Der neue Google-Browser Chrome 67

In der aktuellen Version 67 seines Webbrowsers schließt Google einige Sicherheitslücken, entfernt einen Sicherheitsmechanismus und fügt im Gegenzug auch einen neuen für weitere Nutzer hinzu. Das Sicherheitsfeature Site Isolation soll zwar In Chrome 67 immer noch nicht standardmäßig, aber doch schon für immer mehr Nutzer aktiviert sein. Den Standard HTTPS Public Key Pinning (HPKP) hat Google jetzt wieder aus Chrome entfernt. In Version 67 haben die Entwickler immerhin 34 Sicherheitslücken geschlossen. Keine davon war aber als kritisch eingestuft und nur neun davon sind mit dem Bedrohungsgrad "hoch" eingestuft. Die Sandbox-Erweiterung Mit der Site Isolation sollen Webseiten effektiv voneinander abgeschottet werden, weil die Seiten jeweils als eigene Prozesse laufen. Dieser Schutz ergänzt die Sandboxen, in denen Chrome die Webseiten öffnet. Durch Site Isolation soll es Angreifern noch schwerer gemacht werden, über eine manipulierte Internetseite Informationen von anderen Seiten abzugreifen. Dieser Ansatz soll vor allem vor den gefürchteten Seitenkanal-Angriffe wie beispielsweise den CPU-Lücken Meltdown und Spectre sowie UXSS-Attacken schützen. Mit der neuen Browserversion Chrome 67 soll das Feature jetzt für noch mehr Nutzer aktiv sein. Wer die Funktion noch nicht hat und sie aktivieren möchte, gibt in die URL-Zeile chrome://flags ein. Danach sucht man dann nach "Strict site isolation" und aktiviert diesen Eintrag. Wenn Chrome dann neu gestartet wurde, ist das neue Sicherheitsfeature aktiv. [...]

2018-05-31T00:26:45+02:00Mai 31st, 2018|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Der neue Google-Browser Chrome 67
Weiterlesen

Sicherheitsupdate Thunderbird 52.6

Beim Email-Client Thunderbird wurden soeben zehn Sicherheitslücken beseitigt. Der bereinigte aktuelle Thunderbird 52.6 steht seit heute zum Download bereit. Zusätzliche Angaben zu den beseitigten Schwachstellen finden Sie In der offiziellen Sicherheitswarnung von Hersteller Mozilla. Mozilla stuft die Auswirkungen der Lücken laut Sicherheitswarnung insgesamt als kritisch ein; obwohl der Großteil der Schwachstellen den Bedrohungsgrad "hoch" aufweist. Nur die Schwachstelle CVE-2018-5089 wird auch einzeln vom Hersteller als „kritisch“ bewertet. Wenn Angreifer die Lücken ausnutzen, könnten sie Speicherfehler auslösen und damit den Email-Client crashen oder sogar Schadcode auf dem Rechner ausführen. Mozilla legt Wert auf den Hinweis, dass man die Lücken in der Standardeinstellung von Thunderbird nicht ausnutzen kann, weil das Scripting ab Werk deaktiviert ist. Wie solche Angriffe im Detail vor sich gehen, bleibt aber noch unklar. Wegen der Einstufung „kritisch“ ist aber wohl anzunehmen, dass letztlich Angriffe aus der Ferne ohne Authentifizierung stattfinden können.

2018-01-27T21:08:53+02:00Januar 26th, 2018|Javascript, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate Thunderbird 52.6
Weiterlesen

Google hat Chrome 64 freigegeben

Google hat soeben die neue Version 64.0.3282.119 seines Browsers Chrome online gestellt. Das Update ist ab sofort für Windows, Mac OS X und Linux verfügbar. Zu den neuen Funktionen des Browsers gehört unter anderem zum Beispiel einen verbesserter Popup-Blocker – darüber hinaus beseitigt das Update insgesamt 53 Sicherheitslücken. 53 Sicherheitslücken gefixt Einzelheiten zu den abgesicherten Lücken nennt Google allerdings nur zu 24 der Anfälligkeiten, die von externen Forschern an Google gemeldet wurden und dafür von Google mit Prämien in Höhe von 22.000 Dollar belohnt wurden. Davon gingen alleine 4.000 Dollar an den deutschen Sicherheitsexperten Tobias Klein und 3.000 Dollar an einen anonymen Nutzer. Die Höhe dieser Belohnungen (Bounties) richtet sich normalerweise nach der Schwere der Anfälligkeit. Der neue Popup-Blocker Der neue Popup-Blocker von Chrome 64 schützt jetzt auch vor transparenten Overlays, welche die gesamte Seite bedecken und damit alle Klicks abfangen, um dann einen neuen Tab oder ein neues Browserfenster zu öffnen. Auch das Tarnen von Links zu externen Websites als Wiedergabe-Buttons oder Bedienelemente der besuchten Website soll er verhindern. Ein solches Verhalten einer Website stuft der Browserhersteller als „missbräuchlich“ ein. Benutzer, die den Browser schon installiert haben, dürften das Update in den kommenden Tagen automatisch erhalten. Man kann das Update aber auch von der Google-Website downloaden oder über das Menü im [...]

