News Archiv 3. Quartal 2021
Schlagzeilen * Details
Schlagzeilen:
- 25.09.2021 - Noch häufigere Chromium updates!
- 25.09.2021 - Der nächste Security Albtraum des Jahres
- 25.09.2021 - Apple schließt manche Sicherheitslücken und manche nicht!
- 25.09.2021 - Wieder Sicherheitslücken in Netgear Router
- 25.09.2021 - Sicherheitslücke in Drupal behoben
- 25.09.2021 - Schwere Sicherheitslücken in OpenOffice
- 25.09.2021 - Sicherheitsmeldungen für Administratoren
- 17.09.2021 - Das nächste Chromium Sicherheitsupdate
- 17.09.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 17.09.2021 - Microsoft's Tag der Updates
- 17.09.2021 - Sicherheitslücke in HP 'Omen'
- 17.09.2021 - Wieder Sicherheitsupdates für Nitro PDF!
- 17.09.2021 - Sicherheitsmeldungen für Administratoren
- 10.09.2021 - Angreifer nutzen neue Windows-Sicherheitslücke!
- 10.09.2021 - Thunderbird 78.14 bzw. 91.1 behebt Sicherheitslücken
- 13.09.2021 - Firefox 92 bringt Sicherheitsupdates
- 10.09.2021 - Victure liefert keine Sicherheitsupdates für Babyphones und Überwachungskameras
- 10.09.2021 - Wieder Sicherheitslücken in WordPress
- 10.09.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 10.09.2021 - Sicherheitsmeldungen für Administratoren
- 03.09.2021 - Das nächste Chromium Sicherheitsupdate
- 03.09.2021 - Wieder neue Bluetooth Sicherheitslücken
- 03.09.2021 - Logitech stellt neue Drahtlostechnik vor
- 03.09.2021 - NAS-Geräte: Warten auf wichtige Sicherheitsupdates
- 03.09.2021 - Sicherheitslücke in 'Midnight Commander' 9 Jahre unbemerkt
- 03.09.2021 - Sicherheitsmeldungen für Administratoren
- 27.08.2021 - Vivaldi Sicherheitsupdate
- 27.08.2021 - Gefährliche Tastaturen und Mäuse
- 27.08.2021 - Sicherheitslücke in Drupal behoben
- 27.08.2021 - Sicherheitsmeldungen für Administratoren
- 20.08.2021 - Das nächste Chromium Sicherheitsupdate
- 20.08.2021 - Wieder verspätete Adobe Sicherheitsupdates!
- 20.08.2021 - Erinnerung: Systeme vor Print-Nightmare Lücken absichern
- 20.08.2021 - Thunderbird 91.0.1 verfügbar!
- 20.08.2021 - Firefox 91.0.1 bringt Sicherheitsupdates
- 20.08.2021 - Realtek Sicherheitslücken betreffen Geräte etlicher Hersteller!
- 20.08.2021 - LibreOffice 7.2 verfügbar
- 20.08.2021 - Sicherheitsmeldungen für Administratoren
- 13.08.2021 - Microsoft's Tag der Updates
- 13.08.2021 - Thunderbird 78.13 behebt Sicherheitslücken
- 13.08.2021 - Firefox 91 bringt Sicherheitsupdates
- 13.08.2021 - Neue iTunes Version behebt kritische Sicherheitslücken!
- 13.08.2021 - Intel veröffentlicht August-Sicherheitsupdates
- 13.08.2021 - Adobe Sicherheitsupdates
- 13.08.2021 - Sicherheitsmeldungen für Administratoren
- 06.08.2021 - Das nächste Chromium Sicherheitsupdate
- 06.08.2021 - Sicherheitsupdates für Foxit Reader und PhantomPDF
- 06.08.2021 - Petit Potam - Nachtrag
- 06.08.2021 - Und noch eine Windows Sicherheitslücke
- 06.08.2021 - DSGVO: 65.000 Euro Strafe für Webshop Betreiber
- 06.08.2021 - Und schon wieder Cisco… (Sicherheitslücken)
- 31.07.2021 - Vivaldi 4.1 mit Sicherheitsupdates und neuen Funktionen
- 31.07.2021 - PetitPotam: neue Windows Server Sicherheitslücke!
- 31.07.2021 - Sicherheitslücke in Drupal behoben
- 31.07.2021 - Sicherheitsmeldungen für Administratoren
- 23.07.2021 - Das nächste Chromium Sicherheitsupdate
- 23.07.2021 - Unerwartete Adobe Sicherheitsupdates!
- 23.07.2021 - Sicherheitsupdates für Java und weitere Oracle Software
- 23.07.2021 - Die nächste Windows Schwachstelle ohne Update
- 23.07.2021 - Sicherheitsupdates für Drucker von HP, Samsung & Xerox
- 23.07.2021 - Sicherheitslücke in Drupal behoben
- 23.07.2021 - Sicherheitsmeldungen für Administratoren
- 16.07.2021 - Das nächste Chromium Sicherheitsupdate
- 16.07.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 16.07.2021 - Microsoft's Tag der Updates
- 16.07.2021 - Thunderbird 78.12 behebt Sicherheitslücken
- 16.07.2021 - Firefox 90 behebt Sicherheitslücken
- 16.07.2021 - Wieder Sicherheitslücken in WordPress
- 16.07.2021 - Sicherheitsmeldungen für Administratoren
- 09.07.2021 - Microsoft stopft Drucksystem-Schwachstelle ... größtenteils
- 09.07.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 09.07.2021 - Sicherheitsmeldungen für Administratoren
- 02.07.2021 - Kritische Windows-Sicherheitslücke erfordert Handarbeit!
- 02.07.2021 - Sicherheitsupdate für Geforce Experience
- 02.07.2021 - Wieder Sicherheitslücken in Netgear Router
- 02.07.2021 - Sicherheitsmeldungen für Administratoren
Details:
25.09.2021 – Noch häufigere Chromium updates!
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 94.0.4606.54 behebt 19 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Angriffe auf die Lücken sind bisher nicht bekannt, dennoch sollten Google Chrome Anwender das Update zügig installieren.
Wer jetzt übrigens das Gefühl hat, dass es eigentlich zu Früh für eine neue Chromium Hauptversion ist, hat recht. Bisher gab es neue Chromium Versionen alle 6 Wochen. Chromium 94 kam aber bereits 4 Wochen nach Version 93. Und das wird auch in Zukunft so bleiben, sprich Google wird ab dieser Version grundsätzlich alle 4 Wochen eine neue Chromium (Chrome) Version veröffentlichen. Damit all die anderen Firmen die ebenfalls Chromium verwenden von dem abermals schnelleren Tempo nicht endgültig überfordert sind, wird aber jede gerade Version 8 Wochen lang mit Sicherheitsupdates versorgt. Unterm Strich haben Firmen wie Vivaldi, Opera und Co so (wenn sie es wollen) zwei Wochen mehr Zeit als bisher für neue Hauptversionen.
Anwender von Google Chrome werden es sich hingegen in Zukunft aussuchen können, ob sie die Variante mit 4 Wochen oder 8 Wochen Support nutzen wollen.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google schließt 19 Sicherheitslücken im Webbrowser Chrome' auf Heise Online
Vivaldi:
Das die aktuelle Chromium Version zwei Wochen früher als bisher veröffentlicht wurde, hat Vivaldi vermutlich nicht gerade geholfen. Schon bisher war es leider so üblich, dass neue Hauptversionen bei Vivaldi mit Verspätung erschienen sind. Allerdings befindet sich die neue Version bereits im Beta Stadium und wir vermuten, dass wir nächste Woche mit Vivaldi 4.3 rechnen können. Da Google bisher keine Angriffe auf die neuen Sicherheitslücken bekannt sind, sollte dies noch kein Problem darstellen.
Microsoft Edge:
Auch das Microsoft-Edge-Team hat gewirkt als wäre es von dem neuen Rhythmus bei Google überrascht worden. Jedenfalls hat es bis heute gedauert, bis Edge aktualisiert wurde. Wer Microsoft Edge verwendet sollte also das eingebaute Update starten um auf (Edge) Version 94.0.992.31 zu aktualisieren.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
25.09.2021 – Der nächste Security Albtraum des Jahres
Nach den diversen Problemen mit Exchange in diesem Jahr und zuletzt PrinterNightmare steht nun die nächste Mega-Sicherheitslücke in Microsoft-Programmen (und möglicherweise auch Programme anderer Hersteller) im Rampenlicht. Die Microsoft E-Mail-Programme beinhalten eine Funktion zur leichteren Einrichtung von E-Mail-Konten. Dabei wird anhand der E-Mail-Adresse versucht die restlichen Konfigurationsdaten des Postfachs automatisch zu bestimmen. Wie jetzt bekannt wurde, hat dieser Mechanismus gleich mehrere Sicherheitslücken, die gravierendste darunter ermöglicht es Angreifern die Zugangsdaten für das Postfach abzugreifen. Bei Firmen kommt man mit denselben Zugangsdaten in der Regel auch auf weitere Dienste was es besonders heikel macht.
Ein Beispiel ...
Der Verständnis halber ein kurzes Beispiel wie die gravierendste Lücke funktioniert. Max Muster möchte in Outlook seine E-Mail-Adresse "max.muster@meinefirma.at" einrichten und gibt dazu seine E-Mail-Adresse in den Assistenten ein. Hat diese Firma den Autodiscover-Dienst nicht konfiguriert, sendet Outlook eine Anfrage an die Adresse "https://Autodiscover.at". Die Länderkennung (in dem Fall ".at") entspricht dabei immer der eingegebenen E-Mail-Adresse. Hat ein Cyber-Ganove sich diese Domain registriert, bekommt er die Zugangsdaten einfach so zugesendet ohne dafür was machen zu müssen.
Lücke wird seit Jahren ausgenützt
Und laut den Sicherheitsforschern die diese Lücke nun publik gemacht haben, dürfte den Cyber-Ganoven diese Lücke schon seit Jahren bekannt sein, denn es gibt unzählige dubiose Autodiscover-Domains in freier Wildbahn, daruter "autodiscover.de" und "autodiscover.com". "Autodiscover.at" ist zurzeit nicht vergeben, das muss aber nicht immer so gewesen sein oder so bleiben, eine allgemeine Entwarnung für Postfächer mit at-domain gibt es daher nicht.
Welche Programme sind betroffen?
Die Sicherheitsforscher geben leider keine Liste betroffener Programme an. Ganz sicher ist, dass Outlook betroffen ist. Aber auch die E-Mail-App von Windows 10 beinhaltet so einen Autodiscover-Dienst. Auch das alte Windows Live Mail würden wir argwöhnisch betrachten (abgesehen davon, dass der Support dafür längst abgelaufen ist und man das Programm schon lange nicht mehr verwenden sollte). Aber auch Programme anderer Hersteller sind potenziell betroffen. Sowohl Android als auch iOS bieten bei der Einrichtung von E-Mail-Adressen so eine Automatik. Nicht auszuschließen, dass dabei auch die Fehler der Microsoft Systematik übernommen wurden. Wir würden daher grundsätzlich JEDES E-Mail-Programm vorerst als Verdächtig betrachten, solange es nicht eindeutig als nicht betroffen geprüft wurde.
Wie kann man sich schützen?
Aus Anwender-Perspektive ist der beste Schutz dafür zu Sorgen, dass keine Verbindung zu den potenziell gefährlichen Domains aufgebaut werden kann. Im Falle des oberen Beispiels müsste man also den Zugriff auf "autodiscover.at" unterbinden. Dafür bietet sich unter Windows die Hosts-Datei an. Je nach verwendeter Firewall kann man ev. Auch dort eine Sperre einfügen. Im deutschsprachigen Raum würde also z.B. eine Sperre von "autodiscover.at", "autodiscover.de", "autodiscover.com", "autodiscover.net" und "autodiscover.ch" die meisten Szenarien entschärfen. Je nach verwendeten E-Mail-Adressen müssen halt gegebenenfalls weitere Domains gesperrt werden.
Was tun bei Smartphones und Tabletts?
