MIt ausgeklügelten Fuzzing-Tests schießen sich die Sicherheitsforscher von Check Point auf den verbreiteten PDF-Viewer ein. Nach 50 Tagen können sie 53 kritische Sicherheitslücken als CVE melden.

Check Point Research hat es mit ausgeklügelten Methoden geschafft, in 50 Tagen dieselbe Anzahl von Sicherheitslücken im PDF-Viewer Adobe Reader aufzudecken. Das gelang der Sicherheitsfirma mithilfe einer als Fuzz Testing oder Fuzzing bezeichneten Technik. Durch die automatisierte Eingabe großer Mengen zufälliger Daten in ein System – mit dem Ziel, einen Absturz auszulösen – lassen sich mit Fuzzing Programmierfehler in Software, Betriebssystemen oder Netzwerken aufdecken. Das soll eine spätere Nutzung simulieren, bei der nicht immer nur plausible Daten zu verarbeiten sind. Tritt ein Fehler auf, kann ein Fuzz Tester oder Fuzzer genanntes Tool Hinweise auf die möglichen Ursachen liefern. Das Fuzzing wurde bereits 1989 an der University of Wisconsin-Madison entwickelt, aber im Laufe der Jahre zu einer immer ausgereifteren und effektiveren Technik für Softwaretests entwickelt.

Bei Checkpoint kam das Windows-Fuzzing-Framework WinAFL zum Einsatz gegen Adobe Reader, der zweifellos zu den weltweit verbreitetsten Softwareprodukten zählt. Über ihren Erfolg waren die Sicherheitsforscher selbst verblüfft: „Das ist durchschnittlich eine Schwachstelle pro Tag – nicht eben die übliche Geschwindigkeit bei dieser Art von Forschung.“ In einem Blogeintrag berichteten sie ausführlich über die angewandten Methoden.

AFL (American Fuzzy Lop) beschrieben sie als einen extrem solide implementierten Fuzzer mit einer ausgeklügelten Heuristik – „nachgewiesen äußerst erfolgreich darin, echte Bugs in echter Software zu finden“. Das für die Fehlersuche genutzte WinAFL ist ein Fork von AFL for Windows, geschaffen und gepflegt von Ivan Fratric (Google Project Zero). Laut Checkpoint eignet sich die Windows-Version durch ihren Instrumentationsstil besonders, wenn ausführbare Programme mit geschlossenem Quellcode das Ziel sind. „Wir fanden WinAFL besonders effektiv darin, Format-Bugs zu finden, insbesondere in komprimierten binären Formaten (Bilder / Videos / Archive)“, merkten die Forscher an.

Das Fuzzing-Setup bestand aus einer VM mit 8 bis 16 Rechenkernen und 32 GByte RAM mit Windows 10 (64 Bit) als Betriebssystem. Das Fuzzing erfolgte auf einem RAM-Laufwerk, wofür das ImDisk-Toolkit genutzt wurde. Aus Performancegründen wurde außerdem Windows Defender deaktiviert. Diese Strategie wurde mit der Entdeckung von insgesamt 53 kritischen Fehlern belohnt, die inzwischen als Common Vulnerabilities and Exposures (CVE) offengelegt sind. Einer der so ausgemachten Fehler wurde kurz zuvor bereits an Adobe gemeldet und offenbar tatsächlich schon aktiv ausgenutzt.

Die aufgedeckten Schwachstellen lösten eine heftige Debatte um Adobe Readerund seine Zukunft auf der Social-News-Website Hacker News aus. „Adobe Reader braucht seinen HTML5-Moment“, argumentierte Forumsteilnehmer Technion und spielte damit auf den Niedergang von Adobe Flash an. „Eine Alternative, die nicht nur ‚gut genug für die meisten Anwender‘, sondern tatsächlich besser ist.“

88796 akkus für Bose Soundlink Mini 2 Pack
MC-265360 515-1058-01 akkus für Amazon Kindle 4, 4G, 5, 6, D01100 + Tools
RI04 akkus für HP ProBook 450 455 470 G3 serie
061384 061385 akkus für BOSE SOUNDLINK Mini serie
L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters

Die Huawei-Tochter Honor bringt ihr neuestes Werk, das Honor 10 Lite, in Kürze auch nach Deutschland. Heute wurde das Gerät auch international angekündigt, wobei es vor allem optisch sämtlichen aktuellen Trends im Smartphone-Markt entspricht und auch technisch eine gute Ausstattung zu einem vermutlich recht günstigen Preis bietet. Es wird allerdings noch etwas dauern, bis das Gerät in Deutschland auch tatsächlich im Handel ankommt.

