Aquatic-Update wird das letzte für ältere Konsolen

Artwork Aquatic Update Minecraft
Artwork Aquatic Update Minecraft

Besitzer einer Xbox 360 oder der Wii U können mit Minecraft noch im Aquatic-Update in die Tiefsee tauchen. Wer dann Erweiterungen mit neuen Inhalten möchte, muss laut Entwickler Mojang mit einer der neueren Konsolen spielen.

Das zu Microsoft gehörende Entwicklerstudio Mojang will das Aquatic-Update noch für alle Konsolen veröffentlichen, auf denen Minecraft derzeit läuft. Danach soll es größere Erweiterungen aber nur noch für die Fassungen des Klötzchenspiels geben, die auf der neuen Bedrock-Engine und auf Java basieren – also für die Xbox One, die Switch von Nintendo, die Versionen für mobile Plattformen (iOS und Android) sowie für Windows 10. Einzige Ausnahme ist die Playstation 4, die ebenfalls weiter mit Updates versorgt werden soll.

Keine Erweiterungen, sondern wohl nur noch kleinere Fehlerkorrekturen und ähnliches soll es hingegen nach der Veröffentlichung von Aquatic für die Playstation 3, die Xbox 360, die Playstation Vita sowie die Wii U geben. Als Grund für diese Entscheidung nennen die Entwickler in ihrem Blog, dass diese älteren Plattformen nur noch von fünf Prozent der aktiven Spieler verwendet würden, so dass sich der Aufwand nicht mehr lohne.

Angesichts der riesigen Verbreitung von Minecraft dürfte diese Entscheidung allerdings immer noch ein paar Hunderttausend Spieler betreffen, entsprechend groß ist die Empörung in einigen Foren und in sozialen Netzwerken.

Mit der Tiefsee-Erweiterung, die offiziell den Namen The Update Aquatic trägt, soll Minecraft um Fische und Delfine, erkundbare Schiffswracks und andere unterseeische Elemente ausgebaut werden. Auch die Wasserphysik wollen die Entwickler spürbar verbessern, dazu kommt ein Dreizack als neue Waffe. Einen konkreten Termin gibt es nicht, allerdings möchte Mojang das kostenlose Update nach eigenen Angaben noch im zweiten Quartal 2018 veröffentlichen. Zuerst soll das Addon für die Bedrock- und die Java-Fassungen erhältlich sein, wenig später dann auch für die Playstation 4 und die älteren Konsolen.

Mozillas Wartungsdienst und die Windows Firewall

Kleinigkeiten sind es, die so manchen erfahreneren Computernutzer zur Verzweiflung treiben. So hat mich der Wartungsdienst von Firefox und Thunderbird letztens bei der Neuinstallation Windows (Win 7 und 10) zur Weißglut getrieben und nichts wirklich brauchbares stand dazu im Internet.

Was war passiert?

Ich habe mir vor ein paar Wochen einen neuen Rechner ohne Betriebssystem gekauft. Die Interne Festplatte ist groß genug um 3 Betriebssysteme zu installieren und eine zweite Platte ermöglicht es Dateien zur Bearbeitung abzulegen. Installiert habe ich mir Windows 7, Windows 10 und Ubuntu. Warum Win 7? Ich besitze noch etwas betagtere Software, die in der Anschaffung recht teuer ist, aber unter Windows 10 nicht mehr einwandfrei funktioniert. Eine Virtuelle Maschine scheidet aus Performancegründen aus – bei der Software handelt es sich um Videobearbeitungssoftware. Also Win 7. Windows 10 für Games und Ubuntu für sicherheitsrelevante Aufgaben wie Onlinebanking und dergleichen.

Wie eingangs schon erwähnt, mußte ich die Betriebssysteme von Grund auf neu aufsetzen, Treiber und alle benötigte Software dazu. Beide Windows-Versionen habe ich wie gehabt von meinem USB Stick installiert. Nur habe ich eine Kleinigkeit vergessen.

Der Trick mit der Benutzerkontensteuerung

Für die Installation der Treiber und Software auf Windowssystemen schalte ich im Administratorkonto die Benutzerkontensteuerung ab. Das bringt den Vorteil, daß man nicht dauernd nach den Rechten für die Softwareinstallation gefragt wird, sobald man eine neue Software integriert. Wenn Windows mit allem drum und dran eingerichtet ist, wird die UAC (User Acount Conbtrol – neudeutsch für Benutzerkontensteuerung) wieder scharf gestellt.

