News Archiv 1. Quartal 2021
Schlagzeilen * Details
Schlagzeilen:
- 26.03.2021 - Thunderbird 78.9 behebt Sicherheitslücken
- 26.03.2021 - Firefox 87 bringt Sicherheitsupdates
- 26.03.2021 - Sicherheitsupdates für Foxit Reader und PhantomPDF
- 26.03.2021 - Dringendes Notfall-Update für Adobe ColdFusion
- 26.03.2021 - Sicherheitslücke in Drupal behoben
- 26.03.2021 - Sicherheitsmeldungen für Administratoren
- 19.03.2021 - Das nächste Chromium Sicherheitsupdate
- 19.03.2021 - Vivaldi behebt Sicherheitslücken und gibt Gas
- 19.03.2021 - Microsoft und die Drucker-Probleme
- 19.03.2021 - Die nächste Sicherheitslücke in Zoom
- 19.03.2021 - Wieder Sicherheitslücken in WordPress
- 19.03.2021 - Hardwarepreise steigen wieder
- 19.03.2021 - Sicherheitsmeldungen für Administratoren
- 12.03.2021 - Microsoft's Tag der Updates
- 12.03.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 12.03.2021 - Qnap NAS: Angriffe auf alte Sicherheitslücke
- 12.03.2021 - Auffällig günstige Software? Auch Käufer können verklagt werden!
- 12.03.2021 - Riesige Datenpanne bei "SEO-Küche"
- 12.03.2021 - Wieder Sicherheitslücken in WordPress
- 12.03.2021 - Sicherheitsmeldungen für Administratoren
- 05.03.2021 - Das nächste Chromium Sicherheitsupdate
- 05.03.2021 - Große Angriffswelle auf Fritzbox Router!
- 05.03.2021 - Sicherheitsmeldungen für Administratoren
- 26.02.2021 - Thunderbird: Sicherheitslücken und Kalender-Problem behoben
- 25.02.2021 - Firefox 86 bringt Sicherheitsupdates
- 26.02.2021 - Microsoft verdoppelt de facto Office Preise
- 26.02.2021 - Blender 2.92 mit zahlreichen Neuerungen
- 26.02.2021 - Sicherheitsmeldungen für Administratoren
- 19.02.2021 - Das nächste Chromium Sicherheitsupdate
- 19.02.2021 - SHAREit Hersteller ignoriert Sicherheitslücken!
- 19.02.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 19.02.2021 - Umfang der DSGVO Strafen 2020 deutlich angestiegen
- 19.02.2021 - Sicherheitsmeldungen für Administratoren
- 13.02.2021 - Firefox 85.0.1 bringt Sicherheitsupdate
- 13.02.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 13.02.2021 - Microsoft's Tag der Updates
- 13.02.2021 - Intel veröffentlicht zahlreiche Sicherheitsupdates
- 13.02.2021 - Dauerthema IoT Sicherheitslücken
- 13.02.2021 - Wieder Sicherheitslücken in WordPress
- 13.02.2021 - Wieder Schwere Sicherheitslücke in McAfee Total Protection
- 13.02.2021 - Sicherheitsmeldungen für Administratoren
- 05.02.2021 - Das nächste Chromium Sicherheitsupdate
- 05.02.2021 - LibreOffice 7.1 verfügbar
- 05.02.2021 - Sicherheitslücken in Wordpress und Drupal
- 05.02.2021 - Sicherheitsmeldungen für Administratoren
- 29.01.2021 - Vivaldi 3.6 mit Sicherheitsupdates und DoppeldeckerTabs
- 29.01.2021 - Thunderbird: Sicher oder funktionierender Kalender?
- 29.01.2021 - Firefox 85 bringt Sicherheitsupdates
- 29.01.2021 - DNSpooQ: AVM Geräte sicher!
- 29.01.2021 - Kritische Sicherheitsupdates für iPhone und iPads
- 29.01.2021 - Emotet ist tot! Wann folgt der nächste Supervirus ...
- 22.01.2021 - DNSpooQ: Sicherheitslücken gefährden zahlreiche Geräte und Betriebssysteme!
- 22.01.2021 - Das nächste Chromium Sicherheitsupdate
- 22.01.2021 - Neue Microsoft Edge Passwort-Funktion hinterlässt zwiespältigen Eindruck
- 22.01.2021 - VLC Media Player 3.0.12 behebt Sicherheitslücken
- 22.01.2021 - Sicherheitsupdates für Java und weitere Oracle Software
- 22.01.2021 - Languagetool 5.2.2 veröffentlicht
- 22.01.2021 - Sicherheitslücke in Drupal behoben
- 22.01.2021 - Wieder aktive Angriffe auf NAS-Systeme
- 22.01.2021 - Und schon wieder Cisco… (Sicherheitslücken)
- 15.01.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 15.01.2021 - Microsoft's Tag der Updates
- 15.01.2021 - Thunderbird Sicherheitsupdate mit Nebenwirkung
- 15.01.2021 - Firefox 84.0.2 bringt Sicherheitsupdates
- 15.01.2021 - Und wieder Sicherheitsprobleme mit Nvidia Grafikkarten
- 15.01.2021 - IrfanView mit neuen Funktionen und Sicherheitsupdate
- 15.01.2021 - Sicherheitsmeldungen für Administratoren
- 08.01.2021 - Das nächste Chromium Sicherheitsupdate
- 08.01.2021 - Firefox 84 bringt Sicherheitsupdates
- 08.01.2021 - Unsicheres Windows 7 immer noch häufig online!
- 08.01.2021 - Languagetool 5.2 veröffentlicht
- 08.01.2021 - Sicherheitsupdates für Foxit Reader und PhantomPDF
- 08.01.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 08.01.2021 - Schwere Sicherheitslücken in TextMaker behoben
- 08.01.2021 - Sicherheitsmeldungen für Administratoren
Details:
26.03.2021 – Thunderbird 78.9 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 78.9 veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe 4 Sicherheitslücken, die unterm Strich eine hohe Bedrohung ergeben. Alle Thunderbird Anwender sollten daher zügig updaten.
Abgesehen von den Sicherheitskorrekturen bringt die neue Version nur Fehlerbehebungen unter der Haube, aber keine "sichtbaren" Veränderungen.
Download: Thunderbird Version 78.9, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.9, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.9 Release Notes' auf Mozilla.org (Englisch)
26.03.2021 – Firefox 87 bringt Sicherheitsupdates
Mozilla hat Firefox 87 veröffentlicht. Die neue Version behebt 8 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.9.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Neue Versionen: Firefox 87, Firefox ESR und Thunderbird 78.9 mit Security-Fixes' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
26.03.2021 – Sicherheitsupdates für Foxit Reader und PhantomPDF
Wer anstelle des Adobe Acrobat auf PhantomPDF aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 10.1.3 behebt einen Fehler der möglicherweise zur Infektion des Computers genutzt werden könnte. Anwender die noch eine 9er Version der Software oder gar noch älter einsetzen sollten unbedingt auf die aktuelle 10er Version upgraden.
Auch in dem 3D-Plugin für die beiden Anwendungen wurden mehrere Lücken behoben. Hier sollte man ein Update auf Version10.1.3.37598 (Beta) durchführen oder das Plugin entfernen, falls es nicht benötigt wird.
Quelle: 'Präparierte JPEG-Bilder könnten Foxit Reader und Phantom PDF gefährlich werden' auf Heise Online
26.03.2021 – Dringendes Notfall-Update für Adobe ColdFusion
Wieder einmal muss Adobe ein Sicherheitsupdate außerhalb des regulären Update-Zeitplans ausliefern. Grund dafür sind schwere Sicherheitslücken in der Webentwicklungs-Umgebung die Administratoren dieser Systeme zügig installieren sollten.
Quelle: 'Adobe ColdFusion: Wichtiges Security-Update unterbindet unbefugte Codeausführung' auf Heise Online
26.03.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Neue Version verfügbar: Drupal-Modul "Fast Autocomplete" verriet Suchergebnisse' auf Heise Online
26.03.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco fixt Remote-Lücken in Jabber-Clients für Windows, macOS & mobile Systeme' auf Heise Online
Quelle: 'Apache OFBiz: Update beseitigt Remote-Lücke aus Open-Source-ERP-Software' auf Heise Online
Quelle: 'Sicherheitsupdate: Lücke in OpenSSL macht Server für DoS-Attacken anfällig' auf Heise Online
Quelle: 'Sicherheitsupdates: Angreifer könnten Samba-LDAP-Server crashen' auf Heise Online
19.03.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 89.0.4389.90 behebt 5 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Angreifer nehmen erneut Google Chrome ins Visier' auf Heise Online
Vivaldi:
Die Vivaldi-Entwickler haben die Sicherheitslücken in Version 3.7 behoben. Details dazu finden sie im folgenden Artikel.
Microsoft Edge:
Microsoft hat die neue Edge Version 89.0.774.57 bereitgestellt, die die Änderung aus Chromium 89.0.4389.90 enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: Microsoft Update Guide (listet auch Edge-Sicherheitsupdates)
Opera bleibt unsicher:
Opera steckt immer noch auf Chromium 88 fest und ist damit entsprechend unsicher. Deshalb können wir unsere Empfehlung, zu Vivaldi zu wechseln, nur noch einmal wiederholen.
19.03.2021 – Vivaldi behebt Sicherheitslücken und gibt Gas
Am Mittwoch hat Vivaldi endlich Version 3.7 ausgeliefert und damit wichtige Sicherheitsupdates nachgereicht. Wir hätten ja eigentlich schon letzte Woche auf diesen Schritt gehofft. Aber wie üblich dauern auch bei Vivaldi Updates von einer Hauptversion auf eine andere etwas länger als reine Sicherheitsupdates.
Die große Neuerung der Version 3.7 soll eine verbesserte Leistungsfähigkeit sein. Das Programm soll insgesamt schneller starten und Tabs sollen gleich doppelt so schnell öffnen als zuvor. Wir schreiben deshalb "soll" weil wir das bei uns nicht nachvollziehen können. Bei uns ging das auch bisher schon so schnell, dass sich selbst eine Verdoppelung der Geschwindigkeit subjektiv nicht wahrnehmen lässt. Auf langsameren PCs mag an die Verbesserungen aber unter Umständen deutlich spüren. Und großen Wert auf Leistung zu legen kann nie schaden.