Das Honor 10 Lite wurde in China bereits vor ein paar Wochen erstmals präsentiert und ist im Grunde ein günstiges Smartphone der Einsteiger- bzw. unteren Mittelklasse, das versucht, einen niedrigen Preis mit einigen Hardware-Highlights zu vereinigen. So verfügt es über ein 6,21 Zoll großes LTPS-LCD, das mit 2340×1080 Pixeln eine ordentlich hohe Auflösung bietet und fast die gesamte Front des Smartphones abdeckt. In der sogenannten „Tautropfen“-Notch sitzt eine 24-Megapixel-Kamera, die mit Hilfe Künstlicher Intelligenz für optimale Selbstporträts sorgen soll.

Auf der Rückseite geht es mit einer 13-Megapixel-Hauptkamera und einem für Tiefeneffekte verwendeten zusätzlichen Kamera-Sensor mit nur zwei Megapixeln deutlich konservativer zu. Unter der Haube steckt hier der aktuelle Huawei Kirin 710, der immerhin neben vier Low-End-Kernen auf Basis der ARM Cortex-A53-Architektur auch noch vier High-End-Cores auf Cortex-A73-Basis bietet, die dann doch für eine sehr ordentliche Leistung sorgen sollen – in einem Gerät, das weit unter 300 Euro kosten dürfte. Der Arbeitsspeicher ist hier mit drei Gigabyte ausreichend aber, nicht üppig dimensioniert, während der interne Flash-Speicher mit 64 GB recht odentlich ausfällt.

Netterweise kann man ihn mittels eines zusätzlich zu den beiden Nano-SIM-Slots verbauten MicroSD-Kartenslot problemlos erweitern. Etwas kurios erscheint hingegen die Entscheidung, das Honor 10 Lite weiterhin mit einem MicroUSB-2.0-Port auszurüsten, da selbst bei Huawei bzw. Honor die meisten Geräte bereits auf USB-C setzen. Dementsprechend dürfte es etwas länger dauern, bis der 3400mAh große Akku des Geräts geladen ist.

Als Betriebssystem läuft das aktuelle Android 9.0 „Pie“ in Verbindung mit der von Huawei ebenfalls kürzlich aktualisierten hauseigenen Benutzeroberfläche EMUI 9.0, so dass das Honor 10 Lite auch in dieser Hinsicht topaktuell ist. Um den niedrigen Preis zu erzielen, macht man allerdings auch Kompromisse – vor allem und abgesehen vom Arbeitsspeicher wohl einzig bei den wenig hochwertig wirkenden Materialien.

Verfügbarkeit im Januar – günstige Materialien

So besitzt das Honor 10 Lite weder einen Metallrahmen, noch eine Rückseite aus Glas, auch wenn es aufgrund der glänzenden und reflektierenden Oberflächen vielleicht zunächst so wirken mag. Das Gerät ist durch und durch komplett aus Kunststoff gefertigt und fühlt sich dann auch ab dem ersten Berühren bereits nicht mehr so hochwertig an, wie den Nutzer seine Augen zunächst glauben machen wollten. Das Honor 10 Lite soll ab dem 15. Januar 2019 in Deutschland im Handel erhältlich sein.

RI04 akkus für HP ProBook 450 455 470 G3 serie
061384 061385 akkus für BOSE SOUNDLINK Mini serie
L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System akku Pack
L14C3K31 akkus für Lenovo Yoga Tablet2 1050F YT2-1051F

Mit dem kostenlosen Personal Backup in der aktuellen Version 5.9.4.10 lassen sich volle, inkrementelle und differenzielle Sicherungen von persönlichen Dateien oder Programmdaten anfertigen, was wahlweise automatisiert vonstattengehen kann. Die Backups können zudem komprimiert und verschlüsselt werden. Laut Entwickler eignet sich das Programm allerdings nicht für Windows-Systemdateien.

Sichern und wiederherstellen

Ein Assistent für das Erstellen der Sicherungsaufträge erleichtert unerfahrenen Nutzern den Umgang mit dem Programm, wobei unter anderem Angaben zu Speicherort sowie Zielverzeichnis der Dateien und Ordner zu machen sind. Erfahrene Anwender hingegen können die Backups auch frei per Hand konfigurieren, wobei sich beliebig viele, individuelle Aufträge anlegen lassen. Bis zu sechzehn automatische Backups zu verschiedenen Zeiten oder beim An- und Abmelden von Windows können angelegt werden.

