Der BSI-Bericht zur Lage der IT-Sicherheit in Deutschland präsentiert erschreckende Zahlen: Im Jahr 2023 registrierte das Bundesamt für Sicherheit in der Informationstechnik jeden Tag durchschnittlich 68 neue Schwachstellen in Softwareprodukten, das ergibt beinahe 25.000 neue Sicherheitslücken im Jahr.
Gezählt wurden sicherheitsrelevante Fehler in Programmen aller Art, von Fachanwendungen für die Industrie über Serversoftware für Unternehmen bis hin zu Smartphone-Apps.
Die meisten dieser Schwachstellen, rund 47 Prozent, ermöglichten die Ausführung von unautorisierten Befehlen oder Programmcodes. Auf diese Weise konnten die Angreifer beispielsweise Ransomware auf einem Rechner installieren, Sicherheitsmaßnahmen umgehen, die eigenen Zugriffsrechte erweitern oder Daten auslesen, um sie an andere Gruppen zu verkaufen oder die Besitzer zu erpressen.
Siehe auch: 10 Sicherheits-Checks für Ihren PC, die Sie unbedingt prüfen sollten
Winrar führt eingebettete Scripts aus und lädt Schadcode
In einer früheren Version von Winrar konnten Angreifer über ein präpariertes Archiv Scripts auf den Rechner des Anwenders schmuggeln.
IDG
Im August 2023 wurde eine Sicherheitslücke in dem populären Packprogramm Winrar bekannt, mit deren Hilfe kriminelle Hacker Scripts auf dem Computer des Anwenders ausführen können. Ursache war ein Fehler beim Umgang des Tools mit Dateinamen-Erweiterungen.
Auf dieser Basis war es möglich, RAR-Archive so zu präparieren, dass beim Öffnen einer Datei automatisch ein Script startete und beispielsweise weitere Dateien aus dem Internet nachlud.
Noch im August veröffentlichte die Win.rar GmbH die überarbeitete Version 6.23, die den Fehler behob. Mittlerweile ist Version 6.24 erhältlich. Es ist jedoch wahrscheinlich, dass immer noch zahlreiche Anwender mit einer früheren, anfälligen Version des Programms arbeiten.
Ein großes Problem ist zudem, dass viele andere Hersteller den Kompressionsmechanismus von Winrar lizenziert und in ihre eigenen Produkte eingebaut haben. Ein Beispiel ist etwa der Dateimanager Total Commander. Wenn eine Software daher anbietet, RAR-Archive zu öffnen und anzulegen, sollten Sie sie unbedingt auf den aktuellen Stand bringen.
Falsche und echte Fehler im VLC Media Player
Der VLC Media Player liegt mittlerweile in der Version 3.0.20 vor, in der die Schwachstelle behoben wurde.
IDG
Bereits seit mehreren Jahren bekommt die Open-Source-Software VLC Media Player mediale Aufmerksamkeit, da immer wieder Sicherheitslücken entdeckt werden. Dabei handelte es sich allerdings teilweise um Falschmeldungen, wie etwa eine News aus dem Jahr 2019.
Dort betraf der Fehler ausschließlich die Linux-Version des VLC-Players, und die Ursache lag laut den VLC-Entwicklern nicht bei ihrer Software, sondern bei einer fehlerhaften Programmbibliothek in einigen Linux-Distributionen.
Bestätigt hat sich allerdings, dass einige VLC-Downloads von inoffiziellen Seiten eine fremde DLL-Datei enthalten, die beim Aufruf des Tools geladen wird und anschließend Zugriffe von außen auf den Computer ermöglicht. Die Lehre daraus: Rufen Sie Software immer nur von der Website des Herstellers oder von vertrauenswürdigen Sites wie etwa www.pcwelt.de ab.