2018-01-27T21:10:18+02:00Januar 25th, 2018|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Google hat Chrome 64 freigegeben
Weiterlesen

Browser-Updates für Firefox, Firefox ESR und Tor

In Firefox, Firefox ESR (Extended Support Release) sowie dem auf ESR basierenden Tor Browser finden sich mehrere Sicherheitslücken, die Angreifern unter bestimmten Umständen das Ausspähen von Informationen, Cross-Site-Scripting-Angriffe und sogar das Ausführen beliebigen Codes mit den Rechten des Browsers möglich machen. Nach aktuellen Sicherheitshinweisen von Mozilla sind alle Vorgänger-Versionen des Browsers Firefox 57 aka Quantum und Firefox ESR vor dem aktuellen Release 52.5 betroffen. Die Versionen vor 7.0.10 des anonymisierenden Tor Browsers sind such verwundbar, weil der Tor-Browser auf Firefox ESR aufsetzt. Unter den insgesamt 15 in Firefox geschlossenen Sicherheitslücken bewerten die Entwickler drei als "kritisch" und eine als "hoch". Weitere elf Lücken ordnen sie als "niedrig" bis "mittel" ein. Das Notfallteam des BSI CERT Bund sieht das aber durchaus etwas anders: Es stufte das von den Sicherheitslücken ausgehende Risiko durchgängig als "sehr hoch" ein. Benutzer sollten in jedem Fall zügig updaten: Die abgesicherten Versionen des im Zuge des Projekts Quantum rundum überarbeiteten und nun deutlich schnelleren und ressourcenschonenderen Firefox 57 und von ESR 52.5 stehen zum Download bereit. Das gilt auch für den auf ESR 52.5 basierenden Tor Browser 7.0.10.

2017-11-17T09:24:08+02:00November 16th, 2017|Browser, Webwerkzeuge|Kommentare deaktiviert für Browser-Updates für Firefox, Firefox ESR und Tor
Weiterlesen

Apple bringt MacOS 10.13 High Sierra

Apple hat jetzt im Mac App Store die nächste MacOS-Version zum kostenlosen Download freigegeben. Die Beta-Phase, die mit dem Goldmaster Candidate erst vor 14 Tagen gestartet wurde, ist damit abgeschlossen. Die neue Version MacOS 10.13 (High Sierra) bringt im Wesentlichen Neuerungen im Unterbau mit. Dabei wird unter anderem das Dateisystem APFS Pflicht für Nutzer, die eine SSD besitzen. Für Festplatten und Fusion Drives ist das neue System allerdings noch nicht geeignet, deshalb kommt die Unterstützung für diese Datenträger noch nicht mit diesem Update. Neu in High Sierra ist (nur für neuere Macs) die Unterstützung von High Efficiency Video Encoding (HEVC), wozu  man allerdings einen recht schnellen Prozessor benötigt. Zu den weiteren Neuerungen zählt auch  die Grafikschnittstelle Metal 2 . Das Update auf High Sierra beseitigt auch viele Sicherheitslücken, die in seinen Vorläufer-Versionen noch vorhanden sind. Allerdings gibt es auch noch Kompatibilitätsprobleme zum Beispiel mit Wacom-Equipment. Nach Informationen von Macworld UK gibt es auch noch Risiken bei den Programmen AutoCAD, Civilization 5 und Sophos AV. Diese Software soll im Beta-Betrieb mit High Sierra Probleme machen. MacOS 10.13 High Sierra wird ab sofort als kostenloses Update angeboten, ist aber aktuell bei vielen Nutzern nur über den manuellen Link in zum App Store zu bekommen. Die Dateigröße des Downloads liegt bei ca. 4,8 GByte.

2017-09-26T10:42:14+02:00September 26th, 2017|Allgemein|Kommentare deaktiviert für Apple bringt MacOS 10.13 High Sierra
Weiterlesen

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt. Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen. Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden. Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

2017-07-06T23:06:48+02:00Juli 6th, 2017|Allgemein, PHP|Kommentare deaktiviert für Sicherheitsupdate 3.7.3 für CMS Joomla
Weiterlesen

Vorbereiten auf PHP 7

Im August dieses Jahres endet der aktive Support für PHP 5. Danach gibt es noch ein Jahr länger Patches gegen Sicherheitslücken geben, aber so langsam müssen sich Entwickler und Anwender darauf einstellen, ihre PHP-Programme rechtzeitig auf die neue Version PHP 7 zu migrieren. Durch diese klaren Festlegungen zur Support-Dauer wollen die Entwickler einen Fehler wie beim Erscheinen von PHP 5 vermeiden. Damals hatten sie nämlich kein eindeutiges Ende für die Vorversion PHP 4 vorgegeben, die deshalb noch recht lange gewartet werden musste. Das PHP-Projekt hat PHP 7 genutzt, um viele zuvor als "deprecated" abgekündigte Altlasten aus PHP herauszunehmen und die teilweise inkonsistente und undokumentierte Semantik aufzuräumen. Unter anderem zur sauberen Implementierung eines abstrakten Syntaxbaums überarbeiteten die Entwickler die Syntax von PHP 7 bezüglich der Verwendung von Variablen. PHP-Programmierer müssen aber nicht nur auf Altes verzichten - sie bekommen mit PHP 7 auch viele neue Features, die die Arbeit mit der Skriptsprache sicherer und komfortabler machen.

