Antary

Monatsarchiv: März 2015

Firefox 37 erschienen – alle Neuerungen im Überblick

31. März 2015, 23:11 · von · 0 Kommentare

Firefox Logo 23+

Heute wurde Firefox 37 veröffentlicht. Gravierende Neuerungen werden nicht geboten. Mit der neuen Version erhöht Mozilla vor allem weiter die Sicherheit des Browsers. Firefox 38 wird am 12. Mai 2015 erscheinen.

Nachfolgend ein Überblick der Änderungen und Neuerungen in Firefox 37:

  • OneCRL: zentrale Sperrliste für Zertifikate, die nicht vertrauenswürdig sind (Certificate Revocation List)
  • Unterstützung für DSA (Digital Signature Algorithm) zur Verschlüsselung von Zertifikaten wurde entfernt
  • Möglichkeit für unsichere TLS-Versionen als Fallback wurde entfernt
  • Opportunistische Verschlüsselung (Opportunistic Encryption) für HTTP/2
  • Browser-Suche mit Bing nutzt nun HTTPS
  • Yandex wird zur Standard-Suche in der türkischen Firefox-Version
  • Nutzer können über das Heartbeat Feedback-System über den Browser befragt werden
  • Media Source Extensions (MSE) für YouTube teilweise integriert
  • Web-Inspektor kann Animationen untersuchen
  • Verbesserte Performance beim Rendering von WebGL

Download Firefox 37
Portable Firefox 37 @ Horst Scheuer

Kategorien: Firefox Linux Software & Apps Windows

UEFI besitzt schwere Sicherheitslücken

25. März 2015, 22:17 · von · 2 Kommentare

In den letzten Monaten gab es vermehrt Berichte über gefährliche Sicherheitslücken in UEFI (Unified Extensible Firmware Interface). Grund genug eine kleine Zusammenfassung zu erstellen.

Im Oktober 2014 wurden zwei Sicherheitslücken in Intels UEFI-Referenzimplementierung bekannt, die bereits Ende 2013 entdeckt wurden. Da sehr viele Hersteller die Referenzimplementierung von Intel als Vorlage nutzen, sind die beiden Sicherheitslücken CVE-2014-4859 und CVE-2014-4860 weit verbreitet. Durch die Schwachstellen lassen sich beispielsweise Rootkits einschleusen, die vom Betriebssystem nicht entdeckt werden können.

Die beiden Schwachstellen finden sich im Update-Mechanismus der UEFI-Firmware. Dort wird unter anderem mit der Umgebungsvariablen “CapsuleUpdateData” gearbeitet, die von Betriebssystemen ausgelesen und beschrieben werden kann. Ist die Variable beim Systemstart vorhanden, wird versucht das Update zu lokalisieren und auszuführen. Hierbei kann es zu Integer Overflows kommen, wodurch Schadcode eingeschleust werden kann. Ein solcher Angriff wird als “BIOS Extreme Privilege Escalation” bezeichnet.

Vor wenigen Tagen haben zwei Sicherheitsforscher das Rootkit “LightEaterpräsentiert, welches die schlimmsten Befürchtungen wahr werden lässt. Das Rootkit nutzt dabei bekannte Schwachstellen von UEFI aus, operiert unabhängig vom Betriebssystem und ist von dort auch nicht zu entdecken. Nachdem sich LightEater im System festgesetzt hat kann es über den System Management Mode (SMM) Befehle ausführen. Selbst Live-Distributionen die komplett  im Arbeitsspeicher laufen können von LightEater kompromittiert werden. Beispielsweise lassen sich dort Passwörter und geheime Schlüssel mitschneiden.

Aktuell wurde der Code von LightEater noch nicht veröffentlicht und befindet sich noch im Proof of Concept. Allerdings sind früher oder später ernstzunehmende Angriffe zu erwarten. Schließlich forschen auch die NSA und GCHQ an ähnlichen Angriffstechniken. Besonders schlimm ist die Tatsache, dass beim Befall des eigenen Systems kaum eine Chance auf Entdeckung bzw. aktiven Schutz besteht. Einzige Abhilfe bei einer Infizierung wäre dann das Flashen einer sicheren Firmware, was aber bei der Menge der UEFI-Sicherheitslücken fast unmöglich erscheint. Immerhin haben Dell, HP und Lenovo Updates angekündigt, welche die LightEater-Anfälligkeit beheben sollen. Ältere PCs mit BIOS und ohne UEFI sind vor LightEater nach aktuellem Stand komplett sicher.

