News Archiv: Oktober - Dezember 2009
News Archiv: Juli - September 2009
News Archiv: April - Juni 2009
News Archiv: Jänner - März 2009
News Archiv: Oktober - Dezember 2008
News Archiv: Juli - September 2008
News Archiv: April - Juni 2008
News Archiv: Jänner - März 2008
In Version 3 von Googles Webbrowser 'Chrome' wurden 13 Sicherheitslücken gefunden, die durch ein Update auf Version 4 der Software behoben werden. Im Gegensatz zu früheren Updates, steht dieses bisher nicht als 'automatisches Update' bereit, sodass Google Chrome Anwender die neue Version von Hand herunterladen und installieren müssen, wenn sie die sicherst-mögliche Version dieser Software verwenden wollen.
Jedoch wollen wir an dieser Stelle einmal mehr unsere ganz klare Empfehlung aussprechen, um den Google Browser (wie auch alle anderen Angebote von Google) einen großen Bogen zu machen und die Software NICHT zu installieren. Nicht nur, dass der Sicherheitsstandard des Google Browsers fragwürdig ist, auch setzt man sich Googles fragwürdiger Datenschutzphilosophie aus.
Quelle: 'Chrome 4 schließt 13 Sicherheitslücken' auf Heise Online
Während die Öffentlichkeit erst seit etwas mehr als einer Woche von der Sicherheitslücke erfahren hat, wusste Microsoft schon sehr viel länger über die Probleme Bescheid, die vor einiger Zeit für die Cyber-Angriffe gegen zahlreiche große Firmen und Behörden ausgenutzt wurden. Seit gestern stellt Microsoft nun Sicherheitsupdates für alle Internet Explorer Versionen ab Version 5 zur Verfügung. Mit dem Update für Version 8 löst der Hersteller darüber hinaus das XSS-Sicherheitsproblem, welches bereits seit Ende November 2009 bekannt ist.
Wie üblich empfehlen wir allen Windows-Anwendern, die über Windows- bzw. Microsoft-Update angebotenen Updates rasch zu installieren, selbst wenn der Internet Explorer gar nicht aktiv verwendet wird.
Damit ist der Internet Explorer zwar die aktuell kritischsten Sicherheitslücken los, an der grundsätzlich mangelnden Sicherheit des Microsoft Internet Browsers ändert das jedoch nichts. Daher bleibt unsere permanente Empfehlung, alternative Web-Browser wie Opera zu verwenden, weiterhin aufrecht.
Quelle: 'Der Notfall-Patch für den Internet Explorer' auf Heise Online
Download: Microsoft Update Website (nur mit Internet Explorer)
Download: Aktuelle Opera Versionen
Real Networks, Hersteller von Media Playern wie 'Real Player' und 'Helix Player', hat kürzlich zahlreiche Sicherheitsupdates für die diversen Player-Versionen veröffentlicht. Insgesamt werden bis zu 11 Sicherheitslücken behoben, von denen die meisten genutzt werden konnten, um den Computer mit Viren zu infizieren. Anwender, die einen der genannten Player tatsächlich noch benötigen, sollten rasch auf eine der neuen Versionen aufrüsten.
Jedoch raten wir schon länger den Real Player gänzlich zu deinstallieren, da die Software eher häufig von Sicherheitsproblemen gebeutelt wird, und es eigentlich kaum noch einen Grund für diesen Player gibt. Sogar Heise Online hat jetzt in seinem aktuellen Artikel zu den Schwachstellen darauf hingewiesen, dass es kaum noch Webseiten gibt, die Real Media Dateien anbieten.
Quelle: 'Elf Lücken im RealPlayer geschlossen' auf Heise Online
Download: Informationen und Updates von Real Networks
Im Gegensatz zu dem auf fast jedem Computer installiertem Flash-Player fristet der große Bruder Shockwave eher ein Nischendasein. Dort, wo das Browser-Plugin installiert ist, sollte jedoch dringend auf die neueste Version 11.5.6.606 aufgerüstet werden, da in den Vorversionen mehrere kritische Sicherheitslücken entdeckt wurden.
