Suchergebnisse für Sicherheitslücke | Seite 3

Mittwoch, 15. Feb 2023 17:01:40 vor 1 Jahr 01:09 3193 h31225

Visual C++ Runtimes ohne Updates
Erst seit den #Microsoft Visual C++ Runtimes Versionen (2015-2022) sind die Bibliotheken abwärtskompatibel, d.h. wenn man die aktuellen Runtimes (diese enthalten aktuelle Sicherheitsupdates) herunterlädt und auf den PCs und Terminalservern installiert, ist das Zielsystem - was diese Runtimes betrifft, frei von bekannten Sicherheitslücken. Es ist dann auch nur die eine Version (32 und 64-Bit) installiert. Für alle älteren Versionen (2005/2008/2012/2013) sind im schlimmsten Fall von gleichen Versionen (gleich Jahreszahl) zig Builds installiert. Für diese Versionen galt bisher: Die alten Builds konnten deinstalliert werden, nur das aktuelle Build (letzte 5 Ziffern der Version zu der Jahreszahl) musste auf dem Windows System, um Anwendungsprogramme, die darauf setzten zu betreiben. Installiert sein muss immer die 64-Bit Version UND die 32-Bit-Version der Runtime. Keine der oben angegebenen Versionen, einschließlich 2013 bekommt aktuell noch Sicherheitsupdates. Diese Versionen können für Angriffe genutzt werden, wenn sie solche haben und installiert sind. Ende der Sicherheitsupdates für Visual Studio 2013 war im Januar 2023 Ein aktueller Selbstversuch hat nun gezeigt, dass ich in meinem Umfeld keine Software mehr auf Server und Endgeräten habe, die eine der oben genannten, alten Runtimes braucht. Im Selbstversuch habe ich alle alten Runtimes deinstalliert (das funktioniert ohne Neustart) und danach die komplette, verwendete Software auf Lauffähigkeit überprüft. Ergebnis: Lief noch alles 😎. Fazit: Zumindest für lokale Rechner mag jeder für sich selbst entscheiden, ob er auch den Feldversuch macht. Sicher ist, das ein so bereinigtes System deutlich sicherer vor Angriffen ist. Wenn im Test eine Software nicht startet, muss man die angezeigte Runtime-Meldung zum…

Dienstag, 14. Feb 2023 16:45:10 vor 1 Jahr 02:02 124633 h36326

Windows Edge1 T

Microsoft Edge ab März mit Adobe Freemium
Wie Microsoft Anfang Februar 2023 mitteilte, wird der in #Edge integrierte Open-Source PDF-Betrachter ab März 2023 durch ein Adobe PDF Reader Lite Freemium Modul ersetzt und der integrierte PDF-Betrachter dadurch ersetzt. Ähnlich zum installierbaren Adobe Acrobat Reader DC werden dann innerhalb des Moduls die Premium-Funktionen, die es nur im Abo gibt, von Adobe beworben. Microsoft Edge stellt damit Werbung nicht nur für eigene Produkte, sondern Lösungen von Drittanbietern dar. Welche Daten dabei an Adobe Inc. USA übertragen werden, ist noch unklar. Außerdem wächst der Bedarf an Datei- und Arbeitsspeicher für das Produkt und die Dienste (z. B. Adobe Updater) an. (Quelle: Microsoft Website) Kommentar: Oh no!. Da bin ich gerade froh, das Adobe Acrobat Reader DC (alias: dumb crap) von allen Systemen entfernt zu haben und somit 95% Sicherheitslücken und veraltete Versionen weniger, da baut Microsoft eine Freemium-Version in den eigenen (in weiten Teilen GPL-lizensierten) Browser ein. Nun haben wir endlich wieder einen Grund Edge ganz aus dem System zu entfernen und im schlimmsten Fall nur die Edge Runtime (die den PDF-Mist hoffentlich nicht mitschleift) für einzelne Apps zu verwenden. Ich hoffe, das Vorhaben wird nicht Bestand haben oder eine Option (oder Life-Hack) geben, die PDF-Engine zu deaktivieren. Ich werde bei Chrome Enterprise und dem integrierten Open-Source PDF-Betrachter in diesem Browser bleiben und überlege, ob ich den Edge rückstandsfrei entfernen kann auf allen betreuten Systemen. Die Aufdringliche Werbung dafür nervt ja eh und dass man laufend dagegen neue Policies aktivieren muss! Der Kommentar im Kasten spiegelt die Meinung der Redaktion.…

