Update

Google Chrome und Microsoft EDGE – neues Update schließt mehrere Sicherheitslücken

von

Google Chrome und Microsoft EDGE – neues Update schließt mehrere Sicherheitslücken – Es gibt es neues Update für den Google Chrome und den EDGE Browser und dieser schließt mehrere Lücken, die als recht kritisch eingestuft werden. Beide Browser basieren auf der gleichen Technik und sind daher auch alle beiden von diesen Sicherheitsproblemen betroffen. Konkret betrifft die Lücke alle älteren Versionen der beiden Browser:

Google Chrome < 93.0.4577.82
Microsoft Edge < 93.0.961.47

Das Bundesamt für Sicherheit in der Informationstechnik schreibt dazu:

In Google Chrome und dem darauf basierenden Browser Microsoft Edge wurden mehrere Schwachstellen
geschlossen. Die möglichen Auswirkungen wurden von beiden Herstellern nicht näher beschrieben. Zu
zwei dieser Schwachstellen ist jedoch bekannt, dass sie bereits ausgenutzt werden. Zur
erfolgreichen Ausnutzung genüg es in der Regel, eine bösartig gestaltete Webseite zu öffnen oder
einen Link zu einer solchen Seite anzuklicken. Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten
Sicherheitsupdates, um die Schwachstellen zu schließen.

Sowohl Google als auh Mircosoft haben bereits neue Updates zur Verfügung gestellt um diese Lücken zu schließen. In der Regel werden diese Updates auch automatisch installiert und die Lücken sollten im besten Fall bereits auf den meisten Systemen geschlossen sein. Allerdings kann es icht schaden zu prüfen, ob der eigenen Browser bereits auf der neusten Version läuft und im Zweifel das Update nochmal manuell zu installieren.

Motorola und Android 11 – bekannte Fehler und Bugs (und wie man sie behebt)

von

Motorola und Android 11 – bekannte Fehler und Bugs (und wie man sie behebt) – Bei Motorola haben mittlerweile eine ganze Reihe von Smartphones das Update auf die neue Android 11 Version bekommen. Leider sind dabei auch einige Probleme aufgetreten und es gibt einige Fehler, die es in früheren Android Versionen nicht gab. Bei piunikaweb hat man einen schönen Überblick zusammengestellt, welche Motorola Modelle Android 11 Probleme haben und teilweise auch, wie man diese beheben kann.

  • den Überblick über Android 11 Probleme gibt es hier (relativ weit unten in der Tabelle)

Motorola: diese Smartphones bekommen Android 11

Motorola hat sich bisher sehr zurückgehalten im Bereich Android 11. Während andere Hersteller ihre Android 11 Updates bereits eingeplant haben oder sogar Android 11 bereits ausgerollt wurde, gibt es von Motorola in diese Richtung bisher eher wenig. Nun hat der Hersteller zumindest in paar Details veröffentlicht. In einem Blockpost gibt es eine Liste der Geräte, die Android 11 erhalten sollen. Allerdings gibt auch hier Motorola keine Garantie, dass dies wirklich so kommt.

UPDATE: Die ersten Nutzer bestätigen, dass das Android 11 Update für das Moto G rollt – zumindest in den USA. Es gibt eine neue Firmware mit der Nummer RPJ31.Q1-53-12 und dem Sicherheitspatch von Februar. Ob der Rollout auch in Deutschland schon läuft, konnte bisher noch nicht bestätigt werden. In den USA läuft mittlerweile auch der Rollout für das Moto G Power.

Das Unternehmen schreibt als Disclaimer dazu:

The information contained herein is provided for information purposes only and is intended only to describe Motorola Mobility’s current plans regarding potential upgrades or updates to the operating systems on its Android-powered devices and is, therefore, subject to change. The information communicated is not a commitment or an obligation to deliver any product, product feature, software upgrade or functionality and Motorola Mobility reserves the right to change the content and timing of any product, product feature or software release. The software functionality and features provided by a specific version of the Android operating system may vary by device and manufacturer.   

Das dürfte aber nur die Absicherung sein, für den Fall, dass es gravierende Fehler gibt. Insgesamt kann man wohl davon ausgehen, dass die Modelle der Liste Android 11 im Normalfall bekommen werden.

