Updates gegen kritische Lücken in drei Modulen von Drupal

Am Mittwoch hat das Team des weit verbreiteten CMS Drupal drei Security-Advisories zu den Erweiterungen Modal Form, Apigee Edge und Easy Breadcrumb des CMS veröffentlicht. In der ersten steckt eine mit "critical", in den anderen beiden eine mit "moderately critical" bewertete Sicherheitslücke. Die Entwickler der Module haben deshalb Updates veröffentlicht, die die Nutzer von Drupal zeitnah einspielen sollten. Unbefugte Zugriffe und sogar Cross-Site-Scripting möglich Mit der kritischen Lücke in Modal Form befasst sich das Advisory SA-CONTRIB-2020-029. Wenn Angreifer den vollen Klassennamen ("fully-qualified class name") eines Formulars kennen, könntensie beliebig sowohl lesend als auch übermittelnd auf das Formular zugreifen, heißt es in der Beschreibung. Verwundbar sei die Version 8.x-1.x-dev. Deshalb sollten Nutzer, die Modal Form mit Drupal 8 oder 9 nutzen, sollten auf die bereinigte Version 8.x-1.2 updaten. Die Advisories zu Apigee Edge und Easy Breadcrumb richten sich ausschließlich an Nutzer von Drupal 8. Wer noch die verwundbare Version 8.x-1.x-dev eines der beiden Module nutzt, sollte jetzt auf 8.x-1.12 (Apigee Edge) bzw. 8.x-1.13 (Easy Breadcrumb) aktualisieren. Bei Nutzung der verwundbaren Apigee Edge-Version könnten Angreifer unbefugt Emailadressen aus anderen Drupal-Konten einsehen, wenn einige Voraussetzungen (aktiviertes Apigee Edge Teams-Submodul, Nutzerrolle mit "Manage team members"-Erlaubnis) erfüllt sind. Bei Nutzung des verwundbaren Easy Breadcrumb-Moduls sind unter bestimmten Umständen Cross-Site-Scripting-Angriffe durch Editor-Eingaben [...]

2020-07-25T09:56:44+02:00Juli 25th, 2020|CMS, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Updates gegen kritische Lücken in drei Modulen von Drupal
Weiterlesen

Edge Chromium jetzt auch für Windows 7 und 8.1

Zu Beginn des laufenden Monats begann Microsoft damit, seinen neuen Edge-Browser auf Chromium-Basis über Windows-Update an die älteren Windows-10-Versionen zu verteilen. Zwar ist der neue Edge seit Januar 2020 auch für die Betriebssystemsversionen Windows 7 und Windows 8.1 als Download verfügbar, aber vermutlich hat niemand damit gerechnet, dass der Softwareriese auch bei diesen Uralt-Versionen ein System-Update plant. Damit hat Microsoft jetzt aber begonnen: Auch in den beiden Windows-10-Vorgängern ersetzt jetzt der Chromium-Browser den alten Legacy Edge, obwohl der Hersteller den Support für Windows 7 schon im Januar offiziell eingestellt hat. Nur für private PCs In einem Support-Dokument erläutert Microsoft, dass das Update nicht auf weiterhin unterstützte Unternehmensgeräte ausgerichtet sei, sondern explizit Heimcomputer erreichen wolle. Es wird an PCs verteilt, auf denen mindestens das Windows 7 Service Pack 1 (SP1) oder Windows 8.1 läuft. Geschäftlich genutzte PCs, die in einer Active-Directory- oder Azure-Active-Directory-Domäne laufen, sind von der automatischen Aktualisierung ausgeschlossen. Edge Chromium jetzt auch über Windows-Update Microsofzs Chromium-Edge kommt mit dem Update KB4567409 auf den Rechner und wird dort dann zur Installation angeboten. Damit das auch unter Windows 7 funktioniert, müssen auch das SHA-2-Update (KB4474419) und das Servicing Stack Update (SSU) (KB4490628) auf dem PC installiert sein. Wenn der Besitzer dem Update zustimmt, wird der neue Browser an die Taskleiste geheftet oder ersetzt dort das Icon [...]

