News Archiv: Oktober - Dezember 2023
News Archiv: Juli - September 2023
News Archiv: April - Juni 2023
News Archiv: Jänner - März 2023
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 124.0.6367.60.
Drei Lücken tragen die Risikoeinstufung "hoch", 6 "mittel" und 4 "niedrig". Zu den restlichen 9 Lücken macht Google keine Angaben.
Die 124er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Webbrowser: Sicherheitsupdates für Chrome und Firefox' auf Heise Online
Wie bei der Umstellung auf eine neue Hauptversion üblich dauert es noch eine Weile bis zur neuen Vivaldi Version. Die Entwickler arbeiten noch an der Integration der neuen Chromium-Version. Gut möglich, dass diese nächste Woche erscheint. Sorgen müssen sich Vivaldi Anwender aber aktuell wohl noch keine machen, denn die 3 gefährlichsten Lücken hat Vivaldi in Version 6.6 Update 6 behoben.
Quelle: 'Minor update (6) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Microsoft Edge Entwickler haben den Umzug auf die 124er-Version bereits gestemmt, und dabei zusätzlich zu den Lücken aus Chromium auch noch 3 Edge-spezifische Sicherheitslücken geschlossen. Wer Microsoft Edge verwendet sollte zügig auf Version 124.0.2478.51 aktualisieren.
Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)
Die Entwickler von Thunderbird haben die Version 115.10 des beliebten E-Mail-Programmes veröffentlicht. Wie viele Sicherheitslücken und mit welchem Schweregrad behoben wurden lässt sich aktuell mangels Security Bulletin von Mozilla nicht sagen. Die Angaben zu Firefox ESR verraten aber, dass mindestens eine Lücke mit Gewichtung "hoch" geschlossen wurde. Leider war aber schnell klar, das Version 115.10.0 einen gröberen Bug enthalten hat, sodass relativ rasch Version 115.10.1 nachgeschoben wurde.
Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 13 Detailverbesserungen auf.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Quelle: 'Webbrowser: Sicherheitsupdates für Chrome und Firefox' auf Heise Online
Info: 'Thunderbird 115.10.0 Release Notes' auf Mozilla.org (Englisch)
Info: 'Thunderbird 115.10.1 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 125.0.1 veröffentlicht. Die neue Version behebt 15 Sicherheitslücken wovon 9 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 9 Lücken geschlossen, wovon 4 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.10.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Webbrowser: Sicherheitsupdates für Chrome und Firefox' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
In Photoshop 2023 und 2024 wurde eine "wichtige" Sicherheitslücke behoben. Die 2023er-Ausgabe bekommt das Sicherheitsupdate mit Version 24.7.3 und die 2024er-Fassung ist ab Version 25.4 abgesichert. Sämtliche älteren Photoshop Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Quelle: 'Adobe Security Bulletin APSB24-16' auf Adobe.com (Englisch)
Im Vektorgrafik Programm Illustrator hat Adobe drei als "kritisch" eingestufte und eine "wichtige" Sicherheitslücke behoben. Um wieder sicher zu sein, müssen Anwender auf Version 27.9.3 (2023) oder 28.4 (2024) updaten.
Info: Adobe Security Bulletin APSB24-25 (Englisch)
Im Layout-Programm InDesign hat Adobe eine Sicherheitslücke mit Risikoeinstufung "wichtig" behoben. Anwender des Programmes sollten auf die Version 18.5.2 (2023) bzw. 19.3 (2024) updaten. Sämtliche älteren InDesign Jahrgänge gelten als unsicher und sollten nicht mehr verwendet werden.
Info: Adobe Security Bulletin APSB24-20 (Englisch)
In Adobe After Effects wurde eine als "wichtig" eingestufte Sicherheitslücke behoben. Alle Anwender von After Effects sollten auf Version 23.6.5 (2023) oder 24.2 (2024) updaten. Alle älteren Jahrgänge erhalten keinen Support mehr und sollten deinstalliert werden.
Quelle: Adobe Security Bulletin APSB24-09 (Englisch)
Im Adobe Media Encoder wurde eine kritische Sicherheitslücke behoben. Anwender, die den Media Encoder installiert haben, sollten rasch auf Version 23.6.5 (2023) oder 24.3 (2024) updaten.
Quelle: Adobe Security Bulletin APSB24-23 (Englisch)
In Adobe Bridge wurde eine "wichtige" Sicherheitslücken behoben. Das Update auf die abgesicherte Version 13.0.7 (2023) oder 14.0.3 (2024) sollte bei Gelegenheit installiert werden.
Quelle: 'Adobe Security Bulletin APSB24-24' auf Adobe.com (Englisch)
Das ehemals Flash genannte Web-Animationsprogramm enthielt vier Sicherheitslücken wovon zwei als "kritisch" eingestuft wurden. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.5 (2023) oder 24.0.2 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB24-26 (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurden zwei kritische Sicherheitslücken behoben. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB24-18 (Englisch)
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine lange Liste an "wichtigen" Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB24-21 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 441 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 13 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 411 aktualisieren.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.23, 17.0.11, 21.0.3 oder 22.0.1 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
In dem PC-Emulator VirtualBox wurden 13 Sicherheitslücken geschlossen. Laut Security Matrix von Oracle lässt sich aber nur eine der Lücken aus der Ferne ausnützen. Wer VirtualBox auf seinem PC nutzt, sollte aber aktuell NICHT auf Version 7.0.16 updaten, da sich darin ein recht gravierender neuer Bug eingeschlichen hat, der zum Absturz des (Host-)Computers führen kann. Wir werden in einem der nächsten Newsletter darauf hinweisen, wenn eine reparierte Fassung verfügbar ist.
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - April 2024' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - April 2024' auf Oracle.com (Englisch)
Quelle: 'Oracle: Critical Patch Update bringt 441 Sicherheitskorrekturen' auf Heise Online
Der FileZilla FTP-Client hat ein Sicherheitsupdate auf Version 3.67.0 erhalten. Einmal mehr wurden dabei die enthaltenen GnuTLS-Bibliotheken aktualisiert die immer wieder mal für Sicherheitslücken bei verschlüsselten FTP-Verbindungen sorgen. FilaZilla Anwender die wert auf sicher verschlüsselte FTP-Verbindungen legen sollten FileZilla daher zügig aktualisieren.
Quelle: 'FileZilla Version history' auf filezilla-project.org (Englisch)
Download: Aktuelle FileZilla Version
Wer einen Sicherheitsschlüssel von Yubikey besitzt und auch die zugehörige Verwaltungssoftware "Yubikey Manager" installiert hat, sollte diese umgehend auf die abgesicherte Version 1.2.6 aktualisieren um eine Sicherheitslücke mit "hohem" Risiko zu beheben.
Quelle: 'FIDO2-Sticks: Lücke in Yubikey-Verwaltungssoftware erlaubt Rechteausweitung' auf Heise Online
Download: Aktuelle Yubikey Manager Software
Nvidia hat ein Update für seine Chat-Software "ChatRTX" veröffentlicht. Die Version 0.2.1 schließt je eine Lücke mit "hohem" bzw. "mittlerem" Risiko. Anwender der Software sollten diese zügig aktualisieren.
Quelle: 'Nvidias Chatbot-App ChatRTX ist für Schadcode-Attacken anfällig' auf Heise Online
Wer einen AccessPoint von TP-Link mit der Bezeichnung N300 (Modellnummer: EAP115 V4) bzw. AC1350 (Modellnummer: EAP225 V3) besitzt, sollte ein Firmware-Update durchführen. Der Hersteller hat in beiden Modellen Sicherheitslücken behoben, die im schlimmsten Fall zur Infektion des Gerätes mit Schadsoftware führen kann.
Quelle: 'WLAN-Access-Points von TP-Link 15 Minuten lang nach Reboot attackierbar' auf Heise Online
Download: Abgesicherte Firmware für EAP115 V4 (N300)
Download: Abgesicherte Firmware für EAP225 V3 (AC1350)
Sicherheitsforscher haben neue Lücken in etlichen NAS-Geräten von D-Link entdeckt, deren Support bereits ausgelaufen ist und daher auch keine Updates mehr erhalten. Die Liste der betroffenen Geräte ist relativ lange, weshalb wir hier nur auf den Artikel von heise Online verweisen.
Besitzer eines der betroffenen Geräte sollten diese entweder durch neue Geräte mit aktivem Support ersetzen oder zumindest dafür Sorgen, dass diese nicht länger aus dem Internet erreichbar sind. Zuletzt genannte Maßnahme sollte eigentlich für alle IOT-Geräte, die nicht regelmäßig vom Hersteller mit Sicherheitsupdates versorgt werden, selbstverständlich sein.
Quelle: 'Am besten abschalten: Alte NAS-Geräte von D-Link führen Fremdcode aus' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'HP Poly CCX IP-Telefone erlauben unbefugten Zugriff' auf Heise Online
Quelle: 'SAP-Patchday: Zehn Sicherheitsmitteilungen im April' auf Heise Online
Quelle: 'Fortinet liefert Updates: Admin-Cookie-Klau in FortiOS und FortiProxy möglic' auf Heise Online
Quelle: 'Befehlsschmuggel: Kritische Lücke in Programmiersprachen unter Windows' auf Heise Online
Quelle: 'Sicherheitslücken: Angreifer können Juniper-Netzwerkgeräte lahmlegen' auf Heise Online
Quelle: 'BSI warnt vor aktiv angegriffener Sicherheitslücke in Palo-Alto-Firewalls' auf Heise Online
Quelle: 'Sicherheitsupdates: Schwachstellen in PHP gefährden Websites' auf Heise Online
Quelle: 'Lancom-Setup-Assistent leert Root-Passwort' auf Heise Online
Quelle: 'Zugriffsmanagement: Kritische Admin-Lücke in Delinea Secret Server geschlossen' auf Heise Online
Quelle: 'Lenovo: Sicherheitslücken in Server-Enclosure-Firmware' auf Heise Online
Quelle: 'IBM QRadar SIEM: Kritische Lücke durch Drittherstellerkomponente' auf Heise Online
Quelle: 'Kritische Lücken in Ivanti Avalanche MDM gefährden Mobilgeräte in Firmen' auf Heise Online
Quelle: 'Nur NIST P-521 betroffen: PuTTY-Lücke kompromittiert private SSH-Schlüssel' auf Heise Online
Quelle: 'Palo-Alto-Firewalls: Mehr Angriffe und Proofs-of-Concept aufgetaucht' auf Heise Online
Quelle: 'Jetzt patchen! Root-Attacken auf Cisco IMC können bevorstehen' auf Heise Online
Quelle: 'Update für Solarwinds FTP-Server Serv-U schließt Lücke mit hohem Risiko' auf Heise Online
Quelle: 'Mitel SIP-Phones anfällig für unbefugte Zugriffe' auf Heise Online
Bevor wir zu den News dieser Woche kommen möchten wir unsere Kunden und Leser informieren, dass es nächste Woche urlaubsbedingt keinen Newsletter geben wird. Wichtige Sicherheitsmeldungen werden dann übernächste Woche nachgeholt.
