News Archiv 2. Quartal 2020
Schlagzeilen * Details
Schlagzeilen:
- 26.06.2020 - Das nächste Chromium Sicherheitsupdate
- 26.06.2020 - Windows 10 Version 2004 - Ärger vorprogrammiert
- 26.06.2020 - Wieder Sicherheitslücken in Nvidia Treibern
- 26.06.2020 - Sicherheitslücken in Magento und Drupal
- 26.06.2020 - Wieder etliche Sicherheitslücken in Netgear Routern
- 26.06.2020 - Qnap NAS: Wieder Sicherheitslücke
- 26.06.2020 - Sicherheitslücke in Bitdefender
- 26.06.2020 - Sicherheits-Update für Dell-BIOS
- 26.06.2020 - Ripple20 macht massenhaft Geräte zu Elektromüll
- 26.06.2020 - VMware: Wieder Sicherheitsupdates nötig
- 26.06.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 19.06.2020 - Das nächste Chromium Sicherheitsupdate
- 19.06.2020 - Sicherheitsupdate für weitere Adobe Programme
- 19.06.2020 - VLC Media Player 3.0.11 behebt viele Sicherheitslücken
- 19.06.2020 - Manuelle Updates gegen Windows Drucker-Probleme
- 19.06.2020 - D-Link sichert Router ab, teilweise
- 19.06.2020 - Sicherheitslücken in Wordpress behoben
- 19.06.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 12.06.2020 - Sicherheitsupdate für zahlreiche Adobe Programme
- 12.06.2020 - Microsoft's Tag der Updates
- 12.06.2020 - Das nächste Chromium Sicherheitsupdate
- 12.06.2020 - Noch mehr Sicherheitsupdates bei LibreOffice
- 12.06.2020 - Gimp 2.10.20: Schöner weichzeichnen und mehr!
- 12.06.2020 - Intel veröffentlicht zahlreiche Sicherheitsupdates
- 12.06.2020 - Die nächste Universal Plug and Play Sicherheitslücke
- 12.06.2020 - Qnap NAS: Warnung vor neuer und alter Lücke!
- 12.06.2020 - GnuTLS verschlüsselt nicht richtig!
- 12.06.2020 - VMware: Wieder Sicherheitsupdates nötig
- 04.06.2020 - Sicherheitsupdate bei LibreOffice
- 04.06.2020 - Firefox 77 bringt Sicherheitsupdates
- 04.06.2020 - Thunderbird 68.9 behebt Sicherheitslücken
- 04.06.2020 - Neue iTunes & iCloud Versionen beheben kritische Sicherheitslücken!
- 04.06.2020 - Audacity 2.4.1 ist da
- 04.06.2020 - Blender 2.83 mit Langzeitsupport
- 04.06.2020 - Die nächste Sicherheitslücke in Zoom
- 04.06.2020 - Trend Micro Software macht es Angreifern leicht!
- 04.06.2020 - Sicherheitslücken in Netgear Routern – Hersteller schweigt!
- 04.06.2020 - VMware: Wieder Sicherheitsupdates nötig
- 04.06.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 26.05.2020 - Sicherheitsupdate für weitere Adobe Programme
- 26.05.2020 - VLC Media Player 3.0.10 behebt viele Sicherheitslücken
- 26.05.2020 - Inkscape 1.0 ist fertig!
- 26.05.2020 - Endlich Sicherheitsupdates für Nitro PDF!
- 26.05.2020 - Dauerthema Bluetooth Unsicherheit
- 26.05.2020 - Sicherheitslücke in Drupal
- 26.05.2020 - Gefährliche Sicherheitslücke in PostgreSQL
- 26.05.2020 - Kundendaten-Diebstahl bei EasyJet
- 26.05.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 15.05.2020 - Sicherheitsupdate für Adobe Reader und mehr
- 15.05.2020 - Microsoft's Tag der Updates
- 15.05.2020 - Sicherheitslücken in Symantec Endpoint behoben
- 15.05.2020 - Sicherheitslücken in Drupal-Modulen
- 15.05.2020 - BIG-IP Edge Client unsicher!
- 08.05.2020 - Das nächste Chromium Sicherheitsupdate
- 08.05.2020 - Firefox 76 bringt Sicherheitsupdates
- 08.05.2020 - Thunderbird 68.8 behebt Sicherheitslücken
- 08.05.2020 - Sicherheitsupdate für weitere Adobe Programme
- 08.05.2020 - Sicherheitslücken in Wordpress und Drupal
- 08.05.2020 - Sicherheitsupdate für Citrix Software
- 08.05.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 25.04.2020 - Das nächste Chromium Sicherheitsupdate
- 25.04.2020 - Vivaldi geht in die dritte Runde
- 25.04.2020 - Sicherheitsupdates für Office, Paint 3D und zahlreiche Autodesk Programme
- 25.04.2020 - Sicherheitsupdates für Foxit Reader und Phantom
- 20.04.2020 - Das nächste Chromium Sicherheitsupdate
- 20.04.2020 - Sicherheitsupdate für zahlreiche Adobe Programme
- 20.04.2020 - Microsoft's Tag der Updates
- 20.04.2020 - Sicherheitsupdates für Java und weitere Oracle Software
- 20.04.2020 - Intel veröffentlicht zahlreiche Sicherheitsupdates
- 20.04.2020 - Ärger rund um Zoom nimmt kein Ende
- 20.04.2020 - VMware: Wieder Sicherheitsupdates nötig
- 20.04.2020 - Sicherheitslücken in Geräten von Juniper Networks behoben
- 20.04.2020 - Und schon wieder Cisco… (Sicherheitslücken)
- 11.04.2020 - Chromium Update trotz Corona!
- 11.04.2020 - Firefox 75 bringt Sicherheitsupdates
- 11.04.2020 - Thunderbird 68.7 behebt Sicherheitslücken
- 11.04.2020 - Sicherheitslücken im HP Support Assistant
- 11.04.2020 - Sicherheitslücken in Dell Servern
- 03.04.2020 - Das nächste Chromium Sicherheitsupdate
- 03.04.2020 - VeraCrypt behebt Sicherheitslücke
- 03.04.2020 - Neuer Gimp Installer für Windows
- 03.04.2020 - Viele Negativ-Schlagzeilen rund um Zoom!
- 03.04.2020 - Sicherheitslücke in OpenWRT Router-Firmware
- 03.04.2020 - Bleibt älterer DSL-Router von D-Link unsicher?
- 03.04.2020 - Sicherheitslücken in Wordpress und Drupal Plugins
- 03.04.2020 - Hastig zusammengeschusterte Corona Apps unsicher?
- 03.04.2020 - Mariott Datenklau – manche lernen es nie
Details:
26.06.2020 - Das nächste Chromium Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 83.0.4103.116 behebt zwei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Lücken in Chrome 83.0.4103.116 geschlossen' auf Heise Online
Vivaldi:
Vivaldi hat seinen Browser kurz nach Google aktualisiert und schließt die Lücken mit Version 3.1 Update 3 (3.1.1929.45).
Quelle: 'Minor update (3) for Vivaldi Desktop Browser 3.1' auf Vivaldi.com
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version ungefähr zeitgleich mit Vivaldi in die Edge Version 83.0.478.56 eingebaut.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera bleibt unsicher:
Opera hängt wie üblich mit den Sicherheitsupdates hinterher, weshalb wir Opera Anwendern schon seit längerem zu einem Wechsel auf Vivaldi raten. Von Google Chrome raten wir aus Datenschutzgründen ab.
26.06.2020 – Windows 10 Version 2004 - Ärger vorprogrammiert
Microsoft hat mit der allgemeinen Verfügbarkeit von Windows 10 Version 2004 auch bereits begonnen, erste (vermeintlich) kompatible Systeme per Zwangsupdate mit dem neuen Windows zu beglücken. Und das, obwohl noch jede Menge offizielle wie inoffizielle Bugs in dem neuen Windows stecken. Für eine Beschreibung der vielen Fehler lesen sie bitte den verlinkten Heise Online Artikel. Hier soll es eher darum gehen, wie man das Upgrade auf 2004 verhindern kann.
Für Anwender der Home Version:
Streng genommen gibt es zwar kein Windows 10 Home (Microsoft nennt diese Versionen "Core") aber wir nennen die kleinste Windows Edition der Einfachheit halber weiterhin so. Die Home-Anwender sind ja bekanntermaßen Microsofts unbezahlte Betatester, denn sie können sich gegen ein Zwangs-Upgrade kaum wehren. Der einzige Weg um sich vor 2004 zu schützen ist hier, auf Version 1903 upzugraden. Dann sollte man zumindest noch eine Weile vom Zwangsupgrade verschont bleiben. Wem der Bug in der Windows-Suche in Version 1909 egal ist, kann auch auf diese Version upgraden und sollte so noch ein weniger länger vor Version 2004 sicher sein. Wer sich nicht "damals" schon geeignete USB-Sticks mit den Versionen 1903 oder 1909 angefertigt hat, muss jetzt zu einem nicht von Microsoft stammendem Skript greifen, um noch auf Version 1903 oder 1909 upgraden zu können.
Für Anwender der Pro Version:
Wer eine Windows 10 Pro-Version nutzt, kann in den Windows Update Einstellungen Funktionsupdates um bis zu 365 Tage aufschieben. Wer also Version 1809 oder neuer verwendet und die maximal möglichen 365 Tage einstellt, sollte also noch eine ganze Weile sicher sein vor Version 2004. Vor einem Zwangs-Upgrade auf 1903 schützt dies jedoch nicht mehr. Da bei einem Zwangs-Update von 1809 aber gerne mal die 1909er Version auf der Platte landet, empfiehlt es sich auch hier das Upgrade auf 1903 (bzw. 1909 wenn der Such-Bug nicht stört) manuell durchzuführen (siehe Abschnitt für Home Anwender). Wer bereits Version 1903 oder 1909 nutzt, kann mit den 365 Tagen auf jeden Fall zuverlässig das Upgrade auf 2004 verhindern.
Quelle: 'Windows 10 Version 2004: Die Bugs und das drohende Zwangsupdate' auf Heise Online
26.06.2020 - Wieder Sicherheitslücken in Nvidia Treibern
Nvidia schließt wieder einmal Sicherheitslücken in seinen Grafiktreibern. Diesmal sind jedoch nicht nur reale Grafikkarten betroffen, sondern auch virtuelle, von Nvidia vGPU genannt. Letzteres dürfte überwiegend Server-Admins betreffen, daher gehen wir hier nur auf das Problem mit den Treibern für die realen Grafikkarten ein. Details zu den vGPU Lücken finden sie im Heise Online Artikel.
In den Treibern für GeForce, Quadro, NVS und Tesla Karten wurden zwölf Sicherheitslücken behoben, wovon die gefährlicheren die Risiko-Einstufung 'Hoch' bekommen haben. Anwender (vor allem aber Administratoren von FirmenPCs) mit Nvidia-Grafikkarten, sollten die Updates installieren.
Keine Updates für ältere Grafikkarten und Notebooks:
Bietet die Nvidia Website nach Eingabe der Daten der jeweiligen Grafikkarte nur Treiber an, die älter als Version 451.48 sind (gilt nur für GeForce-Karten, die Versionsnummern für anderen Grafikkarten finden sein im Nvidia Security Bulletin), wird ihre Grafikkarte nicht mehr unterstützt. Bei Desktops müsste dann eine neue Grafikkarte angeschafft werden, wenn man die Sicherheitslücken schießen möchte. Bei Notebooks erhält man eventuell vom Hersteller noch ein Update auf Version 451.55, 446.06 oder 443.18, in denen die Lücken ebenfalls behoben wurden. All zu viel Hoffnung sollte man sich da aber nicht machen. Gibt es kein Update, müsste das Notebook durch ein entsprechend neueres Modell ersetzt werden, um sicher zu bleiben.
Quelle: 'Mehrere Sicherheitslücken in Grafikkarten-Treiber von Nvidia gestopft' auf Heise Online
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - June 2020' auf nvidia.custhelp.com
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
26.06.2020 - Sicherheitslücken in Magento und Drupal
Für die Contentmanagement- bzw. Shop-Systeme Drupal und Magento sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitsupdate für CMS: Drupal anfällig für Remote Code Execution' auf Heise Online
Quelle: 'Kritische Sicherheitslücke bedroht Magento-Shops' auf Heise Online
26.06.2020 – Wieder etliche Sicherheitslücken in Netgear Routern
Netgear kommt nicht aus den Negativ Schlagzeilen. Jetzt sind wieder Sicherheitslücken in mindestens 79 Geräten des Herstellers bekannt geworden. Updates gibt es Stand heute für gerade einmal 17 Geräte. Welche der restlichen Geräte überhaupt ein Update bekommen und wann das sein wird geht aus der Meldung von Netgear nicht hervor.
