Das Sicherheits-Update 99.0.1150.46 für den Browser Edge

Schon in Kürze erscheinen Googles Browser Chrome und Microsofts Edge  in der Version 100. Trotzdem sollten die Benutzer schon vorher prüfen, ob Ihre Installation auf dem aktuellen Stand ist. Denn aktuell warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor mehreren Schwachstellen im Edge-Browser. Der entsprechende Sicherheitshinweis des BSI weist die Risikostufe 4 (von 5) aus. Hohe Gefahr durch Edge-Sicherheitslücken Das BSI erklärt dazu: "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Microsoft Edge ausnutzen, um seine Berechtigungen zu erhöhen, Schadcode auszuführen, einen Programmabsturz herbeizuführen oder andere Auswirkungen zu verursachen. Zur Ausnutzung genügt es, eine bösartig gestaltete Webseite zu laden beziehungsweise einen Link zu einer solchen Seite anzuklicken.“ Das vom Hersteller Microsoft bereitgestellte Sicherheits-Update auf die Version 99.0.1150.46 sollten Sie wegen des hohen Schadenspotenzials umgehend einspielen. Nach Angaben von Microsoft  gibt es aktuell keine Hinweise darauf, dass Cyberkriminelle die Sicherheitslücken schon für Angriffe ausnutzen. Einen Überblick über alle behobenen Sicherheitsprobleme finden Sie im Leitfaden zum Sicherheitsupdates von Microsoft. Wie man den Browser Edge updatet Um das Edge-Update auszulösen, sind folgende Schritte nötig: Edge-Browser öffnen Auf die drei Punkte oben rechts klicken Auf Hilfe und Feedback und danach auf Infos zu Microsoft Edge klicken Edge sucht dann nach Updates. Wenn eines verfügbar ist, aktualisiert sich der Browser automatisch.

2022-03-22T12:03:15+02:00März 22nd, 2022|Browser, Sicherheit|Kommentare deaktiviert für Das Sicherheits-Update 99.0.1150.46 für den Browser Edge
Weiterlesen

Sicherheitsupdate: Angriffe auf Drupal-Admins möglich

Weil Angreifer mit dem CMS Drupal erstellte Websites attackieren könnten, haben die Entwickler des Content Management Systems Drupal jetzt zwei Sicherheitslücken geschlossen, deren Risiko die Entwickler insgesamt  als "moderat kritisch" ein stufen. Die Probleme stecken im CKEditor Beiden Schwachstellen (CVE-2021-41164 "hoch", CVE-2021-41165 "mittel") stecken in dem in Drupal integrierten CKEditor. Allerdings sollen einer Warnmeldung zufolge aber nur solche Websites angreifbar sein, bei denen die CKEditor-Bibliothek für die WYSIWYG-Bearbeitung aktiviert ist. Ob das standardmäßig so eingestellt ist, geht aus der Meldung leider nicht hervor. In einem so eingestellten System könnten Angreifer Inhalte erstellen oder verändern. Außerdem ist es denkbar, dass etwa Admins ins Visier von XSS-Angriffen geraten. Die bereinigten Versionen Die Drupal-Versionen 8.9.20, 9.1.14 und 9.2.9 sind jetzt gegen solche Angriffe abgesichert worden. Für 9er-Versionen vor 9.1.x ist der Support inzwischen ausgelaufen und es gibt keine Sicherheitsupdates mehr. Für Drupal 8 ist es der letzte Sicherheitspatch.  Weil Drupal 7 den CKEditor nicht benutzt, ist diese Version insgesamt nicht von dem Problem betroffen.

2021-11-19T18:13:23+02:00November 19th, 2021|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitsupdate: Angriffe auf Drupal-Admins möglich
Weiterlesen

Erweiterter Notfallpatch für Apache-Webserver

Seit einigen Tagen zielen Angreifer in aller Welt auf verwundbare Internetserver auf Basis des Webservers Apache. Dazu kam zwar recht schnell ein Sicherheitspatch heraus, aber Sicherheitsforscher fanden heraus, dass auch damit aktualisierte Server immer noch angreifbar sind. Lücke macht Remote Code Execution möglich Wenn Angreifer erfolgreich an der Sicherheitslücke (CVE-2021-41773) ansetzen, könnten sie unter bestimmten Umständen mit speziellen URLs auf Dateien außerhalb des Document-Root-Verzeichnisses von Apache zugreifen. Laut einer aktualisierten Warnmeldung von Apache ist nomalerweise der Schutzmechanismus "require all denied" aktiviert, der vor solchen Angriffen schützen soll. In dieser Meldung warnen die Sicherheitsforscher aber auch, dass sogar immer noch Schadcode auf die Systeme kommen kann. Wie Angreifer den als "unzureichend" bezeichneten Patch umgehen, gibt der Text aber verständlicherweise nicht an. Für den erweiterten Angriff wurde inzwischen die Kennung CVE-2021-42013 vergeben - eine Einstufung des Bedrohungsgrads für die beiden Lücken gibt es noch nicht. Weil die Angreifer aus der Ferne Schadcode ausführen könnten, muss man wohl zumindest von einer hohen Einstufung ausgehen. Apache umgehend (noch einmal) patchen! Die beiden Schwachstellen stecken nur in den beiden Versionen 2.4.49 und 2.4.50. Die aktuelle Version 2.4.51 soll nun dagegen abgesichert sein. Auch das Computer Emergency Response Team (CERT) der US-Regierung warnt vor den Angriffen und rät den Admins dringend, Apache Webserver umgehend [...]