Auch hier müsste man irgendwie die nötigen Domains sperren, allerdings lässt sich die Hosts-Datei weder bei iOS noch bei Android vom Anwender manipulieren. iOS bietet mit "Bildschirmzeit" eine Möglichkeit Internetadressen zu sperren, wir können aber bisher nicht sagen, ob das nur für Browser gilt oder auch E-Mail-Programme schützen würde. Bei Android hätten wir auf die Schnelle keine Möglichkeit gefunden so eine Sperre einzurichten.
Ist Jeder betroffen?
Ja und Nein. Ein E-Mail-Programm, das für diese Schwachstelle empfänglich ist, bedeutet noch nicht automatisch, dass die Zugangsdaten auch tatsächlich gestohlen werden können. Bietet das einzurichtende Postfach einen funktionierenden Autodicover-Dienst, wird die potenziell gefährliche Adresse nie kontaktiert. Allerdings ist es für Laien nicht ersichtlich, ob ein E-Mail-Server einen funktionierenden Autodiscover Dienst anbietet und selbst wenn könnte der Server vorübergehend nicht erreichbar sein.
Passwort wechsle dich!
Aufgrund der beschriebenen Problematik sollte jeder Anwender sein E-Mail-Passwort ändern, idealerweise, nachdem die oben beschriebenen Schutzvorkehrungen implementiert wurden. Auf Geräten die nicht (verlässlich) abgesichert werden können (Smartphones usw.) sollte man nach jeder Postfach-Einrichtung das Passwort ändern. Zumindest so lange bis eindeutig geklärt ist, ob die E-Mail-App auf dem Geräte für die Lücke anfällig ist oder nicht.
Fazit
Auch wenn das alles für manchen Leser nach einer vermeintlich harmlosen Lücke aussehen mag, die Tragweite ist gigantisch und spontan würden wir die Lücke als die Schlimmste im aktuellen Jahr bezeichnen. Zumindest bei Firmen-Admins müssten jetzt etliche Alarmglocken läuten, denn gestohlene Passwörter sind so ziemlich das gefährlichste was passieren kann.
Quelle: 'Autodiscover: Exchange-Protokoll leakt Windows-Anmeldedaten ins öffentliche Netz' auf Heise Online
25.09.2021 – Apple schließt manche Sicherheitslücken und manche nicht!
Auch Apple lässt seine Anwender mal wieder teilweise im Regen stehen was Sicherheit angeht. Zudem zeigt sich einmal mehr wie intransparent Apple das Thema Sicherheit angeht.
Anwender von Apple Geräten sollten unbedingt die beiden verlinkten heise Online Artikel lesen. Zumindest sollten sie nochmal gründlich prüfen, ob auch wirklich alle Apple Sicherheitsupdates installiert sind. Selbst dann bleiben aber zumindest auf iOS Geräten einige bedenkliche Sicherheitslücken zurück, die sich zum Diebstahl persönlicher Daten missbrauchen lassen.
Auch der Finder in macOS bleibt unsicher, weshalb man hier Vorsicht vor bestimmten Dateien walten lassen sollte.
Quelle: 'Wird aktuell angegriffen: Gefährlicher Zero-Day in macOS und iOS' auf Heise Online
Quelle: 'Frustriert von Apple: Sicherheitsforscher veröffentlicht 0-Day-Lücken für iOS 15' auf Heise Online
25.09.2021 – Wieder Sicherheitslücken in Netgear Router
Wieder einmal muss Netgear kritische Sicherheitslücken in seinen Routern schließen! Diesmal betrifft es folgende Modelle:
- R6400v2
- R6700 & R6700v3
- R6900 & R6900P
- R7000 & R7000P
- R7850
- R7900
- R8000
- RS400
Besitzer dieser Geräte sollten unbedingt rasch ein Firmware-Update durchführen.
Quelle: 'Netgear-Router können über Kindersicherung geknackt werden' auf Heise Online
25.09.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal: Mehrere Core-Module des CMS gegen Angriffe abgesichert' auf Heise Online
25.09.2021 – Schwere Sicherheitslücken in OpenOffice
Wer immer noch OpenOffice einsetzt, sollte sich abermals überlegen, ob es nicht Zeit für einen Wechsel zu LibreOffice ist. OpenOffice wird schon seit geraumer Zeit praktisch nicht mehr weiterentwickelt. Solange zumindest noch Sicherheitslücken geschlossen werden wäre das kein Problem, aber auch hier hapert es offenbar. Zumindest gibt es für aktuelle Sicherheitslücken in OpenOffice kein Update.
Wir empfehlen daher allen Anwendern von OpenOffice auf LibreOffice 7.1.6 zu wechseln und OpenOffice zu deinstallieren.
Quelle: 'Präparierte Dokumente könnten für OpenOffice-Nutzer gefährlich werden' auf Heise Online
Download: Aktuelle LibreOffice Versionen (aktuell empfehlen wir die 7.1.x Versionen)
25.09.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Autodiscover: Exchange-Protokoll leakt Windows-Anmeldedaten ins öffentliche Netz' auf Heise Online
Quelle: 'Jetzt patchen! Krypto-Miner schlüpft durch OMIGOD-Lücken auf Azure-Server' auf Heise Online
Quelle: 'Sicherheitsupdates: Kritische Admin-Lücke mit Höchstwertung bedroht Cisco-Geräte' auf Heise Online
Quelle: 'Sicherheitsupdates: Lücken in McAfee Endpoint Security gefährden Windows-PCs' auf Heise Online
Quelle: 'Jetzt patchen! VMware warnt vor anstehenden Attacken auf vCenter Server' auf Heise Online
Quelle: 'Wichtige Sicherheitsupdates: VMware vCenter Server ist vielfältig angreifbar' auf Heise Online
17.09.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 93.0.4577.82 behebt 11 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Da bereits Angriffe auf zwei der Lücken beobachtet wurden, sollten Anwender das Update äußerst zügig installieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Erneut Exploit-Code für Chrome-Lücken in Umlauf' auf Heise Online
Vivaldi:
Diesmal ging es bei Vivaldi wieder so schnell wie gewohnt. Nachdem Anwender bedingt durch das Upgrade auf die Version 4.2 wieder ein wenig warten mussten, wurden die letzten Updates wider binnen eines Tages übernommen. Vivaldi Anwender sollten also sichergehen, dass sie Version 4.2 verwenden oder zügig updaten.
Die mit 4.0 eingeführte Übersetzungsfunktion kann nun neben der kompletten Website auch markierten Text übersetzen, was wir durchaus praktisch finden. Alle weiteren Neuerungen können sie der folgenden Website entnehmen.
Info: 'Vivaldi 4.2 - Übersetzung von Text mit mehr Privatsphäre' auf Vivaldi.net
Microsoft Edge:
Das Microsoft-Edge-Team hat die aktuellen Sicherheitsupdates bereits übernommen. Wer Microsoft Edge verwendet sollte also das eingebaute Update starten um auf (Edge) Version 93.0.961.52 zu aktualisieren.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
17.09.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & Acrobat
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2021.007.20091 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB21-55 (Englisch)
Adobe Photoshop & Premiere Elements
In Photoshop Elements 2021 wurde eine kritische Schwachstelle entdeckt und behoben, in der Video-Anwendung Premiere Elements 2021 gleich mehrere davon. Wer eines der beiden Programme verwendet sollte umgehend die Updates installieren.
Alle älteren Ausgaben von Photoshop Elements bzw. Premiere Elements bleiben unsicher und sollten nicht mehr verwendet werden!
Quelle: 'Adobe Security Bulletin APSB21-77' auf Adobe.com (Englisch)
Quelle: 'Adobe Security Bulletin APSB21-78' auf Adobe.com (Englisch)
Adobe Creative Cloud Desktop Application
Auch in der Creative Cloud Desktop App wurde eine kritische Schwachstelle behoben. Hier sollte unbedingt zügig auf Version 5.5 oder neuer aktualisiert werden. Das wird in der Regel beim Starten der Anwendung angeboten oder gleich automatisch durchgeführt.
Quelle: 'Adobe Security Bulletin APSB21-76' auf Adobe.com (Englisch)
Adobe Photoshop
In Photoshop 2020 und 2021 wurde eine kritische Schwachstelle behoben. Die 2021er Jahresausgabe (bzw. Version 22.x sollte unbedingt rasch auf Version 22.5.1 aktualisiert werden, Version 21 auf Version 21.2.12. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-84' auf Adobe.com (Englisch)
Adobe Premiere Pro
Im Video-Schnitt-Programm Premiere Pro hat Adobe eine kritische Sicherheitslücke behoben, die zur Infektion des Computers durch Viren führen könnte. Auch hier wird leider, wie bei Adobe aktuell üblich, nur die 2021er Version abgesichert, frühere Ausgaben bleiben unsicher und sollten nicht mehr verwendet werden. Die abgesicherte Ausgabe trägt die Version 15.4.1.
Quelle: Adobe Security Bulletin APSB21-67 (Englisch)
Adobe InDesign
Das Layout-Programm InDesign erhält diesen Monat ein Sicherheitsupdate, das zwei kritische Sicherheitslücken schließt. Anwender von InDesign sollten sicherstellen, dass sie bereits auf Version 16.4 (InDesign 2021) aktualisiert haben oder dies rasch nachholen.
Info: Adobe Security Bulletin APSB21-73 (Englisch)
Adobe Digital Editions
In der macOS-Ausgabe von Adobes E-Book-Reader Software 'Digital Editions' wurden ebenfalls kritische Lücken behoben. Anwender der Software sollten zügig auf Version 4.5.11.187658 updaten bzw. sich überlegen, ob diese Software überhaupt noch benötigt wird und sie gegebenenfalls deinstallieren.
Quelle: Adobe Digital Editions Security Bulletin APSB21-80 (Englisch)
Adobe ColdFusion:
Nutzer von Adobe ColdFusion 2018 und 2021 sollten unbedingt auf ColdFusion 2018 Update 12 bzw. ColdFusion 2021 Update 2 aktualisieren, um zwei kritische Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2016 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.
Quelle: 'Adobe Security Bulletin APSB21-75' auf Adobe.com (Englisch)
Adobe Experience Manager
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es 4 Lücken. Auch hier finden sich alle Details im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB21-82 (Englisch)
Adobe Framemaker
Im Desktop-Publishing-Programm Adobe Framemaker wurden acht Sicherheitslücken gefunden und behoben, wovon vier kritischer Natur sind. Wer das Programm einsetzt, sollte unbedingt die im Security Bulletin verlinkten Updates installieren.
Quelle: Adobe Security Bulletin APSB21-74 (Englisch)
Adobe Genuine Service
Adobe genuine Service ist keine eigenständige Software, sondern ein 'Hintergrund-Programm' das mit vielen Adobe-Programmen mitinstalliert wird. Hier wurde eine Sicherheitslücke behoben die Adobe als 'kritisch' einstuft. Das Update sollte sich selbst installieren, sofern der PC mit dem Internet verbunden ist. Im Security Bulletin ist beschrieben, wie man prüfen kann, ob das Update durchgeführt wurde. Grundsätzlich sollte hier aber für Endkunden kein Handlungsbedarf herrschen.
Quelle: Adobe Security Bulletin APSB21-81 (Englisch)
Adobe InCopy
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen kritische Sicherheitslücken. Hier sollte unbedingt auf Version 16.4 aktualisiert werden, um sicher zu sein.
Info: Adobe Security Bulletin APSB21-71 (Englisch)
Adobe XMP Toolkit SDK
Wer das Adobe XMP Toolkit SDK installiert hat, sollte dieses unbedingt auf Version 2021.08 updaten. Diese Version behebt eine als 'wichtig' eingestufte Sicherheitslücke. Die Ausgabe davor hat sogar mehrere kritische Schwachstellen behoben. Anwendungen, die auf dem SDK basieren, sollten ebenfalls zügig angepasst/aktualisiert werden.
