News Archiv 4. Quartal 2023

Schlagzeilen * Details

Schlagzeilen:

22.12.2023 - Wir wünschen ein frohes Fest
22.12.2023 - Das nächste Chromium Sicherheitsupdate
22.12.2023 - Thunderbird 115.6 behebt Sicherheitslücken
22.12.2023 - Firefox 121 bringt Sicherheitsupdate
22.12.2023 - Angriffe auf Qnap NAS!
22.12.2023 - Sicherheitsmeldungen für Administratoren
15.12.2023 - Das nächste Chromium Sicherheitsupdate
15.12.2023 - Vivaldi veröffentlicht Version 6.5
15.12.2023 - Sicherheitsupdate für zahlreiche Adobe Programme
15.12.2023 - Microsoft's Tag der Updates
15.12.2023 - Die nächsten Sicherheitslücken in Zoom
15.12.2023 - Die nächste Bluetooth Sicherheitslücke
15.12.2023 - Qnap: Rasch Sicherheitsupdates installieren!
15.12.2023 - Wieder Sicherheitslücken in WordPress
15.12.2023 - Netatmo-Sicherheitskameras gefährden Privatsphäre
15.12.2023 - IrfanView mit Neuerungen und Sicherheitsupdate
15.12.2023 - Sicherheitsmeldungen für Administratoren
09.12.2023 - Das nächste Chromium Sicherheitsupdate
09.12.2023 - Neue VeraCrypt Versionen: sicherer & kompatibler
09.12.2023 - Wieder Sicherheitslücken in WordPress
09.12.2023 - LibreOffice 7.6.4 veröffentlicht
09.12.2023 - Sicherheitsmeldungen für Administratoren
01.12.2023 - Das nächste Chromium Sicherheitsupdate
01.12.2023 - Sicherheitslücken in Überwachungskameras von Hikvision, Ezviz und weiteren
01.12.2023 - Wieder neue Bluetooth Sicherheitslücke
01.12.2023 - Sicherheitsmeldungen für Administratoren
24.11.2023 - Thunderbird 115.5 behebt Sicherheitslücken
24.11.2023 - Firefox 120 bringt Sicherheitsupdate
24.11.2023 - Sicherheitsupdates für Foxit PDF Reader und PDF Editor
24.11.2023 - Neue Wege Fingerabdruckleser auszutricksen
24.11.2023 - Neues zum Thema "neues" Outlook
24.11.2023 - Sicherheitsmeldungen für Administratoren
18.11.2023 - Das nächste Chromium Sicherheitsupdate
18.11.2023 - Sicherheitsupdate für zahlreiche Adobe Programme
18.11.2023 - Microsoft's Tag der Updates
18.11.2023 - Intel veröffentlicht November-Sicherheitsupdates
18.11.2023 - Wieder Sicherheitslücken in WordPress
18.11.2023 - Schutz vor Microsofts "neuem" Outlook
18.11.2023 - Kostenloses Windows 10/11 Upgrade wirklich beendet?!
18.11.2023 - Sicherheitsmeldungen für Administratoren
10.11.2023 - Das nächste Chromium Sicherheitsupdate
10.11.2023 - Finger weg vom "neuen" Outlook!
10.11.2023 - Neue Gimp Version verbessert Sicherheit und bringt neue Funktionen
10.11.2023 - UCheck beerbt SUMo – so halbwegs
10.11.2023 - Audacity 3.4 konzentriert sich auf Musikbearbeitung
10.11.2023 - Qnap: Rasch Sicherheitsupdates installieren!
10.11.2023 - Sicherheitsmeldungen für Administratoren
03.11.2023 - Das nächste Chromium Sicherheitsupdate
03.11.2023 - Neuer VLC media player: stabiler und sicherer!
03.11.2023 - SUMo-Hersteller schließt Firma
03.11.2023 - Wieder Sicherheitsprobleme mit Nvidia Treibern & Software
03.11.2023 - Apples "Wo ist" wird zum Sicherheitsrisiko
03.11.2023 - Defekte SSDs - WD bzw. Sandisk verweigert Fehlerbehebung
03.11.2023 - Sicherheitsmeldungen für Administratoren
27.10.2023 - Das nächste Chromium Sicherheitsupdate
27.10.2023 - Vivaldi veröffentlicht Version 6.4
27.10.2023 - Thunderbird 115.4.1 behebt Sicherheitslücken
27.10.2023 - Firefox 119 bringt Sicherheitsupdate
27.10.2023 - Sicherheitslücke in HP Print and Scan Doctor
27.10.2023 - Wieder Sicherheitslücken in WordPress
27.10.2023 - Sicherheitsmeldungen für Administratoren
20.10.2023 - Das nächste Chromium Sicherheitsupdate
20.10.2023 - Sicherheitsupdates für Java und weitere Oracle Software
20.10.2023 - Neue VLC media player Version schließt Sicherheitslücken!
20.10.2023 - AMD sichert Radeon Grafiktreiber ab
20.10.2023 - Sicherheitsupdate für VMware Workstation (Player & Pro)
20.10.2023 - Wieder Sicherheitslücken in WordPress
20.10.2023 - Sicherheitsmeldungen für Administratoren
14.10.2023 - Das nächste Chromium Sicherheitsupdate
14.10.2023 - Sicherheitsupdate für zahlreiche Adobe Programme
14.10.2023 - Microsoft's Tag der Updates
14.10.2023 - Wieder Sicherheitslücken in WordPress
14.10.2023 - Sicherheitsmeldungen für Administratoren
06.10.2023 - Das nächste Chromium Sicherheitsupdate
06.10.2023 - Sicherheitsmeldungen für Administratoren

Details:

22.12.2023 – Wir wünschen ein frohes Fest

Weihnachten Bild Wir wünschen allen Lesern ein frohes Weihnachtsfest. Auf das nur sichere Hardware unter dem Christbaum liegt :)

zur Übersicht

22.12.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.130 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Da die Lücke bereits aktiv ausgenutzt wird, sollten Anwender von Google Chrome so rasch wie möglich updaten.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Google Chrome: Zero-Day-Lücke wird angegriffen, Update verfügbar' auf Heise Online

Vivaldi:

Die Vivaldi Entwickler haben das Sicherheitsupdate aus Chromium 120.0.6099.130 übernommen, ohne aber die komplette neue Chromium-Version zu übernehmen. Gründe dafür werden nicht. Auch Vivaldi Anwender sollten so rasch wie möglich auf die neue Version updaten, falls nicht bereits durch das automatische Update erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)

Microsoft Edge:

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

22.12.2023 – Thunderbird 115.6 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 115.6 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 11 Sicherheitslücken behoben, wovon 4 eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bzw. "gering" bezeichnet werden.

Abgesehen von den Sicherheitskorrekturen ist die Zahl der restlichen Verbesserungen und Fehlerkorrekturen recht überschaubar, es scheint also so, als wäre die 115er Serie mittlerweile halbwegs ausgereift.

Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.

Info: 'Thunderbird 115.6.0 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

22.12.2023 – Firefox 121 bringt Sicherheitsupdate

Mozilla hat Firefox 121 veröffentlicht. Die neue Version behebt 18 Sicherheitslücken wovon 5 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 11 Lücken geschlossen, wovon 3 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.6.

Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.

Quelle: 'Firefox und Thunderbird: Sicherheitslücken geschlossen und Funktionen ergänzt' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

22.12.2023 – Angriffe auf Qnap NAS!

Sicherheitsforscher berichten aktuell von massiv angestiegenen Angriffen auf NAS-Systeme von QNAP. Interessant daran ist, dass die zugrunde liegende Sicherheitslücke von QNAP eigentlich schon 2014 behoben wurde. Das zeigt leider einmal mehr, wie wenig Zeit NAS-Besitzer dem Thema Sicherheit einräumen, mit teils fatalen Folgen. Daher wie üblich der Aufruf an alle Besitzer eines NAS (egal welcher Hersteller) – bitte sowohl Betriebssystem als auch Anwendungen immer aktuell halten.

Details zu den Angriffen findet man in dem verlinkten heise Online Artikel. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!

Quelle: 'Jetzt patchen! Botnetz InfectedSlurs hat es auf Qnap NAS abgesehen' auf Heise Online

zur Übersicht

22.12.2023 – Sicherheitsmeldungen für Administratoren

Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.

Quelle: 'Kritische Lücken in Mobile-Device-Management-Lösung Ivanti Avalanche geschlossen' auf Heise Online

zur Übersicht

15.12.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.110 behebt 9 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt. Alle Anwender von Google Chrome sollten wie üblich zügig auf die neue Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Vivaldi:

Die Vivaldi Entwickler haben nun die Version 6.5 fertiggestellt und veröffentlicht. Sie bringt neben etlichen Neuerungen (sieh Artikel unten) auch die abgesicherte Chromium Engine 120.0.6099.121 mit, womit man Google aktuell sogar deutlich voraus ist. Vivaldi Anwender sollten zügig auf die neue Version updaten, falls nicht bereits durch das automatische Update erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Vivaldi feiert die Feiertage mit einem funktionsreichen Update' auf Vivaldi.com

Microsoft Edge:

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

15.12.2023 – Vivaldi veröffentlicht Version 6.5

Gestern haben die Vivaldi-Entwickler Version 6.5 des gleichnamigen Browsers veröffentlicht. Zum Einsatz kommt nun Chromium 120.0.6099.121, womit man sicherheitstechnisch wieder ganz vorne dabei ist.

Vivaldi 6.5 ist mal wieder ein recht großes Update, weshalb es auch nicht ganz zu Unrecht als "Weihnachtsgeschenk" angepriesen wird. Die Liste der Neuerungen ist lang und diesmal sollte für alle Anwender etwas Nützliches dabei sein.

Sitzungs-Panel:
Den Anfang macht das neue Session-Panel. Vivaldi konnte schon von Anfang an Sessions, bzw. "Sitzungen" wie es in der deutschen Oberfläche heißt, speichern und wiederherstellen, aber die Funktion war etwas mühsam über Menüs zu erreichen. Das neue Panel macht die Sitzungen mit einem Klick zugänglich. Außerdem lasen sich Sitzungen nun auch öffnen und bearbeiten, sodass man z.B. nun auch einzelne Tabs aus einer alten Sitzung wiederherstellen kann. Des Weiteren kann man jetzt auch eine automatische Sicherung der Sitzungen aktivieren und dabei den Zeitraum wählen wie lange diese aufbewahrt werden sollen.

Synchronisation:
Der Umfang der Synchronisation wurde in den letzten Ausgaben laufend erweitert, so auch in Dieser. Neben dem vollständigen Verlauf werden nun auch die Notizen synchronisiert. Zudem sind die synchronisierten Tabs jetzt auch direkt über die Adressleiste zugänglich und nicht nur über das Cloud-Icon.

Arbeitsbereichs-Regeln:
Arbeitsbereiche sind eine tolle Funktion, aber Vivaldi 6.5 macht sie noch ein bisschen besser durch Arbeitsbereichs-Regeln. Was kompliziert klingt, sind einfach nur einfache Regeln mit denen man bestimmte Adressen einem Arbeitsbereich zuordnen kann. So kann man z.B. einen Amazon-Tab automatisch im Arbeitsbereich "Einkaufen" öffnen.

