Aktiv ausgenutzte Lücke in Browser Chrome geschlossen

Google hat die stabile Version seines Webbrowsers Chrome für Windows, macOS und Linux auf Version 86.0.4240.111 upgedatet. Mit dieser neuen Version werden fünf Sicherheitslücken geschlossen, vier davon stellen nach Einschätzung der Entwickler ein hohes Sicherheitsrisiko für die Benutzer dar. Eine von den geschlossenen Lücken wird eine laut Googles Project Zero schon aktiv von Angreifern ausgenutzt. Deshalb sollten die Nutzer nach dem Update schauen, das in den kommenden Tagen und Wochen verteilt werden soll. Sicherheitslücke in FreeType abgedichtet Wie üblich haben die Entwickler dieSchwachstellen und die Security-Fixes in einem aktuellen Blogeintrag zum Chrome Stable Channel Update dokumentiert, die externe Sicherheitsforscher entdeckt und gemeldet hatten. Mit genaueren Details zu den Lücken CVE-2020-16000 in der Blink Browser-Engine, CVE-2020-16001 ("Use after free in media"), CVE-2020-16002 in PDFium, CVE-2020-15999 in FreeType sowie zur einzigen "Medium"-Lücke CVE-2020-16003 ("Use after free in printing") hält sich der Blogeintrag wie immer sehr zurück: Zugriff auf Details der Sicherheitslücken gibt es erst, wenn die meisten Benutzer das Update installiert haben. So soll das Risiko aktiver Angriffe auf noch nicht dagegen geschützte Systeme verkleinert werden. Über die Lücke CVE-2020-15999 in der Programmbibliothek FreeType finden solche Angriffe allerdings wohl aktuell schon statt. Auf Twitter teilte Project Zero-Mitarbeiter Ben Hawkes mit, dass die Chrome-Entwickler sehr schnell auf die Warnung des Teams reagiert hätten. [...]

2020-10-21T22:46:03+02:00Oktober 21st, 2020|Allgemein, Browser, Coding, Sicherheit, Webwerkzeuge|1 Kommentar
Weiterlesen

LibreOffice-Update 7.0.2 behebt 131 Fehler

Vor zwei Monaten bekam die kostenlose Büro-Software LibreOffice ein Riesen-Update auf die Version 7 – und damit leider auch ungewöhnlich viele Bugs. Ein wichtiges Wartungs-Update korrigiert jetzt die Fehler. LibreOffice gilt als die beliebteste OpenSource-Alternative zu Microsoft Office und ist inzwischen schon lange selbst eine Standard-Software. Wer aber Anfang August das große Update auf die neue Hauptversion LibreOffice 7 wagte, holte sich aber mit den vielen neuen Funktionen leider auch jede Menge Programmfehler auf den Rechner. Diese Fehler hat der Hersteller "The Document Foundation" jetzt mit seinem Wartungs-Update 7.0.2 beseitigt. Das Update behebt sagenhafte 131 Fehler Die Gratis-Alternative zu Microsofts Office-Paket, LibreOffice mit seinen Komponenten Writer, Calc und Impress, gestattet die Bearbeitung und Sicherung von Word-, Excel- und PowerPoint-Dateien. Außerdem bietet die Software mit dem Zeichentool Draw, dem Formel-Editor Math Formel und der Datenbank-Software Base weitere nützliche Tools. Das Wartungs-Update bringt die freie Bürosuite auf die Versionsnummer 7.0.2 und behebt satte 131 Programmfehler. Um diese ungewöhnlich hohe Fehlerzahl aufzulisten, musste der Hersteller die Release Notes dazu sogar erstmalig auf zwei Dokumente aufteilen – die Versionen heißen RC1 und RC2. Die behobenen Fehler zeigten sich in zahlreichen Ärgernissen wie Abstürzen und "zerschossenen“ Layouts. Beim Export von PDF-Dateien wurden Labels nicht übernommen, beim Korrigieren von Wörtern über das Kontextmenü verschwanden plötzlich alle Bilder aus dem Dokument [...]

2020-10-19T08:41:50+02:00Oktober 19th, 2020|Allgemein, Webwerkzeuge|Kommentare deaktiviert für LibreOffice-Update 7.0.2 behebt 131 Fehler
Weiterlesen

Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul

Wer bei seinem Content-Management-System (CMS) Drupal Version 8 das OAuth-Server-Modul installiert hat, läuft Gefahr, über SQL-Injection angegriffen zu werden und sollten so schnell wie möglich ein Update auf das OAuth-Server-Modul für Drupal 8 auf die Version 8.x-1.1 durchführen. Nach einem aktuellen Sicherheitshinweis sind ältere Versionen des OAuth-Server-Moduls anfällig für Angriffe über SQL Injection. Die neue Version 8.x-1.1 schließt die als „moderat kritisch“ bewertete Lücke. Leider kann man dem Security Advisory SA-CONTRIB-2020-034 keine Details beispielsweise zu möglichen Konsequenzen eines erfolgreichen Angriffs auf die mit "moderately critical" bewertete Lücke entnehmen. Verwundbar soll der der komplette Versionszweig 8.x sein, weshalb auch die Entwickler ein Update auf die abgesicherte OAuth-Server-Modulversion 8.x-1.1 empfehlen.

