Tag-Archive for » Update «

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad „Hoch“ bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

CMS Joomla: Update auf Version 3.7

Über 1300 Änderungen und 700 neue Funktionen bringt das Joomla-Projekt in der gerade veröffentlichten Version 3.7 seines gleichnamigen Content-Management-Systems (CMS) als Open Source Software. Viele dieser Änderungen sind nur marginal, andere wiederum aber auch elementarer.

Deutlich mehr eigene Gestaltungsmöglichkeiten und Flexibilität sollen beispielsweise die eigenen Feldern (Custom Fields) bringen. Dazu stehen jetzt 15 unterschiedliche Feldtypen bereit, die der Administrator bereitstellen und die die Nutzer bei der Erstellung von Inhalten ausfüllen können.

Die „Custom Fields“ gestatten eine einheitliche Gestaltung des Layouts, auch wenn mehrere Redakteure die Inhalte zusammen erstellen. Die Felder lassen sich zu Feldgruppen zusammenfassen, die wiederum verschiedenen Kategorien oder Zugriffsebenen zugewiesen werden können.

Bei der Mehrsprachigkeit gibt es auch Verbesserungen. So können mit der neu eingeführten Komponente „Multilingual Associations“ Inhalte jetzt in einem Interface übersetzt werden. Auch die Anlage von neuen Artikeln wurde verbessert, so dass die Redakteure jetzt einen Menüpunkte, Artikel und Kategorien in einem Schritt erstellen können.

Tor-Browser 6.5 veröffentlicht

Leute, die sich für anonymes Surfen ohne Beobachtung durch wen auch immer interessieren, greifen normalerweise zum Tor-Browser des Tor-Projekts. Jetzt ist auch gerade ein passender Zeitpunkt dafür, weil das Tor-Projekt soeben eine neue Version des Browsers für Windows, Linux und Mac herausgebracht hat:

Seit vorgestern steht der Tor-Browser 6.5 auf der Homepage des Tor-Projektes zum kostenlosen Download bereit. Wer schon einen Tor-Browser zum anonymen Surfen auf seinem Rechner installiert hat, wird im Startbildschirm deutlich auf das verfügbare Update hingewiesen und kann Tor 6.5 dann direkt aus dem Browser heraus über das Zwiebel-Icon downloaden und installieren.

Das Changelog zum Tor-Browser 6.5 zeigt, was seit der letzten Version des Browsers alles überarbeitet wurde. Es gibt einen Eindruck davon, womit man sich unter Umständen herumärgern muss, wenn man auf das Update verzichte.

Zero-Day-Lücke in Firefox geschlossen

firefox-logoMozilla hat soeben seinen Browser Firefox auf die Version 50.0.2 aktualisiert. Das ist inzwischen schon das zweite Update außer der Reihe für den Feuerfuchs innerhalb einer Woche.

Mit diesem Patch schließen die Entwickler eine vorgestern bekannt gewordene kritische Zero-Day-Lücke, die insbesondere die Nutzer des Browsers als Tor-Browser für das Anonymisierungsnetzwerk The Onion Router (Tor) bedrohte.

Nach dem Security Advisory steckte das Problem in der Browser-Komponente SVG Animation: ein Use-after-free-Bug erlaubte es, Schadcode einzuschleusen und dann auch auszuführen. Davon betroffen sind Firefox 50.0.1 und ältere Versionen, das Extended Support Release 45.5.0 und der Email-Client Thunderbird in Version 45.5.0 und älter.

Das Firefox-Update kann man seit gestern manuell für Windows, Mac OS X und Linux von Mozillas Internetseite herunterladen. Vorhandene Firefox-Installationen sollten sich inzwischen schon automatisch aktualisiert haben.