Google hat diese Woche 3 Sicherheitslücken in Google Chrome und Chromium behoben. Alle Lücken wurden als hohes Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome zügig auf die neue Version (123.0.6312.105 oder neuer) updaten sollten.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 122.0.6261.156 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Entwickler dichten drei Lücken ab, arbeiten an Cookie-Schutz' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.158 upgedatet und schließen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.6 Update 5 (6.6.3271.57) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (5) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Entwickler von Microsoft Edge haben mit Version 123.0.2420.81 auch eine vollständig abgesicherte Ausgabe in petto. Wer Microsoft Edge verwendet sollte daher auch zügig auf die neue Version updaten.
Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)
Kein Monat ist vergangen seit der letzten Sicherheitswarnung im März, schon muss Lexmark erneut auf Sicherheitslücken in seinen Druckern aufmerksam machen. In Summe drei Sicherheitslücken gefährden Drucker von Lexmark und damit seine Besitzer/Anwender.
Wie bei Lexmark leider üblich, gibt es keine gesammelte Liste der verwundbaren Drucker, sondern man muss sich wieder einmal alle 3 Listen separat durchsehen um feststellen zu können, ob der eigene Drucker betroffen ist. Das sollte man auch tunlichst machen, denn die Lücken sind kritisch und könnten von Angreifern missbraucht werden, um ins eigene Netzwerk einzudringen. Links zu den 3 Sicherheitsmitteilungen finden sie im Heise Online Artikel.
Besitzer von Lexmark Druckern sollten daher unbedingt prüfen, ob ihr Modell von den Lücken betroffen ist und wenn ja die entsprechenden Sicherheitsupdates installieren. Auch für Drucker, die in der Sicherheitsmeldung des Herstellers aktuell nicht genannt werden, lohnt es sich natürlich zu prüfen, ob die aktuellste Firmware verwendet wird und diese gegebenenfalls zu aktualisieren.
Quelle: 'Lexmark: Hochriskante Lücken erlauben Codeschmuggel auf Drucker' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Kritische Sicherheitslücke in Wordpress-Plug-in Layerslider' auf Heise Online
Wir haben schon einige Male über Einbrüche in Microsoft’s Cloud-Server berichtet, aber der Hersteller selbst schwieg sich bisher dazu immer aus. Auch jetzt ist es nicht Microsoft selbst, der seine Fehler den Kunden gegenüber eingesteht, sondern die amerikanische Cybersicherheitsbehörde CISA ist es, die nun offiziell öffentlich macht, was bei Microsoft in puncto Cloud-Sicherheit alles falsch läuft. Und die Liste ist lang, wie man aus dem verlinkten Heise Online Artikel entnehmen kann. Wir können daher nur einmal mehr betonen, dass die Ablage sensibler Daten in Microsofts Cloud generell keine gute Idee ist, da man immer davon ausgehen muss, das unbefugte Dritte Zugriff darauf haben.
Quelle: 'Gestohlener Azure-Master-Key: Microsofts Sicherheitsversagen ist jetzt amtlich' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sharepoint-Sicherheitslücken: CISA warnt vor Angriffen in freier Wildbahn' auf Heise Online
Quelle: 'Dell-Server: BIOS-Lücke als Einfallstor für Angreifer' auf Heise Online
Quelle: 'Cisco dichtet Schwachstellen in mehreren Produkten ab' auf Heise Online
Quelle: 'Cisco schließt Sicherheitslücken und gibt Tipps zur VPN-Absicherung' auf Heise Online
Quelle: 'Sicherheitslücken: DoS-Attacken auf IBM-Datenbank Db2 möglich' auf Heise Online
Quelle: 'Codeschmuggellücke in VMware SD-WAN Edge und Orchestrator' auf Heise Online
Quelle: 'Synology Surveillance Station: Mehrere Lücken gefährden Sicherheit' auf Heise Online
Quelle: 'Sicherheitsupdates für Ivanti: Schadcode kann durch VPN-Verbindungen schlüpfen' auf Heise Online
Quelle: 'Hintertür in xz-Bibliothek gefährdet SSH-Verbindungen' auf Heise Online
Google hat diese Woche 7 Sicherheitslücken in Google Chrome und Chromium behoben. Mindestens eine der Lücken wurde als kritisches Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome besonders zügig auf die neue Version (123.0.6312.86) updaten sollten.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 122.0.6261.148 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Kritische Schwachstelle bedroht Browser-Nutzer' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.150 upgedated und schließen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.6 Update 4 (6.6.3271.55) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (4) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Entwickler von Microsoft Edge haben mit Version 123.0.2420.65 nun auch wieder eine vollständig abgesicherte Ausgabe in petto. Wer Microsoft Edge verwendet sollte daher auch zügig auf die neue Version updaten.
Quelle: 'Microsoft Edge Releasenotes' auf Microsoft.com (Englisch)
Mozilla hat Firefox 124.1 veröffentlicht. Die neue Version behebt zwei kritische Sicherheitslücken. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR war nur eine dieser beiden Sicherheitslücken vorhanden, diese wird mit Version 115.9.1 gestopft.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox: Notfall-Update schließt kritische Sicherheitslücken' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Die LibreOffice Gemeinde hat die Versionen 7.6.6 und 24.2.2 veröffentlicht. Beide Ausgaben sind Fehlerkorrekturen ihrer jeweiligen Vorgänger bringen aber keine neuen Funktionen oder Sicherheitsupdates. Wer bereits Version 7.6.4 oder neuer verwendet und mit der Software zufrieden ist muss also nicht unbedingt updaten.
Die Version 24.2.2 ist bisher nur für Anwender gedacht die unbedingt die allerneuesten Funktionen haben wollen und dafür potenziell mangelnde Stabilität in Kauf nehmen. Für die breite Masse ist aktuell Version 7.6.6 die bessere Wahl.
Download: Aktuelle LibreOffice Versionen
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Security-Fiasko Exchange: BSI warnt vor über 17.000 angreifbaren Servern' auf Heise Online
Quelle: 'Sicherheitslücken in Microsofts WiX-Installer-Toolset gestopft' auf Heise Online
Quelle: 'Loadbalancer: Sicherheitslücken in Loadmaster von Progress/Kemp' auf Heise Online
Google hat diese Woche 12 Sicherheitslücken in Google Chrome und Chromium behoben. Mindestens eine der Lücken wurde als hohes Sicherheitsrisiko eingestuft, weshalb Anwender von Google Chrome zügig auf die neue Version (123.0.6312.59) updaten sollten.
Im Extended Stable Zweig wurden die Lücken (vermutlich) mit der Versionsnummer 122.0.6261.139 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome Release Notes' auf googleblog.com (Englisch)
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.141 upgedated und schließen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.6 Update 3 (6.6.3271.53) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (3) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Entwickler von Microsoft Edge haben leider noch keine abgesicherte Version am Start. Hier kann man nur hoffen, dass das bald nachgereicht wird oder vorübergehend auf Vivaldi umsteigen.
Die Entwickler von Thunderbird haben die Version 115.9 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 10 Sicherheitslücken behoben, wovon 6 eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.
Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 10 Detailverbesserungen auf.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Quelle: 'Sicherheitsupdates für Firefox und Thunderbird' auf Heise Online
Info: 'Thunderbird 115.9.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 124 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken wovon 6 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 10 Lücken geschlossen, wovon 6 als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.9.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Sicherheitsupdates für Firefox und Thunderbird' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Spring Framework: Updates beheben neue, alte Sicherheitslücke' auf Heise Online
Quelle: 'Home- und Raspberry-Matic: Kritische Lücke erlaubt Codeschmuggel' auf Heise Online
Quelle: 'Spring Security: Zugriffskontrollmechanismen in Java-Framework kaputt' auf Heise Online
Quelle: 'Sicherheitsupdates für Atlassian Bamboo, Bitbucket, Confluence und Jira' auf Heise Online
Quelle: 'Microsoft: März-Updates können Windows Server lahmlegen' auf Heise Online
Quelle: 'Attacken auf Ivanti Standalone Sentry und Neurons möglich' auf Heise Online
Quelle: 'Lücken in Ruby-Gems ermöglichen Codeschmuggel und Datenleck' auf Heise Online
Quelle: 'IBM-Software: Angreifer können Systeme mit Schadcode kompromittieren' auf Heise Online
Quelle: 'Kritische Sicherheitslücke in FortiClientEMS wird angegriffen' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 122.0.6261.129 behebt drei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.
Der 122er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Lücke erlaubte Codeschmuggel' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.133 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.6 Update 2 (6.6.3271.50) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (2) for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 122.0.2365.92 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Im Video-Schnitt-Programm Premiere Pro hat Adobe zwei kritische Sicherheitslücken behoben. Anwender von Premiere Pro sollten zügig auf Version 23.6.4 (2023) oder 24.2.1 (2024) updaten.
Quelle: Adobe Security Bulletin APSB24-12 (Englisch)
In Adobe Bridge wurden 4 Sicherheitslücken behoben, wovon drei kritisch sind. Das Update auf die abgesicherte Version 13.0.6 (2023) oder 14.0.2 (2024) sollte daher zügig installiert werden.
Quelle: 'Adobe Security Bulletin APSB24-15' auf Adobe.com (Englisch)
Adobe's Lightroom (NICHT Lightroom Classic!) erhält ein Update gegen eine als "kritisch" eingestufte Sicherheitslücke. Dies betrifft jedoch nur die macOS-Version, die Windows-Ausgabe scheint nicht betroffen zu sein. Die abgesicherte Ausgabe trägt die Versionsnummer 7.2. Alle Anwender von Lightroom (macOS) sollten die neue Version bei nächster Gelegenheit installieren.
Info: Adobe Security Bulletin APSB24-17 (Englisch)
Das ehemals Flash genannte Web-Animationsprogramm enthielt vier Sicherheitslücken wovon eine als "kritisch" eingestuft wurde. Wer Adobe Animate installiert hat, sollte es bei Gelegenheit auf Version 23.0.4 (2023) oder 24.0.1 (2024) aktualisieren und sämtliche älteren Fassungen deinstallieren.