Auf der Blog-Seite zur neuen Version werden alle neuen Funktionen ausführlich beschrieben und auch mit jeweils einem Video vorgestellt. Anschauen lohnt sich, vielleicht ist ja etwas dabei das auch ihr Leben in Zukunft leichter macht.

Quelle: 'Vivaldi feiert die Feiertage mit einem funktionsreichen Update' auf Vivaldi.com

Quelle: 'Englischer Blog-Artikel zur neuen Vivaldi-Version mit Changelog' auf Vivaldi.com

zur Übersicht

15.12.2023 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe After Effects

In Adobe After Effects wurden 3 kritische und eine "moderate" Sicherheitslücke behoben. Alle Anwender von After Effects sollten zügig auf Version 23.6.2 (2023) oder 24.1 (2024) updaten und alle älteren Fassungen deinstallieren. Alle älteren Jahrgänge erhalten keinen Support mehr und sollten deinstalliert werden.

Quelle: Adobe Security Bulletin APSB23-75 (Englisch)

Adobe Dimension

In Adobes 3D-Programm 'Dimension' wurde eine "wichtige" und 3 "moderate" Schwachstellen behoben. Anwender des Programms sollten bei Gelegenheit auf Version 3.4.11 updaten.

Quelle: 'Adobe Security Bulletin APSB23-71' auf Adobe.com (Englisch)

Adobe Experience Manager

Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine ellenlange Liste an "wichtigen" Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.

Quelle: Adobe Security Bulletin APSB23-72 (Englisch)

Adobe Illustrator

Im Vektorgrafik Programm Illustrator hat Adobe drei als "kritisch" eingestufte Sicherheitslücken behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.9.1 (2023) oder 28.1 (2024) updaten.

Info: Adobe Security Bulletin APSB23-68 (Englisch)

Adobe InDesign

Im Layout-Programm InDesign hat Adobe zwei Sicherheitslücken mit Risikoeinstufung "wichtig" behoben. Anwender des Programmes sollten froh sein, dass die Lücken kein hohes Risiko-Potenzial haben, denn entweder steht das Update noch nicht bereit, oder Adobe hat sich verschrieben. Das Bulletin nennt die Versionen 18.5.1 sowie 19.1 als abgesichert. Aber eine Version 19.1 ist aktuell (zumindest in Österreich) nicht zu bekommen. Die neueste 2024er-Version die man hierzulande bekommt, ist die 19.0.1. Wie schon geschrieben, muss man sich zum Glück aufgrund des geringen Risikos darüber nicht allzu viele Sorgen machen. Ein Update auf die neueste 2023- oder 2024er-Version ist aber natürlich anzuraten.

Info: Adobe Security Bulletin APSB23-70 (Englisch)

Adobe Prelude

In Prelude hat Adobe eine "moderate" Sicherheitslücke behoben. Das Update auf Version 22.6.1 behebt die Probleme.

Quelle: Adobe Security Bulletin APSB23-67 (Englisch)

Adobe Substance 3D Sampler

In Adobes 3D-Programm 'Substance 3D Sampler' wurden 6 "kritische" Sicherheitslücken behoben. Anwender des Programms sollten so rasch wie möglich auf Version 4.2.2 updaten.

Quelle: 'Adobe Security Bulletin APSB23-74' auf Adobe.com (Englisch)

Adobe Substance 3D Stager

In Adobes 3D-Programm 'Substance 3D Stager' wurden zwei "wichtige" Sicherheitslücken behoben. Anwender des Programms sollten auf Version 2.1.3 updaten.

Quelle: 'Adobe Security Bulletin APSB23-73' auf Adobe.com (Englisch)

zur Übersicht

15.12.2023 – Microsoft's Tag der Updates

Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.

Kein Support mehr!

Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Patchday Microsoft: Outlook kann sich an Schadcode-E-Mail verschlucken' auf Heise Online

zur Übersicht

15.12.2023 – Die nächsten Sicherheitslücken in Zoom

Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.16.5 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.

Quelle: 'Zoom behebt Sicherheitslücken unter Windows, Android und iOS' auf Heise Online

zur Übersicht

15.12.2023 – Die nächste Bluetooth Sicherheitslücke

Nachdem es jetzt einige Monate verhältnismäßig ruhig war rund um das Thema Bluetooth-Unsicherheit, schlagen die Negativmeldungen jetzt wieder deutlich häufiger ein. Gerade erst vor 2 Wochen hatten wir über BLUFFS berichtet, nun ist eine neue Lücke dran die nicht mit einem "schicken Namen" versehen wurde, aber deshalb nicht weniger kritisch ist.

Sicherheitsforscher Marc Newlin hat Lücken in mehrere Bluetooth Stacks gefunden, die zum Teil auf eine mangelhafte Spezifikation durch die Bluetooth SIG zurückzuführen ist, zum Teil aber auch auf eine mangelhafte Umsetzung der Programmierer. Und die Lücke könnte kaum kritischer sein, ermöglicht sie doch Tastatureingaben aus der Umgebung, ohne jedwedes Zutun des "Opfers".

Windows ist glücklicherweise nicht betroffen, das heißt die Windows Entwickler haben hier mal besser gearbeitet als die von Linux, Apple und Google. Deren Betriebssysteme, also macOS, iOS usw. sowie die diversen Linux- und Android-Distributionen sind oder waren verwundbar. Und hier ist auch schon ein großer Unterschied zu früheren Bluetooth-Lücken, dadurch, dass die Probleme rein in der Software liegen, können sie auch viel schneller behoben werden. Sowohl die Apple Betriebssysteme, Android als auch die diversen Linux-Derivate sollten mittlerweile bereits abgesichert sein. Die Krux hier ist wie üblich der Punkt, das nur Systeme sicher sind, die auch noch regelmäßig mit Updates versorgt werden. Irgendwelche Uralt-Systeme die seit Monaten kein Update gesehen haben, sind noch verwundbar und dann eben so richtig!

Sogar die oft kritisierten IoT-Geräte, also das ganze "Spielzeug" und Gadgets, das mit Bluetooth daherkommt, sollte dieses Mal relativ Safe sein. Sicherheitsupdates sucht man hier zwar oft vergeblich, aber die wenigsten Geräte dürften überhaupt für Tastatur-Eingaben ausgelegt sein, weshalb Angriffe hier unwahrscheinlich sind. Unwahrscheinlich bedeutet aber nicht unmöglich – gut möglich also, dass ein nicht aktualisiertes BT-fähiges Gadget in einer Firma als Einfallstor für umfangreichere Attacken missbraucht werden kann. In sicherheitskritischen Firmenumgebungen haben daher Bluetooth-Geräte generell nichts zu suchen.mit Bluetooth-Chip (wie auch bei den meisten IoT-Geräten) ist so oder so nicht davon auszugehen, dass die jemals ein Update erhalten werden.

Und so bleibt das Fazit des Artikels dasselbe wie schon bei all den vorhergegangenen Artikeln zum Thema Bluetooth – wenn möglich abschalten! Bluetooth war nie sicher, ist nicht sicher und wird auch nie sicher sein.

Quelle: 'Bluetooth-Lücke: Tastenanschläge in Android, Linux, iOS und macOS einschleusbar' auf Heise Online

zur Übersicht

15.12.2023 – Qnap: Rasch Sicherheitsupdates installieren!

Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- oder QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!

Quelle: 'Sicherheitslücken: Angreifer können Schadcode auf Qnap NAS schieben' auf Heise Online

zur Übersicht

15.12.2023 – Wieder Sicherheitslücken in WordPress

Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'WordPress Elementor: Halbgarer Sicherheitspatch gefährdete Millionen Websites' auf Heise Online

zur Übersicht

15.12.2023 – Netatmo-Sicherheitskameras gefährden Privatsphäre

Heise Online hat einen längeren Artikel veröffentlicht der schildert, wie zwei Sicherheitskameras von Netatmo von einer "Sicherheitskamera" zum Privatsphären-Alptraum mutieren können. Gleich vorweg, in dem Artikel sind letztendlich "nur" 2 Familien betroffen, er zeigt aber stellvertretend sehr gut auf, wie hoch die Gefahren sind die man sich mit solchen "Sicherheitskameras" an Board holt.

Man sollte sich also gut überlegen, ob man überhaupt eine "Sicherheitskamera" braucht, wo man diese platziert und welches Modell man letztendlich kauft. Wenn schon, würden wir unbedingt eine Kamera ohne Cloud-Anbindung empfehlen. Hier muss man dann zwar etwas mehr Arbeit investieren, wenn man von unterwegs darauf zugreifen möchte, man liefert aber private Daten nicht an irgendwelche externe Rechenzentren, wo man nicht weiß was dort damit geschieht und wer aller Zugriff darauf hat. Was der Artikel auch noch zeigt ist, dass man sich von irgendwelchen ISO-Zertifikaten und Datenschutzversprechungen nicht einlullen lassen darf. All das hat die Firma Netatmo eigentlich, und trotzdem war deren Reaktion auf dieses Datenschutzproblem katastrophal.

Quelle: 'Unerwünschte Einblicke: Fataler Fehler bei Netatmo-Sicherheitskameras' auf Heise Online

zur Übersicht

15.12.2023 – IrfanView mit Neuerungen und Sicherheitsupdate

Der Programmierer von IrfanView hat eine neue Version des beliebten Bildbetrachters veröffentlicht. Dies bringt unter anderem eine dunkle Benutzeroberfläche, die über die Optionen einschaltbar ist, aber unserer Meinung nach noch etwas Feinschliff vertragen könnte, eine Vorschau-Funktion beim Kopieren/Verschieben-Dialog und viele weitere Verbesserungen. Das (leider nur in Englisch verfügbare) Changelog listet alle Neuerungen auf.

Von den funktionalen Verbesserungen abgesehen kommt IrfanView 4.65 auch mit einem Sicherheitsupdate. Oder genauer gesagt die zugehörige Plugin-Sammlung enthält ein Sicherheitsupdate. Das JPEG2000 Plugin wurde von einem kleinen Sicherheits-"Problemchen" befreit. Um von dem Problem aber überhaupt betroffen zu sein, muss die Plugin-Sammlung installiert und das JPEG2000-Plugin in den Einstellungen aktiviert sein. Dennoch empfehlen wir allen Anwendern natürlich das Update auf die neue Version. Wer die Plugins installiert hat, sollte natürlich auch diese aktualisieren.

