderbar funktioniert haben keinen dringenden Grund auf die neue Version upzudaten. Wo Gimp aber ab und zu abstürzt oder ein Grafik-Tablett in Verwendung ist, könnte sich das Update lohnen.
Quelle: 'GIMP 2.10.38 Released' auf Gimp.org (Englisch)
Download: Gimp 2.10.38, Windows, mehsprachig
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Lizenzabos ab Ende 2025: So sieht die Exchange-Zukunft aus' auf Heise Online
Quelle: 'Microsoft wird konkreter mit veralteten TLS-Zertifikaten' auf Heise Online
Quelle: 'VMware Avi Load Balancer: Rechteausweitung zu root möglich' auf Heise Online
Quelle: 'Angreifer können Kontrolle über BIG-IP-Appliances von F5 erlangen' auf Heise Online
Quelle: 'Admins müssen selbst handeln: PuTTY-Sicherheitslücke bedroht Citrix Hypervisor' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 124.0.6367.118 behebt zwei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.
Der 124er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Die Vivaldi Entwickler haben auf die Chromium-Version 124.0.6367.123 upgedatet, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.7 Update 2 (6.7.3329.24) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (2) for Vivaldi Desktop Browser 6.7' auf Vivaldi.com (Englisch)
Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 124.0.2478.80 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
In einem aktuellen Bericht von Heise Online werden Sicherheitslücken in den folgenden Acronis Anwendungen erwähnt: 'Acronis Cyber Protect', 'Acronis Cyber Protect Home Office' bzw. 'Acronis Cyber Protect Cloud Agent'.
Wer eines dieser Software-Pakete einsetzt, sollte zügig auf die jeweils neueste Version des 'Acronis Cyber Protect Cloud Agent' updaten.
Quelle: 'Acronis Cyber Protect: Rechteausweitung und Informationsleck möglich' auf Heise Online
Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS-, QuTS-hero- oder QuTScloud-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'Qnap schließt NAS-Sicherheitslücken aus Hacker-Wettbewerb Pwn2Own' auf Heise Online
Den letztjährigen Sicherheitsgaus die Microsoft Cloud (Office 365 bzw. Microsoft 365) betreffend bzw. nach der massiven Kritik der US-Sicherheitsbehörde CISA am Unternehmen und den mangelhaften Sicherheitsvorkehrungen, will Microsoft nun einen deutlichen Kurswechsel anstreben. Sicherheit soll die oberste Priorität erhalten. Ob das ein bloßes Lippenbekenntnis ist oder man wirklich Taten folgen lässt, muss sich erst weisen. Selbst wenn Microsoft es ernst meint und seine Sicherheits-Bestrebungen massiv erhöht, muss man aber erst einmal verlorenes Vertrauen zurückgewinnen. Aktuell wird wohl kaum jemand noch sensible Daten in Microsofts Cloud ablegen, weil man davon ausgehen muss, dass etliche Fremdparteien ebenfalls Zugriff auf die Dateien, Mails usw. erhalten würden.
Quelle: 'Nach Vertrauensverlust: Microsoft macht IT-Sicherheit zu "Priorität Nummer 1"' auf Heise Online
Kurze Gedächtnis-Auffrischung: Im Jänner hat Microsoft ein Sicherheitsupdate für Bitlocker über Windows-Update an alle Windows-Computer verteilt. Soweit so gut, das Problem war nur, dass sich das Update auf etlichen Computern nicht installieren ließ, weil die Recovery-Partition standardmäßig zu klein ist.
Im Jänner hat Microsoft noch angekündigt, das Problem mit einem späteren Update beheben zu wollen, sodass kein manueller Eingriff in die Recovery-Partition nötig sein soll. Doch weder das Februar-, März- oder April-Update hat so eine automatisierte Lösung beinhaltet, und liest man nun die Microsoft Seite zu dem Thema, heißt es dort, dass es keine entsprechende Lösung mehr geben wird!
Damit wird dieses Update nun ein für alle Mal zu einem der schlechtesten Windows-Updates aller Zeiten, denn ein Update an alle Windows-Computer auszuliefern, dass auf Millionen von Geräten nicht installiert werden kann und dauerhaft Fehlermeldungen produziert, kann man einfach nur noch als schlechten Scherz bezeichnen. Der US-Konzern hat allein 2023 einen Gewinn (nicht Umsatz!) von über 70 Milliarden Dollar erwirtschaftet, schafft es aber in 4 Monaten nicht, ein kaputtes Update so zu reparieren, dass es auf allen Kunden-Computern installiert werden kann, ohne dass diese sich einen Computer-Fachmann dafür engagieren müssen.
Bei solchen peinlichen Fehlern darf sich Microsoft nicht wundern, wenn wieder etliche Windows-Anwender sich nach Alternativen umsehen und in Richtung Linux oder Apple schielen.
Wie schon mehrfach erwähnt wurde, ist das Grundproblem eine zu kleine Recovery-Partition. Viele der im Internet kursierenden Lösungen versuchen das Problem zum Umgehen, statt es an der Wurzel zu lösen. Das klappt "manchmal" aber eben nicht immer. Eine größere Recovery-Partition einzurichten ist auf den meisten Computern eigentlich kein Hexenwerk und ohne zusätzliche Software machbar. Eine Anleitung können wir dafür aber nicht bereitstellen, denn ein Fehler dabei kann zum kompletten Datenverlust führen. Wer den Fehler nicht einfach ignorieren will, selbst aber nicht in der Lage ist eine größere Recovery-Partition einzurichten, sollte sich daher an einen Fachmann wenden. Ein geübter Spezialist kann das Problem in wenigen Minuten lösen. Eine großzügig dimensionierte Recovery-Partition wird nicht nur das aktuelle Problem lösen, sondern auch in Zukunft davor schützen, dass sich derartige Probleme wiederholen.
Quelle: 'Microsoft: Keine automatische Lösung für 0x80070643-Update-Fehler mehr geplant' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Microsoft: Patchday-Nebenwirkungen – VPN- und NTLM-Probleme' auf Heise Online
Quelle: 'CISA warnt: Microsoft Smartscreen- und Gitlab-Sicherheitsleck werden angegriffen' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer können IP-Telefone von Cisco ausspionieren' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer können WLAN-Gateways von Aruba kompromittieren' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 124.0.6367.78. Eine der Lücken wurde mit einer Gefahreneinstufung von "kritisch" bewertet, was bei Chrom unüblich ist. Zwei weitere Lücken wurden als "hohes" Risiko eingestuft und über eine vierte Lücke verrät Google bisher nichts.
Die 124er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Die Vivaldi-Entwickler haben wie erwartet diese Woche ebenfalls auf den 124er Chromium Unterbau umgestellt und schließen damit alle aktuellen Sicherheitslücken.
Abgesehen von den Sicherheitskorrekturen haben die Vivaldi Entwickler eine neue Funktion zum Speicher-Sparen entwickelt, bei der inaktive Tabs in den Ruhezustand versetzt werden. Grundsätzlich ist das keine gänzlich neue Funktion, sie wurde aber wohl überarbeitet und ist jetzt in den Optionen besser ersichtlich. Wer bisher die alte Funktion zum Speicher-Sparen bei Hintergrund-Tabs genutzt hat sollte die neue Option aktivieren. Wer die Funktion bisher nicht genutzt hat aber sehr oft mit sehr vielen Tabs hantiert, sollte die Option ebenfalls aktivieren. Zu finden ist sie in den Optionen der Tabs unter dem Namen "Speicher Sparer", dort sollte man auf "Automatisch" einstellen.
Darüber hinaus wurde am Feed-Reader gearbeitet, Arbeitsbereiche lasen sich nun direkt aus markierten Tabs heraus erstellen und Passwörter lassen sich leichter exportieren. Da die Neuerungen überschaubar sind ersparen wir uns einen eigenen Artikel zur neuen Vivaldi-Version.
Download: Aktuelle Vivaldi Version
Die Microsoft Edge Entwickler lassen diese Woche noch auf ein Update warten, was angesichts der "kritischen" Sicherheitslücke verwunderlich ist. Bleibt zu hoffen, dass die Lücke noch nicht aktiv ausgenutzt wird und Microsoft das Update bald nachreicht.
AMD hat ein Sicherheitsbulletin veröffentlicht, wonach der Radeon Grafiktreiber 24.1.1 zwei Sicherheitslücken mit Einstufung "hohes Risiko" schließt. Die ursprünglichen Entdecker der Lücken hatten eigentlich eine geringere Bedrohungslage suggeriert und auch anhand der Beschreibung der Lücken lässt sich das "hohe Risiko" nicht ganz nachvollziehen. Dennoch sollten Besitzer einer halbwegs aktuellen AMD Grafikkarte auf den neuesten Treiber updaten (aktuell 24.3.1 bei normalen Radeon Karten bzw. 24.Q1 bei den Profi-Karten) um auf Nummer sicher zu gehen.
Die abgesicherten Treiber gibt es sowohl für Grafikkarten bis hinunter zur RX Vega bzw. RX 5000 Reihe sowie Ryzen Prozessoren bis runter zur Ryzen 3000 Baureihe. Für Embedded-Prozessoren will AMD im Juni aktualisierte Treiber ausliefern.
Quelle: 'AMD Radeon-Grafiktreiber: Update schließt Codeschmuggel-Lücke' auf Heise Online
Download: Aktuelle AMD Radeon Treiber
Das Audacity Team hat eine neue Hauptversion vorgestellt. Diesmal geht die Reise wieder in die Cloud und ins Reich der Musiker. Konnte man bisher schon fertige Audio-Dateien in die Cloud hochladen, gelingt dies nun auch mit Projekten. Zum Glück ist das nur optional, niemand wird also in die Cloud gezwungen!
Speziell für Musiker sind die weiteren Neuerungen interessant. So erkennt Audacity inzwischen bei Loops automatisch das Tempo und die Tonhöhe eines Clips lässt sich leichter anpassen, ohne dabei den Original-Clip zu verändern.
