Google veröffentlicht Chrome 55

Chrome-LogoSoeben hat Google seinen Browser Chrome auf die Version 55.0.2883.75 upgedatet. Diese Aktualisierung, die in den nächsten Tagen beziehungsweise Wochen allen Nutzern von Chrome unter Windows, Mac OS X und Linux zur Verfügung stehen soll, schließt insgesamt 36 Sicherheitslücken im aktuell beliebtesten aller Browser. Von mindestens zwölf der Anfälligkeiten soll definitiv ein hohes Risiko ausgehen.

Da noch nicht alle Nutzer auf die neue Version des Browsers umgestiegen sind, hält Google noch Details zu mehreren der Sicherheitslücken zurück. So geht man dort auch immer dann vor, wenn Bibliotheken von Drittanbietern betroffen sind, die wiederum Teil von anderen, noch nicht gepatchten Projekten sind.

Als sehr schwerwiegend bewertet Google den Bug (CVE-2016-9651), der den Zugriff auf persönliche Einstellungen in der JavaScript-Engine V8 möglich macht. Gemeldet wurde diese Schwachstelle von Guang Gong von Alpha Team Of Qihoo 360. Als Belohnung dafür erhält Guang Gong von Google einen in der Höhe nicht bekannten Geldbetrag.

Zero-Day-Lücke in Firefox geschlossen

firefox-logoMozilla hat soeben seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Das ist inzwischen schon das zweite Update außer der Reihe für den Feuerfuchs innerhalb einer Woche.

Mit diesem Patch schließen die Entwickler eine vorgestern bekannt gewordene kritische Zero-Day-Lücke, die insbesondere die Nutzer des Browsers als Tor-Browser für das Anonymisierungsnetzwerk The Onion Router (Tor) bedrohte.

Nach dem Security Advisory steckte das Problem in der Browser-Komponente SVG Animation: ein Use-after-free-Bug erlaubte es, Schadcode einzuschleusen und dann auch auszuführen. Davon betroffen sind Firefox 50.0.1 und ältere Versionen, das Extended Support Release 45.5.0 und der Email-Client Thunderbird in Version 45.5.0 und älter.

Das Firefox-Update kann man seit gestern manuell für Windows, Mac OS X und Linux von Mozillas Internetseite herunterladen. Vorhandene Firefox-Installationen sollten sich inzwischen schon automatisch aktualisiert haben.

Angriff auf Tor-Nutzer mit Javascript

torBenutzer des Tor-Browsers werden aktuell aktiv über eine Zero-Day-Lücke angegriffen, die letztlich einen Fehler im Speichermanagement des zugrundeliegenden  Firefox-Browsers ausnutzt.

Eventuell sind auch Nutzer des Firefox-Browsers ohne Tor-Bundle betroffen. Die Sicherheitslücke soll es Angreifern erlauben, ihren Code auf dem Rechner der Tor-Nutzer auszuführen. Der vermutlich verwendete Schadcode wurde schon auf einer Tor-Mailingliste gepostet. Browser-Hersteller Mozilla arbeitet noch an einem Patch, um die Sicherheitslücke zu schließen.

Sicherheitsforscher weisen darauf hin, dass der verwendete Angriff einer Attacke aus dem Jahr 2013 sehr ähnlich ist. So schreibt Twitter-Nutzer @TheWack0lian„Es ist eigentlich fast exakt der gleiche Payload wie er im Jahr 2013 benutzt wurde.“

Damals hatte die Bundespolizei der USA, das FBI, einen Server, der mutmaßlich an der Verbreitung von Missbrauchsdarstellungen an Kindern beteiligt war, mit diesem Exploit infiziert, um einzelne Tor-Nutzer zu enttarnen.

Test auf Port 7547-Problem

7547-testheise1Durch den GAU bei der Deutschen Telekom am Sonntag ist das Problem aktuell in aller Munde: Manche Telekom-Router sind über ihr Port 7547 angreifbar und Kriminelle versuchen aktuell weltweit, Router über diese Fernwartungsschnittstelle zu übernehmen – beispielsweise als Elemente von Botnets, mit denen dann wiederum andere Rechner und Netze angegriffen werden. Bei diesem Angriff auf Router waren fast eine Million Kunden der Deutschen Telekom betroffen und mussten teilweise bis heute auf Internet, Telefon und Fernsehen verzichten.

Um zu sehen, ob ein Router so angreifbar ist oder nicht, hat Heise heute einen Schnelltest online gestellt.

Kommt das Ergebnis in roter Schrift, gibt es ein Problem mit dem Gerät. Wird das Ergebnis in Grün angezeigt, ist der Router so nicht angreifbar. Eine detailliertere Beschreibung des Tests erreichen Sie über die Antwortseite des Routertests.

Übernahme am Providermarkt

godaddyDie Host Europe Group ist der größte europäische Hosting-Konzern könnte jetzt an Go Daddy verkauft werden. Dies US- Unternehmen aus Arizona gilt als der größte Domainregistrar der Welt und auch als eine der größten Zertifizierungsstellen für TLS-Zertifikate.

Im Relation dazu ist das Webhosting-Geschäft von Go Daddy besonders in Europa noch ziemlich klein. Vermutlich zur Stärkung dieses Geschäftsbereichs zieht Go Daddy jetzt die Übernahme von Host Europe in Erwägung, berichtet die Agentur Reuters aktuell unter Hinweis auf mit den Vorgängen vertraute Personen.