Samstag, 28. Jan 2023 20:35:55 vor 1 Jahr 49s 731593 h33927

Office endoflife Sicherheitsupdates2 W

Office 2021 eol nur 1 Jahr nach Office 2016/2019
Wie viele von uns wissen, werden am 14. Oktober 2025 mit dem Patchday das letzte Mal Sicherheits-Updates für die Kaufversionen sowie die Volumenlizenzen veröffentlicht. Danach ( #endoflife ) ist bei diesen Produkten damit zu rechnen, dass nicht mehr geschlossene Sicherheitslücken für das Einschleusen von Schadsoftware benutzt werden. Zu allem Übel kürzen Cyber-Versicherungen dann rigoros die Leistungen im Schadenfall, weil unsichere Produkte verwendet werden. Im Schlimmsten Fall bleibt die Leistung wegen Vorsätzlichkeit ganz aus. Was viele noch nicht wussten: Microsoft hat mit den Kauf-Versionen von Office 2021 erneut den erweiterten Support-Zeitraum gekürzt (das ist der Zeitraum, nach dessen Ablauf keine #Sicherheitsupdates mehr erscheinen). Von 7 Jahren bei Office 2019 auf 5 Jahre. Office 2021 bekommt damit ab 13. Oktober 2026! - knapp ein Jahr nach Office 2019 und 2016 keine Updates mehr. [time_until date="13.10.2026"] Jetzt noch Kauflizenzen zu erwerben führt dazu, dass die Anschaffung nicht mal mehr ganz im Rahmen der AfA abgeschrieben werden kann. Insbesondere bei Gebraucht-Lizenzen sei hier noch mal die Warnung formuliert, dass Fälle bekannt sind, wo Microsoft strafrechtlich gegen Käufer = Lizenznehmer vorgegangen sind. Die für den Administrator komfortabelste und für den Geschäftsführer mit den wenigsten Risiken verbundene Lösung bleiben damit die Microsoft 365 Mietpläne.

Montag, 16. Jan 2023 08:40:23 vor 1 Jahr 57s 731392 T34028

Office endoflife Hafnium Sicherheitsupdates2 W

Office 2013 ab April und 2016/19 ab Oktober 2023 eingeschränkt nutzbar
Ab April 2023 lassen sich alle Office-Versionen bis einschließlich 2013 und ab Oktober auch 2016 und 2019 nicht mehr an Online-Dienste von Microsoft anbinden. Bereits bestehende Verbindungen lassen sich nicht mehr nutzen. Betroffen sind alle, die derzeit noch die Kaufversionen von Microsoft Office einsetzen und beispielsweise nur Exchange online Plan 1 gemietet haben. Outlook kann dann beispielsweise nicht mehr auf das Online-Postfach zugreifen. Auch Excel, Word, Powerpoint (und Access) können nicht mehr auf Online-Speicherorte wie Onedrive for Business oder Sharepoint zugreifen und dort Dokumente teilen/speichern/aufrufen. Ebenfalls im April enden die #Sicherheitsupdates für Exchange Server 2013. Dieser ist bereits jetzt ein Sicherheitsrisiko, da nicht alle Sicherheitslücken ( siehe #Hafnium ) für dieses Produkt geschlossen werden. Zudem kann er nicht hybrid betrieben werden. #endoflife - Wenn Sie Office-Kauf-Versionen einsetzen (erkennbar an der Jahreszahl hinter dem Namen) und die Zahl nicht 2021 ist, müssen Sie handeln, um weiterhin z. B. mit Outlook auf Ihre E-Mails im Exchange online zugreifen zu können. Ansonsten bleiben Ihre E-Mails nur über OWA (im Chrome für Enterprise Browser) erreichbar. Eine Möglichkeit ist die Umstellung der Exchange online-Pläne auf den Microsoft 365 Business Premium Plan (der neben den installierbaren Office-Anwendungen auch Mailarchiv, E-Mail- und Endgerät- Virenschutz, die Zugriffslizenz für Azure Virtual Desktop und 1TB Cloudspeicher pro User enthält (für die Nutzung von Onedrive für Business und Sharepoint als Ablösung des Fileservers)

