Nach einer gefühlten Ewigkeit hat Microsoft jetzt die ersten Preview-Versionen seines neuen, auf der Chromium-Basis entwickelten Edge-Browsers offiziell und für die breite Öffentlichkeit zugänglich gemacht. Wie bei Google Chrome werden jetzt in drei Kanälen neue Vorabversionen zur Verfügung gestellt, bevor im weiteren Jahrensverlauf die erste finale Version fertig sein soll.

Wie Joe Belfiore, Corporate Vice President im Windows-Team bei Microsoft, soeben über das offizielle Weblog bekannt gab, steht ab sofort die erste Version von Microsoft Edge auf Basis des Open-Source-Projekts Chromium zum Download bereit. Die ersten Previews werden wie bei Chrome im Rahmen der „Canary“- und „Developer“-Kanäle zur Verfügung gestellt, so dass sie auf PCs mit Windows 10 ausprobiert werden können.

Ganz wie bei Chrome wird ab sofort auch für den Chromium-basierten Edge-Browser im Canary-Channel jeden Tag eine neue Build zur Verfügung stehen, während wöchentlich eine neue Preview im Developer-Channel erscheint. Die erste Beta soll „in naher Zukunft“ verfügbar sein, wobei dann im Abstand von sechs Wochen jeweils eine neue Betaversion angeboten werden soll. Bis auch der Mac und alle anderen offiziell noch unterstützten Windows-Versionen bedient werden, wird es ebenfalls noch dauern.

Anfangs konzentriert sich Microsoft laut Belfiore auf die „Grundlagen“, so dass noch nicht das gleiche umfangreiche Paket von Features und Sprachen zur Verfügung steht, wie man es von Edge bisher gewohnt ist. In Kürze wird sich laut Belfiore zunächst das Design in kleinen Schritten ändern und außerdem werden nach und nach mehr Browser-Erweiterungen unterstützt. Auch der Umgang mit dem Nutzerprofil wird erst in den kommenden Wochen oder Monaten Einzug halten.

Wer die neuen Vorabversionen von Microsofts Edge-Browser auf Chromium-Basis ausprobieren will, muss dazu lediglich die Microsoft Edge Insider-Website aufsuchen und kann dort direkt die Dev- oder Canary-Channel-Builds herunterladen. Bei der ersten Dev-Build des Chromium-Edge handelt es sich um Version 74.1.96.24, die somit noch einmal jünger ist als die, die kürzlich von Teilnehmern des geschlossenen Insider-Testprogramms inoffiziell weitergereicht wurden.

Microsoft hat seine Ankündigung wahr gemacht und die praktisch finale Ausgabe der Windows 10 Build 18362.30 im Release-Preview-Ring des Insider-Programms zum Download bereitgestellt. Damit können interessierte Anwender nun offiziell bereits das Windows 10 „May 2019 Update“ einsetzen – oder zumindest jene Build, die dazu werden soll.

Wie Brandon LeBlanc vom Windows Insider-Team im offiziellen Weblog der Entwicklerbekanntgab, wird das Windows 10 „May 2019 Update“ nun an die Tester aus dem Release Preview Ring verteilt. Allerdings bekommen nur jene Tester das Update auch ausgeliefert, die aktiv danach suchen, wie LeBlanc in seinem Blog-Post betonte. Wie angekündigt, soll die Update-Build nun für einen verlängerten Zeitraum getestet werden, um wirklich alle verbleibenden Probleme zu finden.

Wie schon zuvor forderte LeBlanc die Tester auf, sich jetzt darum zu kümmern, die richtigen Einstellungen für den Bezug von Insider-Builds zu wählen – je nachdem, ob sie die kommenden Windows 10 20H1 Builds aus dem „Fast Ring“ oder eben die „Release Preview“-Build aus dem entsprechenden Release Preview- oder dem Slow-Ring beziehen wollen. Wer jetzt den Absprung verpasst und bald eine neue Build aus dem „Fast Ring“ für Windows 10 20H1 erhält, kann laut Microsoft nicht mehr ohne eine Neuinstallation zurück in einen der anderen Insider-Ringe wechseln.

Für Tester im ‚Fast Ring‘ gibt es bald kein Zurück mehr

LeBlanc wiederholte auch, dass man noch im Frühjahr mit der Auslieferung der ersten Insider-Builds für Windows 10 19H2 beginnen will. Dieses Update soll noch vor Windows 10 20H1 in der zweiten Jahreshälfte 2019 erscheinen, wobei bisher keine Details zu Microsofts Plänen bekannt sind. Denkbar wäre, dass Version 19H2 doch wieder nur ein kleineres Update wird, bevor dann im Frühjahr 2020 das nächste wirklich größere Update in Form von Windows 10 20H1 ins Haus steht.

