Let’s Encrypt wechselt sein Zertifikat

Die bekannte kostenlose Zertifizierungsstelle Let's Encrypt wechselt in Kürze ihr Zwischenzertifikats. Im nächstes Jahr soll standardmäßig ein Zwischenzertifikat genutzt werden, das nicht mehr von der Zertifizierungsstelle Identrust signiert ist, denn dieses alte Zwischenzertifikat läuft bald ab. Normalerweise werden TLS-Zertifikate über Zertifikatsketten geprüft. Die Browser und anderen HTTP-Clients führen eine Liste von Root-Zertifikaten, denen sie vertrauen. Die zugehörigen privaten Schlüssel dieser Zertifikate werden zur Signierung von Zwischenzertifikaten benutzt. Mit den Schlüsseln der signierten Zwischenzertifikate werden dann die eigentlichen Webseitenzertifikate signiert. Es sind dabei auch längere Zertifikatsketten mit mehreren Zwischenzertifikaten möglich. Die Identrust-Signatur ermöglichte den Start von Let's Encrypt Eine neue Zertifizierungsstelle braucht eine lange Zeit,  bis das eigene Zertifikat von allen wichtigen Browsern und Betriebssystemherstellern aufgenommen wird. Deshalb verwendete Let's Encrypt kein eigenes Root-Zertifikat, als es vor 5 Jahren in Betrieb ging, sondern ließ sich das eigene Zwischenzertifikat von der Zertifizierungsstelle Identrust signieren. Und jetzt ist dieses Zwischenzertifikat nur noch bis März 2021 gültig. Die Mutter von Let's Encrypt, die Internet Security Research Group, erstellte aber schon 2015 ein eigenes Root-Zertifikat und bemüht sich seither darum, dass dieses in die Root-Zertifikatslisten aufgenommen wird. Inzwischen unterstützen alle gängigen Web-Clients das eigene Root-Zertifikat Zertifikat von Let's Encrypt, weshal in Zukunft dieses Zertifikat und ein davon signiertes Zwischenzertifikat genutzt werden soll.

2020-09-18T18:05:47+02:00September 18th, 2020|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Let’s Encrypt wechselt sein Zertifikat
Weiterlesen

Thunderbird 78.2.1 bringt PGP-Verschlüsselung mit

Thunderbird 78.2.1 ist zwar nur ein kleines Wartungs-Update des freien Mailclients aus dem Hause Mozilla, aber dieses Update bringt eine lange erwartete Änderung: Es aktiviert jetzt endlich die Email-Verschlüsselung mit OpenPGP. Jetzt mit PGP-Verschlüsselung Am gestrigen 29. August haben die Entwickler das Update für Windows, MacOS und Linux freigegeben. Es ist erst eine Woche her, dass Thunderbird 78.2 erschien, bei dem ja eigentlich die eingebaute Email-Verschlüsselung schon aktiviert sein sollte. Für weitere Tests und letzte Änderungen hatten die Entwickler die Veröffentlichung allerdings noch einmal aufgeschoben, und deshalb aktiviert erst das aktuelle Update 78.2.1 die PGP-Email-Verschlüsselung in Mozillas Thunderbird. Updatemöglichkeiten Laut den Release-Notes gibt es das Update Thunderbird 78.2.1 nur als direkten Download von thunderbird.net und nicht als Upgrade der Thunderbird Version 68 oder früher. In einer zukünftigen Version soll der Update von früheren Versionen möglich werden. Für Benutzer, die bereits Version 78.0 oder höher einsetzen, sind automatische Updates aber verfügbar.

2020-08-30T18:46:21+02:00August 30th, 2020|Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Thunderbird 78.2.1 bringt PGP-Verschlüsselung mit
Weiterlesen

Google Chrome 85 schließt Sicherheitslücke in WebGL

Über eine Sicherheitslücke in der WebGL-API des Google-Browsers Chrome schaffen es Hacker, Schadcode auf einen Rechner zu übertragen und auch auszuführen. Mit der neuen Version Chrome 85 beseitigt Google die Schwachstelle in seinem Browser. Die Lücke in der WebGL-API In den Browsern wird WebGL zur Darstellung von 2D- und 3D-Inhalten ohne Zusatzprogramme benutzt. Ein Fehler in der Schnittstelle im Google-Browser Chrome gestattet es Hackern, die API zu missbrauchen, um darüber Schadcode auszuführen. Von dem Fehler sind die Version 81.0.4044.138, die Dev-Version 84.0.4136.5 und die Canary-Version 84.0.4143.7 betroffen. Für die Beta-Versionen gibt es schon einen Patch. In der Live-Version beseitigt Google das Problem mit dem aktuellen Chrome-85-Update, das heute erschienen ist. Bisher soll die Sicherheitslücke laut Google noch nicht ausgenutzt werden. Sollten sie das Update Chrome 85 noch nicht erhalten haben, können Sie den Browser auch manuell updaten. Hier die Download-Adressen der verschiedenen Versionen: Google Chrome (64 Bit) Google Chrome (32 Bit) Google Chrome (Mac) Google Chrome (Linux)

