Sicherheitsupdate Thunderbird 52.6

Beim Email-Client Thunderbird wurden soeben zehn Sicherheitslücken beseitigt. Der bereinigte aktuelle Thunderbird 52.6 steht seit heute zum Download bereit. Zusätzliche Angaben zu den beseitigten Schwachstellen finden Sie In der offiziellen Sicherheitswarnung von Hersteller Mozilla. Mozilla stuft die Auswirkungen der Lücken laut Sicherheitswarnung insgesamt als kritisch ein; obwohl der Großteil der Schwachstellen den Bedrohungsgrad "hoch" aufweist. Nur die Schwachstelle CVE-2018-5089 wird auch einzeln vom Hersteller als „kritisch“ bewertet. Wenn Angreifer die Lücken ausnutzen, könnten sie Speicherfehler auslösen und damit den Email-Client crashen oder sogar Schadcode auf dem Rechner ausführen. Mozilla legt Wert auf den Hinweis, dass man die Lücken in der Standardeinstellung von Thunderbird nicht ausnutzen kann, weil das Scripting ab Werk deaktiviert ist. Wie solche Angriffe im Detail vor sich gehen, bleibt aber noch unklar. Wegen der Einstufung „kritisch“ ist aber wohl anzunehmen, dass letztlich Angriffe aus der Ferne ohne Authentifizierung stattfinden können.

2018-01-27T21:08:53+02:00Januar 26th, 2018|Javascript, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate Thunderbird 52.6
Weiterlesen

SSD-Hersteller Kingston zieht mit der UV400 nach

Der Markt für die Halbleiter-Festplatten ist in Bewegung geraten, und es ist ein guter Zeitpunkt, seinen Arbeitsplatzrechner auf preisgünstige Art und Weise deutlich schneller zu machen: Nachdem Samsung die neue Einstiegsserie SSD 750 Evo mit einem Einstiegsmodell für nur 65 Euro auf den Markt gebracht hat, zog Speicherhersteller Kingston jetzt nach. Die neuen Laufwerke arbeiten deutlich schneller als die seit Jahren angebotene Reihe SSDNow V300 – einschließlich des 960-GByte-Modells V310. Mit dem Einstiegspreis von nur 40 Euro für das Einstiegsmodell unterbietet Kingston das Einstiegsmodell von Samsungs EVO 750 deutlich. Von dem Preiskampf bei den Halbleiter-Festplatten kann man als Verbraucher nur profitieren.

2016-05-30T06:46:16+02:00Mai 30th, 2016|Allgemein|Kommentare deaktiviert für SSD-Hersteller Kingston zieht mit der UV400 nach
Weiterlesen

Erste Patches für die Glibc-Sicherheitslücke

Nahezu genauso verbreitet wie das Betriebssystem Linux selbst ist leider auch die Sicherheitslücke mit dem Bezeichner CVE-2015-7547, allgemein als glibc-Lücke bekannt. Inzwischen haben mehrere Hersteller reagiert und dazu Sicherheits-Updates herausgegeben, die die Schwachstelle in den Netzwerkfunktionen der glibc schließen. Durch diese Lücke können Angreifer Linux-Systeme aus der Ferne mit Hilfe von speziell präparierte DNS-Paketen übernehmen. Bei Zyxel gibt es zum Beispiel ein Hotfix für die VPN-Firewalls der ZyWALL-Serie, für die Unified Security Gateways und für die Small Business Gateways. Der Patch soll aktuell schon über den ZyXEL-Support erhältlich sein, nächste Woche sollen dann abgesicherte Firmwareupdates folgen. Weitere Details zu den Reaktionen weiterer Hersteller wie Citrix oder VMWare finden Sie in einem aktuellen Artikel bei Heise.

2016-02-24T08:40:37+02:00Februar 24th, 2016|Allgemein|Kommentare deaktiviert für Erste Patches für die Glibc-Sicherheitslücke
Weiterlesen

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen. Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker! Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann. Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen. Das Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script. Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider [...]

2015-07-28T10:31:10+02:00Juli 28th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitslücken im PHP File Manager
Weiterlesen

Was muss man beim World IPv6 Launch beachten?

Am 6. Juni 2012 fällt der Startschuss für den kommenden Webstandard IPv6. Der World IPv6 Launch wurde von der Internet Society (ISOC) ausgerufen. Dabei wollen viele Internetfirmen, Netzbetreiber und Produkthersteller das IPv6-Protokoll parallel zum bisherigen IPv4 einsetzen, um die Umstellung auf das neue Protokoll zu beschleunigen. Dazu gehören unter anderem Firmen wie AT&T, Time Warner Cable, Comcast, Google, Facebook, Bing und Yahoo. Der Parallelbetrieb ist nur der Beginn, auf die Dauer soll IPv6 IPv4 vollständig ersetzen. Dadurch wird ein fast unendlich großer IP-Adressraum von mehreren Hundert Sextillionen IP-Adressen erzeugt, was Voraussetzung für das "Internet der Dinge" ist. Jede Armbanduhr, jeder Kühlschrank und jeder Stromzähler kann dann über seine eigene eindeutige IP-Adresse im Netz angesprochen werden. Da IPv6 ein sehr tief liegendes Protokoll ist, brauchen wir weder als Internet-Nutzer noch als Ersteller von Internetseiten besondere Vorkehrungen für den Worls IPv& Launch treffen.  Natürlich können zum Beispiel bei der beliebten Funktion "Das ist Ihre IP-Adresse:" je nach Programmierung Umbrüche oder unschöne Erweiterungen der HTML-Container auftreten, aber funktionelle Probleme sind nicht zu erwarten. Auf http://test-ipv6.com  oder http://ipv6test.google.com kann man seine Internetseite auch vorher auf die Funktionalität mit IPv6 überprüfen.

2012-01-19T09:21:05+02:00Januar 19th, 2012|Allgemein, test|Kommentare deaktiviert für Was muss man beim World IPv6 Launch beachten?
Weiterlesen
Nach oben