WordPress 6.4.3 enthält zwei Sicherheits-Fixes. Dazu werden fünf Fehler im Kern des Programms und weitere sechzehn Fehler im Block-Editor behoben.
Denjenigen, die die automatische Update-Funktion nicht aktiviert haben, wird empfohlen, das Update auf die aktuelle Version von WordPress baldmöglichst durchzuführen.
Mit einem Patch hat Mozilla den Browser Firefox und das Mail-Programm Thunderbird gegen Attacken abgesichert. Die als „kritisch“ eingestufte Lücke befindet sich im Grafikformat WebP von Google. Die abgesicherten Versionen haben die Nummern
Nutzer älterer Versionen sollten die Programme möglichst schnell auf den neusten Stand bringen, da die Lücke bereits ausgenutzt werden soll.
Die Schwachstelle betrifft auch Googles Chrome. Hier soll die Lücke in den in den Chrome Versionen 116.0.5845.187/188 für Windows und 116.0.5845.187 für Linux und macOS geschlossen sein.
Das Apache OpenOffice Projekt-Team geht weiterhin den Weg der kleinen Schritte und hat am 27. Februar 2023 Version 4.1.14 der freien Office-Suite veröffentlicht. Das aktuelle Update beinhaltet hauptsächlich Fehlerbehebungen und kleinere Erweiterungen.
Apache OpenOffice ist Open Source und liegt für die Betriebssysteme Windows, Linux und Apple OS und in 41 Sprachen vor.
Der „Spiegel“ berichtet heute über die „Konzernrichtlinie 199.0001, Reisen nach Sondervorschrift, 5.0“ des Staatsbetriebs Deutsche Bahn AG. Danach sei der VIP-Reiseservice der Deutschen Bahn AG „exklusiv verantwortlich, dass Reisen mit hochgestellten Persönlichkeiten und öffentlichkeitswirksame Zugfahrten mit den Konzernvorständen besonders präzise geplant und erfolgreich durchgeführt werden“. Aus Imagegründen sollen die Waggons zum Beispiel „in bestem Zustand“ und „gründlich gereinigt (innen und außen)“ sein sowie mit korrekter Wagenreihung und regulärem Personal daherrollen. Dank eines „Betriebsüberwachers“ sollen Züge störungsfrei durchs Bahnnetz gelenkt werden, der „VIP-Reisebegleiter“ könne einen „abweichenden Haltepunkt“ festlegen. Nervige Lautsprecherdurchsagen (Verspätungen?!) müssten nach Anforderung unterbunden werden.
Es ist offensichtlich doch möglich, Züge pünktlich und im sauberen Zustand verkehren zu lassen. Man muss als Fahrgast nur etwas Besonderes sein, – Politiker oder VIP etwa. Unzeitgemäß und peinlich.
Das Gesundheitssystem in Deutschland ist teuer. Noch teurer wird es, wenn man Entscheider (Politiker) und die von ihnen Begünstigen (Lobbyisten) einfach gewähren lässt.
In diesem Fall geht es um den Datenaustausch zwischen Arztpraxen und Krankenkassen. Gesundheitsdaten sind sensible Daten, die Datensicherheit muss bei deren Übertragung gewährleistet sein. Dazu werden spezielle Hardware-Router, die Konnektoren, eingesetzt, über die die Arztpraxen mit der Telematikinfrastruktur (TI) verbunden sind. Die für die Konnektoren benötigten Sicherheitszertifikate laufen nun aus. Die Gematik, sie gehört zu 51 Prozent dem Bund und ist für die Einführung, Pflege und Weiterentwicklung der elektronischen Gesundheitskarte (eGK) und deren Infrastruktur zuständig, und die Hersteller der Konnektoren sagen nun, dass ein Austausch der Konnektoren notwendig sei. An den Kosten sollen sich die gesetzlichen Krankenkassen mit 300 Millionen Euro beteiligen (es geht um etwa 130.000 Konnektoren).
Computer Fachleute zweifelten diese Aussage schon länger an, sie hielten eine viel preiswertere Software-Lösung für machbar. Mitglieder des Chaos Computer Clubs (CCC) haben jetzt eine Software-Lösung vorgestellt, die den Hardware-Tausch überflüssig machen soll. Der Hack sei von einer kleinen Gruppe in knapp zwei Wochen erstellt worden.
Einen ausführlichen Kommentar zu der Sache gibt es bei Heise-Online.
Nach einem Hackerangriff sind die Internetseiten des Darmstädter Energieversorgers Entega und der Mainzer Stadtwerke derzeit nicht zu erreichen. Zudem ist der E-Mail-Verkehr lahmgelegt. Beide Unternehmen werden vom selben IT-Dienstleister betreut.
Wichtige Infrastruktur, zum Beispiel die Energieversorgung, soll von dem Hackerangriff nicht betroffen sein. Auch sollen keine Kundendaten abgegriffen worden sein. Das Ende der Störung kann derzeit noch nicht vorausgesagt werden.
Heute wurde die Version 5.6 des freien Blog- und Content-Management-Systems (CMS) WordPress veröffentlicht. Sie ist nach der Jazz-Sängerin und -Pianistin Nina Simone benannt. Diese Version beinhaltet vor allem neue Funktionen im Block-Editor Gutenberg.
Das neue Standard-Theme Twenty Twenty-One kommt mit neue Funktionen, die mehr Gestaltungsmöglichkeiten bieten. Auch soll eine Anbindung an die Programmiersprache PHP 8 vorhanden sein, wobei man den Einsatz erst einmal testen sollte.
