10.05.2018PermaLink
Firefox wird 60

Sicherheitslücken in Firefox und Tor Browser geschlossen

Mozilla hat seinen Browser Firefox in der neuen Version 60.0 freigegeben. Die Mozilla-Entwickler haben mindestens 26 Schwachstellen beseitigt, darunter 24 durch externe Forscher gemeldete Lücken. Keine der letztgenannten Lücken ist als kritisch eingestuft. Anders eine nicht näher angegebene Zahl intern gefundener Schwachstellen: Unter denen können durchaus einige sein, die ein Angreifer ausnutzen könnte, um Code einzuschleusen und auszuführen. Firefox 60 unterstützt die Web Authentication API, mit der Sie sich mit einem USB-Token bei Websites anmelden können. Für Unternehmen bietet Firefox nun Gruppenrichtlinien für eine unternehmensweit einheitliche Browser-Konfiguration. Firefox 60 unterstützt, wie bereits Chrome 66, den neuesten Entwurf der Spezifikation für TLS 1.3.
Ebenfalls neu ist Firefox ESR 60.0, die erste ESR-Version mit der neuen Firefox Quantum-Engine. Der alte ESR-Zweig 52.* wird noch bis September weiter gepflegt und hat ein Update auf die Version 52.8.0 erhalten. Nur damit können noch Firefox-Erweiterungen des alten Typs verwendet werden. Der neue Tor Browser 7.5.4 basiert auf Firefox ESR 52.8.0. Die bereits vor einer Woche veröffentlichte Version 2.49.3 der Websuite Seamonkey basiert hingegen auf Firefox ESR 52.7.3. Was gestopfte Sicherheitslücken betrifft, entspricht dies dem Stand von →Firefox 59.0.2.

Firefox 60.0: Release Notes | Sicherheitsmeldung
Firefox ESR 60.0: Release Notes
Firefox ESR 52.8.0: Sicherheitsmeldung
Tor Project Blog | Seamonkey Project
→neueste Sicherheits-Updates

08.05.2018PermaLink
0-Day-Lücke in VBScript

Microsoft stopft 68 Lücken in Windows & Co

Beim heutigen Update-Dienstag hat Microsoft Sicherheits-Updates bereitgestellt, die insgesamt 68 Schwachstellen beseitigen sollen. Darunter sind 22 Lücken, die Microsoft als kritisch einstuft. Diese betreffen Windows, die Browser Edge und Internet Explorer sowie Hyper-V und Exchange. Zwei Schwachstellen werden bereits für Angriffe ausgenutzt („0-Day-Lücken“): CVE-2018-8174 betrifft die VBScript-Engine und ist als kritisch eingestuft, CVE-2018-8120 ist nur eine unter sieben Kernel-Lücken, die es einem Angreifer ermöglichen Code im Kernelmodus auszuführen. Zwei weitere Windows-Lücken (CVE-2018-8170, CVE-2018-8141) waren bereits vorab öffentlich bekannt (Risikoeinstufung: hoch). In der Virtualisierungslösung Hyper-V beseitigt der Hersteller zwei kritische Schwachstellen. Sie können es einem Angreifer ermöglichen Schadcode aus dem Gastsystem auf dem Host auszuführen. In seinen Office-Produkten schließt Microsoft insgesamt 14 Sicherheitslücken, die alle als hohes Risiko eingestuft sind. Einige dieser Lücken können ausgenutzt werden, um eingeschleusten Code mit Benutzerrechten auszuführen. Um eine als kritisch eingestufte Schwachstelle (CVE-2018-8154) in Exchange Server 2010, 2013 und 2016 auszunutzen, genügt eine speziell präparierte Mail.

Microsoft Security Update Guide /
→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates

10.04.2018PermaLink
Microsoft stopft 24 kritische Sicherheitslücken

Patch Day mit Updates für Windows, Browser, Office und eine Tastatur