BSI Sicherheitshinweise des Bürger-CERT: bsi.bund.de

BSI RSS-Newsfeed Sicherheitshinweise des Bürger-CERT

www.bsi.bund.de
Bürger-CERT: Aktuelle Sicherheitshinweise

Sicherheitsupdate für den Google Chrome Browser

16.06.2017

Chromium ist die Open-Source Variante des Google Chrome Browsers. Chromium ist für verschiedene Betriebssysteme, u.a. für BSD, Linux und Windows verfügbar. Chrome ist ein kostenfreier Webbrowser des Google-Konzerns. Er ist für Windows (ab Windows XP), Mac OS X, Linux, Android und iOS verfügbar. Das Programm ist ein integraler Bestandteil des Google Chrome OS. Mit der Veröffentlichung der Google Chrome Browser Version 59.0.3071.104 behebt der Hersteller insgesamt fünf Sicherheitslücken. Ein Angreifer aus dem Internet kann durch Ausnutzen der Sicherheitsanfälligkeiten Schutzmechanismen des Browsers umgehen, die Verfügbarkeit des Systems beeinträchtigen und falsche Informationen darstellen, was als Ausgangspunkt für weitere Angriffe dienen kann. Hierbei kann ein Angreifer sensitive Informationen ausspähen oder Benutzer zu Aktionen verleiten, die eine weitere Schädigung des Systems verursachen können. Installieren Sie das Update möglichst zügig, bevor der Hersteller detaillierte Informationen zu den Sicherheitslücken veröffentlicht, wodurch die Gefahr einer Ausnutzung der Sicherheitsanfälligkeiten steigt.

Sicherheitsupdate für Mozilla Thunderbird

15.06.2017

Thunderbird ist der Open-Source E-Mail-Client der Mozilla Foundation. Mehrere Sicherheitslücken im Mozilla Thunderbird E-Mail-Client und in von diesem verwendeten Bibliotheken können von einem Angreifer aus dem Internet ausgenutzt werden, um Sicherheitsvorkehrungen zu umgehen, falsche Informationen darzustellen, verschiedene Angriffe auf die Verfügbarkeit durchzuführen (Denial-of-Service) und beliebigen Programmcode zur Ausführung zu bringen. Generell können diese Sicherheitslücken nicht über E-Mails in Thunderbird ausgenutzt werden, da 'Scripting' beim Lesen von E-Mails deaktiviert ist. Es handelt sich aber um potentielle Risiken in Browsern oder Browser-ähnlichen Kontexten, dazu gehört auch Thunderbird. Das verfügbare Sicherheitsupdate wird vom Hersteller als kritisch eingestuft und sollte daher zeitnah installiert werden.

Sicherheitsupdate für den Adobe Flash Player

14.06.2017

Mit dem Adobe Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte. Adobe bestätigt mehrere Sicherheitslücken im Adobe Flash Player für Windows, Macintosh, Linux und Chrome OS, die es einem nicht angemeldeten Angreifer aus dem Internet ermöglichen, beliebige Befehle und Programme auszuführen und damit unter Umständen die Kontrolle über das betroffene System komplett zu übernehmen. Aktualisierung vom 14.06.2017: Microsoft informiert in seinem Sicherheitshinweis ADV170007 darüber, dass die Betriebssystem-Versionen Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 und Windows 10 durch die Schwachstellen im Adobe Flash Player verwundbar sind. Sicherheitsupdates, welche die in den Browsern Microsoft Internet Explorer 10 und 11 sowie Microsoft Edge verwendeten Adobe Flash-Bibliotheken aktualisieren, sind verfügbar. Außerdem stellt Microsoft detaillierte Informationen zur Verfügung, die beschreiben, wie ein Angreifer Sicherheitsanfäligkeiten des Flash Players ausnutzen kann und wie Anwender sich dagegen schützen können.

Sicherheitsupdate für Mozilla Firefox

14.06.2017

Firefox ist der Open-Source Webbrowser der Mozilla Foundation. Mozilla schließt mehrere kritische Sicherheitslücken in Firefox, durch die ein Angreifer aus dem Internet das Programm zum Absturz bringen, Sicherheitsvorkehrungen umgehen, Informationen ausspähen, falsche Informationen darstellen, seine Rechte erweitern und beliebige Befehle auf Ihrem System ausführen kann. Insbesondere über die Befehlsausführung kann ein Angreifer auf Ihrem System Schaden anrichten, weswegen das Sicherheitsupdate zeitnah installiert werden sollte.

