Über GSL-Team

Der Autor hat bisher keine Details angegeben.
Bisher hat GSL-Team, 910 Blog Beiträge geschrieben.

Notfallupdate: Angriffe auf Firefox und Thunderbird

Mozilla hat außer der Reihe Sicherheitsupdates für die Programme Firefox, Klar und Thunderbird herausgegeben, die schon aktiv angegriffene Lücken darin schließen. Zwei dieser Sicherheitslücken mit der Risikoeinstufung "kritisch" schließt die Mozilla-Foundation außer der Reihe mit Updates der Webbrowser Firefox und Klar sowie des Mailers Thunderbird. Diese Anwendungen werden schon aktiv von Cyberkriminellen angegriffen. Administratoren und Benutzer sollten die Updates jetzt rasch installieren. Die Sicherheitslücken dichten die neuen Versionen Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Firefox Klar 97.3.0 (Privater Browser - die Firefox-Version mit aktiviertem Tracking-Schutz und Werbeblocker, in Englisch als Focus bekannt) sowie Thunderbird 91.6.2 ab. Weiterreichende Details zu den Lücken nennt die Mozilla-Stiftung nicht. Es gibt noch keine Details Die Sicherheitsmeldung der Mozilla-Entwickler gibt nur die CVE-Nummern und eine grobe Beschreibung der Schwachstellen an. Bei beiden Lücken treten die Fehler durch das sogenannte "Use-after-free" auf, also der Nutzung eines Zeigers auf Speicherbereiche, die eigentlich schon wieder freigegeben wurden. Die Auswirkungen dieser Art Sicherheitslücken variieren generell von der Möglichkeit, Daten zu manipulieren über den Absturz der Programme bis hin zur Ausführung eingeschleustem Schadcode auf dem Rechner. Der Besuch einer „bösen“ Internetseite reicht aus Bei beiden Lücken kann das Öffnen einer entsprechend präparierten Webseite ausreichen, um die Lücke zu missbrauchen. Die eine Lücke kann unter Umständen aufgehen, wenn XSLT-Parameter entfernt werden, erläutert Ubuntu [...]

2022-03-07T11:35:13+02:00März 7th, 2022|Allgemein, Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Notfallupdate: Angriffe auf Firefox und Thunderbird
Weiterlesen

Browser Chrome 99 dichtet diverse Schwachstellen ab

Soeben hat Google seinen neuesten Browser Chrome 99 veröffentlicht und darin insbesondere mehrere Sicherheitslücken entschärft. Das Risiko dieser Schwachstellen stuft der Hersteller teilweise als hoch ein. Google hat jetzt den Webbrowser Chrome 99.0.4844.51 für die Betriebssysteme Linux, Mac und Windows  freigegeben. Damit schließt der Hersteller insgesamt 28 Sicherheitslücken, deren Risiko er bei neun der Schwachstellen als hoch einstuft. Wenigstens zwölf weitere Schwachstellen sind für Chrome-Nutzer eine mittelschwere Bedrohung. In seinem Blog-Beitrag zum Release spart Google wie immer mit Details zu den sicherheitsrelevanten Fehlern, damit die Benutzer Zeit haben, upzudaten, bevor die Lücken bekannt werden. Der Hersteller erwähnt aber, dass er auch weitere Fehlerbehebungen und Verbesserungen vorgenommen hat. Update automatisch oder schneller manuell Mehr über diese Fehlerbehebungen will Google dann in späteren Blog-Beiträgen berichten. Wie immer verteilt Google die Aktualisierung automatisch und streckt diesen Vorgang über die kommenden Wochen. Chrome-Benutzer können das aber auch beschleunigen, indem sie im Browser oben rechts auf die drei vertikal aufgereihten Punkte und dort dann auf "Hilfe" und abschließend auf "Über Chrome" klicken. Ist die neue Version noch nicht installiert, stößt das den Download und die Installation von Chrome 99 an. Mit einem Browser-Neustart wird der Vorgang dann abgeschlossen.