Wer die brandneuen Funktionen nicht (dringend) benötigt sollte vorerst noch bei der ausgereifteren Version 3.4.2 bleiben, da neue Audacity Hauptversionen meistens relativ schnell kleinere Updates erhalten um neue Bugs zu beheben. Ein erstes kleines Update hat es für Audacity 3.5 bereits gegeben, sodass jetzt Version 3.5.1 aktuell ist, weitere Updates in naher Zukunft würden uns aber nicht wundern.
Quelle: 'Audacity 3.5: Audio-Tool mit Tempo-Erkennung und zerstörungsfreiem Pitchshift' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Microsoft korrigiert Exchange-Probleme der März-Updates mit Hotfix' auf Heise Online
Quelle: 'Cisco: Angreifer plazieren mithilfe neuer 0-Day-Lücke Hintertüren auf Firewalls' auf Heise Online
Quelle: 'Cross-Site Scripting: Sicherheitslücken in pfSense ermöglichen Admin-Cookieklau' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer können GitLab-Accounts übernehmen' auf Heise Online
Quelle: 'Jetzt patchen! Attacken auf Dateiübertragungsserver CrushFTP beobachtet' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 124.0.6367.60.
Drei Lücken tragen die Risikoeinstufung "hoch", 6 "mittel" und 4 "niedrig". Zu den restlichen 9 Lücken macht Google keine Angaben.
Die 124er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Sicherheitsupdates für Chrome und Firefox' auf Heise Online
Wie bei der Umstellung auf eine neue Hauptversion üblich dauert es noch eine Weile bis zur neuen Vivaldi Version. Die Entwickler arbeiten noch an der Integration der neuen Chromium-Version. Gut möglich, dass diese nächste Woche erscheint. Sorgen müssen sich Vivaldi Anwender aber aktuell wohl noch keine machen, denn die 3 gefährlichsten Lücken hat Vivaldi in Version 6.6 Update 6 behoben.
Quelle: 'Minor update (6) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Microsoft Edge Entwickler haben den Umzug auf die 124er-Version bereits gestemmt, und dabei zusätzlich zu den Lücken aus Chromium auch noch 3 Edge-spezifische Sicherheitslücken geschlossen. Wer Microsoft Edge verwendet sollte zügig auf Version 124.0.2478.51 aktualisieren.
Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)
Die Entwickler von Thunderbird haben die Version 115.10 des beliebten E-Mail-Programmes veröffentlicht. Wie viele Sicherheitslücken und mit welchem Schweregrad behoben wurden lässt sich aktuell mangels Security Bulletin von Mozilla nicht sagen. Die Angaben zu Firefox ESR verraten aber, dass mindestens eine Lücke mit Gewichtung "hoch" geschlossen wurde. Leider war aber schnell klar, das Version 115.10.0 einen gröberen Bug enthalten hat, sodass relativ rasch Version 115.10.1 nachgeschoben wurde.
Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 13 Detailverbesserungen auf.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Quelle: 'Webbrowser: Sicherheitsupdates für Chrome und Firefox' auf Heise Online
Info: 'Thunderbird 115.10.0 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 115.10.1 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 125.0.1 veröffentlicht. Die neue Version behebt 15 Sicherheitslücken wovon 9 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 9 Lücken geschlossen, wovon 4 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.10.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Webbrowser: Sicherheitsupdates für Chrome und Firefox' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
In Photoshop 2023 und 2024 wurde eine "wichtige" Sicherheitslücke behoben. Die 2023er-Ausgabe bekommt das Sicherheitsupdate mit Version 24.7.3 und die 2024er-Fassung ist ab Version 25.4 abgesichert. Sämtliche älteren Photoshop Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB24-16' auf Adobe.com (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe drei als "kritisch" eingestufte und eine "wichtige" Sicherheitslücke behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.9.3 (2023) oder 28.4 (2024) updaten.
Info: Adobe Security Bulletin APSB24-25 (Englisch)
Im Layout-Programm InDesign hat Adobe eine Sicherheitslücke mit Risikoeinstufung "wichtig" behoben. Anwender des Programmes sollten auf die Version 18.5.2 (2023) bzw. 19.3 (2024) updaten. Sämtliche älteren InDesign Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Info: Adobe Security Bulletin APSB24-20 (Englisch)
In Adobe After Effects wurde eine als "wichtig" eingestufte Sicherheitslücke behoben. Alle Anwender von After Effects sollten auf Version 23.6.5 (2023) oder 24.2 (2024) updaten. Alle älteren Jahrgänge erhalten keinen Support mehr und sollten deinstalliert werden.
Quelle: Adobe Security Bulletin APSB24-09 (Englisch)
Im Adobe Media Encoder wurde eine kritische Sicherheitslücke behoben. Anwender, die den Media Encoder installiert haben, sollten rasch auf Version 23.6.5 (2023) oder 24.3 (2024) updaten.
Quelle: Adobe Security Bulletin APSB24-23 (Englisch)
In Adobe Bridge wurde eine "wichtige" Sicherheitslücken behoben. Das Update auf die abgesicherte Version 13.0.7 (2023) oder 14.0.3 (2024) sollte bei Gelegenheit installiert werden.
Quelle: 'Adobe Security Bulletin APSB24-24' auf Adobe.com (Englisch)
Das ehemals Flash genannte Web-Animationsprogramm enthielt vier Sicherheitslücken wovon zwei als "kritisch" eingestuft wurden. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.5 (2023) oder 24.0.2 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB24-26 (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurden zwei kritische Sicherheitslücken behoben. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB24-18 (Englisch)
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine lange Liste an "wichtigen" Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB24-21 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 441 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 13 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 411 aktualisieren.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.23, 17.0.11, 21.0.3 oder 22.0.1 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
In dem PC-Emulator VirtualBox wurden 13 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich aber nur eine der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, sollte aber aktuell NICHT auf Version 7.0.16 updaten, da sich darin ein recht gravierender neuer Bug eingeschlichen hat, der zum Absturz des (Host-)Computers führen kann. Wir werden in einem der nächsten Newsletter darauf hinweisen, wenn eine reparierte Fassung verfügbar ist.
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - April 2024' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - April 2024' auf Oracle.com (Englisch)
Quelle: 'Oracle: Critical Patch Update bringt 441 Sicherheitskorrekturen' auf Heise Online
Der FileZilla FTP-Client hat ein Sicherheitsupdate auf Version 3.67.0 erhalten. Einmal mehr wurden dabei die enthaltenen GnuTLS-Bibliotheken aktualisiert die immer wieder mal für Sicherheitslücken bei verschlüsselten FTP-Verbindungen sorgen. FilaZilla Anwender die wert auf sicher verschlüsselte FTP-Verbindungen legen sollten FileZilla daher zügig aktualisieren.
Quelle: 'FileZilla Version history' auf filezilla-project.org (Englisch)
Download: Aktuelle FileZilla Version
Wer einen Sicherheitsschlüssel von Yubikey besitzt und auch die zugehörige Verwaltungssoftware "Yubikey Manager" installiert hat, sollte diese umgehend auf die abgesicherte Version 1.2.6 aktualisieren um eine Sicherheitslücke mit "hohem" Risiko zu beheben.
Quelle: 'FIDO2-Sticks: Lücke in Yubikey-Verwaltungssoftware erlaubt Rechteausweitung' auf Heise Online
Download: Aktuelle Yubikey Manager Software
Nvidia hat ein Update für seine Chat-Software "ChatRTX" veröffentlicht. Die Version 0.2.1 schließt je eine Lücke mit "hohem" bzw. "mittlerem" Risiko. Anwender der Software sollten diese zügig aktualisieren.
Quelle: 'Nvidias Chatbot-App ChatRTX ist für Schadcode-Attacken anfällig' auf Heise Online
Wer einen AccessPoint von TP-Link mit der Bezeichnung N300 (Modellnummer: EAP115 V4) bzw. AC1350 (Modellnummer: EAP225 V3) besitzt, sollte ein Firmware-Update durchführen. Der Hersteller hat in beiden Modellen Sicherheitslücken behoben, die im schlimmsten Fall zur Infektion des Gerätes mit Schadsoftware führen kann.
Quelle: 'WLAN-Access-Points von TP-Link 15 Minuten lang nach Reboot attackierbar' auf Heise Online
Download: Abgesicherte Firmware für EAP115 V4 (N300)
Download: Abgesicherte Firmware für EAP225 V3 (AC1350)
Sicherheitsforscher haben neue Lücken in etlichen NAS-Geräten von D-Link entdeckt, deren Support bereits ausgelaufen ist und daher auch keine Updates mehr erhalten. Die Liste der betroffenen Geräte ist relativ lange, weshalb wir hier nur auf den Artikel von heise Online verweisen.
Besitzer eines der betroffenen Geräte sollten diese entweder durch neue Geräte mit aktivem Support ersetzen oder zumindest dafür Sorgen, dass diese nicht länger aus dem Internet erreichbar sind. Zuletzt genannte Maßnahme sollte eigentlich für alle IOT-Geräte, die nicht regelmäßig vom Hersteller mit Sicherheitsupdates versorgt werden, selbstverständlich sein.
