Oracle sichert seine Produkte mit 349 Updates ab

Die gerade von Oracle veröffentlichten wichtigen Sicherheitspatches schließen unter anderem kritische Lücken in allen Anwendungen. Admins, die in ihren Unternehmen oder bei ihren Kunden Software von Oracle einsetzen (beispielsweise Datenbanken am Internetserver), sollten jetzt die aktuellen Sicherheitsupdates installieren. Der Softwarehersteller veröffentlicht Patches immer quartalsweise gesammelt. Diese Sammel-Updates kommen unter der Bezeichnung Oracle Critical Patch Update und im Juli sind darunter immerhin 349 Sicherheitspatches. Davon ist im Grunde das gesamte Software-Portfolio betroffen - es geht vom Autonomous Health Framework über NoSQL Database bis hin zu den Siebel Applications. Einige der Lücken sind echt gefährlich Entfernte Angreifer könnten zum Beispiel ohne Anmeldung an einer „kritischen“ Sicherheitslücke (CVE-2022-35169) in Oracle Database - Enterprise Edition den Hebel ansetzen. Weitere kritische Schwachstellen stecken unter anderem in Produkten aus Oracle Commerce, Communications Applications und Enterprise Manager. Wegen der Einstufung der Lücken ist anzunehmen, dass potentielle Angreifer Systeme nach erfolgreichen Angriffen komplett kompromittieren können. Deshalb sollten die Admins die Liste mit den betroffenen Anwendungen genau studieren und die für sie relevanten Sicherheitsupdates bald installieren. In der Vergangenheit kam es schon mehrfach vor, dass Lücken in Anwendungen des Software-Herstellers als Schlupflöcher für Angreifer dienten. Bisher gibt es aber noch keine Berichte über aktuell laufende Attacken.

2022-07-20T09:18:33+02:00Juli 20th, 2022|Allgemein|Kommentare deaktiviert für Oracle sichert seine Produkte mit 349 Updates ab
Weiterlesen

Oracle stellt 520 Sicherheitspatches bereit

Die Admins von Oracle-Anwendungen sollten die verfügbaren Aktualisierungen installieren, um zum Teil kritische Sicherheitslücken in der Software zu schließen. Oracle veröffentlicht Sicherheitsupdates in aller Regel gesammelt quartalsweise. Diese Pakete nennt der Softwarehersteller Critical Patch Update und in diesem Quartal sind darin insgesamt 520 Sicherheitspatches enthalten. Die Updates betreffen nicht nur hauseigene Anwendungen des Herstellers, sondern auch Software von Drittanbietern, die Oracle einsetzt. Möglichst umgehend patchen! Als "kritisch" bewertete Lücken betreffen unter anderem Blockchain Platform, Communications Applications und die E-Business Suite. In diesen Programmen können Angreifer die Schwachstellen in der Regel aus der Ferne und auch ohne Authentifizierung für Schadcode-Attacken ausnutzen. Wenn das klappt, könnten Angreifer zum Beispiel eine Hintertür installieren, um sich darüber dauerhaft in betroffenen Systemen einzunisten. In seinem umfangreichen Beitrag rät der Software-Hersteller den Admins, die Patches jetzt zügig zu installieren. Es komme wohl immer wieder zu Angriffen, weil Systeme nicht auf dem aktuellen Stand seien. Admins sollten den Beitrag genaustens lesen, um von ihnen eingesetzte bedrohte Software ausfindig zu machen und Aktualisierungen vorzunehmen. Das nächste Patch-Paket von Oracle ist für den 19. Juli 2022 geplant.

2022-04-20T11:33:49+02:00April 20th, 2022|Coding, MySQL, Webwerkzeuge|Kommentare deaktiviert für Oracle stellt 520 Sicherheitspatches bereit
Weiterlesen