Neben der Sicherung auf ein lokales Laufwerk unterstützt die Freeware auch FTP- sowie FTPS-Verbindungen und bietet darüber hinaus viele weitere Einstellmöglichkeiten: So lässt sich beispielsweise entweder eine 1:1-Kopie von Dateien und Ordnern anfertigen oder ins gzip-Format komprimieren, wobei die originale Verzeichnisstruktur wahlweise mit Laufwerkskennung beibehalten wird. Die optionale AES-Verschlüsselung versieht Backups mit einem Passwortschutz und auf Wunsch lassen sich zur besseren Übersichtlichkeit Zeitstempel in Dateinamen einfügen.

Die Restore-Funktion sorgt dafür, dass die gesicherten Dateien bei einer Wiederherstellung wieder ordnungsgemäß an ihrem Platz landen, wobei die Möglichkeit besteht, einzelne Dateien über einen Auswahldialog individuell aus­zu­wählen. Ein Protokoll-Feature mit optionaler E-Mail-Benachrichtigung hilft derweil, den Überblick über die Backups zu wahren.

Personal Backup bietet außerdem verschiedene Dateifiltereinstellungen für Dateinamen, Attribute, Alter sowie Größe und kann Backup-Verzeichnisse mit dem Originalverzeichnis synchronisieren.

Alternativen zu Personal Backup, die sich auch zum Sichern von Windows-Dateien eignen, gibt es beispielsweise mit Easeus Todo Backup Free oder Paragon Backup & Recovery 2014 Free.

RI04 akkus für HP ProBook 450 455 470 G3 serie
061384 061385 akkus für BOSE SOUNDLINK Mini serie
L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System akku Pack
L14C3K31 akkus für Lenovo Yoga Tablet2 1050F YT2-1051F

Sunny Cove bringt neue Befehlssätze für Kryptografie und künstliche Intelligenz. Die neue Architektur verbessert aber auch die parallele Verarbeitung von Befehlen. Dank 3D-Stacking ordnet Intel erstmals Logik-Chips in einem Paket übereinander an.

Intel hat auf dem Intel Architecture Day eine neue Architektur namens Sunny Cove vorgestellt. Sie soll in Core- und Xeon-Prozessoren zum Einsatz kommen. Die ersten Sunny-Cove-Chips mit dem Codenamen Ice Lake sollen 2019 in den Handel kommen. Darüber hinaus kündigte Intel eine neue 3D-Fertigungstechnik für die kommenden Prozessoren mit 10-Nanometer-Strukturen an.

Sunny Cove soll vor allem die parallele Bearbeitung von Befehlen verbessern und die Energieeffizienz steigern. Mit neuen Befehlssätzen will Intel zudem spezifische Computing-Aufgaben mit Kryptografie, künstliche Intelligenz und das komprimieren und dekomprimieren von Dateien beschleunigen. Neue Algorithmen sollen außerdem die Latenzen reduzieren und größere Puffer und Zwischenspeicher Arbeitslasten in Rechenzentren optimieren.

Zusammen mit Sunny Cove hält 2019 auch die elfte Generation von Intels integrierten Grafikchips Einzug. Sie verfügt nach Angaben des Unternehmens über 64 Ausführungseinheiten, mit denen die Leistungsgrenze von einem Teraflops durchbrochen wird. Zudem spendiert Intel der elften Generation einen neuen Media-Encoder, der 4K-Video-Streams und die Bearbeitung von 8K-Inhalten ermöglicht. Auch die neuen Grafikchips fertigt Intel in einem 10-Nanometer-Verfahren.

Bei der Fertigung seiner Prozessoren setzt Intel künftig auf ein Foveros genanntes 3D-Stacking-Verfahren. Es soll es erstmals erlauben, in einem Chip-Paket Logik-Chips nicht nur nebeneinander, sondern übereinander anzuordnen. „Foveros ebnet den Weg für Geräte und Systeme, die leistungsstarke und energiesparende Silizium-Prozesstechnologien kombinieren. Es wird erwartet, dass Foveros das Die Stacking über herkömmliche passive Interposer und Stacked Memory hinaus erstmals auf Hochleistungslogik wie CPU, Grafik- und AI-Prozessoren ausdehnen wird“, teilte Intel mit.

Erste Produkte, die auf Foveros basieren, will Intel in der zweiten Jahreshälfte 2019 auf den Markt bringen. „Das erste Foveros-Produkt wird ein leistungsstarkes 10nm Compute-Stacked-Chiplet mit einem 22FFL Base Die mit geringer Leistungsaufnahme kombinieren. Es wird eine Spitzenleistung und Energieeffizienz in einem kleinen Formfaktor ermöglichen“, so Intel weiter.