Info: IrfanView Changelog (Englisch)

Download: IrfanView Version 4.65, 64Bit, Deutsch

Download: IrfanView Plugins Version 4.65, 64Bit, Deutsch

zur Übersicht

15.12.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'Patchday: 15 Sicherheitswarnungen von SAP' auf Heise Online

Quelle: 'Sicherheitsupdate Apache Struts: Uploadfunktion kann Schadcode passieren lassen' auf Heise Online

Quelle: 'Squid-Proxy: Denial of Service durch Endlosschleife' auf Heise Online

Quelle: 'Sicherheitsupdates: Fortinet schützt Firewalls & Co. vor möglichen Attacken' auf Heise Online

zur Übersicht

09.12.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.60.99.63 behebt 10 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Zehn Sicherheitslücken in aktueller Chrome-Version geschlossen' auf Heise Online

Vivaldi:

Wie bei Sprüngen der Hauptversion leider nicht unüblich haben die Vivaldi-Entwickler noch keine fertige neue Version mit Chromium 120 Unterbau fertig. Die Vorabversionen kommen aber momentan täglich, was eine Veröffentlichung nächste Woche sehr wahrscheinlich macht. Da die Vivaldi-Entwickler bei sehr dringenden Sicherheitslücken in der Regel Fixes auch für ältere Versionen ausliefern, müssen Anwender sich vermutlich keine Sorgen machen.

Microsoft Edge:

Das Entwickler-Team von Microsoft Edge hat es auch diese Woche geschafft Release Notes rechtzeitig zur neuen Version bereitzustellen. Wer Microsoft Edge verwendet sollte möglichst rasch auf Version 120.0.2210.61 updaten. Diese Version behebt nicht nur die 10 Chromium Lücken wie oben erwähnt, sondern zusätzlich auch noch 3 weitere Edge-spezifische Sicherheits-Probleme. Was Microsoft in dem Release-Notes gut versteckt, im Heise Online Artikel aber ausdrücklich erwähnt wird ist, dass Microsoft nun umfangreichere Nutzerdaten sammelt, wenn man das nicht explizit abschaltet. Wir empfehlen allen Anwendern von Microsoft Edge dies auch zu machen um den Datenschutz nicht zu verschlechtern.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

Quelle: 'Sicherheitslücke in Microsoft Edge ermöglicht Codeschmuggel' auf Heise Online

zur Übersicht

09.12.2023 – Neue VeraCrypt Versionen: sicherer & kompatibler

Die Laufwerksverschlüsselung VeryCrypt wurde nach weit mehr als einjähriger Entwicklungszeit auf Version 1.26.7 aktualisiert. Laut Hersteller ist diese Version ein großer Schritt nach vorne in puncto Sicherheit. Allerdings schneidet die neue Version auch alte Zöpfe ab. In der Vorversion wurde der Support für Windows 8 und älter eingestellt (wir hatten berichtet) diesmal fällt die Unterstützung für TrueCyrpt-Dateien weg. Wer immer noch Dateien/Laufwerke in Verwendung hat die ursprünglich mit TruCrypt erstellt wurden, sollte diese also unbedingt konvertieren, bevor man auf Version 1.26.7 upgradet.

Es ist auch bereits eine noch neuere Version als Beta-Ausgabe verfügbar. Für Windows 11 Anwender könnte das interessant sein, denn 1.26.10 verbessert unter anderem die Einbindung in besagtes Windows 11. Wer das stabile Windows 10 einsetzt und mit VeraCrypt 1.26.7 keine Probleme feststellen kann, sollte aber vorerst bei der offiziellen Version bleiben.

Download: VeraCrypt v1.26.7, Windows, Mehrsprachig, 36 MB

Info: VeraCrypt Release Notes (Englisch)

zur Übersicht

09.12.2023 – Wieder Sicherheitslücken in WordPress

Quelle: 'Sicherheitsupdate: WordPress unter bestimmten Bedingungen angreifbar' auf Heise Online

zur Übersicht

09.12.2023 – LibreOffice 7.6.4 veröffentlicht

Nach all den Sicherheitslücken zum Abschluss auch noch eine erfreuliche Nachricht. Die LibreOffice-Entwickler haben Version 7.5.9 und 7.6.4 der freien Büro-Suite veröffentlicht.

Wie üblich ist die "Punkt 4"-Ausgabe einer Hauptversion für uns der Startschuss diese Version selbst einzusetzen. Da wir das noch nicht lange machen haben wir noch keine Langzeiterfahrung, aber bisher haben wir keine Probleme gegenüber Version 7.5.8 feststellen können. Die 7.5er Serie hat ebenfalls ein Update auf Version 7.5.9 erhalten, diese ist aber nur für macOS-Anwender relevant, für Windows bringt sie keinerlei Verbesserungen mit sich.

Die 7.6er Version bringt ein paar spannende Neuerungen mit sich. So lassen sich Tabellen nun nach Farben sortieren, ein neuer Assistent erleichtert das Einfügen von z.B. Seitenzahlen in die Fußzeile, Tabellen in Writer laufen nun schöner über mehrere Seiten hinweg, Links in Tabellen-Dokumenten werden hübscher angezeigt und vieles mehr.

Was wir in der Liste der Neuerungen nicht gesehen haben und daher eine weitere positive Überraschung war, ist die hübschere Ansicht von Inhaltsverzeichnissen. Während diese in Ausdrucken auch bisher schon schön formatiert waren, wurden sie in LibreOffice selbst immer mit grauem Hintergrund dargestellt. Das sieht nun erheblich hübscher und moderner aus.

Wer auf die neuen Funktionen der 7.6er Serie verzichten kann, kann bis auf Weiteres noch bei Version 7.5.7 bleiben. Wir schätzen aber, dass es bald Sicherheitsupdates geben wird, die ein Upgrade auf die 7.6er Version nötig machen werden, da der Support für die 7.5er Serie eingestellt wurde.

Übrigens ist das der letzte Versionszweig mit einer 7 am Anfang. Die nächste LibreOffice-Hauptversion wird mit 24 beginnen. Das bedeutet nicht, dass LibreOffice einfach mal eben so 17 Versionen überspringt, stattdessen wird in Zukunft das Datum verwendet und da diese Version erst nächstes Jahr erscheinen wird, wird es eben eine Version 24 werden.

Download: Aktuelle LibreOffice Versionen

zur Übersicht

09.12.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'Active Directory über dynamische DNS-Updates angreifbar' auf Heise Online

Quelle: 'Support ausgelaufen: Mehr als 20.000 Exchange Server potenziell angreifbar' auf Heise Online

Quelle: 'Sicherheitspatch verfügbar: Kritische Lücke in VMware Cloud Director behoben' auf Heise Online

Quelle: 'Sicherheitsupdate: Verwundbare Komponenten gefährden Nessus Network Monitor' auf Heise Online

Quelle: 'Entwicklungsplattform: Neue GitLab-Versionen beheben zehn Sicherheitslücken' auf Heise Online

Quelle: 'Sicherheitsupdates: Angreifer können Zyxel-NAS mit präparierten URLs attackieren' auf Heise Online

Quelle: 'Neue Squid-Version behebt Denial-of-Service-Lücken' auf Heise Online

Quelle: 'Codeschmuggel in Atlassian-Produkten: Vier kritische Lücken aufgetaucht' auf Heise Online

zur Übersicht

01.12.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 119.0.6045.199 behebt 7 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der Extended Stable Zweig von Chromium wurde auf Version 118.0.5993.159 aktualisiert. Wie üblich gibt Google hier aber keinerlei Informationen zu Umfang und Bedrohungsgrad eventuell behobener Sicherheitslücken preis.

Da eine der Lücken bereits aktiv ausgenützt wird, sollten Anwender von Google Chrome so schnell wie möglich auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Jetzt patchen! Attacken auf Google Chrome' auf Heise Online

Vivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version (118.0.5993.161) am Dienstag in Form von Vivaldi 6.4 Update 4 veröffentlicht.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (4) for Vivaldi Desktop Browser 6.4' auf Vivaldi.com (Englisch)

Microsoft Edge:

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

01.12.2023 – Sicherheitslücken in Überwachungskameras von Hikvision, Ezviz und weiteren

In Überwachungskameras und Netzwerkvideorekordern des Herstellers Hikvision wurden Sicherheitslücken entdeckt, die es Angreifern sehr einfach ermöglichen auf die Bilder/Videos der Geräte zuzugreifen. Die Geräte dieses Herstellers werden jedoch nicht nur über den Namen Hikvision vertrieben, sondern auch als "Ezviz" und weiteren Marken-Namen.

Besitzer eines Gerätes von Hikvision sollten in dem Sicherheitsbericht nachsehen, ob dieses von den Sicherheitslücken betroffen ist. Ist dies der Fall, sollte man die Firmware des Gerätes aktualisieren. Allerdings sieht es Stichproben nach zu urteilen so aus, als würde noch lange nicht für jedes Gerät auch eine aktualisierte Firmware parat stehen.

Für Besitzer eines Gerätes der Marke "Ezviz" gilt das gleiche, nur das hier analog der Sicherheitsbericht von Ezviz zurate gezogen werden muss. Im Gegensatz zur sehr langen Liste betroffenere Geräte bei der Muttergesellschaft sind hier aber nur 4 Kameras betroffen. Das Update soll über die Ezviz-App möglich sein.

Über Lücken in Geräten die über andere Markennamen verkauft werden, aber letztendlich ebenfalls von Hikvision stammen ist bisher leider nichts bekannt. Hier kann man nur hoffen das diese Anbieter ebenfalls zügig reagieren und Updates bereitstellen.

Quelle: 'Sicherheitslücke in Hikvision-Kameras und NVR ermöglicht unbefugten Zugriff' auf Heise Online

Quelle: 'Sicherheitsbericht von Hikvision' auf hikvision.com (Englisch)

Quelle: 'Sicherheitsbericht von EZVIZ' auf ezviz.com (Englisch)

zur Übersicht

01.12.2023 – Wieder neue Bluetooth Sicherheitslücke

Wer unsere News-Artikel regelmäßig liest, für den ist das Thema Bluetooth Unsicherheit nichts Neues. Wir haben schon unzählige Artikel über diverse Bluetooth-Sicherheitslücken geschrieben, und werden das wohl auch in Zukunft immer wieder mal machen müssen. Dafür steht das Thema Sicherheit bei der Bluetooth SIG (die Organisation die für den Bluetooth-Standard verantwortlich ist) einfach zu weit unten auf der Prioritätenliste (falls Sicherheit überhaupt auf der Agenda steht).

So ist es nicht weiter verwunderlich, dass ein Sicherheitsforscher wieder neue Lücken entdeckt hat. Die BLUFFS genannte Lücke lässt sich nutzen, um die eigentlich verschlüsselte Kommunikation zwischen Geräten zu belauschen. Was bei einem Kopfhörer meist noch relativ harmlos sein dürfte, kann bei Tastaturen fatal sein.

Die Bluetooth SIG hat auf die Lücken reagiert und will Korrekturen durchführen. Wie bei Bluetooth-Sicherheitslücken üblich ist aber davon auszugehen, dass die wenigsten bereits verkauften Geräte jemals ein dahingehendes Update erhalten werden. Für Besitzer ist es meist unmöglich festzustellen, welche der Sicherheitslücken in seinen Bluetooth fähigen Geräten vorhanden sind und ob es jemals Updates dafür geben wird bzw. wann. Bei den ganzen Spielzeugen mit Bluetooth-Chip (wie auch bei den meisten IoT-Geräten) ist so oder so nicht davon auszugehen, dass die jemals ein Update erhalten werden.

