Sicherheitsupdate gegen Angriffe auf Google Chrome

Googles Browser Chrome ist verwundbar und Angreifer setzen inzwischen schon gezielt an einer der Sicherheitslücken an, die in der aktuellen Version von den Entwicklern neben vier weiteren Schwachstellen geschlossen wurde. In einem Beitrag dazu warnen die Entwickler explizit davor, dass Angreifer schon eine der insgesamt fünf geschlossenen Schwachstellen (CVE-2021-21193) ausnutzen. Diese Lücke wurde mit dem Bedrohungsgrad "hoch" eingestuft. Der leider recht kurzen Beschreibung lässt sich nur entnehmen, daß Angreifer auf nicht näher beschriebenem Weg im HTML-Renderer Blink einen Speicherfehler (use after free) auslösen könnten. Und so etwas führt häufig dazu, dass darüber Schadcode auf Computer gelangt. Die aktuelle Version Chrome 89.0.4389.90 für Windows, macOS und Linux ist jetzt gegen diese Angriffe abgesichert. Unter Windows und macOS aktualisiert sich der Browser normalerweise automatisch. Wenn Sie die installierte Version prüfen wollen, klicken Sie einfach oben rechts auf die drei vertikalen Punkte und dann auf Hilfe/Über Google Chrome. Sollte für Ihre Version des Browsers eine Aktualisierung bereitstehen, finden Download und Installation auch umgehend statt.

2021-03-15T12:12:39+02:00März 15th, 2021|Browser, Coding, Sicherheit|Kommentare deaktiviert für Sicherheitsupdate gegen Angriffe auf Google Chrome
Weiterlesen

Sicherheitsupdate 78.8 schließt vier Lücken in Thunderbird

Ende Januar 2021 hatte die Mozilla-Tochter MZLA Technologies die Version 78.7.0 ihres Mailprogramms Thunderbird veröffentlicht. Jetzt bringt der Hersteller weitere Verbesserungen für den Mailer. Das letzte Update beseitigte vor allem Programmfehler, während die neue Version 78.8.0 auch vier gefährliche Sicherheitslücken schließt. Deshalb sollten Sie die neue Version auch umgehend installieren: Das können Sie entweder über die integrierte Update-Funktion des Mailers oder einfach einen der folgenden Downloads für Windows, macOS oder Linux. So ersetzen Sie die alte Programmversion, wobei Ihre Daten erhalten bleiben. Download: Mozilla Thunderbird Portable (Windows) Download: Mozilla Thunderbird (Mac) Download: Mozilla Thunderbird (Linux) Vier Sicherheitslücken geschlossen Drei der vier mit Thunderbird 78.8.0 geschlossenen Sicherheitlücken stuft der Hersteller in die zweithöchsten Risikostufe "hoch" ein. Dies bedeutet, dass Angreifer die Schwachstellen in Thunderbird 78.7.0 wochenlang ausnutzen konnten, um über offene  Browserfenster vertrauliche Daten des Nutzers abzugreifen oder sogar Schadcode einzuschleusen. Auch Fehler bei der Speichersicherheit wurden behoben, die sich zur Ausführung von Progammcode missbrauchen ließen. Berichte, die an den Hersteller versandt werden, konnten über Zugriffsverletzungen Adressen beinhalten, die Rückschlüsse auf persönliche Daten gestatteten. Auch sieben Fehler beseitigt Das Update beseitigt auch sieben Fehler in dem Programm. Der Import von Adressbüchern im CSV-Format soll nun nicht mehr zu Fehlermeldungen führen, und auch die Darstellungsprobleme beim Dark Mode und bei verschiedenen Oberflächen-Widgets sollen [...]