Info: Adobe Security Bulletin APSB21-85 (Englisch)
17.09.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Microsoft schließt von Angreifern ausgenutzte Lücke in Windows' auf Heise Online
PrintNightmare und Co
Es scheint so, als hätte Microsoft das Problem mit dem Drucksystem endlich in den Griff bekommen. Der Entdecker der Lücke, der sonst immer kurze Zeit nach einem Update von Microsoft wieder einen Weg in System fand, hat jedenfalls im Moment keine Lücke mehr entdeckt.
Und auch das Sicherheitsloch, das mithilfe präparierter Office-Dokumente bereits aktiv ausgenutzt wird, ist behoben. Nach ein paar eher nicht zufriedenstellenden Update-Tagen, scheint es als dieses Mal so, als hätte Microsoft alles wieder halbwegs dicht bekommen. Nur der 'WebClient'-Dienst sollte besser nach wie vor deaktiviert bleiben.
Dafür krachts in Azure!
Während also Microsoft bei Windows, Office und Co diesen Monat gut gearbeitet haben dürfte, kracht es im Gebälk des Cloud-Dienstes 'Azure’. Microsoft installiert nämlich in manche auf Azure gehostete VM's eigene Dienste. Genau darin wurden jetzt fatale Sicherheitslücken gefunden. Nur will Microsoft diese automatisch installierten Dienste nicht auch automatisch updaten, sondern überlässt dies den 'Mietern' der VM. Details dazu finden sie im Heise Online Artikel.
Quelle: 'OMIGOD: Microsoft lässt Azure-Admins mit Linux-Lücke allein' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.09 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
17.09.2021 – Sicherheitslücke in HP 'Omen'
Wer ein Gerät von HP mit 'Omen'-Label besitzt oder sich die Software 'HP OMEN Gaming Hub' selbst installiert hat, sollte jetzt unbedingt ein Update durchführen. Grund dafür ist eine Sicherheitslücke in einem Treiber der Software. Am einfachsten gelingt das Update über den 'HP Support Assistant'.
Quelle: 'HP Omen: Software für Gaming-Rechner über Sicherheitslücke in Treiber angreifbar' auf Heise Online
17.09.2021 – Wieder Sicherheitsupdates für Nitro PDF!
Die Firma 'Nitro' hat mal wieder Sicherheitslücken in Nitro-PDF behoben. Es geht um zwei Sicherheitslücken mit 'kritischem' Schweregrad. Anwender, die Nitro PDF installiert haben, sollten zügig updaten bzw. upgraden.
Die Crux an der Sache ist jedoch, dass die Lücken nur in der 13er Ausgabe von Nitro PDF behoben wurde. Wer noch eine 12er Version oder noch älter einsetzt, müsste für 80 Euro ein Upgrade erwerben. Wir raten jedoch davon ab, da der Hersteller häufig durch sehr schleppende Sicherheitsupdates auffällt. Es gibt sicherere und günstigere Alternativen.
Quelle: 'Nitro PDF Pro: Security-Update verhindert Codeausführung über präparierte PDFs' auf Heise Online
17.09.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'OMIGOD: Microsoft lässt Azure-Admins mit Linux-Lücke allein' auf Heise Online
Quelle: 'SAP schließt ungewohnt viele kritische Sicherheitslücken zum Patchday' auf Heise Online
Quelle: 'Hunderttausende MikroTik-Router sind seit 2018 angreifbar' auf Heise Online
Quelle: 'Kritische Sicherheitslücke ohne Patch gefährdet ältere IBM-System-X-Serve' auf Heise Online
Quelle: 'US-Heimatschutz warnt vor weitreichenden Angriffen über Zoho ADSelfService Plus' auf Heise Online
10.09.2021 – Angreifer nutzen neue Windows-Sicherheitslücke!
Cyberganoven haben eine neue Schwachstelle in Windows entdeckt und nutzen diese bereits aktiv aus um Computer zu infizieren. Wieder einmal müssen Opfer präparierte MS-Office Dokumente öffnen, aber ausnahmsweise werden dabei keine Macros genutzt. Vielmehr wird ein Active-X-Controll nachgeladen, und darüber erhält der Angreifer dann Zugriff auf den PC.
Zwar sagt Microsoft, dass Systeme die in der "Standard Konfiguration" betrieben werden nicht angreifbar sind, was genau aber darunter zu verstehen ist, ist unklar. Daher empfiehlt es sich vor allem für Administratoren die von Microsoft beschriebenen Sicherheitsmaßnahmen zu ergreifen. Im Support-Dokument von Microsoft (im Heise Artikel verlinkt) finden Admins, wie sie Systeme per Gruppenrichtlinien absichern können. Heimanwender können hingegen zu der im Heise Artikel selbst beschriebenen Methode greifen, um den eigenen Computer abzusichern.
Quelle: 'Attacken auf Windows: Vorsicht vor präparierten Office-Dokumenten' auf Heise Online
10.09.2021 – Thunderbird 78.14 bzw. 91.1 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 78.14 und 91.1 veröffentlicht. Gegenüber den Vorversionen beheben die neuen Ausgaben zwei Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 78.14, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.14, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.14 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 91.1.0 Release Notes' auf Mozilla.org (Englisch)
13.09.2021 – Firefox 92 bringt Sicherheitsupdates
Mozilla hat Firefox 92 veröffentlicht. Die neue Version behebt 5 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.14.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox 92 und ESR-Versionen bringen wichtige Sicherheitsupdates mit' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
10.09.2021 – Victure liefert keine Sicherheitsupdates für Babyphones und Überwachungskameras
Seit 10 Monaten versuchen Sicherheitsforscher von Bitdefender die Firma Victure dazu zu bringen, für deren Babyphone- bzw. Überwachungskamera-Systeme Sicherheitsupdate zu veröffentlichen – ohne Erfolg. Daher sind die Forscher mit ihren Funden nun an die Öffentlichkeit gegangen, um Besitzer dieser Systeme auf die eklatanten Sicherheitslücken hinzuweisen. Mangels Updates bleibt denen aber nur über, alle Daten aus der Victure-Cloud zu löschen und die Produkte nicht mehr einzusetzen, solange der Hersteller bei der Sicherheit nicht nachbessert. Andernfalls könne Fremde ohne viel Aufwand auf die Daten in der Cloud zugreifen.
Quelle: 'Angreifer könnten Victure-Babyphones ausspionieren – Hersteller reagiert nicht' auf Heise Online
10.09.2021 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Lücken in Gutenberg-Template-Plug-in gefährden eine Million WordPress-Websites' auf Heise Online
Quelle: 'Sicherheitspatch: WordPress-Entwickler raten zu zügigem Update' auf Heise Online
10.09.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal sind darüber hinaus auch Router und Switches des Herstellers betroffen. Details zu den betroffenen Geräten bzw. Lücken gibt es im Heise Online Artikel.
Auf Updates aufgrund der OpenSSL-Sicherheitslücken müssen Besitzer der Geräte immer noch warten, QNAP "untersucht" die Probleme noch.
Quelle: 'Qnap schließt kritische Schadcode-Lücken in NAS-Modellen' auf Heise Online
10.09.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Angreifer könnten Cisco-Router mit IOS XR Software lahmlegen' auf Heise Online
Quelle: 'Netgear schließt Sicherheitslücken in 20 Switches' auf Heise Online
03.09.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 93.0.4577.63 behebt 27 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Angriffe auf die nun geschlossenen Lücken sind bisher wohl nicht beobachtet worden.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome-Entwickler schließen 27 Sicherheitslücken' auf Heise Online
Vivaldi:
Wie leider üblich, hat es Vivaldi nicht geschafft so kurzfristig eine neue Hauptversion zu veröffentlichen. Für Vivaldi 4.2 werden wieder ein paar neue Funktionen vorbereitet und die dürften noch nicht komplett fertig sein. Wir hoffen dennoch, dass die abgesicherte Vivaldi Version 4.2 nächste Woche fertig sein wird. Bislang wurden scheinbar noch keine Angriffe auf die Lücken gemeldet, ein paar Tage Verzögerung sollten also akzeptabel sein.
Microsoft Edge:
Das Microsoft-Edge-Team hat die aktuellen Sicherheitsupdates bereits übernommen. Wer Microsoft Edge verwendet sollte also das eingebaute Update starten um auf (Edge) Version 93.0.961.38 zu aktualisieren.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet ebenfalls noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
03.09.2021 – Wieder neue Bluetooth Sicherheitslücken
Wer unsere News-Artikel regelmäßig liest, für den ist das Thema Bluetooth Unsicherheit nichts Neues. Wir haben schon unzählige Artikel über diverse Bluetooth-Sicherheitslücken geschrieben, und werden das wohl auch in Zukunft immer wieder mal machen müssen. Dafür steht das Thema Sicherheit bei der Bluetooth SIG (die Organisation die für den Bluetooth-Standard verantwortlich ist) einfach zu weit unten auf der Prioritätenliste (falls Sicherheit überhaupt auf der Agenda steht).
So ist es nicht weiter verwunderlich, dass Sicherheitsforscher wieder 16 neue Lücken entdeckt haben. Die schwersten Lücken lassen auch die Ausführung von Schadcode zu, schlimmer geht es also nicht.
Wie üblich ist es für den Besitzer der Geräte meist unmöglich festzustellen, welche der Sicherheitslücken in seinen Bluetooth fähigen Geräten vorhanden sind und ob es jemals Updates dafür geben wird bzw. wann. Bei den ganzen Spielzeugen mit Bluetooth-Chip ist (wie auch bei den meisten IoT-Geräten) so oder so nicht davon auszugehen, dass die jemals ein Update erhalten werden.
Und so bleibt das Fazit des Artikels dasselbe wie schon bei all den vorhergegangenen Artikeln zum Thema Bluetooth – wenn möglich abschalten! Bluetooth war nie sicher, ist nicht sicher, und wird auch nie sicher sein.
Quelle: 'Braktooth: Neue Bluetooth-Lücken bedrohen unzählige Geräte' auf Heise Online
03.09.2021 – Logitech stellt neue Drahtlostechnik vor
Logitech hat eine neue Funktechnologie für seine kabellosen Mäuse und Tastaturen vorgestellt. "Bolt" soll all die Fehler der Unifying-Empfänger gut machen – so die Theorie.
Das kabellose Tastaturen und Mäuse in vielen Firmen verboten sind, hat einen guten Grund – die Dinger sind nicht sicher. Zu einfach ist es, sie zu belauschen oder sich darüber sogar in Firmennetze zu hacken. Die neue Drahtlostechnik von Logitech soll nun alles besser machen und sicher sein. Nachdem wir etliche Webseiten, Handbücher und eBooks zu dem Thema durchsucht haben, sieht es zumindest so aus, als ob Logitech tatsächlich ein paar Dinge gelernt hätte bei dem neuen Funkprotokoll. Aber ist es wirklich so neu? Eigentlich nicht, denn es basiert auf Bluetooth LE. Also einer alles Technik die man nicht unbedingt mit Sicherheit in Verbindung bringt. Allerdings hat Logitech durchaus an ein paar Stellen nachgerüstet, so ist wohl unter anderem sichergestellt, dass auch wirklich nur der aktuelle sicherste Modus von Bluetooth zur Anwendung kommt. Bei regulärem Bluetooth bestimmt ja das "schlechteste" Gerät die Verbindungssicherheit. Koppelt man also z.B. einen Uralt-Kopfhörer an das allerneueste Smartphone, gibt es defakto Null Sicherheit. Logitech’s "Bolt" liefert hingegen zumindest ein bestätigtes Mindestniveau bei der Sicherheit.
Fazit: Gegenüber den alten Unifying-Geräten oder auch normalen Bluetooth-Peripherie-Geräten dürften die Bolt-basierten Geräte sicherheitstechnisch im Vorteil sein. Wer jedoch tatsächlich denkt, dass Hacker niemals einen Weg finden werden diese Geräte zu hacken, hat aus der Vergangenheit nichts gelernt. Und so können wir Firmen und sicherheitsbewussten Anwendern auch weiterhin von kabellosen Peripherie-Geräten nur abraten, ganz egal ob Logitech oder ein anderer Markenname drauf steht. Wenn es "unbedingt" eine kabellose Maus oder Tastatur sein "muss", dann dürften Geräte mit Logitech Bolt aber aktuell vermutlich erste Wahl sein. Doch Achtung, bislang unterstützen nur wenige hochpreisige Geräte von Logitech den neuen Funkstandard. Vor dem Kauf also ganz genau informieren.
