Über GSL-Team

Der Autor hat bisher keine Details angegeben.
Bisher hat GSL-Team, 910 Blog Beiträge geschrieben.

Sicherheitsupdate für Microsofts Webbrowser Edge

Wer mit dem Microsoft Edge im Internet unterwegs ist, sollte den Browser umgehend auf den aktuellen Stand bringen, denn Angreifer nutzen aktuell schon eine Sicherheitslücke aktiv aus. In dem Browser haben die Entwickler insgesamt fünf Lücken geschlossen. Die schon ausgenutzte Schwachstelle (CVE-2020-15999) steckt in der Programmbibliothek FreeType. Viele Infos über diese Sicherheitslücke sind noch nicht bekannt aber Angreifer sollen darüber Speicherfehler auslösen können. Das führt dann meist zu einem DoS-Zustand, was eine Anwendung letztlich abstürzen lässt. Es ist aber auch die Ausführung von Schadcode möglich. Der Bedrohungsgrad wird als "hoch" eingeschätzt, schreibt Microsoft im Sicherheitscenter für Edge. So sind auch drei weitere Lücken eingestuft. Die fünfte Sicherheitslücke (CVE-2020-16003) hat die Einstufung "mittel". Dadurch kann es beim Drucken zu einem Speicherfehler (use after free) kommen. Sowohl Edge als auch Chrome basieren auf Chromium. Bei Edge ist die Ausgabe 86.0.622.51 abgesichert. Die abgesicherte Chrome-Ausgabe 86.0.4240.111 ist bereits erschienen.

2020-10-27T17:51:32+02:00Oktober 27th, 2020|Browser, Sicherheit|Kommentare deaktiviert für Sicherheitsupdate für Microsofts Webbrowser Edge
Weiterlesen

Aktiv ausgenutzte Lücke in Browser Chrome geschlossen

Google hat die stabile Version seines Webbrowsers Chrome für Windows, macOS und Linux auf Version 86.0.4240.111 upgedatet. Mit dieser neuen Version werden fünf Sicherheitslücken geschlossen, vier davon stellen nach Einschätzung der Entwickler ein hohes Sicherheitsrisiko für die Benutzer dar. Eine von den geschlossenen Lücken wird eine laut Googles Project Zero schon aktiv von Angreifern ausgenutzt. Deshalb sollten die Nutzer nach dem Update schauen, das in den kommenden Tagen und Wochen verteilt werden soll. Sicherheitslücke in FreeType abgedichtet Wie üblich haben die Entwickler dieSchwachstellen und die Security-Fixes in einem aktuellen Blogeintrag zum Chrome Stable Channel Update dokumentiert, die externe Sicherheitsforscher entdeckt und gemeldet hatten. Mit genaueren Details zu den Lücken CVE-2020-16000 in der Blink Browser-Engine, CVE-2020-16001 ("Use after free in media"), CVE-2020-16002 in PDFium, CVE-2020-15999 in FreeType sowie zur einzigen "Medium"-Lücke CVE-2020-16003 ("Use after free in printing") hält sich der Blogeintrag wie immer sehr zurück: Zugriff auf Details der Sicherheitslücken gibt es erst, wenn die meisten Benutzer das Update installiert haben. So soll das Risiko aktiver Angriffe auf noch nicht dagegen geschützte Systeme verkleinert werden. Über die Lücke CVE-2020-15999 in der Programmbibliothek FreeType finden solche Angriffe allerdings wohl aktuell schon statt. Auf Twitter teilte Project Zero-Mitarbeiter Ben Hawkes mit, dass die Chrome-Entwickler sehr schnell auf die Warnung des Teams reagiert hätten. [...]

2020-10-21T22:46:03+02:00Oktober 21st, 2020|Allgemein, Browser, Coding, Sicherheit, Webwerkzeuge|1 Kommentar
Weiterlesen