Ein Vorteil der Stacking-Technik ist, dass die Verbindungen zwischen den einzelnen Logik-Chips wie CPU und Grafik deutlich beschleunigt werden. Der Datenaustausch zwischen diesen Komponenten gilt heute als Flaschenhals. Mögliche Einsatzgebiete sind Prozessoren für Rechenzentren oder auch System-on-a-Chip-Designs für Smartphones und dünne und leichte Notebooks.

Intel nutzte die Veranstaltung aber auch, um erneut zu betonen, dass die Umstellung von der 14-Nanometer- auf die 10-Nanometer-Fertigung nun im Zeitplan liegt. Erste PC-Systeme mit 10-Nanometer-CPUs von Intel sollen weiterhin rechtzeitig zum Weihnachtsgeschäft 2019 in den Regalen stehen.

061384 061385 akkus für BOSE SOUNDLINK Mini serie
L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System akku Pack
L14C3K31 akkus für Lenovo Yoga Tablet2 1050F YT2-1051F
36W Lenovo ThinkPad 10,20C1/20C3 Tablet Netzteile/Adapters

Das geht aus einer Stellenanzeige für einen Produktmanager hervor. Er soll das „M365-Consumer-Abonnement“ entwickeln und positionieren. Bisher bietet Microsoft die Kombination aus Windows und Office 365 nur Unternehmen als Abonnement an.

Microsoft arbeitet offenbar an einem neuen Abonnement für Verbraucher, das als „Microsoft 365 Consumer“ angeboten werden soll. Es soll sich um eine Variante von Microsoft 365 handeln, der auf Unternehmen ausgerichteten Kombination aus Windows und Office 365. Das geht aus einer aktuellen Stellenanzeige von Microsoft hervor.

Darin sucht das Unternehmen einen Product Manager für ein „M365-Consumer-Abonnement“. „Das Subscription Product Marketing Team ist ein neues Team, das gegründet wurde, um das Microsoft-365-Consumer-Abonnement aufzubauen und zu erweitern“, heißt es in der Anzeige. Aufgabe des Produktmanagers sei es, ein „großartiges neues Verbrauchabonnement“ zu entwickeln, aufzubauen, zu positionieren und zu vermarkten.

Dem Stellengesuch zufolge wird das neue Microsoft-365-Team auch für die Windows-Plattform, die Surface-Geräte, Office 365 für Verbraucher, Skype, Cortana, die Bing-Suche und auch Microsoft Education verantwortlich sein wird. Das legt die Vermutung nahe, dass Microsoft in dem Abonnement für Verbraucher neben einer Version von Windows 10 und Office 365 Home auch Skype, Cortana und Bing bündelt. Die ZDNet-Bloggerin und Microsoft-Kennerin Mary Jo Foley geht zudem davon aus, dass zu dem Paket auch Outlook Mobile, Microsoft To-Do und wahrscheinlich auch einige MSN-Apps gehören werden. Es sei auch nicht ausgeschlossen, dass Microsoft das Abonnement nur für Surface-Geräte anbiete oder diese gar in einem Abonnement enthalten seien.

Microsoft 365 ist derzeit Unternehmen, Organisationen, Behörden und Bildungseinrichtungen vorbehalten. Sie können Windows 10 zusammen mit Office 365 sowie Enterprise Mobility and Security abonnieren. Microsoft bietet neben Microsoft 365 Enterprise und Business die Varianten Education, Nonprofit und Government an.

Während der diesjährigen Inspire-Konferenz stellte Microsoft das Programm Modern Life and Devices vor, mit dem das Unternehmen Verbraucher stärker an sich binden will. Es ist auf „professionelle Verbraucher“ ausgerichtet, die sich mit Technik auskennen und wissen wollen, wie sie sie einsetzen können, um noch produktiver zu sein. Das Microsoft-365-Abo für Verbraucher wiederum fällt in den Verantwortungsbereich von Yusuf Mehdi, Corporate Vice President of Modern Life and Devices.

061384 061385 akkus für BOSE SOUNDLINK Mini serie
L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System akku Pack
L14C3K31 akkus für Lenovo Yoga Tablet2 1050F YT2-1051F
36W Lenovo ThinkPad 10,20C1/20C3 Tablet Netzteile/Adapters

Der iPhone-Hersteller wirbt Ingenieure in San Diego ab, dem Sitz von Qualcomm. Er wird aber vermutlich erst in einigen Jahren iPhones mit eigenen Chips ausliefern können. Apple sucht auch Modemspezialisten in München – nahe dem Halbleiterhersteller Infineon.