Quelle: 'Logi Bolt: Logitech mit neuer Drahtlostechnik für Mäuse und Tastaturen' auf Heise Online
03.09.2021 – NAS-Geräte: Warten auf wichtige Sicherheitsupdates
Besitzer von NAS-Geräten sollten sich einmal mehr überlegen, ob diese Geräte wirklich mit dem Internet verbunden sein müssen. Hintergrund sind die letzten OpenSSL-Sicherheitslücken, die auf viele Geräte Auswirkungen haben, darunter eben auch NAS-Systeme.
Geräte von Qnap und Synology sind z.B. von den Lücken betroffen, wie die beiden Hersteller verlautbart haben. Sicherheitsupdates haben beide aber aktuell noch nicht fertig, was die Geräte angreifbar macht. Darum eben wie üblich die Empfehlung, NAS-Systeme möglichst nicht übers Internet erreichbar zu machen. Egal ob Internet-Anbindung oder nicht, Besitzer der Geräte sollten in der nächsten Zeit wieder häufiger nach Updates Ausschau halten und diese auch installieren.
Quelle: 'Warten auf OpenSSL-Patch: Qnap und Synology wollen NAS absichern' auf Heise Online
03.09.2021 – Sicherheitslücke in 'Midnight Commander' 9 Jahre unbemerkt
Es ist immer wieder verblüffend, wie lange Sicherheitslücken in Software teilweise unbemerkt bleiben. Diesmal hat es die Dateiverwaltungssoftware 'Midnight Commander' getroffen. Zum Glück saß die Lücke 'nur' im FTP-Modul. Wer also die Software nur zur Verwaltung lokaler Dateien genutzt hat, ist von der Lücke nicht betroffen. Nichtsdestotrotz sollten natürlich ALLE Anwender der Software auf die bereinigte Version 4.8.27 (oder Neuer) updaten.
Quelle: 'Dateimanager Midnight Commander seit neun Jahren angreifbar' auf Heise Online
03.09.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco beseitigt kritische Lücke aus Enterprise NFV Infrastructure Software' auf Heise Online
Quelle: 'Energiemanagementsystem DIAEnergie weist kritische Lücken auf' auf Heise Online
Quelle: 'Jetzt patchen! Krypto-Miner schlüpft durch Confluence-Lücke' auf Heise Online
Quelle: 'Kritische Root-Sicherheitslücke in Netzwerk-Videorekorder von Annke entdeckt' auf Heise Online
27.08.2021 – Vivaldi Sicherheitsupdate
Vivaldi hat kurz nach dem Erstellen unseres Newsletters/Website-Updates letzten Freitag doch noch das erwartete Sicherheitsupdate veröffentlicht. Vivaldi 4.1 Update 3 kam mit Chromium Version 92.0.4515.159 und ist damit wieder auf dem aktuellen Sicherheitsstand.
Abgesehen von dem Sicherheitsupdate enthält die neue Fassung auch zahlreiche Verbesserungen bei der eingebauten E-Mail- und Kalender-Funktionalität. Die Mail- und Kalender-Funktionalität ist nach wie vor als "unfertig" (Beta) eingestuft und muss explizit akviert werden wenn man sie testen/verwenden möchte.
Quelle: 'Minor update (3) for Vivaldi Desktop Browser 4.1' auf Vivaldi.com (Englisch)
27.08.2021 – Gefährliche Tastaturen und Mäuse
Langjährige Leser unseres News-Service werden jetzt vermutlich denken es geht wieder einmal um kabellose Tastaturen und Mäuse. Doch ungeachtet dessen, dass wir davon weiterhin generell abraten, geht es dieses Mal nicht (ausschließlich) um kabellose Eingabe-Geräte.
Vielmehr haben zwei Hersteller derartiger Geräte einfach ihr Hausaufgaben nicht richtig erledigt, was einfache Benutzer in die Lage versetzt sich auf sehr einfache Art und Weise Administratorrechte zu verschaffen. Wieder einmal ist das kein Problem, solange der einzige Benutzer eines PCs ohnehin Administratorrechte hat. Wird ein PC aber von mehreren Benutzern verwendet, wovon manche eingeschränkte Rechte haben, werden diese Geräte zum Problem.
Den Anfang machte gleich am Montag eine Meldung über Geräte des Herstellers "Razer". Zwei Tage später fand jemand den nahezu identischen Fehler auch in der Software des Herstellers "SteelSeries".
Mittlerweile gibt es auch Programme für Smartphones, die es ermöglichen dem Windows-PC so ein Eingabe-Gerät vorzugaukeln. Dann muss ein Angreifer bzw. böswilliger Mitarbeiter nur sein Handy an den PC anstecken und wenige Augenblicke später hat er die vollständige Kontrolle über den PC.
Microsoft könnte die Installation der Software der beiden Hersteller sicher kurzfristig unterbinden, leider haben wir aber bisher nichts in der Art gelesen. So wieder einmal die Administratoren gefragt, die auf diese Bedrohung reagieren müssen. Leider bleiben die Forscher (wie schon bei Print-Nightmare) eine Lösung der Misere schuldig, wieder einmal war das medienwirksame Veröffentlichen der Lücke wichtiger, als der Schutz der betroffenen Computer.
Wir denken aber, dass die folgenden drei Gruppenrichtlinien dafür sorgen sollten, dass keine automatische Installation dieser Geräte mehr stattfinden sollte und man daher geschützt ist. Testen können wir dies mangels passendem Eingabe-Gerät jedoch nicht:
Computerkonfiguration → Richtlinien → Administrative Vorlagen → System → Geräteinstallation → Abrufen von Gerätemetadaten aus dem Internet verhindern.
Diese Gruppenrichtlinie sollte aktiviert werden. Sie verhindert, dass beim Anstecken eines Gerätes im Internet automatisch nach Treibern gesucht wird. Wir empfehlen Administratoren diese Richtlinie generell aktiviert zu lassen, unabhängig davon, ob diese beiden Hersteller abgesicherte Software anbieten. Denn allzu viele Geräte nutzen diese Möglichkeit mittlerweile aus, um mehr oder weniger unbemerkt Software auf dem Gerät zu installieren. Das ist ein in unseren Augen ein Sicherheitsproblem, weshalb wir diese Richtlinie eben dauerhaft aktivieren würden.
Möglicherweise genügt es schon diese eine Richtlinie zu setzen, wer auf Nummer sicher gehen will, verwendet aber auch die beiden folgenden Richtlinien noch.
Computerkonfiguration → Richtlinien → Administrative Vorlagen → System → Geräteinstallation → Suchreihenfolge für Quellspeicherordner für Gerätetreiber festlegen.
Die Richtlinie mit diesem sperrigen Namen muss aktiviert werden und im Auswahlfeld muss die Option "Windows Update nicht durchsuchen" ausgewählt werden. Genau wie die folgende Richtlinie verhindert dies, das die unsichere Software womöglich über Windows Update auf den Computer gelangt. Im Gegensatz zu der vorhergehenden Richtlinie würden wir diese Option nicht dauerhaft aktiviert lassen, da sie dann womöglich negative Auswirkungen auf Microsoft Surface Geräte haben könnte. Sobald beide Hersteller neue Software am Start haben und die Probleme damit aus der Welt geschafft sind, würden wir die Richtlinie also wieder auf "nicht konfiguriert" (oder was immer der ursprünglich Wert war) stellen.
Computerkonfiguration → Richtlinien → Administrative Vorlagen → Windows Komponenten → Windows Update → Keine Treiber in Windows-Updates einschließen.
Diese Richtlinie muss aktiviert werden. Ansonsten gilt hier dasselbe wie bei der Richtlinie zuvor. Das heißt auch diese Richtlinie sollte wieder zurückgesetzt werden, wenn abgesicherte Software der beiden Hersteller verfügbar ist.
Aufpassen bei HomeOffice Geräten!
Besonderes Augenmerk gilt Geräten die im HomeOffice genutzt werden. Stellen diese nicht regelmäßig eine Verbindung zum Domänencontroller her, bekommen sie von den neuen Gruppenrichtlinien nichts mit. Dann ist der Administrator gefordert, um die Geräte zumindest kurzzeitig mit dem Server in Kontakt zu bringen, oder auf anderem Wege für eine Absicherung zu sorgen.
Quelle: 'Das Anstecken einer Razer-Maus macht Angreifer zu Windows-10-Admins' auf Heise Online
Quelle: 'Gaming-Peripherie: Admin-Schlupfloch in SteelSeries-Software entdeckt' auf Heise Online
27.08.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal: Updates sichern zwei Module gegen Angriffe ab' auf Heise Online
27.08.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'OpenSSL: Schwachstellen-Fix beugt möglicher Datenmanipulation vor' auf Heise Online
Quelle: 'Kritische Schadcode-Lücke in Wiki-Software Confluence geschlossen' auf Heise Online
Quelle: 'Sicherheitsupdates: Root-Kernel-Lücke bedroht IBMs Betriebssystem AIX' auf Heise Online
Quelle: 'Updates verfügbar: Cisco fixt unter anderem kritische Lücke in APIC & Cloud APIC' auf Heise Online
Quelle: 'Sicherheitsupdates: Netzwerk-Equipment von F5 für Attacken anfällig' auf Heise Online
Quelle: 'Sicherheitsupdates für VMware: Angreifer könnten Accounts übernehmen' auf Heise Online
20.08.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 92.0.4515.159 behebt 9 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Angriffe auf die nun geschlossenen Lücken sind bisher wohl nicht beobachtet worden.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate für Google Chrome beseitigt Angriffsmöglichkeiten' auf Heise Online
Vivaldi:
Die Vivaldi Entwickler haben das Google Sicherheitsupdate leider noch nicht übernommen. Warum es diesmal "so lange" (für Vivaldi Verhältnisse) dauert ist bisher unklar. Wir erwarten das Update aber "jederzeit". Da laut Google keiner der Lücken aktiv für Angriffe genutzt wird, besteht auch noch kein Grund für Panik oder vorübergehende Browser-Wechsel.
Microsoft Edge:
Das Microsoft-Edge-Team hat die aktuellen Sicherheitsupdates bereits übernommen. Wer Microsoft Edge verwendet sollte also das eingebaute Update starten um auf (Edge) Version 92.0.902.78 zu aktualisieren.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet ebenfalls noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
20.08.2021 – Wieder verspätete Adobe Sicherheitsupdates!
Langsam wird es scheinbar zur Regel, dass Adobe sein Sicherheitsupdates nicht zum "Tag der Updates" fertig bekommt und dann eine Woche später nochmal nachlegen muss. Nach dem eher mageren Updates letzte Woche war das aber absehbar. Hier eine Übersicht welche Sicherheitsupdates Adobe diese Woche nachgereicht hat.
Quelle: 'Adobe sichert Photoshop & Co. außer der Reihe ab' auf Heise Online
Adobe Photoshop
In Photoshop 2020 und 2021 wurden zwei Schwachstellen behoben, beide von kritischer Natur. Die 2021er Jahresausgabe (bzw. Version 22.x sollte unbedingt rasch auf Version 22.5 aktualisiert werden, Version 21 auf Version 21.2.11. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-68' auf Adobe.com (Englisch)
Adobe Bridge
In Adobe Bridge wurden stolze 14 Sicherheitslücken behoben, 5 davon tragen die Einstufung "kritisch". Das Update auf die abgesicherte Version 11.1.1 sollte daher zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB21-69' auf Adobe.com (Englisch)
Adobe Media Encoder
Im Adobe Media Encoder wurde eine kritische Sicherheitslücke behoben. Auch hier verschweigt Adobe Details und auch hier sollten Anwender rasch auf Version 15.4.1 updaten. Alle älteren Versionen des Adobe Media Encoders sollten deinstalliert werden.
