Googles Update auf Chrome 105 macht 24 Lücken dicht

Google hat soeben seinen Webbrowser Chrome in der neuen Hauptversion 105 veröffentlicht. Mit dieser Version schließen die Entwickler viele Sicherheitslücken, unter denen auch mindestens eine kritische ist. Mit der Veröffentlichung der 105er-Version des Webbrowsers Google Chrome für die Betriebssysteme Linux, Mac und Windows und den Mobilversionen für Android und iOS schließen die Entwickler von Chrome insgesamt 24 Sicherheitslücken. Davon stufen sie zumindestens eine als kritisch ein. Die jetzt aktuellen Versionsstände lauten 105.0.5195.52 für Linux und Mac, 105.0.5195.52/53/54 für Windows, 105.0.5195.68 für Android sowie 105.0.5195.69 für iOS. Die aktuelle extended Stable-Version für Mac und Windows hat die Nummer 104.0.5112.111. Zumindest eine kritische Lücke ist darunter Da Google wie üblich keine Details zu den Schwachstellen veröffentlicht, um die Browser-Nutzer zu schützen, und dabei sogar Kurzfassungen zu einigen Lücken komplett streicht, kann man der Meldung nur entnehmen, dass wenigstens eine der Lücken den Bedrohungsgrad "kritisch" zugeordnet bekam. Angreifer können potenziellen Opfern damit vermutlich ohne deren Interaktion beim Besuch von Internetseiten Schadcode unterschieben. Das erlaubt ein Use-after-free-Fehler im Network Service (CVE-2022-3038). Acht weitere der Sicherheitslücken bewerten die Google-Entwickler als hohes Risiko, neun als mittleres und drei davon als niedriges. Die überarbeiteten Browser-Versionen will Google im Laufe der kommenden Tage und Wochen verteilen. Wer wegen der kritischen Sicherheitslücke selbst prüfen möchte, [...]

2022-08-31T16:12:59+02:00August 31st, 2022|Browser, Sicherheit|Kommentare deaktiviert für Googles Update auf Chrome 105 macht 24 Lücken dicht
Weiterlesen

Sicherheitsupdates gegen Schadcode-Angriffe auf Thunderbird

Der Hersteller Mozilla hat in seinem freien und kostenlosen Email-Client Thunderbird mehrere Sicherheitslücken mit Updates geschlossen. Wer seine Emails mit Thunderbird erledigt, sollte die Anwendung jetzt schnell auf den neuesten Stand bringen. Denn sonst könnten Angreifer an vorhandenen Schwachstellen ansetzen und im ungünstigsten Fall Schadcode auf den Computer schleusen und auch ausführen. Einer Warnmeldung zufolge, haben die Entwickler in Thunderbird 91.12 zwei als „moderat“ eingestufte Lücken geschlossen. In Thunderbird 102.1 haben sie auch noch zwei weitere Sicherheitsprobleme beseitigt. Eine dieser Lücken (CVE-2022-2505) wurde mit dem Bedrohungsgrad „hoch“ eingestuft. Wenn Angreifer erfolgreich an der Schwachstelle ansetzen, könnten sie (auf einem nicht näher beschriebenen Weg) Speicherfehler auslösen. Laut den Entwicklern könnten die Angreifer darüber dann mit etwas Aufwand Schadcode auf den angegriffenen PCs ausführen. Das führt in aller Regel zur kompletten Kompromittierung der Systeme.

2022-08-01T07:37:23+02:00August 1st, 2022|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdates gegen Schadcode-Angriffe auf Thunderbird
Weiterlesen

Foxit PDF Reader und Editor angreifbar

Wer PDF-Anwendungen aus dem Hause Foxit nutzt, sollte jetzt aus Sicherheitsgründen dafür sorgen, dass die Software auf dem aktuellen Stand ist. Böswillige Angreifer könnten macOS- und Windows-Rechner mit Foxit PDF Editor oder PDF Reader attackieren und nach erfolgreichen Angriffen auf den Geräten Schadcode ausführen. Der Hersteller hat jetzt die Schwachstellen mit Sicherheitsupdates geschlossen. Sicherheitshalber jetzt patchen! Im Sicherheitsbereich der Website von Foxit wird empfohlen, auf die gegen Schadcode-Attacken abgesicherten Versionen Foxit PDF Editor 12.0.1 und Foxit PDF Reader 12.0.1 für macOS und Windows upzudaten. Denn Angreifer könnten Anwendungen auch über DoS-Attacken abstürzen lassen oder unberechtigt auf Daten zugreifen. Wie solche  Angriffe genau aussehen könnten, kann scheint, dass die Opfer präparierte PDF-Dokumente öffnen müssen, damit es zu Speicherfehlern kommt und die Angreifer dann eigenen Code ausführen können. Vom BSI als „kritisch“ eingestuft Konkrete Informationen zu den Lücken fehlen auch noch. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT Bund hat die Schwachstellen als „kritisch“ eingestuft.