Die Anzeichen mehren sich, dass Apple eigene Modemchips für kommende iPhones entwickelt. The Information stieß auf eine aktuelle Stellenausschreibung des iPhone-Herstellers, in der ein Systemarchitekt für Mobilfunkmodems in einer neuen Niederlassung in San Diego gesucht wurde. Die Publikation erfuhr außerdem von einem mit den Plänen vertrauten Informanten, dass Apple tatsächlich ein Projekt vorantreibt mit dem Ziel, eigene Modemchips zu schaffen, die seine Smartphones mit Mobilfunknetzen verbinden. Aufgrund der Komplexität eines solchen Chips, merkten Analysten dazu allerdings an, könnte Apple vielleicht erst in drei Jahren iPhones mit eigenen Chips ausliefern.

Schon Mitte November fiel Bloomberg auf, dass Apple aggressiv Ingenieure für die Entwicklung von Funk-Komponenten und Prozessoren in San Diego anzuwerben versucht – dem Sitz des Modemherstellers Qualcomm, mit dem Apple seit Jahren in juristische Auseinandersetzungen verstrickt ist. Dabei fiel insbesondere auf, dass der iPhone-Hersteller Ingenieure mit Erfahrung in etablierten Funkprotokollen wie LTE und Bluetooth sucht – und darüber hinaus auch mit Erfahrungen in neueren Technologien wie 5G und Millimeterwellen.

Während Apple mit dem langjährigen Modemlieferanten Qualcomm im Streit liegt, wurde es offenbar mit den von Intel zugelieferten Modems nicht glücklich. Beim iPhone XS kritisierten zahlreiche Käufer eine schwache Empfangsleistung sowie Verbindungsprobleme sowohl mit WLAN als auch mit LTE. Auf der Social-News-Plattform Reddit kam schnell der Verdacht auf, dass der Verzicht auf Qualcomm-Modems zugunsten von Intel-Chips zu den Problemen führte. „Wir erleben, wie der Kampf mit Qualcomm die Endbenutzer trifft“, schrieb etwa ein Teilnehmer.

Apple setzt schon länger eigene Chips in seinen Geräten ein und plant angeblich sogar, ab 2020 seine Mac-Computer mit eigenen Prozessoren auszustatten und somit die seit 2006 verwendeten CPUs von Intel zu ersetzen. Derzeit entwickelt Apple eigene Prozessoren für seine mobilen Geräte wie iPad und iPhone sowie die Apple Watch und auch die Settop-Box Apple TV. Sie basieren auf der ARM-Architektur, bieten aber eine deutlich bessere Leistung als Pendants von Qualcomm, Samsung, Mediatek oder Huawei.

Bei seiner Suche nach Spezialisten für Mobilfunkchips wildert Apple nicht nur am Sitz Qualcomms, sondern auch mit Stellenangeboten in München – nahe dem Halbleiterhersteller Infineon. Gesucht werden hier Spezialisten für die Systemarchitektur von Mobilfunkmodems. Erwünscht sind jahrelange Erfahrung in der Entwicklung drahtloser Systeme sowie ein „tiefes Verständnis für drahtlose Funkstandards (einschließlich, aber nicht beschränkt auf 5G-NR, LTE, UMTS, 802.11ax, 802.11ad) sowie deren Auswirkungen auf Algorithmen und Verfahren der physikalischen Schicht“.

061384 061385 akkus für BOSE SOUNDLINK Mini serie
L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System akku Pack
L14C3K31 akkus für Lenovo Yoga Tablet2 1050F YT2-1051F
36W Lenovo ThinkPad 10,20C1/20C3 Tablet Netzteile/Adapters

Die Funktionsempfehlungen basieren auf dem individuellen Nutzungsverhalten. Es wird laut Mozilla ausschließlich auf dem lokalen System analysiert. Firefox 64 stopft außerdem mehrere kritische Speicherlöcher.

Mozilla hat die Desktop-Version von Firefox 64 zum Download freigegeben. Das neue Release will die Nutzung des Browsers durch Funktionsempfehlungen vereinfachen. Zu diesem Zweck haben die Entwickler auch das Tab-Management erweitert. Darüber hinaus nutzen sie die Gelegenheit, um mehrere zum Teil kritische Sicherheitslücken zu schließen.

Der Contextual Feature Recommender soll laut Mozilla Nutzern helfen, „mehr aus ihrem Online-Erlebnis herauszuholen“. Er schlägt Firefox-Funktionen und auch Add-ons vor, die die tägliche Arbeit mit dem Browser erleichtern sollen. Beispielsweise soll Firefox erkennen, wenn regelmäßig mehrere Tabs geöffnet und wiederholt verwendet werden, um dann die Funktion „Angeheftete Tabs“ anzubieten und zu erklären.