Auf meinen Windowssystemen nutze ich eigentlich nur die Firewall und den Virenschutz, den Microsoft bereitstellt – also Windows Defender und die Windows Firewall. Bei der Installatation von Windows und Software auf dem neuen Rechner hatte ich vergessen, die UAC auszuschalten. Auf meinem Stick mit der am meisten benötigten Software hatte ich Thunderbird und Firefox, beides in leicht veralteten Versionen – Thunderbird 36.x und Firefox 43. Also beides war zum Installationszeitupunktz mindestens 2 bis 3 Monate alt – eigentlich kein Problem, beide Programme haben ja den Wartungsdienst, der die alte Version erkennt und dann die aktuelle vom Release-Kanal aus dem netz besorgt – DENKSTE

Was dann kam, war die Meldung, daß die eigentlich veralteten Versionen von Thunderbird und Firefox im Menü Hilfe –> Über Firefox/Thunderbird als aktuell angezeigt wurden.

Firefox - veraltete Version wird als aktuell angezeigt
Firefox – veraltete Version wird als aktuell angezeigt

Durch die immer noch aktivierte Benutzerkontensteuerung wurden beide Programme (Thunderbird und Firefox) zwar korrekt installiert, aber die Windows Firewall wurde nicht mit den entsprechenden Regeln für den Wartungsdienst beider Programme gefüttert. Die Firewall hat im Endeffekt verhindert, daß beide Programme auf die Mozilla-Server zugreifen konnten und die installierte Version prüfen und eventuell updaten können.

Und die Lösung des Problems?

Zu der Geschichte gab es insgesamt wenige Einträge, die Google mir geliefert hat. Es gab nur ein paar Seiten, die auf Manipulation beider Mozillaprogramme von außen hinwiesen. Hierbei sollte die Datei user.js im Profilordner von Firefox von außen manipuliert sein. Bei einem frisch installiertem System, daß bis dahin noch keinen Kontakt zum Internet hatte ist das eher auszuschließen. Ein Eintrag im Forum meines Webhosters brachte mich auf die Idee mit der Firewall. Und da konnte ich den Zusammenhang zur UAC herstellen.

Ich habe beide Programme nacheinander deinstalliert und restlos von der Festplatte getilgt (Programme deinstalliert und die Profilordner gelöscht).

Danach habe ich die Benutzerkontensteuerung deaktiviert und die beiden etwas veralteten Programmversionen neu installiert, danach die UAC wieder angestellt. Mit Hilfe –>Über Firefox/Thunderbird habe ich dann manuell das Update angestoßen und die aktuellen Versionen wurden installiert.

Sicherheitsnotiz – Kritische Sicherheitslücke im WordPress Downloadmanager

Seit Anfang Dezember ist eine kritische Sicherheitslücke im beliebten WordPress-Plugin Download Magager bekannt, die es sogar Script-Kiddies erlaubt ungepatchte Server zu kapern.

Ein offen im Internet verfügbares Script nutzt diese Lücke aus, um einen zusätzlichen Administratoraccount anzulegen. Wenn man zusätzlich Shell-Skripte bedienen kann, ist es sogar möglich, ungepatchte Server zu bedienen.

Von der Sicherheitslücke sind die Version 2.7.5 und älter vom Plugin Download Manage. Nutzt man eine dieser Versionen, sollte man schleunigst auf die aktuelle Version 2.7.81 updaten. Bei Updates vor der 2.6er Version gibt es allerdings einiges zu beachten. Mehr dazu auf dem Link am Ende des Artikels.

Links

Download Manager Update auf 2.6 – Hürden

Sicherheitsnotiz – Cross Site Scripting bei WordPress

WordpressAm Wochenende kam ein umfangreicheres Softwareupdate auf WordPress 4.0.1 heraus. Dieses Update behebt massive Sicherheitstechnische Lücken, gerade in den Versionen 3.0 bis 3.9.2 von WordPress. In diesen alten Versionen ist WordPress anfällig für Cross Site Scripting.

Was genau ist Cross Site Scripting eigentlich?

Beim Cross Site Scripting werden Sicherheitslücken in Webseiten und Contant Management Systemen (CMS) dahin ausgenutzt. Hierbei wird von außen, also vom Hackerschädlicher Code in eigentlich in Seiten eingepflanzt, denen die meisten Internetnutzer vertrauen. Dieser Code überträgt dann beim Ansurfen Computerschädlinge auf den Rechner, oder manipuliert den eingehenden und ausgehenden Netzwerkverkehr auf irgend einer Weise um den unbedarften Surfer Schaden zu zu fügen. Beispielsweise werden sensible Daten wie Passwörter und Anmelde-Daten bei Foren und dergleichen abgegriffen, was dann zum Identitätsdiebstahl führen kann.

Und was genau passiert bei WordPress?