Motorola: diese Smartphones bekommen Android 11

  • motorola razr 5G
  • motorola razr 2019
  • motorola edge
  • motorola edge+
  • motorola one 5G 
  • motorola one action¹
  • motorola one fusion
  • motorola one fusion+
  • motorola one hyper
  • motorola one vision
  • moto g 5G
  • moto g 5G plus
  • moto g fast  
  • moto g power
  • moto g pro
  • moto g stylus
  • moto g9 
  • moto g9 play
  • moto g9 plus 
  • moto g9 power
  • moto g8 
  • moto g8 power 
  • Lenovo K12 Note

Leider gibt das Unternehmen keinen weiteren Hinweis, WANN die Geräte mit Android 11 rechnen können. Man schreibt nur vage davon, dass es in den kommenden Monaten soweit sein wird.

Die Neuerungen und Verbesserungen in Android 11

  • Konversationsbenachrichtigungen werden in einem speziellen Bereich oben im Schatten mit einem People-Forward-Design und konversationsspezifischen Aktionen angezeigt, z. B. Öffnen der Konversation als Blase, Erstellen einer Konversationsverknüpfung auf dem Startbildschirm oder Festlegen einer Erinnerung.
  • Blasen – Mit Blasen können Benutzer Konversationen im Blick behalten und auf sie zugreifen, während sie auf ihren Geräten Multitasking ausführen. Messaging- und Chat-Apps sollten bei Benachrichtigungen die Bubbles-API verwenden , um dies in Android 11 zu aktivieren.
  • Mit konsolidierten Tastaturvorschlägen können Autofill-Apps und Eingabemethoden-Editoren (IMEs) Benutzern kontextspezifische Entitäten und Zeichenfolgen direkt im Vorschlagsstreifen eines IME sicher anbieten, wo sie für Benutzer am bequemsten sind.
  • Mit der Gerätesteuerung können Benutzer schneller und einfacher als je zuvor auf ihre angeschlossenen Geräte zugreifen und diese steuern. Durch einfaches langes Drücken des Netzschalters können sie jetzt die Gerätesteuerung sofort und an einem Ort aufrufen. Apps können eine neue API verwenden, um in den Steuerelementen angezeigt zu werden..
  • Mithilfe der Mediensteuerung können Benutzer das Ausgabegerät schnell und bequem auf Audio- oder Videoinhalte umstellen, unabhängig davon, ob es sich um Kopfhörer, Lautsprecher oder sogar um ihren Fernseher handelt.
  • Einmalige Berechtigung – Jetzt können Benutzer einer App nur einmal Zugriff auf das Gerätemikrofon, die Kamera oder den Standort gewähren. Die App kann bei der nächsten Verwendung der App erneut Berechtigungen anfordern.
  • Hintergrundspeicherort – Der Hintergrundspeicherort erfordert jetzt zusätzliche Schritte vom Benutzer, die über die Erteilung einer Laufzeitberechtigung hinausgehen. Wenn Ihre App einen Hintergrundspeicherort benötigt, stellt das System sicher, dass Sie zuerst nach dem Vordergrundspeicherort fragen. Sie können dann Ihren Zugriff auf den Hintergrundspeicherort durch eine separate Berechtigungsanforderung erweitern , und das System führt den Benutzer zu Einstellungen, um die Berechtigungsgewährung abzuschließen.
  • Beachten Sie außerdem, dass wir im Februar angekündigt haben, dass Google Play-Entwickler eine Genehmigung für den Zugriff auf den Hintergrundspeicherort in ihrer App benötigen, um Missbrauch zu verhindern. Wir geben Entwicklern mehr Zeit, um Änderungen vorzunehmen, und werden die Richtlinie für vorhandene Apps erst 2021 durchsetzen.
  • Automatisches Zurücksetzen von Berechtigungen – Wenn Benutzer eine App über einen längeren Zeitraum nicht verwendet haben, setzt Android 11 alle mit der App verknüpften Laufzeitberechtigungen automatisch zurück und benachrichtigt den Benutzer. Die App kann die Berechtigungen bei der nächsten Verwendung der App erneut anfordern.
  • Speicherbereich – Wir haben unsere Arbeit fortgesetzt, um App- und Benutzerdaten im externen Speicher besser zu schützen, und weitere Verbesserungen vorgenommen, um Entwicklern die Migration zu erleichtern.
  • Google Play-Systemaktualisierungen – Die im letzten Jahr eingeführten Google Play-Systemaktualisierungen helfen uns, die Aktualisierung der Kernkomponenten des Betriebssystems auf Geräten im Android-Ökosystem zu beschleunigen. In Android 11 haben wir die Anzahl der aktualisierbaren Module mehr als verdoppelt, einschließlich 12 neuer Module, die dazu beitragen, den Datenschutz, die Sicherheit und die Konsistenz für Benutzer und Entwickler zu verbessern.
  • BiometricPrompt-API – Entwickler können jetzt die BiometricPrompt-API verwenden , um die biometrische Authentifizierungsstärke anzugeben, die ihre App zum Entsperren oder Zugreifen auf sensible Teile der App benötigt. Aus Gründen der Abwärtskompatibilität haben wir diese Funktionen gerade zur Jetpack Biometric-Bibliothek hinzugefügt . Wir werden im Verlauf der Arbeiten weitere Updates veröffentlichen.
  • Identity Credential API – Hiermit werden neue Anwendungsfälle wie mobile Führerscheine, nationale ID und digitale ID freigeschaltet. Wir arbeiten mit verschiedenen Regierungsbehörden und Industriepartnern zusammen, um sicherzustellen, dass Android 11 für Digital-First-Identity-Erlebnisse bereit ist.
  • Neue Bildschirmtypen – Gerätehersteller setzen ihre Innovationen fort, indem sie aufregende neue Gerätebildschirme wie Locher- und Wasserfallbildschirme auf den Markt bringen. Android 11 bietet Unterstützung für diese auf der Plattform mit APIs, mit denen Sie Ihre Apps optimieren können. Mit den vorhandenen APIs für Anzeigeausschnitte können Sie sowohl Loch- als auch Wasserfallbildschirme verwalten . Sie können ein neues Fensterlayoutattribut festlegen , um den gesamten Wasserfallbildschirm zu verwenden, und eine neue API für Wasserfalleinsätze hilft Ihnen bei der Verwaltung der Interaktion in der Nähe der Ränder.
  • Unterstützung bei der Anrufüberprüfung – Android 11 unterstützt Anrufüberprüfungs-Apps bei der Verwaltung von Robocalls. Apps können den STIR / SHAKEN-Status eines eingehenden Anrufs (Standards, die vor Spoofing der Anrufer-ID schützen) als Teil der Anrufdetails überprüfen und einen Grund für die Ablehnung eines Anrufs melden. Apps können auch einen vom System bereitgestellten Bildschirm* nach dem Anruf anpassen , damit Benutzer Aktionen ausführen können, z. B. einen Anruf als Spam markieren oder Kontakte hinzufügen.

