News

Schlagzeilen * Details * Newsletter

Schlagzeilen:


zur Übersicht

Details:



30.03.2018 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.7.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt 6 Sicherheitslücken, wovon drei als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

30.03.2018 – Firefox Sicherheitsupdates!

Mozilla Firefox LogoMozilla muss bereits wenige Tage nach der Veröffentlichung von Firefox 59 erneut eine schwere Sicherheitslücke beheben. Firefox Anwender sollten daher rasch auf Version 59.0.2 aktualisieren, falls nicht bereits geschehen. Anwender von Firefox ESR sollten auf Version 52.7.3 updaten.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

23.03.2018 – Sicherheitsupdate für Adobe Flash, Dreamweaver und Connect

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 29.0.0.113. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Dreamweaver:

Im HTML-Editor Dreamweaver wurde ebenfalls eine schwere Sicherheitslücke geschlossen. Alle Anwender von Dreamweaver sollten zügig auf Version 18.1 aktualisieren. Das gelingt am einfachsten über die Adobe Creative Cloud Desktopanwendung.

Quelle: Adobe Dreamweaver Security Bulletin APSB18-07 (Englisch)

Adobe Connect:

Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.

Quelle: Adobe Connect Security Bulletin APSB18-06 (Englisch)

zur Übersicht

23.03.2018 – Microsoft's Tag der Updates

Microsoft WIndows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Admins aufgepasst – Teil 1!

Administratoren von Windows-Servern müssen aufpassen, hier ist es mit der Installation der Updates nicht getan. Zusätzlich müssen noch Gruppenrichtlinien für CredSSP gesetzt werden. Im folgenden Security Buletin erläutert Microsoft die Vorgehensweise.

Quelle: 'CredSSP updates for CVE-2018-0886' auf Microsoft.com

Admins aufgepasst – Teil 2!

Noch mehr Ungemach hält Microsoft für Admins von Windows Server 2008 R2 (bzw. SBS 2011) bereit. Eines der Updates, nämlich KB4088875 bzw. KB4088878, kann unter Umständen die Konfiguration der Netzwerkadapter beschädigen. Vor allem Betreiber von virtuellen Servern sollten das Update sehr genau planen bzw. wenn möglich vorab testen. Details im folgenden Heise Online Artikel.

Quelle: 'Patchday: Microsoft sichert Browser und Windows-Kernel ab' auf Heise Online

Nur noch wenige Wochen Support für Windows 10 Version 16.07

Die im Herbst 2016 veröffentlichte Windows 10 Version 16.07 erhält am 10. April zum letzten Mal Updates. Anwender die immer noch diese (oder gar eine ältere) Version von Windows 10 einsetzen, sollten also bald auf Windows 10 Version 17.09 updaten.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. sieben Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

23.03.2018 – Passwörter in Browsern und E-Mail-Programmen nicht sicher!

Biohazard LogoEigentlich hätte das eine Newsmeldung zum Thema Masterpassword bei Mozilla Firefox und Thunderbird werden sollen, aber je mehr wir uns mit der Materie auseinandergesetzt haben, desto weniger wichtig erschien dieses Problem, und um so mehr rückten alle Browser und E-Mail-Programme in den Fokus. Doch der Reihe nach …

Sinn und Unsinn von Master-Passwörtern:

Kürzlich machte eine Meldung zur mangelhaften Verschlüsselung der Passwort-Verwaltung von Mozilla auf sich Aufmerksam. Ein Sicherheitsforscher hat darauf hingewiesen, dass Passwörter aus Thunderbird und Firefox selbst mit gesetzten Master-Passwort relativ einfach ausgelesen werden können. Das ist grundsätzlich nicht gut, aber betrifft letztendlich die wenigsten Anwender, denn wir kennen praktisch niemanden, der diese Master-Passwort-Funktion überhaupt verwendet. Als langjähriger Thunderbird Anwender haben wir die Funkion natürlich nochmal getestet und dabei festgestellt, dass sie so schlecht implementiert ist, dass wir fast 10 Mal das Masterpasswort eingeben müssten, um mit dem Programm arbeiten zu können. Anwender mit weniger Postfächern kommen wohl mit weniger Eingaben davon, trotzdem ist das letztlich unbrauchbar.

Sind also Anwender, die gar kein Master-Passwort verwenden, nicht von dem Problem betroffen? Die Antwort darauf ist ein klares JEINDOCH. Das Master-Passwort soll das Auslesen der Passwörter verhindern, indem diese verschlüsselt abgelegt werden. Mit passender Hard- und Software kann diese Verschlüsselung heutzutage in wenigen Sekunden geknackt werden. Nichtsdestotrotz stellt das Master-Passwort einen besseren Schutz vor solchen Szenarien dar, als gar kein Master-Passwort. Und genau das ist der Stand bei allen anderen Browsern und E-Mail-Programmen. Ein kurzer Test hat ergeben, dass die Passwörter aus allen Browsern binnen einer Sekunde ausgelesen werden können! Das Master-Passwort von Firefox (und Thunderbird) macht es Angreifern zumindest deutlich schwerer, sofern die Funktion denn verwendet wird, was wie gesagt Angesichts der nervigen Umsetzung in den Mozilla Produkten, wohl selten der Fall sein dürfte.

Wie schlimm ist das jetzt?

Was aber bedeutet das jetzt für den normalen Anwender? Es bedeutet schlicht und ergreifend, dass Passwörter die im Browser (egal von welchem Hersteller) gespeichert sind sehr schnell und einfach ausgelesen werden können. Lässt man z.B. den Arbeits-PC nur eine Minute aus den Augen ohne den Bildschirm zu sperren, könnte eine Person in der Nähe die Passwörter sämtlicher Browser auslesen und auf z.B, einen USB-Stick kopieren. Mit etwas Übung dauert das alles keine 20 Sekunden! Ein simpler Trojaner auf dem PC könnte dasselbe völlig unbemerkt im Hintergrund erledigen und die Passwörter online an die Angreifer übermitteln. Mit den abgegriffenen Passwörtern könnte der Angreifer dann z.B. den E-Mail-Account kidnappen, das Facebok-Profil übernehmen usw. je nachdem, welche Zugangsdaten eben im Browser gespeichert waren.

Abhilfe?

Damit wären wir auch gleich bei den Möglichkeiten sich zu schützen: An erster Stelle müssen wir leider sagen, speichern sie am besten einfach keine Passwörter im Browser! Wenn es aus Komfort-Gründen nicht verhindert werden kann, sollte man zumindest die kritischeren Passwörter nicht abspeichern, also z.B. OnlineBanking, Amazon, Postfächer usw. Wichtigere Passwörter wie die genannten, speichert man besser in einem Passwort Safe. Das ist zwar nicht so praktisch wie ein im Browser gespeichertes Passwort, aber immer noch komfortabler als z.B. ein verschlüsseltes Text-Dokument.

Und die E-Mail-Programme?

Wie bereits erwähnt können die Passwörter aus Thunderbird (wenn nicht durch Master-Passwort geschützt) genauso leicht gestohlen werden, wie aus Firefox oder den gängigen Browsern. Laut einem dieser Passwort-Auslese-Programme soll das auch in folgenden E-Mail-Programmen (bzw. Benachrichtigungs-Programmen) funktionieren:

Outlook Express, Microsoft Outlook, Windows Mail, Windows Live Mail, IncrediMail, Eudora, Yahoo! Messenger, MSN/Windows/Live Messenger, Gmail Notifier, Google Desktop, Google Talk.

Und es würde uns wundern, wenn die Liste tatsächlich vollständig ist. Kurzum alle Anbieter von E-Mail-Programmen sollten (genau wie die Browser-Kollegen) eigentlich nach Möglichkeiten suchen, ohne Komfortverlust einen besseren Schutz der Passwörter zu gewährleisten. Der Anwender selbst kann eigentlich gar nichts (praktikables) machen, außer die Passwörter regelmäßig zu ändern und die Passwort-Speicher der Browser möglichst nicht nutzen.

Quelle: 'Passwort-Tresor Webbrowser: Firefox pfuscht seit neun Jahren beim Master-Kennwort' auf Heise Online

zur Übersicht

23.03.2018 – Firefox 59.0 behebt schwere Sicherheitslücken!

Mozilla Firefox LogoMozilla hat in der neuen Firefox Version insgesamt 18 Sicherheitslücken behoben, wovon zwei als kritisch gekennzeichnet sind. Firefox Anwender sollten daher rasch auf Version 59.0 aktualisieren, falls nicht bereits geschehen. Abgesehen von den Sicherheitskorrekturen soll die neue Firefox Version einmal mehr schneller geworden sein und bringt ein verbessertes Screenshot-Tool mit.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Firefox 59 mit verbessertem Screenshot-Tool' auf Heise Online

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

23.03.2018 – Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoDie März-Sicherheitsupdates von Microsoft bringen auch in Hinsicht auf Meltdown und Spectre gute Neuigkeiten. So gibt es jetzt endlich Updates gegen Meltdown für 32Bit Windows 7 und 8.1 Systeme. Damit sollte Meltdown auf sämtlichen noch unterstützten Windows Systemen kein Thema mehr sein.

Auch die Auslieferung von Microcode-Updates gegen Spectre 2 weitet sich aus. Nachdem beim letzten Bericht nur Prozessoren aus der 6ten (Core i) Generation und auch nur unter der neuesten Windows 10 Version erhalten haben, sind es nun alle Intel Prozessoren AB der 6ten (Core i) Generation und unter allen noch unterstützten Windows 10 Versionen. Anwender von Windows 7 und 8.1 schauen aber vorerst weiter durch die Finger. Man sollte aber ohnehin besser beim Hersteller des Mainboards bzw. des Computers prüfen, ob eventuell neue BIOS-Updates verfügbar sind. Ein neues BIOS mit abgesichertem Microcode ist dem entsprechenden Windows Update grundsätzlich vorzuziehen, ist aber halt nur selten verfügbar und bedeutet (im Gegensatz zu den komfortablen Windows-Updates) Handarbeit.

Intel:

Intel selbst hat mittlerweile Microcode-Updates für Prozessoren bis zurück zur zweiten Core-i-Generation sowie die meisten Atom-Prozessoren fertiggestellt. Fehlt also nur noch die erste Core-i-Generation sowie die Core 2 Duo bzw. Core 2 Quad Prozessoren, dann wären der Großteil der noch im Einsatz befindlichen Intel Prozessoren vermutlich abgedeckt.

AMD:

Von AMD sind uns keine Microcode-Updates bekannt, obwohl diese seit längerem schon für zumindest die Ryzen-Prozessoren verfügbar sein sollten. Und als ob das nicht schon genug wäre, muss der kleine Intel Konkurrent sich nun auch noch mit weiteren Schwachstellen auseinandersetzen (siehe zusätzlichen AMD-Artikel weiter unten). Hoffentlich verzögert das die nötigen Updates gegen Spectre 2 nicht noch weiter.

Apple, Android und Co:

Von außerhalb der Windows Welt haben wir keine Neuerungen in Bezug auf Meltdown und Spectre vernommen, sodass hier weiterhin die bisherigen Artikel und damit viele Fragezeichen gelten. Abgesehen von Linux, die in Bezug auf diese Schwachstellen wohl zurzeit den umfangreichsten Schutz abliefern.

Quelle: 'Übersicht der Meltdown und Spectre Artikel' auf Heise Online

zur Übersicht

23.03.2018 – Neue Sicherheitslücken in AMD-Chips

AMD LogoWährend AMD-Kunden immer noch sehnsüchtig auf Microcode-Updates gegen Spectre 2 warten, werden schon die nächsten Sicherheitsprobleme in AMD Prozessoren und Chipsets bekannt. Unter dem Sammelbegriff ‚AMDflaws‘ haben bisher völlig unbekannte israelische Sicherheitsforscher 12 Sicherheitslücken in aktuellen AMD-Produkten veröffentlicht. Die Art und Weise wie die Forscher die Lücken veröffentlicht haben, ist dabei stark Kritik-würdig. Üblicherweise informieren Sicherheitsforscher immer den Hersteller der gefährdeten Produkte zuerst. Erst wenn die Probleme behoben und Updates bereitstehen, geht man üblicherweise an die Öffentlichkeit. In dem Fall wurde die Öffentlichkeit sofort informiert, sodass AMD keine Zeit hatte Updates zu entwickeln.

AMD hat die Probleme mittlerweile bestätigt und Updates für die nächsten Wochen angekündigt. Da nur Prozessoren und Chips seit März letzten Jahres betroffen sind, dürften alle Anwender passende BIOS-Updates von den Herstellern der Computer bzw. Mainboards erhalten, sobald AMD diese fertiggestellt hat.

Wie kritisch sind die Lücken?

Zum Glück hält sich das Risiko durch die Lücken relativ begrenzt. Anders als Spectre 1, müsste ein Angreifer bereits die vollständige Kontrolle über ein System haben, um aus den Schwachstellen irgendwie Nutzen zu ziehen. Für Angreifer dürften die Lücken damit eher Uninteressant sein. Größter geschädigter ist eigentlich AMD während den größten Nutzen Hauptkonkurrent Intel haben dürfte, der zufällig in Israel ein wichtiges Prozessor-Design-Büro betreibt …

Quelle: 'Ryzenfall, Fallout & Co: AMD bestätigt Sicherheitslücken in Ryzen- und Epyc-Prozessoren' auf Heise Online

zur Übersicht

23.03.2018 – Auch ASMedia USB-Controller mit Sicherheitslücken

Biohazard LogoDie israelischen Sicherheitsforscher wurden auch in USB-Chips der Firma ASMedia fündig. Auch hier sollen Schachstellen enthalten sein, die sich nur mit Administratorrechten ausnützen lassen. Damit stellen sie kein akutes Risiko dar. Allerdings könnte ein Angreifer der einmal die volle Kontrolle über das System hatte damit einen Virus hinterlassen, der später schwer bis gar nicht entdeckt oder entfernt werden könnte. Gut möglich, dass in den nächsten Wochen also auch Firmware-Updates für Mainboards und Controller-Karten mit ASMedia USB-Chips veröffentlicht werden.

Quelle: 'Hintertüren in USB-Controllern auch in Intel-Systemen vermutet' auf Heise Online

zur Übersicht

06.03.2018 – Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoTolle Nachrichten von Microsoft: Es wird nun doch Prozessor-Updates über Windows Update geben! Damit sind doch nicht Millionen PCs weltweit schrottreif, sondern können irgendwann in (hoffentlich) naher Zukunft wieder sicher genutzt werden. Das ist allerdings erst mal nur ein gutes Zeichen, erledigt ist die Angelegenheit noch lange nicht. Denn im Moment gibt es nur Updates für Intel Core i Prozessoren der 6000er Serie und auch nur für Windows 10 (Version 1709). Ältere Windows Versionen oder PCs mit andren Prozessoren schauen bis auf weiteres durch die Finger, wenn nicht der Hersteller des Computers bzw. des Mainboards neue BIOS-Updates bereitgestellt hat.

Leider hat Microsoft bisher nicht offiziell verlautbaren lassen, ob auch ältere Windows Versionen diese Updates bekommen, aber Microsoft kann es sich eigentlich gar nicht leisten diese Updates nicht für alle noch unterstützten Windows Generationen anzubieten. Womöglich liegt es auch daran, dass die Core i 6000 Prozessoren ohnehin nur unter Windows 10 unterstützt werden. Aber selbst in dem Fall müsste es noch Updates für Windows 10 Version 1703 geben. Aber geben wir Microsoft etwas Zeit, diese Microcode-Updates wollen gut getestet werden, bevor man sie auf die Menschheit loslässt.

Quelle: 'Spectre-Lücke: Microcode-Updates nun doch als Windows Update' auf Heise Online

Quelle: 'Übersicht der Meltdown und Spectre Artikel' auf Heise Online

zur Übersicht

06.03.2018 – Viele Android-Geräte schon ab Werk mit Viren infiziert!

Android Security LogoSicherheitsforscher haben auf 40 Android Geräten Viren entdeckt, die bereits ab Werk vorinstalliert waren! Bekannte Marken wie Samsung oder Sony (um nur ein paar zu nennen) sind um Glück nicht darunter, wer aber billige NoName-Smartphones oder Tablets kauft, bekommt möglicherweise ab Werk infizierte Geräte. So waren z.B. alleine vom Hersteller ‚Leagoo‘ 10 Geräte im Test ‚verwanzt‘. Ob die Geräte-Hersteller und die Software-Zulieferer unter einer Decke stecken ist nicht bekannt.

Leider kommen wir bei Android Geräten aus den Sicherheitswarnungen nicht raus, grundsätzlich sollten Anwender, die sich nicht mit alternativen Distributionen wie Lineage OS herumschlagen wollen, nur zu Markengeräten greifen. Wer ein Schnäppchen sucht, bezahlt das oft mit verwanzter Software. Aber auch Markengeräte sollte man eigentlich nur solange verwenden, wie man Updates dafür bekommt. Android Geräte, die noch keine 2018er Sicherheitsupdates erhalten haben, sollt man eigentlich nicht mehr verwenden.