Info: Adobe Security Bulletin APSB24-19 (Englisch)
Nutzer von Adobe ColdFusion 2021 und 2023 sollten unbedingt rasch auf ColdFusion ColdFusion 2021 Update 13 bzw. ColdFusion 2023 Update 7 aktualisieren, um Sicherheitslücken zu schließen. Details zu den Lücken gibt es im Adobe Security Bulletin. Da Adobe "und frühere Versionen" schreibt, sind vermutlich auch ColdFusion 2018 und noch älter betroffen. Dafür gibt es jedoch keine Sicherheitsupdates mehr, weshalb hier gegebenenfalls ein kostenpflichtiges Upgrade ansteht.
Quelle: 'Adobe Security Bulletin APSB24-14' auf Adobe.com (Englisch)
Von Adobe Experience Manager sind alle Versionen betroffen. Hier gibt es eine ellenlange Liste an "wichtigen" Sicherheitslücken. Alle Details finden sie im verlinkten Adobe Security Bulletin.
Quelle: Adobe Security Bulletin APSB24-05 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
HP hat begonnen für zahlreiche Computer-Systeme BIOS-Updates zu veröffentlichen, die Sicherheitslücken schließen. Betroffen sind Modelle aus dem Business-Portfolio von HP, eine ausführliche Liste der betroffenen Modelle listet der Hersteller in seinem Sicherheitsbericht auf.
Besitzer und Administratoren sollten prüfen, ob für verwendete HP Computer BIOS-Updates bereitstehen und diese installieren. Privat-Anwender verwenden dafür am einfachsten den HP Support Assistant.
Quelle: 'HP: Viele Laptops und PCs von Codeschmuggel-Lücke betroffen' auf Heise Online
Quelle: 'HP Sicherheitsmeldung HPSBHF03924' auf hp.com (Englisch)
Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS-, QuTS-hero- oder und QuTScloud-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'Qnap hat teils kritische Lücken in seinen Betriebssystemen geschlossen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'ArubaOS: Sicherheitslücken erlauben Befehlsschmuggel' auf Heise Online
Quelle: 'SAP schließt zehn Sicherheitslücken am März-Patchday' auf Heise Online
Quelle: 'Synology: Update schließt "wichtige" Lücken in Synology Router Manager' auf Heise Online
Quelle: 'GitLab fixt PostgreSQL-Lücke nicht: Angreifer können Admin-Rechte erlangen' auf Heise Online
Quelle: 'Fortinet-Patchday: Updates gegen kritische Schwachstellen' auf Heise Online
Quelle: 'Cisco schließt hochriskante Lücken in IOS XR' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 122.0.6261.112 behebt drei Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten rasch auf die neue Version updaten.
Der 122er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Update dichtet drei hochriskante Sicherheitslecks ab' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 122.0.6261.116 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.6 Update 1 (6.6.3271.48) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler, wie z.B. nicht funktionierende Downloads.
Download: Aktuelle Vivaldi Version
Info: 'Minor update for Vivaldi Desktop Browser 6.6' auf Vivaldi.com (Englisch)
Die Microsoft Edge Entwickler haben sowohl eine neue Edge-Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 122.0.2365.80 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
In der Desktop-Virtualisierungslösung VMware Workstation wurden mehrere Sicherheitslücken behoben. Anwender des Programms (egal ob Player oder Pro) sollten daher ein Update auf Version 17.5.1 durchführen.
Quelle: 'VMware schließt Schlupflöcher für Ausbruch aus virtueller Maschine' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Jetzt patchen! Deutschland führt Liste mit verwundbaren TeamCity-Systemen an' auf Heise Online
Quelle: 'Jetzt updaten: Kritische Admin-Sicherheitslücken bedrohen TeamCity' auf Heise Online
Quelle: 'Aruba: Codeschmuggel durch Sicherheitslücken im Clearpass Manager möglich' auf Heise Online
Quelle: 'Solarwinds: Schadcode-Lücke in Security Event Manager' auf Heise Online
Quelle: 'Angreifer können Systeme mit Dell-Software kompromittieren' auf Heise Online
Quelle: 'Sicherheitslücken: Angreifer können Systeme mit IBM-Software attackieren' auf Heise Online
Quelle: 'Cisco: Angreifer können sich zum Root-Nutzer unter Linux machen' auf Heise Online
Quelle: 'VMware schließt Schlupflöcher für Ausbruch aus virtueller Maschine' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 122.0.6261.95. Zwei der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, über die anderen beiden Lücken hüllt Google einmal mehr den Mantel des Schweigens.
Die 122er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Sicherheitsupdate bessert vier Schwachstellen aus' auf Heise Online
Die Vivaldi-Entwickler haben wie erwartet diese Woche ebenfalls auf den 122er Chromium Unterbau umgestellt und schließen damit alle aktuellen Sicherheitslücken. Abgesehen von den Sicherheitskorrekturen haben die Vivaldi Entwickler weiter an den Funktionen zum Übersetzen sowie für E-Mails gearbeitet. Da die Neuerungen überschaubar sind ersparen wir uns einen eigenen Artikel zur neuen Vivaldi-Version.
Download: Aktuelle Vivaldi Version
Auch die Microsoft Edge Entwickler lassen diese Woche den auf Chromium 122 basierenden Edge vom Stapel und schließen alle aktuellen Sicherheitslücken. Genauer gesagt wurden sogar noch ein paar Lücken mehr als bei Google geschlossen, denn auch im eigenen Code hatte Microsoft ein paar Probleme entdeckt und behoben. Wer Microsoft Edge nutzt, sollte daher zügig auf die 122er-Version updaten.
Quelle: 'Webbrowser: Microsoft Edge-Update schließt Sicherheitslücken' auf Heise Online
Das Drama rund um das Datenschutz-Desaster "neues Outlook" verschärft sich zunehmend. Denn Microsoft beginnt jetzt damit ungefragt Updates von "Windows 10 Mail" zum "neuen Outlook" durchzuführen. Noch kann man das zwar rückgängig machen, aber sobald das Postfach einmal migriert wurde ist das Kind Datenschutztechnisch bereits in den Brunnen gefallen, sprich Microsoft hat dann bereits die Zugangsdaten in seine Cloud übertragen.
Wir können daher nur allen Nutzern, die "Windows 10 Mail" (bzw. das Windows 11 Pendant dazu) verwenden, raten schnellstmöglich auf andere E-Mail-Programme umzusteigen. Zumindest wenn man nicht ohnehin ein Microsoft Postfach verwendet, in dem Fall hat Microsoft die Zugangsdaten ja sowieso in der Hand und das "neue Outlook" verschlimmert die Lage nicht. Damit Microsoft auch wirklich keine geheimen Daten abfragt, muss man die Postfächer aus der alten App aber auch wirklich löschen, sonst ist der ganze Wechsel nutzlos. Alternativ kann man auch das Passwort der Postfächer nach dem Umzug ändern, dann werden die von Microsoft "gestohlenen" Passwörter nutzlos. Die Passwörter für E-Mail-Postfächer regelmäßig zu ändern empfiehlt sich sowieso.
Quelle: 'Microsoft macht Ernst: Mail und Kalender werden durch neues Outlook ersetzt' auf Heise Online
Als würde Microsoft Kunden und Administratoren mit dem "neuen Outlook" nicht schon genug Ärger aufhalsen, will der Konzern jetzt auch noch Windows 11 mit allen Mitteln auf Domänen-Rechner bekommen. Dort hat Microsoft mit Windows 11 bisher einen besonders schweren Stand, denn kaum ein Unternehmen will freiwillig auf Windows 11 umsteigen bevor es unbedingt sein muss. Und weil das Microsoft nicht schnell genug geht, hat man kurzerhand angekündigt Windows 11 ab April auch auf Domänen-Rechnern "anzubieten". Das heißt die Administratoren werden umgangen und die Benutzer der jeweiligen Rechner können selbst mal eben so den Computer auf Windows 11 upgraden, mit all den teils fatalen Folgen die das haben kann.
Weil der Aufschrei unter Administratoren entsprechend massiv gewesen sein dürfte, hat man dann ganz schnell und heimlich ein bisschen am Wortlaut der Meldung gefeilt, und darauf hingewiesen, dass Computer die per WSUS mit Updates versorgt werden, nicht zum Upgrade auffordern werden. Das dürfte für viele Firmen allerdings ein schwacher Trost sein, denn seit Corona und dem massiv gestiegenen Anteil an HomeOffice, ist eine Verteilung der Windows Updates per stationärem WSUS-Server kaum mehr vertretbar.
Es bleibt noch zu hoffen das Microsoft selbst ein Einsehen hat, das das so nicht funktionieren kann und von dem Plan wieder Abstand nimmt. Andernfalls wäre die letzte Hoffnung, dass findige Programmierer einen anderen Weg finden, um Anwender von einem unerwünschten Windows-Upgrade abzuhalten. Aufgrund der Tragweite dieses potenziellen Desasters ist hier sicher noch nicht das letzte Wort gesprochen.
Quelle: 'Windows-10-Rechner bekommen Umstiegshinweise auf Windows 11 – in der Domäne' auf Heise Online
Quelle: 'Microsoft rudert etwas zurück: WSUS macht Rechner "verwaltet"' auf Heise Online
Nvidia hat wieder einige Sicherheitslücken in seinen Grafikkarten-Treibern gestopft. In den Grafikkartentreibern für "echte" Grafikkarten wurden in Summe 6 Lücken gefunden die teils hohe Bedrohungsstufen haben. In den "virtuellen" Grafikkarten (VGPU) wurden 2 Sicherheitslücken behoben, wovon eine ebenfalls als hohe Gefahr eingestuft wurde.
Wer eine Grafikkarte vom Typ GeForce oder Quadro hat, sollte zügig die neuen Treiber installieren. Abgesicherte Treiber stehen für GeForce Karten (Version 551.61 oder 474.82 bei den GameReady-Treibern bzw. Version 551.61 bei den Studio-Treibern), sowie für Profi-Grafikkarten aus den RTX, Quadro und NVS Serie (Version 474.82, 538.33 oder 551.61) bereit.
Quelle: 'Sicherheitsupdate: Nividia-Grafikkarten-Treiber als Einfallstor für Angreifer' auf Heise Online
Download: Aktuelle Grafikkarten-Treiber von Nvidia.de
Wer Teamviewer auf seinem PC installiert hat, sollte zügig auf die Version 15.51.5 aktualisieren. Dort wird eine schwere Sicherheitslücke behoben. Wer die Software zwar installiert hat aber gar nicht regelmäßig verwendet, sollte sie hingegen deinstallieren. Details zur Lücke gibt es im Heise Online Artikel.