Wer das Windows 10 „May 2019“ Update schon jetzt nutzen will, aber keine der Previews installiert hat, kann dem Windows Insider-Programm betreten. Dazu wird am besten der Insider-Bereich in den Update- und Sicherheitseinstellungen von Windows 10 verwendet, wo man dann auch die Möglichkeit bekommt, sein Nutzerkonto mit dem Insider-Programm zu verbinden.

Im Anschluss muss man dann die Option für „Nur Fehlerbehebungen, Apps und Treiber“ wählen, um dem „Release Preview“-Ring beizutreten und das „Mai 2019 Update“ zu erhalten. Nach einem Neustart kann man dann wieder in den Insider-Bereich der Einstellungen zurückkehren, um dort noch einmal zu prüfen, dass man sich im Release-Preview-Ring befindet. Ist dies der Fall, kann man einfach per Windows Update nach neuen Updates suchen und erhält dann auch das „fertige“ Windows 10 May 2019 Update.

Microsoft hat mit dem Windows 10 Oktober 2018 Update auch eine für viele Anwender im Alltag sicherlich nützliche Änderung vorgenommen – ohne diese bisher wirklich öffentlich zu dokumentieren. Wer die aktuellste Ausgabe des Betriebssystems im Einsatz hat, muss USB-Geräte vor dem herausziehen des Steckers inzwischen nicht mehr „sicher entfernen“.

Bei ZDNet wurde man kürzlich darauf aufmerksam, dass Microsoft in einem neuen Eintrag in der Knowledge-Base dokumentiert hat, wie die Richtlinien beim Umgang mit USB-Geräten mit Windows 10 Version 1809 geändert wurden. Wer künftig einen SD-Kartenleser, einen USB-Stick oder andere USB-Geräte aus dem Port des Host-Rechners entfernt, muss dabei nicht mehr grundsätzlich einen bisher nötigen Zwischenschritt ausführen. Das angeschlossene Gerät lässt sich also ohne weiteres abziehen.

Bisher war das „Sichere Entfernen“ der Geräte immer zu empfehlen, da die Standard-Einstellung für das Abziehen eines USB-Speichergeräts immer die „Beste Performance“ war. Dabei versucht Windows beim Umgang mit externen Speicherlösungen eine möglichst gute Leistung zu bieten, wofür bei bestimmten Aktivitäten auch ein Cache der zu übertragenden Daten angelegt wurde. Damit nun beim „plötzlichen“ Abziehen eines USB-Speichers kein Datenverlust auftritt, musste man bisher immer den Weg über das Symbol im System-Tray gehen, um das jeweilige Gerät „sicher“ auszuwerfen.

Abziehen ohne Abmelden möglich, aber nicht immer zu empfehlen

Jetzt hat Microsoft auf „Schnelles Entfernen“ umgestellt, so dass kein Cache mehr angelegt wird. Dies bedeutet zwar, dass man die Speichergeräte vor dem Entfernen nicht mehr mit einem Zwischenschritt vom System „abmelden“ muss, allerdings könnten die Übertragungsraten dadurch auch nicht mehr ganz so hoch ausfallen. Außerdem kann es nun natürlich zumindest in der Theorie häufiger vorkommen, dass ein Anwender sein Speichergerät abzieht, ohne dass wirklich alle Daten sicher dort angekommen sind.

Wer künftig ganz sicher sein will, dass sein USB-Speicher nicht durch unvorbereitetes Abziehen des USB-Sticks, der SD-Karte oder Thunderbolt-Geräts Datenverlust erleidet, kann zum Einen weiterhin den klassischen Umweg über das Menü im System-Tray gehen und das USB-Gerät „Sicher entfernen“, andererseits lässt sich aber auch wieder auf die alte Art des Umgangs mit externen Speichergeräten umstellen. Dazu muss man lediglich im Datei-Explorer prüfen, welchen Laufwerksbuchstaben das externe Speichergerät hat.

Im Anschluss kann man mittels eines Rechtsklicks auf den Start-Button von Windows die Datenträgerverwaltung starten, um dann erneut im Rechtsklickmenü des jeweiligen Laufwerks die „Richtlinien“ anzuwählen. Dort lässt sich dann die Einstellung zwischen „Schnellem Entfernen“ und „Bester Leistung“ umschalten. Wer also wirklich wichtige Dokumente kopiert und ganz sicher gehen will, bekommt so die Möglichkeit auch weiterhin die alte Methode zu verwenden – inklusive Schreib-Cache.

Die Basis von Windows 10 19H1 Mai-2019-Update steht mit Build 18362.30 fest. Wer möchte, kann schon jetzt eine ISO erstellen und das neue Funktionsupdate installieren.