Groß- und Kleinschreibung löste Firefox-Probleme aus

Der Fehler, der zu weltweiten Ausfällen des Browsers Firefox führte, ist jetzt durch Mozilla behoben worden. Der Auslöser kommt bei Software-Projekten häufig vor. Die Groß- und Kleinschreibung hat zugeschlagen Mozilla hat den Fehler in seiner HTTP/3-Umsetzung jetzt aufgespürt, der für den weltweiten Ausfall des Firefox-Browsers gesorgt hatte. Recht  schnell nach dem Ausfall ist bekannt geworden, dass eine Änderung bei einem von Mozilla genutzten Cloud-Dienst den Fehler ausgelöst hat. Aus dem dazugehörigen Bug-Report geht hervor, dass der offenbar das Header-Feld Content-Length: geändert hat, und der Firefox das Feld daraufhin falsch geparst hat. Im Bug-Report dazu ist zu lesen, das der Firefox-Code beim Parsen der HTTP-Header auf eine Funktion stoße, die das Feld Content-Length:  nur verarbeitet, wenn es in Großbuchstaben geschrieben sei. Im konkreten Fall war es aber klein geschrieben, so dass aus dem Header nicht die Länge berechnet werden konnte. Und genau das zwang den Firefox- Code dann in die Endlosschleife. Die nötigen Patches zur Fehlerbehebung sind dementsprechend simpel nachvollziehbar: Nach dem Patchen wird die Groß- und Kleinschreibung des Headers in Zukunft nicht mehr betrachtet. Außerdem hat das Team den Fehler mit der Endlosschleife behoben, so dass auch der künftig nicht mehr auftreten sollte. Trotz des Parsing-Fehlers wäre der Browser damit zumindest noch nutzbar gewesen. Das alte Problem ist bisher nie aufgefallen Dass die Groß- und Kleinschreibung [...]

2022-01-14T12:27:21+02:00Januar 14th, 2022|Browser, Coding, HTML, Webwerkzeuge|Kommentare deaktiviert für Groß- und Kleinschreibung löste Firefox-Probleme aus
Weiterlesen

Die 3D-Software Blender 3.0 ist verfügbar

Nach Beseitigung der letzten Bugs steht die neue 3,0er Version des freien 3D-Grafik-Programms wie immer kostenlos zum Download bereit. Nach dem Programmstart begrüßt den Benutzer eine neue Grafik im Schnellmenü, die aus dem aktuellen Kurzfilm Sprite Fright der Blender Foundation stammt. Die Release Notes geben einen Überblick der vielen Neuerungen in der neuen Version Blender 3.0. Der neue Asset Browser Sehr praktisch ist die Erweiterung um den Asset Browser. Der gestattet es, einzelne Bestandteile eines Projekts separat zu abspeichern und macht es dadurch leichter, sie in anderen Projekten erneut zu verwenden. Man kann damit ganze Bibliotheken anlegen, die dann beispielsweise Objekte und Materialien enthalten. Das neue Fenster des Asset Browsers zeigt die Items übersichtlich an, und sie lassen sich mit der Maus dann auch ganz einfach in die aktuelle Szene hineinziehen. Mehr Power für Cycles Auch an der Leistung wurde kräftig geschraubt:. Der Cycles-Renderer ist je nach den Inhalten doppelt bis achtfach so schnell wie zuvor. Auch die Echtzeit-Vorschau im Viewport wurde drastisch beschleunigt. Nvidia-Grafikkarten werden zwar besser unterstützt als die von AMD, aber auch Letztere haben einen Leistungsschub bekommen. Die neuen Apple-Chips lassen sich allerdings noch nicht voll ausnutzen, aber daran die Entwicklerschon mit dem Hersteller zusammen. Die OpenCL-Unterstützung gibt es allerdings nicht mehr. Die Update-Zyklen wurden seit Blender 2.8 stark verkürzt, deshalb [...]

2021-12-04T11:03:08+02:00Dezember 4th, 2021|Bildbearbeitung, Webwerkzeuge|Kommentare deaktiviert für Die 3D-Software Blender 3.0 ist verfügbar
Weiterlesen

Oracle bringt 390 Patches für seine Software

Im Zuge seines Quartalsupdates patcht Oracle seine gesamte Software und schließt dabei auch einige kritische Sicherheitslücken. Was muss alles gepatcht werden? Wegen der großen Anzahl an Patches sollten insbesondere Admins die Sicherheitswarnung des Software-Herstellers genau studieren und herausfinden, welche der Patches für sie relevant sind. Bei einigen der Patches ist wegen der Einstufung der damit geschlossenen Sichrheitslücken als "kritisch" sehr zügiges Handeln gefragt. Kritische Lücken stecken unter anderem in Oracle Communications Design Studio, Applications Session Controller und Instantis Enterprise Track. Nach einer erfolgreichen Attacke ist damit zu rechnen, dass die Angreifer Schadcode ausführen und damit dann die volle Kontrolle über die Systeme erlangen könnten. In Oracles Critical Patch Update Advisory - April 2021 sind alle betroffenen Produkte und die dazugehörige Dokumentation zu finden. Nehmen Sie sich aber ausreichend Zeit dafür, denn die Liste ist lang! Die nächste Sammlung von Sicherheitsupdates will Oracle wieder wie immer in drei Monaten am 20. Juli 2021 herausgeben.