Quelle: 'Bei 40 günstigen Android-Smartphones ist ein Trojaner ab Werk inklusive' auf Heise Online

zur Übersicht

06.03.2018 – Neue LibreOffice Versionen schließen Sicherheitslücke!

LibreOffice LogoIn LibreOffice wurde eine Schwachstelle entdeckt, über die Angreifer Daten aus einem Calc-Dokument abzweigen könnten. Ein Update auf Version 5.4.5 oder 6.0.1 behebt das Problem.

Ein akutes Risiko stellt die Lücke nicht dar, aber LibreOffice-Anwender sollten bei Gelegenheit auf Version 5.4.5 updaten. Die Version 6.0.2 empfehlen wir nach wie vor nur Anwendern, die gerne brandneue Software testen und mit möglichen Programmfehlern umgehen können.

Download: Aktuelle LibreOffice Versionen (5.4 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.0 Serie)

Quelle: 'Security Advisorie CVE-2018-6871' auf LibreOffice.org (Englisch)

zur Übersicht

06.03.2018 – Windows 7 – Keine Sicherheitsupdates ohne Virenscanner

Microsoft Windows LogoWie wir berichtet hatten, werden neue Windows-Sicherheitsupdates nur mehr dann installiert, wenn der im System installierte Virenscanner seine Kompatibilität zu den Spectre/Meltdown-Gegenmasnahmen signalisiert. Unter Windows 8.1 und 10 erledigt das zur Not der Windows Defender, wenn kein anderer Virenscanner installiert ist. Der Windows Defender in Windows 7 ist aber kein vollwertiger Virenscanner und setzt daher auch nicht diesen Kompatibilitäts-Eintrag in der Registry. Das führt dazu, dass Anwender die unter Windows 7 keinen (oder einen nach wie vor inkompatiblen) Virenscanner einsetzen, keine Windows-Sicherheitsupdates erhalten. Der PC ist dann gleich doppelt gefährdet.

Anwender, die immer noch Windows 7 verwenden, und bewusst keinen Virenschutz verwenden (warum auch immer), müssen den Eintrag in der Registry von Hand setzen (siehe Heise Online Artikel) um wieder Windows Updates zu beziehen.

Quelle: 'Windows 7: Keine aktuellen Updates ohne Virenscanner' auf Heise Online

zur Übersicht

06.03.2018 – Neues VLC Media Player Update

VLC Media Player LogoKeine zwei Wochen nachdem die neue VLC Version 3.0 erschienen ist, steht auch schon die erste Fehlerkorrektur bereit. Version 3.0.1 behebt jede Menge kleinerer Fehler. Da keine Sicherheitslücken geschlossen werden mussten, ist das Update nicht dringend. Wer aber mit Version 3.0.0 Probleme hatte, sollte Version 3.0.1 versuchen.

Download: VLC Media Player 3.0.1 für Windows (32Bit)

Download: VLC Media Player 3.0.1 für Windows (64Bit)

Quelle: 'VLC 3.0.1 Newsmeldung' auf Videolan.org (Englisch)

zur Übersicht

23.02.2018 - Das Ende von Skype 7 ist (mehr oder weniger) offiziell!

Skype LogoLetzte Woche hatten wir berichtet, dass wir aufgrund von Sicherheitslücken und ungenügender Kommunikation seitens Microsoft von der Verwendung von Skype 7 abraten müssen. Auch Stand heute hat Microsoft keine wirklich präzise Stellungnahme darüber abgegeben, welche Versionen nun genau, für welche Schwachstellen anfällig sind, jedoch hat Microsoft den Download von Skype 7 von der Skype Website entfernt. Weiters hat sich der Software Riese immerhin dazu durchringen können klarzustellen, dass es keine weiteren Ausgaben der 7er Serie mehr geben wird.

Damit ist das Ende von Skype 7 eindeutig eingetroffen und alle Anwender, die diese Software noch verwenden, sollten sie nun rasch deinstallieren und auf die 8er Serie (Windows 7 und 8.1) bzw. die Store Version von Skype (Windows 10) umsteigen.

Download: Aktuelle Skype Version

zur Übersicht

23.02.2018 - Sicherheitsupdates für Opera

Opera Software LogoDie norwegische Firma Opera hat kürzlich Version 51.0.2830.40 ihres Desktop-Browsers veröffentlicht. Wichtigste Neuerung des Updates ist die Integration von Chromium 64.0.3282.168 und damit das Schließen der Sicherheitslücken über die wir letzte Woche berichtet hatten.

Alle Anwender von Opera sollten rasch auf die neue Version aktualisieren, sofern das nicht bereits durch das automatische Update erledigt wurde. Im Menü 'Über Opera' kann man sehen, ob man bereits die aktuelle Version von Opera einsetzt, und gegebenenfalls auch gleich das Update starten.

Download: Aktuelle Opera Version

zur Übersicht

23.02.2018 - Schwere Sicherheitslücke in uTorrent & Bittorrent!

Maleware News LogoIn der Filesharing-Software uTorrent (Classic und Web) wurden schwere Sicherheitslücken entdeckt, die zur Infektion des Computers führen können.

Der Hersteller hat mittlerweile abgesicherte Versionen zum Download bereit gestellt. Die Versionsnummern der neuen Ausgaben lauten: uTorrent 3.5.3.44358, Bittorrent 7.10.3.44359, uTorrent Web 0.12.0.502.

Anwender, die eine ältere Version als oben erwähnt auf ihrem Computer haben, sollten rasch updaten.

Quelle: HTTP/RPC Security Vulnerabilities Resolved in uTorrent, BitTorrent and uTorrent Web

zur Übersicht

23.02.2018 - Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoDiese Woche berichten wir nur ganz kurz über dieses Thema. Intel hat neue Updates an die Mainboard- und PC-Hersteller gesendet. Neu hinzugekommen sind unter anderem Intel Core-i Prozessoren der 7ten und 8ten Generation. Die 6te Generation war bereits beim letzten Schwung Updates enthalten. Besitzer von Computern mit solchen Prozessoren sollten also in der nächsten Zeit regelmäßig beim Hersteller des PCs bzw. des Mainboards nachsehen, ob dafür neue BIOS-Updates angeboten werden.

Quelle: Meltdown und Spectre Artikel auf Heise Online

zur Übersicht

23.02.2018 - Audacity 2.2.2 - Kleine Verbesserungen aber weiterhin kein Sicherheitsupdate!

Audacity LogoDie Audacity Programmierer haben kürzlich Version 2.2.2 des beliebten Audio Editors veröffentlicht. Darin gibt es ein paar kleine aber nützliche Neuerungen der Zoom-Funktion und Verbesserungen der optionalen dunklen Benutzeroberfläche. Außerdem gibt es nun eine Erkennung von Aussetzern während Aufnahmen.

Leider wird das Thema Sicherheit von den Entwicklern immer noch stark vernachlässigt. Wir haben es zwar nicht noch einmal explizit nachgetestet, aber es wird weder eine Lösung für das DLL-Hijacking Problem in der Liste der Neuerungen erwähnt, noch stehen neuere Lame- oder FFmpeg-Bibliotheken zur Verfügung. Während die Lücken in Lame 3.99 in Audacity vernachlässigbar sein sollten, gilt das ganz und gar nicht für die uralte FFmpeg-Biblithek. Diese sollte sicherheitshalber gänzlich deinstalliert werden. Zum Öffnen von wav oder mp3-Dateien benötigt man diese ohnehin nicht. Verknüpft man dann noch Audacity Projekte (*.aup) mit einem anderen Programm wie z.B. Notepad.exe, kann man mit Audacity durchaus sicher arbeiten.

Download: Aktuelle Audacity Version

Info: Neue Funktionen in Audacity 2.2.2 (Englisch)

Info: Vollständige Release Notes für Audacity 2.2.2 (Englisch)

zur Übersicht

16.02.2018 – Sicherheitsupdate für Adobe Reader, Acrobat und Experience Manager

Adobe Reader/Acrobat LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Reader & Acrobat:

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2018.011.20035 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB18-2 (Englisch)

Adobe Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Auch dieses wurde als wichtig eingestuft. Details findet man im Adobe Security Bulletin APSB18-04.

Quelle: Adobe Security Bulletin APSB18-04 (Englisch)

zur Übersicht

16.02.2018 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Diese Woche sind vor allem die Updates für Outlook besonders wichtig. Eine Lücke in Outlook ermöglicht es Angreifern, per manipulierten Mails fremde Computer zu infizieren. Die Opfer müssen das E-Mail nur in der Vorschau betrachten, um den Virus zu aktivieren. Anwender sollten daher sicherstellen, dass die Updates für Office/Outlook tatsächlich installiert wurden. Bei den von Privatanwendern eingesetzten Office Versionen geschieht dies NICHT über Windows Update, stattdessen müssen sie in Outlook selbst prüfen, ob die Updates installiert sind. Wer immer noch Office (bzw. Outlook) 2007 (oder älter) verwendet, sollte die Software allerspätestens jetzt endgültig deinstallieren und auf LibreOffice/Thunderbird oder eine neue Microsoft Office Version upgraden.

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. sieben Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

16.02.2018 – Sicherheitsupdate für Vivaldi und Google Chrome

Google Chrome LogoVivaldi und Google haben kürzlich Sicherheitsupdates für ihre Browser veröffentlicht. Darin wird eine gefährliche Sicherheitslücke behoben, die für Angriffe, eventuell sogar zur Infektion des Computers genutzt werden kann. Opera hat das Update leider noch nicht fertiggestellt, wir erwarten aber auch von den Norwegern innerhalb der nächsten Tage eine neue Version.

Nutzer von Vivaldi können über V(ivaldi-Icon) → HILFE → NACH UPDATES SUCHEN … prüfen, ob sie bereits die aktuelle Version nutzen und diese gegebenenfalls aktualisieren. Anwender von Google Chrome finden im verlinkten Google Support Dokument die Anleitung wie man die Version prüfen und gegebenenfalls aktualisieren kann.

Download: Aktuelle Vivaldi Version

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

16.02.2018 – Noch eine Skype 7 Sicherheitslücke!

Skype LogoEs ist noch gar nicht lange her, dass wir vor Skype 7 warnen mussten, weil dort vermutlich eine schwere Sicherheitslücke vorhanden ist. Vermutlich deshalb, weil damals keine wirklich präzisen Informationen über die Lücken in Skype vorhanden waren. Daran hat sich auch leider bis heute nichts geändert.

Nun wurde eine weitere Sicherheitslücke in Skype gefunden und auch dieses Mal hat der Entdecker der Lücke es verabsäumt zu prüfen, welche Versionen eigentlich genau betroffen sind. Im Gegensatz zu vielen andern Webseiten, die alle irgendwie voneinander abgeschrieben haben, haben wir uns die Mühe gemacht dem genauer auf den Zahn zu fühlen. Einerseits haben wir selbst Tests durchgeführt, andererseits haben wir beim Entdecker der Schwachstelle nachgefragt, welche Version denn eigentlich betroffen ist. Dabei wurde klar, dass die Lücke definitiv in manchen Versionen der 7er Serie existiert. Die aktuellen 8er Versionen hat der Sicherheitsforscher gar nicht getestet. Wir konnten jedenfalls das beschriebene Problem in der 8er Serie nicht nachstellen, weshalb wir davon ausgehen, dass Skype v8.15.0.4 ebenso sicher ist wie die Skype App aus dem Windows 10 Store.

Da in Skype 7 nun eine bestätigte und eine vermutliche Sicherheitslücke existieren, können wir nur einmal mehr empfehlen, Skype 7 umgehend zu deinstallieren. Skype 8 stellt eine sichere Alternative dar, wennauch mit gewöhnungsbedürftiger Benutzer-Oberfläche.

Quelle: 'Microsoft Skype DLL Hijacking' auf packetstormsecurity.com

Download: Aktuelle Skype Version

zur Übersicht

16.02.2018 – VLC Media Player 3.0 mit HDR und mehr

VLC LogoDas Team rund um den VLC Media Player hat mit einjähriger Verspätung nun die Version 3.0 fertiggestellt. Die neue Version bietet einige sichtbare Neuerungen, wie dezent modernisierte Icons, aber vor allem ganz viel Neues unter der Haube. So kann VLC nun HDR- und VR-Videos abspielen, auf Chromecast-Sticks streamen oder direkt auf SMB, FTP oder NFS-Laufwerke zugreifen. Zusätzlich wird der vorhandene Grafikchip jetzt noch besser eingespannt, sodass sich die Prozessor-Belastung von großen Videos noch weiter verringert hat. Das ermöglicht jetzt sogar die Wiedergabe von 8K Videos in h265 Material mit 60 Bildern/Sekunde.

Weitere Informationen zu der neuen Version finden sie auf der verlinkten VLC-Website.

Download: VLC Media Player 3.0 für Windows (32Bit)

Download: VLC Media Player 3.0 für Windows (64Bit)

Quelle: 'VLC Media Player 3.0 Release Notes' auf Videolan.org (Englisch)

zur Übersicht

16.02.2018 – Wöchentliches Meltdown & Spectre Fazit

Meltdown & Spectre LogoObwohl es auch diese Woche wieder viele Neuigkeiten zum Thema Meltdown und Spectre gibt, werden wir uns ab sofort deutlich kürzer halten zu dem Thema. Für den Anwender gibt es im Moment ohnehin nichts weiter zu tun, als dafür Sorge zu tragen, dass alle Betriebssystem- und Browser-Updates installiert sind. Auch ein Blick auf die Website des PC bzw. Mainboard-Herstellers schadet nicht, um dort nach passenden BIOS-Updates zu suchen und diese gegebenenfalls auch zu installieren.

Microsofts Tag der Updates war diesen Monat ebenfalls enttäuschend, sofern man auf weitere Spectre Gegenmaßnahmen gehofft hat. Aber auch von Apple und Google haben wir diesbezüglich nichts Neues vernommen. Zusammengefasst muss man aktuell leider sagen, dass die Gesamtsituation schlimmer statt besser wird.

Ausführlicher Berichten werden wir erst wieder, wenn es wirklich konkrete Neuigkeiten gibt, die sich nicht irgendwie alle gegenseitig widersprechen. Wer weitere Informationen sucht, findet über den folgenden Link eine Übersicht aller Heise Online Artikel zu dem Thema.

Quelle: Meltdown und Spectre Artikel auf Heise Online

zur Übersicht

09.02.2018 – Dringendes Sicherheitsupdate für Adobe Flash erhältlich!

Adobe Flash LogoWie letzten Freitag angekündigt, hat Adobe nun ein Sicherheitsupdate für den Adobe Flash Player veröffentlicht. Darin wird nicht nur die bereits aktiv ausgenützte schwere Sicherheitslücke behoben, sondern auch noch eine zweite Lücke.

Die neueste Version des Flash-Plugins trägt die Nummer 28.0.0.161. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

09.02.2018 – Brandgefahr: Lenovo ruft Thinpad X1 Carbon zurück!

Brennendes Notebook LogoLenovo ruft Geräte der Serie Thinkpad X1 Carbon zurück, da sich darin eine Schraube lösen kann, was wiederum zu überhitzenden Akkus und damit Brandgefahr führen kann. Betroffen sind die Modelle 20HQ, 20HR, 20K3 und 20K4 die zwischen Dezember 2016 und Oktober 2017 produziert wurden.

Anwender eines dieser Geräte können auf der Produktrückruf-Website anhand der Seriennummer des Gerätes prüfen, ob eine Reparatur erforderlich ist und gegebenenfalls alles nötige in die Wege leiten.

Info: 'Rückrufaktion für Lenovo ThinkPad X1 Carbon Laptops der 5. Generation' auf Lenovo.com

Quelle: 'Brandgefahr: Lenovo ruft bestimmte Notebooks der Serie ThinkPad X1 Carbon zurück' auf Heise Online

zur Übersicht

09.02.2018 – Sicherheitsupdates gegen schwere Lücken in Netgear Routern

Router Security LogoKritische Sicherheitslücken ermöglichen es Angreifern wieder einmal Netgear Router ganz einfach übers Internet zu kapern. Hat sich der Angreifer erst Zugang zu dem Router verschafft, kann er in weiterer Folge den gesamten Internetverkehr umleiten oder auf Daten des Routers bzw. eventuell angeschlossener Festplatten/USB-Sticks zugreifen.