Mehr dazu: Android 11 Handbuch und Anleitung

Google Chrome und EDGE – Sicherheitspatches schließen große Lücken

von
Smartphone und Internet Sicherheit Symbolbild

Google Chrome und EDGE – Sicherheitspatches schließen große Lücken – In der Chrome Engine sind größere Sicherheitslücken bekannt geworden und betroffen davon sind nicht nur die Chrome Browser selbst, sondern mittlerweile auch der Microsoft EDGE Browser, der auch diese Engine nutzt. Beide Unternehmen haben erfreulicherweise mittlerweile Sicherheitsupdates bereit gestellt, so dass Nutzer sich recht schnell und einfach gegen diese neuen Sicherheitsprobleme absichern können.

Betroffen sind dabei folgende Systeme:

  • Google Chrome < 90.0.4430.85
  • Microsoft Edge < chromium-based 90.0.818.46

Wer eine Version der beiden Browser mit älteren Versionen als diesen beiden nutzt, sollte auf jeden Fall ein aktuelles Update einspielen. In der Regel geschieht das automatisch, es kann aber nicht schaden, dennoch zu kontrollieren, ob man die aktuelle Version ohne die bekannten Lücken nutzt.

Das Bundesamt für Sicherheit in der Informationstechnik schreibt dazu:

Ein Angreifer kann mehrere Schwachstellen in Google Chrome + Microsoft Chrome-based Edge ausnutzen,
um Schadcode auszuführen. Zur Ausnutzung genügt es, eine bösartig gestaltete Webseite zu laden oder
einen Link zu einer solchen Seite anzuklicken. Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten
Sicherheitsupdates, um die Schwachstellen zu schließen.

Chrome und EGDE bieten die Sicherheitsupdates kostenfrei an und bei den meisten Browsern erfolgt die Installation der neusten Version automatisch.

