Author Archive

SQL-Injection-Lücke in xt:Commerce

xtCommerceSQL-InjectionDie Shop-Software xt:Commerce weist eine Sicherheitslücke auf, die sich zum Einschleusen von SQL-Befehlen ausnutzen lässt, schreiben die Entwickler in ihrem Blog.

Es soll angeblich noch keine Hinweise  darauf geben, dass die Lücke schon aktiv von Kriminellen genutzt wurde. Die inzwischen von den xt:Commerce-Entwicklern bereitgestellten fehlerbereinigten Versionen  4.2.00, 4.1.10 und 4.1.00 beseitigen das Problem.

Wer also Online-Shops mit xt:Commerce betreibt oder verwaltet, sollte möglichst umgehend auf eine dieser aktuellen Versionen umsteigen. Denn jetzt können kriminelle Angreifer ja durch Vergleich einer verwundbaren und einer abgesicherten Version der in PHP geschriebenen Software für ihre kriminellen Zwecke wertvolle Einzelheiten über die SQL-Injection-Lücke herausfinden…

Suchmaschine Bing mit Apps im Index

Bing-logo-orangeIn einem Blogartikel bittet Bing-Manager Vincent Wehren Webmaster und SEO-Experten um Unterstützung beim Aufbau eines Index für Apps und App-Funktionen.

Bisher konnten solche Inhalte für die Suchmaschinen nur  als geschlossene und nicht einsehbare Bereiche daherkommen.

Wir bei Bing glauben, dass es einen besseren Weg für Suchende gibt, Apps zu finden und mit ihnen zu interagieren”, schreibt der Manager. Daraus eröffne sich außerdem auch ein Modell mit großen Chancen für Publisher von Apps: “Viele von Ihnen werden dadurch in überlaufenen Kategorien besser konkurrieren können, in denen gewöhnlich eine Handvoll führender Anwendungen dominiert.

Für mehr und bessere Suchergebnisse zu Apps unterstützt Bing zwei offene Standards. Mit ihren Auszeichnungen sollen jetzt Betreiber von Internetseiten die Verbindung zwischen ihren Inhalten und ihrer App aufbauen – sowohl zu deren Inhalten als auch zu den Aufgaben, die sie damit erfüllt.

Das von Facebook verbreitete App Links ist als offener Standard für das Deep-Linking von Apps konzipiert. Es arbeitet mit dem bekannten Konzept der URL, um eine Beziehung zu gleichen Inhalten oder zu Aktivitäten innerhalb einer App herzustellen.

Anders das von allen relevanten Suchmaschinen unterstützte Schema.org: Es zeichnet strukturierte Daten aus und kann deshalb sowohl auf Objekte als auch auf Aktionen verweisen, die eine App oder ein Service damit ausführen.

Wehren zeichnet dazu das Szenario eines Nutzers, der mit seinem Mobiltelefon auf dem Heimweg das Hörbuch “Coraline” (Objekt) des Autors Neil Gaiman anhören (Aktion) möchte – und dem eine Suchanfrage das ohne große Umwege ermöglichen sollte.

Mit seiner Suche nach App-Inhalten will Bing iOS, Android und Windows 10 unterstützen. Indizierten Apps sollen auch in von Bing gelieferten Suchergebnissen auftauchen, beispielsweise beim Sprachassistenten Cortana oder in Windows 10.

Putty-Version mit eingebautem Trojaner

PuttySSWer Internetseiten und insbesondere Internet-Server administriert, kommt an dem SSH-Client Putty kaum vorbei.

Nach einem aktuellen Bericht der Sicherheitsfirma Symantec breitet sich gerade eine Version des kostenlosen Open Source-Programms im Internet aus, die einen Trojaner auf dem Rechner absetzt, um dann darüber Daten abzugreifen.

Nach dem Symantec-Bericht gibt es diese kompromittierte Putty-Version zwar schon seit gut einem Jahr, in letzter Zeit taucht sie aber vermehrt wieder im Netz auf. Deshalb sollte man den SSH-Client besser nicht irgendwo, sondern nur von der Download-Seite des Projekts herunterladen.

Wolfram Language erkennt Bildinhalte

WolframImageWer häufiger mit der Erstellung von Internetseiten mit Fotos zu tun hat, könnte Interesse für das neue Wolfram Language Image Identification Project haben. Eine neue Funktion der Wolfram Language mit dem Namen ImageIdentify identifiziert dabei die Inhalte eines Fotos, wie unser Artikelbild zeigt.

