Aktuelle Sicherheitshinweise des Bundesamtes für Sicherheit in der Informationsverarbeitung


Sicherheitsupdates für VMware Workstation, Fusion und Horizon View Client (Fr, 17 Nov 2017)
VMware Fusion ist ein Software Hypervisor für Rechner mit dem Betriebssystem Mac OS auf Intel-Prozessoren. VMware Fusion erlaubt Intel-basierten Mac Systemen virtuelle Maschinen mit Microsoft Windows, Linux, NetWare oder Solaris zu betreiben. VMware Horizon View Client ist eine Anwendung für Windows, Mac, Ubuntu Linux, iOS, und Android mittels der man sich von jedem beliebigen Gerät und beliebigen Ort über das Netzwerk mit dem VMware Horizon View Virtual Desktop verbinden kann. VMware Workstation ermöglicht die Virtualisierung von Betriebssystemen. Es wird in den Versionen Workstation Player und Workstation Pro für Windows und Linux vertrieben. Die Verwendung von Workstation Player (früher VMware Player) ist im nicht-kommerziellen Bereich kostenlos. Mit dem Workstation Player können fertig eingerichtete virtuelle Maschinen "abgespielt" werden, er stellt also eine Art Viewer dar. Mehrere Sicherheitslücken in den VMware Produkten Workstation Pro und Player, Fusion Pro, Fusion sowie Horizon View Client ermöglichen einem Angreifer aus dem benachbarten Netzwerk das Ausführen schädlichen Programmcodes sowie das Bewirken eines Denial-of-Service (DoS)-Zustandes. Einige der Sicherheitslücken werden vom Hersteller als kritisch eingestuft, weshalb der Update-Empfehlung zügig gefolgt werden sollte.
>> mehr lesen

Sicherheitsupdate für den Adobe Flash Player (Mi, 15 Nov 2017)
Mit dem Adobe Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte. Adobe bestätigt mehrere Sicherheitslücken im Adobe Flash Player für Windows, Macintosh, Linux und Chrome OS, die es einem nicht angemeldeten Angreifer aus dem Internet ermöglichen, beliebige Befehle und Programme auszuführen und damit unter Umständen die Kontrolle über das betroffene System komplett zu übernehmen. Microsoft informiert in seinem Sicherheitshinweis ADV170019 darüber, dass die Betriebssystem-Versionen Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 und Windows 10 durch die Schwachstellen im Adobe Flash Player verwundbar sind. Sicherheitsupdates, welche die in den Browsern Microsoft Internet Explorer 10 und 11 sowie Microsoft Edge verwendeten Adobe Flash-Bibliotheken aktualisieren, sind verfügbar. Außerdem stellt Microsoft detaillierte Informationen zur Verfügung, die beschreiben, wie ein Angreifer Sicherheitsanfäligkeiten des Flash Players ausnutzen kann und wie Anwender sich dagegen schützen können.
>> mehr lesen

Sicherheitsupdates für Adobe Acrobat, Reader, Acrobat DC und Acrobat Reader DC (Mi, 15 Nov 2017)
Mit dem Adobe Reader, bzw. Acrobat Reader DC können PDF-Dokumente (Adobe Portable Document Format) betrachtet und kommentiert werden. Mit dem Adobe Acrobat, bzw. Acrobat DC können PDF-Dokumente (Adobe Portable Document Format) erzeugt, editiert und signiert werden. Adobe schließt mehrere kritische Sicherheitslücken in den Produkten Acrobat XI, Reader XI, Acrobat 2017, Acrobat Reader 2017, Acrobat DC und Acrobat Reader DC, die es einem nicht angemeldeten Angreifer aus dem Internet ermöglichen, beliebigen Programmcode auszuführen und damit möglicherweise Ihr System komplett unter seine Kontrolle zu bringen. Der Angreifer kann auch private Informationen ausspähen und diese für weitere Angriffe nutzen.
>> mehr lesen

