Mit einem Patch hat Mozilla den Browser Firefox und das Mail-Programm Thunderbird gegen Attacken abgesichert. Die als „kritisch“ eingestufte Lücke befindet sich im Grafikformat WebP von Google. Die abgesicherten Versionen haben die Nummern
- Firefox 117.0.1,
- Firefox ESR 115.2.1,
- Firefox ESR 102.15.1,
- Thunderbird 102.15.1, und
- Thunderbird 115.2.2
Nutzer älterer Versionen sollten die Programme möglichst schnell auf den neusten Stand bringen, da die Lücke bereits ausgenutzt werden soll.
Die Schwachstelle betrifft auch Googles Chrome. Hier soll die Lücke in den in den Chrome Versionen 116.0.5845.187/188 für Windows und 116.0.5845.187 für Linux und macOS geschlossen sein.
Zwei als kritisch angesehene Sicherheitslücken sind in Firefox Versionen 74.0.1 und ESR 68.6.1 von Mozilla abgedichtet. Die Lücken werden bereits von Angreifern ausgenutzt, weshalb ein Update ältere Versionen dringend angeraten wird.
Keine E-Mails auf Smartphones, Tablets und Laptops von Landesbediensteten gibt es derzeit in Hessen. Die entsprechenden Komponenten seien vom Netz genommen worden, nachdem bekannt geworden war, dass zur Netzwerksteuerung eingesetzte Produkte erhebliche Sicherheitsmängel aufweisen, teilte die Hessische Zentrale für Datenverarbeitung (HDZ) mit. NetScaler-Produkte von Citrix weisen derzeit eine als kritisch eingestufte Lücke auf. NetScaler sollen für eine gleichmäßige Auslastung von Netzwerken sorgen.
Die HDZ hat die von ihnen administrierten Netzwerke des Landes Hessen überprüft und geht davon aus, dass derzeit noch kein Schaden entstanden ist. Da die Sicherheitslücke aber bereits ausgenutzt werde, habe man sich dazu entschlossen, obige Maßnahme zu ergreifen.
In Hessen hat es zuletzt bei kommunalen Einrichtungen und einem Universitätsnetz Sicherheitsprobleme bei der IT gegeben.
Nur wenige Stunden nach der Veröffentlichung von WordPress 4.2 wurde bekannt, dass diese Version wie auch ältere Versionen eine schwerwiegende Sicherheitslücke aufweist. Über die Kommentarfunktion waren alle WordPress-Installationen angreifbar.
Version 4.2.1 soll diese Sicherheitslücke schließen. Wer die automatische Update-Funktion aktiviert hat, sollte zwischenzeitlich die aktuelle Version installiert haben, wer die Update-Funktion deaktiviert hat, sollte das Update schnellstmöglich installieren. Für ältere Versionen (zurück bis 3.7.x, noch ältere sollte man wirklich nicht mehr nutzen) gibt e ebenfalls einen Fix.
in den Versionen 4.2.1 und 4.1.4 gibt es zusätzlich eine Funktion, die die Datenbank updatet und verdächtige Kommentare löscht. Für die übrigen Versionen gibt es diese Funktionalität derzeit nicht.
Oracle hat Java 7 Update 7 veröffentlicht, nachdem massive Sicherheitslücken in der Version 7 der Java-Laufzeitumgebung bekannt geworden waren. Am 27.08.2012 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen des Informations- und Warndienstes Bürger-CERT auf eine kritische Sicherheitslücke in der Laufzeitumgebung von Java 7 hingewiesen, die nach Erkenntnissen des BSI auch schon aktiv zur Infektion von Rechnern ausgenutzt wurde, um dort Banking-Trojaner zu installieren.
Da nicht ausgeschlossen werden kann, dass auch ältere Versionen der Java-Laufzeitumgebung diese Sicherheitslücken enthalten, sollten diese nach Aussage von Oracle deinstalliert werden.
[Update vom 01.09.2012] Zwischenzeitlich gibt es auch eine ausführlichere Beschreibung zu den Sicherheitslücken, die mit Java 7 Update 7 geschlossen wurden. Die Sicherheitslücken haben die höchste Gefährdungsstufe 10.0 und betreffen die Java-Versionen Java 7 Update 6 und älter und Java 6 Update 34 und älter. Weitere Unterscheidungsmerkmale der Sicherheitslücken hat Oracle zwischenzeitlich wieder von der Seite genommen.
Ergänzende Links:
Download von Java 7 Update 7
Informationen von Oracle
Pressemitteilung des BSI
Bürger-CERT (Link)
Frankfurt am Main Unterliederbach