Leider können wir keine generelle Aussage treffen, wie lange Netgear Gerät jeweils mit Updates versorgt werden. Um so billiger bzw. älter ein Gerät ist, desto unwarscheinlicher ist es aber, dass noch ein Update erscheinen wird. Besteht keine Hoffnung auf ein Update, raten wir zum einem neuen Router. Dazu empfehlen wir bevorzugt Fritzbox-Modelle, da der deutsche Hersteller "relativ" lange Updates anbietet und die Fritzbox-Software generell weniger oft von Sicherheitslücken geplagt wird.
Wer seinen Netgear Router nicht ersetzen kann oder will, sollte zumindest sicherstellen, dass der Zugriff auf die Konfigurationsoberfläche nicht aus dem Internet erreichbar ist (RemoteManagement ausgeschaltet). Wie üblich sollte auch UPnP und andere nicht benötigte Dienste deaktiviert werden.
Quelle: 'Kritische 0day-Lücke in 79 Netgear-Router-Modellen' auf Heise Online
26.06.2020 - Qnap NAS: Wieder Sicherheitslücke
Auch vor Qnap-NAS-Geräten mussten wir erst letzte Woche warnen, nun gibt es hier bereits das nächste Sicherheitsproblem: Ein Fehler in der Helpdesk-App kann von Angreifern missbraucht werden, um umfangreichen Zugriff auf das NAS zu bekommen. Qnap hat die App mittlerweile auf Version 3.0.1 veröffentlicht. Besitzer eines NAS dieses Herstellers sollten das App-Center auf dem System starten und dort eine Aktualisierung der App durchführen.
Quelle: 'Kritische Lücke: Helpdesk-App auf Qnap-NAS lädt Angreifer ein' auf Heise Online
26.06.2020 – Sicherheitslücke in Bitdefender
In der Virenschutzsoftware Bitdefender Internet Security für Windows wurde eine schwere Sicherheitslücke in der Funktion "SafePay" entdeckt. Der Fehler ermöglicht es Angreifern den Computer mit Viren zu infizieren. Die Lücke muss deshalb als kritisch eingestuft und möglichst rasch behoben werden.
Bitdefender hat dazu ein Update auf Version 24.0.20.116 veröffentlicht. Wurde diese Version nicht bereits automatisch installiert, sollten Anwender der Bitdefender Software das Update unbedingt zügig manuell durchführen, um nicht länger als unbedingt nötig verwundbar zu sein.
Quelle: 'Sicherheitsupdate Bitdefender: Websites könnten Schadcode auf PCs schleusen' auf Heise Online
26.06.2020 – Sicherheits-Update für Dell-BIOS
Für etliche Dell Notebooks stellt der Hersteller abgesichert BIOS-Versionen bereit. Darin wird eine Sicherheitslücke der Audio-Lösung von Intel behoben. Dell reagiert damit auf die von Intel im März veröffentlichten Sicherheitslücken. Besitzer eines betroffenen Dell-Notebooks (siehe Liste in der Dell-Mitteilung) sollten das neue BIOS zügig einspielen.
Quelle: 'Dell rüstet Laptops gegen Lücke in Intels Smart-Sound-Technik' auf Heise Online
26.06.2020 – Ripple20 macht massenhaft Geräte zu Elektromüll
Ripple20 ist der Name einer Sammlung von 19 Sicherheitslücken in der 'Netzwerkfunktion' (TCP/IP-Stack) der Firma 'Treck'. Wer jetzt denkt, der Name sagt mir nichts, also trifft mich das nicht, irrt gewaltig. Wie so oft ist das der Name einer Zulieferfirma. Die Software kann in den unterschiedlichsten Produkten stecken, wie z.B. Smarthomes, Routern, Druckern, Steuerungen von Stromnetzen und Industrieanlagen, Satelliten ja sogar Flugzeugen! Während man bei Letzteren noch hoffen darf, dass diese rasch ein Sicherheitsupdate erhalten, sieht es am anderen Ende der Preisskala ganz anders aus. Viele Billiggeräte sind konstruktiv gar nicht auf Sicherheitsupdates vorbereitet, einfach, weil das die Kosten erhöht hätte.
Was kann passieren?
Die Entdecker der Lücke demonstrieren die Schwachstelle dadurch, dass sie den Strom an einem betroffenen Gerät über einen Angriff übers Netzwerk abgeschaltet haben. Wäre das Gerät ein Beatmungsgerät könnte der Patient sterben. Wird eine Sicherheitskamera gehackt, hat ein Einbrecher leichteres Spiel, ein Flugzeug das nicht abgesichert wurde könnte womöglich abstürzen, usw. Die Lücken sind gravierend und die Auswirkungen können massiv sein. Das zuständige CERT hat die Lücken daher in die höchstmögliche Gefahrenstufe eingeordnet.
Woran erkenne ich ein betroffenes Gerät?
Äußerlich gibt es keine Möglichkeit auf die Lücke schließen zu können. Auch ein Testprogramm, mit dem man die Anfälligkeit selbst prüfen könnte, gibt es nicht. Wohl deshalb, weil die Cyber-Maffia so detaillierte Hinweise erhalten würde, wie man die Geräte angreifen kann. Bleibt also nur die Nachfrage beim Hersteller. Während der Flugzeugbauer seinen Kunden hier sicher Antwort geben wird, stehen die Chance einer Auskunft beim chinesischen Hersteller der (beispielhaften) 10 Euro Smart-Steckdose aus dem Baumarkt denkbar schlecht. Bei Marken-Geräten empfiehlt sich aber auf jeden Fall eine Anfrage beim Hersteller. Schlimmer als keine Antwort kann es nicht werden.
Gibts keine Abhilfe?
Teuren Geräten kann man natürlich eine geeignete Firewall vorschalten, um die gefährlichen Netzwerkpakete auszufiltern. Bei günstigen Geräten macht es aber keinen Sinn, wenn man vor jedes Gerät eine Firewall für mehrere hundert Euro schalten muss. Gerade bei dem ganzen IoT Geräten sollte man sich eine Anschaffung also immer sehr gut überlegen. Von Geräten wir der beispielhaft genannten 10 Euro Smart-Steckdose oder 20 Euro Überwachungskamera aus dem Baumarkt raten wir daher grundlegend ab. Alles, was einen Netzwerkanschluss hat (der auch genutzt werden soll), sollte ein Markenprodukt sein, für das man vom Hersteller auch für mehrere Jahre Updates erhält.
Quelle: 'Ripple20 erschüttert das Internet der Dinge' auf Heise Online
26.06.2020 - VMware: Wieder Sicherheitsupdates nötig
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die zugrunde liegenden Heise Online Artikel:
26.06.2020 - Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Cisco kämpft mit kritischer Telnet-Lücke im IOS-XE-Betriebssystem' auf Heise Online
19.06.2020 - Das nächste Chromium Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 83.0.4103.106 behebt vier Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome: Security-Update für Googles Browser beseitigt vier Sicherheitslücken' auf Heise Online
Vivaldi:
Vivaldi hat kurz nach Google zwar die Android Version seines Browser mit der neuen Chromium-Version abgesichert, der Desktop-Browser wartet aber bis heute auf die neue Chromium Version. Auch Nachfrage bei Vivaldi haben wir als Antwort erhalten, dass das Update für die Desktop-Version heute noch erscheinen sollte, wenn alles nach Plan geht.
Update: die neue Version (3.1 Update 2 bzw. 3.1.1929.40) ist soeben erschienen und steht auch bereits über die Update-Funktion parat.
Quelle: 'Minor update (2) for Vivaldi Desktop Browser 3.1' auf Vivaldi.com (Englisch)
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version ungefähr zeitgleich mit Vivaldi in die Edge Version 83.0.478.53 eingebaut.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera bleibt unsicher:
Opera hängt wie üblich mit den Sicherheitsupdates hinterher, weshalb wir Opera Anwendern schon seit längerem zu einem Wechsel auf Vivaldi raten. Von Google Chrome raten wir aus Datenschutzgründen ab.
19.06.2020 - Sicherheitsupdate für weitere Adobe Programme
Adobe bringt wieder einmal Sicherheitsupdates außerhalb des regulären Zeitplans. Die Lücken selbst wurden von Adobe dabei teils als kritisch eingestuft. Wir empfehlen Anwendern die Updates zügig zu installieren, auch wenn Adobe hier keine übertriebene Eile für Notwendig erachtet.
Quelle: 'Angreifer könnten Adobe Illustrator & Co. mit Schadcode beschießen' auf Heise Online
Adobe Audition
In Adobes Audio-Bearbeitungs-Programm Audition wurde eine Sicherheitslücke behoben, die Angreifer zur Infektion des Computers nutzen könnten. Die Gefahreneinstufung ist demnach zurecht auf "kritisch" gesetzt. Behoben wird die Lücke in Audition 13.0.7, alle älteren Versionen sollten nicht länger verwendet werden.
Quelle: Adobe Security Bulletin APSB20-40 (Englisch)
Adobe After Effects:
In Adobe After Effects wurden ebenfalls kritische Lücken behoben die zur Infektion des Computers mit Viren genutzt werden können. Alle Anwender von After Effects sollten auf Version 17.1.1 updaten und alle älteren Fassungen deinstallieren. Die Lücke soll in allen früheren Versionen existieren, also vermutlich auch in den alten Kaufversionen (CS6 und noch älter).
Quelle: Adobe Security Bulletin APSB20-35 (Englisch)
Adobe Campaign Classic:
Nutzer von Adobe Campaign sollten ebenfalls unbedingt ein Update installieren, um wichtige Sicherheitslücken zu schließen. Updates für ältere Versionszweige gibt es nicht mehr, nur Version 20.2 oder neuer behebt die Probleme.
Quelle: 'Adobe Security Bulletin APSB20-34' auf Adobe.com (Englisch)
Adobe Illustrator:
Im Vektorgrafik Programm Illustrator hat Adobe fünf kritische Sicherheitslücken behoben. Wie bei Adobe leider üblich, gibt es nur Updates für die 2020er Programme, alle älteren Ausgaben bleiben unsicher. Die abgesicherte Ausgabe trägt die Versionsnummer 24.2.
Info: Adobe Security Bulletin APSB20-37 (Englisch)
Adobe Premiere Pro:
Im Video-Schnitt-Programm Premiere Pro hat Adobe drei kritische Sicherheitslücken behoben, die zur Infektion des Computers durch Viren führen können. Auch hier wird leider, wie bei Adobe aktuell üblich, nur die 2020er Version abgesichert, frühere Ausgaben bleiben unsicher und sollten nicht mehr verwendet werden. Die abgesicherte Ausgabe trägt die Version 14.3.
Quelle: Adobe Security Bulletin APSB20-38 (Englisch)
Adobe Premiere Rush:
Auch im abgespeckten Videoschnitt-Programm Premiere Rush hat Adobe drei kritische Sicherheitslücken behoben, die zur Infektion des Computers durch Viren führen können. Anwender, die das Programm auf Windows oder MacOS verwenden, sollten auf Version 1.5.16 updaten. Die Smartphone-Versionen für Android und iOS werden im Security Bulletin nicht erwähnt.
Quelle: Adobe Security Bulletin APSB20-39 (Englisch)
19.06.2020 - VLC Media Player 3.0.11 behebt viele Sicherheitslücken
Das Team rund um den VLC Media Player hat eine neue Ausgabe der Software veröffentlicht. Version 3.0.11 behebt eine Sicherheitslücke, die sich zur Infektion des Computers nutzen lässt und damit als kritisch einzustufen ist. Weitere Anpassungen sollen zwei weitere Sicherheitslücken umgehen.
Alle Anwender von VLC sollten daher zügig auf die neue Fassung updaten, zumal sie auch diverse andere Verbesserungen enthält.