Besitzer der folgenden Router sollten daher zügig die entsprechenden Updates von der Netgear Support-Seite herunterladen und einspielen:

Download: Netgear Support Website

Quelle: ''Einige Netgear-Router lassen sich mit simplem URL-Trick übernehmen' auf Heise Online' auf Heise Online

zur Übersicht

09.02.2018 – Sicherheitsupdates für Cisco Router

Router Security LogoAuch Cisco Router stehen aktuell unter Beschuss aus dem Internet. Während die Administratoren der Business-Modelle alle Hände voll zu tun haben dürften, um etliche Router, Switches usw. abzudichten, sind auch 2 Heimanwender-Geräte von Cisco betroffen.

Besitzer der Router RV132W ADSL2+ Wireless-N VPN und RV134W VDSL2 Wireless-AC VPN sollten rasch nach den entsprechenden Updates auf der Cisco Support-Website suchen. Andernfalls besteht die Gefahr, dass Angreifer die Kontrolle über diese Router übernehmen.

Download: Aktuelle Firmware für RV132W ADSL2+ Wireless-N VPN Router

Download: Aktuelle Firmware für RV134W VDSL2 Wireless-AC VPN Router

Quelle: ''Sicherheitsupdates: Angreifer könnten Netzwerkgeräte von Cisco kapern' auf Heise Online' auf Heise Online

zur Übersicht

09.02.2018 – Browser Erweiterung Gramarly gefährdet Millionen von Nutzer!

Google Chrome LogoDas die Entwickler von Browser-Erweiterungen es mit der Sicherheit nicht immer so genau nehmen ist leider traurige Realität. Neueste Beispiel dafür ist die Erweiterung ‚Grammarly‘, die es Anwendern zum Beispiel ermöglicht die Rechtschreibung auf Social-Media Webseiten zu prüfen.

Der Zugang zu dem Grammarly-Account war schlecht abgesichert, sodass andere Websites auf die Grammarly-Daten des Benutzers zugreifen konnten. Der Fehler soll in der aktuellen Version behoben sein, dass weder der Entdecker noch Grammarly selbst aber Versionsnummern nennt, macht es dem Anwender unnötig schwierig zu prüfen, ob die installierte Erweiterung sicher ist oder nicht. Daher raten wir dazu, die Erweiterung, so sie denn vorhanden ist, einmalig zu deinstallieren und neu zu installieren.

Quelle: 'Chrome-/Firefox-Erweiterung Grammarly gefährdete Daten von 22 Millionen Nutzern' auf Heise Online

zur Übersicht

09.02.2018 – Erweiterung ‚Photobucket Hotlink Fix‘ spähte Nutzer aus

Firefox LogoUnd noch eine Meldung über eine gefährliche Browser-Erweiterung. Diesmal war aber kein unabsichtlicher Fehler die Ursache, sondern die Programmierer von ‚Photobucket Hotlink Fix‘ sammelten mit voller Absicht sehr viel mehr Nutzerdaten als für die eigentliche Funktion der Erweiterung nötig. Besonders schlimm war die Sammelwut wohl in der Firefox-Erweiterung, diese hat den gesamten Browserverlauf an die Macher der Erweiterung gesendet.

Zwar berichtet Mozilla, dass die neueste Version der Erweiterung diese Spionage-Funktion nicht mehr eingebaut hat, dennoch stellt sich die Frage, ob man einer Erweiterung, dessen Programmierer ganz offensichtlich fragwürdige Ziele hat, weiterhin vertrauen möchte. Wir raten dazu, diese Erweiterung zu deinstallieren.

Anwender sollten überhaupt sehr vorsichtig sein, welche Browser-Erweiterungen sie installieren. Diese Mini-Programme können auf viele sensible Daten im Browser zugreifen und dementsprechend auch sehr viel Schindluder damit treiben.

Quelle: 'Firefox-Erweiterung "Photobucket Hotlink Fix" spähte Nutzer aus' auf Heise Online

zur Übersicht

09.02.2018 – Spectre und Meltdown - Informationsupdate!

Meltdown & Spectre LogoKeine Woche ohne neue Informationen zu Spectre und Meltdown. Hier wie üblich eine Zusammenfassung:

Nichts Neues bei Windows, Apple und Android:

Bei den genannten Betriebssystemen gibt es keine Neuigkeiten. Der Informationsstand von letzter Woche gilt also nach wie vor.

Linux vorbildlich!

Während es bei den kommerziellen Betriebssystemen nichts zu berichten gibt und generell die Lage teils wegen unvollständiger Dokumentation vage ist, gehen die Linux Entwickler vorbildlich voran. Aktuelle Linux-Kernel nutzen alle zur Verfügung stehenden Abwehrmainahmen gegen Meltdown und Spectre Angriffe und schützten so mehr oder weniger gut gegen alle 3 Angriffe. Dabei nutzt Linux die Intel CPU-Updates sofern verfügbar aber auch Retpoline. Damit bietet Linux aktuell den besten Schutz gegen Meltdown und Spectre von allen Betriebssystemen. Falls Microsoft hier nicht nachzieht, könnte sich Linux als Betriebssystem für ältere Rechner anbieten, die keine BIOS-Updates mehr bekommen.

Retpoline doch nicht so toll?!

Letzte Woche haben wir die Google-Technik „Retpoline“ als mögliche Alternative zu CPU-Updates in den Raum gestellt und uns gefragt, warum Microsoft diese Technik nicht für Windows nutzt. Ein möglicher Grund dafür könnte die folgende Textpassage in einem Heise Online Artikel verdeutlichen: „Außerdem reicht Retpoline in einigen Situationen nicht “. Schon letzte Woche haben wir ja an der Schutzwirkung von Retpoline gezweifelt, nun haben wir es schwarz auf weiß, dass Retpoline keinen vollständigen Schutz gegen Spectre 2 liefert.

Warum Retpoline trotzdem gut ist…

Auch wenn Retpoline nicht zu 100 Prozent vor Spectre 2 Angriffen schützen kann, so wäre unserer Meinung eine nicht ganz vollständiger Schutz immer noch viel besser als gar kein Schutz. Linux macht ja sehr schön vor, dass sich Retpoline und CPU-Updates ergänzen können und sich nicht gegenseitig ausschließen. Vor allem unter dem Aspekt betrachtet, dass BIOS Updates vermutlich nur in sehr geringem Maß tatsächlich den Weg in die heimischen Computer finden werden, wird klar, dass Retpoline für alle Betriebssysteme sehr wichtig wäre.

Intel liefert wieder CPU-Updates an Hersteller!

Intel liefert wieder CPU-Microcode-Updates an Hersteller von Computern und Mainboards aus. Zudem hat der Prozessor-Gigant ein PDF veröffentlicht, das den aktuellen Stand für alle gängigen Intel Prozessoren aufzeigt. Interessant hierbei ist, dass z.B. schon Updates für viele Atom Prozessoren vorhanden sind. Oder, dass Intel Updates bis zurück zu den schon wirklich sehr alten Core 2 Prozessoren liefern möchte. Das macht Hoffnung, wenngleich natürlich das Problem damit nur an die Computer und Mainboard-Hersteller weitergereicht wird.

Quelle: Meltdown und Spectre Artikel auf Heise Online

zur Übersicht

02.02.2018 – Gefährliche Flash Sicherheitslücke bedroht Computer!

Adobe Flash LogoAdobe warnt vor einer neu entdeckten Sicherheitslücke in Adobe Flash Player, die bereits aktiv für Angriffe auf Windows-Computer ausgenutzt wird. Ein Update gibt es bisher noch nicht und deinstallieren ist nur auf Windows 7 möglich. Unter Windows 8.1 und 10 ist Flash Bestandteil des Betriebssystems und lässt sich nicht entfernen!

Die bisherigen Angriffe erfolgen aber nicht über Websites, sondern Office-Dateien die per Mail versendet werden. Für Benutzer von Microsoft Office bedeutet dies, dass sie entweder die Ausführung von ActiveX-Steuerelementen im Trust-Center deaktivieren (DATEI → OPTIONEN → Trust Center → EINSTELLUNGEN FÜR DAS TRUST CENTER → ActiveX-Einstellungen → ALLE STEUERELEMENTE OHNE BENACHRICHTIGUNG DEAKTIVIEREN → OK → OK ) oder in den nächsten Tagen einfach überhaupt keine per E-Mail zugesendeten Dokumente öffnen.

Anwender von LibreOffice 5.4 oder neuer sollten sicher sein, zumindest konnten wir keinen Hinweis darauf entdecken, dass in Version 5.4 und neuer überhaupt noch ActiveX-Plugins ausgeführt werden können. Wer noch eine Version vor LibreOffice 5.4.4 im Einsatz hat, sollte ohnehin updaten.

Bei Adobe wird sicherlich mit Hochdruck an einem entsprechenden Sicherheitsupdate gearbeitet, das dann in den nächsten Tagen veröffentlicht werden dürfte. Wir berichten natürlich wieder.

Quelle: 'Achtung: Zero-Day-Lücke! Angriff auf Flash Player, Patch noch nicht verfügbar' auf Heise Online

zur Übersicht

02.02.2018 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.6.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt 10 Sicherheitslücken, wovon eine als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

02.02.2018 – Firefox 58.0.1 behebt schwere Sicherheitslücke!

Mozilla Firefox LogoMozilla muss bereits wenige Tage nach der Veröffentlichung von Firefox 58 erneut eine schwere Sicherheitslücke beheben. Firefox Anwender sollten daher rasch auf Version 58.0.1 aktualisieren, falls nicht bereits geschehen. Anwender von Firefox ESR oder Firefox für Android sind von diesem Fehler nicht betroffen.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Wichtiges Sicherheitsupdate: Präparierte Webseiten können Firefox austricksen' auf Heise Online

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

02.02.2018 – Spectre und Meltdown - Informationsupdate!

Meltdown & Spectre LogoKeine Woche ohne neue Informationen zu Spectre und Meltdown. Hier wie üblich eine Zusammenfassung. Bevor wir auf die einzelnen Details eingehen, hier einmal eine aktuelle Übersicht wie es denn mit dem Spectre und Meltdown Schutz aktuell aussieht:

Aktueller Schutzstatus … für Windows Systeme:

Unter Windows ist der Schutz gegen Meltdown und Spectre 1 mittlerweile relativ gut, solange man ein 64Bit System verwendet, alle Updates installiert hat und eine aktuelle Vivaldi, Opera, Firefox, Edge, Internet Explorer oder Google Chrome Version verwendet. Besitzer eines Computers mit 32Bit Windows und Intel Prozessor sind gegen Meltdown noch ungeschützt, sofern nicht Windows 10 Version 1709 zum Einsatz kommt. Ebenfalls ungeschützt sind Windows Computer aktuell gegen Spectre Variante 2.

MacOS und iOS:

Apple LogoImmer noch hat Apple keinerlei Informationen veröffentlicht, gegen welche Spectre Variante seine Updates schützen sollen. Mangels Informationen gehen wir davon aus, das die Situation ähnlich wie unter Windows ist. Das heißt, Apple Geräte die alle Updates installiert haben (MacOS 10.13.2 oder neuer bzw. iOS 11.2.2 oder neuer) sollten vor Meltdown und Spectre Variante 1 relativ gut geschützt sein, solange sichere Browser zum Einsatz kommen. Ob Apple einen Schutz gegen Spectre Variante 2 implementiert hat, ist ungewiss, weshalb wir davon ausgehen müssen, dass Apple Geräte nach wie vor nicht gegen Spectre 2 geschützt sind.

Android:

Wie schon letzte Woche, können wir nur auf die Stellungnahme von Google verweisen, wonach das Android Sicherheitsupdate vom 5.1.2018 Updates gegen Spectre 1 bringt. Dies betrifft aber nur den eingebauten Browser, alle anderen Webbrowser müssen natürlich von den jeweiligen Herstellern abgesichert werden. So ist z.B. Opera für Android nach wie vor gegen Spectre 1 ungeschützt. Immerhin dürfte Meltdown hier kaum ein Thema sein.

AMD Aussendung beantwortet Fragen und schafft Neue:

AMD LogoAMD hat ein fünfseitiges Schreiben mit Details zu Spectre und Meltdown veröffentlicht. Die gute Nachricht zuerst, bisher soll es noch niemandem gelungen sein, einen erfolgreichen Angriff per Spectre 2 auf AMD Prozessoren zu demonstrieren. Die schlechte Nachricht ist, dass BIOS Updates, die die Lücke direkt im Prozessor blockieren sollen, wohl nur für aktuelle Prozessoren mit ZEN Architektur, also Ryzen, Threadripper und Epic kommen werden, da man auf älteren Prozessoren die nötigen Funktionen einfach nicht per Microcode-Update nachrüsten kann. Allerdings bringt AMD auch eine Technik ins Spiel, die die Situation mit Spectre 2 komplett verändern könnte. AMD nach zu urteilen ist es nämlich gar nicht zwingend nötig BIOS-Updates zu veröffentlichen, weil man Googles „Retpoline“-Technik zutraut die Gefahr auf ein vertretbares Maß zu reduzieren.

Ist Retpoline der heilige Grahl oder nur Augenauswischerei?

Retoline ist eine Google-Entwicklung die behauptet, Schutz gegen Spectre Variante 2 bieten zu können ohne die Prozessoren selbst upzudaten. Google prahlt damit, mit dieser Technik seine Server im Rechenzentrum schon seit Monaten gegen Spectre 2 abgesichert zu haben. Obendrein soll Retpoline weniger Leistung kosten als die Updates für die Prozessoren. Klingt zu gut um wahr zu sein? Das Problem ist, im wissenschaftlichen Bericht zu Spectre wird ausdrücklich erwähnt, dass nur Updates der Prozessoren eine Lösung darstellen. Und wenn Retoline rundherum besser ist, warum setzt dann Microsoft für Windows nicht ebenfalls auf diese Technik? Es bleibt also spannend.

Microsoft deaktiviert Spectre 2 Schutz wegen mangelhafter Intel Updates!

Intel LogoAufgrund der mangelhaften Microcode-Updates von Intel, die bei einigen Prozessoren zu sporadischen Neustarts geführt haben (wir haben berichtet), sah sich jetzt Microsoft gezwungen den Spectre 2 Schutz in Windows per Sicherheitsupdate zu deaktivieren! Ein eindeutiges Indiz dafür, dass es bei Intel gerade nicht so rund läuft. Auch neue Microcode-Updates sind noch nicht absehbar.

Zahl der Spectre 1 „Viren“ steigt rapide!

Laut Anti-Viren-Spezialisten sind mittlerweile rund 140 verschiedene Software-Varianten gesichtet worden, die Spectre 1 Code enthalten. Allerdings ist aktuell nicht zu sagen, wie viel davon „Testprogramme“ sind, die nur den Sicherheitsstatus prüfen, und wie viele davon tatsächlich schädliche Absichten haben. Es sollen jedenfalls noch keine erfolgreichen Angriffe über Spectre 1 entdeckt worden sein. Allerdings sollte man sich davon nicht in falsche Sicherheit wiegen lassen, denn sowohl gute wie böse Hacker arbeiten offensichtlich mit Hochdruck an dem Thema.

Quelle: Meltdown und Spectre Artikel auf Heise Online

zur Übersicht

02.02.2018 – Neue 7-Zip Version schließt mögliche Sicherheitslücke

Der Hersteller des beliebten kostenlosen Pack-Programmes ‚7-Zip‘ hat die Version 18.01 veröffentlicht. Unbestätigte Quellen deuten auf eine Sicherheitslücke hin, die in dieser Version behoben wurde. Auch wenn die Lücke nicht bestätigt ist bisher, raten wir das Update zu installieren. Besondere Eile herrscht aber wohl nicht. Fehler konnten wir in der neuen Fassung bei einem ersten Kurztest keinen finden, im Gegenteil, ein lästiger Bug aus Version 16.04 wurde behoben. Natürlich gibt es auch viele weitere kleine Neuerungen, die man in der Liste der Änderungen nachlesen kann.

Download: 7-Zip v18.01, mehrsprachig, 32Bit

Download: 7-Zip v18.01, mehrsprachig, 64Bit

Info: 'What's new in 7-Zip 18.01' auf sourceforge.net (Englisch)

Info: 7-Zip Homepage (Englisch)

zur Übersicht

02.02.2018 – LibreOffice 6.0 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 6.0 der freien Bürosuite veröffentlicht. Neben den üblichen Verbesserungen an unter anderem dem Datenaustausch mit Microsoft Office gibt es auch leichte Änderungen an der Benutzeroberfläche.

In einem ersten Kurztest konnten wir keine offensichtlichen neuen Fehler entdecken, da wir aber grundsätzlich brandneue LibreOffice Versionen immer nur für Leute empfehlen, die gerne neue Software testen, werden wir ausführlicher darüber berichten, wenn Version 6.0.1 veröffentlicht wird. Wer die neue Version jetzt bereits unter die Lupe nehmen möchte, findet auf Heise Online einen Artikel zu der neuen Version.

