Tag-Archive for » Sicherheitslücken «

Browser-Updates für Firefox, Firefox ESR und Tor

In Firefox, Firefox ESR (Extended Support Release) sowie dem auf ESR basierenden Tor Browser finden sich mehrere Sicherheitslücken, die Angreifern unter bestimmten Umständen das Ausspähen von Informationen, Cross-Site-Scripting-Angriffe und sogar das Ausführen beliebigen Codes mit den Rechten des Browsers möglich machen.

Nach aktuellen Sicherheitshinweisen von Mozilla sind alle Vorgänger-Versionen des Browsers Firefox 57 aka Quantum und Firefox ESR vor dem aktuellen Release 52.5 betroffen. Die Versionen vor 7.0.10 des anonymisierenden Tor Browsers sind such verwundbar, weil der Tor-Browser auf Firefox ESR aufsetzt.

Unter den insgesamt 15 in Firefox geschlossenen Sicherheitslücken bewerten die Entwickler drei als “kritisch” und eine als “hoch”. Weitere elf Lücken ordnen sie als “niedrig” bis “mittel” ein. Das Notfallteam des BSI CERT Bund sieht das aber durchaus etwas anders: Es stufte das von den Sicherheitslücken ausgehende Risiko durchgängig als “sehr hoch” ein.

Benutzer sollten in jedem Fall zügig updaten: Die abgesicherten Versionen des im Zuge des Projekts Quantum rundum überarbeiteten und nun deutlich schnelleren und ressourcenschonenderen Firefox 57 und von ESR 52.5 stehen zum Download bereit. Das gilt auch für den auf ESR 52.5 basierenden Tor Browser 7.0.10.

Apple bringt MacOS 10.13 High Sierra

Apple hat jetzt im Mac App Store die nächste MacOS-Version zum kostenlosen Download freigegeben. Die Beta-Phase, die mit dem Goldmaster Candidate erst vor 14 Tagen gestartet wurde, ist damit abgeschlossen.

Die neue Version MacOS 10.13 (High Sierra) bringt im Wesentlichen Neuerungen im Unterbau mit. Dabei wird unter anderem das Dateisystem APFS Pflicht für Nutzer, die eine SSD besitzen. Für Festplatten und Fusion Drives ist das neue System allerdings noch nicht geeignet, deshalb kommt die Unterstützung für diese Datenträger noch nicht mit diesem Update.

Neu in High Sierra ist (nur für neuere Macs) die Unterstützung von High Efficiency Video Encoding (HEVC), wozu  man allerdings einen recht schnellen Prozessor benötigt. Zu den weiteren Neuerungen zählt auch  die Grafikschnittstelle Metal 2 .

Das Update auf High Sierra beseitigt auch viele Sicherheitslücken, die in seinen Vorläufer-Versionen noch vorhanden sind.

Allerdings gibt es auch noch Kompatibilitätsprobleme zum Beispiel mit Wacom-Equipment. Nach Informationen von Macworld UK gibt es auch noch Risiken bei den Programmen AutoCADCivilization 5 und Sophos AV. Diese Software soll im Beta-Betrieb mit High Sierra Probleme machen.

MacOS 10.13 High Sierra wird ab sofort als kostenloses Update angeboten, ist aber aktuell bei vielen Nutzern nur über den manuellen Link in zum App Store zu bekommen. Die Dateigröße des Downloads liegt bei ca. 4,8 GByte.

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt.

Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen.

Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden.

Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

Vorbereiten auf PHP 7

Im August dieses Jahres endet der aktive Support für PHP 5. Danach gibt es noch ein Jahr länger Patches gegen Sicherheitslücken geben, aber so langsam müssen sich Entwickler und Anwender darauf einstellen, ihre PHP-Programme rechtzeitig auf die neue Version PHP 7 zu migrieren.

Durch diese klaren Festlegungen zur Support-Dauer wollen die Entwickler einen Fehler wie beim Erscheinen von PHP 5 vermeiden. Damals hatten sie nämlich kein eindeutiges Ende für die Vorversion PHP 4 vorgegeben, die deshalb noch recht lange gewartet werden musste.