Sicherheitsupdate für Mozilla Firefox (Mi, 15 Nov 2017)
Firefox ist der Open-Source Webbrowser der Mozilla Foundation. Firefox ESR (Extended Support Release) ist der Open-Source Webbrowser für Gruppen, die die Desktop-Umgebung in großen Organisationen flächendeckend installieren und warten. Mozilla schließt eine Vielzahl teils sehr schwerwiegend eingestufter Sicherheitslücken in Firefox, durch die ein Angreifer aus dem Internet das Programm zum Absturz bringen, Sicherheitsvorkehrungen umgehen, Informationen ausspähen, falsche Informationen darstellen und beliebige Befehle auf Ihrem System ausführen kann. Insbesondere über die Befehlsausführung kann ein Angreifer auf Ihrem System Schaden anrichten, weswegen das Sicherheitsupdate zeitnah installiert werden sollte. Mit dem Update auf Version 57 ändert sich Firefox grundlegend. Das kann dazu führen, dass Sie nicht wie bisher gewohnt mit der Software arbeiten können, insbesondere wenn Sie ältere Browser-Erweiterungen verwenden.
>> mehr lesen

Sicherheitsupdate für Adobe Shockwave Player (Mi, 15 Nov 2017)
Mit dem Adobe Shockwave Player werden Dateien im Adobe-Format DCR (Shockwave) innerhalb des Browsers dargestellt. Adobe schließt eine Sicherheitslücke im Adobe Shockwave Player für Microsoft Windows, die es einem Angreifer aus dem Internet ermöglicht, beliebigen Programmcode auf dem betroffenen System zur Ausführung zu bringen.
>> mehr lesen

Microsoft Sicherheitsupdates im November 2017 (Mi, 15 Nov 2017)
Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte. .NET Core ist eine plattformunabhängige, quelloffene Software-Plattform der Microsoft .NET Plattform, die zur Entwicklung und Ausführung von Anwendungsprogrammen dient und auf GitHub frei verfügbar ist. Microsoft ASP.NET Core ist ein quelloffenes Web Application Framework für die Entwicklung von Webseite, Webanwendungen und Webservices, welches auch die Betriebssysteme Linux und Mac OS unterstützt. ChakraCore ist das Kernelement der Chakra JavaScript-Engine, die Microsoft Edge antreibt. Microsoft Edge ist der neue Standard-Webbrowser, welcher mit Windows 10 ausgeliefert wird und als Nachfolger des Microsoft Internet Explorers Bestandteil des Betriebssystems Windows 10 ist. Microsoft Excel ist ein weit verbreitetes Tabellenkalkulationsprogramm. Microsoft Excel Viewer ist eine Anwendung zum Öffnen, Anzeigen und Drucken von Excel-Dokumenten ohne Installation von MS Excel. Der Windows Internet Explorer von Microsoft ist ein Webbrowser für das Betriebssystem Windows. Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden. Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen, Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden. Microsoft Office Web Apps ist die Browser-basierte Version von Word, PowerPoint, Excel und OneNote. Konzipiert sowohl für Privatkunden wie Unternehmen. Microsoft Office Web Apps Server ist die Server gestützte, über Browser nutzbare Version von MS Word, PowerPoint, Excel und OneNote. Konzipiert für Unternehmen mit zentraler Microsoft Server-Infrastruktur. Der Microsoft Office Word Viewer ist ein eigenständiges Programm zum Lesen und Drucken beliebiger Office Dokumente ohne installiertes Microsoft Office Paket. Microsoft Office Project Server ist eine Server-Lösung für das Projektmanagement, die als Grundlage Microsoft SharePoint benutzt und für die Benutzerschnittstelle entweder Microsoft Project als Client oder einen Web-Browser, der mit der Project Web App (PWA)-Komponente verbunden wird, unterstützt. SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage. Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes. Word-Automatisierungsdienste ist eine neue SharePoint Server 2010-Technologie, die die unbeaufsichtigte serverseitige Konvertierung von Dokumenten ermöglicht, die von Microsoft Word unterstützt werden. Microsoft Windows ist ein graphisches Betriebssystem des Unternehmens Microsoft. Microsoft schließt mit den Updates für November 2017 zahlreiche Sicherheitslücken, die zum Teil schwerwiegende Auswirkungen haben können. Die Sicherheitslücken ermöglichen es einem entfernten, nicht am System angemeldeten Angreifer aus dem Internet, beliebige Befehle mit den Rechten eines angemeldeten Benutzers auszuführen. Je mehr Rechte der betroffene Benutzer für seine Arbeit verwendet, desto gravierender sind die Schäden, die ein Angreifer über die Sicherheitslücken anrichten kann. Im schlimmsten Fall, wenn ein Benutzer mit Administratorrechten arbeitet, kann ein Angreifer die vollständige Kontrolle über das betroffene System erlangen. Durch erfolgreiche Angriffe ist es dem Angreifer darüber hinaus möglich, private Daten auszuspähen, Ihr System oder einzelne Anwendungen kontrolliert zum Absturz zu bringen sowie Schutzmechanismen des Systems zu umgehen und dadurch weitere Angriffe auszuführen. Zur Härtung Ihres Systems gegenüber Sicherheitslücken wird zusätzlich ein sogenanntes 'Defense-in-Depth'-Update für Microsoft Office veröffentlicht, durch das aktuelle und zukünftige Angriffe erschwert werden sollen. Besonders im Fokus für private Anwender stehen diesen Monat zwei bereits vorab veröffentlichte Sicherheitslücken im Internet Explorer und in Microsoft Edge sowie eine Sicherheitslücke, die die Deaktivierung sogenannter Makros in Microsoft Excel verhindert.
>> mehr lesen

