Tag-Archive for » Updates «

Browser-Updates für Firefox, Firefox ESR und Tor

In Firefox, Firefox ESR (Extended Support Release) sowie dem auf ESR basierenden Tor Browser finden sich mehrere Sicherheitslücken, die Angreifern unter bestimmten Umständen das Ausspähen von Informationen, Cross-Site-Scripting-Angriffe und sogar das Ausführen beliebigen Codes mit den Rechten des Browsers möglich machen.

Nach aktuellen Sicherheitshinweisen von Mozilla sind alle Vorgänger-Versionen des Browsers Firefox 57 aka Quantum und Firefox ESR vor dem aktuellen Release 52.5 betroffen. Die Versionen vor 7.0.10 des anonymisierenden Tor Browsers sind such verwundbar, weil der Tor-Browser auf Firefox ESR aufsetzt.

Unter den insgesamt 15 in Firefox geschlossenen Sicherheitslücken bewerten die Entwickler drei als “kritisch” und eine als “hoch”. Weitere elf Lücken ordnen sie als “niedrig” bis “mittel” ein. Das Notfallteam des BSI CERT Bund sieht das aber durchaus etwas anders: Es stufte das von den Sicherheitslücken ausgehende Risiko durchgängig als “sehr hoch” ein.

Benutzer sollten in jedem Fall zügig updaten: Die abgesicherten Versionen des im Zuge des Projekts Quantum rundum überarbeiteten und nun deutlich schnelleren und ressourcenschonenderen Firefox 57 und von ESR 52.5 stehen zum Download bereit. Das gilt auch für den auf ESR 52.5 basierenden Tor Browser 7.0.10.

Browser Internet Explorer und Edge blocken SHA-1

Schon seit mehr als 10 Jahren gilt das SHA1-Hash-Verfahren zur Verschlüsselung von Internetseiten als geknackt. Im Februar dieses Jahres gab es dann auch den praktischen Nachweis, dass man Kollisionen, also zwei verschiedene Datensätze, die denselben Hash-Wert ergeben, berechnen kann.

Hersteller Microsoft hat schon länger angekündigt, seine beiden Browser Internet Explorer und Edge so umzustellen, dass sie auf durch SHA-1-Signaturen erzeugte HTTPS-Seiten mit Fehlermeldungen reagieren, was Mozillas Firefox und Googles Chrome  schon seit längerem machen. Seit der letzten Woche liefert der Hersteller Updates für beide Browser aus, um das geknackte Hash-Verfahren SHA-1 jetzt zu blockieren.

Genauere Details zu seiner SHA1-Blockade beschreibt Microsoft im Security Advisory 4010323, eine deutsche Übersetzung dazu finden Sie hier. Diese Updates können auch manuell downgeloadet werden, sie sind im Knowledge Base Artikel 4010323 zu finden.

Als Nachfolgemethode für das Hash-Verfahren wird von Microsoft SHA-2 empfohlen. Dessen zwei Varianten SHA256 und SHA512 werden als genügend sicher angesehen, um auch langfristig die Unterscheidbarkeit unterschiedlicher Online-Dokumente sicherstellen zu können.

HTML 5.1 ist fertig geworden

html51Die Web Platform Working Group des World Wide Web Consortium (W3C) hat die W3C Recommendation von HTML 5.1 (HyperText Markup Language) nach vier Jahren Bearbeitungszeit soeben veröffentlicht. „Recommendation“ heißt in diesem Kontext, dass das die Überarbeitung der HTML-Spezifikation jetzt fertig ausgearbeitet ist. Ihr Vorläufer HTML5 war Ende Oktober 2014 nach langer Entwicklungszeit finalisiert worden. Am neuen HTML 5.1 wird auch schon seit 2012 gearbeitet.

Stabile Updates der Sprachspezifikation HTML sollen künftig im Jahresrhythmus kommen. Für die Beschleunigung des Veröffentlichungsprozesses soll unter anderem die Entscheidung sorgen, die Standardisierung öffentlich über die speziell in Sachen Web populäre Hosting-Plattform GitHub zu betreiben. Zusätzlich wurde noch festgelegt, dass neue Features in mindestens zwei aktuellen Browsern funktionieren müssen, ansonsten würden sie entfernt werden.

Entrümpelung und neue Features

Zum einen wurde der Übergang zu HTML 5.1 genutzt, die Sprachspezifikation zu entrümpeln, zum anderen gibt es aber auch neue Features darin. Den Aufräumarbeiten fielen Elemente wie context attribute, contextmenu, date-time, date-time-localdialog, inputmode attribute, menu und menuitem zum Opfer.

Die meisten Neuerungen werden schon in den wichtigsten Browsern unterstützt und erhalten jetzt in der Finalisierung der Spezifikation einen offiziellen Charakter. Dazu gehören beispielsweise das Element picture, mit dem sich verschiedene Bilder über je ein eigenes source-Element auszeichnen lassen. Das srcset-Attribut zeichnet hingegen Bilder für besonders hochauflösende Bildschirme aus.

Die Elemente week und month lassen die Seitenbauer einen Monat oder eine Kalenderwoche auswählen. Bei Datumsangaben für input konnte man bis jetzt nur Tage und Uhrzeiten auswählen.

Chrome 53 ohne Flash-Tracking

Chrome-LogoWer immer noch auf Flash baut, ist gut beraten, endlich auf HTML5 umzusteigen. Google hat jetzt mit den automatischen Updates auf Chrome 53 für  Linux, Mac OS X und Windows begonnen. Das Update schließt 33 Sicherheitslücken und verhindert wie angekündigt die Ausführung von Flash-Programmen im Hintergrund, die dem Tracking der Anwender dienen.

Nach Googles Ankündigung vom August sind heute ca. 90 Prozent aller Flash-Elemente für den Endanwender gar nicht sichtbar. Sie haben absolut keinen Nutzen für Besucher der Website und sorgen auch noch dafür, dass die Seite langsamer geladen wird.

Hauptsächlich rufen sie die Flash-APIs enumerateFonts und ExternalInterface auf, um so eine Liste der auf dem Rechner installierten Schriftarten und damit ein weiteres Merkmal zur Identifikation auch nicht eingeloggter Anwender zu bekommen – also für das sogenannte Fingerprinting.

Die neue Browser-Version Chrome 53.0.2785.89 steht ab sofort für Windows, Mac OS X und Linux zum Download bereit. Nutzer, die den Browser schon installiert haben, bekommen das Update automatisch, aber es kann auch von Googles Website geladen werden.

Googles veröffentlicht Android 7

Webschaffende müssen den Mobilgerätemarkt immer mehr im Auge haben, denn die von ihnen erstellten Internetseiten werden mehr und mehr von Smartphones und Tablets abgerufen.

Gerade hat Google die nächste Android-Hauptversion veröffentlicht und für die Mobilgeräte seiner Nexus- und Pixel-Familien bereitgestellt. Andere Hersteller dürften aber wie üblich einige Monate für ihre Android 7-Updates brauchen, wenn die denn überhaupt kommen…

Android 7 bringt einen Mehrfenstermodus, verbesserte Benachrichtigungen direkter Antwortmöglichkeit, schnellere 3D-Grafik für Spiele und viele Verbesserungen im Detail.

Gestern wurde das seit Monaten unter dem Codenamen Nougat getestete Android N veröffentlicht und auch Updates für die hauseigenen Geräte bereitgestellt, gab der Konzern im Android-Blog bekannt. Auch für die Entwickler stehen schon ausführliche Informationen bereit.

Googles Smartphones Nexus 5X, 6 und 6P, die Tablets Nexus 9 und Pixel C und auch der Nexus Player bekommen das Update auf Android 7 zum Download am Gerät (OTA), alternativ stehen aber auch Images zum Download bereit.

Als erstes Fremdgerät mit Android 7 nennt Google das LG V20. Samsung hat für das neulich vorgestellten Galaxy Note 7 ein zeitnahes Update angekündigt, liefert das Smartphone aber erst einmal weiter mit Android 6 aus.

Sicherheitsupdates für Ruby on Rails

rubyDas Entwickler-Team von Rails hat jetzt Sicherheitsupdates für die letzten drei Hauptserien veröffentlicht. Die Updates mit den Versionsnummern 5.0.0.1, 4.2.7.1 und 3.2.22.3 des Webframeworks beheben eine Schwachstelle in Action View.

Über diese Sicherheitslücke waren Angriffe möglich, weil Text, der als html_safe deklariert ist, keine Escape-Sequenzen für Anführungszeichen erhält. Das wird immer dann zum Problem, wenn Programme Benutzereingaben ohne weitere Überprüfung übernehmen wie bei dem nach folgendem Beispiel aus dem Bericht zu der als CVE-2016-6316 (Common Vulnerabilities and Exposures) markierten Schwachstelle:

content_tag(:div, "hi", title: user_input.html_safe)

Der Bericht weist auch darauf hin, dass einige der Helper-Funktionen wie beispielsweise sanitize Strings bei der Weitergabe als html_safe markieren und dadurch auch betroffen sind. Neben dieser Schwachstelle, die in allen Hauptversionen von 3 bis 5 zu finden sind, gibt es noch ein weiteres Problem, das nur die 4.2.x-Serie betrifft.

Das ist zwar weniger kritisch, erlaubt aber das Ausführen einerIS NULL-Abfrage durch das Einfügen eines [nil]-Wertes innerhalb eines Requests. Der CVE-2016-6317-Bericht weist darauf hin, dass Angreifer so keine beliebigen Werte in SQL-Abfragen einfügen, sondere nur nach NULL-Werten suchen oder WHERE-Bedingungen entfernen wollen und können.

Deshalb raten die Entwickler dringend zur Aktualisierung von Ruby on Rails. Weiterführende Informationen und die Checksummen der Updates finden Sie in der offiziellen Bekanntmachung.

Java 8u91/92 bringt mehr Sicherheit

Gerade werden von Oracle die Updates JDK 8u91 und 8u92 verteilt, die vor allem die Sicherheit verbessern sollen. Dabei geht es diesmal nicht nur wie üblich um kritische Fehler in Java selbst, sondern der Umgang mit unsicheren Signaturen und potenziellen Angriffen durch das Ausnutzen von Fehlern stehen im Fokus.

Die JVM (Java Virtual Machine) hat nun zwei neue Optionen, die den Umgang mit Out-of-Memory-Fehlern bestimmen, die die Virtual Machine bisher selbst behandelt hat.

Bei Nutzung des Flags ExitOnOutOfMemory stoppt sie jetzt, sobald der Hauptspeicher nicht mehr ausreicht. Wenn ein Nutzer das Flag CrashOnOutOfMemory setzt, führt der Fehler zum Absturz der JVM, der dann entsprechende Einträge in den Log-Dateien erzeugt.

Der Message-Digest Algorithm 5 (MD5) gilt schon länger als unsicher, weil das Erzeugen unterschiedlicher Nachrichten mit denselben MD5-Hashes recht einfach möglich ist.

Deshalb akzeptiert die JSSE-Implementierung (Java Secure Socket Extension) inzwischen standardmäßig keine MD5withRSA-Signaturen mehr. Wer im Legacy-Bereich weiterhin auf MD5 angewiesen ist, muss sie erst manuell aus der Liste der deaktivierten Algorithmen (jdk.tls.disabledAlgorithms) wieder entfernen.

Auch diesmal gibt es wie immer wieder eine große Anzahl von Bugfixes. Alle Neuerungen im  JDK 8u91/8u92 finden Sie in den Release Notes. Auf der Download-Seite stehen das JDK und auch die Laufzeitumgebungen (JRE) für Clients und Server in den aktuellen Versionen zum Download bereit.

Picasa wird von Google eingestampft

PicasaLogoGoogles Picasa setzt sich aus einer Bildbearbeitungssoftware und einem Webdienst zusammen, bei dem die Anwender ihre Fotos im Internet veröffentlichen können. Beide Picasa-Komponenten werden noch in diesem Jahr eingestellt. Die Desktop-Software wird es ab dem 15. März 2016 nicht mehr geben, die Picasa-Webalben werden dann im Mai 2016 geschlossen. Die Benutzer sollen auf Google Fotos wechseln, wo sie aber keine so umfassende Bearbeitungssoftware mehr erhalten.

Wer seine Fotos und Videos in den Picasa-Webalben gespeichert hat, muss sich aber keine Sorgen machen: Google Fotos übernimmt die Onlinespeicherfunktion. Bilder und Videos wurden schon dorthin kopiert. Außer der Webanwendung von Google Fotos gibt es noch je eine iOS- und Android-App für diesen Dienst.

Die Desktop-Software Picasa für Windows und OS X lässt sich zwar weiter verwenden, Updates dazu soll es aber nicht mehr geben.

Twitters Diffy zeigt Fehler in Updates

Twitter setzt das in der Programmiersprache Scala geschriebene  Regressionswerkzeug Diffy schon längere Zeit als effizientere und effektivere Alternative zu selbstgeschriebenen Unit-Tests bei neuen Programmfunktionen ein.

Jetzt hat der Microblogging-Dienst Diffy für alle als Open Source freigegeben.

Diffy zeigt Fehler in Apache-Thrift- und HTTP-Services ganz automatisch an. Dabei agiert es wie ein Proxy, der den neuen und den alten Code Seite an Seite laufen lässt und dabei das Verhalten miteinander vergleicht und alle Unterschiede anzeigt.

Diffy

Wächst die Komplexität eines Systems, wird es schnell unmöglich, eine angemessene Testabdeckung über selbstgeschriebene Tests zu erreichen“, schreibt Puneet Khanduri, aus Twitters Tools- und Frameworks-Team: “Dann braucht man ambitioniertere automatisierte Techniken, bei denen Entwickler nur geringfügig eingreifen müssen.

Das Tool von Twitter könnte für die Pflege von komplexen Internetanwendungen sehr hilfreich sein und für kürzere Testzeiten und schnellere Updates sorgen.

Apple legt zurückgezogene Safari-Updates neu vor

Eine Woche nachdem Apple die Safari-Updates für OS X 10.8, 10.9 und 10.10 kommentarlos zurückgezogen hat, liegen jetzt frische Updates für den Browser aus dem Hause Apple vor.

Seit gestern Morgen werden Safari 6.2.2 für OS X Mountain Lion, Safari 7.1.2 für OS X Mavericks und Safari 8.0.2 für OS X Yosemite über die Softwareaktualisierung in der Mac-App-Store-Anwendung unters Volk gebracht..

Die Updates enthalten zahlreiche Sicherheitsfixes, die auch in Safari 6.2.1, 7.1.1 und 8.0.1 steckten, beseitigen aber auch ein “seltenes” Problem, bei dem “der Zugriff auf Safari” nach dem Update nicht mehr möglich gewesen sein soll. Wie sich das genau äußerte, gab Apple allerdings nicht preis.