News Archiv 4. Quartal 2021
Schlagzeilen * Details
Schlagzeilen:
- 28.12.2021 - Achtung: Support für viele NAS-Systeme von Western Digital endet!
- 28.12.2021 - Wieder Sicherheitslücken in WordPress
- 28.12.2021 - Das nächste Windows 11 Problem
- 28.12.2021 - Neue Gimp Version bringt Verbesserungen
- 28.12.2021 - Audacity 3.1.3 ist da
- 28.12.2021 - Infos rund um die gefährliche Log4j-Lücke!
- 28.12.2021 - Sicherheitsmeldungen für Administratoren
- 16.12.2021 - Das nächste Chromium Sicherheitsupdate
- 16.12.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 16.12.2021 - Microsoft's Tag der Updates
- 16.12.2021 - Infos rund um die gefährliche Log4j-Lücke!
- 16.12.2021 - Sicherheitsmeldungen für Administratoren
- 10.12.2021 - Das nächste Chromium Sicherheitsupdate
- 10.12.2021 - Thunderbird 91.4 behebt (nicht alle?) Sicherheitslücken
- 10.12.2021 - Firefox 95 bringt Sicherheitsupdates
- 10.12.2021 - Neue LibreOffice Versionen beheben BigSig Sicherheitslücke
- 10.12.2021 - VeraCrypt behebt Sicherheitslücken, aber ...
- 10.12.2021 - Blender zündet den Nachbrenner!
- 10.12.2021 - Qnap NAS: Hersteller warnt vor Schadsoftware!
- 10.12.2021 - Sicherheitsmeldungen für Administratoren
- 03.12.2021 - Vivaldi bringt Version 5.0
- 03.12.2021 - Die nächste Sicherheitslücke in Zoom
- 03.12.2021 - Schon wieder schwere Sicherheitslücken in HP Druckern
- 03.12.2021 - Sicherheits-Updates für aktuelle Router
- 03.12.2021 - Sicherheitsmeldungen für Administratoren
- 26.11.2021 - Neue 7-Zip-Version verfügbar
- 26.11.2021 - Sicherheitsmeldungen für Administratoren
- 19.11.2021 - Emotet ist zurück
- 19.11.2021 - Microsoft News
- 19.11.2021 - Wieder Sicherheitslücken in Netgear Geräten
- 19.11.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 19.11.2021 - Sicherheitslücke in Drupal behoben
- 19.11.2021 - Sicherheitsmeldungen für Administratoren
- 12.11.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 12.11.2021 - Microsoft's Tag der Updates
- 12.11.2021 - Intel veröffentlicht November-Sicherheitsupdates
- 12.11.2021 - AMD Grafiktreiber beheben Sicherheitslücken
- 12.11.2021 - Wieder Sicherheitslücken in WordPress
- 12.11.2021 - Sicherheitsmeldungen für Administratoren
- 05.11.2021 - Thunderbird 91.3 behebt Sicherheitslücken
- 05.11.2021 - Firefox 94 bringt Sicherheitsupdates
- 05.11.2021 - Status zum AutoDiscover Fiasko!
- 05.11.2021 - Bluetooth Lücken – Kaum Sicherheitsupdates
- 05.11.2021 - Windows 11: Alte und neue Probleme
- 05.11.2021 - Android: Sicherheitslücken werden aktiv ausgenützt!
- 05.11.2021 - Sicherheitsmeldungen für Administratoren
- 29.10.2021 - Das nächste Chromium Sicherheitsupdate
- 29.10.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 29.10.2021 - Thunderbird 91.2.1 behebt Sicherheitslücken
- 29.10.2021 - Wichtiges Sicherheitsupdate für WinRAR
- 29.10.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 29.10.2021 - Wieder Sicherheitslücken in WordPress
- 29.10.2021 - Und wieder Sicherheitsprobleme mit Nvidia Grafikkarten
- 29.10.2021 - Sicherheitsmeldungen für Administratoren
- 22.10.2021 - Das nächste Chromium Sicherheitsupdate
- 22.10.2021 - Sicherheitsupdates für Java und weitere Oracle Software
- 22.10.2021 - Wieder Sicherheitslücken in WordPress
- 22.10.2021 - Sicherheitsmeldungen für Administratoren
- 15.10.2021 - Sicherheitsupdate für zahlreiche Adobe Programme
- 15.10.2021 - Microsoft's Tag der Updates
- 15.10.2021 - Sicherheitsupdates für Foxit Reader und PhantomPDF
- 15.10.2021 - Sicherheitsmeldungen für Administratoren
- 08.10.2021 - Das nächste Chromium Sicherheitsupdate
- 08.10.2021 - Firefox 93 bringt Sicherheitsupdates
- 08.10.2021 - Microsoft liefert Windows 11 und Office 2021 aus
- 08.10.2021 - Neue Gimp Version läuft besser auf Windows
- 08.10.2021 - Sicherheitsupdates für Typo3
- 08.10.2021 - Sicherheitsmeldungen für Administratoren
- 02.10.2021 - Zweimal kritische Chromium Updates in einer Woche!
- 02.10.2021 - Status zum AutoDiscover Fiasko!
- 02.10.2021 - Qnap NAS: Wieder Sicherheitsupdates nötig
- 02.10.2021 - Sicherheitslücke in Drupal behoben
- 02.10.2021 - Wieder Sicherheitslücken in Router von D-Link
- 02.10.2021 - Sicherheitsmeldungen für Administratoren
Details:
28.12.2021 – Achtung: Support für viele NAS-Systeme von Western Digital endet!
Für viele NAS-Systeme von Western Digital wird am 15.01.2022 der Support eingestellt. Besitzer oder Administratoren von WD-NAS sollten prüfen, ob dort bereits das Betriebssystem "My Cloud OS 5" installiert ist. Ist noch eine ältere Version installiert, sollte geprüft werden, ob für das Gerät ein Update auf Version 5 verfügbar ist.
Wenn ein Update auf "My Cloud OS 5" ist verfügbar ist:
Wenn für das Gerät ein Update auf Version 5 verfügbar ist, muss dieses bis spätestens 15.01.2022 installiert werden, andernfalls erhält das Gerät keine Updates mehr und der Internetzugriff des Gerätes wird deaktiviert.
Wenn kein Update auf "My Cloud OS 5" verfügbar ist:
Steht für das Gerät kein Update auf Version 5 bereit, endet der Support am 15.04.2022. Allerdings sollte man dann jetzt schon das Gerät vom Internet trennen und nur mehr lokal verwenden. Möchte oder muss man unbedingt über das Internet auf das NAS zugreifen können, kann man ein VPN als Schutz verwenden oder man kauft ein neues NAS das vom Hersteller wieder möglichst ange mit Sicherheitsupdates versorgt wird.
Allerdings würden wir selbst ein modernes NAS das noch regelmäßig Updates erhält nach Möglichkeit nicht direkt mit dem Internet verbinden, oder zumindest mit einem VPN schützen.
Quelle: 'Sicherheitsrisiko: Support für einige NAS-Systeme von Western Digital läuft aus' auf Heise Online
28.12.2021 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress-Plug-in: Kritische Lücke in All In One SEO bedroht Millionen Websites' auf Heise Online
28.12.2021 – Das nächste Windows 11 Problem
Die Liste der Probleme mit Windows 11 wird länger und länger. Vergangene Woche wurde bekannt, dass auch die Farbwiedergabe bei manchen Programmen Probleme machen kann. So wird z.B. weiß teils gelb dargestellt.
Wir können nur einmal mehr vom Upgrade auf Windows 11 abraten. Das neue Windows bereitet einfach zuviele Probleme. Die wenigen Verbesserungen, die das neue System bringt können die Probleme nicht aufwiegen. Abgesehen von den Problemen ist auch die Benutzbarkeit generell ein Rückschritt gegenüber Windows 10, man sollte sich ein Upgrade also wirklich gut überlegen.
Quelle: 'Windows 11: Probleme mit Farbdarstellung möglich' auf Heise Online
28.12.2021 – Neue Gimp Version bringt Verbesserungen
Die Gimp Entwickler haben Version 2.10.30 der kostenlosen Bildbearbeitungssoftware veröffentlicht. Wie früher bereits erwähnt haben liegt der Fokus der Gimp Entwickler längst auf der zukünftigen Version 3.0, daher gibt es immer weniger sichtbare Neuerungen in der 2.10 Serie.
In Version 2.10.30 wurden dennoch ein paar funktionale Verbesserungen eingepflegt. So wurde das PSD-Plugin deutlich aufgewertet, es sollten nun noch mehr Photoshop-Dateien in Gimp geöffnet werden können als zuvor.
Auch für Windows 11 gibt es in der neuen Version Anpassungen. So wurde auf eine andere Farb-API umgestellt, eventuell als Reaktion auf den oben genannten Bug bei der Farbdarstellung in Windows 11.
Aber auch Anwender auf Linux und macOS können sich über bessere Unterstützung dieser Betriebssysteme freuen. Eine umfangreichere Liste der Neuerungen finden sie wie immer auf der Gimp-Homepage.
Download: Gimp 2.10.30, Windows, mehsprachig
Quelle: 'GIMP 2.10.30 Released' auf Gimp.org (Englisch)
28.12.2021 – Audacity 3.1.3 ist da
Einen Tag vor Weihnachten haben die Audacity Entwickler auch noch eine neue Version des kostenlosen Audio-Bearbeitungs-Programms veröffentlicht. Der Sprung von 3.1.2 auf 3.1.3 macht klar, dass man nicht auf eine ellenlange Liste von funktionaler Neuerungen hoffen darf, da es sich hierbei primär um ein Stabilitäts-Update handelt.
Dennoch gibt es auch die eine oder andere funktionale Neuerung. Trimmt man einen Clip nun vorne oder hinten, rastet es magnetisch an anderen Clipgrenzen ein. Eine nicht zu unterschätzende Verbesserung des Workflows, wenn man mit mehreren Spuren hantiert. Das Öffnen von Audacity-Projekten soll nun bis zu 50x schneller sein als zuvor. Außerdem wurden ein paar Tastenkürzel geändert und es gab die üblichen Fehlerkorrekturen.
Wer häufig mit Audacity arbeitet, sollte zum einen das Update installieren und sich zum anderen mit den Neuerungen vertraut machen.
Download: Aktuelle Audacity Version
Info: Neue Funktionen in Audacity 3.1.3 (Englisch)
28.12.2021 – Infos rund um die gefährliche Log4j-Lücke!
Diese Woche war das Thema Log4j nicht mehr ganz so massiv in den Nachrichten vertreten, dennoch gab es auch diese Woche wieder einen Artikel zu dem Thema, der nochmals auf das Risiko hinweißt, dass mit dieser Sicherheitslücke verbunden ist.
Hier die Liste der Heise Online Artikel zum Thema Log4j-Lücke (Richtet sich eher an Administratoren).
Quelle: 'Erster Wurm "kriecht" durch Log4j-Sicherheitslücke' auf Heise Online
28.12.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Apache 2.4.52 dichtet Sicherheitslecks ab' auf Heise Online
Quelle: 'Hintertüren in Auerswald-Telefonanlagen' auf Heise Online
16.12.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 96.0.4664.110 behebt 5 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Jedoch wird eine der Lücken bereits aktiv ausgenützt, was die Dringlichkeit des Updates natürlich dramatisch steigert.
Anwender von Google Chrome sollten das Update zügig auf eine der beiden neuen Versionen updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Chrome aufs Neue im Visier von Angreifern' auf Heise Online
Vivaldi:
Vivaldi hat das Sicherheitsupdate wieder sehr flott übernommen und Version 5.0 Update 2 bereits wenige Stunden nach Google veröffentlicht. Details im Vivaldi-Blog-Eintrag.
Info: 'Minor update (2) for Vivaldi Desktop Browser 5.0' auf Vivaldi.com (Englisch)
Microsoft Edge:
Das Microsoft-Edge-Team hat die neue Chromium-Version ebenfalls bereits übernommen. Anwender die Edge verwenden sollten also zügig auf Version 96.0.1054.57 updaten um sicher zu sein.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
16.12.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Photoshop
In Photoshop 2021 und 2022 wurden drei Schwachstellen behoben, wovon zwei kritisch sind. Die 2021er Jahresausgabe (Version 22.x) sollte unbedingt rasch auf Version 22.5.4 aktualisiert werden, die 2022er Jahresausgabe (Version 23.x) auf Version 23.1. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-113' auf Adobe.com (Update 2025: Diese Seite ist nicht mehr verfügbar)
Adobe Premiere Pro
Im Video-Schnitt-Programm Premiere Pro hat Adobe eine kritische und 4 moderate Sicherheitslücken behoben. Anwender von Premiere Pro sollten zügig auf Version 15.4.3 (2021) oder 22.1.1 (2022) updaten.
Quelle: Adobe Security Bulletin APSB21-117 (Englisch)
Adobe After Effects
In Adobe After Effects wurden 10 Sicherheitslücken behoben, zwei davon sind kritischer Natur. Alle Anwender von After Effects sollten zügig auf Version 18.4.3 (2021) oder 22.1.1 (2022) updaten und alle älteren Fassungen deinstallieren.
Quelle: Adobe Security Bulletin APSB21-115 (Englisch)
Adobe Media Encoder
Im Adobe Media Encoder wurden zwei kritische und 5 "moderate" Sicherheitslücken behoben. Anwender die den Media Encoder installiert haben sollten zügig auf Version 15.4.3 (2021) oder 22.1.1 (2022) updaten.
Quelle: Adobe Security Bulletin APSB21-118 (Englisch)
Adobe Audition
In Adobes Audio-Bearbeitungs-Programm Audition wurde drei Sicherheitslücken mit Einstufung "moderat" behoben. Anwender sollten bei Gelegenheit auf Version 14.4.3 (2021) oder 22.1.1 (2022) updaten um sicher zu sein.