Quelle: 'LibreOffice 6.0 signiert und verschlüsselt mit OpenPGP' auf Heise Online

Quelle: Liste der Neuerungen in LibreOffice 6.0

Download: Aktuelle LibreOffice Versionen (5.4 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (6.0 Serie)

zur Übersicht

02.02.2018 – Microsoft Office 2019 nur für Windows 10

Microsoft Office LogoFans von Windows 7 und 8.1 werden enttäuscht sein, denn Microsoft wird wohl MS Office 2019 nur für Windows 10 auf den Markt bringen. Ob sich das neue Office auf älteren Betriebssystemen gar nicht installieren lassen wird oder man ‚nur‘ keinen Support erhält, wird sich erst herausstellen. Außerdem plant Microsoft angeblich das neue Office nur in Heimanwender-Versionen (Click and Run) auf den Markt zu bringen, was es für Firmen nahezu unbrauchbar machen würde. Zu guter Letzt soll auch noch der Support von 10 Jahren auf 7 Jahre heruntergeschraubt werden. Sollte sich das alles bewahrheiten, wird Microsoft da nicht gerade viel Freude bei Firmenkunden ernten.

Quelle: 'Microsoft: Office 2019 benötigt Windows 10' auf Heise Online

zur Übersicht

25.01.2018 - Endlich Spectre 1 Update für Google Chrome

Google Chrome LogoGoogle hat nun endlich als letzter der großen Hersteller eine Browser-Version veröffentlicht, in der erste Maßnahmen gegen Spectre 1 getroffen wurde. Das allein wäre schon Grund genug für jeden Anwender zügig zu aktualisieren, aber Google hat auch gleich noch weitere 53 (!) Sicherheitslücken in Google Chrome behoben. Details dazu hat Google noch nicht preisgegeben, aber es ist davon auszugehen, dass einige der Schwachstellen kritisch sind. Google Chrome Anwender sollten also möglichst rasch aktualisieren.

Quelle: 'Google wappnet Chrome gegen Spectre und 52 weitere Sicherheitslücken' auf Heise Online

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

25.01.2018 - Skype und andere Programme durch Electron-Sicherheitslücke bedroht

Skype LogoIm Programier-Framework Electron wurden kritische Fehler behoben, die zur Infektion des Computers mit Viren genutzt werden konnten. Dazu muss lediglich eine entsprechend präparierte Website besucht werden. Auch völlig legitime Webseiten können durch gehackte Werbebanner missbraucht werden.

Da Electron kaum einem Anwender etwas sagen wird, haben die Entdecker als Beispiel Skype und den Messenger 'Slack' genannt, die das fehlerhafte Framework verwenden und damit unsicher sind. Während Slack eine konkrete Version nennt, nämlich 3.0.3, ab der das Programm entsprechend abgesichert wurde, ist die Lage bei Skype leider sehr undurchsichtig.

Unklare Situation bei Skype für Windows

Microsoft hat als Kommentar auf die Electron Lücke nur verlautbaren lassen, dass "die neueste Version" von Skype bereits abgesichert ist. Da aber für Windows drei verschiedene Serien von Skype existieren, ist diese Aussage absolut ungenügend. Es könnte natürlich bedeuten, dass jede der drei Serien bereits abgesichert wurde. Ebenfalls möglich ist aber, dass nur die 8er Ausgaben für Windows 7 und 8.1, sowie die Windows 10 App abgesichert wurden. Wie gesagt, mangels präziser Information von Microsoft kann man momentan nur raten. Da die letzte Fassung der 7er Serie (Version 7.40) bereits seit ein paar Monaten kein Update mehr erhalten hat, ist es unwahrscheinlich, dass hier ein Electron Update eingearbeitet wurde. Allerdings könnte es auch sein, dass die 7er Serie gar kein Electron Framework nutzt.

War das der Todesstoß für Skype 7?

Aufgrund der unklaren Situation haben Anwender, die auf Nummer sicher gehen wollen, momentan keine andere Wahl als auf die neueste Version der 8er Serie bzw. unter Windows 10 auf die Skype Fassung aus dem Windows Store zu wechseln. Skype 7 sollte deinstalliert werden. Falls von Microsoft in den nächsten Tagen nicht noch genauere Informationen kommen, wäre das der Todesstoß für die Skype 7,x Serie. Das wird viele Skype Nutzer vor den Kopf stoßen, denn die 8er Serie ist nicht unbedingt jedermanns Sache. Auch wir empfinden die Benutzeroberfläche der 8er Serie als deutlich schlechter als die der Serie 7. Die Sicherheitslücke betrifft übrigens auch Anwender die Skype gar nicht gestartet haben, es genügt, wenn das Programm installiert ist.

Quelle: 'Electron: Schwachstelle in Framework betrifft zahlreiche Windows-Apps' auf Heise Online

Download: Aktuellste Skype Version

zur Übersicht

23.01.2018 - Spectre und Meltdown - Informationsupdate!

Spectre und Meltdown LogoSeit dem letzten Artikel über die Spectre und Meltdown Lücken hat sich wieder viel getan. Hier eine Übersicht über die neuen Erkenntnisse:

Meltdown Sicherheitsupdate jetzt auch für manche 32Bit Systeme

Letzte Woche kam ja noch in letzter Minute die Meldung rein, dass die bisherigen Windows-Sicherheitsupdates keinen Meltdown-Schutz auf 32Bit Systemen brachten. Hier gibt es eine gute und schlechte Nachricht: Die Gute, es gibt nun auch Sicherheitsupdates gegen Meltdown für 32Bit Windows Versionen. Die Schlechte: Das Update existiert bisher nur für Windows 10 Version 1709, alle anderen (32Bit) Windows Versionen schauen noch durch die Finger.

Sicherheitsupdate auf AMD System wieder ausgeliefert

Microsoft liefert nun wieder Sicherheitsupdates für alle Prozessoren aus, auch für ältere AMD Prozessoren, die wegen Boot-Problemen vorübergehend keine Updates bekamen. Diese Probleme wurden in aktualisierten Updates behoben.

Vivaldi und Opera integrieren erste Spectre Updates

Vivaldi und Opera kommen Google zuvor und haben bereits gestern Updates gegen Spectre ausgeliefert. Google soll mit Chrome 64 erst morgen folgen. Das heißt, Vivaldi (Version 1.13.1008.44) und Opera (Version 50.0.2762.67) Anwender haben schon mal einen ersten rudimentären Schutz gegen Spectre Variante 1. Gegen Spectre Variante 2 nützen diese Updates allesamt nichts, wenn unsere Informationen stimmen. Hier bedarf es nach wie vor BIOS Updates.

Intel zieht BIOS Updates zurück

Intel hatte bereits für viele aktuellere Prozessoren Updates an die Mainboard-Hersteller geliefert, muss diese aber nun zurückziehen. Grund dafür sind die sporadischen Neustarts, über die wir bereits letzte Woche berichtet hatten. Gerüchtweise soll Intel die Ursache allerdings gefunden haben, weshalb vielleicht bald neue Updates ausgeliefert werden können.

Noch keine BIOS-Updates für AMD Systeme

AMD muss keine fehlerhaften BIOS-Updates zurückziehen, denn es wurden noch gar keine ausgeliefert. Eigentlich hatten wir erste Updates bereits erwartet, vielleicht testet AMD angesichts der Probleme bei Intel aber noch etwas ausgiebiger.

Einfaches Meltdown und Spectre Prüfprogramm für Windows

Die Überschrift ist etwas ungenau, denn Meltdown-Spectre-Prüfprogramme für Windows gibt es schon länger, allerdings richteten sich diese eher an Profis. Eine Endanwender-freundliche Software bietet nun Ashampoo an. Einfach herunterladen, starten, und schon bekommen sie eine einfache Antwort auf die Frage, ob der getestete PC für Spectre und Meltdown anfällig ist. Ärgern Sie sich nicht, wenn das Programm sagt, dass ihr PC nicht sicher gegen Spectre ist, das gilt momentan für fast alle Computer weltweit, egal ob Windows, Linux, MacOS , iOS oder Android.

Browser Testwebsite für Spectre 1

Ebenfalls sehr Anwenderfreundlich ist ein Browser-Tester, der die Existenz der etablierten Gegenmaßnamen gegen Spectre 1 im Browser prüft. Zeigt der Test also ein grünes „Your browser is NOT VULNERABLE to Spectre“ an, bedeutet das nur, das die ersten bekannten Schutzmaßnahmen gegen Spectre Variante 1 aktiv sind. Das Testergebnis liefert keinen Hinweis auf den Schutz gegen Spectre Variante 2. Trotzdem ist der Test nützlich, um die persönlich verwendeten Browser mal selbst testen zu können und sich nicht auf Herstellerversprechen oder Gerüchte verlassen zu müssen.

Inoffizielle Update-Auskunft einiger Smartphone-Hersteller

Smartphone LogoDie Betreiber der italienischen Website Ricompro haben sich die Mühe gemacht bei einigen Smartphone-Herstellern nach deren Plänen für Sicherheits-updates für ihre Geräte nachzufragen. Das Ergebnis ist eine kleine Liste von Produkten und damit nur ein sehr kleiner Teil des gesamten Smartphone-Marktes. Mit Ausnahme des Motorola Moto E sollen demnach alle Geräte (der Liste) ab Verkaufsjahr 2016 noch ein Spectre-Update erhalten. Doch Vorsicht, erstens sind das nur Absichts-Erklärungen und noch lange keine fertigen Updates, zweitens bedeutet das nicht, dass diese Geräte auch Updates gegen Spectre Variante 2 erhalten. Ein Update gegen Spectre 1, so wie sie aktuelle Google und Apple für ihre Smartphones bereits anbieten, ist besser als nichts aber noch kein vollständiger Schutz vor Spectre. Zur Abwechslung wollen wir an der Stelle aber einmal Apple loben, denn nachdem Microsoft vom Smartphone-Markt leider verschwunden ist, bietet Apple jetzt den längsten Support für seine Geräte mit durchschnittlich 4 Jahren. Uns wären aber, angesichts gigantischer Smartphone-Müllbergen, noch deutlich längere Support-Zeiten recht. Nach Apple belegt jedenfalls Android-Marktführer Samsung Platz zwei, hier sollen die Galaxy S, A und J-Serien ab Verkaufsjahr 2015 noch Updates erhalten. Das bereits gezeichnete traurige Gesamtbild, wenn es um Sicherheit bei Android geht, bleibt leider bestehen. Meltdown und Spectre sind hier ja nur die Spitze des Eisberges, Android Geräte ohne aktuelle Sicherheitsupdates sehen sich auch dutzenden weiteren Bedrohungen ausgesetzt.

Quelle: 'Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück' auf Heise Online

Info: Spectre Variante 1 Browser Test (Englisch)

Download: Ashampoo Spectre Meltdown CPU Checker

Quelle: 'Kleine Übersicht über gängige Smartphones und voraussichtliche Sicherheitsupdates" auf GoogleWatchBlog.de

Quelle: 'Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern' auf Heise Online

zur Übersicht

23.01.2018 - Firefox 58 - Sicherheitsupdate und noch mehr Tempo

Firefox LogoDie Mozilla Entwickler waren fleißig und haben schwere Sicherheitslücken in den beiden neuen Firefox Versionen behoben.

Firefox 58.0:

Das die in weiten Teilen komplett neu programmierte Firefox Version 57 auch etliche neue Fehler mitbrachte belegt nun Version 58 von Firefox, denn die Entwickler haben nicht weniger als 32 Sicherheitslücken geschlossen. Eine der Lücken gilt als kritisch, die anderen haben hohes Gefahrenpotential. Firefox Anwender sollten daher wie üblich möglichst rasch auf die neue Version updaten. Belohnt werden sie dabei nicht nur durch mehr Sicherheit, sondern auch etwas mehr Tempo. Der neue Firefox soll nochmal an Geschwindigkeit zugelegt haben.

Firefox ESR 52.6:

Die Firefox ESR Ausgabe 52.6 beinhaltet insgesamt 11 Sicherheitskorrekturen, von denen ebenfalls eine als kritisch einstuft ist. Auch Firefox ESR Anwender sollten daher rasch aktualisieren.

Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

23.01.2018 - Schadsoftware im Chrome Web Store

Google Chrome LogoOft heißt es, dass die Apps und Erweiterungen, die über die Stores der jeweiligen Hersteller vertrieben werden, sicher sein sollen, dass das sehr häufig nicht zutrifft ist jedoch ebenfalls bekannt. Neustes Beispiel sind vier betrügerisch Erweiterungen für Google Chrome, die es trotz Prüfung in den Chrome Web Store geschafft haben. Namentlich sind das ‚Change HTTP Request Header‘, ‚Lite Bookmarks‘, ‚Nyoogle‘ und ‚Stickies‘. Anwender, die eine dieser Erweiterungen in Google Chrome, Opera oder Vivaldi installiert haben, sollten diese umgehend entfernen.

Die primäre Schadfunktion ist Werbebetrug, das heißt die Apps gaukeln Werbepartner Klicks auf deren Werbebanner vor, die der Anwender nie ausgeführt hat. Jedoch haben Analysen der Erweiterungen auch gezeigt, dass der Entwickler der Apps bereits an einem Fernzugriff auf die betroffenen Geräte gearbeitet hat, was noch weit größeren Schaden hätte anrichten können.

Google hat alle vier Erweiterungen mittlerweile aus dem Store entfernt. Anwender sollten dies als Warnschuss verstehen, sich nicht auf die Prüfung der Erweiterungen durch Google zu verlassen. Ein kritischer Blick auf alle potenziell interessanten Erweiterungen ist auf jeden Fall ratsam. Grundsätzlich sollte man mit Browser-Erweiterungen generell sparsam umgehen, da durch diese sehr leicht die Geschwindigkeit leiden kann oder unangenehme Wechselwirkungen entstehen.

Quelle: 'Chrome-Erweiterungen mit Schadcode bedrohen über 500.000 Nutzer' auf Heise Online

zur Übersicht

12.01.2018 - Sicherheitsupdate für Adobe Flash

Adobe Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 28.0.0.137. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

12.01.2018 - Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Neben den Updates gegen Meltdown und Spectre, die Microsoft nun auch für Windows 7 und 8.1 über Windows Update ausliefert, steht hier vor allem ein Update für Office im Vordergrund. Angreifer nutzen präparierte RTF Dokumente, um Computer mit Viren zu infizieren. Die Office Sicherheitsupdates beheben diese Lücke. Erstaunlicherweise gibt es das Update auch für Office 2007, das eigentlich seit Herbst letzten Jahres keine Updates mehr erhält. Was Microsoft hiermit bezweckt entzieht sich unserer Logik, denn durch solche Aktionen werden Anwender von Office 2007 nur in falsche Sicherheit gewogen.

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit 2014 (XP) bzw. Februar 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Frisch aus dem Support rausgewachsen ist nun leider auch Windows 10 Mobile Version 1511. Wer ein Handy mit diesem System hat und kein Update auf neuere Versionen angeboten bekommt, sieht sich nun leider mit einem potenziell unsicheren System konfrontiert. Wer sicher bleiben möchte, braucht ein neueres Handy. Dasselbe gilt natürlich auch für Windows Phone 6, 7, 8 und 8.1. Bereits im Herbst dieses Jahres geht dann Version 1607 in den Ruhestand.

zur Übersicht

12.01.2018 - Neuigkeiten zu den Spectre und Meltdown Sicherheitslücken!

Meltdown & Spectre LogoSeit dem letzten Artikel über die Spectre und Meltdown Lücken hat sich viel getan. Hier eine Übersicht über die neuen Erkenntnisse:

Nicht betroffene Prozessoren und Geräte

Fangen wir mal mit einer guten Nachricht an. Es gibt tatsächlich auch moderne Computersysteme, die nicht von Spectre oder Meltdown betroffen sind. Das liegt vor allem daran, das manche sehr stromsparende ARM Prozessoren gar keine spekulativen Funktionen nutzen. Dazu gehört beispielsweise das ARM Cortex-A53 Design. Dieses Design verwenden z.B. der Raspberry Pi oder das Motorola Moto G3. Hier ist man also unabhängig von irgendwelchen Software-Updates immun gegen Spectre und Meltdown. Welche (Android-)Geräte sonst noch immun sind lässt sich leider mangels umfangreicher Listen der Hersteller im Moment schwer herausfinden.