2020-08-25T23:01:56+02:00August 25th, 2020|Browser, Sicherheit|Kommentare deaktiviert für Google Chrome 85 schließt Sicherheitslücke in WebGL
Weiterlesen

Chrome 86 kommt ohne komplette URL-Anzeige

Schon jetzt zeigt der Chrome-Browser keine komplette URL-Zeile mehr an. Der Protokollteil (http:// oder https://) ist schon heute nicht mehr sichtbar. Erst ein Klick in die URL-Zeile sagt dem Benutzer, welches Protokoll hier verwendet wird. Für Normalbenutzer mag das ja noch tolerabel sein, aber Webworker müssen schon häufiger mit einem Klick nachschauen, um die komplette URL zu sehen. Jetzt soll es noch schlimmer kommen: Nach einem Bericht von Golem will Google in Chrome nur noch den Domainnamen in der Adresszeile anzeigen und auf diese Weise das Phishing erschweren. Das erschwert das Arbeiten von Webdesignern und Admins sehr deutlich, denn um zu sehen, welche URL wirklich aufgerufen wurde, muss man erst mit dem Mauszeiger über die URL-Zeile gehen. Die Arbeit von Profis wird durch diese Änderung unnötig umständlich gemacht. Der Nutzen scheint eher zweifelhaft Die Nützlichkeit wird von Google mit Zahlen hinterlegt. Im Chromium-Blog liest man dazu: "Es gibt unzählige Möglichkeiten, wie Angreifer URLs manipulieren können, um Benutzer über die Identität einer Website zu verwirren, was zu weit verbreitetem Phishing, Social Engineering und Betrug führt." Der Blog verweist dabei auf eine Studie, nach der "60 Prozent der Nutzer getäuscht wurden, wenn ein irreführender Markenname im Pfad einer URL auftauchte". Naja, schaut man sich diese Studie an, wird man schnell an die Lernmechanismen von [...]

2020-08-14T18:06:32+02:00August 14th, 2020|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Chrome 86 kommt ohne komplette URL-Anzeige
Weiterlesen

Updates gegen kritische Lücken in drei Modulen von Drupal

Am Mittwoch hat das Team des weit verbreiteten CMS Drupal drei Security-Advisories zu den Erweiterungen Modal Form, Apigee Edge und Easy Breadcrumb des CMS veröffentlicht. In der ersten steckt eine mit "critical", in den anderen beiden eine mit "moderately critical" bewertete Sicherheitslücke. Die Entwickler der Module haben deshalb Updates veröffentlicht, die die Nutzer von Drupal zeitnah einspielen sollten. Unbefugte Zugriffe und sogar Cross-Site-Scripting möglich Mit der kritischen Lücke in Modal Form befasst sich das Advisory SA-CONTRIB-2020-029. Wenn Angreifer den vollen Klassennamen ("fully-qualified class name") eines Formulars kennen, könntensie beliebig sowohl lesend als auch übermittelnd auf das Formular zugreifen, heißt es in der Beschreibung. Verwundbar sei die Version 8.x-1.x-dev. Deshalb sollten Nutzer, die Modal Form mit Drupal 8 oder 9 nutzen, sollten auf die bereinigte Version 8.x-1.2 updaten. Die Advisories zu Apigee Edge und Easy Breadcrumb richten sich ausschließlich an Nutzer von Drupal 8. Wer noch die verwundbare Version 8.x-1.x-dev eines der beiden Module nutzt, sollte jetzt auf 8.x-1.12 (Apigee Edge) bzw. 8.x-1.13 (Easy Breadcrumb) aktualisieren. Bei Nutzung der verwundbaren Apigee Edge-Version könnten Angreifer unbefugt Emailadressen aus anderen Drupal-Konten einsehen, wenn einige Voraussetzungen (aktiviertes Apigee Edge Teams-Submodul, Nutzerrolle mit "Manage team members"-Erlaubnis) erfüllt sind. Bei Nutzung des verwundbaren Easy Breadcrumb-Moduls sind unter bestimmten Umständen Cross-Site-Scripting-Angriffe durch Editor-Eingaben [...]

