Chrome-Update dichtet gefährliches Sicherheitsleck ab

Google hat zum Wochenende noch ein Update für seinen Webbrowser Chrome veröffentlicht. Damit dichten die Programmierer eine Schwachstelle mit hohem Risiko ab. Gerade einmal zwei Tage, nachdem Google die Version 107 seines Webbrwosers Chrome veröffentlicht hat, haben die Entwickler schon wieder eine fehlerbereinigte Version veröffentlicht. Mit dem Update schließen sie genau eine Sicherheitslücke, deren Risiko sie als sehr hoch einschätzen. Bei der Schwachstelle handelt es sich wieder um eine Type Confusion in der JavaScript-Engine V8 (CVE-2022-3723). Einen Fehler dieser Art behob schon das 107er-Release am Mittwoch dieser Woche. Weitere Änderungen sind in der Versionsankündigung von Google nicht aufgeführt. Wie eine „Type Confusion“ entsteht Bei einer Type Confusion belegt oder initialisiert der das Programm eine Ressource ( Pointer, Objekt oder Variable) mit einem bestimmten Typ, und greift dann aber später auf diese Ressource mit einem inkompatiblen Datentyp zu. Das kann zu Zugriffen außerhalb des zugewiesenen Speicherbereichs und damit unter Umständen zur Ausführung eingeschleusten Codes führen. Mit der Aktualisierung bekommt der Browser neue Versionsstände. Chrome für Linux und Mac ist jetzt mit Nummer 107.0.5304.87 auf dem aktuellen Stand, unter Windows sind es die Versionen 107.0.5304.87 und 107.0.5304.88. Für Googles Android-Mobilbetriebssystem ist die Version 107.0.5304.91 verfügbar. Weil die JavaScript-Engine V8 auch im Chromium-Browser einges etzt wird, steht für andere Chromium-basierte Webbrowser [...]

2022-10-29T08:27:45+02:00Oktober 29th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Chrome-Update dichtet gefährliches Sicherheitsleck ab

Update: Google warnt vor möglichen Angriffen auf Chrome

Die Chrome-Entwickler leiden aktuell nicht gerade an Unterbeschäftigung: Ein wichtiges Sicherheitsupdate für den Webbrowser Chrome ist erschienen, das eine Lücke schließt, für die schon ein funktionierender Exploit im Netz unterwegs ist. Google informiert, dass böswillige Angreifer an einer Schwachstelle in seinem Browser Chrome ansetzen könnten, für die schon ein Exploit in Umlauf ist. Damit könnten solche Angriffe also bevorstehen oder sogar jetzt schon laufen. In der dazu veröffentlichten Warnmeldung findet man nur wenig Details zu der Sicherheitslücke (CVE-2022-3075 "hoch"). Die Schwachstelle soll in der Mojo-Komponente des Browsers stecken. Dieser Programmteil ist eine Plattform für Sandbox-Dienste, die sich über Interprozesskommunikation (IPC) abstimmen. Durch den darin steckenden Fehler soll es zu Schwierigkeiten bei der Überprüfung von Daten kommen. Was Angreifer nach einer erfolgreichen Attacke konkret dort anstellen können, ist bisher noch nicht bekannt gegeben worden. Die Version Chrome 105.0.5195.102 für Linux, macOS und Windows soll gegen solche Attacken abgesichert sein.

2022-09-06T06:56:48+02:00September 6th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Update: Google warnt vor möglichen Angriffen auf Chrome

Googles Update auf Chrome 105 macht 24 Lücken dicht

Google hat soeben seinen Webbrowser Chrome in der neuen Hauptversion 105 veröffentlicht. Mit dieser Version schließen die Entwickler viele Sicherheitslücken, unter denen auch mindestens eine kritische ist. Mit der Veröffentlichung der 105er-Version des Webbrowsers Google Chrome für die Betriebssysteme Linux, Mac und Windows und den Mobilversionen für Android und iOS schließen die Entwickler von Chrome insgesamt 24 Sicherheitslücken. Davon stufen sie zumindestens eine als kritisch ein. Die jetzt aktuellen Versionsstände lauten 105.0.5195.52 für Linux und Mac, 105.0.5195.52/53/54 für Windows, 105.0.5195.68 für Android sowie 105.0.5195.69 für iOS. Die aktuelle extended Stable-Version für Mac und Windows hat die Nummer 104.0.5112.111. Zumindest eine kritische Lücke ist darunter Da Google wie üblich keine Details zu den Schwachstellen veröffentlicht, um die Browser-Nutzer zu schützen, und dabei sogar Kurzfassungen zu einigen Lücken komplett streicht, kann man der Meldung nur entnehmen, dass wenigstens eine der Lücken den Bedrohungsgrad "kritisch" zugeordnet bekam. Angreifer können potenziellen Opfern damit vermutlich ohne deren Interaktion beim Besuch von Internetseiten Schadcode unterschieben. Das erlaubt ein Use-after-free-Fehler im Network Service (CVE-2022-3038). Acht weitere der Sicherheitslücken bewerten die Google-Entwickler als hohes Risiko, neun als mittleres und drei davon als niedriges. Die überarbeiteten Browser-Versionen will Google im Laufe der kommenden Tage und Wochen verteilen. Wer wegen der kritischen Sicherheitslücke selbst prüfen möchte, [...]

