... als kritisch ausgewiesen. In Edge sind es nur drei Lücken, darunter zwei als kritisch eingestufte. In Office hat Microsoft 17 Schwachstellen beseitigt, eine Sharepoint-Lücke ist als kritisch ausgewiesen. In Windows ist die dritte LNK-Lücke (CVE-2020-1299) dieses Jahres beseitigt. Die Sicherheitslücke CVE-2020- 1300 besteht im fehlerhaften Umgang mit CABArchiven. Öffnet ein Benutzer eine speziell präparierte CAB-Datei, beispielsweise einen vermeintlichen Treiber für einen Netzwerkdrucker, wird enthaltener Code ausgeführt. Das passiert auch im Falle der OLE-Schwachstelle CVE- 2020-1281, wenn ein Benutzer eine präparierte Datei öffnet. Hier ist das Spektrum der infrage kommenden Dateitypen jedoch ungleich breiter. Web und Mail sind typische Angriffsvektoren für diese Lücke. Der nächste turnusmäßige Patch Day ist am 14. Juli.
Adobe stopft kritische Flash-Lücke
Adobe hat Sicherheits-Updates für Flash Player und Framemaker bereitgestellt, um kritische Lücken zu schließen. Im Flash Player bis einschließlich Version 32.0.0.371 hat Adobe offenbar selbst eine Use-After-Free-Lücke (CVE-2020- 9633) entdeckt. Der Hersteller stuft die Schwachstelle als kritisch ein. Sie ist in der neuen Version 32.0.0.387 für alle Plattformen beseitigt. In Framemaker bis einschließlich Version 2019.0.5 hat Adobe drei als kritisch ausgewiesene Lücken gestopft und die neue Version 2019.0.6 bereitgestellt. https://helpx.adobe.com/security.html
Tor Browser 9.5 fördert Onion-Sites
Das Tor-Projekt hat seinen Browser für anonymisierte Webnutzung runderneuert. Tor Browser 9.5 basiert auf Firefox ESR 68.9.0, einschließlich dessen Sicherheits-Updates. Außerdem sind Noscript 11.0.26, HTTPS-Everywhere 2020.5.20 und Tor 0.4.3.5 an Bord. Tor Browser 9.5 soll seinen Nutzern die Onion-Dienste näherbringen. Website-Betreiber können nun per HTTP-Header signalisieren, dass sie auch eine Onion-Site im Tor-Netzwerk anbieten. Tor Browser zeigt dies dem Benutzer an. https://blog.torproject.org
Firefox 77: Sicherheits-Updates für Firefox
In Firefox 77.0 haben die Mozilla-Entwickler mindestens neun Schwachstellen beseitigt. Drei der sechs durch Externe entdeckten Lücken stuft Mozilla als hohes Risiko ein. So könnte etwa ein Timing-Angriff auf DSA-Signaturen zur Offenlegung privater Schlüssel führen. Das tags darauf bereitgestellte Update auf Firefox 77.0.1 schaltet die gerade eingeführte automatische Auswahl von „DNS over HTTPS” (DoH) wieder ab, um Provider zu entlasten. In Firefox ESR 68.9.0 haben die Mozilla-Entwickler die gleichen Sicherheitslücken beseitigt, so weit vorhanden.