2020-06-24T09:03:42+02:00Juni 24th, 2020|Allgemein|Kommentare deaktiviert für Edge Chromium jetzt auch für Windows 7 und 8.1
Weiterlesen

Google schließt vier Sicherheitslücken in Chrome

In Version 83 von Googles Browser Chrome wurden erneut mehrere schwerwiegende Sicherheitslücken entdeckt, weshalb der Suchmaschinen-Konzern jetzt ein Update für seinen Browser Chrome veröffentlicht hat, das vier Sicherheitslücken schließt. Nutzer sollten das Update möglichst schnell installieren, sagt unter anderem auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Gefährdet sind nach Informationen aus dem Google Blog die Chrome-Versionen unter Windows, aber auch unter Linux und dem Apple-Betriebssystem MacOS. Die Sicherheitslücken betrafen die Spracherkennung, das Modul WebView, das zum Anzeigen von Internetseiten nötig ist, und die JavaScript-Implementierung. Angreifer konnten dadurch beliebigen Programm-Code ausführen. Die Version 83.0.4103.106 ist die erste ohne die Sicherheitslücken. Ältere Versionen sollten schnellstmöglich aktualisiert werden. Hier die Download-Links für die verschiedenen Updates: Google Chrome (64 Bit) herunterladen Google Chrome (32 Bit) herunterladen Google Chrome Portable herunterladen Google Chrome (Mac) herunterladen Google Chrome (Linux) herunterladen

2020-06-18T09:12:25+02:00Juni 18th, 2020|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Google schließt vier Sicherheitslücken in Chrome
Weiterlesen

Thunderbird 68.9.0 schließt fünf Sicherheitslücken

Mozilla bietet mit Firefox seit vielen Jahren einen der beliebtesten Web-Browser, aber um das zweite Softwareprodukt des Hauses wurde es ruhiger. Zwar ist die Nachfrage nach Mozillas Email-Programm Thunderbird durch den Smartphone-Boom inzwischen merklich zurückgegangen, aber die kostenlose Outlook-Alternative hat bis heute noch viele Fans. Mit dem Update auf die Version 68.9.0 gibt es jetzt ein aktuelles Update für die Software. Geschlossene Sicherheitslücken Aus Sicherheitsgründen sollten Thunderbird-Nutzer dringend auf die neue Version 68.9.0 updaten, denn mit der werden insgesamt fünf Sicherheitslücken, deren Gefährlichkeit mit "hoch" eingeschätzt wurde, geschlossen. Außerdem behebt das Update mehrere Probleme in Thunderbird, zum Beispiel beim Kalender und in der Suchfunktion des Mailers. Um das Programm upzudaten, klicken Sie genau wie beim Firefox im Menü auf Hilfe, Über Thunderbird und folgen den Hinweisen dort. Wenn die neue Version bei Ihnen noch nicht verfügbar ist, laden Sie sie über die folgenden Links virenfrei herunter: Download: Mozilla Thunderbird (Windows) Download: Mozilla Thunderbird Portable (Windows) Download: Mozilla Thunderbird (Mac) Download: Mozilla Thunderbird (Linux)

2020-06-08T00:19:08+02:00Juni 8th, 2020|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Thunderbird 68.9.0 schließt fünf Sicherheitslücken
Weiterlesen

Edge 83 synchronisiert jetzt auch Erweiterungen

Im Januar 2020 stellte Microsoft die erste Fnalversion seines neuen Browser Chromium-Edge zum Download bereit – aber wirklich fertig war das Prestigeprojekt von Microsoft da noch lange nicht. Erst mit der neuen Version 83, die aktuell über die Update-Funktion auf allen Computern verbreitet wird, ist der Browser endlich nahezu komplett. Synchronisierung aktivieren Weil Microsoft seinen neuen Edge nicht nur für Windows 10, sondern auch für Mobilgeräte, Apple-Rechner und sogar noch für ältere Windows-Versionen inklusive Windows 7 anbietet, verspricht der Browser von Microsoft erstmals ein geräteübergreifendes Nutzungserlebnis. Deshalb war die Synchronisierung der Browser-Daten und Einstellungen von Anfang an eine Schlüsselfunktion. Mit der aktuellen Version Edge 83 kann der Konzern jetzt einen weiteren dieser offenen Punkte abhaken: die Synchronisierung installierter Erweiterungen.. Microsoft vermerkt in den Release Notes zu Edge 83, dass sich Erweiterungen nun auf allen Geräten mit Edge synchronisieren lassen, was sowohl für die Erweiterungen aus dem Microsoft Store als auch für Funktionen aus dem Chrome Store gilt. Man klickt auf das Profilbild, Profileinstellungen verwalten und Synchronisieren,  wo man dann die Synchronisierung aktivieren kann. Dabei sollte man in jedem Fall sicherstellen, dass diee Schaltfläche "Erweiterungen" aktiviert ist.

