Mozilla schließt Sicherheitslücken im Thunderbird

Wer für seine Emails Mozillas Mailclient Thunderbird nutzt, sollte aus Gründen der Sicherheit jetzt auf die aktuellste Version 68.4.1 updaten. Ansonsten könnten böswillige Angreifer den Mailclient unter bestimmen Voraussetzungen angreifen und dabei Schadcode ausführen oder auch Dateien des Rechners auslesen. Das Sicherheitsrisiko der Schwachstelle im Thunderbirfd wurde als "kritisch" eingestuft. Man muss davon auszugehen, dass alle älteren Versionen bedroht und auch alle unterstützten Betriebssysteme von dem Problem betroffen sind. Die Sicherheitslücken stecken in Thunderbird und Firefox In seiner entsprechenden Warnmeldung versichert Mozilla, dass sich die mit Version 68.4.1 beseitigten Schwachstellen nicht durch den alleinigen Empfang einer Email für Angriffe ausnutzen lassen. Die Feststellung stützt sich darauf, dass das Skripting in Thunderbird standardmäßig nicht aktiviert ist. In einem Browser-ähnlichem Kontext könnte es aber gefährlich werden. Denn einige der beseitigten Sicherheitslücken finden sich auch im Webbrowser Firefox (ebenfalls von Mozilla) wieder, denn Thunderbird setzt auf Teile der Browser-Engine auf. Und eine dieser Schwachstellen haben Angreifer aktuell schon aktiv im Visier. Wie genau erfolgreiche Angriffsszenarien beim Thunderbird aussehen, ist bisher leider noch nicht bekannt.

2020-01-13T19:06:23+02:00Januar 13th, 2020|Browser, Webwerkzeuge|Kommentare deaktiviert für Mozilla schließt Sicherheitslücken im Thunderbird
Weiterlesen

Das CMS Drupal bekommt ein Sicherheitsupdate

In dem ziemlich verbreiteten Content-Management-Systems (CMS) Drupal gibt es eine Schwachstelle, die Angreifern die Manipulation von Dateien im CMS aus der Ferne möglich macht.. Das BSI hat dazu eine Sicherheitswarnung der zweithöchsten Risikostufe (4 von 5)herausgegeben, und die Drupal-Entwickler selbst wählten gemäß "NIST's Common Misuse Scoring System (CMSS)" die Einordnung "moderately critical". Updates, die diese Schwachstelle beseitigen, stehen jetzt zur Verfügung und sollten auch ziemlich umgehend eingespielt werden. Selbe Schwachstelle in TYPO3 bereits im letzten Sommer geschlossen Drupal gibt in seinem Sicherheitshinweis zur Schwachstelle (CVE-2019-11831) die Drittanbieter-PHP-Komponente "Phar Stream Wrapper" als Quelle des Problems an. Dabei verweisen sie auch auf ein aktuelles Dokument auf der Internetpräsenz des CMS Typo3, in dem die Schwachstelle detailliert erläutert wird. Dieses Dokument wiederum verweist seinerseits auf einen Typo3-Sicherheitshinweis, der bestätigt, dass CVE-2019-11831 auch in Typo3 existierte. Dort eliminierten die Entwickler  die Schwachstelle allerdings schon im Juli 2018 aus ihrem CMS. Auch das Phar Stream Wrapper Package selbst wurde mittlerweile bereinigt. Die verfügbaren Versionen des Updates Drupal rät den Benutzern von Drupal 8.7 zum Update auf Drupal 8.7.1, während Benutzer von Version 8.6 auf die Version 8.6.16 umsteigen sollten . Für die 8er-Versionen vor 8.6.x gibt es bekannterweise keine Sicherheitsupdates mehr.  Deshalb sollten die auch gar nicht mehr genutzt werden. Für Benutzer von Drupal 7 beseitigt die Aktualisierung auf [...]

2019-05-10T18:46:21+02:00Mai 10th, 2019|Coding, Webwerkzeuge|Kommentare deaktiviert für Das CMS Drupal bekommt ein Sicherheitsupdate
Weiterlesen

