Sicherheitslücken

/Tag:Sicherheitslücken

Sicherheitsupdate Thunderbird 52.6

Beim Email-Client Thunderbird wurden soeben zehn Sicherheitslücken beseitigt. Der bereinigte aktuelle Thunderbird 52.6 steht seit heute zum Download bereit. Zusätzliche Angaben zu den beseitigten Schwachstellen finden Sie In der offiziellen Sicherheitswarnung von Hersteller Mozilla. Mozilla stuft die Auswirkungen der Lücken laut Sicherheitswarnung insgesamt als kritisch ein; obwohl der Großteil der Schwachstellen den Bedrohungsgrad "hoch" aufweist. Nur die Schwachstelle CVE-2018-5089 wird auch einzeln vom Hersteller als „kritisch“ bewertet. Wenn Angreifer die Lücken ausnutzen, könnten sie Speicherfehler auslösen und damit den Email-Client crashen oder sogar Schadcode auf dem Rechner ausführen. Mozilla legt Wert auf den Hinweis, dass man die Lücken in der Standardeinstellung von Thunderbird nicht ausnutzen kann, weil das Scripting ab Werk deaktiviert ist. Wie solche Angriffe im Detail vor sich gehen, bleibt aber noch unklar. Wegen der Einstufung „kritisch“ ist aber wohl anzunehmen, dass letztlich Angriffe aus der Ferne ohne Authentifizierung stattfinden können.

By | 2018-01-27T21:08:53+00:00 Januar 26th, 2018|Javascript, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate Thunderbird 52.6

Google hat Chrome 64 freigegeben

Google hat soeben die neue Version 64.0.3282.119 seines Browsers Chrome online gestellt. Das Update ist ab sofort für Windows, Mac OS X und Linux verfügbar. Zu den neuen Funktionen des Browsers gehört unter anderem zum Beispiel einen verbesserter Popup-Blocker – darüber hinaus beseitigt das Update insgesamt 53 Sicherheitslücken. 53 Sicherheitslücken gefixt Einzelheiten zu den abgesicherten Lücken nennt Google allerdings nur zu 24 der Anfälligkeiten, die von externen Forschern an Google gemeldet wurden und dafür von Google mit Prämien in Höhe von 22.000 Dollar belohnt wurden. Davon gingen alleine 4.000 Dollar an den deutschen Sicherheitsexperten Tobias Klein und 3.000 Dollar an einen anonymen Nutzer. Die Höhe dieser Belohnungen (Bounties) richtet sich normalerweise nach der Schwere der Anfälligkeit. Der neue Popup-Blocker Der neue Popup-Blocker von Chrome 64 schützt jetzt auch vor transparenten Overlays, welche die gesamte Seite bedecken und damit alle Klicks abfangen, um dann einen neuen Tab oder ein neues Browserfenster zu öffnen. Auch das Tarnen [...]

By | 2018-01-27T21:10:18+00:00 Januar 25th, 2018|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Google hat Chrome 64 freigegeben

Browser-Updates für Firefox, Firefox ESR und Tor

In Firefox, Firefox ESR (Extended Support Release) sowie dem auf ESR basierenden Tor Browser finden sich mehrere Sicherheitslücken, die Angreifern unter bestimmten Umständen das Ausspähen von Informationen, Cross-Site-Scripting-Angriffe und sogar das Ausführen beliebigen Codes mit den Rechten des Browsers möglich machen. Nach aktuellen Sicherheitshinweisen von Mozilla sind alle Vorgänger-Versionen des Browsers Firefox 57 aka Quantum und Firefox ESR vor dem aktuellen Release 52.5 betroffen. Die Versionen vor 7.0.10 des anonymisierenden Tor Browsers sind such verwundbar, weil der Tor-Browser auf Firefox ESR aufsetzt. Unter den insgesamt 15 in Firefox geschlossenen Sicherheitslücken bewerten die Entwickler drei als "kritisch" und eine als "hoch". Weitere elf Lücken ordnen sie als "niedrig" bis "mittel" ein. Das Notfallteam des BSI CERT Bund sieht das aber durchaus etwas anders: Es stufte das von den Sicherheitslücken ausgehende Risiko durchgängig als "sehr hoch" ein. Benutzer sollten in jedem Fall zügig updaten: Die abgesicherten Versionen des im Zuge des Projekts Quantum rundum überarbeiteten und nun [...]