Anwender, die nicht sicher sind, ob Shockwave installiert ist, können das auf der Adobe Plugin Testseite überprüfen. Dort wird auch die Versionsnummer der Adobe Plugins angezeigt. Ist das Shockwave-Plugin installiert, können Sie es entweder in der Systemsteuerung deinstallieren, oder auf die neue Ausgabe aktualisieren. Denn wie für jede Software gilt auch für Shockwave: Nur dann installieren, wenn es tatsächlich benötigt wird.
Info: Adobe Plugin Testseite
Quelle: 'Adobe schließt kritische Lücken in Shockwave' auf Heise Online
Download: Aktuelles Shockwave Plugin
Mozilla stellt die neue Version 3.0.1 des E-Mail-Programms Thunderbird zur Verfügung. Darin sind neben etlichen Detailverbesserungen auch insgesamt 3 Sicherheitsupdates eingeflossen. Alle drei Lücken wurden als kritisch eingestuft, da sie die Infektion des Computers mit Viren ermöglichen, wenn man manipulierte E-Mails damit öffnet.
Allen Anwendern, die bereits Thunderbird 3.0 verwenden, raten wir zu einem raschen Update auf Version 3.0.1, was leicht aus dem Hilfemenü heraus gestartet werden kann. Anwendern von Thunderbird 2 raten wir zu einem Upgrade auf die 3er Version, wenn keine Erweiterungen verwendet werden.
Werden Erweiterungen mit Thunderbird 2 genutzt, verweisen wir an dieser Stelle auf unseren Artikel zu Thunderbird 3, der ausführlicher auf dieses Thema eingeht und die News-Meldung 'Sicherheitslücke in Thunderbird 2 und Erweiterungen' vom 12.12.2009. Da Thunderbird 2 offenbar nicht mehr (oder zumindest nicht schnell genug) mit Sicherheitsupdates versorgt wird, führt für Thunderbird Anwender mittelfristig kein Weg an der 3er Serie vorbei.
Download: Mozilla Thunderbird 3.0.1, Windows, Deutsch » 9 MB
Download: Mozilla Thunderbird (andere Sprachen und Betriebssysteme)
Quelle: Versionshinweise für Thunderbird 3.0.1
Info: Unser Bericht über Thunderbird 3
Info: Sicherheitslücke in Thunderbird 2 und Erweiterungen (Meldung vom 12.12.2009)
Von einer neuen Sicherheitslücke kann man eigentlich nicht sprechen, wenn diese schon seit 17 Jahren existiert. Aber gefunden wurde sie eben erst kürzlich und so betrifft diese Sicherheitslücke alle Windows Betriebssysteme seit Windows NT, also neben diesem auch noch Windows 2000, Windows XP, Windows Vista und Windows 7.
Das Problem liegt in der Kompatibilitätssoftware für 16 Bit Programme (MS-DOS Programme), die in allen 32-Bit-Windows-Versionen enthalten ist. 64-Bit-Windows-Versionen bringen keine 16 Bit Emulation mehr mit, sodass das Problem dort nicht auftritt. Der Fehler ermöglicht es Programmen die mit normalen (also eingeschränkten) Rechten laufen sich administrative Rechte zu verschaffen, wodurch ein Virus z.B. wesentlich mehr Schaden anrichten kann.
Privatanwender, die noch auf Windows XP und ohnehin mit Administratorrechten arbeiten, verzichten ohnehin auf diese Schutzfunktion und haben daher durch die Lücke keine weiteren Nachteile. Auf geschäftlich genutzten Windows XP Computern, oder ab Windows Vista generell, schützen aber eingeschränkte Rechte den Computer zusätzlich vor Angriffen durch Viren und Co. Hier stellt diese Sicherheitslücke also einen Verlust an Sicherheit dar.
