News Archiv 3. Quartal 2019
Schlagzeilen * Details
Schlagzeilen:
- 30.09.2019 - Kritische Sicherheitslücke in Internet Explorer
- 30.09.2019 - Vivaldi 2.8 Update 2 schließt Lücken und behebt Problem
- 30.09.2019 - LibreOffice 6.2.7 und 6.3.1 beheben wieder Sicherheitslücken
- 30.09.2019 - Thunderbird 60.9 und 68.1.1 beheben Sicherheitslücken
- 30.09.2019 - Firefox 69.0.1 behebt Sicherheitslücken
- 30.09.2019 - Adobe liefert Notfall Sicherheits-Update für ColdFusion
- 23.09.2019 - Sicherheitsupdate für Google Chrome
- 23.09.2019 - Vivaldi 2.8: Sicherheitsupdate mit Nebenwirkungen
- 23.09.2019 - VMware: Wieder jede Menge Sicherheitsupdates nötig
- 23.09.2019 - Kritische Sicherheitslücken in D-Link NAS DNS-320
- 16.09.2019 - Sicherheitsupdate für Adobe Flash
- 16.09.2019 - Microsoft's Tag der Updates
- 16.09.2019 - Sicherheitsupdate für Google Chrome
- 16.09.2019 - Sicherheitsupdate für LastPass
- 16.09.2019 - Schwere Sicherheitslücken in Routern von D-Link
- 16.09.2019 - Der nächste Erpressungstrojaner per Bewerbungsmail
- 16.09.2019 - Sicherheitsupdates für Internetradios von Telstar
- 16.09.2019 - Neue Wireshark Version schließt Sicherheitslücke
- 16.09.2019 - Kritische Sicherheitslücken in Überwachungskameras von Dahua
- 09.09.2019 - Firefox 69.0 behebt schwere Sicherheitslücken
- 09.09.2019 - Logitech: Sicherheitsupdate schon wieder ausgehebelt!
- 09.09.2019 - Und schon wieder Cisco… (Sicherheitslücken)
- 09.09.2019 - Wichtiges Sicherheitsupdate für WordPress
- 09.09.2019 - Datenschutz Albtraum Kinder-GPS-Uhr
- 30.08.2019 - Sicherheitsupdate für Google Chrome
- 30.08.2019 - Thunderbird 68 – kaum eine Erweiterung funktioniert!
- 30.08.2019 - Logitech: Update schließt einen Teil der Sicherheitslücken
- 30.08.2019 - Und schon wieder Cisco… (Sicherheitslücken)
- 30.08.2019 - 3000 Homematic Systeme ungeschützt über Internet erreichbar!
- 26.08.2019 - Vivaldi 2.7: Sicherheitsupdates und Verbesserungen
- 26.08.2019 - Opera 63 bringt Sicherheitsupdate
- 26.08.2019 - VLC Media Player 3.0.8 behebt viele Sicherheitslücken
- 26.08.2019 - Sicherheitsupdate für MS Remote Deskop App für Android
- 26.08.2019 - Wieder Sicherheitslücken in Nvidia Treibern
- 26.08.2019 - Neues zu der Bluetooth Sicherheitslücke
- 26.08.2019 - Wieder Sicherheitslücke in Lenovo Software
- 26.08.2019 - Und schon wieder Cisco… (Sicherheitslücken)
- 26.08.2019 - Mastercard schlampt: 90.000 Kundendaten veröffentlicht!
- 26.08.2019 - 14 Millionen Kundendaten bei Hostinger gestohlen
- 19.08.2019 - Die nächste Bluetooth Sicherheitslücke!
- 19.08.2019 - Sicherheitsupdate für zahlreiche Adobe Programme
- 19.08.2019 - Microsoft's Tag der Updates
- 19.08.2019 - Firefox 68.0.2 schließt Lücke im Passwortmanager
- 19.08.2019 - Schwere Sicherheitslücken in etlichen VoIP Telefonen
- 19.08.2019 - Drucker stellen hohes Risiko dar!
- 19.08.2019 - Sicherheitslücken in WhatsApp Web
- 19.08.2019 - Viele Sicherheitsupdates von Intel
- 19.08.2019 - Sicherheitslücke in Trend Micros Passwortmanager
- 19.08.2019 - Und schon wieder Cisco… (Sicherheitslücken)
- 19.08.2019 - Datenschutz: Microsoft bessert nach – am Papier!
- 19.08.2019 - LibreOffice 6.3 – angeblich schneller?!
- 09.08.2019 - Sicherheitsupdate für Google Chrome
- 09.08.2019 - Blender 2.8 ist fertig
- 09.08.2019 - Wieder Sicherheitslücken in WPA3-Verschlüsselung
- 09.08.2019 - LibreOffice Sicherheitslücke scheinbar nicht vollständig behoben
- 09.08.2019 - Sicherheitslücken in VMware Software
- 09.08.2019 - Antwort von VLC Entwickler
- 09.08.2019 - Und schon wieder Cisco… (Sicherheitslücken)
- 09.08.2019 - aktualisierter Gimp Installer
- 09.08.2019 - AMD Ryzen: neuer Chipsatztreiber mit zwiespältigem Nutzen
- 09.08.2019 - Datenschutz: Cisco zahlt, Microsoft erwischt
- 30.07.2019 - Neue iTunes & iCloud Versionen beheben kritische Sicherheitslücken!
- 30.07.2019 - Schwere Sicherheitslücken in verschiedensten Geräten!
- 30.07.2019 - VLC Media Player doch nicht unsicher?
- 30.07.2019 - NAS Hersteller warnen vor Angriffen
- 30.07.2019 - Neue Installationsdateien für Windows 10 1903
- 22.07.2019 - Sicherheitslücken in VLC Media Player!
- 22.07.2019 - Sicherheitsupdate für Google Chrome & Vivaldi!
- 22.07.2019 - LibreOffice 6.2.5 ist ein Sicherheitsupdate!
- 22.07.2019 - Sicherheitsupdate für zahlreiche Adobe Programme
- 22.07.2019 - Microsoft's Tag der Updates
- 22.07.2019 - Thunderbird 60.8 schließt Sicherheitslücken
- 22.07.2019 - Firefox 68.0 behebt schwere Sicherheitslücken
- 22.07.2019 - Kritische Sicherheitslücken in etlichen Logitech Geräten!
- 22.07.2019 - Sicherheitsupdates für Java und weitere Oracle Software
- 22.07.2019 - Wichtiges Sicherheitsupdate für WordPress Plugin
- 22.07.2019 - Datenschutz: Hohe Strafen gegen Facebook und Marriott
- 22.07.2019 - Outlook mag kein HTML!
- 05.07.2019 - LibreOffice 6.2.5 veröffentlicht
- 05.07.2019 - Sicherheitsupdates für FileZilla
- 05.07.2019 - Zyxel behebt Sicherheitslücken
- 05.07.2019 - Schwere Sicherheitslücken in SmartHubs von Zipato
- 05.07.2019 - Und schon wieder Cisco… (Sicherheitslücken)
Details:
30.09.2019 – Kritische Sicherheitslücke in Internet Explorer
Microsoft hat ein neues Sicherheitsupdate für eine kritische Sicherheitslücke in Internet Explorer veröffentlicht. Allerdings liefert Microsoft das Update im Moment nicht per Windows Update aus, sondern nur per manuellen Download. Eine etwas merkwürdige Entscheidung, die etliche Anwender ungeschützt zurücklassen dürfte.
Grundsätzlich können wir vom Einsatz des Internet Explorer als Standard Browser aber ohnehin nur abraten. Dieses Browser-Urgestein ist nicht nur für häufige Sicherheitslücken bekannt, es ist auch noch langsam und hat mit aktuellen Webseiten etliche Probleme. Wir raten daher zu Vivaldi als Standard-Browser.
Wer weiterhin auf Internet Explorer als Standard Browser beharrt, muss entweder mit der aktuellen Sicherheitslücke leben, oder das Sicherheitsupdate von Microsoft manuell herunterladen und installieren.
Quelle: 'Notfallpatch: Attacken gegen Internet Explorer' auf Heise Online
Download: Microsoft Seite mit Details zur Lücke und Download-Links für die Updates
30.09.2019 – Vivaldi 2.8 Update 2 schließt Lücken und behebt Problem
Vivaldi hat seit unserem letzten Artikel bereits 2 Updates für die Vivaldi 2.8 Serie nachgelegt. Das erste Update brachte Vivaldi auf denselben Sicherheitsstand wie Chromium, sodass in Vivaldi wieder alle bekannten Lücken behoben sind.
Das zweite Update hat das Problem mit der Tabverwaltung behoben, sodass nun beim Starten von Vivaldi keine Tabs mehr verschwinden oder durcheinander gewirbelt werden. Wer aufgrund dieser Probleme zurück zur 2.7er Serie gegangen ist, kann nun wieder gefahrlos auf die neueste Version updaten, und sollte das angesichts der Sicherheitsupdates auch tun.
Download: Aktuelle Vivaldi Version
Quelle: 'Vivaldi 2.8: Inspires new desktop and mobile experiences' auf Vivaldi.com (Englisch)
Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)
30.09.2019 – LibreOffice 6.2.7 und 6.3.1 beheben wieder Sicherheitslücken
Wie wir berichtet haben, wurde die Sicherheitslücke, die in Version 6.2.5 hätte behoben sein sollen, in dieser Version doch noch nicht endgültig entschärft. Das LibreOffice Team hat Version 6.2.7 bzw. 6.3.1 von LibreOffice veröffentlicht, wo dieser (und weitere) Sicherheitslücken nun endgültig behoben sein dürften.
Alle LibreOffice Anwender sollten zügig auf Version 6.2.7 updaten, sofern noch nicht geschehen. Die Version 6.3.1 empfiehlt sich nur für Leute die gerne die allerneueste Software haben wollen und dafür auch mögliche Fehler und Instabilitäten in Kauf nehmen.
Quelle: Liste der behobenen Sicherheitslücken in LibreOffice
Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.2
Download: LibreOffice Versionen (6.2 Serie) - Empfohlen
30.09.2019 – Thunderbird 60.9 und 68.1.1 beheben Sicherheitslücken
Die Entwickler von Thunderbird haben die Versionen 60.9 und 68.1.1 veröffentlicht. Beide Versionen beheben mehrere Sicherheitslücken der jeweiligen Vorversionen. Thunderbird Anwender sollten daher zügig aktualisieren.
Der Versionszweig 68 ist nach wie vor nur für Leute mit wenigen oder gar keinen Erweiterungen geeignet, da die meisten alten Erweiterungen noch nicht dafür angepasst wurden.
Download: Thunderbird Version 60.9.0, Windows, Deutsch
Download: Thunderbird Version 68.1.1, Windows, Deutsch
Info: 'Thunderbird 60.9.0 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 68.1.1 Release Notes' auf Mozilla.org (Englisch)
30.09.2019 – Firefox 69.0.1 behebt Sicherheitslücken
Mozilla hat Firefox 69.0.1 veröffentlicht. Diese Version behebt 2 Sicherheitslücken der Vorversionen. Firefox Anwender sollten also unbedingt rasch auf die neue Version updaten, sofern nicht bereits vom automatischen Update erledigt.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
30.09.2019 – Adobe liefert Notfall Sicherheits-Update für ColdFusion
Adobe hat ein Notfall-Sicherheits-Update für ColdFusion veröffentlicht, dass eine Lücke schließt die bereits aktiv ausgenutzt wird um Server zu hacken. Betreiber einer Adobe ColdFusion-Installation sollten das Update von Adobe daher umgehend installieren und den Server im Anschluss auf Spuren von Eindringlingen untersuchen.
Updates gibt es für die Versionen 2016 und 2018. Wie die Updates zu installieren sind, steht in dem 'Adobe Security Bulletin APSB19-47'.
Quelle: 'Adobe Security Bulletin APSB19-47' auf Adobe.com (Englisch)
Quelle: 'Notfallpatch: Adobe sichert ColdFusion außer der Reihe ab' auf Heise Online
23.09.2019 – Sicherheitsupdate für Google Chrome
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 77.0.3865.90 behebt noch einmal ein paar Sicherheitslücken, die in der ersten 77er Version n durchgeschlüpft sind. Anwender von Google Chrome sollten ihren Browser zügig aktualisieren.
Anwender von Vivaldi und Opera müssen sich wie üblich noch ein wenig gedulden, bis auch sie die neuen Sicherheitsupdates erhalten.
Quelle: 'Sicherheitsupdate schließt kritische Lücke in Chrome' auf Heise Online
Info: 'Google Chrome aktualisieren' auf Google.com
23.09.2019 – Vivaldi 2.8: Sicherheitsupdate mit Nebenwirkungen
Die Vivaldi Entwickler haben den nächsten Versionssprung hingelegt und bringen damit vor allem wichtige Sicherheitsupdates durch das Upgrade auf den Chromium 77 Unterbau. Die Sicherheitskorrekturen aus Chromium 77.0.3865.90 (siehe Meldung oben) fehlen jedoch noch.
