Neben dem gestrigen Microsoft Patchday, an dem Sicherheitslücken geschlossen wurden, rollen auch Adobe und WordPress wichtige Sicherheitsupdates aus. Zudem gibt es noch Infos zur OpenSSL-Lücke – und für Windows XP versucht Trend Mikro eine Absicherung über das Supportende. Hier eine kurze Übersicht.
Anzeige
Adobe patcht vier Sicherheitslücken
Adobe rollt aktuell Updates für vier Sicherheitslücken im Flash-Player aus. Heute morgen ist mir bereits aufgefallen, dass Windows 8.1 dieses Update anbot. Betroffen sind alle Flash-Player-Versionen auf Windows, Linux und OS X. Weitere Details sind dem oben verlinkten Adobe Security-Bulletin oder diesem heise.de-Artikel zu entnehmen.
WordPress: Update auf 3.8.2
Ich hatte heute morgen bei der Anmeldung am Administrator-Konto die Meldung von WordPress, dass die Aktualisierung auf die Version 3.8.2 anstünde. Nach Sicherung der Datenbank habe ich das Update ausführen lassen, was auch anstandslos durchlief. Probleme habe ich mehr mit der Generierung eines Inhaltsverzeichnisses über alle Blog-Beiträge. Die Plug-Ins funktionieren nicht mehr, nachdem ich den Blog auf Multi-Language-Support umgestellt habe bzw. nachdem ich offenbar einen Eintrag in der Datenbank habe, die die Plug-ins ins Nirvana schickt. Aber das ist eine andere Baustelle, um die ich mich bei Gelegenheit kümmere (ist halt alles Frickelkram, was die WordPress- und die Plug-in-Entwickler da teilweise rauswerfen). Durch Zufall habe ich eben bei heise.de gelesen, dass die heutige Aktualisierung ein Sicherheitsupdate war, welches eine Authentifizierungslücke schließt.
Windows XP lebt – in Steuerungen – und soll abgeschottet werden
Heute morgen habe ich im Artikel Tausende Websites sind noch mit Windows XP gehostet über ein Problem mit Windows XP berichtet. Aber auch in der Industrie laufen noch viele Windows XP-Maschinen über das Supportende hinaus. Trend Micro versucht Windows XP-Rechner, die in Steuerungs- und Kontrollanlagen ihren Dienst verrichten, auch nach dem Supportende durch Microsoft abzusichern. Dazu wird das Programm SafeLock bis 2017 bereitgestellt (via). Zitat aus der Produktbeschreibung:
Safe Lock wehrt Eindringlinge ab und verhindert das Ausführen von Malware, indem die Verfügbarkeit des Systems mittels Lockdown* (Systemsperre) auf einen bestimmten Verwendungszweck beschränkt wird. Safe Lock schützt industrielle Kontrollsysteme und integrierte Geräte, die eine hohe Verfügbarkeit erfordern, sowie Geräte mit fest definierten Funktionen in geschlossenen Umgebungen. Dabei wird die Systemleistung durch das Produkt kaum beeinträchtigt und es müssen keine Pattern-Dateien aktualisiert werden. Dank der anwenderfreundlichen Benutzeroberfläche und der Kompatibilität mit Trend Micro Portable Security 2** lässt sich Safe Lock schnell und einfach installieren und bietet eine hohe Anwenderfreundlichkeit.
Neues von der OpenSLL-Lücke
Im Artikel Katastrophe: OpenSSL mit Heartbleed-Sicherheitslücke habe ich gestern über die Lücke in der OpenSSL-Bibliothek berichtet, die SSL- und TLS-Verbindungen angreifbar macht. Betrifft viele Linux-Geräte, vom Desktop über Geräte wie Router bis hin zu Android-Smartphones. Ein GAU und hinter den Kulissen sind die Entwickler großer Linux-Distributionen fieberhaft dabei, Patches zu entwickeln. Aber das reicht nicht, um die SSL-/TLS-Kommunikation abzusichern. Hier berichtet heise.de, dass Server, die von der OpenSLL-Lücke betroffen sind, auch bezüglich der verwendeten Zertifikate kompromittiert sein können. Die betreffenden Betreiber sollten sich nach dem Schließen der Lücke um die Aktualisierung der Zertifikate kümmern.
Anzeige
Zwei gute Nachrichten gibt es aber zu vermelden (ich hatte es hier im Kommentar schon drin). AVM, der Hersteller der FRITZ!Box-Router teilt in dieser Meldung mit, dass seine Router nicht betroffen sind. Lässt mich hier aufatmen – denn wegen häufiger DSL-Störungen (Ping-Zeiten von 3 Sekunden, häufig gestörter Upload) habe ich testweise die FRITZ!Box 7390 durch meine alte 7170 ersetzt. Und da hatte ich gestern böse Probleme, das letzte Sicherheits-Firmware-Update zu installieren. Die Update-Schaltfläche veranlasste die Webseite auf den Startzustand umzuspringen – und ein manuelles Update war wegen fehlender Schaltflächen nicht möglich. Der AVM-Artikel hier half mir nicht weiter. Ich musste die Einstellungen sichern, die FRITZ!Box auf Werkseinstellungen zurücksichern, den Zugang neu konfigurieren und konnte dann ein Firmware-Update durchführen.
Zweite Baustelle: Meine Android-Geräte, die ja irgendwie auch von der OpenSSL-Lücke betroffen sein müssten. In meiner Facebook-Timeline gibt es den Hinweis, dass nur Android 4.1.1 betroffen sei (muss ich noch verifizieren die Info findet sich in diesem reddit.com-Thread– ich bin nicht so genau im Bilde, welche Android-Version auf welcher OpenSSL Build aufsetzt).
Anzeige
So langsam kommt raus, was mit der Heartbleed OpenSSL-Sicherheitslücke auf uns zurollt. Die Redaktion von heise.de gibt in diesem Artikel schon mal einen Vorgeschmack.
Auf den Punkt gebracht: der Heartbleed OpenSLL-Bug ist eine Katastrophe – in einer Skala von 1 bis 10 liegt der Wert bei genau 11.
Quelle: https://www.schneier.com/blog/archives/2014/04/heartbleed.html
Ähnliche Artikel zu Heartbleed
1: http://www.borncity.com/blog/2014/04/09/adobe-und-wordpress-sicherheits-updates-win-xp-absichern-openssl-lcke/
2: http://www.borncity.com/blog/2014/04/08/katastrophe-openssl-mit-heartbleed-sicherheitslcke/
3: http://www.borncity.com/blog/2014/04/11/nsa-nutzt-heardbleed-sicherheitslcke-seit-jahren/