Google zahlt höhere Prämien für Sicherheitslücken in Chrome

Gute Nachricht für alle Sicherheitsforscher: Google hat das Prämienprogramm für gemeldete Sicherheitslücken deutlich aufgestockt. Google hat die Belohnungen, die Sicherheitsforscher erhalten, welche Details zu Schwachstellen im Browser Chrome oder im Betriebssystem Chrome OS vertraulich melden, verdoppelt bzw. sogar verdreifacht. Die neuen Prämien Die maximale Basisprämie steigt von 5.000 auf 15.000 Dollar und der Maximalbetrag für besonders hochwertige Anfälligkeiten und Fehlerberichte verdoppelt sich von 15.000 auf 30.000 Dollar. Das Chrome Vulnerability Rewards Program existiert schon seit dem Jahr 2010. Seitdem erhielt Google nach Angaben des Chrome Security Teams über 8.500 Berichte von teilnehmenden Sicherheitsforschern. Dafür schüttete Google in dieser Zeit mehr als fünf Millionen Dollar als Prämien aus. Doppelte Prämien auch für das Fuzzer-Programm Seither wurde das Programm laufend erweitert, unter anderem um das Chrome Fuzzer Program, bei dem die sogenannten Fuzzer benutzt werden, um automatisiert nach eventuellen Sicherheitslücken zu suchen. Gefundene Bugs dieser Art wurden bisher mit je 500 Dollar bezahlt und bringen in Zukunft 1.000 Dollar. Was macht Anfälligkeiten hochwertig? Außerdem kündigte Google jetzt neue Fehlerkategorien an und überarbeitete die Kriterien, die gefundene Anfälligkeiten als hochwertig klassifizieren. Das sind Fehler, die „leicht, aktiv und zuverlässig gegen unsere Nutzer eingesetzt werden können“. Die dazugehörigen Fehlerberichte sollen außerdem erläutern, dass eine Ausnutzung des gefundenen Bugs hochwahrscheinlich ist. Google erwartet auch Vorschläge für einen [...]

2019-07-21T21:54:12+02:00Juli 21st, 2019|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Google zahlt höhere Prämien für Sicherheitslücken in Chrome

Auch Firefox kennzeichnet jetzt HTTP-Seiten als unsicher

Der Mozilla-Browser Firefox wird künftig alle Internetseiten, die noch das HTTP-Protokoll ohne Verschlüsselung benutzen, als „unsicher“ markieren. Dann zeigt der Mozilla-Browser in der Adressleiste links von der URL ein durchgestrichenes Schloss-Symbol mit dem Hinweis „Not Secure“ (unsicher) an. Ghacks berichtet dazu, dass die Änderung mit der stabilen Version von Firefox 70 eingeführt werden soll, die Mozilla schon für den 23. Oktober angekündigt hat. Internetseiten, die auf eine verschlüsselte Datenübertragung per sicherem HTTPS verzichten, sind aktuell eigentlich nur daran zu erkennen, dass das grüne Schloss neben ihrer URL dabei nicht erscheint. Klickt man dann auf das Ausrufezeichen in der Adressleiste, wird bestätigt, dass die Verbindung nicht sicher ist und Daten wie zum Beispiel Passwörter und Kreditkartendaten eventuell von unbefugten Dritten mitgelesen werden können. Warnung schon mit Firefox 68 aktivierbar Nach der Installation ist die neue Sicherheitswarnung dem Bericht zufolge inzwischen in der Nightly-Version von Firefox 70 schon aktiviert. Wer die Warnung schon in Firefox 68 haben möchte, kann sich das Feature schon über die Konfigurationsseite „about:config“ freischalten. Hier müssen die vier Parameter „security.insecure_connection_icon.enabled“, „security.insecure_connection_icon.pbmode.enabled“, „security.insecure_connection_text.enabled“ „security.insecure_connection_text.pbmode.enabled“ durch einen Doppelklick auf den Wert „True“ geändert werden. Danach wird beim Laden einer unsicheren die „Nicht sicher“-Warnung in der Adressleiste erscheinen.