Viele sichtbare Neuerungen haben die Vivaldi Entwickler in Version 2.8 nicht eingebaut. Die auffälligste "Neuerung" ist leider ein sehr ärgerlicher Bug. Vivaldi 2.8 verliert unter Umständen Tabs, wenn der Browser geschlossen und wieder geöffnet wird. Auch an den zuletzt aktiven Tab kann Vivaldi sich nicht immer erinnern oder die Reihenfolge der Tabs wird durcheinander gewirbelt. Für Anwender die immer viele Tabs offen haben ein Horror, daher raten wir diesen von einem Upgrade auf die 2.8er Serie im Moment ab.
Wer Vivaldi bereits aktualisiert hat und dieselben Symptome festgestellt hat, kann sich mit den folgenden Links wieder die letzte 2.7er Version herunterladen und installieren. Dazu muss die neue Version aber zuvor deinstalliert werden. Bereits verloren gegangene Tabs bringt dies jedoch nicht zurück. Wer keine Probleme mit 2.8 hat, sollte wegen der Sicherheitskorrekturen bei 2.8 bleiben. Auch in dem Fall lohnt es sich aber ab und zu eine Sicherung der aktuellen Sitzung anzulegen (Vivaldi Icon → Datei → Geöffnete Tabs als Sitzung speichern...).
Wir haben selbstverständlich einen Fehlerbreicht bei Vivaldi eingereicht aber bisher noch keine Antwort darauf erhalten.
Download: Aktuelle Vivaldi Version
Download: Letzte 2.7er Vivaldi Version (32Bit)
Download: Letzte 2.7er Vivaldi Version (64Bit)
Quelle: 'Vivaldi 2.8: Inspires new desktop and mobile experiences' auf Vivaldi.com (Englisch)
Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)
23.09.2019 – VMware: Wieder jede Menge Sicherheitsupdates nötig
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die drei zugrunde liegenden Heise Online Artikel:
Quelle: 'VMware: Wichtige Sicherheitsupdates für ESXi und vCenter Server' auf Heise Online
Quelle: 'VMware: Kritisches Update für AMD-Grafikkarten löst spezielles Sicherheitsproblem' auf Heise Online
Quelle: 'VMware patcht weitere Lücke(n) in ESXi, Workstation und anderen Produkten' auf Heise Online
23.09.2019 – Kritische Sicherheitslücken in D-Link NAS DNS-320
Eine kritische Sicherheitslücke im NAS DNS-320 des Herstellers D-Link erlaubt Angreifern auf einfache Weise die vollständige Kontrolle über das Gerät zu erhalten. Damit haben Angreifer nicht nur die Kontrolle über das Gerät und alle darauf gespeicherten Daten, sondern können es auch als Brückenkopf im eigenen Netzwerk missbrauchen und von dort ausgehend weiteren Schaden anrichten.
Besitzer dieses Gerätes sollten unbedingt die neueste Firmware von D-Link herunterladen und installieren. Außerdem sollte man sich bei allen NAS Geräten gut überlegen, ob man dies tatsächlich aus dem Internet heraus verfügbar macht. Wenn diese Funktion nicht unbedingt erforderlich ist, sollte man das NAS nur über das eigene Netzwerk erreichbar machen. Wer von z.B. einem Notebook aus auf die Daten Zuhause zugreifen will, richtet sich dafür besser einen VPN-Tunnel ein.
Quelle: 'Kritische Lücke erlaubt Root-Zugriff auf D-Link-NAS DNS-320' auf Heise Online
16.09.2019 – Sicherheitsupdate für Adobe Flash
Die neueste Version des Flash-Plugins trägt die Nummer 32.0.0.255. Darin wurden zwei kritische Sicherheitslücken geschlossen. Anwender, die das Flash-Plugin installiert haben, sollten daher zügig auf die neue Version updaten, falls das nicht bereits geschehen ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Auskunft, welche Flash Version aktuell verwendet wird.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
16.09.2019 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Windows 7 – die letzten 4 Monate!
Anwender die immer noch Windows 7 einsetzen sollten jetzt langsam ein Upgrade oder einen neuen Computer planen. Windows 7 wird nur noch 4 Monate mit Sicherheitsupdates versorgt. Ohne Sicherheitsupdates wird das System rapide unsicherer und sollte daher auf keinen Fall mehr mit dem Internet verbunden bzw. mit Daten aus selbigem konfrontiert werden.
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 18.03 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf die letzte Version von Windows 10 Mobile upgraden sollten, sofern möglich. Für Windows 7 sind die letzten Monate angebrochen. Auch Besitzer eines PCs mit diesem Betriebssystem sollten langsam beginnen das Upgrade auf Windows 10 zu planen.
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
16.09.2019 – Sicherheitsupdate für Google Chrome
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 77 behebt nicht weniger als 52 Sicherheitslücken! Jedoch gilt 'nur' eine davon als kritisch. Anwender von Google Chrome sollten ihren Browser zügig aktualisieren.
Anwender von Vivaldi und Opera müssen sich wie üblich noch ein wenig gedulden, bis auch sie die neuen Sicherheitsupdates erhalten.
Quelle: '52 Sicherheits-Bugs in Chrome 77 beseitigt' auf Heise Online
Info: 'Google Chrome aktualisieren' auf Google.com
16.09.2019 – Sicherheitsupdate für LastPass
Sicherheitsforscher haben einen Weg gefunden, dem Passwort-Manager LastPass das zuletzt ausgegebenen Passwort zu entlocken. Die Entwickler haben den Fehler in Version 4.33.0 der Software behoben. Wer LastPass verwendet und dies weiterhin tun möchte, sollte das Update umgehend installieren.
Grundsätzlich raten wir von LastPass jedoch ab, da es einerseits eine Cloud-Lösung ist, und als solche schonmal grundsätzlich stärker unter Beschuss steht als eine lokale Lösung, andererseits aber ist LastPass auch noch direkt mit dem Browser verwoben, was weitere Angriffe ermöglicht, wie die Vergangenheit schon des Öfteren gezeigt hat.
Offline Passwort-Manager wie Password Safe mögen vielleicht weniger komfortabel sein, sind aber auch prinzipbedingt sicherer.
Quelle: 'Sicherheitsforscher entlockt Passwortmanager LastPass Kennwörter' auf Heise Online
16.09.2019 – Schwere Sicherheitslücken in Routern von D-Link
Wieder wurden in D-Link Routern Sicherheitslücken gefunden, die einfach nur als Haarsträubend bezeichnet werden können. Bei den DSL-Routern 2875AL und DSL-2877AL finden sich im HTML-Quellcode der Konfigurationsseite die Zugangsdaten zum Internetprovider. Dazu ist kein Passwort nötig. Selbiges verrät der DSL-2875AL aber praktisch als Zugabe auch noch ohne dafür Aufwand treiben zu müssen.
Laut D-Link wurden die Lücken in beiden Geräten durch Firmware-Updates behoben, die Entdecker der Lücken haben die neue Software jedoch nicht gegengeprüft. Hoffentlich hat D-Link seine Hausaufgaben also wirklich nachgeholt.
Besitzer eines der beiden Router sollten die neue Firmware umgehend installieren.
Quelle: 'Sicherheitsupdates: Zugangsdaten in Firmware von D-Link-Routern einsehbar' auf Heise Online
16.09.2019 – Der nächste Erpressungstrojaner per Bewerbungsmail
Angebliche Bewerbungsmails sind offenbar äußerst beliebt bei Cyberkriminellen. Wieder einmal ist ein solches angebliches Bewerbungsmail im Umlauf, wieder einmal enthält es einen Anhang mit Virus. Diesmal in einer ZIP-Datei verpackt aber ansonsten nichts neues eigentlich. Lediglich, dass der Lösegeld-Trojaner behauptet die Daten verschlüsselt zu haben und man sie gegen Lösegeld von 1300 Euro wieder erhalten könnte ist dreist gelogen, denn die Daten werden nicht verschlüsselt, sondern mit Zufallszahlen überschrieben. Selbst wer das Lösegeld zahlt, kann also unmöglich auf dem Weg wieder an die Daten gelangen.
Wie üblich ist der beste Schutz Hausverstand, das Anzeigen der Dateiendungen (was Windows leider standardmäßig nicht macht!) und eine regelmäßige Datensicherung.
Quelle: 'Fake-Bewerbung von "Eva Richter" hat Erpressungstrojaner Ordinypt im Gepäck' auf Heise Online
16.09.2019 – Sicherheitsupdates für Internetradios von Telstar
In mehreren Internetradios der deutschen Firma Telstar wurden Sicherheitslücken entdeckt, die zur Infektion der Geräte genutzt werden können. Angreifer könnten die Radios für DOS-Angriffe missbrauchen oder sie als Brückenkopf zum Zugang ins lokale Netzwerk missbrauchen.
Letzteres ist natürlich auszuschließen, wenn die Radios in einem Gast-WLAN betrieben werden, was auf jeden Fall einem internen WLAN vorzuziehen ist. Nichts desto trotz sollten die Updates installiert werden. Wie das geht können Besitzer der Geräte dem Heise Online Artikel entnehmen.
Quelle: 'Updates verfügbar: Internetradios von Telestar erlaubten Fernzugriff' auf Heise Online
16.09.2019 – Neue Wireshark Version schließt Sicherheitslücke
Die Versionen 2.6.11 bzw. 3.0.4 des Netzwerksniffers Wireshark schließen eine Sicherheitslücke der Vorversionen. Wer die Software installiert hat, sollte sie daher bei Gelegenheit aktualisieren.
Quelle: 'Abgesichert und aktualisiert: Netzwerk-Analyse-Tool Wireshark 3.0.4 ist da' auf Heise Online
16.09.2019 – Kritische Sicherheitslücken in Überwachungskameras von Dahua
Das Überwachungskameras sich all zu oft als Risiko denn als Schutz erweisen ist nichts Neues. Diesmal sind Sicherheitsforscher beim chinesischen Hersteller Dahua fündig geworden. In neun Modellen befinden sich teils kritische Sicherheitslücken. Angreifer könnten so die vollständige Kontrolle über die Kameras erhalten.
Der Hersteller hat bereits Sicherheitsupdates zur Verfügung gestellt, die jedoch manuell installiert werden müssen, ein automatisches Update gibt es nicht.
Quelle: 'Gefährliche Sicherheitslücken in Überwachungskameras von Dahua' auf Heise Online
09.09.2019 – Firefox 69.0 behebt schwere Sicherheitslücken
Mozilla hat Firefox 69.0 veröffentlicht. Diese Version behebt satte 20 Sicherheitslücken der Vorversionen. Firefox Anwender sollten also unbedingt rasch auf die neue Version updaten, sofern nicht bereits vom automatischen Update erledigt.
Von Firefox ESR gibt es vorübergehend zwei aktuelle Versionen. Die Ausgaben 60.9 bzw. 68.1 beheben hier die Sicherheitslücken aus den jeweiligen Vorgängern.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
09.09.2019 – Logitech: Sicherheitsupdate schon wieder ausgehebelt!
Das letzte Woche von Logitech veröffentlichte Sicherheitsupdate, das zumindest zwei von vier Sicherheitslücken in den kabellosen Geräten des Herstellers hätte schließen sollen, lässt sich kinderleicht umgehen. Grund dafür ist, dass die Geräte ein Firmware-Downgrade zulassen.
Das Sicherheitsupdate sollte eigentlich verhindern, dass ein Angreifer mit Zugang zum Gerät den Schlüssel der Datenverschlüsselung auslesen kann. Jedoch muss der Angreifer eben nur die alte Firmware wieder installieren, kann dann den Schlüssel wieder auslesen und im Anschluss die neue Firmware wieder installieren, um keine Spuren zu hinterlassen. Danach kann der Angreifer die Kommunikation zwischen PC und der kabellosen Peripherie wieder beliebig mitlesen und/oder manipulieren. Das Sicherheitsupdate hat also nur die Zeit für einen Angriff auf etwa 30 Sekunden verlängert, sonst aber nichts bewirkt.
Es bleibt also alles wie schon erwähnt, man sollte grundsätzlich keine kabellose Peripherie einsetzen, egal ob Logitech Unifying, Bluetooth oder Geräte eines anderen Herstellers.
Quelle: 'Logitech Unifying: Sicherheits-Patch schon ausgetrickst' auf Heise Online
09.09.2019 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Cisco sichert macOS- und Windows-Software ab – und noch mehr' auf Heise Online
09.09.2019 – Wichtiges Sicherheitsupdate für WordPress
Wer WordPress für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 5.2.3 installiert wurde oder das rasch nachholen. In der neuen Version wurden mehrere Sicherheitslücken geschlossen.
