Mörderischer Treiber der Firma FTDI gestoppt

KillertreiberUSBDer neue Treiber für die weit verbreiteten USB-Schnittstellenbausteine FT232R des Unternehmens FTDI wird nach massiven Protesten nicht mehr über Windows Update verteilt, gab der Hersteller jetzt in einem Blogbeitrag bekannt.

Die meist als Killer-Treiber bezeichnete bisherige Version 2.12.0 der Treibersoftware war darauf programmiert, Fälschungen dieser Chips durch Änderung ihrer USB-ID (PID) unbrauchbar zu machen.

Natürlich darf man sich als Chiphersteller gegen Produktpiraterie wehren. Wenn eine Produktfälschung aussieht wie das Original, aber nicht ganz so gut oder gar nicht funktioniert, ist der Gewinn geschmälert, der Ruf ruiniert und letztendlich auch der Kunde der Betrogene.

Der USB-Spezialist FTDI ist aber wohl deutlich zu weit gegangen, als er nichtsahnenden Käufern von Geräten, die mit einem gefälschten Chip bestückt sind, einen Treiber unterjubelte, der die meist funktionierende Nachahmung eines USB-Seriell-Adapters kurzerhand per Software unbrauchbar machte.

Das ist in meinen Augen einfach nur  Computersabotage, und ein Unrecht rechtfertigt keine Reaktion, die ebenfalls Unrecht ist. Das scheint die Firma jetzt auch eingesehen zu haben, denn sie hat ihren Treiber-Kettenhund wieder an die Leine gelegt.

Ein Tipp für Betroffene: Bei Heise finden Sie eine Anleitung, wie Sie von dem Killer-Treiber stillgelegte USB-Adapter wieder in Funktion bekommen…

Es gibt wieder neue PHP-Sicherheitsupdates

phpDie beliebte Web-Programmiersprache PHP brauchte  schon wieder dringende Updates für die Sicherheit: Zum zweiten Mal innerhalb drei Wochen veröffentlichten die Entwickler sicherheitsrelevante Patches für die diversen PHP Versionen.

Mit dem Update PHP 5.6.2 haben die Entwickler vier Lücken geschlossen, darunter auch einen Integer Overflow in der unserialize()-Funktion, der vor rund einem Monat über das Bugtracking-System des Projekts gemeldet wurde. Er betrifft nur die 32-bit-Versionen von PHP.

Drei weitere Lücken klafften auch in den 64-bit-Builds. Sie steckten in den Modulen cURL, EXIF und XMLRPC. Für die Versionszweige 5.5 und 5.4 wurden ebenfalls Updates bereitgestellt, die Nummern der abgesicherten Versionen sind 5.5.18 und 5.4.34.

Sicherheitslücke im CMS Drupal geschlossen

drupalDas Drupal Security Team hat jetzt ein Update bereitgestellt, das eine kritische Sicherheitslücke schließt. Bisher konnten Angreifer darüber ohne Authentifizierung mit einem einzelnen POST-Request beliebige SQL-Befehle ausführen und auf diese Weise die Internetseite komplett übernehmen.

Das CMS Drupal wird von mehreren bekannten Internetseiten benutzt, darunter die des Weißen Hauses und Musiker-Webseiten wie etwa die von Bob Dylan.

Wer Drupal 7 installiert hat, sollte jetzt auch so schnell wie möglich das Core-Update einspielen. Wer den Core seines Drupal-Systems nicht kurzfristig austauschen kann, sollte wenigstens den Patch anwenden, der die problematische  Codezeile mit der Sicherheitslücke entschärft.

Die ältere Version des CMS Drupal 6 ist von dem Problem nicht betroffen. Die Lücke steckt im  Datenbank-Layer, der erst mit Drupal 7 eingeführt wurde.

Firefox kommt im März 2015 als 64-Bit-Version

firefox-logoMozilla hatte den 64-Bit-Firefox für Windows offiziell im November 2012 eingestellt, nur noch Nightly Builds dieser Version ohne Support sind aktuell verfügbar.

Nach zwei Jahren soll sich das jetzt ändern: Ab November 2014 plant Mozilla jetzt die Windows-Einführung der 64-Bit-Version in drei Stufen. Endziel ist der 64-Bit-Firefox 37, der im März 2015 veröffentlicht werden soll.

Nach Daten von Mozilla benutzen ca. 50 Prozent der Firefox-Nutzer eine 64-Bit-Version von Windows, außerdem unterstützen Googles Chrome und Microsofts Internet Explorer inzwischen auch schon 64 Bit-Architekturen.

Im nächsten Monat soll deshalb eine erste Version des 64-Bit-Firefox ohne Flash- und Silverlight-Unterstützung herauskommen, später soll eine Variante mit entsprechendem Support für diese und weitere wichtige Add-ons folgen.

Die endgültige Version des 64-Bit-Firefox 37 ist für den 31. März 2015 geplant, er soll dann auch 32 Bit als Opt-out bieten. An Googles Browser Chrome 37 kann man merken, was 64 Bit bringen kann: Grafiken und Multimedia-Inhalte sollen im Schnitt ca. 25 Prozent schneller auf dem Schirm sein und außerdem kann der Browser dann mehr als 2 GByte Arbeitsspeicher adressieren – was insbesondere bei sehr vielen geöffneten Tabs nicht nur hilfreich, sondern im Grunde für flüssiges Arbeiten sogar notwendig ist.

Fehler in Joomla-Updater per Update beseitigt

joomla-developmentEs waren die Updates Joomla 3.3.5 und 2.5.26, die einen Bug in das beliebte CMS einschleusten, über den der eingebaute Update-Mechanismus ausgehebelt wird.