2020-07-25T09:56:44+02:00Juli 25th, 2020|CMS, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Updates gegen kritische Lücken in drei Modulen von Drupal
Weiterlesen

Thunderbird 78 mit besserem User-Interface und OpenPGP

Mozillas Email-Client Thunderbird ist in Version 78 erschienen. Das Entwicklerteam teilt  in seinem Blog mit, dass es sich bei der Version 78 um das normale jährliche Update auf Basis der sogenannten Extended-Support-Releases (ESR) der Webtechniken des Mozilla-Browser Firefox handelt. Mit der aktuellen Version bringt das Team eine Vielzahl von Neuerungen, insbesondere am User-Interface. User-Interface mit Dark Mode So wurde beispielsweise die Ansicht des Fensters zum Erstellen neuer Emails angepasst. Die neue Oberfläche soll die Nutzung vereinfachen. Dem angesagten Designtrend vieler anderer Anwendungen folgend bekommt der Donnervogel mit Version 78 auch einen sogenannten Dark-Mode. Der wird auch automatisch aktiviert, sofern das zugrunde liegende Betriebssystem einen Dark-Mode nutzt. Kalender und Aufgabenverwaltung integriert Direkt in das Mailprogramm integriert sind nun der Kalender Lightning und auch die Aufgabenverwaltung. Das ist erst einmal nur eine technische Änderung, die sich noch nicht stark auswirken dürfte. Die Entwickler erhoffen sich davon, in Zukunft viele Verbesserungen realisieren zu können, zu denen unter anderem auch eine verbesserte Zusammenarbeit  mit dem Email-Bestandteil des Thunderbird gehört. Geändert wurden auch die Ansicht zum Einrichten von Email-Konten und die Zugangsverwaltung. Verschlüsselung mit OpenPGP Zu den größten Neuerungen in Thunderbird 78 dürfte auch die Integration der Email-Verschlüsselung mit OpenPGP dienen, die jetzt nicht mehr über das Addon Enigmail abgewickelt werden muss. [...]

2020-07-18T09:56:03+02:00Juli 18th, 2020|Allgemein, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Thunderbird 78 mit besserem User-Interface und OpenPGP
Weiterlesen

Google schließt vier Sicherheitslücken in Chrome

In Version 83 von Googles Browser Chrome wurden erneut mehrere schwerwiegende Sicherheitslücken entdeckt, weshalb der Suchmaschinen-Konzern jetzt ein Update für seinen Browser Chrome veröffentlicht hat, das vier Sicherheitslücken schließt. Nutzer sollten das Update möglichst schnell installieren, sagt unter anderem auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Gefährdet sind nach Informationen aus dem Google Blog die Chrome-Versionen unter Windows, aber auch unter Linux und dem Apple-Betriebssystem MacOS. Die Sicherheitslücken betrafen die Spracherkennung, das Modul WebView, das zum Anzeigen von Internetseiten nötig ist, und die JavaScript-Implementierung. Angreifer konnten dadurch beliebigen Programm-Code ausführen. Die Version 83.0.4103.106 ist die erste ohne die Sicherheitslücken. Ältere Versionen sollten schnellstmöglich aktualisiert werden. Hier die Download-Links für die verschiedenen Updates: Google Chrome (64 Bit) herunterladen Google Chrome (32 Bit) herunterladen Google Chrome Portable herunterladen Google Chrome (Mac) herunterladen Google Chrome (Linux) herunterladen

2020-06-18T09:12:25+02:00Juni 18th, 2020|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Google schließt vier Sicherheitslücken in Chrome
Weiterlesen

Firefox 77 mit Zertifikat-Ansicht und WebRender

Im üblichen Vier-Wochen-Rhythmus hat die  Mozilla Foundation schon wieder eine neue Version des Browsers Firefox veröffentlicht: Firefox 77. WebRender und AVIF an Bord Mit der neuen Firefox-Version kommt die Rendering-Engine WebRender standardmäßig für alle Laptop-Nutzer von Windows 10 mit Nvidia GPU und mittlerem bis großem Bildschirm (mindestens 3440 ×1440). Eigentlich hatte Mozilla schon mit der Firefox Version 67 WebRender aktiviert. Man musste dies allerdings bisher manuell auswählen. Mit WebRender soll das Rendering von WebApps schneller passieren, weil Prozesse auf den Grafikprozessor ausgelagert werden. Als erster Browser bringt Firefox 77 eine Unterstützung für das neue Bildformat AVIF mit, das bei gleicher Qualität weniger Platz als Formate wie JPG oder WebP brauchen soll. Damit Firefox die Bilder auch in dem neuen Format anzeigt, muss man in „about:config“ die Einstellung „image.avif.enabled" auf „true" setzen. Zertifikate sehen und verbesserte Barrierefreiheit Auch Web-Zertifikate können jetzt, wie Mozilla in einem Blogbeitrag auflistet, schnell unter about:config angesehen und verwaltet werden. Darüber hinaus hat Firefox die Accessibility weiter verbessert – die in den Einstellungen aufgelisteten Anwendungen stehen jetzt auch für Nutzer von Screen Readern zur Verfügung, und fehlende Datums- und Uhrzeitangaben werden auch korrekt dargestellt. Weitere Neuerungen betreffen die Pocket Recommendations, allerdings nur in Großbritannien. In Deutschland werden hier schon kuratierte Nachrichten beim Öffnen von neuen [...]