Efail: FH Münster entzaubert PGP und S-MIME

Die Fachhochschule Münster hat sich die Standards und die konkreten Umsetzungen der Email-Verschlüsselung mit PGP und S/MIME genauer angeschaut und ist zu einem vernichtenden Urteil gekommen: S/MIME und OpenPGP können die Sicherheit von verschlüsselt versandten Nachrichten nicht ausreichend sicherstellen. Angreifer, welche die verschlüsselt verschickten Emails abfangen und manipulieren können, können sich auch Zugang zu Teilen des Klartexts der Nachricht verschaffen, warnen die Experten rund um Sebastian Schinzel von der FH Münster. Von dem "Efail" genannten Problem sind praktisch alle Programme betroffen, die Email-Verschlüsselung umsetzen – von Microsofts Outlook und Windows Mail bis hin zu Mozillas Thunderbird und Apple Mail. Besonders gefährlich ist das bei dem vor allem im Firmenumfeld eingesetzten S/MIME, wobei die Münsteraner Forscher letztlich diesen Standard als „unrettbar kaputt“ erklären. Aber auch das aus der Graswurzelbewegung kommende PGP weist gravierende Probleme auf, die sich für ganz konkrete Angriffen ausnutzen lassen. Hier besteht jedoch die Hoffnung, dass die Probleme durch Updates der Hersteller von OpenPGP-Erweiterungen wie beispielsweise Enigmail mittelfristig entschärft werden können. Nur vorbeugende Maßnahmen helfen ein wenig Um sich gegen Efail zu schützen, kann man in der aktuellen Situation im Grunde nur auf den Versand sehr brisanter Informationen per Email verzichten. Aber vorbeugende Maßnahmen wie z.B. das Deaktivieren der Anzeige von HTML und des [...]

2018-05-15T17:06:05+02:00Mai 15th, 2018|Allgemein, Coding, Webwerkzeuge|Kommentare deaktiviert für Efail: FH Münster entzaubert PGP und S-MIME
Weiterlesen

Erstes Update für Firefox Klar

Seit einem Monat ist die Android-Version des Privatsphäre-Browsers Firefox Focus unter dem Namen Firefox Klar veröffentlicht. Firefox Klar kann man kostenlos bei Google Play (Android) und bei iTunes (iOS) herunterladen. Für die nächsten Monate hat Mozilla weitere "tolle Updates" angekündigt. Nachdem im letzten Monat schon eine Million Nutzer den Browser heruntergeladen haben, gibt Mozilla jetzt ein Update mit drei von den Usern gewünschten neuen Funktionen heraus. Nicht für alle, aber für "die meisten Video-Seiten" bietet Firefox Klar einen Vollbild-Videomodus – dummerweise funktioniert das aber ausgerechnet beim weltweit meistgenutzten Video-Portal YouTube noch nicht. Ein Fehler bei Google stört die Funktion. Sie soll aber nachgebessert werden, sobald Google die nötige Korrektur realisiert hat, verspricht der Hersteller. Außerdem kann der Browser mit dem Update "alle Arten von Dateien herunterladen". Die dritte Neuerung sind die jetzt mit einem Shortcut zu Firefox Klar ausgestatteten Benachrichtigungen. Diese kleinen Hinweise erinnern den Benutzer daran, seinen Suchverlauf zu löschen.

2017-07-21T10:43:53+02:00Juli 21st, 2017|HTML, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Erstes Update für Firefox Klar
Weiterlesen

Flash auf HTML5-Konverter Swiffy wird abgeschaltet

Google hat gerade angekündigt, sein Online-Werkzeug Swiffy auslaufen zu lassen. Mit Swiffy kann man  Flash-Dateien im .SWF-Format nach HTML5 konvertieren. Mit Ablauf des laufenden Monats Juni steht das Tool nicht mehr zur Verfügung. Die gleichnamigen Flash-Erweiterungen funktionieren danach auch nicht mehr. Schon konvertierte Dateien laufen weiter Ein Mitarbeiter des AdWords-Team betont aber, „jede Datei, die Sie vor dem Stichtag konvertieren, wird weiter laufen.“ Die Laufzeitumgebungen zu Swiffy würden auch in Zukunft weiterhin ausgeliefert. Swiffy war ursprünglich für Werbetreibende und Kreativagenturen gemacht worden, die traditionell Adobes Flash für ihre interaktiven Anzeigen benutzten. Mit Swiffy wollte Google ihnen vor fünf Jahren eine einfache Möglichkeit anbieten, auf den moderneren und auch sichereren Webstandard HTML5 umzusteigen. Nebenbei ist HTML5 laut Adwords-Team auch schneller als Adobes Flash. Adwords und Doubleclick nehmen kein Flash mehr an Das Abschalten des Konverters hat einen einfachen Grund: Wie Google schon im Februar 2016 angekündigt hatte, nehmen seine Werbewerkzeuge AdWords und Doubleclick nach dem 30. Juni keine Werbung in Flash mehr an. Vor diesem Termin hochgeladene Werbung in diesen Formaten werden in Doubleclick und dem Google Display Network ab 2. Januar 2017 nicht mehr laufen. Übrigens konvertiert Google Flash-Werbung ja schon seit 2015 automatisch in HTML5.