2019-07-18T23:44:05+02:00Juli 18th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Auch Firefox kennzeichnet jetzt HTTP-Seiten als unsicher

Critical Patch Update bei Oracle

Bei seinem Quartalsupdate "Critical Patch Update" hat der Datenbank-Hersteller Oracle insgesamt 319 Patches für zahlreiche der Produktfamilien veröffentlicht. Eine große Zahl der damit geschlossenen Sicherheitslücken wurden als kritischeingeordnet. Mehrere dieser Sicherheitslücken könnten aus der Ferne missbraucht werden, um die verwundbaren Systeme zu übernehmen, weshalb Oracle seinen Kunden dazu rät, die im Rahmen des Critical Patch Updates bereitgestellten Patches umgehend einzuspielen. Details zu den geschlossenen Sicherheitslücken Weitergehende Details zu den betroffenen Produkten, geschlossenen Lücken und verfügbaren Updates kann man Oracles Update Advisory entnehmen. Bei der Einschätzung des Sicherheitsrisikos der einzelnen Schwachstellen helfen Oracles Angaben zum CVSS (Common Vulnerability Scoring System): CVSS-v3-Scores ab 7.0 bis einschließlich 8.9 stehen für ein "hohes" Sicherheitsrisiko; Scores von 9.0 bis 10.0 stehen für "critical". Die zusätzliche Angabe "Network" unter "Attack Vector" im Update Advisory sagt aus, dass Angriffe "über das Internet", also aus der Ferne, ausgeführt werden können.

2019-07-17T12:18:02+02:00Juli 17th, 2019|MySQL, Webwerkzeuge|Kommentare deaktiviert für Critical Patch Update bei Oracle

Firefox 68 verhindert Ausbruch aus der Sandbox

Die Browser Firefox, Firefox ESR und der anonymisierende Tor-Browser sind angreifbar, und die Angreifer können alle drei Mozilla-Browser im schlimmsten Fall aus der Sandbox ausbrechen lassen oder Schadcode ausführen. Die abgesicherten Versionen  stehen jetzt zum Download bereit. Die dafür genutzte Sandbox-Lücke (CVE-2019-9811) haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own im März 2019 entdeckt – jetzt gibt es auch das Sicherheitsupdate, um die Lücke zu schließen. Die Sicherheitslücke besteht in Firefox und in der Langzeitversion Firefox ESR. Weil der anonymisierende Tor Browser auch auf Firefox ESR basiert, ist er auch betroffen. Um einen erfolgreichen Ausbruch aus der Sandbox hinzulegen, muss der Angreifer allerdings sein Opfer dazu bringen, ein manipuliertes Sprachpaket zu installieren – das relativiert natürlich die Gefährlichkeit. In seiner Sicherheitswarnung dazu gibt Mozilla noch Informationen zu weiteren Sicherheitslücken. Darüber könnten Angreifer Speicherfehler auslösen und den Browser so zum Absturz bringen. Das könnte dann als Einfallstor für Schadcode genutzt werden.. Die Sicherheitsupdates für die Firefox-Varianten Als abgesichert gelten die Versionen Firefox 68 und Firefox ESR 60.8. Vom Tor Browser ist die gehärtete Ausgabe 8.5.4 erschienen. Außer der Aktualisierung der ESR-Version haben die Entwickler auch noch OpenSSL und Torbutton aktualisiert, schreibt das Tor-Team in einem Blogbeitrag.

2019-07-11T23:59:11+02:00Juli 11th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Firefox 68 verhindert Ausbruch aus der Sandbox

Mozilla arbeitet an einem Tracking-Report

Inzwischen blockiert der Mozilla-Browser Firefox schon diverse Varianten von Trackern. Dabei unterscheidet Mozilla zwischen verschiedenen Formen des Trackings wie Social, Cross-Site-Tracker, Ad-Tracker und Fingerprint-Varianten. Dazu zeigt Firefox Nightly jetzt die Vorschau eines detaillierten Tracking-Reports, der über bis dahin blockierte Anfragen differenziert nach Tracking-Typ informiert. Noch stammen die dort gezeigten Daten noch nicht aus der Benutzung des Browsers, sondern sind fest vorgegeben. Ab wann das Feature voll funktionell freigeschaltet wird, ist aktuell noch nicht bekannt. Schutz vor Trackern und Kryptominern Mit der aktuellen Version Firefox 67 hat Mozilla den Schutz vor Trackern auch auf Kryptominer und Fingerprint-Verfolgung erweitert, wobei die genutzte Anti-Fingerprinting-Technik vom Tor-Browser für anonymes Surfen stammt. Diese Technik verhindert, dass Internetseiten bestimmte Daten wie verwendeten Browser, die Fenstergröße oder das Betriebssystem erfassen, um daraus einen digitalen Fingerabdruck zu erstellen, der dann seitenübergreifend verfolgt wird. Die Kryptominer wiederum nutzen Ressourcen eines Rechners, um damit Kryptowährungen zu berechnen. Durch die ressourcenhungrigen Berechnungen wird der Prozessor des Rechners deutlich stärker ausgelastet, was den PC verlangsamt und seinen Energiebedarf erhöht. Das ist vor allem bei mobilen Geräten sehr ärgerlich, weil dadurch die Akkulaufzeit unter Umständen stark reduziert wird. Aktivieren vonTracker- und Kryptominerschutz Beide Schutzfunktionen kann man in Firefox 67 über das „i“-Symbol in der Adressleiste bzw. über das kleine Zahnrad im Menü „Seitenelemente blockieren“ aktivieren. [...]