Seit heute ist die Corona-Warn-App von Bundesregierung und Robert-Koch-Institut (RKI) verfügbar. Erstellt wurde sie von SAP (Client) und der Deutschen Telekom (T-Systems). Der Source Code der App ist Open Source, also frei zugänglich. Die App wurde recht zügig entwickelt und steht, was Sicherheit und Datenschutz angeht, unter weiterer Beobachtung.
Die Corona-Warn-App soll in Zukunft helfen, die Ausbreitung des SARS-CoV-2-Virus und Ausbreitungsketten zu erkennen. Dazu misst sie über die Bluetooth das Vorhandensein in der Nähe befindlicher Smartphones mit den Betriebssystemen iOS und Googles Android und den Abstand zu diesen Geräten. Nutzer haben die Möglichkeit eine positive Testung auf de SARS-CoV-2-Virus über einen QR-Code oder eine TAN zu erfassen und damit das eigene Smartphone als Eigentum einer Risikoperson zu markieren.
Die einzelnen Smartphones sammeln die anonymisierten Daten im eigenen Datenspeicher und berechnen daraus eine Risikowahrscheinlichkeit nach Vorgaben des RKI. Ist ein vorgegebener Risikoscore erreicht, bekommt der Nutzer / die Nutzerin eine Warnung und Empfehlungen, wie weiter vorgegangen werden soll (z.B. ein Test auf den SARS-CoV-2-Virus).
Damit nun mit Hilfe der App Ausbreitungsketten unterbrochen werden können, müssen möglichst viele Menschen die App nutzen und auch eine eigene Infizierung damit erfassen. Sonst bekommt man auch auf Dauer eventuell nur eine ähnlich nichtssagende Meldung, wie man sie derzeit nach wenigen Stunden der Nutzung erhält:
Unbekanntes Risiko. Da Sie die Risiko-Ermittlung noch nicht lange genug aktiviert haben, konnten wir für Sie kein Infektionsrisiko berechnen. (Corona-Warn-App)
Nachtrag: Schon nach einem Tag der Nutzung bekommt man eine aktualisierte Meldung, Aus der Meldung geht hervor, dass die App einen Zeitraum von 14 Tagen betrachten wird (Meldung: „1 von 14 Tagen aktiv“).
Zwei als kritisch angesehene Sicherheitslücken sind in Firefox Versionen 74.0.1 und ESR 68.6.1 von Mozilla abgedichtet. Die Lücken werden bereits von Angreifern ausgenutzt, weshalb ein Update ältere Versionen dringend angeraten wird.
Vom 17.-19. März 2020 findet in Hannover mit der Twenty2X eine neue IT-Messe statt. Wer dabei an die Cebit denkt, liegt falsch. Zwar findet die Twenty2X auch in Hannover statt, der Termin liegt im März und Veranstalter ist die Deutsche Messe AG, aber die neue Messe ist bedeutend kleiner und richtet sich vor allem an Fachbesucher aus Kleinbetrieben und dem Mittelstand. Diesen soll ein Marktplatz geboten werden, auf dem sie für ihre Betriebe und auch Behörden geeignete Angebote vergleichen können.
Auch die Aussteller, die auf der Messe vertreten sein werden, kommen meist aus dem Mittelstand. Mit Dell und IBM sind allerdings auch zwei Schwergewichte dabei. Neben Ständen werden den Besuchern auch Vorträge und Workshops geboten werden.
Die Messe wird sich auf zwei Hallen und Teile des Konferenzzentrums verteilen. 180 Aussteller, darunter 35 Start-ups werden dabei sein. Hier gibt es nähere Informationen zum neuen Format.
Man hat Dateien, Verzeichnisse oder ganze Laufwerke freigegeben, weil auch andere im Heim- oder Firmennetz auf die Daten zugreifen zugreifen sollen, vielleicht sogar aus dem Internet heraus. Wie stellt man dann fest, ob nach außen nicht zu viel geöffnet ist?
Natürlich hat man einen Router eingesetzt, der Datenzugriffe filtern soll, aber auch Router weisen Fehler auf. Es macht also Sinn, gelegentlich sein System auf offene Ports zu überprüfen, es also aus der Sicht eines Angreifers zu betrachten. Eine viel genutzte Software dafür ist „nmap“, ein Standardwerkzeug das für fast alle Desktop-Betriebssysteme verfügbar ist.
Traut man sich die Überprüfung nicht selbst zu, so kann man dazu auch Dienste im Internet nutzen. Eine Lösung ist der Netzwerk-Check von Heise Security. Es handelt sich um einen nmap-Scan, der auf einem Server des niedersächsischen Landesbeauftragten für Datenschutz ausgeführt wird. Dieser Link führt Sie auf die Startseite.
Wenn bei Ihnen alles in Ordnung ist, sollte die Rückmeldung wie in dem obigen Bild aussehen. Offene Ports sind rot unterlegt dargestellt. Achten Sie vor allem darauf, dass nicht der Port 445 für SMB offen ist. Bei den zuletzt bekannt gewordenen Datenlecks, beim Autovermieter Buchbinder und den Celler Orthopädiepraxen, lagen die Daten jeweils auf einem SMB-Server, wie ihn zum Beispiel Windows mitbringt.
Sind die Daten dann auch noch ohne Authentifizierung durch ein starkes Passwort zugänglich, ist es gleichgültig, ob man das Tor zum Internet durch einen Konfigurationsfehlergeöffnet hat, oder ob, wie im Celler Fall, die Firmware des Routers den Schaden verursacht hat.