2022-08-31T16:12:59+02:00August 31st, 2022|Browser, Sicherheit|Kommentare deaktiviert für Googles Update auf Chrome 105 macht 24 Lücken dicht

Firefox- und Thunderbird-Updates beseitigen Fehler

Mozilla hat seinen Browser Firefox und auch seinen Mailer Thunderbird in derVersion 102.0.1 veröffentlicht. Sowohl bei dem Browser als auch beim Emailclient haben die Entwickler jetzt einige Probleme beseitigt. Soeben hat Mozilla seinen Browser Firefox und auch seinen Emailclient Thunderbird in der Version 102.0.1 veröffentlicht. Die beiden freien und kostenlosen Programme durchliefen mehrere Bugfixes. Beim Browser Firefox gab es kleinere Fehler mit den Lesezeichen und der mehrsprachigen Rechtschreibprüfung, und beim Mailer Thunderbird steckten die Fehler unter anderem bei geänderten Passwörtern und im Adressbuch. Mit der neuen Firefox-Version 102.0.1 soll es jetzt keine Abbrüche mehr geben, wenn man eine Verknüpfung zu einem Lesezeichen durch Ziehen in den Dateiexplorer von Windows erzeugt. Auch die Lesezeichenleiste soll im Dark Mode jetzt nicht mehr weiß blinken, sagen die Release Notes von Firefox 102.0.1. Die mehrsprachige Rechtschreibüberprüfung kommt jetzt auch wieder mit englischsprachigen Inhalten klar, die nicht in einem nicht lateinischen Alphabet geschrieben wurden. Das Scroll-Problem bei den Entwicklertools beseitigt In den Entwicklertools des Browsers wurde ein Bug behoben, der die Konsolenausgabe immer ganz nach unten scrollte, wenn die letzte sichtbare Nachricht ein Bewertungsergebnis war. Außer diversen Stabilitätsverbesserungen wurde im Firefox auch der Fehler beseitigt, durch den der Haken bei "Cookies und Website-Daten beim Beenden von Firefox löschen" immer wieder verschwand, [...]

2022-07-08T10:52:48+02:00Juli 8th, 2022|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Firefox- und Thunderbird-Updates beseitigen Fehler

Google schließt mit Chrome 103 14 Sicherheitslücken

Mit dem soeben angelaufenen Update auf das 103er-Release beseitigt Google in seinem Webbrowser Chrome insgesamt 14 Schwachstellen und bringt einige neue Möglichleiten. Auch für die Mobilbetriebssysteme Android und iOS stehen die neuen Version zum Download bereit. Die ärgste der 14 in Chrome 103 geschlossenen Sicherheitslücken hat den Schweregrad „kritisch“, zwei davon wurden mit „hoch“ bewertet. Der Google-Browser bringt aber auch mehrere Neuerungen mit: Early Hints zum Vorladen Chrome 103 unterstützt jetzt auch den HTTP-Antwortcode 103 „Early Hints“, was den Browser etwas schneller machen sollte. Die meisten Browser laden die Seiteninhalte ja schon vorab, aber die 103 Early Hints machen diesen Prozess „schneller“ – was aber keine deutliche Beschleunigung mehr bringen dürfte. Schriftarten und Berechtigungen Jetzt können auch Web-Apps mit dem neuen Chrome 103 die Schriftarten nutzen, die auf dem ausführenden Gerät gespeichert sind. Darüber hinaus erkennt Chrome jetzt, wann einer Berechtigungsaufforderung wahrscheinlich nicht zugestimmt wird und schaltet diese unerwünschten Aufforderungen dann ab. Das geschieht abhängig davon, wie der Benutzer zuvor mit ähnlichen Berechtigungsaufforderungen umgegangen ist, Wie immer kann man das Update manuell über das Menü abrufen oder aber warten, bis das Update über die Benutzeroberfläche von Chrome angezeigt wird.