Abgesehen von den Verbesserungen bei der Geschwindigkeit hat Vivaldi einmal mehr an der Anpassungsfähigkeit der Menüs gearbeitet. Außerdem wurde auch am Update-System gearbeitet, das in naher Zukunft vollautomatische Updates ermöglichen soll.
Auch Vivaldi für Android aktualisiert
Übrigens wurde zeitgleich auch die Android-Fassung von Vivaldi auf Version 3.7 gehievt. Hier lag der Fokus abgesehen von den Sicherheitsupdates auf Verbesserungen rund um Lesezeichen.
Quelle: 'Vivaldi-Browser unterstützt Apples M1-Chip und wird schneller' auf Heise Online
Quelle: 'Was ist neu in Vivaldi (3.7)' auf Vivaldi.net
Quelle: 'Die neue Vivaldi Version für Android ...' auf Vivaldi.net
19.03.2021 – Microsoft und die Drucker-Probleme
Zu den in der letzten Woche berichteten Drucker-Problemen nach den März Updates gibt es Neuigkeiten. Zuerst hat Microsoft ein außerplanmäßiges Update veröffentlicht, das die Abstürze beheben soll. Allerdings wurde das Update nicht über Windows Update automatisch installiert, sondern stand nur als manueller Download bereit.
Zwischenzeitlich wurde bekannt, dass die März-Updates nicht nur zu Abstürzen führen können (in Kombination mit manchen Druckern), sondern auch Probleme mit dem Druck mancher Grafiken verursachten. Dieses Problem wurden mit dem Update vom 15. März nicht behoben.
Am 18. März hat Microsoft dann nochmal ein Update veröffentlicht, dass sowohl Abstürze als auch das Problem mit nicht gedruckten Grafiken beheben soll. Laut Microsoft wird das Update diesmal automatisch über Windows Update installiert, auf unserem PC ist dies aber bisher nicht der Fall.
Weil es aber offenbar noch nicht genug Probleme mit diesen Updates gab, funktioniert scheinbar auch die Installation dieses Updates nicht auf allen Systemen. Von Drucker-Problemen geplagte Windows-Anwender bei denen das Update vom 18. März nicht automatisch installiert wird sollten daher einen Blick in den Blog von Günther Born werfen, wo beschrieben steht wie das Update vom 18.März erfolgreich manuell installiert werden kann. Die Updates müssen aber passend zur verwendeten Windows-Version heruntergeladen werden. Wer sich da nicht sicher ist, sollte besser einen Fachmann um Hilfe bitten.
Quelle: 'Windows: Gravierende Grafik-Druckprobleme nach März-2021-Updates' auf Heise Online
Quelle: 'Windows 10: Installationsfehler 0x80070541 bei Update KB5001649' auf BornCity.com
19.03.2021 – Die nächste Sicherheitslücke in Zoom
Nachdem die Video-Konferenz-Software Zoom vor einigen Monaten gar nicht aus den Negativ-Schlagzeilen rauskam, wurde es daraufhin etwas ruhiger in der Angelegenheit. Das sich Zoom in der Zwischenzeit aber keineswegs zum Saubermann entwickelt hat belegt die neueste Sicherheitslücke in der Software.
Zoom ermöglicht scheinbar nicht nur den ganzen Bildschirm zu teilen, sondern auch einzelne Fenster. Hier patzt die Software jedoch. Denn schaltet der Anwender, der ein Fenster teilt, auf seinem PC zwischen verschiedenen Programmen hin und her, blitzt bei den anderen Teilnehmern kurz der Inhalt der Fenster auf, die eigentlich nicht für andere sichtbar sein sollten. Zeigen diese Fenster geheime Daten an, kann das erheblich Folgen haben (z.B. eine meldepflichtige Datenschutzpanne).
Dem Hersteller ist das Problem zwar bekannt, ein Update gibt es bisher aber nicht. Wer Zoom trotz aller Datenschutzprobleme mit dem Programm weiterhin verwenden möchte oder muss, sollte zumindest sichergehen, dass keine Anwendungen geöffnet sind, die sensible Daten verraten könnten (E-Mail-Programm, Dokumente usw...).
Quelle: 'Obacht beim Screensharing mit Zoom' auf Heise Online
19.03.2021 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Admin-Lücke im WordPress-Plug-in The Plus Addons for Elementor geschlossen' auf Heise Online
19.03.2021 – Hardwarepreise steigen wieder
Bisher hat sich die Corona-Epidemie hauptsächlich auf die Verfügbarkeit mancher IT-Geräte und Komponenten ausgewirkt und weniger auf die Preise. Auf Grafikkarten trifft dies schon eine Weile nicht zu, das liegt aber nicht nur an Lieferengpässen aufgrund von Corona, sondern auch am erneuten Mining-Boom, der dafür sorgt, dass Grafikkarten momentan kaum zu bekommen sind und wenn nur zu deutlich überteuerten Preisen.
Doch auch bei Arbeitsspeicher und SSDs, die bisher zu günstigen Preisen zu haben waren bzw, noch sind, rechnen Experten mit deutlichen Verteuerungen in der nächsten Zeit. Wer also plant sich einen neuen PC anzuschaffen oder einen bestehenden PC aufzurüsten, sollte das vielleicht eher bald tun. Für Grafikarten gilt dies ausdrücklich nicht, da sieht die Lage schon seit Monaten schlecht aus und wird sich so wohl so bald auch nicht ändern.
Quelle: 'Arbeitsspeicher: DDR4-RAM wird bis zum Sommer teurer' auf Heise Online
Quelle: 'SSDs: Preissteigerungen wegen Chipmangel und hoher Nachfrage' auf Heise Online
19.03.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Root-Lücke bedroht zwei Cisco-Router' auf Heise Online
Quelle: 'Sicherheitsupdates: Java-Lücken gefährden Systeme mit IBMs Unix AIX' auf Heise Online
Quelle: 'Angreifer könnten mit MyBB-Software erstellte Foren attackieren' auf Heise Online
12.03.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Angreifer attackieren neben Microsoft Exchange auch Internet Explorer' auf Heise Online
Exchange: Viel Arbeit für Administratoren!
Administratoren von Exchange Servern sollten unbedingt mit Microsofts-Testskript prüfen, ob es ungewöhnliche Zugriffe auf den Exchange-Server gegeben hat. Ist dies der Fall, sollte man sich unbedingt die Unterlagen des deutschen BSI sorgfältig durchlesen, wo weitere Maßnahmen für diesen Fall beschrieben sind. Server, die sofort nach Erscheinen der Exchange-Updates aktualisiert wurden, dürften in den meisten Fällen auf der sicheren Seite sein. Wo aber auch nur wenige Tage gezögert wurde mit den Updates, könnten die Auswirkungen fatal sein. Alle Details und Links im folgenden Heise Online Artikel.
Quelle: 'Angriffe auf Exchange-Server – Microsoft stellt Prüf-Skript für Admins bereit' auf Heise Online
Nach Update: Manche Drucker verursachen Abstürze!
Die März-Sicherheitsupdates verursachen in Kombination mit manchen Druckern Bluescreens, also Computer-Abstürze. Microsoft selbst hat das Problem aktuell zwar bestätigt, hat aber selbst noch keine Details, die es mit der Welt teilen könnte. In den Hinweisen zu den Updates steht lediglich: "We are presently investigating and will provide an update when more information is available."
Aus eigener Erfahrung und diversen Foren-Einträgen zufolge dürften jedoch hauptsächlich Drucker von Kyocera und den diversen OEM-Varianten unter anderem Namen betroffen sein. Hier kann es helfen, auf eine PCL-Variante der Druckertreiber zurückzugreifen, anstelle der KX-Varianten. Diese haben etwas weniger Funktionen, laufen aber allen Anschein nach stabil. Die Sicherheitsupdates zu deinstallieren sollte man möglichst vermeiden. Also KX-Treiber sauber deinstallieren und dann den Drucker entweder mit den Windows-Standard-Treibern installieren (falls Windows einen passenden Treiber enthält) oder mit der PCL-Variante des Herstellers.
In naher Zukunft wird es sicher noch mehr Informationen dazu von Microsoft und Kyocera geben, aber im Moment ist das alles, was wir dazu sagen können.
Quelle: 'Windows 10: März-Updates können Bluescreens beim Drucken verursachen' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.03 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
12.03.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Photoshop
In Photoshop 2020 und 2021 wurden zwei kritische Schwachstellen behoben. Die 2021er Jahresausgabe (bzw. Version 22.x sollte unbedingt rasch auf Version 22.3 aktualisiert werden, Version 21 auf Version 21.2.6. Sämtliche (!!) Photoshop Versionen vor 21.2.6 (2020) gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-17' auf Adobe.com (Englisch)
Adobe Creative Cloud Desktop Application
Auch in der Creative Cloud Desktop App wurden mehrere kritische Schwachstellen behoben. Hier sollte unbedingt zügig auf Version 5.4 oder neuer aktualisiert werden. Das wird in der Regel beim Starten der Anwendung angeboten oder gleich automatisch durchgeführt.
Quelle: 'Adobe Security Bulletin APSB21-18' auf Adobe.com (Englisch)
Adobe FrameMaker
Im Desktop-Publishing-Programm Adobe Framemaker wurde eine kritische Sicherheitslücke gefunden und behoben. Wer das Programm einsetzt, sollte es unbedingt auf Version 2020.0.2 aktualisieren.
Quelle: Adobe Security Bulletin APSB21-14 (Englisch)
Adobe Connect
Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.
Quelle: Adobe Connect Security Bulletin APSB21-19 (Englisch)
12.03.2021 – Qnap NAS: Angriffe auf alte Sicherheitslücke
Wieder einmal warnt Qnap vor Angriffen auf seine NAS-Systeme. Wer betroffen ist, hat offenbar schon sehr lange keine Updates mehr gemacht, denn die ausgenutzte Schwachstelle wurde bereits im Oktober 2020 per Update behoben.