Chrome bekommt eine Cast-Funktion

Google bringt ein Update für die aktuelle Version 51 von Chrome, mit der die bisher nur als Erweiterung verfügbare Cast-Funktion direkt in den Browser integriert wird. So müssen Nutzer das Symbol für die Google-Cast-Symbolleiste nicht mehr extra installieren, um ihr Cast-Gerät in Chrome nutzen zu können. Wer die Cast-Erweiterung schon installiert hat, kann sie aber auch weiter nutzen.

Nach vollzogenem Update taucht im Chrome-Menü zwischen den Punkten „Drucken“ und „Suchen“ zusätzlich die Option „Streamen“ auf, über die man die Cast-Funktion startet. Alternativ kann man im Browser mit der rechten Maustaste auf einen Seiten-Tab klicken, um auf die Funktion zuzugreifen.

Google Cast kann die Übertragung eines Browser-Tabs an einen mit einem Fernseher oder Monitor verbundenen Chromecast realisieren. Bisher ließen sich bei der Spiegelung auf ein Google-Cast-Gerät Optionen für Auflösung, Bitrate oder Qualität manuell festlegen – das wird jetzt automatisch angepasst.

Die Finalversion von Chrome 51 hatte Google schon Ende Mai veröffentlicht. Sie brachte diverse Neuerungen, beispielsweise eine Programmierschnittstelle, die die Anmeldung bei Websites vereinfachen soll, und eine Funktion zur Reduzierung des Stromverbrauchs bei Mobilgeräten – und wie immer auch diverse Sicherheitspatches.

Microsofts SQL Server 2016 ist verfügbar

Microsoft hat seine Datenbanklösung SQL Server 2016 wie angekündigt allgemein verfügbar gemacht.

Mehr als ein Jahr lang war sie schon als öffentliche Vorschauversion nutzbar gewesen. Die elfte Auflage der Microsoft-Datenbank bringt das wohl umfassendste Update in der Geschichte dieser Software.

In SQL-Server 2016 gibt es unter anderem neue Funktionen im Bereich relationaler Datenspeicherung, Business Intelligence und Information Management. Erstmals wurden auch komplexere Analytics-Funktionen direkt in die Datenbank integriert. Auf diese Weise gleicht Microsoft auch den Funktionsumfang wieder an den des Cloud-Ablegers Azure SQL Database an. Mit Stretch Database besteht jetzt sogar die Möglichkeit, lokale SQL-Server-Datenbanken mit solchen in Azure zu einer Hybridlösung zusammenzuführen.

Weitere Details zu Microsofts SQL Server 2016 finden Sie auch bei ZDNet.

Zend Server beherrscht jetzt PHP 7

Nach der Übernahme von Zend im Oktober 2015 hat Rogue Wave jetzt das erste große Zend Server Release bekannt gegeben.

Die Version 9 des Applikationsservers kann mit dem im Dezember 2015 veröffentlichten PHP 7 umgehen, was die Anwendungen merklich schneller machen soll.

Weitere Neuerungen sind Möglichkeiten zum Code Tracing und Black Box Recording, die bei der Entwicklung und im Betrieb helfen können, Fehlerquellen schneller zu finden.

Mit diesem Update stellt Rogue Wave außerdem Zend Server Professional Plus und Zend Server Enterprise Edition vor. Abonnenten dieser beiden Dienste können sich nicht nur bei Fragen zu Zend Server selbst an den Support des Unternehmens wenden, sondern sie haben auch Zugriff auf Experten zu weiteren Themen wie beispielsweise CentOS, Apache, MySQL und PHP.

Damit will Rogue Wave Hilfe beim Umgang mit dem Open-Source-Stack unter auf Zend Server gehosteten PHP-Anwendungen bieten.

Adobe patcht 25 Flash-Sicherheitslücken

flash-playerWie schon angekündigt hat Adobe jetzt ein Sicherheitsupdate für seinen Flash Player herausgegeben. Der Patch stopft insgesamt 25 Sicherheitslücken, die Adobe als kritisch einstuft. Dazu gehört unter anderem auch eine Zero Day-Lücke, die aktuell schon aktiv für Angriffe benutzt wird.