2022-06-22T10:27:06+02:00Juni 22nd, 2022|Browser, Coding, Sicherheit|Kommentare deaktiviert für Google schließt mit Chrome 103 14 Sicherheitslücken

Update für Google Chrome schließt Sicherheitslücke

Neu veröffentlichte Versionen des Webbrowsers Google Chrome schließen eine Sicherheitslücke in der JavaScript-Engine V8. Es steht zu vermuten, dass Edge und Chromium ebenfalls betroffen sind. Nur kurz nach der Aktualisierung auf die erste dreistellige Version 100 haben die Google-Entwickler des Webbrowsers Chrome eine neue Fassung veröffentlicht, die eine Sicherheitslücke schließt. Erneut ist die JavaScript-Engine V8 betroffen. Das Risiko durch diese Lücke stuft Google als hoch ein. Die Version 100.0.4896.75 steht für die Betriebssysteme Linux, Mac und Windows bereit und soll automatisch im Laufe der kommenden Tage und Wochen verteilt werden. Die damit geschlossene Sicherheitslücke, welche die Entwickler damit schließen, ist wieder einmal vom Typ "Type Confusion" (CVE-2022-1232, Risiko hoch). Wie immer gibt es (noch) keine Details Leider fehlen wie üblich noch nähere Details zu der Schwachstelle. Die Lücke wurde vom Mitarbeiter Sergei Glazunov von Googles Project Zero gemeldet. Bei einer Type Confusion prüft die Software den Typ von übergebenen Daten nicht korrekt. Dabei können Daten dann falsch interpretiert oder zum Beispiel wegen fehlender Typumwandlung in unterschiedlich große Datenstrukturen umkopiert werden, was dann auch Pufferüberläufe erzeugen kann, die etwa in Kombination mit einer Use-after-Free-Schwachstelle zur Ausführung untergeschobenenen Schadcodes missbraucht werden kann. Anders als bei dem Notfall-Update von Chrome vor etwas über einer Woche ist aktuell noch kein Schadcode in freier Wildbahn gesehen worden, der die Lücke zum [...]

2022-04-05T09:19:45+02:00April 5th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Update für Google Chrome schließt Sicherheitslücke

Das Sicherheits-Update 99.0.1150.46 für den Browser Edge

Schon in Kürze erscheinen Googles Browser Chrome und Microsofts Edge  in der Version 100. Trotzdem sollten die Benutzer schon vorher prüfen, ob Ihre Installation auf dem aktuellen Stand ist. Denn aktuell warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor mehreren Schwachstellen im Edge-Browser. Der entsprechende Sicherheitshinweis des BSI weist die Risikostufe 4 (von 5) aus. Hohe Gefahr durch Edge-Sicherheitslücken Das BSI erklärt dazu: "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Microsoft Edge ausnutzen, um seine Berechtigungen zu erhöhen, Schadcode auszuführen, einen Programmabsturz herbeizuführen oder andere Auswirkungen zu verursachen. Zur Ausnutzung genügt es, eine bösartig gestaltete Webseite zu laden beziehungsweise einen Link zu einer solchen Seite anzuklicken.“ Das vom Hersteller Microsoft bereitgestellte Sicherheits-Update auf die Version 99.0.1150.46 sollten Sie wegen des hohen Schadenspotenzials umgehend einspielen. Nach Angaben von Microsoft  gibt es aktuell keine Hinweise darauf, dass Cyberkriminelle die Sicherheitslücken schon für Angriffe ausnutzen. Einen Überblick über alle behobenen Sicherheitsprobleme finden Sie im Leitfaden zum Sicherheitsupdates von Microsoft. Wie man den Browser Edge updatet Um das Edge-Update auszulösen, sind folgende Schritte nötig: Edge-Browser öffnen Auf die drei Punkte oben rechts klicken Auf Hilfe und Feedback und danach auf Infos zu Microsoft Edge klicken Edge sucht dann nach Updates. Wenn eines verfügbar ist, aktualisiert sich der Browser automatisch.

2022-03-22T12:03:15+02:00März 22nd, 2022|Browser, Sicherheit|Kommentare deaktiviert für Das Sicherheits-Update 99.0.1150.46 für den Browser Edge

Mozilla entfernt Yandex und Mail.ru aus Firefox 98.0.1

Mozilla bringt mit Firefox 98.0.1 ein Update, das die Angebote der russischen Provider Yandex und Mail.ru aus den bisher angebotenen Versionen entfernt. Mozilla hat am Montag Firefox 98.0.1  für Windows, macOS und Linux mit einem speziellen Eintrag in den Release Notesveröffentlicht. „Yandex und Mail.ru wurden als optionale Suchanbieter aus dem Dropdown-Suchmenü in Firefox entfernt“, informierte Hersteller Mozilla. „Wenn Sie zuvor eine angepasste Version von Firefox mit Yandex oder Mail.ru installiert haben, die über Partner-Vertriebskanäle angeboten wurde, entfernt diese Version diese Anpassungen, einschließlich Add-ons und Standard-Lesezeichen. Wo dies der Fall ist, wird Ihr Browser auf die Standardeinstellungen zurückgesetzt, wie sie von Mozilla angeboten werden. Alle anderen Versionen von Firefox bleiben von dieser Änderung unberührt.“ Die Änderungen gelten für alle Firefox-Versionen, die als Distribution von Yandex, Mail.ru oder OK.ru ausgewiesen sind. Der Schritt kommt nur knapp eine Woche, nachdem der Browserhersteller Firefox 98.0 veröffentlicht hat. Das Update Firefox 98.0.1 kann über Hilfe -> Über Firefox -> Update auf Version 98.0.1 durchführen auch manuell eingespielt werden.