Quelle: 'Teamviewer: Sicherheitslücke im Client ermöglicht Rechteausweitung' auf Heise Online
Und noch eine Fernwartungs-Software die negativ auf sich aufmerksam macht. Die Software RustDesk hat bis vor kurzem bei der Installation ein Test-Zertifikat installiert, das so eigentlich nie auf Kunden-Computern gelangen hätte dürfen, und Angreifern weitreichende Angriffsmöglichkeiten bot. Wer diese Software installiert hat, sollte entweder ein Update auf Version 1.2.3-1 durchführen oder das fragliche Zertifikat von Hand entfernen. Details dazu gibt es wie immer im verlinkten Heise Online Artikel.
Quelle: 'Remote-Desktop: RustDesk-Update entfernt Test-Zertifikat' auf Heise Online
Dass Februar auch mal 29 Tage haben kann, dürfte den Programmierern bei Sophos bisher nicht bekannt gewesen sein. Anders ist es nicht vorstellbar, dass Kunden des Unternehmens gestern vor dem Besuch von völlig legitimen Webseiten gewarnt wurden. Das Problem dürfte sich heute aufgrund des wieder "normalen" Datums von selbst gelöst haben. Bleibt zu hoffen, dass Sophos dann in vier Jahren besser vorbereitet ist.
Quelle: 'IT-Sicherheitsprodukte von Sophos verschlucken sich am Schaltjahr' auf Heise Online
Für das Contentmanagement-System 'WordPress' sind auch diese Woche wieder wichtige Sicherheitsmeldungen erschienen. Wir verweisen jedoch der Einfachheit halber nur auf die jeweiligen Heise Online Seiten:
Quelle: 'Kritische Lücke in Wordpress-Plug-in Ultimate Member leakt Passwort-Hashes' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Cisco: Sicherheitslücken in NX-OS, FX-OS und weiteren Geräten geschlossen' auf Heise Online
Quelle: 'CISA und Experten warnen vor hartnäckigen Backdoors auf Ivanti-Geräten' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die fehlerbereinigte Ausgabe trägt die Versionsnummer 122.0.6261.58. Zwei der Lücken wurde mit einer Gefahreneinstufung von "Hoch" bewertet, die anderen 10 Lücken haben Einstufungen zwischen Mittel und Niedrig.
Die 122er Serie stellt auch die Basis des neuen stabilen Entwicklerzweiges, weshalb es keine separate stabile Version gibt.
Anwender von Google Chrome sollten so bald wie möglich auf die neueste Version updaten.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome 122: Zwölf Sicherheitslecks gestopft' auf Heise Online
Wie bei der Umstellung auf eine neue Hauptversion üblich dauert es noch eine Weile bis zur neuen Vivaldi Version. Die Entwickler arbeiten noch an der Integration der neuen Chromium-Version. Gut möglich, dass diese nächste Woche erscheint. Sorgen müssen sich Vivaldi Anwender aber aktuell wohl noch keine machen.
Die Microsoft Edge Entwickler lassen sich genau wie Vivaldi noch etwas Zeit, um der neuen Version Feinschliff zukommen zu lassen. Auch hier ist es vorstellbar, dass Edge 122 nächste Woche erscheint.
Die Entwickler von Thunderbird haben die Version 115.8 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 8 Sicherheitslücken behoben, wovon vier eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bzw. "gering" bezeichnet werden.
Wie schon das letzte Update korrigiert auch dieses wieder einige funktionale Fehler. Die 115er Serie reift also immer noch nach. Die Release Notes listen ganze 16 Detailverbesserungen auf.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Quelle: 'Firefox und Thunderbird: Neue Versionen liefern Sicherheitsfixes' auf Heise Online
Info: 'Thunderbird 115.8.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 123 veröffentlicht. Die neue Version behebt 12 Sicherheitslücken wovon 4 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 8 Lücken geschlossen, wovon drei als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.8.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox und Thunderbird: Neue Versionen liefern Sicherheitsfixes' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
HP hat wieder zwei Sicherheitsbulletins für Drucker und Scanner aus den Produktreihen Laser Jet, PageWide, Digital Sender Flow und ScanJet veröffentlicht. Die erste Lücke ist hochkritisch, weshalb Besitzer/Administratoren eines Drucker/Scanners aus den genannten Produktreihen unbedingt prüfen sollten, ob ihr Drucker in einem der Bulletins vorkommt und dann die entsprechenden Gegenmaßnahmen ergreifen. Meistens wird das ein Firmware-Update sein das installiert werden muss.
Die zweite Lücke ist nicht ganz so dramatisch wie die erste, aber auch Drucker und Scanner, die hier erwähnt werden, sollten unbedingt aktualisiert werden.
Quelle: 'HP Laser-Drucker: Sicherheitslücken erlauben Codeschmuggel' auf Heise Online
Quelle: 'HP Sicherheitsbulletin 1 mit Liste betroffener Drucker' auf hp.com (Englisch)
Quelle: 'HP Sicherheitsbulletin 1 mit Liste betroffener Drucker' auf hp.com (Englisch)
Eset hat eine Sicherheitsmeldung veröffentlicht, wonach es ein schwerer Fehler in seinen Produkten Angreifern ermöglicht beliebige Dateien auf dem Computer des Opfers zu löschen. Der Fehler zieht sich querbeet durch die gesamte Produktpalette sowohl für Privat-Anwender wie Gewerbe. Wer Software von Eset nutzt, sollte sich die Sicherheitsmeldung des Herstellers genau ansehen und die notwendigen Maßnahmen ergreifen.
Quelle: 'Eset: Schwachstelle in Hintergrundscanner löscht beliebige Dateien' auf Heise Online
Quelle: Sicherheitswarnung von Eset
Wer Joomla für seine Homepage/Blog nutzt, sollte sicherstellen, dass das Update auf Version 5.0.3 oder 4.4.3 installiert wurde oder das rasch nachholen. In den neuen Versionen wurden mehrere Sicherheitslücken geschlossen, wovon eine als hochriskant eingestuft wurde.
Quelle: 'CMS Joomla bessert riskante Schwachstellen aus' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Solarwinds: Codeschmuggel möglich, Updates verfügbar' auf Heise Online
Quelle: 'Jetzt updaten: Kritische Codeschmuggel-Lücken in Connectwise Screenconnect' auf Heise Online
Quelle: 'Sicherheitsupdate: Root-Lücke bedroht Servermonitoringtool Nagios XI' auf Heise Online
Quelle: 'Sicherheitslücken: GitLab gegen mögliche Attacken abgesichert' auf Heise Online
Quelle: 'Malware über kritische Lücke in ConnectWise ScreenConnect verteilt' auf Heise Online
Quelle: 'Broadcom schließt Sicherheitslücken in VMware Aria Operations und EAP-Plug-in' auf Heise Online
Quelle: 'WS_FTP: Updates dichten hochriskante Sicherheitslücke ab' auf Heise Online
Google hat diese Woche lediglich eine Sicherheitslücke in Google Chrome und Chromium behoben. Da der Hersteller aber keinerlei Informationen über die Lücke veröffentlicht, ist unklar, ob das nur eine "Kleinigkeit" war oder eine kritische Schwachstelle. Aufgrund der unklaren Lage sollten Anwender von Google Chrome zügig auf die neue Version (121.0.6167.185) updaten.
Im Extended Stable Zweig wurde die Lücke (vermutlich) mit der Versionsnummer 120.0.6099.291 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome Release Notes' auf googleblog.com (Englisch)
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.293 upgedated und schließen so ebenfalls die neue Sicherheitslücke. Vivaldi Anwender sollten zügig auf Version 6.5 Update 9 (6.5.3206.63) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (9) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Die Entwickler von Microsoft Edge haben ebenfalls eine neue Version ihres Browsers veröffentlicht. Leider fehlt aber noch das Release Note dazu, daher können wir nur vermuten, dass dieser ebenfalls auf die neue Chromium-Version upgedatet und damit abgesichert wurde.
Wie üblich hängt sich Adobe an Microsofts Tag der Updates an und veröffentlicht für viele Anwendungen Aktualisierungen. Hier eine Übersicht über alle Updates, die Sicherheitslücken schließen:
Adobe Acrobat Reader DC und Acrobat DC liegen nun jeweils in Version 23.008.20533 vor. Die langen Versionsnummern sind dem Umstand geschuldet, dass bei Acrobat und Reader in den DC Varianten eigentlich keine Versionsnummern mehr geplant sind, und man deshalb die deutlich längeren Build-Nummern angeben muss. Wir verwenden aber der Einfachheit halber weiter den Ausdruck Versionsnummer. In der neuen Ausgabe hat Adobe wieder etliche Sicherheitslücken geschlossen, viele davon kritisch, weshalb Anwender sehr rasch updaten sollten.
Wer Acrobat oder Reader nicht in der Cloud-Version verwendet, kann im Adobe Security Bulletin nachlesen, welches Update für seine Acrobat / Reader Version benötigt wird. Anwender, die noch Acrobat XI oder noch älter einsetzen, sollten jetzt unbedingt ein (kostenpflichtiges) Upgrade auf eine neue Version ins Auge fassen, denn diese Versionen erhalten KEINE Sicherheitsupdates mehr!
Wer dem bestehenden Reader / Acrobat einfach nur das letzte Sicherheitsupdate verpassen möchte, tut dies am besten über 'HILFE → NACH UPDATES SUCHEN'. Alternativ bieten wir die neueste Version von Adobe Acrobat DC Reader unten zum Download an.
Download: Adobe Acrobat Reader DC
Info: Adobe Security Bulletin APSB24-07 (Englisch)
In Adobes Audio-Bearbeitungs-Programm Audition wurde eine kritische Sicherheitslücke behoben. Anwender sollten zügig auf Version 23.6.4 (2023) oder 24.2 (2024) updaten um sicher zu sein.
Quelle: Adobe Security Bulletin APSB24-11 (Englisch)
In Adobes 3D-Programm 'Substance 3D Painter' wurden in Summe 9 Sicherheitslücken behoben, wovon nicht weniger als 6 kritischer Natur waren. Anwender des Programms sollten so rasch wie möglich auf Version 9.1.2 updaten.
Quelle: 'Adobe Security Bulletin APSB24-04' auf Adobe.com (Englisch)
In Adobes 3D-Programm 'Substance 3D Designer' wurde ebenfalls eine "kritische" Sicherheitslücke behoben. Anwender des Programms sollten so rasch wie möglich auf Version 13.1.1 updaten.
Quelle: 'Adobe Security Bulletin APSB24-13' auf Adobe.com (Englisch)
Im Webshop-System "Magento" bzw. "Commerce" wurden 5 Sicherheitslücken behoben, wovon zwei kritisch waren. Wer die Software einsetzt (egal ob kommerziell oder die Comunity Edition) sollte unbedingt zügig die im Security Bulletin erläuterten Updates installieren.