BIOS-Updates für Intel und AMD Systeme

UEFI LogoGegen Spectre Variante 2 hilft nach aktuellem Kenntnisstand nur ein BIOS- bzw. UEFI-Update (weiters nur noch BIOS-Update genannt). Mit Betriebssystem- oder Programm-Updates alleine kommt man hier nicht weiter.
- Intel hat bereits angekündigt, für Prozessoren ab Modelljahr 2014 BIOS-Updates bis spätestens Ende Jänner 2018 bereitzustellen. Danach kümmert man sich um ältere Prozessoren, ohne Details dazu zu nennen. Sollte Intel nicht auch Updates für ältere Prozessoren anbieten, müssten Milliarden von Anwendern weltweit neue Computer kaufen, um sich gehen Spectre 2 zu wappnen.
- AMD hat seine erste Meldung bzgl. den Lücken nun leider etwas revidieren müssen, auch AMD Prozessoren benötigen demnach ein BIOS-Update. Für Prozessoren aus der Ryzen, Epic (und vermutlich auch Threadripper) Baureihe sollen die Updates bereits auf dem Weg zu den Mainboard- und System-Herstellern sein. Weiters sagt AMD, das Updates für ältere Prozessoren in den nächsten Wochen bereitstehen sollen. Welche ‚ältere Prozessoren‘ aber genau das sein sollen, lässt AMD vorerst im Unklaren.
- Das Problem bei BIOS-Updates ist natürlich, dass man dabei nicht nur vom Prozessor-Hersteller, sondern auch vom jeweiligen Mainboard bzw. Notebook-Hersteller abhängig ist. Denn diese müssen die Updates von Intel und AMD schlussendlich in fertige BIOS-Updates ummünzen. Und wieviele Hersteller können es sich leisten für sämtliche Produkte der letzten 10 Jahre Updates anzubieten? Es ist zu befürchten, das hier sehr viele ältere System auf der Strecke bleiben, was einem Sicherheits-Supergau entspricht.
- Zuguterletzt bleibt es dann noch am Besitzer des Computers hängen, nach diesen möglicherweise verfügbaren BIOS-Updates zu suchen, sie herunterzuladen und einzuspielen. Leider ist das ein Prozess der die meisten Endanwender überfordern dürfte, was zu noch mehr verwundbaren Rechnern führen wird.

Probleme mit dem Windows-Update bei AMD Prozessoren

AMD LogoMicrosoft zieht Updates für Systeme mit "manchen AMD Prozessoren" zurück. Bei AMD selbst erfährt man immerhin, dass folgende Prozessor Familien betroffen sind: AMD Opteron, Athlon und AMD Turion X2 Ultra. Wirklich detailliert ist auch diese Auskunft nicht, aber besser als "ältere Prozessoren". Es ist aber davon auszugehen, dass Microsoft bald eine neue Revision der Updates fertig haben wird, die sich dann auch auf Systemen mit diesen Prozessoren nützen lässt.

Spontane Neustarts bei Intel Prozessoren nach BIOS-Update

Intel LogoGerade haben wir noch eine Meldung gesehen, wonach Intel Prozessoren aus der Core i 4000 und 5000 Generation (bzw. die entsprechenden Xeon, Celeron und Pentium Varianten) unter gewissen Umständen zu spontanen Neustarts neigen, wenn die aktuellen BIOS-Updates installiert wurden. Besitzer solcher Rechner haben aktuell also die Wahl zwischen einem sicheren oder stabilen Prozessor – keine schöne Wahlmöglichkeit. Intel untersucht das Problem gerade und will so bald wie möglich neue BIOS-Updates an die Hersteller senden.

Spectre & Meltdown in freier Wildbahn?

Für Meltdown und Spectre wurde bereits Schadsoftware im Internet entdeckt. Vor allem das einfacher auszunutzende Meltdown (nur Intel Prozessoren) dürfte schon bald aktiv angewendet werden. Spectre ist sehr viel komplizierter, weshalb Anwender hier (hoffentlich) noch ein paar Tage oder Wochen Schonfrist haben.

Angaben zum Leistungsverlust präzisiert:

Intel LogoNun liegen auch etwas mehr Informationen zum Leistungsverlust bei aktivierten Meltdown- bzw. BIOS-Updates vor. So leidet vor allem die Geschwindigkeit von sehr schnellen SSDs stark nach Einspielen der Intel-BIOS-Updates. Die Meltdown-Updates in den Betriebssystemen treffen hingegen speziell ältere Intel-Prozessoren (Core i 1000-4000) stärker, während neuere Prozessoren (Core i 6000 und neuer) weniger stark ausgebremst werden. Die nicht erwähnte 5000er Serie wird vermutlich dazwischen liegen.
Da AMD Prozessoren nicht über Meltdown angreifbar sind, sollten die Betriebssystem-Updates hier auch keine Performance-Auswirkungen zeigen. Wie sich das ganze dann verhält, wenn die BIOS-Updates verfügbar sind, wird sich erst noch zeigen.

Apple hat erste Spectre-Updates fertig

Apple LogoApple hat nun ebenfalls Sicherheitsupdates gegen Spectre veröffentlicht. Dabei handelt es sich um iOS 11.2.2, macOS High Sierra 10.13.2 Supplemental Update, und Safari 11.0.2 für macOS Sierra und OS X El Capitan. Letzteres ist ein wenig merkwürdig, denn es stehen jetzt zwar Updates gegen Spectre für macOS 10.10 und 10.11 bereit, aber KEINE Updates gegen Meltdown! Apple-Geräte mit einer älteren macOS Version als 10.12.2 bleiben damit unsicher! Immerhin können iPhone und iPad Anwender jetzt wieder halbwegs beruhigt sein, sofern sie eben iOS 11.2.2 auf dem Gerät haben. Ein Problem bleibt aber bei allen Apple Geräten: Apple hat keinerlei Informationen bereitgestellt, die erläutern gegen welche Spectre Version die Updates schützen sollen. Da, wie wir gelernt haben, für den Schutz gegen Spectre 2 ein BIOS-Update (bei Apple Geräten traditionell eine EFI-Variante) nötig ist, nützen Safari-Updates hier nichts. Vielleicht können wir ja nächste Woche hier für Aufklärung sorgen, bis dahin betrachten wir Apple Geräte aber NICHT vollständig immun gegen Spectre.

Nvidia liefert ebenfalls Spectre Updates!

Etwas unerwartet war die Ankündigung von Nvidia, ebenfalls Updates gegen Spectre zu veröffentlichen. Die neuen Treiber sollen Spectre 1 Angriffe erschweren. Updates gegen Spectre 2 sollen später kommen. Ob die Lücken tatsächlich im Treiber selbst oder den mitgelieferten Anwendungen behoben wurden, ist unklar. Von Konkurrent AMD ist bisher nur zu hören, das Radeon Grafikkarten nicht anfällig auf Meltdown und Spectre sind. Ob das explizit auch für die Treiber gilt, wird sich vielleicht noch zeigen.

Meltdown Updates bisher nutzlos auf 32Bit Systemen!

Und noch ein Nachtrag in letzter Sekunde: Wie Heise Security soeben festgestellt hat, zeigen die letzten Windows Updates auf 32Bit Systemen keine Wirkung! Auch unter Linux soll es noch keine wirksamen Updates gegen Meltdown auf 32Bit Systemen geben. Technische Gründe gibt es dafür laut einem Linux-Entwickler nicht, es war schlicht noch nicht die Zeit um wirksame Updates für 64Bit UND 32Bit Systeme zu entwickeln, und da 32Bit Systeme heutzutage deutlich seltener sind, kommen diese erst später dran. Warum aber eine riesige Firma wie Microsoft nicht beide Varianten gleichzeitig entwickeln konnte ist merkwürdig. Anwender von 32Bit Systemen sind daher einem massiv höheren Risiko ausgesetzt als Besitzer eines 64Bit Systems.

Quelle: 'An Update on AMD Processor Security' auf AMD.com

Quelle: 'Meltdown und Spectre: Mitentdecker warnt vor erstem Schadcode' auf Heise Online

Quelle: 'Patch gegen Spectre: Aktualisierte Nvidia-Grafiktreiber für GeForce und Quadro, Tesla-Treiber später' auf Heise Online

Quelle: 'Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern' auf Heise Online

Quelle: 'Meltdown-Patches: 32-Bit-Systeme stehen hinten an' auf Heise Online

zur Übersicht

05.01.2018 - Sicherheitslücken Spectre und Meltdown - Ein Überblick

Meltdown & Spectre LogoSo mancher Leser dieses Artikels wird in den Nachrichten schon über die gravierenden Sicherheitslücken in Prozessoren gehört oder gelesen haben. Teils sind diese Meldungen allerdings hoffnungslos übertrieben, weshalb wir hier etwas Klarstellung betreiben wollen:

Was ist Meltdown und Spectre?

Unter diesen zwei Begriffen werden in Summe eigentlich 3 Sicherheitslücken zusammengefasst. Allen drei ist gemeinsam, dass das eigentliche Problem in den betroffenen Prozessoren von Intel, ARM und AMD liegt. Meldungen, wonach nur Intel Prozessoren betroffen sind, stimmen nicht, wenngleich Intel am meisten falsch gemacht hat, während in AMD Prozessoren „nur“ eine Sicherheitslücke steckt. Alle 3 Lücken ermöglichen das Auslesen von Bereichen des Arbeitsspeichers, der eigentlich geschützt sein sollte. Dadurch könnte ein bösartiges Programm oder eine Webseite sensible Daten stehlen, z. B. Passwörter oder Kreditkarten-Daten.

Was die Lücken NICHT können!

In den Nachrichten haben wir wie gesagt die wildesten Geschichten gehört, wie z.B. dass ein Programm, dass diese Lücken ausnützt, die gesamten Daten der Festplatte auslesen kann. Das ist NICHT korrekt. Wie schon geschrieben, kann über die Lücke nur auf manche Bereiche des Arbeitsspeichers zugegriffen werden, NICHT direkt auf die Festplatte.
Auch ermöglichen die Lücken keinen schreibenden Zugriff auf den PC, es können also keine Dateien manipuliert oder der PC verseucht werden. Außerdem kann ein Angreifer die Lücken nicht direkt aus dem Internet ausnützen, man muss immer erst ein Programm auf den betroffenen Computer schleusen, oder das Opfer zum Besuch einer entsprechend manipulierten Website bewegen. Daher sind abgesehen von den Betriebssystemherstellern auch die Browser-Hersteller die Ersten, die Sicherheitsupdates anbieten.

Werden PCs wirklich deutlich langsamer durch die Updates?

Noch eine Aussage aus dem Rundfunk, die man klar entkräften muss. Zwar können im schlimmsten Fall wohl tatsächlich Leistungseinbußen bis zu 30% auftreten, aber das gilt nur für sehr seltene Anwendungsfälle. Die meisten privaten Computernutzer werden durch diese Updates keine Verlangsamung des Computers bemerken.

Also ist das eigentlich harmlos?

NEIN! Das sind tatsächlich ernste Lücken, die möglichst rasch behoben werden müssen. Außerdem ist es ein Sargnagel mehr für Geräte, die keine Betriebssystem-Updates mehr bekommen, wie Computer mit Windows XP oder Vista, oder die meisten älteren Smartphones und Tabletts. Von den unzähligen IoT Geräten (Smart-Devices, Router, IP-Kameras usw.), die wohl niemals ein Update erhalten werden, ganz zu schweigen!
Auch wichtig, wenn die ganzen Updates dann mal installiert sind (sofern es überhaupt welche gibt), sollten auch alle Passwörter geändert werden, für den Fall, dass diese bereits ausgelesen wurden. Nachdem die Lücken praktisch schon ewig existieren und die ersten Leute schon monatelang darüber informiert sind, ist nicht auszuschließen, dass sensible Daten auf einzelnen Computern bereits abgegriffen wurden.

Microsoft:

MS Windows LogoMicrosoft hat Updates für alle unterstützten Betriebssysteme veröffentlicht, allerdings werden bisher nur die Updates für Windows 10 über die Windows Update Funktion vertrieben, und auch dort nur in Wellen. Wer unbedingt sofort geschützt sein will, muss die Updates also manuell herunterladen, was wir nur Profis empfehlen. Die Updates für Windows 7 und 8.1 werden voraussichtlich ab der Nacht von 9. auf 10. Jänner per Windows Update vertrieben. Die Update-Pakete enthalten jeweils Sicherheitskorrekturen für Windows selbst, Internet Explorer und Microsoft Edge. Hier eine Liste der jeweiligen Knowledgebase Artikel für die einzelnen Betriebssysteme bzw. die Buildnummern für Windows 10 nach erfolgreich installiertem Update:

Wichtig zu Wissen für Windows Anwender ist zudem, dass diese Updates überhaupt nur dann installiert werden können, wenn der auf dem System installierte Virenscanner das „genehmigt“. Alle noch unterstützten Virenscanner von Kaspersky wurden schon entsprechend modifiziert, selbes soll auch für aktuelle Produkte von Avast und Microsoft selbst gelten. Wie die Situation bei anderen Anti-Virus Anbietern aussieht, können wir leider aktuell nicht sagen. Ist auf dem System jedenfalls ein nicht ausdrücklich als kompatibler Virenscanner installiert, wird das Windows Update gar nicht erst angeboten und kann auch manuell nicht installiert werden.

Außerdem sieht es so aus, als würden die Updates für Windows 10 auf manchen PCs mit AMD-Prozessoren nicht gelingen. Hier entstehen dann sehr unangenehme Boot-Schleifen, weil der Computer immer wieder versucht das Update zu installieren und es immer wieder misslingt. Details, welche AMD-Prozessoren genau betroffen sind, oder ob es andere Zusammenhänge gibt, sind leider noch nicht verfügbar.

Google Chrome & Android:

Google Chrome LogoGoogle hat Sicherheitskorrekturen für Version 64 von Google Chrome angekündigt, die am 23. Jänner erwartet wird. Wer bis dahin sicher bleiben will, kann auf Desktop/Notebook-Systemen die experimentelle Funktion „Strict site isolation“ einschalten. Geben sie dazu die Adresse "chrome://flags#enable-site-per-process" (ohne Anführungszeichen) in die Adressleiste des Browsers ein gefolgt von Enter. Klicken sie dann im Absatz „Strict site isolation“ auf AKTIVIEREN. Das soll ebenfalls verhindern, dass z.B. Anmeldedaten einer Website ausspioniert werden können.
Besitzer eines Android Gerätes sind hingegen auf der sicheren Seite, wenn das Sicherheitsupdate 2018-01-05 installiert ist, und zwar (anscheinend, laut Google) unabhängig davon welcher Browser verwendet wird. Da die allermeisten Android-Geräte, wenn überhaupt, nur für eher kurze Zeit Sicherheitsupdates bekommen, dürften das jedoch relativ wenige Geräte sein. Anders ausgedrückt, der Großteil der aktuellen Android Geräte wird wohl bis zu ihrer Entsorgung über diese Lücken angreifbar bleiben.

Vivaldi und Opera:

Opera LogoBeide Firmen haben sich bisher nicht zu Spectre und Meltdown geäußert. Spätestens wenn auch dort jeweils der Blink Unterbau aus Chrome 64 zum Einsatz kommt, sollte das Thema vorerst erledigt sein. Wann das sein wird, ist aber für uns leider nicht vorhersagbar. Aufgrund der Brisanz erwarten wir aber bald Stellungnahmen der Firmen zu dem Thema. In beiden Browsern funktioniert jedoch die im Chrome Absatz beschriebene experimentelle Option, mit der man sich vorübergehend schützen kann.

Mozilla Firefox & Thunderbird:

Mozilla Firefox LogoMozilla hat Version 57.0.4 von Firefox veröffentlicht, in der ähnliche Einstellungen geändert wurden wie bei den anderen Browser-Herstellern, um erste Schutzmaßnahmen gegen Spectre und Meltdown zu bieten. In der aktuellen ESR Version des Browsers (52.5.2) wurde nur eine der beiden Maßnahmen bisher umgesetzt, weshalb diese Fassung etwas weniger Schutz bietet als Firefox 57.0.4.
In Thunderbird gibt es noch keine speziellen Updates gegen die beiden Sicherheitslücken, jedoch haben diese keinen Effekt solange Javascript deaktiviert ist, was der Standardeinstellung entspricht.

Apple:

Apple LogoApple hat Updates gegen Meltdown in den folgenden Produktversionen integriert:
iOS 11.2, macOS 10.13.2, und tvOS 11.2. WatchOS soll gegen Meltdown immun sein.
Updates gegen Spectre, die alle Browser unter iOS bzw. Safari unter macOS betreffen, sind noch nicht erhältlich. Das bedeutet, dass man aktuell auf iPhones und iPads nicht sicher im Internet surfen kann! Unter macOS nutzt man am besten Firefox, solange kein Sicherheitsupdate für Safari verfügbar ist.

Quelle: 'Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates' auf Heise Online

zur Übersicht

05.01.2018 - Neue Akku Rückrufaktion bei HP

Brennendes Notebook LogoHP tauscht wieder einmal unsichere Notebook Akkus aus. Diesmal geht es um Akkus, die zwischen Dezember 2015 und Dezember 2017 entweder separat oder mit einem Notebook verkauft wurden. Anwender, deren Akku auch nur annähernd in dieses Kaufdatum fallen könnte (Lagerzeiten bedenken!), sollten Ihr Gerät unbedingt mit dem HP Akku Dienstprogramm von der HP Akku Rückrufseite untersuchen. Stellt dieses fest, dass der Akku ersetzt werden muss, finden HP Kunden auf der Seite weitere Informationen zum Ablauf des Austauschs.