2021-10-08T10:56:30+02:00Oktober 8th, 2021|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Erweiterter Notfallpatch für Apache-Webserver
Weiterlesen

Google-Browser Chrome schließt 27 Sicherheitslücken

Nachdem Angreifer Computer mit Google Chrome hätten attackieren konnten, löst jetzt eine abgesicherte Version mehrere Sicherheitsprobleme. Mehrere der geschlossenen Lücken sind mit dem Bedrohungsgrad "hoch" eingestuft. Wer mit Google Chrome surft, sollte also den Webbrowser aus Sicherheitsgründen auf den aktuellen Stand bringen – wenn das nicht sowieso schon automatisch geschehen ist. Echte Details wurden wie üblich noch nicht veröffentlicht Die Angreifer konnten durch das erfolgreiche Ausnutzen von fast allen Schwachstellen  vom Typ use after free in verschiedenen Komponenten des Browsers hervorrufen, was generell zum Absturz einer Anwendung führt. Manchmal ist es aber auch möglich, darüber eigenen Code in Speicherbereiche zu schieben und auszuführen zu lassen. Ob und wie das in diesen Fällen funktioniert, führt Google in einer Warnmeldung nicht aus, bevor die meisten Installationen die neue, abgesicherte Version nutzen. Die Entwickler haben die Sicherheitslücken in der Version 93.0.4577.63 für Linux, macOS und Windows geschlossen. Um unter Windows zu prüfen, ob die auf Ihrem Rechner installierte Version zum Beispiel aktuell ist, klicken Sie im Browser oben rechts auf die drei vertikal angeordneten Punkte und dann auf Hilfe/Über Google Chrome. Das stößt auch den Aktualisierungsprozess manuell an, wenn Ihr Chrome veraltet sein sollte.

2021-09-02T20:24:15+02:00September 2nd, 2021|Browser, Sicherheit|Kommentare deaktiviert für Google-Browser Chrome schließt 27 Sicherheitslücken
Weiterlesen

Neue Tor-Browser-Version mit Sicherheitsupdates

Der anonymisierende Tor Browser, den man für den Zugang zum Darknet braucht, ist gerade in der Version 10.5.5 für Windows, Linux, macOS und Android erschienen. Neben den üblichen Bugfixes und Komponenten-Updates bringt die neueste Ausgabe des Browsers auch mehrere sicherheitsrelevante Aktualisierungen. Tor und Firefox-Basis abgesichert Die vom Tor-Browser benutzte Version des Tor-Netzwerks zur Anonymisierung wurde auf Version 0.4.5.10 aktualisiert. Mit dem Update wird eine Schwachstelle beseitigt, die entfernten Angreifern ohne vorherige Authentifizierung unter bestimmten Voraussetzungen die Durchführung von Denial-of-Service-Angriffen ermöglicht hätte. Informationen zu verwundbaren und abgesicherten Tor-Versionen finden Sie in einem Advisory des DFN-CERT zu CVE-2021-38385 und in einem Blogeintrag zu den aktuellen Tor-Releases. Die Android-Version des Tor-Browsers basiert  jetzt auf der neueren Firefox-Version 91.2.0. Sie kommt mit Fixes für mehrere Sicherheitslücken, von denen ein zum Teil hohes Risiko ausgeht. Nach Informationen aus Mozillas Security Advisory zu Firefox 91 könnten die Lücken unter anderem für ausnutzbare Programmabstürze und (mit viel Aufwand) auch zur Codeausführung missbraucht werden. Download und weitere Informationen Alle Neuerungen werden im Blogeintrag zum Tor Browser 10.5.5 beschrieben. Darin findet sich auch ein Hinweis, dass der Support für die Onion Services (Tor Hidden Services) v2 durch den Tor Browser "sehr bald" zugunsten von v3 eingestellt werde. Browser-Nutzer sollten ihre Bookmarks fürs Darknet deshalb auch auf v3-Onion-Adressen aktualisieren. Den Tor Browser 10.5.5 [...]