Quelle: Adobe Security Bulletin APSB21-70 (Englisch)
Adobe Captivate
Auch für Adobe Captivate gibt es ein Sicherheitsupdate gegen eine als "wichtig" eingestufte Sicherheitslücke. Betroffen ist hierbei jedoch nur die MacOS Version. Details dazu finden sie im Security Buletin.
Info: Adobe Security Bulletin APSB21-60 (Englisch)
Adobe XMP Toolkit SDK
Wer das Adobe XMP Toolkit SDK installiert hat, sollte dieses unbedingt auf Version 2021.07 updaten. In früheren Versionen wurden etliche teils kritische Sicherheitslücken entdeckt. Anwendungen, die auf dem SDK basieren, sollten ebenfalls zügig angepasst/aktualisiert werden.
Info: Adobe Security Bulletin APSB21-65 (Englisch)
20.08.2021 – Erinnerung: Systeme vor Print-Nightmare Lücken absichern
Administratoren (oder sicherheitsbewusste Anwender) die ihre Windows Systeme immer noch nicht gegen die neueste Print-Nightmare Sicherheitslücke abgeschert haben, sollten dies tunlichst rasch nachholen. Mittlerweile nutzen erste Verbrecherbanden die Lücken, um Windows-Computer auf Systemebene zu infizieren.
Wer hundertprozentigen Schutz möchte, kommt dabei aktuell um das Deaktivieren der Druckerwarteschlange nicht herum. Wer auf die Druckfunktion nicht (vorübergehend) verzichten kann, sollte sich die alternative Schutzmaßnahme aus unserem letzten Artikel zu dem Thema ansehen, auch wenn wir dafür keine "Garantie" geben können, dass sie Angriffe zuverlässig abwehren kann.
Quelle: 'Windows: Vice-Society-Ransomware schlüpft durch PrintNightmare-Lücken' auf Heise Online
20.08.2021 – Thunderbird 91.0.1 verfügbar!
Die Entwickler von Thunderbird haben die Version 91.0.1 veröffentlicht. Unter anderem wurde der Assistent zum Anlegen neuer E-Mail-Konten deutlich überarbeitet und soll nun einfacher sein. Zudem kann man direkt aus dem Assistenten heraus gleich Kalender und Adressbücher verbinden oder die Verschlüsselung aktivieren, sofern sowohl der jeweilige E-Mail-Dienst als auch Thunderbird das unterstützt.
Die Integration mit Gmail soll verbessert worden sein. Außerdem soll es visuelle Verbesserungen in mehreren Bereichen geben, die aber so gering ausgefallen sein dürften, dass wir sie auf den Screenshots bisher nicht erkennen konnten. Darüber hinaus soll Thunderbird nun mehrere Prozesse gleichzeitig verwenden, was der Performance zugutekommen sollte. Verbesserungen bei der Unterstützung von CardDAV nehmen wir ebenso erfreut zur Kenntnis.
Das wir die ganzen Verbesserungen bisher nur theoretisch wiedergeben können liegt daran, dass aktuell noch kein Update von Thunderbird 78 auf 91 vorgesehen ist. Erst wenn das möglich wird, können wir die neue Version selbst testen. Da Thunderbird 78 noch bis November mit Sicherheitsupdates versorgt werden sollte, besteht auch noch keine Eile für ein Upgrade.
Deshalb bieten wir auch noch keinen direkten Download der neuen Fassung an, wer sich der Risiken bewusst ist, oder ohnehin erst neu mit Thunderbird beginnt, kann die neue Version aber direkt von der Thunderbird Homepage herunterladen.
20.08.2021 – Firefox 91.0.1 bringt Sicherheitsupdates
Mozilla hat Firefox 91.0.1 veröffentlicht. Die neue Version behebt eine Sicherheitslücke, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR 78.13 war die Sicherheitslücke nicht enthalten, daher ist hier auch kein Update nötig.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox & Thunderbird: Security-Fixes für Browser und Mail-Client verfügbar' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
20.08.2021 – Realtek Sicherheitslücken betreffen Geräte etlicher Hersteller!
Sicherheitslücken in einem Realtek WLAN Bauteil bzw. der zugehörigen Software, machen Geräte etlicher Hersteller unsicher. Betroffen sind z.B. dutzende Router von D-Link und anderen Herstellern, aber auch IoT-Geräte und andere Geräte, die WLAN verwenden. Eine vermutlich nicht vollständige aber dennoch schon sehr umfangreiche Liste betroffener Hersteller bzw. Geräte findet man ganz unten im verlinkten Security Bericht.
Da es kaum einen Haushalt ohne WLAN fähiges Gerät geben dürfte, empfehlen wir allen Lesern die Liste durchzugehen und Geräte die man selbst besitzt zu notieren. Bei den Herstellern der notierten Geräte sollte man nach Sicherheitsupdates mit Bezug zu den folgenden CVE-Nummern suchen: CVE-2021-35392, CVE-2021-35393, CVE-2021-35394 und CVE-2021-35395.
Hat der Hersteller noch kein passendes Update bereitgestellt oder zumindest angekündigt, sollte man beim Support nachfragen ob, bzw. wann mit einem Update zu rechnen ist. Bei billigen NoName IoT-Geräten stehen die Chancen da aber eher schlecht. Dann bleibt nur das Gerät aus dem Verkehr zu ziehen oder falls möglich WLAN zu deaktivieren.
Quelle: 'Realtek: Schwachstellen in Wireless-SoCs betreffen Geräte vieler Hersteller' auf Heise Online
20.08.2021 – LibreOffice 7.2 verfügbar
Die LibreOffice Entwickler haben Version 7.2 der freien OfficeSuite fertiggestellt. Darin wurdenhttps://wiki.documentfoundation.org/ReleaseNotes/7.1/de wieder jede Menge Neuerungen eingebaut, auf die wir gerne später noch ausführlich eingehen werden, wenn die neue Ausgabe einen Reifegrad erreicht hat der es erlaubt auch von normalen Anwendern und Firmen genutzt zu werden. Vorerst richtet sich die neue Ausgabe eher an Anwender, die unbedingt immer das Allerneueste haben müssen und auch gewillt sind Bugreports einzusenden.
Wer nicht warten möchte bis wir LibreOffice 7.2 reif für den Einsatz halten kann sich jetzt schon im verlinkten Heise Online Artikel oder auf der LibreOffice-Website über die Neuerungen informieren.
Quelle: 'LibreOffice 7.2: Neue Version soll für mehr Kompatibilität mit MS Office sorgen' auf Heise Online
Quelle: 'Übersicht über alle Neuerungen von LibreOffice 7.2' auf documentfoundation.org
20.08.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Fortinet: Wichtiges Sicherheitsupdate für FortiWeb OS in Vorbereitung' auf Heise Online
Quelle: 'Kritische Lücke in Blackberry QNX OS gefährdet medizinische Geräte' auf Heise Online
Quelle: 'Cisco meldet gefährliche Remote-Angriffsmöglichkeiten auf Small Business-Router' auf Heise Online
13.08.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Microsoft meldet abermals Attacken auf Windows' auf Heise Online
Nach wie vor Handarbeit angesagt!
Microsoft hat zwar sehr viele Lücken geschlossen, darunter auch welche die Microsoft ursprünglich gar nicht beheben wollte, dennoch bleibt für gewissenhafte Anwender und vor allem Administratoren Handarbeit über.
Doch ein Update gegen Petit-Potam Angriff!
Ursprünglich wollte Microsoft kein Sicherheitsupdate gegen die Petit-Potam Angriffe auf die Active Directory Zertifikats-Webdienste veröffentlichen, nun hat der Konzern aber doch reagiert und die zugrunde liegende Lücke in den August-Updates behoben. Eine Deinstallation oder spezielle Härtung der AD CA Webdienste ist also nicht mehr unbedingt erforderlich, aber immer noch ratsam.
Drucker Alptraum hält weiter an!
Die Printer-Nightmare Sicherheitslücke(n) hat Microsoft auch mit den August-Updates nicht gänzlich aus der Welt schaffen können. Immer noch gelingt es dem Sicherheitsforscher Benjamin Delpy Windows-Computer über manipulierte Druckertreiber anzugreifen. Einen offiziellen Ausweg aus der Misere hat der eigenwillige Franzose leider einmal mehr nicht bereitgestellt. Heise Online verweist auf die Lösungsansätze gegen die erste Print-Nightmare Lücke, also Abschalten des Druckerwarteschlangendienstes oder die Änderung der Berechtigungen am Printspooler-Ordner. Ob letzteres wirklich nützt, ist aber nicht bestätigt. Wir vermuten, dass es einen anderen, eleganteren Weg gibt um das Problem (vorübergehend) zu umgehen. Durch Aktivieren der Gruppenrichtlinie 'Hinzufügen von Druckern verhindern' (Benutzerkonfiguration → Administrative Vorlagen → Systemsteuerung → Drucker) unterbindet man die Installation von Druckern generell, womit der Angriff wie er von Delpy per Video demonstriert wird, nicht mehr möglich sein sollte. Gruppenrichtlinien stehen in der Heimanwender-Variante von Windows jedoch nicht zur Verfügung, dafür benötigt man mindestens die Pro-Edition.
Quelle: 'PrintNightmare: Schon wieder eine Drucker-Lücke in Windows ohne Patch' auf Heise Online
Update gegen Hive-Nightmare erfordert Nacharbeit
Microsoft hat mit den August-Updates zwar das Grund-Problem mit den fehlerhaften Berechtigungen auf die SAM-Datenbank behoben, allerdings können per Update keine "fehlerhaften" Sicherungen gelöscht werden. Eventuell bestehende Schattenkopien des Systemlaufwerks müssen daher manuell gelöscht werden. Microsoft hat dafür eine Anleitung bereitgestellt. Besitzer von Notebooks und PCs, die ganz alleine genutzt werden, können sich das ganze sparen, sobald ein Gerät jedoch von mehreren Anwendern benutzt wird, empfiehlt es sich die alten Schattenkopien zu löschen. Letztendlich muss dafür nur ein Befehl ausgeführt werden, was keine Minute dauert. Die Anleitung erklärt jedoch auch so manches, weshalb das Lesen des gesamten Artikels ein paar Minuten länger dauern kann.
Info: 'Anleitung zum Löschen von Schattenkopien' auf Microsoft.com
WebClient Sicherheitslücke (vermutlich) immer noch offen
Die Sicherheitslücke im WebClient-Dienst (über die wir letzte Woche berichtet hatten) wird in keinem der Microsoft Bulletins erwähnt und auch auf anderen Webseiten ist nichts darüber zu finden. Wir müssen daher bis auf Weiteres davon ausgehen, dass die Lücke nach wie vor existiert und man den Dienst 'WebClient' besser weiterhin deaktiviert.
Quelle: 'Bericht über WebClient-Sicherheitslücke in aktuellen Windows Versionen' auf GitHub.com (Englisch)
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.09 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
13.08.2021 – Thunderbird 78.13 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 78.13 veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe sechs Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 78.13, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.13, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.13 Release Notes' auf Mozilla.org (Englisch)
13.08.2021 – Firefox 91 bringt Sicherheitsupdates
Mozilla hat Firefox 91 veröffentlicht. Die neue Version behebt 11 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.13.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox und Firefox ESR gegen verschiedene Attacken abgesichert' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
13.08.2021 – Neue iTunes Version behebt kritische Sicherheitslücken!
Apple behebt mit iTunes 12.11.4 zwei kritische Sicherheitslücken in der Multimedia Software.
Anwender, die iTunes tatsächlich benötigen, sollten rasch auf die neue Version aktualisieren, was am einfachsten über das Programm 'Apple Software Update' gelingt. Alle anderen sollten die Programme deinstallieren, da sie PCs spürbar langsamer machen, selbst wenn sie gar nicht verwendet werden.
Anwender, die immer noch Apple Quicktime auf ihrem Windows-PC installiert haben, sollten dies unbedingt deinstallieren, nachdem Apple bereits Anfang 2016 trotz bekannter Sicherheitslücken plötzlich den Support für Quicktime für Windows beendet hatte.