Quelle: Adobe Security Bulletin APSB24-03 (Englisch)
Im Desktop-Publishing-Programm Adobe Framemaker bzw. diesmal in dessen "Publishing Server" wurde eine kritische Sicherheitslücke gefunden und behoben. Wer den Server einsetzt, sollten so schnell wie nur irgend möglich das Update auf Version 2022 Update 2 durchführen oder den Server vom Netz nehmen.
Quelle: Adobe Security Bulletin APSB24-10 (Englisch)
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Administratoren, die einen Exchange-Server betreuen, sollten sich diesen Monat wieder besonders gut und vor allem rasch in die diversen Knowledge-Base-Artikel rund um die Februar-Updates einlesen. Wenn wir es richtig verstanden haben, ist in den allermeisten Fällen Handarbeit nötig, nur auf wenigen Systemen wird es mit dem automatisch installierten Update gut sein. Im Falle von Exchange 2019 muss nun mindestens das CU 13 installiert sein, um überhaupt noch das neueste Sicherheitsupdate zu erhalten. Bei allen CU’s außerdem dem neuen CU 14 für Exchange 2019 muss zudem die "Extended Protection" aktiviert werden. Das CU14 macht das automatisch bei der Installation, was aber Fallstricke mit sich bringt. Und dann muss auch noch sichergestellt werden, dass die "NTLM-Sicherheitsstufe" richtig konfiguriert ist. Wie schon geschrieben, findet man all das grundsätzlich in den Artikeln von Microsoft, aber man muss alles wirklich sehr sorgfältig studieren.
Quelle: 'Jetzt patchen! Angreifer nutzen kritische Lücke in Microsoft Exchange Server aus' auf Heise Online
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.17.0 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Webkonferenz-Tool Zoom: Rechteausweitung durch kritische Schwachstelle' auf Heise Online
Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- oder QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'Qnap: Sicherheitslücken in Firmware erlauben Einschleusen von Befehlen' auf Heise Online
Der Prozessor-Hersteller liefert wieder zahlreiche Sicherheitsupdates in Form von aktualisierten BIOS-Bausteinen aus. Der Hersteller hat gleich für vier verschiedene Produktbereiche Sicherheitsbenachrichtigungen veröffentlicht. In den gängigen Ryzen Prozessoren für Desktops und Notebooks sind demnach bis zu 4 neue Schwachstellen gefunden und beseitigt worden. Da AMD nur Teile des kompletten BIOS/UEFI an die Hersteller liefert, muss der Endkunde letztendlich warten bis die Geräte bzw. Mainboard-Hersteller entsprechende BIOS-Updates ausliefern. Ein paar haben bereits damit begonnen, wie ein zweiter Heise Online Artikel berichtet.
Für Privatanwender sollten die Schwachstellen in der Regel nicht kritisch sein, dennoch raten wir auch hier dazu verfügbare BIOS-Updates unbedingt zu installieren. Für Firmen ist die Relevanz schon deutlich höher und am massivsten sind wie üblich Server-Betreiber betroffen.
Quelle: 'AMD meldet zahlreiche Sicherheitslücken in Prozessoren' auf Heise Online
Quelle: 'AMD-CPU-Sicherheitslücken: Erste BIOS-Updates stehen bereit' auf Heise Online
Die neu entdeckte Sicherheitslücke "KeyTrap" kann auf Systemen mit den DNS-Servern "Bind", "dnsmasq" und "Unbound" zu so viel Last führen, dass keine weiteren DNS-Anfragen mehr verarbeitet werden können. Das wiederum würde Netzwerke größtenteils lahmlegen.
Die Namen der drei bekannten DNS-Servern dürfte den wenigsten Anwendern etwas sagen, und dennoch dürften die meisten den einen oder anderen davon Zuhause verwenden. Die "dnsmasq" Software dürfte in etlichen Routern vorkommen. Allerdings sehen wir aktuell kein großes Risiko für Heimnetzwerke durch diese Lücken, da ein Angriff dazu aus dem internen Netzwerk heraus stattfinden müsste. Bei DD-WRT z.B. lässt sich die Lücke aber z.B. umgehen, indem man die Verifizierung von DNSSEC-Anfragen ausschaltet, was standardmäßig der Fall sein dürfte.
Wer jedoch einen öffentlich erreichbaren DNS-Server betreibt, sollte sehr wohl dafür Sorge tragen, diesen möglichst bald auf eine abgesicherte Version zu aktualisieren.
Quelle: 'DNS-Server: Bind, dnsmasq und Unbound stolpern über Sicherheitslücke "KeyTrap"' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'SAP: 13 neue Sicherheitswarnungen zum Februar-Patchday' auf Heise Online
Quelle: 'Sicherheitslücke in Webmailer Roundcube wird angegriffen' auf Heise Online
Quelle: 'PostgreSQL lässt sich beliebiges SQL unterjubeln' auf Heise Online
Quelle: 'Sicherheitslücken: Angreifer können Dell Unity kompromittieren' auf Heise Online
Quelle: 'Node.js: Sicherheitsupdates beheben Codeschmuggel und Serverabstürze' auf Heise Online
Quelle: 'F5 behebt 20 Sicherheitslücken in Big-IP-Loadbalancer, WAF und nginx' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.161 behebt 3 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.283 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Update schließt mögliche Codeschmuggel-Lücken' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.285 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 8 (6.5.3206.61) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (8) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten. Edge Anwender sollten auf Version 121.0.2277.112 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Der FileZilla FTP-Client hat ein Sicherheitsupdate auf Version 3.66.5 erhalten. Einmal mehr wurden dabei die enthaltenen GnuTLS-Bibliotheken aktualisiert die immer wieder mal für Sicherheitslücken bei verschlüsselten FTP-Verbindungen sorgen. FilaZilla Anwender die wert auf sicher verschlüsselte FTP-Verbindungen legen sollten FileZilla daher zügig aktualisieren.
Quelle: 'FileZilla Version history' auf filezilla-project.org (Englisch)
Wer AnyDesk irgendwann einmal für eine Fernwartung verwendet hat, sollte alle Reste dieses Programmes tunlichst rasch entfernen. Ältere AnyDesk-Versionen stellen aktuell ein erhebliches Sicherheitsrisiko dar. Nur die Windows Version 8.0.8 soll sich sicher verwenden lassen laut Heise Online Artikel. Für Android, AppleTV, iOS, Linux und macOS gibt es aktuell keine sicheren Versionen.
Wer AnyDesk häufiger oder gar beruflich genutzt hat, sollte sich darüber hinaus mindestens den verlinkten Heise Online Artikel genau durchlesen, wenn nicht sogar die dort verlinkten weiteren Sicherheitsberichte. Wer einen Benutzer-Account bei AnyDesk hat, sollte darüber hinaus unbedingt sein Passwort ändern.
Quelle: 'Anydesk-Einbruch: Französisches BSI-Pendant vermutet Dezember als Einbruchsdatum' auf Heise Online
Qnap hat dieser Woche wieder mehrere Sicherheitswarnungen für seine Produkte veröffentlicht. Geräte mit QTS- oder QuTS-hero-Betriebssystem sollten unbedingt auf den aktuellen Stand gebracht werden, um aktuelle Sicherheitslücken zu schließen.
Details zu den Lücken findet man in den verlinkten heise Online Berichten, bzw. den darin verlinkten Sicherheitsberichten von Qnap selbst. Wir raten allen Besitzern von Qnap-NAS-Geräten zu einem schnellstmöglichen Update!
Quelle: 'QNAP: Neue Firmware-Versionen beheben Befehlsschmuggel-Lücke' auf Heise Online
Neuere Canon-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.
Besitzer der folgenden Canon Drucker sollten daher unbedingt die Firmware aktualisieren: i-SENSYS X C1333P, i-SENSYS X C1333i, i-SENSYS MF754Cdw, i-SENSYS MF750C und i-SENSYS LBP673Cdw.
Wer einen Drucker der Reihe "Color imageCLASS" (USA) bzw. "Satera" (Japan) besitzt, sollte den Heise Online Artikel prüfen für die Liste der betroffenen Drucker.
Quelle: 'Kritische Schwachstellen in Multifunktions- und Laserdruckern von Canon' auf Heise Online
Das Samsung Programm "Magican" zur Verwaltung von SSDs des Herstellers hat in Version 8.0 eine Sicherheitslücke die es Angreifern ermöglicht Rechte auszuweiten und damit einen Angriff auf das System durchzuführen. Wer Version 8.0 einsetzt, sollte daher auf Version 8.0.1 aktualisieren, um die Lücke zu schließen.
Quelle: 'Samsung Magician: Update stopft Sicherheitsleck im SSD-Tool' auf Heise Online
Sicherheitsmeldungen über Wärmepumpen sind eine Neuheit bei uns, aber sobald so eine Anlage ans Netzwerk angeschlossen ist gilt es als IoT Gerät und darüber haben wir wiederum schon sehr viel berichtet. Problem bei diesen Wärmepumpen ist etwas, was bei namhaften IT-Herstellern eigentlich längst Geschichte sein sollte, sich in der Heizungs-Branche aber scheinbar noch nicht herumgesprochen hat. Die Rede ist von einer fest in die Firmware eingebauten "Hintertür" über die Angreifer nun leicht ins System eindringen können.
Um das zu verhindern, sollten Besitzer oder Wartungstechniker dieser Anlagen ein Firmware-Update installieren, dass die Lücke entfernt. Um es Kunden so einfach wie möglich zu machen, hat der Hersteller dafür sogar ein YouTube-Video als Anleitung veröffentlicht das im Heise Online-Artikel verlinkt ist.
Quelle: 'Update gegen Sicherheitsleck in Alpha Innotec- und Novelan-Wärmepumpen' auf Heise Online
Wir hatten schon einmal vor den Gefahren billiger NoName USB-Sticks gewarnt, nun berichtet Heise Online von einer weiteren Firma die vor derlei Datenträgern warnt. Die USB-Sticks werden dabei immer günstiger und um das zu erreichen auch immer schlechter, was die Qualität angeht. Und so verzeichnet der deutsche Dienstleister "CBL Datenrettung" immer mehr defekte USB-Sticks von verzweifelten Kunden, die von äußerst zweifelhafter Qualität und Herkunft sind.
Zwar können auch USB-Sticks namhafter Hersteller kaputtgehen, aber das Risiko ist doch deutlich geringer. Nichtsdestotrotz gilt für USB-Sticks genau wie für jeden Datenträger, das man wichtige Daten immer auf mehreren Datenträgern ablegen sollte, wovon mindestens einer "offline" ist.