Sonntag, 15. Jan 2023 13:56:53 vor 1 Jahr 01:04 412292 h39629

Server endoflife Sicherheitsupdates19 h

Ende der Sicherheitsupdates Server 2012 R2
Der 10. Oktober 2023 ist der letzte "Patchday", an dem Microsoft #Sicherheitsupdates #endoflife für sein Server-Betriebssystem "Windows Server 2012 R2" ausrollt. Danach ist mit mehr oder weniger kritischen Sicherheitslücken zu rechnen, die nicht mehr geschlossen werden. Diese Server sind dann - nicht nur als Terminalserver - angreifbar und werden von Kriminellen genutzt werden, um Schadsoftware zu installieren und Daten- und Identitätsdiebstahl zu betreiben. [next_event date="10.10.2023"] Bin ich betroffen? Server 2012 R2 sind in der Regel erkennbar an der türkisfarbenen Taskleiste mit Startknopf links: Windows Server 2012 R2 Taskleiste Was kann ich tun? Neuinstallation der Server auf Server 2019 und Umzug der Daten und Programme sind empfehlenswert. Server 2016 ist auch möglich, die Sicherheitsupdates enden hier aber bereits im September 2025 - also nur zwei Jahre später. Bei Verwendung der Server On-Premises müssen dazu meist neue CALS und teure Server-Betriebssystem-Lizenzen (meistens in der Datacenter-Edition) angeschafft werden. Nur wenn Sie Ihre VM-Hosts bereits mit einer Server 2019 oder neuer Lizenz angeschafft haben, ist die Migration auf eines der Betriebssysteme ohne weitere Lizenzkosten. Das gilt auch nur dann, wenn die Windows Server CALS ebenfalls auf eins der neueren Betriebssysteme lauten. Zusätzlich müssen bei Terminalservern die RDS-CALs zum neuen Betriebssystem passen - ansonsten neu angeschafft werden. Wenn Sie die betroffenen bereits in Microsoft Azure (IaaS) betreiben, können Sie auf den Server 2012 R2 Betriebssystemen noch weiter drei Jahre Updates installieren, da im Rahmen der Cloud-Miete die sonst kostenpflichtigen ESU Updates bezogen werden können. Eine Modernisierung ist dennoch empfehlenswert, um die Update-Handlungen zu vereinheitlichen. Zumal…

Samstag, 17. Dez 2022 15:48:10 vor 2 Jahren 42s 141064 h30330

Sicherheit4 W

Sicherheitslücken in veeam geschlossen
Veeam Backup & Replication Server können für Angriffe genutzt werden, wenn sie nicht auf die aktuelle Version gebracht wurden. Angreifer könnten Schadcode ausführen. Zwei kritische Sicherheitslücken (CVE-2022-26500, CVE-2022-26501) sind genannt. Betroffen ist der "Veeam Distribution Service" auf TCP-Port 9380. Ein Angreifer kann ohne Authentifizierung zugreifen. Der Hersteller schreibt, dass Versionen 10a build 10.0.1.4854 P20220304 und 11a build 11.0.1.1261 P20220302 gegen die Attacken sicher sind.Wer noch die Ausgabe 9.5 (z. B. 9.5 Update 4) im Einsatz hat, muss auf eine aktuelle Version upgraden. Die veeam-Version wird Ihnen beim Start der Konsole oder in der Systemsteuerung unter Programme und Funktionen angezeigt. Für ein Upgrade auf die aktuelle Version benötigen Sie einen aktiven Wartungsvertrag und gültige Zugangsdaten zum veeam-Portal. Übrigens: Wer seine Server schon in die Microsoft Azure (IaaS) Cloud umgezogen hat, ist von den Problemen nicht mehr betroffen, denn der Einsatz einer Datensicherungs für On-Premises entfällt mit 100% Cloud Migration. Natürlich kümmert sich Microsoft auch bei der SaaS Variante um eine Datensicherung.