Kategorien: Hardware Software & Apps

Amazon startet Verkauf des Fire TV Stick für 19 Euro

24. März 2015, 12:06 · von · 2 Kommentare

Amazon Fire TV Stick

Seit heute Morgen um 9 Uhr kann der Amazon Fire TV Stick auch in Deutschland vorbestellt werden. Der Versand erfolgt dann ab dem 15. April. Der Normalpreis des Fire TV Sticks liegt bei 39 Euro. Prime-Mitglieder zahlen die ersten zwei Tage jedoch nur einen Preis von 19 Euro. Wer noch kein Prime-Kunde ist und zusammen mit dem Stick eine Prime-Mitgliedschaft abschließt, bekommt ihn für gerade einmal 7 Euro.

Mit dem Fire TV Stick ergänzt Amazon sein eigenes Streaming-Portfolio und geht damit gleichzeitig in direkte Konkurrenz zu Googles Chromecast. Der HDMI-Stick ist mit einem Dual-Core-Prozessor, 1 GByte Arbeitsspeicher und 8 GByte Speicherplatz ausgestattet. Außerdem verfügt er über Bluetooth 3.0 (unterstützt HID, HFP, SPP) und Dualband-WLAN mit zwei Antennen nach 802.11a/b/g/n.

Der Fire TV Stick ist eine einfache Möglichkeit zum Zugriff auf Amazon Instant Video, Netflix und Co. Außerdem läuft darauf auch das Mediencenter Kodi und es stehen einige Spiele zur Verfügung. Die Bedienung erfolgt per mitgelieferter Fernbedienung oder mit einer App, die für Android und iOS verfügbar ist.

Für 19 Euro ist der Stick auf jeden Fall ein Schnäppchen. Ich habe mir heute Morgen auch schon einen vorbestellt.

Amazon Fire TV Stick vorbestellen

Amazon Fire TV Stick

Kategorien: Hardware Internet TV

Microsoft bietet auch für illegale Kopien kostenloses Upgrade auf Windows 10

18. März 2015, 22:13 · von · 0 Kommentare

Windows 10 Logo

Terry Myerson, Chef der Betriebssystemsparte bei Microsoft, hat im Rahmen der WinHEC-Konferenz in Shenzhen eine Bombe platzen lassen: Das kostenlose Upgrade auf Windows 10 soll auch für illegale Windows-Kopien zur Verfügung stehen. Damit könnten auf einen Schlag mehrere hundert Millionen Nutzer auf eine legale Version wechseln. Legal wird eine solche Version durch das Upgrade auf Windows 10 aber nicht. Microsoft werde es den entsprechenden Usern aber einfach machen, auf eine legale Version zu wechseln. Mit dem Upgrade möchte Microsoft schlichtweg so viele User wie möglich auf die aktuellste Windows-Version bringen.

In China sind besonders viele illegale Versionen von Windows im Umlauf. Aus diesem Grund war diese Aussage primär auf China bezogen. Auf Nachfrage von The Verge, CNet und Golem hat Microsoft allerdings bestätigt, dass das Angebot weltweit gültig ist. Demnach können alle Privatkunden und kleine Unternehmen ein Jahr lang kostenlos von Windows 7 oder Windows 8.1 auf Windows 10 upgraden.

Ich muss gestehen, das ist ein sehr geschickter Schachzug. Microsoft stellt damit sicher, dass direkt nach Veröffentlichung viele Kunden auf das neue Windows 10 umsteigen werden. Viel schneller könnte man Windows 10 nicht auf so vielen Maschinen wie möglich platzieren. Außerdem sollte gleichzeitig auch die Anzahl der illegalen Versionen sinken. Geld kann Microsoft danach dann immer noch mit zusätzlichen Diensten, dem Windows Store oder mit einer Art Freemium-Modell verdienen.

Laut Microsoft wird Windows 10 im Sommer erscheinen und insgesamt in 190 Ländern und in 111 Sprachen ausgeliefert werden.

