Archive for the Category »Allgemein «

SQL-Injection-Lücke in xt:Commerce

xtCommerceSQL-InjectionDie Shop-Software xt:Commerce weist eine Sicherheitslücke auf, die sich zum Einschleusen von SQL-Befehlen ausnutzen lässt, schreiben die Entwickler in ihrem Blog.

Es soll angeblich noch keine Hinweise  darauf geben, dass die Lücke schon aktiv von Kriminellen genutzt wurde. Die inzwischen von den xt:Commerce-Entwicklern bereitgestellten fehlerbereinigten Versionen  4.2.00, 4.1.10 und 4.1.00 beseitigen das Problem.

Wer also Online-Shops mit xt:Commerce betreibt oder verwaltet, sollte möglichst umgehend auf eine dieser aktuellen Versionen umsteigen. Denn jetzt können kriminelle Angreifer ja durch Vergleich einer verwundbaren und einer abgesicherten Version der in PHP geschriebenen Software für ihre kriminellen Zwecke wertvolle Einzelheiten über die SQL-Injection-Lücke herausfinden…

Putty-Version mit eingebautem Trojaner

PuttySSWer Internetseiten und insbesondere Internet-Server administriert, kommt an dem SSH-Client Putty kaum vorbei.

Nach einem aktuellen Bericht der Sicherheitsfirma Symantec breitet sich gerade eine Version des kostenlosen Open Source-Programms im Internet aus, die einen Trojaner auf dem Rechner absetzt, um dann darüber Daten abzugreifen.

Nach dem Symantec-Bericht gibt es diese kompromittierte Putty-Version zwar schon seit gut einem Jahr, in letzter Zeit taucht sie aber vermehrt wieder im Netz auf. Deshalb sollte man den SSH-Client besser nicht irgendwo, sondern nur von der Download-Seite des Projekts herunterladen.

Flash-und Acrobat-Update beseitigen Sicherheitslücken

AdobeWenn Sie Flash oder PDF benutzen, sollten Sie jetzt Ihre Adobe-Programme dringend updaten. Die gestern erschienenen Sicherheitsupdates für Flash Player sowie Reader und Acrobat schließen insgesamt 52 Sicherheitslücken, die Adobe als kritisch eingestuft hat.

Durch nicht upgedatete Software könnte ein Angreifer über die Sicherheitslücken die Kontrolle über Ihr System gewinnen.

Das Flash-Update steht für Linux, OS X und Windows zur Verfügung. Betroffen sind die Versionen bis 17.0.0.169 und 13.0.0.281. Auf einer Adobe-Internetseite können Sie überprüfen, welche Version sie aktuell installiert haben.

PDF-Nutzer müssen Reader und Acrobat XI (11.0.10) und früher für Windows und Mac OS X sowie Reader und Acrobat X (10.1.13) und früher für Windows und Mac OS X updaten, damit wieder Sicherheit einkehrt.

Der neue Microsoft-Browser Edge

MicrosoftEdgeMicrosoft will seinen gerade vorgestellten neuen Browser Edge für Windows 10 von dem Ballast befreien, der die Ursache für den schlechten Ruf des Vorläufers Internet Explorer bildete.

Dafür werden lange gepflegte Technologien wie beispielsweise ActiveX und Browser Helper Objects (BHO) ausgemustert.

Edge wurde unter dem Codenamen “Spartan” entwickelt, und mit der in wenigen Wochen erscheinenden endgültigen Version (RTM – Release to Manufacturing) von Windows 10 sind noch weitere Features für den Browser geplant.

Dazu gehört natürlich auch die Unterstützung von Erweiterungen (Plugins). Plugins für Skype, Reddit und Pinterest hat Microsoft schon auf mehreren Veranstaltungen für Entwickler gezeigt.

Ein Schwachpunkt des Browsers Edge soll zurzeit die HTML 5-Unterstützung sein, die noch deutlich hinter den HTML5-Fähigkeiten von Firefox und Chrome zurückliegt – da wird Microsoft aber wohl bis zur Veröffentlichung von Windows 10 noch nachlegen…

Mozilla will HTTP nicht mehr unterstützen

HTTP2Erst diskutierten die Mozilla-Entwickler, und dann verkündete Sicherheitschef Richard Barnes offiziell im Mozilla-Blog, dass der Browserhersteller das unsichere, unverschlüsselte HTTP-Protokoll in Zukunft nicht mehr unterstützen will.

Als erstes sollen unverschlüsselt übertragene Inhalten etwa neue Firefox-Funktionen nicht nutzen können, auf die Dauer aber auch bestehende Features des Browsers nur noch sicheren Internetseiten zur Verfügung stehen. Das Ziel sei es, die Betreiber der Webseiten zum Umstieg auf HTTPS zu bewegen und so das Internet sicherer zu machen.

Ein guter Grund, sich für seine Internetseiten jetzt ein entsprechendes Zertifikat – zum Beispiel das kostenlose StartSSL – zu beschaffen und einzusetzen.