Quelle: 'BLUFFS: Neue Angriffe gefährden Bluetooth-Datensicherheit auf Milliarden Geräten' auf Heise Online

zur Übersicht

01.12.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'Sicherheitslücke: Schadcode-Attacken auf Solarwinds Platform möglich' auf Heise Online

Quelle: 'Apache ActiveMQ: Mehrere Codeschmuggel-Lücken von Botnetbetreibern ausgenutzt' auf Heise Online

zur Übersicht

24.11.2023 – Thunderbird 115.5 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 115.5 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 7 Sicherheitslücken behoben, wovon 5 eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.

Info: 'Thunderbird 115.5.0 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

24.11.2023 – Firefox 120 bringt Sicherheitsupdate

Mozilla hat Firefox 120 veröffentlicht. Die neue Version behebt 10 Sicherheitslücken wovon 6 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 7 Lücken geschlossen, wovon 5 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.5.

Quelle: 'Mozilla erweitert Datenschutz und Sicherheit von Firefox und Thunderbird' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

24.11.2023 – Sicherheitsupdates für Foxit PDF Reader und PDF Editor

Wer anstelle des Adobe Reader bzw. Acrobat auf PDF Reader bzw. PDF Editor aus dem Hause Foxit setzt, sollte unbedingt rasch Updates installieren. Version 2023.3 behebt mehrere Sicherheitslücken von denen wir ein paar durchaus als "kritisch" einstufen würden.

Wer den kostenlosen "PDF Reader" oder bereits eine 13er Version von "PDF Editor" verwendet sollte unbedingt zügig auf die aktuelle Version updaten. Wer noch Version 12 des Editors oder Foxit PhantomPDF (der alte Name von Foxit PDF Editor) einsetzt, sollte ein Upgrade auf die aktuelle Version von Foxit PDF Editor erwerben und installieren.

Quelle: 'Sicherheitsupdates: Foxit PDF unter macOS und Windows verwundbar' auf Heise Online

zur Übersicht

24.11.2023 – Neue Wege Fingerabdruckleser auszutricksen

Dass Fingerabdruckleser eher als Spielerei, nicht aber als Sicherheitsfeature zu verstehen sind, sollte für regelmäßige Leser unserer Website bzw. Newsletter nichts Neues sein. Die meisten bisher bekannten Wege um diese Leser auszutricksen bestand darin einen Fingerabdruck "nachzubauen". Sicherheitsforscher haben nun aber Wege gefunden diese Lesegeräte auszutricksen, ohne überhaupt im Besitz des Fingerabdrucks des Opfers zu sein und auch ganz ohne Anfertigen eines Fingerabdruck-Dummies. Sie haben herausgefunden, dass mindestens 3 der bekannten Fingerabdruckleser am Markt kapitale Designfehler besitzen bzw. vorhandene Sicherheitsfunktionen nicht verwendet werden.

Wie schon gesagt, dass Fingerabdrücke keine sichere Authentifizierung ermöglichen ist nichts Neues, nun zeigt sich aber, dass sie noch leichter und schneller auszutricksen sind als bisher angenommen. Daher sollte man sich sehr gut überlegen, ob/wo man Fingerabdrücke zur Authentifizierung verwenden möchte.

Quelle: 'Windows Hello: Sicherheitsforscher fälschen Fingerabdruck mit Raspberry Pi 4' auf Heise Online

zur Übersicht

24.11.2023 – Neues zum Thema "neues" Outlook

Da die Fakten zu dem Thema längst auf dem Tisch liegen – das "neue" Outlook verursacht (wie die mobilen Outlook-Apps) ein massives Datenschutz-Problem – ist das neue diese Woche eigentlich nur, das weitere Datenschützer vor dem "neuen" Outlook warnen. Aufgrund der Wichtigkeit dieses Themas gehen wir aber auch darauf gerne nochmal ein.

Diese Woche reiht sich also auch Thüringens Landesdatenschutzbeauftragter in die Gruppe der Warner ein, die von dem "neuen" Outlook abraten. Auch ein ehemaliger Datenschützer von Baden-Württemberg rät vom Einsatz des "neuen" Outlooks ab. Auch er sagt übrigens, das die Nutzung dieses E-Mail-Programs unter gewissen Umständen sogar strafbar sein kann.

Auch wenn es für manche Anwender vielleicht kein Problem sein sollte diese Programme zu verwenden, so raten wir doch weiterhin generell von deren Einsatz ab.

Quelle: 'Neues Outlook: Zugangsdatenabfluss alarmiert weitere Datenschützer' auf Heise Online

zur Übersicht

24.11.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'Sicherheitsupdates: Juniper Secure Analytics ist angreifbar' auf Heise Online

Quelle: 'Code-Schmuggel: Neue Splunk-Versionen beheben Sicherheitslücken' auf Heise Online

Quelle: 'Synology schließt kritische Firmware-Lücke in Überwachungskameras' auf Heise Online

Quelle: 'Sicherheitsforscher finden kritische Fehler in KI-Werkzeugen Ray, MLflow und H2O' auf Heise Online

Quelle: 'Atlassian rüstet Jira Data Center and Server & Co. gegen mögliche Attacken' auf Heise Online

Quelle: 'Cloud-Computing-Software ownCloud und Nextcloud angreifbar' auf Heise Online

Quelle: 'Synology schließt Pwn2Own-Lücke in Router-Manager-Firmware' auf Heise Online

zur Übersicht

18.11.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 119.0.6045.160 behebt vier Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der Extended Stable Zweig von Chromium wurde auf Version 118.0.5993.144 aktualisiert. Wie üblich gibt Google hier aber keinerlei Informationen zu Umfang und Bedrohungsgrad eventuell behobener Sicherheitslücken preis.

Anwender von Google Chrome sollten zügig auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Vier Schwachstellen weniger nach Google Chrome-Update' auf Heise Online

Vivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version (118.0.5993.146) gestern in Form von Vivaldi 6.4 Update 3 veröffentlicht.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (3) for Vivaldi Desktop Browser 6.4' auf Vivaldi.com (Englisch)

Microsoft Edge:

Das Entwickler-Team von Microsoft Edge hat es auch diese Woche geschafft Release Notes rechtzeitig zur neuen Version bereitzustellen. Wer Microsoft Edge verwendet sollte zügig auf Version 119.0.2151.72 updaten.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

18.11.2023 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Reader & Acrobat

Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 23.006.20380 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.

Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!

Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.

Download: Adobe Acrobat Reader DC

Info: Adobe Security Bulletin APSB23-54 (Englisch)

Adobe After Effects

In Adobe After Effects wurden 6 kritische und zwei "moderate" Sicherheitslücken behoben. Alle Anwender von After Effects sollten zügig auf Version 23.6.2 (2023) oder 24.0.3 (2024) updaten und alle älteren Fassungen deinstallieren. Alle älteren Jahrgänge erhalten keinen Support mehr und sollten deinstalliert werden.

Quelle: Adobe Security Bulletin APSB23-66 (Englisch)

Adobe Animate:

Das ehemals Flash genannte Web-Animationsprogramm enthielt eine als "wichtig" eingestufte Sicherheitslücke. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.3 (2023) oder 24.0 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.

Info: Adobe Security Bulletin APSB23-61 (Englisch)

Adobe Audition

In Adobes Audio-Bearbeitungs-Programm Audition wurde 6 kritische und 3 weitere Sicherheitslücken mit geringerer Gefahrenstufe behoben. Anwender sollten zügig auf Version 23.6.2 (2023) oder 24.0.3 (2024) updaten um sicher zu sein.

Quelle: Adobe Security Bulletin APSB23-64 (Englisch)

Adobe Bridge:

In Adobe Bridge wurden drei moderate Sicherheitslücken behoben. Anwender, die Adobe Bridge installiert haben, sollten bei Gelegenheit auf Version 13.0.5 oder 14.0.1 updaten.

Info: Adobe Security Bulletin APSB23-57 (Englisch)

Adobe ColdFusion:

Nutzer von Adobe ColdFusion 2021 und 2023 sollten unbedingt rasch auf ColdFusion ColdFusion 2021 Update 12 bzw. ColdFusion 2023 Update 6 aktualisieren, um Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2018 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.

Quelle: 'Adobe Security Bulletin APSB23-52' auf Adobe.com (Englisch)

Adobe Dimension

In Adobes 3D-Programm 'Dimension' wurde eine "wichtige" Schwachstelle behoben. Anwender des Programms sollten bei Gelegenheit auf Version 3.4.10 (bzw. die aktuellste Version, ich bin mir nicht sicher, ob sich Adobe hier nicht vertan hat) updaten.

Quelle: 'Adobe Security Bulletin APSB23-62' auf Adobe.com (Englisch)

Adobe Framemaker Publishing Server

Im Desktop-Publishing-Programm Adobe Framemaker bzw. diesmal in dessen "Publishing Server" wurde eine kritische Sicherheitslücke gefunden und behoben. Wer den Server einsetzt, sollten so schnell wie nur irgend möglich das Update auf Version 2022 Update 1 durchführen oder den Server vom Netz nehmen.

Quelle: Adobe Security Bulletin APSB23-58 (Englisch)

Adobe InCopy:

Auch für Adobe InCopy gibt es ein Sicherheitsupdate gegen eine kritische Sicherheitslücke. Hier sollte unbedingt auf Version 18.5.1 oder 19.0 aktualisiert werden, um sicher zu sein.

Info: Adobe Security Bulletin APSB23-60 (Englisch)

Adobe InDesign

Im Layout-Programm InDesign hat Adobe 7 Sicherheitslücken mit mittlerer Risikoeinstufung behoben. Anwender sollten bei nächster Gelegenheit aktualisieren. Es stehen die abgesicherten Versionen 18.5.1 (2023) oder 19.0 (2024) zur Verfügung.

Info: Adobe Security Bulletin APSB23-55 (Englisch)

Adobe Media Encoder

Im Adobe Media Encoder wurden 4 kritische und eine "moderate" Sicherheitslücke behoben. Anwender, die den Media Encoder installiert haben, sollten rasch auf Version 23.6.2 (2023) oder 24.0.3 (2024) updaten.

Quelle: Adobe Security Bulletin APSB23-63 (Englisch)

Adobe Photoshop

In Photoshop 2023 und 2024 wurde eine "kritische" und 5 "wichtige" Sicherheitslücken behoben. Die 2023er Ausgabe bekommt das Sicherheitsupdate mit Version 24.7.2 und die 2024er Fassung ist ab Version 25.1 abgesichert. Sämtliche älteren Photoshop Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.

Quelle: 'Adobe Security Bulletin APSB23-56' auf Adobe.com (Englisch)

Adobe Premiere Pro

Im Video-Schnitt-Programm Premiere Pro hat Adobe 5 kritische und eine moderate Sicherheitslücke behoben. Anwender von Premiere Pro sollten zügig auf Version 23.6.2 (2023) oder 24.0.3 (2024) updaten.