2021-04-21T12:38:54+02:00April 21st, 2021|Javascript, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Oracle bringt 390 Patches für seine Software
Weiterlesen

Inkscape veröffentlicht Version 1.0

Inkscape ist eine freie Software zum Erstellen und Bearbeiten von Vektorgrafiken, die jetzt in der für das Projekt wichtigen Version 1.0 erschienen ist. Gestartet sind die Arbeiten für diesen wichtigen Meilenstein von der Entwickler-Community schon vor zwei Jahren auf einem Hackfest in Boston, schreiben die Entwickler in ihrer Ankündigung. Die Projektgeschichte geht aber deutlich weiter zurück. Erstmals erschienen Inkscape nämlich mit der Versionsnummer 0.35 schon Ende 2003. Details zur Version 1.0 Die wohl wichtigste technische Neuerung von Inkscape in der Version 1.0 ist wohl die Umstellung auf das GUI-Toolkit GTK+ 3. Das ist vor allem von Nutzern mit HiDPI-Displays, also Monitoren mit einer sehr hohen Auflösung wichtig. Auf solchen Geräten sollte Inkscape jetzt auch ohne Probleme skalieren können. Nach der offiziellen Ankündigung soll das Programm jetzt auch flüssiger unter Linux und Windows laufen und dabei auch eine bessere Leistung zeigen. Für MacOS kommt Inkscape erstmals als native Anwendung. Inkscape verzichtet also jetzt vollständig auf den veralteten X11-Server XQuartz, der ja auch von Apple schon lange nicht mehr aktiv weiterentwickelt wird. Als Ersatz setzt Inkscape unter MacOS nun eben auf moderne, native Schnittstellen. Weitere kleinere Verbesserungen Außerdem hat das Team hat viele Kleinigkeiten verbessert, zum Beispiel die Werkzeugansicht neu sortiert, die jetzt logischer augfgereiht sein soll. Auch die [...]

2020-05-06T20:43:15+02:00Mai 6th, 2020|Bildbearbeitung|Kommentare deaktiviert für Inkscape veröffentlicht Version 1.0
Weiterlesen

Nmap 7.80 bringt neue Skripte und verbessertes Npcap

Für Netzwerk-Admins (und natürlich auch für Hacker) ist das Tool Nmap zur Netzwerkdiagnose und zur Auswertung von netzwerkfähigen Systemen nahezu unverzichtbar. Der Portscanner dient zur Erkundung unbekannter Netzwerkumgebungen und tut gute Dienste bei ungewohnter Infrastruktur eines Netzwerks. Grundsätzlich ist Nmap freie Software unter einer GNU General Public License. Nmap im Überblick Viele kennen das Standardwerkzeug für Netzwerkspezialisten auch aus Hollywoodfilmen, wo Nmap immer dann ins Spiel kommt, wenn Hacker-Optik gefragt ist. Mein eigener erster Kontakt mit dem Tool war vor 20 Jahrem auf einem Hacker-Lehrgang in Hamburg. Das Werkzeug wurde ständig weiter entwickelt und konnte sich vor allem durch aktive Techniken wie das OS-Fingerprinting (Erkennen des eingesetzten Betriebssystems auf dem Zielhost) einen Namen machen. Auch das Mapping von Netzwerkumgebungen (Erkennung aktiver Hosts) ist mit Nmap möglich. Letztlich lassen sich mit Nmap vereinzelt die hinter einem Port stehenden Dienste mit ihren Version auslesen. Die neue Version Nmap 7.80 Nach einem Jahr intensiver Weiterentwicklung ist gerade die neu Version Nmap 7.80 veröffentlicht worden. Die lange Bearbeitungszeit ist der kompletten Überarbeitung der Bibliothek zur Paketerfassung Npcap geschuldet. Das neue Npcap funktioniert auf Windows 10 merklich besser als seine Vorgängerversion. Darüber hinaus gibt es auch noch mehr als 80 weitere Verbesserungen an den Versionen für Windows, Linux, BSD und macOS. Mit elf neuen Analyse-Skripten [...]

2019-08-15T08:41:02+02:00August 14th, 2019|Coding, Webwerkzeuge|Kommentare deaktiviert für Nmap 7.80 bringt neue Skripte und verbessertes Npcap
Weiterlesen

