Chrome-Update: Exploit im Umlauf

Google hat soeben in seinem Browser Chrome mehrere Sicherheitslücken geschlossen. Zumindest eine davon stuft der Hersteller als “kritisch” ein. Für eine andere kursiert sogar schon ein Exploit, der auch schon genutzt wird.

Mit einer aktualisierten Programmversion schließt Google teilweise kritische Sicherheitslücken in seinem weit verbreiteten Webbrowser Chrome. Angreifer könnten eine der Lücken schon aktiv in freier Wildbahn missbrauchen, weil der Hersteller von einem veröffentlichten Exploit berichtet. Insgesamt haben die Entwickler elf Schwachstellen geschlossen.

Die sauberen Versionsnummern

Bereinigt sind die Versionen 104.0.5112.101 für Linux und Mac und 104.0.5112.101/102 für Windows. Mit denselben Versionen ist auch die Extended-Stable-Version auf dem aktuellen Stand. Auch für Apples iOS liegt eine Aktualisierung auf 104.0.5112.99 vor.

Ein kritischer Fehler

Wie immer veröffentlicht Google in seiner Update-Meldung noch keine Details zu den Sicherheitslücken. Zu zehn der elf beseitigten Schwachstellen liefern die Entwickler eine knappe Beschreibung der betroffenen Komponenten.

Eine dieser Lücken stufen sie als kritisch ein – sie betrifft das Federated Credential Management (FedCM). Dahinter steckt eine neue Funktion, die datenschutzfreundliche Identitätsbündelung ermöglichen soll, beispielsweise für passwortlose Log-ins (CVE-2022-2852).

Wegen einer unzureichenden Überprüfung nicht vertrauenswürdiger Eingaben reißt die Intents-Komponente ein Sicherheitsleck mit hohem Risiko in den Browser. Für diese Lücke existiert auch schon ein Exploit in freier Wildbahn (CVE-2022-2856). Intents gestattet Web-Apps, sich für bestimmte Aufgaben anzubieten – zum Beispiel als Foto- oder Texteditor.

Insgesamt stuft Google von den elf Lücken wenigstens eine als kritisch, sechs als hohes Risiko und drei als mittleres für die Nutzer ein. Die Bewertung einer der Lücken fehlt.

Ob der Browser auf dem aktuellen Stand ist, kann man durch Aufruf des Menüs über die Schaltfläche mit den drei Punkten rechts von der Adresszeile, dort dann weiter unter “Hilfe” – “Über Google Chrome” herausfinden. Unter ‘Umständen startet dann das Herunterladen und Installieren der Aktualisierung und bietet dann den nötigen Browser-Neustart an.

Smartphone-Nutzer sollten den App-Store öffnen und dort Aktualisierungen suchen lassen. Linux-Anwender müssen das Update in der Regel über die distributionseigene Paketverwaltung installieren.

Weil die Schwachstellen in der Regel auch den zugrundeliegenden Chromium-Webbrowser betreffen, dürften die Anbieter darauf basierender Webbrowser wie Microsofts Edge umgehend auch aktualisierte Versionen veröffentlichen. Auch hier sollten die Benutzer zügig auf bereitstehende Updates prüfen.

Veröffentlicht unter Browser, Internet, Mobilgeräte, News, Programmierung, Sicherheit | Verschlagwortet mit , , , , , , | Schreib einen Kommentar

Europameisterschaften: Gelebter Nationalismus

Nachdem man die radelnde Apotheke endlich hinter sich gelassen hat, blockiert jetzt eine Leichtathletik-Europameisterschaft abwechselnd das Erste und das Zweite Programm – die beiden wichtigsten TV-Kanäle in Deutschland.

Und außer Beteiligten wie einem zweitklassigen Dritten in der Staffel unterhält oder gar erfreut das nach meiner nicht repräsentativen Umfrage im Freundeskreis wirklich niemanden.

Niemand mag solchen Sport

Ob es so billig ist, dass sich die Programmverantwortlichen dem nicht entziehen wollen, damit mehr Geld für die Luxusautos und Abendessen von Rundfunk-Funktionären wie beispielsweise Frau Schlesinger und ihren Mann verfügbar ist, oder ob die ersten Nationalisten aus Sachsen jetzt auch hier die Führung übernommen haben, mag ich nicht beurteilen, aber internationale Sportwettbewerbe haben für mich ein Image wie die unselige kommende Fußball-Winter-WM in Katar in drei Monaten.

Gewinner und Verlierer beim Winterfußball in Katar

Menschenverachtend und massiv umweltschädlich sind zu kleine Worte für tote und unbezahlte Wanderarbeiter aus Asien und korrupte Fußballfunktionäre. Und es geht dabei ja immer um eines: Wer gehört der “besten” Nation an. Maßstab sind Tabelle und Medaillenspiegel, und ja: hier treibt der Nationalismus Blüten.