Quelle: Adobe Security Bulletin APSB21-121 (Englisch)
Adobe Lightroom:
Adobe's Lightroom (NICHT Lightroom Classic!) erhält ein Update gegen eine als "wichtig" eingestufte Sicherheitslücke. Die abgesicherte Ausgabe trägt die Versionsnummer 5.1. Alle Anwender von Lightroom sollten die neue Version bei nächster Gelegenheit installieren.
Info: Adobe Security Bulletin APSB20-119 (Englisch)
Adobe Experience Manager
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es mehrere kritische Sicherheitslücken. Alle Details können sie im verlinkten Adobe Security Bulletin nachlesen.
Quelle: Adobe Security Bulletin APSB21-103 (Englisch)
Adobe Premiere Rush:
Auch im abgespeckten Videoschnitt-Programm Premiere Rush hat Adobe kritische Sicherheitslücken behoben, die zur Infektion des Computers durch Viren führen können. Und zwar etliche! Anwender, die das Programm auf Windows oder MacOS verwenden, sollten dringend auf Version 2.0 updaten. Die Smartphone-Versionen für Android und iOS werden im Security Bulletin nicht erwähnt.
Quelle: Adobe Security Bulletin APSB20-101 (Englisch)
Adobe Dimension
In Adobes 3D-Programm 'Dimension' wurden sechs Schwachstellen behoben, die Hälfte davon waren kritisch. Anwender des Programms sollten zügig auf Version 3.4.4 updaten.
Quelle: 'Adobe Security Bulletin APSB21-116' auf Adobe.com (Englisch)
Adobe Connect
In der Web-Conferencing-Software wurde eine Sicherheitslücke mit der Einstufung "wichtig" behoben. Wer die Software nutzt, sollte diese zügig auf Version 11.4 aktualisieren. Details dazu gibt es im Sicherheitsbulletin von Adobe.
Quelle: Adobe Connect Security Bulletin APSB21-112 (Englisch)
16.12.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Sechs Windows-Lücken öffentlich bekannt, durch eine schlüpft Emotet' auf Heise Online
Kein Update für AutoDiscover-Lücke!
Auch zweieinhalb Monate nach dem Artikel zum Thema Autodiscover-Sicherheitslücke hält es Microsoft nicht für Notwendig offiziell Stellung zu beziehen oder Sicherheitsupdates für die gefährlichen E-Mail-Programme zu veröffentlichen. Es bleibt also bis auf Weiteres bei den Notlösungen (Hosts-Datei) für Windows und MacOS. Auf Smartphones sollte Outlook aktuell gar nicht verwendet werden.
Noch mehr Windows 11 Kinderkrankheiten!
Zu der ohnehin schon recht langen Liste an Kinderkrankheiten in Windows 11 gesellt sich nun auch noch ein Performance-Problem mit Festplatten und SSDs. Unter Windows 11 ist die Geschwindigkeit dieser Datenträger erheblich langsamer als in früheren Windows Versionen. Allen Anschein nach gilt dies jedoch nur für den Datenträger auf dem Windows selbst installiert ist.
Quelle: 'Windows 11: Performance-Probleme mit SSDs und HDDs' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.09 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
16.12.2021 – Infos rund um die gefährliche Log4j-Lücke!
Letzte Woche hatten wir im "Administrator-Teil" bereits einen Artikel über diese Lücke verlinkt, diese Woche haben sich die Meldungen über diese Lücke fast überschlagen. Da das Problem entgegen der letztwöchigen Einschätzung doch nicht ausschließlich Administratoren betrifft, fassen wir das Thema diese Woche in eine eigene Meldung zusammen.
Offenbar findet die verwundbare Java-Software "Log4j" auch in manchen Endkunden-Geräten Verwendung, was auch diese Geräte akut gefährdet. Betroffene Geräte können von Angreifern im Handumdrehen infiziert werden.
Privatanwender werden wohl am ehesten in Form von verwundbaren Routern gefährdet sein. Daher sollte man in den nächsten Tagen und Wochen wieder vermehrt nach Sicherheitsupdates für diese Geräte Ausschau halten oder gleich beim Hersteller nachfragen, ob die verwundbare Software in dem Gerät Verwendung findet und wann gegebenenfalls mit einem Sicherheitsupdate zu rechnen ist. So wie es aktuell aussieht, wird es in den nächsten Wochen noch mehr Meldungen zu dem Thema geben.
Hier die Liste der Heise Online Artikel zum Thema Log4j-Lücke (Richtet sich eher an Administratoren).
Quelle: 'Log4j-Lücke: Erste Angriffe mit Ransomware und von staatlichen Akteuren' auf Heise Online
Quelle: 'Neue Probleme - Log4j-Patch genügt nicht' auf Heise Online
Quelle: 'Log4j 2.16.0 verbessert Schutz vor Log4Shell-Lücke' auf Heise Online
Quelle: 'GitHubs Antwort auf die kritische Log4j-Lücke' auf Heise Online
Quelle: 'Schutz vor schwerwiegender Log4j-Lücke - was jetzt hilft und was nicht' auf Heise Online
Quelle: 'Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen' auf Heise Online
16.12.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Gefährliche Lücken in Server-Backupsoftware IBM Spectrum Protect geschlossen' auf Heise Online
Quelle: 'Patchday: Kritische Sicherheitslücken in SAP-Geschäftssoftware' auf Heise Online
10.12.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 96.0.4664.93 behebt 22 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Die Chomium Version mit 2 Monaten Support hat nun gleichgezogen und steht nun ebenfalls bei Version 96.0.4664.93.
Anwender von Google Chrome sollten das Update zügig auf eine der beiden neuen Versionen updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Angreifer attackieren abermals Chrome' auf Heise Online
Vivaldi:
Vivaldi hat das Sicherheitsupdate wieder sehr flott übernommen und Version 5.0 Update 1 bereits wenige Stunden nach Google veröffentlicht. Neben den Sicherheitsupdates hat diese neue Vivaldi Version auch einige weitere Fehlerkorrekturen erhalten. Details im Vivaldi-Blog-Eintrag.
Info: 'Minor update for Vivaldi Desktop Browser 5.0' auf Vivaldi.com (Englisch)
Microsoft Edge:
Das Microsoft-Edge-Team hat Stand heute noch kein entsprechendes Update parat. Wir wären aber nicht überrascht, wenn sich das bis morgen noch ändert.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
10.12.2021 – Thunderbird 91.4 behebt (nicht alle?) Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 91.4 des beliebten E-Mail-Programms veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe 11 Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Auch abgesehen von den Sicherheitskorrekturen gibt es einige wichtige Fehlerbehebungen, die das Update selbst für Anwender ohne Sicherheitsbedenken interessant machen.
Allerdings "fehlt" unserer Meinung nach ein wichtiges Sicherheitsupdate. Letzte Woche wurden schwere Sicherheitslücken in Mozilla’s Zertifikats-Software "NSS" bekannt. Mozilla hat die Lücken in NSS zwar bereits behoben, aber laut dem Entdecker der Lücke dürfte NSS auch in Thunderbird verwendet werden, dort fehlt aber bisher jegliche Information über ein entsprechendes Sicherheitsupdate. Es würde uns also nicht verwundern, wenn bald ein weiteres Thunderbird Sicherheitsupdate veröffentlicht wird, um diese Bedrohung zu beseitigen. Die Anwender von Thunderbird können selbst leider nichts tun, um die Bedrohung zu minimieren.
Download: Thunderbird Version 91.4.0, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.4.0, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.4.0 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'BigSig-Lücke: Mozilla schließt kritische Schwachstelle in Krypto-Bibliothek NSS' auf Heise Online
10.12.2021 – Firefox 95 bringt Sicherheitsupdates
Mozilla hat Firefox 95 veröffentlicht. Die neue Version behebt 13 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 91.4. Anwender die immer noch eine 78er ESR-Version verwenden, müssen nun unbedingt auf die 91.4 upgraden.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox 95: Neue Sandbox-Technik verbessert Browser-Sicherheit' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
10.12.2021 – Neue LibreOffice Versionen beheben BigSig Sicherheitslücke
Die LibreOffice Entwickler haben sehr schnell auf die Sicherheitslücken in Mozilla’s NSS Software reagiert und Versionen mit der abgesicherten NSS-Version veröffentlicht. Obwohl die 7.1er Serie eigentlich schon im "Ruhestand" ist, haben die Entwickler auch ihr die neue NSS-Version eingepflanzt. Das Ergebnis ist LibreOffice 7.1.8.
Die 7.2 Serie erhält das Sicherheitsupdate in Form der Version 7.2.4. Beide neuen Versionen enthalte ausschließlich die neue NSS-Version, weitere Fehlerkorrekturen kommen erst wieder in LibreOffice 7.2.5.
Angriffe auf die Schwachstelle in LibreOffice sind zwar eher unwahrscheinlich, dennoch sollten alle LibreOffice Anwender auf LibreOffice 7.1.8 updaten. Oder eben auf 7.2.4, wenn man die neuere aber noch nicht so ausgereifte Serie bevorzugt.
Quelle: 'LibreOffice zieht Update wegen kritischer Schwachstelle vor' auf Heise Online
Download: Aktuelle LibreOffice Versionen
10.12.2021 – VeraCrypt behebt Sicherheitslücken, aber ...
Die Entwickler von VeraCrypt haben eine neue Version der Verschlüsselungs-Software veröffentlicht. Zum einen ersetzt die neue Version ein paar unsichere Funktionen durch sicherere, zum anderen werden nun auch neuere Betriebssystems bzw. Plattformen (ARM) unterstützt.
Support für ältere Systeme eingestellt!
Leider haben die Entwickler dabei aber auch die Unterstützung von älteren Windows Versionen eingestellt, namentlich Vista, Windows 7 und Windows 8.1. Auch ein paar MacOS Versionen wurden gestrichen. Unter Windows wird das durch neue Anforderungen an Treiber-Signaturen begründet. Da Windows XP keinerlei Treiber-Signatur voraussetzt, darf ausgerechnet das Uralt-System noch die neue VeraCrypt-Version verwenden! Wie schwer die in der neuen Version behobenen Sicherheitslücken waren, können wir leider nicht beantworten, So oder so ist es bedauerlich, dass es keine neue Version für Windows 7 und Windows 8.1 mehr gibt. Gerade letzteres System hat von Microsoft aus noch bis 2023 Support.
Fazit:
Wer VeraCrypt auf Windows 10 verwendet sollte bei Gelegenheit auf die neue Version updaten, allein schon wegen der behobenen Sicherheitslücken, egal wie schwerwiegend oder eben auch nicht sie sein mögen. Wer noch Windows 8.1 (oder älter!?) verwendet erhält einmal mehr einen Anreiz vielleicht doch auf Windows 10 upzugraden. Wenn das nicht möglich ist bedeutet das auch keinen Beinbruch, die verschlüsselten VeraCrypt-Dateien können sowohl von Alter aus auch neuer Version verwendet werden, zumindest in dem Sinne gibt es kein Kompatibilitäts-Problem.
Quelle: 'Festplattenverschlüsseler VeraCrypt 1.25 unterstützt M1-Macs und Windows on ARM' auf Heise Online
Download: VeraCrypt v1.25 Update 4, Windows, Mehrsprachig, 38 MB
Info: VeraCrypt Release Notes (Englisch)
10.12.2021 – Blender zündet den Nachbrenner!
Blender Fans dürfte das Herz bis zum Hals springen. Blender 3.0 ist da und mit ihm die neue Render-Software "Cycles X". Diese ist teils um ein vielfaches schneller als die alte Cycles Version, bei manchen Aufgaben sogar bis zu 8x schneller!!!! Wer jetzt denkt, wo ist der Haken an der Sache, dem sei gesagt, es gibt sogar deren Zwei. Haken Nummer Eins: die massivsten Performance-Verbesserungen gelingen nur in Verbindung mit Nvidia Grafikkarten der Serien 2000 oder neuer.
AMD findet Blender "HIP"
Für Anwender mit AMD Grafikkarte bedeutet Blender 3.0 ein weinendes und ein lachendes Auge. Das weinende Auge ist zugleich Haken Nummer 2: Blender 3.0 unterstützt kein OpenCL mehr, und damit keine "älteren" AMD Grafikkarten. Die gute Nachricht ist dafür, es wird AMD HIP unterstützt. HIP ist vereinfacht gesagt AMD’s Konter zu Nvidia’s CUDA. Mit passender AMD Grafikkarte (Radeon RX 6000er Karten werden offiziell unterstützt, RX 5000 Karten "sollten" auch funktionieren) verbessert sich Performance und Stabilität im Vergleich zur letzten Blender 2.9.x Ausgabe erheblich. Und es ist zu erwarten, dass da noch eine Menge Potenzial vorhanden ist, immerhin ist das die allererste Ausgabe mit HIP-Unterstützung. Ob Blender irgendwann auch wieder ältere AMD-Grafikkarten unterstützen wird, hängt hingegen ganz von AMD ab. Aktuell plant AMD HIP nur für Grafikarten mit RDNA-Architektur (eben 5000er und 6000er Serie). Ob die ältere GCN-Architektur generell inkompatibel zu HIP ist oder es nur angepasste Treiber erfordert konnten wir bisher nicht klären.
Ohne Grafikkarte gehts auch ...
Wer jetzt denkt, ohne eine neue Grafikkarte kann man Blender 3.0 gar nicht verwenden irrt. Mit einer modernen Grafikkarte gehen zwar viele Dinge (viel) schneller, aber auch ohne unterstützte Grafikkarte kann man Blender 3.0 verwenden, man braucht dann halt nur mehr Geduld. Wer auf die neuen Funktionen verzichten kann und unbedingt OpenCL verwenden möchte, kann immer noch auf Blender 2.93 LTS zurückgreifen.
Viele Verbesserungen abseits der Performance
Blender 3.0 ist aber nicht nur ein Meilenstein in Sachen Performance, auch an vielen anderen Dingen haben die Entwickler heftig geschraubt. Diese alle aufzuzählen würde jedoch jeden Rahmen sprengen, weshalb wir Interessierten den verlinkten Heise Online Artikel sowie die Blender Homepage nahelegen, wo es ausführlichere Informationen gibt.