2021-03-03T10:48:43+02:00März 3rd, 2021|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate 78.8 schließt vier Lücken in Thunderbird
Weiterlesen

Sicherheitsupdate für Chrome beseitigt Schwachstellen

Wenn Sie mit dem Google-Browser Chrome unter den Betriebssystemen Windows, macOS oder Linux surfen, sollten Sie jetzt sicherstellen, dass ihr Webbrowser auf dem aktuellen Stand ist. Ansonsten könnten Angreifer mehrere Schwachstellen ausnutzen, um ihren Computer zu attackieren. Aus einer Warnmeldung geht hervor, dass die Entwickler insgesamt zehn Sicherheitslücken in dem Browser entschärft haben. In dieser Meldung sind auch die CVE-Nummern der Schwachstellen aufgelistet. Die meisten der zehn Lücken wurden mit dem Bedrohungsgrad „hoch“ eingestuft. Details zu den geschlossenen Sicherheitslücken Leider verrät Google auch diesmal kaum Details zu den Schwachstellen, um Cyberkriminellen keine Anhaltspunkte zu geben. Bekannt ist, dass in fast allen Fällen Angreifer Speicherfehler in verschiedenen Kontexten wie Downloads, Media und Payment auslösen könnten. Wenn ein solcher Angriff erfolgreich, stürzt eine Anwendung mindestens ab (DoS-Attacke). Häufig können Angreifer in so einem Fall aber auch Schadcode auf den angegriffenen Computer übertragen und ausführen. Die  neue Version Chrome 88.0.4324.182 ist abgesichert. Normalerweise aktualisiert sich Chrome beispielsweise unter macOS oder Windows automatisch. Die installierte Version lässt sich prüfen, wenn man oben rechts neben der Adressleiste auf die drei vertikal angeordneten Punkte (Einstellungen) klickt. Unter dem Unterpunkt Hilfe/Über Google Chrome sieht man die installierte Ausgabe. Sollte diese veraltet sein, startet das Update dann automatisch.

2021-02-18T11:45:35+02:00Februar 18th, 2021|Browser, Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für Chrome beseitigt Schwachstellen
Weiterlesen

PHP und Symfony: Erste Hauptversion der Bibliothek Panther

Von der Version 0.1.0 bis Version 1.0 brauchte es zwei Jahre Entwicklungszeit, und endlich  liegt die Browser-Testing- und Web-Scraping-Bibliothek Panther in der ersten Hauptversion vor. Die Standalone-Bibliothek basiert auf der WebDriver W3C-Spezifikation und steht jetzt für alle Entwickler zur Nutzung mit PHP und Symfony bereit. Mit ihr lassen sich Webseiten scrappen und End-to-End-Tests mit Browsern durchführen. In Chrome und Firefox ist die native Unterstützung für Panther schon eingebaut. Die Browser Safari, Edge und Opera brauchen dazu noch eine zusätzliche Konfiguration. Die Software unterstützt auch Cloud-Testing-Anbieter wie zum Beispiel Sauce Labs und Browserstack. Integration mit JavaScript Bei Symfony arbeitet das Team an einer unkomplizierten JavaScript-Integration in das Framework. Dazu kommt Panther mit einer Implementierung für die BrowserKit-API, mit der man das Framework im Symfony-Umfeld einfacher nutzen kann. Deshalb lassen sich bestehende funktionale Tests mit Panther in einem Browser fast ohne Codeänderungen ausführen. Per JavaScript erweiterte Twig-Templates kann man beispielsweise mit dem Test-Framework PHPUnit testen. Panther startet automatisch einen Webserver, der die Anwendungen und Browsertreiber exportiert – es braucht also keinen Selenium Server. Danach verwendet Panther die PHP WebDriver-Bibliothek, um den Vorgang durchzuführen. Neue Flex Recipes und Assertionen In der neuen Version 1.0 erhält Panther eine neue Anweisung für Symfony Flex (Flex Recipe), welche die benötigte Konfiguration erzeugt. Mit [...]