Quelle: 'Sicherheitsupdate: Mehrere Lücken in Wordpress 5.2.3 geschlossen' auf Heise Online
09.09.2019 – Datenschutz Albtraum Kinder-GPS-Uhr
Auf Amazon werden unter diversen Markennamen Kinder-GPS-Uhren (teils auch als Smartwatch beworben) verkauft, die allesamt vom chinesischen Hersteller Shenzen i365 fabriziert werden. Wie bei den Billig-China-Produkten nicht anders zu erwarten, ist das Thema Datenschutz bzw. Sicherheit nicht auf der Agenda des Herstellers gestanden. So ist es auch kein Wunder, dass sich mittlerweile rund 600.000 dieser Uhren aufspüren lassen. Für Angreifer ist es ein Kinderspiel, auf die Positionsdaten, die Kontaktdaten und sogar das Mikrofon zuzugreifen. Statt Smartwatch oder GPS-Uhr sollte das ganze also eher als tragbare Wanze mit GPS und ohne jegliche Sicherheitsfunktionen 'beworben' werden.
Quelle: 'Kinder-GPS-Uhren millionenfach ausspionierbar' auf Heise Online
30.08.2019 – Sicherheitsupdate für Google Chrome
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Das ist schon das zweite Upate der Version 76. Kein Wunder, dass Vivaldi und Opera bei so häufigen Updates nicht mitkommen und noch kein entsprechendes Update am Start haben. Zumindest bei Vivaldi gehen wir jedoch davon aus, dass dies bald erhältlich sein wird.
Auch wenn es dieses Mal 'nur' drei Sicherheitslücken sind die behoben wurden, sollten Anwender von Google Chrome dennoch zügig updaten, falls nicht bereits geschehen.
Quelle: 'Sicherheitsupdate: HTML-Renderer Blink gefährdet Google Chrome' auf Heise Online
Info: 'Google Chrome aktualisieren' auf Google.com
30.08.2019 – Thunderbird 68 – kaum eine Erweiterung funktioniert!
Mozilla hat seinem E-Mail-Programm mal wieder ein größeres Update spendiert, als nur die üblichen Sicherheitslücken zu schließen. Statt uns über die diversen nützlichen Neuerungen freuen zu können, werden wir heute leider nur auf dem gravierenden Problem herumreiten, vor das die neue Thunderbird Version so manchen Anwender stellen wird.
Es war ja schon seit 2016 bekannt, dass die alte Erweiterungs-Schnittstelle abgeschafft wird und alle Erweiterungen auf das neue System umprogrammiert werden müssen. Auch war bekannt, dass viele Entwickler keine Freude damit hatten, ihre über viele Jahre hinweg programmierten Erweiterungen komplett neu schreiben zu müssen. Thunderbird 60 hatte Entwicklern und Anwendern dann schon mal einen Warnschuss verpasst, denn die alten Erweiterungen gingen nur noch nach Änderung einer Voreinstellung oder nach Anpassen der Erweiterung.
Die Hoffnung war durchaus gegeben, dass die Entwickler der Apps die Zeit nutzen würden, um rechtzeitig zum Startschuss von Thunderbird 68 angepasste bzw. neu geschriebene Erweiterungen am Start zu haben. Die Realität sieht leider erschreckend aus, gerade einmal ungefähr ein Dutzend Erweiterungen sind mit Thunderbird 68 kompatibel, davon nur eine die für uns relevant ist. Der Großteil der Erweiterungen, die uns bis einschließlich Thunderbird 60 das Leben leichter und/oder angenehmer gemacht haben, sind (noch?) nicht verfügbar.
Laut Fahrplan von Mozilla dürfte noch eine Thunderbird 60 Version ins Haus stehen, was noch Support bis Ende Oktober bedeuten dürfte. Danach gibt es keine Sicherheitsupdates mehr für Thunderbird 60 und Anwender sind vor eine schwere Gretchenfrage gestellt: Sicherheit oder gewohnte Funktionalität/Komfort?
Das alles betrifft natürlich nur Anwender, die bisher Erweiterungen eingesetzt haben. Wer mit der Standard-Funktionalität ausgekommen ist, der kann sich über die Neuerungen in Thunderbird 68 durchaus freuen, es sind durchaus ein paar spannende Neuerungen enthalten. Welche das sind, können sie im Heise Online Artikel nachlesen.
Kein automatisches Update bis jetzt …
Egal ob man sich nun auf das Update freut oder davor fürchtet, es wird vorerst kein automatisches Update geben. Sprich, wer Thunderbird 68 haben möchte, muss es selbst herunterladen und installieren. Unerfahrenen Nutzern würden wir aber davon abraten. Version 68.1 soll später besser für Upgrades geeignet sein.
Quelle: 'Thunderbird 68: E-Mail-Client bekommt großes Update' auf Heise Online
Download: Aktuelle Thunderbird Version
30.08.2019 – Logitech: Update schließt einen Teil der Sicherheitslücken
Über ein Monat nach Veröffentlichung der Lücken hat der Schweizer Hersteller Logitech gebraucht, um Sicherheitsupdates für seine kabellosen Peripherie-Geräte (Maus, Tastaturen, Presenter) anzubieten. Dabei schließen die Updates nur zwei von vier Lücken, wer also wirklich auf Nummer sicher gehen will, verbannt besser jegliche kabellose Peripherie. Das gilt nicht nur für Logitech, sondern alle Tastaturen, Mäuse und dergleichen.
Wer sich nicht von seinem kabellosen Logitech Gerät trennen will oder kann, sollte zumindest die Updates installieren. Zwei geschlossene Sicherheitslücken sind besser als gar nichts, auch wenn die Geräte damit nicht völlig sicher werden. Auf weitere Updates warten ist nutzlos, Logitech wird die verbliebenen Lücken aus Kompatibilitätsgründen auch in Zukunft nicht schließen.
Quelle: 'Logitech: Firmware-Update macht Funktastaturen und -mäuse sicherer' auf Heise Online
Download: 'Logitech Firmware Update Tool' von logi.com
30.08.2019 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Kritische Lücke mit Höchstwertung in Ciscos Betriebssystem ISO EX' auf Heise Online
30.08.2019 – 3000 Homematic Systeme ungeschützt über Internet erreichbar!
Das Anwender und offenbar auch Techniker bei der Einrichtung von Heimautomatisierungssystemen äußerst leichtsinnig umgehen ist traurig aber leider nichts Neues. Anders ist es nicht zu erklären, dass das deutsche CERT Bund im Februar mehr als 6000 Installationen der Smarthome Software 'Homematic' entdeckt haben, die völlig ungeschützt aus dem Internet erreichbar waren. Das Amt hat von allen entdeckten IP-Adressen die Inhaber ausfindig machen lassen und angeschrieben, aber nur etwa die Hälfte haben auf die Warnung reagiert, sodass immer noch rund 3000 dieser Systeme für jedermann zugänglich sind.
Daher nochmal der Hinweis an alle Besitzer von IoT Geräten, egal ob Router, Sicherheitskamera, Smarthome Anlage oder sonstiger Kram mit Netzwerkanbindung, stellen sie sicher, dass diese Geräte NICHT direkt aus dem Internet erreichbar sind! Wenn man unbedingt aus der Ferne darauf zugreifen muss, sollte man das unbedingt über ein VPN machen.
Quelle: 'CERT-Bund warnt vor offenen Smarthome-Systemen' auf Heise Online
26.08.2019 – Vivaldi 2.7: Sicherheitsupdates und Verbesserungen
Die Vivaldi Entwickler haben den nächsten Versionssprung hingelegt und bringen damit vor allem wichtige Sicherheitsupdates durch das Upgrade auf den Chromium 76 Unterbau.
Doch wie üblich gibt es auch Neuerungen, die der Anwender zu sehen bekommt. Die Vivaldi Entwickler nennen Neuerungen bei der Tab-Verwaltung als die wichtigste davon. Vor allem bei der Steuerung von Audio-Ausgaben in den diversen Tabs wurde einiges nachgebessert. Auch in den Voreinstellungen kann man das Verhalten der Audio-Ausgabe nun noch genauer vorgeben.
Bei den Benutzerprofilen innerhalb von Vivaldi kann man nun Verknüpfungen mit dem jeweiligen Profil direkt auf dem Desktop erstellen (von dort lassen sie sich natürlich überall hin verschieben/kopieren). Der Nutzer mit dem Profil "Hausgast" (z.B.) muss also nicht mehr erst Vivaldi starten (was den Hauptbenutzer lädt) um dann auf das Profil "Hausgast" umzuschalten, sondern kann sein Profil direkt vom Desktop aus ohne Umwege starten.
Wirklich revolutionäre Neuerungen an der Oberfläche gibt es also nicht, aber alleine aufgrund der Sicherheitsupdates sollte das Update für jeden Vivaldi-Nutzer Pflicht sein.
Download: Aktuelle Vivaldi Version
Quelle: 'Vivaldi 2.7 : Bring more productivity to your day' auf Vivaldi.com (Englisch)
Quelle: 'Vivaldi Release Notes' auf Vivaldi.com (Englisch)
26.08.2019 – Opera 63 bringt Sicherheitsupdate
Auch Opera bringt endlich das Update auf den Chromium 76 Unterbau und schließt damit etliche Sicherheitslücken. Darüber hinaus gibt es Verbesserungen beim privaten Surfmodus. Die Sicherheitsupdates erwähnt bei Opera niemand, selbst ein Changelog gibt es nicht. Man muss sich also die neue Version schon genau anschauen, um festzustellen, dass die neue Chromium-Version enthalten ist.
Alle Anwender von Opera sollten rasch auf die neue Version aktualisieren, sofern das nicht bereits durch das automatische Update erledigt wurde. Im Menü 'Über Opera' kann man sehen, ob man bereits die aktuelle Version von Opera einsetzt, und gegebenenfalls auch gleich das Update starten.
Download: Aktuelle Opera Version
26.08.2019 – VLC Media Player 3.0.8 behebt viele Sicherheitslücken
Das Team rund um den VLC Media Player hat eine neue Ausgabe der Software veröffentlicht. Version 3.0.8 behebt mehrere Sicherheitslücken, über die in letzter Zeit teils viel Verwirrung geherrscht hat. Auch heute noch sind sich die Entwickler und manche Sicherheitsforscher nicht einig, wie gefährlich manche Lücken wirklich waren.
Wie auch immer, die neue Version sollte einen Schlussstrich unter all diese Diskussionen setzen, denn Version 3.0.8 enthält zumindest nach dem heutigen Stand keine Sicherheitslücken mehr. Alle Anwender von VLC sollten daher zügig auf die neue Fassung updaten, zumal sie auch diverse andere Verbesserungen enthält.
Download: VLC Media Player 3.0.8 für Windows (32Bit)
Download: VLC Media Player 3.0.8 für Windows (64Bit)
Quelle: 'Sicherheitsupdate: Präpariertes Video kann VLC-Nutzer in Teufels Küche bringen' auf Heise Online
Quelle: 'VLC Media Player 3.0.8 Release Notes' auf Videolan.org (Englisch)
26.08.2019 – Sicherheitsupdate für MS Remote Deskop App für Android
Microsoft hat ein Update seiner Remote Desktop App für Android herausgegeben. Darin wurden wohl ähnliche Lücken behoben, wie am letzten Tag der Updates in etlichen Windows Versionen. Wer diese App auf einem Android Tablett oder Smartphone installiert hat, sollte sie zügig aktualisieren.
Quelle: 'Sicherheitsupdate: Auch Microsofts RDP-Android-App von Lücke betroffen' auf Heise Online
26.08.2019 – Wieder Sicherheitslücken in Nvidia Treibern
Langsam wird es leider zur Gewohnheit, dass man von Nvidia viel zu häufig von Sicherheitslücken in seinen Grafikkarten-Trebern liest. Diesmal hat der Hersteller insgesamt fünf Lücken behoben. In Summe weisen die Lücken den Bedrohungsgrad "hoch" auf.
Besitzer von Nvidia Grafikkarten sollten einmal mehr die abgesicherten Treiber herunterladen und installieren. Wer noch eine Grafikkarte aus der Serie 500 oder älter besitzt, schaut in die Röhre, hier gibt es keine Sicherheitsupdates mehr.
Besitzer von Quadro Karten können der Matrix im verlinkten Nvidia Bericht entnehmen, ob es für ihre Karten noch Updates gibt.