Auf der Projektseite stehen einige Beispielbilder bereit, die Sie im Browser mit der Maus an den vorgesehenen Platz ziehen können, um den Bildinhalt auszuwerten. Alternativ kann man auch eigene Fotos auswählen und per Drag und Drop oder Image-Browser hochladen.

Angeblich ist das kostenlose Online-Tool schon jetzt in der Lage, mehr als 10.000 alltägliche Objekte zu erkennen. Mit der Zeit soll es dank Nutzer-Feedback immer bessere Resultate liefern.

Stephen Wolfram betont aber in einem Blogbeitrag , dass es derzeit noch nicht in allen Bereichen zuverlässig arbeitet. So habe es noch Probleme mit abstrakter Kunst, bestimmten Personen oder ausgefallenen Objekten.

Google hat mit Goggles auch schon eine App für die visuelle Suche herausgebracht, die Nutzern dabei helfen kann, Landschaften, Gemälde und andere Dinge auf Bildern zu erkennen.

Die Wolfram-Routine geht aber deutlich darüber hinaus. Weil Entwickler mit der Wolfram Language Anwendungen erstellen können, dürfte es auch bald die ersten Apps mit der Funktionalität von ImageIdentify geben, so dass man dafür nicht mehr zwingend die Internetseite des Projektes nutzen muss. Seitenersteller mit programmiertechnischem Background könnten die Bilderkennung auch auf ihren erstellten Internetseiten nutzen.

Flash-und Acrobat-Update beseitigen Sicherheitslücken

AdobeWenn Sie Flash oder PDF benutzen, sollten Sie jetzt Ihre Adobe-Programme dringend updaten. Die gestern erschienenen Sicherheitsupdates für Flash Player sowie Reader und Acrobat schließen insgesamt 52 Sicherheitslücken, die Adobe als kritisch eingestuft hat.

Durch nicht upgedatete Software könnte ein Angreifer über die Sicherheitslücken die Kontrolle über Ihr System gewinnen.

Das Flash-Update steht für Linux, OS X und Windows zur Verfügung. Betroffen sind die Versionen bis 17.0.0.169 und 13.0.0.281. Auf einer Adobe-Internetseite können Sie überprüfen, welche Version sie aktuell installiert haben.

PDF-Nutzer müssen Reader und Acrobat XI (11.0.10) und früher für Windows und Mac OS X sowie Reader und Acrobat X (10.1.13) und früher für Windows und Mac OS X updaten, damit wieder Sicherheit einkehrt.

Der neue Microsoft-Browser Edge

MicrosoftEdgeMicrosoft will seinen gerade vorgestellten neuen Browser Edge für Windows 10 von dem Ballast befreien, der die Ursache für den schlechten Ruf des Vorläufers Internet Explorer bildete.

Dafür werden lange gepflegte Technologien wie beispielsweise ActiveX und Browser Helper Objects (BHO) ausgemustert.

Edge wurde unter dem Codenamen “Spartan” entwickelt, und mit der in wenigen Wochen erscheinenden endgültigen Version (RTM – Release to Manufacturing) von Windows 10 sind noch weitere Features für den Browser geplant.

Dazu gehört natürlich auch die Unterstützung von Erweiterungen (Plugins). Plugins für Skype, Reddit und Pinterest hat Microsoft schon auf mehreren Veranstaltungen für Entwickler gezeigt.

Ein Schwachpunkt des Browsers Edge soll zurzeit die HTML 5-Unterstützung sein, die noch deutlich hinter den HTML5-Fähigkeiten von Firefox und Chrome zurückliegt – da wird Microsoft aber wohl bis zur Veröffentlichung von Windows 10 noch nachlegen…

Fünf Sicherheitslücken in Safari für OS X geschlossen

safari-icon-appleNeue Versionen des Apple-Browsers Safari decken insgesamt fünf Schwachstellen unter OS X 10.8.5 Mountain Lion, 10.9.5 Mavericks und 10.10.3 Yosemite ab.

Angreifer könnten diese Sicherheitslücken benutzen, um über eine manipulierte Internetseite die Kontrolle über das System des Benutzers zu übernehmen.