Freitag, 21. Okt 2022 13:29:43 vor 2 Jahren 40s 515712 h32831

Sicherheit2 M

Libreoffice 7 Sicherheitslücke
Die meisten Firmen setzen auf die Standardlösung: Microsoft 365 (oder Microsoft Office). Dabei ist man nur bei der Miet-Variante mit bester Sicherheit und schnellen Updates versorgt. Bei den Kaufvarianten (z. B. Office 2021 Home & Business) gibt es weder effizienten Makroschutz, noch neue Funktionen und Sicherheitsupdates nur alle 4 Wochen am Patchday. Diese wiederum kann man dann auch nicht zentral verteilen. Ungeachtet davon setzen einige von Ihnen Libreoffice (oder zumindest den Writer davon) ein, um ausfüllbare PDF-Formulare zu erstellen (Meines Wissens die einzige kostenlose Software, die das kann). Wenn Sie Libreoffice in Ihrem Software-Inventar finden, aktualisieren Sie bitte auf die Version 7.4.2.3 (bestenfalls in der x86_64 Variante). Ansonsten kann durch simplen HTML-Code, der ein einem Dokument ist, Schadcode auf die Zielsysteme eingeschleust werden. Libreoffice hat leider keinen automatischen Updater integriert, daher ist die Aktualisierung von Hand vorzunehmen Makros und Sicherheitslücken in Makros gibt es nicht nur in Microsoft Office, sondern auch in Libreoffice!https://www.libreoffice.org/about-us/security/advisories/cve-2022-3140/

Sonntag, 09. Okt 2022 15:08:13 vor 2 Jahren 01:46 32431 T35332

Software PDF242 W

PDF24 Creator sinkt in Bewertung
[Update 08.06.2024] - es gibt wieder eine aktuelle 9.x Version in 64-Bit und ohne Java/Webview). Seit Version 11.2 stellt der Hersteller der beliebten PDF-Drucker-Software (die mit dem Schaf) einige der in der GUI integrierten Funktionen auf JAVA um. Bis Version 11.1.0 konnte man das JRE- Unterverzeichnis (rund 200 MB), den WebView2-Ordner (rund 400 MB) löschen und viele Funktionen wie die Datei-Tools (im Prinzip alles außer der Toolbox, die für die meisten Nutzer im Umfeld unserer Redaktion keine nennenswerten Zusatzfunktionen enthielt) trotzdem nutzen. Update mit Version 11.10.0: Nun kann man Webview2 bei der Installation abwählen. Ist diese Komponente bereits in Windows aktiv, wird diese verwendet. Das hat den Vorteil, dass die Installation von Microsoft automatisch aktualisiert wird und die Installationsdateien des Edge Browsers verwendet. Es gibt somit keine doppelten Bibliotheken mehr im System. Liebe Entwickler von #PDF24 Creator: Jetzt braucht Ihr nur noch JAVA ebenfalls optional zu machen. Wenn man JAVA abwählt, muss die Verbinden-Funktion wieder QPDF verwenden und am Besten das Toolbox Symbol ausgeblendet werden. Dann habt Ihr auch wieder die Gunst aller Anwender, die so ticken die Redaktion - und unsere 10 Punkte Bewertung wieder. Seit Version 11.2 wird auch für Funktionen wie die Datei-Tools JAVA genutzt. Löscht man den enthaltenen JRE-Ordner, muss nun Adoptium Temurin JAVA Runtime 19/64-Bit installiert sein und alle drei Monate von Hand aktualisiert werden. Immerhin funktioniert OpenJDK (Adoptium Temurin) und es muss kein lizenzpflichtiges JAVA von Oracle sein. Gleiches gilt für die WebView2 Engine – und das obwohl Microsoft diese, wenn Edge installiert ist,…

Montag, 03. Okt 2022 20:11:16 vor 2 Jahren 25s 32195 T26433

Sicherheit6 T

Erneut Zero-Day Lücken in Exchange
Wieder wurden Sicherheitslücken in Exchange Servern 2013,2016 und 2019 entdeckt. Betroffen sind mit Sicherheit auch ältere Versionen - dafür werden aber keine Patches mehr bereitgestellt. Microsoft hat die Sicherheitslücken (CVE-2022-41040, CVE-2022-41082) bestätigt. Hinweis: Die Online-Version im Rahmen von Microsoft 365 / Exchange online ist laut Microsoft nicht betroffen. Da es aber für die Exchange Server Versionen 2013-19 noch keinen Patch gibt und die Lücken bereits von Kriminellen ausgenutzt werden, stellt Microsoft einen Notfall-Patch bereit, der unbedingt von Administratoren auf betroffenen Servern installiert werden sollten. https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/Microsoft Workaround gegen Sicherheitslücke und Anleitung