Google Chrome: nächstes Update nach wenigen Tagen

von

Google Chrome: außerplanmäßiges Sicherheitsupdate wird ausgerollt – Google hat vor wenigen Tagen bereits ein Update für den Chrome Browser auf den Markt gebracht. Nun gibt es aber noch eine weitere Version, weil offensichtlich einige weitere schwere Sicherheitslücken aufgetaucht sind, die dringend noch gefixt werden musste. Konkret schreibt das Unternehmen im eigenen Blog von zwei Lücken, die mit diesem Patch geschlossen werden. Beide Lücken wurden mit einem hohen Risiko eingestuft. Betroffen sind davon alle Version von Google Chrome unterhalb der Version 86.0.4240.198.

UPDATE: Heute wurde noch eine weitere Version ausgerollt, die weitere Schwachstellen schließt. Betroffen sind die Google Chrome 87.0.4280.66 und niedriger. Auch hier sollte man wieder das Update schnell durchführen (lassen).

Der Bugfix wird derzeit bereits ausgerollt und sollte automatisch installiert werden. Wer dies nicht nutzt, sollte manuell das Update zeitnah einspielen. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt auf jeden Fall das Update durchzuführen:

Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten
Sicherheitsupdates, um die Schwachstellen zu schließen. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um Schadcode auf dem System auszuführen. Zur erfolgreichen Ausnutzung genügt es, eine bösartige Webseite zu laden bzw. einen Link dorthin anzuklicken.

Das Update gibt es wie immer kostenlos über den automatischen Update-Mechanimus im Chrome Browser. Im Normalfall müssen Nutzer also recht wenig tun, um die neuste Version zu bekommen. Wer prüfen will, welche Chrome Version läuft, kann dies unter Einstellungen => Über Google Chrome tun. Dort sollte als Version die Nummer 86.0.4240.198 oder höher angezeigt werden und im besten Fall auch die Meldung kommen, dass Chrome auf dem neusten Stand ist.

OnePlus 8T – neues Update mit Verbesserungen beim Akku-Verbrauch

von

OnePlus 8T – neues Update mit Verbesserungen beim Akku-Verbrauch – Für Nutzer der neuen OnePlus 8T Modelle gibt es ab sofort ein neues Firmware-Update. Die neuste Version der Software ist dabei 138MB groß und hat die Bezeichnung 11.0.2.3.KB05BA. Sie steht ab sofort zum kostenlosen Download auf den Geräten bereit.

Das Update bringt dabei Verbesserungen bei Akku-Verbrauch mit sich und soll unter anderem die Wärmeentwicklung bei hoher Beanspruchung reduzieren. Auch die 5G Nutzung wurde verbessert um den Akku noch weiter zu entlasten und es gibt einen Stabilitätsfix um die Nutzung robuster zu machen.

Die kompletten Details sind hier festgehalten:

Mozilla Firefox 74.0.1 schließt kritische Sicherheitslücken

von

Mozilla Firefox 74.0.1 schließt kritische Sicherheitslücken – Mozilla hat eine Sicherheitsupdate für den Firefox Browser veröffentlicht das problematische Sicherheitslücken schließt. Das Unternehmen stuft diese Lücken selbst als kritisch ein, da darüber unter anderem auch Schadcode auf dem System ausgeführt werden kann und der Angriff keine größeren Voraussetzungen erfordert. Daher ist es auch dringend angeraten, das neue Update für Firefox zeitnah zu installieren um sicher surfen zu können. Betroffen sind dabei Firefox mit Versionen kleiner als 74.0.1 und Mozilla Firefox ESR mit Versionen vor 68.6.1.

Das Bundesamt für Sicherheit in der Informationstechnik schreibt dazu im Original:

Mozilla Firefox und Mozilla Firefox ESR sind von mehreren Schwachstellen betroffen, wodurch ein
Angreifer Schadcode ausführen kann. Zur erfolgreichen Ausnutzung genügt es, eine bösartige Webseite
zu öffnen, bzw. einen Link dorthin anzuklicken. Laut Mozilla werden diese Schwachstellen bereits
aktiv im Internet ausgenutzt. Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

Das Update mit dem Sicherheitspatch wird wieder automatisch und kostenlos ausgeliefert und die Installation erfolgt in der Regel auch automatisch. wr prüfen will, ob er schon die neuste Version nutzt, kann unter Einstellungen => Hilfe => über Firefox anzeigen lassen, welche Version genutzt wird. Wird dort eine Version 74.0.1 oder höher angezeigt, ist man bereits abgesichert. Bei kleineren Version sollte man unter Umständen das Update manuell machen.