2020-10-16T20:05:54+02:00Oktober 16th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul
Weiterlesen

Kartellrecht: Chrome könnte von Google getrennt werden

Die Regierung der USA denkt offenbar über einen Zwangsverkauf von Googles populärem Browsers Chrome nach. Diese Überlegungen sollen das Justizministerium und Ermittler im Zusammenhang mit eventuellen Verstößen gegen das Kartellrecht angestellt haben, weiß das US-Magazin Politico unter Berufung auf drei nicht namentlich genannte Personen, die mit den Diskussionen vertraut sein sollen, zu berichten. Damit könnten Überlegungen im Zusammenhang mit einem Kartellrechtsverfahren zum ersten Fall der Zerschlagung eines US-Konzerns seit Jahrzehnten führen, hieß es weiter bei Politico. Noch seien die internen Klärungen nicht abgeschlossen, schreibt das Magazin. Aber die Ermittler hätten sich schon mit Experten für Online-Marketing und Vertretern von Internetkonkurrenten und Verlagen getroffen und überlegt, wie Googles Kontrolle über einen großen Teil des weltweiten Werbemarktes im Internet geschwächt werden kann. Wettbewerbsklage zu Android wird vorbereitet Außerdem bereite das Justizministerium gerade eine Klage gegen Google vor, die schon in dieser Woche eingereicht werden könnte. Hier soll es unter anderem darum gehen, dass der Google-Konzern seine Marktmacht bei dem Smartphone-Betriebssystem Android ausnutzt, um den eigenen Suchdienste gegenüber der Konkurrenz Vorteile zu verschaffen. Aus demselben Grund hat auch die EU-Kommission schon im Juli 2018 eine Milliardenstrafe gegen Google verhängt. Bei diesen Beratungen habe sich herauskristallisiert, dass der Verkauf von Chrome durch Google eventuell geeignet wäre, die Marktmacht des Suchmaschinenkonzerns zu beschneiden. [...]

2020-10-14T06:33:55+02:00Oktober 14th, 2020|Allgemein, Browser|Kommentare deaktiviert für Kartellrecht: Chrome könnte von Google getrennt werden
Weiterlesen

BSI-Sicherheitswarnung zu Exchange-Server-Lücken

Wer auch einen Exchange Server administriert, sollte die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor kritischen Lücken in Microsoft Exchange Server jetzt ernst nehmen. Es liegen zwar schon Updates für diese Anfälligkeiten vor, aber nach einer Analyse des BSI sollen immer noch Zehntausende in Deutschland betriebene Exchange Server ungepatcht sein. Die drei Schwachstellen im Detail Dabei geht es der Behörde vor allem um die drei Schwachstellen mit den Kennungen CVE-2020-0688, CVE-2020-0692 und CVE-2020-16875, für die zum Teil schon Exploit-Code öffentlich verfügbar ist. Die Sicherheitslücke CVE-2020-0688 soll sogar schon für gezielte Angriffe ausgenutzt werden. Die erstgenannten zwei Lücken erlauben unter Umständen die vollständige Kompromittierung eines Exchange Servers bzw. die nicht autorisierte Ausweitung der Benutzerrechten. Davon betroffen sind Exchange Server 2010, 2013, 2016 und 2019. Über die dritte Lücke (CVE-2020-16875) lässt sich möglicherweise auch Schadcode aus der Ferne einschleusen und ausführen - allerdings nur nach vorheriger korrekter Authentifizierung. Dies Problem tritt beim Exchange Server Version 2016 und 2019 auf. Tipps vom BSI „Die anfälligen Dienste der Microsoft Exchange Server sollten grundsätzlich nicht öffentlich erreichbar sein. Trotzdem sind nach wie vor viele Exchange-Server über Exchange Web Services öffentlich erreichbar und mehrere Tausend Exchange Server anfällig für CVE-2020-0688“, steht in der aktuellen Warnung des BSI. „Die von der Firma Rapid [...]