Quelle: 'Am besten abschalten: Alte NAS-Geräte von D-Link führen Fremdcode aus' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'HP Poly CCX IP-Telefone erlauben unbefugten Zugriff' auf Heise Online
Quelle: 'SAP-Patchday: Zehn Sicherheitsmitteilungen im April' auf Heise Online
Quelle: 'Fortinet liefert Updates: Admin-Cookie-Klau in FortiOS und FortiProxy möglic' auf Heise Online
Quelle: 'Befehlsschmuggel: Kritische Lücke in Programmiersprachen unter Windows' auf Heise Online
Quelle: 'Sicherheitslücken: Angreifer können Juniper-Netzwerkgeräte lahmlegen' auf Heise Online
Quelle: 'BSI warnt vor aktiv angegriffener Sicherheitslücke in Palo-Alto-Firewalls' auf Heise Online
Quelle: 'Sicherheitsupdates: Schwachstellen in PHP gefährden Websites' auf Heise Online
Quelle: 'Lancom-Setup-Assistent leert Root-Passwort' auf Heise Online
Quelle: 'Zugriffsmanagement: Kritische Admin-Lücke in Delinea Secret Server geschlossen' auf Heise Online
Quelle: 'Lenovo: Sicherheitslücken in Server-Enclosure-Firmware' auf Heise Online
Quelle: 'IBM QRadar SIEM: Kritische Lücke durch Drittherstellerkomponente' auf Heise Online
Quelle: 'Kritische Lücken in Ivanti Avalanche MDM gefährden Mobilgeräte in Firmen' auf Heise Online
Quelle: 'Nur NIST P-521 betroffen: PuTTY-Lücke kompromittiert private SSH-Schlüssel' auf Heise Online
Quelle: 'Palo-Alto-Firewalls: Mehr Angriffe und Proofs-of-Concept aufgetaucht' auf Heise Online
Quelle: 'Jetzt patchen! Root-Attacken auf Cisco IMC können bevorstehen' auf Heise Online
Quelle: 'Update für Solarwinds FTP-Server Serv-U schließt Lücke mit hohem Risiko' auf Heise Online
Quelle: 'Mitel SIP-Phones anfällig für unbefugte Zugriffe' auf Heise Online
Bevor wir zu den News dieser Woche kommen möchten wir unsere Kunden und Leser informieren, dass es nächste Woche urlaubsbedingt keinen Newsletter geben wird. Wichtige Sicherheitsmeldungen werden dann übernächste Woche nachgeholt.
Google hat diese Woche 3 Sicherheitslücken in Google Chrome und Chromium behoben. Alle Lücken wurden als hohes Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome zügig auf die neue Version (123.0.6312.105 oder neuer) updaten sollten.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 122.0.6261.156 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Entwickler dichten drei Lücken ab, arbeiten an Cookie-Schutz' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.158 upgedatet und schließen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.6 Update 5 (6.6.3271.57) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (5) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Entwickler von Microsoft Edge haben mit Version 123.0.2420.81 auch eine vollständig abgesicherte Ausgabe in petto. Wer Microsoft Edge verwendet sollte daher auch zügig auf die neue Version updaten.
Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)
Kein Monat ist vergangen seit der letzten Sicherheitswarnung im März, schon muss Lexmark erneut auf Sicherheitslücken in seinen Druckern aufmerksam machen. In Summe drei Sicherheitslücken gefährden Drucker von Lexmark und damit seine Besitzer/Anwender.
Wie bei Lexmark leider üblich, gibt es keine gesammelte Liste der verwundbaren Drucker, sondern man muss sich wieder einmal alle 3 Listen separat durchsehen um feststellen zu können, ob der eigene Drucker betroffen ist. Das sollte man auch tunlichst machen, denn die Lücken sind kritisch und könnten von Angreifern missbraucht werden, um ins eigene Netzwerk einzudringen. Links zu den 3 Sicherheitsmitteilungen finden sie im Heise Online Artikel.
Besitzer von Lexmark Druckern sollten daher unbedingt prüfen, ob ihr Modell von den Lücken betroffen ist und wenn ja die entsprechenden Sicherheitsupdates installieren. Auch für Drucker, die in der Sicherheitsmeldung des Herstellers aktuell nicht genannt werden, lohnt es sich natürlich zu prüfen, ob die aktuellste Firmware verwendet wird und diese gegebenenfalls zu aktualisieren.
Quelle: 'Lexmark: Hochriskante Lücken erlauben Codeschmuggel auf Drucker' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Kritische Sicherheitslücke in Wordpress-Plug-in Layerslider' auf Heise Online
Wir haben schon einige Male über Einbrüche in Microsoft’s Cloud-Server berichtet, aber der Hersteller selbst schwieg sich bisher dazu immer aus. Auch jetzt ist es nicht Microsoft selbst, der seine Fehler den Kunden gegenüber eingesteht, sondern die amerikanische Cybersicherheitsbehörde CISA ist es, die nun offiziell öffentlich macht, was bei Microsoft in puncto Cloud-Sicherheit alles falsch läuft. Und die Liste ist lang, wie man aus dem verlinkten Heise Online Artikel entnehmen kann. Wir können daher nur einmal mehr betonen, dass die Ablage sensibler Daten in Microsofts Cloud generell keine gute Idee ist, da man immer davon ausgehen muss, das unbefugte Dritte Zugriff darauf haben.
Quelle: 'Gestohlener Azure-Master-Key: Microsofts Sicherheitsversagen ist jetzt amtlich' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sharepoint-Sicherheitslücken: CISA warnt vor Angriffen in freier Wildbahn' auf Heise Online
Quelle: 'Dell-Server: BIOS-Lücke als Einfallstor für Angreifer' auf Heise Online
Quelle: 'Cisco dichtet Schwachstellen in mehreren Produkten ab' auf Heise Online
Quelle: 'Cisco schließt Sicherheitslücken und gibt Tipps zur VPN-Absicherung' auf Heise Online
Quelle: 'Sicherheitslücken: DoS-Attacken auf IBM-Datenbank Db2 möglich' auf Heise Online
Quelle: 'Codeschmuggellücke in VMware SD-WAN Edge und Orchestrator' auf Heise Online
Quelle: 'Synology Surveillance Station: Mehrere Lücken gefährden Sicherheit' auf Heise Online
Quelle: 'Sicherheitsupdates für Ivanti: Schadcode kann durch VPN-Verbindungen schlüpfen' auf Heise Online
Quelle: 'Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen' auf Heise Online
Google hat diese Woche 7 Sicherheitslücken in Google Chrome und Chromium behoben. Mindestens eine der Lücken wurde als kritisches Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome besonders zügig auf die neue Version (123.0.6312.86) updaten sollten.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 122.0.6261.148 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Kritische Schwachstelle bedroht Browser-Nutzer' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.150 upgedated und schließen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.6 Update 4 (6.6.3271.55) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (4) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Entwickler von Microsoft Edge haben mit Version 123.0.2420.65 nun auch wieder eine vollständig abgesicherte Ausgabe in petto. Wer Microsoft Edge verwendet sollte daher auch zügig auf die neue Version updaten.
Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)
Mozilla hat Firefox 124.1 veröffentlicht. Die neue Version behebt zwei kritische Sicherheitslücken. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR war nur eine dieser beiden Sicherheitslücken vorhanden, diese wird mit Version 115.9.1 gestopft.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox: Notfall-Update schließt kritische Sicherheitslücken' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Die LibreOffice Gemeinde hat die Versionen 7.6.6 und 24.2.2 veröffentlicht. Beide Ausgaben sind Fehlerkorrekturen ihrer jeweiligen Vorgänger bringen aber keine neuen Funktionen oder Sicherheitsupdates. Wer bereits Version 7.6.4 oder neuer verwendet und mit der Software zufrieden ist muss also nicht unbedingt updaten.
Die Version 24.2.2 ist bisher nur für Anwender gedacht die unbedingt die allerneuesten Funktionen haben wollen und dafür potenziell mangelnde Stabilität in Kauf nehmen. Für die breite Masse ist aktuell Version 7.6.6 die bessere Wahl.
Download: Aktuelle LibreOffice Versionen
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Security-Fiasko Exchange: BSI warnt vor über 17.000 angreifbaren Servern' auf Heise Online
Quelle: 'Sicherheitslücken in Microsofts WiX-Installer-Toolset gestopft' auf Heise Online
Quelle: 'Loadbalancer: Sicherheitslücken in Loadmaster von Progress/Kemp' auf Heise Online
Google hat diese Woche 12 Sicherheitslücken in Google Chrome und Chromium behoben. Mindestens eine der Lücken wurde als hohes Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome zügig auf die neue Version (123.0.6312.59) updaten sollten.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 122.0.6261.139 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome Release Notes' auf googleblog.com (Englisch)
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.141 upgedated und schließen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.6 Update 3 (6.6.3271.53) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (3) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Entwickler von Microsoft Edge haben leider noch keine abgesicherte Version am Start. Hier kann man nur hoffen, dass das bald nachgereicht wird oder vorübergehend auf Vivaldi umsteigen.
Die Entwickler von Thunderbird haben die Version 115.9 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 10 Sicherheitslücken behoben, wovon 6 eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.
Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 10 Detailverbesserungen auf.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Quelle: 'Sicherheitsupdates für Firefox und Thunderbird' auf Heise Online
Info: 'Thunderbird 115.9.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 124 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken wovon 6 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 10 Lücken geschlossen, wovon 6 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.9.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Sicherheitsupdates für Firefox und Thunderbird' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Spring Framework: Updates beheben neue, alte Sicherheitslücke' auf Heise Online
Quelle: 'Home- und Raspberry-Matic: Kritische Lücke erlaubt Codeschmuggel' auf Heise Online
Quelle: 'Spring Security: Zugriffskontrollmechanismen in Java-Framework kaputt' auf Heise Online
Quelle: 'Sicherheitsupdates für Atlassian Bamboo, Bitbucket, Confluence und Jira' auf Heise Online
Quelle: 'Microsoft: März-Updates können Windows Server lahmlegen' auf Heise Online
Quelle: 'Attacken auf Ivanti Standalone Sentry und Neurons möglich' auf Heise Online
Quelle: 'Lücken in Ruby-Gems ermöglichen Codeschmuggel und Datenleck' auf Heise Online
Quelle: 'IBM-Software: Angreifer können Systeme mit Schadcode kompromittieren' auf Heise Online
Quelle: 'Kritische Sicherheitslücke in FortiClientEMS wird angegriffen' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 122.0.6261.129 behebt drei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.
Der 122er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Lücke erlaubte Codeschmuggel' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.133 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.6 Update 2 (6.6.3271.50) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (2) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 122.0.2365.92 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Im Video-Schnitt-Programm Premiere Pro hat Adobe zwei kritische Sicherheitslücken behoben. Anwender von Premiere Pro sollten zügig auf Version 23.6.4 (2023) oder 24.2.1 (2024) updaten.
