Ihr Browser ist veraltet!

Quelle: 'Chrome: Weitere Zero-Day-Lücke mit Update geschlossen' auf Heise Online

Details:

17.05.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben, und zwar gleich zweimal diese Woche. Mit dem Notfall-Update von Freitag sind das 3 Sicherheitsupdates innerhalb von 6 Tagen. Das Update vom Mittwoch war dabei wieder "geplant", aber auch das schloss einmal mehr Sicherheitslücken die bereits aktiv ausgenutzt werden. Anwender von Google Chrome sollten besonders rasch sicherstellen, dass Version 125.0.6422.60 (oder neuer) zum Einsatz kommt oder andernfalls schnell updaten.

Im 124er Versionszweig ist die Version 124.0.6367.221 aktuell. Wie üblich gibt Google keinerlei Informationen über geschlossene Sicherheitslücken in diesem Zweig preis, es ist aber davon auszugehen, dass auch diese Version gänzlich abgesichert ist.

Vivaldi:

Die Vivaldi Entwickler waren wieder sehr schnell und haben beide Updates von Google jeweils noch am selben Tag an die Vivaldi-Anwender weitergereicht. Die aktuellste Version ist nun 6.7 Update 6, die auf Chromium-Version 124.0.6367.221 basiert. Auch hier gilt es zügig zu aktualisieren, falls noch nicht geschehen.

Info: 'Minor update (6) for Vivaldi Desktop Browser 6.7' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Microsoft Edge Entwickler haben ebenfalls beide Sicherheitsupdates diese Woche umgesetzt, wenngleich sie etwas länger dafür gebraucht haben als die Vivaldi-Crew. Wer Microsoft Edge verwendet sollte zügig auf Version 124.0.2478.109 updaten.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

Quelle: 'Firefox und Thunderbird: Verbesserte Funktionen und Sicherheitskorrekturen' auf Heise Online

17.05.2024 – Thunderbird 115.11 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 115.11 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden in Summe 6 Sicherheitslücken geschlossen, wovon eine mit hoher Risikostufe bedacht wurde.

Eine so lange Liste an funktionalen Verbesserungen wie zuletzt gibt es diesmal nicht. Lediglich zwei kleinere kosmetische Probleme wurden behoben.

Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Info: 'Thunderbird 115.11 Release Notes' auf Mozilla.org (Englisch)

Quelle: 'Firefox und Thunderbird: Verbesserte Funktionen und Sicherheitskorrekturen' auf Heise Online

17.05.2024 – Firefox 126 bringt Sicherheitsupdates

Mozilla hat Firefox 126 veröffentlicht. Die neue Version behebt 16 Sicherheitslücken wovon zwei als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 6 Lücken geschlossen, wovon eine als hohes Risiko gilt. Hier lautet die neue Versionsnummer 115.11.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

17.05.2024 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Reader & Acrobat

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 24.002.20759 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB24-29 (Englisch)

Adobe Illustrator

Im Vektorgrafik Programm Illustrator hat Adobe zwei als "kritisch" eingestufte und eine "wichtige" Sicherheitslücke behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.9.4 (2023) oder 28.5 (2024) updaten.

Info: Adobe Security Bulletin APSB24-30 (Englisch)

Adobe Animate:

Das ehemals Flash genannte Web-Animationsprogramm enthielt 7 Sicherheitslücken wovon 6 als "kritisch" eingestuft wurden. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.6 (2023) oder 24.0.3 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.

Info: Adobe Security Bulletin APSB24-36 (Englisch)

Adobe Dreamweaver

Im HTML-Editor Dreamweaver wurde eine Lücke mit Einstufung "kritisch" behoben. Darüber hinaus wurde eine zweite Lücke behoben die keine Einstufung hat, aber ebenfalls kritisch "klingt". Anwender von Dreamweaver sollten auf die 2021er Ausgabe (Version 21.4) updaten.

Quelle: Adobe Dreamweaver Security Bulletin APSB24-39 (Englisch)

Adobe Framemaker

Im Desktop-Publishing-Programm Adobe Framemaker wurden 5 kritische und 3 "wichtige" Sicherheitslücken gefunden und behoben. Wer das Programm einsetzt, sollte unbedingt die im Security Bulletin verlinkten Updates installieren.

Quelle: Adobe Security Bulletin APSB24-37 (Englisch)

Adobe Aero

Im Augmented Reality Content Creation Programm "Aero" wurde eine kritische Sicherheitslücke behoben. Anwender des Programmes sollten zügig auf Version 0.24.4 updaten.

Quelle: Adobe Security Bulletin APSB24-33 (Englisch)

Adobe Substance 3D Designer

In Adobes 3D-Programm 'Substance 3D Designer' wurde eine "wichtige" Sicherheitslücke behoben. Anwender des Programms sollten so demnächst auf Version 13.1.2 updaten.

Quelle: 'Adobe Security Bulletin APSB24-35' auf Adobe.com (Englisch)

Adobe Substance 3D Painter

In Adobes 3D-Programm 'Substance 3D Painter' wurden in Summe 4 Sicherheitslücken behoben, wovon zwei kritischer Natur waren. Anwender des Programms sollten so rasch wie möglich auf Version 10.0 updaten.

Quelle: 'Adobe Security Bulletin APSB24-31' auf Adobe.com (Englisch)

Quelle: 'Windows Server 2019: Microsoft bestätigt Installationsfehler von Mai-Updates' auf Heise Online

17.05.2024 – Microsoft's Tag der Updates

Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Schon wieder ein kaputtes Sicherheitsupdate, diesmal für Server 2019!

Microsoft steigt dieses Jahr wirklich von einem Fettnäpfchen ins Nächste. Praktisch jeden Monat sind Sicherheitsupdates dabei, die große Nebenwirkungen haben oder sich gar nicht erst installieren lassen. So auch beim kumulativen Sicherheitsupdate für Windows Server 2019. Wieder einmal ignoriert Microsoft, dass nicht alle Computer auf der Welt mit englischer Benutzeroberfläche laufen und hat einmal mehr nicht ausreichend getestet. Anders ist es kaum Vorstellbar, dass das Update auf allen Servern, wo keine englische Sprache installiert ist, fehlschlägt. Dabei schließt dieses Update wichtige Sicherheitslücken die bereits aktiv ausgenutzt werden. Jeder Tag wo dieses Updates nicht installiert sind erhöht daher das Risiko von Angriffen. Microsoft arbeitet an dem Problem eigener Aussage nach, eine erste Korrektur des Updates brachte aber keine Besserung, sondern versteckt das Update (scheinbar) nur auf betroffenen Servern. Eine manuelle Installation des EN-US-Sprachpaketes gefolgt von manueller Installation des Sicherheitsupdates soll wohl möglich sein, klappt aber nicht auf allen Servern.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

17.05.2024 – Neue LibreOffice Versionen schließen Sicherheitslücke

In LibreOffice Versionen vor den Ausgaben 7.6.7 bzw. 24.2.3 kann ein Klick auf eine manipulierte Grafik ausreichen, um eine Viren-Infektion auszulösen. Anwender des freien Office-Paketes sollte daher rasch auf Version 7.6.7 updaten. Die Version 24.2.3 raten wir weiterhin nur experimentierfreudigen Anwendern, die im Idealfall auch bereit sind Fehlerberichte zu schreiben.

Quelle: 'LibreOffice: Verklickt – und Malware ausgeführt' auf Heise Online

Download: Aktuelle LibreOffice Versionen

Quelle: 'Intel Arc & Iris Xe Graphics Software Advisory - SA-01053' auf Intel.com

17.05.2024 – Intel veröffentlicht Mai-Sicherheitsupdates

Prozessorhersteller Intel hat mal wieder neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider sind wieder sehr viele Updates dabei, die für den Endanwender schwer bis gar nicht zu bekommen sind, da es wieder um etliche Firmware-Updates geht. Es gibt aber auch wieder ein paar einfach zu behebende Sicherheitslücken, vor allem in Grafik- und Chipsatz-Treibern.

Sicherheitslücken in Grafik-Treibern ...

In den Grafik-Treibern für Intel’s Prozessoren und Grafikkarten wurde eine Rechteausweitungslücke gefunden. Die Version 31.0.101.5081 oder neuer behebt das Problem. Auch wenn diese Lücken für Privatanwender meist weniger relevant sind, empfehlen wir allen Besitzer dieser Prozessoren bzw. Grafikkarten die Grafiktreiber zu aktualisieren. Am einfachsten gelingt dies mit dem "Intel Driver and Support Assistant". Betroffen sind Intel Prozessoren mit integrierter "Arc" bzw. "Iris XE" Grafik, sowie alle Intel Grafikkarten.

... und Chipsatz-Treibern

Auch in den Chipsatz-Treibern wurde eine Rechteausweitungs-Lücke behoben. Leider macht es Intel den Anwendern unmöglich zu bestimmen, ob man betroffen ist oder nicht. Intel sagt, alle Chipsatz-Treiber vor Version 10.1.19444.8378 sind betroffen. Das würde aber auch alle Uralt-Chipsätze bzw. Treiber mit einschließen, die jemals veröffentlicht wurden. Updates gibt es aber nur für Chipsätze ab der 100er Serie (ab H110, HM170, B150, Q150, QM170, QMS380, Z170, X299) und neuer. Ob ältere Chipsätze nicht betroffen sind, oder sie nur kein Update mehr erhalten, klärt das Bulletin nicht auf. Wir empfehlen daher allen Besitzern eines Computers mit Intel Prozessor die aktuellen Chipsatz-Treiber runterzuladen und versuchen diese zu installieren. Läuft die Installation durch, kann man sicher sein das Problem behoben zu haben. Meldet das Installations-Programm hingegen eine "nicht unterstützte Plattform" bleibt die bereits erwähnte Ungewissheit zurück.

Quelle: 'Intel® Chipset Device Software Advisory - SA-01032' auf Intel.com

Download: Aktuelle Intel Chipsatztreiber von Intel.com

WLAN und Bluetooth Treiber

Auch in den WLAN- und Bluetooth-Treibern hat Intel wieder jede Menge Sicherheitslücken gefunden. Gerade hier sollte man tunlichst rasch updaten. In beiden Fällen lösen Treber ab Version 23.20 die Probleme. Wie bei den Grafiktreibern können auch dieses Updates meistens mit dem "Intel Driver and Support Assistant" einfach durchgeführt werden.

Quelle: 'Intel® PROSet/Wireless WiFi and Bluetooth® Advisory - SA-001039' auf Intel.com

Intel Computing Improvement Program

Wer das Programm mit dem sperrigen Namen "Intel Computing Improvement Program" auf seinem Computer vorfindet, sollte es gänzlich deinstallieren. Das Programm hat für den Anwender keinen Nutzen, beinhaltet aber immer wieder Sicherheitslücken, so auch jetzt wieder.

Quelle: 'Intel® Computing Improvement Program Software Advisory - SA-01059' auf Intel.com

Und viele weitere Sicherheitsmeldungen

Die restlichen Advisories sind schwieriger umzusetzen. Wer alle Meldungen "abarbeiten" möchte, kann sich unter dem folgenden Link eine Übersicht aller Intel Sicherheitsmeldungen anzeigen lassen.

Quelle: 'Intel® Product Security Center Advisories' auf Intel.com

Quelle: 'Patchday: Intel schließt unter anderem kritische Lücke mit Höchstwertung' auf Heise Online

Quelle: 'BSI verklagt Microsoft auf Herausgabe von Informationen zu Security-Desaster' auf Heise Online

17.05.2024 – Deutsche Sicherheitsbehörde klagt Microsoft

Nachdem vor einigen Wochen die amerikanische CISA einen vernichtenden Bericht über die miserable Sicherheit der Microsoft Cloud-Dienste abgegeben hat, wurde nun bekannt, dass das deutsche BSI eine Klage gegen Microsoft anstrebt oder bereits eingereicht hat. Hintergrund sind auch hier die gehäuften Einbrüche in die Microsoft Cloud im letzten Jahr, die Microsoft zu vertuschen versucht hat. Da Microsoft die Anfragen des BSI zu dem Thema nur sehr schleppend oder gar nicht beantwortet, reicht das Amt nun Klage ein. Bleibt zu hoffen, dass zumindest die deutschen Nachbarn das ganze ein wenig transparenter gestalten und die Vorfälle so auch in die Öffentlichkeit transportiert werden.

Quelle: 'Juniper schließt OpenSSH-Lücken in Junos OS und Junos OS Evolved' auf Heise Online

17.05.2024 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Backup-Managementtool: Schadcode-Lücke bedroht Veeam Service Provider' auf Heise Online

Quelle: 'IBM Security Guardium: Lücken erlauben Codeschmuggel und Rechtausweitung' auf Heise Online

Quelle: 'Monitoring-Software: Cacti-Sicherheitslücken erlauben Einschleusen von Schadcode' auf Heise Online

Quelle: 'SAP-Patchday: Angreifer können Systeme durch Sicherheitslücke kompromittieren' auf Heise Online

Quelle: 'Cisco: Updates schließen Sicherheitslücken in mehreren Produkten' auf Heise Online

Quelle: 'Netzwerksicherheit: Diverse Fortinet-Produkte für verschiedene Attacken anfällig' auf Heise Online

Quelle: 'Access Points von Aruba verwundbar – keine Updates für ältere Versionen' auf Heise Online

Quelle: 'Freies Admin-Panel: Codeschmuggel durch Cross-Site-Scripting in Froxlor' auf Heise Online

Quelle: 'VMware Workstation und Fusion: Ausbruch aus Gastsystem möglich' auf Heise Online

Quelle: 'Trellix ePolicy Orchestrator ermöglicht Rechteausweitung' auf Heise Online

Quelle: 'Google Chrome: Exploit für Zero-Day-Lücke gesichtet' auf Heise Online

10.05.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben, und zwar gleich zweimal diese Woche. Wie "geplant" gab es Dienstagabend ein Update, das zwei Sicherheitslücken geschossen hat. Gestern musste Google dann aber nochmal dringend nachbessern, als Details über eine aktiv ausgenützte Sicherheitslücke bekannt wurden. Diese hat Google dann mit Version 124.0.6367.201 behoben. Da diese Lücke bereits aktiv ausgenutzt wird, sollten Anwender von Google Chrome besonders rasch auf die neue Version updaten.