Bei WordPress war es in den Versionen 3.0 bis 3.9.2 möglich, via Kommentarfunktion schädlichen Code auf Java-Script Basis einzufügen. Liest ein Moderator oder ein Administrator einer WordPress-Installation neu hinzugekommene Kommentare, war es möglich den Code auszuführen. Damit ist es möglich das Admin-Passwort zu ändern, andere Nutzerkonten anzulegen und bestehende zu sperren. Somit wäre der gesamte Blog von Fremden übernommen. Die aktuelle Version 4.0 ist nicht betroffen, allerdings steht ein umfangreiches Sicherheitsupdate auf 4.0.1 zur Installation bereit, welches diese Lücke und einige weitere schließen soll.

WP-Statistics ist auch betroffen …

Das beliebte Statistic-Plugin für WordPress ist auch von einer solchen Sicherheitslücke empfohlen. Über diese kann auch ein Angreifer Administratorrechte im Blog erlangen. Weiterhin kann man darüber auch SEO-Spam in Blog-Posts einfügen. Auch hier steht ein Update zur Verfügung.

Was kann ich nun gegen solche Lücken tun?

Das WordPress-Team bringt regelmäßig, aber auch außerhalb des normalen Updatezyklus immer neue und verbesserte Versionen für die beliebte Bloggingsoftware heraus. Im Normalfall wird der Administrator im Dashboard eine Information mit neuen Updates, die gerade verfügbar sind, erhalten. Auch gibt es zu solchen Updates im Regelfall über die WSordpress Nachrichten im WP-Channel noch einen Beitrag zu Neuerungen. Updates für Plugins und Themes werden auch im Dashboard angezeigt.

Das Meiste an Updates kann man gleich mit wenigen Mausklicks installieren lassen. Das geht schnell und problemlos und passiert auch im Hintergrund. Unterbindet das der Webhoster aus irgend einem Grund, so sollte man das Update manuell einspielen. Wie das geht, habe ich bereits früher schon einmal beschrieben.

Plugins kann man ganz ähnlich auch einer Frischzellenkur unterziehen. Das geht wie das WordPressupdate auch aus dem Dashboard heraus. Gibt es da Seitens der Webhoster Probleme, so kann man das auch manuell durchführen. Einfach das Plugin aus dem offiziellen WordPress Pluginverzeichnis downloaden, auf dem heimischen Rechner entpacken und dann via FTP-Programm in den Plugin-Ordner unter wp-content schubsen. Meist noch kurz im Dashboard aktivieren und fertig ist das Update von Plugins.

Fazit

Auch Updateverweigerer sind in der Pflicht ihre Software aktuell zu halten. Momentan nutzen noch über 80 Prozent aller Blogger eine veraltete WordPress Installation. Mit dieser gefährden sie nicht nur sich selbst, auch ihre Leser und sogar die Webspacebetreiber, auf deren Servern die Blogs liegen. Es ist grob fahrlässig, nicht zu updaten. Da gelten auch keine Ausreden, daß man am Blog irgendetwas kaputt machen kann. Es gibt genug Tutorials im Internet, die dazu Unterstützuing geben und genug Foren, wo man seine Fragen loswerden kann und Hinweise zu Updates finden kann. Zur Erleichterung habe ich fürher schon einmal ein Tutorial geschrieben, was ich hier wieder verlinke. Also macht euch dran und aktualisiert eure Seiten.

Links

  1. Rezepteküche: WordPress – WordPress Updaten
  2. Offizielles WordPress Pluginverzeichnis

Von Updatestress und Installationsfrust

Windows
Windows

Im Oktober beschrieb ich, wie man einen USB Stick für eine Windows-Installation vorbereitet. Unter VirtualBox auf meinem Windows-System habe ich den Stick getestet und ein virtuelles Gastbetriebssystem auf meinem Windows installiert. Und es lief alles reibungslos. Nun trat ein Ernstfall ein – was passiert ist, beschreibe ich im weiteren Verlauf des Artikels.

Der Ernstfall war ein zugemülltes Windows durch diverse Softwaretests für verschiedene Projekte, die ich noch nebenher laufen habe. Manch einer wird sich an dieser Stelle jetzt fragen, warum die Tests sich nicht auf eine virtuelle Maschine beschränkt haben. Das allerdings hat mehrere Gründe. Zum einen lag es bestimmt an meiner Bequemlichkeit die Maschine immer neu zu starten und dort die Software zu testen. Eine virtuelle Maschine kann man ja beliebig oft auf einen früheren Zustand zurücksetzen. Ein zweiter Grund ist wahrscheinlich die Performance einer solchen Maschine, da sie sich ja von den Ressourcen bedient, die das normale Betriebssystem auf dem Computer gerade nicht braucht.