Quelle: 'Informationen zum Sicherheitsinhalt von iTunes 12.11.4 für Windows' auf Apple.com (Englisch)
13.08.2021 – Intel veröffentlicht August-Sicherheitsupdates
Prozessorhersteller Intel hat mal wieder neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Diesen Monat ist die Liste aber erfreulich kurz geraten, zudem dürften die meisten Updates auch wirklich für alle betroffenen Anwender verfügbar sein.
Lücken im Grafiktreiber
Intel meldet, dass in diversen Grafiktreiber-Versionen Sicherheitslücken behoben wurden. Jedoch sind die im Bericht erwähnten "Updates" alle aus dem letzten Jahr und es wurden inzwischen etliche neuere Treiber veröffentlicht. Ob hier bei Intel etwas durcheinandergekommen ist oder man nur so lange gewartet hat die Lücken öffentlich einzugestehen wissen wir nicht. So oder so sollten Anwender mit Intel Grafik zum neuesten Treiber greifen und nicht unbedingt zu denen die im Security Bulletin erwähnt werden.
Quelle: 'Intel® Graphics Drivers Advisory - SA-00508' auf Intel.com
Zweimal Netzwerk-Treiber Sicherheitslücken
Zwei Sicherheitsbulletins beschäftigen sich mit Netzwerktreibern. Bei einem geht es um Linux-Treiber-Updates, die wohl über die Distributoren verteilt werden, weshalb wir uns damit nicht aufhalten. Das andere Problem betrifft die Windows-Netzwerk-Treiber für Intel Karten der Serie 800. Wer so eine Netzwerkkarte im PC stecken hat, sollte Firmware und Treiber aktualisieren.
Zwei Updates für NUC Systeme
Für die NUC Systeme von Intel gibt es zwei Sicherheitsbulletins. Die notwendigen Updates sind direkt in den beiden Reports verlinkt und lassen sich einfach runterladen und installieren.
Quelle: 'Intel® NUC Pro Chassis Element Driver Advisory' auf Intel.com (Englisch)
Quelle: 'Intel® NUC 9 Extreme Laptop Kits Advisory' auf Intel.com (Englisch)
Optane Sicherheitsupdate für XEON-Systeme
Administratoren von Server mit XEON Prozessoren und Optane-Speicher sollten sich das letzte Sicherheitsbulletin von Intel aufmerksam durchlesen und die gegebenenfalls nötigen Updates installieren.
Quelle: 'Intel® Optane™ PMem Advisory' auf Intel.com (Englisch)
13.08.2021 – Adobe Sicherheitsupdates
Da Adobe im August (bisher) nur wenige Sicherheitsupdates veröffentlicht hat, und diese nicht unbedingt die sehr weit verbreiteten Anwendungen betrifft, kommt Adobe heute als (fast) Letztes dran.
Adobe Magento bzw. Adobe Commerce
Im Webshop-System "Magento" bzw. "Commerce" wurde gleich eine ganze Reihe Sicherheitslücken behoben, deren Einstufung von "moderat" bis "kritisch" reicht. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB21-64 (Englisch)
Adobe Connect
Für die Web-Conferencing-Software gibt es ein als wichtig eingestuftes Sicherheitsupdate. Details dazu gibt es im Sicherheitsbulletin von Adobe.
Quelle: Adobe Connect Security Bulletin APSB21-66 (Englisch)
13.08.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Patchday: SAP stopft kritische Sicherheitslücken in Business One & Co.' auf Heise Online
06.08.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 92.0.4515.131 behebt 10 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Angriffe auf die nun geschlossenen Lücken sind bisher wohl nicht beobachtet worden.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome: Browser-Update für den Desktop schließt Sicherheitslücken' auf Heise Online
Vivaldi:
Die Vivaldi Entwickler haben das Google Sicherheitsupdate wie üblich schnell übernommen und Vivaldi 4.1 Update 1 am Mittwoch veröffentlicht. Heute hat Vivaldi nochmal nachgelegt (4.1 Update 2), hierbei handelt es sich aber nur um ein Stabilitätsupdate ohne Sicherheitsrelevanz.
Quelle: 'Minor update for Vivaldi Desktop Browser 4.1' auf Vivaldi.com (Englisch)
Microsoft Edge:
Das Microsoft-Edge-Team hat die aktuelen Sicherheitsupdates ebenfalls übernommen. Wer Microsoft Edge verwendet sollte also das eingebaute Update starten um auf Version 92.0.902.67 zu aktualisieren.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet ebenfalls noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
06.08.2021 – Sicherheitsupdates für Foxit Reader und PhantomPDF
Wer anstelle des Adobe Acrobat auf PhantomPDF aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 11.0.1 behebt einen Fehler der möglicherweise zur Infektion des Computers genutzt werden könnte. Anwender die noch Version 10 der Software oder gar noch älter einsetzen sollten unbedingt auf die aktuelle Version upgraden.
Quelle: 'Foxit PDF Reader und Editor: Updates beseitigen zahlreiche Schwachstellen' auf Heise Online
06.08.2021 – Petit Potam - Nachtrag
Wie angekündigt haben wir uns diese Woche ausführlicher mit Petit Potam beschäftigt, um die zahlreichen Wissenslücken, die der de facto nicht vorhandene Sicherheitsreport des Entdeckers, zurücklässt, zu schließen. Nach langen Tests können wir ein bisschen mehr sagen:
1.) Der Petit Potam Angriff (auf die AD CA Webservices) funktioniert (soweit wir das sagen können) NICHT übers Internet. Der Angreifer muss bereits Zugriff auf einen Domänen-Rechner haben um den Angriff durchführen zu können. Das nimmt natürlich erheblich Brisanz aus der ganzen Sache. Nichtsdestotrotz sollten Administratoren die Lücke weiterhin ernst nehmen und Maßnahmen ergreifen.
2.) Der 'gewöhnliche Admin' sollte von dem "TestTool" (PetitPotam.exe) auf der GitHub-Seite des Entdeckers besser die Finger lassen. Es ist zwar nicht gefährlich, aber es liefert irreführende Ergebnisse, da es eigentlich fast immer "Attack sucessfull" anzeigt, auch wenn letzten Endes der Angriff nicht erfolgreich war. Wir könnten da noch mehr dazu schreiben, aber letztendlich raten wir von dem Einsatz des Tools einfach ab. Wer sich dennoch damit beschäftigen möchte, muss entweder viel Zeit einplanen oder bereits umfangreiche Pentesting-Erfahrung haben.
Dem "gewöhnlichen Administrator" legen wir hingegen eher eine der zwei folgenden Vorgehensweisen ans Herz:
a.) Wir bevorzugen es, die beiden verwundbaren AD CA Dienste gänzlich zu deinstallieren. Es handelt sich um folgende Dienste:
Certificate Authority Web Enrollment (Deutsch: Zertifizierungsstellen-Webregistrierung)
Certificate Enrollment Web Service (Deutsch: Zertifikatregistrierungs-Webdienst)
Außerdem würden wir die ASP-Datei im Verzeichnis 'CertEnroll’ in ein ZIP-Archiv verschieben (als Backup für alle Fälle) und danach löschen. Das virtuelle Verzeichnis 'CertEnroll’ selbst sollte kein Sicherheitsrisiko darstellen, die Angriffe konzentrieren sich auf die Pfade, die Microsoft in seinem Hilfe-Dokument nennt.
Achtung: Nach Deinstallation der Dienste muss das virtuelle Verzeichnis 'CertEnroll’ im IIS eventuell von Hand neu angelegt werden, sofern externe Clients auf die Zertifikats-Sperrliste zugreifen können müssen.
b.) Wer die beiden Dienste installiert hat und nicht deinstallieren kann oder möchte, sollte die Härtungs-Maßnahmen ergreifen, die Microsoft im Knowledgebase-Artikel KB5005413 beschreibt.
06.08.2021 – Und noch eine Windows Sicherheitslücke
Bei unseren Recherchen über Petit Potam sind wir noch über eine andere GitHub Seite gestolpert, die ebenfalls einen Angriff auf Windows Computer demonstriert. Letztendlich ist das ganze sehr ähnlich zu Petit Potam, nur das statt der Certifikatsdienste ein Windows Dienst namens WebClient angegriffen wird. Dieser Dienst ist bei modernen Windows Versionen standardmäßig nicht gestartet, unter Umständen könnte ein Angreifer den Dienst aber aus der Ferne starten.
Auf Servern scheint der Dienst standardmäßig nicht vorhanden zu sein, zumindest auf zwei Windows Servern 2019 war er nicht installiert. Unter Windows 10 ist der Dienst aber standardmäßig vorhanden.
Im Gegensatz zu den Zertikatdiensten auf Servern, lässt sich der WebClient Dienst aber ganz einfach komplett abschalten. Einfach in der Computerverwaltung auf "Dienste" gehen und dort den WebClient-Dienst auf "Deaktiviert" stellen. Dann lässt sich der Dienst nicht mehr starten und der PC ist darüber auch nicht mehr angreifbar. Administratoren sollten den Dienst über eine Gruppenrichtlinie zentral deaktivieren.
In der Regel wird kaum ein Anwender diesen Dienst vermissen. Er dient der Interaktion mit WebDAV Laufwerken. Eine Technik die inzwischen kaum noch Verwendung findet.
Leider scheint es so, als hätte weder eine größere News-Seite dieses Thema aufgegriffen noch Microsoft selbst. Es ist daher nicht bekannt, ob die Schwachstelle behoben wird, oder ob man den Dienst in Zukunft bei jedem neuen Windows Gerät aufs neue deaktivieren muss.
06.08.2021 – DSGVO: 65.000 Euro Strafe für Webshop Betreiber
Viele Firmen haben das Thema DSGVO nach dem kurzen "Hype" im Jahr 2018, scheinbar schon wieder vergessen. Manche ignorieren den Datenschutz auch ganz bewusst, wieder andere glauben, es würden eh nur die großen Konzerne bestraft.
Ein aktuelles Beispiel aus Deutschland zeigt einmal mehr, dass die DSGVO durchaus Zähne hat und für kleine Unternehmen schmerzhaft werden kann, wenn man den Datenschutz nicht den nötigen Respekt zollt.
Ein deutscher Webshop-Betreiber musste deshalb 65.000 Euro Strafe zahlen, weil er eine veraltete Webshop-Software verwendet hat, die nicht mehr den aktuellen Sicherheitsanforderungen entspricht.
Alle Firmen und Selbstständige sollten das vielleicht mal wieder als Anlass nehmen, um die eigenen Datenschutzvorkehrungen nochmal auf die Probe zu stellen und gegebenenfalls nachzubessern.
Quelle: 'DSGVO-Bußgeld wegen des Betriebs einer Website mit veralteter Software' auf Heise Online
06.08.2021 – Und schon wieder Cisco… (Sicherheitslücken)
Angesichts der nicht enden wollenden Sicherheitsupdates bei Cisco ist man versucht zu sagen: "Unsere wöchentlichen Cisco-Sicherheitsupdates gebe uns heute". Administratoren mit Cisco Geräten in der Firma (oder Zuhause?) wird allerdings nicht nach Späßchen zumute sein, denn die haben seit Monaten alle Hände voll zu tun, um Löcher zu schließen, die es eigentlich nicht geben dürfte. Details im Heise Online Artikel.
Quelle: 'Cisco beseitigt kritische Schwachstellen aus Small Business-Routern der RV-Serie' auf Heise Online
31.07.2021 – Vivaldi 4.1 mit Sicherheitsupdates und neuen Funktionen
Wie letzte Woche vermutet, hat Vivaldi es diese Woche geschafft Version 4.1 zu veröffentlichen und damit die wichtigen Sicherheitsupdates auszurollen die nötig sind damit Vivaldi Anwender weiterhin sicher im Internet surfen können.