Quelle: Adobe Security Bulletin APSB23-65 (Englisch)

Adobe RoboHelp Server

In Adobe RoboHelp Server wurden 4 "kritische" und eine als "moderat" eingestufte Sicherheitslücke behoben. Anwender, die die Software installiert haben, sollten so schnell wie möglich auf Version 11 Update 5 updaten.

Quelle: 'Adobe Security Bulletin APSB23-53' auf Adobe.com (Englisch)

zur Übersicht

18.11.2023 – Microsoft's Tag der Updates

Kein Support mehr!

Info: 'Windows Update FAQ Seite' auf Microsoft.com

Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com

Quelle: 'Patchday Microsoft: Angreifer nutzen drei Lücken in Windows aus' auf Heise Online

zur Übersicht

18.11.2023 – Intel veröffentlicht November-Sicherheitsupdates

Prozessorhersteller Intel hat mal wieder neue Sicherheitslücken und zugehörige Sicherheitsupdates veröffentlicht. Leider sind wieder sehr viele Updates dabei, die für den Endanwender schwer bis gar nicht zu bekommen sind, da es wieder um etliche Firmware-Updates geht. Es gibt aber auch wieder ein paar einfach zu behebende Sicherheitslücken, vor allem in Grafik- und Chipsatz-Treibern.

Sicherheitslücken in Grafik-Treibern ...

In den Grafik-Treibern für Intel’s Prozessoren und Grafikkarten wurden 7 mittelschwere Sicherheitslücken behoben. Sechsmal geht dabei um Rechteausweitung und einmal um Informationsabfluss. Auch wenn diese Lücken für Privatanwender meist weniger relevant sind, empfehlen wir allen Besitzer dieser Prozessoren bzw. Grafikkarten die Grafiktreiber zu aktualisieren. Am einfachsten gelingt dies mit dem "Intel Driver and Support Assistant". Betroffen sind Intel Prozessoren mit integrierter "Arc" bzw. "Iris XE" Grafik, sowie alle Intel Grafikkarten.

Quelle: 'Intel® Graphics Drivers Advisory - SA-00864' auf Intel.com

... und Chipsatz-Treibern

Auch in den Chipsatz-Treibern wurde eine Rechteausweitungs-Lücke behoben. Leider macht es Intel den Anwendern unmöglich zu bestimmen, ob man betroffen ist oder nicht. Intel sagt, alle Chipsatz-Treiber vor Version 10.1.19444.8378 sind betroffen. Das würde aber auch alle Uralt-Chipsätze bzw. Treiber mit einschließen, die jemals veröffentlicht wurden. Updates gibt es aber nur für Chipsätze ab der 100er Serie (ab H110, HM170, B150, Q150, QM170, QMS380, Z170, X299) und neuer. Ob ältere Chipsätze nicht betroffen sind, oder sie nur kein Update mehr erhalten, klärt das Bulletin nicht auf. Wir empfehlen daher allen Besitzern eines Computers mit Intel Prozessor die aktuellen Chipsatz-Treiber runterzuladen und versuchen diese zu installieren. Läuft die Installation durch, kann man sicher sein das Problem behoben zu haben. Meldet das Installations-Programm hingegen eine "nicht unterstützte Plattform" bleibt die bereits erwähnte Ungewissheit zurück.

Quelle: 'Intel's Chipsatz Sicherheitsmeldung - SA-00870' auf Intel.com

Download: Aktuelle Intel Chipsatztreiber von Intel.com

Und viele weitere Sicherheitsmeldungen

Die restlichen Advisories sind schwieriger umzusetzen. Wer alle Meldungen "abarbeiten" möchte, kann sich unter dem folgenden Link eine Übersicht aller Intel Sicherheitsmeldungen anzeigen lassen.

Quelle: 'Intel® Product Security Center Advisories' auf Intel.com

Quelle: 'Patchday: Intel patcht sich durch sein Produktportfolio' auf Heise Online

zur Übersicht

18.11.2023 – Wieder Sicherheitslücken in WordPress

Quelle: 'WordPress-Plug-in: Lücke in WP Fastest Cache gefährdet hunderttausende Websites' auf Heise Online

zur Übersicht

18.11.2023 – Schutz vor Microsofts "neuem" Outlook

Wie wir letzte Woche schon berichtet haben, zieht Microsoft gerade wieder einmal die Blicke von Datenschützern, Administratoren und Anwendern rund um den Globus auf sich. Das "neue" Outlook sendet Passwörter und Mails an Microsoft-Server, wodurch der Datenschutz massiv untergraben wird. Für Anwender und Firmen, die auf Datenschutz wert legen, ist dieses "neue" Outlook daher ein absolutes NoGo.

Heise Online hat in einem Artikel daher nun Informationen zusammengetragen, die zumindest verhindern sollen, dass Anwender "aus Versehen" auf das "neue" Outlook wechseln. Interessierte bzw. Firmen-Administratoren sollten das auf jeden Fall abarbeiten. Eine Lösung für Firmen, die auch nach dem Support-Ende von Outlook 2021 noch eine Datenschutzkonforme Mail-Lösung benötigen ist dies jedoch nicht. Allerdings gibt es von Microsoft auch noch gar kein Datum dafür, wann das "neue" Outlook das klassische (echte) Outlook ersetzen soll.

Quelle: 'Neues Outlook: Schutz vor zu neugieriger Microsoft-Mail-App' auf Heise Online

Quelle: 'Neues Outlook: Microsoft bezieht Stellung zur Übertragung von Zugangsdaten' auf Heise Online

zur Übersicht

18.11.2023 – Kostenloses Windows 10/11 Upgrade wirklich beendet?!

Offiziell ist das kostenlose Upgrade von Windows 7/8 auf Windows 10/11 ja ohnehin schon lange Geschichte. In der Realität konnte man aber auch bis vor kurzem immer noch CD-Keys von Windows 7 und 8 für die Aktivierung von Windows 10 und 11 nutzen. Mehreren Berichten nach zu urteilen, könnte dies nun aber endgültig vorbei sein.

Wer also eine Upgrade-Lizenz für Windows 10 "besitzt" könnte beim nächsten Rechner-Upgrade oder Reparatur auch eine neue Windows 10 oder 11 Lizenz benötigen. Gebrauchte Windows 7 bzw. 8 Lizenzen sind damit über Nacht praktisch wertlos geworden.

Quelle: 'Microsoft: Windows-Aktivierungsprobleme nach Ende des Gratis-Updates' auf Heise Online

zur Übersicht

18.11.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'FortiNet flickt schwere Sicherheitslücken in FortiOS und anderen Produkten' auf Heise Online

Quelle: 'Cloud-Schutzlösung: IBM Security Guardium vielfältig attackierbar' auf Heise Online

Quelle: 'Computer-Fehler verraten geheime SSH-Schlüssel' auf Heise Online

Quelle: 'Sicherheitsupdates: Access Points von Aruba sind verwundbar' auf Heise Online

Quelle: 'VMware: Neue Cloud-Director-Version behebt kritische Sicherheitslücke' auf Heise Online

Quelle: 'Patchday: SAP behandelt nur drei Sicherheitslücken' auf Heise Online

Quelle: 'CacheWarp: Loch in Hardware-Verschlüsselung von AMD-CPUs' auf Heise Online

zur Übersicht

10.11.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 119.0.6045.124 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der Extended Stable Zweig von Chromium wurde auf Version 118.0.5993.136 aktualisiert. Wie üblich gibt Google hier aber keinerlei Informationen zu Umfang und Bedrohungsgrad eventuell behobener Sicherheitslücken preis.

Anwender von Google Chrome sollten zügig auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Google Chrome-Update dichtet Lücke mit hohem Risiko ab' auf Heise Online

Vivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version (118.0.5993.138) gestern in Form von Vivaldi 6.4 Update 2 veröffentlicht. Neben den zu vermutenden Sicherheitslücken behebt diese neue Vivaldi Version auch weitere Kinderkrankheiten der 6.4er Reihe, weshalb Anwender zügig aktualisieren sollten, sofern nicht bereits erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (2) for Vivaldi Desktop Browser 6.4' auf Vivaldi.com (Englisch)

Microsoft Edge:

Das Entwickler-Team von Microsoft Edge hat es diese Woche ausnahmsweise geschafft auch Release Notes rechtzeitig zur neuen Version bereitzustellen. Damit ist einerseits geklärt, das Edge auf dem aktuellen Chromium-Sicherheitsstand ist, andererseits verrät Microsoft aber auch, das in Edge eine Sicherheitslücke mehr als in Chromium geschlossen wurde. Wer Microsoft Edge verwendet sollte zügig auf Version 119.0.2151.58 updaten.

Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)

zur Übersicht

10.11.2023 – Finger weg vom "neuen" Outlook!

Heise Online Redakteure haben eine neue Vorab-Version des "neuen" Outlooks getestet und dabei beängstigende Tatsachen festgestellt. Das "neue" Outlook fragt E-Mail-Konten nicht direkt ab, sondern leitet alle Anfragen über die Microsoft Cloud. Das heißt, jemand der sich aus Datenschutzgründen für einen E-Mail-Anbieter in der EU entschieden hat, kann diesen mit dem "neuen" Outlook gar nicht Datenschutz-konform verwenden.

Ganz neu ist dieses Verhalten aber nicht, denn auch die Mobilversionen von Outlook (Android und iOS) verwenden dieses Konzept von Anfang an. Daher raten wir auch seit der Einführung dieser mobilen Outlook-Versionen von deren Einsatz ab.

Die europäischen Datenschützer haben sich des Falls bereits angenommen. Darauf, dass Microsoft einlenken und eine DSGVO-konforme Version des Clients entwickeln wird, würden wir aber nicht wetten. Daher kann bis auf weiteres die einzige Empfehlung in Bezug auf das "neue" Outlook nur heißen – Finger weg!

Das Outlook Namenschaos!

Bis vor einigen Jahren war mit dem Begriff "Outlook" völlig klar das Programm Outlook für Windows gemeint. Dann hat Microsoft angefangen den Namen Outlook auch für den E-Mail-Dienst im Internet zu verwenden, was es schon erheblich schwieriger gemacht hat zu wissen was jeweils gemeint ist. Dann hat Microsoft noch diese mobilen Clients von "Acompli" zugekauft und auch denen den Namen "Outlook" übergestülpt, obwohl diese Mobilversionen technisch absolut nichts mit Outlook zu tun hatten und haben. Und nun soll auch auf Windows das "neue" Outlook zum Standard-E-Mail-Programm werden, obwohl auch dieses Programm technisch betrachtet mit dem "echten" Outlook-Client für Windows nichts zu tun hat. Daher fügen wir auch immer dieses "neue" vor Outlook ein, wenn wir das "neue" Outlook meinen, um klarzustellen, das damit nicht das klassische Outlook für Windows gemeint ist.