Quelle: 'GPU-Treiber von Nvidia: Shader-Berechnung kann Schadcode auf den Plan rufen' auf Heise Online
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - August 2019' auf nvidia.custhelp.com
26.08.2019 – Neues zu der Bluetooth Sicherheitslücke
Letzte Woche hatten wir noch geschrieben, dass die neue Bluetooth-Sicherheitslücke (KNOB Attack) in allen Varianten von Bluetooth zu finden sei. Da haben wir uns offenbar vertan, denn die Bluetooth Smart bzw. LE Varianten sind doch nicht betroffen. Aufatmen sollte man aber deshalb noch lange nicht, denn viele Geräte beherrschen eben sowohl Bluetooth Smart als auch die verwundbaren BR/EDR-Varianten. Zudem gibt es ja immer noch andere Lücken in Bluetooth, sodass man unterm Strich so oder so weiterhin von Bluetooth abraten muss.
Nichtsdestotrotz hat Apple bereits ein Sicherheitsupdate in iOS 12.4, macOS 10.14.6, watchOS 5.3 sowie tvOS 12.4 eingebaut. Für die älteren macOS Versionen 12.2 und 12.3 hat Aplke fixes gegen die Bluetooth-Lücke in das Sicherheitsupdate 2019-004 eingebaut, das jedoch wegen Problemen zurückgezogen wurde.
Natürlich finden wir es gut, dass Apple hier zügig reagiert hat, und ähnliches erwarten wir auch von den anderen Herstellern, das sollte aber nicht dazu verleiten Bluetooth insgesamt irrtümlicherweise als "ist jetzt eh abgesichert" zu betrachten. Bluetooth ist und wird auf absehbare Zeit nicht sicher sein.
Quelle: 'KNOB-Attacke: Apple liefert Patch gegen Bluetooth-Schwachstelle' auf Heise Online
26.08.2019 – Wieder Sicherheitslücke in Lenovo Software
Die Superfish Affaire oder die letzten Lücken im Update-Programm sind noch nicht vergessen, da bekleckert sich die Security Abteilung bei Lenovo abermals nicht mit Ruhm. Diesmal macht eine Lücke im Programm Lenovo 'Solution Center' oder besser gesagt die Reaktion von Lenovo darauf negative Schlagzeilen. Einmal mehr verheddert sich Lenovo hier in Widersprüche und Ausreden, anstatt einfach mal Klartext zu reden.
Für Kunden ist die Situation aber relativ einfach: Das 'Lenovo Solution Center' muss deinstalliert werden, da es kein Sicherheitsupdate mehr dafür geben wird.
Quelle: 'Lenovo Crapware: Vorinstallierte Systemsoftware macht Laptops angreifbar' auf Heise Online
26.08.2019 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Jetzt updaten: Cisco schließt 27 Sicherheitslücken in diversen Produkten' auf Heise Online
Quelle: 'Jetzt patchen! Exploit-Code für Cisco-Switches in Umlauf' auf Heise Online
Quelle: 'CERT-Bund warnt vor ungepatchten Lücken in Ciscos "Firepower"-Firewall-Software' auf Heise Online
26.08.2019 – Mastercard schlampt: 90.000 Kundendaten veröffentlicht!
Mastercard dürfte wohl eine der nächsten großen Firmen sein, die sich Datenschützer vorknöpfen werden. Das Unternehmen musste kürzlich eingestehen, dass Daten von 90.000 Kunden gestohlen und veröffentlicht wurden. Selbst wenn mit den gestohlenen Daten keine Kreditkarten-Einkäufe getätigt werden können, so ist das aus Datenschutz-Sicht ein Alptraum für die Kunden, deren persönliche Daten jetzt weltbekannt sind. Für Mastercard ist es im ersten Moment erst mal peinlich, im weiteren Verlauf ziemlich sicher teuer.
Quelle: 'Leck bei Mastercard? Daten von fast 90.000 Personen kursieren im Netz' auf Heise Online
Quelle: 'Nach dem Datenleck: Mastercard benachrichtigt Kunden' auf Heise Online
Quelle: 'Mastercard-Leak: Zweite Datei mit vollständigen Kartennummern aufgetaucht' auf Heise Online
26.08.2019 – 14 Millionen Kundendaten bei Hostinger gestohlen
Nicht ganz so heikel sind die Informationen, die beim Webhoster 'Hostinger' gestohlen wurden – nämlich Name, E-Mail, IP-Adresse und Passwort. Letzteres ist jedoch verschlüsselt, sodass Angreifer Zeit gebraucht hätten um es zu entschlüsseln. Da die Firma aber bereits alle betroffenen Passwörter zurückgesetzt hat, besteht hier kein unmittelbares Risiko. Wer natürlich dasselbe Passwort für alles mögliche verwendet, dem steht jetzt eine Marathon-Passwort-Ändern-Sitzung bevor.
Auch wenn der Diebstahl aus Datenschutz-Perspektive nicht ganz so heikel ist wie der bei Mastercard, so dürfte dem Unternehmen dennoch eine saftige Strafe blühen, nicht zuletzt wegen des großen Umfangs.
Quelle: 'Webhoster Hostinger setzt Passwörter von 14 Millionen Kunden zurück' auf Heise Online
19.08.2019 – Die nächste Bluetooth Sicherheitslücke!
Unser "Lieblingsthema" Bluetooth ist wieder um ein (trauriges) Kapitel reicher. Das Gute ist nur, diesmal ist schnell erklärt, welche Bluetooth Version betroffen ist, nämlich alle. Also egal ob EDR oder Smart, ob 1.0, 5.0 oder alles dazwischen, egal welche Software am PC verwendet wird oder was auch immer in früheren Artikeln irgendwie relevant war, diesmal ist es einfach – Bluetooth ist unsicher!
Wenn man sich also nicht gerade in der Wüste und offensichtlich fernab jedes technischen Gerätes befindet, sollte man Bluetooth am besten nicht verwenden. Egal ob Bluetooth-Maus, Tastatur (besonders kritisch!), Headset, Autoradio, Kinderspielzeug oder sonstiges Bluetooth-fähiges-Gerät, man sollte sich immer gut überlegen, ob es das Risiko wert ist.
Und wie reagiert das Bluetooth-Konsortium? Wie üblich mit einer "Empfehlung". Hersteller mögen doch bitte die Schlüssellänge auf mindestens 7 Bit anheben. Von einer ‚Empfehlung‘ die vielleicht oder vielleicht auch nicht von den Herstellern in neueren Geräten umgesetzt wird (bei alten besteht sowieso keine Hoffnung) hat niemand etwas. Woher soll der Besitzer eines Gerätes erkennen, ob das jetzt mindestens 7 Bit Schlüssellänge verwendet oder nur 1 Bit, wenn es nicht von z.B. Bluetooth 6 zwingend vorausgesetzt wird? Wie wir früher schon einmal gesagt haben, das Bluetooth-Konsortium muss sich vom heiligen Gral der Abwärtskompatibilität endlich verabschieden und einen komplett neuen und sicheren Standard entwickeln. Und die Sicherheitsforscher sollten schon im Entwurfs-Stadium Zugriff auf den Standard erhalten und nicht erst, wenn die Geräte schon im Laden stehen.
Quelle: 'KNOB-Attack: Schwerer Konzeptfehler in Bluetooth' auf Heise Online
19.08.2019 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Reader & Acrobat:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2019.012.20036 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Version hat Adobe unzählige (!) Sicherheitslücken geschlossen, sehr viele davon kritischer Art. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird.
Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB19-41 (Englisch)
Adobe Photoshop:
In Adobe Photoshop wurde diesen Monat eine ganze Reihe von Sicherheitslücken geschlossen. Die schwerste davon gilt als kritisch. Anwender, die Photoshop installiert haben, sollten daher rasch auf die Version 19.1.9 (2018) oder 20.0.6 (2019) updaten. Sämtliche (!!) frühere Photoshop Versionen gelten als unsicher und sollten nicht mehr verwendet werden.
Info: Adobe Security Bulletin APSB19-44 (Englisch)
Creative Cloud Client:
Mehrere Sicherheitslücken in der Creative Cloud Desktop App könnte es Angreifern erleichtern den PC mit Viren zu infizieren. Für Abhilfe sorgt das Update auf Version 4.9. Beim Starten der Creative Cloud App sollte diese automatisch auf das Update hinweisen.
Quelle: 'Adobe Security Bulletin APSB19-39' auf Adobe.com (Englisch)
Adobe Experience Manager:
Von Adobe Experience Manager sind die Versionen 6.4 bis 6.5 betroffen. Hier gibt es eine Lücke. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin APSB19-42.
Quelle: Adobe Security Bulletin APSB19-42 (Englisch)
Adobe After Effects:
In Adobe After Effects wurde eine DLL-Hijacking Lücke behoben. Ohne das Update kann ein Angreifer sich erhöhte Berechtigungen erschleichen. Betroffen sind alle Versionen von After Effects, eine Lösung in Form eines Updates auf Version 16.1.2 gibt es nur für die 2019er Ausgabe. Ältere Fassungen von After Effects sollten nicht mehr verwendet werden.
Quelle: Adobe Security Bulletin APSB19-31 (Englisch)
Adobe Premiere Pro:
Im Video-Schnitt-Programm Premiere Pro hat Adobe ebenfalls eine DLL-Hijacking-Sicherheitslücke behoben, die zur Ausweitung von Benutzerrechten missbraucht werden kann. Das Update auf Version 13.1.2 steht leider nur für die 2019er Ausgabe zur Verfügung, ältere Ausgaben von Premiere Pro sollten nicht mehr genutzt werden.
Quelle: Adobe Security Bulletin APSB19-33 (Englisch)
Adobe Character Animator:
In Adobe Character Animator wurde eine DLL-Hijacking Lücke behoben. Ohne das Update kann ein Angreifer sich erhöhte Berechtigungen erschleichen. Betroffen sind alle Versionen von Character Animator, eine Lösung in Form eines Updates auf Version 2.1.1 gibt es nur für die 2019er Ausgabe. Ältere Fassungen von Character Animator sollten nicht mehr verwendet werden.
Quelle: Adobe Security Bulletin APSB19-32 (Englisch)
Adobe Prelude:
In Prelude hat Adobe ebenfalls eine DLL-Hijacking-Sicherheitslücke behoben, die zur Ausweitung von Benutzerrechten missbraucht werden kann. Das Update auf Version 8.1.1 steht leider nur für die 2019er Ausgabe zur Verfügung, ältere Ausgaben von Prelude sollten nicht mehr genutzt werden.
Quelle: Adobe Security Bulletin APSB19-35 (Englisch)
19.08.2019 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Windows 7 – die letzten 5 Monate!
Anwender die immer noch Windows 7 einsetzen sollten jetzt langsam ein Upgrade oder einen neuen Computer planen. Windows 7 wird nur noch 5 Monate mit Sicherheitsupdates versorgt. Ohne Sicherheitsupdates wird das System rapide unsicherer und sollte daher auf keinen Fall mehr mit dem Internet verbunden bzw. mit Daten aus selbigem konfrontiert werden.
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf die letzte Version von Windows 10 Mobile upgraden sollten, sofern möglich. Für Windows 7 sind die letzten Monate angebrochen. Auch Besitzer eines PCs mit diesem Betriebssystem sollten langsam beginnen das Upgrade auf Windows 10 zu planen.
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
19.08.2019 – Firefox 68.0.2 schließt Lücke im Passwortmanager
Im Gegensatz zu allen anderen Browsern, bietet Mozilla in Firefox die Möglichkeit an, die Passwörter in Firefox mit einem Master-Passwort zu schützen. Möchte man auf einer Website ein gespeichertes Passwort ausfüllen, muss man zuerst das Master-Passwort eingeben. Ist diese Funktion aktiviert, sollte sie effektiv verhindern, dass Viren die Passwörter aus Firefox auslesen können. Doch ein Fehler hat genau diese Funktion so löchrig gemacht, dass Angreifer mit wenig Aufwand doch wieder an die Passwörter gelangen konnte. In Version 68.0.2 wurde die Lücke nun behoben, sodass mit Master-Passwort geschützte Passwörter tatsächlich wieder sicher sein sollten.
Zur Info: Ist in Firefox kein Master-Passwort gesetzt, verhält sich Firefox wie alle anderen Browser, das heißt die gespeicherten Passwörter sind dann für bösartige Programme kinderleicht auszulesen. Daher raten wir auch von den in den Browsern eingebauten Passwort-Managern grundsätzlich ab, zumindest für sensible Passwörter. Diese sind deutlich besser in einem lokalen Passwort Manager (keine Cloud Dienste!) aufgehoben.