Abgesehen von den Sicherheitsupdates bringt die neue Hauptversion aber natürlich auch neue Funktionen mit sich. Und wieder einmal hat Vivaldi sich dem Tab-Management verschrieben und die sogenannten "Akordeon-Tabs" "erfunden". Etwas gänzlich neues ist das jedoch nicht, denn letztendlich geht es einmal mehr darum Tabs zu gruppieren, und das geht in Vivaldi ja schon sehr lange. Somit gibt es in Vivaldi 4.1 nun 3 Möglichkeiten Tabs zu gruppieren. Welche Variante man verwenden möchte, lässt sich in den Einstellungen festlegen.
Die zweite größere Neuerung sind sogenannte Befehlsketten. Damit kann man mehrere Aktionen bündeln und dann mit einem einzigen Befehl ausführen. Grundsätzlich könnte das eine sehr interessante Neuerung sein, nur bis dato ist uns noch kein Szenario eingefallen, wozu man das in der Praxis nutzen könnte.
Beide Neuerungen fallen unserer Ansicht nach in die Kategorie "hilfts nichts, schadet es nichts". Sprich, wer es nicht nützen möchte, muss es auch nicht. Wenn man es nicht bewusst aktiviert, sieht Vivaldi 4.1 exakt aus wie sein Vorgänger und verhält sich auch so. Im Vivaldi News-Artikel zur neuen Version werden die neuen Funktionen ausführlicher (mit Video) vorgestellt.
Die Sicherheitsupdates alleine machen Vivaldi 4.1 natürlich zu einem Muss für alle Vivaldi Nutzer, ob man die Neuerungen nun brauchen kann oder nicht.
Quelle: 'Vivaldi ermöglicht volle Vielseitigkeit mit Akkordeon-Tabs und Befehlsketten' auf Vivaldi.com
Download: Aktuelle Vivaldi Version
31.07.2021 – PetitPotam: neue Windows Server Sicherheitslücke!
Administratoren von Windows-Netzwerken haben es diese Tage wirklich nicht leicht. Ständig kommen neue Meldungen über Sicherheitslücken und allzu oft bevor Microsoft Updates fertig hat oder es überhaupt Updates geben wird.
Während Administratoren also entweder noch händeringend auf Updates warten, die die aktuellen Sicherheitslücken im Drucksystem und der Berechtigung auf die Windows-Passwort-Datenbank absichern oder sich mit irgendwelchen "Notfallmaßnahmen" herumärgern, deutet sich bereits die nächste größere Angriffswelle an.
Auf Servern die einen der beiden Dienste "Certificate Authority Web Enrollment" oder "Certificate Enrollment Web Service" aktiviert haben, ist es für Angreifer ein leichtes die vollständige Kontrolle über das Netzwerk zu erlangen. Da das so ziemlich das schlimmstmögliche Szenario ist, das man sich als Administrator nur vorstellen kann, sollte man rasch handeln und die beiden Dienste wenn möglich ganz deinstallieren. Ist das nicht möglich, beschreibt Microsoft immerhin mehrere Möglichkeiten das Netzwerk abzusichern.
Mehr können wir im Moment noch nicht dazu sagen, denn der Entdecker der Lücke veröffentlicht lieber nichtssagende Twitter Meldungen, als einen ordentlichen Security-Report, mit dem Admins rund um den Globus das Netzwerk ordentlich absichern könnten. In dem Fall hilft der Sicherheitsforscher also eher den bösen Jungs als den Guten, auch wenn wir hier keine Absicht unterstellen wollen. Eine gut gemachte Sicherheitsmeldung sieht jedenfalls anders aus. Auch das deutsche Cert verweist aktuell nur auf die Security Meldung von Microsoft, anstatt hier eine verständliche Beschreibung der Lücke anzubieten, mit Hinweis wie die bestehenden Test-Programme genutzt werden können, um eigene Server auf die Schwachstelle zu testen.
Klar ist jedenfalls, dass es hier definitiv kein "Update" von Microsoft geben wird, die die Lücke behebt. Administratoren betroffener Server müssen also auf jeden Fall selbst tätig werden, und das besser früher als später.
Quelle: 'Windows-Netze verwundbar für Relay-Angriff PetitPotam' auf Heise Online
31.07.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal: Wichtiges Sicherheitsupdate für "Pages Restriction Access"-Modul' auf Heise Online
31.07.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Moodle: Neue Versionen beseitigen Remote-Angriffsmöglichkeit via Shibboleth' auf Heise Online
Quelle: 'Atlassian Jira: Kritische Lücke in Data Center & Service Management geschlossen' auf Heise Online
23.07.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 92.0.4515.107 behebt 35 Sicherheitslücken, wobei wie üblich leider nicht klar ist, gegenüber welcher Version das gilt. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Angriffe auf die nun geschlossenen Lücken sind bisher wohl nicht beobachtet worden.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome 92 ist da: Mehr Actions, weniger Verbrauch' auf Heise Online
Vivaldi:
Wie üblich, hat Vivaldi zum Start einer neuen Chromium-Hauptversion noch kein passendes Update für seinen eigenen Browser parat, da noch an neuen Funktionen gearbeitet wird. Es ist davon auszugehen, dass Vivaldi 4.1 in der kommenden Woche erscheinen wird.
Microsoft Edge:
Das Microsoft-Edge-Team hat Chromium 92 zügig übernommen und gewinnt diese Woche daher das Rennen um das schnellste Update gegen die Vivaldi Truppe. Wer Microsoft Edge verwettet sollte also das eingebaute Update starten um auf Version 92.0.902.55 zu aktualisieren.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet ebenfalls noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
23.07.2021 – Unerwartete Adobe Sicherheitsupdates!
Adobe hat diese Woche noch einmal Sicherheitsupdates veröffentlicht. Das kommt unerwartet, denn der Software Konzern hat eigentlich erst letzte Woche seinen geplanten 'Tag der Updates' abgehalten. Ofenbar sind aber nicht alle Updates rechtzeitig fertig geworden, und so hat man dies nun nachgeholt.
Quelle: 'Sicherheitsupdates: Adobe patcht Photoshop & Co. außer der Reihe' auf Heise Online
Adobe Photoshop
In Photoshop 2020 und 2021 wurden zwei Schwachstellen behoben wovon eine kritischer Natur ist. Die 2021er Jahresausgabe (bzw. Version 22.x sollte unbedingt rasch auf Version 22.4.3 aktualisiert werden, Version 21 auf Version 21.2.10. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-63' auf Adobe.com (Englisch)
Adobe After Effects
In Adobe After Effects wurden 7 Sicherheitslücken behoben, die in Summe zu einer kritischen Bedrohung führen. Alle Anwender von After Effects sollten zügig auf Version 18.4 updaten und alle älteren Fassungen deinstallieren.
Quelle: Adobe Security Bulletin APSB21-54 (Englisch)
Adobe Premiere Pro
Im Video-Schnitt-Programm Premiere Pro hat Adobe eine kritische Sicherheitslücke behoben, die zur Infektion des Computers durch Viren führen könnte. Auch hier wird leider, wie bei Adobe aktuell üblich, nur die 2021er Version abgesichert, frühere Ausgaben bleiben unsicher und sollten nicht mehr verwendet werden. Die abgesicherte Ausgabe trägt die Version 15.4.
Quelle: Adobe Security Bulletin APSB21-56 (Englisch)
Adobe Media Encoder
Im Adobe Media Encoder wurden 6 Sicherheitslücken behoben, wovon die meisten kritischer Natur sind. Auch hier verschweigt Adobe Details und auch hier sollten Anwender rasch auf Version 15.4 updaten. Alle älteren Versionen des Adobe Media Encoders sollten deinstalliert werden.
Quelle: Adobe Security Bulletin APSB21-43 (Englisch)
Adobe Audition
In Adobes Audio-Bearbeitungs-Programm Audition wurde eine Sicherheitslücke behoben, die der Hersteller mit einem moderaten Sicherheitsrisiko bewertet. Behoben wird die Lücke in Audition 14.4, alle älteren Versionen sollten nicht länger verwendet werden.
Quelle: Adobe Security Bulletin APSB21-62 (Englisch)
Adobe Character Animator
In Adobe Character Animator wurden zwei Lücken behoben die zur Infektion des Rechners mit Viren führen können. Betroffen sind alle Versionen von Character Animator, eine Lösung in Form eines Updates auf Version 4.4 gibt es nur für die 2021er Ausgabe. Ältere Fassungen von Character Animator sollten nicht mehr verwendet werden.
Quelle: Adobe Security Bulletin APSB21-59 (Englisch)
Adobe Prelude
In Prelude hat Adobe zwei kritische Sicherheitslücken behoben. Das Update auf Version 10.1 behebt die Probleme.
Quelle: Adobe Security Bulletin APSB21-58 (Englisch)
23.07.2021 – Sicherheitsupdates für Java und weitere Oracle Software
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 342 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:
Oracle hat Version 8.0 Update 301 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden 4 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Anwender die Java installiert haben sollten also rasch updaten.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14 und 15 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.12 oder 16.0.2 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
VirtualBox:
In dem PC-Emulator VirtualBox wurden 4 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich zwar keine der Lücken übers Internet ausnützen, dennoch sind die Gefahreneinstufungen relativ hoch. Wer VirtualBox auf seinem PC nutzt, sollte also unbedingt auf die neue Version 6.1.24 updaten.
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
MySQL:
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Weitere Oracle Programme:
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - July 2021' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - July 2021' auf Oracle.com (Englisch)
23.07.2021 – Die nächste Windows Schwachstelle ohne Update
Momentan hat Microsoft gleich mit mehreren bekannten Schwachstellen zu tun, für die es noch kein Sicherheitsupdate gibt. Letzte Woche hatten wir über eine weitere Schwachstelle im Druckersystem berichtet, diese Woche kam die Meldung über falsche Zugriffsrechte auf die Windows Passwort-Datenbank.
Auf betroffenen Systemen (welche das sind und warum das eine System betroffen ist, ein anderes aber nicht, ist wohl aktuell noch nicht ganz geklärt) kann ein Anwender sensible Informationen anderer Benutzer abgreifen oder sich Administratorrechte verschaffen. Relevant ist das ganze also daher primär nur für Rechner die von mehreren Personen genutzt werden.
Wer ein bisschen Ahnung von Dateisystemberechtigungen und der Eingabeaufforderung von Windows hat, kann das Problem auch relativ leicht anhand der Informationen im verlinkten heise online Artikel beheben. Letztendlich muss nur der Zugriff auf bestimmt Dateien eingeschränkt und Sicherungskopien gelöscht werden.
Heimanwender warten in der Regel besser bis Microsoft selbst das per Update regelt, Administratoren in Firmen müssen sich aber gut überlegen, ob sie darauf warten können oder nicht doch selbst tätig werden.
Quelle: 'HiveNightmare: Nutzer können die Windows-Passwort-Datenbank auslesen' auf Heise Online
23.07.2021 – Sicherheitsupdates für Drucker von HP, Samsung & Xerox
Es vergeht aktuell keine Woche ohne Meldungen zu Sicherheitslücken in Verbindung mit Druckern. Nachdem Microsoft erst kürzlich die 'PrinterNightmare'-Sicherheitslücke per Notfall-Update behoben hat und gleich darauf eine weitere Sicherheitslücke im Druckersystem von Windows entdeckt wurde, liefern jetzt auch mehrere Drucker-Hersteller Sicherheitsupdates in Form neuer Druckertreiber.
Anders als bei den Windows-Lücken dürfen sich hier Windows-Anwender aber nicht einfach zurücklehnen und warten, dass Windows Update alles automatisch erledigt. Wer einen Drucker von HP, Samsung oder Xerox installiert hat (egal ob dieser noch verwendet wird oder nicht) sollte unbedingt prüfen, ob der Drucker in der Liste der verwundbaren Drucker enthalten ist. Ist das der Fall, sollte das zugehörige Update heruntergeladen und installiert werden.