2022-07-31T21:25:30+02:00Juli 31st, 2022|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Foxit PDF Reader und Editor angreifbar
Weiterlesen

Thunderbird 102 kommt mit neuem Adressbuch

Die aktuelle Version von Mozillas Email-Client Thunderbird bringt ein neues Adressbuch, eine neue Werkzeugleiste und auch eine neue Ansicht für Email-Header mit. Mozilla hat soeben nach seinem Browser Firefox auch seinen Email-Client Thunderbird in der Version 102 veröffentlicht, wie üblich auf Basis der Rendering-Engine des Firefox-Browsers in der aktuellen ESR-Variante. Die wichtigsten Neuerungen Die Entwickler haben das Adressbuch des Email-Clients komplett neu gestaltet. Dazu schreiben sie: "Dies ist der erste von vielen Schritten in eine neue, modernisierte Richtung für Thunderbirds UX/UI." Die neue Ansicht bietet eine klarere Gestaltung und einige neue Informationsfelder, um schneller und besser zu erkennen, bei wem es sich um den Kontakt handelt. Die Implementierung soll kompatibel zu der vCard-Spezifikation sein. Aus dem Adressbuch heraus sollen jetzt auch direkt Nachrichten oder Termine erstellt werden können. Neu im Thunderbird 102 ist auch eine Werkzeugleiste, die Mozilla „Spaces“ nennt. Damit soll der Nutzer besser und schneller auf die wichtigsten Aktivitäten innerhalb des Programms zugreifen können. Damit meint Mozilla Schnellzugriffe über Icons auf die Bereiche Email, Adressbuch, Kalender, Termine und Aufgaben, Chat oder auch die installierten Add-ons. Aktuell gibt es die neue Version nur als Direktdownload, dafür bringt sie aber viele neue Funktionen und Änderungen mit. Sicherheitslücken in Versionen 102 und 91 geschlossen Aber auch der Thunderbird [...]

2022-06-29T18:36:52+02:00Juni 29th, 2022|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Thunderbird 102 kommt mit neuem Adressbuch
Weiterlesen

Firefox 102 schließt vier Sicherheitslücken

Mozilla hat soeben die neue Hauptversion 102 seines Browsers Firefox bereitgestellt. Diese Version ist auch die neue Basis für den Firefox ESR und behebt mehrere Sicherheitsprobleme. Gestern ist Firefox 102 erschienen. Die neue Hauptversion des Browsers von Mozilla ist auch die Grundlage für den Firefox ESR (die Version mit dem längeren Supportzeitraum). Von dem Update werden auch mehrere Sicherheitslücken geschlossen, er bringt aber auch einige neue Funktionen. So kann man jetzt beispielsweise verhindern, dass die Download-Schaltfläche oben rechts bei jedem Download wieder aufklappt... Starker Enhanced Tracking Protection-Modus Beim Surfen im starken Enhanced Tracking Protection-Modus schränkt der Firefox das Tracking von Abfrageparametern ein, kann man in den Release Notes zu Firefox 102 nachlesen. Zu dem Zweck entfert der Browser bestimmte Parameter automatisch aus den URLs, berichtet auch das Technologie-Blog Ghacks. Diesen Modus erreicht man in den Einstellungen unter "Datenschutz & Sicherheit / Verbesserter Schutz vor Aktivitätenverfolgung". Disee Funktion soll aber laut Ghacksauch im privaten Modus von Firefox aktiv sein. Auch vier Hochrisiko-Sicherheitslücken geschlossen Mit dem Firefox 102 hat Mozilla auch mehrere Sicherheitsprobleme beseitigt. Die Sicherheitsmeldung zu dem Update listet vier Sicherheitslücken mit hohem Risiko, elf mit mittlerem sowie vier Lücken mit der Einstufung als niedriger Schweregrad auf.

2022-06-29T08:50:36+02:00Juni 29th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Firefox 102 schließt vier Sicherheitslücken
Weiterlesen