Microsoft hat die Entwicklung von Windows 10 19H1 alias 1903 oder Mai-Update-2019 im Wesentlichen abgeschlossen. Das Build 18362.30 steht als Basis für das kommende Feature-Update fest. Diese Version wird nun von Insidern und OEMs getestet, bevor sie Ende Mai der Allgemeinheit zur Verfügung gestellt wird. Eventuell auftretende Fehler will Microsoft mit kumulativen Updates beheben.

Wer das neue Funktionsupdate schon heute testen will, kann es bereits von den Microsoft-Servern herunterladen. Allerdings steht dort noch keine ISO parat. Über den Webdienst https://uup.rg-adguard.net/ kann man sich ein Skript erstellen lassen, das von den Microsoft-Servern auf Basis von Dateien der Unified Update Platform (UUP) eine fertige ISO erstellt, mit der man Windows 10 19H1 installieren kann. Mit der ISO kann auch ein bootbarer USB-Stick erstellt werden.

Hinweis: Microsoft hat Windows 19H1 Mai-2019-Update Build 18362.30 noch nicht freigegeben. Es handelt sich also um eine Vorabversion, die noch Fehler enthalten kann. Produktiv sollte sie nur eingesetzt werden, wenn man sie für die entsprechenden Geräte zuvor getestet hat. Sobald Microsoft die endgültige Version von Windows 19H1 Ende Mai freigegeben hat, wird man diese Version durch ein kumulatives Update zur finalen Fassung aktualisieren können.

Skript konfigurieren und abspeichern

Zunächst startet man unter https://uup.rg-adguard.net/ die Konfiguration des Skripts, das dafür sorgt, dass die finale ISO den gewünschten Eigenschaften (Platform: x86, x64 oder arm64, Sprache: Deutsch, Versionen: Pro, Home, Alle) entspricht. Der Dienst stellt zwei Skripte anhand der Konfiguration bereit. Die Standardversion creatingISO_18362.30_de-de_amd64_all.cmd erlaubt keine weitere Anpassung der ISO, während mit multi_creatingISO_18362.30_de-de_amd64_all.cmd noch weitere Einstellungen vorgenommen werden können.

Skript-Datei ausführen

Nun lädt man das Skript multi_creatingISO_18362.30_de-de_amd64_all.cmd herunter, startet die Eingabeaufforderung und navigiert in das Downloadverzeichnis, in das man die Skript-Datei abgespeichert hat und startet multi_creatingISO_18362.30_de-de_amd64_all.cmd.

Anschließend muss man dem Skript noch Adminstratorrechte gewähren, damit es seine Arbeit verrichten kann. Danach öffnet sich ein Konfigurationsmenü. Damit kann man beispielsweise noch Komponenten wie .Net Framework 3.5 der ISO hinzufügen. Wer diese Art der Modifikation nicht benötigt, kann alternativ das Skript creatingISO_18362.30_de-de_amd64_all.cmd herunterladen und ausführen.

Hat man die Konfiguration abgeschlossen oder ist mit der Standardkonfiguration zurieden, beginnt das Skript mit dem Drücken der Enter-Taste seine Arbeit. Zunächst lädt es die einzelnen Komponenten von Windows 10 19H1 herunter.

Nun konvertiert das Skript heruntergeladene CAB-Dateien und Verzeichnisse zu einer ESD (Electronic Software Delivery).

Im Regelfall zeigt das Skript den Fortschritt der jeweiligen Operation in Prozent an. Manchmal ist das aber nicht der Fall, sodass der Eindruck entsteht, dass das Skript an einer bestimmten Stelle hängengeblieben ist. Das ist aber nicht der Fall, wie man anhand des Taskmanagers und der CPU-Auslastung sehen kann.

Die Zeitdauer für die Erstellung der ISO ist abhängig von der gewählten Konfiguration, der Leistungsfähigkeit des Internetzugangs und von der Performance des PCs. Im Test mit einem 32-MBit-Anschluss und einem Notebook auf Basis eines Core m3-6Y30 mit SSD und 4 GByte RAM hat die Erstellung der ISO mit allen Windows-Versionen über vier Stunden gedauert. Entscheidet man sich hingegen nur für Home und Pro ist der Vorgang nach knapp einer Stunde beendet. Allein für den Download der Dateien vergehen bei einem 32-MBit-Anschluss etwa 20 Minuten. Mit einem Core-i5-Notebook und 8 GByte RAM war die Erstellung der ISO mit allen Windows-Versionen hingegen nach gut zwei Stunden abgeschlossen.

Betriebssystem-Aktualisierung mit Windows 10 19H1 Mai-2019-Update

Nun klickt man auf die fertige ISO, sodass diese im Explorer eingebunden wird. Mit einem Klick auf Setup.exe startet die Installation von Windows 10 19H1. Die Installation von Windows 19H1 war auf den getesteten Notebooks nach circa 30 Minuten abgeschlossen.