2019-07-08T22:30:49+02:00Juli 8th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Mozilla arbeitet an einem Tracking-Report

NoSQL-Datenbank MongoDB 4.2 angekündigt

Auf der MongoDB World 2019 in New York informiert MongoDB in dieser Woche über die neusten Entwicklungen aus dem eigenen Hause. Die angekündigte Version 4.2 der NoSQL-Datenbank stellt für die Benutzer drei neue Funktionen bereit: verteilte Transaktionen, Platzhalter-Indizes und eine clientseitige feldbasierte Verschlüsselung. Neues in MongoDB 4.2 Schon seit Version 4.0 beherrscht der MongoDB-Server ja ACID-Transaktionen, die über mehrere Replikationssätze gehen. Jetzt geht das sogar auch dann, wenn die Daten auf mehreren Rechnern verteilt gespeichert sind. Datenbankspezialiszten nennen das:Sharding. Die neuen Platzhalter-Indizes geben den Anwendern jetzt mehr Möglichkeiten bei der Organisation ihrer Daten. Das Indizieren lässt sich dabei über eine Filterfunktion realisieren, welche automatisch die entsprechenden Dokumente, Felder und deren Kollektionen findet. Bei der clientseitigen, feldbasierten Verschlüsselung wird das Problem der Sicherheit von Daten während der Bearbeitung angegangen. Dabei findet die Verschlüsselung außerhalb des Entwickler haben Diese Funktion wurde in die Treiber eingebaut, wo die User den Verschlüsselungsalgorithmus und den Verwaltungsdienst für die zugehörigen Schlüssel auch konfigurieren. Zurzeit  werden noch nicht alle existierenden Treiber unterstützt. Spätestens im Sommer 2019 soll das aber der Fall sein. Für die Schlüsselverwaltung steht aktuell zwar zunächst nur der Cloud-Dienst von AWS zur Verfügung, die Google Cloud Platform, Azure und andere Dienste sollen aber bald folgen.

2019-06-19T09:18:47+02:00Juni 19th, 2019|Allgemein, Coding, MySQL, Webwerkzeuge|Kommentare deaktiviert für NoSQL-Datenbank MongoDB 4.2 angekündigt

Firefox blockt Tracking-Cookies per Voreinstellung

Wie schon Anfang dieses Jahres angekündigt, beginnt Hersteller Mozilla jetzt damit, standardmäßig sämtliche Tracking-Cookies von Drittanbietern in seinem Browser Firefox zu blockieren. Blacklist kommt von Disconnect Diese  Third-Party-Tracker, die von externen Anbietern stammen und in Internetseiten eingebunden werden, werden zunächst aber nur für neue Nutzer des Browsers blockiert. Die zugrunde liegende Liste der zu blockierenden Elemente stammt dabei von dem langjährigen Partner Mozillas Disconnect. An dieser Technik,  die das Verfolgen von Nutzern durch verschiedene Anbieter im Internet verhindern soll, arbeitet Mozilla schon seit über drei Jahren. Als langfristiges Ziel ist seinerzeit bei der Ankündigung  vorgegeben worden, alles zu blocken, was in irgendeiner Weise zur Profilerstellung von Nutzern beitragen könnte. Explizit kein Werbeblocker Schon bei der Vorstellung der Technik hatder Browser-Hersteller betont, dass es sich dabei explizit nicht etwa um Werbeblocker handele, weil Werbung ja auch ohne das Tracken durch Dritte ausgeliefert werden könne… Für die Zukunft plant das Unternehmen, das Blockieren der Cookies auch für alle anderen Nutzer standardmäßig zu aktivieren. Das soll in den kommenden Monaten passieren. Für diese Nutzer wird die Änderungen automatisch eingespielt, so man sie nicht selbst aktivieren muss. Der genaue Zeitpunkt dafür ist aber noch nicht öffentlich bekannt. Wer das Feature schon jetzt testen möchte, kann zu diesem Zweck aber seinen Firefox zunächst deinstallieren [...]