Kategorien: Windows Windows 10

BitLocker schon seit 2010 geknackt

14. März 2015, 10:35 · von · 0 Kommentare

Microsoft Logo

Im Zuge des NSA-Skandals hat The Intercept einen interessanten Artikel veröffentlicht, der weitere Informationen zu den technischen Möglichkeiten der US-Geheimdienste bereithält. Als Beweis wurden neue Snowden-Dokumente veröffentlicht, die sich auf die jährlich stattfindende Geheimveranstaltung “Jamboree” beziehen. Dort diskutieren CIA- und NSA-Spione über die neuesten Sicherheitslücken und Spionagemöglichkeiten. Der Fokus des Artikels liegt dabei auf dem Aushebeln von Sicherheitsvorkehrungen für Apple-Hardware. In einem kleinen Absatz wird aber auch erwähnt, dass die BitLocker Festplattenverschlüsselung von Microsoft schon im Jahr 2010 geknackt wurde.

Demnach lassen sich BitLocker-Keys aus dem Trusted Platform Modul (TPM) auslesen und somit kann die Laufwerksverschlüsselung erfolgreich ausgehebelt werden. Neben dem direkten Angriff der TPM-Module lassen sich die Schlüssel auch durch die Analyse der Leistungsaufnahme feststellen. Zusätzlich zur herkömmlichen kabelgebundenen Stromanalyse können die Schlüssel auch durch die Messung der elektromagnetischen Signale des TPM ermittelt werden. Des Weiteren eröffnen sich durch die Kompromittierung des TPM noch weitere Möglichkeiten. Beispielsweise können Angreifer verdeckt Malware einführen, die unter Windows so gut wie nicht entdeckt werden kann. Laut The Intercept möchte sich Microsoft zu den neuen Informationen nicht äußern.

Dies lässt gleichzeitig die Frage aufkommen, ob die Hersteller mit den Geheimdiensten kooperieren. Die genaue Art und Weise ist dann eher Nebensache. Es führt zum gleichen Ergebnis, ob die Hersteller direkt mit den Geheimdiensten zusammenarbeiten und eine Hintertür einbauen oder ob sie indirekt kooperieren und eine bekannte Sicherheitslücke offen lassen. Die zweite Möglichkeit wäre allerdings noch einen Tick heftiger, da die Sicherheitslücke auch von anderen gefunden und ausgenutzt werden könnte. Sicherheitsfanatiker sollten also einen großen Bogen um beide Technologien (BitLocker und TPM) machen.

Kategorien: Software & Apps Sonstiges Windows

Google stellt Android 5.1 Lollipop vor

9. März 2015, 23:38 · von · 0 Kommentare

Android 5.0 Lollipop

Während Apple heute Abend die Apple Watch, das neue 12 Zoll große MacBook und iOS 8.2 präsentiert hat, kontert Google mit der Vorstellung von Android 5.1 Lollipop. Die neue Version wurde in einem kurzen Blogartikel vorgestellt und soll ab sofort auf alle Nexus-Geräte mit Android 5.0 Lollipop verteilt werden.

Nachfolgend ein kurzer Überblick der Neuerungen von Android 5.1.

Unterstützung von mehreren SIM-Karten

Mit Version 5.1 unterstützt Android endlich nativ mehrere SIM-Karten. Damit einher geht eine bessere Trennung zwischen Arbeit und Privatem, sodass beispielsweise eine geschäftliche SIM- und eine private SIM-Karte gleichzeitig verwendet werden können. Außerdem lässt sich ein Smartphone mit dem neuen Feature einfacher zu zweit nutzen.

Diebstahlschutz

Das wurde aber auch Zeit! Mit der “Device Protection” sorgt Google dafür, dass verlorene oder gestohlene Geräte mit Android 5.1 nicht mehr so einfach wie bisher zurückgesetzt werden können. Bei aktiviertem Diebstahlschutz muss man sich zur Aktivierung des Geräts mit dem zuletzt verbundenen Google Konto verbinden, auch nach dem Zurücksetzen auf den Auslieferzustand.

HD Voice Call

Mit diesem Feature soll die Qualität von Telefonanrufen zwischen Geräten mit Android 5.1 verbessert werden. Wie genau das funktionieren soll lässt Google aber vorerst noch offen.

Weitere Kleinigkeiten

Neben diesen drei größeren Neuerungen bringt Android 5.1 Lollipop noch einige kleine Detailverbesserungen mit sich. So ist es nun möglich, direkt aus den Schnelleinstellungen neuen WLAN-Netzen beizutreten und Bluetooth-Geräte zu verwalten. Ebenso hat Google die oft mit Kritik bedachten Heads-Up-Benachrichtigungen optimiert. Des Weiteren soll das Update die Stabilität und die Performance von Android verbessern.