Quelle: 'Blender 3.0 Release Information' auf Blender.org
Quelle: 'Freie 3D-Software Blender 3.0 dreht an der Performanceschraube' auf Heise Online
Download: Aktuelle Blender Version
Download: Aktuelle Blender LTS Version
10.12.2021 – Qnap NAS: Hersteller warnt vor Schadsoftware!
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Details zu den betroffenen Geräten bzw. Lücken gibt es im Heise Online Artikel.
Qnap warnt jedoch auch vor einem neuen Schädling Namens "oom_reaper", der wohl auch vollständig aktualisierte Systeme befällt. Die Firma untersucht den Schädling aktuell noch, bis dahn werden nur übliche Sicherheitsmaßnahmen empfohlen, allen voran, das System nicht übers Internet erreichbar zu machen. Außerdem sollen alle Updates installiert werden und starke Passwörter verwendet werden.
Auf Updates gegen die OpenSSL-Sicherheitslücken müssen Besitzer der Geräte übrigens immer noch warten, QNAP "untersucht" die Probleme bereits seit Ende August ohne eine Lösung.
Quelle: 'Warten aufs Sicherheitsupdate: Krypto-Miner oom_reaper sieht es auf Qnap-NAS ab' auf Heise Online
Quelle: 'Qnap schließt Sicherheitslücken in NAS-Zusatzsoftware' auf Heise Online
10.12.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Virtualisiertes USB als Sicherheitslücke' auf Heise Online
Quelle: 'etzt patchen! Root-Lücke in Fernzugrifflösung SMA 100 von Sonicwall' auf Heise Online
Quelle: 'Kritische Root-Lücke bedroht Industriesteuerungssystem WebHMI' auf Heise Online
Quelle: 'Angreifer attackieren PC-Management-Software Zoho ManageEngine Desktop Central' auf Heise Online
Quelle: 'Kaseya schließt teils kritische Sicherheitslücken in Unitrend Backup' auf Heise Online
Quelle: 'Kritische Zero-Day-Lücke in Log4j gefährdet zahlreiche Server und Apps' auf Heise Online
Quelle: 'IBM sichert Datenbanksystem Db2 und weitere Software ab' auf Heise Online
Quelle: 'Sicherheitsupdate: Grafana dichtet Schwachstelle ab' auf Heise Online
Quelle: 'FortiOS- und FortiProxy-Updates schließen Sicherheitslücken, Check empfohlen' auf Heise Online
03.12.2021 – Vivaldi bringt Version 5.0
Vivaldi hat Version 5.0 des Browsers für Desktop-Systeme und Android veröffentlicht. Was den großen Versionssprung von 4.3 auf 5.0 rechtfertigt ist nicht wirklich klar, denn so revolutionäre Neuerungen gibt es unserer Meinung nach eigentlich nicht.
Die wichtigsten Neuerungen sind daher einmal mehr die Unsichtbaren – die enthaltenen Sicherheitsupdates. Vivaldi hat mit dieser Version den Sprung auf Chromium 96 vollzogen. Fast 2 Wochen nach Google, also nicht gerade in Rekordzeit.
Für Vivaldi ist aber das neue Themen-System die große Neuerung. Die Optik der Benutzeroberfläche kann damit noch ein wenig feiner an die eigenen Bedürfnisse angepasst werden. Allerdings hat das ganze auch einen Haken, denn beim Upgrade von 4.3 auf 5.0 wird das alte Thema (also die Einstellung der Benutzeroberfläche) teilweise zurückgesetzt. Das von uns zuvor genutzte dunkle Thema wurde wieder auf das helle Standard-Thema zurückgesetzt. Großes Problem ist das nicht, da das Thema in den Einstellungen schnell wieder angepasst werden kann, aber ein (vermutlich vermeidbarer) Schönheitsfehler ist es trotzdem.
Darüber hinaus kann man die seit einigen Versionen enthaltene Übersetzungsfunktion nun auch über ein separates Panel nutzen, was ganz praktisch sein kann. Zu guter Letzt kann man in den Einstellungen ein Pop-Up für Downloads einschalten. Dann werden Downloads nicht mehr im Panel links angezeigt, sondern standardmäßig eben in einem neuen Minifenster rechts oben. Wieviele Nutzer das jemals zu sehen bekommen werden ist fraglich, wenn es standardmäßig deaktiviert ist.
Fazit: Die Sicherheitsupdates sind wie üblich der wichtigste Grund auf die neue Version upzudaten. Die restlichen Neuerungen betrachten wir eher als Mini-Änderungen, die so einen großen Versionssprung nicht rechtfertigen. Verspielte Anwender, die die Oberfläche bis ins allerletzte Detail anpassen wollen, werden aber ihre Freude dran haben. Das neue Übersetzungs-Paneel kann ebenfalls praktisch sein.
Quelle: 'Vivaldi 5.0 kommt mit individuellem Design und Übersetzungs-Paneel' auf Heise Online
03.12.2021 – Die nächste Sicherheitslücke in Zoom
Nachdem die Video-Konferenz-Software Zoom vor einigen Monaten gar nicht aus den Negativ-Schlagzeilen rauskam, wurde es daraufhin etwas ruhiger in der Angelegenheit. Das sich Zoom in der Zwischenzeit aber keineswegs zum Saubermann entwickelt hat belegt die neueste Sicherheitslücke in der Software.
Diese ermöglicht es Angreifern den Computer mit Viren zu infizieren. Betroffen sind nicht nur Windows Systeme, sondern quer durch die Bank nahezu alle Systeme für die Zoom verfügbar ist. Auf den gängigsten Betriebssystemen ist ein Update von Zoom auf Version 5.8.4 notwendig. Infos über die weniger gängigen Systeme kann man in dem Zoom Sicherheitsbericht ZSB-21020 nachlesen.
Quelle: 'Sicherheitslecks in Zoom-Meetingsoftware abgedichtet' auf Heise Online
Quelle: 'Zoom Sicherheitsbericht 21020' auf Zoom.us (Englisch)
03.12.2021 – Schon wieder schwere Sicherheitslücken in HP Druckern
Erst Ende Juli musste HP für etliche Drucker Sicherheitsupdates veröffentlichen, nun wurden schon wieder schwere Sicherheitslücken in den HP Druckertreibern entdeckt. Über 100 Drucker sind diesmal betroffen und die Lücken sind so schwer, dass sogar das deutsche CERT eine Warnung ausgegeben hat.
Wer einen Drucker von HP installiert hat, sollte unbedingt prüfen, ob es dafür neue Treiber bzw. Firmware gibt und diese zügig installieren.
Quelle: 'Kritische Sicherheitslücke in mehr als 100 HP-Druckermodellen' auf Heise Online
Quelle: 'HP Sicherheitsbenachrichtigung HPSBPI03749' auf HP.com (Englisch)
03.12.2021 – Sicherheits-Updates für aktuelle Router
Aufgrund der Ergebnisse eines Sicherheitstests der Zeitschrift "Chip" in Kooperation mit dem Dienstleister "IoT Inspector" haben mehrere Router Hersteller Firmware-Updates veröffentlicht. Darunter Asus, D-Link, Edimax, Linksys, Netgear, Synology und TP Link.
Auch Fritzboxen des Herstellers AVM waren im Test dabei und auch dort wurden theoretische Sicherheitslücken entdeckt. Theoretisch deshalb, weil der verwendete Test nach Ansicht von AVM nicht zwangsweise verlässliche Ergebnisse liefert. Nichtsdestotrotz erzielten die beiden Fritzboxen die besten Noten. Jedoch hat AVM im Gegensatz zu den andern Herstellern keine Updates explizit als Reaktion auf den Test veröffentlicht. Dennoch haben die beiden Fritzboxen seither 2 Updates erhalten, ohne jedoch sicherheitsrelevante Details dazu zu veröffentlichen.
Egal wie aussagekräftig der Test nun tatsächlich ist, es wurden als Reaktion darauf wieder einige Sicherheitsupdates veröffentlicht, was immer gut ist. Und für uns ist das wieder einmal eine Gelegenheit allen Router-Besitzern (unabhängig davon, ob es im Test war oder nicht) einen Besuch der Support-Webseite des Herstellers nahezulegen, um zu prüfen, ob ev. Firmware-Updates verfügbar sind. Und Router, die schon seit Jahren keine Updates mehr erhalten haben, sollten umgehend ausgetauscht werden, aus ökologischen Gründen möglichst durch ein Gerät mit langer Hersteller-Unterstützung.
Quelle: 'Automatische Analyse: Potenzielle Schwachstellen in populären WLAN-Routern' auf Heise Online
03.12.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Attacken auf Apache HTTP Server gesichtet' auf Heise Online
Quelle: 'Patchvorgang von Bitdefender Endpoint Security Tools manipulierbar' auf Heise Online
Quelle: 'Verwaltungssoftware Jamf Pro für Apple-Geräte könnte Zugangsdaten leaken' auf Heise Online
Quelle: 'Attacken auf IT-Helpdesk-Software Zoho ManageEngine Service Desk Plus' auf Heise Online
26.11.2021 – Neue 7-Zip-Version verfügbar
Igor Pavlov hat eine neue 7-Zip Version veröffentlicht. Die Version 21.06 (die 6 bezieht sich nicht auf das Monat) bringt wie üblich jede Menge Verbesserungen unter der Haube. Es gibt diesmal aber durchaus auch sichtbare Neuerungen. Allen voran ist das die Möglichkeit über das 7-Zip Kontextmenü des Explorers nun Hashfiles zu erzeugen und zu überprüfen.
Um die neue Funktion zu nützen, markiert man im Windows Datei-Explorer eine oder mehrere Dateien und klickt diese Auswahl dann mit der rechten Maustaste an. Der Reihe nach klickt man dann auf 7-Zip → CRC SHA → Und dann sieht man zwei neue Einträge zum Prüfen bzw. Erzeugen von Prüfsummen-Dateien. Ausführlicher erläutern wir das hier nicht, da sich diese Funktion ohnedies eher an erfahrenere Anwender richtet.
Fazit: Der Normal-Anwender wird vermutlich kaum einen Unterschied zwischen dieser Version und der aus dem letzten Jahr bemerken. Allein schon aufgrund der diversen Fehlerkorrekturen die in die neue Version eingeflossen sind, sollten Anwender von 7-Zip aber das Update auf die neue Version installieren.
Quelle: 'HISTORY of the 7-Zip' auf 7-zip.org (Englisch)
Download: 7-Zip 21.06 für 64Bit Windows
Download: 7-Zip 21.06 für 32Bit Windows
26.11.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Nach Windows-Update: Zero-Day-Lücke erlaubt lokale Rechteausweitung' auf Heise Online
Quelle: 'FBI warnt vor Einbrüchen via VPN-Software' auf Heise Online
Quelle: 'VMware dichtet Schwachstellen in vSphere Web Client ab - zum Teil' auf Heise Online
Quelle: 'Sicherheitsupdates iDRAC: Angreifer könnten Dell-Server ausknipsen' auf Heise Online
Quelle: 'Angreifer könnten die Kontrolle über Videoüberwachungssysteme von Qnap erlangen' auf Heise Online
19.11.2021 – Emotet ist zurück
Anfang Jänner hatten wir berichtet, dass das gefährliche Emotet Netzwerk von Polizeibehörden rund um den Globus stillgelegt wurde. Schon damals haben wir spekuliert, dass ein Nachfolger nicht lange auf sich warten lassen wird. Nun ist auch "das Original" wieder zurück. Neue Emotet Versionen werden aktuell gesichtet und der Virus ist gefährlich wie eh und je.
Daher an dieser Stelle mal wieder der Hinweis, dass man bei an E-Mails angehängten Office-Dateien immer besonders vorsichtig sein sollte, selbst wenn diese scheinbar von einem Firmenkollegen stammen. Emotet kann solche E-Mails täuschend echt nachmachen.
S-Mime Zertifikate könnten z.B. eingesetzt werden, um interne Absender verlässlich auszuweisen. Administratoren von Firmennetzen sollten die Nutzung von Makros in den Microsoft Office Anwendungen generell blockieren. Leider geht dies nur in den teuren MS-Office-Editionen (Standard, Pro Plus sowie den Enterprise Plänen von Office 365).
Quelle: 'Totgesagte leben länger: Emotet ist zurück' auf Heise Online
19.11.2021 – Microsoft News
Auch diese Woche gab es wieder ein paar erwähnenswerte Entwicklungen bei Microsoft.
Noch mehr Windows 11 Ärger
Neugierige, die bereits auf Windows 11 upgegradet haben, sehen sich abermals neuen Problemen gegenüber. Nicht nur Druckern mit USB-Druckern und verlangsamte Ryzen-Prozessoren verärgern Windows 11 Nutzer, jetzt kommen auch noch Kompatibilitäts-Probleme mit Intel Smart Sound Chips hinzu. Auf manchen Geräten mit diesen Chips stürzt Windows 11 mit einem Bluescreen/Blackscreen ab. Wir können nur einmal mehr vom Upgrade auf Windows 11 abraten.
Quelle: 'Audio-Treiber von Intel verursachen BlueScreens in Windows 11' auf Heise Online
Neue Windows 10 Version verfügbar
Am Dienstag hat Microsoft die Version 21H2 von Windows 10 veröffentlicht. Neue Funktionen muss man darin aber mit der Lupe suchen und betreffen eigentlich nur Firmennetze. Für Privatanwender bringt 21H2 keine Verbesserungen. Man kann diese Version also eher als großes "Service Pack" für Windows 10 sehen. Immerhin muss man sich nicht auf ein mega lanwieriges Upgrade einstellen. Wer schon Windows 10 20H1 oder neuer installiert hat, kann das Upgrade genauso schnell installieren wie die normalen monatlichen Updates.