Quelle: 'Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook' auf Heise Online

Quelle: 'Microsofts Outlook-Datenumleitung: BfDI will Bericht von EU-Datenschützer' auf Heise Online

zur Übersicht

10.11.2023 – Neue Gimp Version verbessert Sicherheit und bringt neue Funktionen

Die Gimp Entwickler haben Version 2.10.36 der kostenlosen Bildbearbeitungssoftware veröffentlicht. Wie früher bereits erwähnt haben liegt der Fokus der Gimp Entwickler längst auf der zukünftigen Version 3.0, daher gibt es immer weniger sichtbare Neuerungen in der 2.10 Serie.

In Version 2.10.36 wurden dennoch ein paar funktionale Verbesserungen eingepflegt. Eine neue Funktion im Verlaufs-Werkzeug ermöglicht es z.B. ganz schnell und einfach komplexe Muster zu erstellen. Die Unterstützung neuer Farbpaletten von Adobe verbessert den Datenaustausch mit Adobe Anwendern. Alle weiteren funktionalen Neuerungen können in dem bebilderten Artikel zur neuen Version auf der Gimp-Website nachgelesen werden.

Zusätzlich zu den funktionalen Neuerungen und den weiteren Fehlerkorrekturen behebt die neue Version auch 4 Sicherheitslücken. Diese stecken in den Import-Filtern für die Bildformate DDS, PSD und PSP. Alle Anwender von Gimp sollten daher auf die neue Version updaten.

Download: Gimp 2.10.36, Windows, mehsprachig

Quelle: 'GIMP 2.10.36 Released' auf Gimp.org (Englisch)

zur Übersicht

10.11.2023 – UCheck beerbt SUMo – so halbwegs

Letzte Woche hatten wir auf den traurigen Umstand hinweisen müssen, dass der Hersteller des Programmes SUMo den Geschäftsbetrieb eingestellt hat und SUMo daher nicht mehr verwendet werden kann. In der vergangenen Woche hatten wir nun Gelegenheit uns mit der potenziellen Alternative Namens UCheck zu befassen.

Der Installer von Ucheck bietet leider keine Möglichkeit den Installationsordner zu ändern, davon abgesehen ist daran aber nichts auszusetzen und die Installation geht schnell und einfach. Wenn man das Programm öffnet, bekommt man es mit einer gegenüber SUMo doch sehr unterschiedlichen Anwendung zu tun. Während SUMo nur eine zentrale Ansicht hatte, auf der alle gefundenen Programme übersichtlich sortiert angezeigt wurden, ist die Oberfläche von UCheck in verschiedene Bereiche gegliedert.

Auf der "Dashboard" genannten Startseite bekommt man eine Übersicht über die Anzahl der installierten Programme, ausstehender Updates und Downloads angezeigt. Auf letzteres gehen wir nicht weiter ein, da wir UCheck nicht zum Aktualisieren nutzen wollen, sondern nur um herauszufinden welche Programme aktualisiert werden sollten. Direkt nach dem Start von UCheck präsentiert das Programm hier aber gar nichts. 0 installierte Programme, 0 verfügbare Updates. Grund dafür ist, dass sich UCheck im Gegensatz zu SUMo nicht so einstellen lässt, dass es direkt nach dem Start nach Programmen und Updates sucht. Erst nach einem Klick auf "Scan" beginnt UCheck mit der Arbeit.

Der Scan selbst geht schnell und schon bald werden die zuvor erwähnten Nullen durch reale Werte ersetzt. Klickt man nun auf "Ausstehende Updates" auf dem Dashboard (bzw. auf "Updates" in der Navigationsleiste links) gelangt man in eine Ansicht mit ausstehenden Updates. Wer es wie wir bevorzugt die eigentlichen Updates von Hand zu erledigen, kann die Liste nun der Reihe nach abarbeiten. Hier ist einer der Nachteile gegenüber SUMo, das man einzelne Programme nach dem Update nicht erneut scannen kann, man muss immer einen kompletten Scan durchführen, was natürlich deutlich länger dauert. Außerdem bietet UCheck keine Möglichkeit den Ordner des gefundenen Programms zu öffnen, was wir sehr schmerzlich vermissen.

Für Anwender, die sich gerne auf Automatiken verlassen, bietet UCheck aber den Knopf "Aktionen" an, über den sich Programme auch direkt updaten lassen, sofern in der Datenbank von UCheck hinterlegt ist, wo das Update runterzuladen ist. Das geht dann wieder deutlich über den Funktionsumfang von (der kostenlosen Version von) SUMo hinaus.

Fazit:

Ein 1:1 Ersatz für SUMo ist UCheck sicher nicht, zu unterschiedlich sind die Ansätze. Administratoren werden SUMo dabei vermutlich mehr hinterherweinen als weniger erfahrene Anwender, die die integrierte Update-Funktion von UCheck vielleicht zu schätzen wissen. Da SUMo wie schon geschrieben nicht mehr verwendet werden kann, muss man sich vorerst mit UCheck arrangieren oder nach besseren Alternativen suchen. Den eigentlichen Zweck – eine möglichst umfangreiche Übersicht über fehlende Programm-Updates zu liefern, erfüllt UCheck aber sehr gut.

Download: UCheck von Adlice Software

zur Übersicht

10.11.2023 – Audacity 3.4 konzentriert sich auf Musikbearbeitung

Die Audacity Entwickler haben Version 3.4.1 des beliebten Audio-Editors veröffentlicht. In der 3.4 Serie hat sich der Hersteller auf das Thema Musik-Bearbeitung konzentriert und eine neue Ansicht für die "Lineale" ersonnen – statt wie bisher "Minuten und Sekunden" lassen sich nun auch "Beats und Takte" anzeigen. Auch die Zeitanzeige unten im Audacity-Fenster lässt sich entsprechend umstellen. Zudem lassen sich Clips nun direkt in der Timeline "strecken" bzw. "stauchen", was sich qualitativ nicht hinter professioneller Konkurrenz verstecken muss laut Hersteller. Wir können hier nur ein subjektives und unprofessionelles "klingt wirklich gut" anheften.

Auch die Export-Funktion wurde überarbeitet und ist nun nicht nur einfacher und effizienter, sondern beherrscht mit Opus auch ein neues Format. Letzteres kann nun auch importiert werde, was ebenfalls praktisch ist.

Das Releasenote zeigt nicht nur die prominentesten Neuerungen in bebilderter Version (bzw. als Video), sondern listet auch noch einige weitere Verbesserungen und Fehlerkorrekturen auf. Wir haben die Version 3.4.1 einem kurzen Test unterzogen und dabei keine neuen auffälligen Probleme festgestellt. Vor allem für alle die mit Audacity tatsächlich Musik erzeugen wollen, sind die Neuerungen sicher Gold wert. Alle anderen profitieren zumindest von dem deutlich verbesserten Export sowie weiteren Bugfixes.

Download: Aktuelle Audacity Version

Quelle: 'Release Notes zu Audacity 3.4.1' auf audacityteam.org (Englisch)

zur Übersicht

10.11.2023 – Qnap: Rasch Sicherheitsupdates installieren!

Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- QuTS-hero- oder QuTScloud-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.

Quelle: 'Sicherheitsupdates QNAP: Angreifer können eigene Befehle auf NAS ausführen' auf Heise Online

zur Übersicht

10.11.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'SaaS-Analyse-Plattform: IT-Sicherheitsvorfall bei Sumo Logic' auf Heise Online

Quelle: 'Sicherheitsupdates: Zwei kritische Lücken bedrohen Monitoringtool Veeam One' auf Heise Online

Quelle: 'Kritische Atlassian-Confluence-Lücke wird angegriffen' auf Heise Online

Quelle: 'Malware-Schutz: Rechteausweitung in Trend Micros Apex One möglich' auf Heise Online

Quelle: 'Kritische Sicherheitslücke in WS_FTP erlaubt Datei-Upload an beliebige Stellen' auf Heise Online

Quelle: 'Hinweis auf Sicherheitslücke in FileZilla Server in den Releasenotes' auf filezilla-project.org

zur Übersicht

03.11.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 119.0.6045.106 behebt 15 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein.

Der Extended Stable Zweig von Chromium wurde auf Version 118.0.5993.129 aktualisiert. Wie üblich gibt Google hier aber keinerlei Informationen zu Umfang und Bedrohungsgrad eventuell behobener Sicherheitslücken preis. Aus dem Blogpost von Vivaldi lässt sich aber entnehmen, das mehrere Sicherheitslücken behoben wurden.

Anwender von Google Chrome sollten zügig auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Google Chrome bessert 15 Schwachstellen aus und kann HTTPS-Upgrades' auf Heise Online

Vivaldi:

Die Vivaldi-Entwickler haben wie üblich rasch reagiert und die abgesicherte Chromium Version (118.0.5993.129) gestern in Form von Vivaldi 6.4 Update 1 veröffentlicht. Neben den Sicherheitslücken behebt diese neue Vivaldi Version auch weitere Kinderkrankheiten der 6.4er Reihe, weshalb Anwender zügig aktualisieren sollten, sofern nicht bereits erledigt.

Download: Aktuelle Vivaldi Version

Info: 'Minor update for Vivaldi Desktop Browser 6.4' auf Vivaldi.com (Englisch)

Microsoft Edge:

Microsoft Edge hat den Sprung auf eine 119er Version gemacht, weshalb davon auszugehen ist, dass die aktuellen Sicherheitsupdates enthalten sind. Mit Gewissheit lässt sich das wie so oft bei Microsoft nicht sagen, weil es noch keine Release Notes für die neue Version gibt. Wer Microsoft Edge verwendet sollte zügig auf Version 119.0.2151.44 updaten.

zur Übersicht

03.11.2023 – Neuer VLC media player: stabiler und sicherer!

Kurz nach der Version 3.0.19 des VLC Media Players, über die wir letzte Woche berichtet haben, veröffentlichen die Entwickler abermals eine neue Ausgabe. In Version 3.0.20 wurde unter anderem das Problem mit älteren AMD Grafikkarten (über das wir berichtet hatten) behoben. Aber auch die Sicherheit wurde nochmals verbessert, was das Update für alle Anwender des VLC media players empfehlenswert macht, unabhängig davon welche Grafikkarte zum Einsatz kommt.

Insgesamt wurden 5 Fehler und eine Sicherheitslücke behoben. Anwender von VLC media player sollten bei nächster Gelegenheit updaten.

Download: VLC Media Player 3.0.20 für Windows (64Bit)

Download: VLC Media Player 3.0.20 für Windows (32Bit)

zur Übersicht

03.11.2023 – SUMo-Hersteller schließt Firma

"KC Softwares", der Hersteller von Programmen wie SUMo, DUMo und weiteren schließt die Pforten. Wer SUMo aktuell verwendet bekommt schnell eine Fehlermeldung zu sehen. Grund dafür ist, dass die Server des Herstellers mit Ende Oktober abgedreht wurden. Damit sind zumindest all die Programme, die auf eine Server-Verbindung angewiesen sind, wie z.B. SUMo und DUMo, schlagartig nutzlos geworden.