Download: VLC Media Player 3.0.11 für Windows (32Bit)
Download: VLC Media Player 3.0.11 für Windows (64Bit)
Quelle: 'Releasenotes für VLC Media Player 3.0.11' auf Videolan.org (Englisch)
Quelle: 'VLC Player gegen Schadcode-Attacken abgesichert' auf Heise Online
19.06.2020 – Manuelle Updates gegen Windows Drucker-Probleme
Die Juni-Sicherheitsupdates haben auf manchen PCs die Drucker lahmgelegt. Microsoft hat nun für die noch unterstützten Betriebssysteme Update veröffentlicht, welche die Druckerprobleme beheben sollen. Eine Deinstallation der Juni-Updates ist nicht ratsam, da so kritische Sicherheitslücken offenstehen würden.
Da die neuen Updates nicht so ausgiebig getestet wurden wie normale Updates (die am Tag der Updates erscheinen), kann man diese nur manuell aus dem Update Katalog (Download-Links im Heise Online Artikel) herunterladen. Die Updates sollten auch auf keinen Fall prophylaktisch installiert werden, sondern wirklich nur dann, wenn es seit den Juni-Updates Drucker-Probleme gibt.
Quelle: 'Probleme beim Drucken: Microsoft gibt weitere Korrektur-Updates für Windows frei' auf Heise Online
19.06.2020 – D-Link sichert Router ab, teilweise
Für den WLAN-Router DIR-865L hat D-Link ein Update bereitgestellt, dass einige Sicherheitslücken behebt. Allerdings eben wirklich nur einigem denn mindestens drei Lücken bleiben offen. Warum nicht alle Lücken behoben wurden verrät D-Link ebensowenig, wie die Frage, ob ein weiteres Update geplant ist, das die noch offenen Lücken schließt.
Andererseits muss man D-Link zugutehalten, dass sie überhaupt noch ein Firmware-Update veröffentlichen, denn offiziell wird der Router bereits seit 2016 nicht mehr unterstützt. Allerdings ist es fraglich, ob ein halbherziges Update nützt oder mehr schadet. Immerhin könnten sich so Besitzer des Routers in falsche Sicherheit wiegen. Tatsache ist aber, dass der Router gegen ein aktuelles Modell mit ordentlichem Support (unsere Empfehlung sind aktuelle Fritzbox-Modelle) ausgetauscht werden sollte.
Quelle: 'D-Link patcht älteren WLAN-Router DIR-865L – aber nur ein bisschen' auf Heise Online
19.06.2020 - Sicherheitslücken in Wordpress behoben
Für das Contentmanagement-System Worpress ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweilige Heise Online Seite:
Quelle: 'WordPress 5.4.2 schmeißt Sicherheitsprobleme über Bord' auf Heise Online
19.06.2020 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Cisco Webex Meetings kann sich an Fake-Updates verschlucken' auf Heise Online
12.06.2020 - Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Quelle: 'Patchday: Adobe doktort weiter an Flash rum' auf Heise Online
Adobe Flash:
Die neueste Version des Flash-Plugins trägt die Nummer 32.0.0.387. Darin wurde eine kritische Sicherheitslücke geschlossen. Anwender, die das Flash-Plugin installiert haben, sollten daher zügig auf die neue Version updaten, falls das nicht bereits geschehen ist. Ein Besuch der 'Flash-Player-Infowebseite' gibt wie üblich Auskunft, welche Flash Version aktuell verwendet wird.
Download: aktueller Flash Player Uninstaller, Windows, alle Browser
Download: aktuelle Flash Player Version, Windows, alle Browser (außer Internet Explorer)
Download: aktuelle Flash Player Version, Windows, Opera
Download: aktuelle Flash Player Version, Windows, Internet Explorer (und IE basierte Browser)
Info: Flash-Player-Infowebseite (zeigt die Version Ihres Flash Player Plugins an)
Adobe Framemaker:
Im Desktop-Publishing-Programm Adobe Framemaker wurden 3 kritische Sicherheitslücken gefunden und behoben. Wer das Programm einsetzt, sollte es unbedingt auf Version 2019.0.6 aktualisieren.
Quelle: Adobe Security Bulletin APSB20-32 (Englisch)
Adobe Experience Manager:
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es sechs Lücken. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB20-31 (Englisch)
12.06.2020 - Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Quelle: 'Patchday: Microsoft lässt über 120 Sicherheitsupdates auf Windows & Co. los' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP , Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 18.03 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
12.06.2020 - Das nächste Chromium Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 83.0.4103.97 behebt 5 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome Release Notes' auf Googleblog.com
Vivaldi:
Vivaldi hat seinen Browser eine Woche nach Google aktualisiert und schließt die Lücken mit Version 3.1. Das es wieder einmal etwas länger gedauert hat liegt daran, dass es wieder ein größerer Versionssprung ist, und mehr Tests nötig sind. In Version 3.1 wurden nicht nur die Sicherheitslücken behoben, sondern auch die Notizfunktion erweitert und die Performance verbessert.
Quelle: 'Vivaldi Browser mit neuem Vollformat-Notizen-Manager und konfigurierbaren Menüs' auf Vivaldi.com
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version in die Edge Version 83.0.478.45 eingebaut.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera bleibt unsicher:
Opera hängt wie üblich mit den Sicherheitsupdates hinterher, weshalb wir Opera Anwendern schon seit längerem zu einem Wechsel auf Vivaldi raten.
12.06.2020 – Noch mehr Sicherheitsupdates bei LibreOffice
Erst letzte Woche hatten wir berichtet, dass in LibreOffice 6.4.4 und 6.3.6 eine Sicherheitslücke behoben wurde. Nun zeigte sich, dass LibreOffice 6.4.4 noch zwei weitere Sicherheitslücken behebt, die in der 6.3er Serie nicht mehr behoben werden, weil deren Support bereits beendet ist.
Wir schätzen die Lücken nicht als gravierend ein, nichtsdestotrotz ist es nun für alle LibreOffice Anwender an der Zeit, auf Version 6.4.4 upzugraden, auch wenn diese leider noch den einen oder anderen Fehler aufweist, wie wir in unserem Artikel letzte Woche berichtet hatten.
Info: 'Sicherheitsupdate: LibreOffice könnte private Daten gefährden' auf Heise Online
Download: Aktuelle LibreOffice Versionen
12.06.2020 – Gimp 2.10.20: Schöner weichzeichnen und mehr!
Gimp 2.10.20 bringt wieder ein paar spannende Neuerungen. Allen voran möchten wir die neuen Filter zum Weichzeichnen sowie für Vignetten erwähnen. Der Vignetten-Filter wurde komplett erneuert und ermöglicht jetzt die Anpassung der Parameter direkt im Bild. Es stehen drei neue Weichzeichnungsfilter zur Verfügung:
"Variabler Weichzeichner" (Variable Blur) ist grundsätzlich ein normaler gaußscher Weichzeichner, verwendet aber einen Farbkanal als Maske. So kann man z.B. Bilder mit Tiefeninformationen nachträglich Tiefenunschärfe verpassen.
"Lens Blur" imitiert Linseneffekte in weichgezeichneten Bereichen, was einen wesentlich realistischeren Eindruck macht als ein Bild in dem Bereiche einfach per gaußschem Weichzeichner bearbeitet wurden. Auch hier kann man wieder einen Farbkanal als Tiefenmaske oder ähnliches verwenden.
"Fokus-Weichzeichner" (Focus Blur) arbeitet wie der neue Vignetten-Filter, nur dass die äußeren Bereiche nicht abgedunkelt, sondern mit dem Lens-Blur weichgezeichnet werden. Damit können leicht Tiefenunschärfe-Effekte imitiert werden, ohne Masken erstellen zu müssen.
Das Beschneide-Werkzeug entfernt jetzt die weggeschnittenen Bildbereiche nicht permanent, sondern ändert nur die Leinwandgröße. Wenn der Ausschnitt nach dem Beschnitt nicht ganz passt, kann jede Ebene nochmal nachjustiert werden, weil die Randbereiche (die früher eben weggeschnitten worden wären) jetzt noch vorhanden sind. Beim Export (JPEG, PNG usw…) wird natürlich nur der sichtbare Bereich exportiert.
Außerdem bieten alle Filter mit dem G-Symbol (das sind modernen GEGL-Filter, im Gegensatz zu den alten Filter mit dem Zahnrad-Symbol) nun die Möglichkeit den Verrechnungsmodus im Filter auszuwählen. Die in der letzten Version erneuerte Werkzeugleiste wurde nochmals überarbeitet, sodass Werkzeuge die in Untermenüs verfrachtet wurden nun bereits aufklappen, wenn man mit der Maus draufzeigt. Die Performance soll in einigen belangen verbessert sein. Scanner können nun Bilder mit 16-Bit Farbtiefe an Gimp senden. Der Import von Photoshop-Dateien wurde verbessert, zudem können jetzt auch Photoshop-Dateien mit 16Bit-Farbtiefe exportiert werden.
Alle Neuerungen sind (in Englisch dafür teils mit Bildern) ausführlich auf der Gimp-Homepage beschrieben, ein Blick lohnt sich auf jeden Fall für alle Gimp-Anwender und solche die es werden wollen.
Quelle: 'GIMP 2.10.20 Released' auf Gimp.org (Englisch)
Download: Gimp 2.10.20 (Revision 1) für Windows
Download: Offline Hilfe für Gimp 2.10, Deutsch
12.06.2020 - Intel veröffentlicht zahlreiche Sicherheitsupdates
Prozessorhersteller Intel hat mal wieder reichlich neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider ist es (wie schon öfter geschrieben) für Endanwender nicht einfach sich in all den Intel Sicherheitsupdates zurechtzufinden und die für die eigene Hardware passenden Updates zu installieren.
Da dieses Mal wirklich nur Updates dabei sind, die für Endanwender nicht so ganz einfach zu bekommen/installieren sind, sparen wir uns genauer darauf einzugehen und verweisen nur auf den Heise Online Artikel.
Quelle: 'Patchday bei Intel: Kritische Lücken-Fixes für AMT und ISM' auf Heise Online
Quelle: 'Neue CPU-Sicherheitslücken in Intel-Prozessoren umgehen Kern-Grenzen' auf Heise Online
12.06.2020 – Die nächste Universal Plug and Play Sicherheitslücke
Schon oft haben wir auf Sicherheitslücken in der "Universal Plug and Play" Funktion hingewiesen und immer die Empfehlung gegeben, man sollte UPnP in Routern (und wo sonst es noch deaktivierbar ist) ausschalten. Das dieser Rat nach wie vor seine Gültigkeit hat, zeigt die neueste UpnP-Sicherheitslücke 'CallStranger'.
Verwundbare Geräte (und das sind fast alle Geräte die UPnP unterstützen) können missbraucht werden, um DOS-Attacken auf Webserver zu führen. Das dürfte auch Auswirkungen auf den Internetzugang des Anwenders haben, dessen Gerät den Angriff ausführt.
Wie üblich daher der Hinweis, man möge UPnP in Routern deaktivieren. Wenn man auch noch sicherstellt, dass die UPnP-Ports (üblicherweise UDP 1900, Hersteller können aber auch andere Ports verwenden) geblockt sind, sollte man nicht gefährdet sein.
Quelle: 'CallStranger: Universal-Plug-and-Play-Schwachstelle in Milliarden von Geräten' auf Heise Online
12.06.2020 – Qnap NAS: Warnung vor neuer und alter Lücke!
Der Hersteller Qnap hat neue Firmware-Versionen für seine NAS-Geräte veröffentlicht. Sie beheben eine Sicherheitslücke in der Anwendung 'File Station', der Qnap eine 'hohe' Gefahrenstufe attestiert. Gleichzeitig weißt der Hersteller darauf hin, dass auch immer noch sehr viele Angriffe auf ältere Sicherheitslücken beobachtet werden, die bereits Ende letzten Jahres mit Firmware-Updates behoben wurden. Es gibt also mehrere gute Gründe für Besitzer von Qnap-NAS Geräten mal wieder ein Update durchzuführen.
Quelle: 'Qnap NAS: Datei-Explorer File Station führt "böse" Befehle aus' auf Heise Online
Quelle: 'Verwundbare NAS mit Photo Station: QNAP meldet neue Angriffe auf alte Lücken' auf Heise Online
12.06.2020 – GnuTLS verschlüsselt nicht richtig!
In der Verschlüsselungssoftware GnuTLS wurde ein Fehler gefunden, der Netzwerkverbindungen die mit GnuTLS gesichert sind, angreifbar macht. Übertragene Daten können so von Angreifern entschlüsselt werden. Die GnuTLS-Programmierer haben Version 3.6.14 veröffentlicht, wo der Fehler behoben wurde.