Info: HP Akku Rückrufseite

Quelle: 'Wegen Brandgefahr: HP ruft Akkus vieler Notebooks und Workstations zurück' auf Heise Online

zur Übersicht

05.01.2018 - Schon wieder Sicherheitslücke in Western Digitals 'MyCloud' Systemen!

Router/NAS Security LogoEs ist noch kein Jahr her, das wir zuletzt vor den NAS-Systemen von Western Digital warnen mussten, jetzt gibt es die nächste Hiobs-Botschaft über diese Geräte.

Sicherheitsforscher der Firma GulfTech haben in WD‘s NAS-Systemen nichts weniger als eine Backdoor entdeckt. Eine Backdoor ist ein Hintertürchen, über das der Hersteller eines Gerätes oder einer Software immer aus der Ferne auf dieses zugreifen kann, egal was der Anwender mit dem Gerät gemacht hat.

Im Falle der WD NAS-Geräte können Angreifer also kinderleicht auf die betroffenen Geräte zugreifen, sofern diese mit dem Internet verbunden sind, und sie beliebig konfigurieren, die Daten stehlen oder Viren einschleusen. Da Western Digital auch nach 6 Monaten nicht Willens oder in der Lage war Sicherheitsupdates anzufertigen, sollten alle Besitzer dieser Geräte unbedingt den Internetzugang dieser Geräte kappen. Aufgrund der immer wiederkehrenden Probleme mit den NAS Geräten dieses Herstellers würden wir darüber hinaus vom Kauf jeglicher Western Digital NAS Geräte abraten. Hier die Liste der neuerlich betroffenen Geräte:

Nicht betroffen sind laut GulfTech Geräte der MyCloud 04.Xer-Serie.

Quelle: 'My Cloud: Netzwerkspeicher von Western Digital via Backdoor angreifbar' auf Heise Online

zur Übersicht

28.12.2017 – Sicherheitsupdate für Adobe Flash

Adob Flash LogoWie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Im Gegensatz zum letzten Monat, in dem Adobe extrem viele Updates auslieferte, bietet der Dezember nur das Übliche. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 28.0.0.126. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

28.12.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. acht Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

28.12.2017 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.5.2 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt fünf Sicherheitslücken, wovon eine als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

28.12.2017 – Opera verschläft Sicherheitsupdate!

Opera Software LogoOpera hat leider noch kein Update auf Version 63 der Blink Engine veröffentlicht. Auch finden sich bei Opera keinerlei Hinweise darauf, ob man (wie bei Vivaldi) die Sicherheitsupdates aus der 63er Blink Version in die aktuelle Opera-Version reintegriert hat. Daher muss davon ausgegangen werden, dass diese Sicherheitslücken in Opera aktuell noch nicht behoben sind!

Es handelt sich dabei um zwei Sicherheitslücken, von denen Google eine als hohe Sicherheitsbedrohung einstuft. Der Besuch einer manipulierten Website kann den PC mit Viren infizieren.

Wann Opera 50 (mit Version 63 der Blink Engine) kommen wird, ist nicht bekannt. Opera Anwender, die auf Nummer Sicher gehen wollen, können vorübergehend auf Vivaldi ausweichen.

Download: Aktuelle Vivaldi Version

zur Übersicht

28.12.2017 – Sicherheitsupdates für Vivaldi

Vivaldi LogoVivaldi hat die kürzlich von Google veröffentlichten Sicherheitsupdates nun in eine neue Vivaldi Version eingebaut. Die abgesicherte Fassung trägt die Versionsnummer 1.13.1008.40. Anwender von Vivaldi sollten zügig auf die neue Version aktualisieren, falls nicht bereits geschehen.

Download: Aktuelle Vivaldi Version

zur Übersicht

28.12.2017 – Gesichtserkennung bleibt unsicher!

Biohazard LogoErst im Juli haben wir berichtet, dass praktisch alle Systeme, die Gesichtserkennung zur Identifikation nutzen, unsicher sind, da sie mehr oder wenige leicht ausgetrickst werden können. Windows Hello stellte bisher eine der wenigen löblichen Ausnahmen dar, aber auch das ist jetzt mehr oder weniger Geschichte. Sicherheitsforschern ist es nun mit einem Foto auf Papier gelungen, auch diverse Geräte mit Windows Hello zu überlisten. Der Aufwand dafür ist zwar höher als bei den einfachen Kameras der Konkurrenz, aber wirklich sicher ist das System damit trotzdem nicht mehr.

Nur ein paar Microsoft Surface Gerät, mit allerneuester Windows 10 Version (1709) und aktivierter ‚Enhanced-Anti-Spoofing‘ Funktion, konnten nicht überlistet werden.

Damit gilt weiterhin was wir schon immer über Biometrie geschrieben haben, egal ob Fingerabdruck, Retina-Scan oder Gesichtserkennung, all das ist aktuell in normalen Heimanwendergräten NICHT sicher genug um damit sensible Daten zu schützen. Ein ordentliches Passwort ist dramatisch sicherer als all diese Verfahren, ja sogar ein simpler vierstelliger PIN ist den biometrischen Funktionen vorzuziehen.

Quelle: 'Gesichtserkennung von Windows 10 mit Papierausdruck reingelegt' auf Heise Online

zur Übersicht

28.12.2017 – LibreOffice 5.4.4 veröffentlicht

LibreOffice LogoDie LibreOffice Entwickler haben die Version 5.4.4 der freien Bürosuite veröffentlicht. In der neuen Fassung wurden wieder etliche Fehler korrigiert, sicherheitsrelevante sind jedoch nicht darunter.

Da der Support für die 5.3er Serie bereits ausgelaufen ist, sollten alle Anwender nun auf die aktuelle 5.4er Ausgabe aktualisieren.

Hinweis:
Nach wie vor sollte für zügiges Arbeiten in LibreOffice die OpenGL Anzeige deaktiviert werden. Dazu klickt man auf EXTRAS → OPTIONEN. Im Optionen-Fenster wählt man in der linken Spalte ANSICHT und entfernt dann rechts den Haken bei "OpenGL für das rendern verwenden" falls es gesetzt ist. Der daraufhin folgenden Aufforderung LibreOffice neu zu starten sollte man nachkommen.

Download: Aktuelle LibreOffice Versionen (5.4 Serie)

zur Übersicht

08.12.2017 – Wieder Sicherheitslücke in Microsoft Anti-Viren-Software

Microsoft WIndows LogoWieder einmal wurde ein Fehler in der Microsft Anti-Viren-Software entdeckt, die zur Infektion des Computers genutzt werden kann. Auch dieses Mal hat Microsoft wieder sehr flott eine Lösung für das Problem per Update bereitgestellt.

Betroffen sind alle Anwender eines der folgenden Endanwender-Programme: Windows Defender, Security Essentials und Forefront Security. Die neue sichere Version der Malware Protection Engine trägt die Versionsnummer 1.1.14405.2. Wie sie die Version prüfen und gegebenenfalls aktualisieren können erfahren sie im Artikel vom 03.06.2017.

Quelle: 'Notfall-Patch für Windows & Co.: Kritische Sicherheitslücke im Virenscanner von Microsoft' auf Heise Online

Info: Artikel zum selben Thema vom 03.06.2017

zur Übersicht

08.12.2017 – Firefox Sicherheitsupdates!

Mozilla Firefox LogoDie Mozilla Entwickler waren fleißig und haben schwere Sicherheitslücken in den beiden neuen Firefox Versionen behoben.

Firefox 57.0.2:

Version 57.0.2 behebt eine als kritisch eingestufte Sicherheitslücke in Firefox. Anwender die noch eine Firefox Version vor 57.0.2 verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.5.2:

Die Firefox ESR Ausgabe 52.5.2 beinhaltet alle Sicherheitskorrekturen aus Firefox 57.0.2, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

08.12.2017 – Google schließt Sicherheitslücke in Chrome

Google Chrome LogoGoogle hat schwere Sicherheitslücken in seinem Browser Google Chrome geschlossen. Anwender dieses Browsers sollten sicherstellen, dass sie Version 63.0.3239.84 oder neuer verwenden. Für Anwender die nicht wissen, wie sie die Google Chrome Versionsnummer prüfen bzw. Updates installieren können, haben wir die passende Google Chrome Support-Website verlinkt.

Quelle: '37 Sicherheitslücken in Chrome geschlossen' auf Heise Online

Info: 'Google Chrome aktualisieren' auf Google.com

zur Übersicht

08.12.2017 – VLC Media Player 2.2.8 behebt Sicherheitslücken

VLC Media Player LogoDas Team rund um den VLC Media Player hat eine neue Ausgabe der Software veröffentlicht. Version 2.2.8 behebt mehrere Sicherheitslücken der Vorversionen. Über manipulierte Audio- und Video-Dateien war es möglich, den PC mit Viren zu infizieren. Wir raten allen VLC-Anwendern dazu das Update zügig zu installieren.

Download: VLC Media Player 2.2.8 für Windows (32Bit)

Download: VLC Media Player 2.2.8 für Windows (64Bit)

Quelle: 'VLC Media Player 2.2.8 Release Notes' auf Videolan.org (Englisch)

zur Übersicht

08.12.2017 – Apple: Sicherheitsupdates für iTunes

Apple LogoApple behebt mit iTunes 12.7.2 Sicherheitslücken in der Multimedia Software ohne aber bisher irgendwelche Details darüber zu nennen. Aufgrund der mangelhaften Kommunikation von Apple müssen wir von kritischen Sicherheitslücken ausgehen.

Anwender, die iTunes tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten iTunes deinstallieren, da das Programm PCs deutlich langsamer macht, selbst wenn es gar nicht verwendet wird.

Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.

Quelle: 'iTunes 12.7.2: Fehlerbehebungen, "mehr Leistung", aber kein iOS App Store' auf Heise Online

zur Übersicht

08.12.2017 – KRACK – Android Patch gegen KRACK erst jetzt verfügbar, wenn überhaupt!

Brocken WLAN LogoAm 07.11.2017 hatten wir berichtet, dass Android ab Sicherheitspatch-Ebene 2017.11.06 oder neuer gegen KRACK abgesichert wäre. Das hat sich jetzt als Fehler herausgestellt, der durch irreleitende Patch-Beschreibungen Googles entstanden ist.

Tatsächlich bringt erst das Android Sicherheitsupdate 2017.12.05 einen wirksamen Schutz gegen die KRACK Sicherheitslücke. So lange Reaktionszeiten sind besonders traurig, wenn man sich in Erinnerung ruft, das gerade Android am stärksten von der KRACK Lücke bedroht ist!

Noch trauriger ist die Situation natürlich, wenn man bedenkt, dass die allermeisten Android Geräte überhaupt keine Sicherheitsupdates bekommen werden. Das heißt, da draußen sind Millionen von Android Geräten unterwegs, deren WLAN Kommunikation von Jedermann in Funkreichweite mitgelesen und sogar verändert werden kann!

Besitzer eines Android Handies/Tabletts sollten daher unbedingt nachsehen, ob das Sicherheits-Update 2017.12.05 für ihr Gerät verfügbar ist, und wenn nicht ernsthaft überlegen auf WLAN zu verzichten. Vor allem Tabletts ohne Mobilfunkmodem sind ohne WLAN aber natürlich praktisch nutzlos. Ob man das Risiko eingeht, muss dann jeder Nutzer selbst entscheiden.

Für Bastler bietet sich mit LineageOS ein Ausweg aus der Misere, sofern das Gerät von der alternativen Android-Distribution unterstützt wird. In LineageOS wurde die KRACK-Lücke wie berichtet bereits letzten Monat behoben.

Quelle: 'Dezember-Patches für Android schützen Pixel- und Nexus-Geräte vor KRACK' auf Heise Online

Info: 20.10.2017 - KRACK - Massive Schwachstelle in WLAN Standard

zur Übersicht

08.12.2017 – Neuer Trojaner für NAS-Geräte gesichtet

Router/NAS Security LogoDas NAS-Geräte (Netzwerkfestplatten) ein immer beliebteres Ziel für Cyber-Kriminelle werden, haben wir bereits berichtet. Auch, dass dabei vor allem die Sicherheitslücke SambaCry eine große Rolle spielt. Nun wurde ein neuer Trojaner gesichtet, der versucht NAS-Geräte, die immer noch nicht gegen SambaCry abgedichtet wurden, zu infizieren.

Sind die Daten auf dem NAS erst einmal verschlüsselt, gibt es keinen Weg mehr an sie heranzukommen, außer die Lösegeldforderung zu erfüllen. Die hat es, mit aktuell ungefähr 25.000 Euro, aber in sich. Zudem gibt es natürlich keinerlei Garantien, dass man nach Zahlung der Summe tatsächlich seine Daten zurückerhält.

Wer ein aktuelles Backup aller seiner Daten hat, muss vor solchen Verschlüsselungstrojanern keine all zu große Angst haben, liegt das Backup aber eben auf so einem NAS-Gerät, war die Sicherung für die Katz. Daher raten wir auch von NAS-Geräten als Sicherungslaufwerk ab.

Anwender, die ein NAS-Gerät verwenden, sollten also immer ein Backup der NAS-Daten auf einem separaten Laufwerk/Band haben, das NICHT im Netzwerk verfügbar ist! Zudem sollte das Gerät unbedingt per Firmware-Update gegen SambaCry abgesichert werden. Generell sollte man sich gut überlegen, ob man das eigene NAS tatsächlich aus dem Internet erreichbar macht, ohne Sicherheitsupdates ist das aber ein absolutes Tabu!

Quelle: 'StorageCrypt: Ransomware infiziert NAS-Geräte via SambaCry-Lücke' auf Heise Online

zur Übersicht

29.11.2017 - Sicherheitslücken in Foxit Reader und Foxit Phantom!

Biohazard LogoIm PDF Reader 'Foxit Reader' sowie im PDF Editor 'Foxit Phantom' wurden mehrere schwere Sicherheitslücken behoben. Anwender, die die Software auf ihrem PC installiert haben (ob absichtlich oder nicht), sollten entweder auf Version 9 des Foxit Readers bzw. mindestens auf Version 8.3.5 von Foxit PhantomPDF updaten. Wer diese Programme nicht verwendet sollte sie stattdessen gänzlich deinstallieren.

Quelle: 'Foxit schließt Sicherheitslücken in Reader und PhantomPDF' auf Heise Online

zur Übersicht

27.11.2017 - Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.5.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt drei Sicherheitslücken, wovon zwei als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Darüber hinaus haben die Entwickler ein paar Bugs im Umgang mit IMAP- und POP-Servern behoben, sowie ein Problem mit Such-Ordnern gelöst.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

24.11.2017 - Wieder Sicherheitslücken in Intel-Prozessoren!

Intel LogoErst im Mai dieses Jahres hatten wir zuletzt über Sicherheitslücken in Intels Management-Engine (Intel ME), die in allen aktuellen Intel Prozessoren steckt, berichtet, nun wurden in dieser Einheit neue Sicherheitslücken entdeckt. Offenbar ermöglichen die Lücken primär eine Rechteausweitung, was die Lücke nicht ganz so schlimm wie die Letzte macht, aber nichtsdestotrotz gefährlich ist.

Welche Prozessoren sind betroffen?

Während bei den im Mai gefundenen Lücken Prozessoren ab Jahrgang 2010 betroffen waren, finden sich diese neuen Lücken überwiegend in Intel Prozessoren der letzten 2 Jahre. Wir listen jetzt nicht alle betroffenen Prozessoren auf, sondern verweisen gleich auf das Prüfprogramm von Intel. Anwender, die einen Computer mit Intel Prozessor haben (oder nicht wissen welcher Prozessor in ihrem Computer steckt), sollten das Intel Prüfprogramm herunterladen und den PC damit testen.

Wie verwende ich das Intel Prüfprogramm (SA-00086)?

Öffnen Sie die heruntergeladene Datei 'SA00086_Windows.zip' und kopieren sie den Ordner 'DiscoveryTool.GUI' in (z.B.) den Ordner Downloads. Öffnen Sie nun den kopierten Ordner und starten das Programm 'Intel-SA-00086-GUI.exe'. Bestätigen Sie die Sicherheitsfrage von Windows. Ein neues Fenster öffnet sich und in der zweiten Zeile berichtet das Programm ob Sicherheitslücken auf dem System gefunden wurden oder nicht.

Was tun, wenn das Prüfprogramm Sicherheitslücken meldet?