2022-03-15T11:45:50+02:00März 15th, 2022|Browser|Kommentare deaktiviert für Mozilla entfernt Yandex und Mail.ru aus Firefox 98.0.1

Browser Chrome 99 dichtet diverse Schwachstellen ab

Soeben hat Google seinen neuesten Browser Chrome 99 veröffentlicht und darin insbesondere mehrere Sicherheitslücken entschärft. Das Risiko dieser Schwachstellen stuft der Hersteller teilweise als hoch ein. Google hat jetzt den Webbrowser Chrome 99.0.4844.51 für die Betriebssysteme Linux, Mac und Windows  freigegeben. Damit schließt der Hersteller insgesamt 28 Sicherheitslücken, deren Risiko er bei neun der Schwachstellen als hoch einstuft. Wenigstens zwölf weitere Schwachstellen sind für Chrome-Nutzer eine mittelschwere Bedrohung. In seinem Blog-Beitrag zum Release spart Google wie immer mit Details zu den sicherheitsrelevanten Fehlern, damit die Benutzer Zeit haben, upzudaten, bevor die Lücken bekannt werden. Der Hersteller erwähnt aber, dass er auch weitere Fehlerbehebungen und Verbesserungen vorgenommen hat. Update automatisch oder schneller manuell Mehr über diese Fehlerbehebungen will Google dann in späteren Blog-Beiträgen berichten. Wie immer verteilt Google die Aktualisierung automatisch und streckt diesen Vorgang über die kommenden Wochen. Chrome-Benutzer können das aber auch beschleunigen, indem sie im Browser oben rechts auf die drei vertikal aufgereihten Punkte und dort dann auf "Hilfe" und abschließend auf "Über Chrome" klicken. Ist die neue Version noch nicht installiert, stößt das den Download und die Installation von Chrome 99 an. Mit einem Browser-Neustart wird der Vorgang dann abgeschlossen.

2022-03-02T18:06:59+02:00März 2nd, 2022|Browser, Sicherheit|Kommentare deaktiviert für Browser Chrome 99 dichtet diverse Schwachstellen ab

PHP schließt Sicherheitslücke mit Updates

Neue PHP-Versionen schließen häufig auch  Sicherheitslücken, die Angreifern ansonsten unter Umständen das Einschleusen von Schadcode erlauben könnten. Die PHP-Entwickler haben soeben neue Versionen der beliebten Programmiersprache veröffentlicht, die mindestens eine schwere Sicherheitslücke schließen. Das Problem an sich Wenn eine Filterfunktion FILTER_VALIDATE_FLOAT mit min- und max-Begrenzung genutzt wird und der Filter – angedeutet in den Changelogs der PHP-Maintainer etwa bei Integer-Werten – fehlschlägt, könnte dadurch eine Use-after-free-Lücke aufgehen. Das kann dann zu einem Absturz führen oder sogar zum Überschreiben von Speicherbereichen und in der Folge zur Ausführung untergeschobenen Schadcodes missbraucht werden (CVE-2021-21708, CVSS 8.2, Risiko hoch). Die betroffenen Versionen Das Problem betrifft PHP in den Versionen 7.4.x vor 7.4.28, 8.0.x vor 8.0.16 sowie 8.1.x vor 8.1.3. PHP 7.4.28 schließt ausschließlich die Sicherheitslücke. Version 8.0.16 (Changelog) und 8.1.3 (Changelog) beheben auch weitere, aber nicht sicherheitsrelevante Fehler, darunter auch Speicherlecks. Auf der PHP-Website finden Sie die Downloads etwa von aktualisierten Windows-Binärdateien, aber auch neue Quellcode-Pakete. Linux-Distributionen dürften jetzt auch bald aktualisierte Pakete verteilen. Administratoren, die PHP nutzen, sollten das Update möglicht umgehend einplanen und durchführen.

2022-02-28T23:38:10+02:00Februar 28th, 2022|Coding, PHP|Kommentare deaktiviert für PHP schließt Sicherheitslücke mit Updates
Nach oben