Quelle: Adobe Security Bulletin APSB24-12 (Englisch)
In Adobe Bridge wurden 4 Sicherheitslücken behoben, wovon drei kritisch sind. Das Update auf die abgesicherte Version 13.0.6 (2023) oder 14.0.2 (2024) sollte daher zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB24-15' auf Adobe.com (Englisch)
Adobe's Lightroom (NICHT Lightroom Classic!) erhält ein Update gegen eine als "kritisch" eingestufte Sicherheitslücke. Dies betrifft jedoch nur die macOS-Version, die Windows-Ausgabe scheint nicht betroffen zu sein. Die abgesicherte Ausgabe trägt die Versionsnummer 7.2. Alle Anwender von Lightroom (macOS) sollten die neue Version bei nächster Gelegenheit installieren.
Info: Adobe Security Bulletin APSB24-17 (Englisch)
Das ehemals Flash genannte Web-Animationsprogramm enthielt vier Sicherheitslücken wovon eine als "kritisch" eingestuft wurde. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.4 (2023) oder 24.0.1 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB24-19 (Englisch)
Nutzer von Adobe ColdFusion 2021 und 2023 sollten unbedingt rasch auf ColdFusion ColdFusion 2021 Update 13 bzw. ColdFusion 2023 Update 7 aktualisieren, um Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2018 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.
Quelle: 'Adobe Security Bulletin APSB24-14' auf Adobe.com (Englisch)
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine ellenlange Liste an "wichtigen" Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB24-05 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
HP hat begonnen für zahlreiche Computer-Systeme BIOS-Updates zu veröffentlichen, die Sicherheitslücken schließen. Betroffen sind Modelle aus dem Business-Portfolio von HP, eine ausführliche Liste der betroffenen Modelle listet der Hersteller in seinem Sicherheitsbericht auf.
Besitzer und Administratoren sollten prüfen, ob für verwendete HP Computer BIOS-Updates bereitstehen und diese installieren. Privat-Anwender verwenden dafür am einfachsten den HP Support Assistant.
Quelle: 'HP: Viele Laptops und PCs von Codeschmuggel-Lücke betroffen' auf Heise Online
Quelle: 'HP Sicherheitsmeldung HPSBHF03924' auf hp.com (Englisch)
Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS-, QuTS-hero- oder und QuTScloud-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'Qnap hat teils kritische Lücken in seinen Betriebssystemen geschlossen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'ArubaOS: Sicherheitslücken erlauben Befehlsschmuggel' auf Heise Online
Quelle: 'SAP schließt zehn Sicherheitslücken am März-Patchday' auf Heise Online
Quelle: 'Synology: Update schließt "wichtige" Lücken in Synology Router Manager' auf Heise Online
Quelle: 'GitLab fixt PostgreSQL-Lücke nicht: Angreifer können Admin-Rechte erlangen' auf Heise Online
Quelle: 'Fortinet-Patchday: Updates gegen kritische Schwachstellen' auf Heise Online
Quelle: 'Cisco schließt hochriskante Lücken in IOS XR' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 122.0.6261.112 behebt drei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.
Der 122er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Update dichtet drei hochriskante Sicherheitslecks ab' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.116 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.6 Update 1 (6.6.3271.48) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler, wie z.B. nicht funktionierende Downloads.
Download: Aktuelle Vivaldi Version
Info: 'Minor update for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 122.0.2365.80 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
In der Desktop-Virtualisierungslösung VMware Workstation wurden mehrere Sicherheitslücken behoben. Anwender des Programms (egal ob Player oder Pro) sollten daher ein Update auf Version 17.5.1 durchführen.
Quelle: 'VMware schließt Schlupflöcher für Ausbruch aus virtueller Maschine' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Deutschland führt Liste mit verwundbaren TeamCity-Systemen an' auf Heise Online
Quelle: 'Jetzt updaten: Kritische Admin-Sicherheitslücken bedrohen TeamCity' auf Heise Online
Quelle: 'Aruba: Codeschmuggel durch Sicherheitslücken im Clearpass Manager möglich' auf Heise Online
Quelle: 'Solarwinds: Schadcode-Lücke in Security Event Manager' auf Heise Online
Quelle: 'Angreifer können Systeme mit Dell-Software kompromittieren' auf Heise Online
Quelle: 'Sicherheitslücken: Angreifer können Systeme mit IBM-Software attackieren' auf Heise Online
Quelle: 'Cisco: Angreifer können sich zum Root-Nutzer unter Linux machen' auf Heise Online
Quelle: 'VMware schließt Schlupflöcher für Ausbruch aus virtueller Maschine' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 122.0.6261.95. Zwei der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, über die anderen beiden Lücken hüllt Google einmal mehr den Mantel des Schweigens.
Die 122er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Sicherheitsupdate bessert vier Schwachstellen aus' auf Heise Online
Die Vivaldi-Entwickler haben wie erwartet diese Woche ebenfalls auf den 122er Chromium Unterbau umgestellt und schließen damit alle aktuellen Sicherheitslücken. Abgesehen von den Sicherheitskorrekturen haben die Vivaldi Entwickler weiter an den Funktionen zum Übersetzen sowie für E-Mails gearbeitet. Da die Neuerungen überschaubar sind ersparen wir uns einen eigenen Artikel zur neuen Vivaldi-Version.
Download: Aktuelle Vivaldi Version
Auch die Microsoft Edge Entwickler lassen diese Woche den auf Chromium 122 basierenden Edge vom Stapel und schließen alle aktuellen Sicherheitslücken. Genauer gesagt wurden sogar noch ein paar Lücken mehr als bei Google geschlossen, denn auch im eigenen Code hatte Microsoft ein paar Probleme entdeckt und behoben. Wer Microsoft Edge nutzt, sollte daher zügig auf die 122er-Version updaten.
Quelle: 'Webbrowser: Microsoft Edge-Update schließt Sicherheitslücken' auf Heise Online
Das Drama rund um das Datenschutz-Desaster "neues Outlook" verschärft sich zunehmend. Denn Microsoft beginnt jetzt damit ungefragt Updates von "Windows 10 Mail" zum "neuen Outlook" durchzuführen. Noch kann man das zwar rückgängig machen, aber sobald das Postfach einmal migriert wurde ist das Kind Datenschutztechnisch bereits in den Brunnen gefallen, sprich Microsoft hat dann bereits die Zugangsdaten in seine Cloud übertragen.
Wir können daher nur allen Nutzern, die "Windows 10 Mail" (bzw. das Windows 11 Pendant dazu) verwenden, raten schnellstmöglich auf andere E-Mail-Programme umzusteigen. Zumindest wenn man nicht ohnehin ein Microsoft Postfach verwendet, in dem Fall hat Microsoft die Zugangsdaten ja sowieso in der Hand und das "neue Outlook" verschlimmert die Lage nicht. Damit Microsoft auch wirklich keine geheimen Daten abfragt, muss man die Postfächer aus der alten App aber auch wirklich löschen, sonst ist der ganze Wechsel nutzlos. Alternativ kann man auch das Passwort der Postfächer nach dem Umzug ändern, dann werden die von Microsoft "gestohlenen" Passwörter nutzlos. Die Passwörter für E-Mail-Postfächer regelmäßig zu ändern empfiehlt sich sowieso.
Quelle: 'Microsoft macht Ernst: Mail und Kalender werden durch neues Outlook ersetzt' auf Heise Online
Als würde Microsoft Kunden und Administratoren mit dem "neuen Outlook" nicht schon genug Ärger aufhalsen, will der Konzern jetzt auch noch Windows 11 mit allen Mitteln auf Domänen-Rechner bekommen. Dort hat Microsoft mit Windows 11 bisher einen besonders schweren Stand, denn kaum ein Unternehmen will freiwillig auf Windows 11 umsteigen bevor es unbedingt sein muss. Und weil das Microsoft nicht schnell genug geht, hat man kurzerhand angekündigt Windows 11 ab April auch auf Domänen-Rechnern "anzubieten". Das heißt die Administratoren werden umgangen und die Benutzer der jeweiligen Rechner können selbst mal eben so den Computer auf Windows 11 upgraden, mit all den teils fatalen Folgen die das haben kann.
Weil der Aufschrei unter Administratoren entsprechend massiv gewesen sein dürfte, hat man dann ganz schnell und heimlich ein bisschen am Wortlaut der Meldung gefeilt, und darauf hingewiesen, dass Computer die per WSUS mit Updates versorgt werden, nicht zum Upgrade auffordern werden. Das dürfte für viele Firmen allerdings ein schwacher Trost sein, denn seit Corona und dem massiv gestiegenen Anteil an HomeOffice, ist eine Verteilung der Windows Updates per stationärem WSUS-Server kaum mehr vertretbar.
Es bleibt noch zu hoffen das Microsoft selbst ein Einsehen hat, das das so nicht funktionieren kann und von dem Plan wieder Abstand nimmt. Andernfalls wäre die letzte Hoffnung, dass findige Programmierer einen anderen Weg finden, um Anwender von einem unerwünschten Windows-Upgrade abzuhalten. Aufgrund der Tragweite dieses potenziellen Desasters ist hier sicher noch nicht das letzte Wort gesprochen.
Quelle: 'Windows-10-Rechner bekommen Umstiegshinweise auf Windows 11 – in der Domäne' auf Heise Online
Quelle: 'Microsoft rudert etwas zurück: WSUS macht Rechner "verwaltet"' auf Heise Online
Nvidia hat wieder einige Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. In den Grafikkartentreibern für "echte" Grafikkarten wurden in Summe 6 Lücken gefunden die teils hohe Bedrohungsstufen haben. In den "virtuellen" Grafikkarten (VGPU) wurden 2 Sicherheitslücken behoben, wovon eine ebenfalls als hohe Gefahr eingestuft wurde.
Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 551.61 oder 474.82 bei den GameReady-Treibern bzw. Version 551.61 bei den Studio-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 474.82, 538.33 oder 551.61) bereit.
Quelle: 'Sicherheitsupdate: Nividia-Grafikkarten-Treiber als Einfallstor für Angreifer' auf Heise Online
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Wer Teamviewer auf seinem PC installiert hat, sollte zügig auf die Version 15.51.5 aktualisieren. Dort wird eine schwere Sicherheitslücke behoben. Wer die Software zwar installiert hat aber gar nicht regelmäßig verwendet, sollte sie hingegen deinstallieren. Details zur Lücke gibt es im Heise Online Artikel.