Anwender werden direkt mit GnuTLS nicht in Berührung kommen, da es sich um eine Software handelt, die andere Programme für die Abwicklung verschlüsselter Netzwerkverbindungen verwenden. Z.B. verwendet der beliebte FTP-Client 'FileZilla' noch die verwundbare GnuTLS-Version 3.6.12 und ist damit vermutlich ebenfalls für die Lücke anfällig. Eine umfangreichere Liste mit Anwendungen die GnuTLS verwenden haben wir leider nicht.
Anwendern bleibt nur übrig, alle Programme die mit dem Internet in Verbindung stehen, regelmäßig auf Updates hin zu prüfen.
Quelle: 'Massives Sicherheitsproblem in GnuTLS erlaubt Mitlesen von Kommunikation' auf Heise Online
12.06.2020 - VMware: Wieder Sicherheitsupdates nötig
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die zugrunde liegenden Heise Online Artikel:
Quelle: 'VMware-Anwendungen als Sprungbrett für Angreifer' auf Heise Online
04.06.2020 – Sicherheitsupdate bei LibreOffice
Die LibreOffice Entwickler haben kürzlich die Versionen 6.4.4 und 6.3.6 veröffentlicht. LibreOffice 6.3.6 ist die letzte Ausgabe der 6.3er Serie. In ihr wurde unter anderem ein Sicherheitsproblem behoben. Sehr kritisch ist die gestopfte Lücke nicht, aber wer vorhat noch eine Weile bei der 6.3er Serie zu bleiben, sollte das Update auf 6.3.6 installieren.
Für den Großteil der Anwender dürfte aber mittlerweile die 6.4er Serie besser geeignet sein. In ihr wurden zahlreiche Verbesserungen gegenüber der 6.3er Serie vorgenommen. Einzelne Höhepunkte rauszufischen fällt schwer, weil es in unseren Augen nicht die eine herausragende neue Funktion gibt, sondern eher eine ganze Reihe kleinerer Evolutionsschritte. Die genannte Sicherheitslücke ist natürlich auch hier bereits behoben.
Bei unserem Test der 6.4.4er Version sind uns keine neuen Fehler aufgefallen, wohl aber eine Änderung beim Speichern von Dateien: Wurde bis zu 6.3er Serie beim Speichern immer der zuletzt genutzte Speicherort ausgewählt, wird nun standardmäßig immer der Dokumente-Ordner vorgeschlagen. Für die meisten Anwender dürfte dies eine gute Änderung sein, aber nicht für alle. Zum Glück kann man in den Optionen den Pfad zum "Arbeitsverzeichnis" ändern (Extras → Optionen → LibreOffice → Pfade → Arbeitsverzeichniss), sodass man auch einen anderen Ordner als den Dokumente-Ordner als Standard-Speicher-Ordner angeben kann.
Nachtrag: Gerade haben wir doch noch einen "neuen Fehler" in 6.4.4. entdeckt: Der Hyperlink-Dialog ist wieder so klein, wie es schon in der 6.2er Serie mal der Fall war. In der 6.3er Serie war das behoben, in der 6.4er Serie leider nicht. Anwender, die intensiv den Hyperlink-Dialog nutzen, sollten noch mit dem Upgrade auf die 6.4er Serie warten.
Info: 'LibreOffice SecurityBulletin zu Lücke CVE-2020-12801' auf LibreOffice.org
Info: 'Neuerungen in der LibreOffice 6.4 Serie' auf LibreOffice.org
Download: Aktuelle LibreOffice Versionen
04.06.2020 – Firefox 77 bringt Sicherheitsupdates
Mozilla hat Firefox 77 veröffentlicht. Die neue Version behebt in Summe 8 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 68.9.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
04.06.2020 – Thunderbird 68.9 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 68.9 veröffentlicht. Gegenüber der Version 68.8.1 behebt die neue Version fünf Sicherheitslücken, die unterm Strich eine hohe Bedrohung ergeben. Alle Thunderbird Anwender sollten daher zügig updaten.
Immer noch Thunderbird 60 in Verwendung?
Wer immer noch den 60er Versionszweig von Thunderbird verwendet sollte nun ebenfalls upgraden. Dabei sollte das Thema Erweiterungen unbedingt bedacht werden, über das wir in den letzten Wochen schon so ausgiebig geschrieben haben.
Download: Thunderbird Version 68.9, Windows, 32Bit, Deutsch
Download: Thunderbird Version 68.9, Windows, 64Bit, Deutsch
Info: 'Thunderbird 68.9 Release Notes' auf Mozilla.org (Englisch)
04.06.2020 – Neue iTunes & iCloud Versionen beheben kritische Sicherheitslücken!
Apple behebt mit iTunes 12.10.7 zahlreiche teils kritische Sicherheitslücken in der Multimedia Software. Auch in iCloud musste Apple gehörig nachbessern und liefert diese Korrekturen mit Version 7.19 aus. Auch die iCloud-Version aus dem Windows Store war fehlerhaft, hier werden die Lücken durch Version 11.2 behoben.
Anwender, die iTunes oder iCloud tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs spürbar langsamer machen, selbst wenn sie gar nicht verwendet werden.
Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.
Quelle: 'Informationen zum Sicherheitsinhalt von iTunes 12.10.7 für Windows' auf Apple.com (Englisch)
Quelle: 'Informationen zum Sicherheitsinhalt von iCloud für Windows 7.19' auf Apple.com (Englisch)
Quelle: 'Informationen zum Sicherheitsinhalt von iCloud für Windows 11.2' auf Apple.com (Englisch)
04.06.2020 - Audacity 2.4.1 ist da
Ungefähr ein halbes Jahr nach Version 2.3.3 steht nun Ausgabe 2.4.1 des kostenlosen Audiobearbeitungsprogramms zur Verfügung. Und wieder gibt es ein paar nette Neuerungen zu entdecken. Vor allem waren wir erstaunt zu sehen, dass Audacity nun die ebenfalls Werkzeuge anbietet, um Störgeräusche per Spektralanzeige zu eliminieren. Vermutlich ist die Funktion nicht so ausgereift wie in den Spezialprogrammen á "Spectral Layers", aber immerhin ist sie da und funktioniert, wenngleich wir bisher keine ausgiebigen Tests damit gemacht haben.
Wer Mischungen für Fernseh- oder Radio-Anstalten machen muss, wird sich freuen, dass Audacity nun auch eine einfache Normalisier-Funktion mit Unterstützung für EBU R 128 mitbringt.
Fazit: Wir haben nur zwei der vielen Neuerungen hervorgehoben, für andere Anwender sind sicher andere Neuerungen wichtiger. Wer Audacity vor langer Zeit mal getestet hat und damals nicht zufrieden war, sollte unbedingt nochmal einen Blick auf das Programm werfen. Bestehende Audacity Anwender sollten hingegen updaten und sich die Neuerungen genauer ansehen um nichts zu verpassen. Das FFmpeg-Plugin wurde leider immer noch nicht aktualisiert und ist daher immer noch voller Sicherheitslücken, weshalb man einen großen Bogen darum machen sollte.
Download: Aktuelle Audacity Version
Info: Neue Funktionen in Audacity 2.4.0 (Englisch)
04.06.2020 - Blender 2.83 mit Langzeitsupport
Das 3D-Programm Blender erhält mit Version 2.83 wieder ein paar nette Neuerungen. Die wohl wichtigste Neuerung ist aber keine neue Funktion, sondern die Zusage der Blender Foundation die Version 2.83 zwei Jahre lang mit Updates zu versorgen. Firmen, die längerfristige Planbarkeit benötigen, oder auch private, die nicht alle paar Wochen von einem geänderten Funktionsumfang überrascht werden wollen, finden so eine Version die keine größeren Neuerungen erfahren wird, aber dennoch Fehlerbereinigungen erhält.
Natürlich gibt es aber auch funktionale Neuerungen, und zwar nicht zu wenige. Cloth Brush, Viewport Denoising, OpenVDB-Import und Unterstützung für VR-Brillen sind nur ein paar der Schlagworte dieser Ausgabe.
Wer sich ein umfangreiches Bild über die Neuerungen machen möchte, sollte daher die Release Notes auf der Blender Homepage (Englisch) oder den verlinkten Heise Online Artikel lesen.
Quelle: 'Blender 2.83: Neue LTS-Version der freien 3D-Software' auf Heise Online
Quelle: 'Blender 2.83 Relase Information' auf Blender.org
04.06.2020 – Die nächste Sicherheitslücke in Zoom
Die Firma Zoom kommt mit der gleichnamigen Video-Konferenz-Software nicht aus den Negativ-Schlagzeilen raus. Die ohnehin schon vielen Sicherheitslücken die in letzter Zeit in der Software entdeckt wurden, sind nun um eine neue Episode reicher: Die mit Version 5.0.5 behobene Sicherheitslücke ermöglichte die Infektion von Computern über manipulierte Chat-Nachrichten.
Anwender die Zoom trotz der unendlichen Negativ-Meldungen rund um die Software immer noch nutzen wollen, sollten zumindest sicherstellen, dass die aktuellste Version zum Einsatz kommt und das Passwort kürzlich geändert wurde.
Quelle: 'Sicherheitsupdate: Angreifer könnten Schadcode in Zoom-Meetings schieben' auf Heise Online
04.06.2020 – Trend Micro Software macht es Angreifern leicht!
Ein junger Sicherheitsforscher hat in einem Treiber von Trend Micro ein sehr auffälliges Verhalten entdeckt: Steht die Software auf dem Prüfstand, verhält es sich streng nach den Vorgaben für zertifizierte Windows-Software von Microsoft. Bemerkt der Treiber aber, dass er nicht unter Laborbedingungen genutzt wird, entfaltet er seine volle Funktionalität. Und die hat es in sich, denn hier werden Techniken angewendet, die Microsoft aus gutem Grund nicht zulässt, weil es Angreifern die Infektion des Computers nicht erschwert sondern erleichtert!
Während viele Sicherheitsforscher sich einig sind, dass Trend Micro hier etwas zu verstecken versucht, weißt der Hersteller jede Betrugsabsicht von sich. Die gefundenen Sicherheitslücken hat der Hersteller aber bestätigt und die Software, die den dubiosen Treiber enthält, daraufhin von seiner Webseite entfernt. Microsoft gibt keine Stellungnahme zum Fall Trend Micro ab, hat aber den Treiber von Trend Micro auf die schwarze Liste gesetzt.
Anwender, die die Software Rootkit Buster von Trend Micro installiert haben, sollten diese unbedingt deinstallieren. Außerdem würden wir Anwendern von Trend Micro Software nahe legen diesen Vorfall zu Berücksichtigen, wenn die Lizenz für eventuell genutzte Trend Micro-Software das nächste Mal ausläuft.
Quelle: 'Trend Micro wird vorgeworfen, bei Windows-Treiber-Test betrogen zu haben' auf Heise Online
04.06.2020 – Sicherheitslücken in Netgear Routern – Hersteller schweigt!
Netgear zeigt wiedereinmal, wie man nicht mit Sicherheitslücken umgeht. Statt Probleme einzugestehen und Informationen für betroffene Kunden anzubieten, versucht der Hersteller die Probleme totzuschweigen.
Worum gehts? Sicherheitsforscher haben ernste Lücken in der Update-Routine zahlreicher Netgear-Routern entdeckt. Die Lücken sind schlimm und noch dazu Zeuge von Unfähigkeit, denn die Lücken sind echte Anfänger-Fehler.
Da Netgear sich zu den Problemen nicht äußert, bleibt den Kunden der betroffenen Routern nur, die eingebaute Firmware-Update-Funktion zu deaktivieren. Firmware-Updates sollten bei diesen Modellen bis auf weiteres daher nur mehr von Hand installiert werden.
Hier die Liste der betroffenen Netgear Router: R6120, R6220, R6350, R6400, R6400v2, R6800, R6850, R7000P, R7800, R8000, R9000, RAX120, RBR20, XR300, XR500.
Quelle: 'Netgear-Router: Update-Prozess unsicher, Hersteller schweigt' auf Heise Online
04.06.2020 - VMware: Wieder Sicherheitsupdates nötig
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die zugrunde liegenden Heise Online Artikel:
Quelle: 'Schadcode und DoS-Attacken: Gefährliche Lücken in VMware Cloud Director & Co.' auf Heise Online
04.06.2020 - Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Updates für IOS, NX-OS und Co. – Cisco flickt seine Netzwerkbetriebssysteme' auf Heise Online
26.05.2020 - Sicherheitsupdate für weitere Adobe Programme
Adobe bringt für vier Anwendungen Sicherheitsupdates außerhalb des regulären Zeitplans. Das bedeutet, das die geschlossenen Lücken zu gefährlich sind um damit bis zum nächsten regulären Update-Tag zu warten. Anwender sollten daher auch entsprechend schnell updaten.