Der 124er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 124.0.6367.166 upgedatet, und waren Google zu dem Zeitpunkt leicht voraus. Dann musste Google eine weitere Lücke schließen (siehe oben) und dieses Update konnten die Leute bei Vivaldi bis jetzt noch nicht übernehmen. Wir gehen aber davon aus, dass Vivaldi das Update diese Woche noch veröffentlicht, vielleicht sogar heute noch.

Info: 'Minor update (3) for Vivaldi Desktop Browser 6.7' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Microsoft Edge Entwickler haben bisher weder die geplanten Sicherheitskorrekturen von Dienstagabend noch das Notfall-Update von Donnerstag übernommen. Die Microsoft Entwickler haben aber bereits darüber informiert Kenntnis über das Problem zu haben und an einer Lösung zu arbeiten. Vielleicht kommt ja auch hier diese Woche noch ein Update.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

Quelle: 'Für alle: Microsoft ändert Standard-Einfügeoption in Word' auf Heise Online

10.05.2024 – Microsoft ändert Einfüge-Verhalten

Laut Heise Online Artikel ändert Microsoft bei der Office 365 bzw. Microsoft 365-Variante von Word das Standard-Verhalten beim Einfügen von Text aus anderen Anwendungen. Bisher war es dort wohl üblich, dass Text standardmäßig alle Formatierungen aus der Quelle übernommen hat, was dann teils viel Arbeit gemacht hat, um den eingefügten Text wieder richtig zu formatieren. In Zukunft werden nur mehr ein paar Formatierungs-Optionen aus der Quelle übernommen, andere sollen hingegen vom aktuellen Dokument beibehalten werden. Wie üblich gilt bei solchen Änderungen: Des einen Freud des anderen Leid, daher kann man das Standard-Einfüge-Verhalten in den Optionen einstellen – vorausgesetzt man weiß das.

Das ganze betrifft wie gesagt nur die Abonnement-Variante von Word. In der Kauf-Version (bis einschließlich Version 2021) gibt es hier keine Änderung.

10.05.2024 – VirtualBox 7.0.18 auch nicht stabil!

Wie angekündigt haben wir seit dem "kaputten" Update 7.0.16 ein Auge auf die Entwicklungen bei VirtualBox. Mittlerweile haben die Entwickler auch eine fehlerbereinigte Fassung 7.0.18 veröffentlicht, die den gravierendsten Bug aus 7.0.16 beheben soll.

Doch so wirklich stabil war auch diese Version in unserem Test nicht. Die Grafikausgabe hat sich mehrfach aufgehängt und auch das Herunterfahren von virtuellen Maschinen gelingt häufig nicht. Zumindest bei letzterem Problem dürften wir nach einem kurzen Exkurs in das VirtualBox Forum nicht die einzigen sein.

Wir haben daher wieder auf Version 7.0.14 downgegradet. Überall dort wo VirtualBox nur für gelegentliche Tests verwendet wird sollte das kein Problem sein. Wer aber VirtualBox produktiv nützt und Instanzen aus dem Internet erreichbar sind, sollte genau studieren, ob die mit Version 7.0.16 geschlossenen Sicherheitslücken für dieses Szenario nicht doch relevant sind.

10.05.2024 – Gimp 2.10.38 mit kleinen Verbesserungen

Das Gimp Team hat Version 2.10.38 veröffentlicht. Die Liste der Neuerungen ist eher kurz, da wie so oft schon geschrieben der Fokus der Entwickler seit langer Zeit bereits auf der kommenden Version 3.0 liegt. Ein paar Verbesserungen aus der Entwicklung dort sind nun aber doch wieder mal in die 2.10er Version zurückgeflossen. Vor allem Anwender mit Grafik-Tablets können sich freuen, denn die neue Version unterstützt nun auch Tabletts die mit dem moderneren "Windows Ink"-Treiber arbeiten. Darüber hinaus wurden zwei mögliche Absturz-Ursachen eliminiert und ein paar weitere kleine Verbesserungen eingebaut.

Anwender einer Gimp 2.10 Version bei denen alles wunderbar funktioniert haben keinen dringenden Grund auf die neue Version upzudaten. Wo Gimp aber ab und zu abstürzt oder ein Grafik-Tablett in Verwendung ist, könnte sich das Update lohnen.

Quelle: 'GIMP 2.10.38 Released' auf Gimp.org (Englisch)

Download: Gimp 2.10.38, Windows, mehsprachig

Quelle: 'Lizenzabos ab Ende 2025: So sieht die Exchange-Zukunft aus' auf Heise Online

10.05.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Microsoft wird konkreter mit veralteten TLS-Zertifikaten' auf Heise Online

Quelle: 'VMware Avi Load Balancer: Rechteausweitung zu root möglich' auf Heise Online

Quelle: 'Angreifer können Kontrolle über BIG-IP-Appliances von F5 erlangen' auf Heise Online

Quelle: 'Admins müssen selbst handeln: PuTTY-Sicherheitslücke bedroht Citrix Hypervisor' auf Heise Online

03.05.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 124.0.6367.118 behebt zwei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.

Der 124er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 124.0.6367.123 upgedatet, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.7 Update 2 (6.7.3329.24) updaten, falls nicht bereits durch das automatische Update erledigt.

Info: 'Minor update (2) for Vivaldi Desktop Browser 6.7' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 124.0.2478.80 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

Quelle: 'Acronis Cyber Protect: Rechteausweitung und Informationsleck möglich' auf Heise Online

03.05.2024 – Sicherheitslücken in mehreren Acronis Programmen

In einem aktuellen Bericht von Heise Online werden Sicherheitslücken in den folgenden Acronis Anwendungen erwähnt: 'Acronis Cyber Protect', 'Acronis Cyber Protect Home Office' bzw. 'Acronis Cyber Protect Cloud Agent'.

Wer eines dieser Software-Pakete einsetzt, sollte zügig auf die jeweils neueste Version des 'Acronis Cyber Protect Cloud Agent' updaten.

Quelle: 'Qnap schließt NAS-Sicherheitslücken aus Hacker-Wettbewerb Pwn2Own' auf Heise Online

03.05.2024 – Qnap: Rasch Sicherheitsupdates installieren!

Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS-, QuTS-hero- oder QuTScloud-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!

Quelle: 'Nach Vertrauensverlust: Microsoft macht IT-Sicherheit zu "Priorität Nummer 1"' auf Heise Online

03.05.2024 – Microsoft will Sicherheit zur obersten Priorität machen

Den letztjährigen Sicherheitsgaus die Microsoft Cloud (Office 365 bzw. Microsoft 365) betreffend bzw. nach der massiven Kritik der US-Sicherheitsbehörde CISA am Unternehmen und den mangelhaften Sicherheitsvorkehrungen, will Microsoft nun einen deutlichen Kurswechsel anstreben. Sicherheit soll die oberste Priorität erhalten. Ob das ein bloßes Lippenbekenntnis ist oder man wirklich Taten folgen lässt, muss sich erst weisen. Selbst wenn Microsoft es ernst meint und seine Sicherheits-Bestrebungen massiv erhöht, muss man aber erst einmal verlorenes Vertrauen zurückgewinnen. Aktuell wird wohl kaum jemand noch sensible Daten in Microsofts Cloud ablegen, weil man davon ausgehen muss, dass etliche Fremdparteien ebenfalls Zugriff auf die Dateien, Mails usw. erhalten würden.

Quelle: 'Microsoft: Keine automatische Lösung für 0x80070643-Update-Fehler mehr geplant' auf Heise Online

03.05.2024 – Microsoft gibt auf: Keine Reparatur des fehlerhaften Jänner-Updates!

Kurze Gedächtnis-Auffrischung: Im Jänner hat Microsoft ein Sicherheitsupdate für Bitlocker über Windows-Update an alle Windows-Computer verteilt. Soweit so gut, das Problem war nur, dass sich das Update auf etlichen Computern nicht installieren ließ, weil die Recovery-Partition standardmäßig zu klein ist.

Im Jänner hat Microsoft noch angekündigt, das Problem mit einem späteren Update beheben zu wollen, sodass kein manueller Eingriff in die Recovery-Partition nötig sein soll. Doch weder das Februar-, März- oder April-Update hat so eine automatisierte Lösung beinhaltet, und liest man nun die Microsoft Seite zu dem Thema, heißt es dort, dass es keine entsprechende Lösung mehr geben wird!

Damit wird dieses Update nun ein für alle Mal zu einem der schlechtesten Windows-Updates aller Zeiten, denn ein Update an alle Windows-Computer auszuliefern, dass auf Millionen von Geräten nicht installiert werden kann und dauerhaft Fehlermeldungen produziert, kann man einfach nur noch als schlechten Scherz bezeichnen. Der US-Konzern hat allein 2023 einen Gewinn (nicht Umsatz!) von über 70 Milliarden Dollar erwirtschaftet, schafft es aber in 4 Monaten nicht, ein kaputtes Update so zu reparieren, dass es auf allen Kunden-Computern installiert werden kann, ohne dass diese sich einen Computer-Fachmann dafür engagieren müssen.

Bei solchen peinlichen Fehlern darf sich Microsoft nicht wundern, wenn wieder etliche Windows-Anwender sich nach Alternativen umsehen und in Richtung Linux oder Apple schielen.

Wie kann man das Update dennoch installieren?

Wie schon mehrfach erwähnt wurde, ist das Grundproblem eine zu kleine Recovery-Partition. Viele der im Internet kursierenden Lösungen versuchen das Problem zum Umgehen, statt es an der Wurzel zu lösen. Das klappt "manchmal" aber eben nicht immer. Eine größere Recovery-Partition einzurichten ist auf den meisten Computern eigentlich kein Hexenwerk und ohne zusätzliche Software machbar. Eine Anleitung können wir dafür aber nicht bereitstellen, denn ein Fehler dabei kann zum kompletten Datenverlust führen. Wer den Fehler nicht einfach ignorieren will, selbst aber nicht in der Lage ist eine größere Recovery-Partition einzurichten, sollte sich daher an einen Fachmann wenden. Ein geübter Spezialist kann das Problem in wenigen Minuten lösen. Eine großzügig dimensionierte Recovery-Partition wird nicht nur das aktuelle Problem lösen, sondern auch in Zukunft davor schützen, dass sich derartige Probleme wiederholen.

Quelle: 'Microsoft: Patchday-Nebenwirkungen – VPN- und NTLM-Probleme' auf Heise Online

03.05.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'CISA warnt: Microsoft Smartscreen- und Gitlab-Sicherheitsleck werden angegriffen' auf Heise Online

Quelle: 'Sicherheitsupdates: Angreifer können IP-Telefone von Cisco ausspionieren' auf Heise Online

Quelle: 'Sicherheitsupdates: Angreifer können WLAN-Gateways von Aruba kompromittieren' auf Heise Online

26.04.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 124.0.6367.78. Eine der Lücken wurde mit einer Gefahreneinstufung von "kritisch" bewertet, was bei Chrom unüblich ist. Zwei weitere Lücken wurden als "hohes" Risiko eingestuft und über eine vierte Lücke verrät Google bisher nichts.

Die 124er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Vivaldi:

Die Vivaldi-Entwickler haben wie erwartet diese Woche ebenfalls auf den 124er Chromium Unterbau umgestellt und schließen damit alle aktuellen Sicherheitslücken.

Abgesehen von den Sicherheitskorrekturen haben die Vivaldi Entwickler eine neue Funktion zum Speicher-Sparen entwickelt, bei der inaktive Tabs in den Ruhezustand versetzt werden. Grundsätzlich ist das keine gänzlich neue Funktion, sie wurde aber wohl überarbeitet und ist jetzt in den Optionen besser ersichtlich. Wer bisher die alte Funktion zum Speicher-Sparen bei Hintergrund-Tabs genutzt hat sollte die neue Option aktivieren. Wer die Funktion bisher nicht genutzt hat aber sehr oft mit sehr vielen Tabs hantiert, sollte die Option ebenfalls aktivieren. Zu finden ist sie in den Optionen der Tabs unter dem Namen "Speicher Sparer", dort sollte man auf "Automatisch" einstellen.

Darüber hinaus wurde am Feed-Reader gearbeitet, Arbeitsbereiche lasen sich nun direkt aus markierten Tabs heraus erstellen und Passwörter lassen sich leichter exportieren. Da die Neuerungen überschaubar sind ersparen wir uns einen eigenen Artikel zur neuen Vivaldi-Version.

Info: 'Vivaldi steigert die Leistung mit Memory Saver und erkennt automatisch Feeds mit seinem Feed Reader' auf Vivaldi.com

Microsoft Edge:

Die Microsoft Edge Entwickler lassen diese Woche noch auf ein Update warten, was angesichts der "kritischen" Sicherheitslücke verwunderlich ist. Bleibt zu hoffen, dass die Lücke noch nicht aktiv ausgenutzt wird und Microsoft das Update bald nachreicht.