Quelle: 'Passwortmanager von Firefox war ein offener Tresor' auf Heise Online
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
19.08.2019 – Schwere Sicherheitslücken in etlichen VoIP Telefonen
In VoIP Telefonen und Telefon-Anlagen stecken wie nicht anders zu erwarten etliche Sicherheitslücken. Laut Heise Online, sollen die Forscher in 33 Geräten von 25 verschiedenen Herstellern Lücken nachgewiesen haben. Auf der Website der Forscher sind jedoch nur die folgenden 10 Hersteller gelistet:
Akuvox, Alcatel-Lucent, AudioCodes, Auerswald, Atcom, Gigaset, Htek, Obihai, Unify und Yealink.
Möglicherweise hat Heise bereits baugleiche Geräte von anderen Herstellern mit eingerechnet. Wie auch immer, zehn betroffene Hersteller wären bereits schlimm genug. Da ohnehin nicht davon auszugehen ist, dass alle Hersteller ausreichende Sicherheitsupdates bereitstellen werden, kann die Empfehlung nur einmal öfter sein, die IP-Telefoine in ein eigenes Netzwerk zu stecken. Dann kann ein Angreifer schlimmstenfalls die Telefonanlage stören, aber nicht von diesen aus auf die sensiblen Daten auf den PCs/Servern zugreifen.
Natürlich sollte man Sicherheitsupdates auch dann noch installieren, wenn die Telefone in einem eigenen Netz sind. Daher ist jetzt so oder so ein guter Zeitpunkt um beim Hersteller der eigenen IP-Telefone bzw. IP-Telefonanlagen mal nachzusehen, ob nicht eventuell Updates bereitstehen.
Quelle: 'VoIP-Sicherheitslücken: Viele Büro-Telefonanlagen grundlegend unsicher' auf Heise Online
Quelle: 'Veröffentlichte CVE-Einträge durch Fraunhofer SIT' auf www.sit.fraunhofer.de
19.08.2019 – Drucker stellen hohes Risiko dar!
Sie stehen unscheinbar in der Ecke und werden von den meisten Anwendern nur dann mit eines Gedanken gewürdigt, wenn das Papier klemmt oder die Tinte leer ist. Das Drucker aber heutzutage mit ihren Netzwerk oder WLAN-Anschlüssen eben auch IoT-Geräte, also vernetzte Geräte darstellen, und damit auch ein potenzielles Sicherheitsrisiko sind, haben die wenigsten auf der Rechnung. Auch die Hersteller selbst habe das Thema Sicherheit bei weitem nicht dort auf der Agenda, wo es hingehören sollte. Anders ist nicht zu erklären, dass Sicherheitsforscher praktisch im vorbeigehen 50 Sicherheitslücken in gängigen Druckern aufspüren konnten. Mit mehr Zeit wären laut ihrer Aussage noch deutlich mehr Lücken gefunden worden.
Am schlimmsten hat es Brother getroffen, hier wurden gleich 300 Modelle als verwundbar eingestuft. Zumindest hat der Hersteller rasch reagiert und bietet mittlerweile für die meisten davon bereits aktualisierte Firmware-Pakete an. Besitzer von Brother Druckern sollten also unbedingt auf der Homepage des Herstellers nach Updates Ausschau halten.
Aber auch Xerox (schon wieder), HP, Kyocera, Lexmark und Ricoh ist betroffen. Auch Besitzer dieser Geräte sollten sich auf der verlinkten Heise Online Seite, bzw. den dort verlinkten Advisories der betroffenen Hersteller, informieren und regelmäßig nach Updates Ausschau halten.
Anders als die IP-Telefone (vorhergehender Artikel) kann man die Drucker schlecht in ein fremdes Netz auslagern, immerhin will man ja vom PC aus drucken, und das Dokument nicht per USB-Stick zum Drucker tragen müssen. Es ist also essentiell dafür zu Sorgen, dass die Drucker immer die aktuelle Firmware haben.
Auffällig ist, dass kein Gerät der japanischen Hersteller genannt wurde. Ob Geräte von Canon und Epson nicht getestet wurden oder darin einfach keine Lücken entdeckt wurden, ist leider nicht bekannt. Aber es ist schon auffällig, dass Canon und Epson sehr viel weniger in derartigen Sicherheitsberichten erwähnt wird.
Quelle: 'Büro-Drucker mit löcheriger Firmware – Sicherheitsniveau wie vor Jahrzehnten' auf Heise Online
19.08.2019 – Sicherheitslücken in WhatsApp Web
In Firmen sollte WhattsApp aufgrund der DSGVO ohnehin tabu sein, aber auch Privatanwender sollten sich der Risiken von WhattsApp im Klaren sein. Nicht nur, dass WhattsApp sämtliche Kontakte aus ihrem Smartphone an Facebook übermittelt, die es dann wiederum gewinnträchtig an Jeden weiterverkauft der ein paar Cent dafür zahlt, nun sind auch noch drei handfest Sicherheitslücken bei der Verwendung von WhattsApp Web bekannt geworden.
Alle drei Lücken lassen sich dazu nutzen, um Absenderangaben oder Inhalte zu manipulieren. Zwar ist ein wenig Aufwand nötig um die Lücken auszunutzen, nachdem viele Anwender aber völlig unbedacht Erweiterungen in ihrem Browser installieren, ist die Gefahr durchaus real.
Wer unbedingt WhattsApp nutzen und dazu noch unbedingt am PC tippen möchte, sollte daher besser zu der App für Windows greifen, statt zu WhattsApp Web. Unabhängig von WhattsApp sollten Anwender sehr genau überlegen, welche Browser-Erweiterungen sie installieren. Browser-Erweiterungen sind kleine Programme, die Zugriff auf die meisten Daten im Browser haben. Also auch auf Online-Banking-Websites oder andere sensible Daten.
Zurück zu WhattsApp. Die Entwickler konnten eine der drei Lücken schließen, die beiden verbleibenden Lücken werden bis auf weiteres nicht behoben!
Quelle: 'Forscher manipulieren Inhalt und Absender von WhatsApp-Nachrichten' auf Heise Online
19.08.2019 – Viele Sicherheitsupdates von Intel
Intel hat für etliche NUC-Computer BIOS-Update veröffentlicht. Diese beheben ernsthafte Fehler, sodass alle Besitzer eines NUC-Rechners prüfen sollten, ob für den eigenen PC ein aktualisiertes BIOS verfügbar ist.
Abgesehen von BIOS-Updates liefert Intel aber auch noch Updates für die Programme bzw. Treiber namens: "Processor Indentification Utility for Windows", "RAID Web Console 2", "Authenticate", "Driver & Support Assistant" und "Remote Displays" aus. In der Meldung von Heise Online stehen Details bzw. die Links zu den jeweiligen Intel-Seiten.
Quelle: 'Sicherheitsupdates: Intel härtet NUC-Firmware und weitere Software' auf Heise Online
19.08.2019 – Sicherheitslücke in Trend Micros Passwortmanager
Wer den Passwortmanager oder eine Sicherheitslösung von Trend Micro (die den Passwortmanager enthält) installiert hat, sollte unbedingt sicherstellen, dass die Version aktuell ist. Heise Online erwähnt, dass sich das Update automatisch installieren soll, verrät aber nicht, wie man das Prüfen oder gegebenenfalls von Hand nachholen kann. Wie auch immer, wer die Software installiert hat, sollte sicherstellen, dass sie aktuell ist. Oder, noch besser, ganz deinstallieren, falls der Passwortmanager gar nicht verwendet wird.
Quelle: 'Trend Micros Passwortmanager könnte Schadcode Huckepack nehmen' auf Heise Online
19.08.2019 - Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Gefährliche Lücken in diversen Cisco-Netzwerkgeräten' auf Heise Online
19.08.2019 – Datenschutz: Microsoft bessert nach – am Papier!
Letzte Woche hatten wir berichtet, dass Microsoft genau wie Google, Amazon und Apple dabei ‚erwischt‘ wurde, dass die Audio-Mitschnitte, die das Unternehmen über Skype und Cortana erhält, nicht nur automatisiert, sondern auch von Menschen ausgewertet hat. Nun hat Microsoft auf die Vorwürfe reagiert, wenn auch nicht unbedingt so, wie der Endkunde sich das wünschen würde. Statt nämlich die Daten gar nicht mehr von Menschen auswerten zu lassen oder zumindest nur nach Einwilligung, hat Microsoft die bestehende Praktik einfach in der Datenschutzerklärung verankert. Das bedeutet, wer den Skype Translator oder Cortana verwendet, willigt ein, dass Microsoft diese Mitschnitte auch von Menschen verarbeiten darf. Man sollte sich also gut überlegen, ob man diese Informationen unbedingt mit anderen Menschen teilen möchte. Auch wenn diese Mitarbeiter natürlich Richtlinien unterworfen sind, es sind eben nur Menschen.
Quelle: 'Skype und Cortana: Microsoft weist auf menschliches Mithören hin' auf Heise Online
19.08.2019 – LibreOffice 6.3 – angeblich schneller?!
Kürzlich haben die LibreOffice Entwickler Version 6.3.0 der freien Büro-Suite veröffentlicht. Die Entwickler schreiben dabei relativ vollmundig, von sensationellen Verbesserungen bei der Geschwindigkeit beim Öffnen und speichern von Dateien. Da Geschwindigkeit natürlich immer ein Faktor ist, haben wir das gleich mal mit ein ‚echten‘ Dateien aus dem täglichen Gebrauch getestet.
Wie z.B. das Dokument, in dem wir diese News-Meldungen verfassen und das aktuell gerade 211 Seiten hat. Egal mit welcher Datei wir getestet haben, wir konnten keinen Unterschied zur 5.2er Ausgabe feststellen. Das bedeutet natürlich nicht, dass die Angaben von LibreOffice falsch sind, wir sind sicher, dass in gewissen Situationen wirklich drastische Verbesserungen gelungen sind, aber die meisten Anwender dürften wohl keinen Unterschied bemerken.
Natürlich gibt es auch wieder einige Neuerungen Abseits der Geschwindigkeitsverbesserungen und wer Neugierig ist, kann sich im verlinkten Heise Online Artikel schonmal informieren, von der Installation der neuen Ausgabe raten wir jedoch wie üblich noch ab. Nur wer bereit ist mit Fehlern zu leben oder diese auch melden möchte, sollte sich mit der brandneuen Version beschäftigen. Wer einfach nur ein zuverlässiges Officepaket benötigt, ist mit Version 6.2.5 aktuell besser bedient.
Quelle: 'LibreOffice 6.3: Neue Features und mehr Performance' auf Heise Online
09.08.2019 – Sicherheitsupdate für Google Chrome
Google hat weitere Sicherheitslücken in Google Chrome und Chromium behoben. Zuerst wurden mit Version 76 stolze 43 Sicherheitslücken behoben, dann mit Version 76.0.3809.100 nochmals vier weitere Lücken. In Summe sind die Lücken gefährlich, Anwender von Google Chrome sollten also zügig updaten, falls nicht bereits geschehen.
Vivaldi bekleckert sich dieses Mal leider nicht mit Ruhm, denn die Mannschaft um den ehemaligen Opera Chef Jon von Tetzchner hat bis dato noch keine Version mit diesen Sicherheitsupdates am Start. Bei Opera tut sich in der Hinsicht auch noch nichts, aber von Opera ist man das in letzter Zeit leider nicht anders gewohnt.
Quelle: 'Google Chrome: Sicherheitsupdate mit 43 Security-Fixes veröffentlicht' auf Heise Online
Quelle: 'Chrome 76: Google veröffentlicht Update mit vier Security-Fixes' auf Heise Online
Info: 'Google Chrome aktualisieren' auf Google.com
09.08.2019 – Blender 2.8 ist fertig
Die Blender Foundation hat Version 2.8 des 3D Programms Blender freigegeben. Anders als der kleine Versionssprung von 2.79 auf 2.80 vermuten lassen würde, ist Blender 2.8 geradezu eine Revolution. Kaum ein Stein ist auf dem anderen geblieben und macht aus einem ohnehin schon sehr guten Programm ein nochmals viel Besseres.
Die komplett renovierte Oberfläche und Unterbau wird Alt-Eingesessene Blender Fans erst mal erschrecken, da doch viel umzulernen ist. Neu-Einsteiger dürften sich jedoch in Blender 2.8 deutlich schneller zurechtfinden als in der 2.7er Serie. Das bedeutet natürlich nicht, dass aus Blender ein kinderleicht zu bedienendes Spielzeug-Programm geworden ist. Blender braucht immer noch viel Einarbeitungszeit um damit schöne Resultate zu erzeugen, aber das gilt für alle professionellen 3D-Programme und genau das ist Blender, da sollte man sich nicht davon täuschen lassen, dass es kostenlos ist.
Heise Online hat einen schönen Artikel über die zahlreichen Neuerungen in Blender 2.8 veröffentlicht, den wir allen Interessierten empfehlen können.