2020-10-08T17:56:03+02:00Oktober 8th, 2020|Allgemein, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für BSI-Sicherheitswarnung zu Exchange-Server-Lücken
Weiterlesen

MD5-Passwörter mit PHP erzeugen

Noch immer findet man sehr einfache Schutzmechanismen, die mit Klartext-Passwörtern arbeiten, welche im Quellcode der entsprechenden Routinen abgespeichert sind. Jeder, der Zugriff auf diese Routinen hat, kann solche Passwörter problemlos auslesen und dann missbrauchen. Die Sicherheit bei der Speicherung solcher Passwörter lässt sich mit einem MD5-Hash zwar nicht perfektionieren, aber doch recht deutlich verbessern. Und das lässt sich auch schon recht einfach mit PHP-Bordmitteln realisieren: <?PHP //Eine Zufallszahl zwischen 1000 und 9999 erzeugen $zzahl = mt_rand(1000, 9999); // MD5-Hash aus Zufallszahl und aktueller Zeit bilden $zahlzeit = md5($zzahl.microtime()); $passwort = substr($zahlzeit, "0" ,"8");  //Die Zahl 8 definiert dabei die Länge des Passworts echo $passwort;?> Dieser Codeschnipsel erzeugt ein 8-stelliges (maximal 32-stelliges) Passwort aus Buchstaben und Zahlen. Man muss hier darauf hinweisen, dass sich nicht alle Anforderungen an ein sicheres Passwort mit MD5 erfüllen lassen. Es ist zum Beispiel lange bekannt, dass voneinander verschiedene Zeichenfolgen durchaus denselben Hashwert liefern könnten. Ein MD5-Hash ist aber schon deutlich sicherer als die Speicherung eines Passwortes innerhalb der Routine im Klartext!

2020-10-05T09:28:50+02:00Oktober 5th, 2020|Allgemein, PHP, Sicherheit|Kommentare deaktiviert für MD5-Passwörter mit PHP erzeugen
Weiterlesen

Digital: Schutz für Eigenheim und öffentliche Gebäude

Die Digitalisierung hat den Schutz des Eigenheims erreicht Es gibt viele Gründe, warum man sich für alternative Schließsysteme entscheiden möge. Vor allem der Sicherheitsaspekt wird eine große Rolle spielen und die Entscheidungsgrundlage von Grund auf stärken können. Der Sicherheitsaspekt ist jedoch nicht der einzige Grund, der dazu notwendig sein wird. Auch der Aspekt der Bequemlichkeit spielt eine gewichtige Rolle. In vielerlei Hinsicht wird man diesbezüglich auch unterschiedliche Modelle auswählen, die von individueller Qualität geprägt ist. Die Gründe für den Einsatz neuer Technologien im Bereich von Schießsystemen lässt sich also aus sehr vielschichtiger Grundlage heraus herbeirufen. Diese Herleitung macht man sich nicht leicht, da man auch die rationalen Gründe berücksichtigen müsste. Erweiterter Schutz und praktische Nutzbarkeit Wenn man den Einsatz solcher Schließsysteme von der Systematik heraus betrachtet, dann wird man die Gründe dafür sehr rasch finden können. Vor allem in öffentlichen Gebäuden ist nicht mehr der Faktor der Bequemlichkeit das alleinige Entscheidungskalkül, sondern es wird sich langsam aufbauen und eine viel bewegte Durchzugskraft entwickeln können. Daher kann auch der Einsatz elektronischer Schließanlagen in öffentlichen Gebäuden eine gewinnbringende Investition bedeuten. Der elektronische Schließzylinder ist jedoch ein Grund für die moderne technologische Verwendungsmöglichkeit. Die elektronischen Lösungen können auch genutzt werden. Vor allem muss man sehr unterschiedliche Aspekte betrachten, die [...]

2020-08-03T14:29:44+02:00August 3rd, 2020|Allgemein|Kommentare deaktiviert für Digital: Schutz für Eigenheim und öffentliche Gebäude
Weiterlesen

Thunderbird 78 mit besserem User-Interface und OpenPGP

Mozillas Email-Client Thunderbird ist in Version 78 erschienen. Das Entwicklerteam teilt  in seinem Blog mit, dass es sich bei der Version 78 um das normale jährliche Update auf Basis der sogenannten Extended-Support-Releases (ESR) der Webtechniken des Mozilla-Browser Firefox handelt. Mit der aktuellen Version bringt das Team eine Vielzahl von Neuerungen, insbesondere am User-Interface. User-Interface mit Dark Mode So wurde beispielsweise die Ansicht des Fensters zum Erstellen neuer Emails angepasst. Die neue Oberfläche soll die Nutzung vereinfachen. Dem angesagten Designtrend vieler anderer Anwendungen folgend bekommt der Donnervogel mit Version 78 auch einen sogenannten Dark-Mode. Der wird auch automatisch aktiviert, sofern das zugrunde liegende Betriebssystem einen Dark-Mode nutzt. Kalender und Aufgabenverwaltung integriert Direkt in das Mailprogramm integriert sind nun der Kalender Lightning und auch die Aufgabenverwaltung. Das ist erst einmal nur eine technische Änderung, die sich noch nicht stark auswirken dürfte. Die Entwickler erhoffen sich davon, in Zukunft viele Verbesserungen realisieren zu können, zu denen unter anderem auch eine verbesserte Zusammenarbeit  mit dem Email-Bestandteil des Thunderbird gehört. Geändert wurden auch die Ansicht zum Einrichten von Email-Konten und die Zugangsverwaltung. Verschlüsselung mit OpenPGP Zu den größten Neuerungen in Thunderbird 78 dürfte auch die Integration der Email-Verschlüsselung mit OpenPGP dienen, die jetzt nicht mehr über das Addon Enigmail abgewickelt werden muss. [...]