Besitzer eines verwundbaren Systems sollten beim Computer- oder Mainboard-Hersteller nach einem BIOS- bzw. UEFI-Update suchen/anfragen. Viele Anbieter haben Stand heute bereits aktualisierte BIOS/UEFI Versionen bereitgestellt. Zum Einspielen des Updates beachten Sie bitte die Anleitungen des jeweiligen Herstellers.

Download: 'Intel Testtool für die ME-Schwachstelle (SA-00086)' auf Intel.com

Quelle: 'Intel stopft neue Sicherheitslücken der Management Engine (SA-00086) ' auf Heise Online

zur Übersicht

24.11.2017 - Kritische Sicherheitslücke in HP-Druckern!

HP LogoDass Drucker, die übers Internet oder E-Mail genutzt werden können, aus Sicherheitsperspektive keine gute Idee sind, beweist HP. In zahlreichen Druckern des Herstellers wurden Sicherheitslücken gefunden, die zur Infektion des gesamten Heimnetzwerkes führen können.

HP stellt für diese Drucker bereits Sicherheitsupdates zur Verfügung. Alle Besitzer von HP-Druckern sollten unbedingt in der verlinkten Liste nachsehen, ob Ihr Drucker betroffen ist und gegebenenfalls das passende Firmware-Update installieren. Die Updates selbst sind leider nicht in der Liste verknüpft, sondern müssen auf der HP-Homepage im Supportbereich des jeweiligen Druckers heruntergeladen werden. Da HP die Sicherheitsupdates auf den Download-Seiten nicht gesondert kennzeichnet, sollten sie nach dem Begriff „Firmware“ im Namen der Datei suchen, um wirklich das Sicherheitsupdate und nicht nur einen Treiber herunterzuladen.

Info: Liste der betroffenen HP-Drucker auf HP.com (Englisch)

Download: HP Support Website

Quelle: 'Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit' auf Heise Online

zur Übersicht

24.11.2017 - Vivaldi erweitert die Tab-Verwaltung!

Vivaldi LogoEinmal mehr beweist Vivaldi, dass man nicht den Internet-Gelegenheits-Anwender im Visier hat, sondern sich voll und ganz dem Vielsurfer verschrieben hat. Diese kennen das Problem, bei sehr vielen geöffneten Tabs geht die Übersicht verloren und es wird immer schwerer den richtigen Tab wiederzufinden. Vivaldi gibt dem Anwender nun dazu ein neues Panel zur Verfügung. Im Fenster-Panel werden alle Tabs vertikal aufgelistet. Dadurch steht mehr Platz für den Namen der Websites zur Verfügung und man gewinnt deutlich an Übersicht bei vielen geöffneten Tabs. Zudem werden dort auch die in dieser Sitzung geschlossenen Tabs aufgelistet.

Das Download-Panel stellt nun mehr Informationen über laufende Downloads zur Verfügung und ermöglicht diese zu pausieren und fortzusetzen. Darüber hinaus wurde wie üblich die Render-Engine aktualisiert. Mehr Details können die dem Heise Online Artikel (Deutsch) oder dem Vivaldi Blog (Englisch) entnehmen.

Download: Aktuelle Vivaldi Version

Quelle: 'Vivaldi-Browser mit neuer Tab-Verwaltung' auf Heise Online

Quelle: 'Vivaldi 1.13 adds Window Panel, improves Downloads and ...' auf Vivaldi.com (Englisch)

zur Übersicht

17.11.2017 – Sicherheitsupdate für Adobe Flash, Reader, Photoshop und weitere ...

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:

Adobe Flash LogoAdobe Flash:

Die neueste Version des Flash-Plugins trägt die Nummer 27.0.0.187. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

Adobe Reader & Acrobat:

Adobe Reader LogoAdobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2018.009.20044 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.

Anwender, die noch mit Acrobat XI auskommen müssen, sollten auf Version 11.0.23 updaten. Dies ist zugleich die letzte Version aus der 11.x Reihe. Acrobat 11 Anwender sollten also unbedingt über ein Upgrade auf die Version 2017 nachdenken, um auch weiterhin sicher zu sein.

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB17-36 (Englisch)

Adobe Digital Editions:

In Adobes E-Book-Reader Software ‚Digital Editions‘ wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten dringend auf Version 4.5.7 updaten.

Download: Adobe Digital Editions v4.5.7 für Windows

Quelle: Adobe Digital Editions Security Bulletin APSB17-39 (Englisch)

Adobe Photoshop:

Adobe Photoshop LogoAuch Photoshop erhält diesen Monat ein Sicherheitsupdate. Geschlossen wurden darin mindestens zwei Sicherheitslücken, die zur Infektion des Computers über manipulierte Dateien genutzt werden können.

Photoshop CC 2017 trägt nach dem Update die Versionsnummer 18.1.2. Auch in der neuen Photoshop 2018er Version wurde der Fehler bereits behoben. Das Update ist über die eingebaute Update-Funktion erhältlich.

Info: Adobe Security Bulletin APSB17-38 (Englisch)

Adobe InDesign:

Auch InDesign erhält diesen Monat ein Sicherheitsupdate. Geschlossen wurden darin mindestens eine kritische Sicherheitslücke die zur Infektion des Computers über manipulierte Dateien genutzt werden können. Hier behebt das Upgrade auf Version 13 das Risiko. Ein reines Sicherheitsupdate für ältere InDesign Versionen steht leider nicht zur Verfügung. Das Upgrade auf Version 13 ist für alle CC Abonnenten über den Creative Cloud Client möglich.

Info: Adobe Security Bulletin APSB17-34 (Englisch)

Biohazard LogoVorsicht vor älteren Photoshop und InDesign Versionen!

Sämtliche Photoshop Versionen vor Version 18.1.2 (2017.1.2) sind unsicher und werden es für alle Zeiten bleiben! Dasselbe gilt für InDesign vor Version 13.0. Wer fremde Dateien mit einem dieser Programme öffnet, kann den PC jederzeit mit Schadsoftware infizieren.

Adobe DNG Converter:

Adobe‘s Konverter für digitale Negative enthielt ebenfalls eine Sicherheitslücke, die genutzt werden kann, um den PC mit Schadsoftware zu infizieren. Dieses Problem wurde mit Version 10.0 des DNG Konverters behoben.

Quelle: Adobe Security Bulletin APSB17-37 (Englisch)

Download: Adobe DNG Konverter 10.0 für Windows

Shockwave :

Auch das Shockwave Plugin, sozusagen der "große Bruder" des Flash Plugins, hat einmal mehr ein Sicherheitsupdate erhalten. Die neue Ausgabe trägt die Versionsnummer 12.3.1.201. Den meisten Anwendern raten wir zur Deinstallation der Software, da Shockwave kaum noch benötigt wird. Wer Shockwave tatsächlich benötigt, sollte das Update aber unbedingt einspielen.

Adobe Connect:

Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.

Quelle: Adobe Connect Security Bulletin APSB17-35 (Englisch)

Adobe Experience Manager:

Zu guter Letzt steht ein Update für Adobe's Content Management System 'Experience Manager' zur Verfügung. Auch dieses wurde als wichtig eingestuft. Details findet man im Adobe Security Bulletin APSB17-26.

Quelle: Adobe Security Bulletin APSB17-41 (Englisch)

zur Übersicht

17.11.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. sieben Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

17.11.2017 – LibreOffice 5.4.3 veröffentlicht

LibreOffice LogoWie letzte Woche angekündigt, steht nun auch eine Ausgabe aus der 5.4er Reihe parat, in der der „Flackerbug“ behoben wurde.

Was bringt nun also LibreOffice 5.4.3 gegenüber der 5.3er Reihe, deren Support Ende des Monats ausläuft, neues? Da hätten wir vor allem PivotTabellen in Calc, besseren Dokumentenaustausch mit Microsoft Office, AutoText aus Word-Vorlagen, Wasserzeichen-Generator und erweiterte Kontextmenüs. Einen etwas detaillierteren Überblick über die neuen Funktionen finden sich in dem verlinkten Heise Online Artikel. Wer noch mehr Details über die Neuerungen erfahren möchte, sollte sich dagegen die umfangreiche Liste der Neuerungen der LibreOffice-Entwickler selbst anschauen.

Hinweis:
Nach wie vor sollte für zügiges arbeiten die OpenGL Anzeige deaktiviert werden. Dazu klickt man auf EXTRAS → OPTIONEN. Im Optionen-Fenster wählt man in der linken Spalte ANSICHT und entfernt dann rechts den Haken bei "OpenGL für das rendern verwenden" falls es gesetzt ist. Der daraufhin folgenden Aufforderung LibreOffice neu zu starten sollte man nachkommen.

Quelle: 'LibreOffice 5.4 unterstützt Pivot-Charts und OpenPGP' auf Heise Online

Quelle: Liste der Neuerungen in LibreOffice 5.4

Download: Aktuelle LibreOffice Versionen (5.3 Serie) - Empfohlen

Download: Brandneue LibreOffice Versionen (5.4 Serie)

zur Übersicht

17.11.2017 – Neue Firefox Version komplett runderneuert!

Firefox LogoDie Mozilla Entwickler waren fleißig und haben nun Firefox 57 alias ‚Firefox Quantum‘ veröffentlicht. Laut eigener Marketingaussagen soll dies das größte Firefox Upgrade aller Zeiten sein. Tatsächlich wurde Firefox von Grund auf generalüberholt. Sowohl die Renderengine als auch die Oberfläche wurden zu weiten Teilen komplett neu programmiert. Ergebnis soll ein Firefox sein, der in Sachen Geschwindigkeit zur Konkurrenz aufschließen soll. Laut ersten unabhängigen Tests wurde das Ziel eindeutig erreicht.

Mozilla hofft, mit Quantum Anwender zu Firefox zurückzuholen, die zwischenzeitlich zur ehemals schnelleren Konkurrenz abgewandert sind. Wir hoffen, dass der Plan aufgeht, denn die immer größere Verbreitung von Google Chrome ist definitiv nicht gut für ein offenes Internet.

Einziger Haken am neuen Firefox ist, dass die alten Erweiterungen nicht mehr kompatibel sind. Nur Erweiterungen die bereits für den neuen Standard „WebExtensions“ programmiert sind funktionieren mit Firefox 57. Wer unbedingt bestimmte Erweiterungen benötigt, die noch nicht an Firefox 57 angepasst sind, muss vorerst auf die ESR Version von Firefox umsteigen, wo die alten XUL bzw. XPCOM Erweiterungen noch funktionieren. Diese Version 52 ESR wird noch bis Juni 2018 gepflegt, danach ist mit den alten Erweiterungen endgültig Schluss.

Firefox 57.0:

Version 57.0 behebt 15 Sicherheitslücken in Firefox, wovon drei als kritisch eingestuft wurden. Anwender die noch eine ältere Firefox Version verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.5:

Die Firefox ESR Ausgabe 52.5 schließt drei Sicherheitslücken, wovon zwei als kritisch eingestuft wurden.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Quelle: 'Firefox Quantum ist da: "Größtes Update aller Zeiten"' auf Heise Online

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

07.11.2017 - KRACK - Der aktuelle Stand der Dinge

WLAN Lücke LogoDas Thema KRACK, also der Sicherheitslücke in WPA2, wird langsam transparenter. Die beste Nachricht überhaupt ist, dass die Lücke in Windows wohl tatsächlich bereits beim letzten Tag der Updates behoben wurde. Erste Befürchtungen, dass auch die WLAN-Treiber Sicherheitsupdates benötigen, scheinen unbegründet gewesen zu sein. Anwender von Windows 7 oder neuer sind, vorausgesetzt alle Upates wurden installiert, also nicht von KRACK bedroht.

Bei Apple ist KRACK in iOS 11.1 und macOS 10.13.1 behoben. WatchOS wird mit Version 4.1 und tvOS durch Version 11.1 abgesichert. Ältere Versionen bekommen wohl keine Sicherheitsupdates gegen KRACK mehr, was viele ältere iPhones und iPads zu Sondermüll macht oder halt einfach zu unsicheren Geräten.

Die meisten Desktop-Linux Distributionen sollten mittlerweile Patches ausgeliefert haben, natürlich ebenfalls nur für noch unterstützte Versionen.

Android Geräte sollten gegen KRACK geschützt sein, wenn sie die Android-Sicherheitspatch-Ebene 2017.11.06 oder neuer haben. Alle Android Geräte mit kleinerem Datum sind für KRACK anfällig, sofern der Hersteller nicht separate Patches dafür eingepflegt hat. Beim alternativen Android System ‚Lineage‘ wurde der Fehler schon ein wenig früher behoben. Der Einfachheit halber verweisen wir aber auch hier auf das Datum 2017.11.06.

Auch die Entwickler des freien Router-Betriebssystems DD-WRT haben bereits Patches gegen KRACK (bzw. den Fehler in der WPA-Supplicant Komponente) eingebaut. Besitzer eines Routers mit DD-WRT Betriebssystem sollten ebenfalls auf eine aktuelle Version updaten. Bei den anderen freien Router Betriebssystemen lohnt sich sicher auch eine Suche nach Updates. Gleiches gilt natürlich auch für die originale Firmware zahlreicher Router-Hersteller, auch hier kann man mit zahlreichen Updates bei allen möglichen Herstellern rechnen.

Fazit: Während man mit aktuellen Desktop-Betriebssystemen keine all zu großen Sorgen haben muss, sofern alle Updates installiert wurden, stellen vor allem alte Smartphones ein eklatantes Datenschutzrisiko dar. Gerade billige Android Smartphones bekommen meist niemals Updates und sind damit in vielerlei Hinsicht extrem unsichere Geräte. Aber selbst High-End Smartphones wie Samsung Galaxy S oder iPhones bekommen meist nur ein paar Jahre lang Updates. So bekommen z.B. sämtliche iPhone 5 und älter keine Updates mehr. Noch schlimmer ist die Situation bei IoT Geräten wie Überwachungskameras und dergleichen, da man hier bei vielen Anbietern überhaupt keine Informationen zum Sicherheitsstand erhält.

Info: 20.10.2017 - KRACK - Massive Schwachstelle in WLAN Standard

zur Übersicht

07.11.2017 - LibreOffice 5.3.7 löst Flackerproblem!

LibreOffice LogoDie LibreOffice Entwickler haben in Version 5.3.7 nun endlich den Fehler korrigiert, der mit Version 4.3.2 eingeführt wurde und zu flackernden Menüs geführt hatte. Warum es Monate gedauert hat, um einen einzigen Befehl im Quellcode zurückzunehmen, ist uns ein Rätsel, zumal die LibreOffice Entwickler sonst wirklich vorbildlich auf Fehlerberichte reagieren.

Damit steht LibreOffice Anwendern nun endlich wieder eine funktionierende LibreOffice Version mit Support zur Verfügung, wenn auch nur kurz, denn die Unterstützung von LibreOffice 5.3.7 endet bereits Ende November. Bis dahin steht aber dann LibreOffice 5.4.3 bereit, in der das Flacker-Problem ebenfalls gelöst sein dürfte.

Die Sache mit OpenGL:
Eine kleine Unannehmlichkeit bleibt in den neuen LibreOffice Versionen aber bestehen, sie verwenden nun standardmäßig OpenGL für die Darstellung der Benutzeroberfläche. Das war eine erste Maßnahme gegen das Flacker-Problem, welches nun aber unnötig wurde. Da die OpenGL Darstellung deutlich träger reagiert, sollte man wieder auf die klassische Darstellung zurückschalten. Dazu klickt man in LibreOffice auf EXTRAS → OPTIONEN. Im Optionen-Fenster klickt man in der linken Spalte auf ANSICHT und entfernt dann rechts den Haken bei "OpenGL für das rendern verwenden" falls es gesetzt ist. Der daraufhin folgenden Aufforderung LibreOffice neu zu starten sollte man nachkommen. Im Anschluss sollte die "Hardwarebeschleunigung" aktiv sein was man im Optionen-Fenster unter Ansicht auch jederzeit prüfen kann.

Download: LibreOffice Version 5.3.7 für Windows

zur Übersicht

07.11.2017 - Neues von Windows 10!

Microsoft Windows 10 LogoSeit einiger Zeit liefert Microsoft die neue Windows 10 Version 1709 aus. All zu viele spannende Neuerungen gibt es darin nicht, weshalb wir Neugierige hier einfach auf den entsprechenden Artikel von Heise Online verweisen. Die gute Nachricht ist aber, immerhin haben wir bisher noch keine neuen Fehler entdecken konnten, alle Upgrades die wir bisher durchgeführt haben, liefen problemlos.

Bald keine kostenlosen Windows 10 Upgrades mehr?
Dafür könnte es nun bald wirklich Schluss sein mit dem kostenlosen Windows 10 Upgrades. Zumindest das kostenlose Upgrade auf Windows 10 für Benutzer, die auf Assistenzsysteme angewiesen sind, endet zum 31.12.2017. Das Upgrade für alle ist ja bereits seit Mitte 2016 offiziell nicht mehr möglich. Inoffiziell ist es aber nach wie vor für alle Anwender mit mindestens Windows 7 noch möglich auf Windows 10 upzugraden. Ob das eben im neuen Jahr immer noch funktionieren wird, steht nun in den Sternen. Microsoft hat sich diesbezüglich auch auf Nachfrage von Heise Online keine Stellungnahme entlocken lassen.