Samsung Galaxy S20 – wichtiges Kamera-Update wird verteilt

von

Samsung Galaxy S20 – wichtiges Kamera-Update wird verteilt – Samsung geht die Probleme bei der Kamera bei den Galaxy S20 Modellen an und hat eine neue Version veröffentlicht, mit der einige Schwierigkeiten beseitigt werden sollen. Die neue Version hat dabei die Nummer G98**XXU1ATCH und aktualisiert die Kamera-App auf die Version 10.0.01.98. Konkret soll darin der langsame Autofokus schneller gemacht werden. Einige Nutzer hatten dies kritisiert und im Vergleich mit anderen Topmodellen war der Autofokus bei einige S20 Modellen wirklich langsam.

Beim Sammobile schreibt man im Original dazu:

The good news continues, as one of the biggest user complaints surrounding the Galaxy S20 series’ camera performance may have just been addressed with this new update, namely slow autofocus. The camera seemingly benefits from faster autofocus post-update, so if you’ve experienced such issues before then your wait for a fix might be over.

For now, the new firmware update is available only for the International Exynos-powered Galaxy S20 models, but there is no doubt that Samsung will want to bring the same improvements to the Snapdragon variants as quickly as possible.

Die neue Version steht vorerst nur für die Galaxy S20 Varianten mit Exynos Prozessor zur Verfügung. Das ist aber kein Problem, denn in Deutschland kommen nur diese Modelle zum Einsatz. Bisher wird die neue Firmware auch noch nicht per OTA Update verteilt, man kann sie aber beispielsweise bereits per Samsung Smart Switch  herunterladen. Es dürfte aber auch nur eine Frage der Zeit sein, bis Samsung das Update für die Galaxy S20 Reihe auch per OTA verteilt und man die neue Firmware dann direkt per Klick in den jeweiligen Smartphones laden kann.

Das S20 Ultra Video im Original:

Die Unterschiede der Galaxy S20 Modelle im Überblick

ModellSamsung Galaxy S20 (5G)Samsung Galaxy S20 Plus (5G)Samsung Galaxy S20 Ultra 5G
Display6,2 Zoll 120 Hertz Infinity-O-Display – WQHD+ (3.200 x 1.440 Pixel, HDR10+ 20:9, 563 ppi)6,7 Zoll 120 Hertz Infinity-O-Display – WQHD+ (3.200 x 1.440 Pixel, HDR10+ 20:9, 525 ppi)6,9 Zoll 120 Hertz Infinity-O-Display – WQHD+ (3.200 x 1.440 Pixel, HDR10+ 20:9, 511 ppi)
BetriebssystemAndroid 10 mit One UI 2Android 10 mit One UI 2Android 10 mit One UI 2
Hauptkamera- 12 MP (f/2,2) Standard-Zoom;

- 64-MP-Telezoom- (f/2,0);

- 12-MP-Ultraweitwinkel-Optik (f/1,8);

- 3x Hybrid-Zoom

- bis zu 30x Digital-Zoom;

- bis 8K 30fps-Video		- 12 MP (f/2,2) Standard-Zoom;

- 64-MP-Telezoom- (f/2,0);

- 12-MP-Ultraweitwinkel-Optik (f/1,8);

- ToF-Sensor

- 3x Hybrid-Zoo

- bis zu 30x Digital-Zoom;

- bis 8K 30fps-Video;		- 108 MP Standard-Zoom (f/2,4);

- 48-MP-Telezoom (f/3,5);

- 12-MP-Ultraweitwinkel-Optik (f/2,2);

- ToF-Sensor;

- 4 bis 5x-optischer Zoom;

- 10x Hybrid-,Zoom;

- bis zu 100x Digital-Zoom;

- bis 8K 30fps-Video
Frontkamera- 10 MP (f/2,2);

- 4K 60 fps Video		- 10 MP (f/2,2);

- 4K 60 fps Video		- 40 MP (f/2,2) mit Pixelbinning auf 10 MP;