2020-07-18T09:56:03+02:00Juli 18th, 2020|Allgemein, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Thunderbird 78 mit besserem User-Interface und OpenPGP
Weiterlesen

Google Chrome 84 schließt Sicherheitslücken

Soeben hat Google mit Chrome 84 die neuste Version seines Browsers veröffentlicht. Mit diesem Update werden insgesamt 38 Sicherheitslücken geschlossen, von denen eine als kritisch eingestuft wurde. Deshalb sollten Sie Ihren Chrome-Browser so schnell wie möglich updaten, um die Schwachstellen auszumerzen. Außerdem nahm Google auch kleinere Änderungen vor, die während der Hochphase der Corona-Pandemie erst einmal liegen geblieben waren. Neuerungen in Chrome 84 Nach dem Update auf Version 84 zeigt Chrome jetzt Warnungen an, wenn die veralteten TLS-Verschlüsselungs-Versionen 1.0 und 1.1 von einer Webseite genutzt werden. Zwar Die Benutzer können diese zwar noch aufrufen, aber spätestens Anfang 2021 soll auch damit Schluss sein. Außerdem werden jetzt Downloads von unsicheren Seiten (http) blockiert, die in eine eigentlich sicheren Webseite (https) eingebettet wurden. Google verteilt auch mit Version 84 eine neue Layout-Engine, um die Browser-Kompatibilität zu verbessern. Aufdringlichen Benachrichtungen von halbseidenen Webseiten soll auch ein Riegel vorgeschoben werden, die Benutzer werden jetzt davor gewarnt. Ähnlich ist es bei Erweiterungen, die versuchen, die eingestellte Suchmaschine zu verändern. Das nächste Update auf die Version 85 soll schon am 25. August 2020 nachfolgen. Die Downloads für Google Chrome 84: Google Chrome (64 Bit) herunterladen Google Chrome (32 Bit) herunterladen Google Chrome (Mac) herunterladen Google Chrome (Linux) herunterladen

2020-07-15T19:45:52+02:00Juli 15th, 2020|Allgemein|Kommentare deaktiviert für Google Chrome 84 schließt Sicherheitslücken
Weiterlesen

Hilfreiches WLAN-Tool: WifiInfoView

Computer-Bild empfiehlt heute das WLAN-Tool WifiInfoView von Nirsoft, Anbieter für systemnahe Software. Das besonders für Serviceleute hilfreiche Werkzeug versorgt Sie mit allen wichtigen Details zu WLAN-Netzen (WiFi). Sie erhalten damit nicht nur wichtige Informationen über das Drahtlosnetzwerk, mit dem Sie aktuell verbunden sind, sondern auch technische Daten zu weiteren Hotspots in Reichweite. In einer Tabelle listet das Programm die MAC-Adresse der erreichbaren WLANs und die Signalstärke in RSSI (Received Signal Strength Indication). Je niedriger der RSSI-Wert in der Liste ist, umso schwächer kommt das WLAN-Signal beim ihrem Client an. Achtung: Die RSSI-Werte sind negative Zahlen. Die Spalte "Signal Quality" (Signalqualität) hilft dabei, ein WLAN besser einzuschätzen: Höhere Zahlen stehen dabei für eine gute Signalqualität und gehen in der Regel auch mit einem relativ hohen (niedrigen Negativ-)RSSI-Wert Hand in Hand. Auf Wunsch können Sie die WLAN-Infos in der WifiInfoView-Tabelle sortieren und sie dann auch exportieren, zum Beispiel im TXT- oder HTML-Format. Nach Herstellerangaben wurde bei der neuen Programmversion 2.61 die interne MAC-Adressen-Datei aktualisiert. Sie können das Programm WifiInfoView hier kostenlos herunterladen.

2020-07-02T11:20:12+02:00Juli 2nd, 2020|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Hilfreiches WLAN-Tool: WifiInfoView
Weiterlesen
Nach oben