Besitzer eines NAS-Systems (egal welcher Hersteller) sollten also mal wieder prüfen, ob alle Updates installiert sind.
Liegt das letzte Update des Herstellers schon sehr lange zurück, sollte man sich vergewissern, ob das Produkt überhaupt noch vom Hersteller gewartet wird. Falls nicht, sollte man sich entweder nach Ersatz umsehen oder aber zumindest jeglichen unnötigen Zugriff darauf unterbinden, vor allem natürlich den Zugriff aus dem Internet.
Falls das NAS bereits infiziert ist, was man z.B durch deutlich größere Wärmeentwicklung oder sehr träge Reaktionszeiten bemerken könnte, reicht natürlich die Installation von Sicherheitsupdates nicht mehr aus, in dem Fall muss das Gerät richtig desinfiziert oder noch besser zurückgesetzt werden.
Quelle: 'Jetzt patchen! UnityMiner infiltriert Qnap NAS' auf Heise Online
12.03.2021 – Auffällig günstige Software? Auch Käufer können verklagt werden!
Das Unwissenheit nicht vor Strafe schützt ist eigentlich nichts Neues, dennoch wollten wir Ihnen diesen Heise Online Artikel nicht vorenthalten. Daraus geht hervor, dass nicht nur Händler die "auffällig günstige Software Lizenzen" verkaufen zur Kasse gebeten werden können, sondern auch die Käufer. Die genaue Zahl der Klagen gegen Käufer geht aus dem Artikel leider nicht hervor, es dürften aber mehrere zehntausend Verfahren in den letzten Jahren gewesen sein.
Und die Strafen sind alles andere als lapidar. Bis zu 3 Jahren Haft können unter gewissen Umständen einem Käufer drohen. Von Verkäufern ganz zu schweigen.
Wer also weiterhin denkt, man könne z.B. Microsoft Office oder Windows Lizenzen legal für 10 Euro erwerben, sollte sich das in Zukunft nochmal gut überlegen.
Quelle: 'Staatsanwaltschaften ermitteln bei extrem günstigen Software-Lizenzen' auf Heise Online
12.03.2021 – Riesige Datenpanne bei "SEO-Küche"
Datensicherungen sind ein absolutes Muss für jede Firma, das sollte jeder halbwegs gewissenhafte Administrator eigentlich wissen. Datensicherungen, die übers Internet von Jedermann runtergeladen werden können, sind hingegen ein absoluter Datenschutz-SuperGau. Auch das sollte jedem Administrator eigentlich klar sein.
Und dennoch hat die deutsche Firma "SEO-Küche" genau das getan. Eine Datenbank mit tausenden Datensätzen von sowohl Kunden als auch Mitarbeitern stand frei zugänglich für jedermann im Internet. Für das Tüpfelchen auf dem i sorgen dann noch die Passwörter, die im Klartext ebenfalls in der Datensicherung enthalten waren. Die nächste Strafe der Datenschutzbehörde für die Firma dürfte wohl saftig ausfallen.
Kunden der Firma sollten zumindest ihre Passwörter bei der Firma ändern, sofern man nicht gar rechtliche Schritte aufgrund des massiven Datenschutzverstoßes einreicht.
Quelle: 'c't deckt auf: Datenleck bei großer SEO-Agentur' auf Heise Online
12.03.2021 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Jetzt updaten: WordPress-Plugin "The Plus Addons for Elementor" unter Beschuss' auf Heise Online
12.03.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'SAP-Patchday: Kritische Lücken aus SAP MII und NetWeaver AS für Java beseitigt' auf Heise Online
Quelle: 'Angreifer könnten BIG-IP-Appliances von F5 vollständig kompromittieren' auf Heise Online
05.03.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 89.0.4389.72 behebt stolze 47 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Exploit-Code für Google Chrome in Umlauf' auf Heise Online
Vivaldi:
Die Vivaldi-Entwickler scheinen aktuell Winterschlaf zu halten, jedenfalls ist keine auf Chromium 89 basierte Version in Aussicht. Wir hoffen, dass sich nächste Woche etwas tut, denn da es bereits aktive Angriffe auf Chromium 88 Versionen gibt, drängt die Zeit.
Microsoft Edge:
Microsoft hat die neue Edge Version 89.0.774.45 bereitgestellt, die die Änderung aus Chromium 89.0.4389.72 enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: Microsoft Update Guide (listet auch Edge-Sicherheitsupdates)
Opera bleibt unsicher:
Opera hat das neue Sicherheitsupdate, wie leider nicht anders zu erwarten, noch nicht integriert. Deshalb können wir unsere Empfehlung, zu Vivaldi zu wechseln, nur noch einmal wiederholen.
05.03.2021 – Große Angriffswelle auf Fritzbox Router!
Heise hat diese Woche über eine große Angriffswelle auf Fritzbox Router berichtet. Den Angriffen liegt de facto keine Schwachstelle zugrunde, die Angreifer versuchen stattdessen ganz klassisch die Passwörter für Fritzboxen zu erraten, die direkt über das Internet erreichbar sind.
Um den Angriffen vorzubeugen, sollte also unbedingt geprüft werden, ob die Fritzbox-Konfiguration über das Internet aufgerufen werden kann. Falls ja, sollte das unbedingt deaktiviert werden. Müssen (aus welchen Gründen auch immer) unbedingt Fritzbox-Dienste von außerhalb des Heimnetzes verwendet werden, empfiehlt sich die Verwendung eines VPN. Ist auch das nicht möglich, sollte zumindest ein sehr langes und sicheres Passwort verwendet werden.
Fritzbox Router für die kein Update auf mindestens FRITZ!OS 7.0.1 bereitsteht, sollten durch neuere Modelle ersetzt werden. Weitere Details zur Angriffswelle und wie man sich dagegen schützt können sie im Heise Online Artikel nachlesen.
Quelle: 'Akute Angriffswelle auf Fritzbox-Nutzer, jetzt handeln!' auf Heise Online
05.03.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Angreifer attackieren Microsoft Exchange Server' auf Heise Online
Quelle: 'Cisco: Ältere Snort-Schwachstelle machte mehrere Produkte angreifbar' auf Heise Online
Quelle: 'D-Link: Update für Wireless Access Point DAP-2020 beseitigt drei Schwachstellen' auf Heise Online
Quelle: 'Angreifer ins Support-System der Sicherheitsfirma Qualys eingedrungen' auf Heise Online
Quelle: 'Benchmarking-Tool VMware View Planner ist für Schadcode anfällig' auf Heise Online
Quelle: 'Version checken: "High Resistance"-Firewall GeNUGate barg kritische Lücke' auf Heise Online
Quelle: 'Zehn Sicherheitslücken in Server-Konfigurationssoftware Saltstack geschlossen' auf Heise Online
Quelle: 'Grub 2: Acht neue Schwachstellen im Bootloader' auf Heise Online
26.02.2021 – Thunderbird: Sicherheitslücken und Kalender-Problem behoben
Die Entwickler von Thunderbird haben die Version 78.8 veröffentlicht. Gegenüber der Version behebt die neue Version 4 Sicherheitslücken, die unterm Strich eine hohe Bedrohung ergeben.
Endlich wurde auch der Fehler im Kalender behoben, sodass Thunderbird Anwender hoffentlich wieder gefahrlos updaten können. Wer das automatische Update wegen des Kalender-Problems deaktiviert hat, sollte es nun wieder einschalten.
Download: Thunderbird Version 78.8, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.8, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.8 Release Notes' auf Mozilla.org (Englisch)
25.02.2021 – Firefox 86 bringt Sicherheitsupdates
Mozilla hat Firefox 86 veröffentlicht. Die neue Version behebt stolze 13 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.8.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Browser-Updates: Firefox 86 und 78.8 ESR umfassen wichtige Sicherheitsupdates' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
26.02.2021 – Microsoft verdoppelt de facto Office Preise
Wie erwartet kommt 2021 eine neue Microsoft Office Version auf den Markt. Alle Hoffnungen, dass die 2019er Version mit ihrem reduzierten Support-Zeitraum (7 Jahre) eine einmalige Sache war, wurden nun leider zerschlagen. Schlimmer noch, die 2021er Version kommt gar nur mehr mit 5 Jahren Support! Stellt man die letzte Office-Version mit 10 Jahren Support nun also direkt der 2021er Version gegenüber, kostet diese (voraussichtlich) stolze 120% mehr als Office 2016.
Solange Firmen und Privatanwender weiterhin bereit sind soviel Geld für Microsoft Office ausgeben, oder Raubkopien für wenig Geld von dubiosen Händlern kaufen, wird sich an dem Monopol leider nichts ändern und Microsoft kann seine Preise praktisch nach Belieben erhöhen. Dabei steht seit vielen Jahren mit LibreOffice (davor OpenOffice) eine mächtige und kostenlose Alternative bereit.
Quelle: 'Microsoft Office 2021 und Office LTSC für 2021 angekündigt' auf Heise Online
26.02.2021 – Blender 2.92 mit zahlreichen Neuerungen
Das 3D-Programm Blender erhält mit Version 2.92 wieder jede Menge Neuerungen und Verbesserungen. Eine Auflistung aller Neuerungen würde alle Grenzen sprengen, weshalb wir hier noch ein paar einzelne Highlights herauspicken.
Primitive Formen lassen sich nun noch schneller erstellen. Der integrierte Video-Editor wurde in vielen Bereichen verbessert. Motion Tracking läuft schneller. Die Belichtung einer gerenderten Szene lässt sich nun im Compositor verändern. Diverse Optimierungen in Cycles für noch schnelleres rendern und und und… Wer schon mit Blender arbeitet, sollte also spätestens jetzt bereits den Download der neuen Version gestartet haben.
Wer noch nie mit Blender oder einem anderen professionellen 3D-Programm gearbeitet hat sollte sich aufgrund der stylischen Videos zu der neuen Version auf der Blender Homepage keine falschen Hoffnungen machen, 3D-Programme haben nach wie vor eine sehr steile Lernkurve und haben wohl schon so manchen Anwender in die Verzweiflung getrieben, der meint er könne damit mal eben so Hollywood reife Animationen erstellen. Wer sich dennoch in das Thema 3D einarbeiten möchte, liegt mit Blender aber genau richtig. Auf den gängigen Videoportalen finden sich auch unendlich viele Tutorials für Blender passend für Anfänger bis hin zu Profis.