Google schließt mit Chrome 103 14 Sicherheitslücken

Mit dem soeben angelaufenen Update auf das 103er-Release beseitigt Google in seinem Webbrowser Chrome insgesamt 14 Schwachstellen und bringt einige neue Möglichleiten. Auch für die Mobilbetriebssysteme Android und iOS stehen die neuen Version zum Download bereit. Die ärgste der 14 in Chrome 103 geschlossenen Sicherheitslücken hat den Schweregrad „kritisch“, zwei davon wurden mit „hoch“ bewertet. Der Google-Browser bringt aber auch mehrere Neuerungen mit: Early Hints zum Vorladen Chrome 103 unterstützt jetzt auch den HTTP-Antwortcode 103 „Early Hints“, was den Browser etwas schneller machen sollte. Die meisten Browser laden die Seiteninhalte ja schon vorab, aber die 103 Early Hints machen diesen Prozess „schneller“ – was aber keine deutliche Beschleunigung mehr bringen dürfte. Schriftarten und Berechtigungen Jetzt können auch Web-Apps mit dem neuen Chrome 103 die Schriftarten nutzen, die auf dem ausführenden Gerät gespeichert sind. Darüber hinaus erkennt Chrome jetzt, wann einer Berechtigungsaufforderung wahrscheinlich nicht zugestimmt wird und schaltet diese unerwünschten Aufforderungen dann ab. Das geschieht abhängig davon, wie der Benutzer zuvor mit ähnlichen Berechtigungsaufforderungen umgegangen ist, Wie immer kann man das Update manuell über das Menü abrufen oder aber warten, bis das Update über die Benutzeroberfläche von Chrome angezeigt wird.

2022-06-22T10:27:06+02:00Juni 22nd, 2022|Browser, Coding, Sicherheit|Kommentare deaktiviert für Google schließt mit Chrome 103 14 Sicherheitslücken
Weiterlesen

Drupal: Erneut erlauben Lücken die Website-Übernahme

Schon vor zwei Wochen gab es Updates gegen zwei Sicherheitslücken in der Drupal-Komponente Guzzle. Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen es Angreifern aber immer noch, verwundbare Drupal-Installationen zu kompromittieren. Weitere neue Updates dichten die Sicherheitslücken ab. Im Content-Management-System (CMS) Drupal kommt die Komponente Guzzle zum Einsatz, in welcher die Entwickler gerade erneut zwei weitere Sicherheitslücken geschlossen haben. Nach Angaben Cyber-Sicherheitsbehörde CISA der USA konnten Angreifer diese missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert darauf mit Updates, in welche die Schwachstellen entschärfen. Schon wieder stecken die Schwachstellen in Guzzle Cookie-Header transportieren als Antworten auf Anfragen an den Server sensible Informationen. Bei https-Anfragen an den Server könnte dieser fälschlicherweise derartige Informationen weitergeben, wenn er die Anfrage auf http oder einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko “hoch”). Die Authorization-Header enthalten ebenfalls vertrauliche Daten, und dasselbe Fehlverhalten wie bei den Cookie-Headern kann auch bei ihnen auftreten (CVE-2022-31043, CVSS 7.5, hoch). In der dazugehörigen Sicherheitsmeldung schreiben die Drupal-Entwickler, dass die Lücken zwar nicht den Drupal-Kern selbst beträfen, aber potenziell Dritthersteller-Module und eigene Code-Erweiterungen und stufen die Gefahr als so hoch ein, dass sie ein Sicherheitsupdate außer der Reihe herausgeben haben. Auch CISA warnt vor den Lücken in Guzzle Auch die CISA warnt schon vor den Sicherheitslücken und empfiehlt Drupal-Administratoren, die Hinweise in der [...]

2022-06-15T07:55:02+02:00Juni 15th, 2022|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Drupal: Erneut erlauben Lücken die Website-Übernahme
Weiterlesen

Google hat sieben Fehler im Chrome-Browser beseitigt

Google hat jetzt vier hochriskante und drei weitere Sicherheitslücken in seinem Browser Chrome beseitigt. Laut CISA sollten die Benutzer diese Patches schnellstmöglich installieren. Google hat soeben Updates für den Browser Chrome veröffentlicht, mit denen insgesamt sieben Sicherheitslücken geschlossen werden, die in dem weltweit millionenfach genutzten Browser gefunden wurden und von denen vier als hochriskant eingestuft sind. Einer Warnung der United States Cybersecurity & Infrastructure Agency (CISA) zufolge könnten Angreifer diese Schwachstellen in Google Chrome für Windows, Mac und auch unter Linux ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen. Die CISA rät den Benutzern jetzt, auf die neueste Version von Google Chrome 102.0.5005.115 zu aktualisieren, um zu verhindern, dass die Sicherheitslücken ausgenutzt werden. Wie Angreifer die hochriskanten Schwachstellen genau ausnutzen können, wurde wie üblich aus Sicherheitsgründen noch nicht bekannt gegeben. „Der Zugang zu Fehlerdetails und Links kann eingeschränkt werden, bis die Mehrheit der Nutzer ein Update erhalten hat. Wir werden auch Einschränkungen beibehalten, wenn der Fehler in einer Bibliothek eines Drittanbieters vorhanden ist, von der andere Projekte in ähnlicher Weise abhängen, die aber noch nicht behoben wurden“, schreibt Google in seinem Blogpost zu den Updates. „Wir möchten uns auch bei allen Sicherheitsforschern bedanken, die während des Entwicklungszyklus mit uns zusammengearbeitet haben, um zu verhindern, [...]