2021-08-23T17:07:48+02:00August 23rd, 2021|Browser, Sicherheit|Kommentare deaktiviert für Neue Tor-Browser-Version mit Sicherheitsupdates
Weiterlesen

Chrome-Update für Desktop schließt mehrere Sicherheitslücken

Soeben hat Google die stabile Version (Stable Channel) des Web-Browsers Chrome für den Desktop für die Betriebssysteme Windows, macOS und Linux auf die Version 89.0.4389.114 angehoben. Dieses Update, das wie üblich in den nächsten Tagen und Wochen an bestehende Installationen des Browsers ausgespielt werden soll, beseitigt laut Google insgesamt 8 Schwachstellen. Von mindestens sechs dieser Sicherheitslücken soll ein hohes Risiko ausgehen. Wie schon früher führt Google auch im aktuellen Security Advisory zu Chrome 89.0.4389.114 nur die Schwachstellen explizit an, die nicht von Google selbst, sondern von externen Sicherheitsforschern entdeckt wurden. Noch keine Details zu den beseitigten Schwachstellen Es fehlen leider Details zu den sechs genannten Sicherheitsproblemen mit "High"-Wertung, aber in der Regel folgen solche Details erst dann, wenn die meisten Nutzer das Update installiert haben. Durch dieses Vorgehen soll das Risiko aktiver Angriffe auf noch ungeschützte Systeme reduziert werden. Chrome-Nutzer können das Update entweder über den Auto-Update beziehen oder aber den Browser alternativ auch manuell über den Menüpunkt "Hilfe"--> "Über Google Chrome" auf den neuesten Stand updaten.

2021-03-31T12:53:24+02:00März 31st, 2021|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Chrome-Update für Desktop schließt mehrere Sicherheitslücken
Weiterlesen

Firefox 86 verbessert Komfort und Sicherheit

Heute wurden die neuen Firefox-Versionen 86 und 78.8 ESR veröffentlicht. Firefox 86 und die ESR-Version (Extended Support Release) 78.8 können ab heute downgeloadet werden und kommen bei aktiviertem Auto-Update nach und nach als Aktualisierung auf solche Rechner, auf denen der Browser schon installiert ist. Im neuen Firefox wurden bestehende Funktionen wie die vereinfachte Leseansicht und die Picture-in-Picture-Funktion verbessert. Sowohl eue Minimalanforderungen an die Verschlüsselung der Echtzeitkommunikation per WebRTC als auch der neu implementierte Schutz vor "Stack Clash"-Angriffen auf Linux- und Android-Systeme sollen die Sicherheit beim Surfen erhöhen. Neu ist auch ein Feature namens "Total Cookie Protection", das Website-übergreifendes Tracking erschweren soll. Außerdem wurden in den neuen Firefox-Ausgaben Schwachstellen, auch mehrere mit "High"-Einstufung, entfernt. Der Komfort wurde merklich verbessert Nutzer dürften beim Surfen mit der neuen Browser-Version sofort zum Beispiel die Default-Aktivierung der in älteren Firefox-Ausgaben manuell einzuschaltenden Picture-in-Picture-Funktion sowie ein Bugfix für die vereinfachte Leseansicht ("Reader View") bemerken. Die Leseansicht funktioniert jetzt auch beim (Offline-)Lesen lokal gespeicherter HTML-Seiten und verbessert den Lesekomfort dadurch, dass potenziell störende Bedien- und anderer Browserelemente teitweise ausgeblendet werden. Der Farbkontrast der Links in der Leseansicht wurde laut Release-Notes jetzt verstärkt, und auch die Funktion  "Drucken" wurde optisch und funktional umgestaltet. Es gibt auch für visuell beeinträchtigte Menschen diverse Verbesserungen der Bedienbarkeit von Screen-Readern in Kombination [...]

2021-02-23T23:43:33+02:00Februar 23rd, 2021|Bildbearbeitung, Browser, Webwerkzeuge|Kommentare deaktiviert für Firefox 86 verbessert Komfort und Sicherheit
Weiterlesen

Upload aller Dateitypen in WordPress

Wer schon einmal versucht hat, beispielsweise eine gepackte RAR-Datei in die Mediathek einer WordPress-Installation hochzuladen. Könnte sich dabei die Fehlermeldung „Dieser Dateityp ist aus Sicherheitsgründen leider nicht erlaubt“ eingefangen haben. Wenn man solche Dateien nutzen möchte, zum Beispiel, um sie als Download anzubieten, kann man sie eigentlich nur noch manuell mit einem FTP-Programm in das richtige Verzeichnis übertragen. Dabei sollte man auch den Eigentümer (User:Group) korrekt setzen. Uploads in der Konfigurationsdatei freigeben Wer regelmäßig solche Dateien anbieten muss, hat aber alternativ die Möglichkeit, in der Konfigurationsdatei „wp-config.php“ im Hauptverzeichnis von Wordpress den Upload für alle Dateitypen freizugeben. Zu diesem Zweck fügt man die Zeile define( 'ALLOW_UNFILTERED_UPLOADS', true ); in diese Datei ein. Danach klappt es dann aber auch mit dem Upload eines RAR-Archivs direkt über die Mediathek.