Anwender, die aktuell noch Windows 7 oder 8.1 verwenden, sollten also vielleicht überlegen dieses Jahr noch auf Windows 10 upzugraden. Wenn das Upgrade auf einem PC einmal vollzogen wurde, kann man auch problemlos wieder zur alten Windows Version zurückkehren und behält dennoch die Windows 10 Lizenz für diesen Computer, sodass man später jederzeit wieder Windows 10 installieren kann.

Info: 'Windows 10: Microsoft veröffentlicht das "Fall Creators Update"' auf Heise Online

Quelle: 'Gratis-Upgrade auf Windows 10 für Nutzer von "Hilfstechniken" endet Ende des Jahres' auf Heise Online

zur Übersicht

07.11.2017 - Audacity 2.2 - Facelift aber weiterhin unsicher!

Audacity LogoDie Audacity Programmierer haben kürzlich Version 2.2 des beliebten Audio Editors veröffentlicht. Auffälligste Neuerung ist ein moderates Facelift der Programmoberfläche. Zudem kann man nun verschiedene Designs für die Oberfläche auswählen. Neben dem standardmäßig aktiven Theme ‚Leicht‘ steht ein dunkles Design, eines mit hohem Kontrast und das klassische Design der früheren Versionen zur Verfügung. Das Theme „Eigenes“ kann von bastel-willigen Anwendern selbst gestaltet werden. Trotz Facelift gewinnt Audacity sicher keinen Preis fürs Design, funktional gibt es aber nichts zu bemängeln.

Auch die Menüs wurden umsortiert um alles logischer zu gestalten. Altgewohnte Audacity Anwender werden aber anfangs erst mal etwas suchen müssen, um die umsortierten und teils auch umbenannten Menüeinträge wieder zu finden.

Abgesehen von den Renovierungsarbeiten an der Oberfläche sollen auch noch zahlreiche andere Fehler behoben worden sein. In Summe wurden 198 gemeldete Fehler behoben bzw. gewünschte Korrekturen angebracht.

Keine Sicherheitskorrekturen!
Leider haben sich die Audacity Entwickler des Themas Sicherheit einmal mehr nicht angenommen. Audacity ist weiterhin für DLL-Hijacking anfällig und das optional erhältliche FFmpeg-Plugin, das benötigt wird um gängige Audio-Dateien bearbeiten zu können, ist völlig veraltete und sorgt für zahlreiche weitere Infektionsmöglichkeiten. Dateien aus dem Internet oder von Fremden sollte man deshalb mit Audacity keinesfalls öffnen, ohne es zuvor in einem sicheren Programm konvertiert zu haben. Zudem sollte man die Audacity Projektedateien (*.aup) mit Notepad verknüpfen, um sich gegen das DLL-Hijacking abzusichern.

Download: Aktuelle Audacity Version

Info: Neue Funktionen in Audacity 2.2.0 (Englisch)

Info: Vollständige Release Notes für Audacity 2.2.0 (Englisch)

zur Übersicht

20.10.2017 – Sicherheitsupdates für Adobe Flash!

Adobe Flash LogoAdobe hat uns am vergangenen Tag der Updates überrascht, als es keinerlei Updates veröffentlicht hat, obwohl man ja eigentlich jeden Monat fest mit Sicherheitsupdates für zumindest Flash rechnet. Möglicherweise ist Adobe aber einfach nicht rechtzeitig fertig geworden mit dem Update, denn wenige Tage später steht ein Flash Update bereit und das hat es auch noch in sich, weil die Schwachstelle, die mit dem Update geschlossen wird, bereits aktiv zur Infektion von Computern ausgenutzt wird.

Die neueste Version des Flash-Plugins trägt die Nummer 27.0.0.170. Alle Anwender sollten dieses Update rasch installieren, bzw. überprüfen, ob das nicht vom Flash-Update-Service bereits erledigt ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Gewissheit.

Download: aktueller Flash Player Uninstaller, Windows, alle Browser

Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)

Download: aktuelle Flash Player Version, Windows, Opera

Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)

Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)

zur Übersicht

20.10.2017 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle Java LogoEine Woche nach Microsoft bringt nun auch Oracle Sicherheitsupdates für etliche seiner Programme. Das wichtigste dabei ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist. Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - Oktober 2017‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Oracle hat Version 8.0 Update 151 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden stolze 16 Sicherheitslücken geschlossen. In Summe haben die Lücken die höchste Gefahrenstufe vom Sicherheitsforscher Secunia zugewiesen bekommen, Anwender sollten also rasch updaten.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurück setzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. OpenOffice und LibreOffice Anwender (z. B.) benötigen Java jedoch noch für einige Funktionen.

Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline')

Quelle: 'Oracle Critical Patch Update Advisory - Oktober 2017' auf Oracle.com (Englisch)

zur Übersicht

20.10.2017 - KRACK - Massive Schwachstelle in WLAN Standard

KRACK LogoBelgische Sicherheitsforscher haben eine massive Sicherheitslücke im WLAN Standard WPA2 entdeckt. Angreifer können den Datenstrom zwischen zwei WLAN Geräten mitlesen, sofern sie sich in ausreichender Nähe zu beiden Geräten befinden. Somit können alle Informationen die über das WLAN versendet werden mitgelesen werden, sofern diese Übertragungen nicht noch einmal separat verschlüsselt sind, wie es z.B. bei HTTPS gesicherten Webseiten oder VPN-Tunneln üblich ist.

KRACK - Was geht!
Angreifer können die Kommunikation zwischen WLAN Geräten auslesen und manipulieren, sofern diese nicht noch einmal verschlüsselt ist. Durch das Auslesen der Daten könnten sensible Daten in fremde Hände fallen. Durch die Manipulation des Datenstroms könnten z.B. Viren eingeschleust werden.

KRACK - Was nicht geht!
Die KRACK Schwachstelle ermöglicht es Angreifern NICHT sich selbst in das WLAN einzuklinken. Daten, die sich auf den WLAN-Geräten befinden, können darüber also nicht ausgelesen oder manipuliert werden.

Welche WLAN Geräte sind betroffen?
Die schlechte Nachricht lautet mehr oder weniger ALLE, also sowohl PCs, Notebooks, Smartphones, Smart-Uhren und natürlich sämtliche IoT-Geräte. Während PCs und Notebooks relativ rasch mit Sicherheitsupdates versorgt werden dürften, sieht die Sache bei den SMART-Geräten ziemlich düster aus. Die allermeisten Android-Smartphones und Tabletts dürften wohl keine Updates mehr bekommen und sind dadurch gleich doppelt gefährdet, weil im Linux Programm WPA_Suplicant, das eben auch von Android verwendet wird, noch eine weitere kritische Lücke enthalten ist. Und von der grauenhaften Lage bei den IoT Geräten (Sicherheitskameras, Fernseher, Staubsauger usw…) haben wir schon zu oft berichten müssen, auch hier sehen wir schwarz. Während es vielleicht nicht so schlimm ist, wenn Angreifer die Daten des Staubsaugers mitlesen können, sind die Bilder der Überwachungskamera ein ganz anderer Fall.

Was ist mit den Routern?
Es wäre natürlich schön gewesen, wenn man das Problem mit einem Update am WLAN-Router beheben könnte, aber das ist leider nicht möglich, da das Problem bei den Empfängern (Clients) liegt. Router, dessen WLAN ausschließlich als Access-Point (also als WLAN-“Server“) fungiert brauchen keine Updates. Router, die so konfiguriert wurden, dass sie das WLAN-Netz eines anderen Routers/Access-Point „verstärken“ sind sehr wohl betroffen und daher sollten hier nach Updates Ausschau gehalten werden.

Was ist mit Range-Extendern?
Range Extender sind Geräte die sowohl Sender (Access-Point) als auch Client sind. Sie sind daher ebenfalls anfällig und sollten Updates erhalten.

Und Powerline/WLAN Adapter?
WLAN-Adapter fürs Stromnetz (Powerline/WLAN-Adapter) sind in der Regel nicht betroffen, da sie mist nur als Access-Point fungieren. Es gibt aber auch Geräte, die als WLAN-Powerline Bridge konfiguriert werden können, was sie zu ebenfalls verwundbaren Clients macht. Deshalb bieten erste Hersteller bereits Updates für Powerline-WLAN-Adapter.

Ausweg WPA1?
Findige Nutzer könnten jetzt auf die Idee kommen, statt WPA2 das ältere WPA(1) in ihren Routern einzustellen. Zwar können wir nicht mit Sicherheit sagen, ob die KRACK Attacke nicht auch bei WPA(1) funktioniert, aber es ist unbestritten, dass WPA(1) generell schon länger nicht mehr als Sicher gilt.

Fazit!
Die KRACK Schwachstelle ist echt übel. Sie wird zwar nicht zu massenhaft infizierten Computern führen, aber anders als z.B. Windows-Schwachstellen, die meist extrem rasch geschlossen werden, wird uns dieses Problem über Jahre, wenn nicht Jahrzehnte begleiten. Welche Anwender werfen schon Geräte weg, die in ihren Augen funktionieren! Dass es keine einfache Möglichkeit für den Endanwender gibt seine Geräte auf den Fehler hin zu überprüfen, macht es nicht einfacher. Daher können wir nur hoffen, dass es bald WPA3 oder WPA2+ gibt, um sichere Geräte anhand der Kennzeichnung eindeutig zu erkennen. Bis dahin werden aber jeden Tag Millionen von unsicheren Geräten über die Ladentheken wandern.

Quelle: 'KRACK: So funktioniert der Angriff auf WPA2' auf Heise Security

Quelle: 'KRACK: Hersteller-Updates und Stellungnahmen' auf Heise Security

zur Übersicht

12.10.2017 – Microsoft's Tag der Updates

Microsoft Windows LogoDer allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.

Download: Microsoft Update Website (nur mit Internet Explorer)

Microsoft beerdigt Office 2007 und Windows 10 Version 1511!

Office 2007 LogoWie schon oft erwähnt, ist nun auch Office 2007 aus dem Support rausgefallen. Das 10 Jahre alte Office Paket sollte daher nicht länger auf Computern eingesetzt werden die mit dem Internet verbunden sind, oder mit Dateien aus dem Internet in Berührung kommen.
Ebenfalls beendet ist der Support für die zweite Version von Windows 10 (1511). Anwender dieser Version sollten nun rasch auf Windows 10 1607 oder 1703 aktualisieren.

Kein Support mehr!

Windows Vista LogoWie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommt seit über drei Jahren (XP) bzw. sechs Monaten (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter.

Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf Windows 10 Mobile upgraden sollten, sofern möglich.

zur Übersicht

12.10.2017 – Microsoft stellt Windows 10 Mobile Entwicklung ein!

Windows 10 LogoNur wenige Tage nachdem HP angekündigt hat, sein Windows 10 Mobile Flaggschiff „Elite X3“ nicht länger zu produzieren, macht Microsoft endlich offiziell, was sich leider bereits lange angedeutet hat – der Software Konzern stellt die Weiterentwicklung von Windows 10 Mobile ein!

Laut Microsoft Manager Joe Belfiore hat Microsoft es nicht geschafft ausreichend Entwickler für Apps zu finden, obwohl man alles versucht habe einschließlich finanziellem Anreiz und weitreichender technischer Unterstützung. Es scheint, als können nicht einmal ein so großer Konzern wie Microsoft aus dem Teufelskreis ausbrechen. Kunden kaufen keine Geräte mit Windows 10 Mobile (früher Windows Phone) weil es zu wenige Apps gibt, und es gibt zu wenige Apps weil es zu wenige Kunden gibt.

Dabei wäre Windows Phone bzw. Windows 10 Mobile seiner Konkurrenz in einigen Punkten deutlich überlegen gewesen. Bedienung und Sicherheit sind deutlich besser als bei Android Geräten und gegenüber Apple konnte man ebenfalls mit einfacherer Bedienung und über den Preis punkten.

Leider ist das jetzt alles Schnee von gestern. Zwar gibt es immer noch günstige Geräte bei den Händlern, aber mangels neuen Versionen wird voraussichtlich auch der Support auf absehbare Zeit enden. Die älteste Version von Windows 10 Mobile wird nur noch bis Jänner 2018 unterstützt. Geräte mit der neuesten Version erhalten voraussichtlich wenigstens bis Juni 2019 Sicherheitsupdates.

Quelle: 'Microsoft-Manager: Keine neuen Funktionen mehr für Windows-Phones' auf Heise Online

Quelle: 'Windows 10 Mobile Lifecycle Policy' auf Microsoft.com (Englisch)

zur Übersicht

12.10.2017 – Kaspersky bietet kostenlosen Virenschutz an!

Kaspersky Lab LogoKaspersky begibt sich unter die Anbieter kostenloser Virenschutz-Lösungen – und wie! Im Gegensatz zur Konkurrenz belästigt Kaspersky die Anwender der Gratis-Version nicht mit Werbung und auch der Aktualisierungs-Intervall ist nicht reduziert gegenüber den kostenpflichtigen Varianten. Wir konnten gegenüber der günstigsten Bezahlversion – Kaspersky Anti-Virus, nur 2 Einschränkungen feststellen: Es gibt keinen Aktivitätsmonitor. Diese Funktion soll Daten aktiv vor Verschlüsselungstrojanern schützen und auch die Fernverwaltung durch MyKaspersky ist in Kaspersky Free nicht verfügbar.

Damit ist Kaspersky Free auf jeden Fall ganz klar der beste kostenlose Virenschutz und abgesehen von dem theoretisch etwas schlechteren Schutz gegenüber Verschlüsselungstrojanern Kaspersky Anti-Virus praktisch ebenbürtig. Die teureren Versionen wie Kaspersky Internet Security bringen dann natürlich noch weitere Schutzfunktionen mit, die Kaspersky Free nicht bietet.

Quelle: 'Kaspersky Free: Kostenloser Antiviren-Schutz ab sofort verfügbar' auf Heise Online

Download: Aktuelle Kaspersky Free Version

zur Übersicht

12.10.2017 – Thunderbird Sicherheitsupdates!

Mozilla Thunderbird LogoMozilla hat kürzlich Version 52.4.0 des beliebten E-Mail-Programms Thunderbird veröffentlicht. Die neue Version behebt neun Sicherheitslücken, wovon eine als kritisch eingestuft wurde. Alle Thunderbird Anwender sollten daher zügig auf die neue Version updaten.

Mozilla Thunderbird lässt sich über EINSTELLUNGSICON (rechts neben der Suchleiste) → HILFE → ÜBER THUNDERBIRD auf die neue Version aktualisieren.

Download: Aktuelle Thunderbird 52er Version

zur Übersicht

12.10.2017 – Firefox Sicherheitsupdates!

Mozilla Firefox LogoDie Mozilla Entwickler waren fleißig und haben etliche Sicherheitslücken in den beiden neuen Firefox Versionen behoben.

Firefox 56.0:

Version 56.0 behebt 18 Sicherheitslücken in Firefox, wovon eine als kritisch eingestuft wurden. Anwender die noch eine Firefox Version vor 55.0 verwenden (abgesehen von der ESR Version) sollten rasch updaten.

Firefox ESR 52.4:

Die Firefox ESR Ausgabe 52.4 beinhaltet alle Sicherheitskorrekturen aus Firefox 56, aber keine neuen Funktionen.

Mozilla Firefox lässt sich über FIREFOX → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Info: ESR steht bei Mozilla für 'Extended Support Release' also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

12.10.2017 – Wieder Sicherheitslücke in Nvidia Treibern!

Nvidia LogoErst Ende April dieses Jahres haben wir über Sicherheitslücken in den Nvidia Grafiktreibern berichtet, jetzt musste der Grafikchip-Hersteller erneut nachbessern.

Die Version 385.69 der Treiber für Gforce, NVS und Quadro Serien behebt das Problem. Anwender mit Nvidia Grafik sollten bei Gelegenheit updaten und dabei nach Möglichkeit die „Geforce Experience“ deinstallieren/weglassen.

Quelle: 'Sicherheitsupdates: Lücke in GPU-Treiber von Nvidia könnte Angreifer zu Admins machen' auf Heise Online

Download: 'Aktuelle NVIDIA Treiber' auf NVIDIA.de

zur Übersicht

Newsletter:


Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen:

Newsletter beantragen

zur Übersicht

 

Wir empfehlen:

LibreOffice Logo

Opera Logo

Thunderbird Logo

Kaspersky Logo

c't Logo

Diese Website ist kompatibel zu:

W3C XHTML

Das CSS Logo des W3C