Quelle: 'Datenretter: Billige USB-Sticks werden immer schlechter' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'IT-Sicherheitsüberwachung Juniper JSA für mehrere Attacken anfällig' auf Heise Online
Quelle: 'HCL schließt Sicherheitslücken in Bigfix, Devops Deploy und Launch' auf Heise Online
Quelle: 'IBM Business Automation Workflow für DoS-Attacken & Co. anfällig' auf Heise Online
Quelle: 'Sicherheitslücken: Update schützt Server-Monitoringtool Nagios XI vor Attacken' auf Heise Online
Quelle: 'Sicherheitsupdates: Dell schließt ältere Lücken in Backuplösungen wie Avamar' auf Heise Online
Quelle: 'Jetzt patchen! TeamCity-Schwachstelle ermöglicht Zugang ohne Authentifizierung' auf Heise Online
Quelle: 'VMware Aria-Schwachstellen ermöglichen Erhöhung der Zugriffsrechte' auf Heise Online
Quelle: 'Rechtausweitung durch Lücken in Veeam Recovery Orchestrator möglich' auf Heise Online
Quelle: 'Sicherheitsupdates: Kritische Lücken bedrohen Cisco Expressway Series' auf Heise Online
Quelle: 'Sicherheitslücken: Codeschmuggel und Leistungsverweigerung bei ClamAV' auf Heise Online
Quelle: 'Sicherheitsupdates: SSL-VPN-Komponente von FortiOS angreifbar' auf Heise Online
Quelle: 'SonicOS SSL-VPN: Angreifer können Authentifzierung umgehen' auf Heise Online
Quelle: 'Sicherheitsupdates: Authentifizierung von Ivanti Connect Secure & Co. defekt' auf Heise Online
Quelle: 'Bootloader-Lücke: Viele Linux-Distributionen sind gefährdet' auf Heise Online
Quelle: 'Elastic Stack: Pufferüberlauf ermöglicht Codeschmuggel in Kibana-Komponente' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.140 behebt 4 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.276 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Update schließt vier Sicherheitslücken' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.278 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 7 (6.5.3206.59) updaten, falls nicht bereits durch das automatische Update erledigt.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (7) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten. Edge Anwender sollten auf Version 121.0.2277.98 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Die LibreOffice Entwickler haben eine brandneue Ausgabe der freien Office-Suite fertiggestellt und wie angekündigt macht die Versionsnummer einen riesigen Sprung auf 24.2. Das liegt nicht etwa an einem Funktions-Feuerwerk, das einen so großen Versionssprung von 7.6 auf 24.2 rechtfertigen würde, sondern schlicht an der Tatsache, dass die ersten beiden Stellen der Versionsnummer nun für Jahr und Monat der Veröffentlichung dieses neuen Entwicklungszweiges stehen.
Inhaltlich punktet die neue Version vor allem mit der neuen Highlight-Funktion in der Tabellenkalkulation. Was wir und viele andere Anwender sich jahrelang gewünscht haben wurde nun endlich umgesetzt. Zeile und Spalte der aktiven Zelle wird farblich hervorgehoben, sodass man in großen Tabellen einen besseren Überblick hat, welche Werte noch zum aktuellen Datensatz gehören. Aktivieren lässt sich das sehr leicht über Ansicht → Spalten/Zeilen hervorheben.
Wie gewohnt gehen wir ausführlicher auf die Neuerungen ein, wenn der neue Entwicklungszweig ein wenig gereift ist. Eine brandneue LibreOffice Version empfehlen wir nur Anwendern die unbedingt die neuesten Funktionen haben wollen und dafür etwaige Kinderkrankheiten in Kauf nehmen. Wer will, kann sich aber jetzt schon anhand der verlinkten Quellen weiter informieren.
Quelle: 'LibreOffice mit neuer Zählnummer: Version 24.2 veröffentlicht' auf Heise Online
Quelle: Release Notes mit allen Neuerungen auf LibreOffice.org
Quelle: Vorstellungsvideo auf YouTube (Englisch)
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Ivanti: Updates mit Verspätung, dafür neue Sicherheitslücke missbraucht' auf Heise Online
Quelle: 'Jetzt updaten! Exploits für kritische Jenkins-Sicherheitslücke im Umlauf' auf Heise Online
Quelle: 'Sicherheitsupdates: DoS- und Schadcode-Attacken auf IBM ODM möglich' auf Heise Online
Quelle: 'Linux: Sicherheitslücke in glibc bringt Angreifern Root-Privilegien' auf Heise Online
Quelle: 'Mastodon: Diebstahl beliebiger Identitäten im föderierten Kurznachrichtendienst' auf Heise Online
Quelle: 'Sicherheitsupdate: IBM-Sicherheitslösung QRadar SIEM unter Linux angreifbar' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 121.0.6167.86 behebt 17 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Im Extended Stable Zweig wurden die Lücken mit der Versionsnummer 120.0.6099.268 behoben.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Chrome-Update dichtet 17 Sicherheitslecks ab' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.270 upgedated und schießen so ebenfalls die neuen Sicherheitslücken. Vivaldi Anwender sollten zügig auf Version 6.5 Update 6 (6.5.3206.57) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (6) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Microsoft Edge hat ebenfalls ein Upgrade auf die neueste Chromium Version erhalten, schließt darüber hinaus aber auch noch 6 weitere Sicherheitslücken. Daher ist die Risiko-Einschätzung bei Microsoft Edge auch auf "kritisch" und nicht nur "hoch" wie bei Google. Edge Anwender sollten daher besonders rasch auf Version 121.0.2277.83 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Microsoft Edge 121 unterstützt moderne Codecs und stopft Sicherheitslecks' auf Heise Online
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Die Entwickler von Thunderbird haben die Version 115.7 des beliebten E-Mail-Programmes veröffentlicht. Darin wurden 9 Sicherheitslücken behoben, wovon zwei eine "hohe" Gefahreneinstufung haben, während die restlichen als "moderat" bezeichnet werden.
Während die letzten Thunderbird-Updates fast ausschließlich Sicherheitslücken geschlossen haben und funktionale Verbesserungen kaum vorhanden waren, ist das dieses Mal anders, die Release Notes listen ganze 15 Detailverbesserungen auf.
Alle Thunderbird Anwender sollten auf die neuen Versionen updaten, sofern nicht bereits durch das automatische Update erledigt. Dazu klickt man auf das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER THUNDERBIRD. Dort wird die aktuelle Version angezeigt und gegebenenfalls auch die Möglichkeit das Update durchzuführen.
Info: 'Thunderbird 115.7.0 Release Notes' auf Mozilla.org (Englisch)
Download: Aktuelle Thunderbird Version
Mozilla hat Firefox 122 veröffentlicht. Die neue Version behebt 15 Sicherheitslücken wovon 5 als hohes Sicherheitsrisiko eingestuft wurden. Firefox Anwender sollten daher zügig auf die neue Version updaten.
In Firefox ESR wurden 9 Lücken geschlossen, wovon zwei als hohes Risiko gelten. Hier lautet die neue Versionsnummer 115.7.
Mozilla Firefox lässt sich über das Optionen-Icon (die drei waagerechten Balken) → HILFE → ÜBER FIREFOX auf die neue Version aktualisieren. Falls in dem Dialog eine ältere Version angezeigt wird, als wir hier im Text erwähnt hatten, bitte das entsprechende Installationsprogramm unten herunterladen und starten. Manchmal zeigt Firefox nämlich an, es gäbe kein Update, obwohl die Version veraltet ist.
Quelle: 'Firefox: Passkey-Unterstützung und Sicherheitsfixes' auf Heise Online
Quelle: 'Security Advisories for Firefox' auf Mozilla.org
Download: Aktuelle Firefox Version (Standard)
Download: Aktuelle Firefox Version (ESR)
Langjährige Leser werden wissen, dass wir schon unzählige Artikel über Bluetooth-Sicherheitslücken veröffentlicht haben und Bluetooth als grundsätzlich unsicher einstufen. Seit jeher raten wir deshalb Bluetooth am besten gar nicht, oder nur für das absolut notwendigste zu verwenden. Die US Navy ist nun wohl zum selben Schluss gekommen, hat aber anders als wir die Möglichkeiten Alternativen entwickeln zu lassen. Daher hat die US Navy eine Ausschreibung für eine Bluetooth-Alternative gestartet. In besagter Ausschreibung wird Bluetooth wie folgt beschrieben: "Unfortunately, Bluetooth is not secure and is vulnerable to a variety of hacking and tracking methods.". Übersetzt bedeutet das: "Unglücklicherweise ist Bluetooth nicht sicher, und verletzlich durch eine Reihe an Angriffs- und Tracking-Methoden."
Die Ausschreibung erwähnt auch, dass eine zivile Nutzung der alternativ-Technologie wünschenswert wäre. Bahnt sich hier womöglich Konkurrenz für die Bluetooth-SIG an? Zu wünschen wäre es, denn die Bluetooth SIG hat eines nachgewiesenermaßen nicht auf der Agenda und das ist Sicherheit.
Quelle: 'Bluetooth zu unsicher: US Navy sucht Alternative' auf Heise Online
Neuere Lexmark-Drucker haben im Auslieferungszustand schwere Sicherheitslücken, die zur Infektion der Geräte führen können. Ein derart "gekaperter" Drucker könnte dann wiederum für Angriffe auf Computer im Netzwerk missbraucht werden.
Besitzer von Lexmark Druckern sollten daher unbedingt prüfen, ob ihr Modell von den Lücken betroffen ist und wenn ja die entsprechenden Sicherheitsupdates installieren. Auch für Drucker, die in der Sicherheitsmeldung des Herstellers aktuell nicht genannt werden, lohnt es sich natürlich zu prüfen, ob die aktuellste Firmware verwendet wird und diese gegebenenfalls zu aktualisieren.
Leider gibt es keine gesammelte Liste der verwundbaren Drucker, sondern man muss 4 verschiedene Listen (für jede Sicherheitslücke eine eigene) separat durchgehen und prüfen, ob der eigene Drucker auf einer davon aufscheint. Links zu den 4 Sicherheitsmitteilungen finden sie im Heise Online Artikel.
Quelle: 'Sicherheitsupdates: Schlupflöcher für Schadcode in Lexmark-Druckern geschlossen' auf Heise Online
Erst vor wenigen Monaten wurde bekannt, das chinesische Hacker die gesamte Microsoft Cloud unterwandert haben, nun gelang es Angreifern aus Russland in die Microsoft Infrastruktur einzudringen, wenngleich nicht in dem massiven Umfang wie es den Chinesen gelang. Besonders peinlich für Microsoft ist daran, dass ausgerechnet die "Sicherheitsabteilung" von Microsoft für die Schlamperei, die zu dem Einbruch geführt hat, verantwortlich war.