Quelle: 'Teamviewer: Sicherheitslücke im Client ermöglicht Rechteausweitung' auf Heise Online
Und noch eine Fernwartungs-Software die negativ auf sich aufmerksam macht. Die Software RustDesk hat bis vor kurzem bei der Installation ein Test-Zertifikat installiert, das so eigentlich nie auf Kunden-Computern gelangen hätte dürfen, und Angreifern weitreichende Angriffsmöglichkeiten bot. Wer diese Software installiert hat, sollte entweder ein Update auf Version 1.2.3-1 durchführen oder das fragliche Zertifikat von Hand entfernen. Details dazu gibt es wie immer im verlinkten Heise Online Artikel.
Quelle: 'Remote-Desktop: RustDesk-Update entfernt Test-Zertifikat' auf Heise Online
Dass Februar auch mal 29 Tage haben kann, dürfte den Programmierern bei Sophos bisher nicht bekannt gewesen sein. Anders ist es nicht vorstellbar, dass Kunden des Unternehmens gestern vor dem Besuch von völlig legitimen Webseiten gewarnt wurden. Das Problem dürfte sich heute aufgrund des wieder "normalen" Datums von selbst gelöst haben. Bleibt zu hoffen, dass Sophos dann in vier Jahren besser vorbereitet ist.
Quelle: 'IT-Sicherheitsprodukte von Sophos verschlucken sich am Schaltjahr' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Kritische Lücke in Wordpress-Plug-in Ultimate Member leakt Passwort-Hashes' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco: Sicherheitslücken in NX-OS, FX-OS und weiteren Geräten geschlossen' auf Heise Online
Quelle: 'CISA und Experten warnen vor hartnäckigen Backdoors auf Ivanti-Geräten' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 122.0.6261.58. Zwei der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, die anderen 10 Lücken haben Einstufungen zwischen Mittel und Niedrig.
Die 122er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome 122: Zwölf Sicherheitslecks gestopft' auf Heise Online
Wie bei der Umstellung auf eine neue Hauptversion üblich dauert es noch eine Weile bis zur neuen Vivaldi Version. Die Entwickler arbeiten noch an der Integration der neuen Chromium-Version. Gut möglich, dass diese nächste Woche erscheint. Sorgen müssen sich Vivaldi Anwender aber aktuell wohl noch keine machen.
Die Microsoft Edge Entwickler lassen sich genau wie Vivaldi noch etwas Zeit, um der neuen Version Feinschliff zukommen zu lassen. Auch hier ist es vorstellbar, dass Edge 122 nächste Woche erscheint.
Die Entwickler von Thunderbird haben die Version 115.8 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 8 Sicherheitslücken behoben, wovon vier eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bzw. "gering" bezeichnet werden.
Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 16 Detailverbesserungen auf.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Quelle: 'Firefox und Thunderbird: Neue Versionen liefern Sicherheitsfixes' auf Heise Online
Info: 'Thunderbird 115.8.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 123 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken wovon 4 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 8 Lücken geschlossen, wovon drei als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.8.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox und Thunderbird: Neue Versionen liefern Sicherheitsfixes' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
HP hat wieder zwei Sicherheitsbulletins für Drucker und Scanner aus den Produktreihen Laser Jet, PageWide, Digital Sender Flow und ScanJet veröffentlicht. Die erste Lücke ist hochkritisch, weshalb Besitzer/Administratoren eines Drucker/Scanners aus den genannten Produktreihen unbedingt prüfen sollten, ob ihr Drucker in einem der Bulletins vorkommt und dann die entsprechenden Gegenmaßnahmen ergreifen. Meistens wird das ein Firmware-Update sein das installiert werden muss.
Die zweite Lücke ist nicht ganz so dramatisch wie die erste, aber auch Drucker und Scanner, die hier erwähnt werden, sollten unbedingt aktualisiert werden.
Quelle: 'HP Laser-Drucker: Sicherheitslücken erlauben Codeschmuggel' auf Heise Online
Quelle: 'HP Sicherheitsbulletin 1 mit Liste betroffener Drucker' auf hp.com (Englisch)
Quelle: 'HP Sicherheitsbulletin 1 mit Liste betroffener Drucker' auf hp.com (Englisch)
Eset hat eine Sicherheitsmeldung veröffentlicht, wonach es ein schwerer Fehler in seinen Produkten Angreifern ermöglicht beliebige Dateien auf dem Computer des Opfers zu löschen. Der Fehler zieht sich querbeet durch die gesamte Produktpalette sowohl für Privat-Anwender wie Gewerbe. Wer Software von Eset nutzt, sollte sich die Sicherheitsmeldung des Herstellers genau ansehen und die notwendigen Maßnahmen ergreifen.
Quelle: 'Eset: Schwachstelle in Hintergrundscanner löscht beliebige Dateien' auf Heise Online
Quelle: Sicherheitswarnung von Eset
Wer Joomla für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 5.0.3 oder 4.4.3 installiert wurde oder das rasch nachholen. In den neuen Versionen wurden mehrere Sicherheitslücken geschlossen, wovon eine als hochriskant eingestuft wurde.
Quelle: 'CMS Joomla bessert riskante Schwachstellen aus' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Solarwinds: Codeschmuggel möglich, Updates verfügbar' auf Heise Online
Quelle: 'Jetzt updaten: Kritische Codeschmuggel-Lücken in Connectwise Screenconnect' auf Heise Online
Quelle: 'Sicherheitsupdate: Root-Lücke bedroht Servermonitoringtool Nagios XI' auf Heise Online
Quelle: 'Sicherheitslücken: GitLab gegen mögliche Attacken abgesichert' auf Heise Online
Quelle: 'Malware über kritische Lücke in ConnectWise ScreenConnect verteilt' auf Heise Online
Quelle: 'Broadcom schließt Sicherheitslücken in VMware Aria Operations und EAP-Plug-in' auf Heise Online
Quelle: 'WS_FTP: Updates dichten hochriskante Sicherheitslücke ab' auf Heise Online
Google hat diese Woche lediglich eine Sicherheitslücke in Google Chrome und Chromium behoben. Da der Hersteller aber keinerlei Informationen über die Lücke veröffentlicht, ist unklar, ob das nur eine "Kleinigkeit" war oder eine kritische Schwachstelle. Aufgrund der unklaren Lage sollten Anwender von Google Chrome zügig auf die neue Version (121.0.6167.185) updaten.
Im Extended Stable Zweig wurde die Lücke (vermutlich) mit der Versionsnummer 120.0.6099.291 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome Release Notes' auf googleblog.com (Englisch)
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.293 upgedated und schließen so ebenfalls die neue Sicherheitslücke. Vivaldi Anwender sollten zügig auf Version 6.5 Update 9 (6.5.3206.63) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (9) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Die Entwickler von Microsoft Edge haben ebenfalls eine neue Version ihres Browsers veröffentlicht. Leider fehlt aber noch das Release Note dazu, daher können wir nur vermuten, dass dieser ebenfalls auf die neue Chromium-Version upgedatet und damit abgesichert wurde.
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 23.008.20533 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB24-07 (Englisch)
In Adobes Audio-Bearbeitungs-Programm Audition wurde eine kritische Sicherheitslücke behoben. Anwender sollten zügig auf Version 23.6.4 (2023) oder 24.2 (2024) updaten um sicher zu sein.
Quelle: Adobe Security Bulletin APSB24-11 (Englisch)
In Adobes 3D-Programm 'Substance 3D Painter' wurden in Summe 9 Sicherheitslücken behoben, wovon nicht weniger als 6 kritischer Natur waren. Anwender des Programms sollten so rasch wie möglich auf Version 9.1.2 updaten.
Quelle: 'Adobe Security Bulletin APSB24-04' auf Adobe.com (Englisch)
In Adobes 3D-Programm 'Substance 3D Designer' wurde ebenfalls eine "kritische" Sicherheitslücke behoben. Anwender des Programms sollten so rasch wie möglich auf Version 13.1.1 updaten.
Quelle: 'Adobe Security Bulletin APSB24-13' auf Adobe.com (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurden 5 Sicherheitslücken behoben, wovon zwei kritisch waren. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB24-03 (Englisch)
Im Desktop-Publishing-Programm Adobe Framemaker bzw. diesmal in dessen "Publishing Server" wurde eine kritische Sicherheitslücke gefunden und behoben. Wer den Server einsetzt, sollten so schnell wie nur irgend möglich das Update auf Version 2022 Update 2 durchführen oder den Server vom Netz nehmen.
Quelle: Adobe Security Bulletin APSB24-10 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Administratoren, die einen Exchange-Server betreuen, sollten sich diesen Monat wieder besonders gut und vor allem rasch in die diversen Knowledge-Base-Artikel rund um die Februar-Updates einlesen. Wenn wir es richtig verstanden haben, ist in den allermeisten Fällen Handarbeit nötig, nur auf wenigen Systemen wird es mit dem automatisch installierten Update gut sein. Im Falle von Exchange 2019 muss nun mindestens das CU 13 installiert sein, um überhaupt noch das neueste Sicherheitsupdate zu erhalten. Bei allen CU’s außerdem dem neuen CU 14 für Exchange 2019 muss zudem die "Extended Protection" aktiviert werden. Das CU14 macht das automatisch bei der Installation, was aber Fallstricke mit sich bringt. Und dann muss auch noch sichergestellt werden, dass die "NTLM-Sicherheitsstufe" richtig konfiguriert ist. Wie schon geschrieben, findet man all das grundsätzlich in den Artikeln von Microsoft, aber man muss alles wirklich sehr sorgfältig studieren.