Quelle: 'Microsoft gibt November-Update für Windows 10 frei' auf Heise Online
Ab sofort jährliche Windows 10 Upgrades
Windows 10 21H2 wird das letzte halbjährliche Funktionsupdate für Windows 10 sein. Der Fokus der Entwicklung bei Microsoft liegt natürlich bereits auf Windows 11. Aber selbst dort will Microsoft nur einmal im Jahr Funktions-Updates bereitstellen. Am Support-Zeitraum ändert sich jedoch nichts, Administratoren kleinerer Firmen müssen also auch weiterhin einmal jährlich Windows Upgrades managen, nur die Frage, ob es die H1 oder H2 Version sein soll, entfällt dann.
Quelle: 'Microsoft: Funktionsupdates für Windows 10 ab sofort jährlich' auf Heise Online
19.11.2021 – Wieder Sicherheitslücken in Netgear Geräten
Wieder einmal muss Netgear gefährliche Sicherheitslücken in seinen Geräten schließen. Und einmal mehr liegt der Fehler in der Umsetzung des UPnP-Dienstes, der immer wieder für Sicherheitslücken verantwortlich ist und daher grundsätzlich deaktiviert werden sollte.
Aufgrund der Menge der betroffenen Geräte verweisen wir an der Stelle auf die Sicherheitsmeldung von Netgear. Jedoch ist auch die Liste dort noch nicht als komplett zu betrachten, da Netgear immer noch dabei ist neue Firmware-Versionen herzustellen. Warum der Hersteller keine Liste der betroffenen Geräte bereitstellt, unabhängig davon, ob bereits ein Update verfügbar ist oder nicht, ist unverständlich. Auf die Weise sind Besitzer von Netgear Geräten praktisch permanent gezwungen nachzusehen, ob für das Gerät ein Sicherheitsupdate veröffentlicht wurde.
Besitzer dieser Geräte sollten unbedingt rasch ein Firmware-Update durchführen.
Quelle: 'Netgear Sicherheits-Nachricht' auf Netgear.com (Englisch)
Quelle: 'Sicherheitsupdates: Angreifer könnten Netgear-Router über Root-Lücke attackieren' auf Heise Online
19.11.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Details zu den betroffenen Geräten bzw. Lücken gibt es im Heise Online Artikel.
Auf Updates gegen die OpenSSL-Sicherheitslücken müssen Besitzer der Geräte übrigens immer noch warten, QNAP "untersucht" die Probleme bereits seit Ende August ohne eine Lösung.
Quelle: 'Qnap veröffentlicht NAS-Updates und deaktiviert aus Sicherheitsgründen eine App' auf Heise Online
19.11.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Sicherheitsupdate: Attacken auf Drupal-Admins vorstellbar' auf Heise Online
19.11.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Nach Microsoft-Patch repariert Windows manche Anwendungen kaputt' auf Heise Online
Quelle: 'Windows Sonder-Updates gegen DC-Authentifizierungsprobleme und Druckprobleme' auf Heise Online
Quelle: 'Azure Active Directory: Sicherheitslücke entblößt private Schlüssel' auf Heise Online
Quelle: 'Jetzt patchen! CERT-Bund warnt vor Zombie-Exchange-Servern' auf Heise Online
Quelle: 'Lücken in Industrie-IoT-Protokoll ermöglichen Fremdsteuerung' auf Heise Online
12.11.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Allerdings fällt der Umfang der Sicherheitsupdates diesen Monat so gering aus, dass wir fest davon ausgehen, dass dies nicht die letzten Adobe Updates im November bleiben werden. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Creative Cloud Desktop Anwendung
Auch in der Creative Cloud Desktop App wurde eine kritische Schwachstelle behoben. Hier sollte unbedingt zügig auf Version 5.6 oder neuer aktualisiert werden. Das wird in der Regel beim Starten der Anwendung angeboten oder gleich automatisch durchgeführt.
Quelle: 'Adobe Security Bulletin APSB21-111' auf Adobe.com (Englisch)
Adobe InCopy
Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier sollte unbedingt auf Version 17 aktualisiert werden, um sicher zu sein.
Info: Adobe Security Bulletin APSB21-110 (Englisch)
Adobe RoboHelp Server
In Adobe RoboHelp Server wurde eine als "kritisch" eingestufte Sicherheitslücke behoben. Anwender, die die Software installiert haben, sollten auf Version 2020.0.2 aktualisieren.
Quelle: 'Adobe Security Bulletin APSB21-87' auf Adobe.com (Englisch)
12.11.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Angreifer attackieren Kernel-Lücke in Windows' auf Heise Online
Kein Update für AutoDiscover-Lücke!
Auch eineinhalb Monate nach dem Artikel zum Thema Autodiscover-Sicherheitslücke hält es Microsoft nicht für Notwendig offiziell Stellung zu beziehen oder Sicherheitsupdates für die gefährlichen E-Mail-Programme zu veröffentlichen. Es bleibt also bis auf Weiteres bei den Notlösungen (Hosts-Datei) für Windows und MacOS. Auf Smartphones sollte Outlook aktuell gar nicht verwendet werden.
Wieder Angriffe auf Excel!
Erst letzten Monat haben wir über Angriffe auf Excel per Uralt-Makros berichtet, nun haben Angreifer wieder neue Möglichkeiten gefunden Excel Anwender Viren unterzujubeln. Diese hat Microsoft zwar in den November-Sicherheitsupdates behoben, allerdings vorerst nur für Windows-Systeme. Wer Excel auf MacOS verwendet ist bisher ungeschützt und sollte entsprechend noch mehr aufpassen als ohnehin, wenn man fremde Excel-Dateien öffnet. Am besten öffnet man diese Dateien gar nicht oder zuerst in LibreOffice zur Prüfung.
Auch im November wieder Angriffe auf Exchange!
Administratoren von Exchange-Servern sollten abermals schnell Updates installieren, denn wieder einmal laufen bereits Angriffe auf Exchange-Server, die durch die November-Updates unterbunden werden. Wie üblich muss ein aktuelles CU des Exchange-Servers installiert sein, damit man das Sicherheitsupdate erhält. Exchange 2019 erfordert mindestens CU10, die 2016er Version mindestens CU22 und bei Exchange 2013 muss es das allerneueste CU sein, also Ausgabe 23. Erst dann erhält man über Windows Update das eigentliche Sicherheitsupdate für November.
Etliche weitere Lücken geschlossen!
Natürlich hat Microsoft nicht nur Lücken in Exchange und Excel geschlossen, sondern in zahlreichen Anwendungen und Komponenten. Eine Übersicht finden sie im verlinkten Heise Online Artikel. Falls Windows Update nicht bereits automatisch aktiv geworden ist, empfiehlt es sich das nun nachzuholen.
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.09 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday: Microsoft warnt vor Attacken auf Excel und Exchange' auf Heise Online
12.11.2021 – Intel veröffentlicht November-Sicherheitsupdates
Prozessorhersteller Intel hat mal wieder neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Diesen Monat ist die Liste aber erfreulich kurz geraten, zudem dürften die meisten Updates auch wirklich für alle betroffenen Anwender verfügbar sein.
Lücken in "exotischem" Grafiktreiber
Am gefährlichsten dürften wohl die Sicherheitslücken in dem Grafiktreiber für die Intel-AMD-Kombi-Prozessoren (Intel CPU, AMD GPU) sein, die es ohnehin nur kurz gegeben hat und daher kaum in Notebooks anzutreffen sein dürften. Wer diesen exotischen Prozessor in seinem Notebook vorfindet, sollte sicherstellen, dass mindestens Version 21.10 des Grafik-Treibers installiert ist.
Quelle: 'Intel® Core™ Processors with Radeon™ RX Vega M GL Graphics Advisory' auf Intel.com
Sicherheitslücken in Atom-, Celeron- und Pentium-Prozessoren
Wer einen Computer mit dem eher gemächlichen Atom-, Celeron- oder Pentium-Prozessor hat, sollte beim Mainboard-Hersteller (bzw. Notebook-Hersteller) nach BIOS-Updates Ausschau halten. In den genannten Prozessoren (detaillierte Liste im Intel Sicherheits-Advisory) wurden ebenfalls Sicherheitslücken mit hohem Risiko-Potential gefunden, die eben per BIOS-Update behoben werden können. Sofern der Hersteller des Mainboards/Notebooks noch Updates zur Verfügung stellt.
Quelle: 'Intel® Processor Advisory' auf Intel.com
Sicherheitslücken in WLAN-Treibern
Auch in den Trebern für Intel’s WLAN-Module wurden wieder einmal schwere Sicherheitslücken gefunden und behoben. Auch hier finden sie die Liste der betroffenen WLAN-Module im Sicherheits-Advisory von Intel. Bei den meisten aktuellen WLAN-Modulen reicht es sicherzustellen, dass mindestens Version 22.40 des Intel WLAN-Treibers installiert ist.
Quelle: 'Intel® PROSet/Wireless WiFi and Killer™ WiFi Software Advisory' auf Intel.com
Ach Updates für Intel SSDs
Auch Intel SSDs werden im November mit Sicherheitsupdates versorgt. Allerdings sind hier nur SSDs für Firmen betroffen, für die allermeisten Heim-Anwender dürfte dieses Advisory eher nicht relevant sein.
Quelle: 'Intel® SSD DC Firmware Advisory' auf Intel.com
Drei Updates für NUC Systeme
Die restlichen Advisories entfallen auf Intel NUC Systeme. Die notwendigen Updates sind direkt in den Reports verlinkt und lassen sich einfach runterladen und installieren.
Quelle: 'Intel® NUC HDMI Firmware Update Tool Advisory' auf Intel.com (Englisch)
Quelle: 'Intel® Serial IO Driver for Intel® NUC 11 Gen Advisory' auf Intel.com (Englisch)
Quelle: 'Intel® NUC M15 Laptop Kit Advisory' auf Intel.com (Englisch)
12.11.2021 – AMD Grafiktreiber beheben Sicherheitslücken
Diesen Monat hat AMD ein paar Sicherheitslücken in Grafiktreibern gemeldet. Abgesicherte Treiber gibt es aber schon länger.
Besitzer einer AMD Radeon Grafikkarte oder AMD Prozessor mit eingebauter Grafik sollten mindestens Version 21.4.1 installiert haben. Dieser Treiber ist bereits seit April erhältlich und dürfte auf vielen Systemen auch schon über Windows Update verteilt worden sein.
Wer eine Radeon Pro Grafikkarte sein Eigen nennt, sollte mindestens Version 21.Q2 des Enterprise Treibers installiert haben. Diese Treiber Version ist seit Ende Juni erhältlich. Ob die Pro-Treiber ebenfalls über Windows Update angeboten werden, ist uns nicht bekannt.
Quelle: 'Kernel-Lücken in AMD-Grafikkartentreibern bedrohen Windows-PCs' auf Heise Online
12.11.2021 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Wordpress-Plug-in WP Reset Pro fixt kritische Sicherheitslücke' auf Heise Online
12.11.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Patchday: Microsoft warnt vor Attacken auf Excel und Exchange' auf Heise Online
Quelle: 'Warten auf Sicherheitsupdates: Admin-Lücke bedroht VMware vCenter Server' auf Heise Online
Quelle: 'Angreifer könnten Load Balancer ADC von Citrix außer Gefecht setzen' auf Heise Online
Quelle: 'Unbekannte infiltrieren Paketmanager npm und verseuchen Tools mit Schadcode' auf Heise Online
Quelle: 'Sicherheitsupdate: Kritische Root-Lücke bedroht Firewalls von Palo Alto' auf Heise Online
Quelle: 'Kritische Lücken in Siemens Nucleus RTOS' auf Heise Online
Quelle: 'Samba-Update behebt acht Schwachstellen' auf Heise Online
Quelle: '22 Sicherheitslücken in "Epyc"-Serverprozessoren von AMD' auf Heise Online
05.11.2021 – Thunderbird 91.3 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 91.3 des beliebten E-Mail-Programms veröffentlicht. Gegenüber der Vorversion behebt die neue Ausgabe 10 Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Auch abgesehen von den Sicherheitskorrekturen gibt es einige wichtige Fehlerbehebungen, die das Update selbst für Anwender ohne Sicherheitsbedenken interessant machen.
Download: Thunderbird Version 91.3.0, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.3.0, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.3.0 Release Notes' auf Mozilla.org (Englisch)
Quelle: 'Sicherheitsupdate Thunderbird: Ausbruch aus Sandbox vorstellbar' auf Heise Online
05.11.2021 – Firefox 94 bringt Sicherheitsupdates
Mozilla hat Firefox 94 veröffentlicht. Die neue Version behebt 13 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 91.3. Anwender die immer noch eine 78er ESR-Version verwenden, müssen nun unbedingt auf die 91.3 upgraden.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox-Updates schließen zahlreiche Sicherheitslücken' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
05.11.2021 – Status zum AutoDiscover Fiasko!
Aufgrund der immensen Tragweite des AutoDiscover-Fiaskos haben wir hier unsere neuen Erkenntnisse der Woche zusammengetragen. Viel ist das leider nicht, denn keiner der betroffenen Hersteller scheint irgendetwas gegen die kritische Lücke zu unternehmen. Und doch gibt es Neuigkeiten, denn die Entdecker der Lücke, haben ihrem Report nun eine Liste von betroffenen Anwendungen hinzugefügt.
Endlich Liste betroffener Geräte/Programme!
Als Guardicore die AutoDiscover-Lücke bekannt gemacht hat, enthielt der Artikel nur vage Andeutungen über die betroffenen Programme bzw. Geräte. Mittlerweile haben die Sicherheitsforscher aber nachgelegt und nennen zumindest einige verwundbare Programme und damit Geräte. Wichtig ist aber zu beachten, dass diese Liste keinesfalls den Anspruch erhebt komplett zu sein, zudem kann Guardicore aus deren Informationen nicht ableiten, welche Versionen jeweils womöglich betroffen sind und welche womöglich bereits abgesichert wurden. Da wären schon die jeweiligen Hersteller in der Pflicht endlich mal Klartext zu reden.
Microsoft: Outlook, Outlook und Mail betroffen!