- 4K 60 fps Video
ProzessorExynos 990 Octa Core, 7nm @max. 2,73 GHzExynos 990 Octa Core, 7nm @max. 2,73 GHzExynos 990 Octa Core, 7nm @max. 2,73 GHz
Arbeitspeicher8/12 GB RAM LPDDR58/12 GB RAM LPDDR512/16 GB RAM LPDDR5
Interner Speicher128 GB (per microSD-Karte erweiterbar)128/512 GB (nur 5G mit großer Speicheroption) (per microSD-Karte erweiterbar)128/512 GB (per microSD-Karte erweiterbar)
Akkukapazität4.000 mAh4.500 mAh5.000 mAh
KonnektivitätWifi 6, Bluetooth 5.0, GPS, LTE Cat. 20, Wi-Fi Direct, 4x4 MIMO, Miracast, 5G (nur Sub 6 GHz), TDD/FDD); Hybrid-SIM plus e-SIMWifi 6, Bluetooth 5.0, GPS, LTE Cat. 20, Wi-Fi Direct, 4x4 MIMO, Miracast, 5G (mm Wave, Sub 6, TDD/FDD), Hybrid-SIM plus e-SIMWifi 6, Bluetooth 5.0, GPS, LTE Cat. 20, Wi-Fi Direct, 4x4 MIMO, Miracast, 5G (mm Wave, Sub 6, TDD/FDD); Hybrid-SIM plus e-SIM
SonstigesFingerabdrucksensor im Display, 2D-Gesichtserkennung, Hybrid-SIM, Wireless-Charging 2.0, wasser- und staubdicht (nach IP68), Powershare, Stereolautsprecher mit Dolby AtmosFingerabdrucksensor im Display, 2D-Gesichtserkennung, Hybrid-SIM, Wireless-Charging 2.0, wasser- und staubdicht (nach IP68), Powershare, Stereolautsprecher mit Dolby AtmosFingerabdrucksensor im Display, 2D-Gesichtserkennung, Hybrid-SIM, Wireless-Charging 2.0, wasser- und staubdicht (nach IP68), Powershare, Stereolautsprecher mit Dolby Atmos
Abmessungen151,7 x 69,1 x 7,9 mm 161,9 x 73,7 x 7,8 mm166,9 x 76 x 8,8 mm
Gewicht163 g186 g220 g
FarbenCloud Pink, Cloud Blue, Cosmic GrayCloud Blue, Cosmic Gray, Cosmic Black

Cosmic Gray, Cosmic Black
Preis (UVP)ab 899 Euro / 999 Euro (5G)ab 999 Euro/ 1.099 Euro (5G)ab 1.349 Euro

Weitere Links rund um Samsung Galaxy S20

 

Sicherheitslücke im ClamAV Virenscanner – Update empfohlen

von

Sicherheitslücke im ClamAV Virenscanner – Update empfohlen – Beim Open Source Virenscanner ClamAV wurde ein Sicherheitsupdate veröffentlicht, dass eine ganze Reihe von Lücken im System schließt, unter anderem auch eine Möglichkeit für Angreifer, über das System DDoS Angriffe auszuführen.

Das Bundesamt für Sicherheit in der Informationstechnik rät daher dazu, die neuste Version schnell zu installieren. Konkret schreibt man dort:

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in ClamAV ausnutzen, um einen Denial of
Service Angriff durchzuführen. Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten
Sicherheitsupdates, um die Schwachstellen zu schließen.

Betroffen sind alle Versionen von ClamAV unter der Version 0.102.2.

Die gepatchten Sicherheitslücken im Detail:

  • CVE-2020-3123: A denial-of-service (DoS) condition may occur when using the optional credit card data-loss-prevention (DLP) feature. Improper bounds checking of an unsigned variable resulted in an out-of-bounds read, which causes a crash.
  • Significantly improved the scan speed of PDF files on Windows.
  • Re-applied a fix to alleviate file access issues when scanning RAR files in downstream projects that use libclamav where the scanning engine is operating in a low-privilege process. This bug was originally fixed in 0.101.2 and the fix was mistakenly omitted from 0.102.0.
  • Fixed an issue where freshclam failed to update if the database version downloaded is one version older than advertised. This situation may occur after a new database version is published. The issue affected users downloading the whole CVD database file.
  • Changed the default freshclam ReceiveTimeout setting to 0 (infinite). The ReceiveTimeout had caused needless database update failures for users with slower internet connections.
  • Correctly display the number of kilobytes (KiB) in progress bar and reduced the size of the progress bar to accommodate 80-character width terminals.
  • Fixed an issue where running freshclam manually causes a daemonized freshclam process to fail when it updates because the manual instance deletes the temporary download directory. The freshclam temporary files will now download to a unique directory created at the time of an update instead of using a hardcoded directory created/destroyed at the program start/exit.
  • Fix for freshclam’s OnOutdatedExecute config option.
  • Fixes a memory leak in the error condition handling for the email parser.
  • Improved bound checking and error handling in ARJ archive parser.
  • Improved error handling in PDF parser.
  • Fix for memory leak in byte-compare signature handler.
  • Updates to the unit test suite to support libcheck 0.13.
  • Updates to support autoconf 2.69 and automake 1.15.