2020-05-28T10:32:05+02:00Mai 28th, 2020|Browser|Kommentare deaktiviert für Edge 83 synchronisiert jetzt auch Erweiterungen
Weiterlesen

Chrome-Update schließt drei Sicherheitslücken

Nutzer des Google-Browsers Chrome unter Linux, macOS oder Windows sollten jetzt die aktuelle Version  81.0.4044.138 installieren. Mit diesem Update haben die Entwickler insgesamt drei Schwachstellen aus der Welt geschafft. Aus einer Warnmeldung von Google geht hervor, dass die Bedrohung als "hoch" eingestuft wurde. Wie üblich nennt Google nur wenige Details zu den Lücken, damit potentielle Angreifer möglichst wenig Ansatzpunkte haben. Nur wenige Details veröffentlicht Die wenigen Angaben lassen vermuten, dass Angreifer durch das erfolgreiche Ausnutzen einer der Schwachstellen (CV-2020-6831) einen Speicherfehler (Stack Buffer Overflow) hervorrufen könnten, was normalerweise zu einem Absturz der Anwendung führt. Häufig gelangt so aber auch Schadcode auf die betroffenen Rechner. Das Einspielen des Browser-Updates Unter den Betriebssystemen macOS und Windows läuft die Aktualisierung automatisch. Wenn das Dreipunktmenü oben rechts eingefärbt dargestellt wird, müssen Sie Chrome zum Abschluss der Installation nur noch neu starten.

2020-05-07T10:16:05+02:00Mai 7th, 2020|Browser, Sicherheit|Kommentare deaktiviert für Chrome-Update schließt drei Sicherheitslücken
Weiterlesen

Update gegen 2 Zero-Day-Lücken im Firefox

Von der Mozilla Foundation wird auf zwei als 'kritisch' eingestufte Sicherheitslücken in den aktuellen Versionen ihres Webbrowsers Firefox hingewiesen. Über die Zero-Day-Lücken Beide Schwachstellen gehören zum sogenannten 'use-after-free'-Typus und können dazu missbraucht werden, untergeschobenen Code eines Angreifers im Browser auf dem Rechner des Benutzers auszuführen. In einer Mitteilung  von Mozilla heißt es dazu, man beobachte schon Angriffe auf den Browser, die diese Lücken ausnutzen. Daher sollten die Benutzer möglichst umgehend ein vom Hersteller bereit gestelltes Update einspielen. Für die zwei Lücken wurden die CVE-Nummern 2020-6819 und 2020-6820 vergeben. In der Version 74.0.1 des aktuellen Firefox-Browsers beziehungsweise in der Version 68.6.1 der ESR-Variante von Firefox sind beide Schwachstellen in allen Betriebssystemen (Windows, macOS und Linux) schon abgedichtet. Die Entdecker der Lücken Gefunden hatten die Lücken Francisco Alonso von revskills und Javier Marcos von JMPSec. Die Probleme betreffen mögliche Race Conditions bei Nutzung des nsDocShell-Destruktors oder beim Umgang mit einem ReadableStream. Auf Twitter weist Alonso auch darauf hin, dass möglicherweise auch andere Browser davon betroffen sind. Aktuell gibt es noch keine weitergehenden Details zu den zwei Schwachstellen, die sollen aber kurzfristig folgen. Schon im Januar dieses Jahres gab es eine kritische Lücke in Mozillas Firefox.

2020-04-05T10:36:16+02:00April 5th, 2020|Browser, Sicherheit|Kommentare deaktiviert für Update gegen 2 Zero-Day-Lücken im Firefox
Weiterlesen