2020-06-03T07:45:19+02:00Juni 3rd, 2020|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Firefox 77 mit Zertifikat-Ansicht und WebRender
Weiterlesen

Aktuelles Sicherheitsupdate: CMS Drupal 7.70

Wer seine Seiten als Website-Admin mit dem Content Management System (CMS) Drupal 7 erstellt hat, sollten jetzt dringend das soeben erschienene Sicherheitsupdate von Drupal installieren. Ansonsten könnten böswillige Angreifer die Besucher seiner Internetseiten ganz einfach auf eine von ihnen erstellte Website umleiten. In ihrer Sicherheitswarnung stufen die Drupal-Entwickler auch das Angriffsrisiko, das von der Lücke ausgeht, nur als "moderat kritisch" ein. Vermutlich wurde deshalb auch noch keine CVE-Nummer zur Kennzeichnung der Schwachstelle vergeben. Bei der Schwachstelle handelt es sich um eine sogenannte Open-Redirect-Lücke, die nur in  Drupal 7 steckt. Wenn ein Angriff erfolgreich ist, könnten die Angreifer das Opfer – also einen Besucher Ihrer Website - auf eine von ihnen kontrollierte Internet-Seite locken. Das könnte wegen der unzureichenden Überprüfung des Destination-Abfrage-Parameters drupal_goto() zum Beispiel über einen entsprechend präparierten Link geschehen. Die  ist gegen das Problem abgesichert.

2020-05-26T16:18:26+02:00Mai 26th, 2020|CMS, Sicherheit|Kommentare deaktiviert für Aktuelles Sicherheitsupdate: CMS Drupal 7.70
Weiterlesen

Ebay.de scannt Rechner auf offene Ports

Wer die Webseiten Ebay.de und Ebay.com aufruft, dessen Rechner wird vom Betreiber der Server auf offene Ports gescannt. Per Javascript klopft Ebay an 14 Ports des lokalen Rechners an, die von den verbreitetsten Fernwartungs-Tools genutzt werden. Bei einem offenen Port kann man davon ausgehen, dass ein entsprechender Dienst auf diesem Rechner aktiv ist. Dies Vorgehen hat der Sicherheitsforscher Charlie Belmer herausgefunden. Mit einem Javascript namens Check.js versucht Ebay über Websockets eine Verbindung zu 127.0.0.1, der eigenen IP-Adresse des lokalen Rechners, aufzubauen. Beim ersten Aufruf der Webseiten Ebay.de und Ebay.com werden unter Windows die nachfolgenden Ports gescannt: RDP: (Remote Desktop Protocol): 3389 Teamviewer: 5939, 5944, 6039, 6040 VNC: 5900, 5901, 5902, 5903 Anyplace Control: 5279 Anydesk: 7070 Aeroadmin: 5950 Tripp Lite Power Alert: 63333 Ammyy Admin: 5931 Interessant: Wenn man Ebay.de oder Ebay.com unter Linux aufruft, wird der Portscan nicht durchgeführt. Bei den Fernwartungstools in der Liste handelt es sich in erster Linie um Windows-Tools. Sie werden zum Beispiel von Administratoren benutzt, um auf entfernte Rechner zugreifen zu können und Computerprobleme der Mitarbeiter zu lösen oder die Rechner zu administrieren. Die Ports bzw. Tools könnten aber auch von Angreifern verwendet werden, um Rechner zu übernehmen oder mit ihnen zu kommunizieren. Deshalb ist auch ein offener Port diesbezüglich [...]

2020-05-26T07:54:09+02:00Mai 26th, 2020|Coding, Javascript, Sicherheit|Kommentare deaktiviert für Ebay.de scannt Rechner auf offene Ports
Weiterlesen
Nach oben