Bei Microsoft ist die Situation wie bereits vermutet. Es dürften aktuell wohl sämtliche Outlook Versionen betroffen sein und auch die Mail App von Windows 10. Während man die Lücke auf Windows und MacOS durch passende Einträge in der Hosts-Datei umgehen kann, ist dies bei Outlook für iOS und Android nicht möglich. Allerdings raten wir von der mobilen Outlook Version ohnehin schon länger wegen schlechter Sicherheit ab.
Apple: Die Lücke ist da, nur wo genau?
Apple hat die Fehler in der Microsoft Referenz-Implementierung auf jeden Fall in irgendeiner Software übernommen, oder vermutlich eher in mehreren. Anhand der Daten bei Giardocore kann man aber nur mit Sicherheit sagen, dass es sich um Geräte mit diversen Darwin-Kerneln bis hin zur Version 2.6.0 handelt. Ob das jetzt aber MacOS, iOS oder iWasAuchImmer Geräte sind, kann man so nicht erkennen. Aber immerhin ist damit klar, dass mindestens eines der folgenden Systeme definitiv noch betroffen war/ist: macOS Big Sur, iOS 14, watchOS 7, tvOS 14, bridgeOS 5. Das iOS 15 nicht in der Liste ist könnte bedeuten, das Apple den Fehler behoben hat, muss es aber nicht. Es kann schlicht und ergreifend auch noch zu neu sein, als dass Guardicore schon Informationen über diese Geräte hat.
Ist Android sicherer?
Stellvertretend für Android-Smartphones hat Guardocore nun einige Samsung-Smartphones als unsicher gelistet, allerdings nur sehr alte Geräte. Guardicore vermutet, dass Samsung/Google bei Android im Jahr 2017, als die Lücken erstmals bekannt wurden, besser reagiert hat als Microsoft/Apple und die Lücken damals schon behoben hat. Wenn das zutreffend ist, dürften die meisten aktuellen Android Smartphones in der Hinsicht als sicher gelten, sofern die dort üblichen Mail-Programme (Android Mail, Gmail) verwendet werden. Setzt man hingegen z.B. Outlook ein, ist man vermutlich von der Lücke betroffen.
Fazit:
Wirklich verbindliche Aussagen kann man mangels konkreter Statements der betroffenen Hersteller nach wie vor nicht tätigen. Es sieht aber so aus, als wären Android-Anwender möglicherweise besser geschützt als Microsoft oder Apple Anwender. Während man sich auf Windows- und macOS-Geräten durch Hosts-Einträge schützen kann, ist man gerade auf den Apple-Mobil-Geräten aktuell schutzlos ausgeliefert. Vermutlich zumindest, die Hersteller schweigen sich aktuell zu dem Thema aus.
Quelle: 'Autodiscovering the Great Leak' auf guardicore.com (Englisch)
05.11.2021 – Bluetooth Lücken – Kaum Sicherheitsupdates
Die Situation rund um die zuletzt entdeckten Sicherheitslücken in Bluetooth hat sich in den letzten Wochen kaum gebessert. Nun wendet sich sogar eine amerikanische Regierungsbehörde an Hersteller von Geräten mit Bluetooth, sie mögen doch endlich Sicherheitsupdates veröffentlichen. Ursache dafür dürfte sein, dass aus den Programmen zur Demonstration der Lücken mit wenig Aufwand echte Schadprogramme entstehen können. Falls diese nicht bereits aktiv für Angriffe genutzt werden, dürfte es nur noch eine Frage der Zeit sein.
Nachdem wir das Thema Bluetooth-Unsicherheit schon lange genug verfolgen, können wir über diese neuen Vorfälle eigentlich nur müde lächeln. Unsere Einstellung zum Thema Bluetooth ist schon länger, dass man es wo immer möglich deaktivieren sollte. Bluetooth wird, solange beim zuständigen Interessenverband kein gravierender Paradigmenwechsel stattfindet, nie sicher sein. Die "aktuellen" Sicherheitslücken (die in den allermeisten Geräten für immer bleiben werden) sind nur mal wieder eine tagesaktuelle Bestätigung dafür.
Quelle: 'Bluetooth-Lücken Braktooth: Das Patchen geht nur schleppend voran' auf Heise Online
05.11.2021 – Windows 11: Alte und neue Probleme
Die Liste der Probleme die Anwender von Windows 11 auf sich nehmen müssen ist mal wieder länger geworden. Zusätzlich zu den Performance-Problemen mit AMD-Prozessoren, den Druckproblemen und noch einigen kleineren Wehwehchen, kommen jetzt auch noch nicht mehr startende Programme hinzu. Ursache dafür ist ein am 1. November abgelaufenen Zertifikat. Microsoft hat mit einem ersten Notfall-Update reagiert, aber manche Programme funktionieren nach wie vor nicht.
Nochmal der Hinweis: Wir raten generell allen Anwendern aktuell von Windows 11 ab. Es bringt kaum Vorteile mit sich, aber jede Menge Kinderkrankheiten. Von der "verschlechterten" Benutzeroberfläche ganz zu schweigen.
Quelle: 'Windows 11: Abgelaufene Zertifikate können mitgelieferte Apps streiken lassen' auf Heise Online
05.11.2021 – Android: Sicherheitslücken werden aktiv ausgenützt!
Eine der Sicherheitslücken, die Google in den November 2021 Sicherheitsupdates für Android behoben hat, wird bereits aktiv von Angreifern ausgenützt. Laut Google sind das zwar aktuell überwiegend gezielte Angriffe (auf vermutlich besonders lohnenswerte Ziele), das bedeutet aber nicht, dass diese Lücken nicht in naher Zukunft in größerem Maßstab ausgenützt werden.
Besitzer eines Android-Smarthones oder Tabletts sollten also unbedingt prüfen, ob die aktuellen Sicherheitsupdates bereits installiert sind oder dies umgehend nachholen. Allerdings muss man unbedingt auf das Datum des letzten Sicherheitsupdates achten, denn nur weil auf vielen Android-Geräten kein Sicherheitsupdate angeboten wird, heißt das nicht, dass das Gerät aktuell ist.
Um die aktuellen Lücken zu schließen, muss der Android Sicherheitsstand mindestens 06.11.2021 entsprechen. Nein, das ist kein Fehler, das Datum liegt Stand heute tatsächlich in der Zukunft. Der zugehörige Sicherheitsbericht von Google wurde bereits am 1. November veröffentlicht.
Quelle: 'Patchday: Angreifer attackieren gezielt Android-Geräte' auf Heise Online
05.11.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Wichtige Cisco-Updates: Recycelte SSH-Keys vereinfachten unbefugte Root-Zugriffe' auf Heise Online
Quelle: 'Sicherheitspatch: Bitdefender Endpoint Security als Einstiegspunkt für Angreifer' auf Heise Online
Quelle: 'Kritische Schadcode-Lücken bedrohen Business-Intelligence-Software Pentaho' auf Heise Online
Quelle: 'Sicherheitsforscher warnen vor zehntausenden verwundbaren GitLab-Servern' auf Heise Online
29.10.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 95.0.4638.69 behebt 8 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Allerdings werden zwei der Lücken bereits aktiv ausgenützt, was das Update besonders dringend macht.
Die Chomium Version mit 2 Monaten Support wurde auf Version 94.0.4606.113 aktualisiert. Wie schon letzte Woche verrät Google im Blog aber nicht, welche Neuerungen hier enthalten sind, man kann also nur vermuten, dass wohl dieselben Sicherheitslücken wie in der neuen 95er Version behoben wurden. Wir hoffen immer noch, dass Google in Zukunft die Änderungen in diesem Zweig besser kommuniziert.
Anwender von Google Chrome sollten das Update zügig auf eine der beiden neuen Versionen updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Sicherheitsupdate: Angreifer attackieren abermals Chrome' auf Heise Online
Vivaldi:
Da Google die neuen Chromium Versionen erst vor wenigen Stunden veröffentlicht hat, laufen die Arbeiten an den Updates in Norwegen noch auf Hochtouren. Noch gibt es kein fertiges Update, aber wir erwarten Vivaldi 4.3 Update 3 noch im Laufe des Tages.
Update: Um 18:50 war es so weit, Vivaldi 4.3 Update 3 steht parat und schließt alle aktuellen Sicherheitslücken.
Info: 'Minor update (3) for Vivaldi Desktop Browser 4.3' auf Vivaldi.com (Englisch)
Microsoft Edge:
Das Microsoft-Edge-Team hat ebenfalls noch kein entsprechendes Update parat. Wir wären aber auch hier nicht überrascht, wenn sich das bis morgen noch ändert.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
29.10.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wieder einmal veröffentlicht Adobe Sicherheitsupdates außer der Reihe und macht sich damit keine Freunde. Denn ungeplante Sicherheitsupdates zwingen Administratoren womöglich zu mehrfachen Update-Durchläufen was Zeit und Geld kostet. Zudem hat Adobe zahlreiche 2022er Versionen veröffentlicht und nur darin Sicherheitslücken geschlossen, sodass Anwender sehr häufig gezwungen werden auf die neuen Jahresausgaben upzugraden, wenn sie sicher sein wollen. Gleichzeitig können wir ersten Rückmeldungen von Kunden entnehmen, dass zumindest manche der 2022er Programme noch böse Kinderkrankheiten haben. Man muss also zwischen Sicherheit und stabiler Funktion entscheiden, was nie gut ist.
Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Photoshop
In Photoshop 2021 und 2022 wurden drei Schwachstellen behoben, wovon zwei kritisch sind. Die 2021er Jahresausgabe (Version 22.x) sollte unbedingt rasch auf Version 22.5.2 aktualisiert werden, die neue 2022er Jahresausgabe (Version 23) ist ebenfalls bereits abgesichert. Sämtliche (!!) Photoshop Versionen vor den genannten Ausgaben gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB21-109' auf Adobe.com (Update 2025: Diese Seite ist nicht mehr verfügbar)
Adobe Premiere Pro
Im Video-Schnitt-Programm Premiere Pro hat Adobe drei kritische und 3 wichtige Sicherheitslücken behoben. Leider nur in Form von Jahresausgabe 2022 (Version 22) und nicht als Update für die Version 15.x (2021).
Die Versionen 16 bis 21 wurde übrigens übersprungen um Premiere Pro, After-Effects und Media Encoder auf eine einheitliche Versionsnummer zu hieven. Das dadurch nun Versionsnummer und Jahresausgabe übereinstimmen macht es natürlich etwas übersichtlicher.
Aus Sicherheitsperspektive muss die klare Empfehlung lauten rasch upzudaten, immerhin kann man drei kritische Sicherheitslücken nicht einfach ignorieren. Ob diese neue Version aber ausreichend stabil läuft, muss jeder Anwender für sich selbst entscheiden. Man sollte dies aber möglichst rasch prüfen, denn wenn man einmal ein Projekt mit der neuen Version begonnen hat, muss man es damit auch durchziehen. Premiere-Projekte lassen sich nicht mit älteren Versionen öffnen.
Quelle: Adobe Security Bulletin APSB21-100 (Englisch)
Adobe After Effects
Bei Adobe After Effects ist die Situation fast dieselbe wie in Premiere Pro, nur das hier allein 9 kritische und zwei wichtige Sicherheitslücken gestopft wurden. Das heißt, das Risiko mit After Effects 2021 weiterzuarbeiten ist potenziell noch höher als mit Premiere Pro 2021. Allerdings haben wir gerade hier von Kunden schon die Rückmeldung bekommen, dass wohl viele Sachen in After Effects 2022 nicht ordentlich funktionieren sollen. Genauere Details oder ein umfangreicheres Feedback haben wir aber noch nicht. Hier ist also guter Rat teuer, wenn es darum geht die Frage "Update oder Warten?" zu beantworten.
Nachtrag: Und plötzlich gibt es doch eine abgesicherte 2021 Version. Entweder hat Adobe hier auf Probleme rasch reagiert, oder wir haben die bisher übersehen. Wie auch immer, damit ist klar, wohin die Reise geht: Anwender sollten generell auf Version 18.4.2 updaten. Die 22er Version ist eher für Anwender die unbedingt die neuen Funktionen ausprobieren wollen und mögliche Kompatibilitäts-Probleme dafür in Kauf nehmen.
Quelle: Adobe Security Bulletin APSB21-79 (Englisch)
Adobe Media Encoder
Im Adobe Media Encoder wurden 5 kritische und 2 wichtige Sicherheitslücken behoben. Wie bei Premiere Pro gibt es die Korrekturen nur in Form der 2022er Version. Wer After Effect 2021 weiterverwenden möchte, muss in den meisten Fällen jedoch auch die alte Media Encoder Version beibehalten. Es ist aber kein Problem zwei verschiedene Media Encoder Versionen parallel installiert zu haben.
Quelle: Adobe Security Bulletin APSB21-99 (Englisch)
Adobe Audition
In Adobes Audio-Bearbeitungs-Programm Audition wurde mehrere kritische und wichtige Sicherheitslücken behoben. Anwender sollten zügig auf Version 14.4.2 (2021) oder 22.0 (2022) updaten um sicher zu sein.
Quelle: Adobe Security Bulletin APSB21-92 (Englisch)
Adobe Premiere Elements
In der Video-Anwendung Premiere Elements 2021 wurden 5 kritische und 2 wichtige Sicherheitslücken behoben. Wer das Programm verwendet sollte zügig auf Build 19.0 (20211007.daily.2243969) updaten. Alle älteren Ausgaben von Premiere Elements sind unsicher und sollten nicht mehr verwendet werden!
Quelle: 'Adobe Security Bulletin APSB21-106' auf Adobe.com (Englisch)
Adobe Illustrator
Im Vektorgrafik Programm Illustrator hat Adobe zwei kritische und drei wichtige Sicherheitslücken behoben. Leider gibt es auch hier Updates nur in Form der Jahresversion 2022. Man sollte aus Sicherheitsgründen updaten, aber auch darauf vorbereitet sein bei Kinderkrankheiten wieder zur alten Version zurückzukehren.