Neuinstallation: Windows 10 19H1 Mai-2019-Update

Wer mit der ISO einen bootfähigen USB-Stick erstellt, kann Windows 10 19H1 frisch auf einem PC installieren. Damit werden keine Daten oder Programme der bisherigen Variante übernommen. Wer sich bei der Konfiguration des Skripts für sämtliche Windows-10-Varianten entschieden hat, kann bei der Installation vom USB-Stick zwischen den Versionen Home, Pro, Home Single Language, Pro Education, Education, Pro for Workstation, Pro Single Language, Enterprise, Enterprise for Remote Sessions, IoT Enterprise sowie den N-Varianten (ohne Medienabspielprogrammen und Codecs) auswählen.

Mit der Auswahl Home oder Pro bei der Konfiguration des Skripts enthält die finale ISO, anders als man vermuten könnte, beide Versionen, also Home und Pro, sowie die dazugehörigen N-Varianten. Wie bislang üblich, ist bei einem Start vom USB-Stick ein Upgrade unter Beibhealtung bisheriger Daten und Awendungen einer bestehenden Windows-Installation nicht möglich. Dies funktioniert nur, wenn man Setup.exe unter Windows aufruft.

Darunter finden sich auch einige mit kritisch bewertete Sicherheitslücken. Für die Pixel-Smartphones wird das Update bereits ausgeliefert.

Google hat die Bulletins für den April-Patchday seines Mobilbetriebssystems Android veröffentlicht. Wie immer unterteilt es die Sicherheitsupdates auf zwei Level. Der Patch-Level 1. April schließt insgesamt elf Sicherheitslücken, von denen zwei mit kritisch eingestuft sind. Letztere erlauben das Einschleusen und Ausführen von Schadcode. Betroffen sind die OS-Versionen 7.x Nougat, 8.x Oreo und 9 Pie. Weitere vier Lücken schließt der Patch-Level 5. April auf Systemebene, wovon eine als kritisch eingestuft ist. Zudem korrigiert das Update auch zahlreiche Schwachstellen in Qualcomm-Komponenten. Darunter finden sich sieben kritische Sicherheitslücken.

Das Update für Googles Pixel-3-Smartphones enthält außerdem einige Korrekturen. Sie betreffen die Sprachaktivierung des Google-Assistenten sowie WLAN-Verbindungen bei Aktivierung einer eSIM. Außerdem soll nun der Allways-On-Screen keine Fehler mehr aufweisen. Bei Pixel-Smartphones soll durch das Update die Bluetooth-Verbindung stabiler werden.

Für die Pixel-Smartphones stehen die Updates als Stock-Image bereits zur Verfügung. Auch Over-The-Air (OTA) wird die Aktualisierung bereits augeliefert.

Updates anderer Hersteller

Neben Google veröffentlichen auch einige Smartphone-Hersteller wie Samsungmonatliche Sicherheits-Bulletins, die Angaben über in ihren Geräten verwendeten Schwachstellen enthalten. Diesen Monat berichtet beispielsweise Samsung über insgesamt 15 Lücken, von denen mindestens zwei mit kritisch eingestuft wird. Samsung nennt aus Sicherheitsgründen keine Details zu weiteren Schwachstellen, wobei es sich vermutliche ebenfalls um kritische Sicherheitslücken handeln dürfte. Samsung beginnt mit der Auslieferung der Sicherheitspatches erfahrungsgemäß etwa zwei Wochen nach der Veröffentlichung der neuesten Android-Sicherheitsbulletins. Zudem beinhalten die monatlichen Updates der Smartphone-Herstellern wie Samsung nur den ersten Patch-Level. Sicherheitslücken, die Google im Patch-Level 5. April beschreibt, werden in der Regel einen Monat später geschlossen.

Samsung hat außerdem angekündigt, dass Galaxy S7 und S7 Edge nur noch alle drei Monate Sicherheitsupdates erhalten. Zuvor wurden die Geräte drei Jahre langmonatlich aktualisiert.