Microsoft Sicherheitsupdates im Juni 2017 und automatisches Update des Microsoft-Moduls zum Schutz vor schädlicher Software

14.06.2017

Mit dem Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte. Microsoft Edge ist der neue Standard-Webbrowser, welcher mit Windows 10 ausgeliefert wird und als Nachfolger des Microsoft Internet Explorers Bestandteil des Betriebssystems Windows 10 ist. Microsoft Endpoint Protection ist ein Antivirus-Softwareprodukt entwickelt für die Absicherung von Microsoft-basierten Endgeräten. Microsoft Excel ist ein weit verbreitetes Tabellenkalkulationsprogramm. Microsoft Forefront ist eine Produktfamilie von Sicherheitssoftware für Unternehmen. Microsoft Forefront Produkte dienen zum Schutz von Computernetzwerken, Netzwerkservern (wie Microsoft Exchange Server und Microsoft SharePoint Server) sowie Endgeräten. Microsoft Forefront Endpoint Protection ist eine Variante für Endgeräte. Der Windows Internet Explorer von Microsoft ist ein Webbrowser für das Betriebssystem Windows. Die Microsoft Live Meeting Console ist eine Software, die den Zugang zum Microsoft Office Live Meeting Konferenzsystem ermöglicht. Microsoft Lync ist ein Instant-Messaging-Client für die Kommunikation mit dem MS Lync Server, welcher sich in Microsoft-Exchange-Umgebungen integrieren lässt. Die Malware Protection Engine ist die zentrale Komponente verschiedener Sicherheitsprodukte von Microsoft und wird für das Scannen, Erkennen und Entfernen von Viren und Spyware genutzt. Microsoft Office ist ein Paket von Bürosoftware für die Betriebssysteme Microsoft Windows und Mac OS X. Für unterschiedliche Aufgabenstellungen werden verschiedene sogenannte Editionen angeboten, die sich in den enthaltenen Komponenten, dem Preis und der Lizenzierung unterscheiden. Der Microsoft Office Compatibility Pack ermöglicht älteren MS Office Versionen das Öffnen, Editieren und Speichern von Dokumenten, die mit MS Office 2007 und 2010 erstellt wurden. Der Microsoft Office Online Server ermöglicht die Bereitstellung von browserbasierten Office-Produkten. Microsoft Office Web Apps ist die Browser-basierte Version von Word, PowerPoint, Excel und OneNote. Konzipiert sowohl für Privatkunden wie Unternehmen. Der Microsoft Office Word Viewer ist ein eigenständiges Programm zum Lesen und Drucken beliebiger Office Dokumente ohne installiertes Microsoft Office Paket. OneNote ist eine Notizerfassungssoftware von Microsoft und Teil des Office-Paketes. Microsoft Outlook ist ein als Personal Information Manager (PIM) bezeichneter E-Mail-Client für Windows und Mac. Microsoft PowerPoint ist eine Software, um interaktive Präsentationen unter Windows und Mac OS zu erstellen. Microsoft Office Project Server ist eine Server-Lösung für das Projektmanagement, die als Grundlage Microsoft SharePoint benutzt und für die Benutzerschnittstelle entweder Microsoft Project als Client oder einen Web-Browser, der mit der Project Web App (PWA)-Komponente verbunden wird, unterstützt. Microsoft Security Essentials ist eine Anwendung von Microsoft zum Schutz vor Viren, Spyware und anderer Schadsoftware. Das Programm ist für Windows 7, Windows Vista und Windows XP verfügbar. SharePoint Server ist ein Produkt der Firma Microsoft für die virtuelle Zusammenarbeit von Benutzern unter einer Weboberfläche mit einer gemeinsamen Daten- und Informationsablage. Microsoft Silverlight ist ein Addon für die Webbrowser Internet Explorer, Mozilla Firefox, Opera, Google Chrome und Safari. Es ermöglicht die Ausführung von Rich Internet Applications. Skype for Business (vormals Microsoft Lync) ist eine Kommunikations- und Kollaborationsplattform für Sofortnachrichten, Audio- und Videoanrufen, Online-Meetings und einige weitere Funktionen. Microsoft Skype for Business Basic ist der frei verfügbare Client. Windows Defender ist eine Sicherheitssoftware der Firma Microsoft zur Erkennung potenziell unerwünschter Software (vorwiegend Spyware). Die Software ist in Windows Vista, Windows 7, Windows 8 und Windows 10 vorinstalliert. Windows Intune Endpoint Protection stellt eine erweiterte Sicherheitsumgebung im Bezug auf das Update- und Policy-Management für PCs und verschiedene mobile Geräte zur Verfügung. Microsoft Word ist die Textverarbeitungssoftware des MS Office-Paketes. Word-Automatisierungsdienste ist eine neue SharePoint Server 2010-Technologie, die die unbeaufsichtigte serverseitige Konvertierung von Dokumenten ermöglicht, die von Microsoft Word unterstützt werden. Microsoft schließt mit den Updates für Juni 2017 zahlreiche Sicherheitslücken, die zum Teil schwerwiegende Auswirkungen haben können. Die Sicherheitslücken ermöglichen es einem entfernten, nicht am System angemeldeten Angreifer aus dem Internet, beliebige Befehle mit den Rechten eines angemeldeten Benutzers auszuführen. Je mehr Rechte der betroffene Benutzer für seine Arbeit verwendet, desto gravierender sind die Schäden, die ein Angreifer über die Sicherheitslücken anrichten kann. Im schlimmsten Fall kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Darüber hinaus steht erneut eine aktualisierte Version des Microsoft Windows-Tools zum Entfernen bösartiger Software bereit und Microsoft veröffentlicht sogenannte 'Defense-in-Depth-Updates', um sicherheitsbezogene Funktionen in den eigenen Produkten zu verbessern. Microsoft hat schon Ende Mai ein automatisches Out-of-band-Sicherheitsupdate zur Behebung mehrerer schwerwiegender Sicherheitslücken in verschiedenen Sicherheitsprodukten von Microsoft veröffentlicht (beispielsweise Windows Defender). Mit den Microsoft Security Advisories 4025685 stellt Microsoft weitere Hinweise und aktuelle Informationen zu den Sicherheitslücken in unterstützten Plattformen, älteren Plattformen und embedded-Plattformen sowie auch den für ältere Versionen aufgrund vorangegangener staatlicher Aktionen und des besonderen Sicherheitsrisikos ausnahmsweise veröffentlichten Sicherheitsupdates zur Verfügung (siehe auch National Security Officer-Blog – Deutschland – Michael Kranawetter: Sicherheitsupdates Juni 2017).