Das PHP-Projekt hat PHP 7 genutzt, um viele zuvor als “deprecated” abgekündigte Altlasten aus PHP herauszunehmen und die teilweise inkonsistente und undokumentierte Semantik aufzuräumen. Unter anderem zur sauberen Implementierung eines abstrakten Syntaxbaums überarbeiteten die Entwickler die Syntax von PHP 7 bezüglich der Verwendung von Variablen.

PHP-Programmierer müssen aber nicht nur auf Altes verzichten – sie bekommen mit PHP 7 auch viele neue Features, die die Arbeit mit der Skriptsprache sicherer und komfortabler machen.

Chrome 59 macht Sicherheitslücken dicht

Mit einigen neuen Features kommt Chrome 59.0.3071.86 daher und schließt auch wieder eine Anzahl teilweise kritischer Sicherheitslöcher.

Hersteller Google will sich mit Details zu den Schwachstellen aber noch etwas zurückhalten, bis deren Behebung per Update bei einer Mehrzahl der Nutzer angekommen ist.

Google hat Chrome 59 soeben in den Stable Channel überführt und auch schon mit der Verteilung des Updates begonnen.

Benutzer unter Windows, Mac und Linux sollten die neue Version in den nächsten Tagen beziehungsweise Wochen erhalten. Auch Updates für Android und Chrome OS sollen in Kürze nachkommen.

Wer seinen Browser sofort updaten möchte, sollte die „Hilfe“ und dort „Über Google Chrome“ aufrufen.

Hier kann man nachschauen, welche Version von Google Chrome man aktuell nutzt, und wenn eine neuere Version wie Chrome 59 verfügbar ist, wird der Download mit anschließender Installation auch automatisch gestartet.

Bei mir hat das soeben schon funktioniert…

Kein Support mehr für PHP 5

Am heutigen 1. Januar 2017 hat PHP 5.6 als letzte 5er-Version der beliebten Script-Sprache das Ende seiner aktiven Supportphase erreicht: Die aktuelle Version PHP 5.6.30 wird das letzte reguläre PHP-5-Release sein, das herausgekommen ist. Danach gibt es nur noch das neueste Haupt-Release PHP 7 bzw. PHP 7.1.

An PHP 5 wird auch ab sofort nicht mehr weiter entwickelt. Allerdings versprechen die Entwickler, kritische Sicherheitslücken in PHP 5.6 noch bis Ende 2019 zu stopfen – aber spätestens zu diesem Zeitpunkt sollte man auf eine 7er-Version der Scriptsprache aufgestiegen sein.

Die Web-Statistiker von W3tech fanden PHP 7 bisher nur auf 2,5% der untersuchten Internetseiten, die PHP nutzen. PHP 5.6 wird auf 21% der PHP-Sites eingesetzt, der Rest verteilt sich auf ältere, nicht mehr gepflegte PHP-Versionen. Nach Angaben von W3tech nutzen über 80% der 10 Millionen populärsten Websites PHP.

Etwas freundlicher kommt die Statistik von packagist.org, dem Standard-Repository des PHP-Package-Managers Composeherüber: Hier kamen PHP 7.0 und 7.1 im November 2016 zusammen zumindest auf gut 36% der Zugriffe und PHP 5.6 auf 37%. Aber leider erfolgen auch bei packagist.org ein Viertel aller Zugriffe mit veralteten und nicht mehr supporteten PHP-Versionen.

Kein Flash mehr im Browser Edge

edgeMicrosoft will jetzt auch den Nutzern seines Browsers Edge die vollständige Kontrolle über den Einsatz von Adobes Flash in die Hand geben.

Flash ist eine proprietäre Seitenerstellungssprache von der Firma Adobe, die ihren Hype schon länger hinter sich hat, immer häufiger durch Sicherheitslücken in den Schlagzeilen ist und dank HTML 5 für nichts mehr wirklich benörigt wird – im Grunde also eine gefährliche schlechte Angewohnheit.

flash-playerSo wie es auch Google schon für seinen Browser Chrome angekündigt hat, soll auch beim Edge-Browser die Nutzung von Flash nach und nach nur noch auf ausdrücklichen Wunsch des Benutzers aktiviert werden. Der Hersteller teilte in einem Blogbeitrag mit, dass Windows Insider die neue Funktion in den nächsten Vorabversionen testen können.