Info: Adobe Security Bulletin APSB21-98 (Englisch)
Adobe InDesign
Im Layout-Programm InDesign hat Adobe zwei kritische und eine wichtige Sicherheitslücke behoben. Leider gibt es auch hier Updates nur in Form der Jahresversion 2022. Man sollte aus Sicherheitsgründen updaten, aber auch darauf vorbereitet sein bei Kinderkrankheiten wieder zur alten Version zurückzukehren.
Info: Adobe Security Bulletin APSB21-107 (Englisch)
Adobe Lightroom:
Adobe's Lightroom Classic erhält ein Update gegen eine kritische Sicherheitslücke. Hier gibt es wieder eine abgesicherte 2021er Version (10.4) sowie eine 2022er Version (11.0). Alle Anwender von Lightroom Classic sollten zügig eine der beiden abgesicherten Versionen installieren.
Info: Adobe Security Bulletin APSB20-97 (Englisch)
Adobe Animate
Das ehemals Flash genannte Web-Animationsprogramm enthielt ebenfalls eine Fülle von Sicherheitslücken. Auch hier ist die Bedrohungslage in Summe kritisch. Wer Adobe Animate installiert hat, sollte es zügig auf Version 22.0 (2022) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB21-105 (Englisch)
Adobe Bridge
In Adobe Bridge wurden 10 kritische Sicherheitslücken behoben. Das Update auf die abgesicherte Version 11.1.2 (2021) oder 12.0 (2022) sollte daher zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB21-94' auf Adobe.com (Englisch)
Adobe Character Animator
In Adobe Character Animator wurden 8 Lücken behoben wovon drei die Einstufung "kritisch" tragen. Betroffen sind alle Versionen von Character Animator, eine Lösung in Form eines Updates auf Version 4.4.2 gibt es nur für die 2021er Ausgabe bzw. Version 22.0 für die 2022er Ausgabe. Ältere Fassungen von Character Animator sollten nicht mehr verwendet werden.
Quelle: Adobe Security Bulletin APSB21-95 (Englisch)
Adobe Prelude
In Prelude hat Adobe 7 kritische und 2 wichtige Sicherheitslücken behoben. Das Update auf Version 22.0 (2022) behebt die Probleme.
Quelle: Adobe Security Bulletin APSB21-96 (Englisch)
Adobe XMP Toolkit SDK
Wer das Adobe XMP Toolkit SDK installiert hat, sollte dieses unbedingt auf Version 2021.10 updaten. Diese Version behebt Sicherheitslücken. Wieviele und welche trauen wir uns nicht sagen, denn zumindest bei den Versionsnummern hat sich Adobe im Sicherheitsbulletin vertan, daher ist nicht klar, ob die Angaben bzgl. der Lücken stimmen. Aber Programmierer sollten auf jeden Fall nur mehr das SDK 2020.10 (oder neuer) verwenden. Der Link zu den Release Notes (und Downloads) im Bulletin stimmt.
Info: Adobe Security Bulletin APSB21-108 (Englisch)
29.10.2021 – Thunderbird 91.2.1 behebt Sicherheitslücken
Die Entwickler von Thunderbird haben die Version 91.2.1. Das ist die erste Version aus der 91er Serie die als Auto-Update auch Anwender von Thunderbird 78.x angeboten wird. Gegenüber der Vorversion behebt die neue Ausgabe 7 Sicherheitslücken, die in Summe eine "hohe" Bedrohung darstellen sollen. Alle Thunderbird Anwender sollten das Update zügig installieren, sofern es durch die automatische Aktualisierung nicht bereits erledigt wurde.
Wer von Version 78.x auf 91.x upgradet und Erweiterungen genutzt hat, muss vermutlich einige davon von Hand aktualisieren. Eigentlich sollte das zwar Thunderbird automatisch machen, aber das hat zumindest bei uns nicht funktioniert. So schlimm wie beim Wechsel auf die 78.x Ausgabe ist es diesmal aber nicht, die meisten Erweiterungen die es für 78.x gab sollte es auch über kurz oder lang auch für die 91er Versionen geben.
Vor allzu großen optischen Neuerungen muss man sich nicht "fürchten", ein paar dezente Modernisierungen an der Oberfläche gibt es (im Vergleich zur 78er Serie) aber doch. Wenn man Dateien per Drag and Drop auf das Mailfenster zieht kann man nun intuitiver entscheiden, ob die Datei als Anhang oder eingebunden angezeigt wird. Der neue Einrichtung-Assistent für Mail-Konten versucht automatisch zugehörige Kalender und Adressbücher einzurichten. Außerdem zeigt Thunderbird im Taskleisten-Icon nun die Zahl der neuen Mails an. Kurzum, abgesehen von dem einmaligen Ärgernis mit den nicht automatisch aktualisierten Erweiterungen konnten wir bisher keine Probleme mit Version 91.2.1 feststellen.
Download: Thunderbird Version 91.2.1, Windows, 32Bit, Deutsch
Download: Thunderbird Version 91.2.1, Windows, 64Bit, Deutsch
Info: 'Thunderbird 91.2.1 Release Notes' auf Mozilla.org (Englisch)
29.10.2021 – Wichtiges Sicherheitsupdate für WinRAR
Leider findet man immer noch auf sehr vielen PCs eine Testversion von WinRAR. "Leider" deshalb, weil es eigentlich ebenso gute und im Gegensatz zu WinRAR kostenlose Alternativen gäbe, allen voran 7-Zip. Wer WinRAR installiert hat, sollte es unbedingt auf Version 6.02 aktualisieren, vor allem dann, wenn man die unlizenzierte Testversion verwendet. Darin wurde nämlich eine Sicherheitslücke behoben, die sich grundsätzlich zur Infektion mit Viren nutzen lässt.
Quelle: 'Jetzt patchen: Kostenlos-Version von WinRAR kann für Angriffe missbraucht werden' auf Heise Online
29.10.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Details zu den betroffenen Geräten bzw. Lücken gibt es im Heise Online Artikel.
Auf Updates gegen die OpenSSL-Sicherheitslücken müssen Besitzer der Geräte übrigens immer noch warten, QNAP "untersucht" die Probleme bereits seit Ende August ohne eine Lösung.
Quelle: 'QNAP: Lücke in QTS-Add-on machte NAS aus der Ferne angreifbar' auf Heise Online
29.10.2021 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress: Erneute Sicherheitslücke im Plugin Ninja Forms' auf Heise Online
29.10.2021 – Und wieder Sicherheitsprobleme mit Nvidia Grafikkarten
Nvidia hat wieder einmal Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. Insgesamt wurden 9 Lücken behoben. Jedoch betreffen nur 3 der Lücken echte Grafikkarten (GeForce, Quadro), die restlichen Lücken beziehen sich auf VGPU’s die nur in größeren Virtualisierungsumgebungen relevant sind. Dort sind die Lücken jedoch ernster und sollten von Administratoren durch entsprechende Updates zügig behoben werden.
Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, ist "nur" möglichen Denial of Service angriffen ausgesetzt. Das heißt schlimmstenfalls reagiert die Grafikkarte nicht mehr und man muss den PC neustarten. Zwar sollte man natürlich trotzdem updaten, aber es ist nicht so elementar wichtig wie frühere Nvidia-Updates.
Wo ist Version 472.39?
Irgendjemand bei Nvidia hat aber offenbar einen Fehler gemacht. Denn das Nvidia-Security-Bullein für Oktober 2021 erwähnt die Treiber-Version 472.39 als abgesicherte Version für (ältere) GeForce-Grafikkarten. Doch besagter Treiber ist nicht in einer "Game Ready" Version verfügbar, sondern nur als "Studio Version", die wiederum nur für relativ neue Grafikkarten passt. Auch eine halbstündige Diskussion mit einem Nvidia-Mitarbeiter im Support-Chat brachte keine Klarheit darüber, ob nun das Security-Bulletin fehlerhaft ist, oder der Treiber schlicht nur auf dem Download-Server fehlt. Wir warten noch auf ein E-Mail von Nvidia in dem Fall.
Support weiter eingeschränkt?
Es wäre aber nicht wirklich verwunderlich, wenn Nvidia den Support für ältere Grafikkarten weiter zurückfährt, immerhin will der Konzern ja neue Grafikkarten verkaufen, auch wenn die dank Corona und Mining-Boom aktuell praktisch unbezahlbar sind. Während man bei Desktops die Grafikkarte immerhin tauschen kann, gibt es diese Möglichkeit bei Notebooks gar nicht. Wer hier nicht mit Sicherheitslücken leben möchte, muss zwangsweise ein neues Notebook kaufen.
Abgesicherte Treiber:
Besitzer einer GeForce Grafikkarte sollten unbedingt auf Version 496.49 oder 472.39(!?) (Game Ready) Treibers aktualisieren. Für Besitzer einer Grafikkarte mit Studio-Treiber-Anspruch steht Version 472.39 bereit. Besitzer der teureren Quadro, NVS oder Tesla-Grafikkarten entnehmen die Versionsnummern der abgesicherten Treiber bitte dem Nvidia Sicherheitsbulletin.
Quelle: 'Security Bulletin: NVIDIA GPU Display Driver - October 2021' auf nvidia.custhelp.com
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Quelle: 'Sicherheitsupdate: Nvidia schließt Schadcode-Lücken in GPU-Treibern' auf Heise Online
29.10.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco: Aktuelle Updates sollen Sicherheitsprodukte absichern' auf Heise Online
Quelle: 'Jetzt updaten: Jira-Team schließt kritische Sicherheitslücke in Insight-App' auf Heise Online
Quelle: 'Discourse: Open-Source-Diskussionsplattform schließt Remote-Einfallstor' auf Heise Online
22.10.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 95.0.4638.54 behebt 19 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein.
Erstmals gibt es nun 2 parallele Entwicklungen bei Google, denn neben dem oben beschriebenen Chromium 95 gibt es auch eine neue Version aus dem 94er Zweig. Die Ausgabe 94.0.4606.101 wurde zeitgleich mit der neuen 95er Version veröffentlicht, man kann daher vermuten, dass alle dort gestopften Sicherheitslücken auch hier behoben wurden. Leider muss man es tatsächlich bei der Vermutung belassen, denn Google gibt keinerlei Informationen darüber preis, welche Lücken in der neuen 94er Version behoben wurden. Es bleibt zu hoffen, dass Google in Zukunft die Änderungen in diesem Zweig besser kommuniziert.
Anwender von Google Chrome sollten das Update zügig auf eine der beiden neuen Versionen updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome: Browser-Update auf Version 95 beseitigt mehrere Sicherheitslücken' auf Heise Online
Vivaldi:
Dank des erweiterten Supports für die Chromium 94 Serie konnte Vivaldi auch diese Woche wieder sehr flott Sicherheitsupdates ausliefern. Vivaldi 4.3 Update 2 baut daher auf Chromium 94.0.4606.104 auf. Abgesehen von den Sicherheitslücken wurden auch ein paar weitere Probleme behoben. Anwender von Vivaldi sollten daher zügig auf die neue Version updaten.
Info: 'Minor update (2) for Vivaldi Desktop Browser 4.3' auf Vivaldi.net (Englisch)
Microsoft Edge:
Das Microsoft-Edge-Team hat die aktuellen Sicherheitsupdates ebenfalls bereits übernommen. Wer Edge verwendet sollte sicherstellen, dass bereits Edge-Version 95.0.1020.30 installiert ist.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
22.10.2021 – Sicherheitsupdates für Java und weitere Oracle Software
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 419 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Java:
Oracle hat Version 8.0 Update 311 der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mehr als 15 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 8.6 von 10 ein. Anwender die Java installiert haben sollten also rasch updaten.
UPDATE:
Aus bisher unbekannten Gründen hat Oracle die Installations-Programme für die Versionen 8.0 Update 311 zurückgezogen. Auf java.com findet man nun (vorerst?) wieder Version 8.0 Update 301. Was dahinter steckt und wann die neuen Downloads wieder verfügbar sein werden wissen wir nicht, wir konnten keinen Hinweis darauf entdecken. Der eingebaute Update-Mechanismus von Java 8.0 Update 301 bietet aber nach wie vor das Update auf 311 an und es bei einem kurzen Test auch problemlos durchgelaufen. Da für ein Update zurzeit ohnehin die eingebaute Update-Version genutzt werden muss verzichten wir auf einen Link zur Downloadseite.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15 und 16 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er Version zurückgehen, oder auf Version 11.0.13 oder 17.0.1 upgraden. Im Gegensatz zur 8er Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z.B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen ob man darauf verzichten kann oder nicht.
VirtualBox:
In dem PC-Emulator VirtualBox wurden 5 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich zwar keine der Lücken übers Internet ausnützen, dennoch sind die Gefahreneinstufungen relativ hoch. Wer VirtualBox auf seinem PC nutzt, sollte also unbedingt auf die neue Version 6.1.28 updaten.
Download: Aktuelle VirtualBox 6.1.x Version auf VirtualBox.org
MySQL:
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Weitere Oracle Programme:
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - October 2021' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - October 2021' auf Oracle.com (Englisch)
Quelle: 'Oracle: "Critical Patch Update" liefert Übersicht über teils kritische Lücken' auf Heise Online
22.10.2021 – Wieder Sicherheitslücken in WordPress
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'WordPress: Beliebtes Plugin "WP Fastest Cache" braucht dringend ein Update' auf Heise Online
22.10.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco: Schwachstelle in IOS XE (SD-WAN) macht mehrere Produkte angreifbar' auf Heise Online
15.10.2021 – Sicherheitsupdate für zahlreiche Adobe Programme
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Reader & Acrobat
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 21.007.20099 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritischer Natur. Anwender, die Adobe Reader oder Acrobat installiert haben, sollten daher rasch updaten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB21-104 (Englisch)
Adobe Reader für Android
Auch die Android-Variante des Adobe Readers sollte aktualisiert werden. Ab Android 7 steht dafür Version 21.9.0 des Readers im Playstore bereit.