Allerdings analysiert Firefox zu diesem Zweck das Nutzungsverhalten. Mozilla betont, dass es keine Kopie des Browserverlaufs abruft. Der gesamte Empfehlungsprozess laufe lokal auf dem System des Nutzers ab.

Zum Start steht der Contextual Feature Recommender nur Nutzern in den USA zur Verfügung. Empfehlungen gibt es zudem nur für von Mozilla ausgesuchte Add-ons. Derzeit sind dies Facebook-Container, Enhancer for Youtube und To GoogleTranslate. Außerdem weist Mozilla darauf hin, dass Firefox im Privaten Modus keine Empfehlungen anzeigt.

Die neue Tab-Verwaltung soll die individuelle Anordnung von Tabs erleichtern. Nutzer können ab Firefox 64 geöffnete Seiten in der Tab-Leiste durch Anklicken in Verbindung mit der Shift- oder der STRG-Taste auswählen und organisieren. Anschließend können die Tabs verschoben, angeheftet, zu den Lesezeichen hinzugefügt oder stummgeschaltet werden.

Firefox 64 kommt zudem mit einem Task Manager, der über die Eingabe von „about:performance“ in die Adressleiste aufgerufen wird. Er gibt Auskunft über den Stromverbrauch jeder geöffneten Seite und erlaubt es, Tabs zu schließen, um Strom zu sparen. Neu ist auch, dass sich Add-ons über einen rechten Mausklick auf ihr Symbol in der Werkzeugleiste deinstallieren lassen.

Das Security Advisory der neuen Browserversion nennt insgesamt elf Anfälligkeiten, die Firefox 64 beseitigt. Als kritisch stufen die Entwickler mehrere Speicherfehler ein, die ihrer Ansicht nach auch benutzt werden könnten, um Schadcode einzuschleusen und auszuführen. Ein hohes Risiko geht zudem von mehreren Pufferüberläufen und einem Use-after-free-Bug aus. Sie sollen zu einem Absturz des Browsers führen, der unter Umständen auch für andere Zwecke ausgenutzt werden kann.

Nutzer, die Firefox schon installiert haben, erhalten das neue Release über die integrierte Update-Funktion des Browsers. Firefox 64 kann aber auch von der Mozilla-Website heruntergeladen werden.

L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System akku Pack
L14C3K31 akkus für Lenovo Yoga Tablet2 1050F YT2-1051F
36W Lenovo ThinkPad 10,20C1/20C3 Tablet Netzteile/Adapters
K00F5 DELL 9575 9570 Type-C USB-C Netzteile/Adapters

Sie untersuchen den Bloomberg-Bericht aus Oktober im Auftrag von Super Micro. Die Ermittler finden weder in den genannten Mainboards noch in Platinen aus neuerer Produktion Spionage-Chips. Die Untersuchung beschränkt sich allerdings auf eine repräsentative Stichprobe.

Der Server-Hersteller Super Micro hat einen Untersuchungsbericht zu den umstrittenen Vorwürfen vorgelegt, wonach Produkte des Unternehmens über die Lieferkette in China mit Spionage-Chips versehen wurden. Von dem US-Unternehmen beauftrage externe Ermittler wollen keine Hinweise auf Chips gefunden haben, die eine Hintertür zu Server-Motherboards von Super Micro öffnen.

Anfang Oktober hatte Bloomberg Businessweek von einem groß angelegten Spionage-Angriff auf Apple, Amazon und andere Technikfirmen berichtet. Angeblich soll eine chinesische Militäreinheit winzige Spionagechips in Mainboards von Super Micro integriert haben. Amazon und Apple entdeckten die Chips dem Bericht zufolge unabhängig voneinander im Jahr 2015 und meldeten dies auch an das FBI. Die Chips sollen in der Lage gewesen sein, auf Systemspeicher und Netzwerk zuzugreifen, das laufende Betriebssystem zu modifizieren und Angriffe aus der Ferne zu starten.

Super Micro wies die Vorwürfe von Anfang an zurück. Auch Amazon und Apple bestritten die von Bloomberg beschriebenen Angriffe. Selbst ein von Bloomberg zitierter Experte äußerte wenige Tage später Zweifel an dem Bericht. Super Micro kündigte zudem eine unabhängige Untersuchung an, deren Ergebnisse nun vorliegen sollen.

„Es wurde eine repräsentative Stichprobe unserer Mainboards getestet, einschließlich der spezifischen Art von Motherboards, die in dem Artikel beschrieben wurden und der Mainboards, die von den im Artikel genannten Unternehmen gekauft wurden, so wie kürzlich hergestellte Mainboards“, schreibt Super Micro nun in einem Brief an seine Kunden. „Heute möchten wir Ihnen die Ergebnisse dieser Tests mitteilen: Nach gründlicher Prüfung und einer Reihe von Funktionstests fand das Untersuchungsunternehmen absolut keine Hinweise auf bösartige Hardware auf unseren Motherboards.“

In dem Brief bedankte sich Super Micro auch bei Apple und Amazon, dem US-Ministerium für Heimatschutz, dem Direktor der nationalen Nachrichtendienste und dem Direktor des FBI, die sehr früh den Wahrheitsgehalt der Medienberichte angezweifelt hätten.

Der Bloomberg-Bericht hatte schon nach wenigen Stunden zu kontroversen Reaktionen geführt. Sicherheitsexperten nahmen den Inhalt auseinander und zogen unter anderem technische Details in Frage. Selbst die in dem Artikel gezeigten Fotos wurden als irreführend bezeichnet. Apple forderte Bloomberg sogar auf, den Bericht zurückzuziehen. Die Zeitung hielt jedoch an dem Artikel fest, beauftragte im vergangenen Monat jedoch einen anderen Journalisten, die Inhalte erneut zu prüfen.

L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System akku Pack
L14C3K31 akkus für Lenovo Yoga Tablet2 1050F YT2-1051F
36W Lenovo ThinkPad 10,20C1/20C3 Tablet Netzteile/Adapters
K00F5 DELL 9575 9570 Type-C USB-C Netzteile/Adapters

Sie steckt im Windows-Kernel und erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Laut Kaspersky nutzen staatlich unterstützte Hacker die Schwachstelle für zielgerichtete Angriffe aus. Adobe stopft zudem 87 Löcher in Reader und Acrobat.

Microsoft hat an seinem Dezember-Patchday mehrere Sicherheitsupdates veröffentlicht, die insgesamt 38 Schwachstellen beseitigen. Darunter sind neun als kritisch bewerte Anfälligkeiten, von denen eine wiederum als Zero-Day-Lücke einzustufen ist, weil sie bereits aktiv von Hackern für zielgerichtete Angriffe eingesetzt wird.

Die Zero-Day-Lücke steckt laut Microsofts Security Advisory im Windows Kernel und erlaubt eine nicht autorisierte Ausweitung von Nutzerrechten. „Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, könnte beliebigen Schadcode im Kernel-Modus ausführen“, heißt es dort. „Ein Angreifer könnte anschließend Programme installieren, Daten ansehen, ändern oder löschen oder neue Benutzerkonten mit allen Rechten anlegen.“

Um den Fehler ausnutzen zu können, muss ein Hacker allerdings bereits Zugriff auf ein System haben – beispielsweise über eine andere Sicherheitslücke, die eine Remotecodeausführung ermöglicht. Das ist offenbar den Cyber-Spionen gelungen, die laut Kaspersky Lab derzeit den Kernel-Bug für ihre Zwecke benutzen. Auf ihr Konto sollen auch Angriffe auf Zero-Day-Lücken in Windows gehen, die von Microsoft im Oktober beziehungsweise November gepatcht wurden.

Der Dezember ist jedoch bereits der vierte Monat in Folge, in dem Microsoft eine Zero-Day-Lücke patcht. Im September musste das Unternehmen auf Angriffe von nicht staatlich gesponserten Hackern reagieren, die über eine Windows-Lücke eine Hintertür verbreiteten.

Neben Windows erhalten auch Internet Explorer, Edge, Office, die Office Services und Office Web Apps, ChakraCore, .Net Framework und Windows Dynamics NAV seit gestern Abend neue Sicherheitspatches. Außerdem sollten Nutzer von Exchange Server, Visual Studio und Windows Azure Pack Ausschau nach verfügbaren Updates halten.

Nutzer von Edge und Internet Explorer 11 unter Windows 10 und 8.1 erhalten zudem die in der vergangenen Wochen veröffentlichte Version 32.0.0.101 des Adobe Flash Player. Das Update beseitigt ebenfalls eine kritische Zero-Day-Lücke.

Des Weiteren bietet Adobe seit gestern Abend im Rahmen seines Dezember-Patchdays fehlerbereinigte Versionen seiner PDF-Anwendungen an. Sie schließen 87 Sicherheitslücken, von denen 36 als kritisch bewertet wurden. Sie erlauben das Einschleusend und Ausführen von Schadcode aus der Ferne. Betroffen sind Reader und Acrobat DC, Reader und Acrobat Classic 2017 und Reader und Acrobat Classic 2015 für Windows und macOS.