Quelle: 'Neue Blender-Version 2.92: Modellieren mit Knoten' auf Heise Online
Quelle: 'Blender 2.92 Relase Information' auf Blender.org
26.02.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! SonicWall optimiert Sicherheitsupdates für SMA 100' auf Heise Online
Quelle: 'IBM schließt unter anderem kritische Sicherheitslücke im Integration Designer' auf Heise Online
Quelle: 'Jetzt updaten: Kritische Lücke aus VMware ESXi und vCenter Server beseitigt' auf Heise Online
Quelle: 'Cisco schließt drei kritische, aus der Ferne ausnutzbare Sicherheitslücken' auf Heise Online
19.02.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 88.0.4324.182 behebt 10 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Chrome an mehrere Stellen gegen Schadcode abgesichert' auf Heise Online
Vivaldi:
Die Vivaldi-Entwickler haben das Google-Sicherheitsupdate wieder einmal sehr schnell übernommen und konnten die abgesicherte Vivaldi Version 3.6 Update 2 (3.6.2165.40) bereits einen Tag nach Google zum Download anbieten.
Quelle: 'Minor update (2) for Vivaldi Desktop Browser 3.6' auf Vivaldi.net (Englisch)
Microsoft Edge:
Microsoft hat die neue Edge Version 88.0.705.74 bereitgestellt, die die Änderung aus Chromium 88.0.4324.182 enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: Microsoft Update Guide (listet auch Edge-Sicherheitsupdates)
Opera bleibt unsicher:
Opera hat das neue Sicherheitsupdate, wie leider nicht anders zu erwarten, noch nicht integriert. Deshalb können wir unsere Empfehlung, zu Vivaldi zu wechseln, nur noch einmal wiederholen.
19.02.2021 – SHAREit Hersteller ignoriert Sicherheitslücken!
Sicherheitsforscher haben in der Android-App "SHAREit" schwerwiegende Sicherheitslücken entdeckt. Nützt ein Angreifer die Lücken, kann er nicht nur Daten von einem Gerät mit dieser App stehlen, sondern es sogar mit Viren infizieren.
Die Forscher haben den Hersteller der App auf die Sicherheitslücken hingewiesen, dieser hat jedoch auch 3 Monate später nicht darauf reagiert und auch die Lücken wurden nicht behoben.
Einem Hersteller, der so nachlässig mit der Datensicherheit seiner Kunden umgeht, muss leider jedwedes Vertrauen entzogen werden, sodass der einzige Rat für Nutzer dieser App lauten muss, die App zu deinstallieren. Auch wenn die Forscher nur die Android-App untersucht haben, empfehlen wir SHAREit von jeglichem Gerät/Computer zu entfernen, unabhängig davon welches Betriebssystem.
Quelle: 'Mehrere Sicherheitslücken in beliebter Android-Sharing-App – aber kein Patch' auf Heise Online
19.02.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopft ein Update für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal müssen die Apps 'Surveillance Station' und 'Photo Station' aktualisiert werden um sicher zu bleiben. Details im verlinkten Heise Online Artikel.
Quelle: 'QNAP: Wichtige Sicherheitsupdates für Surveillance und Photo Station verfügbar' auf Heise Online
19.02.2021 – Umfang der DSGVO Strafen 2020 deutlich angestiegen
In Deutschland wurden im Jahr 2020 knapp 60 Prozent mehr Busgelder wegen Datenschutzverstößen abgestraft als im Jahr zuvor. Für Österreich liegen uns leider keine zahlen vor, wir gehen aber davon aus, dass die Tendenz ähnlich sein wird.
Offensichtlich glauben immer noch viele Firmen, dass Datenschutz nur ein Hirngespinst von ewig-gestrigen ist. Die Datenschützer und Regierungen in der EU sehen das glücklicherweise anders und greifen nun eben auch immer öfter zu richtigen Strafen statt nur Abmahnungen.
Wer die DSGVO immer noch als "mach ich irgendwann mal wenn ich Zeit habe" Thema abtut, sollte seine Meinung vielleicht doch langsam revidieren bevor es teuer wird.
Am teuersten war es 2020 in Deutschland übrigens für H&M. Das Ausspionieren von Mitarbeitern kostete dem Konzern satte 35 Millionen Euro.
Quelle: 'Mehr Bußgelder wegen DSGVO-Verstößen in 2020' auf Heise Online
19.02.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'VMware vSphere Replication: Updates beseitigen remote ausnutzbare Schwachstelle' auf Heise Online
Quelle: 'Cisco: Sicherheitsupdates für mehrere Produkte veröffentlicht' auf Heise Online
13.02.2021 - Firefox 85.0.1 bringt Sicherheitsupdate
Mozilla hat Firefox 85.0.1 veröffentlicht. Die neue Version behebt nur eine Lücke gegenüber Version 85.0.0, die wurde aber als so kritisch eingestuft, dass es ein sofortiges Update gab. Außerdem verhindert die neue Fassung auch noch das Ausnützen einer Windows-Schwachstelle aus Firefox heraus, weshalb man auch von zwei behobenen Sicherheitslücken sprechen könnte.
In Firefox ESR wurden die beiden Probleme ebenfalls behoben. Hier lautet die neue Versionsnummer 78.7.1.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox und Tor Browser: Update schließt kritische Lücke und blockiert NTFS-Bug' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
13.02.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & Acrobat:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2021.001.20135 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe unzählige (!) Sicherheitslücken geschlossen, sehr viele davon kritischer Art. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB21-09 (Englisch)
Adobe Photoshop
In Photoshop 2020 und 2021 wurden fünf kritische Schwachstellen behoben. Die 2021er Jahresausgabe (bzw. Version 22.x sollte unbedingt rasch auf Version 22.2 aktualisiert werden, Version 21 auf Version 21.2.5. Sämtliche (!!) Photoshop Versionen vor 21.2.5 (2020) gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-10' auf Adobe.com (Englisch)
Adobe Illustrator
Im Vektorgrafik Programm Illustrator hat Adobe ebenfalls zwei kritische Sicherheitslücke behoben. Wie bei Adobe leider üblich, gibt es nur Updates für die 2021er Programme, alle älteren Ausgaben bleiben unsicher. Die abgesicherte Ausgabe trägt die Versionsnummer 25.2.
Info: Adobe Security Bulletin APSB21-12 (Englisch)
Adobe Animate
Das ehemals Flash genannte Web-Animationsprogramm enthielt ebenfalls eine kritische Sicherheitslücke die zur Infektion des Computers genutzt werden konnte. Das Problem wurde in Version 21.0.3 behoben.
Info: Adobe Security Bulletin APSB21-11 (Englisch)
Adobe Dreamweaver
Im HTML-Editor Dreamweaver wurde eine Lücke mit Einstufung "wichtig" behoben. Anwender von Dreamweaver sollten auf die 2021er Ausgabe (Version 21.1) updaten.
Quelle: Adobe Dreamweaver Security Bulletin APSB21-13 (Englisch)
Adobe Magento:
Im Webshop-System "Magento" wurde gleich eine ganze Reihe Sicherheitslücken behoben, viele darunter kritischer Natur. Wer Magento einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB21-08 (Englisch)
13.02.2021 - Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Angreifer attackieren Windows und verschaffen sich höhere Rechte' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.03 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
13.02.2021 - Intel veröffentlicht zahlreiche Sicherheitsupdates
Prozessorhersteller Intel hat mal wieder reichlich neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Diesmal sind erfreulich viele der Lücken auch für Endanwender lösbar, was nicht bedeutet, dass es kinderleicht ist, aber immerhin.
Grafik, Lan und Wlan:
Wie üblich sind Treiber für Grafik, LAN und WLAN wieder ganz vorne mit dabei wenn es um sicherheitskritische Updates geht. Das gute dabei, sofern das eigene System überhaupt noch aktualisiert Treiber bekommt (viele ältere PCs und Notebooks schauen da leider durch die Finger) kann man die unter Umständen relativ leicht installieren.
Intel Helferlein:
Der Intel Driver & Support Assistant hat sich mittlerweile zu einem brauchbaren Werkzeug entwickelt. Auf vielen Systemen dürfte dieser Aktualisierung für die drei oben genannten Geräte-Klassen finden und downloaden. Das soll aber nicht bedeuten, dass wenn das Programm keine Updates findet es keine Sicherheitslücken gibt! Manuelle Kontrolle ist auf jeden Fall ratsam.
Insgesamt 15 Sicherheitsbulletins:
Insgesamt hat Intel 15 Sicherheitsbulletins veröffentlicht, die man am besten alle durchgeht ob man davon betroffen ist. Auch eine Prüfung mit den Update-Tools vom Hersteller ist ratsam. Details und Links zu den einzelnen Sicherheits Bullletins im Heise Online Artikel.
Quelle: 'Patchday: Intel stellt aktualisierte Treiber, Firm- und Software bereit' auf Heise Online
Download: 'Intel Driver & Support Assistant' von Intel.com
13.02.2021 – Dauerthema IoT Sicherheitslücken
Wer unseren Newsletter bzw. die Website regelmäßig liest wird schon des öfteren über die zahlreichen Sicherheitslücken in IoT Geräten gelesen haben. Die neuesten Schwachstellen-Funde in zahlreichen TCP/IP-Stacks beweisen die Problematik einmal mehr.
Wobei genau genommen nicht die Software selbst das Problem ist, sondern die Versorgung mit Updates. Renomierte Markenhersteller die Wert auf Sicherheit legen liefern die nötigen Sicherheits-Updates in der Regel auch an ihre Endkunden aus. Aber all der Billig-Schund aus Baumärkten, Discountern, Amazon usw. sieht all zu oft ein ganzes Leben lang kein Update und reißt damit Tür und Tor auf für Angreifer.