Quelle: 'HP, Samsung & Xerox: Lücke in Windows-Druckertreibern gefixt – nach 16 Jahren' auf Heise Online
Quelle: 'Xerox Sicherheitsmeldung' auf Xerox.com (Englisch)
23.07.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal-Team beseitigt potenziell gefährliche Sicherheitslücke aus dem CMS' auf Heise Online
23.07.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco: Wichtiges Sicherheitsupdate für Intersight Virtual Appliance verfügbar' auf Heise Online
Quelle: 'Sicherheitsupdates: Root-Lücke bedroht FortiManager und FortiAnalyzer' auf Heise Online
16.07.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 91.0.4472.164 behebt 8 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken als "hoch" ein. Google warnt jedoch auf davor, dass mindestens eine der Lücken bereits aktiv ausgenützt wird, weshalb Anwender, die Google Chrome installiert haben, rasch aktualisieren sollten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Attacken auf Google Chrome könnten kurz bevorstehen' auf Heise Online
Vivaldi:
Die Vivaldi Entwickler waren wieder besonders flott mit ihrem Update. Bereits wenige Stunden nach Google hatten die Norweger das passende Update für Vivaldi 4.0 am Start, und zwar sowohl für Desktop-Systeme als auch Android.
Quelle: 'Minor update (6) for Vivaldi Desktop Browser 4.0' auf Heise Online
Quelle: 'Minor update (3) for Vivaldi Android Browser 4.0' auf Heise Online
Microsoft Edge:
Das Microsoft-Edge-Team hat es bis jetzt noch nicht geschafft das gestern veröffentlichte Chromium-Update zu übernehmen. Edge verwendet aktuell immer noch die vorletzte Chromium-Version. Wir vermuten aber, dass eine neue Edge-Version nicht mehr lange auf sich warten lässt.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet ebenfalls noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
16.07.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & Acrobat
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 2021.005.20058 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe zwar 'nur' fünf Sicherheitslücken geschlossen, die sind aber alle kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB21-51 (Englisch)
Adobe Illustrator
Im Vektorgrafik Programm Illustrator hat Adobe drei Sicherheitslücken behoben, wovon zwei als kritisch eingestuft wurden. Anwender von Adobe Illustrator sollten daher zügig updaten. Wie bei Adobe leider üblich, gibt es nur Updates für die 2021er Programme, alle älteren Ausgaben bleiben unsicher. Die abgesicherte Ausgabe trägt die Versionsnummer 25.3.
Info: Adobe Security Bulletin APSB21-42 (Englisch)
Adobe Bridge
In Adobe Bridge wurden stolze fünf Sicherheitslücken behoben, vier davon tragen die Einstufung "kritisch". Das Update auf die abgesicherte Version 11.1 sollte daher zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB21-53' auf Adobe.com (Englisch)
Adobe Dimension
In Adobes 3D-Programm 'Dimension' wurde eine kritische Schwachstelle behoben. Anwender des Programms sollten zügig auf Version 3.4.3 updaten.
Quelle: 'Adobe Security Bulletin APSB21-40' auf Adobe.com (Englisch)
Adobe Framemaker
Im Desktop-Publishing-Programm Adobe Framemaker wurde eine kritische Sicherheitslücke gefunden und behoben. Wer das Programm einsetzt, sollte unbedingt die im Security Bulletin verlinkten Updates installieren.
Quelle: Adobe Security Bulletin APSB21-45 (Englisch)
16.07.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Microsoft-Patchday: Angreifer nutzen vier Sicherheitslücken in Windows aus' auf Heise Online
Kein Update für erneute Drucker-Sicherheitslücke!
Das Drucksystem in Windows bleibt aktuell die größte Sicherheits-Baustelle. Kaum ist das Thema 'PrintNightmare' so halbwegs erledigt (siehe Artikel dazu von letzter Woche) ist schon wieder die nächste Sicherheitslücke in dem betagten Windows-Drucksystem entdeckt worden. Und wieder einmal gibt es noch kein Sicherheitsupdate. Allerdings ist die Lücke nicht mit 'PrintNightmare' zu vergleichen, denn bei der aktuellen Lücke muss der Anwender 'mithelfen’ (z.B. durch Öffnen eines Office-Dokumentes mit Makros) damit ein Angreifer die Lücke ausnützen kann. Dann eröffnet die Lücke dem Angreifer aber vollständigen Systemzugriff, was die Auswirkungen natürlich deutlich verheerender macht, als würde nur Zugriff auf die Dateien des angemeldeten Benutzers bestehen. Vollständigen Schutz vor der Lücke würde aktuell nur die komplette Deaktivierung der Druckerwarteschlange bringen, was bedeutet das man nicht mehr drucken kann. Eine Lösung die für die meisten Anwender und Firmen wohl kaum infrage kommen dürfte.
Quelle: 'Warten auf Patches: Neue Drucker-Lücke in Windows entdeckt' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.09 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
16.07.2021 – Thunderbird 78.12 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 78.12 veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe vier Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Download: Thunderbird Version 78.12, Windows, 32Bit, Deutsch
Download: Thunderbird Version 78.12, Windows, 64Bit, Deutsch
Info: 'Thunderbird 78.12 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Sicherheitslücken in Firefox, Thunderbird und Tor Browser geschlossen' auf Heise Online
16.07.2021 – Firefox 90 behebt Sicherheitslücken
Mozilla hat Firefox 90 veröffentlicht. Die neue Version behebt 9 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.12.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Sicherheitslücken in Firefox, Thunderbird und Tor Browser geschlossen' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
16.07.2021 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Plugin: WooCommerce schließt kritische Sicherheitslücke' auf Heise Online
16.07.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Schadcode-Lücken im Netzwerkbetriebssystem Junos OS geschlossen' auf Heise Online
Quelle: 'Attacken auf nicht mehr unterstützte Fernzugriff-Produkte von Sonicwall' auf Heise Online
Quelle: 'Jetzt patchen! Sicherheitspatch schließt REvil-Lücke in Kaseya VSA' auf Heise Online
09.07.2021 – Microsoft stopft Drucksystem-Schwachstelle ... größtenteils
Microsoft hat diese Woche Notfall-Sicherheitsupdates gegen die als PrintNightmare bekannte Schwachstelle im Drucksystem von Windows veröffentlicht. Sämtliche Windows Anwender sollten daher sichergehen, dass alle verfügbaren Windows-Updates installiert wurden.
Das Microsoft diese Updates hastig entwickelt hat, merkt man. Oder besser gesagt die Sicherheitsforscher die PrintNightmare entdeckt haben, haben es bemerkt, denn der Schutz der neuen Notfallupdates ist nicht unter allen Bedingungen gegeben. Während ausschließlich privat genutzte Rechner in der Regel vollständig abgesichert sein sollten, kann gerade auf Firmen-Computern die Bedrohung nach wie vor gegeben sein.
Problem mit Gruppenrichtlinie:
Denn wenn eine bestimmte Gruppenrichtline vom Administrator eines Netzwerks so konfiguriert wurde, dass neue Drucker ohne Sicherheitsmeldung und Administratorrechte installiert werden können, sind diese Computer nach wie vor über PrintNightmare angreifbar. Admins sollten diese Gruppenrichtlinie (Computerkonfiguration → Administrative Vorlagen → Drucker → Point-and-Print-Einschränkungen) daher so konfigurieren, dass Drucker nur nach Bestätigung einer Sicherheitsmeldung und nur von Administratoren installiert werden können oder die ganze Richtlinie einfach auf "Unkonfiguriert" setzen, was (in Bezug auf PrintNightmare) dasselbe bewirkt.
Problem mit provisorischen Schutzmaßnahmen:
Und noch etwas ist uns aufgefallen. Wer (wie von uns letzte Woche vorgestellt) zu der provisorischen Schutzmethode gegriffen hat, bei der die Berechtigungen auf den Driver-Ordner modifiziert wurden, muss diese Änderungen wieder rückgängig machen, wenn die aktuellen Windows-Updates installiert sind (oder noch besser bevor man die Updates installiert). Andernfalls funktioniert das Drucken nämlich gar nicht mehr.
Quelle: 'Notfallpatch: Microsoft schließt PrintNightmare-Lücke in Windows' auf Heise Online
Quelle: 'Windows-Update unvollständig: Sicherheitsforscher umgehen PrintNightmare-Patch' auf Heise Online
09.07.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Diesmal muss die App "Hybrid Backup Sync" aktualisiert werden. Details zu den Lücken sowie den benötigten Sicherheitsupdates entnehmen sie bitte dem verlinkten Heise Online Artikel.
Wie üblich an der Stelle auch nochmal der allgemeine Hinweis, dass ein NAS am besten grundsätzlich NICHT übers Internet erreichbar sein sollte. Außerdem sollten unbedingt Standard-Passwörter gegen eigene ersetzt und nicht benötigte User-Accounts gesperrt oder gelöscht werden.
Quelle: 'Sicherheitsupdates: Angreifer könnten die Kontrolle über Qnap NAS erlangen' auf Heise Online
09.07.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates: Admin-Lücke bedroht Cisco Business Process Automation' auf Heise Online
Quelle: 'Angreifer können Sicherheitslücken in Ressourcenplanungstool Sage X3 kombinieren' auf Heise Online
02.07.2021 – Kritische Windows-Sicherheitslücke erfordert Handarbeit!
Eine kritische Sicherheitslücke im Drucksystem von Windows (alle Versionen) gefährdet die Sicherheit der Computer! Die Lücke wird bereits aktiv von Angreifern ausgenützt, es gibt aber noch kein Update von Microsoft, welches das Problem an der Wurzel behebt. Stattdessen gibt es drei verschiedene Lösungsansätze, um das Problem zu umgehen. Alle drei erfordern jedoch manuelle Anpassungen und bieten sich daher nur für Personen an, die sich halbwegs mit Windows auskennen.
Die erste Lösung ist die beste – vorausgesetzt man muss bis zum Erscheinen eines Updates nichts ausdrucken. Denn die pragmatische Empfehlung lautet, den Dienst "Druckerwarteschlange" zu deaktivieren.
Die zweite Variante funktioniert über Gruppenrichtlinien, soll die Infektion ebenfalls zuverlässig verhindern und blockiert die Nutzung der Drucker nicht – sofern es nicht gerade um einen Druckerserver geht. Wer Windows Pro hat, wäre hier am besten aufgehoben.
Die dritte Variante funktioniert durch Veränderungen der Zugriffsrechte im Drucker-Treiber-Ordner. Auch sie sollte theoretisch eine Infektion abwehren können, sie gilt dennoch als nicht so zuverlässig wie das komplette Deaktivieren der Druckerwarteschlange. Großer Vorteil hierbei ist jedoch, die Druckfunktion wird (soweit man das bisher sagen kann) überhaupt nicht eingeschränkt, der PC kann auch als Druckserver verwendet werden.
Details, wie die einzelnen Schutzmaßnahmen umzusetzen sind, finden sie im Heise Online Artikel.
Quelle: 'Jetzt handeln! Angreifer nutzen Drucker-Lücke PrintNightmare in Windows aus' auf Heise Online
02.07.2021 – Sicherheitsupdate für Geforce Experience
Nvidia schließt wieder einmal mehrere Sicherheitslücken in der Geforce Experience Anwendung. Den meisten Anwendern raten wir dazu Geforce Experience gar nicht erst zu installieren bzw. es zu deinstallieren. Wer die Anwendung aber tatsächlich verwendet, sollte sie auch aktuell halten und das Sicherheitsupdate auf Version 3.23 installieren.
Quelle: 'Sicherheitsupdate: Nvidia GeForce Experience als Phishing-Köder' auf Heise Online
02.07.2021 – Wieder Sicherheitslücken in Netgear Router
Wieder einmal muss Netgear kritische Sicherheitslücken in seinen Routern schließen! Diesmal betrifft es das Modell DGN2200v1. Besitzer des Gerätes sollten unbedingt die Firmware auf Version 1.0.0.60 updaten und das am besten so bald wie möglich.
Quelle: 'Sicherheitsupdate: Microsoft entdeckt kritische Lücke in Netgear-Router' auf Heise Online
02.07.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Angreifer attackieren Cisco Adaptive Security Appliance' auf Heise Online
Quelle: 'Citrix Hypervisor: Angreifer könnten virtuelle Maschinen crashen' auf Heise Online
Quelle: 'Mehrere Sicherheitslücken gefährden IBMs Datenbanksystem Db2' auf Heise Online