Quelle: '3D-Renderer Blender 2.8: Schnelle Render-Engine, renovierte Oberfläche' auf Heise Online
09.08.2019 – Wieder Sicherheitslücken in WPA3-Verschlüsselung
Bereits einmal musste die WIFI-Alliance bei WPA3 nachbessern, weil Sicherheitsforscher Lücken im Standard entdeckt haben. Nun ist das wieder geschehen, allerdings sagen die Forscher selbst, dass es wohl keine abwärts-kompatible Lösung des Problems geben dürfte, und eher ein neuer Standard wie z.B. WPA3.1 nötig wäre um die Probleme zu lösen.
Im Detail haben die Forscher zwei Sicherheitslücken gefunden. Beide können für sich alleine betrachtet genutzt werden, um die Verschlüsselung der Verbindung zu knacken. Obwohl es in dem Artikel der Forscher einen Absatz namens ‚Should I use WPA3?‘ (Sollte ich WPA3 verwenden?) gibt, ist dieser nicht so eindeutig formuliert um die Frage, ob nun WPA3 besser ist als WPA2, eindeutig beantworten zu können. Im Heise Online Artikel klingt das ein wenig eindeutiger, aber direkte Vergleiche zwischen WPA2 und WPA3 liefert keine Quelle.
Anwender können letztendlich ohnehin nur dafür Sorgen, dass möglichst nur Geräte mit aktuellen Updates im WLAN vertreten sind. Geräte die selten oder nie Updates bekommen, wie Fernseher, IoT-Geräte oder veraltete Smartphones, sollten (wenn überhaupt) nur in einem Gast-WLAN betrieben werden, auch wenn das dann (z.B.) den direkten Zugriff vom Fernseher auf den PC oder umgekehrt erschwert oder unmöglich macht. Außerdem sollten (WLAN)Netzwerke in denen Geräte mit sensiblen Daten liegen möglichst lange WPA-Passwörter verwenden.
Quelle: 'Dragonblood: Neue Lücken in WLAN-Verschlüsselung WPA3 könnten WPA3.1 nötig machen' auf Heise Online
09.08.2019 – LibreOffice Sicherheitslücke scheinbar nicht vollständig behoben
Wie wir berichtet hatten, stellt LibreOffice 6.2.5 ein Sicherheitsupdate dar. In den Ausgaben zuvor war es möglich durch ein speziell präpariertes Dokument Schadcode auszuführen. Der Wiener Sicherheitsforscher Alexander Inführ hat nun herausgefunden, dass die Gegenmaßnahmen, die in Version 6.2.5 getroffen wurden, wohl nicht ausreichend sind und der Angriff immer noch möglich ist.
Mit geringem Aufwand können sich LibreOffice Anwender gegen diese Lücke wappnen. Man muss nur die Komponente ‚LibreLogo‘ entfernen. Am besten man wählt es gleich bei der Installation von Version 6.2.5 ab, aber auch nachträglich ist das ohne weiteres möglich. Öffnen sie dazu die Liste der in Windows installierten Programme in der Systemsteuerung (Windows 7 und 8.1) bzw. Einstellungen-App (Windows 10). Suchen sie dort nach der LibreOffice Installation und wählen sie ‚Ändern‘. Das öffnet denselben Assistenten wie bei der Installation. Die Vorgensweise im Assistenten ist: Weiter → Ändern → Weiter → Optionale Komponenten aufklappen → Das Symbol vor ‚Libre-Logo‘ anklicken → die Option ‚Diese Komponente wird nicht verfügbar sein‘ auswählen → Weiter → Weiter → Installieren.
Vielleicht reagieren die LibreOffice Macher ja auch zügig darauf und veröffentlichen eine Version von LibreOffice wo die Libre-Logo-Funktion von Haus aus fehlt oder deaktiviert ist. Bisher liegen uns aber noch keine Reaktionen seitens des LibreOffice Teams vor.
Quelle: 'Twitter Meldung bzgl. der Lücke von Alexander Inführ' auf Twitter.com
09.08.2019 – Sicherheitslücken in VMware Software
Erst kürzlich hatten wir über Sicherheitslücken in VMware Programmen berichtet, nun gibt es wieder neue Sicherheitslücken. Diesmal sind die Programme VMWare ESXi 6.5 und 6.7, Workstation 14.x und 15.x und Fusion 10.x und 11.x betroffen. Benutzer bzw. Administratoren von Geräten wo diese Software eingesetzt wird, sollten die zur Verfügung stehenden Updates installieren.
Quelle: 'VMWare schließt Schwachstellen in ESXi, Workstation und Fusion' auf Heise Online
09.08.2019 – Antwort von VLC Entwickler
Wie angekündigt berichten wir erneut, wenn wir Antwort vom VLC Team erhalten. VLC-Entwickler Francois Cartegnie hat uns per E-Mail bestätigt, dass es sich bei CVE-2019-13602 und CVE-2019-13962 um echte Lücken handelt die im VLC Media Player enthalten sind. Weiters schreibt er, die Lücken sind maßlos überbewertet, da sie entgegen der CVE-Meldung nicht Remote ausnutzbar sind.
Bestätigt ist bisher ohnehin nur, dass die Lücken zu einem Crash führen können. Ob dieser ausnutzbar ist um Schadcode auszuführen bleibt weiterhin unklar. In Summe stufen wir das Risiko mit VLC aktuell eher gering ein. Ein gesundes Maß Vorsicht sollte bei Dateien aus fremden Quellen immer vorhanden sein, aber in Panik muss man als VLC Benutzer aktuell wohl eher nicht verfallen.
09.08.2019 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: „Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute“. Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Cisco schließt kritische Lücken in Small Business Smart Switches der Serie 220' auf Heise Online
09.08.2019 – aktualisierter Gimp Installer
Eine neue Hauptversion von Gimp gibt es heute zwar nicht, aber ein aktualisiertes Installation-Paket für Windows. Darin ist eine aktualisierte BABL-Bibliotek enthalten, die das Farbmanagement beschleunigen soll. Das wurde uns zumindest von einem Entwickler im Gimp-Chat mitgeteilt, auf der Website findet man leider keinerlei Informationen zu den Neuerungen in den aktualisierten Installationspaketen.
Download: Gimp 2.10.12 (Update 3) für Windows
09.08.2019 – AMD Ryzen: neuer Chipsatztreiber mit zwiespältigem Nutzen
AMD hat einen neuen Chipsatztreiber veröffentlicht. Darin stechen zwei Neuerungen heraus:
Zum einen hat AMD darin einen Fehler mit dem Zufallszahlen-Generator behoben. Dieser hat unter anderem dafür gesorgt, dass das Computerspiel Destiny 2 nicht starten konnte. Anwender, die das Spiel nicht haben, sehen durch diese Änderung aber zumindest keinen Nachteil.
Anders sieht es mit der zweiten Änderung in dem neuen Treiber aus. Diese ändert das komplette Energie-Management des Prozessors. Das soll verhindern, dass manche Hardware-Überwachungsprogramme unsinnige Werte anzeigen. Allerdings hat diese Änderung leicht negative Auswirkungen auf die Leistung und den Stromverbrauch des Prozessors. Anders formuliert, nur damit ein paar Überwachungsprogramme sinnvollere Daten anzeigen, müssen alle Ryzen 3000 Anwender die diesen Treiber installieren minimal schlechtere Leistung und Stromverbrauch hinnehmen.
Deshalb empfehlen wir allen Besitzern von Ryzen Prozessoren den neuen Chipsatztreiber nicht zu installieren, sofern man nicht gerade Destiny 2 auf dem PC spielen möchte oder nichts besseres zu tun hat, als stundenlang auf Leistungsdiagramme eines Hardware-Überwachungsprogrammes zu starren.
Quelle: 'Ryzen 3000: Niedrigere Spannungen im Idle-Modus zulasten der Schnelligkeit' auf Heise Online
09.08.2019 – Datenschutz: Cisco zahlt, Microsoft erwischt
Diese Woche kommen wir gleich zweimal auf Cisco zu sprechen. Nicht nur, dass Cisco seine Kunden seit Monaten mit regelmäßigen Sicherheitsupdates beschäftigt, nun muss das US-Unternehmen auch noch kräftig in die Tasche greifen, weil es Sicherheitslücken nicht ernst genug genommen bzw. viel zu spät behoben hat. Cisco wurde von James Glenn im Jahr 2008 darauf hingewiesen, dass es in Video-Überwachungssoftware des Unternehmens, die unter anderem an Krankenhäuser, diverse US-Bundeseinrichtungen bis hin zum Militär geliefert wurde, gravierende Sicherheitslücken steckten, die es Angreifern problemlos ermöglichte Zugriff auf die Überwachungssysteme zu erhalten. Vermutlich machte Cisco auf den Arbeitgeber von Glenn Druck, sodass dieser im Jahr 2009 gefeuert wurde. Erst 2013, also fünf Jahre nachdem Glenn den Fehler gemeldet hatte, hat Cisco ihn behoben und eine Warnung an betroffene Kunden herausgegeben. Dieses katastrophale Verhalten hat nun zu einer außergerichtlichen Einigung zwischen Cisco und diversen US-Bundesstaaten geführt, wonach Cisco eine Strafe von 8,6 Millionen Dollar zu zahlen hat. Das ist ein, unserer Meinung nach, geringer Preis angesichts des angerichteten Schadens.
Bei Microsoft wurde stattdessen bekannt, dass die Ton-Aufzeichnungen, die Skype macht, wenn man den Übersetzungsdienst verwendet, auch von Menschen ausgewertet wurden. Auch sollen Aufnahmen von Sprachbefehlen an Cortana an Mitarbeiter ausgehändigt worden sein. Microsoft hat in seinen Nutzungsbedingungen jedoch nicht darauf hingewiesen, dass Ton-Aufnahmen auch von Menschen ausgewertet werden. Alleine steht Microsoft damit jedoch nicht da, schon zuvor wurde bekannt, dass auch Google, Amazon und Apple die Dinge ähnlich gehandhabt haben. Google hat seither die Verarbeitung durch Menschen eingestellt, Apple bietet es in Siri als Option an. Wie Microsoft auf die Vorwürfe antworten wird, ist noch nicht bekannt. Europäische Datenschützer sagen aber ganz klar, dass dieses Vorgehen nicht mit der DSGVO in Einklang zu bringen ist. Vielleicht steht da also die nächste Millionen-Strafe ins Haus.
Quelle: 'Cisco: 8,6 Millionen US-Dollar wegen unsicherer Software zur Videoüberwachung' auf Heise Online
Quelle: 'Skype-Übersetzungsfunktion auch von Menschen ausgewertet' auf Heise Online
30.07.2019 - Neue iTunes & iCloud Versionen beheben kritische Sicherheitslücken!
Apple behebt mit iTunes 12.9.6 zahlreiche teils kritische Sicherheitslücken in der Multimedia Software. Auch in iCloud musste Apple gehörig nachbessern und liefert diese Korrekturen mit Version 7.13 aus.
Anwender, die iTunes oder iCloud tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs spürbar langsamer machen, selbst wenn sie gar nicht verwendet werden.
Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.
Quelle: 'iTunes und iCloud für Windows mit Sicherheitslücken – Updates einspielen' auf Heise Online
30.07.2019 – Schwere Sicherheitslücken in verschiedensten Geräten!
Dieser Artikel basiert auf der Newsmeldung 'Jetzt patchen: Kritische Schwachstellen im Betriebssystem VxWorks behoben' von Heise Online. Auch wir hätten den Artikel beinahe übersprungen, weil, wem sagt schon der Name VxWorks etwas? Daher haben wir zu dieser sehr undifferenzierten Überschrift gegriffen, denn tatsächlich betreffen diese Sicherheitslücken viel mehr Menschen als man zuerst glauben möchte.
VxWorks ist ein echtzeitfähiges Betriebssystem für verschiedenste Geräte-Klassen. Es wird in Druckern, Routern, Firewalls und etlichen anderen Geräten verwendet. Natürlich steht bei den allermeisten davon nicht drauf, dass VxWorks drin ist.
Woran erkennt man nun betroffene Geräte? Leider nicht ohne weiteres, man ist schon auf den Hersteller des Gerätes angewiesen, bzw. darauf, dass dieser die Verwundbarkeit seiner Geräte diesen Lücken gegenüber dokumentiert und bestenfalls auch entsprechende Updates bereitstellt.
SonicWALL und Xerox
Diese beiden Hersteller haben sehr flott auf die Lücken reagiert und haben bereits. SonicWALL hat sogar bereits Updates in petto, Xerox vorerst nur eine Benachrichtigung mit Liste der betroffenen Geräte. Besitzer bzw. Administratoren von Geräten dieser Hersteller sollten rasch prüfen ob eines ihrer Geräte verwundbar ist und ob es eventuell schon Updates gibt.