Sicherheitsupdate für Adobe Digital Editions (Mi, 15 Nov 2017)
Adobe Digital Editions ist eine Software, die zur Ansicht und Verwaltung von EBooks und anderen digitalen Veröffentlichungen benutzt werden kann. Mit der Verfügbarkeit von Digital Editions 4.5.7 schließt Adobe mehrere Sicherheitslücken, von denen eine vom Hersteller als kritisch eingestuft wird. Ein Angreifer aus dem Internet kann die Sicherheitslücken ausnutzen, um teilweise sensitive Informationen auszuspähen.
>> mehr lesen

Sicherheitsupdate für Adobe Photoshop CC (Mi, 15 Nov 2017)
Mit Adobe Photoshop können Fotos und Grafiken erstellt, bearbeitet und für die weitere Verarbeitung vorbereitet werden. Beginnend mit Photoshop CC stehen aktuelle Versionen der Software nur noch als Abonnement über die Creative Cloud zur Verfügung. Adobe schließt mit dem aktuellen Sicherheitsupdate für Adobe Photoshop CC 2017 auf Version 18.1.2 (2017.1.2) zwei Sicherheitslücken, die es einem nicht angemeldeten Angreifer aus dem Internet ermöglichen, beliebige Befehle und Programme auszuführen und damit unter Umständen die Kontrolle über Ihr System zu übernehmen. Photoshop CC 2018 ist in Version 19.0 (2018.0) ebenfalls nicht von den Schwachstellen betroffen.
>> mehr lesen

Sicherheitsupdates für Android (Do, 09 Nov 2017)
BlackBerry powered by Android ist die von BlackBerry Ltd. überarbeitete Version von Google Android zum Einsatz auf BlackBerry Smartphones. Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist. LG Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem. Samsung Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem. Google schließt mit den aktuellen Sicherheitsupdates für Android eine Vielzahl von Sicherheitslücken, von denen ein Teil als kritisch eingestuft wird. Die Sicherheitslücken können von einem entfernten und nicht angemeldeten Angreifer zumeist mit Hilfe manipulierter Dateien oder manipulierter Anwendungen, zu deren Installation der Angreifer Sie verleitet, ausgenutzt werden. Eine erfolgreiche Ausnutzung der Sicherheitslücken ermöglicht dem Angreifer das Ausspähen geheimer Informationen, das Erlangen von Berechtigungen für die Ausführung von Aktionen auf Ihrem Gerät, das Einschränken der Verfügbarkeit bestimmter Dienste und sowie das Ausführen beliebiger Befehle und Programme und damit eine insgesamt weitreichende Manipulation Ihres Gerätes. Auch über WLAN-Verbindungen kann ein verwundbares Gerät komplett kompromittiert werden.
>> mehr lesen

Sicherheitsupdate für Joomla! (Mi, 08 Nov 2017)
Joomla! ist ein Content Management System, mit dem Webauftritte und Internet-Anwendungen erstellt werden können. Es ist einfach zu benutzen und zu erweitern. Die Software steht unter einer Open Source Lizenz und ist frei verfügbar. Joomla! schließt mit dem aktuellen Sicherheitsupdate zwei neue und eine mit einem vorherigen Sicherheitsupdate offenbar nicht komplett behobene Sicherheitslücke, die es einem Angreifer aus dem Internet ermöglichen, private Informationen auszuspähen oder die sicherere Anmeldung über die sogenannte Zwei-Faktor-Authentifizierung zu umgehen.
>> mehr lesen