Quelle: 'Jetzt patchen! Angreifer nutzen kritische Lücke in Microsoft Exchange Server aus' auf Heise Online
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.17.0 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Webkonferenz-Tool Zoom: Rechteausweitung durch kritische Schwachstelle' auf Heise Online
Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- oder QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'Qnap: Sicherheitslücken in Firmware erlauben Einschleusen von Befehlen' auf Heise Online
Der Prozessor-Hersteller liefert wieder zahlreiche Sicherheitsupdates in Form von aktualisierten BIOS-Bausteinen aus. Der Hersteller hat gleich für vier verschiedene Produktbereiche Sicherheitsbenachrichtigungen veröffentlicht. In den gängigen Ryzen Prozessoren für Desktops und Notebooks sind demnach bis zu 4 neue Schwachstellen gefunden und beseitigt worden. Da AMD nur Teile des kompletten BIOS/UEFI an die Hersteller liefert, muss der Endkunde letztendlich warten bis die Geräte bzw. Mainboard-Hersteller entsprechende BIOS-Updates ausliefern. Ein paar haben bereits damit begonnen, wie ein zweiter Heise Online Artikel berichtet.
Für Privatanwender sollten die Schwachstellen in der Regel nicht kritisch sein, dennoch raten wir auch hier dazu verfügbare BIOS-Updates unbedingt zu installieren. Für Firmen ist die Relevanz schon deutlich höher und am massivsten sind wie üblich Server-Betreiber betroffen.
Quelle: 'AMD meldet zahlreiche Sicherheitslücken in Prozessoren' auf Heise Online
Quelle: 'AMD-CPU-Sicherheitslücken: Erste BIOS-Updates stehen bereit' auf Heise Online
Die neu entdeckte Sicherheitslücke "KeyTrap" kann auf Systemen mit den DNS-Servern "Bind", "dnsmasq" und "Unbound" zu so viel Last führen, dass keine weiteren DNS-Anfragen mehr verarbeitet werden können. Das wiederum würde Netzwerke größtenteils lahmlegen.
Die Namen der drei bekannten DNS-Servern dürfte den wenigsten Anwendern etwas sagen, und dennoch dürften die meisten den einen oder anderen davon Zuhause verwenden. Die "dnsmasq" Software dürfte in etlichen Routern vorkommen. Allerdings sehen wir aktuell kein großes Risiko für Heimnetzwerke durch diese Lücken, da ein Angriff dazu aus dem internen Netzwerk heraus stattfinden müsste. Bei DD-WRT z.B. lässt sich die Lücke aber z.B. umgehen, indem man die Verifizierung von DNSSEC-Anfragen ausschaltet, was standardmäßig der Fall sein dürfte.
Wer jedoch einen öffentlich erreichbaren DNS-Server betreibt, sollte sehr wohl dafür Sorge tragen, diesen möglichst bald auf eine abgesicherte Version zu aktualisieren.
Quelle: 'DNS-Server: Bind, dnsmasq und Unbound stolpern über Sicherheitslücke "KeyTrap"' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'SAP: 13 neue Sicherheitswarnungen zum Februar-Patchday' auf Heise Online
Quelle: 'Sicherheitslücke in Webmailer Roundcube wird angegriffen' auf Heise Online
Quelle: 'PostgreSQL lässt sich beliebiges SQL unterjubeln' auf Heise Online
Quelle: 'Sicherheitslücken: Angreifer können Dell Unity kompromittieren' auf Heise Online
Quelle: 'Node.js: Sicherheitsupdates beheben Codeschmuggel und Serverabstürze' auf Heise Online
Quelle: 'F5 behebt 20 Sicherheitslücken in Big-IP-Loadbalancer, WAF und nginx' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.161 behebt 3 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.283 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Update schließt mögliche Codeschmuggel-Lücken' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.285 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 8 (6.5.3206.61) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (8) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten. Edge Anwender sollten auf Version 121.0.2277.112 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Der FileZilla FTP-Client hat ein Sicherheitsupdate auf Version 3.66.5 erhalten. Einmal mehr wurden dabei die enthaltenen GnuTLS-Bibliotheken aktualisiert die immer wieder mal für Sicherheitslücken bei verschlüsselten FTP-Verbindungen sorgen. FilaZilla Anwender die wert auf sicher verschlüsselte FTP-Verbindungen legen sollten FileZilla daher zügig aktualisieren.
Quelle: 'FileZilla Version history' auf filezilla-project.org (Englisch)
Wer AnyDesk irgendwann einmal für eine Fernwartung verwendet hat, sollte alle Reste dieses Programmes tunlichst rasch entfernen. Ältere AnyDesk-Versionen stellen aktuell ein erhebliches Sicherheitsrisiko dar. Nur die Windows Version 8.0.8 soll sich sicher verwenden lassen laut Heise Online Artikel. Für Android, AppleTV, iOS, Linux und macOS gibt es aktuell keine sicheren Versionen.
Wer AnyDesk häufiger oder gar beruflich genutzt hat, sollte sich darüber hinaus mindestens den verlinkten Heise Online Artikel genau durchlesen, wenn nicht sogar die dort verlinkten weiteren Sicherheitsberichte. Wer einen Benutzer-Account bei AnyDesk hat, sollte darüber hinaus unbedingt sein Passwort ändern.
Quelle: 'Anydesk-Einbruch: Französisches BSI-Pendant vermutet Dezember als Einbruchsdatum' auf Heise Online
Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- oder QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'QNAP: Neue Firmware-Versionen beheben Befehlsschmuggel-Lücke' auf Heise Online
Neuere Canon-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.
Besitzer der folgenden Canon Drucker sollten daher unbedingt die Firmware aktualisieren: i-SENSYS X C1333P, i-SENSYS X C1333i, i-SENSYS MF754Cdw, i-SENSYS MF750C und i-SENSYS LBP673Cdw.
Wer einen Drucker der Reihe "Color imageCLASS" (USA) bzw. "Satera" (Japan) besitzt, sollte den Heise Online Artikel prüfen für die Liste der betroffenen Drucker.
Quelle: 'Kritische Schwachstellen in Multifunktions- und Laserdruckern von Canon' auf Heise Online
Das Samsung Programm "Magican" zur Verwaltung von SSDs des Herstellers hat in Version 8.0 eine Sicherheitslücke die es Angreifern ermöglicht Rechte auszuweiten und damit einen Angriff auf das System durchzuführen. Wer Version 8.0 einsetzt, sollte daher auf Version 8.0.1 aktualisieren, um die Lücke zu schließen.
Quelle: 'Samsung Magician: Update stopft Sicherheitsleck im SSD-Tool' auf Heise Online
Sicherheitsmeldungen über Wärmepumpen sind eine Neuheit bei uns, aber sobald so eine Anlage ans Netzwerk angeschlossen ist gilt es als IoT Gerät und darüber haben wir wiederum schon sehr viel berichtet. Problem bei diesen Wärmepumpen ist etwas, was bei namhaften IT-Herstellern eigentlich längst Geschichte sein sollte, sich in der Heizungs-Branche aber scheinbar noch nicht herumgesprochen hat. Die Rede ist von einer fest in die Firmware eingebauten "Hintertür" über die Angreifer nun leicht ins System eindringen können.
Um das zu verhindern, sollten Besitzer oder Wartungstechniker dieser Anlagen ein Firmware-Update installieren, dass die Lücke entfernt. Um es Kunden so einfach wie möglich zu machen, hat der Hersteller dafür sogar ein YouTube-Video als Anleitung veröffentlicht das im Heise Online-Artikel verlinkt ist.
Quelle: 'Update gegen Sicherheitsleck in Alpha Innotec- und Novelan-Wärmepumpen' auf Heise Online
Wir hatten schon einmal vor den Gefahren billiger NoName USB-Sticks gewarnt, nun berichtet Heise Online von einer weiteren Firma die vor derlei Datenträgern warnt. Die USB-Sticks werden dabei immer günstiger und um das zu erreichen auch immer schlechter, was die Qualität angeht. Und so verzeichnet der deutsche Dienstleister "CBL Datenrettung" immer mehr defekte USB-Sticks von verzweifelten Kunden, die von äußerst zweifelhafter Qualität und Herkunft sind.
Zwar können auch USB-Sticks namhafter Hersteller kaputtgehen, aber das Risiko ist doch deutlich geringer. Nichtsdestotrotz gilt für USB-Sticks genau wie für jeden Datenträger, das man wichtige Daten immer auf mehreren Datenträgern ablegen sollte, wovon mindestens einer "offline" ist.
Quelle: 'Datenretter: Billige USB-Sticks werden immer schlechter' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'IT-Sicherheitsüberwachung Juniper JSA für mehrere Attacken anfällig' auf Heise Online
Quelle: 'HCL schließt Sicherheitslücken in Bigfix, Devops Deploy und Launch' auf Heise Online
Quelle: 'IBM Business Automation Workflow für DoS-Attacken & Co. anfällig' auf Heise Online
Quelle: 'Sicherheitslücken: Update schützt Server-Monitoringtool Nagios XI vor Attacken' auf Heise Online
Quelle: 'Sicherheitsupdates: Dell schließt ältere Lücken in Backuplösungen wie Avamar' auf Heise Online
Quelle: 'Jetzt patchen! TeamCity-Schwachstelle ermöglicht Zugang ohne Authentifizierung' auf Heise Online
Quelle: 'VMware Aria-Schwachstellen ermöglichen Erhöhung der Zugriffsrechte' auf Heise Online
Quelle: 'Rechtausweitung durch Lücken in Veeam Recovery Orchestrator möglich' auf Heise Online
Quelle: 'Sicherheitsupdates: Kritische Lücken bedrohen Cisco Expressway Series' auf Heise Online
Quelle: 'Sicherheitslücken: Codeschmuggel und Leistungsverweigerung bei ClamAV' auf Heise Online
Quelle: 'Sicherheitsupdates: SSL-VPN-Komponente von FortiOS angreifbar' auf Heise Online
Quelle: 'SonicOS SSL-VPN: Angreifer können Authentifzierung umgehen' auf Heise Online
Quelle: 'Sicherheitsupdates: Authentifizierung von Ivanti Connect Secure & Co. defekt' auf Heise Online
Quelle: 'Bootloader-Lücke: Viele Linux-Distributionen sind gefährdet' auf Heise Online
Quelle: 'Elastic Stack: Pufferüberlauf ermöglicht Codeschmuggel in Kibana-Komponente' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.140 behebt 4 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.276 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Update schließt vier Sicherheitslücken' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.278 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 7 (6.5.3206.59) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (7) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten. Edge Anwender sollten auf Version 121.0.2277.98 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Die LibreOffice Entwickler haben eine brandneue Ausgabe der freien Office-Suite fertiggestellt und wie angekündigt macht die Versionsnummer einen riesigen Sprung auf 24.2. Das liegt nicht etwa an einem Funktions-Feuerwerk, das einen so großen Versionssprung von 7.6 auf 24.2 rechtfertigen würde, sondern schlicht an der Tatsache, dass die ersten beiden Stellen der Versionsnummer nun für Jahr und Monat der Veröffentlichung dieses neuen Entwicklungszweiges stehen.