Quelle: 'Notfall-Patches: Adobe sichert Audition, Premiere Pro & Co. ab' auf Heise Online
Adobe Character Animator:
In Adobe Character Animator wurde eine Lücke behoben die zur Infektion des Rechners mit Viren führen kann. Betroffen sind alle Versionen von Character Animator, eine Lösung in Form eines Updates auf Version 3.3 gibt es nur für die 2020er Ausgabe. Ältere Fassungen von Character Animator sollten nicht mehr verwendet werden.
Quelle: Adobe Security Bulletin APSB20-25 (Englisch)
Adobe Audition
In Adobes Audio-Bearbeitungs-Programm Audition wurde eine Sicherheitslücke behoben, die für Informationsdiebstahl genutzt werden kann. Weitere Details nennt Adobe leider nicht, sodass man sich auf die Gefahreneinstufung "Wichtig" von Adobe verlassen muss.
Quelle: Adobe Security Bulletin APSB20-28 (Englisch)
Adobe Premiere Rush
Auch im abgespeckten Videoschnitt-Programm Premiere Rush hat Adobe eine Lücke behoben, die für Informationsdiebstahl missbraucht werden kann. Anwender, die das Programm auf Windows oder MacOS verwenden, sollten auf Version 1.5.12 updaten. Die Smartphone-Versionen für Android und iOS werden im Security Bulletin nicht erwähnt.
Quelle: Adobe Security Bulletin APSB20-29 (Englisch)
Adobe Premiere Pro:
Im Video-Schnitt-Programm Premiere Pro hat Adobe ebenfalls eine Sicherheitslücke behoben, die für Informationsdiebstahl genutzt werden kann. Auch hier fehlen weitere Details um die Tragweite der Lücke beurteilen zu können und man muss sich auf die Bewertung "Wichtig" von Adobe verlassen. Dass das Update außerhalb des regulären Update-Zeitplans veröffentlicht wurde, deutet aber darauf hin, dass man das Update besser zügig installiert. Auch hier wird leider, wie bei Adobe aktuell üblich, nur die 2020er Version abgesichert, frühere Ausgaben bleiben unsicher und sollten nicht mehr verwendet werden. Die abgesicherte Ausgabe trägt die Version 14.2.
Quelle: Adobe Security Bulletin APSB20-27 (Englisch)
26.05.2020 – VLC Media Player 3.0.10 behebt viele Sicherheitslücken
Das Team rund um den VLC Media Player hat eine neue Ausgabe der Software veröffentlicht. Version 3.0.10 behebt sieben Sicherheitslücken, die sich teils zur Infektion des Computers nutzen lassen, und damit als kritisch einzustufen sind.
Alle Anwender von VLC sollten daher zügig auf die neue Fassung updaten, zumal sie auch diverse andere Verbesserungen enthält.
Download: VLC Media Player 3.0.10 für Windows (32Bit)
Download: VLC Media Player 3.0.10 für Windows (64Bit)
Quelle: 'Releasenotes für VLC Media Player 3.0.10' auf Videolan.org (Englisch)
Quelle: 'Security Bulletin VLC 3.0.9' auf Videolan.org (Englisch)
(Da Version 3.0.9 nie veröffentlicht wurde, gilt dieses Bulletin stellvertretend für Version 3.0.10)
26.05.2020 – Inkscape 1.0 ist fertig!
Ganze 17 Jahre hat es gedauert, bis das Inkscape Projekt die Version 1.0 veröffentlicht hat. Im Gegensatz zu anderen Herstellern, wo eine 1.0 wirklich eine allererste Version (mit meist unzähligen Bugs) darstellt, ist diese Version 1.0 aber Eine, die über viele Jahre gereift, reich an Funktionen und stabil ist. Zumindest soweit wir das als Gelegenheits-Vektorgrafik-Nutzer sagen können.
Die Version 1.0 bringt dennoch einige größere Neuerungen gegenüber der Vorversion. So wurde der Software-Unterbau von GTK2 auf GTK3 umgestellt, was unter anderem Unterstützung für hochaufgelöste Monitore bringt, aber auch ein paar Bedienelemente aufhübscht. Eine General-Überholung der Benutzer-Oberfläche gibt es aber (leider) nicht.
Ebenfalls neu sind Erweiterungen die auf Python3 basieren. Das ermöglicht einerseits neue Möglichkeiten, macht alte Erweiterungen aber oft inkompatibel, sodass manche Anwender vielleicht noch warten müssen, bis ihre Lieblings-Erweiterungen angepasst wurden. Allerdings bietet Inkscape selbst auch neue Erweiterungen und Funktionen, sodass so manche Fremd-Erweiterung vielleicht nicht mehr nötig ist.
Im verlinkten Heise Online Artikel finden sie mehr Informationen über die Neuerungen. Noch mehr ins Detail geht der Artikel über Version 1.0 auf der Inkscape Webseite selbst. Hier gibts auch kurze Videos die ein paar der neuen Funktionen präsentieren.
Alle die Inkscape schon länger nutzen werden sich über die neue Version freuen. Und wer bisher noch nie etwas mit Vektorgrafik zu tun hatte aber an dem Thema interessiert ist, sollte sich das Programm unbedingt ansehen.
Quelle: 'Vektorgrafikprogramm Inkscape 1.0: Anpassbarer, moderner und auch nativ für macOS' auf Heise Online
Quelle: 'Inkscape 1.0 stellt sich vor' auf Inkscape.org
26.05.2020 – Endlich Sicherheitsupdates für Nitro PDF!
Ende 2019 haben wir über sechs Sicherheitslücken in Nitro-PDF berichtet, die, obwohl bereits im Mai 2019 an den Hersteller gemeldet, zum Zeitpunkt des Artikels immer noch nicht behoben waren. Anwender der Software mussten sich sogar bis Jänner 2020 warten bis endlich ein Update gegen die sechs kritischen Lücken bereitstand. Acht Monate sind also zwischen Meldung der Lücken an den Hersteller bis zur Behebung selbiger verstrichen.
Auch die kürzlich gemeldeten Sicherheitslücken wurden erst nach 3 Monaten behoben. Alles andere als zügig, aber verglichen mit dem zuvor geschilderten Fall deutlich besser. Alle drei Lücken ermöglichen Informationsdiebstahl.
Die Crux an der Sache ist jedoch, dass die Lücken nur in der 13er Ausgabe von Nitro PDF behoben wurde. Wer noch eine 12er Version oder noch älter einsetzt, müsste für 80 Euro ein Upgrade erwerben. Wir raten jedoch davon ab, einem Hersteller, der sich so lange Zeit lässt, um Sicherheitsupdates zu schließen, auch noch Geld in den Rachen zu werfen. Es gibt sicherere und günstigere Alternativen.
Quelle: 'Sicherheitsupdate: Nitro PDF Pro könnte Daten leaken' auf Heise Online
26.05.2020 - Dauerthema Bluetooth Unsicherheit
Regelmäßigen Lesern unserer Website bzw. Newsletters dürfte das Thema Bluetooth-Sicherheit schon bekannt vorkommen. Leider ist es halt auch ein Fass ohne Boden, denn wieder einmal haben Sicherheitsforscher Sicherheitslücken in der Bluetooth-Spezifikation gefunden. Die Bluetooth SIG hat als Konsequenz sogar ein Update der Spezifikation veröffentlicht. Super, möchte man denken, da passiert was. In Wahrheit wird aber in den allermeisten Fällen gar nichts passieren. Ob Geräte
die aktualisierte Bluetooth Spezifikation umsetzen oder nicht wird nie ein Endanwender erfahren oder gar selbst prüfen können. Und der allergrößte Teil der Bluetooth-fähigen Geräte weltweit wird ohnehin nie ein Sicherheitsupdate sehen.
Das auch WLAN nicht unknackbar ist (vor allem mit kurzen Passwörtern) haben wir auch schon berichtet, aber gerade Bluetooth ist aus Sicherheitsperspektive einfach eine Katastrophe. Und das die Hersteller lieber die Sicherheitsforscher zum Schweigen bringen wollen (nicht in diesem Fall, aber es ist schon öfter vorgekommen), statt endlich mal den Ursprung der vielen Sicherheitslücken anzupacken, spricht Bände.
Unsere Dauerempfehlung lautet daher wie üblich, Bluetooth wann immer möglich ausgeschaltet zu lassen und es sich bei jedem einzelnen Gerät sehr gut zu überlegen, ob man sich tatsächlich damit koppeln möchte.
Quelle: 'Bluetooth-Sicherheitslücke ermöglicht unerkannte Angriffe' auf Heise Online
26.05.2020 - Sicherheitslücke in Drupal
Für das Contentmanagement-System Drupal ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die Heise Online Seite:
Quelle: 'Sicherheitsupdate Drupal 7: Angreifer könnten Websitebesucher umleiten' auf Heise Online
26.05.2020 – Gefährliche Sicherheitslücke in PostgreSQL
Wer eine PostgreSQL Datenbank auf Windows-Systemen einsetzt, sollte unbedingt die aktuellen Sicherheitsupdates installieren. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Admin-Lücke im Datenbanksystem PostgreSQL' auf Heise Online
26.05.2020 – Kundendaten-Diebstahl bei EasyJet
Der Fluggesellschaft EasyJet wurden Daten von 9 Millionen Kunden bei einem Hacker-Angriff gestohlen. Betroffene Kunden sollen von EasyJet bis heute informiert worden sein. Welche Daten genau gestohlen wurden, verrät das Unternehmen nicht. Weiters sollen bei über 2200 Kunden auch Kreditkartendaten gestohlen worden sein. Diese Kunden will EasyJet nochmal gesondert informieren und gegebenenfalls Hilfe anbieten.
Wir empfehlen allen Kunden von EasyJet, das Passwort für den Dienst umgehen zu ändern. Egal ob sie von dem Unternehmen angeschrieben wurden oder nicht.
EasyJet wird sich wohl auf eine größere Strafe von der zuständigen Datenschutzbehörde einstellen müssen.
Quelle: 'Hackerangriff auf Easyjet: Neun Millionen Kunden betroffen' auf Heise Online
26.05.2020 - Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Schwere Sicherheitslücke in Ciscos Callcenter-Software Unified Contact Center' auf Heise Online
15.05.2020 - Sicherheitsupdate für Adobe Reader und mehr
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Quelle: 'Patchday: Adobe kümmert sich um kritische Lücken in Acrobat und Reader' auf Heise Online
Adobe Reader & Acrobat:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2020.009.20063 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe unzählige (!) Sicherheitslücken geschlossen, sehr viele davon kritischer Art. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB20-24 (Englisch)
Adobe DNG SDK:
Diese Updates werden kaum einen Anwender betreffen, aber es sei der Vollständigkeit halber auch erwähnt. Wer das Adobe DNG SDK auf seinem PC hat oder gar darauf aufbauend Software programmiert, sollte es aufgrund kritischer Sicherheitslücken unbedingt aktualisieren.
Info: Adobe Security Bulletin APSB20-26 (Englisch)
15.05.2020 - Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Quelle: 'Patchday: Microsoft stellt über 100 Sicherheitsupdates für Windows bereit' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP , Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 18.03 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
15.05.2020 - Sicherheitslücken in Symantec Endpoint behoben
Administratoren der Sicherheitssoftware Symantec Endpoint Security sollten unbedingt sicherstellen, dass Version 14.3 installiert ist. Sämtliche älteren Versionen enthalten schwere Sicherheitslücken. Details im Heise Online Artikel.
Quelle: 'Angreifer könnten Symantec Endpoint Protection als Sprungbrett nutzen' auf Heise Online
15.05.2020 - Sicherheitslücken in Drupal-Modulen
Für das Contentmanagement-Systeme Drupal ist auch diese Woche wieder eine wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die Heise Online Seite:
Quelle: 'Sicherheitsupdates: Kritische Lücken in Drupal-Modulen' auf Heise Online
15.05.2020 - BIG-IP Edge Client unsicher!
Die Fernzugriffssoftware BIG-IP Edge Client ist über mehrere Sicherheitslücken angreifbar. Abhilfe gibt es vorerst keine, denn der Hersteller hat noch keine Updates bereitgestellt. Anwender der Software sollten sich gut überlegen, ob der Einsatz der Software vertretbar ist, solange keine Sicherheitsupdates verfügbar sind.