Eine Lösung des Problems in Form eines Sicherheitsupdates gibt es bislang nicht, jedoch lässt sich die 16 Bit Emulationsschicht leicht abschalten. Dazu ist lediglich ein Eintrag in der Windows-Registrierungsdatenbank anzulegen, was die unten zum Download angebotene Reg-Datei 'vdmdisallow.reg' per Doppelklick erledigt. Alte 16 Bit Programme können dann natürlich nicht mehr gestartet werden.
Quelle: 'Windows-Lücke nach 17 Jahren gefunden' auf Heise Online
Download: Datei 'vdmdisallow.reg' zum Abschalten der 16 Bit Emulation (rechte Maustaste zum Speichern)
Gerade erst haben wir im Rahmen des Berichtes über Microsofts Jänner Sicherheitsupdates, nochmals auf unsere Dauerempfehlung hingewiesen, den Internet Explorer zu vermeiden, schon wartet die nächste Hiobsbotschaft auf die Anwender, die ihren Internet Browser über das blaue E starten.
Vor einigen Tagen wurden Details bekannt, dass zahlreiche Firmen, darunter auch US-Rüstungsunternehmen, unter virtuellen 'Beschuss' durch Cyber-Kriminelle geraten waren. Zu diesem Zeitpunkt bestand für die Privatbevölkerung noch keine Bedrohung, da Details über die Angriffe nicht verfügbar waren. Das hat sich inzwischen geändert, daher geraten nun alle Anwender des Internet Explorers ins Visier von Viren-Programmierern.
Sogar das deutsche BSI (Bundesamt für Sicherheit in der Informatik) gab eine offizielle Warnung vor Microsofts Internet Explorer heraus, mit dem Hinweis alternative Browser zu verwenden. Daher wiederholen auch wir noch ein weiteres Mal unsere Warnung: Wenn sie bisher das 'Internet' über ein blaues E (das Symbol des Internet Explorers) gestartet haben, sollten sie sich zumindest vorübergehend, besser aber dauerhaft nach einer sicheren Alternative umsehen. Unsere Empfehlung für diese Alternative ist einmal mehr Opera, der sicherste und gleichzeitig komfortabelste Browser den es gibt.
Natürlich gilt diese Warnung uneingeschränkt für alle Internet Explorer Anwender, unabhängig davon, ob ein Virenschutz zum Einsatz kommt, was von uns ohnehin als selbstverständlich vorausgesetzt wird. Kein Virenscanner bietet einen hundertprozentigen Schutz vor Schädlingen!
Quelle: 'Exploit für IE-Sicherheitslücke jetzt öffentlich' auf Heise Online
Download: Aktuelle Opera Versionen
Adobe hat die Anwender des Adobe Readers (und das ist der Großteil aller Windows Anwender) lange auf ein Sicherheitsupdate warten lassen, dass die vor fast einem Monat gemeldete Sicherheitslücke in der enthaltenen Javascript Software beseitigt. Seit heute (US-Zeit) liefert der Hersteller nun Version 9.3 des Adobe Reader sowie ein Update auf Version 9.3 für Acrobat aus. Darin wurde nicht nur die eine genannte Sicherheitslücke geschlossen, sondern insgesamt gleich acht. Immerhin fünf der geschlossenen Lücken haben sich zur Infektion durch Viren ausnützen lassen.
Abgesehen von den Sicherheitskorrekturen, die natürlich der Hauptgrund für alle Anwender des Readers sein sollten auf die neue Version upzudaten, nennt Adobe auch funktionale Verbesserungen und gesteigerte Stabilität. Am einfachsten gelingt das Update wie üblich über den Adobe Updater, der aus dem Hilfemenü heraus über den Punkt 'nach Updates suchen ...' aufgerufen werden kann.
Download: Adobe Reader 9.3.0, Windows » 27 MB
Download: Adobe Acrobat Standard/Pro 9.3.0 Update, Windows » 175 MB
Microsoft hat diesem Monat nur ein einziges Sicherheitsupdate an den Start gebracht. Es behebt eine Sicherheitslücke in der Verarbeitung von OpenType-Schriftarten, die sich zur Infektion durch Viren genutzt werden konnte.