2022-03-02T18:06:59+02:00März 2nd, 2022|Browser, Sicherheit|Kommentare deaktiviert für Browser Chrome 99 dichtet diverse Schwachstellen ab
Weiterlesen

PHP schließt Sicherheitslücke mit Updates

Neue PHP-Versionen schließen häufig auch  Sicherheitslücken, die Angreifern ansonsten unter Umständen das Einschleusen von Schadcode erlauben könnten. Die PHP-Entwickler haben soeben neue Versionen der beliebten Programmiersprache veröffentlicht, die mindestens eine schwere Sicherheitslücke schließen. Das Problem an sich Wenn eine Filterfunktion FILTER_VALIDATE_FLOAT mit min- und max-Begrenzung genutzt wird und der Filter – angedeutet in den Changelogs der PHP-Maintainer etwa bei Integer-Werten – fehlschlägt, könnte dadurch eine Use-after-free-Lücke aufgehen. Das kann dann zu einem Absturz führen oder sogar zum Überschreiben von Speicherbereichen und in der Folge zur Ausführung untergeschobenen Schadcodes missbraucht werden (CVE-2021-21708, CVSS 8.2, Risiko hoch). Die betroffenen Versionen Das Problem betrifft PHP in den Versionen 7.4.x vor 7.4.28, 8.0.x vor 8.0.16 sowie 8.1.x vor 8.1.3. PHP 7.4.28 schließt ausschließlich die Sicherheitslücke. Version 8.0.16 (Changelog) und 8.1.3 (Changelog) beheben auch weitere, aber nicht sicherheitsrelevante Fehler, darunter auch Speicherlecks. Auf der PHP-Website finden Sie die Downloads etwa von aktualisierten Windows-Binärdateien, aber auch neue Quellcode-Pakete. Linux-Distributionen dürften jetzt auch bald aktualisierte Pakete verteilen. Administratoren, die PHP nutzen, sollten das Update möglicht umgehend einplanen und durchführen.

2022-02-28T23:38:10+02:00Februar 28th, 2022|Coding, PHP|Kommentare deaktiviert für PHP schließt Sicherheitslücke mit Updates
Weiterlesen

Google veröffentlicht Sicherheitsupdates für Browser Chrome

Hersteller Google warnt vor möglichen Angriffen auf seinen Browser Chrome und stellt eine dagegen abgesicherte Version für die Betriebssysteme Linux, macOS und Windows bereit. Wie immer stehen in der Warnmeldung nur wenige Details zu den insgesamt elf geschlossenen Sicherheitslücken in Googles Browser Chrome. Die knappen Beschreibungen lassen aber vermuten, dass böswillige Angreifer nach erfolgreichen Attacken Schadcode ausführen könnten, was auch die Einstufung mit dem Bedrohungsgrad „hoch“ annehm,en lässt. Sicherheitsupdates sind ab sofort verfügbar Für eine der geschlossenen Sicherheitslücken (CVE-2022-0609) gibt es laut Google schon Exploit-Code, weshalb Attacken auch kurz bevorstehen könnten. Wer also mit dem Browser Chrome im Internet surft, sollte jetzt sicherstellen, dass auf seinem Rechner auch die aktuelle Version Chrome 98.0.4758.102 installiert ist.

2022-02-15T11:39:36+02:00Februar 15th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Google veröffentlicht Sicherheitsupdates für Browser Chrome
Weiterlesen

