Hoax-Info Service | Weblog

27.09.2022PermaLink
Google veröffentlicht Chrome 106

Update auf neue Hauptversion beseitigt 20 Sicherheitslücken

Google hat heute seinen Browser Chrome in der neuen Hauptversion 106 freigegeben. Mit dem Update auf Chrome 106.0.5249.61/62 (Windows) bzw. Chrome 106.0.5249.61 (MacOS/Linux) werden 20 Schwachstellen behoben. Fünf der 16 durch externe Forscher entdeckten Sicherheitslücken stuft Google als hohes Risiko ein, acht als mittleres Risiko. Google hat den Entdeckern bislang mehr als 38.000 US-Dollar an Prämien zuerkannt.
Zu den Neuerungen in Chrome 106 gehört die Möglichkeit, Tab-Gruppen zu bilden, sie farbig zu markieren und ihnen Namen zu geben.
Brave hat inzwischen nachgezogen und seinen Browser in der neuen Version 1.44.101 bereit gestellt, die auf Chromium 106.0.5249.65 basiert.

Chrome Release Blog | →neueste Sicherheits-Updates

14.09.2022PermaLink
Microsoft beseitigt 0-Day-Lücken in Windows

Patch Day September mit Updates gegen 63 Sicherheitslücken

Beim Update-Dienstag am 13. September hat Microsoft Sicherheits-Updates bereitgestellt, die insgesamt 63 Schwachstellen beheben sollen. Fünf Sicherheitslücken stuft Microsoft als kritisch ein, den Rest als hohes Risiko. Die kritischen Lücken betreffen Windows und Dynamics 365. Eine Windows-Schwachstelle (CVE-2022-37969) im Treiber des gemeinsamen Protokolldateisystems wird bereits für Angriffe ausgenutzt (0-Day-Lücke). Ein angemeldeter Benutzer kann sich höhere Berechtigungen verschaffen und Code mit Systemrechten ausführen. Das kommt typischerweise zum Tragen, wenn ein Benutzer eine präparierte Datei öffnet, in der schädlicher Code steckt. Eine weitere 0-Day-Lücke (CVE-2022-23960) betrifft Windows 11 für ARM-basierte Systeme. Sie ist auch als „Spectre-BHB“ bekannt und steckt in der CPU. Zwei der als kritisch ausgewiesenen Windows-Lücken (CVE-2022-34721, -34722) betreffen das Internet Key Exchange (IKE) Protokoll. Die dritte kritische Schwachstelle (CVE-2022-34718) steckt im TCP/IP-Stack und ist über präparierte IPv6-Pakete ausnutzbar. Ein Angreifer könnte aus der Ferne Code einschleusen und mit höheren Rechten ausführen, sofern IPSec aktiviert ist.
In seinen Office-Produkten schließt Microsoft sieben Sicherheitslücken. Alle gelten als hohes Risiko und könnten es einem Angreifer ermöglichen, Code einzuschleusen und auszuführen. Vier dieser Lücken betreffen Sharepoint, zwei Visio und eine Powerpoint. Etliche weitere RCE-Lücken (Remote Code Execution) stecken im ODBC-Treiber und in OLE DB für SQL. Auch im AV1 Video-Codec hat Microsoft eine RCE-Lücke gestopft.

↗ Microsoft Leitfaden für Sicherheitsupdates / |  ↗ZDI Blog
→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates

03.09.2022PermaLink
Google stopft 0-Day-Lücke in Chrome

Andere Browser-Hersteller ziehen schnell nach

Google hat am Freitagabend ein wichtiges Sicherheits-Update für Chrome bereitgestellt. Mit der neuen Version 105.0.5195.102 beseitigt Google eine Schwachstelle (CVE-2022-3075), die bereits für Angriffe ausgenutzt wird (0-Day-Lücke). Mehrere Hersteller anderer Chromium-basierter haben rasch reagiert und ebenfalls Updates herausgebracht. Dies sind Brave (1.43.89), Vivaldi (5.4.2753.47) und Microsoft (Edge 105.0.1343.27).

→neueste Sicherheits-Updates | →Microsoft Download- und Info-Links

09.08.2022PermaLink
Microsoft stopft erneut 0-Day-Lücke in Diagnose-Tool

Microsoft Patch Day August mit Updates gegen 121 Schwachstellen