Quelle: 'AMD Radeon-Grafiktreiber: Update schließt Codeschmuggel-Lücke' auf Heise Online

26.04.2024 – AMD sichert Radeon Grafiktreiber ab

AMD hat ein Sicherheitsbulletin veröffentlicht, wonach der Radeon Grafiktreiber 24.1.1 zwei Sicherheitslücken mit Einstufung "hohes Risiko" schließt. Die ursprünglichen Entdecker der Lücken hatten eigentlich eine geringere Bedrohungslage suggeriert und auch anhand der Beschreibung der Lücken lässt sich das "hohe Risiko" nicht ganz nachvollziehen. Dennoch sollten Besitzer einer halbwegs aktuellen AMD Grafikkarte auf den neuesten Treiber updaten (aktuell 24.3.1 bei normalen Radeon Karten bzw. 24.Q1 bei den Profi-Karten) um auf Nummer sicher zu gehen.

Die abgesicherten Treiber gibt es sowohl für Grafikkarten bis hinunter zur RX Vega bzw. RX 5000 Reihe sowie Ryzen Prozessoren bis runter zur Ryzen 3000 Baureihe. Für Embedded-Prozessoren will AMD im Juni aktualisierte Treiber ausliefern.

Download: Aktuelle AMD Radeon Treiber

Quelle: 'Audacity 3.5: Audio-Tool mit Tempo-Erkennung und zerstörungsfreiem Pitchshift' auf Heise Online

26.04.2024 – Audacity 3.5 bringt Verbesserungen für Musiker

Das Audacity Team hat eine neue Hauptversion vorgestellt. Diesmal geht die Reise wieder in die Cloud und ins Reich der Musiker. Konnte man bisher schon fertige Audio-Dateien in die Cloud hochladen, gelingt dies nun auch mit Projekten. Zum Glück ist das nur optional, niemand wird also in die Cloud gezwungen!

Speziell für Musiker sind die weiteren Neuerungen interessant. So erkennt Audacity inzwischen bei Loops automatisch das Tempo und die Tonhöhe eines Clips lässt sich leichter anpassen, ohne dabei den Original-Clip zu verändern.

Wer die brandneuen Funktionen nicht (dringend) benötigt sollte vorerst noch bei der ausgereifteren Version 3.4.2 bleiben, da neue Audacity Hauptversionen meistens relativ schnell kleinere Updates erhalten um neue Bugs zu beheben. Ein erstes kleines Update hat es für Audacity 3.5 bereits gegeben, sodass jetzt Version 3.5.1 aktuell ist, weitere Updates in naher Zukunft würden uns aber nicht wundern.

Quelle: 'Microsoft korrigiert Exchange-Probleme der März-Updates mit Hotfix' auf Heise Online

26.04.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Cisco: Angreifer plazieren mithilfe neuer 0-Day-Lücke Hintertüren auf Firewalls' auf Heise Online

Quelle: 'Cross-Site Scripting: Sicherheitslücken in pfSense ermöglichen Admin-Cookieklau' auf Heise Online

Quelle: 'Sicherheitsupdates: Angreifer können GitLab-Accounts übernehmen' auf Heise Online

Quelle: 'Jetzt patchen! Attacken auf Dateiübertragungsserver CrushFTP beobachtet' auf Heise Online

19.04.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 124.0.6367.60.

Drei Lücken tragen die Risikoeinstufung "hoch", 6 "mittel" und 4 "niedrig". Zu den restlichen 9 Lücken macht Google keine Angaben.

Die 124er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Quelle: 'Webbrowser: Sicherheitsupdates für Chrome und Firefox' auf Heise Online

Vivaldi:

Wie bei der Umstellung auf eine neue Hauptversion üblich dauert es noch eine Weile bis zur neuen Vivaldi Version. Die Entwickler arbeiten noch an der Integration der neuen Chromium-Version. Gut möglich, dass diese nächste Woche erscheint. Sorgen müssen sich Vivaldi Anwender aber aktuell wohl noch keine machen, denn die 3 gefährlichsten Lücken hat Vivaldi in Version 6.6 Update 6 behoben.

Quelle: 'Minor update (6) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Microsoft Edge Entwickler haben den Umzug auf die 124er-Version bereits gestemmt, und dabei zusätzlich zu den Lücken aus Chromium auch noch 3 Edge-spezifische Sicherheitslücken geschlossen. Wer Microsoft Edge verwendet sollte zügig auf Version 124.0.2478.51 aktualisieren.

Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)

Quelle: 'Webbrowser: Sicherheitsupdates für Chrome und Firefox' auf Heise Online

19.04.2024 – Thunderbird 115.10(.1) behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 115.10 des beliebten E-Mail-Programmes veröffentlicht. Wie viele Sicherheitslücken und mit welchem Schweregrad behoben wurden lässt sich aktuell mangels Security Bulletin von Mozilla nicht sagen. Die Angaben zu Firefox ESR verraten aber, dass mindestens eine Lücke mit Gewichtung "hoch" geschlossen wurde. Leider war aber schnell klar, das Version 115.10.0 einen gröberen Bug enthalten hat, sodass relativ rasch Version 115.10.1 nachgeschoben wurde.

Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 13 Detailverbesserungen auf.

Info: 'Thunderbird 115.10.0 Release Notes' auf Mozilla.org (Englisch)

Info: 'Thunderbird 115.10.1 Release Notes' auf Mozilla.org (Englisch)

Quelle: 'Webbrowser: Sicherheitsupdates für Chrome und Firefox' auf Heise Online

19.04.2024 – Firefox 125.0.1 bringt Sicherheitsupdates

Mozilla hat Firefox 125.0.1 veröffentlicht. Die neue Version behebt 15 Sicherheitslücken wovon 9 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 9 Lücken geschlossen, wovon 4 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.10.

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

19.04.2024 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Photoshop

In Photoshop 2023 und 2024 wurde eine "wichtige" Sicherheitslücke behoben. Die 2023er-Ausgabe bekommt das Sicherheitsupdate mit Version 24.7.3 und die 2024er-Fassung ist ab Version 25.4 abgesichert. Sämtliche älteren Photoshop Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.

Quelle: 'Adobe Security Bulletin APSB24-16' auf Adobe.com (Englisch)

Adobe Illustrator

Im Vektorgrafik Programm Illustrator hat Adobe drei als "kritisch" eingestufte und eine "wichtige" Sicherheitslücke behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.9.3 (2023) oder 28.4 (2024) updaten.

Info: Adobe Security Bulletin APSB24-25 (Englisch)

Adobe InDesign

Im Layout-Programm InDesign hat Adobe eine Sicherheitslücke mit Risikoeinstufung "wichtig" behoben. Anwender des Programmes sollten auf die Version 18.5.2 (2023) bzw. 19.3 (2024) updaten. Sämtliche älteren InDesign Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.

Info: Adobe Security Bulletin APSB24-20 (Englisch)

Adobe After Effects

In Adobe After Effects wurde eine als "wichtig" eingestufte Sicherheitslücke behoben. Alle Anwender von After Effects sollten auf Version 23.6.5 (2023) oder 24.2 (2024) updaten. Alle älteren Jahrgänge erhalten keinen Support mehr und sollten deinstalliert werden.

Quelle: Adobe Security Bulletin APSB24-09 (Englisch)

Adobe Media Encoder

Im Adobe Media Encoder wurde eine kritische Sicherheitslücke behoben. Anwender, die den Media Encoder installiert haben, sollten rasch auf Version 23.6.5 (2023) oder 24.3 (2024) updaten.

Quelle: Adobe Security Bulletin APSB24-23 (Englisch)

Adobe Bridge

In Adobe Bridge wurde eine "wichtige" Sicherheitslücken behoben. Das Update auf die abgesicherte Version 13.0.7 (2023) oder 14.0.3 (2024) sollte bei Gelegenheit installiert werden.

Quelle: 'Adobe Security Bulletin APSB24-24' auf Adobe.com (Englisch)

Adobe Animate:

Das ehemals Flash genannte Web-Animationsprogramm enthielt vier Sicherheitslücken wovon zwei als "kritisch" eingestuft wurden. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.5 (2023) oder 24.0.2 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.

Info: Adobe Security Bulletin APSB24-26 (Englisch)

Adobe Magento bzw. Adobe Commerce

Im Webshop-System "Magento" bzw. "Commerce" wurden zwei kritische Sicherheitslücken behoben. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.

Quelle: Adobe Security Bulletin APSB24-18 (Englisch)

Adobe Experience Manager

Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine lange Liste an "wichtigen" Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.

Quelle: Adobe Security Bulletin APSB24-21 (Englisch)

16.03.2024 – Microsoft's Tag der Updates

Kein Support mehr!

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Oracle Critical Patch Update Advisory - April 2024' auf Oracle.com (Englisch)

19.04.2024 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 441 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java:

Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 13 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 411 aktualisieren.

Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.23, 17.0.11, 21.0.3 oder 22.0.1 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.

Download: Aktuelle Java Version

VirtualBox:

In dem PC-Emulator VirtualBox wurden 13 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich aber nur eine der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, sollte aber aktuell NICHT auf Version 7.0.16 updaten, da sich darin ein recht gravierender neuer Bug eingeschlichen hat, der zum Absturz des (Host-)Computers führen kann. Wir werden in einem der nächsten Newsletter darauf hinweisen, wenn eine reparierte Fassung verfügbar ist.

MySQL:

Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - April 2024' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle: Critical Patch Update bringt 441 Sicherheitskorrekturen' auf Heise Online

19.04.2024 – Sicherheitsupdate für FileZilla

FileZilla Logo Der FileZilla FTP-Client hat ein Sicherheitsupdate auf Version 3.67.0 erhalten. Einmal mehr wurden dabei die enthaltenen GnuTLS-Bibliotheken aktualisiert die immer wieder mal für Sicherheitslücken bei verschlüsselten FTP-Verbindungen sorgen. FilaZilla Anwender die wert auf sicher verschlüsselte FTP-Verbindungen legen sollten FileZilla daher zügig aktualisieren.

Quelle: 'FileZilla Version history' auf filezilla-project.org (Englisch)

Download: Aktuelle FileZilla Version

Quelle: 'FIDO2-Sticks: Lücke in Yubikey-Verwaltungssoftware erlaubt Rechteausweitung' auf Heise Online

19.04.2024 – Sicherheitsupdate für Yubikey-Software

Wer einen Sicherheitsschlüssel von Yubikey besitzt und auch die zugehörige Verwaltungssoftware "Yubikey Manager" installiert hat, sollte diese umgehend auf die abgesicherte Version 1.2.6 aktualisieren um eine Sicherheitslücke mit "hohem" Risiko zu beheben.

Download: Aktuelle Yubikey Manager Software

Quelle: 'Nvidias Chatbot-App ChatRTX ist für Schadcode-Attacken anfällig' auf Heise Online

19.04.2024 – Sicherheitsupdate für Nvidia Chat-Programm "ChatRTX"

Nvidia hat ein Update für seine Chat-Software "ChatRTX" veröffentlicht. Die Version 0.2.1 schließt je eine Lücke mit "hohem" bzw. "mittlerem" Risiko. Anwender der Software sollten diese zügig aktualisieren.

Quelle: 'WLAN-Access-Points von TP-Link 15 Minuten lang nach Reboot attackierbar' auf Heise Online

19.04.2024 – Sicherheitsupdates für Access-Points von TP-Link

Wer einen AccessPoint von TP-Link mit der Bezeichnung N300 (Modellnummer: EAP115 V4) bzw. AC1350 (Modellnummer: EAP225 V3) besitzt, sollte ein Firmware-Update durchführen. Der Hersteller hat in beiden Modellen Sicherheitslücken behoben, die im schlimmsten Fall zur Infektion des Gerätes mit Schadsoftware führen kann.

Download: Abgesicherte Firmware für EAP115 V4 (N300)

Download: Abgesicherte Firmware für EAP225 V3 (AC1350)

Quelle: 'Am besten abschalten: Alte NAS-Geräte von D-Link führen Fremdcode aus' auf Heise Online

19.04.2024 – Angriffe auf veraltete NAS-Geräte von D-Link

Sicherheitsforscher haben neue Lücken in etlichen NAS-Geräten von D-Link entdeckt, deren Support bereits ausgelaufen ist und daher auch keine Updates mehr erhalten. Die Liste der betroffenen Geräte ist relativ lange, weshalb wir hier nur auf den Artikel von heise Online verweisen.

Besitzer eines der betroffenen Geräte sollten diese entweder durch neue Geräte mit aktivem Support ersetzen oder zumindest dafür Sorgen, dass diese nicht länger aus dem Internet erreichbar sind. Zuletzt genannte Maßnahme sollte eigentlich für alle IOT-Geräte, die nicht regelmäßig vom Hersteller mit Sicherheitsupdates versorgt werden, selbstverständlich sein.