Kritische Lücken in PHP Everywhere erlauben WordPress-Übernahme

Durch eine kritische Sicherheitslücke in dem Plugin PHP Everywhere hätten Angreifer beliebigen Code in WordPress-Instanzen ausführen können. Ein Update des Plugins steht zum Update bereit. Sicherheitslücken im Plug-in PHP Everywhere, das auf über 30.000 WordPress-Seiten installiert wurde, erlauben Angreifern das Einschleusen von Schadcode. Sie könnten dadurch die WordPress-Seiten übernehmen. Dazu reichen die Rechte eines normalen Nutzers aus, bestätigt das IT-Sicherheitsunternehmen Wordfence. Die Plug-in-Entwickler haben die Lücken jetzt mit einer aktualisierten Version geschlossen. Es gab mehrere Sicherheitslücken in dem Plugin Insgesamt listen die Forscher in der Sicherheitsmeldung dazu sogar drei Sicherheitslücken auf. Die erste machte es allen angemeldeten Nutzern möglich, über Shortcodes beliebigen Code einzuschleusen (CVE-2022-24663, CVSS 9.9, Risiko kritisch). Diese Shortcodes sind Funktionen, die WordPress zum Beispiel in Tabellen oder Bildergalerien anbietet. So hätten Angreifer zum Beispiel mit dem Shortcode „php_everywhere“ beliebiges PHP ausführen lassen und damit die WordPress-Installation übernehmen können: „php_everywhere]<beliebiges PHP>[/php_everywhere“. Für das Ausnutzen der zweiten Schwachstelle waren allerdings Contributor-Rechte nötig. Damit konnten Angreifer einen Post erstellen, beliebigen PHP-Code in die PHP Everywhere Metabox einfügen und den Code dann durch das Öffnen der Vorschau ausführen lassen köännen (CVE-2022-24664, CVSS 9.9, kritisch). Die dritte Sicherheitslücke steckt in PHP Everywheres  Block des Standard-Editors von PHP Gutenberg, den Nutzer mit Contributor-Rechten genauso missbrauchen könnten (CVE-2022-24665, CVSS 9.9, kritisch). Das Update sollte zügig installiert werden Es ist noch nicht klar, [...]

2022-02-10T11:51:03+02:00Februar 10th, 2022|CSS, PHP, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Kritische Lücken in PHP Everywhere erlauben WordPress-Übernahme
Weiterlesen

Framework Nuxt in Version 3 veröffentlicht

Zusammen mit der Version 3 von Vue.js ist auch Nuxt 3 erschienen. Ein guter Zeitpunkt, ein kleines Test-Projekt zu erstellen und dem interaktiven Framework eine Chance zu geben. Grundlage für Nuxt ist Vue.js Die Basis Vue.js ist ein interaktives Javascript-Framework, welches damit erstellten Webseiten das Feeling einer echten Anwendung verleihen soll. Dabei gibt es keine harten Seitenreloads, die Daten werden dynamisch im Hintergrund geladen und automatisch zwischen Datenmodell und Anzeige ausgeliefert. Auch Ladezeiten zwischen den Seiten gibt es nicht mehr, stattdessen kann man hübschen Animationen zwischen zwei Ansichten einsetzen, um den Nutzern ein perfektes User-Interface (UI) und eine entsprechende User Experience (UX) anzubieten. Struktur und Überblick im Projekt Das Framework Nuxt 3 wurde auf Basis von Vue.js entwickelt. Diese IDE  liefert den Rahmen für Webprojekte und ergänzt Vue.js durch ein Struktur-Boilerplate, das hilft, schneller, sauberer und effizienter zu programmieren. Es stellt ein automatisches Mapping für Routes bereit, integriert sämtliche Komponenten automatisch und lässt auch Module und Plugins installieren. Ganz besonders hilft Nuxt 3 auch dabei, Struktur und Überblick im Projekt zu bewahren, damit der  Code sauber gehalten wird. Screenshot: NuxtJS.org

2022-02-07T11:44:30+02:00Februar 7th, 2022|Coding, Javascript, Webwerkzeuge|Kommentare deaktiviert für Framework Nuxt in Version 3 veröffentlicht
Weiterlesen