LibreOffice-Update 7.0.2 behebt 131 Fehler

Vor zwei Monaten bekam die kostenlose Büro-Software LibreOffice ein Riesen-Update auf die Version 7 – und damit leider auch ungewöhnlich viele Bugs. Ein wichtiges Wartungs-Update korrigiert jetzt die Fehler. LibreOffice gilt als die beliebteste OpenSource-Alternative zu Microsoft Office und ist inzwischen schon lange selbst eine Standard-Software. Wer aber Anfang August das große Update auf die neue Hauptversion LibreOffice 7 wagte, holte sich aber mit den vielen neuen Funktionen leider auch jede Menge Programmfehler auf den Rechner. Diese Fehler hat der Hersteller "The Document Foundation" jetzt mit seinem Wartungs-Update 7.0.2 beseitigt. Das Update behebt sagenhafte 131 Fehler Die Gratis-Alternative zu Microsofts Office-Paket, LibreOffice mit seinen Komponenten Writer, Calc und Impress, gestattet die Bearbeitung und Sicherung von Word-, Excel- und PowerPoint-Dateien. Außerdem bietet die Software mit dem Zeichentool Draw, dem Formel-Editor Math Formel und der Datenbank-Software Base weitere nützliche Tools. Das Wartungs-Update bringt die freie Bürosuite auf die Versionsnummer 7.0.2 und behebt satte 131 Programmfehler. Um diese ungewöhnlich hohe Fehlerzahl aufzulisten, musste der Hersteller die Release Notes dazu sogar erstmalig auf zwei Dokumente aufteilen – die Versionen heißen RC1 und RC2. Die behobenen Fehler zeigten sich in zahlreichen Ärgernissen wie Abstürzen und "zerschossenen“ Layouts. Beim Export von PDF-Dateien wurden Labels nicht übernommen, beim Korrigieren von Wörtern über das Kontextmenü verschwanden plötzlich alle Bilder aus dem Dokument [...]

2020-10-19T08:41:50+02:00Oktober 19th, 2020|Allgemein, Webwerkzeuge|Kommentare deaktiviert für LibreOffice-Update 7.0.2 behebt 131 Fehler
Weiterlesen

Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul

Wer bei seinem Content-Management-System (CMS) Drupal Version 8 das OAuth-Server-Modul installiert hat, läuft Gefahr, über SQL-Injection angegriffen zu werden und sollten so schnell wie möglich ein Update auf das OAuth-Server-Modul für Drupal 8 auf die Version 8.x-1.1 durchführen. Nach einem aktuellen Sicherheitshinweis sind ältere Versionen des OAuth-Server-Moduls anfällig für Angriffe über SQL Injection. Die neue Version 8.x-1.1 schließt die als „moderat kritisch“ bewertete Lücke. Leider kann man dem Security Advisory SA-CONTRIB-2020-034 keine Details beispielsweise zu möglichen Konsequenzen eines erfolgreichen Angriffs auf die mit "moderately critical" bewertete Lücke entnehmen. Verwundbar soll der der komplette Versionszweig 8.x sein, weshalb auch die Entwickler ein Update auf die abgesicherte OAuth-Server-Modulversion 8.x-1.1 empfehlen.

2020-10-16T20:05:54+02:00Oktober 16th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul
Weiterlesen

Kartellrecht: Chrome könnte von Google getrennt werden

Die Regierung der USA denkt offenbar über einen Zwangsverkauf von Googles populärem Browsers Chrome nach. Diese Überlegungen sollen das Justizministerium und Ermittler im Zusammenhang mit eventuellen Verstößen gegen das Kartellrecht angestellt haben, weiß das US-Magazin Politico unter Berufung auf drei nicht namentlich genannte Personen, die mit den Diskussionen vertraut sein sollen, zu berichten. Damit könnten Überlegungen im Zusammenhang mit einem Kartellrechtsverfahren zum ersten Fall der Zerschlagung eines US-Konzerns seit Jahrzehnten führen, hieß es weiter bei Politico. Noch seien die internen Klärungen nicht abgeschlossen, schreibt das Magazin. Aber die Ermittler hätten sich schon mit Experten für Online-Marketing und Vertretern von Internetkonkurrenten und Verlagen getroffen und überlegt, wie Googles Kontrolle über einen großen Teil des weltweiten Werbemarktes im Internet geschwächt werden kann. Wettbewerbsklage zu Android wird vorbereitet Außerdem bereite das Justizministerium gerade eine Klage gegen Google vor, die schon in dieser Woche eingereicht werden könnte. Hier soll es unter anderem darum gehen, dass der Google-Konzern seine Marktmacht bei dem Smartphone-Betriebssystem Android ausnutzt, um den eigenen Suchdienste gegenüber der Konkurrenz Vorteile zu verschaffen. Aus demselben Grund hat auch die EU-Kommission schon im Juli 2018 eine Milliardenstrafe gegen Google verhängt. Bei diesen Beratungen habe sich herauskristallisiert, dass der Verkauf von Chrome durch Google eventuell geeignet wäre, die Marktmacht des Suchmaschinenkonzerns zu beschneiden. [...]