Bis zum nächsten Wochenende kommt man wohl nicht an diesem Programm vorbei, aber dann steht ja auch schon bald der Winterfußball in der Wüste auf dem Programm. Ob die Kataris auch so einen Heimbonus haben wie die Deutschen bei der laufenden Leichtathletik-EM? *grübel*

Foto: Schlesinger, Sandro Halank, Wikipedia, CC BY-SA 3.0
Veröffentlicht unter Allgemeines, Politik, Soziales, Wirtschaft | Verschlagwortet mit , , , , , , , , , , | Schreib einen Kommentar

Google hat Android 13 veröffentlicht

Die neueste Version des Mobilbetriebssystems Android 13 von Google bringt unter anderem Verbesserungen bei der Sicherheit, der Personalisierung und der Medienausgabe.

Soeben hat Google die fertige Version von Android 13 veröffentlicht. Das neue Betriebssystem ist zwei Monate früher erschienen als sein Vorgänger Android 12, der im Oktober 2021 veröffentlicht wurde. Google hatte schon im Laufe des Betatests angekündigt, dass die fertige Version diesmal bereits im Spätsommer erscheinen könnte.

Die Betaversion von Android 13 hatte bereits vor einigen Wochen Platform Stability erreicht und war damit im Grunde fertig. Neu ist in Android 13 unter anderem die Möglichkeit, grundsätzlich nur bestimmte Fotos und Videos für andere Apps freizugeben. Das bedeutet, dass Anwendungen auf nicht freigegebene Aufnahmen gar keinen Zugriff mehr haben.

Die Zwischenablage wird in Zukunft automatisch nach einiger Zeit gelöscht, wenn sicherheitsrelevante Daten wie Telefonnummern, Anmeldedaten oder Adressen kopiert werden. Apps dürfen künftig auch erst dann Systembenachrichtigungen verschicken, wenn der Nutzer nach der Installation ausdrücklich zugestimmt hat.

Das Material-You-Design wurde erweitert

Google hat bei Android 13 das Material-You-Design von Android 12 weiterentwickelt. Auch Apps, die nicht aus dem Hause Google stammen, können jetzt so angepasst werden, dass sie das gewählte Farbschema übernehmen. Due Benutzer können jetzt auch für einzelne Apps eine andere Sprache als die Systemsprache zuweisen – das gilt praktisch für alle mehrsprachigen Nutzer.

Benutzer von Android 13 können jetzt auch mit kompatiblen Kopfhörern Spatial Audio verwenden, als künstlich erzeugtem Raumklang. Android 13 unterstützt darüber hinaus Bluetooth LE und soll besser zwischen einem Eingabestift und den Händen der Nutzer unterscheiden können – was Fehleingaben verhindern soll.

Erst Google, später der gesamte Rest

Android 13 wird erst einmal nur für dieGoogles Pixel-Smartphones ab dem Pixel 4 zu haben sein und wird dazu drahtlos verteilt. Im Laufe der nächsten Monate sollen Geräte weiterer Hersteller wie unter anderem Samsung, Xiaomi, Oneplus, Oppo, Realme, Asus, HMD Global und Motorola hinzukommen.

Veröffentlicht unter Internet, Mobilgeräte, News, Programmierung, Sicherheit | Verschlagwortet mit , , , , , , , , , | Schreib einen Kommentar

Android-Update für Smartphone Samsung Galaxy A21s

Soeben hat mein Provider 1&1 ein neues Update für mein Smartphone Samsung Galaxy A21S veröffentlicht. Download und Installation über WLAN verliefen wie immer ohne Probleme, und nach dem Update scheint auch alles wieder zu funktionieren…

Die Beschreibung ist leider nur sehr allgemein gehalten. Wenn einem Formulierungen wie “Die Gesamtstabilität Ihres Smartphones wurde verbessert” oder “Die Sicherheit Ihres Smartphones wurde verbessert” nicht ausreichend sind und man genauer wissen möchte, was denn genau verbessert wurde, steht man aber im Regen.

Aber ich will lieber nicht meckern, denn man freut sich ja heutzutage schon, wenn es nach zwei Jahren Nutzung überhaupt noch Updates für die Geräte gibt. Ein nachhaltiges Gerät sollte eigentlich deutlich längere Zeit mit Sicherheitsupdates versorgt werden – aber offensichtlich können die Reichen nicht ohne Verschwendung von Ressourcen noch reicher werden…

Veröffentlicht unter Internet, Mobilgeräte, News, Sicherheit | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

“Dogwalk”-Lücke in Windows wird schon aktiv ausgenutzt

Über eine Schwachstelle im Diagnostic Tool in Kombination mit Social Engineering können Windows-Nutzer auf eine Lücke hereinfallen. Ein Patch dazu wurde Dienstag verteilt.