Nicht mehr unterstützte Drupal-Erweiterungen deinstallieren

Weil die Entwickler Sicherheitslücken in ihren Erweiterungen nicht geschlossen haben, hat Drupal diese auf den Status "unsupported (nicht unterstützt)“ gesetzt und rät zur Deinstallation. Auf seiner Webseite listet Drupal viele Erweiterungen auf, mit dem die Admins das CMS erweitern können. Jetzt haben die Entwickler verschiedene dieser Erweiterungen in den Status "unsupported" versetzt, weil deren Entwickler nicht auf Meldungen von Sicherheitslücken reagiert und diese auch nicht beseitigt haben. Das Risiko durch diese Erweiterungen stufen die Drupal-Macher als kritisch ein und empfehlen den Nutzern, die betroffenen Erweiterungen jetzt zu deinstallieren. Große Zahl von Erweiterungen ohne Unterstützung Die Liste auf Drupals contrib-Seite enthält aktuell 16 Erweiterungen mit bekannten Sicherheitslücken, bei denen bisher niemand diese Schwachstellen beseitigt hat. Dabei geht es um diese Erweiterungen: Printer, email and PDF versions, Image Media Export Import, Remote Stream Wrapper, Vendor Stream Wrapper, Cog, Media Entity Flickr, Vocabulary Permissions Per Role, Exif, Business Responsive Theme, Swiftype integration, Rate, Expire reset password link, Admin Toolbar Search, Colorbox, Taxonomy Access Control Lite, Prevent anonymous users to access Drupal pages. Solange diese Drupal-Erweiterungen noch keine neuen Betreuer haben, sollten sie dringend deinstalliert werden. Ansonsten könnten Angreifer möglicherweise die bekannten Schwachstellen dafür ausnutzen, in verwundbare Drupal-Instanzen einzudringen.

2022-01-28T12:20:22+02:00Januar 28th, 2022|CMS, Sicherheit|Kommentare deaktiviert für Nicht mehr unterstützte Drupal-Erweiterungen deinstallieren
Weiterlesen

Google schließt kritische Sicherheitslücke in Chrome

In der neuesten Version des Google-Browsers Chrome schließt der Hersteller zahlreiche Schwachstellen. Zumindest eine davon stuft Google als kritisch ein. Google dichtet 26 Sicherheitslücken in Chrome 97.0.4692.99 für Windows, Mac und Linux im Stable-Kanal ab. Wie meistens hält sich Google auch diesmal mit Informationen und Details zu den geschlossenen Lücken aus Sicherheitsgründen noch bedeckt. Von den 26 Lücken listet das Unternehmen auch nur 22 auf. Eine davon betrifft das Safe Browsing, das vor dem Besuch schädlicher Webseiten oder dem Download von Malware warnt und als "kritisch" eingestuft ist. Angreifer könnten die Lücke beispielsweise beim Besuch einer Internetseite zum Einschleusen und Ausführen von Schadcode missbrauchen. Es gibt noch zahlreiche weitere Sicherheitslücken Bei den öffentlich gemachten Schwachstellen stuft Google bei 16 weiteren das Risiko als "hoch" ein. Besonders häufig sind daunter "use-after-free"-Probleme, also etwa die Nutzung von Zeigern oder Speicherbereichen, nachdem diese schon freigegeben wurden. Das kann meist leicht zur Ausführung von Schadcode missbraucht werden. Fünf weitere Lücken bewertet Google mit dem Risiko "mittel". Normalerweise verteilt Google die Aktualisierungen für den Browser automatisch. Nach der Ankündigung im Google Chrome Release Blog soll das in den kommenden Tagen passieren. Chrome zeigt nach dem Update statt des Drei-Punkte-Menüs oben rechts in der Navigationsleiste ein Symbol, das den Benutzer auf einen notwendigen [...]