Im Jahr 2022 wurden jedoch auch einige kritische Sicherheitslücken im VLC Player bekannt. Sie ermöglichten es einem Angreifer, beispielsweise über eine präparierte Datei einen Absturz des Tools herbeizuführen und dabei Schadcode von externen Quellen abzurufen oder auch einen Denial of Service auszulösen, also den Computer lahmzulegen. Dazu musste der Benutzer lediglich eine Videodatei abspielen oder etwa eine Playlist öffnen.
Mit der Version 3.0.18 behob Hersteller Videolan die Probleme, aktuell ist die Version 3.0.20.
Bilder im Grafikformat Webp bringen Schadcode mit
Der Eintrag in der Schwachstellen-Datenbank NIST führt neben Google Chrome noch mehrere andere Programme und Betriebssysteme auf, die durch den Fehler im Grafikformat Webp verwundbar waren.
IDG
Vergangenen September registrierte Google eine Schwachstelle in seinem Chrome-Browser, die es Angreifern erlaubte, einen Pufferüberlauf auszulösen und dabei Schadcode auszuführen. Betroffen war das im Internet weit verbreitete Grafikformat Webp, das sich durch besonders kleine Dateigößen auszeichnet.
Ein Anwender musste lediglich ein präpariertes Bild in diesem Format öffnen und der Code wurde auf seinem Rechner ausgeführt. Bei Google Chrome genügte der Aufruf einer Webseite mit einem Webp-Bild.
Tipp: Der komplette Security-Check 2024 – so sichern Sie Ihren PC richtig
Schon wenige Stunden später korrigierte sich der Konzern und erklärte, dass neben Chrome noch etliche andere Anwendungen verwundbar seien. Denn tatsächlich steckte der Fehler nicht im Browser selbst, sondern in der offenen Bibliothek libwebp, auf die das Programm beim Öffnen von Webp-Bildern zugreift. Diese Bibliothek verwenden auch zahlreiche andere Programme, neben Chrome, Firefox und Edge beispielsweise auch Anwendungen wie Gimp, Inkscape, Libreoffice, Signal, Thunderbird oder 1Password.
Während für die Browser längst Patches verfügbar sind, die zudem automatisch installiert werden, dürften viele Programme auf den Anwender-PCs noch in veralteten, nicht gepatchten Versionen laufen. Sie sollten daher jede Software, die Webp-Grafiken lesen kann, sofort auf die neueste Versionsnummer bringen.
Wie sich vor Schwachstellen in Programmen schützen
In letzter Zeit wurden zahlreiche gravierende Sicherheitslücken in vielgenutzten Programmen entdeckt. Diese gefährden die Sicherheit von PCs massiv. Wir zeigen Ihnen, um welche Lücken es sich handelt und wie Sie diese schließen können.
Spielen Sie verfügbare Patches und neue Softwareversionen sofort ein. Verwenden Sie ein Tool wie das kostenlose Ucheck, um regelmäßig nach Neuveröffentlichungen zu suchen.
Verwenden Sie einen Passwortmanager wie Bitwarden oder Keepass. Definieren Sie für jeden Dienst, jeden Shop, jedes Konto et cetera ein anderes Kennwort, und wählen Sie lange und komplexe Zeichenkombinationen.
Wo immer es geht, sollten Sie eine Zwei-Faktor-Authentisierung benutzen.
Sichern Sie Ihre wichtigsten Daten regelmäßig mit einem Backup auf ein externes Medium, das Sie anschließend wieder von Ihrem Computer trennen.
Seien Sie sich der Gefahren durch Phishing-Mails bewusst. Überprüfen Sie insbesondere bei Nachrichten von Banken, Streaminganbietern und Lieferdiensten die Absenderadresse und die enthaltenen Links.
Speicherfehler im Foxit PDF Reader lassen Schadcode zu
Der Foxit PDF Reader wies in einer Vorgängerversion eine Schwachstelle auf, die beim Öffnen von präparierten PDF-Dateien das Ausführen von Schadcode erlaubte. Ob Foxit-Nutzer tatsächlich angegriffen wurden, ist nicht bekannt.
IDG
Im Foxit PDF Reader sowie im Foxit PDF Editor wurden im November 2023 mehrere Schwachstellen entdeckt, die beim Öffnen von manipulierten Dokumentdateien zu Speicherfehlern führen konnten. Anschließend war es einem Angreifer möglich, beliebigen Schadcode auf dem Computer auszuführen.
Der Hersteller hat mittlerweile die Version 2023.3 zur Verfügung gestellt, die diese Sicherheitslücken schließt.
Unberechtigter Fernzugriff auf mehrere Fritzbox-Modelle
Ein überraschend erfolgtes Update auf die Version 7.57 schloss eine Sicherheitslücke in der Fritzbox, über die sich kriminelle Hacker Zugriff auf die Bedienoberfläche des Routers verschaffen.
IDG
Anfang September veröffentlichte AVM Stabilitäts- und Sicherheitsupdates für etliche Modelle seiner Fritzbox-Router sowie auch für einige Repeater. Damit stopfte der Hersteller ein Sicherheitsloch im Webserver der Fritzbox, also der Bedienoberfläche, die bei einem Fernzugriff übers Internet zugänglich ist.
Über eine speziell dafür eingerichtete Webseite war es möglich, Besitzer einer Fritzbox mit Hilfe einer Umleitung auf das Webinterface ihres eigenen Routers zu führen. Damit öffnete sich auch ein Fernzugriff für den Angreifer, der dabei noch nicht einmal ein Passwort eingeben musste.
Der Fehler betrifft alle Versionen des Fritz-OS vor 7.57, beziehungsweise bei einigen Modellen vor 7.31. AVM hat auch für zahlreiche ältere Modelle, die längst nicht mehr erhältlich sind, Updates bereitgestellt. Sie werden bei allen Fritzboxen in der Voreinstellung automatisch installiert.
Welche Version bei Ihnen installiert ist, sehen Sie auf der Übersichtsseite der Bedienoberfläche der Box rechts oben oder über das Menü unter „System –› Update“.
Neue Outlook-Version gibt Anmeldedaten weiter
Beim Einrichten des neuen Outlook werden Sie nach Ihren IMAP-Zugangsdaten gefragt, die dann anschließend in der Microsoft-Cloud gespeichert werden.
IDG
Die Tage der Windows-Programme Mail und Kalender sind gezählt. Microsoft will über alle Betriebssystem-Plattformen hinweg ein E-Mail-Programm mit einer einheitlichen Oberfläche und der Bezeichnung Outlook etablieren. Vorbild soll die Webversion von Outlook sein.
Diesen Plänen fallen auch die beiden genannten Windows-Apps zum Opfer, Anwender werden in den kommenden Monaten mit mehr oder weniger sanftem Druck aufgefordert, auf das neue Outlook von Windows 11 umzusteigen. Im aktuellen Windows 11 ist es bereits enthalten. Dabei handelt es sich allerdings nicht um die geplante neue Outlook-Version aus Microsoft 365, diese soll erst zu einem späteren Zeitpunkt vorgestellt werden.
Auch der Bundesbeauftragte für den Datenschutz zeigte sich empört.
IDG
Für die Umstellung muss der Anwender seine IMAP-Konten im neuen Outlook frisch einrichten und dabei auch die Benutzernamen und Passwörter eingeben. Wie sich jetzt zeigte, bleiben diese Daten nicht auf dem lokalen Rechner, sondern werden in die Microsoft-Cloud übertragen und dort gespeichert.
Die Begründung von Microsoft: Auf diese Weise ist es möglich, alle bestehenden Mailaccounts des Anwenders zu synchronisieren, sodass er nur noch ein E-Mail-Programm für alle seine Postfächer benötigt. Wenn Microsoft allerdings die Zugangsdaten besitzt, kann die Firma sämtliche E-Mails einer Person lesen, sowohl die Nachrichten bei den eigenen Diensten wie Outlook.com wie auch die Mails in den Posteingängen von anderen Providern.
Security Software and Services