Quelle: 'Warten auf Patches: Gefährliche Lücken in BIG-IP Edge Client' auf Heise Online
08.05.2020 – Das nächste Chromium Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Seit unserem letzten Artikel über Chrome gab es sogar 2 wichtige Updates. Zuerst auf Version 81.0.4044.129 (2 Sicherheitslücken geschlossen) und diese Woche 81.0.4044.138 (3 Sicherheitslücken behoben). Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender von Google Chrome sollten unbedingt sicherstellen, dass sie die aktuelle Ausgabe verwenden (siehe Info-Link).
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Acht Sicherheitslücken in Googles Webbrowser Chrome geschlossen' auf Heise Online
Vivaldi:
Vivaldi hat seinen Browser jeweils kurz nach Google aktualisiert und schließt die Lücken mit Version 3.0 Update 2 bzw. der jetzt aktuellen Version 3.0 Update 3 (3.0.1874.38).
Quelle: 'Minor update (2) for Vivaldi 3.0' auf Vivaldi.com
Quelle: 'Minor update (3) for Vivaldi 3.0' auf Vivaldi.com
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version in die Edge Version 81.0.416.72 eingebaut.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera bleibt unsicher:
Opera hängt wie üblich mit den Sicherheitsupdates hinterher, weshalb wir Opera Anwendern schon seit längerem zu einem Wechsel auf Vivaldi raten.
08.05.2020 – Firefox 76 bringt Sicherheitsupdates
Mozilla hat Firefox 76 veröffentlicht. Die neue Version behebt in Summe 7 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'kritisch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 68.8.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
08.05.2020 – Thunderbird 68.8 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 68.8 veröffentlicht. Gegenüber der Version 68.7 behebt die neue Version sechs Sicherheitslücken, die unterm Strich eine kritische Bedrohung ergeben. Alle Thunderbird Anwender sollten daher zügig updaten.
Immer noch Thunderbird 60 in Verwendung?
Wer immer noch den 60er Versionszweig von Thunderbird verwendet sollte nun ebenfalls upgraden. Dabei sollte das Thema Erweiterungen unbedingt bedacht werden, über das wir in den letzten Wochen schon so ausgiebig geschrieben haben.
Download: Thunderbird Version 68.8, Windows, 32Bit, Deutsch
Download: Thunderbird Version 68.8, Windows, 64Bit, Deutsch
Info: 'Thunderbird 68.8 Release Notes' auf Mozilla.org (Englisch)
08.05.2020 – Sicherheitsupdate für weitere Adobe Programme
Adobe bringt für zwei Anwendungen Sicherheitsupdates außerhalb des regulären Zeitplans. Das bedeutet, das die geschlossenen Lücken zu gefährlich sind um damit bis zum nächsten regulären Update-Tag zu warten. Anwender sollten daher auch entsprechend schnell updaten.
Quelle: 'Adobe: Wichtige Security-Updates für Windows-Ausgaben von Bridge & Illustrator' auf Heise Online
Adobe Bridge:
In Adobe Bridge wurden stolze 17 (!) Sicherheitslücken behoben, viele davon sind von kritischer Natur, sodass das Update in Summe ebenfalls hochkritisch ist und möglichst rasch durchgeführt werden sollte. Die abgesicherte Ausgabe trägt die Version 10.0.4.
Info: Adobe Security Bulletin APSB20-19 (Englisch)
Adobe Illustrator:
Im Vektorgrafik Programm Illustrator hat Adobe fünf kritische Sicherheitslücken behoben. Wie bei Adobe leider üblich, gibt es nur Updates für die 2020er Programme, alle älteren Ausgaben bleiben unsicher. Die abgesicherte Ausgabe trägt die Versionsnummer 24.1.2.
Info: Adobe Security Bulletin APSB20-20 (Englisch)
08.05.2020 – Sicherheitslücken in Wordpress und Drupal
Für die Contentmanagement-Systeme Drupal und Worpress (bzw. deren Plugins) sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal 8: Entwickler beseitigen mehrere kritische Lücken im Webform-Modul' auf Heise Online
Quelle: 'OneTone: Ungepatchtes WordPress-Theme gefährdet zehntausende Webseiten' auf Heise Online
Quelle: 'WordPress: Neue Version bringt Sicherheitsverbesserungen mit' auf Heise Online
08.05.2020 – Sicherheitsupdate für Citrix Software
In der Citrix Software 'ShareFile storage zones Controller' wurden vom Hersteller schwere Sicherheitslücken behoben. Firmen, die diese Software einsetzen, sollten den verlinkten Heise Online Artikel für Details lesen.
Quelle: 'Sicherheitsupdate: Citrix ShareFile Storage Zones Controller kann Daten leaken' auf Heise Online
08.05.2020 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Cisco kämpft gegen Sicherheitsprobleme in Sicherheitshardware' auf Heise Online
25.04.2020 – Das nächste Chromium Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 81.0.4044.122 behebt 8 kritische Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein.
Anwender von Google Chrome sollten unbedingt sicherstellen, dass sie die aktuelle Ausgabe verwenden (siehe Info-Link).
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Acht Sicherheitslücken in Googles Webbrowser Chrome geschlossen' auf Heise Online
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version in die Edge Version 81.0.416.64 eingebaut.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera bleibt unsicher:
Opera hat nun auch endlich auf die 81er Version von Chromium upgedatet und war genau einen Tag lang sicher, bis oben genanntes Sicherheitsupdate für Chromium erschienen ist, auf das Opera Anwender nun wieder warten müssen. Wie seit einiger Zeit üblich raten wir Opera Anwendern zu einem Wechsel auf Vivaldi.
25.04.2020 – Vivaldi geht in die dritte Runde
Wie kürzlich schon angekündigt, hat Vivaldi am 22. April Version 3.0 des Browsers für Windows, MacOS und Linux veröffentlicht. Vivaldi betrachtet die Neuerungen in dieser Ausgabe offenbar als so gravierend, um den Versionssprung zu rechtfertigen.
Werbung ade
Die größte Neuerung ist eindeutig der neue Tracker- und Werbe-Blocker. Wir haben für ein paar Tage den sonst genutzten Werbeblocker deaktiviert um die Funktion des eingebauten Schutzes beurteilen zu können und sind sehr zufrieden. Auf den allermeisten Webseiten hat man vor Werbung tatsächlich Ruhe. Bisher haben wir nur eine Website gefunden, wo µBlock Origin wesentlich bessere Ergebnisse geliefert hat. Wir erwarten, dass die eingebaute Schutzfunktion schneller bzw. mit geringerem Ressourcen-Bedarf arbeitet als es eine Erweiterung kann, daher würden wir den meisten Nutzern empfehlen, dem eingebauten Blocker den Vorzug gegenüber Erweiterungen zu geben. Leider ist die Funktion, wie bei allen Browsern, standardmäßig deaktiviert. Man muss also einmalig in die Einstellungen von Vivaldi gehen, um die Funktion unter "Privatsphäre → Tracker und Werbeblocker" zu aktivieren. Dort kann man dann entscheiden ob man nur Tracker oder Tracker und Werbung blockieren möchte. Zudem kann man über den Button "Quellen verwalten" weitere Blacklists aktivieren. Wir haben hier bei den 'Trackerblockerquellen' zusätzlich die Liste 'EasyPrivacy' und bei den 'Werbeblocker Quellen' die Liste 'Deutsch (Easy List Germany)' aktiviert. Wem die Filterung dann nicht weit genug geht, sollte dann doch wieder zu µBlock Origin (oder einem anderen vertrauenswürdigen Werbeblocker) greifen, dann sollte man die Browser-eigene Funktion aber deaktivieren.
Die Zeit tickt…
Die zweite 'große' Neuerung sehen wir eher skeptisch. Mit einer Uhr will Vivaldi das Rad der Zeit neu erfunden haben!? Als wir im Beta-Blog zum ersten Mal davon erfahren haben, haben wir uns (und auch die Leute im Blog) gefragt, ob das ihr ernst ist. Dass die Funktion nun in der finalen Version enthalten ist zeigt, dass es ihr ernst war. In unseren Augen ist das absolut unnötig, eine Funktion in einen Browser einzubauen, die nichts mit Websurfen zu tun hat und letztendlich bereits im Betriebssystem vorhanden ist. Jetzt kann sich jeder Vivaldi Nutzer selbst ein Bild davon machen wie nützlich das ist.
Aber sicher doch!
Auch wenn der Wechsel auf 3.0 ein wenig gedauert hat und dadurch Sicherheitslücken ausnahmsweise ein bisschen länger offengestanden haben, geht jetzt wieder alles sehr schnell. Bereits einen Tag nach der Veröffentlichung der 3.0 gab es für Tester eine Vorabversion von 3.0 Update 1, wo die neuesten Chrome Sicherheitsupdate integriert wurden (siehe Chrome/Chromium Artikel oben). Einen Tag später gab es eine finale Version von 3.0 Update 1 für alle Anwender per automatischem Update.
Jetzt auch für Android
Zeitgleich mit Version 3.0 für Windows (und MacOS, Linux) hat Vivaldi auch eine finale Android-Version fertiggestellt. Vivaldi-Fans mit Android Smartphone oder Tablett können nun also ihren Lieblingsbrowser auch dort verwenden. Wer es braucht, kann auch Lesezeichen, Tabs usw. zwischen den Geräten synchronisieren.
Fazit
Der Werbeblocker ist eine willkommene Neuerung und kann man durchaus als Rechtfertigung für den Versionssprung auf 3.0 betrachten. Darüber hinaus gibt es viele andere kleine Neuerungen auch abseits der fragwürdigen Uhr. Das der Browser nun auch für Android verfügbar ist, war ein lange überfälliger Schritt zum Ausbau der Vivaldi Nutzerbasis.
Quelle: 'Vivaldi: Stabiler Browser für mobile Geräte verfügbar' auf Heise Online
Quelle: 'Ein Tag. Zwei große Vivaldi-Browser-Veröffentlichungen.' auf Vivaldi.net
Quelle: 'Minor update for Vivaldi Desktop Browser 3.0' auf Vivaldi.net (Englisch)
25.04.2020 – Sicherheitsupdates für Office, Paint 3D und zahlreiche Autodesk Programme
Sicherheitslücken in Autodesks Programmiertools haben Sicherheitsupdates für zahlreiche Autodesk-Programme (AutoCAD usw..) aber auch Microsoft Office und Paint 3D erforderlich gemacht. Anwender (bzw. Administratoren) besagter Programme sollten zügig Updates installieren.
Microsoft Office
Bei Microsoft Office sind die Pakete 'Office 365 ProPlus', 'Microsoft 365 ProPlus', 'Office 2016' (nur Click-to-Run Version) und 'Office 2019' betroffen. Diese Programme können alle aus den Office-Programmen heraus aktualisiert werden.
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Microsoft Paint 3D
Das bei aktuellen Windows 10 Versionen mitgelieferte Paint 3D erhielt ebenfalls ein Sicherheitsupdate. Wer Microsoft-Store-App-Updates nicht deaktiviert hat, muss sich hier um nichts kümmern, da App-Updates automatisch installiert werden.
Autodesk Programme
Wer Programme von Autodesk auf seinem Computer hat, sollte den verlinkten Heise Online Artikel lesen, um festzustellen, ob bzw. welche Updates benötigt werden. Eines Vorab, Besitzer älterer Autodesk-Programme werden fluchen, denn Update stehen nur für die neuesten Versionen parat.
Quelle: 'Updates für MS Office, Paint 3D und Autodesk-Software beheben Schwachstellen' auf Heise Online
25.04.2020 – Sicherheitsupdates für Foxit Reader und Phantom
Wer anstelle der Adobe Software (Reader/Acrobat) auf Programme aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Denn der Hersteller hat zahlreiche Sicherheitslücken in seiner PDF-Software behoben.
Abgesichert sind die Versionen Foxit Reader bzw. Phantom 9.7.2.
Quelle: 'Update für Foxit Reader und PhantomPDF beseitigt Remote-Angriffsmöglichkeiten' auf Heise Online
20.04.2020 – Das nächste Chromium Sicherheitsupdate
Google hat schon wieder eine Sicherheitslücke in Google Chrome und Chromium behoben. Die Version 81.0.4044.113 behebt eine kritische Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "kritisch" ein.