Sicherheitsupdate für Adobe Shockwave Player

13.06.2017

Mit dem Adobe Shockwave Player werden Dateien im Adobe-Format DCR (Shockwave) innerhalb des Browsers dargestellt. Adobe schließt eine Sicherheitslücke im Adobe Shockwave Player für Microsoft Windows, die es einem Angreifer aus dem Internet ermöglicht, beliebigen Programmcode auf dem betroffenen System zur Ausführung zu bringen.

Sicherheitsupdate für den Adobe Flash Player

13.06.2017

Mit dem Adobe Flash Player werden multimediale aktive Inhalte wiedergegeben. Das Programm ist integraler Bestandteil zahlreicher Adobe Produkte. Adobe bestätigt mehrere Sicherheitslücken im Adobe Flash Player für Windows, Macintosh, Linux und Chrome OS, die es einem nicht angemeldeten Angreifer aus dem Internet ermöglichen, beliebige Befehle und Programme auszuführen und damit unter Umständen die Kontrolle über das betroffene System komplett zu übernehmen.

Sicherheitsupdate für Adobe Digital Editions

13.06.2017

Adobe Digital Editions ist eine Software, die zur Ansicht und Verwaltung von EBooks und anderen digitalen Veröffentlichungen benutzt werden kann. Mit der Verfügbarkeit von Digital Editions 4.5.5 schließt Adobe mehrere Sicherheitslücken, die ein Angreifer aus dem Internet ausnutzen kann, um beliebige Befehle auf Ihrem Gerät auszuführen und Informationen auszuspähen. Der Update-Empfehlung des Herstellers sollte daher zügig gefolgt werden.

Sicherheitsupdates für Android

07.06.2017

BlackBerry powered by Android ist die von BlackBerry Ltd. überarbeitete Version von Google Android zum Einsatz auf BlackBerry Smartphones. Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist. LG Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem. Samsung Mobile produziert Mobiltelefone mit einem angepassten Google Android Betriebssystem. Google schließt mit den aktuellen Sicherheitsupdates für Android eine Vielzahl Sicherheitslücken, die es einem entfernten und nicht angemeldeten Angreifer ermöglichen, Informationen auszuspähen, zusätzliche Berechtigungen zu erlangen, die Verfügbarkeit bestimmter Dienste und des gesamten Gerätes zu beeinträchtigen sowie beliebige Befehle und Programme auszuführen und damit dauerhaft die Kontrolle über Ihr Gerät zu übernehmen oder die Neuinstallation des Betriebssystems zu erzwingen.

Sicherheitsupdates für Android

06.06.2017

BlackBerry powered by Android ist die von BlackBerry Ltd. überarbeitete Version von Google Android zum Einsatz auf BlackBerry Smartphones. Android ist ein Betriebssystem und eine Software-Plattform für mobile Geräte wie Smartphones, Mobiltelefone, Netbooks und Tablet-Computer. Sie wird von der Open Handset Alliance entwickelt, deren Hauptmitglied der Google-Konzern ist. Google schließt mit den aktuellen Sicherheitsupdates für Android eine Vielzahl Sicherheitslücken, die es einem entfernten und nicht angemeldeten Angreifer ermöglichen, Informationen auszuspähen, zusätzliche Berechtigungen zu erlangen, die Verfügbarkeit bestimmter Dienste und des gesamten Gerätes zu beeinträchtigen sowie beliebige Befehle und Programme auszuführen und damit dauerhaft die Kontrolle über Ihr Gerät zu übernehmen oder die Neuinstallation des Betriebssystems zu erzwingen.