Kategorie: Programme

Neue Teamviewer-Version schließt Sicherheitslücke

31. Juli 201831. Juli 2018 Daniel Lensing Keine Kommentare

In der vergangenen Woche (24.07.2018) wurde die Version 13.2.5287 der Applikation TeamViewer veröffentlicht.

Neben einigen Fehlerbehebungen wird auch eine Sicherheitslücke geschlossen. In dieser Version wird das Passwort nur 5 Minuten zwischengespeichert. Bis dato war diese Zeit bis zum Neustart des Systems im Speicher abgelegt.

Es besteht allerdings unter dem folgenden Punkt auch die Möglichkeit die Einstellung komplett zu deaktivieren:

TeamViewer Einstellungen – Erweitert – Erweiterte Einstellungen – Kennwörter für erneute Verbindungen zwischenspeichern

Zur zentralen Verteilung kann auch folgender Registry-Key genutzt werden:

Pfad: HKEY_CURRENT_USER\Software\Teamviewer
Name: CachePasswords
Typ: REG_DWORD
Wert: 0x00000000 (0)

Weitere Informationen gibt es in der Teamviewer Community

Patchday+Updates, Software

7-Zip: Version 18.05 behebt Sicherheitsproblem

7. Mai 20187. Mai 2018 Daniel Lensing Keine Kommentare

Das Zip-Programm 7Zip hat zum 30.04.2018 die Version 18.05 veröffentlicht.

In dieser wurde die Möglichkeit einen Speicherfehler zu produzieren unterbunden. Mit dem Speicherfehler ist es Angreifern möglich Schadcode auszuführen. Bei der entdeckten Lücke werden die Berechtigungen das Anwenders genutzt, um die konterminierten Programmzeilen auszuführen.

Weitere Informationen auf der 7-Zip-Webseite

Patchday+Updates

MS Office 2013 wechselt in den Extended Support

4. April 20184. April 2018 Daniel Lensing Keine Kommentare

Zum 10. April 2018 wechseln die Applikationen der Microsoft Office 2013-Suite in den Extended Support. Der Extended Support läuft mindestens 5 Jahre und enthält kostenlose Sicherheitsupdates sowie kostenpflichtige, nicht sicherheitsrelevante Updates und kostenpflichtigen Support. Microsoft nimmt während der erweiterten Support-Phase keine Anforderungen nach Entwurfsänderungen oder neuen Features entgegen.

Des Weiteren entfällt zu diesem Datum der Support für die Produkte des Visual Studio 2008 inklusive der Express Version.

Office, Patchday+Updates, VB.NET

7-Zip 18.01 schließt Sicherheitslücken

30. Januar 201830. Januar 2018 Daniel Lensing Keine Kommentare

In der Version 18.01 der auch für kommerziellen Einsatz kostenfreien Applikation 7-Zip werden die folgenden Sicherheitslücken geschlossen:

Improper exception handling in 7-Zip’s RAR3 handler can cause heap or stack memory corruptions (CVE-2018-5996)
A heap buffer overflow vulnerability in 7-Zip’s shrink decoder. (CVE-2017-17969)

Bei der erfolgreichen Ausnutzung ist eine Systemübernahme bei entsprechenden administrativen Berechtigungen des angemeldeten Benutzers oder aber zumindest ein unbemerkter Datenabfluss möglich.

Aktuell wird die benannte Version nur in englischer Sprache zum Download angeboten.
Die genaueren Sachverhalt zu den beiden Sicherheitslücken sind im Details auf der Webseite von Dave nachzulesen.

Patchday+Updates, Software

Browser-Werbung kann Logindaten abgreifen

2. Januar 20182. Januar 2018 Daniel Lensing Keine Kommentare

Durch einen Artikel bei Freedom to Tinker bin ich auf eine interessante Funktionserweiterung von Cookies gestoßen.

Viele Browser unterstützen neben dem Javascript auch Speicherung von Login-Daten. Dabei wird im unsichtbaren Bereich eine Loginfeld simuliert. Auf dieses kann dann ein Code eines Werbeanbieters zugreifen. Entsprechend hat man dann neben der abgelegten Datei ein viel besseres Authentifizierungsmöglichkeit für Werbung oder weitere Identifizierungen. Über diesen Weg können auch unbewusst Mail-Adressen gesammelt werden.

Dabei wird die Besuchererkennung ebenfalls ermöglicht, wenn die Cookies nach der Browser-Session gelöscht werden. Durch den Hash-Wert der Mailadresse kann der Benutzer eindeutig zu geordnet werden. Der Wechsel einer Mail-Adresse findet eher selten statt.

Dieses Szenario kann aber auch mit externen Passwortmanager ausgelöst werden, wenn diese automatisch Login-Felder befüllen.

Software

Filezilla ohne Speicherung von Klartextpasswörtern

12. Dezember 201713. Dezember 2017 Daniel Lensing Keine Kommentare

Bei der Nutzung des FTP-Programms Filezilla werden standardmäßig die Passwörter für eingerichtete Verbindungen in einer Datei im XML-Format gespeichert. Dabei sind die Passwörter der FTP-Server im Klartext abgelegt.

Dieses Verhalten kann im Ordner C:\Users\%username%\AppData\Roaming\FileZilla in der Datei Filezilla.xml unterbunden werden. Nach dem Öffnen der Datei zur Bearbeitung muss der Eintrag „Kioskmode“ gesucht werden. Die die dort eingetragenen Ziffer „0“ muss auf „1“ angepasst werden. Anschließend wird kein Passwort mehr gespeichert.

Sollte man bereits Verbindungen angelegt haben, sollten die beiden folgenden Dateien gelöscht werden:

sitemanager.xml
recentservers.xml

Anschließend müssen zwar die Verbindungen neu erstellt werden, allerdings sind auch keine alten Fragmente mehr abzugreifen.

Wenn man die Zahl hinter der Einstellung „Kioskmode“ auf 2 setzt, werden keine Verbindungen mehr gespeichert.

Genaueres ist im Filezilla-Wiki nachzulesen.

Software

VMWare Workstation 14 virtualisiert Sicherheit

29. September 201728. September 2017 Daniel Lensing Keine Kommentare

Seit dem 26.09.2017 steht die neuen Version 14 der Applikation VMWare Workstation sowie Player zur Verfügung. Mit dieser Version sind die folgenden Betriebssysteme zur Virtualisierung freigegeben:

Windows 10 Creators Update (auch als Build 1703 bekannt)
Ubuntu 17.04
Fedora 26
CentOS 7.4
RHEL 7.4
Debian 9.1
Oracle Linux 7.4
SLE 12 SP3
OpenSUSE 42.3

Des Weiteren wurde die Möglichkeit hinzugefügt einen virtuellen TPM-Chip zu erstellen und konfigurieren. Dieses ist unter anderem erforderlich, um ein virtuelle Windows-System mit Bitlocker zu verschlüsseln.

Ein weiteres Feature ist die Nutzbarkeit von „Virtualization Based Security“ auf Gastsystemen. So können auch auf diesen die Funktionalitäten DeviceGuard sowie CredentialGuard aus Windows 10 sowie Windows Server 2016 abgebildet werden.

Weitere Informationen: hier

Software