Microsoft hat eine neue Zero-Day-Lücke in allen aktuellen Windows-Betriebssystemen entschärft. Darüber könnte eine angreifende Partei Schadcode aus der Ferne per Remote Code Execution ausführen.

Microsoft nennt die Lücke  “Dogwalk” (CVE-2022-34713) und sie wird wohl schon aktiv ausgenutzt. Das Unternehmen rät deshalb dazu, das aktuelle Update für Windows 11, 10 und Windows Server (2019 und 2022) herunterzuladen und zu installieren. Die Dringlichkeit des Updates stuft der Hersteller mit “wichtig” ein, eine Stufe unter der kritischen und höchsten Dringlichkeit.

Der Patch soll Dogwalk schließen, das über eine Lücke im Support Diagnostic Tool enstand. Die Angreifer müssen vorher aber über Social Engineering und Phishing Opfer auf eine Webseite leiten oder per Email täuschen. Im Email-Anhang oder als Teil einer Webseite muss dann eine präparierte Datei geöffnet werden.

Das Support Diagnostic Tool hat immer wieder Lücken

Dogwalk wurde eigentlich wohl schon 2019 entdeckt. Damals sah Microsoft den Angriff nicht als wichtig genug an, wohl deshalb, weil Angreifende auch zusätzliche Schritte einleiten müssen, damit die Lücke ausgenutzt werden kann. Offenbar hat der Konzern jetzt seine Meinung dazu geändert.

Das Support Diagnostic Tool (MSDT) scheint eine häufige Quelle für Sicherheitslücken zu sein. Microsoft hat schon im Mai 2022 von einer ähnlichen Lücke im MSDT berichtet. Die vom Microsoft Defender Antivirus als “Mesdetty” bezeichnete Lücke wurde im Juli 2022 geschlossen. Das Unternehmen riet als Workaround auch noch dazu, das MSDT-URL-Protokoll einfach abzuschalten. Das ist über einen Registry-Eintrag möglich, den Microsoft in einem Blog-Post veröffentlicht hat.

Veröffentlicht unter News, Programmierung, Sicherheit, Tipps und Tricks | Verschlagwortet mit , , , , , , | Schreib einen Kommentar

Foto: Chilies mit Blüten

In diesem Jahr habe ich meine Chilies mal wieder etwas spät gepflanzt, deshalb haben sie auch erst Ende Juli begonnen, ihre typischen weißen Blüten auszutreiben.

Es handelt sich übrigens um rote Habaneros – durchaus schon eine scharfe Sorte mit einer Schärfe von mehr als 100.000 Scoville. Das dürfte die Tiefkühlpizzas in diesem Jahr pikant machen… 😉

Foto: Klaus Ahrens, Smartphone Huawei P8, CC BY-SA 4.0

Veröffentlicht unter Fotografie, Lokales, Tipps und Tricks | Verschlagwortet mit , , , , , , , , | Schreib einen Kommentar

Tesla: Bestellungen für Model 3 Long Range ausgesetzt

Die Nachfrage nach dem Tesla Model 3 LR übersteigt in den USA und Kanada das Angebot. Deshalb nimmt Tesla erst einmal keine Bestellungen mehr dafür an.

Das Tesla Model 3 Long Range ist das mittlere der drei Varianten des Modells und in den USA und Kanada nicht mehr bestellbar. Deshalb hat Tesla den Bestellknopf aus dem Konfigurator ausgegraut und gestattet es potentiellen Kunden bis auf weiteres nur noch, entweder das Standard-Range-Modell oder aber die Performance-Variante zu bestellen.

Tesla schreibt dazu, dass das Long-Range-Modell erst im nächsten Jahr wieder verfügbar sein wird, was offenbar die Bestellmöglichkeit meint.

Zu lange Lieferfristen sollen vermieden werden

Nach Angaben von Electrek hat sich Tesla für dieses neue Geschäftsmodell entschieden, um zu vermeiden, dass die Lieferfristen für die Kunden zu lang werden.

Schon im März 2022 sorgte die anhaltend hohe Nachfrage dafür, dass viele Tesla-Modelle in den USA bis ins Jahr 2023 hinein ausverkauft waren, obwohl Tesla auch die Preise immer wieder erhöhte.

In Deutschland kann man das Modell 3 LR noch bestellen

In Deutschland kann man das Model 3 mit maximaler Reichweite nach wie vor bestellen – es soll aber laut Konfigurator dann erst zwischen Januar und März 2023 ausgeliefert werden.