2020-10-14T06:33:55+02:00Oktober 14th, 2020|Allgemein, Browser|Kommentare deaktiviert für Kartellrecht: Chrome könnte von Google getrennt werden
Weiterlesen

BSI-Sicherheitswarnung zu Exchange-Server-Lücken

Wer auch einen Exchange Server administriert, sollte die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor kritischen Lücken in Microsoft Exchange Server jetzt ernst nehmen. Es liegen zwar schon Updates für diese Anfälligkeiten vor, aber nach einer Analyse des BSI sollen immer noch Zehntausende in Deutschland betriebene Exchange Server ungepatcht sein. Die drei Schwachstellen im Detail Dabei geht es der Behörde vor allem um die drei Schwachstellen mit den Kennungen CVE-2020-0688, CVE-2020-0692 und CVE-2020-16875, für die zum Teil schon Exploit-Code öffentlich verfügbar ist. Die Sicherheitslücke CVE-2020-0688 soll sogar schon für gezielte Angriffe ausgenutzt werden. Die erstgenannten zwei Lücken erlauben unter Umständen die vollständige Kompromittierung eines Exchange Servers bzw. die nicht autorisierte Ausweitung der Benutzerrechten. Davon betroffen sind Exchange Server 2010, 2013, 2016 und 2019. Über die dritte Lücke (CVE-2020-16875) lässt sich möglicherweise auch Schadcode aus der Ferne einschleusen und ausführen - allerdings nur nach vorheriger korrekter Authentifizierung. Dies Problem tritt beim Exchange Server Version 2016 und 2019 auf. Tipps vom BSI „Die anfälligen Dienste der Microsoft Exchange Server sollten grundsätzlich nicht öffentlich erreichbar sein. Trotzdem sind nach wie vor viele Exchange-Server über Exchange Web Services öffentlich erreichbar und mehrere Tausend Exchange Server anfällig für CVE-2020-0688“, steht in der aktuellen Warnung des BSI. „Die von der Firma Rapid [...]

2020-10-08T17:56:03+02:00Oktober 8th, 2020|Allgemein, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für BSI-Sicherheitswarnung zu Exchange-Server-Lücken
Weiterlesen

Chrome 86 kommt mit verkürzten URLs, Warnungen und Passwortcheck

Der Google-Browser Chrome 86 ist ab sofort für alle unterstützten Betriebssysteme als Desktop- und Mobilversion verfügbar. Die Version 86 zeigt verkürzte URLs und unsichere Downloads an und bringt außerdem einen Passwortcheck mit. Änderung der URL-Anzeige Wie schon angekündigt, hat Chrome 86  erneut die Anzeige von URLs geändert. Diese sind zunächst nur noch teilweise sichtbar, wobei der Fokus auf der Domain liegt. Nach einem Klick in die Adresszeile kann man dann die komplette URL sehen. Die Modifikation kommt aber noch nicht zu allen Anwendern, es handelt wsich zunächst um einen Testlauf. Google hat schon mehrfach mit der Anzeige in der Adresszeile experimentiert. Vergangenes Jahr verschwanden zum Beispiel "www" und "https://", was bei allem Nutzern nicht gerade auf Begeisterung stieß. Google sieht darin zwar Vorteile, weil es mehr Übersicht schaffe, aber Kritiker meinen, dass es wichtige Bestandteile der URL seien, um zu wissen, wo man sich befindet Der neue Passwortcheck Durch den neuen Passwortcheck warnt Chrome Benutzer vor kompromittierten Passwörtern, die bei irgendeiner Datenpanne abgegriffen wurden. Um den Nutzern mehr Sicherheit zu bieten, hofft Google, dass ihnen eine Erleichterung beim Ändern eines solchen Passworts hilft. Außer der Warnung soll auch eine Weiterleitung zur der Seite, auf der man das Passwort erneuern kann, angezeigt werden. Dafür müssen allerdings letztlich die [...]

2020-10-07T10:51:11+02:00Oktober 7th, 2020|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Chrome 86 kommt mit verkürzten URLs, Warnungen und Passwortcheck
Weiterlesen

Microsofts Edge hat Mozillas Firefox endgültig überholt

Der Microsoft-Browser Edge hat im September nach dem Ranking von Netmarketshare weltweit einen Marktanteil von 8,84 % erreicht und ist damit wieder vor dem Mozilla-Browser Firefox (7,19 %) als Desktop-Browser gelandet. Nach einigen Wechseln auf den Plätzen zwei und drei bei den Browsern scheint Edge den Firefox nun endgültig überholt zu haben. Googles Platzhirsch Chrome steht mit 69,94 Prozent mit großem Abstand an der Spitze, hat aber die 70-Prozent-Marke jetzt unterschritten. Die Daten stammen von Netmarketshare, die regelmäßig den Browsermarkt untersuchen. Im selben Monat des Vorjahres lag Micsorofts Edge noch 3,46 Prozent unter seinem jetzigen Marktanteil. Platz vier im Ranking belegt der Internet Explorer mit 3,88 %, danach steht Apples Safari mit 3,57 % am Ende der Top Five. In Deutschland ist Chrome weniger stark In Deutschland hat Statcounter Zahlen zur Browsernutzung am Desktop gesammelt. Bei uns sieht das Ranking allerdings etwas anders aus. Danach hat Chrome 47,72 % Marktanteil, Firefox 23,08 %, Safari 10,29 %, der Internet Explorer 4,43 % und Edge Legacy noch 1,75 %. Microsoft dürfte die Positionierung seines Browsers weiter verbessern können, wenn mit dem Oktober-Update von Windows 10 wieder mehr Nutzer den neuen Edge-Browser auf Chromium-Basis erhalten. Denn der ist nämlich erst jetzt serienmäßig in Windows 10 enthalten. Aus diesem Grund [...]