Der zugrunde liegende Heise Online Artikel kann genutzt werden um Details über die Lücken, die betroffene Software usw. zu erfahren. Man wird aber praktisch nirgends einen Hinweis auf ein bestimmtes Gerät finden. Daher ist die einzige Empfehlung wie gehabt, auf IoT Geräte (also so gut wie alle elektronischen Geräte mit irgendeiner Form von Netzwerkanschluss, außer PCs, Notebooks) wo immer zu verzichten und da wo es unverzichtbar scheint zu Markenware zu greifen die regelmäßig Sicherheitsupdates erhält.
Quelle: 'Nach "Amnesia:33": Forscherteam warnt vor neun weiteren Lücken in TCP/IP-Stacks' auf Heise Online
13.02.2021 - Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress: Schwachstelle in Plugin "Contact Form 7 Style" dauerhaft ungefixt' auf Heise Online
Quelle: 'Lücken in Response Menu könnten WordPress-Sites in Spam-Schleudern verwandeln' auf Heise Online
Quelle: 'Sicherheitsupdate: Kritische Lücke in WordPress-Plug-in NextGen Gallery' auf Heise Online
13.02.2021 – Wieder Schwere Sicherheitslücke in McAfee Total Protection
Die Anti-Viren-Lösung "Total Protection" von McAfee enthielt mehrere schwere Sicherheitslücken, über die Angreifer den PC mit Viren infizieren konnten. Wir raten allen Anwendern, die diese Software installiert haben, diese auf Version 16.0.30 zu aktualisieren.
Außerdem sollte man nach Auslaufen der Lizenz überlegen zu einem anderen Anti-Viren-Anbieter zu wechseln, denn McAffee wird in unseren Newslettern ein wenig zu häufig negativ erwähnt.
Quelle: 'DoS- und Schadcode-Attacken gegen McAfee Total Protection möglich' auf Heise Online
13.02.2021 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Angreifer könnten BIG-IP Appliances von F5 übernehmen' auf Heise Online
Quelle: 'Patchday: SAP beseitigt kritische Remote-Schwachstelle aus SAP Commerce' auf Heise Online
05.02.2021 - Das nächste Chromium Sicherheitsupdate
Google hat diese Woche gleich zweimal Sicherheitslücken ausgeliefert. Am Dienstag und Donnerstag wurden jeweils schwere Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 88.0.4324.150 behebt eine Sicherheitslücke gegenüber der Version vom Dienstag. Die Lücken werden bereits aktiv ausgenützt, weshalb Anwender von Google Chrome unbedingt rasch aktualisieren sollten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Zero-Day im Chrome-Browser: Jetzt Update einspielen' auf Heise Online
Vivaldi:
Bei Vivaldi wurde das Update von Dienstag noch übersprungen, vermutlich weil die Vivaldi-Mitarbeiter gerade mit der Veröffentlichung der 3.6er Version für Android beschäftigt waren. Aber heute steht Version 3.6 Update 1 von Vivaldi für Windows, Mac und Linux bereit und darin ist die neuste Chromium Version enthalten. Vivaldi Nutzer sollten also möglichst zügig updaten.
Quelle: 'Minor update for Vivaldi Desktop Browser 3.6' auf Vivaldi.com
Die Android-Version von Vivaldi 3.6 holt funktional langsam zur Desktop-Version auf. Außerdem ist die neue Version für Android natürlich ebenfalls ein Sicherheitsupdate, weshalb Benutzer von Vivaldi auf Android ebenfalls zügig updaten sollten.
Microsoft Edge:
Microsoft hat bisher nur das Update von Dienstag in Edge übernommen, die gefährlichere Lücke die am Donnerstag geschlossen wurde steht in Edge aktuell noch offen. Wir erwarten aber, dass Microsoft auch diese Lücke sehr bald noch stopft. Anwender von Edge, die deshalb nicht gleich zu Vivaldi wechseln wollen, sollten die nächsten Tage zumindest erhöhte Vorsicht walten lassen.
Die Info-Seite die wir bisher immer als "Quelle" für Edge-Updates angegeben haben wurde mittlerweile leider von Microsoft "überarbeitet". Leider deshalb, weil die neue Ausgabe eher nutzlos ist. Solange die neue Seite nicht verbessert wurde verzichten wir auf den Link, da dieser nur verwirren würde. Vorübergehend muss man sich auf diverse Websites verlasen, die den Browser-User-Agent anzeigen. Darin sieht man dann welche Chromium-Version Edge verwendet und damit kann man dann nachsehen, ob die gerade verwendete Version sicher ist oder nicht. Ganz einfach, oder? :/
Opera bleibt unsicher:
Was soll man da noch groß sagen. Opera hat es mittlerweile zwar auf Version 88 von Chromium geschafft, verwendet aber eine Ausgabe die beinahe drei Wochen alt ist! Was soll man da noch sagen. Sicher ist jedenfalls was anderes, weshalb wir nur einmal mehr allen Opera Anwendern raten müssen zu Vivaldi zu wechseln.
05.02.2021 – LibreOffice 7.1 verfügbar
Die LibreOffice Entwickler haben Version 7.1 der freien OfficeSuite fertiggestellt. Darin wurden wieder jede Menge Neuerungen eingebaut, auf die wir gerne später noch ausführlich eingehen werden, wenn die neue Ausgabe einen Reifegrad erreicht hat der es erlaubt auch von normalen Anwendern und Firmen genutzt zu werden. Vorerst richtet sich die neu Ausgabe eher an Anwender die unbedingt immer das Allerneueste haben müssen und auch gewillt sind Bugreports einzusenden.
Es gibt jedoch nicht nur neue Funktionen sondern auch einen neuen Namen: LibreOffice Community. Aber keine Angst, niemand muss umlernen, der "Community" Zusatz ist nur extrem selten irgendwo zu sehen. Bisher ist er uns überhaupt nur einmal im Startcenter untergekommen. Alle Programme melden sich wie gehabt als LibreOffice.
Wer nicht warten möchte bis wir LibreOffice 7.1 reif für den Einsatz halten kann sich jetzt schon im verlinkten Heise Online Artikel oder auf der LibreOffice-Website über die Neuerungen informieren.
Quelle: 'LibreOffice 7.1: Frische Version mit erneuerter Markenstrategie' auf Heise Online
Quelle: 'Übersicht über alle Neuerungen von LibreOffice 7.1' auf documentfoundation.org
05.02.2021 - Sicherheitslücken in Wordpress und Drupal
Für die Contentmanagement-Systeme Drupal und Worpress (bzw. deren Plugins) sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Plug-in Popup Builder: Angreifer könnten Newsletter verschicken' auf Heise Online
Quelle: 'CMS Drupal: Sicherheitsupdates für Module "Open Social" und "Subgroup" verfügbar' auf Heise Online
05.02.2021 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Root-Lücken in Cisco Small Business Router' auf Heise Online
Quelle: 'Jetzt patchen! Sicherheitsupdate für SonicWall SMA 100 ist da' auf Heise Online
Quelle: 'IBM aktualisiert sein AIX-System mit abgesicherter OpenSSL-Version' auf Heise Online
Quelle: 'SolarWinds Orion & Serv-U FTP: Dringende Updates schließen gefährliche Lücken' auf Heise Online
29.01.2021 - Vivaldi 3.6 mit Sicherheitsupdates und DoppeldeckerTabs
Am Mittwoch hat auch Vivaldi den Sprung auf Chromium 88 geschafft und damit etliche wichtige Sicherheitsupdates integriert. Vivaldi Anwender sollten daher rasch updaten.
Die "große" Neuerung der 3.6er Version sind "Doppeldecker Tabs" oder wie Vivaldi selbst das ganze nennt "zweistufige Tab-Gruppen". Und ganz offenbar ist Vivaldi mächtig stolz auf die neue Funktion denn im Blog-Eintrag zur neuen Version gibt es Screenshots mit Doppeldecker Tabs oben, Doppeldecker Tabs unten, Doppeldecker Tabs Links und (wer hätte es vermutet) Doppeldecker Tabs Rechts. Dabei ist es eigentlich nichts neues, dass man in Vivaldi die Tableiste an jeder Seite des Browsers anbringen kann.
Doppelte Tableiste = doppelt so aufgeräumt?
Gleich vorneweg, Anwender die immer nur eine Handvoll Tabs (wenn überhaupt) offen haben, können diesen Absatz getrost überspringen – sie sind ganz klar nicht die Zielgruppe dieser Funktion. Anwendern die jedoch täglich auf dutzende geöffneter Tabs blicken ist klar, dass das Thema Tabverwaltung eines ist, dass noch lange nicht final gelöst ist. Bereits die Mehrbenutzer-Funktionalität war ein Versuch das Problem zu mindern. Die doppelte Tableiste ist nun ein alternativer Weg etwas Ordnung ins Chaos zu bringen (der Ansatz über Profile ist natürlich weiterhin möglich). Wer sich darauf einlässt gewinnt tatsächlich sehr viel Übersicht. So könnte man eben für jedes Thema eine Tab-Gruppe anlegen, sodass die Tabs auf der ersten Tableisten-Ebene tatsächlich sehr viel weniger werden. Wie fast alle Dinge hat das natürlich einen Haken – eine weitere Leiste braucht natürlich auch Platz. Anwender die diesen Platz nicht opfern wollen können immer noch zwischen den alten Tab-Gruppen-Verhalten "Kompakt" oder "Aus" wählen.
Fazit:
Abgesehen von der "Doppeldecker Tableiste" bringt Vivaldi 3.6 auf den ersten Blick keine auffälligen Neuerungen mit. Das muss aber auch nichts schlechtes sein – es ist eher ein Zeichen dafür, dass Vivaldi aktuell kaum mehr Wünsche offen lässt und der Raum für Verbesserung damit immer kleiner wird. Uns ist allemal lieber der Fokus liegt darauf wenige aber sinnvolle Neuerungen einzubauen und dafür Sicherheitsupdates rasch auszuliefern, als jede Menge "Spielereien" die die Auslieferung wichtiger Sicherheitsupdates unnötig lange verzögern. Opera ist aktuell leider ein perfektes (Negativ)Beispiel dafür.