By | 2017-11-17T09:24:08+00:00 November 16th, 2017|Browser, Webwerkzeuge|Kommentare deaktiviert für Browser-Updates für Firefox, Firefox ESR und Tor

Apple bringt MacOS 10.13 High Sierra

Apple hat jetzt im Mac App Store die nächste MacOS-Version zum kostenlosen Download freigegeben. Die Beta-Phase, die mit dem Goldmaster Candidate erst vor 14 Tagen gestartet wurde, ist damit abgeschlossen. Die neue Version MacOS 10.13 (High Sierra) bringt im Wesentlichen Neuerungen im Unterbau mit. Dabei wird unter anderem das Dateisystem APFS Pflicht für Nutzer, die eine SSD besitzen. Für Festplatten und Fusion Drives ist das neue System allerdings noch nicht geeignet, deshalb kommt die Unterstützung für diese Datenträger noch nicht mit diesem Update. Neu in High Sierra ist (nur für neuere Macs) die Unterstützung von High Efficiency Video Encoding (HEVC), wozu  man allerdings einen recht schnellen Prozessor benötigt. Zu den weiteren Neuerungen zählt auch  die Grafikschnittstelle Metal 2 . Das Update auf High Sierra beseitigt auch viele Sicherheitslücken, die in seinen Vorläufer-Versionen noch vorhanden sind. Allerdings gibt es auch noch Kompatibilitätsprobleme zum Beispiel mit Wacom-Equipment. Nach Informationen von Macworld UK gibt es auch noch Risiken bei den Programmen AutoCAD, Civilization 5 und Sophos AV. Diese [...]

By | 2017-09-26T10:42:14+00:00 September 26th, 2017|Allgemein|Kommentare deaktiviert für Apple bringt MacOS 10.13 High Sierra

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt. Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen. Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden. Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

By | 2017-07-06T23:06:48+00:00 Juli 6th, 2017|Allgemein, PHP|Kommentare deaktiviert für Sicherheitsupdate 3.7.3 für CMS Joomla

Vorbereiten auf PHP 7

Im August dieses Jahres endet der aktive Support für PHP 5. Danach gibt es noch ein Jahr länger Patches gegen Sicherheitslücken geben, aber so langsam müssen sich Entwickler und Anwender darauf einstellen, ihre PHP-Programme rechtzeitig auf die neue Version PHP 7 zu migrieren. Durch diese klaren Festlegungen zur Support-Dauer wollen die Entwickler einen Fehler wie beim Erscheinen von PHP 5 vermeiden. Damals hatten sie nämlich kein eindeutiges Ende für die Vorversion PHP 4 vorgegeben, die deshalb noch recht lange gewartet werden musste. Das PHP-Projekt hat PHP 7 genutzt, um viele zuvor als "deprecated" abgekündigte Altlasten aus PHP herauszunehmen und die teilweise inkonsistente und undokumentierte Semantik aufzuräumen. Unter anderem zur sauberen Implementierung eines abstrakten Syntaxbaums überarbeiteten die Entwickler die Syntax von PHP 7 bezüglich der Verwendung von Variablen. PHP-Programmierer müssen aber nicht nur auf Altes verzichten - sie bekommen mit PHP 7 auch viele neue Features, die die Arbeit mit [...]

By | 2017-06-18T14:02:19+00:00 Juni 18th, 2017|Allgemein, PHP|Kommentare deaktiviert für Vorbereiten auf PHP 7

Chrome 59 macht Sicherheitslücken dicht

Mit einigen neuen Features kommt Chrome 59.0.3071.86 daher und schließt auch wieder eine Anzahl teilweise kritischer Sicherheitslöcher. Hersteller Google will sich mit Details zu den Schwachstellen aber noch etwas zurückhalten, bis deren Behebung per Update bei einer Mehrzahl der Nutzer angekommen ist. Google hat Chrome 59 soeben in den Stable Channel überführt und auch schon mit der Verteilung des Updates begonnen. Benutzer unter Windows, Mac und Linux sollten die neue Version in den nächsten Tagen beziehungsweise Wochen erhalten. Auch Updates für Android und Chrome OS sollen in Kürze nachkommen. Wer seinen Browser sofort updaten möchte, sollte die „Hilfe“ und dort „Über Google Chrome“ aufrufen. Hier kann man nachschauen, welche Version von Google Chrome man aktuell nutzt, und wenn eine neuere Version wie Chrome 59 verfügbar ist, wird der Download mit anschließender Installation auch automatisch gestartet. Bei mir hat das soeben schon funktioniert…