Viel interessanter als die Liste der gelösten Probleme, ist jedoch die der nicht Gelösten. Allen voran sei hier wieder einmal das Dauerthema Microsoft Office genannt, das nur in den 2007er Versionen als sicher eingestuft werden kann, da für alle früheren Versionen mehr oder weniger viele kritische Sicherheitsupdates fehlen. Angesichts der bevorstehenden Veröffentlichung von Microsoft Office 2010 stehen die Chancen auch schlecht, dass sich das noch jemals ändern wird.
Ebenso Dauerthema ist natürlich der Internet Explorer, der abgesehen von der grundlegenden Designschwachstelle 'ActiveX' mit drei offenen Schwachstellen bei Secunia gelistet ist. Und da ist die Ende November gemeldete XSS-Schwachstelle aus unerfindlichen Gründen noch nicht einmal beinhaltet. Unter zuletzt genanntem Problem leiden ältere Version des Internet Explorers nicht, dafür enthalten sie so viele andere Schwachstellen, dass wir nur einmal mehr unsere Dauerwarnung vor dem Internet Explorer wiederholen können. Anwender, die auf Nummer sicher gehen wollen, sollten weiterhin zu Opera greifen.
Ebenfalls keine Lösung gibt es für den 'Internet Information Server 6.0' (IIS6) und die SMB-Clients von Windows 7 und Server 2008 R2. Diese beiden Probleme sind aber gerade für Privatanwender eher nebensächlich.
Fazit: Letztendlich bleibt alles beim Alten. Windows Updates einspielen, Opera statt Internet Explorer verwenden, Microsoft Update statt Windows Update verwenden und wer ein Microsoft Office vor Version 2007 verwendet, sollte entweder auf MS Office 2010 warten, oder gleich auf das kostenlose OpenOffice.org umsteigen. Dann hat man mehr oder weniger alle kritischen Microsoft Sicherheitslücken elegant umschifft.
Quelle: Microsoft Security Bulletin für Jänner 2010
Download: Microsoft Update Website (nur mit Internet Explorer)
In dem seit einiger Zeit unter dem Namen Pidgin bekannten Multi-Protokoll-Instant-Messenger (früher Gaim), wurde eine schwere Sicherheitslücke behoben, die es Angreifern ermöglicht beliebige Dateien vom PC des Opfers zu stehlen. Die neue Ausgabe trägt die Versionsnummer 2.6.5.
Während die Messenger der großen Hersteller nur Verbindungen zwischen Anwendern der jeweils eigenen Software aufbauen können, verbinden Multi-Protokoll-Instant-Messenger über diese Grenzen hinweg. So können Anwender von Pidgin mit Personen kommunizieren, die z.B. den Yahoo Messenger, Windows Live Messenger, ICQ und dergleichen verwenden, ohne dafür alle die genannten Programme zu installieren. So muss man sich nur in einem Programm zurechtfinden, und nur eine Kontaktliste pflegen, anstatt mehrerer.
Alle Anwender, die Pidgin einsetzen, sollten rasch auf die neue Version updaten.
Quelle: 'Sicherheits-Update für IM Pidgin' auf Heise Online
Download: Aktuelle Pidgin Version
Im Media Player 'Winamp' wurden mehrere neue Schwachstellen entdeckt, die zur Infektion durch Viren führen können. Der Hersteller hat bereits die neue Version 5.57 veröffentlicht, die zum einen die Sicherheitslücken schließt, und zum anderen weitere kleinere Verbesserungen bringen soll.
Anwender die Winamp installiert haben und verwenden, sollten zügig das Update installieren. Wer die Software zwar installiert hat, aber nicht verwendet, sollte sie hingegen deinstallieren.