Download: Aktuelle Vivaldi Version
Quelle: 'Vivaldi hebt Tabs wortwörtlich auf die nächste Stufe' auf Vivaldi.net
29.01.2021 – Thunderbird: Sicher oder funktionierender Kalender?
Die Entwickler von Thunderbird haben die Version 78.7 veröffentlicht. Gegenüber der Version behebt die neue Version 6 Sicherheitslücken, die unterm Strich eine hohe Bedrohung ergeben.
Üblicherweise würden wir nun allen Thunderbird Nutzern zu einem zügigen Update raten um die potentiellen Sicherheitsprobleme aus der Welt zu schaffen. Leider ist jedoch der Bug in der Aufgaben-Ansicht, der mit Version 78.6.1 eingebaut wurde, noch nicht behoben. Wer also den Kalender von Thunderbird nutzt und dort Aufgaben-Serien angelegt hat, sollte das automatische Update vorübergehend deaktivieren und noch bis zur Version 78.7.1 warten, die dann vermutlich das Problem beheben wird.
Wer keine Aufgaben-Serien eingerichtet hat, sollte das Update hingegen installieren, sofern es das automatische Update nicht bereits erledigt hat.
Quelle: 'Thunderbird: Version 78.7 des E-Mail-Clients mit Security-Fixes veröffentlicht' auf Heise Online
(Auf Download-Links verzichten wir solange der Kalender-Bug nicht behoben ist)
Info: 'Thunderbird 78.7 Release Notes' auf Mozilla.org (Englisch)
29.01.2021 - Firefox 85 bringt Sicherheitsupdates
Mozilla hat Firefox 85 veröffentlicht. Die neue Version behebt stolze 13 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.7.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Thunderbird, Firefox und Tor Browser in abgesicherten Versionen verfügbar' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
29.01.2021 – DNSpooQ: AVM Geräte sicher!
Letzte Woche hatten wir über die DNS-Spooq-Sicherheitslücke berichtet und dabei die Vermutung angestellt, dass Fritzbox Geräte nicht davon betroffen sein dürften. Diese Aussage wurde nun vom AVM-Support bestätgt: "AVM-Produkte sind nicht von der Sicherheitslücke betroffen".
Fritzbox Besitzer können sich also einmal mehr entspannt zurücklehnen, während Besitzer anderer Router unbedingt beim Hersteller nachfragen sollten ob der eigene Router von der Lücke betroffen ist und wann gegebenenfalls ein Update erscheint. Erhält man keine Antwort oder ist ein Update auf absehbare Zeit nicht in Aussicht, sollte man die Anschaffung eines neuen Routers zumindest in Erwägung ziehen – z.B. eine (aktuelle!) Fritzbox.
PS: Wir werden nicht von AVM gesponsort, auch wenn unsere Artikel zum Thema Router das ab und zu vermuten lassen könnten.
29.01.2021 – Kritische Sicherheitsupdates für iPhone und iPads
Besitzer von iPhones und iPads sollten unbedingt auf Version 14.4 von iOS bzw. iPadOS aktualisieren. Ursache sind schwere Sicherheitslücken die bereits aktiv ausgenützt werden um diese Geräte zu infiltrieren. Details finden sie im Heise Online Artikel.
Quelle: 'Exploit in the wild: Apple räumt schwere iPhone- und iPad-Sicherheitslücken ein' auf Heise Online
29.01.2021 – Emotet ist tot! Wann folgt der nächste Supervirus ...
Durch eine koordinierte Aktion von Sicherheitsbehörden rund um den Globus wurde das berüchtigte Emotet-Schädingsnetzwerk unter Kontrolle von Polizeibehörden gebracht.
Das ist zwar grundsätzlich eine gute Nachricht, bestehenden Opfern die Bereits auf einem Berg verschlüsselter Daten oder einem infizierten Rechner sitzen, der Bank-Transaktionen manipuliert, nützt dies aber nichts mehr. Außerdem ist in der Welt der Cyberkriminalität nichts sicherer, als das der Platz von Emotet bald von einer anderen Gangster-Vereinigung übernommen werden wird.
Insofern ist es zwar schön zu lesen, dass die gute Seite mal einen Etappensieg errungen hat, wer aber nun denkt es ist alles vorbei und man kann sämtliche Sicherheitsvorkehrungen wieder in den Wind schießen, irrt gewaltig.
Quelle: 'Emotet: Strafverfolger zerschlagen Malware-Infrastruktur' auf Heise Online
22.01.2021 – DNSpooQ: Sicherheitslücken gefährden zahlreiche Geräte und Betriebssysteme!
Ausnahmsweise sind die Chromium-Sicherheitslücken mal nicht die Top-Nachricht der Woche. Die DNSpooQ-Sicherheitslücken stufen wir in Summe sogar noch etwas gefährlicher als die üblichen Browser-Schwachstellen ein. Zudem sind alle Benutzer betroffen, egal welches Gerät oder Browser zum Einsatz kommt, denn die Lücke dürfte bei den allermeisten Personen im Router stecken.
DNSpooQ beschreibt eine Sammlung von sieben Sicherheitslücken, die in Summe eine kritische Mixtur bilden. Betroffen ist die Software DNSmasq, die in zahlreichen Geräten und Betriebssystemen verwendet wird. Angreifer können die Lücken nutzen, um mit betroffenen Geräten fast alles zu machen, was sie wollen. So können sie z.B. den Datenverkehr abhören oder das Opfer auf eine gefälschte Website lotsen. Die Angriffsmöglichkeiten sind Vielfältig und die Auswirkungen potenziell dramatisch.
Welche Geräte genau sind betroffen?
Das ist praktisch unmöglich zu beantworten, im Zweifelsfall muss man davon ausgehen, dass z.B. die meisten Router, zahlreiche IoT-Geräte und auch so manches Betriebssystem betroffen ist. Als Beispiel haben Arista, Cisco, Netgear, OpenWrt, Red Hat, Siemens, Sophos, Synology und Ubuntu Updates angekündigt oder bereits bereitgestellt. Die Macher der Router-Firmware "DD-WRT" stellen bereits seit Ende Dezember abgesicherte Firmware-Versionen zum Download parat. Aber wie gesagt, das ist nur ein Bruchteil der vermutlich betroffenen Geräte, wenn ein Hersteller hier nicht genannt wird, heißt da also noch lange nicht, dass er nicht betroffen ist. Im verlinkten Heise Online Artikel gibt es Links zu manchen der bereits veröffentlichten Sicherheitsupdates.
Wie kann ich mich absichern?
Abgesehen von Sicherheitsupdates gibt es leider keinen praktikablen Weg ein betroffenes Gerät abzusichern. Wir können also jedem Besitzer eines Routers (und das ist heutzutage so gut wie jeder Haushalt und Firma) nur raten, sich beim Hersteller des Routers zu informieren, ob das Gerät von der Lücke betroffen ist und ob bzw. wann ein Sicherheitsupdate erscheinen wird. Sobald ein Update verfügbar ist muss es natürlich auch installiert werden.
Sind Fritzbox-Router betroffen?
Wir haben diesbezüglich eine Anfrage an AVM gestellt und warten ob einer Antwort. Wir "vermuten" jedoch, dass in der Fritzbox standardmäßig kein DNSmasq zum Einsatz kommt und die Geräte daher sicher sein dürften. Aber wie gesagt, Bestätigung von Seiten AVM steht noch aus.
Quelle: 'DNSpooQ: Sicherheitslücken im DNS-/DHCP-Server Dnsmasq entdeckt' auf Heise Online
22.01.2021 - Das nächste Chromium Sicherheitsupdate
Google hat wieder eine neue Chromium Hauptversion veröffentlicht und darin wie üblich zahlreiche Sicherheitslücken geschlossen. Diesmal sind es satte 36 Lücken die in Version 88.0.4324.96 ausgemerzt wurden. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Kein FTP und Flash mehr!
Mit Version 88 beendet Google auch endgültig die Unterstützung für das Flash-Plugin. Das war lange angekündigt und ist durchaus positiv zu betrachten. Weniger Freude haben wir damit, dass Google nun auch standardmäßig das FTP-Protokoll nicht mehr unterstützt. Zwar sind die Gründe (Sicherheit) durchaus nachvollziehbar, aber wir hätten uns dann zumindest die Unterstützung für FTPS, also die verschlüsselte Variante von FTP gewünscht. FTP(S) ist und bleibt einfach schneller als HTTP beim Download großer Dateien.
SVG-Bug!
Gerade haben wir auch noch einen Bug bei der Darstellung von SVG-Bildern in der Chromium 88 Renderengine entdeckt! Wenn also Chrome, Vivaldi oder Microsoft Edge Anwender in den nächsten Tagen "merkwürdig" aussehende Grafiken sehen, liegt das nicht unbedingt an den Webseiten selbst. Generell ist der SVG-Support in Chrome deutlich schlechter als der in Firefox.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome 88 ist da: Ohne Flash und FTP-Support' auf Heise Online
Vivaldi:
Liebend gerne hätten wir wieder einmal darauf hingewiesen, wie schnell Vivaldi die Google-Sicherheitsupdates integriert hat, aber leider dauert es bei den großen Versions-Updates eben auch bei den Norwegern ein wenig länger. Vivaldi 3.6 wird vermutlich erst nächste Woche erscheinen. Anhand der aktuellen Testversion können wir aber schon sagen, dass FTP in Vivaldi nach wie vor funktioniert :)
Microsoft Edge:
Microsoft hat die neue Edge Version 88.705.50 bereitgestellt, die die Änderung aus Chromium 88.0.4324.96 enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen. Die neue Edge Version bringt aber auch weitere Neuerungen mit sich, der wir im Folgenden einen kurzen separaten Artikel gewidmet haben. In Bezug auf FTP folgt Microsoft dem Vorbild Googles: FTP ist (leider) auch in Edge nun deaktiviert.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera bleibt unsicher:
Opera hat das neue Sicherheitsupdate, wie leider nicht anders zu erwarten, noch nicht integriert. Deshalb können wir unsere Empfehlung, zu Vivaldi zu wechseln, nur noch einmal wiederholen.
