Hoax-Info Service | Weblog | Archiv

14.05.2019PermaLink
Microsoft stopft Wurm-taugliche Lücke auch in Windows XP und Server 2003

Microsoft Patch Day im Mai mit Updates gegen 79 Schwachstellen

Beim heutigen Update-Dienstag hat Microsoft Sicherheits-Updates bereitgestellt, die 79 Schwachstellen beseitigen sollen. Darunter sind 22 Sicherheitslücken, die Microsoft als kritisch einstuft. Diese betreffen Windows, die Browser Edge und Internet Explorer (IE) sowie Microsoft Word. Im IE hat Microsoft acht Lücken geschlossen, darunter fünf als kritsch eingestufte. Auf Edge entfallen 18 Schwachstellen, die alle bis auf zwei als kritisch gelten. 
Die Schwachstelle CVE-2019-0708 in den Remote Desktop Services gilt als Wurm-tauglich – mit einer hohen Wahrscheinlichkeit, für derartige Zwecke ausgenutzt zu werden. Deshalb hat sich Microsoft entschlossen, auch für an sich nicht mehr unterstützte Oldies wie Windows XP und Server 2003 Sicherheits-Updates bereitzustellen. Windows 8.x, RT und 10 sowie Server 2012 und neuer sind nicht betroffen. Bislang sind noch keine entsprechenden Angriffe oder öffentlich verfügbare Exploits bekannt. 
Hingegen gibt es bei der Schwachstelle CVE-2019-0863 in der Windows-Fehlerberichterstattung bereits Hinweise auf gezielte Angriffe auf ausgewählte Ziele. Anfällig sind alle unterstützten Windows-Versionen. In seiner Office-Familie stopft Microsoft 13 Lücken – darunter fünf, die es einem Angreifer ermöglichen können, beliebigen Code einzuschleusen und auszuführen. Nur eine dieser Lücken (CVE-2019-0953 in Word) stuft Microsoft als kritisch ein. Weitere als wichtig eingestufte Schwachstellen betreffen Azure, Dynamics, NuGet Package Manager und Skype für Android.

Microsoft Security Update Guide / || Sicherheits-Updates für Windows XP und Server 2003 /
→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates

04.05.2019PermaLink
Firefox Add-ons plötzlich deaktiviert Update

In Firefox sind fast alle Erweiterungen blockiert

In Firefox sind seit Samstag, 04.05., 00:00 Uhr UTC, nahezu alle Erweiterungen (Add-ons) deaktiviert, obwohl kein Programm-Update installiert wurde. Firefox zeigt diese Art Fehlermeldungen auf der Seite about:addons:

[Name] konnte nicht für die Verwendung in Firefox verifiziert werden und wurde deaktiviert.

Ursache ist anscheinend ein abgelaufenes Zwischenzertifikat, das Mozilla nicht rechtzeitig erneuert hat. Mit solchen Zertifikaten wird die Echtheit der Schlüssel, mit denen die Add-ons signiert werden, bestätigt. Unsignierte Add-ons werden in Firefox blockiert – ein abgelaufenes Zertifikat hat den gleichen Effekt. Betroffen ist offenbar eine große Anzahl gängiger Firefox-Erweiterungen, darunter etwa NoScript, uMatrix, uBlock Origin, GreaseMonkey, HTTPS Everywhere und diverse andere. Eine Neuinstallation der Add-ons ist nicht möglich – aus dem selben Grund.

Update [04.05.] Mozilla hat inzwischen ein Teillösung bereitgestellt, die das Problem erstmal beseitigt. Ein neues Zwischenzertifikat mit erweitertem Gültigkeitszeitraum wird automatisch verteilt. Voraussetzung: In den Firefox-Einstellungen unter Datenschutz, „Datenerhebung durch Firefox“, ist eine Option aktiviert, die es Firefox erlaubt, Studien zu installieren und durchzuführen. Hierbei handelt es sich um ein Interimslösung, die möglichst bald durch eine bessere ersetzt werden soll. Sie funktioniert nicht in allen Fällen, insbesondere unter Linux klappt es nicht immer.

Update [05.05.] Mozilla hat ein Update auf die neue Firefox-Version 66.0.4 (auch für Android) sowie Firefox ESR 60.6.2 bereitgestellt. Damit soll die Zertifikatskette repariert werden, die in der Nacht zum 4. Mai durch ein abgelaufenes Zertifikat unterbrochen wurde. Im Einzelfall kann es vorkommen, das Add-ons nicht automatisch wieder aktiviert werden. Außerdem können Einstellungen, die durch Firefox-Erweiterungen vorgenommen und verwaltet werden, verloren gegangen sein.

Update [08.05.] Mozilla hat mit Firefox 66.0.5 sowie Firefox ESR 60.6.3 die Problemlösung für die deaktivierten Add-ons nachgebessert. Es gibt außerdem eine deutschsprachige Hilfeseite zu diesem Thema.

Bugzilla-Eintrag dazu
Mozilla Blog: Beitrag zu diesem Problem
Release Notes zu Firefox 66.0.5 und Firefox ESR 60.6.3
Mozilla Hilfeseite zum Thema