Quelle: 'Fortinet liefert Updates: Admin-Cookie-Klau in FortiOS und FortiProxy möglic' auf Heise Online

19.04.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'HP Poly CCX IP-Telefone erlauben unbefugten Zugriff' auf Heise Online

Quelle: 'SAP-Patchday: Zehn Sicherheitsmitteilungen im April' auf Heise Online

Quelle: 'Befehlsschmuggel: Kritische Lücke in Programmiersprachen unter Windows' auf Heise Online

Quelle: 'Sicherheitslücken: Angreifer können Juniper-Netzwerkgeräte lahmlegen' auf Heise Online

Quelle: 'BSI warnt vor aktiv angegriffener Sicherheitslücke in Palo-Alto-Firewalls' auf Heise Online

Quelle: 'Sicherheitsupdates: Schwachstellen in PHP gefährden Websites' auf Heise Online

Quelle: 'Lancom-Setup-Assistent leert Root-Passwort' auf Heise Online

Quelle: 'Zugriffsmanagement: Kritische Admin-Lücke in Delinea Secret Server geschlossen' auf Heise Online

Quelle: 'Lenovo: Sicherheitslücken in Server-Enclosure-Firmware' auf Heise Online

Quelle: 'IBM QRadar SIEM: Kritische Lücke durch Drittherstellerkomponente' auf Heise Online

Quelle: 'Kritische Lücken in Ivanti Avalanche MDM gefährden Mobilgeräte in Firmen' auf Heise Online

Quelle: 'Nur NIST P-521 betroffen: PuTTY-Lücke kompromittiert private SSH-Schlüssel' auf Heise Online

Quelle: 'Palo-Alto-Firewalls: Mehr Angriffe und Proofs-of-Concept aufgetaucht' auf Heise Online

Quelle: 'Jetzt patchen! Root-Attacken auf Cisco IMC können bevorstehen' auf Heise Online

Quelle: 'Update für Solarwinds FTP-Server Serv-U schließt Lücke mit hohem Risiko' auf Heise Online

Quelle: 'Mitel SIP-Phones anfällig für unbefugte Zugriffe' auf Heise Online

05.04.2024 – Nächste Woche kein Newsletter

Bevor wir zu den News dieser Woche kommen möchten wir unsere Kunden und Leser informieren, dass es nächste Woche urlaubsbedingt keinen Newsletter geben wird. Wichtige Sicherheitsmeldungen werden dann übernächste Woche nachgeholt.

05.04.2024 – Das nächste Chromium Sicherheitsupdate

Google hat diese Woche 3 Sicherheitslücken in Google Chrome und Chromium behoben. Alle Lücken wurden als hohes Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome zügig auf die neue Version (123.0.6312.105 oder neuer) updaten sollten.

Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 122.0.6261.156 behoben.

Quelle: 'Google Chrome: Entwickler dichten drei Lücken ab, arbeiten an Cookie-Schutz' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.158 upgedatet und schließen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.6 Update 5 (6.6.3271.57) updaten, falls nicht bereits durch das automatische Update erledigt.

Info: 'Minor update (5) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Entwickler von Microsoft Edge haben mit Version 123.0.2420.81 auch eine vollständig abgesicherte Ausgabe in petto. Wer Microsoft Edge verwendet sollte daher auch zügig auf die neue Version updaten.

Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)

Quelle: 'Lexmark: Hochriskante Lücken erlauben Codeschmuggel auf Drucker' auf Heise Online

05.04.2024 – Wieder kritische Sicherheitslücken in Lexmark Druckern

Kein Monat ist vergangen seit der letzten Sicherheitswarnung im März, schon muss Lexmark erneut auf Sicherheitslücken in seinen Druckern aufmerksam machen. In Summe drei Sicherheitslücken gefährden Drucker von Lexmark und damit seine Besitzer/Anwender.

Wie bei Lexmark leider üblich, gibt es keine gesammelte Liste der verwundbaren Drucker, sondern man muss sich wieder einmal alle 3 Listen separat durchsehen um feststellen zu können, ob der eigene Drucker betroffen ist. Das sollte man auch tunlichst machen, denn die Lücken sind kritisch und könnten von Angreifern missbraucht werden, um ins eigene Netzwerk einzudringen. Links zu den 3 Sicherheitsmitteilungen finden sie im Heise Online Artikel.

Besitzer von Lexmark Druckern sollten daher unbedingt prüfen, ob ihr Modell von den Lücken betroffen ist und wenn ja die entsprechenden Sicherheitsupdates installieren. Auch für Drucker, die in der Sicherheitsmeldung des Herstellers aktuell nicht genannt werden, lohnt es sich natürlich zu prüfen, ob die aktuellste Firmware verwendet wird und diese gegebenenfalls zu aktualisieren.

Quelle: 'Kritische Sicherheitslücke in Wordpress-Plug-in Layerslider' auf Heise Online

05.04.2024 – Wieder Sicherheitslücken in WordPress

Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Gestohlener Azure-Master-Key: Microsofts Sicherheitsversagen ist jetzt amtlich' auf Heise Online

05.04.2024 – Microsofts Cloud ist nun offiziell unsicher

Wir haben schon einige Male über Einbrüche in Microsoft’s Cloud-Server berichtet, aber der Hersteller selbst schwieg sich bisher dazu immer aus. Auch jetzt ist es nicht Microsoft selbst, der seine Fehler den Kunden gegenüber eingesteht, sondern die amerikanische Cybersicherheitsbehörde CISA ist es, die nun offiziell öffentlich macht, was bei Microsoft in puncto Cloud-Sicherheit alles falsch läuft. Und die Liste ist lang, wie man aus dem verlinkten Heise Online Artikel entnehmen kann. Wir können daher nur einmal mehr betonen, dass die Ablage sensibler Daten in Microsofts Cloud generell keine gute Idee ist, da man immer davon ausgehen muss, das unbefugte Dritte Zugriff darauf haben.

Quelle: 'Sharepoint-Sicherheitslücken: CISA warnt vor Angriffen in freier Wildbahn' auf Heise Online

05.04.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Dell-Server: BIOS-Lücke als Einfallstor für Angreifer' auf Heise Online

Quelle: 'Cisco dichtet Schwachstellen in mehreren Produkten ab' auf Heise Online

Quelle: 'Cisco schließt Sicherheitslücken und gibt Tipps zur VPN-Absicherung' auf Heise Online

Quelle: 'Sicherheitslücken: DoS-Attacken auf IBM-Datenbank Db2 möglich' auf Heise Online

Quelle: 'Codeschmuggellücke in VMware SD-WAN Edge und Orchestrator' auf Heise Online

Quelle: 'Synology Surveillance Station: Mehrere Lücken gefährden Sicherheit' auf Heise Online

Quelle: 'Sicherheitsupdates für Ivanti: Schadcode kann durch VPN-Verbindungen schlüpfen' auf Heise Online

Quelle: 'Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen' auf Heise Online

29.03.2024 – Das nächste Chromium Sicherheitsupdate

Google hat diese Woche 7 Sicherheitslücken in Google Chrome und Chromium behoben. Mindestens eine der Lücken wurde als kritisches Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome besonders zügig auf die neue Version (123.0.6312.86) updaten sollten.

Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 122.0.6261.148 behoben.

Quelle: 'Google Chrome: Kritische Schwachstelle bedroht Browser-Nutzer' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.150 upgedated und schließen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.6 Update 4 (6.6.3271.55) updaten, falls nicht bereits durch das automatische Update erledigt.

Info: 'Minor update (4) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Entwickler von Microsoft Edge haben mit Version 123.0.2420.65 nun auch wieder eine vollständig abgesicherte Ausgabe in petto. Wer Microsoft Edge verwendet sollte daher auch zügig auf die neue Version updaten.

Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)

Quelle: 'Firefox: Notfall-Update schließt kritische Sicherheitslücken' auf Heise Online

29.03.2024 – Firefox 124.1 bringt Sicherheitsupdate

Mozilla hat Firefox 124.1 veröffentlicht. Die neue Version behebt zwei kritische Sicherheitslücken. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR war nur eine dieser beiden Sicherheitslücken vorhanden, diese wird mit Version 115.9.1 gestopft.

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

29.03.2024 – LibreOffice 7.6.6 und 24.2.2 verfügbar

Die LibreOffice Gemeinde hat die Versionen 7.6.6 und 24.2.2 veröffentlicht. Beide Ausgaben sind Fehlerkorrekturen ihrer jeweiligen Vorgänger bringen aber keine neuen Funktionen oder Sicherheitsupdates. Wer bereits Version 7.6.4 oder neuer verwendet und mit der Software zufrieden ist muss also nicht unbedingt updaten.

Die Version 24.2.2 ist bisher nur für Anwender gedacht die unbedingt die allerneuesten Funktionen haben wollen und dafür potenziell mangelnde Stabilität in Kauf nehmen. Für die breite Masse ist aktuell Version 7.6.6 die bessere Wahl.

Download: Aktuelle LibreOffice Versionen

Quelle: 'Security-Fiasko Exchange: BSI warnt vor über 17.000 angreifbaren Servern' auf Heise Online

29.03.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Sicherheitslücken in Microsofts WiX-Installer-Toolset gestopft' auf Heise Online

Quelle: 'Loadbalancer: Sicherheitslücken in Loadmaster von Progress/Kemp' auf Heise Online

22.03.2024 – Das nächste Chromium Sicherheitsupdate

Google hat diese Woche 12 Sicherheitslücken in Google Chrome und Chromium behoben. Mindestens eine der Lücken wurde als hohes Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome zügig auf die neue Version (123.0.6312.59) updaten sollten.

Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 122.0.6261.139 behoben.

Quelle: 'Google Chrome Release Notes' auf googleblog.com (Englisch)

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.141 upgedated und schließen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.6 Update 3 (6.6.3271.53) updaten, falls nicht bereits durch das automatische Update erledigt.

Info: 'Minor update (3) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Entwickler von Microsoft Edge haben leider noch keine abgesicherte Version am Start. Hier kann man nur hoffen, dass das bald nachgereicht wird oder vorübergehend auf Vivaldi umsteigen.

Info: 'Thunderbird 115.9.0 Release Notes' auf Mozilla.org (Englisch)

22.03.2024 – Thunderbird 115.9 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 115.9 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 10 Sicherheitslücken behoben, wovon 6 eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.

Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 10 Detailverbesserungen auf.

Quelle: 'Sicherheitsupdates für Firefox und Thunderbird' auf Heise Online

22.03.2024 – Firefox 123 bringt Sicherheitsupdate

Mozilla hat Firefox 124 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken wovon 6 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 10 Lücken geschlossen, wovon 6 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.9.

Quelle: 'Sicherheitsupdates für Firefox und Thunderbird' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Quelle: 'Spring Framework: Updates beheben neue, alte Sicherheitslücke' auf Heise Online

22.03.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Home- und Raspberry-Matic: Kritische Lücke erlaubt Codeschmuggel' auf Heise Online

Quelle: 'Spring Security: Zugriffskontrollmechanismen in Java-Framework kaputt' auf Heise Online

Quelle: 'Sicherheitsupdates für Atlassian Bamboo, Bitbucket, Confluence und Jira' auf Heise Online

Quelle: 'Microsoft: März-Updates können Windows Server lahmlegen' auf Heise Online

Quelle: 'Attacken auf Ivanti Standalone Sentry und Neurons möglich' auf Heise Online

Quelle: 'Lücken in Ruby-Gems ermöglichen Codeschmuggel und Datenleck' auf Heise Online

Quelle: 'IBM-Software: Angreifer können Systeme mit Schadcode kompromittieren' auf Heise Online

Quelle: 'Kritische Sicherheitslücke in FortiClientEMS wird angegriffen' auf Heise Online

16.03.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 122.0.6261.129 behebt drei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.

Der 122er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Quelle: 'Google Chrome: Lücke erlaubte Codeschmuggel' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.133 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.6 Update 2 (6.6.3271.50) updaten, falls nicht bereits durch das automatische Update erledigt.

Info: 'Minor update (2) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 122.0.2365.92 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

16.03.2024 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Premiere Pro

Im Video-Schnitt-Programm Premiere Pro hat Adobe zwei kritische Sicherheitslücken behoben. Anwender von Premiere Pro sollten zügig auf Version 23.6.4 (2023) oder 24.2.1 (2024) updaten.

Quelle: Adobe Security Bulletin APSB24-12 (Englisch)

Adobe Bridge

In Adobe Bridge wurden 4 Sicherheitslücken behoben, wovon drei kritisch sind. Das Update auf die abgesicherte Version 13.0.6 (2023) oder 14.0.2 (2024) sollte daher zügig installiert werden.

Quelle: 'Adobe Security Bulletin APSB24-15' auf Adobe.com (Englisch)

Adobe Lightroom:

Adobe's Lightroom (NICHT Lightroom Classic!) erhält ein Update gegen eine als "kritisch" eingestufte Sicherheitslücke. Dies betrifft jedoch nur die macOS-Version, die Windows-Ausgabe scheint nicht betroffen zu sein. Die abgesicherte Ausgabe trägt die Versionsnummer 7.2. Alle Anwender von Lightroom (macOS) sollten die neue Version bei nächster Gelegenheit installieren.

Info: Adobe Security Bulletin APSB24-17 (Englisch)

Adobe Animate:

Das ehemals Flash genannte Web-Animationsprogramm enthielt vier Sicherheitslücken wovon eine als "kritisch" eingestuft wurde. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.4 (2023) oder 24.0.1 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.

Info: Adobe Security Bulletin APSB24-19 (Englisch)

Adobe ColdFusion:

Nutzer von Adobe ColdFusion 2021 und 2023 sollten unbedingt rasch auf ColdFusion ColdFusion 2021 Update 13 bzw. ColdFusion 2023 Update 7 aktualisieren, um Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2018 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.

Quelle: 'Adobe Security Bulletin APSB24-14' auf Adobe.com (Englisch)

Adobe Experience Manager

Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine ellenlange Liste an "wichtigen" Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.

