Google hat sieben Fehler im Chrome-Browser beseitigt

Google hat jetzt vier hochriskante und drei weitere Sicherheitslücken in seinem Browser Chrome beseitigt. Laut CISA sollten die Benutzer diese Patches schnellstmöglich installieren. Google hat soeben Updates für den Browser Chrome veröffentlicht, mit denen insgesamt sieben Sicherheitslücken geschlossen werden, die in dem weltweit millionenfach genutzten Browser gefunden wurden und von denen vier als hochriskant eingestuft sind. Einer Warnung der United States Cybersecurity & Infrastructure Agency (CISA) zufolge könnten Angreifer diese Schwachstellen in Google Chrome für Windows, Mac und auch unter Linux ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen. Die CISA rät den Benutzern jetzt, auf die neueste Version von Google Chrome 102.0.5005.115 zu aktualisieren, um zu verhindern, dass die Sicherheitslücken ausgenutzt werden. Wie Angreifer die hochriskanten Schwachstellen genau ausnutzen können, wurde wie üblich aus Sicherheitsgründen noch nicht bekannt gegeben. „Der Zugang zu Fehlerdetails und Links kann eingeschränkt werden, bis die Mehrheit der Nutzer ein Update erhalten hat. Wir werden auch Einschränkungen beibehalten, wenn der Fehler in einer Bibliothek eines Drittanbieters vorhanden ist, von der andere Projekte in ähnlicher Weise abhängen, die aber noch nicht behoben wurden“, schreibt Google in seinem Blogpost zu den Updates. „Wir möchten uns auch bei allen Sicherheitsforschern bedanken, die während des Entwicklungszyklus mit uns zusammengearbeitet haben, um zu verhindern, [...]

2022-06-14T08:10:13+02:00Juni 14th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Google hat sieben Fehler im Chrome-Browser beseitigt

Oracle bringt 390 Patches für seine Software

Im Zuge seines Quartalsupdates patcht Oracle seine gesamte Software und schließt dabei auch einige kritische Sicherheitslücken. Was muss alles gepatcht werden? Wegen der großen Anzahl an Patches sollten insbesondere Admins die Sicherheitswarnung des Software-Herstellers genau studieren und herausfinden, welche der Patches für sie relevant sind. Bei einigen der Patches ist wegen der Einstufung der damit geschlossenen Sichrheitslücken als "kritisch" sehr zügiges Handeln gefragt. Kritische Lücken stecken unter anderem in Oracle Communications Design Studio, Applications Session Controller und Instantis Enterprise Track. Nach einer erfolgreichen Attacke ist damit zu rechnen, dass die Angreifer Schadcode ausführen und damit dann die volle Kontrolle über die Systeme erlangen könnten. In Oracles Critical Patch Update Advisory - April 2021 sind alle betroffenen Produkte und die dazugehörige Dokumentation zu finden. Nehmen Sie sich aber ausreichend Zeit dafür, denn die Liste ist lang! Die nächste Sammlung von Sicherheitsupdates will Oracle wieder wie immer in drei Monaten am 20. Juli 2021 herausgeben.

2021-04-21T12:38:54+02:00April 21st, 2021|Javascript, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Oracle bringt 390 Patches für seine Software

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit Ende März verfügbar Erwartungsgemäß kam es nach der Veröffentlichung von Details zur Lücke  zu  ersten Angriffen,was unter anderem eine Webseite von des Computerherstellers Lenovo traf. Die Schwachstelle gibt es sowohl in Drupal 7.x als auch in Drupal 8.x. Die Ausgaben ab 7.58 und 8.5.1 sind schon abgesichert. Wegen der Schwere der Sicherheitslücke bekommen selbst die eigentlich nicht mehr [...]

2018-06-05T18:55:40+02:00Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar

Vorbereiten auf PHP 7

Im August dieses Jahres endet der aktive Support für PHP 5. Danach gibt es noch ein Jahr länger Patches gegen Sicherheitslücken geben, aber so langsam müssen sich Entwickler und Anwender darauf einstellen, ihre PHP-Programme rechtzeitig auf die neue Version PHP 7 zu migrieren. Durch diese klaren Festlegungen zur Support-Dauer wollen die Entwickler einen Fehler wie beim Erscheinen von PHP 5 vermeiden. Damals hatten sie nämlich kein eindeutiges Ende für die Vorversion PHP 4 vorgegeben, die deshalb noch recht lange gewartet werden musste. Das PHP-Projekt hat PHP 7 genutzt, um viele zuvor als "deprecated" abgekündigte Altlasten aus PHP herauszunehmen und die teilweise inkonsistente und undokumentierte Semantik aufzuräumen. Unter anderem zur sauberen Implementierung eines abstrakten Syntaxbaums überarbeiteten die Entwickler die Syntax von PHP 7 bezüglich der Verwendung von Variablen. PHP-Programmierer müssen aber nicht nur auf Altes verzichten - sie bekommen mit PHP 7 auch viele neue Features, die die Arbeit mit der Skriptsprache sicherer und komfortabler machen.