Info: Adobe Security Bulletin APSB21-89 (Englisch)
Adobe Campaign Standard
Nutzer von Adobe Campaign sollten ebenfalls unbedingt ein Update installieren, um wichtige Sicherheitslücken zu schließen. Wo dieses Programm eingesetzt wird, sollte man daher unbedingt auf Version 21.3 updaten um gegen diese und ältere Sicherheitslücken gewappnet zu sein.
Quelle: 'Adobe Security Bulletin APSB21-52' auf Adobe.com (Englisch)
Adobe Magento bzw. Adobe Commerce
Im Webshop-System "Magento" bzw. "Commerce" wurde eine Sicherheitslücke behoben, deren Einstufung als "wichtig" bezeichnet wird. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB21-86 (Englisch)
Adobe Connect
In der Web-Conferencing-Software wurden 2 Sicherheitslücken behoben, eine davon mit Einstufung "kritisch". Wer die Software nutzt sollte diese zügig auf Version 11.2.3 aktualisieren. Details dazu gibt es im Sicherheitsbulletin von Adobe.
Quelle: Adobe Connect Security Bulletin APSB21-91 (Englisch)
Adobe ops-cli
Hierbei handelt es sich um eine Software die nur für Administratoren relevant ist. Wer die Software nutzt, sollte das Sicherheitsbulletin von Adobe beherzigen.
Quelle: Adobe Connect Security Bulletin APSB21-88 (Englisch)
15.10.2021 – Microsoft's Tag der Updates
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Quelle: 'Patchday: Angreifer attackieren Kernel-Lücke in Windows' auf Heise Online
Kein Update für AutoDiscover-Lücke!
Leider gibt es auch 3 Wochen nach Bekanntwerden der Autodiscover-Sicherheitslücken keine Sicherheits-Updates von Microsoft, oder wenigstens mal einen Knowledgebase Artikel von Microsoft zu dem Problem. Es scheint fast so, als würde es Microsoft darauf beruhen lassen ein paar Autodicover-Domains unter eigene Kontrolle gebracht zu haben. Das ist aber keine Lösung, sondern bestenfalls eine minimale Abschwächung der Gefahrenlage. Immer noch werden E-Mail-Zugangsdaten von diversen E-Mail-Programmen quasi Freihaus an Betrüger abgeleitet. Zumindest Administratoren sollten das also weiterhin bedenken und entsprechende Vorsichtsmaßnahmen (siehe frühere Artikel zum Thema Autodiscover-Lücken) ergreifen um das Risiko zumindest zu minimieren, ganz abschaffen kann man es mit der aktuellen Informationslage ohnehin nicht.
Wieder Viren-Ärger mit Makros in Excel!
Das man die Makro-Funktion in den MS-Office-Programmen am besten komplett deaktiviert, weil man sonst ständig Gefahr läuft von Makro-Viren infiziert zu werden, ist eigentlich nichts Neues. Die neueste Angriffswelle hat jetzt aber sogar Microsoft selbst dazu gebracht zumindest die alten Excel 4.0 Makros zu deaktivieren. Bei regulären Office365-Kunden werden diese Makros ab Mitte September standardmäßig deaktiviert. Bei Enterprise Kunden wird dies ein Monat später umgesetzt. Wenn wir die Meldung richtig interpretieren, kann der Anwender die Makros aber selbst nach wie vor wieder aktivieren. Vermutlich kann Microsoft diese Funktionalität nicht einfach endgültig deaktivieren aus Angst vor Klagen. Kunden der Kauf-Versionen von Excel werden im Artikel nicht explizit erwähnt, weshalb zu vermuten ist, dass diese Anwender weiterhin selbst aktiv werden müssen. Bei den VLK Versionen (Standard, Pro Plus) kann dies der Administrator zentral über Gruppenrichtlinien steuern. Bei den günstigen Office-Versionen kann man sich nur halbherzig über Registry-Einstellungen in Startskripten behelfen, man kann hierbei aber Benutzer nicht daran hindern die Makros wieder zu aktivieren. Deshalb sollten Firmen auch um die "günstigen" Office-Pakete (Home and Students, Home and Business, sowie alle Office 365 Pakete ohne "Enterprise") einen Bogen machen.
Quelle: 'Missbrauch mit Malware-Befall: Microsoft deaktiviert Excel 4.0-Makros in Office' auf Heise Online
Windows 11: Drucken? Fehlanzeige!
Wer entgegen unserer Empfehlung bereits auf Windows 11 gewechselt ist, sieht sich womöglich vor noch weitere Probleme gestellt als bisher gedacht. Offenbar haben die Leute die Windows 11 als Beta-Version getestet haben niemals versucht etwas auszudrucken. Drucken über per USB angeschlossene Drucker geht nämlich mit Windows 11 in den meisten Fällen gar nicht. Brother hat als erster Drucker-Hersteller auf die Probleme hingewiesen, aber letztendlich dürfte die meisten Drucker-Hersteller betroffen sein, wenn man diversen Foren-Threads glauben darf. Auch mit Scannern dürfte es Probleme geben.
Quelle: 'Windows 11: Probleme mit USB-Druckern' auf Heise Online
Windows 11: AMD Performance per Update verschlechtert!
Letzte Woche hatten wir schon auf Performance-Probleme von Windows 11 auf Ryzen-Prozessoren hingewiesen. Damals hieß es noch, das werde per Update behoben. Allerdings haben die Oktober-Updates die Performance von Ryzen-Prozessoren in Windows 11 sogar nochmal deutlich verschlechtert. Allerdings darf man weiterhin davon ausgehen, dass das bald mit weiteren Updates beheben wird. Auch AMD selbst dürfte Ende Oktober einen neuen Chipsatz-Treiber veröffentlichen der zur Lösung des Problems beitragen soll.
Quelle: 'Windows 11: Erste Patch-Runde verschlechtert Performance mit Ryzen-CPUs weiter' auf Heise Online
Kein Support mehr!
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA und Windows 7: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2010 und älter. Windows 10 Version 19.09 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
15.10.2021 – Sicherheitsupdates für Foxit Reader und PhantomPDF
Wer anstelle des Adobe Acrobat auf PhantomPDF aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 11.1 behebt einen Fehler der möglicherweise zur Infektion des Computers genutzt werden könnte. Anwender die noch Version 10 der Software oder gar noch älter einsetzen sollten unbedingt auf die aktuelle Version upgraden.
Quelle: 'Foxit sichert PDF-Software für Windows & macOS gegen Angriffe ab' auf Heise Online
15.10.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'SAP-Patchday: NetWeaver AS & Environmental Compliance bargen kritische Lücken' auf Heise Online
Quelle: 'VMware: Angreifer könnten Opfer auf von ihnen kontrollierte Websites umleiten' auf Heise Online
Quelle: 'Junos OS: Angreifer könnten Admin-Sessions kapern' auf Heise Online
Quelle: 'Johnson Controls: Lücken boten Remote-Zugriffsmöglichkeiten auf Videoüberwachung' auf Heise Online
08.10.2021 – Das nächste Chromium Sicherheitsupdate
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 94.0.4606.81 behebt 4 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "hoch" ein. Anwender von Google Chrome sollten das Update zügig installieren.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome Release Notes' auf googleblog.com
Vivaldi:
Diesmal ging es bei Vivaldi wieder so schnell wie gewohnt. Am Donnerstag kam die erste 4.3er Version heraus, einen Tag später wurden die Sicherheitsupdates von Chromium 94.0.4606.81 übernommen.
Vivaldi 4.3 bringt darüber hinaus wieder ein paar Neuerungen. Die Screenshot-Funktion wurde ebenso überarbeitet wie das Download-Panel. Die Übersetzungs-Funktion beherrscht noch mehr Sprachen als zuvor außerdem unterstützt Vivaldi nun PWA-Apps. Im Vivaldi-Bog werden die Neuerungen detaillierter vorgestellt.
Info: 'Vivaldi 4.3 - Die Neuerungen im deutschen Blog' auf Vivaldi.net
Info: 'Minor update for Vivaldi Desktop Browser 4.3' auf Vivaldi.net (Englisch)
Microsoft Edge:
Das Microsoft-Edge-Team hat die aktuellen Sicherheitsupdates Stand heute 16:30 noch nicht übernommen. Aufgrund der Zeitverschiebung kann aber durchaus diese Woche noch damit gerechnet werden.
Opera bleibt unsicher:
Opera hat das aktuelle Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
08.10.2021 – Firefox 93 bringt Sicherheitsupdates
Mozilla hat Firefox 93 veröffentlicht. Die neue Version behebt 7 Sicherheitslücken, was unterm Strich zur Risikoeinschätzung 'hoch' führt. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden ebenfalls mehrere Sicherheitslücken geschlossen. Hier lautet die neue Versionsnummer 78.15 bzw. 91.2.
Mozilla Firefox lässt sich über MENÜSYMBOL (Hamburger Icon) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox: Update für den Browser beseitigt mehrere Schwachstellen' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
08.10.2021 – Microsoft liefert Windows 11 und Office 2021 aus
Microsoft hat jetzt offiziell den Startschuss für Windows 11 und Office 2021 gegeben. Beide Pakete können ab sofort im Fachhandel erworben werden. Windows 11 steht darüber hinaus als kostenloses Upgrade für Windows 10 bereit, sofern der Computer die sehr hohen Systemanforderungen erfüllt.
Windows 11 Systemanforderungen
In den Medien wird oft auf dem benötigten TPM 2.0 Modul herumgeritten, dabei ist das eigentliche "Problem" von Windows 11 die hohe Anforderung an den Prozessor. Anders als Windows 10, dass mehr oder weniger auf jedem PC lief auf dem auch Windows 7 gelaufen ist, werden für Windows 11 sehr häufig neue Prozessoren nötig werden. Das wiederum wird häufig auch neue Mainboards oder im Falle von Notebooks komplett neue Notebooks erfordern. Zwar kann man Windows 11 auch auf manchen Computern ohne "kompatiblen" Prozessor installieren, allerdings gibt es dann keine Garantie auf Sicherheitsupdates, womit das ganze für den produktiven Betrieb nicht infrage kommt. Eine Liste der unterstützten Prozessoren finden sie auf den beiden folgenden Webseiten. Systeme mit den nötigen Prozessoren haben dann in der Regel auch die anderen Erfordernisse wie eben ein TPM 2.0 Modul schon eingebaut.
Quelle: 'Unter Windows 11 unterstützte AMD-Prozessoren' auf Microsoft.com
Quelle: 'Von Windows 11 unterstützte Intel-Prozessoren' auf Microsoft.com
Support für Windows 10 noch bis 2025
Wer einen Computer mit nicht von Windows 11 unterstütztem Prozessor hat, muss aber nicht Angst haben, schon bald ohne Sicherheitsupdates dazustehen. Windows 10 wird noch bis 2025 mit Sicherheitsupdates versorgt. Nur neue Funktionen wird es eben keine mehr geben, dafür ist Windows 11 zuständig. Allzu viele Leute dürften den halbjährlichen großen Updates, die bisher bei Windows 10 üblich waren, aber nicht nachtrauern. Im Gegenteil, für manche Anwender wird Windows 10 vielleicht gerade jetzt erst recht interessant.
Was bringt Windows 11 überhaupt?
Eine berechtigte und gute Frage, die der eine womöglich mit "moderneres Design" beantworten wird, der andere eher mit "einen Haufen Nachteile". Das modernere Design ist schnell erklärt, abgerundete Ecken, ein mittig angeordneter Startknopf und ein massiv "vereinfachtes" Startmenü sollen bei manchen Leuten wohl positives Feedback hervorrufen.
Wo ist der Startknopf?
Während abgerundete Ecken in der Regel niemandem wehtun werden (wenngleich auch diese Nachteile mit sich bringen) ist der mittig angeordnete Startknopf (das Windows Logo) ein ziemlicher Platzverschwender. Der Platz rechts neben dem Startknopf wird nämlich dadurch erheblich knapper als bei Windows 10. Zudem müssen sich Millionen von Anwender auf eine neue Position gewöhnen. Wobei, müssen tut man zum Glück nicht, in den Optionen kann man den Startknopf wieder in das linke untere Ecke verfrachten, aber eben auch wirklich nur in die linke untere Ecke. Eine oben, links oder rechts angeordnete Taskleiste, wie seit ewigen Zeiten möglich war, ist bei Windows 11 nicht mehr vorgesehen. Nur eine von vielen Funktionen die in Windows 11 "wegrationalisiert" wurden.
Funktionsarmes Startmenü
Auch das Startmenü selbst hat Microsoft erheblich ausgedünnt. Während manche den Verlust der Kacheln vielleicht begrüßen werden, fragen wir uns, ob man das überhaupt noch Menü nennen kann. Denn nicht nur fallen die ganzen Möglichkeiten der Live-Tiles weg, auch der komplette Startbereich wurde extrem beschnitten. Während z.B. bei Windows 10 noch unbegrenzt Programme an Start angeheftet werden können, sind es bei Windows 11 nur noch relativ wenige. Für Power-Anwender mit dutzenden Programmen auf dem PC ein Problem. Hier macht sich unserer Meinung nach am besten Bemerkbar, dass der Fokus der Windows 11 Entwicklung eindeutig nicht auf fortgeschrittenen Windows Anwendern lag, sondern primär bei Anfängern bzw. Gelegenheits-Benutzern.
Einfacher ist nicht immer besser
Auch am Desktop und im Windows Explorer stößt man überall auf fehlende Funktionen. So lässt sich z.B. der Taskmanager nicht mehr per Rechtsklick auf die Taskleiste starten, in den Kontextmenüs fehlen etliche Funktionen oder sind nicht mehr per Tastenkürzel aufrufbar. Man hat eher das Gefühl, dass die Benutzeroberfläche von Apple-verliebten Designern entworfen wurde, die von Windows und seiner jahrelangen Weiterentwicklung und Verfeinerung keine Ahnung haben. Die Zahl der verschwundenen Funktionen ist einfach nur schmerzhaft für jeden der die Windows Entwicklung seit Jahrzehnten verfolgt. Liebend gerne würde man den verantwortlichen Designern mal sagen, dass "einfacher" nicht immer "besser" ist. Die nun fehlenden Funktionen sind ja aus gute Grund irgendwann mal eingebaut worden.