Sicherheit von Smartphones

Sicherheitspatches sind eine wichtige Kompenente, um Smartphones vor Angriffen Cyberkrimineller zu schützen. Weitere Sicherheits-Schichten wie ein Sandboxing von Anwendungen und Sicherheitsservices wie etwa Google Play Protect sind gleichermaßen wichtig, wie Google in einem Blog erläutert. Insgesamt hat sich das Sicherheitsniveau von Android-Smartphones in den letzten Jahren erheblich verbessert. Das bestätigt auch der deutsche Sicherheitsforscher Karsten Nohl in einem Interview mit Spiegel-Online: „Android als Technologie ist in den letzten Jahren sehr viel sicherer geworden, vermutlich sogar sicherer als Windows.“ Apple habe jedoch mit iOS den Vorteil, dass es Updates zentral verteilen kann. Bei Android hingegen, werde ein Patch von Google über den Chiphersteller an den Smartphone-Hersteller weitergeleitet. Damit diese Updates aber auch beim Nutzer ankommen, müssen sie noch über die Mobilfunkanbieter ausgerollt werden. Dabei können Updates natürlich schneller auf der Strecke bleiben.

Trotz fehlender Updates sei es für Angreifer inzwischen sehr schwierig, einen Angriff auf ein Android-Gerät auszuführen, was mit der hohen Komplexität und Sicherheitsmechanismen des Betriebssystems zusammenhängt. Auch bedeutete ein fehlender Patch noch nicht, dass der Fehler auch ausgenutzt werden könne. Nohl erklärt daher, „Moderne Betriebssysteme beinhalten verschiedene Sicherheitsbarrieren, wie ASLR und Sandboxing, die allesamt typischerweise überwunden werden müssen, um ein Telefon remote zu hacken.“ Daher reichten einige vergessene Patches in der Regel nicht aus, damit Hacker ein Gerät übernehmen können. „Für einen erfolgreichen Angriff müssen statt dessen mehrere Bugs zu einer Kette verknüpft werden.“ Aufgrund dieser hohen Komplexität setzen die Kriminellen auf andere Methoden wie Social Engineering, um Anwendern bösartige Apps unterjubeln zu können. „Tatsächlich wurde im vergangenen Jahr kaum Hacking-Aktivität um Android herum festgestellt.“

Laut einer Untersuchung von Gartner liegt Android inzwischen in Sachen Sicherheit vor iOS. Dabei bietet Samsung Knox die meisten Vorteile. Von den von Gartner überprüften zwölf Funktionen im Bereich „Corporate Managed-Security“ erreicht Samsung Knox zu 100 Prozent die Bewertung „strong“, während unter iOS 11 nur bei 5 von 12 Parametern mit „strong“ bewertet werden. Bei den von Gartner überprüften 16 Geräte-Sicherheitsfunktion erreicht Samsung Knox in dreizehn Fällen die Bewertung „strong“, während iOS 11 nur sieben Mal die Bestnote erhält. Auch generell holt Android laut Gartner gegenüber iOS auf. Während Smartphones mit Android 7 und fünf „strong“-Bewertungen der iOS-Plattform noch unterlegen waren, erreichen Smartphones mit Android 8 11-mal die Bestnote und ziehen damit am iPhone vorbei. Daten zu Android 9 und iOS 12 hat Gartner noch nicht veröffentlicht.

Die Ladematte entspricht nicht Apples Qualitätsstandards. Die Absage kommt rund eineinhalb Jahr nach der ersten Ankündigung. Angeblich bekommen die Apple-Techniker das Problem der Hitzeentwicklung nicht in den Griff.

Apple hat die Veröffentlichung der bereits im Herbst 2017 angekündigten drahtlosen Ladematte AirPower abgesagt. Das Gerät, das in der Lage sein sollte, ein iPhone, eine Apple Watch und den drahtlosen Lade-Case der AirPods gleichzeitig mit Strom zu versorgen, erfüllte nach Angaben des Unternehmens während der Entwicklung nicht Apples Qualitätsstandards. Zur Art der Probleme machte der iPhone-Hersteller jedoch keine Angaben.

„Nach vielen Bemühungen sind wir zu dem Schluss gekommen, dass AirPower nicht unsere hohen Standards erfüllen wird und wir haben das Projekt eingestellt“, wird Dan Riccio, Senior Vice President des Bereichs Hardware Engineering bei Apple, in einer Stellungnahme zitiert. „Wir entschuldigen uns bei den Kunden, die sich darauf gefreut haben. Wir glauben weiterhin, dass die Zukunft drahtlos ist und werden am drahtlosen Erlebnis festhalten.

Während der offiziellen Vorstellung des iPhone X hatte kein geringerer als Apples Marketingchef Phil Schiller die Ladematte avisiert. Er versprach im Herbst 2017 nicht weniger als „ein einzige und effizienteres Ladesystem“ für bis zu drei Geräte. „Das ist mit den gegenwärtigen Standards nicht möglich“, sagte Schiller damals. „Aber unser Team weiß, wie das zu bewerkstelligen ist. Wir nennen es AirPower.“

Vor rund einem halben Jahr berichtete der Apple-nahe Blogger John Gruber, dass sich die Apple-Ingenieure mit ihrem Vorhaben übernommen hätten. Der Einbau von drei Ladespulen in einem kompakten System habe zu erheblichen Hitzeproblemen geführt, wie von skeptischen Entwicklern vorhergesagt. Der australische Blogger Sonny Dickson wies zudem darauf hin, dass die Hitzeentwicklung nicht nur die Ladeleistung beeinträchtige, sondern auch zu einer Erwärmung der zu ladenden Geräte führe. Es seien aber auch hardware- und softwarebedingte Kommunikationsprobleme aufgetreten.