2017-06-18T14:02:19+02:00Juni 18th, 2017|Allgemein, PHP|Kommentare deaktiviert für Vorbereiten auf PHP 7

Neue Anzeige für HTTPS-Seiten mit Chrome 46

Google hat die Browserversion Chrome 46 veröffentlicht. Das Update auf Version 46.0.2490.71 vom 13. Oktober enthält Patches für 24 Sicherheitslücken – vier davon sogar von hoher Priorität. Als offensichtlichste Änderung hat die Suchmaschine aber die Anzeige des Sicherheitslevels von Webseiten überarbeitet. Bei verschlüsselten HTTPS -Seiten mit kleineren Fehlern erschien bisher über dem Schlosssymbol zusätzlich das bekannte gelbe Warndreieck. Diese Warnung soll laut Google die Nutzer verwirrt und letztlich sogar dazu geführt haben, dass viele Surfer fälschlicherweise dachten, fehlerhaft verschlüsselte Seiten seien unsicherer als Seiten, die HTTPS überhaupt nicht unterstützten (Anm. d. Autors: Das ist auch mein Feedback von vielen Surfern). Also hat Google das gelbe Warndreieck jetzt ersatzlos gestrichen. Sichere Webseiten bekommen wie bisher ein grünes Schloss, Webseiten mit abgelaufenem Sicherheitszertifikat oder groben Fehlern in HTTPS bekommen wie immer ein rotes X.

2015-10-16T22:13:40+02:00Oktober 16th, 2015|Allgemein, HTML|Kommentare deaktiviert für Neue Anzeige für HTTPS-Seiten mit Chrome 46

PHP 5.6.12 schließt Sicherheitslücken

PHP ist noch immer die beliebteste Programmiersprache im Internet. Mit der soeben veröffentlichten Version PHP 5.6.12 schließen die Entwickler insgesamt zwölf Schwachstellen, darunter sogar einen Stack-Überlauf in der GD-Bibliothek. Auch die anderen Release-Zweige wurden abgesichert, dort sind jetzt die aktuellen Versionsnummern 5.4.44, 5.5.28 und 7.0.0 Beta 3. Eindringlich weisen die Entwickler auch darauf hin, dass der Support für den 5.5er-Zweig schon am 10. Juli ausgelaufen ist. Seither erhält Version 5.5.28 nur noch Sicherheits-Patches und Probleme, die nicht sicherheitsrelevant sind, wurden deshalb auch nicht mehr geschlossen.

2015-08-07T17:48:57+02:00August 7th, 2015|PHP|Kommentare deaktiviert für PHP 5.6.12 schließt Sicherheitslücken

Linux 4.0 patcht sich selbst im laufenden Betrieb

Die soeben von Linus Torvalds freigegebene Revision 4.0 des Linux-Kernels unterstützt eine herausragende, interessante Funktion: das „Kernel Live Patching“ (KLP), das die Beseitigung von Sicherheitslücken im laufenden Betrieb erlaubt. Die Distributionen von Red Hat und Suse unterstützten eine ähnliche Funktionalität schon als Kpatch bzw. Kgraft und waren damit quasi die Vorbilder für KLP. Dazu schreibt Entwickler Jiri Kosina im Kommentar zum Merge-Commit , daß es bisher ein API für die gepatchten Kernel-Module und ein Userspace-API/ABI gibt, um Patches anzuwenden bzw.  zu deaktivieren. Red Hat und Suse müssen ihre Userspace-Tools noch für den neuen Kernel anpassen, aber einfache Sicherheitspatches sollen sich bereits integrieren lassen. Weiterführende Informationen zum neuen Linux-Kernel finden Sie bei Golem.

2015-04-13T21:46:51+02:00April 13th, 2015|Allgemein|Kommentare deaktiviert für Linux 4.0 patcht sich selbst im laufenden Betrieb

Es gibt wieder neue PHP-Sicherheitsupdates

Die beliebte Web-Programmiersprache PHP brauchte  schon wieder dringende Updates für die Sicherheit: Zum zweiten Mal innerhalb drei Wochen veröffentlichten die Entwickler sicherheitsrelevante Patches für die diversen PHP Versionen. Mit dem Update PHP 5.6.2 haben die Entwickler vier Lücken geschlossen, darunter auch einen Integer Overflow in der unserialize()-Funktion, der vor rund einem Monat über das Bugtracking-System des Projekts gemeldet wurde. Er betrifft nur die 32-bit-Versionen von PHP. Drei weitere Lücken klafften auch in den 64-bit-Builds. Sie steckten in den Modulen cURL, EXIF und XMLRPC. Für die Versionszweige 5.5 und 5.4 wurden ebenfalls Updates bereitgestellt, die Nummern der abgesicherten Versionen sind 5.5.18 und 5.4.34.

2014-10-20T18:41:56+02:00Oktober 20th, 2014|PHP|Kommentare deaktiviert für Es gibt wieder neue PHP-Sicherheitsupdates

Mozilla Firefox startet Java-Updates nur auf Nachfrage

Sogar das allerneueste Java-Plugin Java 7 Update 15 blockiert der Firefox-Browser, weil er auf den Click-to-Play-Modus umgeschaltet wurde. So wird die Ausführung von Javascript zwar nicht komplett geblockt, aber mit einer deutlichen Hürde versehen.  Jetzt zahlt es sich gerade bei kommerziellen Internetseiten wie Onlineshops aus, wenn der Ersteller der Seiten so gearbeitet hat, dass die Funktionen auch ohne Javascript mit reinem HTML laufen. Die Firmen Oracle, Adobe und Microsoft sehen in diesem Monat nicht besonders gut aus mit ihren vielen Updates. Es hat wohl auch noch nie einen Monat mit mehr Patches, aber auch keinen mit mehr Angriffen auf sie Internetseiten großer Unternehmen über Sicherheitslücken in Java, Flash oder PDF gegeben.

2013-02-28T20:31:43+02:00Februar 28th, 2013|HTML, Javascript|Kommentare deaktiviert für Mozilla Firefox startet Java-Updates nur auf Nachfrage
Nach oben