Über die Gründe für die Aufgabe kann man nur spekulieren. Am naheliegendsten ist, dass die Firma unterm Strich einfach nicht profitabel war. SUMo war zwar ein immens beliebtes Programm, aber eben auch in der kostenlosen Version schon sehr gut nutzbar. Daher haben wohl die wenigsten Anwender zur kostenpflichtigen Version gegriffen.

Speziell das SUMo-Ende stellt Anwender jetzt vor das Problem, eine neue Software finden zu müssen, die verlässlich auf Programm-Updates hinweist. Ein Mitarbeiter von KC Softwares erwähnt im Forum das Programm "UCheck" des Herstellers "Adlice Software". Für einen Test der Software hatten wir aber bisher noch keine Zeit, sobald wir das nachgeholt haben werden wir auch darüber berichten.

zur Übersicht

03.11.2023 – Wieder Sicherheitsprobleme mit Nvidia Treibern & Software

Nvidia hat wieder einige Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. In den Grafikkartentreibern für "echte" Grafikkarten wurden in Summe 8 Lücken gefunden die teils sehr hohe Bedrohungsstufen haben. In den "virtuellen" Grafikkarten (VGPU) wurden 3 Sicherheitslücken behoben, die ebenfalls als hohe Gefahr eingestuft wurde.

Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 474.64 oder 546.01 bei den GameReady-Treibern bzw. Version 546.01 bei den Studio-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 474.64, 537.70 oder 546.01) bereit.

Quelle: 'Sicherheitsupdates Nvidia: GeForce-Treiberlücken gefährden PCs' auf Heise Online

Download: Aktuelle Grafikkarten-Treiber von Nvidia.de

zur Übersicht

03.11.2023 – Apples "Wo ist" wird zum Sicherheitsrisiko

Apples "Wo ist"-Dienst kann Angreifern als Komplize dienen, um hochsensible Daten auszuspionieren. Der Dienst, der eigentlich zum Aufspüren verlorener Geräte gedacht ist, erlaubt es leider deutlich mehr Daten zu übertragen als eigentlich notwendig wäre. Das können sich Angreifer zunutze machen um z.B. Daten von Keyloggern zu übertragen. Dazu muss keine Software auf Fremdgeräte geschleust werden, man benötigt kein WLAN-Passwort oder sonstige Dinge an die ein Angreifer potenziell nicht so einfach gelangt. Stattdessen reicht ein einziges Apple-Gerät mit aktiviertem "Wo ist"-Dienst um die gestohlenen Daten an den Angreifer zu übertragen.

Ob Apple die Lücke im "Wo Ist" Dienst beheben kann und wird ist aktuell nicht klar. Vorerst sollte jeder Besitzer eines Apple-Gerätes diese Funktion tunlichst abschalten. Dazu geht man in die Einstellungen → "Einstellungen/[Ihr Name]/Wo ist?/Mein [Gerät] suchen" und deaktiviert dort die Option '"Wo ist?"-Netzwerk'.

Quelle: 'Apples "Wo ist": Keylogger-Tastatur nutzt Ortungsnetz zum Passwortversand' auf Heise Online

zur Übersicht

03.11.2023 – Defekte SSDs - WD bzw. Sandisk verweigert Fehlerbehebung

Bereits am 18.08.2023 haben wir über gehäufte Ausfälle bei externen USB-SSDs aus dem Hause Sandisk bzw. Western Digital (WD) berichtet. Offenbar hat sich in den letzten zwei Monaten nichts geändert und der Hersteller steckt weiterhin den Kopf in den Sand. Im Support-Forum des Herstellers wird die Zahl der Hilfe-suchenden immer größer, nützliche Antworten erhalten diese Kunden aber laut Heise Online Artikel nicht. Auch auf Anfragen renommierter Computer Fachzeitschriften, wie eben Heise, antwortet Western Digital nicht.

Heise Online Redakteur Mark Mantel spricht von einem desaströsen Vertrauensverlust von Sandisk bzw. Western Digital bei seinen Kunden und dem können wir leider nur zustimmen.

Wer nicht das gesamte Portfolio von Sandisk und Western Digital boykottieren möchte oder kann, sollte zumindest um externe USB-SSDs der beiden Marken einen großen Bogen machen. Wer schon so eine SSD besitzt, sollte sie nicht für wichtige Dateien verwenden oder zumindest regelmäßig Sicherungen davon erstellen.

Quelle: 'SSD-Ausfälle: Western Digital verspielt alles Vertrauen' auf Heise Online

zur Übersicht

03.11.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'Sicherheitslücken: Angreifer können Schadcode in SugarCRM hochladen' auf Heise Online

Quelle: 'Jetzt patchen: Kritische Sicherheitslücke in Confluence aufgetaucht' auf Heise Online

Quelle: 'Sicherheitslücken: Angreifer können Cisco-Firewalls manipulieren' auf Heise Online

Quelle: 'Solarwinds Platform 2023.4 schließt Codeschmuggel-Lücken' auf Heise Online

Quelle: 'Lücke in VMware ONE UEM ermöglicht Login-Klau' auf Heise Online

zur Übersicht

27.10.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 118.0.5993.118. Eine der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, über die zweite Lücke hüllt Google einmal mehr Schweigen.

Die 118er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Google-Chrome-Update schließt zwei Sicherheitslücken' auf Heise Online

Vivaldi:

Die Vivaldi-Entwickler haben diese Woche nun ebenfalls auf Chromium 118 umgestellt und sind somit sicherheitstechnisch wieder absolut aktuell. Details zur neuen Vivaldi-Version gibt es weiter unten.

Microsoft Edge:

Ob die aktuelle Microsoft Edge Version 118.0.2088.69 auf dem aktuellen Sicherheitsstand ist lässt sich mangels Release-Note von Microsoft leider wieder einmal nicht feststellen, es ist aber zu vermuten. Wer noch eine ältere Edge Version im Einsatz hat, sollte daher zügig aktualisieren.

zur Übersicht

27.10.2023 – Vivaldi veröffentlicht Version 6.4

Gestern haben die Vivaldi-Entwickler Version 6.4 des gleichnamigen Browsers veröffentlicht. Zum Einsatz kommt nun Chromium 118.0.5993.122, womit man sicherheitstechnisch wieder ganz vorne dabei ist.

Vivaldi 6.4 vereinheitlicht die Versionsnummern auf allen Plattformen (Desktop, Android und iOS) auf Version 6.4. Die vor einigen Wochen veröffentlichte iOS-Version von Vivaldi hatte da ein wenig Chaos reingebracht, daher wurde auf Desktops die Version 6.3 übersprungen.

Optisch fällt vor allem ein neues "Cloud"-Icon rechts oben im Browser auf. Zwar beherrschte Vivaldi schon länger die Synchronisation von Lesezeichen und dergleichen, aber offenbar wollte man das jetzt noch etwas prominenter zeigen. Zum Glück lässt sich das Icon aber in den Einstellungen in der Kategorie "Tabs" deaktivieren in dem man das Häkchen vor "Synchroniations-Schaltfläche anzeigen" entfernt.

Weitere separat erwähnte Neuerungen sind ein Lautstärken-Regler in Popout-Videos und Kalender-Vorlagen. Das Changelog listet aber wie immer noch erheblich mehr Neuerungen und Fehlerkorrekturen auf.

Quelle: 'Vivaldi wird noch leistungsfähiger und funktioniert auf allen Geräten' auf Vivaldi.com

Quelle: 'Englischer Blog-Artikel zur neuen Vivaldi-Version mit Changelog' auf Vivaldi.com

zur Übersicht

27.10.2023 – Thunderbird 115.4.1 behebt Sicherheitslücken

Die Entwickler von Thunderbird haben die Version 115.4.1 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 8 Sicherheitslücken behoben, wovon zwei eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.

Von den behobenen Sicherheitslücken abgesehen gibt es eine recht lange Liste an Fehlerkorrekturen die in diese Version eingeflossen sind, was zeigt, dass die 115er Reihe noch lange nicht frei von Kinderkrankheiten war oder ist. Dennoch sollten Anwender von Thunderbird 102 zügig auf diese Version upgraden, da die 102er Serie keine Sicherheitsupdates mehr erhält.

Info: 'Thunderbird 115.4.1 Release Notes' auf Mozilla.org (Englisch)

Download: Aktuelle Thunderbird Version

zur Übersicht

27.10.2023 – Firefox 119 bringt Sicherheitsupdate

Mozilla hat Firefox 119 veröffentlicht. Die neue Version behebt 11Sicherheitslücken wovon 3 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.

In Firefox ESR wurden 8 Lücken geschlossen, wovon ebenfalls 3 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.4.

Quelle: 'Sicherheitsupdates: Firefox-Browser anfällig für Clickjacking-Attacken' auf Heise Online

Quelle: 'Security Advisories for Firefox' auf Mozilla.org

Download: Aktuelle Firefox Version (Standard)

Download: Aktuelle Firefox Version (ESR)

zur Übersicht

27.10.2023 – Sicherheitslücke in HP Print and Scan Doctor

In der HP-Anwendung "HP Print and Scan Doctor" wurde eine Sicherheitslücke behoben, über die sich normale Anwender Administratorrechte erschleichen konnten. Offenbar ist der einzige Weg diese Anwendung zu aktualisieren der "HP Support Assistant". Ist dieser installiert, sollte man damit tunlichst seine ganze HP-Software aktualisieren. Ist der Assistent nicht installiert, deinstalliert man besser auch den "Doctor".

Quelle: 'Rechteausweitung durch Lücke in HP Print and Scan Doctor' auf Heise Online

zur Übersicht

27.10.2023 – Wieder Sicherheitslücken in WordPress

Für das Contentmanagement-System 'WordPress' bzw. seine Plugins sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:

Quelle: 'Lücke in LiteSpeed-Cache-Plug-in gefährdet 4 Millionen WordPress-Websites' auf Heise Online

zur Übersicht

27.10.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'Jetzt patchen! Attacken auf Citrix NetScaler ADC und Gateway beobachtet' auf Heise Online

Quelle: 'Proxy: Squid-Entwickler dichten teils kritische Lecks in Version 6.4 ab' auf Heise Online

Quelle: 'Exploitcode für Root-Lücke in VMware Aria Operations for Logs in Umlauf' auf Heise Online

Quelle: 'Webmailer Roundcube: Attacken auf Zero-Day-Lücke' auf Heise Online

Quelle: 'Teils kritische Lücken in VMware vCenter Server und Cloud Foundation geschlossen' auf Heise Online

Quelle: 'Sicherheitsupdates: Jenkins-Plug-ins als Einfallstor für Angreifer' auf Heise Online

Quelle: 'Sicherheitslücken im X.Org X-Server und Xwayland erlauben Rechteausweitung' auf Heise Online

Quelle: 'Lücken in Nessus Network Monitor ermöglichen Rechteerhöhung' auf Heise Online

Quelle: 'Konfigurationsprogramm von BIG-IP-Appliances als Sprungbrett für Angreifer' auf Heise Online

Quelle: 'Sicherheitslücken in VMware Tools erlauben Rechteausweitung' auf Heise Online

zur Übersicht

20.10.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder eine Sicherheitslücke in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 118.0.5993.89. Welches Risiko von der Lücke ausgeht, verschweigt Google leider wieder einmal.