Wie üblich spielt Microsoft selbst die Angriffe herunter oder hüllt sich in Schweigen. Man darf aber davon ausgehen, dass die beiden bekannt gewordenen Angriffe nur die Spitze des Eisbergs sind. Wer nach wie vor denkt, seine Dateien wären in der Cloud sicher, sollte sich vielleicht nochmal hinterfragen.
Quelle: 'Fehlende MFA, Standardpasswort: So lief der Angriff auf die MS-Securityabteilung' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Kritische VMware-Sicherheitslücke wird angegriffen' auf Heise Online
Quelle: 'Confluence: Kritische Sicherheitslücke in veralteten Versionen wird ausgenutzt' auf Heise Online
Quelle: 'Monitoringsoftware Splunk: Teils kritische Sicherheitslücken' auf Heise Online
Quelle: 'Barracuda WAF: Kritische Sicherheitslücken ermöglichen Umgehung des Schutzes' auf Heise Online
Quelle: 'Fortra GoAnywhere MFT: Kritische Lücke macht Angreifer zu Admins' auf Heise Online
Quelle: 'Codeschmuggel-Lücke in HPE Oneview' auf Heise Online
Quelle: 'Trend Micro Apex Central: Update schließt im zweiten Anlauf Sicherheitslücken' auf Heise Online
Quelle: 'Gitlab-Kontoklau-Lücke: Tausende verwundbare Server im Netz' auf Heise Online
Quelle: 'Cisco: Lücke erlaubt komplette Übernahme von Unified Communication-Produkten' auf Heise Online
Quelle: 'Automatisierungstool Jenkins: Codeschmuggel durch Sicherheitslücke möglich' auf Heise Online
Quelle: 'Angreifer können eigene Befehle auf Juniper-Firewalls und Switches ausführen' auf Heise Online
Quelle: 'Diesmal bitte patchen: Security-Update behebt kritische Schwachstelle in GitLab' auf Heise Online
Quelle: 'Schadcode-Attacken auf Onlineshops auf Gambio-Basis möglich' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.225 behebt vier Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Allerdings wird eine der Lücken bereits aktiv ausgenützt, weshalb Anwender von Google Chrome besonders rasch auf die neue Version updaten sollten.
Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Google Chrome: Sicherheitslücke wird in freier Wildbahn ausgenutzt' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.238 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 5 (6.5.3206.55) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücken, sondern auch andere Fehler.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (5) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Die zuletzt etwas lahmen Microsoft Edge Entwickler haben angesichts der bereits ausgenutzten Sicherheitslücke in Chromium mal wieder etwas schneller reagiert und sowohl neue Version als auch Release Notes veröffentlicht. Demnach sollen Edge Anwender unbedingt auf Version 120.0.2210.144 von Edge updaten, um gegen die aktuellen Gefahren abgesichert zu sein.
Quelle: 'Release notes for Microsoft Edge Security Updates' auf microsoft.com (Englisch)
Oracle hat mal wieder eine seiner Sicherheitsupdate-Bomben platzen lassen und auf einen Schlag 389 Sicherheitslücken behoben. Das wichtigste dabei (zumindest für Privatanwender) ist das Sicherheitsupdate für Java, das immer noch auf sehr vielen PCs installiert ist.
Oracle hat neue Versionen der auf zahlreichen Computern zum Einsatz kommenden Java-Software herausgegeben. Darin wurden mindestens 10 Sicherheitslücken geschlossen. Oracle stuft die Bedrohung mit einer 7.5 von 10 ein. Da einige der Lücken auch übers Internet ausnutzbar sind, würden wir von kritischen Lücken sprechen. Anwender, die Java installiert haben, sollten also rasch updaten. Im Falle der meistgenutzten Version 8.0 sollte man auf Version 8.0 Update 401 aktualisieren.
Der Support für die (ohnehin nie stark verbreiteten) Java Versionen 9, 10, 12, 13, 14, 15, 16, 18, 19 und 20 ist bereits ausgelaufen. Wer diese Version bisher einsetzte, sollte entweder zur oben erwähnten 8er-Version zurückgehen, oder auf Version 11.0.22, 17.0.10 oder 21.0.2 upgraden. Im Gegensatz zur 8er-Version sind diese Ausgaben aber nur von der Oracle Homepage zu bekommen.
Wer nach dem Upgrade von Java in der Liste der installierten Programme zwei Java Versionen sieht, sollte die ältere davon deinstallieren. Wer Java nur für lokale Programme (z. B. LibreOffice usw.) benötigt, nicht aber für Webseiten, der sollte das Java-Browser-Plugin deaktivieren.
Deaktivieren des Java-Browser-Plugin:
Suchen Sie in der Systemsteuerung nach Java und doppelklicken sie den Eintrag. Gehen Sie in dem neuen Fenster zum Karteireiter 'SICHERHEIT'. Dort entfernen Sie bitte das Häkchen bei 'JAVA-CONTENT IM BROWSER AKTIVIEREN' und klicken danach unten in dem Fenster auf 'OK'. Das Entfernen dieses Häkchens bewirkt, dass in Webseiten eingebettete Java-Applets nicht mehr funktionieren. Der Verlust dieser Funktionalität bedeutet aber auch ein großes Plus an Sicherheit, da hierdurch Java-Viren in Websites ebenfalls keinen Schaden mehr anrichten können. Sollte durch diese Deaktivierung, eine für sie wichtige Website nicht mehr funktionsfähig sein, müssen sie das Häkchen wieder zurücksetzen. Allerdings sollte das heutzutage kaum noch irgendwo nötig sein.
Grundsätzlich gilt, wer Java nicht unbedingt benötigt, sollte es ganz deinstallieren. LibreOffice Anwender benötigen Java unter Umständen noch für ein paar Funktionen. Auch andere gängige Programme können Java eventuell noch benötigen, daher muss jeder selbst testen, ob man darauf verzichten kann oder nicht.
Download: Aktuelle Java Version
Wer eine MySQL Datenbank betreibt, sollte ebenfalls auf Updates prüfen. Oracle hat in der Datenbank selbst sowie den zugehörigen Verwaltungsprogrammen wieder etliche Lücken geschlossen, von denen viele aus der Ferne ausgenützt werden können und daher kritischer Natur sind. Betreiber von MySQL-Datenbanken sollten also zügig Updates installieren.
Anwender, die weitere Oracle Programme installiert haben, können dem 'Oracle Critical Patch Update Advisory - January 2024' entnehmen, ob für diese Anwendungen ebenfalls Sicherheitsupdates bereitstehen.
Quelle: 'Oracle Critical Patch Update Advisory - January 2024' auf Oracle.com (Englisch)
Quelle: 'Critical Patch Update: Oracle veröffentlicht 389 Sicherheitsupdates' auf Heise Online
Microsoft hat auch in der Woche nach der Veröffentlichung des problematischen Windows Updates keine Lösung für Heimanwender gefunden. Es wurde nur abermals auf die diversen Skripte hingewiesen, die aber nur für Windows-Profis relevante Informationen liefern, ein normaler Heimanwender wird es damit eher nicht schaffen das Update zu installieren. Da die Sicherheitslücke, welches das problematische Update schließen soll, gerade für Privatanwender zumindest vorübergehend vernachlässigbar ist, sollte man die diversen Skripte von Microsoft nur einsetzen, wenn man sehr genau weiß, was man tut. Andernfalls ist es besser die Finger davonzulassen, als im schlimmsten Fall vor einem nicht mehr startbaren Windows-System zu stehen.
Quelle: 'Microsoft: Update-Fehler 0x80070643 und Erinnerung an Bootloader-Blockade' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Microsoft: Update-Fehler 0x80070643 und Erinnerung an Bootloader-Blockade' auf Heise Online
Quelle: 'Nvidia-Updates schließen kritische Sicherheitslücken in KI-Systemen' auf Heise Online
Quelle: 'Cross-Site-Scripting in Monitoringsoftware PRTG erlaubt Sessionklau' auf Heise Online
Quelle: 'Atlassian: Updates zum Patchday schließen 28 hochriskante Schwachstellen' auf Heise Online
Quelle: 'Kritische Sicherheitslücke: VMware vergaß Zugriffskontrollen in Aria Automation' auf Heise Online
Quelle: 'Jetzt patchen! Vorsicht vor DoS-Angriffen auf Citrix NetScaler ADC und Gateway' auf Heise Online
Quelle: 'MOVEit Transfer: Updates gegen DOS-Lücke' auf Heise Online
Quelle: 'Trend Micro: Sicherheitslücken in Security-Agents ermöglichen Rechteausweitung' auf Heise Online
Quelle: 'Nextcloud: Lücken in Apps gefährden Nutzerkonten und Datensicherheit' auf Heise Online
Quelle: 'Angreifer attackieren Ivanti EPMM und MobileIron Core' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.217 behebt eine Sicherheitslücke gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Update für Google Chrome: Hochriskantes Sicherheitsleck abgedichtet' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.2021 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 4 (6.5.3206.53) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die Sicherheitslücke, sondern auch andere Fehler.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (4) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Wie schon letzte Woche, hat das Entwickler-Team von Microsoft Edge noch keine neue Version fertiggestellt, die die neue Chromium Version enthält. Übermäßige Sorgen sollte man sich keine machen, da laut Google auch die neueste Lücke wohl noch nicht aktiv ausgenützt wird, es zeigt aber einmal öfter warum Vivaldi auch in Sachen Sicherheit der bessere Browser ist.
Der allmonatliche Update-Reigen von Microsoft beinhaltet jeden Monat zahlreiche Sicherheitsupdates, die üblicherweise über die Funktion "Windows Update" automatisch installiert werden. Wer sichergehen will, dass alle Updates korrekt installiert wurden, sollte dort also einmal die Suche nach Updates starten.
Im Jänner hat Microsoft wohl eines der am schlechtesten getesteten Sicherheitsupdates seit vielen Jahren auf seine Kunden losgelassen. Das Sicherheitsupdate soll eine Bitlocker-Schwachstelle im "Windows Recovery Environment" (kurz WinRE) schließen. Das Problem dabei ist, dass die Partition die das WinRE-Image aufnimmt, seit Jahren von Microsoft mit gerade einmal 512MB viel zu klein ausgeführt wird. Schon in der Vergangenheit hat sich mehrfach gezeigt, das Updates des WinRE-Images häufig nicht funktionieren, einfach, weil die Partition zu klein ist. Daher hat Microsoft es bisher immer den Administratoren überlassen die WinRE von Hand zu aktualisieren und hat sich nicht über ein automatisches Update drüber getraut – bis zu diesem Monat. Die Folge ist, dass auf etlichen Windows Installationen (geschätzt sicher über 50%) das Update misslingt und damit eine Update-Schleife ausgelöst wird, die in weiterer Folge zu Performance-Problemen führen kann. Damit wird das fehlerhafte Update selbst für die Leute zum Problem, die Bitlocker gar nicht verwenden.