Chrome blockiert Code von Drittanbietern

Zwei von drei Chrome-Nutzern verwenden unter Windows Software, die mit dem Browser interagiert und sich dabei in dessen Prozesse einklinkt, hat Google festgestellt. Als bestes Beispiel dafür nennt der Chrome-Hersteller Virenschutzprogramme, die ihren Code direkt in den Chrome-Browser „injizieren“, um die Nutzer dadurch besser vor Malware zu schützen. Allerdings verschärfen genau solche Verfahren ein Problem verschärft: Durch den injizierten Fremdcode steigt nämlich die Absturzrate des „Wirts-Browsers“ Chrome um satte 15 Prozent, schreibt Chris Hamilton vom Chrome-Stabilitätsteam. In Zukunft sieht er Chrome-Erweiterungen und das Native-Messaging-API als modernere und absturzsicherere Alternativen zur Code-Injektion. Dreistufige Absturzvermeidung Um die hohe Absturzrate des aktuellen Platzhirschen unter den Browsern auf dem Markt merklich zu senken, will Chrome ab Juli 2018 Drittanbieter daran hindern, ihren Code in den Chrome-Browser unter Windows zu einzufügen. Der Plan ist dreistufig: Ab April zeigt Chrome 66 nach einem solchen Absturz nur einen Warnhinweis an, der dem Nutzer erläutert, dass der Code eines Drittanbieters Ursaches des Crashs war. Außerdem empfiehlt der Browser dann, die betroffene Software upüzudaten– oder aber zu deinstallieren. Ab Juli wird es dann wirklich ernst, denn ab dann hindert Chrome 68 die Programme Dritter daran, Code in einen Chrome-Prozess zu injizieren. Falls diese Blockierung dann aber den Start des Browsers verhindern sollte, wird Chrome das Einschleusen des Codes [...]

2017-12-04T00:35:58+02:00Dezember 4th, 2017|Browser, Javascript|Kommentare deaktiviert für Chrome blockiert Code von Drittanbietern
Weiterlesen

Verbesserter Malware-Schutz in Googles Chrome

Die Windows-Version seines Browsers Chrome 62 hat Google jetzt um drei neue Funktionen erweitert. Alle drei sollen die Erkennung und Entfernung von Schadsoftware verbessern. Insbesondere will der Browserhersteller verhindern, dass Malware und gefährliche Erweiterungen Suchergebnisse verändern oder Nutzer unfreiwillig in die Arme schädlicher Websites weiterleiten. Dabei erhält Google Unterstützung von dem slowakischen Sicherheitsanbieter Eset. Google nicht verhindern, dass gefährliche Erweiterungen installiert werden, Deshalb kann Chrome jetzt aktiv werden, wenn eine Erweiterung Einstellungen des Browsers wie zum Beispiel die voreingestellte Suchmaschine ändert. In solchen Fällen weist Chrome auf die Änderung hin und bietet dann an, die ursprüngliche Einstellung wiederherzustellen. Außerdem wurde die Funktion zum Zurücksetzen des Browsers auf die Werkseinstellungen (z.B. nach einer Malware-Infektion) neu gestaltet. Sie zeigt jetzt eine Warnung an, wenn Chrome eine unerwünschte Software entdeckt, und bietet auch Unterstützung bei deren Entfernung an. Bis jetzt gab es für diesen Zweck nur das separate Chrome Cleanup Tool. Auch die Warnmeldungen wurden neu gestaltet, um besser erkennen zu können, welche Software da entfernt wird. Die dritte Neuerung bei Chrome 62 ist eine Malware Detection Engine, die nun als fester Bestandteil zu Chrome Cleanup gehört. Die stammt von Eset und arbeitet mit der Sandbox von Chrome zusammen. Damit ist Chrome jetzt in der Lage, deutlich mehr unerwünschte Software vom den Rechnern [...]

2017-10-18T19:28:05+02:00Oktober 18th, 2017|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Verbesserter Malware-Schutz in Googles Chrome
Weiterlesen

Android Oreo ist wohl noch nicht ganz fertig

Wer als Webworker Software-Anpassungen für das letzte Woche vorgestellten Android 8.0 (Oreo) plant, sollte besser noch ein wenig damit warten. Ein Test des gerade erst von Google veröffentlichten neuen Mobilbetriebssystems Android 8 (Android O, Android Oreo) beim Newsportal Golem wirft die Frage auf, ob auch wirklich Oreo drin ist, wo Oreo drauf steht. Die Tester wunderten sich zunächst darüber, dass Android Oreo trotz angeblich abgeschlossener Arbeiten an der neuen Hauptversion noch nicht einmal für die Google-eigenen Mobilgeräte als Drahtlos-Update zur Verfügung steht. Deshalb führten sie ihren Test dann mit den wirklich zum Download verfügbaren Factory Images durch. Dabei mussten sie dann aber feststellen, dass so manche der Neuerungen nicht immer funktionieren. Das Verhalten erzeugte bei ihnen den Eindruck, dass Android 8.0 Oreo übereilt als nicht wirklich fertige Version veröffentlicht wurde. Machen Sie sich einfach selbst ein Bild durch den achtseitigen Testbericht bei Golem!

2017-08-27T19:48:10+02:00August 27th, 2017|Allgemein|Kommentare deaktiviert für Android Oreo ist wohl noch nicht ganz fertig
Weiterlesen
Nach oben