2017-06-18T14:02:19+02:00Juni 18th, 2017|Allgemein, PHP|Kommentare deaktiviert für Vorbereiten auf PHP 7
Weiterlesen

Chrome 59 macht Sicherheitslücken dicht

Mit einigen neuen Features kommt Chrome 59.0.3071.86 daher und schließt auch wieder eine Anzahl teilweise kritischer Sicherheitslöcher. Hersteller Google will sich mit Details zu den Schwachstellen aber noch etwas zurückhalten, bis deren Behebung per Update bei einer Mehrzahl der Nutzer angekommen ist. Google hat Chrome 59 soeben in den Stable Channel überführt und auch schon mit der Verteilung des Updates begonnen. Benutzer unter Windows, Mac und Linux sollten die neue Version in den nächsten Tagen beziehungsweise Wochen erhalten. Auch Updates für Android und Chrome OS sollen in Kürze nachkommen. Wer seinen Browser sofort updaten möchte, sollte die „Hilfe“ und dort „Über Google Chrome“ aufrufen. Hier kann man nachschauen, welche Version von Google Chrome man aktuell nutzt, und wenn eine neuere Version wie Chrome 59 verfügbar ist, wird der Download mit anschließender Installation auch automatisch gestartet. Bei mir hat das soeben schon funktioniert…

2017-06-07T08:29:18+02:00Juni 7th, 2017|Allgemein|Kommentare deaktiviert für Chrome 59 macht Sicherheitslücken dicht
Weiterlesen

Kein Support mehr für PHP 5

Am heutigen 1. Januar 2017 hat PHP 5.6 als letzte 5er-Version der beliebten Script-Sprache das Ende seiner aktiven Supportphase erreicht: Die aktuelle Version PHP 5.6.30 wird das letzte reguläre PHP-5-Release sein, das herausgekommen ist. Danach gibt es nur noch das neueste Haupt-Release PHP 7 bzw. PHP 7.1. An PHP 5 wird auch ab sofort nicht mehr weiter entwickelt. Allerdings versprechen die Entwickler, kritische Sicherheitslücken in PHP 5.6 noch bis Ende 2019 zu stopfen – aber spätestens zu diesem Zeitpunkt sollte man auf eine 7er-Version der Scriptsprache aufgestiegen sein. Die Web-Statistiker von W3tech fanden PHP 7 bisher nur auf 2,5% der untersuchten Internetseiten, die PHP nutzen. PHP 5.6 wird auf 21% der PHP-Sites eingesetzt, der Rest verteilt sich auf ältere, nicht mehr gepflegte PHP-Versionen. Nach Angaben von W3tech nutzen über 80% der 10 Millionen populärsten Websites PHP. Etwas freundlicher kommt die Statistik von packagist.org, dem Standard-Repository des PHP-Package-Managers Composeherüber: Hier kamen PHP 7.0 und 7.1 im November 2016 zusammen zumindest auf gut 36% der Zugriffe und PHP 5.6 auf 37%. Aber leider erfolgen auch bei packagist.org ein Viertel aller Zugriffe mit veralteten und nicht mehr supporteten PHP-Versionen.

2017-01-01T20:28:43+02:00Januar 1st, 2017|Allgemein, PHP|Kommentare deaktiviert für Kein Support mehr für PHP 5
Weiterlesen

Kein Flash mehr im Browser Edge

Microsoft will jetzt auch den Nutzern seines Browsers Edge die vollständige Kontrolle über den Einsatz von Adobes Flash in die Hand geben. Flash ist eine proprietäre Seitenerstellungssprache von der Firma Adobe, die ihren Hype schon länger hinter sich hat, immer häufiger durch Sicherheitslücken in den Schlagzeilen ist und dank HTML 5 für nichts mehr wirklich benörigt wird – im Grunde also eine gefährliche schlechte Angewohnheit. So wie es auch Google schon für seinen Browser Chrome angekündigt hat, soll auch beim Edge-Browser die Nutzung von Flash nach und nach nur noch auf ausdrücklichen Wunsch des Benutzers aktiviert werden. Der Hersteller teilte in einem Blogbeitrag mit, dass Windows Insider die neue Funktion in den nächsten Vorabversionen testen können. Allerdings nannte Microsoft noch keinen genauen Termin für den Anfang vom Ende von Flash in der normalen Anwenderversion des Browsers.

2016-12-17T20:11:34+02:00Dezember 17th, 2016|Allgemein, HTML|Kommentare deaktiviert für Kein Flash mehr im Browser Edge
Weiterlesen
Nach oben