Sonntag, 18. Sep 2022 10:56:08 vor 2 Jahren 34s 22016 h33734

Sicherheit2 W

UEFI-Sicherheitslücke in Notebooks und PCs
vor einigen Monaten sorgte eine kritische Sicherheitslücke in lenovo Consumer Notebooks für Handlungsbedarf. Nun wurden auch Sicherheitslücken in den UEFI (BIOS) anderer Hersteller entdeckt und es sind auch neuere Thinkpads und auch die bekannte Tiny ThinkCentre Reihe betroffen. Sofern Sie die Windows 10 App "lenovo Vantage" installiert und in Betrieb genommen haben (Bedingungen bestätigen beim ersten Aufruf), sollte die App über das veerfügbare Sicherheitsupdate informieren und dringend die Installation empfehlen. Wenn nicht, oder wenn nur SystemUpdate installiert ist, aber nicht regelmäßig nach Updates sucht, stehen die betroffenen Modelle in der folgenden Liste (hier gefiltert auf Thinkpads - suchen Sie nach ThinkCentre und Sie finden auch die Tiny Modelle, die aktualisiert werden müssen. lenovo Multi Vendor BIOS Security Vulnerabiliies Patch Listehttps://support.lenovo.com/de/en/product_security/LEN-94953#ThinkPad

Freitag, 15. Jul 2022 16:53:17 vor 2 Jahren 35s 223065 h29235

Hardware2 M

Lenovo UEFI Firmware-Lücken nicht in Thinkpads
Wieder einmal haben Sicherheitsforscher in zahlreichen lenovo Notebook-Modellen kritische Sicherheitslücken entdeckt, die durch Firmware-Updates des Herstellers geschlossen wurden. Die gute Nachricht. Im geschäftlichen Umfeld setzen wir ausschließlich Notebooks der "ThinkPad" Serien ein, die nicht nur bessere Verarbeitung und Robustheit aufweisen, sondern auch wertige Chipsätze und im Wesentlichen gut verarbeiteter Firmware. Zwar kann bei einem Firmware-Update auch hier was schief laufen - dafür gibt es aber die Zaubertaste, die so manchen Technikereinsatz/Mainboardtausch überflüssig macht. Fazit Wer Thinkpads (oder Thincentre Tiny) Geräte einsetzt, braucht keine Sicherheitslücken zu schließen und ist von den Lücken nicht betroffen. Wer dennoch die Consumer-Serie (ThinkBook und "Yoga ohne Thinkpad" einsetzt, kann im folgenden Artikel lesen, was zu tun ist https://support.lenovo.com/de/de/product_security/len-91369lenovo Supportseiten für Consumer Geräte

Donnerstag, 23. Jun 2022 17:01:42 vor 2 Jahren 54s 143842 T40036

Sicherheit OpenAudit Sicherheitslücken Wordpress3 W

Sicherheitslücken in PHP 7 – 8.1
Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos...) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit vor Angriffen gegen diese Lücken abgesichert sind . In den aktuell von der Community unterstützten Versionen von PHP wurden einige kritische #Sicherheitslücken geschlossen (CVE-2022-31625, CVE-2022-31626). Wer Webserver im Internet betreibt oder wie üblich bei einem Provider hosten lässt, sollte prüfen, ob er die derzeit empfohlene Version 8.0.20 im Einsatz hat, ansonsten auf die Version aktualisieren. Viele Webseiten basieren auf #Wordpress, dem quelloffenen Content-Management System. Aber auch Joomla oder Typo3 setzen PHP und eine MySQL/MariaDB als Datenbank ein. Durch die Lücken werden diese Webserver angreifbar und könnten unter fremde Kontrolle gebracht werden. Das quelloffene #OpenAudit Classic setzt ebenfalls PHP und die MariaDB ein. Das Risiko ist hier zwar deutlich geringer, da die Webserver nicht im Internet erreichbar sind, eine Aktualisierung ist aber empfohlen. Auf unseren Downloadquellen ist ab Version 2022-06-xx die aktuelle PHP Version 8.0.20 enthalten. Apache und MariaDB sind ebenfalls auf dem jeweils aktuellen Stand. Wer noch alte PHP Versionen wie Version 5.x einsetzt, sollte das nicht im Internet tun. In einem Intranet oder Extranet ist das Risiko aufgrund der eingeschränkten Teilnehmerzahl zwar geringer, aber grundsätzlich vorhanden. Angreifer müssten sich dazu zunächst im Intranet/Extranet anmelden.

Notwendige	(Pflichtfeld: kann nicht abgewählt werden. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche ermöglichen. Die Webseite kann ohne diese Cookies nicht funktionieren. )
Komfort	(Optional: Komfort-Cookies ermöglichen unserer Webseite, sich an Informationen zu erinnern, wie sich die Seite verhält, z. B. dass Sie bereits für eine Umfrage oder einen Termin abgestimmt haben.)