Update von auf Debian 8 mit Systemd

DebianJessieDie Linux-Distribution Debian ist gerade bei Admins mit technischem Schwerpunkt sehr beliebt und legt besonderen Wert auf Stabilität. Deshalb brauchte es ganze zwei Jahre, bis mit der gerade erschienenen Version Debian 8 alias Jessie zum ersten Mal Systemd als Startumgebung integriert ist.

Das Update von laufenden Systemen unter Debian 7 alias Wheezy ist aber alles andere als einfach. Deshalb hat Golem jetzt eine Anleitung für Umsteiger veröffentlicht, nach der diese das Update mit Apt-get unter Vermeidung der vorhandenen Fallstricke auch meistern können.

Bei der Einrichtung eines neuen Servers kann diese Anleitung auch hilfreich sein, beim Upgrade eines laufenden Systems ist sie fast unverzichtbar zu nennen.

Google supportet Chrome unter XP noch bis Jahresende

WonXPChromeNachdem Berliner Datenschützer verlangt haben, nach dem Supportende 10.000 PCs in der Verwaltung der Hauptstadt abzuschalten, weil sie noch unter dem nicht mehr von Microsoft unterstützten Betriebssystem Windows XP laufen, machen sich auch private XP-Nutzer verstärkt Gedanken zum Wechsel.

Jetzt springt Google den verunsicherten XP-Nutzern noch einmal bei. “Wir wissen, dass nicht jeder leicht auf ein neueres Betriebssystem wechseln kann”, äußert Mark Larson, als Director of Engineering bei Google für Chrome verantwortlich, in einem Blogeintrag. “Millionen Menschen arbeiten noch immer täglich mit XP-Rechnern. Wir wollen, dass diese Menschen die Option haben, einen Browser zu benutzen, der so aktuell und sicher wie auf einem nicht mehr unterstützten Betriebssystem möglich ist.

Deshalb will Google seinen Browser unter Windows XP noch bis Ende dieses Jahres unterstützen. Mit einer nochmaligen Support-Verlängerung ist ab 2016 aber wohl auch von Google nicht mehr zu rechnen.

Larson empfiehlt den Benutzern auch dringend, jetzt auf ein noch vom Hersteller unterstütztes und sicheres Betriebssystem umzusteigen, weil XP-Rechner seit über einem Jahr keine Sicherheitsupdates mehr erhalten hätten und schon mehrere kritische Schwachstellen hätten.

Auf Betriebsystemsebene sind Computer mit Windows XP grundsätzlich in Gefahr, durch Schadsoftware und Viren infiziert zu werden, was es für Chrome auch schwierig macht, eine sichere Umgebung zum Surfen zu bieten”, macht Larson das Problem recht deutlich.

Google-Browser Chrome empfängt jetzt Push-Nachrichten

Chrome-LogoGestern hat  Google die Version 42 des Chrome-Browsers veröffentlicht. Der aktualisierte Browser für Windows, Mac und Linux ist jetzt auch in der Lage, Push-Nachrichten von Internetseiten zu empfangen.

Über diese Funktion können die Benutzer auch Neuigkeiten erhalten, wenn sie die sendende Internetseite überhaupt nicht geöffnet haben – vorausgesetzt, sie haben sich vorher damit einverstanden erklärt. Programmtechnisch kommen diese Nachrichten über das Push API, das als Editor’s Draft schon beim W3C vorliegt.

Viele sehen das aber weniger als sinnvolle Verbesserung, sondern mehr als ein neues Einfallstor für Spam an.

Darüber hinaus wurden in Chrome 42 insgesamt 45 Sicherheitslücken geschlossen, darunter auch mehrere kritische. Eine ausführliche Liste aller Neuerungen hält das Changelog bereit.

Mit Chrome OS Android-Dateien manipulieren

ChromeOSAndroidDas angekündigte Update des Algorithmus der Suchmaschine Google legt den Schwerpunkt darauf, wie Internetseiten auf Mobilgeräten aussehen.

Passend dazu hat Google jetzt sein Betriebssystem Chrome OS durch ein Update dazu befähigt, Fotos und andere Dateien auf einem über USB verbundenen Android-Smartphone oder -Tablet zu verändern.

Noch ist es eine “experimentelle Funktion“, unterstreicht Google-Mitarbeiter François Beaufort bei seiner Vorstellung des Features auf Google+. Deshalb ist sie auch zunächst nur in der Entwickler-Version von Chrome OS integriert.

Freie Bilder für die Homepage

AdlerWer eine Homepage erstellt, ist ja immer an neuen Quellen für freie Bilder (Public Domain oder Creative Commons Zero) interessiert. Eine weniger bekannte Quelle für hochauflösende Fotos unter CC0-Lizenz ist Unsplash.com.

Zehn freie (mach-damit-was-du-willst) hochauflösunde Fotos kommen alle zehn Tage dazu. Als Lizenz ist für alle Fotos Creative Commons Zero angegeben.

Man darf die Bilder also kopieren, verändern, weitergeben – sogar zu kommerziellen Zwecken. Eine spezielle Erlaubnis für irgendeinen Zweck oder gar vorgeschriebene Attribute wie beispielsweise die Namensnennung des Fotografen oder der Plattform Unsplash ist nicht nötig.

Viel Spass mit der neuen Bilderquelle!