2021-02-12T00:24:04+02:00Februar 12th, 2021|Browser, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für PHP und Symfony: Erste Hauptversion der Bibliothek Panther
Weiterlesen

Drupal: Sicherheitsupdates für Open Social und Subgroup

Drupal-Nutzer, die die Drupal-Module "Open Social" und "Subgroup" benutzen, sollten die Updates einspielen, die zwei Schwachstellen in Open Social und eine in Subgroup beseitigen. Unter ganz bestimmten Voraussetzungen könnten nämlich Angreifer diese Schwachstellen missbrauchen, um sich darüber unbefugten Zugriff auf Informationen und auch die Erweiterung ihrer Rechte innerhalb bestimmter Gruppen zu verschaffen. Die Schwachstellen im Modul Open Social wurden als "moderat kritisch" eingestuft. Benutzern der Hauptversion 8 wird das Update auf die abgesicherte Version 8.x-8.10 empfohlen. Benutzer von Version 9 sollten ihr CMS auf 8.x-9.8 aktualisieren. Die Einstufung der Schwachstelle im Modul Subgroup ist "weniger kritisch". Diese wurde mit der Version 1.0.1 behoben. Dabei empfiehlt das Advisory das Leeren des Caches direkt nach der Installation. Weiterführende Informationen und Updates Aktuell wurden noch keine Exploits im Netz beobachtet. Der Missbrauch der Schwachstellen setzt auch bestimmte Modul-Konfigurationen und in einem der Fälle ein Login mit normalen Nutzerrechten voraus. Detailliertere Informationen und auch die Links zu den verfügbaren Updates finden Sie in den Security Advisories zu den drei Schwachstellen: Open Social - Access bypass - SA-CONTRIB-2021-001 Open Social - Access bypass - SA-CONTRIB-2021-002 Subgroup - Access bypass - SA-CONTRIB-2021-003

2021-02-02T12:52:59+02:00Februar 2nd, 2021|CMS, Coding, Sicherheit|Kommentare deaktiviert für Drupal: Sicherheitsupdates für Open Social und Subgroup
Weiterlesen

MariaDB mit Schnittstelle für Reaktive Programmierung

Die relationale Open-Source-Datenbank MariaDB hat jetzt eine Anbindung für Reactive Relational Database Connectivity (R2DBC) bekommen. Der neue Connector soll die reaktive Programmierung unterstützen und könnte deshalb besonders für Java-Entwickler interessant sein. Die Spezifikation der neuen reaktiven Schnittstelle R2DBC soll seinen Vorgänger JDBC (Java Database Connectivity) ablösen und hilft laut MariaDB Corporation beim Erstellen skalierbarer Java Virtual Machines (JVM), die jetzt mit einem Streaming-Ansatz zur Interaktion mit der relationalen Datenbank genutzt werden können. Die neue Spezifikation "Reactive Relational Database Connectivity" lässt laut Blogankündigung reaktives beziehungsweise nicht-blockierendes Verhalten durch die Verwendung asynchroner Datenströme zu. Das soll sich dadurch positiv auf die Ressourcennutzung auswirken, dass es unter anderem den Datendurchsatz erhöht, erläutert der für die Entwicklung dieser Spezifikation zuständige Mark Paluch. Das spielt besonders beim Echtzeit-Streaming eine Rolle, und damit öffnet sich MariaDB laut Blogeintrag für neue Anwendungen in diesem Bereich. Im Developer Hub gibt es Codebeispiele dazu Sowohl Codebeispiele als auch Ressourcen zu dem neuen R2DBC-Connector und auch zu weiteren Schnittstellen für verschiedene Programmiersprachen finden Sie in dem neu eingerichteten Developer Hub von MariaDB. Die MariaDB Corporation positioniert die Open-Source-Datenbank damit auch als Alternative zu proprietären Datenbanken für den Unternehmenseinsatz und baut dabei auf modulare Speicher-Engines zur Beherrschung von schwankenden Arbeitslasten. Weitergehende Informationen zu dem neuen Connector und zur reaktivem Programmierung [...]