2022-06-14T08:10:13+02:00Juni 14th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Google hat sieben Fehler im Chrome-Browser beseitigt
Weiterlesen

PHP-Updates schützen vor Einschleusen von Schadcode

Gleich zwei Fehler in PHP-Modulen zur Anbindung von SQL-Datenbanken gestatten die Ausführung beliebigen Fremd-Codes. Deshalb sollten Admins von Shared-Hosting-Servern PHP zügig updaten. IT-Sicherheitsforscher Charles Fol fand gleich zwei Fehler in PHP-Datenbankmodulen, die er zur erfolgreichen Ausführung eigenen Codes benutzen konnte. Diese Schwachstellen stecken in allen PHP-Versionen der aktuell gepflegten Versionsbäumen bis einschließlich 7.4.29, 8.0.19 und 8.1.6. Bug #1: postgreSQL Die erste der Lücken (CVE-2022-31625) steckt in der Anbindung an postgreSQL-Datenbanken. Durch ein falsch initialisiertes Array zur Speicherung von Parametern einer Datenbankanfrage könnten Angreifer bei geschickter Kombination von bestimmten Datentypen den Heap korrumpieren und dann eigenen (Schad-)Code auf dem Zielsystem ausführen. Um diese Sicherheitslücke auszunutzen, müssten sie aber zusätzlich auch die Möglichkeit haben, eigenen PHP-Code auf dem Zielsystem auszuführen. Bug #2: MySQL Die zweite Sicherheitslücke steckt in der PHP-Anbindung an MySQL und bekam die CVE-ID CVE-2022-31626. Hier nutzte Fol einen Pufferüberlauf in der PHP-eigenen Implementation des MySQL-Protokolls aus, um den eingeschleusten Code dann auszuführen. Nötige Randbedingungen Aber auch hier ist eine Randbedingung zu erfüllen, um den Schadcode injizieren zu können: Der Zielserver muss dazu eine Verbindung zu einem speziell präparierten MySQL-Server aufbauen können, die außerdem noch ein besonders langes Passwort von über 4000 Zeichen benutzt. Der Sicherheitsdienstleister Tenable ordnete beiden Fehlern einen CVSS-Score von 9.8 (kritisch) zu und geht [...]

2022-06-11T11:16:12+02:00Juni 11th, 2022|Coding, MySQL, PHP, Sicherheit|Kommentare deaktiviert für PHP-Updates schützen vor Einschleusen von Schadcode
Weiterlesen

Mozilla bringt Updates für Firefox und Thunderbird

In Firefox, Firefox ESR und Thunderbird gibt es Schwachstellen, über die Angreifer betroffene Systeme übernehmen könnten, warnt die CISA. Deshalb haben die Entwickler der Mozilla Foundation in aktualisierten Versionen von Firefox, Firefox ESR und Thunderbird jetzt mehrere Sicherheitslücken geschlossen und entsprechende Sicherheitsupdates veröffentlicht. Die Cyber-Sicherheitsbehörde CISA aus den USA warnt, dass Angreifer mehrere dieser Schwachstellen missbrauchen könnten, um darüber betroffene Systeme zu übernehmen. Risiko der Lücken als hoch, aber nicht kritisch eingestuft In Version 101 des Browsers Firefox haben die Programmierer acht Sicherheitslücken, deren Risiko sie als hoch einstufen, geschlossen. Vier davon stellten demnach ein mittleres und eine ein niedriges Risiko dar. In der Variante mit Langzeit-Support, Firefox ESR 91.10, schlossen die Entwickler sieben Lecks mit hohem und eines mit mittlerem Risiko ab. In Thunderbird 91.10 beseitigten sie acht Sicherheitslücken mit hohem und eine mit mittlerem Risiko. Die Software-Entwickler stuften zwar keine der Sicherheitslücken als kritisch ein, aber spätestens die Warnung der US-Behörde CISA, welche die mögliche Übernahme von Systemen durch bösartige Akteure bestätigt, sollte die Dringlichkeit der Aktualisierungen deutlich machen. Die Updates sollten jetzt zügig installiert werden Für die Updates besitzen sowohl Firefox als auch Thunderbird einen automatischen entsprechenden Update-Mechanismus, der aber jedoch je nach Nutzungsprofil Stunden bis Tage brauchen kann, bis die Aktualisierung gefunden und installiert ist. Nutzern wird den Benutzernempfohlem, [...]

2022-06-02T09:56:23+02:00Juni 2nd, 2022|Browser, Sicherheit|Kommentare deaktiviert für Mozilla bringt Updates für Firefox und Thunderbird
Weiterlesen
Nach oben