Anwender von Google Chrome sollten unbedingt sicherstellen, dass sie die aktuelle Ausgabe verwenden (siehe Info-Link).
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Kritische Sicherheitslücke in der Spracherkennung von Chrome geschlossen' auf Heise Online
Vivaldi:
Vivaldi wird das Sicherheitsupdate mit Version 3.0 bringen, die für den 22. April angekündigt ist.
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version in die Edge Version 81.0.416.58 eingebaut.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera bleibt unsicher:
Opera hängt wie üblich mit den Sicherheitsupdates hinterher, weshalb wir Opera Anwendern schon seit längerem zu einem Wechsel auf Vivaldi raten.
20.04.2020 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die auch Sicherheitslücken schließen:
Quelle: 'Patchday Adobe: Angreifer könnten Anwendungen abschießen und Daten leaken' auf Heise Online
Adobe After Effects:
In Adobe After Effects wurde eine Lücke behoben, die Informationsdiebstahl ermöglichte. Details nennt Adobe nicht, daher ist auch eine Beurteilung der Tragweite der Lücke nicht möglich. Alle Anwender von After Effects sollten auf Version 17.0.6 updaten und alle älteren Fassungen deinstallieren. Die Lücke soll in allen früheren Versionen existieren, also vermutlich auch in den alten Kaufversionen (CS6 und noch älter).
Quelle: Adobe Security Bulletin APSB20-21 (Englisch)
Adobe ColdFusion:
Nutzer von Adobe ColdFusion 2016 und 2018 sollten unbedingt auf ColdFusion 2016 Update 15 bzw. ColdFusion 2018 Update 9 aktualisieren, um drei gefährliche Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin.
Quelle: 'Adobe Security Bulletin APSB20-18' auf Adobe.com (Englisch)
Adobe Digital Editions:
In Adobes E-Book-Reader Software 'Digital Editions' wurde ebenfalls eine Informationsdiebstahls-Lücke behoben. Anwender der Software sollten zügig auf Version 4.5.11.187303 updaten bzw. sich überlegen ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren. Digital Editions wird nämlich in letzter Zeit relativ häufig von Sicherheitslücken geplagt.
Download: Adobe Digital Editions v4.5.11 für Windows
Quelle: Adobe Digital Editions Security Bulletin APSB20-23 (Englisch)
20.04.2020 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, kann der Microsoft Update Website einen Besuch abstatten. Fehlende Updates können da auch gleich nachinstalliert werden.
Quelle: 'Patchday: Microsoft schließt über 100 Lücken, drei Windows-Lücken unter Beschuss' auf Heise Online
Endlich Update für Font-Schwachstelle!
Letzten Monat hatten wir auf eine Sicherheitslücke in Windows im Umgang mit Schriftarten entdeckt wurde, für die damals noch kein Update verfügbar war, und die im Zusammenhang zur Deaktivierung diverser Vorschau-Funktionen in Windows geraten. Die April-Updates enthalten nun so ein Sicherheitsupdate, die Vorschau-Funktion kann nach Installation der April-Updates also wieder aktiviert werden, wenn gewünscht. Analog zur Anleitung für die Deaktivierung haben wir nun eine Anleitung zur Reaktivierung der Vorschau-Funktionen erstellt.
Info: Bebilderte Anleitung zur Reaktivierung der Vorschau-Funktionen
April Updates stören Office-VBA-Programme!
Die April-Updates können für Anwender von Microsoft-Office unerwünschte Nebenwirkungen haben. Microsoft hat ein paar schon lange als "nicht empfehlenswert" eingestufte Funktionen innerhalb der VBA-Umgebung endgültig ausgebaut, da diese immer wieder für bösartige Angriffe genutzt wurden. Der Ärger den jetzt manche Anwender haben war also nicht unerwartet, zumindest nicht für Microsoft. Im Heise Online Artikel können betroffene Anwender bzw. Administratoren nachlesen, wie sie die Probleme lösen bzw. umgehen können.
Quelle: 'Microsoft Office: Aktueller Schwachstellen-Fix kann VBA-Probleme verursachen' auf Heise Online
Windows-Support-Ende verschoben wegen Corona!
Microsoft hat ein Herz für Administratoren die aufgrund der Corona-Krise teils ohnehin schon viel zu tun haben. So hat Microsoft das Support-Ende von Windows 10 1809 von Mai auf November verschoben. Auch das Zwangs-Upgrade auf Windows 10 1909 wurde auf unbestimmte Zeit verschoben.
Administratoren von SharePoint 2010 Servern sowie Project 2010 Servern erhalten ebenfalls eine Fristverlängerung. Hier ist der 13. April 2021 der neue Stichtag.
Bei den Office 2010 und Exchange 2010 Produkten bleibt hingegen alles beim alten. Diese Produkte erhalten im Oktober das letzte Update.
Quelle: 'Microsoft verschiebt wegen Coronavirus Supportende diverser Produkte' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP , Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2007 und älter. Auch Windows 10 Version 18.03 (und älter) erhält keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: Microsoft Update Website (nur mit Internet Explorer)
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
20.04.2020 – Sicherheitsupdates für Java und weitere Oracle Software
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 397 Sicherheitsupdates veröffentlicht. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:
Oracle hat Version 8.0 Update 251 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 15 Sicherheitslücken geschlossen. Alle Lücken lasen sich Remote ausnützen, viele davon ohne jegliche Benutzerinteraktion, was sie besonders kritisch macht. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12 und 13 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.7 oder 14.0.1 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice, OpenOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline' [NICHT Windows Offline (64-Bit)!])
VirtualBox:
In dem PC-Emulator VirtualBox wurden 19 Sicherheitslücken geschlossen. Eine der Lücken lässt sich sogar Remote ausnützen, daher geht von den Lücken in Summe ein hohes Risiko aus. Anwender von VirtualBox sollten daher zügig auf Version 5.2.40, 6.0.20 oder 6.1.6 updaten. Für die 5.1er Serie (und älter) gibt es keine abgesicherten Ausgaben mehr, hier muss unbedingt upgegradet werden.
Download: Aktuelle VirtualBox 5.2.x Version auf VirtualBox.org
Download: Aktuelle VirtualBox 6.0.x Version auf VirtualBox.org
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
MySQL:
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen 9 Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Weitere Oracle Programme:
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - April 2020' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - April 2020' auf Oracle.com (Englisch)
Quelle: 'Critical Patch Update: Oracle veröffentlicht fast 400 Sicherheitspatches' auf Heise Online
20.04.2020 – Intel veröffentlicht zahlreiche Sicherheitsupdates
Prozessorhersteller Intel hat mal wieder reichlich neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider ist es (wie schon öfter geschrieben) für Endanwender nicht einfach sich in all den Intel Sicherheitsupdates zurechtzufinden und die für die eigene Hardware passenden Updates zu installieren.
Gefährliche WLAN-Treiber!
Die wichtigsten Updates stellen die neuen WLAN-Treiber dar. Nicht, weil sie die höchste Gefahreneinstufung haben, sondern weil es sehr viele Notebooks mit Intel-WLAN-Chips gibt. Alle Besitzer selbiger sollten nachsehen, ob das in ihrem Gerät verbaute WLAN-Modul von den Lücken betroffen ist und gegebenenfalls das Update installieren.
NUC's mit höchstem Risiko
Weniger verbreitet, aber dafür mit der höchsten Gefahrenstufe sind die NUCs von Intel. Hier schießen neue Firmware-Updates kritische Sicherheitslücken. Besitzer eines NUC sollten im Heise Online Artikel prüfen, ob sie betroffen sind und die neue Firmware gegebenenfalls installieren.
Unsicherer Driver and Support Assistant
Im Intel Driver and Support Assistant findet sich eine mittelschwere Sicherheitslücke. Wer die Software auf seinem Computer hat, sollte diese entweder deinstallieren oder auf Version 20.1.5 aktualisieren.
Keine Upates für weitere Schwachstellen
Drei weitere Produkte von Intel erhalten keine Sicherheitsupdates mehr, diese sollten nicht mehr verwendet ( Intel Modular Server MFS2600KISPP Compute Module) bzw. deinstalliert ('Intel Data Migration Software' und 'Intel Binary Configuration Tool for Windows') werden.
Alle Infos und Download-Links finden Betroffene in dem Heise Online Artikel.
Quelle: 'Patchday Intel: Frische NUC-Firmware und wichtige Software-Updates' auf Heise Online
20.04.2020 – Ärger rund um Zoom nimmt kein Ende
Die Firma Zoom kommt mit der gleichnamigen Video-Konferenz-Software nicht aus den Negativ-Schlagzeilen raus. Die ohnehin schon vielen Sicherheitslücken die in letzter Zeit in der Software entdeckt wurden, seien laut Ansicht eines Sicherheitsexperten nur die Spitze des Eisbergs. Er habe bereits nach einer "oberflächlichen" Analyse drei verwundbare Software-Bibliotheken entdeckt, die ein potenzielles Sicherheitsrisiko für Zoom-Anwender darstellen könnten. Aus unserer Sicht belegt die Verwendung veralteter Bibliotheken nur einmal mehr, dass Sicherheit bei Zoom (bisher?) überhaupt nicht auf der Agenda steht bzw. stand.
Aus anderer Quelle war dann noch zu erfahren, dass im Darknet die Passwörter von hunderttausender Zoom Anwender zu finden sind. Bei einer so hohen Zahl kann man davon ausgehen, dass auch hier eine Sicherheitslücke aufseiten von Zoom die Ursache ist und die Daten nicht auf schludrige Anwender zurückzuführen sind.
Quelle: 'Analyse: Windows-Client der Videokonferenz-Plattform Zoom mit Angriffspotenzial' auf Heise Online
Quelle: 'Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet entdeckt' auf Heise Online
20.04.2020 – VMware: Wieder Sicherheitsupdates nötig
Wer Software von VMware einsetzt, dürfte mit den Updates kaum hinterherkommen. Da wir nicht die Zeit haben jedem einzelnen Update einen eigenen Artikel zu spendieren, verweisen wir hier nur auf die zugrunde liegenden Heise Online Artikel:
Quelle: 'Sicherheitslücke gefährdet Workstations mit VMware vRealize Log Insight' auf Heise Online
Quelle: 'Kritische Sicherheitslücke mit Höchstwertung in VMware vCenter Server' auf Heise Online
20.04.2020 – Sicherheitslücken in Geräten von Juniper Networks behoben
Der Netzwerk-Spezialist Juniper Networks hat einen Fehler in seinem Betriebssystem Junos OS behoben. Administratoren bzw. Besitzer eines betroffenen Juniper Gerätes sollten unbedingt zügig die jeweiligen Updates installieren.
Quelle: 'Sicherheitslücken: Junos OS bringt Zugangsdaten für Root-Account gleich mit' auf
20.04.2020 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Wochen alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Root-Lücken gefährden IP-Telefone von Cisco' auf Heise Online
11.04.2020 – Chromium Update trotz Corona!
Eigentlich hatte Google angekündigt während der Corona-Krise keine Funktionsupdates, sondern nur Sicherheitsupdates zu veröffentlichen, um die Entwickler, die ja ebenfalls größtenteils im HomeOffice sind, nicht unnötig unter Druck zu setzen.
Doch Google hält sich nicht an seine eigenen Aussagen und hat vergangenen Mittwoch Version 81 von Chrome und Chromium veröffentlicht. Neben den funktionalen Neuerungen hat Google dabei stolze 32 Sicherheitslücken behoben, die unterm Strich ein hohes Gefahrenpotential darstellen.
Offenbar sind die anderen Anbieter von Browsern auf Chromium-Basis ebenso überrascht von Google's Zug wie wir, denn weder Vivaldi, Microsoft noch Opera hat ein Update auf Chromium Version 81 parat.
Anwender von Google Chrome sollten unbedingt sicherstellen, dass sie die aktuelle Ausgabe verwenden (siehe Info-Link).