Es gibt auch Positives
Nachdem wir bisher eigentlich nur negatives über Windows 11 zu berichte hatten, sollen aber auch ein paar nützliche Neuerungen nicht unerwähnt bleiben. Allen voran wären da die erweiterten Möglichkeiten zum Anheften von Fenstern. Seit Windows 8 konnte man den Bildschirm in 2 Bereiche teilen, in Windows 10 wurde das auf 4 Bereiche erweitert. Windows 11 erlaubt hier noch einige Kombinationen mehr, was vor allem auf den heutzutage teils gigantisch großen Bildschirmen sehr viel Sinn ergibt. Zudem merkt sich Windows beim Abdocken von Notebooks von einer Dockingstation die Position von Fenstern auf dem Bildschirm und stellt diese wieder her, wenn das Notebook wieder angedockt wird. Außerdem sollen Programme durch intelligentere Priorisierung etwas schneller starten als unter Windows 10.
Was ist neu in Office 2021?
Bevor wir gänzlich auf das Thema Office umsteigen sei erwähnt, dass Office 2013 unter Windows 11 nicht mehr verwendet werden kann, nur mehr Office 2016 und Office 2019 sind kompatibel und natürlich das neu vorgestellte Office 2021. Neu ist in dem neuen Office z.B., dass gleichzeitiges Bearbeiten eines Dokumentes durch mehrere Anwender nun möglich ist. Bisher ging das nur in der Abo-Variante Office 365. Allerdings funktioniert das nur mit Dateien die auf OneDrive gespeichert sind, was die ganze Sache für Cloud-Verweigerer (Datenschutz!) wieder uninteressant macht. Darüber hinaus wurde natürlich die Oberfläche mal wieder etwas modernisiert und in Excel sind ein paar neue Formeln dazugekommen. Revolution sieht anders aus. Wirklich neu ist indes der Preis für das Office Paket, auch wenn Microsoft das ein wenig versteckt hat. Seit Office 2019 reduziert Microsoft mit jeder neuen Version den Support-Zeitraum. Während Office 2016 noch die (bei Microsoft bis dahin üblichen) 10 Jahre Support hatte, wurde das bei Office 2019 auf 7 Jahre reduziert und bei Office 2021 auf 5 Jahre. Das heißt allein dadurch schon ist Office 2021 doppelt so teuer als Office 2016, von den zusätzlich "inflationsbedingten" Preisanhebungen mal ganz zu schweigen. Wer also Office 2016 oder 2019 besitzt, bekommt mit Office 2021 praktisch keinen Mehrwert geboten. Damit ist Office 2021 eigentlich nur für Neueinsteiger relevant, als Upgrade ist es eher nutzlos. Wer günstig an Office 2016 oder 2019 kommt, kann bedenkenlos zugreifen.
Fazit:
Windows 11 ist aus unserer Sicht der größte Rückschritt in der Geschichte von Windows überhaupt. Gefallen dürften an dem neuen System wohl eher Leute finden, für die das Aussehen überdimensional wichtig ist. Wer auf effiziente Bedienung wert legt, wird um Windows 11 vorerst einen großen Bogen machen. Insofern dürften die Meinungen über Windows 11 wohl ziemlich gespalten sein. Zum Glück bieten die Pro-Versionen von Windows ein Downgrade Recht. Wer einen neuen Computer mit Windows 11 (Home) erwirbt, ist hingegen festgenagelt, wenn man sich nicht noch separat eine Windows 10 Lizenz kaufen möchte.
Office 2021 bietet kaum einen Mehrwert gegenüber früheren Office Versionen und richtet sich damit eher an Neueinsteiger die entweder noch nie von LibreOffice gehört haben oder unbedingt eine MS-Office-Version haben wollen aber noch keine Lizenz besitzen.
Quelle: 'Windows 11: Microsofts neues Betriebssystem jetzt allgemein verfügbar' auf Heise Online
Quelle: 'Office 2021: Microsoft kündigt Preise und neue Features an' auf Heise Online
08.10.2021 – Neue Gimp Version läuft besser auf Windows
Die Gimp Entwickler haben Version 2.10.28 der kostenlosen Bildbearbeitungssoftware veröffentlicht. Wie früher bereits erwähnt haben liegt der Fokus der Gimp Entwickler längst auf der zukünftigen Version 3.0, daher gibt es immer weniger sichtbare Neuerungen in der 2.10 Serie.
In Version 2.10.28 wurde daher viel Augenmerk auf Verbesserungen in der Windows-Unterstützung gelegt. So umgehen die Entwickler z.B. einem Windows-Bug bei der Anzeige von TIF-Dateien, indem sie Metadaten anders speichern als bisher. Auf manchen Computern sollen wiederum Datei-Dialoge (Öffnen, Speichern) sehr langsam gewesen sein, was behoben wurde. Kurzum, es wurden viele Windows spezifische Probleme behoben die bisher den einen oder anderen Benutzer womöglich davon abgehalten haben könnten Gimp zu verwenden.
Abgesehen davon gibt es wenige Neuerungen, mit Ausnahme von ein paar aktualisierten Plugins. Allein schon wegen des behobenen Tiff-Windows-Problems lohnt sich ein Gimp-Update jedoch für viele Anwender.
Quelle: 'GIMP 2.10.28 Released' auf Gimp.org (Englisch)
08.10.2021 – Sicherheitsupdates für Typo3
Für das Contentmanagement-System Typo3 (bzw. dessen Plugins) sind auch diese Woche wieder wichtige Sicherheitsupdates erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Typo3: Neue Version schließt zwei Sicherheitslücken im CMS' auf Heise Online
08.10.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco schließt Root-Lücke in Intersight Virtual Appliance' auf Heise Online
Quelle: 'Apache-Webserver: Notfallpatch gegen Attacken veröffentlicht' auf Heise Online
Quelle: 'Sicherheitsupdate: Angreifer könnten auf Dateien von Apache-Webservern zugreifen' auf Heise Online
Quelle: 'Honeywell: Kritische Controller-Lücken erlauben Zugriff auf Prozessleitsystem' auf Heise Online
02.10.2021 – Zweimal kritische Chromium Updates in einer Woche!
Google hat seit dem letzten Newsletter gleich zweimal auf Sicherheitslücken reagieren müssen, die bereits aktiv ausgenützt wurden. Bereits wenig Stunden nach unserem letzten Newsletter hatte Google Chrome (bzw. Chromium) 94.0.4606.61 veröffentlicht. Darin wurde nur eine Sicherheitslücke behoben (CVE-2021-37973) aber diese wurde bzw. wird bereits aktiv ausgenützt und ist daher besonders kritisch.
Am Donnerstag wurde dann Chromium 94.0.4606.71 veröffentlicht, worin 3 Sicherheitslücken behoben wurden, wovon 2 bereits aktiv ausgenützt werden. Google Chrome bzw. Chromium basierte Browser sind damit wohl die Anwendungen mit den meisten 'Zero Day Exploits', also Sicherheitslücken die aktiv ausgenützt werden bevor ein Update erschienen ist.
Anwender von Google Chrome sollten möglichst zügig auf Chrome 94.0.4606.71 updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Jetzt patchen! Exploit-Code für Chrome und Edge in Umlauf' auf Heise Online
Quelle: 'Sicherheitsupdate: Attacken auf Googles Chrome reißen nicht ab' auf Heise Online
Vivaldi:
Vivaldi hat immer noch keinen Chromium 94 basierten Browser fertig, dennoch haben die Norweger diese Woche ebenfalls 2 Updates veröffentlicht, die genau diese in Summe 4 Sicherheitslücken beheben wie die letzten beiden Chromium 94 Versionen. Damit muss man sich unterm Strich mit der aktuellen Vivaldi Version (4.2.2406.54) nicht mehr Sorgen machen als mit Chrome 94.0.4606.71. Zwar enthält die aktuelle Chromium Version noch weitere Sicherheitsupdates, diese Lücken werden aber offenbar bisher noch nicht ausgenützt.
Quelle: 'Minor update (2) for Vivaldi Desktop Browser 4.2' auf Vivaldi.com (Englisch)
Quelle: 'Minor update (3) for Vivaldi Desktop Browser 4.2' auf Vivaldi.com (Englisch)
Microsoft Edge:
Auch das Microsoft-Edge-Team hat die beiden Sicherheitsupdates jeweils zügig übernommen. Wer Microsoft Edge verwendet sollte also das eingebaute Update starten um auf (Edge) Version 94.0.992.38 zu aktualisieren.
Opera bleibt unsicher:
Opera hat die aktuellen Sicherheitsupdate wie erwartet noch nicht übernommen. Wie schon so oft geschrieben, empfehlen wir Opera-Anwendern den Wechsel zu Vivaldi, da es schon sehr lange die Regel ist, dass Opera viel zu lange benötigt, um Sicherheitsupdates auszuliefern.
02.10.2021 – Status zum AutoDiscover Fiasko!
Aufgrund der immensen Tragweite des AutoDiscover-Fiaskos haben wir hier unsere neuen Erkenntnisse der Woche zusammengetragen.
Microsoft registriert Domains als Notlösung!
Nachdem die Lücke in all den betroffenen Anwendungen (bisher ist ja noch nicht einmal klar, wieviele Programme von welchen Herstellern überhaupt betroffen sind) auf absehbare Zeit nicht behoben werden kann, hat Microsoft nun damit begonnen im Eilzugstempo Autodiscover-Domains zu registrieren. Zweifelsfrei ist das besser als nichts, aber ob Microsoft überhaupt jemals ALLE nötigen Domains registrieren kann ist fraglich, geschweige denn in welchem Zeitrahmen. Die bösen Jungs werden ihre wertvollen Domains nicht einfach so kampflos hergeben. Zudem kann man per DNS ganze Firmen, Orte oder Nationen einfach auf einen eigenen Server umleiten, das ist also eher ein Zeichen guten Willens und ein Tropfen auf den heißen Stein als eine echte Lösung des Problems. Zudem würde man sich eine offenere Kommunikation in dem Fall seitens Microsoft wünschen, denn von dort hört man bisher weiterhin nur, dass das Problem analysiert wird.
Apple: "Bildschirmzeit" scheinbar keine Abhilfe
Letzte Woche hatten wir die Funktion "Bildschirmzeit" von Apple Geräten noch als möglichen Ausweg aus dem Dilemma erwähnt, nach Tests mit einem Kunden-iPhone diese Woche scheint es aber nicht so als würde eine Sperre auf dieser Ebene etwas bewirken. Zwar funktioniert das bei Webseiten im Browser, die E-Mail-App kann aber vermutlich weiterhin auf eigentlich gesperrte Adressen zugreifen. Verbindliche Aussage können wir aber keine machen, weil das erheblich umfangreichere Tests nötig machen würde für die wir einfach nicht die Zeit haben.
Fazit:
Es bleibt bei den Vorschlägen zur Absicherung von letzter Woche. Das heißt Smartphones bleiben weiterhin die Sorgenkinder die potenziell betroffen sind ohne das man irgendwas dagegen machen könnte, während man bei Desktop-Betriebssystemen über die Hosts-Datei Vorsichtsmaßnahmen ergreifen kann und sollte. Nach der bestmöglichen Absicherung sollten dann alle E-Mail-Passwörter erneuert werden.
Quelle: 'Passwort-Leak: Microsoft will die Autodiscover-Lücke seit 5 Jahren nicht beheben' auf Heise Online
Quelle: 'Microsoft versucht Autodiscover-Domains zu registrieren' auf borncity.com
02.10.2021 – Qnap NAS: Wieder Sicherheitsupdates nötig
Der NAS-Geräte-Hersteller Qnap wird langsam zum Stammgast in unseren Newslettern. Wieder einmal stopfen diverse Updates für diese NAS-Systeme schwerwiegende Sicherheitslücken. Details zu den betroffenen Geräten bzw. Lücken gibt es im Heise Online Artikel.
Auf Updates gegen die OpenSSL-Sicherheitslücken müssen Besitzer der Geräte übrigens immer noch warten, QNAP "untersucht" die Probleme bereits seit Ende August ohne eine Lösung.
Quelle: 'Kritische Lücken in Videoüberwachungssoftware QVR von Qnap NAS geschlossen' auf Heise Online
02.10.2021 – Sicherheitslücke in Drupal behoben
Für das Contentmanagement-System Drupal (bzw. dessen Plugins) ist auch diese Woche wieder eine wichtige Sicherheitsmeldung erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Drupal: Updates für mehrere Module schließen teils kritische Sicherheitslücken' auf Heise Online
02.10.2021 – Wieder Sicherheitslücken in Router von D-Link
Wieder wurden in D-Link Routern Sicherheitslücken gefunden. Die Lücken erlauben jedoch 'nur" die Störung von WLAN-Netzen, nicht das Abgreifen oder gar Manipulieren des WLAN-Datenverkehrs. Insofern sind die Lücken zwar ärgerlich aber nicht weiter bedrohlich. Im Sinne eines stabilen WLANs sollten Besitzer der Router DIR-X1560 und DIR-X6060 die neueste Firmware installieren.
Es ist davon auszugehen das andere Router-Hersteller in der nächsten Zeit ähnliche Probleme beheben werden, da die Lücke auf den Chip-Produzenten zurückzuführen ist und dieser wohl auch andere Router-Hersteller beliefert.
Quelle: 'Sicherheitsupdates D-Link: Angreifer könnten WLAN-Verbindung von Clients kappen' auf Heise Online
02.10.2021 – Sicherheitsmeldungen für Administratoren
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Kritische Sicherheitslücke in Trend Micro ServerProtect remote ausnutzbar' auf Heise Online
Quelle: 'Internet Gatekeeper: F-Secures Malware-Schutzschild ist löchrig' auf Heise Online