Jeder der diesen Artikel liest kennt den Fall. Das Betriebsystem des eigenen Rechners will irgendwie nicht mehr so wie es sein sollte, es ist beschädigt, zugemüllt, lahm, durch Viren verseucht und und und… Die Daten lagern, wie sie es eigentlich sollten, als zugängliches Backup auf externen Medien (Festplatten, CDs/DVDs, USB Sticks) und alle Installationsmedien sind samt Lizenzschlüsseln vorhanden. So sieht der unproblematischste Fall aus. Bei mir war alles soweit gesichert und die Installationsmedien griffbereit, samt Lizenzschlüssel – Windows war nur durch unnötige Software zugemüllt. Wieso sollte ich da stundenlang Software entfernen, wenn da eine Neuinstallation doch das Problem gründlicher und schneller beheben könnte? Weit gefehlt, ich habe in dem Moment nicht mehr an die lästigen Updates von Windows und einigen Programmen gedacht und auch nicht an zu lahme optische Datenträger und Patchwirrwar für einige andere Programme.

Der USB Stick mit den Installationmedien für Windows 7 Ultimate war fix angesteckt und im BIOS-Setup des Rechners die Bootreihenfolge auf diesen Stick umgestellt. Die Installation vom Grundsystem ging erfreulich schnell, mußte nur bei einem Neustart die Festplatte in der Bootreihenfolge wieder vorgeschoben werden. Die nötigen Treiber hatte ich mir schon bei der Einrichtung des Sticks besorgt und auf diesen gezogen, dazu auch ein paar wichtige Programme für Office und Multimedia und eben alle benötigten Lizenzschlüssel.

Windows und sämtliche Gerätetreiber waren schnell und problemlos installiert, dazu auch die wichtigeren Programme aus dem Internet, die ich mir schon vor der Neuinstallation besorgt hatte. Jetzt ging es an einige Programme, die auf CD und DVD daherkamen. Die Meisten gingen auch recht schnell von dort aus zu installieren. Aber 2 Stück brauchten eine halbe Ewigkeit, so daß ich die Installation von DVD frustriert abgebrochen habe. Zum Glück zählte das Programm ISO_Workshop zu den Tools aus dem Internet. Das habe ich kurzerhand installiert und von den beiden DVDs – es handelte sich um die Platinum Edition der Gilde 2 und die Stronghold Collection mit jeweils knapp 6 GB an Daten – habe mir ein ISO-Image erstellt, was jeweils so ca 20 Minuten in Anspruch nahm. Eine Direkte Kopie aus dem Windows-Explorer heraus hätte um einiges länger gedauert.

Stronghold Collection
Stronghold Collection

Leider bringt Windows 7 keine Tools zum Einbinden von virtuellen Laufwerken mit sich. Könnte man installieren, aber dann hat man zusätzlich die großen ISO-Images der Programme mit auf der Festplatte herumliegen. 7zip hatte ich als Packprogramm bereits auf dem Rechner installiert. Also habe ich die beiden ISO-Images entpackt und direkt von der Festplatte installiert. Bei der Installation beider Spiele zeigte sich, daß eine Menge stark komprimierter Daten (mehrere 1,5 bis 2 GB große Dateien) vorlagen, die vom DVD Laufwerk auf Grund lahmer Lesegeschwindigkeiten nur langsam entpackt wurden. Von der Festplatte ging die Installation um einiges schneller. Für eine spätere Installationen habe ich mir die ISOs einfach auf einer externen Festplatte gesichert.

Jetzt ging es ans Patchen und Updaten. Für Windows 7 gabs rund 300 Updates zum Downloaden und installieren und jeder der eine Windows Neuinstallation getan hat, der kennt das Problem – die Windows Updates ziehen sich in die Länge. Jedenfalls habe ich mir vorgenommen, mit dem Tool WSUS Offline Updater von Heise ein Updatemedium für Windows zu erstellen. Ist das erledigt und eine Testinstallation unter VirtualBox ausprobiert gibts im Blog ein kleines Workaround wie das Offline Update in Windows 7 eingebunden werden kann. Das würde den Rahmen für diesen Beitrag sprengen.

Gilde 2
Gilde 2

Für die meisten Programme aus dem Internet hatte ich schon die aktuellsten Versionen installiert. Für einige Microsoftprogramme (MS-Office 2013) und einige Treiber gabs via Microsoft Update Patches und Fehlerkorrekturen. Weitere Patches für einige Programme und Treiber habe ich mir aus dem Internet besorgt. Gerade was ich selbst an Updates besorgt hatte, installierte sich recht schnell, aber die Windows Updates dauerten. Microsoft hat für Office 2013 mittlerweile auch ein Service Pack in der Größe von ca 550 MB herausgebracht, was einige frühere Updates ersetzt und einige Funktionen neu in Office implementiert.