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google hat in Chrome 81 jede Menge Sicherheitslücken geschlossen' auf Heise Online
11.04.2020 – Firefox 75 bringt Sicherheitsupdates
Mozilla hat Firefox 75 veröffentlicht. Die neue Version behebt in Summe 6 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 68.7.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Info: ESR steht bei Mozilla für 'Extended Support Release', also auf Deutsch 'verlängerter Unterstützungszeitraum'. Im Gegensatz zu den normalen Versionen, die alle 6 Wochen bereits von einer funktional überarbeiteten Nachfolgeversion ersetzt werden, werden die ESR Versionen ein Jahr lang mit Sicherheitsupdates versorgt, ohne dass man ständig geänderte Funktionen und damit oftmals nicht mehr funktionierende Erweiterungen hinnehmen muss. Für Anwender mit vielen Erweiterungen, Firmen, oder schlicht und ergreifend nur konservative Software-Anwender, sind die ESR-Varianten daher besser geeignet.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
11.04.2020 – Thunderbird 68.7 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 68.7 veröffentlicht. Gegenüber der Version 68.6 behebt die neue Version fünf Sicherheitslücken, die unterm Strich eine kritische Bedrohung ergeben. Alle Thunderbird Anwender sollten daher zügig updaten.
Immer noch Thunderbird 60 in Verwendung?
Wer immer noch den 60er Versionszweig von Thunderbird verwendet sollte nun ebenfalls upgraden. Dabei sollte das Thema Erweiterungen unbedingt bedacht werden, über das wir in den letzten Wochen schon so ausgiebig geschrieben haben.
Feinschliff bei Erweiterungen:
Apropos Erweiterungen. In Version 68.7 wurde gerade im Bereich Erweiterungen einiges verbessert. Unter anderem sollen jetzt auch endlich Plugins, die durch das Upgrade von Version 60 auf 68 deaktiviert wurden, automatisch auf eine kompatible Version upgedated werden. Vorausgesetzt natürlich es gibt eine kompatible Version, was auf viele Erweiterungen nach wie vor nicht zutrifft.
Download: Thunderbird Version 68.7, Windows, 32Bit, Deutsch
Download: Thunderbird Version 68.7, Windows, 64Bit, Deutsch
Info: 'Thunderbird 68.7 Release Notes' auf Mozilla.org (Englisch)
11.04.2020 – Sicherheitslücken im HP Support Assistant
Ein Sicherheitsforscher, der etliche Sicherheitslücken im HP Support Assistant an HP gemeldet hatte, wendet sich nun an die Öffentlichkeit (bzw. Besitzer von HP Geräten), weil HP auch nach Monaten noch nicht alle gemeldeten Lücken behoben hat.
Bereits im Oktober 2019 hat Bill Demirkapi 10 Sicherheitslücken an HP gemeldet. Mit jeder neuen Ausgabe der Software hat HP dann ein paar der Lücken geschlossen. Aber selbst jetzt, ein halbes Jahr nach der ersten Meldung, sind immer noch vier Sicherheitslücken nicht behoben worden. Ein Sicherheitsupdate habe die Lage sogar noch verschlimmert.
Die Empfehlung des Forschers ist daher den HP Support Assistant komplett zu deinstallieren. Dazu muss jedoch auch das HP Solution Framework deinstalliert werden. Wer nicht darauf verzichten möchte, sollte zumindest sichergehen, dass die neueste Version installiert ist, das wäre aktuell wohl 9.6.587.0 oder 8.8.24.33.
Quelle: 'Gefährliche Sicherheitslücken in HP Support Assistant immer noch offen' auf Heise Online
11.04.2020 – Sicherheitslücken in Dell Servern
Administratoren von Dell-Servern sollten sich den verlinkten Heise Online Artikel über Sicherheitslücken in der Dell-Software "iDRAC" durchlesen und gegebenenfalls Updates installieren.
Quelle: 'Sicherheitsupdates: Dell-Server mit Verwaltungssoftware iDRAC attackierbar' auf Heise Online
03.04.2020 – Das nächste Chromium Sicherheitsupdate
Google hat schon wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 80.0.3987.162 behebt 8 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Da diese Version aber wohl nicht ganz stabil lief, hat Google bereits einen Tag später Version 80.0.3987.163 nachgeschoben.
Anwender von Google Chrome sollten unbedingt sicherstellen, dass sie die aktuelle Ausgabe verwenden (siehe Info-Link).
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Mehrere Sicherheitslücken in Chrome geschlossen' auf Heise Online
Vivaldi:
Vivaldi hat seinen Browser bereits kurz nach Google aktualisiert und schließt die Lücken mit Version 2.11 Update 6 (2.11.1811.51). Auch die einen Tag später erschienene Chromium Version 80.0.3987.163 hat Vivaldi sofort in Vivaldi 2.11 Update 7 (2.11.1811.52) übernommen.
Quelle: 'Minor update (6) for Vivaldi 2.11' auf Vivaldi.com
Quelle: 'Minor update (7) for Vivaldi 2.11' auf Vivaldi.com
Microsoft Edge:
Auch Microsoft war wieder sehr schnell und hat die neue Chromium Version in die Edge Version 80.0.361.109 eingebaut. Das zweite Update hat Microsoft jedoch nicht mitgemacht. Ob das Absturz-Problem in Edge nicht auftritt, ist uns leider nicht bekannt.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera bleibt unsicher:
Opera hängt wie üblich mit den Sicherheitsupdates hinterher, weshalb wir Opera Anwendern schon seit längerem zu einem Wechsel auf Vivaldi raten.
03.04.2020 – VeraCrypt behebt Sicherheitslücke
Die Entwickler des TrueCrypt Nachfolgers VeraCrypt haben eine kleine Sicherheitslücke behoben und Detailverbesserungen betrieben. Anwender von TrueCrypt sollten auf VeraCrypt umsteigen. VeraCrypt Anwender sollten auf Version 1.24 Update 6 updaten.
Download: VeraCrypt v1.24 Update 6, Windows, Mehrsprachig, 35 MB
03.04.2020 – Neuer Gimp Installer für Windows
Eine der Neuerungen von Gimp 2.10.18 war ja eine eingebaute Update-Benachrichtigung. Diese ist vor wenigen Tagen das erste Mal aktiv geworden und hat Anwender der Windows Version von Gimp auf einen neuen Installer aufmerksam gemacht. Die Gimp-Version selbst ist dabei unverändert geblieben, wie üblich dürften nur einige in der Windows-Version mitgelieferten Dateien aktualisiert worden sein. Ob die neue Version einen spürbaren Unterschied bringt, können wir mangels größeren
Grafik-Projekten nicht sagen. Aber alleine schon deshalb, weil die Update-Benachrichtigung bei jedem Gimp-Start nervig ist, sollte man das Update installieren.
Download: Gimp 2.10.18 Update 2, Windows, 175 MB
03.04.2020 – Viele Negativ-Schlagzeilen rund um Zoom!
Die Video-Konferenz-Software Zoom hat gerade in Corona Zeiten einen massiven Ansturm. Aber je mehr die Software in den Focus der Öffentlichkeit rückt, um so mehr negative Schlagzeilen tauchen auf. Kein Wunder also, dass Heise Online dem Thema einen eigenen Artikel Namens "Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum?" widmet. Um es gleich vorweg zu nehmen, die Heise Redakteure enthalten sich eine abschließende Beantwortung dieser Frage.
Die Menge an Sicherheitslücken ist jedoch nicht von der Hand zu weisen. Schlimmer noch als technische "Missgeschicke" betrachten wir jedoch die Datenweitergabe an Facebook. Die wurde sicher nicht aus "Versehen" eingebaut. Dass die Firma hierbei nun zurückgerudert ist, ist zwar lobenswert, aber Firmen, die fragwürdige Praktiken erst dann abstellen, wenn sie dafür an den Pranger gestellt wurden, bleibt eben ein Nachgeschmack anhaften.
Wir empfehlen allen Anwendern der Zoom Software den Heise Online Artikel zu lesen und sich selbst daraufhin eine Meinung zu bilden.
Quelle: 'Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum?' auf Heise Online
03.04.2020 – Sicherheitslücke in OpenWRT Router-Firmware
Wer seinen Router mit der OpenWRT Router-Firmware ausgestattet hat, sollte mal wieder ein Update durchführen. Die Entwickler der Software haben einen schweren Sicherheitsfehler ausgebügelt. Abgesichert sind die Versionen ab 18.06.7-1-g6bfde67581 bzw. 19.07.1-1-g4668ae3bed.
Quelle: 'Bug in OPKG-Paketverwaltung gefährdet Geräte mit OpenWrt-Routersoftware' auf Heise Online
03.04.2020 – Bleibt älterer DSL-Router von D-Link unsicher?
Sicherheitsforscher haben fünf kritische Schwachstellen im DSL-Router DSL-2640B entdeckt. Da der Router eigentlich nicht mehr unterstützt wird, gehen die Forscher davon aus, das keine Sicherheitsupdates für das Gerät erscheinen werden und die Geräte daher Reif für den Elektro-Schrott sind.
Auf Nachfrage von Heise Online hin, hat D-Link aber nun doch Updates in Aussicht gestellt. Die Antwort von D-Link liegt uns leider nicht im Wortlaut vor, aber wir gehen davon aus, dass es sich keineswegs um eine fixe Zusage vonseiten D-Link handelt. Schlimmstenfalls verzögert die schwammige Aussage von D-Link nur das Zeitfenster, in dem die Besitzer der Geräte angreifbar sind, während diese auf ein Update warten, das womöglich nie erscheint.
Aus reiner Sicherheitsperspektive kann die einzige Empfehlung daher nur lauten nicht zu warten und das Gerät am besten durch eine moderne Fritzbox (AVM bietet halbwegs "lange" Produkt-Updates) zu ersetzen. Aus ökologischer Sicht wäre es aber natürlich besser, die Hardware so lange zu nutzen wie möglich. Ein Dilemma das letztendlich die Besitzer der Geräte selbst lösen müssen.
Quelle: 'Älterer DSL-Modem-Router von D-Link vielfältig angreifbar' auf Heise Online
03.04.2020 – Sicherheitslücken in Wordpress und Drupal Plugins
Für die Contentmanagement-Systeme Drupal und Worpress (bzw. deren Plugins) sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-SEO-Plugin Rank Math: Admin-Lücke gefährdet Websites' auf Heise Online
Quelle: 'Contact Form 7 Datepicker: Gefährliches WordPress-Plugin ohne Support' auf Heise Online
Quelle: 'Kritische Sicherheitslücke in Drupal-Modul Svg Image' auf Heise Online
03.04.2020 – Hastig zusammengeschusterte Corona Apps unsicher?
Corona Apps schießen in allen Ländern momentan wie Pilze aus dem Boden. Mit dabei auch eine Menge Abzocker-Programme, die sich die allgemeine Panik zunutze machen, um Profit daraus zu schlagen. Aber auch gut gemeinte Apps können einfach (sehr) schlecht gemacht sein, wie das Beispiel der Telekom Corona App in Deutschland beweist (siehe verlinkten Heise Online Artikel).
Neben Sicherheitslücken in gut gemeinten und grundlegend bösartigen Programmen gibt es auch noch die Frage zum Datenschutz. Viele Apps nutzen Ortserkennung um vermeintlich auf Begegnungen mit infizierten Personen hinweisen zu können. Ob das tatsächlich funktioniert sei mal dahingestellt (wir haben da so unsere Zweifel), Tatsache ist, dass den Anbietern der App damit massive Bewegungsdaten zugespielt werden, die wiederum ein Datenschutz-Problem sind.
Fazit: Man sollte sich bei all den Corona-Apps zurzeit sehr gut überlegen, ob man tatsächlich eine davon benötigt. Die Zahl der auf unseren Smartphones installierten Corona Apps beträgt jedenfalls Null.
Quelle: 'c't deckt auf: Corona-App der Telekom ist katastrophal unsicher' auf Heise Online
03.04.2020 – Mariott Datenklau – manche lernen es nie
Als wir kürzlich im Radio von dem Mariott Datenklau gehört haben dachten wir noch, der Radio Sender erzählt alte Stories, der Datenklau ist doch schon Monate her. Wie wir jetzt bei Heise Online entdeckt haben, handelt es sich aber um einen erneuten Datendiebstahl bei der Hotelkette. Im Gegensatz zu 2018, als die Daten von 339 Millionen Kunden gestohlen wurden, sind es diesmal "nur" 5,2 Millionen Kundendaten, darunter Name, Geschlecht, Geburtsdatum, Adresse usw…
Für das damalige Leck hat die Datenschutzbehörde in Großbritannien ein Bußgeld in Höhe von 99,2 Millionen Pfund verhängt. Bei einem "Wiederholungstäter" könnte die Summe diesmal noch höher ausfallen, auch wenn die Zahl der geschädigten deutlich kleiner ist.
Quelle: 'Erneut Datenleck bei Marriott: Mutmaßlich 5,2 Millionen Hotelgäste betroffen' auf Heise Online