2019-06-04T16:21:03+02:00Juni 4th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Firefox blockt Tracking-Cookies per Voreinstellung

Drupal-Module anfällig für Angriffe

Sollten Sie das Content Management System (CMS) Drupal mit einem der Module "Menu Item Extra" oder "Workflow" benutzen, sollten Sie die beiden Module dringend auf den aktuellen Stand bringen. Denn sonst könnten böswillige Angreifer Internetseiten, die mit dem CMS gebaut wurden, erfolgreich angreifen. Vom Notfallteam des Bundesamt für Sicherheit in der Informationstechnik CERT Bund wurde das Angriffsrisiko als "hoch" eingestuft. Details zu möglichen Angriffen Weil es in beiden Modulen an Überprüfungen der Eingaben fehlt, könnten Angreifer sowohl CSRF- als auch XSS-Attacken durchführen. Für einen erfolgreichen Angriff müssten sie aber je nach Modul über die Berechtigungen "administrator nodes", "administrator menu" oder "administrator workflow" verfügen. Weiter e Infos zu den Lücken erläutern die Entwickler in zwei Sicherheitswarnungen zu Menu Item Extras und Workflow. Abhilfe schafft die Installation der aktuellsten Versionen Menu Item Extras 8.x-2.5 für Drupal 8.x und Workflow 7.x-2.12 für Drupal 7.x.

2019-05-24T17:28:13+02:00Mai 24th, 2019|CMS, Coding, Webwerkzeuge|Kommentare deaktiviert für Drupal-Module anfällig für Angriffe

Sicherheitsupdate für Mailclient Thunderbird

Mozillas Email-Client Thunderbird ist durch mehrere Schwachstellen verwundbar. Deshalb haben die Entwickler der schon zum Download bereitstehenden Version 60.7 mehrere Sicherheitslücken in dem Programm geschlossen. Insgesamt stufte Hersteller Mozilla das Angriffsrisiko als "hoch" eint. Weil beim Thunderbird das Scripting standardmäßig deaktiviert ist, sollen sich diese Sicherheitslücken im Normalfall nicht durch das Öffnen und Lesen von Emails alleine ausnutzen lassen. Das soll aber in einem Browser ähnlichen Kontext möglich sein. Was das genau im Detail bedeutet, sagt Mozilla aber nicht aus. Speicherfehler, Abstürze und Schadcodeausführung möglich In den meisten Fällen könnten Angreifer beim Thunderbird Speicherfehler hervorrufen und damit das Mailprogramm zum Absturz bringen. Unter bestimmten Umständen ist aber auch die Ausführung von Schadcode durch die Schwachstellen denkbar, warnt Mozilla in einer Meldung. Wer Thunderbird als Email-Client nutzt, sollte die abgesicherte Version 60.7 recht bald installieren. Um den Update-Prozess starten, ruft man im Menü "Hilfe" und dann "Über Mozilla Thunderbird" auf und folgt dann den Anweisungen auf dem Bildschirm.

2019-05-23T15:53:03+02:00Mai 23rd, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für Mailclient Thunderbird

Mehr Speed: Mozilla hat Firefox 67 veröffentlicht

Hersteller Mozilla hat die neueste Version 67 seines Firefox-Browser veröffentlicht. Mit Hilfe vieler kleiner Details und neuer Techniken soll der Browser jetzt deutlich schneller sein als bisher. Schnellerer Seitenaufbau durch Priorisierung von Skripten Das wird durch die Priorisierung bestimmter Skripte realisiert, die einfach nur  vor anderen Routinen ausgeführt werden. Dadurch können die wichtigsten Funktionen einer Internetseite schneller als bisher bereitgestellt werden. Verbesserte Speicherverwaltung Mozilla hat auch dafür gesorgt, dass Firefox den Arbeitsspeicher nicht unnötig füllt, um aktuell nicht verwendete Tabs vorzuhalten. Wenn der verfügbare Speicherplatz unter 400 MByte sinkt, werden länger nicht verwendete Tabs in ein sogenannte „Standy“ gelegt. Einige Bestandteile des Browsers werden auch erst dann geladen, wenn sie auch wirklich gebraucht werden. Webrender noch nicht für alle Außerdem wird eine ganz neue Technik namens „Webrender“ erstmals ausgerollt, an der Mozilla bereits seit mehreren Jahren arbeitet. Ziel der Technik ist es, das 2D-Rendering des Browsers vollständig auf dem Grafikprozessor (GPU) auszuführen und dadurch sehr deutlich zu beschleunigen. Diese Funktion wird aber zunächst nur bei Firefox-Nutzern mit Windows 10 und einer Desktop-GPU von Nvidia aktiviert, was etwa jeden 25. Benutzer des Browsers ausmacht. In einem detaillierten Blog-Post dazu wird dazu angegeben, dass Webrender auch bei diesem kleinen Teil der Benutzer nur Schritt für Schritt bis Ende Mai aktiviert werden [...]

2019-05-21T17:47:03+02:00Mai 21st, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Mehr Speed: Mozilla hat Firefox 67 veröffentlicht
Nach oben