Quelle: Adobe Security Bulletin APSB24-05 (Englisch)

16.03.2024 – Microsoft's Tag der Updates

Kein Support mehr!

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'HP: Viele Laptops und PCs von Codeschmuggel-Lücke betroffen' auf Heise Online

16.03.2024 – Sicherheitsupdates für HP Computer

HP hat begonnen für zahlreiche Computer-Systeme BIOS-Updates zu veröffentlichen, die Sicherheitslücken schließen. Betroffen sind Modelle aus dem Business-Portfolio von HP, eine ausführliche Liste der betroffenen Modelle listet der Hersteller in seinem Sicherheitsbericht auf.

Besitzer und Administratoren sollten prüfen, ob für verwendete HP Computer BIOS-Updates bereitstehen und diese installieren. Privat-Anwender verwenden dafür am einfachsten den HP Support Assistant.

Quelle: 'HP Sicherheitsmeldung HPSBHF03924' auf hp.com (Englisch)

Quelle: 'Qnap hat teils kritische Lücken in seinen Betriebssystemen geschlossen' auf Heise Online

16.03.2024 – Qnap: Rasch Sicherheitsupdates installieren!

Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS-, QuTS-hero- oder und QuTScloud-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Quelle: 'ArubaOS: Sicherheitslücken erlauben Befehlsschmuggel' auf Heise Online

14.03.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'SAP schließt zehn Sicherheitslücken am März-Patchday' auf Heise Online

Quelle: 'Synology: Update schließt "wichtige" Lücken in Synology Router Manager' auf Heise Online

Quelle: 'GitLab fixt PostgreSQL-Lücke nicht: Angreifer können Admin-Rechte erlangen' auf Heise Online

Quelle: 'Fortinet-Patchday: Updates gegen kritische Schwachstellen' auf Heise Online

Quelle: 'Cisco schließt hochriskante Lücken in IOS XR' auf Heise Online

08.03.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 122.0.6261.112 behebt drei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.

Der 122er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Quelle: 'Google Chrome: Update dichtet drei hochriskante Sicherheitslecks ab' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.116 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.6 Update 1 (6.6.3271.48) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler, wie z.B. nicht funktionierende Downloads.

Info: 'Minor update for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 122.0.2365.80 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

Quelle: 'VMware schließt Schlupflöcher für Ausbruch aus virtueller Maschine' auf Heise Online

08.03.2024 – Sicherheitsupdate für VMware Workstation (Player & Pro)

In der Desktop-Virtualisierungslösung VMware Workstation wurden mehrere Sicherheitslücken behoben. Anwender des Programms (egal ob Player oder Pro) sollten daher ein Update auf Version 17.5.1 durchführen.

Quelle: 'Jetzt patchen! Deutschland führt Liste mit verwundbaren TeamCity-Systemen an' auf Heise Online

08.03.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Jetzt updaten: Kritische Admin-Sicherheitslücken bedrohen TeamCity' auf Heise Online

Quelle: 'Aruba: Codeschmuggel durch Sicherheitslücken im Clearpass Manager möglich' auf Heise Online

Quelle: 'Solarwinds: Schadcode-Lücke in Security Event Manager' auf Heise Online

Quelle: 'Angreifer können Systeme mit Dell-Software kompromittieren' auf Heise Online

Quelle: 'Sicherheitslücken: Angreifer können Systeme mit IBM-Software attackieren' auf Heise Online

Quelle: 'Cisco: Angreifer können sich zum Root-Nutzer unter Linux machen' auf Heise Online

Quelle: 'VMware schließt Schlupflöcher für Ausbruch aus virtueller Maschine' auf Heise Online

01.03.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 122.0.6261.95. Zwei der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, über die anderen beiden Lücken hüllt Google einmal mehr den Mantel des Schweigens.

Die 122er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Quelle: 'Google Chrome: Sicherheitsupdate bessert vier Schwachstellen aus' auf Heise Online

Vivaldi:

Die Vivaldi-Entwickler haben wie erwartet diese Woche ebenfalls auf den 122er Chromium Unterbau umgestellt und schließen damit alle aktuellen Sicherheitslücken. Abgesehen von den Sicherheitskorrekturen haben die Vivaldi Entwickler weiter an den Funktionen zum Übersetzen sowie für E-Mails gearbeitet. Da die Neuerungen überschaubar sind ersparen wir uns einen eigenen Artikel zur neuen Vivaldi-Version.

Info: 'Vivaldi verbessert Mail Suche und Übersetzung, erweitert Web Panels mit Erweiterungsunterstützung' auf Vivaldi.com

Microsoft Edge:

Auch die Microsoft Edge Entwickler lassen diese Woche den auf Chromium 122 basierenden Edge vom Stapel und schließen alle aktuellen Sicherheitslücken. Genauer gesagt wurden sogar noch ein paar Lücken mehr als bei Google geschlossen, denn auch im eigenen Code hatte Microsoft ein paar Probleme entdeckt und behoben. Wer Microsoft Edge nutzt, sollte daher zügig auf die 122er-Version updaten.

Quelle: 'Webbrowser: Microsoft Edge-Update schließt Sicherheitslücken' auf Heise Online

Quelle: 'Microsoft macht Ernst: Mail und Kalender werden durch neues Outlook ersetzt' auf Heise Online

01.03.2024 – Microsoft macht jetzt ungefragt Outlook-"Updates"!

Das Drama rund um das Datenschutz-Desaster "neues Outlook" verschärft sich zunehmend. Denn Microsoft beginnt jetzt damit ungefragt Updates von "Windows 10 Mail" zum "neuen Outlook" durchzuführen. Noch kann man das zwar rückgängig machen, aber sobald das Postfach einmal migriert wurde ist das Kind Datenschutztechnisch bereits in den Brunnen gefallen, sprich Microsoft hat dann bereits die Zugangsdaten in seine Cloud übertragen.

Wir können daher nur allen Nutzern, die "Windows 10 Mail" (bzw. das Windows 11 Pendant dazu) verwenden, raten schnellstmöglich auf andere E-Mail-Programme umzusteigen. Zumindest wenn man nicht ohnehin ein Microsoft Postfach verwendet, in dem Fall hat Microsoft die Zugangsdaten ja sowieso in der Hand und das "neue Outlook" verschlimmert die Lage nicht. Damit Microsoft auch wirklich keine geheimen Daten abfragt, muss man die Postfächer aus der alten App aber auch wirklich löschen, sonst ist der ganze Wechsel nutzlos. Alternativ kann man auch das Passwort der Postfächer nach dem Umzug ändern, dann werden die von Microsoft "gestohlenen" Passwörter nutzlos. Die Passwörter für E-Mail-Postfächer regelmäßig zu ändern empfiehlt sich sowieso.

Quelle: 'Windows-10-Rechner bekommen Umstiegshinweise auf Windows 11 – in der Domäne' auf Heise Online

01.03.2024 – Microsoft will Windows 11 auf Domänen-Computern durchdrücken!

Als würde Microsoft Kunden und Administratoren mit dem "neuen Outlook" nicht schon genug Ärger aufhalsen, will der Konzern jetzt auch noch Windows 11 mit allen Mitteln auf Domänen-Rechner bekommen. Dort hat Microsoft mit Windows 11 bisher einen besonders schweren Stand, denn kaum ein Unternehmen will freiwillig auf Windows 11 umsteigen bevor es unbedingt sein muss. Und weil das Microsoft nicht schnell genug geht, hat man kurzerhand angekündigt Windows 11 ab April auch auf Domänen-Rechnern "anzubieten". Das heißt die Administratoren werden umgangen und die Benutzer der jeweiligen Rechner können selbst mal eben so den Computer auf Windows 11 upgraden, mit all den teils fatalen Folgen die das haben kann.

Weil der Aufschrei unter Administratoren entsprechend massiv gewesen sein dürfte, hat man dann ganz schnell und heimlich ein bisschen am Wortlaut der Meldung gefeilt, und darauf hingewiesen, dass Computer die per WSUS mit Updates versorgt werden, nicht zum Upgrade auffordern werden. Das dürfte für viele Firmen allerdings ein schwacher Trost sein, denn seit Corona und dem massiv gestiegenen Anteil an HomeOffice, ist eine Verteilung der Windows Updates per stationärem WSUS-Server kaum mehr vertretbar.

Es bleibt noch zu hoffen das Microsoft selbst ein Einsehen hat, das das so nicht funktionieren kann und von dem Plan wieder Abstand nimmt. Andernfalls wäre die letzte Hoffnung, dass findige Programmierer einen anderen Weg finden, um Anwender von einem unerwünschten Windows-Upgrade abzuhalten. Aufgrund der Tragweite dieses potenziellen Desasters ist hier sicher noch nicht das letzte Wort gesprochen.

Quelle: 'Microsoft rudert etwas zurück: WSUS macht Rechner "verwaltet"' auf Heise Online

Quelle: 'Sicherheitsupdate: Nividia-Grafikkarten-Treiber als Einfallstor für Angreifer' auf Heise Online

01.03.2024 – Wieder Sicherheitsprobleme mit Nvidia Treibern & Software

Nvidia hat wieder einige Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. In den Grafikkartentreibern für "echte" Grafikkarten wurden in Summe 6 Lücken gefunden die teils hohe Bedrohungsstufen haben. In den "virtuellen" Grafikkarten (VGPU) wurden 2 Sicherheitslücken behoben, wovon eine ebenfalls als hohe Gefahr eingestuft wurde.

Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 551.61 oder 474.82 bei den GameReady-Treibern bzw. Version 551.61 bei den Studio-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 474.82, 538.33 oder 551.61) bereit.

Download: Aktuelle Grafikkarten-Treiber von Nvidia.de

Quelle: 'Teamviewer: Sicherheitslücke im Client ermöglicht Rechteausweitung' auf Heise Online

01.03.2024 – Sicherheitslücken in Teamviewer geschlossen

Wer Teamviewer auf seinem PC installiert hat, sollte zügig auf die Version 15.51.5 aktualisieren. Dort wird eine schwere Sicherheitslücke behoben. Wer die Software zwar installiert hat aber gar nicht regelmäßig verwendet, sollte sie hingegen deinstallieren. Details zur Lücke gibt es im Heise Online Artikel.

Quelle: 'Remote-Desktop: RustDesk-Update entfernt Test-Zertifikat' auf Heise Online

01.03.2024 – RustDesk brachte gefährliches Zertifikat mit sich

Und noch eine Fernwartungs-Software die negativ auf sich aufmerksam macht. Die Software RustDesk hat bis vor kurzem bei der Installation ein Test-Zertifikat installiert, das so eigentlich nie auf Kunden-Computern gelangen hätte dürfen, und Angreifern weitreichende Angriffsmöglichkeiten bot. Wer diese Software installiert hat, sollte entweder ein Update auf Version 1.2.3-1 durchführen oder das fragliche Zertifikat von Hand entfernen. Details dazu gibt es wie immer im verlinkten Heise Online Artikel.

Quelle: 'IT-Sicherheitsprodukte von Sophos verschlucken sich am Schaltjahr' auf Heise Online

01.03.2024 – Sophos Software: Probleme aufgrund des Schaltjahrs

Dass Februar auch mal 29 Tage haben kann, dürfte den Programmierern bei Sophos bisher nicht bekannt gewesen sein. Anders ist es nicht vorstellbar, dass Kunden des Unternehmens gestern vor dem Besuch von völlig legitimen Webseiten gewarnt wurden. Das Problem dürfte sich heute aufgrund des wieder "normalen" Datums von selbst gelöst haben. Bleibt zu hoffen, dass Sophos dann in vier Jahren besser vorbereitet ist.

Quelle: 'Kritische Lücke in Wordpress-Plug-in Ultimate Member leakt Passwort-Hashes' auf Heise Online

01.03.2024 – Wieder Sicherheitslücken in WordPress

Quelle: 'Cisco: Sicherheitslücken in NX-OS, FX-OS und weiteren Geräten geschlossen' auf Heise Online

01.03.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'CISA und Experten warnen vor hartnäckigen Backdoors auf Ivanti-Geräten' auf Heise Online

23.02.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 122.0.6261.58. Zwei der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, die anderen 10 Lücken haben Einstufungen zwischen Mittel und Niedrig.

Die 122er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Quelle: 'Google Chrome 122: Zwölf Sicherheitslecks gestopft' auf Heise Online

Vivaldi:

Microsoft Edge:

Die Microsoft Edge Entwickler lassen sich genau wie Vivaldi noch etwas Zeit, um der neuen Version Feinschliff zukommen zu lassen. Auch hier ist es vorstellbar, dass Edge 122 nächste Woche erscheint.

Quelle: 'Firefox und Thunderbird: Neue Versionen liefern Sicherheitsfixes' auf Heise Online

23.02.2024 – Thunderbird 115.8 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 115.8 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 8 Sicherheitslücken behoben, wovon vier eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bzw. "gering" bezeichnet werden.

Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 16 Detailverbesserungen auf.

Info: 'Thunderbird 115.8.0 Release Notes' auf Mozilla.org (Englisch)

Quelle: 'Firefox und Thunderbird: Neue Versionen liefern Sicherheitsfixes' auf Heise Online

23.02.2024 – Firefox 123 bringt Sicherheitsupdate

Mozilla hat Firefox 123 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken wovon 4 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 8 Lücken geschlossen, wovon drei als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.8.