Google Chrome: neues Release schließt mehrere Sicherheitslücken

von

Google Chrome: neues Release schließt mehrere Sicherheitslücken – Google hat für den Chrome Browser eine neue Version (77.0.3865.120) sowohl für Windows, Mac als auch für Linux veröffentlicht. Die neue Version des Browser ist dabei vor allem ein Sicherheitsupdate und schließt gleich 8 Lücken. Einige davon wurden als hohes Sicherheitsrisiko bewertet und daher ist es wichtig, dass sie zeitnah geschlossen werden.

Die wichtigsten geschlossenen Lücken sind dabei:

  • [$20500][1005753] High CVE-2019-13693: Use-after-free in IndexedDB. Reported by Guang Gong of Alpha Team, Qihoo 360 on 2019-09-19
  • [$TBD][1005251] High CVE-2019-13694: Use-after-free in WebRTC. Reported by banananapenguin on 2019-09-18
  • [$15000][1004730] High CVE-2019-13695: Use-after-free in audio. Reported by Man Yue Mo of Semmle Security Research Team on 2019-09-17
  • [$7500][1000635] High CVE-2019-13696: Use-after-free in V8. Reported by Guang Gong of Alpha Team, Qihoo 360 on 2019-09-04
  • [$2000][990849] High CVE-2019-13697: Cross-origin size leak. Reported by Luan Herrera @lbherrera_ on 2019-08-05

Sicherheitsexperten empfehlen, das neue Update so schnell wie möglich zu installieren, da spätestens mit der neuen Version diese Lücken auch öffentlicht bekannt sind und nun wahrscheinlich zunehmen auch ausgenutzt werden.

Das Bundesamt für die Sicherheit in der Informationstechnik schreibt dazu im Original:

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um die
Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden. Zur Ausnutzung genügt es, eine
bösartige Webseite oder einen Link dorthin zu öffnen. […] Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

Google wird die neue Version in den nächsten Tagen und Wochen auf allen Chrome-Browsern ausrollen und das Update auf die neuste Version ist dabei natürlich wieder kostenlos. Es kann aber durchaus noch einige Tage dauern, bis eine neue Version im Browser angezeigt wird. Wer sich unsicher ist, kann auch manuell auf eine neue Version prüfen. Im besten Fall sollte die Version mit der Nummer 77.0.3865.120 bereits auf dem Rechner laufen, dann hat man die neuste Version mit allen Sicherheitsupdates und ohne die genannten Sicherheitsprobleme.

 

Google Chrome: neues Update schließt Sicherheitslücke

von

Google hat für den Chrome Browser eine neue Version bereits gestellt, die unter anderem eine recht kritische Sicherheitslücke schließt. Mit dem Update 75.0.3770.142 wird dieses Problem sowohl für Windows, Mac als auch für Linux behoben. Davor war es unter anderem möglich, den Browser zum Absturz zu bringen oder vertrauliche Informationen anzeigen zu lassen, auch wenn es an sich nicht die passenden Zugriffsrechte gibt.

Das Bundesamt für Sicherheit in der Informationstechnik schreibt zum neuen Update:

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um die
Applikation zum Absturz zu bringen oder Informationen offenzulegen. Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.

Die neue Version 75.0.3770.142 steht dabei ab sofort zur Verfügung und wird automatisch für bestehende Google Chrome aufgespielt und installiert. Das Rollout erfolgt dabei aber nicht sofort für alle Systeme, sondern teilweise zeitverzögert, so dass es durchaus auch noch einige Tage dauern kann, bis die neue Version des Chrome Browser alle Nutzer erreicht hat. Wer sich unsicher ist, kann selbst auf neue Versionen prüfen oder aber sich die Versionsnummer anzeigen lassen. Diese sollte 75.0.3770.142 lauten, dann ist man auf der sicheren Seite.