Deshalb haben die Entwickler ein neues Update (3.3.6 und 2.5.27) herausgebracht, das aber auf einem anderen Weg als mit dem üblichen Klick eingespielt werden muss…

Die Aktualisierung ist aber trotzdem nicht besonders kompliziert. Administratoren können dafür den Erweiterungsmanager von Joomla nutzen, mit dem sich ZIP-Dateien hochladen und entpacken lassen.

Das neue Release Joomla 3.3.6 fügt dem CMS einen Fallback-Mechanismus für die Update-Komponente hinzu und korrigiert einen Fehler in der Passwort-Rücksetz-Routine sowie ein Tag-Problem. Weitere Details finden Sie in der Release-Ankündigung. Joomla 3.3.6 und 2.5.27 können Sie als Komplettpaket beziehungsweise Update-Paket über die Joomla-Website downloaden.

Gravierende SSL-Lücke in Firefox und Chrome geschlossen

firefox-logoDurch einen Fehler in der Sicherheits-Bibliothek NSS (Network Security Services) ermöglichte es bislang Angreifern, RSA-Zertifikate für SSL-Verbindungen zu fälschen. Damit konnte eine Internetseite eine beliebige Identität vortäuschen, beispielsweise die einer Bank.

Chrome-LogoGoogle hat deshalb jetzt seinen Browser Chrome aktualisiert und auch Mozilla stellt korrigierte Versionen von Firefox, Thunderbird und weiteren Produkten des Hauses bereit.

Apples Browser Safari ist wegen der Verwendung einer eigenen Bibliothek für die Verschlüsselung von dem Problem nicht betroffen. Normalerweise aktualisieren sich die Browser automatisch ohne Zutun des Benutzers. Ist diese Update-Funktion bei Ihnen deaktiviert, sollten Sie das Update möglichst schnell manuell installieren.

Mozillas Browser Firefox 32 kommt mit neuem Kontextmenü

Firefox32Das Kontextmenü zeigt die offensichtlichste Änderung beim neuen Release des Mozilla-Browsers Firefox:

Klickt man mit der rechten Maustaste ins Browserfenster, sieht man jetzt ganz oben im aufpoppenden Kontextmenü-Fenster eine Kopfzeile mit Icons zum schnelleren Navigieren (Seite zurück, Seite vor, Seite neu laden, Lesezeichen setzen). Das neue Kontextmenü mit den Navigationsicons zeigt das Artikelbild.

Durch das neue Verfahren “Key Pinning” sollen die Nutzer besser vor falschen Zertifikaten bei sicheren Verbindungen schützen. Darüber hinaus haben die Entwickler noch mehrere Sicherheitslücken geschlossen, drei davon mit der höchsten Gefährdungsstufe. In den Release-Notes von Mozilla werden alle Änderungen in Firefox 32 ausführlich beschrieben.

Die Finalversion des Open-Source-Forums Discourse

DiscourseWer in einem Projekt ein Forum braucht und das  Rad nicht zum tausendsten Mal erfinden will, sollte sich die Open-Source-Software Discourse ansehen, die soeben als Version 1.0 veröffentlicht wurde.

Sie bietet eine Diskussionsplattform für Communities, die Ersteller und Betreiber von Internetseiten kostenlos nutzen können. Mit der Veröffentlichung der Version 1.0 der Software signalisieren die Entwickler, dass die Software sicher, komplett und frei von Ecken und Kanten und damit bereit für den produktiven Einsatz ist.

Die Release-Ankündigung liest sich mehr wie eine Danksagung. Version 1.0 von Discourse steht über das Github-Repository des Projektszum Download bereit.

PHP 5.6 steht zum Download bereit

phpHeute wurde PHP 5.6, das neueste Release der 5.xer Entwicklungsschiene, veröffentlicht. Das letzte Update vor gut einem Jahr hatte die Version PHP 5.5 installiert.

PHP 5.6 bringt einen interaktiver Debugger, variadische Funktionen, einen rechtsassoziativer Operator, Importfeatures für Funktionen und Konstanten und auch die Möglichkeit, Dateien mit mehr als 2 GByte Größe hochzuladen, mit.

Um die Sicherheit in den PHP-Anwendungen zu verbessern wurden die Funktion hash_equals() eingeführt, der Einsatz von sicheren Verbindungen mit SSL/TLS verbessert und auch der Hash-Algorithmusgost-crypto ergänzt.

Weitere Informationen zu allen Änderungen und Verbesserungen finden sich in den Migrationshinweisen. Auch das Dokument über die mit PHP 5.6 entfernten Features kann für das Update älterer Lösungen wichtig werden.

Google-Browser Chrome 37 veröffentlicht

chromeSoeben hat Google seinen Browser Chrome als stabile Version 37 für Windows, Linux und Mac OS X veröffentlicht.

Zu den Neuerungen der Version gehören zum Beispiel die verbesserte Darstellung von Schriften, aber auch mehrere neue Programmierschnittstellen (APIs). Wie immer bei einer neuen Version sind natürlich auch Stabilität und der Performance des Google-Browsers verbessert worden.

Besonders für Windows-Nutzer werden jetzt  Schriften im Chrome-Browser etwas schöner dargestellt. Das ist der Unterstützung von Microsofts DirectWrite-API zu verdanken, die die Chrome-Entwickler in Version 37 eingebaut haben.

Microsoft hatte das DirectX-API bei der Veröffentlichung seines Betriebssystems Windows Vista eingeführt. Damals ersetzte DirectWrite das Graphics Device Interface (GDI), das noch aus den 1980er-Jahre stammte, als die Monitore noch klobig waren und nur sehr geringe Auflösungen boten.