2020-10-06T18:01:37+02:00Oktober 6th, 2020|Browser, Webwerkzeuge|Kommentare deaktiviert für Microsofts Edge hat Mozillas Firefox endgültig überholt
Weiterlesen

MD5-Passwörter mit PHP erzeugen

Noch immer findet man sehr einfache Schutzmechanismen, die mit Klartext-Passwörtern arbeiten, welche im Quellcode der entsprechenden Routinen abgespeichert sind. Jeder, der Zugriff auf diese Routinen hat, kann solche Passwörter problemlos auslesen und dann missbrauchen. Die Sicherheit bei der Speicherung solcher Passwörter lässt sich mit einem MD5-Hash zwar nicht perfektionieren, aber doch recht deutlich verbessern. Und das lässt sich auch schon recht einfach mit PHP-Bordmitteln realisieren: <?PHP //Eine Zufallszahl zwischen 1000 und 9999 erzeugen $zzahl = mt_rand(1000, 9999); // MD5-Hash aus Zufallszahl und aktueller Zeit bilden $zahlzeit = md5($zzahl.microtime()); $passwort = substr($zahlzeit, "0" ,"8");  //Die Zahl 8 definiert dabei die Länge des Passworts echo $passwort;?> Dieser Codeschnipsel erzeugt ein 8-stelliges (maximal 32-stelliges) Passwort aus Buchstaben und Zahlen. Man muss hier darauf hinweisen, dass sich nicht alle Anforderungen an ein sicheres Passwort mit MD5 erfüllen lassen. Es ist zum Beispiel lange bekannt, dass voneinander verschiedene Zeichenfolgen durchaus denselben Hashwert liefern könnten. Ein MD5-Hash ist aber schon deutlich sicherer als die Speicherung eines Passwortes innerhalb der Routine im Klartext!

2020-10-05T09:28:50+02:00Oktober 5th, 2020|Allgemein, PHP, Sicherheit|Kommentare deaktiviert für MD5-Passwörter mit PHP erzeugen
Weiterlesen

Let’s Encrypt wechselt sein Zertifikat

Die bekannte kostenlose Zertifizierungsstelle Let's Encrypt wechselt in Kürze ihr Zwischenzertifikats. Im nächstes Jahr soll standardmäßig ein Zwischenzertifikat genutzt werden, das nicht mehr von der Zertifizierungsstelle Identrust signiert ist, denn dieses alte Zwischenzertifikat läuft bald ab. Normalerweise werden TLS-Zertifikate über Zertifikatsketten geprüft. Die Browser und anderen HTTP-Clients führen eine Liste von Root-Zertifikaten, denen sie vertrauen. Die zugehörigen privaten Schlüssel dieser Zertifikate werden zur Signierung von Zwischenzertifikaten benutzt. Mit den Schlüsseln der signierten Zwischenzertifikate werden dann die eigentlichen Webseitenzertifikate signiert. Es sind dabei auch längere Zertifikatsketten mit mehreren Zwischenzertifikaten möglich. Die Identrust-Signatur ermöglichte den Start von Let's Encrypt Eine neue Zertifizierungsstelle braucht eine lange Zeit,  bis das eigene Zertifikat von allen wichtigen Browsern und Betriebssystemherstellern aufgenommen wird. Deshalb verwendete Let's Encrypt kein eigenes Root-Zertifikat, als es vor 5 Jahren in Betrieb ging, sondern ließ sich das eigene Zwischenzertifikat von der Zertifizierungsstelle Identrust signieren. Und jetzt ist dieses Zwischenzertifikat nur noch bis März 2021 gültig. Die Mutter von Let's Encrypt, die Internet Security Research Group, erstellte aber schon 2015 ein eigenes Root-Zertifikat und bemüht sich seither darum, dass dieses in die Root-Zertifikatslisten aufgenommen wird. Inzwischen unterstützen alle gängigen Web-Clients das eigene Root-Zertifikat Zertifikat von Let's Encrypt, weshal in Zukunft dieses Zertifikat und ein davon signiertes Zwischenzertifikat genutzt werden soll.

2020-09-18T18:05:47+02:00September 18th, 2020|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Let’s Encrypt wechselt sein Zertifikat
Weiterlesen
Nach oben