2022-01-20T11:46:15+02:00Januar 20th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Google schließt kritische Sicherheitslücke in Chrome
Weiterlesen

Groß- und Kleinschreibung löste Firefox-Probleme aus

Der Fehler, der zu weltweiten Ausfällen des Browsers Firefox führte, ist jetzt durch Mozilla behoben worden. Der Auslöser kommt bei Software-Projekten häufig vor. Die Groß- und Kleinschreibung hat zugeschlagen Mozilla hat den Fehler in seiner HTTP/3-Umsetzung jetzt aufgespürt, der für den weltweiten Ausfall des Firefox-Browsers gesorgt hatte. Recht  schnell nach dem Ausfall ist bekannt geworden, dass eine Änderung bei einem von Mozilla genutzten Cloud-Dienst den Fehler ausgelöst hat. Aus dem dazugehörigen Bug-Report geht hervor, dass der offenbar das Header-Feld Content-Length: geändert hat, und der Firefox das Feld daraufhin falsch geparst hat. Im Bug-Report dazu ist zu lesen, das der Firefox-Code beim Parsen der HTTP-Header auf eine Funktion stoße, die das Feld Content-Length:  nur verarbeitet, wenn es in Großbuchstaben geschrieben sei. Im konkreten Fall war es aber klein geschrieben, so dass aus dem Header nicht die Länge berechnet werden konnte. Und genau das zwang den Firefox- Code dann in die Endlosschleife. Die nötigen Patches zur Fehlerbehebung sind dementsprechend simpel nachvollziehbar: Nach dem Patchen wird die Groß- und Kleinschreibung des Headers in Zukunft nicht mehr betrachtet. Außerdem hat das Team den Fehler mit der Endlosschleife behoben, so dass auch der künftig nicht mehr auftreten sollte. Trotz des Parsing-Fehlers wäre der Browser damit zumindest noch nutzbar gewesen. Das alte Problem ist bisher nie aufgefallen Dass die Groß- und Kleinschreibung [...]

2022-01-14T12:27:21+02:00Januar 14th, 2022|Browser, Coding, HTML, Webwerkzeuge|Kommentare deaktiviert für Groß- und Kleinschreibung löste Firefox-Probleme aus
Weiterlesen

Ladefehler und Abstürze beim Browser Firefox

Seit heute Morgen kämpft der Webbrowser Firefox mit massiven Störungen: Die Webseiten laden nicht richtig, aber es gibt schon Workarounds dagegen. Seit heute Morgen tritt eine massive Störung bei Mozillas Browser Firefox auf. Viele Benutzer berichten in den sozialen Medien von Browserabstürzen und nicht ladenden Internetseiten. Das passiert auch mit der gerade erst veröffentlichten Version 96 des Web-Browsers und nicht nur mit älteren Versionen des Programms. Die Beiträge dazu auf Reddit, Twitter und in lassen darauf schließen, dass diese Probleme auch international weit verbreitet sind. Der Störungsmelder allestörungen.de führt den Firefox nicht direkt, aber wenn man sich den Eintrag zu Web.de ansieh,(häufige als Startseite von Firefox genutzt), sieht man ab etwa 8 Uhr Hunderte von Störungsberichten. Die ersten Workarounds Im Internet finden sich verschiedene Workarounds, die gegen die Probleme helfen können. So berichtet etwa ein User auf Reddit, dass er die Firefox-Fehler dadurch beenden konnte, dass er im Menü about:config (in die URL-Leiste eingeben) den HTTP3-Support in "network.http.http3.enabled" auf "false" umstellte. Beide Workarounds funktionieren nach einem Neustart. DieVersion Firefox 96 wurde vorgestern am 11. Januar veröffentlicht und lief zunächst störungsfrei. Deshalb spekulieren Benutzer im Support-Forum darüber, dass Mozilla wohl über Nacht ein fehlerhaftes Update veröffentlicht haben muss. Bisher gibt es noch keine Stellungnahme von Mozilla zu den massiven Ausfällen [...]

2022-01-13T12:32:05+02:00Januar 13th, 2022|Allgemein|Kommentare deaktiviert für Ladefehler und Abstürze beim Browser Firefox
Weiterlesen
Nach oben