Android 5.1 Lollipop

Android 5.1 Lollipop (Quelle: Google)

Kategorien: Android Software & Apps

Zugriff auf Netzwerklaufwerke mit aktivierter Benutzerkontensteuerung (UAC) nicht möglich

7. März 2015, 19:52 · von · 0 Kommentare

Bei aktivierter Benutzerkontensteuerung (UAC) kann es vorkommen, dass Netzwerklaufwerke in Programmen, die mit administrativen Rechten laufen, nicht angezeigt werden. Auch Microsoft beschreibt dieses Problem.

Ursache ist die Art und Weise, wie Windows mit aktivierter Benutzerkontensteuerung arbeitet. Wenn Netzlaufwerke per Anmeldeskript verbunden werden, erfolgt dies mit dem standardmäßigen Benutzer-Token, d.h. mit eingeschränkten Rechten. Programme, die mit administrativen Rechten laufen (nach Bestätigung des Benutzerkontensteuerung-Pop-Ups), arbeiten jedoch mit einem anderen Benutzer-Token. Dadurch sind Netzlaufwerke, welche mit dem eingeschränkten Benutzer-Token verbunden werden, nicht für das administrative Benutzer-Token vorhanden.

Dieses Verhalten lässt sich aber mittels eines kleinen Eingriffs in die Registry abstellen.

  1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und “regedit” eingeben, damit der Registrierungs-Editor geöffnet wird.
  2. Anschließend zu folgendem Pfad navigieren: 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  3. Darunter muss ein neuer “DWORD-Wert (32-Bit)” mit dem Namen “EnableLinkedConnections” erstellt werden.
  4. Der Wert muss auf “1” gesetzt werden.
  5. Nach einem Neustart sind die Änderungen wirksam und Netzwerklaufwerke stehen auch im administrativen Kontext zur Verfügung.

Kategorien: Tutorials Windows Windows 10 Windows 7 Windows 8

Google Kalender: Geburtstage von Google+-Kontakten ausblenden

6. März 2015, 20:14 · von · 0 Kommentare

Google Logo

Der Geburtstags-Kalender von Google ist eine feine Sache. Dort werden alle Geburtstage angezeigt, die ihr bei euren Google Kontakten hinterlegt habt. Auch Jahrestage und andere Termindaten aus den Google Kontakten werden angezeigt. Anfang 2015 hat Google jedoch eine Änderung durchgeführt, sodass plötzlich auch alle Geburtstage von Personen aus “Meine Kreise” in Google+ angezeigt werden. Dieses Feature ist zwar ganz nett, für viele Nutzer aber eher störend und nervig.

Mittlerweile hat Google reagiert und das Feature optional gemacht, d.h. die Anzeige der Geburtstage von Google+-Kontakten lässt sich wieder deaktivieren. Dazu müsst ihr eure Kalender-Einstellungen öffnen und anschließend auf den Kalender “Geburtstage” klicken. Hier könnt ihr dann festlegen, dass nur die Geburtstage eurer Kontakte im Kalender angezeigt werden.

Google Kalender Geburtstage

Kategorien: Internet Tutorials

Amazon bietet Führungen für Besucher an

3. März 2015, 13:15 · von · 0 Kommentare

Amazon Logo

Vor wenigen Tagen hat Amazon in einer Pressemitteilung verlauten lassen, dass das Unternehmen in den deutschen Logistikzentren ab sofort Führungen für Besucher anbietet. Den Auftakt hat das Logistikzentrum in Graben bei Augsburg gemacht. Gleichzeitig wurde eine neue Webseite gestartet, auf der sich sowohl Gruppen als auch Einzelpersonen für Besichtigungstouren in Graben anmelden können. Aktuell werden zwei Führungen pro Monat angeboten, die jeweils am Freitag stattfinden. Für den Blick hinter die Kulissen sollte man gemäß Amazon 60 Minuten einplanen. Bisher gab es in Graben nur Führungen für Angehörige und Freunde von Amazon Mitarbeitern. Weitere Logistikzentren sollen in Zukunft folgen.

Die Fahrtzeit zum Logistikzentrum in Graben beträgt für mich nur ca. 60 Minuten, weshalb ich auf jeden Fall mal an einer Führung teilnehmen werde.

Amazon Anmeldeseite für Besichtigungstouren

(via caschy)

Kategorien: Internet Sonstiges