Die 118er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Update dichtet eine Schwachstelle in Google Chrome ab' auf Heise Online

Vivaldi:

Wie bei Versions-Zweig-Wechseln üblich hat Vivaldi noch keine neue Version bereit. Da keine der neu bekanntgewordenen Sicherheitslücken aktiv ausgenützt werden dürfte, ist das noch kein Problem. Die Vivaldi-Entwickler arbeiten mit Hochdruck an der neuen Version, die wir in der nächsten Woche erwarten würden.

Microsoft Edge:

Ob die aktuelle Microsoft Edge Version 118.0.2088.57 auf dem aktuellen Sicherheitsstand ist lässt sich mangels Release-Note von Microsoft leider wieder einmal nicht feststellen, es ist aber zu vermuten. Wer noch eine ältere Edge Version im Einsatz hat, sollte daher zügig aktualisieren.

zur Übersicht

20.10.2023 – Sicherheitsupdates für Java und weitere Oracle Software

Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 387 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.

Java:

Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 5 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 391 aktualisieren.

Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.21, 17.0.9 oder 21.0.1 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.

Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.

Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.

Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.

Download: Aktuelle Java Version

VirtualBox:

In dem PC-Emulator VirtualBox wurden 3 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich keine der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, sollte trotzdem auf die neue Version 7.0.12 updaten, da auch einige Bugs behoben wurden.

Download: Aktuelle VirtualBox 7.x Version auf VirtualBox.org

MySQL:

Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.

Weitere Oracle Programme:

Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - July 2023' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.

Quelle: 'Oracle Critical Patch Update Advisory - October 2023' auf Oracle.com (Englisch)

Quelle: 'Patchday: 387 Sicherheitsflicken von Oracle' auf Heise Online

zur Übersicht

20.10.2023 – Neue VLC media player Version schließt Sicherheitslücken!

Das VideoLAN Team hat die neue Version 3.0.19 des VLC Media Players veröffentlicht. Neben den üblichen funktionalen Verbesserungen wurden auch mindestens zwei Sicherheitslücken behoben.

Alle Anwender des VLC Media Players sollten daher umgehend auf die neue Version updaten.

Nebenwirkungen:

Ganz ohne Nebenwirkungen scheint die neue VLC Version allerdings nicht zu sein. Auf einem PC mit älterer AMD-Grafik stürzte der Player im Test reproduzierbar ab. Ist hier ein Treiber-Update nicht mehr möglich, weil der Grafik-Chip schon so alt ist, hilft es oftmals in VLC selbst die Video-Ausgabe auf "Direct3D9-Videoausgabe" umzustellen (Werkzeuge → Einstellungen → Video → Ausgabe).

Download: VLC Media Player 3.0.19 für Windows (32Bit)

Download: VLC Media Player 3.0.19 für Windows (64Bit)

Quelle: NEWS-File von VLC, da noch keine Releasenotes verfügbar sind (Englisch)

zur Übersicht

20.10.2023 – AMD sichert Radeon Grafiktreiber ab

AMD hat ein Sicherheitsbulletin veröffentlicht, wonach der Radeon Grafiktreiber 23.9.2 eine Sicherheitslücke schließt. Diese ermöglichte es eingeschränkten Benutzern sich Administratorrechte zu verschaffen. Auf den meisten privat genutzten Computern dürfte das keine Rolle spielen, vor allem aber auf geschäftlich genutzten Computern sollte zügig auf Version 23.9.2 (oder neuer) aktualisiert werden.

Besitzer älterer Grafikkarten, die nicht mehr mit dem aktuellen Treiber kompatibel sind, müssen sich zumindest diesmal scheinbar keine Gedanken machen, da die Lücke offenbar nur relativ neue Grafikkarten (Radeon 5000 bis 7000er Serie) bzw. Prozessoren (Ryzen 6000 bis 7000er Serie) betrifft.

Update für Profikarten steht noch aus:

Wer eine Profi-Grafikkarte aus den Serien Radeon PRO W5000 bis W7000 besitzt, muss sich noch bis November gedulden. Dann soll der Treiber "23.Q4" erscheinen, der die Lücken ebenfalls schließt.

Quelle: 'AMD-Grafiktreiber: Codeschmuggel durch Sicherheitslücke möglich' auf Heise Online

zur Übersicht

20.10.2023 – Sicherheitsupdate für VMware Workstation (Player & Pro)

In der Desktop-Virtualisierungslösung VMware Workstation wurden mehrere Sicherheitslücken behoben. Anwender des Programms (egal ob Player oder Pro) sollten daher ein Update auf Version 17.5 durchführen.

Quelle: 'VMware dichtet hochriskante Lecks in Aria, Fusion und Workstation ab' auf Heise Online

zur Übersicht

20.10.2023 – Wieder Sicherheitslücken in WordPress

Quelle: 'Wordpress: Übernahme durch Lücke in Royal Elementor Addons and Template' auf Heise Online

zur Übersicht

20.10.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'Samba: Neue Versionen beheben mehrere Sicherheitslücken' auf Heise Online

Quelle: 'Cisco: Schwere Sicherheitslücke in IOS XE ermöglicht Netzwerk-Übernahme' auf Heise Online

Quelle: 'Sonicwall: SonicOS-Lücken ermöglichen DoS-Angriffe' auf Heise Online

Quelle: 'Sophos Firewall: PDF-Passwortschutz der SPX-Funktion umgehbar' auf Heise Online

Quelle: 'Microsoft 365: Exchange-Online-Regel markierte alle ausgehenden Mails als Spam' auf Heise Online

Quelle: 'Neue Version von SolarWinds Access Rights Manager behebt Codeschmuggel-Lücken' auf Heise Online

Quelle: 'VMware dichtet hochriskante Lecks in Aria, Fusion und Workstation ab' auf Heise Online

zur Übersicht

14.10.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 118.0.5993.71 behebt 20 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der behobenen Lücken im Durchschnitt als "kritisch" ein.

Die 118er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.

Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Google-Chrome-Update schließt kritische Sicherheitslücke' auf Heise Online

Vivaldi:

Microsoft Edge:

Die Microsoft Edge Entwickler haben die neuesten Chromium-Sicherheitsupdates bereits übernommen. Die neue Edge-Versionsnummer ist damit 118.0.2088.46. Wer Edge verwendet sollte zügig aktualisieren.

zur Übersicht

14.10.2023 – Sicherheitsupdate für zahlreiche Adobe Programme

Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:

Adobe Photoshop

In Photoshop 2023 und 2024 wurde eine "kritische" Sicherheitslücke behoben. Die 2022er Jahresausgabe (Version 23.x) wird nicht mehr abgesichert und sollte zügig deinstalliert werden. Die 2023er Version bekommt das Sicherheitsupdate mit Version 24.7.1 und die 2024er Version ist vom Fleck weg abgesichert (Version 25.0). Sämtliche (!!) Photoshop Versionen vor der 2023er Ausgabe gelten als unsicher und sollten nicht mehr verwendet werden.

Quelle: 'Adobe Security Bulletin APSB23-51' auf Adobe.com (Englisch)

Adobe Bridge:

In Adobe Bridge wurden zwei Sicherheitslücken behoben die als "wichtig" eingestuft wurden. Anwender, die Adobe Bridge installiert haben, sollten daher zügig auf Version 13.0.4 oder 14.0 updaten.

Info: Adobe Security Bulletin APSB23-49 (Englisch)

Adobe Magento bzw. Adobe Commerce

Im Webshop-System "Magento" bzw. "Commerce" wurden etliche kritische Sicherheitslücken behoben. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.

Quelle: Adobe Security Bulletin APSB23-50 (Englisch)

zur Übersicht

14.10.2023 – Microsoft's Tag der Updates

Bye Bye Windows Server 2012 R2!

Wer immer noch Windows Server 2012 R2 einsetzt, sollte sich spätestens jetzt zügig um ein Upgrade bzw. einen neuen Server kümmern. Das 10 Jahre alte Server-Betriebssystem hat zum letzten Mal Updates erhalten, jede Woche die solche Server länger im Einsatz bleiben steigt also das Gefahrenpotential, das davon ausgeht.

06.10.2023 – Das nächste Chromium Sicherheitsupdate

Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 117.0.5938.150 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücke als "hoch" ein.

Der Extended Stable Zweig von Chromium hat kein Update erhalten, was vermuten lässt, dass die Lücke dort nicht vorhanden war.

Benutzer von Google Chrome sollten das Update bei nächster Gelegenheit installieren, sofern das nicht bereits durch das automatische Update erledigt wurde.

Info: 'Google Chrome aktualisieren' auf Google.com

Quelle: 'Webbrowser: Update für Google Chrome schließt Lücke mit hohem Risiko' auf Heise Online

Vivaldi:

Da Vivaldi auf dem Extended Stable Zweig von Chromium basiert gibt es hier sicherheitstechnisch nichts zu beachten. Dennoch hat Vivaldi diese Woche zwei Updates veröffentlicht, die kleinere Probleme behoben haben.

Download: Aktuelle Vivaldi Version

Info: 'Minor update (6) for Vivaldi Desktop Browser 6.2' auf Vivaldi.com (Englisch)

Info: 'Minor update (7) for Vivaldi Desktop Browser 6.2' auf Vivaldi.com (Englisch)

Microsoft Edge:

Microsoft Edge ist diese Woche offiziell wieder sicher. Während man letzte Woche nichts Genaues sagen konnte, basiert Edge Version 117.0.2045.55 auf Chromium 117.0.5938.150 und ist damit auf dem aktuellen Stand. Wer noch eine ältere Edge Version verwendet sollte zügig aktualisieren.

zur Übersicht

06.10.2023 – Sicherheitsmeldungen für Administratoren

Quelle: 'Kritische Lücke im Mailserver Exim' auf Heise Online

Quelle: 'Jetzt patchen! Exploit für kritische Sharepoint-Lücke veröffentlicht' auf Heise Online

Quelle: 'Jetzt patchen! Ransomware schlüpft durch kritische TeamCity-Lücke' auf Heise Online

Quelle: 'Erste Angriffe gesichtet: Angreifer können über Lücken in WS_FTP Daten löschen' auf Heise Online

Quelle: 'Jetzt patchen! Confluence Data Center: Angreifer machen sich zu Admins' auf Heise Online

Quelle: 'KI-Tool: Kritische Sicherheitslücken in TorchServe' auf Heise Online

Quelle: 'Root- und DoS-Attacken auf Cisco-Produkte möglich' auf Heise Online

Quelle: 'Malware-Schutz: Watchguard EPDR und AD360 schließen Sicherheitslücken' auf Heise Online

Quelle: 'Sicherheitsupdate: Root-Lücke bedroht Dell SmartFabric Storage Software' auf Heise Online

Quelle: 'Jetzt patchen! Exploits für glibc-Lücke öffentlich verfügbar' auf Heise Online

zur Übersicht