2018-12-15T00:41:57+02:00Dezember 15th, 2018|Bildbearbeitung, Coding, PHP, Webwerkzeuge|Kommentare deaktiviert für Upload aller Dateitypen in WordPress
Weiterlesen

Efail: FH Münster entzaubert PGP und S-MIME

Die Fachhochschule Münster hat sich die Standards und die konkreten Umsetzungen der Email-Verschlüsselung mit PGP und S/MIME genauer angeschaut und ist zu einem vernichtenden Urteil gekommen: S/MIME und OpenPGP können die Sicherheit von verschlüsselt versandten Nachrichten nicht ausreichend sicherstellen. Angreifer, welche die verschlüsselt verschickten Emails abfangen und manipulieren können, können sich auch Zugang zu Teilen des Klartexts der Nachricht verschaffen, warnen die Experten rund um Sebastian Schinzel von der FH Münster. Von dem "Efail" genannten Problem sind praktisch alle Programme betroffen, die Email-Verschlüsselung umsetzen – von Microsofts Outlook und Windows Mail bis hin zu Mozillas Thunderbird und Apple Mail. Besonders gefährlich ist das bei dem vor allem im Firmenumfeld eingesetzten S/MIME, wobei die Münsteraner Forscher letztlich diesen Standard als „unrettbar kaputt“ erklären. Aber auch das aus der Graswurzelbewegung kommende PGP weist gravierende Probleme auf, die sich für ganz konkrete Angriffen ausnutzen lassen. Hier besteht jedoch die Hoffnung, dass die Probleme durch Updates der Hersteller von OpenPGP-Erweiterungen wie beispielsweise Enigmail mittelfristig entschärft werden können. Nur vorbeugende Maßnahmen helfen ein wenig Um sich gegen Efail zu schützen, kann man in der aktuellen Situation im Grunde nur auf den Versand sehr brisanter Informationen per Email verzichten. Aber vorbeugende Maßnahmen wie z.B. das Deaktivieren der Anzeige von HTML und des [...]

2018-05-15T17:06:05+02:00Mai 15th, 2018|Allgemein, Coding, Webwerkzeuge|Kommentare deaktiviert für Efail: FH Münster entzaubert PGP und S-MIME
Weiterlesen

Cloudflares neue DNS-Server sind online

Ab sofort können die DNS-Server beziehungsweise Resolver des US-Unternehmens Cloudflare unter den öffentlichen IP-Adressen 1.1.1.1 und 1.0.0.1 genutzt werden. Das kündigt das Unternehmen in einem Blogeintrag an. Die beiden Server sind für rekursive Domainauflösung ausgelegt, wie es im Internet normalerweise Standard ist. Außerdem unterstützen beide Server DNS-over-HTTPS und DNS-over-TLS, wodurch die DNS-Abfragen selbst verschlüsselt werden können. Cloudflare weist besonders auf die schnellen Reaktionszeiten und auf die Sicherheit dieses DNS-Systemes hin. Die Server haben sehr geringe Latenzzeiten Das Unternehmen hat den DNS-Dienst im März 2018 auf 31 Rechenzentren weltweit verteilt. Ein Großteil der Standorte befindet sich in Europa, in China und in den USA, deshalb sind kurze Latenzzeiten zumindest für diese Kontinente und Länder nicht erstaunlich. Erste Tests zeigen gute Resultate. Nykolas Z vom Medium-Blog hat auch die Leistung verglichen. Danach kann keiner der dabei getesteten DNS-Dienste einen großen Geschwindigkeitsvorsprung erreichen, aber Cloudflare ist immer an erster Stelle dabei. Verglichen wurde die Cloudflare-DNS mit den Servern von Google (8.8.8.8), von Quad9 (9.9.9.9 ) und von OpenDNS (208.67.222.222). Eine Frage der Datensicherheit Für die dauerhafte Nutzung stellt sich die Frage, ob man als Nutzer seine über das Internet gesendeten Daten an ein unreguliertes Unternehmen, insbesondere aus Staaten wie den USA, übertragen sollte. Denn DNS-Server speichern zum Beispiel aufgerufene Domains [...]

2018-04-03T16:14:08+02:00April 3rd, 2018|Webwerkzeuge|Kommentare deaktiviert für Cloudflares neue DNS-Server sind online
Weiterlesen
Nach oben