Allerdings nannte Microsoft noch keinen genauen Termin für den Anfang vom Ende von Flash in der normalen Anwenderversion des Browsers.

Chrome 53 ohne Flash-Tracking

Chrome-LogoWer immer noch auf Flash baut, ist gut beraten, endlich auf HTML5 umzusteigen. Google hat jetzt mit den automatischen Updates auf Chrome 53 für  Linux, Mac OS X und Windows begonnen. Das Update schließt 33 Sicherheitslücken und verhindert wie angekündigt die Ausführung von Flash-Programmen im Hintergrund, die dem Tracking der Anwender dienen.

Nach Googles Ankündigung vom August sind heute ca. 90 Prozent aller Flash-Elemente für den Endanwender gar nicht sichtbar. Sie haben absolut keinen Nutzen für Besucher der Website und sorgen auch noch dafür, dass die Seite langsamer geladen wird.

Hauptsächlich rufen sie die Flash-APIs enumerateFonts und ExternalInterface auf, um so eine Liste der auf dem Rechner installierten Schriftarten und damit ein weiteres Merkmal zur Identifikation auch nicht eingeloggter Anwender zu bekommen – also für das sogenannte Fingerprinting.

Die neue Browser-Version Chrome 53.0.2785.89 steht ab sofort für Windows, Mac OS X und Linux zum Download bereit. Nutzer, die den Browser schon installiert haben, bekommen das Update automatisch, aber es kann auch von Googles Website geladen werden.

Sicherheitstest für Internetseiten von Mozilla

ObservatoryUnter der Bezeichnung Observatory bietet die Mozilla Foundation, der Hersteller des Browsers Firefox, einen Sicherheits-Check für beliebige Websites an.

Nach der Eingabe der Domainadresse und einiger Optionen bekommt man in wenigen Sekunden die sicherheitsrelevanten Konfigurationsdaten der Site angezeigt.

Zu den auf korrekte Implementierung untersuchten Verfahren gehören fast alle, die als Reaktion auf bekannt gewordene Sicherheitsprobleme implementiert wurden – von Content Security Policy über Cross-origin Resource Sharing und HTTP Public Key Pinning bis zu HTTP Strict Transport Security und X-XSS-Protection. Nicht geprüft wird dabei auf Probleme im Code wie beispielsweise auf SQL-Injection-Anfälligkeit.

In den Dienst fließen nach Angaben von Mozilla Erfahrungen ein, die man beim Firefox-Hersteller bei der Untersuchung von Millionen von Internetseiten gemacht hat, wobei oft erschreckende Lücken aufgedeckt worden seien – nicht nur bei fremden Internetseiten, sondern auch im eigenen Haus, beispielsweise bei addons.mozilla.org.

Wer für die Pflege oder die Sicherheit einer Internetseite verantwortlich ist, sollte das Tool durchaus einmal laufen lassen – es könnte Sicherheitslücken aufdecken, bevor das böswillige Kriminelle tun…

Chrome 49 schließt 26 Sicherheitslücken

Chrome-LogoHersteller Google hat gerade eine neue Version seines Browsers Chrome 49 zum Download bereitgestellt. Chrome 49 korrigiert viele Fehler und enthält zusätzlich auch neue Funktionen für Entwickler.

Hauptsächlich stopft das Update aber 26 Sicherheitslücken. Von mindestens acht der Anfälligkeiten geht ein hohes Risiko für Benutzer und Rechner aus. Angreifer könnten Schadcode einschleusen und auch ausführen.

Nutzer, die Chrome schon installiert haben, erhalten das Update automatisch – allerdings erst nach einem Neustart des Programms. Chrome 49 für Windows, Mac OS X und Linux kann alternativ auch von der Google-Website geladen werden.