Ende Oktober 2017 übernahm Apple das neuseeländische Start-up PowerbyProxi, das Lösungen für das drahtlose Laden von Akkus entwickelte. Apple bezeichnete das Unternehmen zu dem Zeitpunkt als „großartige Ergänzung, da Appel an einer drahtlosen Zukunft arbeitet.“ Unklar ist, ob von PowerbyProxi entwickelte Techniken bei der Entwicklung von AirPower helfen sollten und nicht die in sie gesetzten Erwartungen erfüllten.

Das Apple ein bereits angekündigtes Produkt nach rund eineinhalb Jahren absagt, ist sehr ungewöhnlich. In der Regel ist das Unternehmen nämlich in der Lage, seine Zusagen einzuhalten – meistens auch im vorgesehen Zeitrahmen. Dass sich neue Apple-Produkte verspäten, und sei es auch nur aus Sicht der Nutzer, ist jedoch nicht neu. So warten Kunden des Unternehmens schon länger auf einen Nachfolger des 2013 vorgestellten Mac Pro. Zudem hatten zuletzt Fehler in iOS wie der Gruppen-FaceTime-Bug für Kritik an der Qualität von Apple-Produkten gesorgt.

Sie steckt im Debug-Protokoll der Router-Firmware. Ein Angreifer kann Schadcode einschleusen und die Kontrolle über den Router übernehmen. Der Entdecker der Sicherheitslücke wirft TP-Link vor, trotz Kontaktaufnahme über das dafür vorgesehene Web-Formular, keine Antwort erhalten zu haben.

Matthew Garrett, Sicherheitsingenieur bei Google, hat eine kritische Schwachstelle im Smart-Home-Router SR20 von TP-Link entdeckt. Sie ermöglicht es, Schadcode einzuschleusen und mit Root-Rechten auszuführen. Die Anfälligkeit macht der Forscher nun öffentlich, weil TP-Link es nicht innerhalb der üblichen Frist von 90 Tagen geschafft hat, einen Patch bereitzustellen.

Einer Twitter-Konversation zufolge wurde TP-Link Ende Dezember über das Problem informiert. Demnach soll sich das Unternehmen jedoch nie reagiert haben, obwohl die Meldung über das dafür von TP-Link angebotene Online-Formular für Sicherheitslücken erfolgte. Auch weitere Versuche, mit TP-Link in Kontakt zu treten, sollen erfolglos verlaufen sein.

Der Fehler wiederum steckt in einem Prozess namens tddp, den TP-Link-Router offenbar regelmäßig aufrufen. Dabei handelt es sich um das TP-Link Device Debug Protocol, das auf Root-Ebene ausgeführt wird und bestimmte Befehle ohne Authentifizierung verarbeiten kann. Das soll es einem Angreifer wiederum ermöglichen, beliebigen Code im Netzwerk auszuführen.

Garrett räumte auf Twitter ein, dass es nicht möglich ist, die Schwachstelle aus der Ferne auszunutzen. Unbefugte mit Zugriff auf ein Netzwerk seien jedoch in der Lage, den Router so zu manipulieren, dass sie anschließend auch über das Internet auf das Netzwerk zugreifen könnten.

Darüber hinaus kritisierte der Forscher, dass eine für den produktiven Einsatz vorgesehen Firmware überhaupt eine Debug-Funktion enthält. „Hören Sie auf, eine Produktionsfirmware mit einem Debug-Daemon auszuliefern, und wenn Sie schon ein Webformular für Sicherheitsprobleme haben, dann sollten Sie auch jemanden haben, der darauf antwortet“, twitterte Garrett.

Weitere technische Details der Schwachstelle veröffentlichte der Forscher in seinem Blog. Dort findet sich auch ein Proof-on-Concept für einen erfolgreichen Angriff auf TP-Links Smart Home Router.

Der SR20 von ist ein 2016 vorgestellter Smart-Home-Router von TP-Link. Er stellt nicht nur per Gigabit-Ethernet und WLAN 802.11ac eine Internetverbindung zur Verfügung, sondern dient auch als Schnittstelle für Smart-Home-Geräte. Sie lassen sich über die Funkstandards ZigBee und Z-Wave steuern. Eine weitere Besonderheit ist ein Touch-Display, über das sich die wichtigsten Funktionen steuern lassen.