Vivaldi 2.10 verbirgt seinen User Agent String

Soeben ist das letzte Vivaldi-Update im Jahr 2019 erschienen: Mit Vivaldi 2.10 wird vor allem die Web-Kompatibilität des alternativen Browsers verbessert. Vivaldi sollte ja eigentlich mit allen Websites vernünftig arbeiten und sie fehlerfrei anzeigen, denn auch dieser Browser basiert auf der v-Engine. Aber trotzdem seien viel zu oft Probleme mit "inkompatiblen Websites" aufgetreten. Der Grund für entsprechende Warnhinweise ist der "User Agent": Vivaldi gibt sich gegenüber den Websites bisher über diesen String als solcher zu erkennen, und wird daher gelegentlich wegen angeblicher Kompatibilitätsprobleme schlicht blockiert. Damit wollen die Seitenbetreiber wohl sicherstellen, dass ihr Angebot mit einem bestimmten Browser aufgerufen wird, mit dem es einwandfrei funktioniert. Denn viele Seitenbauer denken zwar beim Erstellen ihrer Sites an Google Chrome, lassen dabei aber Browser Vivaldi, Opera & Co., die ebenfalls den Chrome-Unterbau verwenden und Websites ähnlich rendern, einfach links liegen. Häufiger geschehe diese Browser-Blockierung durch "Mitbewerber, Rivalen und mächtige Tech-Firmen", meint erklärte Vivaldi-Chef Jon von Tetzchner. "Browser im Jahr 2019 zu blockieren, hat keine technischen Vorteile mehr, und hatte es nie". Deshalb verbirgt Vivaldi jetzt den User-Agent Um zu erreichen, dass Vivaldi-Nutzer keine Warnhinweise mehr sehen, die ihren Browser bemängeln, haben sich die Entwickler jetzt zu diesem Schritt entschlossen. In Version 2.10 taucht das Wort "Vivaldi" nicht mehr als "User Agent" [...]

2019-12-19T13:03:27+02:00Dezember 19th, 2019|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Vivaldi 2.10 verbirgt seinen User Agent String
Weiterlesen

Sicherheitsupdate für Chrome 76 mit vier Security-Fixes

Soeben hat Google seinen Browser Chrome 76 im Stable Channel auf die Version 76.0.3809.100 aktualisiert. Das Update des Herstellers umfasst dabei insgesamt vier Patches gegen Sicherheitslücken. In seinen Release-Notes geht Hersteller Google konkret auf zwei dieser von externen Forschern gemeldete Sicherheitslücken ein, von denen der Browserhersteller die eine mit dem Bedrohungsgrad "Hoch", die andere mit "Mittel" eingestuft hat. Noch keine Details vor den Updates Weitere Einzelheiten zu den Sicherheitslücken CVE-2019-5868, CVE-2019-5867 und den anderen Fixes will Google nach den Release Notes aus Gründen der Sicherheit erst dann veröffentlichen, wenn eine deutliche Mehrheit der Nutzer das Update erhalten und eingespielt hat. Das Update soll in den kommenden Tagen und Wochen wie gewohnt automatisch an den Browser ausgeliefert werden, wenn der Benutzer die automatische Update-Funktion aktiviert hat. Alternativ können Chrome-Nutzer den Update-Prozess natürlich auch manuell anstoßen.

2019-08-10T08:28:06+02:00August 10th, 2019|Browser|Kommentare deaktiviert für Sicherheitsupdate für Chrome 76 mit vier Security-Fixes
Weiterlesen

Putty-Update 0.71 schließt Sicherheitslücken

Kaum ein Webworker, der nicht den SSH-Client Putty in seinem Werkzeugkasten hat und auch regelmäßig nutzt – und sei es als Teil von Drittanwendungen wie zum Beispiel Filezilla oder WinSCP. Das weit verbreitete SSH-Tool liegt jetzt in einer neuen Version zum Download vor. Die neue Version Putty 0.71 schließt mehrere Sicherheitslücken, die im Rahmen des EU-Bug-Bounty-Programms gefunden worden. Neuer Zufallsgenerator Einer der Fehler in der neuen Putty-Version 0.71 beseitigten Schwachstellen lag laut Changelog im Zufallsgenarator der Verschlüsselungseinheit. Wegen eines Pufferüberlaufs könnten zuvor ausgegebene Zufallszahlen erneut recycelt werden. In Version 0.71 wurde der komplette Zufallszahlengenerator durch einen neuen auf Basis von Schneier und Fergusons Fortuna-Design ersetzt, womit der betroffene Code vollständig ausgetauscht wurde. Auch ein Man-In-The-Middle-Angriff beim RSA-Schlüsseltausch wird in der neuen Version des SSH-Clients verhindert – ebenso die Kompromittierung einer Putty-Installation durch bösartige Hifedateien im Putty-Stammverzeichnis, die allerdings bei mit dem Windows-msi-Installer installierten Versionen nicht möglich war. Updates von Drittanwendungen mit Putty Auch vom FTP-Client Filezilla gibt es mit der Version 3.41.2 schon ein Update, das auch dort diese Schwachstellen behebt. Für WinSCP gibt es leider noch keine Aktualisierung, allerdings wird auch dort schon an der Behebung der Fehler gearbeitet .

2019-03-20T11:13:05+02:00März 20th, 2019|Coding, Webwerkzeuge|Kommentare deaktiviert für Putty-Update 0.71 schließt Sicherheitslücken
Weiterlesen
Nach oben