Jetzt gab es noch bei der Gilde 2, auf Grund der vielen Patches und Fanmodifikationen, einiges aufzuarbeiten, da man dort den Überblick schnell verliert. Weiterhin gibt es etliche Versionen zu erstehen. Für die Gilde 2 gibts mindestens ein (dreckiges) halbes Dutzend an Versionen und mehr als (glorreiche) Sieben Patches und Fanmods. Bei mir liegt die Gilde 2 – Platinum auf DVD herum. Auf dieser Scheibe liegt Die Gilde 2, das AddOn Seeräuber der Hanse (SdH) und das Standalone-AddOn Gilde 2 – Venedig. Weiterhin gibt es noch mindestens vier oder fünf andere Versionen, die man käuflich erwerben kann, die ich aus Platzgründen aber hier weglasse.

Offizielle Patches zur Gilde 2 gibt es mittlerweile 7 Stück, einige davon sind allerdings veraltet. Wegen zusätzlicher Gebäude und Waren haben mich allerdings die Fanmodifikationen Back to the Roots (BttR) und Die Herrscheredition interessiert. Bei Gelegenheit schreibe ich in nächster Zeit einmal alle Patches und Versionen hier auf, um Licht ins Dunkel des Versionswirrwars zu bringen. Nach dem Installieren der Gilde 2 – Platinum installiert man die Modifikation Back to the Roots und den Patch 1.2 ins Gilde 2 Hauptverzeichnis. Anschließend Die Herrscheredition und dann den Hotfix 2.12 (wieder ins Verzeichnis zur Gilde 2) draufgepackt und fertig. Eine Ausführliche Linkliste gibts wie immer am Ende des Beitrags. Zusätzlich zur Gilde 2 – Venedig ist der Patch 3.5 ins Venedig Hauptverzeichnis zu installieren.

Microsoft Office Professional Plus 2013
Microsoft Office Professional Plus 2013

Nach einer mehr oder weniger erfolgreichen Neuinstallation und der Einrichtung aller Updates sollte man Windows, da es anfangs etwas lahm zu Fuß wirkt, wieder etwas auf die Sprünge helfen. Via msconfig (man gibt das im Startmenü im Suchfenster ein) mistet man die Autostart-Programme aus und einige unnütze Dienste, die nicht von Windows kommen. Weiterhin sollte man die Datenträgerbereinigung als Administrator starten. Durch eine Funktion, die sie mit einem Update bekommen hat, werden auch Windows-Updates, die nicht mehr benutzt werden, von der Platte gefegt. Zudem sollte man auch die Schattenkopien bereinigen, denn bei jeder Installation legt Windows eine solche an, um bei Fehlern wieder zu einem gängigen Ursprungspunkt zurückzukehren. Wenn man möchte, kann man auch eine Defragmentierung durchführen, aber das macht Windows zumeist auch im Hintergrund und bei Nichtbenutzung.


Fazit:

Eine Neuinstallation von Windows, wohl eher von gewissen Updates und Programmen, ist ein frustrierendes und zeitaufwendiges Erlebnis. Man kann sich so viel Zeit durch Erstellen von ISO-Images einiger DVDs und CDs sparen, auch durch das WSUS-Offline Update. Aber es wird dennoch wird bei einer Neuinstallation von Windows viel Wasser die Weida herunterfließen, weil zu etlichen Programme noch ein Versionswirrwar von Installationsmedien, Patches und Fanmodifikationen hinzukommt, was den Verbraucher in die Irre führt. Deswegen heißt es „Never change a Running System“ und der Spruch hat so einiges an Wahrheitsgehalt. Aber um eine Neuinstallation eines Betriebssystems kommt manch einer wohl nicht drum herum.

Links:

  1. Windows vom USB Stick installieren – @Medienspürnase
  2. Oracle VirtualBox
  3. ISO-Workshop
  4. 7zip
  5. Back to the Roots
  6. Back to the Roots Patch 1.2
  7. Gilde 2 Venedig – Patch 3.5
  8. Gilde 2 Herrscheredition Download
  9. Gilde 2 Herrscheredition Patch

 

Sicherheitsnotiz – Routercheck von Heise Security

In den letzten Wochen und Monaten kursieren immer mehr Meldungen über unsichere Router-Firmware. Das liegt daran, daß viele Leute ihren Router eher stiefmütterlich behandeln. Läuft er einmal, bekommt er kaum neue Firmwareupdates spendiert. Diese muß man heutzutage in den meisten Fällen noch per Hand einspielen. Entweder man vergisst einen regelmäßigen (manuellen) Check der Herstellerseiten für den Router (was mir manchmal auch so geht), oder man hat einfach schlichtweg keine Ahnung wie das alles alles geht – Firmwareupdate herunterladen, entpacken, im Router einloggen und dort über das Admininterface einspielen.

Andere Software, wie die Betriebssysteme auf Smartphones, im Computer und wo auch immer, sind da Nutzerfreundlicher. Die informieren über Updates und spielen diese auch automatisch, oder nach kurzer Bestätigung des Nutzers ein. Im krassen Gegensatz dazu stehen die Router. Deren Firmware will manuell, oder auf Anstoß des Nutzers installiert werden. Kommt neue Software mit automatischer Updatefunktion für solche Geräte heraus ist es meist schon zu spät für die Vergesslichen oder Ahnungslosen unter uns. Denn die will auch ersteinmal manuell installiert werden – vorrausgesetzt man denkt daran oder hat eine Ahnung davon, welche Handgriffe bei dem eigenen Router anfallen.

Der unten verlinkte Routercheck überprüft, ob irgendwelche Sicherheitslücken im Router aufklaffen. Zumindestens denkt man bei Sicherheitslücken so groß wie offene Scheunentoren daran, die Website des Routerherstellers zu besuchen und auf frische Software zu prüfen. Tun wir uns als Menschen ein Beauty- und Wellnessworchenende an, so benötigen unsere Hausrouter auch etwas Zuwendung in Form einer Frischzellenkur für die Firmware. Pflegen Sie ihren Router gut, er dankt es Ihnen, in dem er keine Kriminellen Elemente, die Ihre persönlichen Bankdaten ausspähen wollen, in Ihr Netzwerk läßt. Folgen Sie einfach den aufgestellten Hinweisschildern zum Routercheck. Es ist ganz leicht und kostet kein Geld. Eine Anleitung zum Firmwareupdate Ihres Routers, finden Sie auf der Herstellerwebsite ihres Routers oder in dessen Handbuch.

Der Wegweiser zum zum Routercheck

Netzwerk- und Routercheck von Heise-Security

Sicherheitsnotiz – Sicherheitslücke bei Asus Routern

Eine Gruppe unbekannter Aktivisten hat eine Liste mit über 12000 IP-Adressen von Asus-Routern veröffentlicht. In diesen Geräten wurden Sicherheitslücken bekannt, die es Angreifern erlaubt, den Router komplett zu kapern. Die zweite Lücke erlaubt das Auslesen von an den Router angeschlossenen USB Geräten (beispielsweise USB-Sticks und externe Festplatten), die zur Datensicherung und Datenfreigabe über das Heimnetzwerk dienen.

Bei Routern ohne Patch erlaubt der FTP-Server in der Grundeinstellung das Einloggen ohne Passwort und die AiCloud-Software der Geräte speichert ihre Zugangsdaten in einem öffentlich zugänglichen Verzeichnis. Des weiteren erlauben die Lücken Änderungen an den Systemdateien, so dass ein Angreifer einen VPN-Tunnel in das interne Netz einrichten kann. Sämtlicher Traffic der über den Router läuft kann so ebenfalls mitgeschnitten werden.

Beide Lücken wurden vor über 6 Monaten an Asus gemeldet, worauf Asus einen Monat später einen Firmwarepatch veröffentlichte, der diese Lücken schließt. Augenscheinlich wurden diese Patches aber auf vielen Geräten nicht installiert.

Beim Modell Asus RT-N66U, konnte ein Zugriff auf die Klartextzugangsdaten im Juni bestätigt werden. Ein Firmware-Update auf Version 3.0.4.372 oder höher behebt die Schwachstellen und sollte unbedingt vollzogen werden. Firmware Updates können von der Asus Support-Seite heruntergeladen werden.

Die Schwachstelle wurde in Anlehung an den Wartergate-Skandal als Asusgate betituliert und ist im Internet unter dem Hashtag #ASUSGATE zu finden.

Fazit:

Jeder, der ein Router der Marke Asus hat, sollte die Firmeware mit aktuellen Patches Updaten. Nicht nur die Nutzer eines Asus Routers, sondern auch andere Gerätemarken sollten regelmäßig eine softwareseitige Frischzellenkur bekommen. Ist ein Router einmal von Fremden gekapert, haben diese übers Internet leichten Zugang zum privaten Heimnetzwerk und damit Zugriff auf sämtliche Computer und Geräte, die im Netzwerk hängen. Auch der gesamte Internetverkehr (auch Passwörter und Zugangsdaten zum Onlinebanking) kann mitgelesen werden. Leider haben viele Endanwender nicht wirklich Ahnung, wie ein Firmwareupdate für den Router von statten geht, oder wie sie selbst Zugriff auf das Gerät haben. Daher bleiben viele Schwachstellen im Router über Monate und Jahre hinweg ungepatcht und das kann mitunter fatale Folgen haben. Im Internet gibt es für jedes Routermodell ausführliche Dokumentationen für Zugriff und Firmwareupdates für den jeweils genutzten Routertyp.

Links

Asus Supportseite

Sicherheitsnotiz – Windows Xp und die Virenwächter

Am 8. April ist es vorbei. Microsoft liefert nach diesem Stichtag keine Updates für Windows XP mehr aus. Einige der bereits bestehenden Sicherheitslücken könnten von diversen Hackern nicht mehr gemeldet werden, damit diese bis zum 8. April nicht geschlossen werden. Allerdings haben die großen und namhaften Hersteller für Virenwächter und Securityprogramme bereits angekündigt, für mindestens ein weiteres Jahr Virensignaturen nachzuliefern. Auch Microsoft möchte seinen Virenwächter für XP für noch ein Jahr frische Virensignaturen spendieren.

Diese Nachricht dürfte Administratoren freuen, die jetzt bald auf ein aktuelleres Betriebssystem umstellen müssen. So wird die Gnadenfrist für bestehende Installationen mit XP ein bisschen verlängert und der Druck, sofort umstellen zu müssen, entfällt ersteinmal… oder verschiebt sich um ein weiteres Jahr.

Allerdings hat diese Gnadenfrist aber auch einen Haken. Bei den versprochenen Updates für die Virenwächter und Sicherheitsprogrammen handelt es sich hauptsächlich um Virensignaturen. Aufgedeckte Sicherheitslücken im Betriebssystem werden von Microsoft nicht mehr geflickt. Das eröffnet natürlich immer mehr und größere Einfallstore für Angriffe und neue Schadsoftware auf das Betriebssystem. Aktuelle Virenwächter können ohne die Hilfe von Microsoft diese Schwachstellen nicht mehr effizient schützen.

Auch haben es Hersteller von Securityprogrammen schwer, Updates für ihre eigenen Produkte auf Windows XP anzupassen, da Microsoft auch die Zusammenarbeit hinsichtlich dieses Betriebssystems mit diesen Produzenten einstellt.

Von daher ist es angebracht, so schnell wie möglich auf ein neues Betriebssystem (Windows 7; 8 oder Linux) umzusteigen. Windows XP weckt durch seine große Beliebtheit und die damit verbundene Faulheit beim Upgrade auf ein aktuelles System natürlich die Begehrlichkeiten von Kriminellen. Von daher sollte es nicht mehr als Produktivsystem an Rechnern mit Internetanschluss betrieben werden. Für die meisten Softwareperlen gibt es unter Windows 7 den WinXP Modus oder eben andere Alternativen, die unter aktuellen Systemen laufen.

Wer partout nicht umsteigen will, oder XP noch benötigt, dem sei empfohlen, dieses in einer Virtuellen Maschine, die speziell abgesichert ist, laufen zu lassen, oder an einem älteren Rechner, der nicht mit dem Internet verbunden ist. Microsoft bietet solchen Nutzern weiterhin eine kostelose Online Aktivierung über die offiziellen Microsoft Server an.

Links

  • Windows XP scheidet dahin – Die Medienspürnase im Januar 2013
  • Windows 8 steht in den Startlöchern – Die Medienspürnase im Oktober 2013

WordPress und die Blogrolle

Seit WordPress 3.3.x läuft bei mir, der Medienspürnase, die Blogrolle und der dazugehörige Linkmanager. Beides hat seitdem eine Hand voll Coreupdates und eine Reihe Minorupgrades überstanden. Linkmanager und Blogrolle wurden erst in WordPress 3.5 deaktiviert und fielen in Version 3.6 ganz weg. Jetzt sind wir bei WordPress 3.8.x angekommen und beides läuft noch stabil auf dem Produktivblog der Medienspürnase. Aber wer weiß wie lange das noch bleibt.

Für Blogger, die mit WordPress 3.5.x oder neueren Versionen eingestiegen sind, entfällt beides. Hier müssen entweder neue Text-Widgets mit den Links zu anderen Blogs und Seiten ins Theme aufgenommen werde, oder direkt dazu noch explizite Seiten für den Linktausch eingerichtet werden. Oder man installiert sich diverse Plugins, um sich einen Linkmanager und eine Blogrolle zurück zu holen.

Es gibt noch eine kleine Variante, die man versuchen kann, um die Blogrolle und den Linkmanager zu aktivieren. Öffnet dazu die functions.php eures Themes und ergänzt sie um folgende Code-Zeile

add_filter( 'pre_option_link_manager_enabled', '__return_true' );

Klappt das nicht, dann geht den Weg im Newsblog von WordPress. Erstellt euch ein Textwidget für euer Theme und schreibt dort eure Favoriten und Lieblingswebsites in HTML-Code also via

<a href></a>

und sortiert dieses mit einer Nummerierten oder unnummerrierten Liste an.

<ol></ol>
<ul></ul>

Oder ihr legt euch ganz simpel eine Extra Seite an, die im Header oder in einem Widget sichtbar zum Anklicken liegt. Dort habt ihr Platz eure Favoriten samt Banner und Beschreibung abzulegen.

Diese Funktion sollte den Linkmanager im Dashboard und die Blogrolle im Frontend wieder aktivieren.

Fazit

Auch wenn man die Blogrolle als veraltet ansieht, ist sie dennoch ein gutes und probates Mittel zum Verlinken von Partnerseiten und anderen Blogs. Durch den Wegfall der Blogrolle, will man bezwecken, daß die Lieblingsseiten des jeweiligen Bloggers in Artikeln oder separaten Seiten durch den Blogger selbst und seine Leser kommentiert werden. Dadurch geschieht es aber, daß die Links von Partnerseiten irgendwann von einem wirklich guten Platz, der Startseite, verschwinden und nur durch mehrere Klicks gefunden werden können. Durch eine Blogrolle ist es möglich, spezielle Links prominent auf der Startseite zu halten, was für die Leser und die größte Müllhalde des Internets, Google, besser zu handeln ist. Man weiß wo der Lieblingslink steht und braucht nicht großartig zu suchen oder irgendwelche Kommentare durchzulesen, bevor man klickern kann.

Sicherheitsnotiz – Gefährliches Java-Update

Seit einigen Tagen kursiert eine neue Masche, um den Computer mit Maleware (Schädlingen) zu infizieren. Das geschieht über Bannerwerbung. Geratet ihr auf eine Website, werdet ihr sofort, oder nach kurzer Zeit, auch ohne eigenes Zutun auf eine Seite weitergeleitet, die euch auffordert, ein Java Update mit der Version 7 Update 25 (7u25) herunterzuladen und zu installieren. Aktuell wird Java 7 Update 45 (7u45) ausgeliefert, also Augen auf. Es ist eine Weiterleitung von der eigentlich angesurften Seite und kein Pop-Up, auf eine der beiden folgenden Adressen, die ihr natürlich in der Adresszeile eures Browsers ablesen könnt.

http://freejave-web.com/index.php?dv1=Ybrant%20Digital
http://germangetjava.com/index.php?dv1=Ybrant%20Digital

Eine Whoisabfrage hat zu einer Firma mit dem Namen WHOISGUARD INC. in Panama geführt. Betroffen ist Windows ab XP (ich habe von Win XP 32-Bit gelesen) bis hin zu Windows 7 mit dem Browser Firefox, aktuell Versionen 24 und 25 mit aktiviertem Javascript und installiertem Java auf dem Rechner. Vorbeugen kann man augenscheinlich, wenn man Scripte und Javascript deaktiviert oder für den Firefox das Plugin NoScript installiert. Diese Aufforderung zum Java-Update tritt auf verschiedenen Seiten auf, die Bannerwerbung nutzen. Also scheint man damit die Betreiber von Bannerwerbung aufs Kreuz gelegt zu haben, um seine Schädlinge zu verbreiten.

Update für Playstation 3 bringt Erleichterung für einige Nutzer

Heute hat Sony das Firmwareupdate 4.5 der Playstation 3 veröffentlicht. Das bringt bei einigen Nutzern Erleichterung im Updatefrust. Es ist das letzte Update, das einige Nutzer, gerade von älteren Modellen der Playstation 3, manuell herunterladen und installieren müssen. Zu den Neuerungen gehört das automatische Update für alle.

Mit der aktuellen Firmware können Nutzer der PS3 aktuelle Updates und Einkäufe aus dem Playstation Network automatisch herunterladen. Bisher konnten das nur Mitglieder des kostenpflichtigen PSN Plus Angebotes.

Zu den weiteren Neuerungen gehören noch ein paar weitere Kleinigkeiten. Spieler können jetzt ihre erspielten Trophähen ein- und ausblenden, so daß weitere Nutzer nicht sehen, wieviel Zeit mit dem Spielen verbracht wurde. Zudem lassen sich jetzt direckt zwischen der Playstation 3 und der PS Vita Daten austauschen, via WLAN oder kabelgebundenem Ethernet.

Links

Offizieller deutscher Playstation Blog