22.01.2021 – Neue Microsoft Edge Passwort-Funktion hinterlässt zwiespältigen Eindruck
Dem Heise Artikel über die neue Edge-Version ist auch zu entnehmen, dass Microsoft zwei neue Passwort-Funktionen eingebaut hat. Zum einen eine Prüfung von Passwörtern die man im Browser eingibt zum anderen eine automatische Erzeugung von Passwörtern in Passwort-Feldern auf Websites. Was auf den ersten Blick wie eine gute Idee klingt, sorgt bei uns für Kopfzerbrechen:
1.) Die Prüfung von Passwörtern, ob diese in Datenbanken von gestohlenen Passwörtern vorkommt, ist grundsätzlich eine gute Idee – vorausgesetzt es wird richtig umgesetzt. Wird es nicht richtig umgesetzt, ist es eher ein Security-Albtraum und keine Sicherheitsverbesserung. Bisher haben wir keine genaue Erläuterung gefunden, wie Microsoft diese Prüfung durchführt, daher sind wir hier erst einmal skeptisch.
2.) Laut Heise Artikel (und ein kurzer Test mit dem neuen Edge scheint dies zu bestätigen) funktionieren die beiden Passwort-Funktionen nur dann, wenn man mit einem Microsoft-Konto in Edge angemeldet ist. Davon müssen wir aber aus Datenschutz-Gründen generell abraten. Das heißt gerade Anwender die wirklich um ihre Sicherheit bemüht sind, werden von der Passwort-Prüfung ausgeschlossen. Das alles hinterlässt einen mehr als fahlen Nachgeschmack.
Quelle: 'Webbrowser Edge abgesichert und mit Passwort-Generator ausgestattet' auf Heise Online
22.01.2021 - VLC Media Player 3.0.12 behebt Sicherheitslücken
Das Team rund um den VLC Media Player hat eine neue Ausgabe der Software veröffentlicht. Version 3.0.12 behebt mehrere Sicherheitslücken, die sich zur Infektion des Computers nutzen lassen und damit als kritisch einzustufen sind.
Abgesehen von den Sicherheitskorrekturen behebt die neue Version auch Probleme mit Direct3D-Filtern und weitere kleinere Fehler.
Alle Anwender von VLC sollten daher zügig auf die neue Fassung updaten.
Download: VLC Media Player 3.0.12 für Windows (32Bit)
Download: VLC Media Player 3.0.12 für Windows (64Bit)
Quelle: 'Releasenotes für VLC Media Player 3.0.12' auf Videolan.org (Englisch)
Quelle: 'Schadcode-Schlupflöcher in VLC Player gestopft' auf Heise Online
22.01.2021 - Sicherheitsupdates für Java und weitere Oracle Software
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 329 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:
Oracle hat Version 8.0 Update 281 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurde eine Sicherheitslücke geschlossen. Die Lücke lässt sich Remote und ohne Benutzer-Interaktion ausnützen, was für uns kritisch klingt, auch wenn Oracle selbst ihr nur ein mittleres Gefahrenpotential bescheinigt. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13 und 14 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.10 oder 15.0.2 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
(klicken sie auf der verlinkten Seite auf 'Windows Offline' [NICHT Windows Offline (64-Bit)!])
VirtualBox:
In dem PC-Emulator VirtualBox wurden 17 Sicherheitslücken geschlossen. Obwohl sich laut Security Matrix von Oracle keine der Lücken übers Internet ausnützen lässt, sind in paar der Lücken mit sehr hohen Gefahrenstufen versehen. Abgesichert ist die Version 6.1.18. Die 6.0er und 5.2er Serie erhalten bereits seit Mitte letzten Jahres keine Sicherheitsupdates mehr und sollten daher nicht mehr verwendet werden. Sicherheitsbewussten Anwendern bleibt daher nur ein Update auf Version 6.1.18.
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
MySQL:
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Weitere Oracle Programme:
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - July 2020' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - January 2021' auf Oracle.com (Englisch)
Quelle: 'Oracle Critical Patch Update: 329 Patches für Fusion Middleware & Co. erschienen' auf Heise Online
22.01.2021 – Languagetool 5.2.2 veröffentlicht
Erst kürzlich haben wir auf das 5.2er Update von 'LanguageTool' hingewiesen, nun steht schon Version 5.2.2 parat. Die neue Version behebt abermals mehrere Fehler die LibreOffice zuvor zum Absturz bringen konnten.
Wer trotz unserer Empfehlung, vorerst noch bei LibreOffice 6.4.7 zu bleiben, bereits auf LibreOffice 7 upgegradet hat und gleichzeitig das LanguageTool-Plugin verwendet, sollte dieses unbedingt auf Version 5.2.2 updaten.
LibreOffice 6.4 Anwendern empfehlen wir umgekehrt vorerst bei der Languagetool-Version zu bleiben, die sie aktuell verwenden, wenn diese Kombination stabil läuft. Wir haben die Kombination LanguageTool 5.2.2 und LibreOffice 6.4 nicht getestet, frühere Versionen von LanguageTool haben mit LibreOffice 6.4 aber immer gut funktioniert.
Quelle: 'LanguageTool 5.2 Releasenotes' auf Github.com (Englisch)
Download: LanguageTool 5.2.2 für LibreOffice 7.x
22.01.2021 - Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Archiv-Uploads könnten für Drupal-Websites gefährlich werden' auf Heise Online
22.01.2021 – Wieder aktive Angriffe auf NAS-Systeme
Der Kryptominer 'Dovecat' hat es auf NAS-Systeme von Qnap und Synology abgesehen. Hier läuft gerade mal wieder eine große Angriffswelle die betroffene Systeme so sehr ausbremst, dass sie beinahe unbenutzbar werden.
Qnap hat auf die Bedrohung bereits mit einem Sicherheitsbulletin reagiert. Qnap-Systeme die vollständig upgedatet sind haben aber nichts zu befürchten. Leider werden NAS-Systeme all zu oft übersehen, wenn es um das Thema Updates geht. Von Synology gibt es laut Heise kein Statement zu der Bedrohung, Besitzer dieser Systeme können aber durchaus auch den Artikel von Qnap lesen, der zumindest teilweise auch auf andere NAS-Systeme anwendbar sind.
Quelle: 'Crypto-Miner Dovecat hat es auf Netz-Speicher von Qnap und Synology abgesehen' auf Heise Online
Quelle: 'Response to Cyber Attacks: Take Action to Secure Your QNAP NAS' auf qnap.com (Englisch)
22.01.2021 - Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Monaten alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Kritische Root-Lücken in SD-WAN-Routern von Cisco' auf Heise Online
15.01.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Photoshop
In Photoshop 2021 wurde eine kritische Schwachstelle behoben. Laut Adobe ist die letzte 2020er Version nicht von dem Problem betroffen, diese kann also vorerst noch sicher eingesetzt werden. Die 2021er Version (bzw. Version 22.x sollte unbedingt rasch auf Version 22.1.1 aktualisiert werden. Sämtliche (!!) Photoshop Versionen vor 21.2.3 (2020) gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-01' auf Adobe.com (Englisch)
Adobe Illustrator
Im Vektorgrafik Programm Illustrator hat Adobe ebenfalls eine kritische Sicherheitslücke behoben. Wie bei Adobe leider üblich, gibt es nur Updates für die 2021er Programme, alle älteren Ausgaben bleiben unsicher. Die abgesicherte Ausgabe trägt die Versionsnummer 25.1.
Info: Adobe Security Bulletin APSB21-02 (Englisch)
Adobe Animate
Das ehemals Flash genannte Web-Animationsprogramm enthielt ebenfalls eine kritische Sicherheitslücke die zur Infektion des Computers genutzt werden konnte. Das Problem wurde in Version 21.0.2 behoben.
Info: Adobe Security Bulletin APSB21-03 (Englisch)
Adobe Campaign Classic
Nutzer von Adobe Campaign sollten ebenfalls unbedingt ein Update installieren, um wichtige Sicherheitslücken zu schließen. Interessanterweise gibt es Updates bis zurück für die 19.1 Serie. Interessanterweise deshalb, weil ältere Lücken bereits nur in Version 20.2 behoben wurden. Wo dieses Programm eingesetzt wird, sollte man daher unbedingt auf Version 20.2.4, 20.3.3 oder 'Gold Standard 11' updaten um gegen diese und ältere Sicherheitslücken gewappnet zu sein.
Quelle: 'Adobe Security Bulletin APSB21-04' auf Adobe.com (Englisch)
Adobe InCopy
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier sollte unbedingt auf Version 16 aktualisiert werden, um sicher zu sein.
Info: Adobe Security Bulletin APSB21-05 (Englisch)
Adobe Captivate
Auch für Adobe Captivate gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier muss manuell eine Datei ausgetauscht werden. Details dazu im Security Buletin.
Info: Adobe Security Bulletin APSB21-06 (Englisch)
Adobe Bridge
In Adobe Bridge wurden zwei Sicherheitslücken behoben, die alle die Einstufung "kritisch" erhalten haben. Das Update auf die abgesicherte Version 11.0.1 sollte daher zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB21-07' auf Adobe.com (Englisch)
15.01.2021 - Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Schadcode-Attacken auf Microsoft Defender' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.03 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
15.01.2021 - Thunderbird Sicherheitsupdate mit Nebenwirkung
Die Entwickler von Thunderbird haben die Version 78.6.1 veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe eine kritische Sicherheitslücke.
Vorsicht Nebenwirkungen!
Üblicherweise würden wir jetzt schreiben, dass alle Thunderbird Anwender zügig updaten sollten. Jedoch hat sich in diese Ausgabe ein sehr störender Bug eingeschlichen, zumindest störend für alle die den eingebauten Kalender nutzen. Wiederkehrende Aufgaben, die eigentlich längst als erledigt markiert wurden, werden in der neuen Ausgabe plötzlich wieder als unerledigt angezeigt. Markiert man diese wieder als erledigt gibt sich Thunderbird vorübergehend zufrieden, nach dem nächsten Neustart des Programms ist aber wieder alles 'unerledigt’. Einzige Abhilfe hier ist, das automatische Update von Thunderbird in den Einstellungen zu deaktivieren und manuell Version 78.6.0 wieder zu installieren. Daher verlinken wir unten auch Version 78.6.0 zum Download und nicht die abgescherte Version. Wer die Aufgaben-Funktion in Thunderbird nicht nutzt, sollte natürlich unbedingt auf Version 78.6.1 aktualisieren.