2021-01-08T18:48:57+02:00Januar 8th, 2021|Allgemein, Coding, Javascript, MySQL, Webwerkzeuge|Kommentare deaktiviert für MariaDB mit Schnittstelle für Reaktive Programmierung
Weiterlesen

TIOBE-Index: Python ist Sprache des Jahres 2020

Damit läuft die Programmiersprache, die vor allem in den Bereichen Data Science und Machine Learning zum Einsatz kommt, dem Vorjahressieger C den Rang ab. Der monatlich aktualisierte TIOBE Programming Community Index hat der Programmiersprache Python jetzt den Titel der Sprache des Jahres 2020 verliehen. Diese Auszeichnung erhält Python nun schon zum vierten Mal – das ist ein neuer Rekord. Diesen Spitzenplatz sicherte sich die Programmiersprache aber nur ganz knapp vor der Sprache C++. Durch einen Zugewinn von 2,01 Prozent kam Python auf Platz eins, gefolgt von C++ (+1,99 %), C (+1,66 %), Groovy (+1,23 %) und R(+1,10 %). Hauptsächlich als beliebte Sprache in den Bereichen Data Science und Machine Learning, Webentwicklung und Backend-Programmierung bekannt stößt Python nach Angaben von TIOBE auch immer mehr bei mobilen Anwendungen und in größeren Embedded-Systemen auf zunehmendes Interesse. Als Ursache für die weitere Zunahme der Popularität von Python sieht TIOBE vor allem die einfache Erlernbarkeit und die Produktivität der Sprache. Diese zwei Eigenschaften seien "der Schlüssel in einer Welt, die nach mehr Entwicklern in allen möglichen Bereichen verlangt". Python langfristig vor Java Im TIOBE-Index steht Python aktuell auf Platz 3 (11,72 %). Mit nur ein paar Promille liegt Java (11,96 %) noch vor der Programmiersprache des Jahres 2020, und angeführt wird die Liste für Januar 2021 durch [...]

2021-01-05T20:48:19+02:00Januar 5th, 2021|Allgemein, Coding, Javascript|Kommentare deaktiviert für TIOBE-Index: Python ist Sprache des Jahres 2020
Weiterlesen

Ruby 3.0 zu Weihnachten veröffentlicht

Vor 25 Jahren kam kurz vor Weihnachten 1995 die erste Version 0.95 von Ruby heraus, und seitdem hat sich bei den Herausgebern der Programmiersprache eine Art weihnachtliche Release-Tradition eingebürgert: Auch Ruby 3.0 ist jetzt planmäßig kurz vor Weihnachten erschienen. Allerdings hat die Entwicklung von Ruby 3.0 schon vor fünf Jahren begonnen, und der Ruby-Erfinder Yukihiro Matsumoto verspricht jetzt eine dreimal schnellere Ausführung von mit Ruby 3.0 geschriebenen Programmen als solchen, die noch mit Ruby 2 programmiert wurden. Ruby 3.0 bringt reichlich Neuerungen Matsumoto hatte Anfang September auf GitHub bestätigt, dass Ruby-Entwickler um Weihnachten herum ein großer Release-Sprung erleben werden. Die Ruby-Entwickler haben zum Teil schon verlauten lassen, dass es mit Ruby 3.x vor allem höhere Performance gegenüber 2.x gibt. Die bessere Performance ist vermutlich den Arbeiten am methodenbasierten JIT-Compiler MJIT zu verdanken. Dabei entfallen alte Abhängigkeiten zum Paketsystem Ruby-Gems offenbar ganz, und Ruby 3.0 führt neue Konzepte ein. Zu den wichtigen Neuerungen zählt die Unterstützung für RBS, eine Sprache zum Beschreiben der Typen von Ruby-Programmen. Außerdem kommt mit TypeProf ein Analysetool hinzu, das einfachen, nicht typannotierten Ruby-Code lesen und dessen Methoden dabei erkennen kann. Als noch experimentell gilt das Feature „Ractor“, eine vom Actor-Modell inspirierte Abstraktion für die nebenläufige Programmierung, die entwickelt wurde, um parallele Ausführungsfunktionen ohne Bedenken [...]