Auch auf das Model 3 mit Standard-Reichweite müssen Kunden so lange warten. Das Model 3 Performance soll hingegen schon zwischen Dezember 2022 und Februar 2023 aufgeliefert werden, wenn man es jetzt bestellt – das gilt inzwischen auch für alle Farben.

Veröffentlicht unter Allgemeines, News, Wirtschaft | Verschlagwortet mit , , , , , , , , | Schreib einen Kommentar

Kopierte Lego-Mini-Figuren dürfen nicht mehr verkauft werden

Lego hat einen Rechtsstreit um Mini-Figuren gegen einen Spielwarenhändler gewonnen, der Figuren aus China verkauft hat. Original geht über Kopie: Nach dem Landgerichtsurteil darf ein Spielwarenhändler aus Paderborn künftig keine Lego-Imitate aus China mehr verkaufen.

Der Spielwarenhersteller Lego hat im Streit gegen chinesische Kopien seiner Mini-Figuren jetzt einen juristischen Erfolg errungen. Das Landgericht Düsseldorf untersagte am Freitag einem Paderborner Spielwarenhändler den Verkauf bestimmter Konkurrenzprodukten aus China, weil deren Gestaltung die Markenrechte des dänischen Unternehmens verletze.

Der Richter sagte dazu, die umstrittenen Spielfiguren wiesen zwar allesamt ein paar formale Unterschiede zu den Lego-Produkten auf, aber der Gesamteindruck der Figuren liege in allen Fällen zu nahe am markenrechtlich geschützten Lego-Produkt. Wichtig beim Markenrecht sei, wie ein Durchschnittsverbraucher das Produkt wahrnehme – und der vergleiche nicht etwa Details, sondern das Gesamtbild.

Das Urteil untersagt dem Paderborner Händler, der die Spielfiguren chinesischer Hersteller vertrieben hatte, den weiteren Verkauf der Produkte und verpflichtet ihn auch, Lego Auskunft über die schon verkauften Mengen zu geben. Darüber hinaus muss er alle noch vorhandenen, von dem Urteil betroffenen Produkte an das dänische Unternehmen herausgeben.

Veröffentlicht unter Internet, News, Recht, Soziales, Wirtschaft | Verschlagwortet mit , , , , , , | Schreib einen Kommentar

Bitdefender: Schwachstelle in Device42 beseitigt

Gegen eine inzwischen beseitigte Schwachstelle in Device42 gibt Bitdefender jetzt die dringende Empfehlung zum Update auf die Version 18.01.00 von Device42.

Die Experten von s fanden eine Schwachstelle, durch die böswillige Hacker Remote Code in der Staging-Umgebung der Plattform ausführen können. Sie konnten auch einen vollen Root-Zugang und damit auch die vollständige Kontrolle über interne Assets der Opfer-IT erlangen.

Device42 hat nach intensiver Zusammenarbeit mit den Bitdefender Labs inzwischen zugrunde liegende Schwachstelle geschlossen und die Benutzer aufgefordert, sofort ihre Lösung auf die Version 18.01.00 oder höher zu aktualisieren.

Veröffentlicht unter News, Programmierung, Sicherheit | Verschlagwortet mit , , , , , , , | Schreib einen Kommentar

Das Maximum der Perseiden kommt heute Nacht

Anfang letzter Woche begann wieder der stärkste Meteoritenschauer, die auch als Laurentiustränen bekannten Perseiden, deren Sternschnuppen dem namensgebenden Sternbild Perseus, das zu dieser Jahreszeit in nordöstlicher Richtung am Himmel steht, entgegen zu rasen scheinen.

Die Perseiden sind ein jährlich wiederkehrender Meteorstrom. Das Maximum mit bis zu 100 Sternschnuppen pro Stunde wird in der kommenden Nacht vom 12. auf den 13. August erwartet.

Bei diesen Mini-Meteoriten handelt es sich genau genommen um die Reste des Kometen Swift-Tuttle, die in der Umlaufbahn der Erde um die Sonne liegen und dann beim Eintritt in die Erdatmosphäre verglühen.

Maximum: 12. August 2022 3 Uhr morgens

Die meisten Sternschnuppen kann man in der kommenden und der darauffolgenden Nacht sehen, wenn man in Richtung Nordosten schaut.

In der Stadt stört allerdings auch in klaren Nächten immer das helle Umgebungslicht von Straßenbeleuchtung, Gebäuden und Fahrzeugen, die sogenannte Lichtverschmutzung. Bessere sieht das auf dem Land bei erheblich dunklerem Himmel aus.

Der Vollmond als Störfaktor

In diesem Jahr stört besonders der Vollmond, der an diesem Wochenende die Sternschnuppen überstrahlen dürfte…

Veröffentlicht unter News, Soziales, Wissenschaft | Verschlagwortet mit , , , , , , , , , , , , , | Schreib einen Kommentar