2016-06-16T16:56:05+02:00Juni 16th, 2016|CSS, HTML|Kommentare deaktiviert für Flash auf HTML5-Konverter Swiffy wird abgeschaltet
Weiterlesen

Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren. Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet. Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten. Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen. Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, braucht das Update auf Version 8.0.4. Dieser Sicherheitsupdate markiert jetzt auch das Ende von Drupal 6 bzw. seines Support-Zyklus – weitere Updates für die 6er-Schiene wird es danach nicht mehr geben.

2016-02-25T17:04:25+02:00Februar 25th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für CMS Drupal
Weiterlesen

3D-Grafikprogramm Blender 2.76 verfügbar

Für den Design-Profi ist die 3D-Grafiklösung Blender eine gute Wahl. Das Open-Source-Programm gibt es kostenlos und seine Leistungsfähigkeit ist beeindruckend. Von kleinen 3D-Animationen bis hin zum animierten Führer durch die Internetseiten lässt sich fast alles mit Blender realisieren – bis hin zum abendfüllenden Comic-Film. Soeben haben die Entwickler des 3D-Pakets die neueste Version 2.76 zum Download freigegeben, die sich insbesondere durch Geschwindigkeit und Performance auszeichnet. Viele Optimierungen lassen die Echtzeit-3D-Ansicht (Viewport) jetzt merklich performanter arbeiten, wobei Blender 2.76 jetzt auch noch weniger Speicher benötigt. Dank OpenSubDiv laufen Blender-Animationen jetzt auch deutlich flüssiger. Auch das Lesen von Dateien und die Erstellung von Vorschaubildern (Thumbnails) im Datei-Browser wurde deutlich beschleunigt – und auch dabei konnte der Bedarf an Arbeitsspeicher reduziert werden. Blender ist eine herausragende Open-Source-Software, mit der man sehr gute Ergebnisse erzielen kann und für die die Anwender nichts bezahlen müssen. Das 3D-Grafikprogramm läuft unter den Betriebssystemen Windows, Mac OS X und Linux.

2015-10-12T08:16:52+02:00Oktober 12th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für 3D-Grafikprogramm Blender 2.76 verfügbar
Weiterlesen

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen. Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker! Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann. Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen. Das Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script. Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider [...]

2015-07-28T10:31:10+02:00Juli 28th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitslücken im PHP File Manager
Weiterlesen

Mit Chrome OS Android-Dateien manipulieren

Das angekündigte Update des Algorithmus der Suchmaschine Google legt den Schwerpunkt darauf, wie Internetseiten auf Mobilgeräten aussehen. Passend dazu hat Google jetzt sein Betriebssystem Chrome OS durch ein Update dazu befähigt, Fotos und andere Dateien auf einem über USB verbundenen Android-Smartphone oder -Tablet zu verändern. Noch ist es eine “experimentelle Funktion“, unterstreicht Google-Mitarbeiter François Beaufort bei seiner Vorstellung des Features auf Google+. Deshalb ist sie auch zunächst nur in der Entwickler-Version von Chrome OS integriert.

2015-04-11T19:50:41+02:00April 11th, 2015|Allgemein, Bildbearbeitung|Kommentare deaktiviert für Mit Chrome OS Android-Dateien manipulieren
Weiterlesen

PHP 5.6 steht zum Download bereit

Heute wurde PHP 5.6, das neueste Release der 5.xer Entwicklungsschiene, veröffentlicht. Das letzte Update vor gut einem Jahr hatte die Version PHP 5.5 installiert. PHP 5.6 bringt einen interaktiver Debugger, variadische Funktionen, einen rechtsassoziativer Operator, Importfeatures für Funktionen und Konstanten und auch die Möglichkeit, Dateien mit mehr als 2 GByte Größe hochzuladen, mit. Um die Sicherheit in den PHP-Anwendungen zu verbessern wurden die Funktion hash_equals() eingeführt, der Einsatz von sicheren Verbindungen mit SSL/TLS verbessert und auch der Hash-Algorithmusgost-crypto ergänzt. Weitere Informationen zu allen Änderungen und Verbesserungen finden sich in den Migrationshinweisen. Auch das Dokument über die mit PHP 5.6 entfernten Features kann für das Update älterer Lösungen wichtig werden.

2014-08-28T17:12:12+02:00August 28th, 2014|PHP|Kommentare deaktiviert für PHP 5.6 steht zum Download bereit
Weiterlesen
Nach oben