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Quelle: 'HP Laser-Drucker: Sicherheitslücken erlauben Codeschmuggel' auf Heise Online

23.02.2024 – Wieder Sicherheitslücken in HP-Druckern und Scannern

HP hat wieder zwei Sicherheitsbulletins für Drucker und Scanner aus den Produktreihen Laser Jet, PageWide, Digital Sender Flow und ScanJet veröffentlicht. Die erste Lücke ist hochkritisch, weshalb Besitzer/Administratoren eines Drucker/Scanners aus den genannten Produktreihen unbedingt prüfen sollten, ob ihr Drucker in einem der Bulletins vorkommt und dann die entsprechenden Gegenmaßnahmen ergreifen. Meistens wird das ein Firmware-Update sein das installiert werden muss.

Die zweite Lücke ist nicht ganz so dramatisch wie die erste, aber auch Drucker und Scanner, die hier erwähnt werden, sollten unbedingt aktualisiert werden.

Quelle: 'HP Sicherheitsbulletin 1 mit Liste betroffener Drucker' auf hp.com (Englisch)

Quelle: 'Eset: Schwachstelle in Hintergrundscanner löscht beliebige Dateien' auf Heise Online

23.02.2024 – Gefährliche Lücke in Eset Software

Eset hat eine Sicherheitsmeldung veröffentlicht, wonach es ein schwerer Fehler in seinen Produkten Angreifern ermöglicht beliebige Dateien auf dem Computer des Opfers zu löschen. Der Fehler zieht sich querbeet durch die gesamte Produktpalette sowohl für Privat-Anwender wie Gewerbe. Wer Software von Eset nutzt, sollte sich die Sicherheitsmeldung des Herstellers genau ansehen und die notwendigen Maßnahmen ergreifen.

Quelle: Sicherheitswarnung von Eset

23.02.2024 – Wichtiges Sicherheitsupdate für Joomla

Wer Joomla für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 5.0.3 oder 4.4.3 installiert wurde oder das rasch nachholen. In den neuen Versionen wurden mehrere Sicherheitslücken geschlossen, wovon eine als hochriskant eingestuft wurde.

Quelle: 'CMS Joomla bessert riskante Schwachstellen aus' auf Heise Online

Quelle: 'Solarwinds: Codeschmuggel möglich, Updates verfügbar' auf Heise Online

23.02.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Jetzt updaten: Kritische Codeschmuggel-Lücken in Connectwise Screenconnect' auf Heise Online

Quelle: 'Sicherheitsupdate: Root-Lücke bedroht Servermonitoringtool Nagios XI' auf Heise Online

Quelle: 'Sicherheitslücken: GitLab gegen mögliche Attacken abgesichert' auf Heise Online

Quelle: 'Malware über kritische Lücke in ConnectWise ScreenConnect verteilt' auf Heise Online

Quelle: 'Broadcom schließt Sicherheitslücken in VMware Aria Operations und EAP-Plug-in' auf Heise Online

Quelle: 'WS_FTP: Updates dichten hochriskante Sicherheitslücke ab' auf Heise Online

16.02.2024 – Das nächste Chromium Sicherheitsupdate

Google hat diese Woche lediglich eine Sicherheitslücke in Google Chrome und Chromium behoben. Da der Hersteller aber keinerlei Informationen über die Lücke veröffentlicht, ist unklar, ob das nur eine "Kleinigkeit" war oder eine kritische Schwachstelle. Aufgrund der unklaren Lage sollten Anwender von Google Chrome zügig auf die neue Version (121.0.6167.185) updaten.

Im Extended Stable Zweig wurde die Lücke (vermutlich) mit der Versionsnummer 120.0.6099.291 behoben.

Quelle: 'Google Chrome Release Notes' auf googleblog.com (Englisch)

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.293 upgedated und schließen so ebenfalls die neue Sicherheitslücke. Vivaldi Anwender sollten zügig auf Version 6.5 Update 9 (6.5.3206.63) updaten, falls nicht bereits durch das automatische Update erledigt.

Info: 'Minor update (9) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die Entwickler von Microsoft Edge haben ebenfalls eine neue Version ihres Browsers veröffentlicht. Leider fehlt aber noch das Release Note dazu, daher können wir nur vermuten, dass dieser ebenfalls auf die neue Chromium-Version upgedatet und damit abgesichert wurde.

16.02.2024 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Reader & Acrobat

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 23.008.20533 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB24-07 (Englisch)

Adobe Audition

In Adobes Audio-Bearbeitungs-Programm Audition wurde eine kritische Sicherheitslücke behoben. Anwender sollten zügig auf Version 23.6.4 (2023) oder 24.2 (2024) updaten um sicher zu sein.

Quelle: Adobe Security Bulletin APSB24-11 (Englisch)

Adobe Substance 3D Painter

In Adobes 3D-Programm 'Substance 3D Painter' wurden in Summe 9 Sicherheitslücken behoben, wovon nicht weniger als 6 kritischer Natur waren. Anwender des Programms sollten so rasch wie möglich auf Version 9.1.2 updaten.

Quelle: 'Adobe Security Bulletin APSB24-04' auf Adobe.com (Englisch)

Adobe Substance 3D Designer

In Adobes 3D-Programm 'Substance 3D Designer' wurde ebenfalls eine "kritische" Sicherheitslücke behoben. Anwender des Programms sollten so rasch wie möglich auf Version 13.1.1 updaten.

Quelle: 'Adobe Security Bulletin APSB24-13' auf Adobe.com (Englisch)

Adobe Magento bzw. Adobe Commerce

Im Webshop-System "Magento" bzw. "Commerce" wurden 5 Sicherheitslücken behoben, wovon zwei kritisch waren. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.

Quelle: Adobe Security Bulletin APSB24-03 (Englisch)

Adobe Framemaker Publishing Server

Im Desktop-Publishing-Programm Adobe Framemaker bzw. diesmal in dessen "Publishing Server" wurde eine kritische Sicherheitslücke gefunden und behoben. Wer den Server einsetzt, sollten so schnell wie nur irgend möglich das Update auf Version 2022 Update 2 durchführen oder den Server vom Netz nehmen.

Quelle: Adobe Security Bulletin APSB24-10 (Englisch)

Quelle: 'Jetzt patchen! Angreifer nutzen kritische Lücke in Microsoft Exchange Server aus' auf Heise Online

16.02.2024 – Microsoft's Tag der Updates

Wieder Handarbeit für Exchange Administratoren nötig!

Administratoren, die einen Exchange-Server betreuen, sollten sich diesen Monat wieder besonders gut und vor allem rasch in die diversen Knowledge-Base-Artikel rund um die Februar-Updates einlesen. Wenn wir es richtig verstanden haben, ist in den allermeisten Fällen Handarbeit nötig, nur auf wenigen Systemen wird es mit dem automatisch installierten Update gut sein. Im Falle von Exchange 2019 muss nun mindestens das CU 13 installiert sein, um überhaupt noch das neueste Sicherheitsupdate zu erhalten. Bei allen CU’s außerdem dem neuen CU 14 für Exchange 2019 muss zudem die "Extended Protection" aktiviert werden. Das CU14 macht das automatisch bei der Installation, was aber Fallstricke mit sich bringt. Und dann muss auch noch sichergestellt werden, dass die "NTLM-Sicherheitsstufe" richtig konfiguriert ist. Wie schon geschrieben, findet man all das grundsätzlich in den Artikeln von Microsoft, aber man muss alles wirklich sehr sorgfältig studieren.

Kein Support mehr!

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Webkonferenz-Tool Zoom: Rechteausweitung durch kritische Schwachstelle' auf Heise Online

16.02.2024 – Die nächsten Sicherheitslücken in Zoom

Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.17.0 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.

Quelle: 'Qnap: Sicherheitslücken in Firmware erlauben Einschleusen von Befehlen' auf Heise Online

16.02.2024 – Qnap: Rasch Sicherheitsupdates installieren!

Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- oder QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Quelle: 'AMD meldet zahlreiche Sicherheitslücken in Prozessoren' auf Heise Online

16.02.2024 – AMD liefert wieder Sicherheitsupdates

Der Prozessor-Hersteller liefert wieder zahlreiche Sicherheitsupdates in Form von aktualisierten BIOS-Bausteinen aus. Der Hersteller hat gleich für vier verschiedene Produktbereiche Sicherheitsbenachrichtigungen veröffentlicht. In den gängigen Ryzen Prozessoren für Desktops und Notebooks sind demnach bis zu 4 neue Schwachstellen gefunden und beseitigt worden. Da AMD nur Teile des kompletten BIOS/UEFI an die Hersteller liefert, muss der Endkunde letztendlich warten bis die Geräte bzw. Mainboard-Hersteller entsprechende BIOS-Updates ausliefern. Ein paar haben bereits damit begonnen, wie ein zweiter Heise Online Artikel berichtet.

Für Privatanwender sollten die Schwachstellen in der Regel nicht kritisch sein, dennoch raten wir auch hier dazu verfügbare BIOS-Updates unbedingt zu installieren. Für Firmen ist die Relevanz schon deutlich höher und am massivsten sind wie üblich Server-Betreiber betroffen.

Quelle: 'AMD-CPU-Sicherheitslücken: Erste BIOS-Updates stehen bereit' auf Heise Online

Quelle: 'DNS-Server: Bind, dnsmasq und Unbound stolpern über Sicherheitslücke "KeyTrap"' auf Heise Online

16.02.2024 – Sicherheitslücke legt Netzwerke lahm

Die neu entdeckte Sicherheitslücke "KeyTrap" kann auf Systemen mit den DNS-Servern "Bind", "dnsmasq" und "Unbound" zu so viel Last führen, dass keine weiteren DNS-Anfragen mehr verarbeitet werden können. Das wiederum würde Netzwerke größtenteils lahmlegen.

Die Namen der drei bekannten DNS-Servern dürfte den wenigsten Anwendern etwas sagen, und dennoch dürften die meisten den einen oder anderen davon Zuhause verwenden. Die "dnsmasq" Software dürfte in etlichen Routern vorkommen. Allerdings sehen wir aktuell kein großes Risiko für Heimnetzwerke durch diese Lücken, da ein Angriff dazu aus dem internen Netzwerk heraus stattfinden müsste. Bei DD-WRT z.B. lässt sich die Lücke aber z.B. umgehen, indem man die Verifizierung von DNSSEC-Anfragen ausschaltet, was standardmäßig der Fall sein dürfte.

Wer jedoch einen öffentlich erreichbaren DNS-Server betreibt, sollte sehr wohl dafür Sorge tragen, diesen möglichst bald auf eine abgesicherte Version zu aktualisieren.

Quelle: 'SAP: 13 neue Sicherheitswarnungen zum Februar-Patchday' auf Heise Online

16.02.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Sicherheitslücke in Webmailer Roundcube wird angegriffen' auf Heise Online

Quelle: 'PostgreSQL lässt sich beliebiges SQL unterjubeln' auf Heise Online

Quelle: 'Sicherheitslücken: Angreifer können Dell Unity kompromittieren' auf Heise Online

Quelle: 'Node.js: Sicherheitsupdates beheben Codeschmuggel und Serverabstürze' auf Heise Online

Quelle: 'F5 behebt 20 Sicherheitslücken in Big-IP-Loadbalancer, WAF und nginx' auf Heise Online

09.02.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.161 behebt 3 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.283 behoben.

Quelle: 'Google Chrome: Update schließt mögliche Codeschmuggel-Lücken' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.285 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 8 (6.5.3206.61) updaten, falls nicht bereits durch das automatische Update erledigt.

Info: 'Minor update (8) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge:

Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten. Edge Anwender sollten auf Version 121.0.2277.112 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

09.02.2024 – Sicherheitsupdate für FileZilla

FileZilla Logo Der FileZilla FTP-Client hat ein Sicherheitsupdate auf Version 3.66.5 erhalten. Einmal mehr wurden dabei die enthaltenen GnuTLS-Bibliotheken aktualisiert die immer wieder mal für Sicherheitslücken bei verschlüsselten FTP-Verbindungen sorgen. FilaZilla Anwender die wert auf sicher verschlüsselte FTP-Verbindungen legen sollten FileZilla daher zügig aktualisieren.

Quelle: 'FileZilla Version history' auf filezilla-project.org (Englisch)

Quelle: 'Anydesk-Einbruch: Französisches BSI-Pendant vermutet Dezember als Einbruchsdatum' auf Heise Online

09.02.2024 – Schweres Sicherheitsleck bei AnyDesk

Wer AnyDesk irgendwann einmal für eine Fernwartung verwendet hat, sollte alle Reste dieses Programmes tunlichst rasch entfernen. Ältere AnyDesk-Versionen stellen aktuell ein erhebliches Sicherheitsrisiko dar. Nur die Windows Version 8.0.8 soll sich sicher verwenden lassen laut Heise Online Artikel. Für Android, AppleTV, iOS, Linux und macOS gibt es aktuell keine sicheren Versionen.

Wer AnyDesk häufiger oder gar beruflich genutzt hat, sollte sich darüber hinaus mindestens den verlinkten Heise Online Artikel genau durchlesen, wenn nicht sogar die dort verlinkten weiteren Sicherheitsberichte. Wer einen Benutzer-Account bei AnyDesk hat, sollte darüber hinaus unbedingt sein Passwort ändern.

Quelle: 'QNAP: Neue Firmware-Versionen beheben Befehlsschmuggel-Lücke' auf Heise Online

09.02.2024 – Qnap: Rasch Sicherheitsupdates installieren!

Quelle: 'Kritische Schwachstellen in Multifunktions- und Laserdruckern von Canon' auf Heise Online

09.02.2024 – Kritische Sicherheitslücken in Canon Druckern

Neuere Canon-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.