Auch bei der dritten Generation sind offenbar Ausfälle einzelner Tasten durch Staub und Schmutz möglich. Apple spricht von einer kleinen Zahl von Betroffenen. Das Unternehmen betont aber auch, dass die meisten Nutzer mit der sogenannten Butterfly-Tastatur zufrieden sind.

Apple hat sich für die offenbar immer noch nicht gelösten Probleme der Tastaturen seiner MacBooks entschuldigt. Das Unternehmen bestätigt damit einen Bericht des Wall Street Journal, wonach die Keyboards mit Apples Butterfly-Switches auch drei Jahre nach ihrer Einführung noch immer anfällig für Staub und Verschmutzungen sind, die wiederum zu Ausfällen einzelner Tasten führen können.

„Uns ist bekannt, dass eine geringe Zahl von Nutzern Probleme mit der dritten Generation unsere Butterfly-Keyboards hat und das tut uns leid“, sagte ein Apple-Sprecher. „Der größte Teil der Mac-Notebook-Kunden hat einen positiven Eindruck von der neuen Tastatur.“

Die neue Schalter-Technik für Tastaturen hatte Apple 2015 mit dem 12-Zoll-MacBook eingeführt. Das Butterfly-Keyboard sollte die Entwicklung dünnerer Geräte ermöglichen. Seitdem wurde die Tastatur-Technik zweimal überarbeitet – zuletzt im Sommer 2018. Eine neue Silikon-Membran sollte die offenbar empfindlichen Schalter vor dem Eindringen von Staub und anderen Verschmutzungen schützen.

Der Reparatur-Spezialist iFixit kritisiert zudem, dass sich betroffene Tastaturen nur schlecht oder gar nicht reparieren lassen. „Bei jeder anderen Tastatur können Sie die Tasten entfernen und den Staub mit etwas Druckluft ausblasen, aber Apples Butterfly-Tastatur macht diese einfache Arbeit zu einem Albtraum: Während die meisten Tasten entfernt und ausgeblasen werden können (wie Apple empfiehlt), behebt das manchmal einfach nicht das Problem.“

Bei der Leertaste sei indes das Risiko sehr hoch, dass sie beim Entfernen beschädigt werde. Auch ein Austausch der Tastatur sei keine Option, da sie fest mit anderen Bauteilen wie dem Akku, dem Trackpad und den Lautsprechern verbunden sei.

Inzwischen beschäftigen sich auch schon Anwälte mit dem Fall. Sie drohen Apple mit Sammelklagen von Verbrauchern. Das Unternehmen soll außerhalb der Garantie für den Austausch einer Tastatur bis zu 700 Dollar verlangen.

Immer dünnere Geräte mögen zwar bei Verbrauchern gut ankommen, ihre Entwicklung stellt aber offenbar hohe Anforderungen an die Ingenieure und auch an die verwendeten Bauteile. Ein weiteres Beispiel dafür ist das Bildschirmkabel einiger aktueller MacBook-Pro-Modelle. Es kann beim regelmäßigen Öffnen und Schließen des Displays verschleißen, was zu Störungen der Anzeige führen kann. Auch kann eine Reparatur mehr als 600 Dollar kosten, weil das Kabel fest mit der Displayeinheit verbunden ist. Das Kabel selbst würde laut iFixit nur rund 6 Dollarkosten. Inzwischen soll Apple dieses Problem durch den Einsatz eines etwas längeren Kabels gelöst haben.

Lockbox macht alle in Firefox gespeicherten Passwörter unter Android verfügbar. Die App übergibt Anmeldedaten auch an mobile Apps von Drittanbietern. Auch eine Authentifizierung per Fingerabdruck oder Gesicht ist möglich.

Mozilla hat seinen Passwortmanager Firefox Lockbox für Android verfügbar gemacht. Die App ist ab sofort im Google Play Store erhältlich. Hervorgegangen aus einem Test-Pilot-Experiment soll Firefox Lockbox Nutzern bei der Verwaltung ihrer Online-Identitäten helfen und diese auch außerhalb des Browsers Firefox auf mobilen Geräten verfügbar machen.

Die App richtet sich vor allem an Nutzer, die Passwörter für Online-Konten bereits im Firefox-Browser hinterlegt haben. Sie können diese Kennwörter über ihr Firefox-Konto mit Firefox Lockbox synchronisieren, statt sie einzeln in den Passwortmanager einzugeben.