Mehr Details zu den Verbesserungen in der Speicherverwaltung des Apple-Betriebssystems finden Sie in einem  Support-Dokument. Drei der Probleme sind nämlich im Grunde Speicherfehler, dazu kommt eine Lücke in der WebKit History und eine im Ladeprozess der Webseiten in Webkit.

Alle fünf Lücken können über entsprechend präparierte Internetseiten zur Übernahme des Rechners genutzt werden.

Wer Internetseiten mit dem Mac erstellt, sollte deshalb sein System schnellstmöglich mit einer der Versionen Safari 8.0.6, Safari 7.1.6 oder Safari 6.2.6. updaten. Die neuen Versionen von Safari können über die Softwareaktualisierung heruntergeladen und installiert werden.

Mozilla will HTTP nicht mehr unterstützen

HTTP2Erst diskutierten die Mozilla-Entwickler, und dann verkündete Sicherheitschef Richard Barnes offiziell im Mozilla-Blog, dass der Browserhersteller das unsichere, unverschlüsselte HTTP-Protokoll in Zukunft nicht mehr unterstützen will.

Als erstes sollen unverschlüsselt übertragene Inhalten etwa neue Firefox-Funktionen nicht nutzen können, auf die Dauer aber auch bestehende Features des Browsers nur noch sicheren Internetseiten zur Verfügung stehen. Das Ziel sei es, die Betreiber der Webseiten zum Umstieg auf HTTPS zu bewegen und so das Internet sicherer zu machen.

Ein guter Grund, sich für seine Internetseiten jetzt ein entsprechendes Zertifikat – zum Beispiel das kostenlose StartSSL – zu beschaffen und einzusetzen.

Update von auf Debian 8 mit Systemd

DebianJessieDie Linux-Distribution Debian ist gerade bei Admins mit technischem Schwerpunkt sehr beliebt und legt besonderen Wert auf Stabilität. Deshalb brauchte es ganze zwei Jahre, bis mit der gerade erschienenen Version Debian 8 alias Jessie zum ersten Mal Systemd als Startumgebung integriert ist.

Das Update von laufenden Systemen unter Debian 7 alias Wheezy ist aber alles andere als einfach. Deshalb hat Golem jetzt eine Anleitung für Umsteiger veröffentlicht, nach der diese das Update mit Apt-get unter Vermeidung der vorhandenen Fallstricke auch meistern können.

Bei der Einrichtung eines neuen Servers kann diese Anleitung auch hilfreich sein, beim Upgrade eines laufenden Systems ist sie fast unverzichtbar zu nennen.

Google supportet Chrome unter XP noch bis Jahresende

WonXPChromeNachdem Berliner Datenschützer verlangt haben, nach dem Supportende 10.000 PCs in der Verwaltung der Hauptstadt abzuschalten, weil sie noch unter dem nicht mehr von Microsoft unterstützten Betriebssystem Windows XP laufen, machen sich auch private XP-Nutzer verstärkt Gedanken zum Wechsel.

Jetzt springt Google den verunsicherten XP-Nutzern noch einmal bei. “Wir wissen, dass nicht jeder leicht auf ein neueres Betriebssystem wechseln kann”, äußert Mark Larson, als Director of Engineering bei Google für Chrome verantwortlich, in einem Blogeintrag. “Millionen Menschen arbeiten noch immer täglich mit XP-Rechnern. Wir wollen, dass diese Menschen die Option haben, einen Browser zu benutzen, der so aktuell und sicher wie auf einem nicht mehr unterstützten Betriebssystem möglich ist.

Deshalb will Google seinen Browser unter Windows XP noch bis Ende dieses Jahres unterstützen. Mit einer nochmaligen Support-Verlängerung ist ab 2016 aber wohl auch von Google nicht mehr zu rechnen.

Larson empfiehlt den Benutzern auch dringend, jetzt auf ein noch vom Hersteller unterstütztes und sicheres Betriebssystem umzusteigen, weil XP-Rechner seit über einem Jahr keine Sicherheitsupdates mehr erhalten hätten und schon mehrere kritische Schwachstellen hätten.

Auf Betriebsystemsebene sind Computer mit Windows XP grundsätzlich in Gefahr, durch Schadsoftware und Viren infiziert zu werden, was es für Chrome auch schwierig macht, eine sichere Umgebung zum Surfen zu bieten”, macht Larson das Problem recht deutlich.