Inhaltlich punktet die neue Version vor allem mit der neuen Highlight-Funktion in der Tabellenkalkulation. Was wir und viele andere Anwender sich jahrelang gewünscht haben wurde nun endlich umgesetzt. Zeile und Spalte der aktiven Zelle wird farblich hervorgehoben, sodass man in großen Tabellen einen besseren Überblick hat, welche Werte noch zum aktuellen Datensatz gehören. Aktivieren lässt sich das sehr leicht über Ansicht → Spalten/Zeilen hervorheben.
Wie gewohnt gehen wir ausführlicher auf die Neuerungen ein, wenn der neue Entwicklungszweig ein wenig gereift ist. Eine brandneue LibreOffice Version empfehlen wir nur Anwendern die unbedingt die neuesten Funktionen haben wollen und dafür etwaige Kinderkrankheiten in Kauf nehmen. Wer will, kann sich aber jetzt schon anhand der verlinkten Quellen weiter informieren.
Quelle: 'LibreOffice mit neuer Zählnummer: Version 24.2 veröffentlicht' auf Heise Online
Quelle: Release Notes mit allen Neuerungen auf LibreOffice.org
Quelle: Vorstellungsvideo auf YouTube (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Ivanti: Updates mit Verspätung, dafür neue Sicherheitslücke missbraucht' auf Heise Online
Quelle: 'Jetzt updaten! Exploits für kritische Jenkins-Sicherheitslücke im Umlauf' auf Heise Online
Quelle: 'Sicherheitsupdates: DoS- und Schadcode-Attacken auf IBM ODM möglich' auf Heise Online
Quelle: 'Linux: Sicherheitslücke in glibc bringt Angreifern Root-Privilegien' auf Heise Online
Quelle: 'Mastodon: Diebstahl beliebiger Identitäten im föderierten Kurznachrichtendienst' auf Heise Online
Quelle: 'Sicherheitsupdate: IBM-Sicherheitslösung QRadar SIEM unter Linux angreifbar' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.86 behebt 17 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.268 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome-Update dichtet 17 Sicherheitslecks ab' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.270 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 6 (6.5.3206.57) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (6) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten, schließt darüber hinaus aber auch noch 6 weitere Sicherheitslücken. Daher ist die Risiko-Einschätzung bei Microsoft Edge auch auf "kritisch" und nicht nur "hoch" wie bei Google. Edge Anwender sollten daher besonders rasch auf Version 121.0.2277.83 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Microsoft Edge 121 unterstützt moderne Codecs und stopft Sicherheitslecks' auf Heise Online
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Die Entwickler von Thunderbird haben die Version 115.7 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 9 Sicherheitslücken behoben, wovon zwei eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.
Während die letzten Thunderbird-Updates fast ausschließlich Sicherheitslücken geschlossen haben und funktionale Verbesserungen kaum vorhanden waren, ist das dieses Mal anders, die Release Notes listen ganze 15 Detailverbesserungen auf.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 115.7.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 122 veröffentlicht. Die neue Version behebt 15 Sicherheitslücken wovon 5 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 9 Lücken geschlossen, wovon zwei als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.7.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox: Passkey-Unterstützung und Sicherheitsfixes' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Langjährige Leser werden wissen, dass wir schon unzählige Artikel über Bluetooth-Sicherheitslücken veröffentlicht haben und Bluetooth als grundsätzlich unsicher einstufen. Seit jeher raten wir deshalb Bluetooth am besten gar nicht, oder nur für das absolut notwendigste zu verwenden. Die US Navy ist nun wohl zum selben Schluss gekommen, hat aber anders als wir die Möglichkeiten Alternativen entwickeln zu lassen. Daher hat die US Navy eine Ausschreibung für eine Bluetooth-Alternative gestartet. In besagter Ausschreibung wird Bluetooth wie folgt beschrieben: "Unfortunately, Bluetooth is not secure and is vulnerable to a variety of hacking and tracking methods.". Übersetzt bedeutet das: "Unglücklicherweise ist Bluetooth nicht sicher, und verletzlich durch eine Reihe an Angriffs- und Tracking-Methoden."
Die Ausschreibung erwähnt auch, dass eine zivile Nutzung der alternativ-Technologie wünschenswert wäre. Bahnt sich hier womöglich Konkurrenz für die Bluetooth-SIG an? Zu wünschen wäre es, denn die Bluetooth SIG hat eines nachgewiesenermaßen nicht auf der Agenda und das ist Sicherheit.
Quelle: 'Bluetooth zu unsicher: US Navy sucht Alternative' auf Heise Online
Neuere Lexmark-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.
Besitzer von Lexmark Druckern sollten daher unbedingt prüfen, ob ihr Modell von den Lücken betroffen ist und wenn ja die entsprechenden Sicherheitsupdates installieren. Auch für Drucker, die in der Sicherheitsmeldung des Herstellers aktuell nicht genannt werden, lohnt es sich natürlich zu prüfen, ob die aktuellste Firmware verwendet wird und diese gegebenenfalls zu aktualisieren.
Leider gibt es keine gesammelte Liste der verwundbaren Drucker, sondern man muss 4 verschiedene Listen (für jede Sicherheitslücke eine eigene) separat durchgehen und prüfen, ob der eigene Drucker auf einer davon aufscheint. Links zu den 4 Sicherheitsmitteilungen finden sie im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Schlupflöcher für Schadcode in Lexmark-Druckern geschlossen' auf Heise Online
Erst vor wenigen Monaten wurde bekannt, das chinesische Hacker die gesamte Microsoft Cloud unterwandert haben, nun gelang es Angreifern aus Russland in die Microsoft Infrastruktur einzudringen, wenngleich nicht in dem massiven Umfang wie es den Chinesen gelang. Besonders peinlich für Microsoft ist daran, dass ausgerechnet die "Sicherheitsabteilung" von Microsoft für die Schlamperei, die zu dem Einbruch geführt hat, verantwortlich war.
Wie üblich spielt Microsoft selbst die Angriffe herunter oder hüllt sich in Schweigen. Man darf aber davon ausgehen, dass die beiden bekannt gewordenen Angriffe nur die Spitze des Eisbergs sind. Wer nach wie vor denkt, seine Dateien wären in der Cloud sicher, sollte sich vielleicht nochmal hinterfragen.
Quelle: 'Fehlende MFA, Standardpasswort: So lief der Angriff auf die MS-Securityabteilung' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Kritische VMware-Sicherheitslücke wird angegriffen' auf Heise Online
Quelle: 'Confluence: Kritische Sicherheitslücke in veralteten Versionen wird ausgenutzt' auf Heise Online
Quelle: 'Monitoringsoftware Splunk: Teils kritische Sicherheitslücken' auf Heise Online
Quelle: 'Barracuda WAF: Kritische Sicherheitslücken ermöglichen Umgehung des Schutzes' auf Heise Online
Quelle: 'Fortra GoAnywhere MFT: Kritische Lücke macht Angreifer zu Admins' auf Heise Online
Quelle: 'Codeschmuggel-Lücke in HPE Oneview' auf Heise Online
Quelle: 'Trend Micro Apex Central: Update schließt im zweiten Anlauf Sicherheitslücken' auf Heise Online
Quelle: 'Gitlab-Kontoklau-Lücke: Tausende verwundbare Server im Netz' auf Heise Online
Quelle: 'Cisco: Lücke erlaubt komplette Übernahme von Unified Communication-Produkten' auf Heise Online
Quelle: 'Automatisierungstool Jenkins: Codeschmuggel durch Sicherheitslücke möglich' auf Heise Online
Quelle: 'Angreifer können eigene Befehle auf Juniper-Firewalls und Switches ausführen' auf Heise Online
Quelle: 'Diesmal bitte patchen: Security-Update behebt kritische Schwachstelle in GitLab' auf Heise Online
Quelle: 'Schadcode-Attacken auf Onlineshops auf Gambio-Basis möglich' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.225 behebt vier Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Allerdings wird eine der Lücken bereits aktiv ausgenützt, weshalb Anwender von Google Chrome besonders rasch auf die neue Version updaten sollten.
Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Sicherheitslücke wird in freier Wildbahn ausgenutzt' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.238 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 5 (6.5.3206.55) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (5) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Die zuletzt etwas lahmen Microsoft Edge Entwickler haben angesichts der bereits ausgenutzten Sicherheitslücke in Chromium mal wieder etwas schneller reagiert und sowohl neue Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 120.0.2210.144 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 389 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 10 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 401 aktualisieren.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.22, 17.0.10 oder 21.0.2 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - January 2024' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - January 2024' auf Oracle.com (Englisch)
Quelle: 'Critical Patch Update: Oracle veröffentlicht 389 Sicherheitsupdates' auf Heise Online
Microsoft hat auch in der Woche nach der Veröffentlichung des problematischen Windows Updates keine Lösung für Heimanwender gefunden. Es wurde nur abermals auf die diversen Skripte hingewiesen, die aber nur für Windows-Profis relevante Informationen liefern, ein normaler Heimanwender wird es damit eher nicht schaffen das Update zu installieren. Da die Sicherheitslücke, welches das problematische Update schließen soll, gerade für Privatanwender zumindest vorübergehend vernachlässigbar ist, sollte man die diversen Skripte von Microsoft nur einsetzen, wenn man sehr genau weiß, was man tut. Andernfalls ist es besser die Finger davonzulassen, als im schlimmsten Fall vor einem nicht mehr startbaren Windows-System zu stehen.