2020-12-28T12:53:47+02:00Dezember 28th, 2020|Coding|Kommentare deaktiviert für Ruby 3.0 zu Weihnachten veröffentlicht
Weiterlesen

Rails 6.1 für Ruby-Entwickler

Version 6.1 des Webframeworks für Ruby-Entwickler Mit Rails 6.1 wurde gerade ein neues Release des für Ruby-Entwickler wichtigsten Webframeworks Ruby veröffentlicht. Ruby 6.1 folgt auf Rails 6.0, das im August 2019 nach gut zwei Jahren Entwicklung erschien. Die neue Version führt horizontales Sharding und Strict Loading ein und bringt auch Verbesserungen beim Wechsel von Datenbanken. Im Grunde konzentrieren sich die Neuerungen diemal auf Features, die die Entwickler brauchen, um ihre Anwendung über Jahre hinweg funktionell halten zu können. Neu: Delegated Types, Loading und Datenbanken So lassen sich jetzt auch Verbindungen zu einzelnen Datenbank umschalten. Wenn man in Version 6.1 den Handler legacy_connection_handling in der Konfiguration auf false setzt, kann man damit nun auch die Verbindung für eine einzelne Datenbank wechseln, was man dann über den Aufruf von connected_to auf der entsprechenden abstrakten Klasse macht. Außerdem konnte Rails das horizontale Shading bisher nicht unterstützen, weil den Modellen in der Active-Record-Implementierung nur eine einzige Verbindung pro Rolle pro Klasse gestattet war. Jetzt ist das horizontale Shading mit Rails 6.1 möglich. Auch der strict_loading-Mode, mit dem man optional ein Lazy Loading vermeiden kann, wird jetzt unterstützt. Damit können die Entwickler sicherstellen, dass ein Eager Loading für ihre Associations funktioniert und N+1-Ausfallwahrscheinlichkeiten nur gering bleiben. Auch die Unterstützung für Association-Deklarationen und die Möglichkeit, ein Strict Loading standardmäßig zu [...]

2020-12-10T18:15:01+02:00Dezember 10th, 2020|Coding, Webwerkzeuge|Kommentare deaktiviert für Rails 6.1 für Ruby-Entwickler
Weiterlesen

PHP8: switch oder match?

Zu den neuen Sprachelementen der am heutigen 26. November 2020 erschienenen nächsten Hauptversion PHP8 der immer noch meistverwendeten Programmiersprache im Internet gehört das Konstrukt „match“, das in vielen Fällen ein besserer Ersatz für das altbekannte „switch“ ist. Hier zeigen wir die Vorteile der neuen Fallverzweigung von PHP8 an einem typischen Beispiel (Text zum Statuscode). Zunächst die Statusausgabe mit dem bisherigen switch: switch ($statusCode) { case 200: case 300: $ausgabe = null; break; case 400: $ausgabe = 'nicht gefunden'; break; case 500: $ausgabe = 'Serverfehler'; break; default: $ausgabe = ‘unbekannt'; break; } Und hier das Gleiche mit dem neuen match: $ausgabe = match ($statusCode) { 200, 300 => null, 400 => 'nicht gefunden', 500 => ‘Serverfehler', default => 'unbekannt', }; Man sieht auf den ersten Blick, das match aus dem Fünfzehnzeiler mit switch einen Sechszeiler macht. In den meisten anwendbaren Fällen ist match signifikant kürzer als switch. Match kann aber auch mehrere Zweige der Fallverzweigung mit einem Komma getrennt zusammenfassen und braucht auch kein break –Statement nach jedem Zweig und kein Semikolon am Ende. Außerdem gibt match auch einen Wert zurück, so dass man diesen Wert nur einmal und nicht erneut in jedem Zweig zuordnen muss.

2020-11-27T00:05:17+02:00November 26th, 2020|Coding, PHP|Kommentare deaktiviert für PHP8: switch oder match?
Weiterlesen
Nach oben