Quelle: 'Winamp 5.57 beseitigt Schwachstellen' auf Heise Online
Download: Aktuelle Winamp Version von der Hersteller-Website
Eine neue Sicherheitslücke im Adobe Reader und Acrobat wird bereits aktiv ausgenützt, um Anwender mit Schadsoftware (Viren und Co) zu infizieren. Nachdem zuerst nicht einmal bekannt war, wo das Problem liegt, ist nun mehr oder weniger sicher, dass wieder einmal ein Problem im Javascript-Modul verantwortlich ist.
Insofern lässt sich da Problem relativ leicht umgehen, indem man Javascript einfach so lange deaktiviert, bis Adobe ein Sicherheitsupdate bereitstellt.
Zum Deaktivieren der Javascript-Funktion im Adobe Reader 9 und Acrobat 9 öffnet man per BEARBEITEN » VOREINSTELLUNGEN das Optionen Menü, klickt dort im linken Teil des Fensters auf JAVASCRIPT und schaltet dann rechts Javascript ab, indem man den Haken von ACROBAT JAVASCRIPT AKTIVIEREN entfernt. Ein Klick auf OK übernimmt die Änderungen und schließt das Fenster.
Quelle: 'Angriffe auf ungepatchte Lücke in Adobe Reader und Acrobat' auf Heise Online
Die Versionen 3.5.6 bzw. 3.0.16 beheben mehrere Sicherheitslücken im Firefox Webbrowser. Immerhin drei der insgesamt sieben Schwachstellen sind als kritisch eingestuft. Zumindest die drei kritischen Lücken lassen sich (lt. Mozilla) vermutlich zur Infektion durch Viren ausnützen.
Wir raten allen Firefox Anwendern rasch auf die jeweils neue Version upzudaten. Anwender, die noch eine Version 3.0 einsetzen haben noch bis Jänner 2010 Zeit, auf die 3.5er Reihe umzusteigen, dann werden die Sicherheitsupdates für die 3.0 Serie eingestellt.
Anwender, die noch eine Firefox 2 oder gar Firefox 1 Ausgabe verwenden, leben schon sehr gefährlich, hier werden seit Langem keine Sicherheitslücken mehr geschlossen.
Am einfachsten gelingt das Update über die eingebaute Update-Funktion von Firefox, die man jederzeit im Hilfemenü aufrufen kann. Anwender von Windows VISTA und Windows 7 müssen dazu Firefox aber zuerst beenden, und dann als Administrator starten.
Quelle: 'Zahlreiche Lücken in Firefox geschlossen' auf Heise Online
Quelle: Firefox 3.5.6 Releasenotes (Englisch)
Download: Mozilla Firefox 3.5.6, Deutsch, Windows » 8 MB
Fujitsu (ehemals Fujitsu-Siemens) startet eine neue Rückrufaktion für Notebook-Akkus. Betroffen sind die Notebook-Serien Amilo Pa2510, Pi2512 und Pi2515. Die Akkus der Geräte könnten überhitzen und in Brand geraten.
Auf einer eigens dafür eingerichteten Support-Website, lässt sich überprüfen, ob der Akku des eigenen Gerätes vom Umtausch betroffen ist und gegebenenfalls der Austausch einleiten. War raten Anwendern von betroffenen Akkus das Umtausch-Angebot unbedingt anzunehmen.
Quelle: 'Fujitsu ruft Notebook-Akkus zurück' auf Heise Online
Quelle: Fujitsu Amilo P Akku-Umtausch-Webseite
Kaum steht Thunderbird 3.0 zum Download parat (siehe vorhergehenden Artikel) rücken Sicherheitsdienstleister mit Details über Sicherheitslücken in der Vorversion, Thunderbird 2.x, sowie einigen zugehörigen Erweiterungen heraus.
Sowohl Thunderbird, als auch die Erweiterungen 'Lightning' und 'Thunderbrowse' beinhalten alle denselben Fehler, der potenziell zur Infektion durch Viren führen kann.