Weitere Hersteller von Geräten mit VxWorks
Auch die folgenden Geräte-Hersteller verwenden VxWorks in einem oder mehreren ihrer Geräte: Siemens, ABB, Emerson Electric, Rockwell Automation, Mitsubishi Electronic, Samsung, Ricoh, Xerox, NEC, und Arris. Es ist zu hoffen, dass auch diese bald ein Statement abgeben, welche Geräte betroffen sind und welche nicht. Bei besonders kritischen Systemen kann es auch nicht schaden, beim Hersteller aktiv nachzufragen, ob ein Gerät eine verwundbare Version von VxWorks einsetzt.
Quelle: 'Jetzt patchen: Kritische Schwachstellen im Betriebssystem VxWorks behoben' auf Heise Online
Quelle: 'SonicWALL Firewall: Hersteller fixt kritische Lücken in Management-Oberfläche' auf Heise Online
Quelle: 'Wind River VXWorks IPnet TCP/IP STACK Vulnerabilities' auf Xerox.com (Englisch)
30.07.2019 – VLC Media Player doch nicht unsicher?
Rund um den VLC Media Player gibt es viel Bewegung in den letzten Tagen. Auslöser dafür war die Sicherheitslücke CVE-2019-13615, über die wir unter anderem letzte Woche berichtet hatten. Wie die VLC Entwickler nicht müde werden zu betonen, ist diese Lücke in Wirklichkeit gar keine Lücke in VLC, sondern steckt in einer Linux-Programm-Bibliothek. Unter Windows und MacOS, sowie unter neueren Linux-Distributionen, tritt die Lücke daher nicht auf.
Völlig zurecht wettern die Entwickler von VLC nun gegen MITRE und das deutsche CERT, weil diese die Fehlinformation ungeprüft veröffentlicht bzw. weitergegeben haben. Und natürlich auch gegen alle Medien, die über diese falsche Lücke berichtet hatten. Oft wurde dabei bemängelt, dass keine dieser Institutionen bei VLC nachgefragt hat, was an der vermeintlichen Lücke dran ist oder eigene Tests gemacht hat.
Doch auch wenn die Lücke CVE-2019-13615 für die allermeisten Anwender damit irrelevant ist, über die anderen beiden Lücken gibt es keinerlei Informationen. Schlimmstenfalls muss man also weiterhin von einem gewissen Risiko bei der Verwendung von VLC ausgehen und deshalb weiterhin möglichst keine Fremd-Dateien abspielen. Da sich das VLC Team so geärgert hat, dass man sie nicht kontaktiert hat, haben wir das nun gemacht und über die Auswirkungen der beiden anderen Lücke nachgefragt. Falls wir eine Antwort erhalten, werden wir natürlich wieder berichten.
Quelle: 'Schlammschlacht um Sicherheitslücke: VLC-Entwickler warnen vor Fake News' auf Heise Online
30.07.2019 – NAS Hersteller warnen vor Angriffen
Die Hersteller von Network Attached Storage (NAS = Netz gebundener Speicher) Geräten QNAP und Synology warnen beide unabhängig voneinander vor der Schadsoftware 'eCh0raix'. Dieser Bot grassiert momentan verstärkt und hat wohl schon etliche Opfer gefunden. Die Empfehlungen der beiden Hersteller sind letztendlich nichts Neues, aber wir können Besitzern bzw. Administratoren diese Lektüre trotzdem nur immer wieder aufs neue ans Herz legen. Details im verlinkten Heise Online Artikel.
Quelle: 'QNAP und Synology warnen vor Malware-Angriffen auf schlecht gesicherte NAS' auf Heise Online
30.07.2019 – Neue Installationsdateien für Windows 10 1903
Momentan raten wir grundsätzlich noch vom Einsatz von Windows 10 1903 ab. Wer aber mit dem System experimentieren möchte, sollte zumindest die Installationsdateien neu herunterladen. In den alten ISO-Dateien steckte ja ein Fehler, der die Installation bzw. Upgrade scheitern lies, wenn gewisse Datenträger im System vorhanden waren. Die neuen Images können über das Media Creation Tool heruntergeladen und auf USB-Stick oder DVD gebannt werden.
Das betrifft natürlich nur Upgrades oder Neu-Instalationen die per USB-Stick oder DVD gemacht werden. Wer ein bestehendes System über Windows Update auf Version 1903 aktualisiert ist von diesem Problem nicht betroffen.
Quelle: 'Microsoft: Upgrade von Windows 10 1803 auf 1903 und neue Installationsmedien' auf Heise Online
22.07.2019 – Sicherheitslücken in VLC Media Player!
In den letzten Tagen sind in Summe gleich drei Sicherheitslücken in VLC Media Player bekannt geworden. Leider wurden diese Veröffentlicht noch bevor die Entwickler eine neue Version veröffentlichen konnten. Zwar ist bisher nicht bekannt, dass bereits Angriffe auf VLC Media Player gestartet wurden, wer den Player verwendet, sollten aber bis zum nächsten Update besonders vorsichtig sein beim Öffnen von Dateien mit dem VLC.
Quelle: 'Vorsicht: Kritische Schwachstelle in aktueller Version des VLC Media Player' auf Heise Online
Quelle: 'CVE-2019-13962 Detail' auf Nist.gov
Quelle: 'CVE-2019-13615 Detail' auf Nist.gov
Quelle: 'CVE-2019-13602 Detail' auf Nist.gov
22.07.2019 – Sicherheitsupdate für Google Chrome & Vivaldi!
Google hat weitere Sicherheitslücken in Google Chrome und Chromium behoben. Eine der zwei Lücken hat ein hohes Gefährdungspotential. Die neue Version von Google Chrome bzw. Chromium ist 75.0.3770.142. Anwender von Google Chrome sollten den Browser zügig aktualisieren.
Vivaldi hat sehr schnell reagiert und hat in Version 2.6.1566.49 bereits Chromium 75.0.3770.145 integriert. Auch hier sollten Anwender rasch updaten falls noch nicht geschehen.
Opera Anwender schauen hingegen wieder einmal in die Röhre. Wann Opera die Sicherheitsupdates übernimmt, ist unbekannt. Wir raten allen Opera Anwendern zumindest vorübergehend auf Vivaldi zu wechseln, wenn nicht auf Dauer. Es ist ja nicht das erste Mal in der jüngeren Vergangenheit, dass Opera Anwender lange auf Sicherheitsupdates warten müssen.
Quelle: 'Sicherheitsupdate: Chrome könnte abstürzen und Daten leaken' auf Heise Online
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Minor update (2) for Vivaldi 2.6' auf Vivaldi.com (Englisch)
22.07.2019 – LibreOffice 6.2.5 ist ein Sicherheitsupdate!
Wie kürzlich berichtet steht seit einiger Zeit Version 6.2.5 von LibreOffice zum Download bereit. Was wir damals noch nicht wussten, jetzt aber bekannt gemacht wurde, diese Version behebt auch zwei Sicherheitslücken, von denen zumindest eine als kritisch betrachtet werden muss.
Die Lücken sind in allen LibreOffice Versionen vor 6.2.5 enthalten, weshalb die Aussage aus dem letzten Artikel, wonach für besonders konservative Anwender noch Version 6.1.6 anzuraten wäre, damit hinfällig ist. Wir müssen nun allen LibreOffice Anwendern zu einem baldigen Update auf Version 6.2.5 raten.
Quelle: 'LibreOffice: Entwickler entfernen Remote-Angriffsmöglichkeiten aus Office-Suite' auf Heise Online
Quelle: Liste der Neuerungen in LibreOffice 6.2 – Kurzübersicht
Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.2
Download: Aktuelle LibreOffice Versionen
22.07.2019 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Adobe Bridge:
In Adobe Bridge wurde eine mittlere Sicherheitslücke bei der Verarbeitung von SVG-Dateien behoben. Anwender, die Adobe Bridge auf ihrem PC/Mac installiert haben sollten auf Version 9.1 aktualisieren.
Info: Adobe Security Bulletin APSB19-37 (Englisch)
Adobe Dreamweaver:
Im HTML-Editor Dreamweaver wurde eine Lücke im Installer behoben. Bereits installierte Versionen von Dreamweaver sind nicht betroffen. Der Installer wurde von Adobe aktualisiert, wer Dreamweaver also jetzt neu über den Creative Cloud Client installiert ist auf der sicheren Seite.
Quelle: Adobe Dreamweaver Security Bulletin APSB19-40 (Englisch)
Adobe Experience Manager:
Von Adobe Experience Manager sind die Versionen 6.0 bis 6.4 betroffen. Hier gibt es in Summe drei Lücken. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin APSB19-38.
Quelle: Adobe Security Bulletin APSB19-38 (Englisch)
22.07.2019 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Windows 7 – die letzten 6 Monate!
Anwender die immer noch Windows 7 einsetzen sollten jetzt langsam ein Upgrade oder einen neuen Computer planen. Windows 7 wird nur noch 6 Monate mit Sicherheitsupdates versorgt. Ohne Sicherheitsupdates wird das System rapide unsicherer und sollte daher auf keinen Fall mehr mit dem Internet verbunden bzw. mit Daten aus selbigem konfrontiert werden.
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP und Windows VISTA: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) KEINE Sicherheitsupdates mehr! Wer XP/VISTA immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 16.07 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 erhält mittlerweile keine Updates mehr, weshalb Anwender dieses Betriebssystems auf die letzte Version von Windows 10 Mobile upgraden sollten, sofern möglich. Für Windows 7 sind die letzten Monate angebrochen. Auch Besitzer eines PCs mit diesem Betriebssystem sollten langsam beginnen das Upgrade auf Windows 10 zu planen.
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
22.07.2019 – Thunderbird 60.8 schließt Sicherheitslücken
Die Entwickler von Thunderbird haben Version 60.8 veröffentlicht. In Summe wurden in dem Update 10 Sicherheitslücken behoben, wovon eine kritisch ist. Thunderbird Anwender sollten daher rasch auf die aktuelle Version updaten, sofern nicht bereits geschehen.
Download: Aktuelle Thunderbird Version
Info: 'Thunderbird 60.8.0 Release Notes' auf Mozilla.org (Englisch)
22.07.2019 – Firefox 68.0 behebt schwere Sicherheitslücken
Mozilla hat Firefox 68.0 veröffentlicht. Diese Version behebt satte 21 Sicherheitslücken der Vorversionen. Firefox Anwender sollten also unbedingt rasch auf die neue Version updaten, sofern nicht bereits vom automatischen Update erledigt.
Von Firefox ESR gibt es vorübergehend zwei aktuelle Versionen. Ausgabe 60.8.0 behebt Sicherheitslücken der vorherigen Version, während Firefox ESR 68 auch die neuen Funktionen aus Firefox 68 übernimmt.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
22.07.2019 – Kritische Sicherheitslücken in etlichen Logitech Geräten!
Wir haben schon immer von kabellosen Tastaturen und Mäusen abgeraten, warum solche Geräte ein enormes Sicherheitsrisiko darstellen macht der aktuelle Fall rund um Geräte von Logitech deutlich. Der Sicherheitsforscher Marcus Mengs hat schwere Fehler in den Funkverbindungen zahlreicher Tastaturen, Mäusen und Presenter-Geräten von Logitech entdeckt. Logitech hat die Lücken mittlerweile für folgende Geräte bestätigt:
- Alle Logitech Geräte die das ‚Unifying‘ Funkprotokoll verwenden (das sind SEHR viele!).
- Kabellose Gaming-Produkte der Lightspeed-Serie.
- Logitech Presenter R500 (in anderen Presenter Geräten sind ebenfalls Sicherheitslücken enthalten, siehe frühere Berichte).
- Logitech Spotlight.
Logitech sagt, dass ein Teil der Lücken im August durch Firmware-Updates behoben werden soll. Wirklich zufriedenstellend ist das nicht, denn die Lücken die nicht behoben werden (um Kompatibilität nicht zu gefährden) haben es durchaus auch in sich. Während Eine Zugang zur Tastatur erfordert kann die zweite Lücke auch aus der Entfernung (10 bis 50 Meter) ausgenutzt werden.
Unsere alte Empfehlung bleibt daher weiter Aufrecht: Wer Wert auf Sicherheit legt, verwendet ausschließlich kabelgebundene Tastaturen und Mäuse. Wer weniger Wert auf Sicherheit legt, sollte zumindest die aktuellen Updates von Logitech installieren, sowie das im August erwartete Firmware-Update.