Quelle: 'Sicherheitsupdate: Kritische Schadcode-Lücke in Thunderbird' auf Heise Online
Download: Thunderbird Version 78.6.0, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.6.0, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.6.1 Release Notes' auf Mozilla.org (Englisch)
15.01.2021 - Firefox 84.0.2 bringt Sicherheitsupdates
Mozilla hat Firefox 84.0.2 veröffentlicht. Die neue Version behebt eine kritische Sicherheitslücke. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurde diese Sicherheitslücke ebenfalls geschlossen. Hier lautet die neue Versionsnummer 78.6.1.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
15.01.2021 - Und wieder Sicherheitsprobleme mit Nvidia Grafikkarten
Nvidia hat wieder einmal Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. Insgesamt wurden 6 Lücken beheben die in Summe ein hohes Gefahrenpotential hatten. Besitzer einer GeForce Grafikkarte sollten unbedingt auf Version 461.09 des Treibers aktualisieren.
Dieser Treiber unterstützt Grafikkarten bis einschließlich der GeForce 600 Serie. Wer eine noch ältere Grafikkarte besetzt hat Pech und erhält kein Sicherheitsupdate mehr. Dann bleibt nur noch der Tausch der Grafikkarte (bei PCs) bzw. des ganzen Notebooks.
Stand heute sind leider auch nur die "Game Ready Treiber" in abgesicherter Fassung verfügbar. Die Studio-Version von 461.09 ist noch nicht erhältlich. Multimedia-Profis mit teuren Grafikkarten müssen als entweder zum Spiele-Treiber greifen oder die Sicherheitslücken noch ein wenig länger hinnehmen.
Besitzer der noch teureren Quadro-Grafikkarten sind hingegen wieder besser dran, hier gibt es mehrere abgesicherte Treiber-Versionen. Details dazu finden sie in Nvidias Sicherheitsbulletin.
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - Jänner 2021' auf nvidia.custhelp.com
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Quelle: 'Sicherheitsupdates: Nvidia-Treiber könnte Daten leaken lassen' auf Heise Online
15.01.2021 – IrfanView mit neuen Funktionen und Sicherheitsupdate
Der (für Privatpersonen) kostenlose und sehr beliebte Bildbetrachter IrfanView ist in Version 4.57 erschienen. Darin wurden unter anderem mindestens eine Sicherheitslücke behoben. Wer also IrfanView installiert hat, sollte das Programm auf Version 4.57 updaten. Wer auch die Pugins für IrfanView installiert hat, muss unbedingt auch diese aktualisieren.
Abgesehen von dem Sicherheitsupdates gibt es diesmal nur wenige funktionale Neuerungen. Interessierte Anwender finden diese auf der IrfanView Downloadseite aufgelistet.
Falls sie bereits die 64Bit Version von IrfanView verwenden, klicken sie auf der Downloadseite bitte auf "IrfanView-DE 64-bit Windows Installer". Falls sie nicht die 64Bit Version verwenden oder sich nicht sicher sind, klicken sie stattdessen die Datei "IrfanView-DE 32-bit Windows Installer" an. Falls sie auch die Plugins bereits installiert haben oder neu installieren wollen, laden sie sich bitte die Dateien "IrfanView-DE All Plugins - 32-bit Windows Installer" (für ein 32Bit IrfanView) oder "IrfanView-DE All Plugins - 64-bit Windows Installer" (für ein 64Bit IrfanView) herunter.
Download: 'IrfanView: Liste der Neuerungen und Downloads' auf Fosshub.com
15.01.2021 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco veröffentlicht Updates – ältere Small Business-Router bleiben angreifbar' auf Heise Online
Quelle: 'IBM veröffentlicht wichtige Sicherheitsupdates für zahlreiche Produkte' auf Heise Online
Quelle: 'Angreifer könnten Netzwerkverkehr von Junos OS dauerhaft lahmlegen' auf Heise Online
Quelle: 'Patchday: SAP-Updates schließen Remote-Einfallstore in Business Warehouse' auf Heise Online
08.01.2021 - Das nächste Chromium Sicherheitsupdate
Google hat wieder eine Sicherheitslücke in Google Chrome und Chromium behoben. Die Version 87.0.4280.141 behebt 16 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Anwender, die Google Chrome installiert haben, sollten zügig aktualisieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Sicherheitsupdate für Desktop-Versionen des Browsers verfügbar' auf Heise Online
Vivaldi:
Die Vivaldi-Entwickler haben das Google-Sicherheitsupdate wieder einmal sehr schnell übernommen und konnten die abgesicherte Vivaldi Version 3.5 Update 2 (3.5.2115.87) bereits wenige Stunden nach Google zum Download anbieten.
Quelle: 'Minor update (2) for Vivaldi Desktop Browser 3.5' auf Vivaldi.net (Englisch)
Microsoft Edge:
Microsoft hat die neue Edge Version 87.0.664.75 bereitgestellt, die die Änderung aus Chromium 87.0.4280.141 enthält. Edge etabliert sich langsam als gute Browser-Alternative für Leute die mit der eher minimalistischen Benutzeroberfläche auskommen aber rasche Sicherheitsupdates und keine so enge Bindung an Google wollen.
Quelle: 'ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)' auf microsoft.com
Opera bleibt unsicher:
Opera hat das neue Sicherheitsupdate, wie leider nicht anders zu erwarten, noch nicht integriert. Deshalb können wir unsere Empfehlung, zu Vivaldi zu wechseln, nur noch einmal wiederholen.
08.01.2021 - Firefox 84 bringt Sicherheitsupdates
Mozilla hat Firefox 84.0.2 veröffentlicht. Die neue Version behebt nur eine Sicherheitslücken, die hat es aber in sich, weshalb Mozilla auch sofort Updates veröffentlicht hat. Firefox Anwender sollten daher zügig auf die neue Version updaten.
Die Lücke wurde auch in Firefox ESR geschlossen. Hier lautet die neue Versionsnummer 78.6.1.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Mozilla sichert mehrere Firefox-Ausgaben gegen kritische Lücke ab' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
08.01.2021 – Unsicheres Windows 7 immer noch häufig online!
Obwohl Windows 7 seit einem Jahr keine Sicherheitsupdates mehr erhält und dementsprechend unsicher ist, wird es immer noch häufig verwendet. Aktuellen Statistiken nach läuft das veraltete System noch auf 20% der Computer die mit dem Internet verbunden sind.
Anwender die immer noch Windows 7 einsetzen, sollten sich so schnell wie möglich ein Upgrade auf Windows 10 durchführen oder den PC durch ein neueres Gerät ersetzen.
Quelle: 'Windows 7 hat immer noch 20 Prozent Marktanteil' auf Heise Online
08.01.2021 – Languagetool 5.2 veröffentlicht
Die Entwickler von 'LanguageTool', das auch als Plugin für LibreOffice verfügbar ist, haben kürzlich Version 5.2 der Grammatik- und Rechtschreibkorrektur-Software veröffentlicht. Neben den üblichen Neuerungen bei den Rechtschreibregeln für die einzelnen Sprachen, gab es diesmal auch viele Verbesserungen, die die Zusammenarbeit mit LibreOffice 7 verbessern sollen (leider wurden diese nicht in den Releasenotes vermerkt).
Wer trotz unserer Empfehlung, vorerst noch bei LibreOffice 6.4.7 zu bleiben, bereits auf LibreOffice 7 upgegradet hat und gleichzeitig das LanguageTool-Plugin verwendet, sollte dieses unbedingt auf Version 5.2 updaten.
LibreOffice 6.4 Anwendern empfehlen wir umgekehrt vorerst bei der Languagetool-Version zu bleiben, die sie aktuell verwenden, wenn diese Kombination stabil läuft. Wir haben die Kombination LanguageTool 5.2 und LibreOffice 6.4 nicht getestet, frühere Versionen von LanguageTool haben mit LibreOffice 6.4 aber immer gut funktioniert.
Quelle: 'LanguageTool 5.2 Releasenotes' auf Guthub.com (Englisch)
Download: LanguageTool 5.2 für LibreOffice 7.x
08.01.2021 – Sicherheitsupdates für Foxit Reader und PhantomPDF
Wer anstelle des Adobe Acrobat auf PhantomPDF aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren, wenn noch eine 9er Version eingesetzt wird. Dafür hat der Hersteller nun ein Update auf Version 9.7.5 veröffentlicht. Das Update schließt eine ganze Reihe von Sicherheitslücken, die mindestens mit einer "hohen" Risikowertung einzustufen sind.
Nutzer der 10er Ausgaben von PhantomPDF bzw. Foxit Reader sollten hingegen zügig auf Version 10.1.1 aktualisieren, sofern nicht bereits geschehen.
Quelle: 'Foxit PhantomPDF: Update schließt aus der Ferne ausnutzbare Sicherheitslücken' auf Heise Online
Quelle: 'Security bulletins' auf foxitsoftware.com (Englisch)
08.01.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopft ein Update für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss das Betriebssystem aktualisiert werden. Details im verlinkten Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Angreifer könnten Dateien auf Qnap NAS manipulieren' auf Heise Online
08.01.2021 – Schwere Sicherheitslücken in TextMaker behoben
In der Textverabeitung 'TextMaker' wurden mehrere schwere Sicherheitslücken behoben. Anwender der Software sollten zügig auf SoftMaker Office 2021 Revision 1024, SoftMaker Office 2018 Revision 980 oder FreeOffice 2018 Revision 980 updaten.
Quelle: 'Gefährliche Sicherheitslücken in Office-Anwendung TextMaker' auf Heise Online
08.01.2021 - Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Angreifer scannen nach Zyxel-Backdoor' auf Heise Online
Quelle: 'Sicherheitsupdates: Schadcode-Attacken auf Frühwarnsystem FortiDeceptor möglich' auf Heise Online
Quelle: 'Angreifer könnten Mailserver mit Dovecot lahmlegen und Mails lesen' auf Heise Online