„Firefox Lockbox ist eine einfach zu bedienende App, die einen unkomplizierten Zugriff auf alle Passwörter ermöglicht, die Sie bereits in Ihrem Firefox-Browser gespeichert haben“, heißt es im Mozilla-Blog. „Anders als bei einem traditionellen Passwortmanager müssen Sie dafür nichts weiter einrichten. Das macht Firefox Lockbox zu einer optimalen Lösung für alle, die ihre persönlichen Daten schützen möchten, aber keine Zeit haben, alle Zugangsdaten in einen Passwortmanager zu übertragen.“

Die App erlaubt es also, ursprünglich in Firefox hinterlegte Passwörter per Autofill-Funktion an mobile Apps zu übergeben. Mozilla beschreibt in seinem Blogeintrag ein Szenario, indem ein Nutzer einen Videodienst auf dem Desktop-PC in Firefox nutzt und dafür sein Kennwort in dem Browser gespeichert hat. Lockbox sei in dem Fall in der Lage, das Kennwort an die mobile App des Streamingdiensts zu übermitteln. Zudem werde auf kompatiblen Geräten auch die Anmeldung per Fingerabdruck oder Gesichtserkennung unterstützt.

„Verabschieden Sie sich von Ihren Spickzetteln, die als Klebezettel an Ihrem Bildschirm hängen oder als Notiz oder Kontakt in ihrem Handy gespeichert sind: Mit der Autofill-Funktion in Firefox Lockbox können Sie nahtlos von Firefox Quantum zu Firefox Mobile wechseln, da alle Zugangsdaten für Ihre häufig verwendeten Apps wie Facebook oder Yelp direkt auf Ihr Smartphone übertragen werden“, ergänzte Mozilla.

Zum Start ist Firefox Lockbox für Android allerdings nur in englischer Sprache verfügbar. Gleiches gilt auch für die iOS-Version, die seit ihrem ersten Release im Juli 2018 unter anderem für die Nutzung auf iPads optimiert wurde.

Der Browser bezieht zusätzliche Software-Bibliotheken von eigenen Update-Servern. Das ist laut den Google-Richtlinien verboten. Zudem kommuniziert er unverschlüsselt mit den eigenen Servern. Der Anbieter UCWeb ignoriert das Problem offenbar.

Im von der Alibaba-Tochter UCWeb entwickelten UC Browser steckt offenbar ein schwerwiegender Design-Fehler. Er erlaubt es Angreifern, Updates für den Browser zu manipulieren, wie Forscher des russischen Sicherheitsanbieters Dr. Web herausgefunden haben. Davon betroffen sind alleine mehr als 500 Millionen Nutzer, die den Browser über den Google Play Store heruntergeladen haben.

Dr. Web kritisiert, dass der UC Browser zusätzliche Software-Bibliotheken von eigenen Servern bezieht, statt sie von Googles offiziellen Play-Store-Servern abzurufen. „Das verstößt gegen Googles Regeln und ist eine ernste Sicherheitsbedrohung, weil es ermöglicht, dass beliebiger Code, also auch Schadcode, auf Android-Geräte gelangt“, warnen die Forscher von Dr. Web.

Besonders heikel ist ihnen zufolge, dass der UC Browser Updates über eine unverschlüsselte HTTP-Verbindung erhält, was Man-in-the-Middle-Angriffe (MITM) begünstigt. „Falls Cyberkriminelle die Kontrolle über die Befehlsserver des Browsers erhalten, können sie die eingebaute Update-Funktion nutzen, um beliebigen ausführbaren Code zu verteilen, darunter Malware. Außerdem ist der Browser anfällig für MITM-Angriffe“, so die Forscher weiter.

Um beispielsweise eines neues Plug-in herunterzuladen sende der Browser eine Anfrage an seinen Befehlsserver und erhalte als Antwort eine Link zu einer Datei. Da die Kommunikation unverschlüsselt erfolge, könnten Cyberkriminelle die Anfragen abfangen und die Adressen ändern. „Das bringt den Browser dazu, neue Module von gefährlichen Servern statt vom eigenen Befehlsserver zu laden. Da der UC Browser mit unsignierten Plug-ins arbeitet, wird er schädliche Module ohne jegliche Prüfung ausführen.

Von dem Problem ist nicht nur der UC Browser, sondern auch die App UC Browser Mini betroffen, die weitere 100 Millionen Installationen im Play Store zählt. Sie soll jedoch nicht anfällig für MITM-Angriffe sein – die Manipulation von Update-Dateien soll aber trotzdem möglich sein. Bleeping Computer will zudem herausgefunden haben, dass die Desktopversion des UC Browsers MITM-Angriffe erlaubt und damit das Einschleusen gefährlicher Erweiterungen.

Laut Dr. Web haben die Entwickler von UCWeb bisher die Sicherheitswarnungen ignoriert. Deswegen sei inzwischen auch Google über die Anfälligkeiten informiert worden. Trotzdem sei der Browser weiterhin im Play Store erhältlich.