Quelle: 'Angreifbare Logitech-Tastaturen: Antworten auf die dringendsten Fragen' auf Heise Online
22.07.2019 – Sicherheitsupdates für Java und weitere Oracle Software
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 319 Sicherheitsupdates veröffentlicht. Das wichtigste dabei ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:
Oracle hat Version 8.0 Update 221 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden zehn Sicherheitslücken geschlossen. Alle Lücken bis auf eine lasen sich Remote ausnützen, viele davon ohne jegliche Benutzerinteraktion, was sie besonders kritisch macht. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9 und 10 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.4 oder 12.0.2 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline' [NICHT Windows Offline (64-Bit)!])
VirtualBox:
In dem PC-Emulator VirtualBox wurden 14 Sicherheitslücken geschlossen. Mindestens eine der Lücken lässt sich Remote und ohne Benutzerinteraktion ausnützen, daher muss man das Update als kritisch betrachten. Anwender von VirtualBox sollten daher zügig auf Version 5.2.32 oder 6.0.10 updaten. Für die 5.1er Serie (und älter) gibt es keine abgesicherten Ausgaben mehr, hier muss unbedingt upgegradet werden.
Download: Aktuelle VirtualBox 5.2 Version auf VirtualBox.org
Download: Aktuelle VirtualBox 6.0 Version auf VirtualBox.org
MySQL:
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder unzählige Lücken geschlossen, von denen mindestens eine aus der Ferne ausgenützt werden kann und daher kritischer Natur ist. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Weitere Oracle Programme:
Anwender, die weitere Oracle Programme installiert haben, können dem ‚Oracle Critical Patch Update Advisory - July 2019‘ entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - July 2019' auf Oracle.com (Englisch)
Quelle: 'Critical Patch Update: Oracle verteilt hunderte von Produkt-Patches' auf Heise Online
22.07.2019 – Wichtiges Sicherheitsupdate für WordPress Plugin
Wer WordPress für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Plugin 'Ad Inserter' aktuell (Version 2.4.22 oder neuer) ist. Ältere Ausgaben des Plugins enthalten eine verheerende Sicherheitslücke, die es Angreifern ermöglicht die vollständige Kontrolle über die WordPress-Installation zu erhalten.
Quelle: 'WordPress: Entwickler des Plugins "Ad Inserter" fixen kritische Schwachstelle' auf Heise Online
22.07.2019 – Datenschutz: Hohe Strafen gegen Facebook und Marriott
Obwohl die USA nicht gerade für hohen Datenschutz-Standard bekannt ist, wurde dort gegen Facebook eine Strafe in Höhe von 5 Milliarden Dollar verhängt. Ursache für die Strafe waren die schweren Datenschutz-Verfehlungen, die im Zuge des Cambridge-Analytica-Skandals bekannt geworden sind. Gerüchteweise gibt es aber auch bereits Untersuchungen gegen Facebook, wegen Weitergabe persönlicher Daten an diverse Geräte-Hersteller. Stellt sich das als wahr heraus, hätte Facebook mit einem neuen Datenskandal zu kämpfen der die Cambridge-Analytica Affaire noch in den Schatten stellen könnte.
Aber nicht nur Internet-Konzerne werden zur Kasse gebeten. Auch die Hotelkette Marriott zahlt umgerechnet 110 Millionen Euro wegen eines Verstoßes gegen die DSGVO. Hier war der Hintergrund ein Hack gegen das Tochterunternehmen ‚Starwood‘, bei dem die Angreifer Daten von über 300 Millionen Kunden gestohlen haben. Die britischen Datenschützer haben festgestellt, dass das Unternehmen die Daten nicht ausreichend geschützt hat.
Anders als bei den Brexit-Verhandlungen machen die Briten beim Thema Datenschutz durchaus Nägel mit Köpfen, denn auch die Fluggesellschaft ‚British Airways‘ dürfte zu einer Strafe von 204 Millionen Euro verdonnert werden. Natürlich haben sowohl Marriott als auch British Airways Berufung eingelegt.
Quelle: '5 Milliarden US-Dollar Strafe für Facebook' auf Heise Online
Quelle: 'DSGVO-Verstoß: 110 Millionen Euro Bußgeld für Hotelkette Marriott' auf Heise Online
22.07.2019 – Outlook mag kein HTML!
Erst kürzlich haben wir festgestellt, dass unser Newsletter in Outlook mehr schlecht als Recht dargestellt wurde. Wir haben das bereits beim letzten Newsletter versucht zu verbessern, letztendlich mussten wir uns dann aber auf minimale Verbesserungen beschränken.
Dabei haben wir jedenfalls festgestellt, dass die Microsoft E-Mail-Programme 'Outlook' und 'Windows 10 Mail' mit HTML nicht all zu viel Anfangen können. Details dazu haben wir in einem PDF zusammengefasst.
Info: 'Darstellungsprobleme inMicrosoft‘s E-Mail Programmen' auf CB-Computerservice
05.07.2019 – LibreOffice 6.2.5 veröffentlicht
Die Document Foundation hat Version 6.2.5 von LibreOffice veröffentlicht. Etwas später als sonst, können wir die 6.2 Serie damit auch für konservative Anwender und Firmen empfehlen. Zwar konnten wir 6.2.5 bisher nur einem Kurztest unterziehen, aber der einzige wirklich störende Fehler aus der Vorversion ist nun behoben. Wer es immer noch konservativer möchte, für den haben die Entwickler LibreOffice 6.1.6 freigegeben, in der wie üblich ‚nur‘ Fehler korrigiert, aber keine neuen Funktionen eingebaut wurden.
Was ist neu?
Damit können wir uns nun endlich auch zu den tollen Neuerungen der 6.2er Version auslassen. Für uns die beste neue Funktion ist, dass man nun endlich Tabellen aus Calc (Tabellenkalkulation) unverändert in Writer (Textverarbeitung) einfügen kann. Alleine diese eine Funktion spart uns wahnsinnig viel Arbeit. Datenbank-Anwender werden sich freuen, dass die wesentlich schnellere Firebird-Datenbank nun standardmäßig in neue ODB-Dateien eingebettet wird. Der Assistent zum Konvertieren bestehender Datenbanken in das neue Format hat es hingegen leider noch nicht zur Produktionsreife gebracht und bleibt weiterhin ein experimentelles Feature.
Menüs oder Register?
Die auffälligste Neuerung ist allerdings das Register-Design, das es nun zur Serienreife geschafft hat, standardmäßig aber weiterhin deaktiviert ist. Um zwischen den verschiedenen Designs die LibreOffice mittlerweile anbietet hin und herzuschalten, klickt man auf ANSICHT → BENUTZEROBERFLÄCHE. Daraufhin bieten sich fünf Optionen mit unterschiedlichen Oberflächen-Designs. Die ersten drei Designs bieten alle noch wie gewohnt Menüs an. Das Design ‚In Registern‘ orientiert sich hingegen eher am Ribbon-Design von Microsoft Office. Möchte man wieder zur klassischen Ansicht zurück, muss man das ‚Hamburger Symbol‘ (drei waagerechte Striche) ganz rechts oben anklicken, um die Benutzeroberflächen-Option wieder angezeigt zu bekommen. Hat man hingegen das Design ‚Gruppiert kompakt‘ ausgewählt, muss man stattdessen rechts oben auf ‚Menü‘ klicken, um den Design-Umschalter wieder angezeigt zu bekommen. Hier würde ein wenig mehr Konsistenz sicher nicht schaden. Wer LibreOffice gewohnt ist, wird wohl kaum einen Grund haben auf die Register-Ansicht umzuschalten, wirkliche Vorteile können wir jedenfalls nicht ausmachen. Umsteiger von MS Office würde es hingegen freuen, die werden aber nur selten wissen, dass es die Ansicht überhaupt gibt. Standardmäßig auf die neue Ansicht zu wechseln wäre aber auch keine gute Idee, weil man damit langjährige LibreOffice Anwender verärgern würde. Solange also kein Assistent beim ersten Start von LibreOffice auf die verschiedenen Ansichts-Möglichkeiten hinweist, werden die alternativen Designs eher ein Schatten-Dasein fristen.
Ausgedünnt!
Das auch etliche Optionen aus dem Kontextmenü (und vermutlich auch anderen Menüs) entfernt wurden, um selbiges ‚Übersichtlicher‘ zu machen, haben wir schon berichtet. Wer das Kontextmenü intensiv nutzt, wird also gleich mal einen Abstecher zu EXTRAS → ANPASSEN machen, um dort die Kontextmenüs wieder so auszustatten, wie man es benötigt. Einerseits finden wir es schade, dass viele nützliche Optionen aus dem Kontextmenü entfernt wurden, andererseits finden wir es bemerkenswert, wie umfangreich man LibreOffice auf die eigenen Bedürfnisse maßschneidern kann. Fast jedes Menü auf der Oberfläche lässt sich bis ins allerletzte Details anpassen.
Das sind wie gesagt nur die wichtigsten Neuerungen von unserem Standpunkt aus. LibreOffice Anwender finden mit den Links am Ende des Artikels weitere Seiten mit Details über alle Neuerungen.
Menü-Befehle fehlen?
Anwender, die die Oberfläche bereits intensiv angepasst haben, sehen eventuell manch neue Schaltfläche nicht. So hat bei uns z.B. die Option ‚BENUTZEROBERFLÄCHE‘ im Ansichtsmenü gefehlt. In so einem Fall kann man entweder die fehlenden Optionen über EXTRAS → ANPASSEN manuell einfügen oder man setzt die komplette Oberfläche auf die Standard-Konfiguration zurück. Um das zu tun, schließt man alle offenen LibreOffice Fenster und den Schnellstarter. Dann sucht man im Windows Startmenü nach dem Eintrag ‚LibreOffice (Safe Mode)‘ und klickt ihn an. LibreOffice startet daraufhin im abgesicherten Modus und erlaubt es diverse Einstellungen zurückzusetzen. Um die Oberfläche (also Menüs usw.) zurückzusetzen, klickt man den Kreis vor 'Auf Werkseinstellungen zurücksetzen' und danach 'Einstellungen und Änderungen an der Benutzeroberfläche zurücksetzen' an. Achtung! Wie der Name der letzten Option schon verrät, werden dabei ALLE Einstellungen zurückgesetzt, die die Benutzeroberfläche betreffen! Ist man sich sicher, dass man das möchte, klickt man auf 'Änderungen übernehmen und neu starten'. Nun sollten die Menüs so aussehen, als wäre LibreOffice zum erste Mal gestartet worden.
Quelle: Liste der Neuerungen in LibreOffice 6.2 – Kurzübersicht
Quelle: Vollständige Liste der Neuerungen in LibreOffice 6.2
Download: Aktuelle LibreOffice Versionen
05.07.2019 – Sicherheitsupdates für FileZilla
Der Entwickler von FileZilla hat Version 3.43 des FTP-Programms veröffentlicht. Darin wurde unter anderem eine potenzielle Sicherheitslücke geschossen. Abgesehen von dem Sicherheitsupdate gibt es einige weitere Fehlerkorrekturen, neue sichtbare Funktionen gibt es aber keine. Aufgrund des Sicherheitsupdates sollten alle Anwender von FileZilla auf die neue Version updaten.
Download: Aktuelle FileZilla Version
Quelle: 'Hinweis auf Sicherheitsupdate in FileZilla Versions-Historie' auf FileZilla-Project.org
05.07.2019 – Zyxel behebt Sicherheitslücken
Zyxel hat Sicherheitslücken in Produkten aus den Serien UAG, USG, VPN und ZyWall behoben. Wer ein Produkt aus diesen Serien besitzt, sollte die Sicherheitsmeldung von Zyxel genauer prüfen und falls nötig den passenden Hotfix installieren.
Quelle: 'Sicherheitsupdates: Kritische Lücke in Firewalls und Hotspots von Zyxel' auf Heise Online
05.07.2019 – Schwere Sicherheitslücken in SmartHubs von Zipato
Sicherheitsspezialisten haben schwere Sicherheitslücke in zwei SmartHub Modellen von Zipato entdeckt. Sind solche Gerät mit dem Internet verbunden, könnten Angreifer beispielsweise ‚smarte‘ Haustüren öffnen. Betroffen sind die Geräte ZipaMicro Z-Wave (Model: ZM.ZWUS) und Zipabox Z-Wave (Model: 2AAU7-ZBZWUS). Besitzer dieser Geräte sollten unbedingt die aktuellste Firmware für diese Geräte installieren.
Die Lücken wurden am 4. März an Zipato gemeldet und Updates wurden laut Hersteller am 20. März veröffentlicht. Die Art der Lücken an sich werfen kein gutes Licht auf den Hersteller, aber immerhin hat dieser rasch reagiert.
Quelle: 'Smart Home Hubs von Zipato laden Hacker förmlich ein' auf Heise Online
Info: 'Anleitung Firmware Update' auf Zipato.com (Englisch)
05.07.2019 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: „Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute“. Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Cisco-Produkte für DoS-Angriffe und Schadcode anfällig' auf Heise Online