Besitzer der folgenden Canon Drucker sollten daher unbedingt die Firmware aktualisieren: i-SENSYS X C1333P, i-SENSYS X C1333i, i-SENSYS MF754Cdw, i-SENSYS MF750C und i-SENSYS LBP673Cdw.

Wer einen Drucker der Reihe "Color imageCLASS" (USA) bzw. "Satera" (Japan) besitzt, sollte den Heise Online Artikel prüfen für die Liste der betroffenen Drucker.

Quelle: 'Samsung Magician: Update stopft Sicherheitsleck im SSD-Tool' auf Heise Online

09.02.2024 – Samsung behebt Sicherheitslücke in Magican Software

Das Samsung Programm "Magican" zur Verwaltung von SSDs des Herstellers hat in Version 8.0 eine Sicherheitslücke die es Angreifern ermöglicht Rechte auszuweiten und damit einen Angriff auf das System durchzuführen. Wer Version 8.0 einsetzt, sollte daher auf Version 8.0.1 aktualisieren, um die Lücke zu schließen.

Quelle: 'Update gegen Sicherheitsleck in Alpha Innotec- und Novelan-Wärmepumpen' auf Heise Online

09.02.2024 – Sicherheitsleck in Alpha Innotec- und Novelan-Wärmepumpen

Sicherheitsmeldungen über Wärmepumpen sind eine Neuheit bei uns, aber sobald so eine Anlage ans Netzwerk angeschlossen ist gilt es als IoT Gerät und darüber haben wir wiederum schon sehr viel berichtet. Problem bei diesen Wärmepumpen ist etwas, was bei namhaften IT-Herstellern eigentlich längst Geschichte sein sollte, sich in der Heizungs-Branche aber scheinbar noch nicht herumgesprochen hat. Die Rede ist von einer fest in die Firmware eingebauten "Hintertür" über die Angreifer nun leicht ins System eindringen können.

Um das zu verhindern, sollten Besitzer oder Wartungstechniker dieser Anlagen ein Firmware-Update installieren, dass die Lücke entfernt. Um es Kunden so einfach wie möglich zu machen, hat der Hersteller dafür sogar ein YouTube-Video als Anleitung veröffentlicht das im Heise Online-Artikel verlinkt ist.

Quelle: 'Datenretter: Billige USB-Sticks werden immer schlechter' auf Heise Online

09.02.2024 – Achtung bei Billig-USB-Sticks

Wir hatten schon einmal vor den Gefahren billiger NoName USB-Sticks gewarnt, nun berichtet Heise Online von einer weiteren Firma die vor derlei Datenträgern warnt. Die USB-Sticks werden dabei immer günstiger und um das zu erreichen auch immer schlechter, was die Qualität angeht. Und so verzeichnet der deutsche Dienstleister "CBL Datenrettung" immer mehr defekte USB-Sticks von verzweifelten Kunden, die von äußerst zweifelhafter Qualität und Herkunft sind.

Zwar können auch USB-Sticks namhafter Hersteller kaputtgehen, aber das Risiko ist doch deutlich geringer. Nichtsdestotrotz gilt für USB-Sticks genau wie für jeden Datenträger, das man wichtige Daten immer auf mehreren Datenträgern ablegen sollte, wovon mindestens einer "offline" ist.

Quelle: 'IT-Sicherheitsüberwachung Juniper JSA für mehrere Attacken anfällig' auf Heise Online

09.02.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'HCL schließt Sicherheitslücken in Bigfix, Devops Deploy und Launch' auf Heise Online

Quelle: 'IBM Business Automation Workflow für DoS-Attacken & Co. anfällig' auf Heise Online

Quelle: 'Sicherheitslücken: Update schützt Server-Monitoringtool Nagios XI vor Attacken' auf Heise Online

Quelle: 'Sicherheitsupdates: Dell schließt ältere Lücken in Backuplösungen wie Avamar' auf Heise Online

Quelle: 'Jetzt patchen! TeamCity-Schwachstelle ermöglicht Zugang ohne Authentifizierung' auf Heise Online

Quelle: 'VMware Aria-Schwachstellen ermöglichen Erhöhung der Zugriffsrechte' auf Heise Online

Quelle: 'Rechtausweitung durch Lücken in Veeam Recovery Orchestrator möglich' auf Heise Online

Quelle: 'Sicherheitsupdates: Kritische Lücken bedrohen Cisco Expressway Series' auf Heise Online

Quelle: 'Sicherheitslücken: Codeschmuggel und Leistungsverweigerung bei ClamAV' auf Heise Online

Quelle: 'Sicherheitsupdates: SSL-VPN-Komponente von FortiOS angreifbar' auf Heise Online

Quelle: 'SonicOS SSL-VPN: Angreifer können Authentifzierung umgehen' auf Heise Online

Quelle: 'Sicherheitsupdates: Authentifizierung von Ivanti Connect Secure & Co. defekt' auf Heise Online

Quelle: 'Bootloader-Lücke: Viele Linux-Distributionen sind gefährdet' auf Heise Online

Quelle: 'Elastic Stack: Pufferüberlauf ermöglicht Codeschmuggel in Kibana-Komponente' auf Heise Online

02.02.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.140 behebt 4 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.276 behoben.

Quelle: 'Google Chrome: Update schließt vier Sicherheitslücken' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.278 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 7 (6.5.3206.59) updaten, falls nicht bereits durch das automatische Update erledigt.

Info: 'Minor update (7) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge:

Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten. Edge Anwender sollten auf Version 121.0.2277.98 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

Quelle: 'LibreOffice mit neuer Zählnummer: Version 24.2 veröffentlicht' auf Heise Online

02.02.2024 – LibreOffice 24.2 ist fertig

Die LibreOffice Entwickler haben eine brandneue Ausgabe der freien Office-Suite fertiggestellt und wie angekündigt macht die Versionsnummer einen riesigen Sprung auf 24.2. Das liegt nicht etwa an einem Funktions-Feuerwerk, das einen so großen Versionssprung von 7.6 auf 24.2 rechtfertigen würde, sondern schlicht an der Tatsache, dass die ersten beiden Stellen der Versionsnummer nun für Jahr und Monat der Veröffentlichung dieses neuen Entwicklungszweiges stehen.

Inhaltlich punktet die neue Version vor allem mit der neuen Highlight-Funktion in der Tabellenkalkulation. Was wir und viele andere Anwender sich jahrelang gewünscht haben wurde nun endlich umgesetzt. Zeile und Spalte der aktiven Zelle wird farblich hervorgehoben, sodass man in großen Tabellen einen besseren Überblick hat, welche Werte noch zum aktuellen Datensatz gehören. Aktivieren lässt sich das sehr leicht über Ansicht → Spalten/Zeilen hervorheben.

Wie gewohnt gehen wir ausführlicher auf die Neuerungen ein, wenn der neue Entwicklungszweig ein wenig gereift ist. Eine brandneue LibreOffice Version empfehlen wir nur Anwendern die unbedingt die neuesten Funktionen haben wollen und dafür etwaige Kinderkrankheiten in Kauf nehmen. Wer will, kann sich aber jetzt schon anhand der verlinkten Quellen weiter informieren.

Quelle: Release Notes mit allen Neuerungen auf LibreOffice.org

Quelle: Vorstellungsvideo auf YouTube (Englisch)

Quelle: 'Ivanti: Updates mit Verspätung, dafür neue Sicherheitslücke missbraucht' auf Heise Online

02.02.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Jetzt updaten! Exploits für kritische Jenkins-Sicherheitslücke im Umlauf' auf Heise Online

Quelle: 'Sicherheitsupdates: DoS- und Schadcode-Attacken auf IBM ODM möglich' auf Heise Online

Quelle: 'Linux: Sicherheitslücke in glibc bringt Angreifern Root-Privilegien' auf Heise Online

Quelle: 'Mastodon: Diebstahl beliebiger Identitäten im föderierten Kurznachrichtendienst' auf Heise Online

Quelle: 'Sicherheitsupdate: IBM-Sicherheitslösung QRadar SIEM unter Linux angreifbar' auf Heise Online

26.01.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.86 behebt 17 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.268 behoben.

Quelle: 'Chrome-Update dichtet 17 Sicherheitslecks ab' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.270 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 6 (6.5.3206.57) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler.

Info: 'Minor update (6) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge:

Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten, schließt darüber hinaus aber auch noch 6 weitere Sicherheitslücken. Daher ist die Risiko-Einschätzung bei Microsoft Edge auch auf "kritisch" und nicht nur "hoch" wie bei Google. Edge Anwender sollten daher besonders rasch auf Version 121.0.2277.83 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Microsoft Edge 121 unterstützt moderne Codecs und stopft Sicherheitslecks' auf Heise Online

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

Info: 'Thunderbird 115.7.0 Release Notes' auf Mozilla.org (Englisch)

26.01.2024 – Thunderbird 115.7 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 115.7 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 9 Sicherheitslücken behoben, wovon zwei eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.

Während die letzten Thunderbird-Updates fast ausschließlich Sicherheitslücken geschlossen haben und funktionale Verbesserungen kaum vorhanden waren, ist das dieses Mal anders, die Release Notes listen ganze 15 Detailverbesserungen auf.

26.01.2024 – Firefox 122 bringt Sicherheitsupdate

Mozilla hat Firefox 122 veröffentlicht. Die neue Version behebt 15 Sicherheitslücken wovon 5 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 9 Lücken geschlossen, wovon zwei als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.7.

Quelle: 'Firefox: Passkey-Unterstützung und Sicherheitsfixes' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

26.01.2024 – Bluetooth: Zu unsicher für US Navy

Langjährige Leser werden wissen, dass wir schon unzählige Artikel über Bluetooth-Sicherheitslücken veröffentlicht haben und Bluetooth als grundsätzlich unsicher einstufen. Seit jeher raten wir deshalb Bluetooth am besten gar nicht, oder nur für das absolut notwendigste zu verwenden. Die US Navy ist nun wohl zum selben Schluss gekommen, hat aber anders als wir die Möglichkeiten Alternativen entwickeln zu lassen. Daher hat die US Navy eine Ausschreibung für eine Bluetooth-Alternative gestartet. In besagter Ausschreibung wird Bluetooth wie folgt beschrieben: "Unfortunately, Bluetooth is not secure and is vulnerable to a variety of hacking and tracking methods.". Übersetzt bedeutet das: "Unglücklicherweise ist Bluetooth nicht sicher, und verletzlich durch eine Reihe an Angriffs- und Tracking-Methoden."

Die Ausschreibung erwähnt auch, dass eine zivile Nutzung der alternativ-Technologie wünschenswert wäre. Bahnt sich hier womöglich Konkurrenz für die Bluetooth-SIG an? Zu wünschen wäre es, denn die Bluetooth SIG hat eines nachgewiesenermaßen nicht auf der Agenda und das ist Sicherheit.

Quelle: 'Bluetooth zu unsicher: US Navy sucht Alternative' auf Heise Online

Quelle: 'Sicherheitsupdates: Schlupflöcher für Schadcode in Lexmark-Druckern geschlossen' auf Heise Online

26.01.2024 – Kritische Sicherheitslücken in Lexmark Druckern

Neuere Lexmark-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.

Leider gibt es keine gesammelte Liste der verwundbaren Drucker, sondern man muss 4 verschiedene Listen (für jede Sicherheitslücke eine eigene) separat durchgehen und prüfen, ob der eigene Drucker auf einer davon aufscheint. Links zu den 4 Sicherheitsmitteilungen finden sie im Heise Online Artikel.

Quelle: 'Fehlende MFA, Standardpasswort: So lief der Angriff auf die MS-Securityabteilung' auf Heise Online

26.01.2024 – Microsoft Cloud erneut gehackt

Erst vor wenigen Monaten wurde bekannt, das chinesische Hacker die gesamte Microsoft Cloud unterwandert haben, nun gelang es Angreifern aus Russland in die Microsoft Infrastruktur einzudringen, wenngleich nicht in dem massiven Umfang wie es den Chinesen gelang. Besonders peinlich für Microsoft ist daran, dass ausgerechnet die "Sicherheitsabteilung" von Microsoft für die Schlamperei, die zu dem Einbruch geführt hat, verantwortlich war.

Wie üblich spielt Microsoft selbst die Angriffe herunter oder hüllt sich in Schweigen. Man darf aber davon ausgehen, dass die beiden bekannt gewordenen Angriffe nur die Spitze des Eisbergs sind. Wer nach wie vor denkt, seine Dateien wären in der Cloud sicher, sollte sich vielleicht nochmal hinterfragen.

Quelle: 'Confluence: Kritische Sicherheitslücke in veralteten Versionen wird ausgenutzt' auf Heise Online

26.01.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Kritische VMware-Sicherheitslücke wird angegriffen' auf Heise Online

Quelle: 'Monitoringsoftware Splunk: Teils kritische Sicherheitslücken' auf Heise Online

Quelle: 'Barracuda WAF: Kritische Sicherheitslücken ermöglichen Umgehung des Schutzes' auf Heise Online

Quelle: 'Fortra GoAnywhere MFT: Kritische Lücke macht Angreifer zu Admins' auf Heise Online

Quelle: 'Codeschmuggel-Lücke in HPE Oneview' auf Heise Online

Quelle: 'Trend Micro Apex Central: Update schließt im zweiten Anlauf Sicherheitslücken' auf Heise Online

Quelle: 'Gitlab-Kontoklau-Lücke: Tausende verwundbare Server im Netz' auf Heise Online

Quelle: 'Cisco: Lücke erlaubt komplette Übernahme von Unified Communication-Produkten' auf Heise Online

Quelle: 'Automatisierungstool Jenkins: Codeschmuggel durch Sicherheitslücke möglich' auf Heise Online

Quelle: 'Angreifer können eigene Befehle auf Juniper-Firewalls und Switches ausführen' auf Heise Online

Quelle: 'Diesmal bitte patchen: Security-Update behebt kritische Schwachstelle in GitLab' auf Heise Online

Quelle: 'Schadcode-Attacken auf Onlineshops auf Gambio-Basis möglich' auf Heise Online

19.01.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.225 behebt vier Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Allerdings wird eine der Lücken bereits aktiv ausgenützt, weshalb Anwender von Google Chrome besonders rasch auf die neue Version updaten sollten.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Quelle: 'Google Chrome: Sicherheitslücke wird in freier Wildbahn ausgenutzt' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.238 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 5 (6.5.3206.55) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler.