Anwender, die Thunderbird ohne jegliche Erweiterungen nutzen, können auf jeden Fall auf Thunderbird 3.0 aufrüsten, wo der Fehler nicht mehr enthalten ist. Werden Erweiterungen verwendet, sollte man sich erkundigen, ob diese in einer Version für Thunderbird 3 verfügbar sind. Anwender, welche die Kalendererweiterung 'Lightning' verwenden, schauen aber auf jeden Fall durch die Finger, denn für Thunderbird 2.x gibt es nur die unsichere Version, für Thunderbird 3 gar keine.
Mozilla arbeitet gerade an Thunderbird 2.0.0.24, worin der Fehler behoben wurde. Wann diese Version verfügbar sein wird, ist aber noch nicht bekannt. Ob es eine fehlerbereinigte 'Lightning' Version für Thunderbird 2.x geben wird, ist gänzlich unbekannt.
Quelle: 'Sicherheitslücke in Thunderbird 2.x' auf Heise Online
Download: Thunderbird 3.0
Die Mozilla Entwickler haben kürzlich die dritte Version des E-Mail-Programms Thunderbird vom Stapel laufen lassen. Der 'kurze' Bericht über all die neuen Funktionen und Verbesserungen fiel letztendlich doch etwas länger aus, sodass wir den Text als eigenes PDF-Dokument anbieten.
Ein kurzes Fazit für alle Eiligen: Thunderbird 3 ist eine gelungene Weiterentwicklung eines ohnehin hervorragenden E-Mail-Programms. Wir können ein Upgrade grundsätzlich empfehlen. Anwender, die Funktionen über 'Erweiterungen' (Add-ons) nachgerüstet haben, sollten aber warten, bis alle benötigten Erweiterungen in einer Version für Thunderbird 3 zur Verfügung stehen.
Download: Thunderbird 3.0
Quelle: Artikel über die Neuerungen in Thunderbird 3
Adobe hat mehrere (zum Teil schwere) Sicherheitslücken im Flash-Player-Plugin behoben. Da das Plugin auch in der Laufzeitumgebung Adobe AIR enthalten ist, wurde auch dies mit einer neuen Version bedacht.
Die Versionsnummer des neuen Flash-Plugins lautet 10.0.42.34, die des neuen AIR Paketes 1.5.3. Da das Flash-Plugin auf so ziemlich jedem PC installiert ist, sollten Anwender eines Windows Computers die Updates zügig einspielen. Dazu laden sie sich bitte einfach die beiden unterstehenden Flash-Plugins herunter, und installieren diese jeweils durch Doppelklicks.
Adobe AIR ist bisher nicht so verbreitet. Bevor hier die neue Version installiert wird, sollte man zuerst in der Systemsteuerung unter den Menüpunkten 'Software' (Windows XP) bzw. 'Programm deinstallieren' (Windows Vista & Windows 7) überprüfen, ob Adobe AIR überhaupt installiert ist. Nur wenn es bereits installiert ist, sollte man das Update einspielen.
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Download: Aktuelle Adobe AIR Version (nur updaten wenn bereits installiert!)
Info: Diese Seite zeigt die Version Ihres aktuell installierten Flash Player Plugins
Quelle: 'Mehrere Löcher im Adobe Flash Player geschlossen' auf Heise Online
Die letzten beiden Versionen des Vektorgrafikprogramms Illustrator aus dem Hause Adobe enthalten jeweils eine schwer wiegende Sicherheitslücke, die beim Öffnen manipulierter '.eps' Dateien zur Infektion des Computers durch Viren führt.
Ein Sicherheitsupdate steht bislang nicht zur Verfügung, sodass die einzige Abhilfe für Anwender von Illustrator CS3 und Illustrator CS4 darin besteht, keine fremden '.eps' Dateien zu öffnen.
Quelle: 'Kritische Lücke im Adobe Illustrator' auf Heise Online
Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen:
Wir empfehlen:
Diese Website ist kompatibel zu:
