LostPass: Phishing-Methode zum Austricksen von LastPass-Nutzern
(Bild: Sean Cassidy ) Ein Mitarbeiter einer Sicherheitsfirma veröffentlicht ein Proof of Concept, mit dem man Daten von LastPass-Nutzern abfischen kann. Dahinter soll aber keine böse Absicht stecken, vielmehr will er Nutzer für perfide Phishing-Kampagnen sensibilisieren. Der technische Leiter der Sicherheitsfirma Praesidio, Sean Cassidy, hat sich eine Phishing-Masche überlegt, über die Angreifer neben Benutzernamen und Passwörtern auch Codes der Zwei-Faktor-Authentifizierung von Nutzern des Passwortverwalters LastPass 4.0 abfangen könnten. Cassidy nennt den Übergriff LostPass und stellt den Code auf Github zur Verfügung. Mit seinem Proof of Concept will er aber keine Angreifer motivieren, sondern Nutzer für perfide Phishing-Kampagnen sensibilisieren. Für ihn schlägt Phishing in dieselbe Kerbe wie Remote-Code-Ausführung. Zudem ist es ihm wichtig, dass die „Sicherheitsindustrie nicht so naiv“ mit Phishing umgeht, da es sich um einen dominanten Angriffsvektor handelt. Perfider Phish spooft Sein Phishing-Ansatz startet mit einer Fake-Benachrichtung innerhalb eines Webbrowsers, die davor warnt, dass die LastPass-Session abgelaufen sei und man sich neu einloggen müsse. Die Fake-Warnung taucht direkt unter der Adressleiste auf; an dieser Stelle erscheinen auch legitime LastPass-Hinweise, erläuterte Cassidy. Das sollen Angreifer erreichen können, indem sie Opfer auf eine harmlos aussehende Webseite mit Schadcode locken. Der Code könne aber auch, etwa über eine XSS-Lücke, auf andere Webseiten geschmuggelt werden. Da LastPass Cassidy zufolge für Cross-Site-Request-Forgery-Übergriffe (CSRF) anfällig ist, kann eine beliebige Webseite Nutzer von ihrem LastPass-Konto abmelden. Die Phishing-Masche startet mit einer Fake-Benachrichtigung im Webbrowser unter der Adressleiste. An dieser Stelle erscheinen auch legitime Meldungen von LastPass. Bild: Sean Cassidy Klickt ein Opfer auf diese Meldung, landet es auf einer Phishing-Webseite. Dort findet sich eine Log-in-Maske die genauso aussieht, wie die echte von LastPass, führte Cassidy aus. Die Phishing-Webseite könne man nicht ohne weiteres mit einem Blick auf die URL enttarnen, denn die bösartige Webseite versteckt sich in Cassidys Beispiel hinter der von ihm gekauften Domain chrome-extension.pw. So will er den Eindruck erwecken, dass man sich in den Extension-Einstellungen von Chrome befindet und nicht auf einer bösartigen Webseite. Fällt ein Opfer darauf rein, kann ein Angreifer Log-in-Daten mitschneiden und hat Cassidy zufolge vollen Zugriff auf das jeweilige LastPass-Konto ? in dem im schlimmsten Fall Zugangsdaten zu unzähligen Online-Services abgelegt sind. Nutzer für Phishing sensibilisieren Cassidy konnte sein Angriffsszenario erfolgreich mit Chrome ausführen; auch mit Firefox will er Erfolge verzeichnet haben. Er gibt an, LastPass im November vergangenen Jahres über seine Phishing-Methode informiert zu haben. Mittlerweile sollen sie unter anderem einen CSRF-Fix implementiert haben und Nutzer warnen, wenn diese ihr Passwort in einer Anmeldemaske eingeben,die nicht von LastPass stammt. Dabei setzen sie aber Cassidy zufolge abermals auf eine Benachrichtigung unterhalb der Adresszeile, die Angreifer manipulieren könnten. Ein weiteres Problem ist, dass LastPass zwar Warn-E-Mails verschickt, wenn sich jemand über eine neue IP-Adresse anmelden will, nur soll das nicht geschehen, wenn man die Zwei-Faktor-Authentifizierung des Passwortverwalters nutzt. (des) weitere aktuelle...
mehrDer Dotnet-Doktor: Versionsnummer der Windows PowerShell ermitteln
Die Windows PowerShell gibt bei ihrem Start ihre Versionsnummer nicht direkt preis. Doch es gibt hierfür Abhilfe. Nur die Jahreszahl im Copyright-Vermerk deutet indirekt auf die Versionsnummer hin. „2015“ steht hier für die PowerShell 5.0. Die präzisere Versionsinformation ermittelt man durch den Abruf der eingebauten Variablen $PSVersionTable. Neben der PowerShell-Version erhält man auch Informationen über die Frameworks und Protokolle, auf denen die PowerShell aufsetzt (siehe Screenshot). Die „CLRVersion“ steht dabei für die Version der „Common Language Runtime“, der Laufzeitumgebung des .NET Framework. Es fehlt in der Versionstabelle leider die Information, dass die PowerShell 5.0 zwar mit der CLR-Version 4.0 zufrieden ist, aber die .NET-Klassenbibliothek in der Version 4.5 oder höher braucht, was eine Installation des .NET Framework 4.5 oder höher voraussetzt. Empfohlen ist, wie schon erwähnt, aber .NET Framework 4.5.2 oder höher!...
mehrBundesgerichtshof verbietet „Freunde finden“-Funktion von Facebook
Facebook erleidet vor dem Bundesgerichtshof eine Schlappe. Der Bundesgerichtshof gab einer Klage des Verbraucherschutzes statt, in welcher Facebook vorgeworfen wurde, Nicht-Mitglieder durch die „Freunde finden“-Funktion zu belästigen. Es sei nicht eindeutig ersichtlich, ob die entsprechende Mail von Bekannten oder von Facebook selbst stammen würde. Ist eine Funktion zum Finden von Freunden in einem sozialen Netzwerk Werbung? Verbraucherschützer legten beim Bundesgerichtshof Klage gegen Facebook ein. Facebooks „Freundfinder“ ist unzulässig Die Frage von Facebook lautete: „Sind deine Freunde schon bei Facebook?“ Wer seine Freunde dazu einladen wollte, sich ebenfalls für das soziale Netzwerk anzumelden, sodass man mit ihnen darüber kommunizieren konnte, der hatte die Möglichkeit, sein E-Mail-Adressbuch freizugeben, sodass Facebook an diese Personen eine Einladung schicken konnte. Daraufhin gingen Unmengen an Beschwerden beim Verbraucherschutz ein, denn vielen war überhaupt nicht klar, ob die Einladungen von ihren Freunden oder von Facebook stammen würden. Handelte es sich also um Werbung oder um eine Nachricht eines Bekannten oder Freundes? Der Verbraucherschutz argumentierte, dass die angeschriebenen Personen keine Einwilligung gegeben hätten, Werbung zu erhalten. Die Sprecherin des Bundesverband der Verbraucherzentralen, Carola Elbrecht, erklärt: „Aus unserer Sicht ist es definitiv keine private E-Mail, die die Nutzer hier über Facebook versenden lassen. Facebook versucht die eigenen Nutzer natürlich schon mehr oder weniger zu instrumentalisieren, den ‚Freundefinder‘ auch zu nutzen.“ Facebook dagegen sah dies anders, man würde nur Hilfestellung leisten, sodass neue Mitglieder sich ein Freunde-Netzwerk aufbauen können. Doch der Bundesgerichtshof war nun aber der Meinung, dass dieser „Freundefinder“ unzulässig sei. Zum einen sei es eine Belästigung für diejenigen, die angeschrieben werden und die Personen, die ihr Adressbuch offen legten, hatten offenbar keine Ahnung, was sie da überhaupt machten. Es sei nämlich nirgends ersichtlich gewesen, dass auch Nicht-Mitglieder von Facebook angeschrieben werden würden. Nach dem Urteil änderte Facebook das System. Allerdings will der Verbraucherschutz dieses weiterhin im Auge behalten. /ab Bild-Quellen: Facebook News Redaktion am Freitag, 15.01.2016 11:10 Uhr Tags: facebook bundesgerichtshof werbung Weitere interessante News Oder hier...
mehrWeitere Klage gegen Adblock-Plus-Entwickler Eyeo
Die Eyeo GmbH sieht sich einer weiteren Klage gegenüber. Das neue Jahr beginnt, der Kampf gegen Adblocker geht weiter. Inzwischen hat der Spiegel-Verlag nun ebenfalls Klage gegen die Eyeo GmbH eingereicht. Damit klagen jetzt sechs Unternehmen gegen den Entwickler von Adblock Plus. Die Eyeo GmbH, Entwickler des Adblockers Adblock Plus, hat sich eine Menge Feinde gemacht. Inzwischen klagen sechs Unternehmen gegen die Firma. Sechs Unternehmen klagen gegen Adblock-Plus-Entwickler Eyeo Auch der Spiegel Verlag reiht sich hier ein, nachdem bereits Klagen vom Axel-Springer-Verlag, der Zeit, RTL, ProSiebenSat.1 und der Süddeutschen Zeitung eingegangen sind. Der Verhandlungstermin wurde auf den 4. Mai 2016 festgelegt. Die Verhandlung mit der Süddeutschen Zeitung findet dagegen bereits am 25. Januar statt. Die Süddeutsche Zeitung klagt allerdings nicht nur, weil Adblock Plus Werbeanzeigen unterdrücke, sondern zudem die Kommunikation zwischen dem Verlag und den Lesern behindere. Allerdings werden die Chancen für die Klagen als nicht besonders hoch angesehen, da bereits die Landgerichte Hamburg, München und Köln entsprechende Klagen gegen die Eyeo GmbH abgewiesen haben. Lediglich das Landgericht Frankfurt gab einer Klage statt. Der Beschluss erklärte, dass Adblocker die Wettbewerbsfähigkeit von Verlagen wie Axel Springer negativ beeinflussen würden, was mit der Whitelist zusammenhänge, die Adblock Plus betreibe. Über diese Whitelist können sich Verlage sozusagen „freikaufen“, sodass deren Anzeigen weiterhin erscheinen können. Die Süddeutsche Zeitung nutzt ihrerseits ein System, welches Eigenwerbung direkt an Nutzer von Adblockern liefert, wozu eine bestimmte Software genutzt wird. Damit hätte man bisher große Erfolge erzielen können. Allerdings ist das Interesse von Werbekunden für diese Reichweite momentan noch nicht allzu hoch. Weiterhin denkt man zusätzlich über eine Methode nach, wie sie Bild.de momentan nutzt, um User von Adblockern vom Inhalt auszusperren. Man darf gespannt sein, wie sich die Situation noch entwickelt. Auch, wenn die Klagen keinen Erfolg haben sollten, so werden Verlage in Zukunft verstärkt Software einsetzen, die Nutzer von Abdlockern das Leben schwer machen sollen. Denn auch, wenn diese Methoden immer irgendwie umgangen werden können, wird es mit der Zeit sichern nerven, ständig Updates aufspielen oder neue Methoden nutzen zu müssen. /ab Bild-Quellen: Adblock Plus News Redaktion am Freitag, 15.01.2016 09:35 Uhr Tags: klage werbung adblocker Weitere interessante News...
mehrSicherheitsforscher: Apples Gatekeeper weiterhin löchrig
Die OS-X-Schutzfunktion soll verhindern, dass Nutzer unsignierten Code ausführen. Eine Schwachstelle ermöglicht aber, Gatekeeper zu umgehen. Dies soll weiterhin klappen ? obwohl Apple schon zweimal nachgebessert hat. Trotz erster Gegenmaßnahmen durch Apple lässt sich Gatekeeper weiterhin austricksen, um Malware in OS X einzuschleusen. Dies erklärte der Sicherheitsforscher Paul Wardle, der den Mac-Hersteller im vergangenen September auf die Schwachstelle hingewiesen hatte, gegenüber Threatpost. Das von Wardle beschriebene Problem liegt darin, dass Gatekeeper nur die erste ausführbare Datei eines Programms prüft. Legt ein Angreifer eine weitere Binär-Datei bei, die von der bereits als vertrauenswürdig eingestuften Software ausgeführt wird, unterbindet Gatekeeper dies nicht. Das in OS X integrierte Schutzsystem soll eigentlich verhindern, dass Nutzer nicht signierten Code ausführen ohne nachzudenken. Als Standardeinstellung werden nur mit einem Entwicklerzertifikat signierte oder aus dem Mac App Store bezogene Programme geöffnet ? bei anderer Software erscheint ein Warnhinweis. Apples „Blacklisting“ unzureichend Apple habe auf die Schwachstelle reagiert, indem die als Proof-of-Concept eingereichten Binär-Dateien von OS X nicht mehr ausgeführt werden, erklärte Wardle ? inzwischen sei auch Apples Anti-Malware-Tool Xprotect entsprechend erweitert worden. Dieses „Blacklisting“ sei aber eine „wirklich schlechte Idee“, so der Sicherheitsforscher, es sorge lediglich für ein falsches Sicherheitsgefühl bei den Nutzern. Er habe die Gegenmaßnahmen innerhalb von sehr kurzer Zeit durch geänderte Binaries überlisten können ? ein Angreifer habe es genauso leicht. Angreifer können die Gatekeeper-Schwachstelle also weiterhin zum Einschleusen und Ausführen von Schadcode ausnutzen, betont Wardle. Dies setzt voraus, dass Nutzer Software aus unbekannter Quelle herunterladen oder ein Man-in-the-Middle-Angriff aus dem gleichen Netzwerk erfolgt ? und den Download über eine ungesicherte Verbindung manipuliert. Größerer Patch in Arbeit Apple hat gegenüber Wardle bereits eine „umfangreichere Lösung“ für das Problem in Aussicht gestellt, die bisherigen Gegenmaßnahmen seien nur ein „sehr gezielter Patch“. Wann ein entsprechendes Update erscheint, bleibt unklar. Wardle, der für die Unternehmensberatung Synack arbeitet, kritisiert Apples OS-X-Schutzmaßnahmen seit längerem: Das Austricksen von Gatekeeper, Xprotect und der Sandbox von OS X sei trivial. (lbe) Unter diesem...
mehrEltern haften für Filesharing der Kinder – unter bestimmten Bedingungen
Unter bestimmten Bedingungen haften Eltern, wenn die Kinder Filesharing betreiben. Das Oberlandesgericht München entschied, dass Eltern unter bestimmten Bedingungen dafür haften, wenn ihre Kinder beispielsweise Musik illegal auf Filesharing-Portalen hochladen und so anbieten. In einem Fall, in dem die Eltern von drei Volljährigen dazu verurteilt wurden, Schadenersatz wegen Urheberrechtsverletzung zu bezahlen, weil ihre Kinder Musik illegal ins Internet gestellt hatten, wurde nun entschieden, dass dieses Urteil gültig ist. Eltern haften für ihre Kinder? Das Oberlandesgericht München entschied, dass die Eltern haftbar sind, da sie wussten, was ihre Kinder von ihrem Internetanschluss aus trieben. Bereits früher kam es in diesem Fall zu einem Urteil, bei dem die Eltern an die Klägerin Universal Music 3.544 Euro plus Zinsen wegen Verletzung der Urheberrechte bezahlen sollten. Die Eltern weigerten sich, weswegen der Fall nun vor das Oberlandesgericht München ging. Allerdings hatten die Eltern angegeben, dass sie wussten, wer die wahren Täter seien. Durch diese Angabe waren die Eltern laut dem Oberlandesgericht München dazu verpflichtet, die Täter auch zu benennen. Da sie den Namen des Kindes aber nicht nennen wollten, wurden die Eltern haftbar gemacht. Die Berufung wurde abgewiesen. Allerdings besteht noch die Möglichkeit, in Revision zu gehen. Laut dem Anwalt Christian Solmecke, der sich gegenüber unseren Kollegen von Golem.de gemeldet hat, könnte dies sogar Erfolg bringen: „Die Besonderheit in diesem Fall lag darin, dass die Eltern nachweislich wussten, wer die Tat begangen hat. In diesem Fall soll der Anschlussinhaber laut Oberlandesgericht München verpflichtet sein, den tatsächlichen Täter zu benennen. Aus meiner Sicht widerspricht das der Auffassung des Bundesgerichtshofes, nach der es ausreicht, einen alternativen Sachvortrag vorzutragen, ohne einen konkreten Täter benennen zu müssen. Insofern stellen sich Abgemahnte derzeit besser, wenn sie vortragen, die Tat nicht selbst begangen zu haben. Darüber hinaus müssen dann noch andere Familienmitglieder genannt werden, die zur Tatzeit anwesend waren und als mögliche Täter in Betracht kommen. Kommen allerdings minderjährige Täter in Betracht, muss noch vorgetragen werden, dass diese auch tatsächlich vorher belehrt worden sind. Volljährige Kinder und Ehegatten müssen vor der Internetnutzung nicht belehrt werden.“ /ab Bild-Quellen: CHRIS POTTER / FLICKR News Redaktion am Freitag, 15.01.2016 16:49 Uhr Tags: filesharing klage urheberrecht Weitere interessante News >>>>>Klick...
mehrWieder sicher: Authentifizierungsprotokoll OAuth
Über OAuth kann man sich, ohne extra einen Account anlegen zu müssen, bei verschiedenen Online-Services etwa mit seinem Facebook-Account anmelden. (Bild: Screenshot) Angreifer sollen abermals Log-in-Daten von Nutzern abgreifen können, wenn diese sich mittels OAuth bei Online-Services anmelden. Die Schwachstellen wurden bereits geschlossen. Sicherheitsforscher attestieren dem Protokoll insgesamt eine hohe Sicherheit. Die Sicherheitsforscher Daniel Fett, Guido Schmitz und Ralf Küsters von der Universität Trier haben eigenen Angaben zufolge die erste umfassende Sicherheitsanalyse des OAuth-2.0-Protokolls (Single Sign-on), das zum einfachen Anmelden bei Online-Services eingesetzt wird, vorgelegt. In ihrem Bericht weisen sie auf zwei Schwachstellen hin, über die Angreifer an Log-in-Daten kommen können. Auch das bald erscheinende Single-Sign-on-System OpenID Connect, das auf OAuth basiert, soll verwundbar sein. Das Team des offenen OAuth-2.0-Protokolls hat die Schwachstellen bestätigt. Die von den Kryptologen vorgeschlagenen Lösungsansätze sollen bereits implementiert sein. Im Großen und Ganzen sind Fett et al. zufrieden mit der Sicherheit von OAuth. Millionen Webseiten nutzen OAuth, um den Log-in-Vorgang zu erleichtern. Das erkennt man daran, wenn ein Online-Service die Möglichkeit „Mit Facebook anmelden“ anbietet. Kommt OAuth zum Einsatz, brauchen Nutzer keinen neuen Account für einen Online-Service zu erstellen, denn zur Legitimation zeigt das Protokoll den Facebook-Account vor. Facebook dient in diesem Fall also als Identitätslieferant. OAuth kann man unter anderem auch mit Google- und Paypal-Konten nutzen. Umleitungscode 307 als Einfallstor Im ersten Angriffsszenario skizzieren die Sicherheitsforscher einen Angreifer, der eine bösartige Webseite mit OAuth 2.0 betreibt. Will sich ein Nutzer auf dieser Webseite einloggen, findet eine Umleitung zum Identitätslieferanten statt. Hier muss dann der Benutzername und das Passwort eingeben werden. Der Webbrowser des Nutzers übermittelt die Anmeldedaten dann als POST-Anfrage an den Identitätslieferanten. Nach einem Check der Daten landet der Nutzer wieder auf der bösartigen Webseite. Da die Umleitung auf den Code 307 setzt, sendet der Webbrowser eine weitere POST-Anfrage, die die Anmeldedaten aus der ersten POST-Anfrage enthält, an die gefährliche Webseite und somit in die Hände des Angreifers. Als Lösung empfehlen die Kryptologen über 303 umzuleiten, da dies der einzige Code ist, der den Inhalt einer POST-Anfrage fallen lassen kann. Verbindungen manipulieren Für den zweiten Übergriff muss sich ein Angreifer in einer Man-in-the-Middle-Position befinden, um in eine Verbindung eingreifen zu können, erläutern die Sicherheitsforscher. Dann könne er Anfragen zwischen der Webseite mit OAuth 2.0 und der Webseite des Identitätslieferanten manipulieren und Authentifizierungsinformationen und Schlüssel abgreifen. Damit soll der Angreifer sich einloggen können. Ein ähnliches Angriffszenario wurde bereits 2013 von einem Hacker entdeckt. Facebook hat die Lücke zeitnah geschlossen. Das Problem dabei ist, dass der Ursprung der Umleitungen im Zuge dieses Prozesses nicht überprüft wird und sich Angreifer dazwischenschalten können, schildern die Kryptologen in ihrem Bericht. Als Lösung für dieses Problem sprechen sie sich dafür aus, dass die Umleitung über Endpoints realisiert wird, die jedem Identitätslieferanten eindeutig zugeordnet sind. In diesem Fall sind die Identitäten während des Informationsaustausches stets klar. (des) meht zum...
mehrQt for Application Development bekommt neue Lizenzvereinbarung
Nicht nur löst LGPLv3 die Lizenz in Version 2.1 ab Qt 5.7 ab, auch die Quellen der bisher kommerziellen Tools sollen demnächst öffentlich sein. Außerdem ist ein Start-up-Angebot geplant. The Qt Company und die KDE Free Qt Foundation haben ihre Softwarelizenzvereinbarung für Qt aktualisiert und ab Version 5.7 des Frameworks zur Anwendungsentwicklung Änderungen verkündet. Die Foundation war 1998 gegründet worden, um sicherzustellen, dass Qt auch in Zukunft als freie Software zur Verfügung steht. Da seit dem Erstellen der Vereinbarung unter anderem allerdings neue Betriebssysteme erschienen sind, wurden diese nun in die aktualisierte Version aufgenommen. Außerdem haben die Organisationen wohl sichergestellt, dass auch Beiträge zu Qt, die noch nicht Teil einer veröffentlichten Version sind, durch das Agreement erfasst sind. Die größte Änderung betrifft die verwendeten Lizenzen direkt. So soll Qt 5.7 nicht länger unter der LGPLv2.1 verfügbar sein. Stattdessen kommt LGPLv3 zum Einsatz, da sie Nutzern das Recht einräumt, den geänderten Code nicht nur zu kompilieren, sondern auch auf ihren Geräten einzusetzen. Außerdem sind sie mit der Lizenz gegen Patentansprüche von Verteilern unter LGPLv3 freigegebener Quellen schützt. Qt Essentials wird also ab Qt 5.7 unter der LGPLv3, GPLv2 und der kommerziellen Lizenz zur Verfügung stehen. Gleiches gilt bei den Add-ons, wobei die Qt WebEngine durch den verwendeten Chromium-Code eine Ausnahme macht und weiterhin unter LGPLv2.1 verfügbar ist. Mehr Offenheit und eine neue Lizenz Allerdings sind demnächst auch die Quellen der Module einsehbar, die bisher nur im kommerziellen Angebot zu finden waren. Open-Source-Nutzer haben dann ebenfalls Zugriff auf Qt Charts, Data Visualization, Virtual Keyboard, Test Integration Quick 2D Renderer, QML Profiler und den Clang Static Analyzer. Außerdem wollen sich die Entwickler demnächst daran machen, die Funktionen des Qt Quick Compiler in das Qt QML Module einzubauen, was bis Version 5.8 erledigt sein soll. An den kommerziellen Versionen ändert sich nichts, allerdings soll sich die Öffnung durch die Mitarbeit der Community an den Modulen und deren zusätzlichen Rückmeldungen positiv bei deren Nutzern bemerkbar machen. In der kommenden Version 5.6, die als Long-Term Support Release die nächsten drei Jahre Updates erfahren wird, gibt es noch keine lizenzrechtlichen Änderungen. Zudem bleibt bei den bisher erschienen Qt-Versionen alles beim Alten und Qt for Device Creation ist weiterhin kommerziellen Nutzern vorbehalten. Generell haben wohl über die vorigen Jahre verteilt auch kleinere Unternehmen und Start-ups immer wieder Interesse an der Bezahlversion des Qt-Entwicklungsframeworks geäußert. Da es ihnen aber häufig an den notwendigen Mitteln fehle, ist geplant, in den kommenden Monaten eine neue Lizenz für Firmen mit jährlichen Umsätzen unter 100.000 US-Dollar einzuführen. (jul) Artikel...