Info: 'Minor update (5) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge:

Die zuletzt etwas lahmen Microsoft Edge Entwickler haben angesichts der bereits ausgenutzten Sicherheitslücke in Chromium mal wieder etwas schneller reagiert und sowohl neue Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 120.0.2210.144 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

Quelle: 'Oracle Critical Patch Update Advisory - January 2024' auf Oracle.com (Englisch)

19.01.2024 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 389 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java:

Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 10 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 401 aktualisieren.

Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.22, 17.0.10 oder 21.0.2 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.

Download: Aktuelle Java Version

MySQL:

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - January 2024' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Critical Patch Update: Oracle veröffentlicht 389 Sicherheitsupdates' auf Heise Online

Quelle: 'Microsoft: Update-Fehler 0x80070643 und Erinnerung an Bootloader-Blockade' auf Heise Online

19.01.2024 – Keine Besserung bei problematischem Windows Update

Microsoft hat auch in der Woche nach der Veröffentlichung des problematischen Windows Updates keine Lösung für Heimanwender gefunden. Es wurde nur abermals auf die diversen Skripte hingewiesen, die aber nur für Windows-Profis relevante Informationen liefern, ein normaler Heimanwender wird es damit eher nicht schaffen das Update zu installieren. Da die Sicherheitslücke, welches das problematische Update schließen soll, gerade für Privatanwender zumindest vorübergehend vernachlässigbar ist, sollte man die diversen Skripte von Microsoft nur einsetzen, wenn man sehr genau weiß, was man tut. Andernfalls ist es besser die Finger davonzulassen, als im schlimmsten Fall vor einem nicht mehr startbaren Windows-System zu stehen.

Quelle: 'Microsoft: Update-Fehler 0x80070643 und Erinnerung an Bootloader-Blockade' auf Heise Online

19.01.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Nvidia-Updates schließen kritische Sicherheitslücken in KI-Systemen' auf Heise Online

Quelle: 'Cross-Site-Scripting in Monitoringsoftware PRTG erlaubt Sessionklau' auf Heise Online

Quelle: 'Atlassian: Updates zum Patchday schließen 28 hochriskante Schwachstellen' auf Heise Online

Quelle: 'Kritische Sicherheitslücke: VMware vergaß Zugriffskontrollen in Aria Automation' auf Heise Online

Quelle: 'Jetzt patchen! Vorsicht vor DoS-Angriffen auf Citrix NetScaler ADC und Gateway' auf Heise Online

Quelle: 'MOVEit Transfer: Updates gegen DOS-Lücke' auf Heise Online

Quelle: 'Trend Micro: Sicherheitslücken in Security-Agents ermöglichen Rechteausweitung' auf Heise Online

Quelle: 'Nextcloud: Lücken in Apps gefährden Nutzerkonten und Datensicherheit' auf Heise Online

Quelle: 'Angreifer attackieren Ivanti EPMM und MobileIron Core' auf Heise Online

13.01.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.217 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Quelle: 'Update für Google Chrome: Hochriskantes Sicherheitsleck abgedichtet' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.2021 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 4 (6.5.3206.53) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücke, sondern auch andere Fehler.

Info: 'Minor update (4) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge:

Wie schon letzte Woche, hat das Entwickler-Team von Microsoft Edge noch keine neue Version fertiggestellt, die die neue Chromium Version enthält. Übermäßige Sorgen sollte man sich keine machen, da laut Google auch die neueste Lücke wohl noch nicht aktiv ausgenützt wird, es zeigt aber einmal öfter warum Vivaldi auch in Sachen Sicherheit der bessere Browser ist.

13.01.2024 – Microsoft's Tag der Updates

Massive Probleme durch Sicherheitsupdate für Bitlocker!

Im Jänner hat Microsoft wohl eines der am schlechtesten getesteten Sicherheitsupdates seit vielen Jahren auf seine Kunden losgelassen. Das Sicherheitsupdate soll eine Bitlocker-Schwachstelle im "Windows Recovery Environment" (kurz WinRE) schließen. Das Problem dabei ist, dass die Partition die das WinRE-Image aufnimmt, seit Jahren von Microsoft mit gerade einmal 512MB viel zu klein ausgeführt wird. Schon in der Vergangenheit hat sich mehrfach gezeigt, das Updates des WinRE-Images häufig nicht funktionieren, einfach, weil die Partition zu klein ist. Daher hat Microsoft es bisher immer den Administratoren überlassen die WinRE von Hand zu aktualisieren und hat sich nicht über ein automatisches Update drüber getraut – bis zu diesem Monat. Die Folge ist, dass auf etlichen Windows Installationen (geschätzt sicher über 50%) das Update misslingt und damit eine Update-Schleife ausgelöst wird, die in weiterer Folge zu Performance-Problemen führen kann. Damit wird das fehlerhafte Update selbst für die Leute zum Problem, die Bitlocker gar nicht verwenden.

Zuverlässige Problemlösung bisher nur von Hand!

Eine zuverlässige Lösung des Problems ist aktuell unserer Meinung nach nur von Hand möglich. Die erste von Microsoft bereitgestellte Hilfestellung geht grundsätzlich in die richtige Richtung, in dem Sinne als das die WinRE-Partition vergrößert wird. Das zweite Skript, das laut Heise Online von Microsoft als "Lösung" angeboten worden sein soll, ist eigentlich ein Skript, das für einen anderen Zweck konzipiert wurde und die Größe der WinRE-Partition nicht anpasst. Durch Nebenwirkungen kann dieses Skript auf dem einen oder anderen PC zum Ziel führen, aber grundsätzlich behebt es die Ursache des Problems – die zu kleine WinRE-Partition – nicht. Wer sich von dem Problem nicht eingeschränkt fühlt, weil der Sicherheitsaspekt vernachlässigbar ist und es keine Performance-Probleme gibt, kann das Problem aktuell durchaus auch mal aussitzen. Vielleicht findet Microsoft ja doch noch eine vernünftige Lösung das Update unters Volk zu bringen oder zieht es vorübergehend ganz zurück. Wer das Problem aber jetzt sofort behoben haben möchte, sollte entweder gut mit Windows Interna vertraut sein oder sich an einen Fachmann wenden.

Kein Support mehr!

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Patchday Microsoft: Kerberos-Authentifizierung unter Windows verwundbar' auf Heise Online

Quelle: 'Webkonferenzen: Zoom-Sicherheitslücken ermöglichen Rechteausweitung' auf Heise Online

13.01.2024 – Die nächsten Sicherheitslücken in Zoom

Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.16.10 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.

Quelle: 'Patchday Adobe: Mehrere Schwachstellen in Substance 3D Stager geschlossen' auf Heise Online

13.01.2024 – Sicherheitslücke in Adobe Substance 3D Stager

Die Adobe Sicherheitsupdates fallen im Jänner ungewöhnlich mager aus. Nur das 3D-Programm "Substance 3D Stager" wird mit Sicherheitsupdates versorgt. Wer diese Anwendung einsetzt, sollte zügig auf Version 2.1.4 updaten.

Quelle: 'Sicherheitsupdates: Schadcode- und DoS-Attacken auf Qnap NAS möglich' auf Heise Online

13.01.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Sicherheitsupdates für Dell- und Lenovo-BIOS' auf Heise Online

Quelle: 'Synology warnt vor Sicherheitslücke im DSM-Betriebssystem' auf Heise Online

Quelle: 'IBM warnt vor Sicherheitslücke in Db2' auf Heise Online

Quelle: 'Jetzt patchen! Attacken auf Messaging-Plattform Apache RocketMQ' auf Heise Online

Quelle: 'SAP-Patchday: Teils kritische Lücken in Geschäftssoftware' auf Heise Online

Quelle: 'Fortinet: Sicherheitsupdate gegen Rechteverwaltungsfehler in FortiOS und -Proxy' auf Heise Online

Quelle: 'Zerodays bei Ivanti aktiv genutzt: Connect Secure und Policy Secure sinds nicht' auf Heise Online

Quelle: 'Sicherheitspatch: API-Fehler in Cisco Unity Connection macht Angreifer zum Root' auf Heise Online

Quelle: 'Zoho ManageEngine: Kritische Sicherheitslücke in ADSelfService Plus' auf Heise Online

Quelle: 'Sicherheitspatch: IBM Security Verify für Root-Attacken anfällig' auf Heise Online

Quelle: 'Juniper Networks bessert zahlreiche Schwachstellen aus' auf Heise Online

Quelle: 'Splunk, cacti, checkmk: Sicherheitslücken in Monitoring-Software' auf Heise Online

05.01.2024 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.200 behebt 6 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Quelle: 'Update für Google Chrome schließt sechs Sicherheitslücken' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.205 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 3 (6.5.3206.50) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die 6 Sicherheitslücken, sondern auch andere Fehler.

Info: 'Minor update (3) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge:

Das Entwickler-Team von Microsoft Edge hat noch keine neue Edge-Version fertiggestellt. Damit endet der gute Lauf der letzten 2 bis 3 Updates, die relativ zügig bereitgestellt wurden. Übermäßige Sorgen sollte man sich keine machen, da laut Google keine der Lücken aktiv ausgenützt wird, es zeigt aber einmal öfter warum Vivaldi auch in Sachen Sicherheit der bessere Browser ist.

Quelle: 'Malware stiehlt Google-Cookies – auch Passwortänderung wirkungslos' auf Heise Online

05.01.2024 – Google Konto gehackt? – Passwort-Änderung nutzlos!

Falls die Zugangsdaten für ein Google Konto durch einen Virus auf dem Computer abgegriffen wurden, nützt im schlimmsten Fall nicht einmal das Ändern des Passworts vor Missbrauch. Durch eine fehlerhaft programmierte Schnittstelle bei Google können Angreifer, die einmal in den Besitz eines Google-Session-Cookies gelangt sind, sich immer wieder Zugriff auf den Account verschaffen, selbst wenn zwischenzeitlich das Passwort geändert wurde.

Somit hat das Opfer keinerlei Möglichkeiten mehr sein Konto vor unbefugtem Zugriff zu schützen. Wenn der Angreifer das möchte, kann er umgekehrt sogar das Opfer selbst von seinem Account aussperren. Abhilfe gibt es im Moment keine, außer das Google-Konto selbst komplett zu löschen, was aber für die meisten Besitzer eines Google-Kontos wohl keine Option sein dürfte. Für alle Google Anwender bleibt also nur zu hoffen, dass sie einerseits gar nicht erst Opfer derartiger Viren werden und zum anderen das Google den Fehler in der Schnittstelle möglichst bald behebt.

05.01.2024 – IrfanView mit Mini-Update

Wenige Tage nach Version 4.65 hat der IrfanView-Programmierer nun Version 4.66 nachgelegt. Darin wurden 3 kleinere Fehler der Vorversion wieder ausgebügelt. Um alle Fehler zu beheben, muss neben IrfanView selbst aber auch die Plugin-Sammlung aktualisiert werden.

Info: IrfanView Changelog (Englisch)

Download: IrfanView Version 4.66, 64Bit, Deutsch

Download: IrfanView Plugins Version 4.66, 64Bit, Deutsch

05.01.2024 – SSD Preise steigen rasant!

Während die Preise für SSDs und USB-Sticks die letzten Jahre kontinuierlich gefallen sind, steigen sie nun wieder rasant an. Gründe dafür sind die verringerten Produktionskapazitäten wie die gestiegene Nachfrage. Wer also vorhat, sich auf absehbare Zeit eine neue SSD oder USB-Sticks zu kaufen, sollte das möglichst bald noch tun. Eine baldige Umkehr dieses Zyklus ist unwahrscheinlich, erfahrungsgemäß dürften die Preise über Jahre hinweg wieder steigen.

Quelle: 'SSD-Preise steigen zum Jahreswechsel teils drastisch' auf Heise Online

Quelle: 'BSI: Windows-Treibermanagement ist "herausfordernd", Härtung empfehlenswert' auf Heise Online

05.01.2024 – Sicherheitsmeldungen für Administratoren

Quelle: 'Kritische Schadcode-Lücke gefährdet Ivanti Endpoint Manager' auf Heise Online

Quelle: 'Neue Lücke in altem E-Mail-Protokoll: SMTP smuggling' auf Heise Online

Quelle: 'Sicherheitsupdate: Schadcode-Attacken auf Juniper Secure Analytics möglich' auf Heise Online

Quelle: 'Lücke in Barracuda E-Mail Security Gateway ermöglichte Code-Einschleusung' auf Heise Online

Quelle: 'Netzwerkanalysetool Wireshark gegen mögliche Attacken abgesichert' auf Heise Online

Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen:

Newsletter beantragen