By | 2017-06-07T08:29:18+00:00 Juni 7th, 2017|Allgemein|Kommentare deaktiviert für Chrome 59 macht Sicherheitslücken dicht

Kein Support mehr für PHP 5

Am heutigen 1. Januar 2017 hat PHP 5.6 als letzte 5er-Version der beliebten Script-Sprache das Ende seiner aktiven Supportphase erreicht: Die aktuelle Version PHP 5.6.30 wird das letzte reguläre PHP-5-Release sein, das herausgekommen ist. Danach gibt es nur noch das neueste Haupt-Release PHP 7 bzw. PHP 7.1. An PHP 5 wird auch ab sofort nicht mehr weiter entwickelt. Allerdings versprechen die Entwickler, kritische Sicherheitslücken in PHP 5.6 noch bis Ende 2019 zu stopfen – aber spätestens zu diesem Zeitpunkt sollte man auf eine 7er-Version der Scriptsprache aufgestiegen sein. Die Web-Statistiker von W3tech fanden PHP 7 bisher nur auf 2,5% der untersuchten Internetseiten, die PHP nutzen. PHP 5.6 wird auf 21% der PHP-Sites eingesetzt, der Rest verteilt sich auf ältere, nicht mehr gepflegte PHP-Versionen. Nach Angaben von W3tech nutzen über 80% der 10 Millionen populärsten Websites PHP. Etwas freundlicher kommt die Statistik von packagist.org, dem Standard-Repository des PHP-Package-Managers Composeherüber: Hier kamen PHP 7.0 und [...]

By | 2017-01-01T20:28:43+00:00 Januar 1st, 2017|Allgemein, PHP|Kommentare deaktiviert für Kein Support mehr für PHP 5

Kein Flash mehr im Browser Edge

Microsoft will jetzt auch den Nutzern seines Browsers Edge die vollständige Kontrolle über den Einsatz von Adobes Flash in die Hand geben. Flash ist eine proprietäre Seitenerstellungssprache von der Firma Adobe, die ihren Hype schon länger hinter sich hat, immer häufiger durch Sicherheitslücken in den Schlagzeilen ist und dank HTML 5 für nichts mehr wirklich benörigt wird – im Grunde also eine gefährliche schlechte Angewohnheit. So wie es auch Google schon für seinen Browser Chrome angekündigt hat, soll auch beim Edge-Browser die Nutzung von Flash nach und nach nur noch auf ausdrücklichen Wunsch des Benutzers aktiviert werden. Der Hersteller teilte in einem Blogbeitrag mit, dass Windows Insider die neue Funktion in den nächsten Vorabversionen testen können. Allerdings nannte Microsoft noch keinen genauen Termin für den Anfang vom Ende von Flash in der normalen Anwenderversion des Browsers.

By | 2016-12-17T20:11:34+00:00 Dezember 17th, 2016|Allgemein, HTML|Kommentare deaktiviert für Kein Flash mehr im Browser Edge

Chrome 53 ohne Flash-Tracking

Wer immer noch auf Flash baut, ist gut beraten, endlich auf HTML5 umzusteigen. Google hat jetzt mit den automatischen Updates auf Chrome 53 für  Linux, Mac OS X und Windows begonnen. Das Update schließt 33 Sicherheitslücken und verhindert wie angekündigt die Ausführung von Flash-Programmen im Hintergrund, die dem Tracking der Anwender dienen. Nach Googles Ankündigung vom August sind heute ca. 90 Prozent aller Flash-Elemente für den Endanwender gar nicht sichtbar. Sie haben absolut keinen Nutzen für Besucher der Website und sorgen auch noch dafür, dass die Seite langsamer geladen wird. Hauptsächlich rufen sie die Flash-APIs enumerateFonts und ExternalInterface auf, um so eine Liste der auf dem Rechner installierten Schriftarten und damit ein weiteres Merkmal zur Identifikation auch nicht eingeloggter Anwender zu bekommen – also für das sogenannte Fingerprinting. Die neue Browser-Version Chrome 53.0.2785.89 steht ab sofort für Windows, Mac OS X und Linux zum Download bereit. Nutzer, die den Browser schon installiert haben, bekommen das Update automatisch, aber es kann auch von [...]

By | 2016-09-02T23:58:35+00:00 September 2nd, 2016|Allgemein|Kommentare deaktiviert für Chrome 53 ohne Flash-Tracking