Eine zuverlässige Lösung des Problems ist aktuell unserer Meinung nach nur von Hand möglich. Die erste von Microsoft bereitgestellte Hilfestellung geht grundsätzlich in die richtige Richtung, in dem Sinne als das die WinRE-Partition vergrößert wird. Das zweite Skript, das laut Heise Online von Microsoft als "Lösung" angeboten worden sein soll, ist eigentlich ein Skript, das für einen anderen Zweck konzipiert wurde und die Größe der WinRE-Partition nicht anpasst. Durch Nebenwirkungen kann dieses Skript auf dem einen oder anderen PC zum Ziel führen, aber grundsätzlich behebt es die Ursache des Problems – die zu kleine WinRE-Partition – nicht. Wer sich von dem Problem nicht eingeschränkt fühlt, weil der Sicherheitsaspekt vernachlässigbar ist und es keine Performance-Probleme gibt, kann das Problem aktuell durchaus auch mal aussitzen. Vielleicht findet Microsoft ja doch noch eine vernünftige Lösung das Update unters Volk zu bringen oder zieht es vorübergehend ganz zurück. Wer das Problem aber jetzt sofort behoben haben möchte, sollte entweder gut mit Windows Interna vertraut sein oder sich an einen Fachmann wenden.
Wie üblich die Warnung an Benutzer von Windows XP, Windows VISTA, Windows 7 und Windows 8.1: Diese Uralt-Betriebssysteme bekommen seit 2014 (XP) bzw. 2017 (VISTA) bzw. 2020 (Windows 7) bzw. 2023 (Windows 8.1) KEINE Sicherheitsupdates mehr! Wer XP/VISTA/7/8.1 immer noch verwendet, sollte sich möglichst rasch um ein Upgrade bzw. einen neuen PC kümmern. Dasselbe gilt für Microsoft Office 2013 und älter. Windows 10 Version 21H2 (und älter) erhält ebenfalls keine Updates mehr (Ausnahme Enterprise und Education Varianten). Auch Windows Phone 8,1 und Windows 10 Mobile erhalten keine Updates mehr und darauf basierende Geräte sollten ersetzt werden, wenn man auf Sicherheit wert legt oder wert legen muss (die DSGVO schreibt sichere Geräte für Firmen vor).
Info: 'Windows Update FAQ Seite' auf Microsoft.com
Info: 'Prüfen ob Microsoft Office Updates installiert sind' auf Microsoft.com
Quelle: 'Patchday Microsoft: Kerberos-Authentifizierung unter Windows verwundbar' auf Heise Online
Wieder einmal macht Zoom negativ auf sich aufmerksam, indem Sicherheitslücken in der Webkonferenz-Software gefunden wurden. Wer Zoom nicht (mehr) benötigt sollte die Software gänzlich deinstallieren. Wer die Software verwenden muss, sollte sicherstellen, dass mindestens Version 5.16.10 (Windows) installiert ist oder rasch updaten. Eine Alternative zur installierten Software ist die Webversion von Zoom. Diese ist immer aktuell und bietet generell weniger Angriffsfläche.
Quelle: 'Webkonferenzen: Zoom-Sicherheitslücken ermöglichen Rechteausweitung' auf Heise Online
Die Adobe Sicherheitsupdates fallen im Jänner ungewöhnlich mager aus. Nur das 3D-Programm "Substance 3D Stager" wird mit Sicherheitsupdates versorgt. Wer diese Anwendung einsetzt, sollte zügig auf Version 2.1.4 updaten.
Quelle: 'Patchday Adobe: Mehrere Schwachstellen in Substance 3D Stager geschlossen' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'Sicherheitsupdates für Dell- und Lenovo-BIOS' auf Heise Online
Quelle: 'Sicherheitsupdates: Schadcode- und DoS-Attacken auf Qnap NAS möglich' auf Heise Online
Quelle: 'Synology warnt vor Sicherheitslücke im DSM-Betriebssystem' auf Heise Online
Quelle: 'IBM warnt vor Sicherheitslücke in Db2' auf Heise Online
Quelle: 'Jetzt patchen! Attacken auf Messaging-Plattform Apache RocketMQ' auf Heise Online
Quelle: 'SAP-Patchday: Teils kritische Lücken in Geschäftssoftware' auf Heise Online
Quelle: 'Fortinet: Sicherheitsupdate gegen Rechteverwaltungsfehler in FortiOS und -Proxy' auf Heise Online
Quelle: 'Zerodays bei Ivanti aktiv genutzt: Connect Secure und Policy Secure sinds nicht' auf Heise Online
Quelle: 'Sicherheitspatch: API-Fehler in Cisco Unity Connection macht Angreifer zum Root' auf Heise Online
Quelle: 'Zoho ManageEngine: Kritische Sicherheitslücke in ADSelfService Plus' auf Heise Online
Quelle: 'Sicherheitspatch: IBM Security Verify für Root-Attacken anfällig' auf Heise Online
Quelle: 'Juniper Networks bessert zahlreiche Schwachstellen aus' auf Heise Online
Quelle: 'Splunk, cacti, checkmk: Sicherheitslücken in Monitoring-Software' auf Heise Online
Google hat wieder Sicherheitslücken in Google Chrome und Chromium behoben. Die Version 120.0.6099.200 behebt 6 Sicherheitslücken gegenüber der Vorversion. Google stuft das Gefahrenpotential der Lücken insgesamt als "hoch" ein. Anwender von Google Chrome sollten zügig auf die neue Version updaten.
Der 120er Versionszweig ist auch der neue Extended Stable Release, weshalb es die nächsten Wochen keine zwei separaten Zweige gibt.
Info: 'Google Chrome aktualisieren' auf Google.com
Quelle: 'Update für Google Chrome schließt sechs Sicherheitslücken' auf Heise Online
Die Vivaldi Entwickler haben auf die Chromium-Version 120.0.6099.205 upgedated, sind also Google wieder ein Stück voraus. Vivaldi Anwender sollten zügig auf Version 6.5 Update 3 (6.5.3206.50) updaten, falls nicht bereits durch das automatische Update erledigt. Die neue Version behebt dabei nicht nur die 6 Sicherheitslücken, sondern auch andere Fehler.
Download: Aktuelle Vivaldi Version
Info: 'Minor update (3) for Vivaldi Desktop Browser 6.5' auf Vivaldi.com (Englisch)
Das Entwickler-Team von Microsoft Edge hat noch keine neue Edge-Version fertiggestellt. Damit endet der gute Lauf der letzten 2 bis 3 Updates, die relativ zügig bereitgestellt wurden. Übermäßige Sorgen sollte man sich keine machen, da laut Google keine der Lücken aktiv ausgenützt wird, es zeigt aber einmal öfter warum Vivaldi auch in Sachen Sicherheit der bessere Browser ist.
Falls die Zugangsdaten für ein Google Konto durch einen Virus auf dem Computer abgegriffen wurden, nützt im schlimmsten Fall nicht einmal das Ändern des Passworts vor Missbrauch. Durch eine fehlerhaft programmierte Schnittstelle bei Google können Angreifer, die einmal in den Besitz eines Google-Session-Cookies gelangt sind, sich immer wieder Zugriff auf den Account verschaffen, selbst wenn zwischenzeitlich das Passwort geändert wurde.
Somit hat das Opfer keinerlei Möglichkeiten mehr sein Konto vor unbefugtem Zugriff zu schützen. Wenn der Angreifer das möchte, kann er umgekehrt sogar das Opfer selbst von seinem Account aussperren. Abhilfe gibt es im Moment keine, außer das Google-Konto selbst komplett zu löschen, was aber für die meisten Besitzer eines Google-Kontos wohl keine Option sein dürfte. Für alle Google Anwender bleibt also nur zu hoffen, dass sie einerseits gar nicht erst Opfer derartiger Viren werden und zum anderen das Google den Fehler in der Schnittstelle möglichst bald behebt.
Quelle: 'Malware stiehlt Google-Cookies – auch Passwortänderung wirkungslos' auf Heise Online
Wenige Tage nach Version 4.65 hat der IrfanView-Programmierer nun Version 4.66 nachgelegt. Darin wurden 3 kleinere Fehler der Vorversion wieder ausgebügelt. Um alle Fehler zu beheben, muss neben IrfanView selbst aber auch die Plugin-Sammlung aktualisiert werden.
Info: IrfanView Changelog (Englisch)
Download: IrfanView Version 4.66, 64Bit, Deutsch
Download: IrfanView Plugins Version 4.66, 64Bit, Deutsch
Während die Preise für SSDs und USB-Sticks die letzten Jahre kontinuierlich gefallen sind, steigen sie nun wieder rasant an. Gründe dafür sind die verringerten Produktionskapazitäten wie die gestiegene Nachfrage. Wer also vorhat, sich auf absehbare Zeit eine neue SSD oder USB-Sticks zu kaufen, sollte das möglichst bald noch tun. Eine baldige Umkehr dieses Zyklus ist unwahrscheinlich, erfahrungsgemäß dürften die Preise über Jahre hinweg wieder steigen.
Quelle: 'SSD-Preise steigen zum Jahreswechsel teils drastisch' auf Heise Online
Zum Abschluss noch wichtige Sicherheitslücken die eher nur Administratoren von Firmen treffen werden, daher verlinken wir auch nur die Artikel von Heise Online und sparen uns eine eigene Beschreibung.
Quelle: 'BSI: Windows-Treibermanagement ist "herausfordernd", Härtung empfehlenswert' auf Heise Online
Quelle: 'Kritische Schadcode-Lücke gefährdet Ivanti Endpoint Manager' auf Heise Online
Quelle: 'Neue Lücke in altem E-Mail-Protokoll: SMTP smuggling' auf Heise Online
Quelle: 'Sicherheitsupdate: Schadcode-Attacken auf Juniper Secure Analytics möglich' auf Heise Online
Quelle: 'Lücke in Barracuda E-Mail Security Gateway ermöglichte Code-Einschleusung' auf Heise Online
Quelle: 'Netzwerkanalysetool Wireshark gegen mögliche Attacken abgesichert' auf Heise Online
Je nachdem wie oft Sie über Neuigkeiten informiert werden wollen, bietet Ihnen CB Computerservice den passenden Newsletter an, der Sie bequem per E-Mail über aktuelle Sicherheitsrisiken, neue Treiber und Programme informiert. Bitte auf den folgenden Link klicken, um zum Antrag-Formular zu gelangen: