Über GSL-Team

Der Autor hat bisher keine Details angegeben.
Bisher hat GSL-Team, 910 Blog Beiträge geschrieben.

Thunderbird 102 kommt mit neuem Adressbuch

Die aktuelle Version von Mozillas Email-Client Thunderbird bringt ein neues Adressbuch, eine neue Werkzeugleiste und auch eine neue Ansicht für Email-Header mit. Mozilla hat soeben nach seinem Browser Firefox auch seinen Email-Client Thunderbird in der Version 102 veröffentlicht, wie üblich auf Basis der Rendering-Engine des Firefox-Browsers in der aktuellen ESR-Variante. Die wichtigsten Neuerungen Die Entwickler haben das Adressbuch des Email-Clients komplett neu gestaltet. Dazu schreiben sie: "Dies ist der erste von vielen Schritten in eine neue, modernisierte Richtung für Thunderbirds UX/UI." Die neue Ansicht bietet eine klarere Gestaltung und einige neue Informationsfelder, um schneller und besser zu erkennen, bei wem es sich um den Kontakt handelt. Die Implementierung soll kompatibel zu der vCard-Spezifikation sein. Aus dem Adressbuch heraus sollen jetzt auch direkt Nachrichten oder Termine erstellt werden können. Neu im Thunderbird 102 ist auch eine Werkzeugleiste, die Mozilla „Spaces“ nennt. Damit soll der Nutzer besser und schneller auf die wichtigsten Aktivitäten innerhalb des Programms zugreifen können. Damit meint Mozilla Schnellzugriffe über Icons auf die Bereiche Email, Adressbuch, Kalender, Termine und Aufgaben, Chat oder auch die installierten Add-ons. Aktuell gibt es die neue Version nur als Direktdownload, dafür bringt sie aber viele neue Funktionen und Änderungen mit. Sicherheitslücken in Versionen 102 und 91 geschlossen Aber auch der Thunderbird [...]

2022-06-29T18:36:52+02:00Juni 29th, 2022|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Thunderbird 102 kommt mit neuem Adressbuch
Weiterlesen

Firefox 102 schließt vier Sicherheitslücken

Mozilla hat soeben die neue Hauptversion 102 seines Browsers Firefox bereitgestellt. Diese Version ist auch die neue Basis für den Firefox ESR und behebt mehrere Sicherheitsprobleme. Gestern ist Firefox 102 erschienen. Die neue Hauptversion des Browsers von Mozilla ist auch die Grundlage für den Firefox ESR (die Version mit dem längeren Supportzeitraum). Von dem Update werden auch mehrere Sicherheitslücken geschlossen, er bringt aber auch einige neue Funktionen. So kann man jetzt beispielsweise verhindern, dass die Download-Schaltfläche oben rechts bei jedem Download wieder aufklappt... Starker Enhanced Tracking Protection-Modus Beim Surfen im starken Enhanced Tracking Protection-Modus schränkt der Firefox das Tracking von Abfrageparametern ein, kann man in den Release Notes zu Firefox 102 nachlesen. Zu dem Zweck entfert der Browser bestimmte Parameter automatisch aus den URLs, berichtet auch das Technologie-Blog Ghacks. Diesen Modus erreicht man in den Einstellungen unter "Datenschutz & Sicherheit / Verbesserter Schutz vor Aktivitätenverfolgung". Disee Funktion soll aber laut Ghacksauch im privaten Modus von Firefox aktiv sein. Auch vier Hochrisiko-Sicherheitslücken geschlossen Mit dem Firefox 102 hat Mozilla auch mehrere Sicherheitsprobleme beseitigt. Die Sicherheitsmeldung zu dem Update listet vier Sicherheitslücken mit hohem Risiko, elf mit mittlerem sowie vier Lücken mit der Einstufung als niedriger Schweregrad auf.

2022-06-29T08:50:36+02:00Juni 29th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Firefox 102 schließt vier Sicherheitslücken
Weiterlesen

Google schließt mit Chrome 103 14 Sicherheitslücken

Mit dem soeben angelaufenen Update auf das 103er-Release beseitigt Google in seinem Webbrowser Chrome insgesamt 14 Schwachstellen und bringt einige neue Möglichleiten. Auch für die Mobilbetriebssysteme Android und iOS stehen die neuen Version zum Download bereit. Die ärgste der 14 in Chrome 103 geschlossenen Sicherheitslücken hat den Schweregrad „kritisch“, zwei davon wurden mit „hoch“ bewertet. Der Google-Browser bringt aber auch mehrere Neuerungen mit: Early Hints zum Vorladen Chrome 103 unterstützt jetzt auch den HTTP-Antwortcode 103 „Early Hints“, was den Browser etwas schneller machen sollte. Die meisten Browser laden die Seiteninhalte ja schon vorab, aber die 103 Early Hints machen diesen Prozess „schneller“ – was aber keine deutliche Beschleunigung mehr bringen dürfte. Schriftarten und Berechtigungen Jetzt können auch Web-Apps mit dem neuen Chrome 103 die Schriftarten nutzen, die auf dem ausführenden Gerät gespeichert sind. Darüber hinaus erkennt Chrome jetzt, wann einer Berechtigungsaufforderung wahrscheinlich nicht zugestimmt wird und schaltet diese unerwünschten Aufforderungen dann ab. Das geschieht abhängig davon, wie der Benutzer zuvor mit ähnlichen Berechtigungsaufforderungen umgegangen ist, Wie immer kann man das Update manuell über das Menü abrufen oder aber warten, bis das Update über die Benutzeroberfläche von Chrome angezeigt wird.

2022-06-22T10:27:06+02:00Juni 22nd, 2022|Browser, Coding, Sicherheit|Kommentare deaktiviert für Google schließt mit Chrome 103 14 Sicherheitslücken
Weiterlesen

Drupal: Erneut erlauben Lücken die Website-Übernahme

Schon vor zwei Wochen gab es Updates gegen zwei Sicherheitslücken in der Drupal-Komponente Guzzle. Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen es Angreifern aber immer noch, verwundbare Drupal-Installationen zu kompromittieren. Weitere neue Updates dichten die Sicherheitslücken ab. Im Content-Management-System (CMS) Drupal kommt die Komponente Guzzle zum Einsatz, in welcher die Entwickler gerade erneut zwei weitere Sicherheitslücken geschlossen haben. Nach Angaben Cyber-Sicherheitsbehörde CISA der USA konnten Angreifer diese missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert darauf mit Updates, in welche die Schwachstellen entschärfen. Schon wieder stecken die Schwachstellen in Guzzle Cookie-Header transportieren als Antworten auf Anfragen an den Server sensible Informationen. Bei https-Anfragen an den Server könnte dieser fälschlicherweise derartige Informationen weitergeben, wenn er die Anfrage auf http oder einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko “hoch”). Die Authorization-Header enthalten ebenfalls vertrauliche Daten, und dasselbe Fehlverhalten wie bei den Cookie-Headern kann auch bei ihnen auftreten (CVE-2022-31043, CVSS 7.5, hoch). In der dazugehörigen Sicherheitsmeldung schreiben die Drupal-Entwickler, dass die Lücken zwar nicht den Drupal-Kern selbst beträfen, aber potenziell Dritthersteller-Module und eigene Code-Erweiterungen und stufen die Gefahr als so hoch ein, dass sie ein Sicherheitsupdate außer der Reihe herausgeben haben. Auch CISA warnt vor den Lücken in Guzzle Auch die CISA warnt schon vor den Sicherheitslücken und empfiehlt Drupal-Administratoren, die Hinweise in der [...]

2022-06-15T07:55:02+02:00Juni 15th, 2022|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Drupal: Erneut erlauben Lücken die Website-Übernahme
Weiterlesen

Google hat sieben Fehler im Chrome-Browser beseitigt

Google hat jetzt vier hochriskante und drei weitere Sicherheitslücken in seinem Browser Chrome beseitigt. Laut CISA sollten die Benutzer diese Patches schnellstmöglich installieren. Google hat soeben Updates für den Browser Chrome veröffentlicht, mit denen insgesamt sieben Sicherheitslücken geschlossen werden, die in dem weltweit millionenfach genutzten Browser gefunden wurden und von denen vier als hochriskant eingestuft sind. Einer Warnung der United States Cybersecurity & Infrastructure Agency (CISA) zufolge könnten Angreifer diese Schwachstellen in Google Chrome für Windows, Mac und auch unter Linux ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen. Die CISA rät den Benutzern jetzt, auf die neueste Version von Google Chrome 102.0.5005.115 zu aktualisieren, um zu verhindern, dass die Sicherheitslücken ausgenutzt werden. Wie Angreifer die hochriskanten Schwachstellen genau ausnutzen können, wurde wie üblich aus Sicherheitsgründen noch nicht bekannt gegeben. „Der Zugang zu Fehlerdetails und Links kann eingeschränkt werden, bis die Mehrheit der Nutzer ein Update erhalten hat. Wir werden auch Einschränkungen beibehalten, wenn der Fehler in einer Bibliothek eines Drittanbieters vorhanden ist, von der andere Projekte in ähnlicher Weise abhängen, die aber noch nicht behoben wurden“, schreibt Google in seinem Blogpost zu den Updates. „Wir möchten uns auch bei allen Sicherheitsforschern bedanken, die während des Entwicklungszyklus mit uns zusammengearbeitet haben, um zu verhindern, [...]

2022-06-14T08:10:13+02:00Juni 14th, 2022|Browser, Sicherheit|Kommentare deaktiviert für Google hat sieben Fehler im Chrome-Browser beseitigt
Weiterlesen

PHP-Updates schützen vor Einschleusen von Schadcode

Gleich zwei Fehler in PHP-Modulen zur Anbindung von SQL-Datenbanken gestatten die Ausführung beliebigen Fremd-Codes. Deshalb sollten Admins von Shared-Hosting-Servern PHP zügig updaten. IT-Sicherheitsforscher Charles Fol fand gleich zwei Fehler in PHP-Datenbankmodulen, die er zur erfolgreichen Ausführung eigenen Codes benutzen konnte. Diese Schwachstellen stecken in allen PHP-Versionen der aktuell gepflegten Versionsbäumen bis einschließlich 7.4.29, 8.0.19 und 8.1.6. Bug #1: postgreSQL Die erste der Lücken (CVE-2022-31625) steckt in der Anbindung an postgreSQL-Datenbanken. Durch ein falsch initialisiertes Array zur Speicherung von Parametern einer Datenbankanfrage könnten Angreifer bei geschickter Kombination von bestimmten Datentypen den Heap korrumpieren und dann eigenen (Schad-)Code auf dem Zielsystem ausführen. Um diese Sicherheitslücke auszunutzen, müssten sie aber zusätzlich auch die Möglichkeit haben, eigenen PHP-Code auf dem Zielsystem auszuführen. Bug #2: MySQL Die zweite Sicherheitslücke steckt in der PHP-Anbindung an MySQL und bekam die CVE-ID CVE-2022-31626. Hier nutzte Fol einen Pufferüberlauf in der PHP-eigenen Implementation des MySQL-Protokolls aus, um den eingeschleusten Code dann auszuführen. Nötige Randbedingungen Aber auch hier ist eine Randbedingung zu erfüllen, um den Schadcode injizieren zu können: Der Zielserver muss dazu eine Verbindung zu einem speziell präparierten MySQL-Server aufbauen können, die außerdem noch ein besonders langes Passwort von über 4000 Zeichen benutzt. Der Sicherheitsdienstleister Tenable ordnete beiden Fehlern einen CVSS-Score von 9.8 (kritisch) zu und geht [...]

2022-06-11T11:16:12+02:00Juni 11th, 2022|Coding, MySQL, PHP, Sicherheit|Kommentare deaktiviert für PHP-Updates schützen vor Einschleusen von Schadcode
Weiterlesen

Browser Vivaldi jetzt mit Kalender, Mail und Feeds

Der Browser Vivaldi kann jetzt auch Emails, Termine und News-Feeds verwalten. Dabei bringt die Verzahnung mit dem Browser einige Vorteile. Fast genau einem Jahr Betatest hat Vivaldi jetzt die finale Version von Email-Client, Kalender und Feed-Reader veröffentlicht. Heute ist die erste Vivaldi-Version erschienen, in der ein E-Mail-Client, eine Kalender und ein Feed-Reader enthalten sind. Dabei setzt Vivaldi auf eine enge Verzahnung der neuen Bereiche, um beispielsweise Daten bequem zwischen Browser und Kalender austauschen zu können. Die Option muss zur Nutzung erst aktiviert werden Damit Email-Client, Kalender und Feed-Reader auch benutzt werden können, muss die entsprechende Option in den Vivaldi-Einstellungen erstraktiviert werden. Dabei kann man nur alle drei Bereiche gemeinsam aktivieren. Der Email-Client soll dabei alle Funktionen abdecken, die man heutzutage von einem solchen Programm erwartet. Auf Wunsch werden die Emails mehrerer Konten in einem Postfach zusammengeführt, was den Umgang mit Emails vereinfachen soll. Der Email-Client soll Mailinglisten und E-Mail-Threads auch automatisch erkennen können. Damit soll das manuelle Ablegen von Emails in Ordnern auch nicht mehr nötig sein. Vivaldi Mail macht manches etwas anders Vivaldi Mail indiziert dabei alle Emails und erstellt passend dazu entsprechende Ansichten, die im Grunde wie Filter arbeiten. Dadurch soll es angeblich recht bequem möglich sein, immer nur die relevanten Emails angezeigt zu bekommen, wobei das Ganze aber [...]

2022-06-09T11:32:04+02:00Juni 9th, 2022|Browser, Webwerkzeuge|Kommentare deaktiviert für Browser Vivaldi jetzt mit Kalender, Mail und Feeds
Weiterlesen

Mozilla bringt Updates für Firefox und Thunderbird

In Firefox, Firefox ESR und Thunderbird gibt es Schwachstellen, über die Angreifer betroffene Systeme übernehmen könnten, warnt die CISA. Deshalb haben die Entwickler der Mozilla Foundation in aktualisierten Versionen von Firefox, Firefox ESR und Thunderbird jetzt mehrere Sicherheitslücken geschlossen und entsprechende Sicherheitsupdates veröffentlicht. Die Cyber-Sicherheitsbehörde CISA aus den USA warnt, dass Angreifer mehrere dieser Schwachstellen missbrauchen könnten, um darüber betroffene Systeme zu übernehmen. Risiko der Lücken als hoch, aber nicht kritisch eingestuft In Version 101 des Browsers Firefox haben die Programmierer acht Sicherheitslücken, deren Risiko sie als hoch einstufen, geschlossen. Vier davon stellten demnach ein mittleres und eine ein niedriges Risiko dar. In der Variante mit Langzeit-Support, Firefox ESR 91.10, schlossen die Entwickler sieben Lecks mit hohem und eines mit mittlerem Risiko ab. In Thunderbird 91.10 beseitigten sie acht Sicherheitslücken mit hohem und eine mit mittlerem Risiko. Die Software-Entwickler stuften zwar keine der Sicherheitslücken als kritisch ein, aber spätestens die Warnung der US-Behörde CISA, welche die mögliche Übernahme von Systemen durch bösartige Akteure bestätigt, sollte die Dringlichkeit der Aktualisierungen deutlich machen. Die Updates sollten jetzt zügig installiert werden Für die Updates besitzen sowohl Firefox als auch Thunderbird einen automatischen entsprechenden Update-Mechanismus, der aber jedoch je nach Nutzungsprofil Stunden bis Tage brauchen kann, bis die Aktualisierung gefunden und installiert ist. Nutzern wird den Benutzernempfohlem, [...]

2022-06-02T09:56:23+02:00Juni 2nd, 2022|Browser, Sicherheit|Kommentare deaktiviert für Mozilla bringt Updates für Firefox und Thunderbird
Weiterlesen

Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme

Eine Drittherstellerbibliothek erzeugt Sicherheitslücken im CMS Drupal. Die US-amerikanische Cyber-Sicherheitsbehörde CISA rät jetzt zur Aktualisierung. BVon der US-amerikanischen Cyber-Sicherheitsbehörde CISA kommt die Warnung vor einer Schwachstelle im Content Management System (CMS) Drupal. Angreifer könnten möglicherweise durch Sicherheitslücken aus der Ferne die Kontrolle über eine betroffene Internetpräsenz übernehmen. Diese Sicherheitslücke findet sich nicht im eigentlichen Drupal-Code, sondern in der Bibliothek Guzzle eines Drittherstellers. Über Guzzle wickelt Drupal HTTP-Anfragen und -Antworten an externe Dienste ab. Inzwischen hat das Guzzle-Projekt ein Update veröffentlicht, dass zwar nicht den Drupal-Core betrifft, aber Auswirkungen auf beigesteuerte Projekte oder speziell angepassten Code von Drupal-Seiten haben könnte. Der Fehler in Drittherstellerbibliothek Guzzle Die Schwachstelle im Guzzle-Projekt bezeichnen die Entwickler als "Cross-Domain Cookie Leakage". Der Fehler ist eine fehlende Prüfung, ob die Domain eines Cookies mit derjenigen des Servers übereinstimmt, der es über den "Set-Cookie"-Header setzt. Dadurch könnte ein bösartiger Server auch Cookies für andere Domains setzen. Als Beispiel nennen die Entwickler, dass www.example.com ein Session-Cookie für api.example.net setzen könne. Der Guzzle-Client logge sich dann ins Konto ein und könne so an die privaten API-Anfragen aus dem Sicherheitsprotokoll gelangen (CVE-2022-29248, CVSS 8.0, Risiko "hoch"). In ihrem Security Advisory schreiben die Drupal-Entwickler, dass sie die Sicherheitsmeldung deshalb außerhalb des üblichen Zeitrahmens herausgegeben haben, weil das Guzzle-Projekt schon Informationen über die [...]

2022-05-31T17:15:10+02:00Mai 31st, 2022|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme
Weiterlesen

Docker Inc.: Docker Desktop für Linux mit Extensions

Nach Windows und macOS ist die grafische Anwendung zur Verwaltung von Containern, Volumes und Images jetzt auch für den Linux-Desktop veröffentlicht worden. Docker Desktop war schon lange nur für Windows und macOS verfügbar, aber nun hat der Hersteller auch eine Linux-Version veröffentlicht. Docker Desktop für Linux ist ein Komplettpaket mit der Docker Engine, CLI, Compose, BuildKit sowie einer Kubernetes-Integration, das in erster Linie auf Entwickler zugeschnitten ist. Mit Docker Desktop kommen erstmals auch Erweiterungen auf den Linux-Desktop. Dabei geht es um containerisierte Anwendungen, die sich in das Dashboard integrieren und für Entwickler viele nützliche Funktionen bereit stellen. Im sogenannten Marketplace stehen zur Zeit 16 Erweiterungen zur Verfügung, die beispielsweise Images auf Schwachstellen untersuchen, die Festplattenbelegung analysieren oder Container in ein Tailscale-Netzwerk einbinden können. Die Erweiterungen und das dazugehörige SDK haben laut Docker aber noch Beta-Status. Download und Installation von Docker für Linux Installationspakete stehen für die Linux-Distributionen Ubuntu, Debian und Fedora zur Verfügung. Es gibt dazu aber auch ein experimentelles Paket für Arch Linux. Auch eine Version für Raspberry Pi OS soll demnächst nachkommen. Weitere Informationen und Installationsanleitungen finden die Interessenten in der Docker-Dokumentation. Screenshot: Docker.Inc

2022-05-16T09:43:32+02:00Mai 16th, 2022|Bildbearbeitung, Coding, Webwerkzeuge|Kommentare deaktiviert für Docker Inc.: Docker Desktop für Linux mit Extensions
Weiterlesen
Nach oben