mehrKritische Lücken in Office für Mac
(Bild: dpa, Britta Pedersen) Für Mac-Office 2011 hat Microsoft bereits ein Update veröffentlicht. Es soll Schwachstellen beseitigen, die das Einschleusen und Ausführen von Schadcode ermöglichen. Office 2016 ist ebenfalls betroffen. Microsoft hat Version 14.6.0 von Office für Mac 2011 veröffentlicht. Das Update beseitigt als kritisch eingestufte Sicherheitslücken, die einem Angreifer das Einschleusen und Ausführen von Schadcode erlauben, erklärt der Software-Konzern ? dafür reiche das Öffnen einer manipulierten Office-Datei, der Code könne mit den Rechten des angemeldeten Nutzers ausgeführt werden. Neben der Behebung der Schwachstellen, die Excel, PowerPoint und Word betreffen, bringt die neue Version auch kleinere Verbesserungen: Die Druckausgabe mehrerer E-Mails als PDF funktioniere nun richtig in Outlook 2011. Der „PowerPoint Broadcast Service“ wurde aus PowerPoint 2011 entfernt, merkt Microsoft an. Andere Broadcast-Dienste sollen sich weiterhin nutzen lassen. Das Update ist über die in Office integrierte Softwareaktualisierung oder die Webseite der Herstellers erhältlich. Als Voraussetzung zur Installation nennt das Unternehmen Office für Mac 2011 in mindestens Version 14.1.0 sowie Mac OS X 10.5.8. Office für Mac 2016 ebenfalls betroffen Laut Microsofts Security Bulletin MS16-004 sind die genannten Sicherheitslücken auch in Office für Mac 2016 zu finden, Excel, PowerPoint und Word sind ebenfalls betroffen. Dem Support-Dokument zufolge steht für die aktuelle Office-Version noch kein Update bereit ? Nutzer sollten die Aktualisierungsfunktion prüfen, ob dieses inzwischen doch schon ausgeliefert wird. Für betroffene Windows-Versionen von Office hat Microsoft mit dem Patchday auch Updates bereitgestellt. [Update 13.01.2016 18:15 Uhr] Mac-Office 2016 beseitigt die Lücken in Version 15.8.0. Es bringt ebenfalls laut Microsoft ebenfalls Neuerungen, darunter eine Vollbildansicht für Outlook. Word soll PDF-Dateien jetzt auch auf USB-Sticks speichern. (lbe)...
mehrJavaScript: lodash 4.0 veröffentlicht
Die vierte Hauptversion der viel genutzten Utility-Bibliothek zeigt die Früchte der Zusammenarbeit der Teams von lodash und Underscore.js. Außerdem kann das Projekt nun unter anderem mit Emojis umgehen. Entwickler John-David Dalton hat die Verfügbarkeit von Version 4.0 der JavaScript-Utility-Bibliothek lodash bekannt gegeben. Sie ist derzeit wohl das am meisten als Abhängigkeit aufgeführte npm-Paket. Seit dem vorigen Jahr bemühen sich die Entwickler des Projekts unter anderem, es mit der Bibliothek Underscore.js zusammenzuführen. Das daraus entstandene Underdash ist derzeit noch in der Anfangsphase, allerdings konnte lodash 4.0 bereits von der Zusammenarbeit der Teams profitieren. Da lodash durch ergänzende Funktionen immer weiter wächst, gibt es mit Veröffentlichung der neuen Version nun einen separaten, 4 KByte großen Core-Build, sodass nur an Kernfunktionen interessierte Entwickler unnötigen Ballast umgehen können. Im Core ist nach dem Update auch lodash-fp und babel-plugin-lodash zu finden. Ersteres wurde in der 3.x-Serie zur funktionalen Programmierung ergänzt. Generell hat das Entwicklerteam an der modularen Komplexität gearbeitet, sodass sich nun einfacher kleinere Bundles erstellen lassen. Zudem lassen sich nun auch Emojis in lodash verwenden und die Bibliothek kann mit mehr in ECMAScript 6 eingeführten Methoden umgehen. Weitere Informationen zu den Neuerungen sind in den Release Notes zu finden. (jul) Vollständiger...
mehr