Von dem Problem sind alle aktuellen Flash-Versionen inklusive der in den Browsern Chrome, Internet Explorer 11 und Edge eingebundenen Plug-ins betroffen.

Laut einem Sicherheitsbulletin können Angreifer durch diese Lücken Schadcode einschleusen und ausführen. So ist es unter Umständen durchaus möglich, die komplette Kontrolle über ein solches System zu übernehmen.

Die Benutzer sollten so schnell wie möglich die fehlerbereinigten Versionen 21.0.0.242 oder 18.0.0.352 für Windows und OS X und 11.2.202.621 für Linux installieren, die Adobe über die integrierte Update-Funktion und über das Flash Player Download Center bereitgestellt hat.

Die nötigen Patches für die Microsoft-Browser IE 11 und Edge sind schon seit Dienstagabend online. Auch Google hat gestern ein Update für Chrome 50 bereitgestellt, das schon die aktuelle Flash-Player-Version enthält.

Im Grunde neigt sich die Zeit des proprietären Flash, das immer wieder neue Sicherheitsprobleme erzeugt, ihrem Ende zu, denn Flash wurde inzwischen weitestgehend vom Internet-Standard HTML 5 abgelöst.

Patch KB3133977 für Windows 7 kann Rechner lahmlegen

MSPatchdayDas schon einige Zeit verfügbare Update KB3133977 für Windows 7 beseitigt ein Problem mit dem betriebssystemeigenen Programm zur Verschlüsselung „Bitlocker“ – und macht auf einigen PCs mit ASUS-Motherboards Probleme.
Nach der Installation dieses Patches lässt sich das Betriebssystem nicht mehr starten und das UEFI-BIOS meldet eine „Secure Boot Violation„.
Das Sicherheitsmerkmal Secure Boot ist aber erst ab der Version 8 des Betriebssystems Windows .
Der Grundfehler mit diesem Update ist offenbar, dass das UEFI-BIOS nach der Installation fälschlicherweise davon ausgeht, das Betriebssystem sei zu Secure-Boot in der Lage.
WinSecureBootViolationErsten Meldungen von Benutzern zu diesem Problem gab es schon kurz nach Veröffentlichung des Patches im März. Allerdings ging man bei Microsoft offenbar diesen Meldungen nicht wirklich nach und setzte dann am 12. April den Status des Updates sogar von „optional“ auf „empfohlen“ herauf.
Dies nicht besonders schlaue Verhalten löste natürlich bei vielen Systemen mit ASUS-Mainboards nun auch die automatische Installation des fehlerhaften Patches aus und führte in der Folge zu noch deutlich mehr Fehlermeldungen.
Inzwischen wissen wir, daß Microsoft im Grunde nichts falsch gemacht hat, sondern daß der Hersteller der betroffenen Mainboards, die Firma ASUS, für diesen Fehler verantwortlich zeichnet.
Nach deren Hinweisen lässt sich das Problem aber zügig mit den Bordmitteln lösen. ASUS hat dazu eine gut bebilderte Schritt-für-Schritt-Anleitung veröffentlicht.

Chrome 49 schließt 26 Sicherheitslücken

Chrome-LogoHersteller Google hat gerade eine neue Version seines Browsers Chrome 49 zum Download bereitgestellt. Chrome 49 korrigiert viele Fehler und enthält zusätzlich auch neue Funktionen für Entwickler.

Hauptsächlich stopft das Update aber 26 Sicherheitslücken. Von mindestens acht der Anfälligkeiten geht ein hohes Risiko für Benutzer und Rechner aus. Angreifer könnten Schadcode einschleusen und auch ausführen.

Nutzer, die Chrome schon installiert haben, erhalten das Update automatisch – allerdings erst nach einem Neustart des Programms. Chrome 49 für Windows, Mac OS X und Linux kann alternativ auch von der Google-Website geladen werden.