Die Deutschen Telekom hält seit 2009 Strato, die Nummer zwei auf dem deutschen Hosting-Markt. Der Marktführer in Deutschland ist nach allgemeiner Auffassung United Internet, zu dem 1&1, Web.de, GMX, Internet-X, Fasthosts, Arsys und United-Domains gehören. Inzwischen habe die Deutsche Telekom ihr Angebot vorletzte Woche zurückgezogen und United Internet sei nun von Go Daddy überboten worden.

Browser Vivaldi 1.5 kann Hue-Lampen steuern

vivaldi1-5bHeute hat die Vivaldi Technologies die Version 1.5 ihres gleichnamigen Browsers veröffentlicht. Neben der üblichen Aktualisierung des darunterliegenden Chromium von Google bringt die Version viele Verfeinerungen der schon bestehenden Features mit.

So erfasst das Notiz-Feature automatisch auch einen Screenshot, sobald man Webseiten-Text markiert und dann über sein Kontextmenü eine Notiz anlegt. Tabs lassen sich zwischen Browser-Fenstern verschieben – auch mehrere gleichzeitig. Einen Lesemodus wie andere Browser hatte Vivaldi auch schon bisher, aber viele User dürften das erst mit dem neuen Button in der URL-Leiste merken.

Browser für das Internet der Dinge

Das wohl ungewöhnlichste Feature von Vivaldi 1.5 mag manchen wenig interessieren, für andere wiederum könnte es ein interessantes Gimmick sein: Die neue Browser-Version steuert jetzt auch Philips-Hue-Lampen im Internet der Dinge an.

So wie sich schon bisher der Browser der dominanten Farbe der geöffneten Internetseite anpasste, kann Vivaldi ab sofort auch das Raumlicht verändern über solche Hue-Lampen, zum Beispiel in Rot für YouTube und in Blau für Twitter.

Vektorgrafiklösung Affinity Designer

affinitydesignerDas Vektorzeichenprogramm Affinity Designer der Firma Serif steht ab sofort als Finalversion für Windows zur Verfügung. Die Public Beta der Windows-Version des Programms war schon im Juni 2016 erschienen. Der Hersteller Serif veröffentlichte den Vektorzeichner zuerst 2014 nur für MacOS.

Affinity Designer wurde recht schnell zu einer ernstzunehmenden Alternative für den etablierten Vektorzeichner Adobe Illustrator. Viele der Grundfunktionen teilt sich der Affinity Designer mit seinem Schwesterprogramm, der Bildbearbeitungslösung Affinity Photo.

Die beiden Programme unterstützen die Farbräume RGB, CMYK und Lab, öffnen Standarddateitypen wie beispielsweise PSD und PNG und interpretieren auch eingebettete ICC-Farbprofile. Beide Programme unterstützen auch nicht-destruktive Einstellungs- und Effektebenen.

Die Windows- und MacOS-Version des Programms sind mit Erscheinen der aktuellen Version 1.5 funktionsgleich. Das Programm läuft unter 64-Bit-Windows ab Version 7 und kann für eine kurze Zeit im Affinity-Shop zum reduzierten Preis von 40 Euro gekauft werden. Zum regulären Preis soll es dann später 50 Euro kosten.

SQL_Server 2016: Neues Lizenzmodell

microsoft-sql-server-2016Zu Microsofts SQL Server 2016 steht ab sofort das Service Pack 1 zum Download bereit, das außer Fehlerbehebungen  auch wesentliche Verbesserungen im Lizenzmodell enthält.

sql16Viele Funktionen, für die bisher eine teure Enterprise-Lizenz notwendig war, stehen jetzt auch in der Standardversion und in der kostenfreien Expressvariante zur Verfügung.

Dazu gehören Row-Level-Security, Data Masking, Always Encrypted, Kompression und Partitionierung sowie die In-Memory-Funktionen wie der Column Store.

Nebenstehend eine Übersicht der neuen Lizenzdetails nach dem Einspielen des Service Packs 1 im Vergleich mit den bisher gültigen Lizenzen.

Neuer Tiobe-Index der Programmiersprachen

tiobe201611Es ist wieder soweit: Wie in jedem Monat hat TIOBE seinen Programmiersprachenindex auf der Basis von Ergebnissen verschiedener Suchmaschinen soeben veröffentlicht. In dieser aktuellen Rangliste können die schonim Juli in die Top 10 eingezogenen Assemblersprachen ihre Position weiter festigen.

Offensichtlich gibt es auch weiterhin einen deutlichen Bedarf an hardwarenaher Programmierung – zum Beispiel im Internet der Dinge (IoT – Internet of Things). In der Spitzengruppe fällt ganz besonders die gestärkte Position von Microsofts Visual Basic .NET zu Lasten von JavaScript und PHP auf.

Quic – die schnelle Alternative zu HTTPS

switchesandrewhartflickrccbysa2Zeit ist Geld – und deshalb hat Google erfolgreich versucht, die Verschlüsselung über TCP-Verbindungen durch das Quic-Verfahren zu ersetzen.

Denn das ist wesentlich schneller als die umständliche TCP-Variante, die zwischen das Transport Control Protol (TCP) zum reinen Datentransport und die Webanwendung mit ihrem Hypertext Transfer Protocol (HTTP) noch eine zusätzliche Transport Layer Security (TLS) eingesetzt wird – und das alles zusammen braucht weit mehr Zeit als das schnelle Quic (Quic UDP Internet Connections), das bei verschlüsselten Internetseiten deutlich schnellere Reaktionszeiten und letztlich auch viel schneller ladende Webseiten erlaubt.

Die Internet Engineering Task Force will jetzt das neue Protokoll zum Internet-Standard führen. Für Webworker, die genauer wissen möchten, wie das funktioniert, hat Golem Quic in einem ausführlichen aktuellen Artikel erklärt.

Foto: AndrewHart, Flickr, CC BY-SA 2.0