Microsoft verteilt seine Patches über die Update-Funktion von Windows. Auch Adobes PDF-Apps verfügen über einen eigenen Updater, der die neuen Versionen automatisch herunterladen und installieren sollte.

L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System akku Pack
L14C3K31 akkus für Lenovo Yoga Tablet2 1050F YT2-1051F
36W Lenovo ThinkPad 10,20C1/20C3 Tablet Netzteile/Adapters
K00F5 DELL 9575 9570 Type-C USB-C Netzteile/Adapters

Der Diebstahl geschieht unter Umständen vor den Augen des Opfers. Er kann in dem Moment allerdings kaum noch eingreifen. Der neue Android-Trojaner missbraucht für diesen Zweck die Android-Bedienungshilfen.

Eset warnt vor einem besonders gefährlichen Android-Trojaner, der in der Lage ist, Geld von PayPal-Konten zu stehlen. Die Schadsoftware verbirgt sich in einer App zur Akku-Optimierung, die bisher jedoch ausschließlich über App-Stores von Drittanbietern verteilt wird und nicht im offiziellen Play Store erhältlich ist.

Trotz der aktuell geringen Verbreitung stufen die Forscher den Schädling als extrem gefährlich ein. Während der Installation fordert der Trojaner die Berechtigung für die Bedienungshilfen ein, die es ihm erlauben, virtuelle Klicks auszuführen und mit Bedienelementen von Android und Apps zu interagieren – jeweils ohne Zustimmung des Nutzers.

Allerdings setzt die Malware die Berechtigung nicht sofort gegen ihre Opfer ein. Sie wartet laut Eset stattdessen darauf, dass ein Nutzer die PayPal-App öffnet. Sollt er die App nicht von sich aus starten, hilft der Trojaner mit irreführenden Benachrichtigungen nach.

Aktiv wird der Trojaner, sobald ein Nutzer die PayPal-App geöffnet und sich erfolgreich angemeldet hat. Auch eine Zwei-Faktor-Authentifizierung schützt Nutzer nicht vor dem Diebstahl, der sofort nach Abschluss der Anmeldung beginnt. Mithilfe der Android-Bedienungshilfen initiiert die Schadsoftware nämlich eine neue Transaktion. Dafür gibt sie ein Empfängerkonto und einen Betrag ein und bestätigt die Zahlung – alles unter Umständen unter den Augen des Opfers, das sich ab dem Punkt nicht mehr gegen den Betrug wehren kann. „Der gesamte Vorgang braucht etwa fünf Sekunden, und für einen überraschten Nutzer gibt es keine Möglichkeit, rechtzeitig einzugreifen“, sagte Lukas Stefanko, Malware-Analyst bei Eset.

Dabei gibt sich der Trojaner unter Umständen alles andere als Bescheiden. Stefanko zufolge stiehlt er nämlich stets 1000 Einheiten der Währung des Opfers – in Stefankos Fall 1000 Euro. Zudem sei der Schädling so programmiert, dass er bei jedem Start der PayPal-App eine Zahlung über 1000 Einheiten ausführe, und zwar bis das Konto leergeräumt ist.

Den Diebstahl zeigt Eset auch in einem Video. Tatsächlich ist demnach nicht ausgeschlossen, dass Nutzer das kurze Ein- und Ausblenden der Bildschirmtastatur sowie das Flackern des Bildschirms beim Wechsel zwischen verschiedenen Anzeigen der PayPal-App als Fehler einordnen und gar nicht als Angriff auf ihr PayPal-Konto wahrnehmen – zumal sie ja gelernt haben, dass eine Anmeldung in zwei Schritten Zugriffe von Unbefugten auf ihr Konto vereiteln soll.

Ende 2017 hatte Google die Nutzung der Bedienungshilfen deutlich eingeschränkt. Die Programmierschnittstelle der Accessibility Services ist offiziell nur noch für Apps gestattet, die sich tatsächlich an Menschen mit körperlichen oder geistigen Einschränkungen richten. Für im Play Store veröffentlichte Apps müssen Entwickler zudem den Zugriff auf die Bedienungshilfen begründen.

L15D2K32 akkus für Lenovo YT3-X90 serie
ADP-330AB D Clevo P570WM P377SM-A 330W Gaming Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System akku Pack
L14C3K31 akkus für Lenovo Yoga Tablet2 1050F YT2-1051F
36W Lenovo ThinkPad 10,20C1/20C3 Tablet Netzteile/Adapters
K00F5 DELL 9575 9570 Type-C USB-C Netzteile/Adapters