Quelle: 'Microsoft: Update-Fehler 0x80070643 und Erinnerung an Bootloader-Blockade' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Microsoft: Update-Fehler 0x80070643 und Erinnerung an Bootloader-Blockade' auf Heise Online
Quelle: 'Nvidia-Updates schließen kritische Sicherheitslücken in KI-Systemen' auf Heise Online
Quelle: 'Cross-Site-Scripting in Monitoringsoftware PRTG erlaubt Sessionklau' auf Heise Online
Quelle: 'Atlassian: Updates zum Patchday schließen 28 hochriskante Schwachstellen' auf Heise Online
Quelle: 'Kritische Sicherheitslücke: VMware vergaß Zugriffskontrollen in Aria Automation' auf Heise Online
Quelle: 'Jetzt patchen! Vorsicht vor DoS-Angriffen auf Citrix NetScaler ADC und Gateway' auf Heise Online
Quelle: 'MOVEit Transfer: Updates gegen DOS-Lücke' auf Heise Online
Quelle: 'Trend Micro: Sicherheitslücken in Security-Agents ermöglichen Rechteausweitung' auf Heise Online
Quelle: 'Nextcloud: Lücken in Apps gefährden Nutzerkonten und Datensicherheit' auf Heise Online
Quelle: 'Angreifer attackieren Ivanti EPMM und MobileIron Core' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.217 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Update für Google Chrome: Hochriskantes Sicherheitsleck abgedichtet' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.2021 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 4 (6.5.3206.53) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücke, sondern auch andere Fehler.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (4) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Wie schon letzte Woche, hat das Entwickler-Team von Microsoft Edge noch keine neue Version fertiggestellt, die die neue Chromium Version enthält. Übermäßige Sorgen sollte man sich keine machen, da laut Google auch die neueste Lücke wohl noch nicht aktiv ausgenützt wird, es zeigt aber einmal öfter warum Vivaldi auch in Sachen Sicherheit der bessere Browser ist.
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Im Jänner hat Microsoft wohl eines der am schlechtesten getesteten Sicherheitsupdates seit vielen Jahren auf seine Kunden losgelassen. Das Sicherheitsupdate soll eine Bitlocker-Schwachstelle im "Windows Recovery Environment" (kurz WinRE) schließen. Das Problem dabei ist, dass die Partition die das WinRE-Image aufnimmt, seit Jahren von Microsoft mit gerade einmal 512MB viel zu klein ausgeführt wird. Schon in der Vergangenheit hat sich mehrfach gezeigt, das Updates des WinRE-Images häufig nicht funktionieren, einfach, weil die Partition zu klein ist. Daher hat Microsoft es bisher immer den Administratoren überlassen die WinRE von Hand zu aktualisieren und hat sich nicht über ein automatisches Update drüber getraut – bis zu diesem Monat. Die Folge ist, dass auf etlichen Windows Installationen (geschätzt sicher über 50%) das Update misslingt und damit eine Update-Schleife ausgelöst wird, die in weiterer Folge zu Performance-Problemen führen kann. Damit wird das fehlerhafte Update selbst für die Leute zum Problem, die Bitlocker gar nicht verwenden.
Eine zuverlässige Lösung des Problems ist aktuell unserer Meinung nach nur von Hand möglich. Die erste von Microsoft bereitgestellte Hilfestellung geht grundsätzlich in die richtige Richtung, in dem Sinne als das die WinRE-Partition vergrößert wird. Das zweite Skript, das laut Heise Online von Microsoft als "Lösung" angeboten worden sein soll, ist eigentlich ein Skript, das für einen anderen Zweck konzipiert wurde und die Größe der WinRE-Partition nicht anpasst. Durch Nebenwirkungen kann dieses Skript auf dem einen oder anderen PC zum Ziel führen, aber grundsätzlich behebt es die Ursache des Problems – die zu kleine WinRE-Partition – nicht. Wer sich von dem Problem nicht eingeschränkt fühlt, weil der Sicherheitsaspekt vernachlässigbar ist und es keine Performance-Probleme gibt, kann das Problem aktuell durchaus auch mal aussitzen. Vielleicht findet Microsoft ja doch noch eine vernünftige Lösung das Update unters Volk zu bringen oder zieht es vorübergehend ganz zurück. Wer das Problem aber jetzt sofort behoben haben möchte, sollte entweder gut mit Windows Interna vertraut sein oder sich an einen Fachmann wenden.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday Microsoft: Kerberos-Authentifizierung unter Windows verwundbar' auf Heise Online
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.16.10 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Webkonferenzen: Zoom-Sicherheitslücken ermöglichen Rechteausweitung' auf Heise Online
Die Adobe Sicherheitsupdates fallen im Jänner ungewöhnlich mager aus. Nur das 3D-Programm "Substance 3D Stager" wird mit Sicherheitsupdates versorgt. Wer diese Anwendung einsetzt, sollte zügig auf Version 2.1.4 updaten.
Quelle: 'Patchday Adobe: Mehrere Schwachstellen in Substance 3D Stager geschlossen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates für Dell- und Lenovo-BIOS' auf Heise Online
Quelle: 'Sicherheitsupdates: Schadcode- und DoS-Attacken auf Qnap NAS möglich' auf Heise Online
Quelle: 'Synology warnt vor Sicherheitslücke im DSM-Betriebssystem' auf Heise Online
Quelle: 'IBM warnt vor Sicherheitslücke in Db2' auf Heise Online
Quelle: 'Jetzt patchen! Attacken auf Messaging-Plattform Apache RocketMQ' auf Heise Online
Quelle: 'SAP-Patchday: Teils kritische Lücken in Geschäftssoftware' auf Heise Online
Quelle: 'Fortinet: Sicherheitsupdate gegen Rechteverwaltungsfehler in FortiOS und -Proxy' auf Heise Online
Quelle: 'Zerodays bei Ivanti aktiv genutzt: Connect Secure und Policy Secure sinds nicht' auf Heise Online
Quelle: 'Sicherheitspatch: API-Fehler in Cisco Unity Connection macht Angreifer zum Root' auf Heise Online
Quelle: 'Zoho ManageEngine: Kritische Sicherheitslücke in ADSelfService Plus' auf Heise Online
Quelle: 'Sicherheitspatch: IBM Security Verify für Root-Attacken anfällig' auf Heise Online
Quelle: 'Juniper Networks bessert zahlreiche Schwachstellen aus' auf Heise Online
Quelle: 'Splunk, cacti, checkmk: Sicherheitslücken in Monitoring-Software' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.200 behebt 6 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Update für Google Chrome schließt sechs Sicherheitslücken' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.205 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 3 (6.5.3206.50) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die 6 Sicherheitslücken, sondern auch andere Fehler.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (3) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Das Entwickler-Team von Microsoft Edge hat noch keine neue Edge-Version fertiggestellt. Damit endet der gute Lauf der letzten 2 bis 3 Updates, die relativ zügig bereitgestellt wurden. Übermäßige Sorgen sollte man sich keine machen, da laut Google keine der Lücken aktiv ausgenützt wird, es zeigt aber einmal öfter warum Vivaldi auch in Sachen Sicherheit der bessere Browser ist.
Falls die Zugangsdaten für ein Google Konto durch einen Virus auf dem Computer abgegriffen wurden, nützt im schlimmsten Fall nicht einmal das Ändern des Passworts vor Missbrauch. Durch eine fehlerhaft programmierte Schnittstelle bei Google können Angreifer, die einmal in den Besitz eines Google-Session-Cookies gelangt sind, sich immer wieder Zugriff auf den Account verschaffen, selbst wenn zwischenzeitlich das Passwort geändert wurde.
Somit hat das Opfer keinerlei Möglichkeiten mehr sein Konto vor unbefugtem Zugriff zu schützen. Wenn der Angreifer das möchte, kann er umgekehrt sogar das Opfer selbst von seinem Account aussperren. Abhilfe gibt es im Moment keine, außer das Google-Konto selbst komplett zu löschen, was aber für die meisten Besitzer eines Google-Kontos wohl keine Option sein dürfte. Für alle Google Anwender bleibt also nur zu hoffen, dass sie einerseits gar nicht erst Opfer derartiger Viren werden und zum anderen das Google den Fehler in der Schnittstelle möglichst bald behebt.
Quelle: 'Malware stiehlt Google-Cookies – auch Passwortänderung wirkungslos' auf Heise Online
Wenige Tage nach Version 4.65 hat der IrfanView-Programmierer nun Version 4.66 nachgelegt. Darin wurden 3 kleinere Fehler der Vorversion wieder ausgebügelt. Um alle Fehler zu beheben, muss neben IrfanView selbst aber auch die Plugin-Sammlung aktualisiert werden.
Info: IrfanView Changelog (Englisch)
Download: IrfanView Version 4.66, 64Bit, Deutsch
Download: IrfanView Plugins Version 4.66, 64Bit, Deutsch
Während die Preise für SSDs und USB-Sticks die letzten Jahre kontinuierlich gefallen sind, steigen sie nun wieder rasant an. Gründe dafür sind die verringerten Produktionskapazitäten wie die gestiegene Nachfrage. Wer also vorhat, sich auf absehbare Zeit eine neue SSD oder USB-Sticks zu kaufen, sollte das möglichst bald noch tun. Eine baldige Umkehr dieses Zyklus ist unwahrscheinlich, erfahrungsgemäß dürften die Preise über Jahre hinweg wieder steigen.
Quelle: 'SSD-Preise steigen zum Jahreswechsel teils drastisch' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'BSI: Windows-Treibermanagement ist "herausfordernd", Härtung empfehlenswert' auf Heise Online
Quelle: 'Kritische Schadcode-Lücke gefährdet Ivanti Endpoint Manager' auf Heise Online
Quelle: 'Neue Lücke in altem E-Mail-Protokoll: SMTP smuggling' auf Heise Online
Quelle: 'Sicherheitsupdate: Schadcode-Attacken auf Juniper Secure Analytics möglich' auf Heise Online
Quelle: 'Lücke in Barracuda E-Mail Security Gateway ermöglichte Code-Einschleusung' auf Heise Online
Quelle: 'Netzwerkanalysetool Wireshark gegen mögliche Attacken abgesichert' auf Heise Online
Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen: