SiBa informiert Sie jeden Mittwoch über Sicherheitsupdates verschiedener Hersteller von Soft-und Hardware. Die Sicherheitsupdates schließen unterschiedliche Sicherheitslücken, über die kriminelle Hacker Schadsoftware ausführem, persönliche Daten abgreifen oder Abstürze von IT-Systemen verursachen können.

Hier finden Sie ausgewählte Hersteller, die Sicherheitsupdates veröffentlicht haben:

Mozilla: Firefox und Thunderbird

Das US-Unternehmen Mozilla berichtete Anfang dieser Woche von Schwachstellen im Browser Firefox und im E-Mail-Programm Thunderbird. Nutzer:innen aller Betriebssystem sind betroffen. Über die Sicherheitslüclen können Angreifer Sicherheitsvorkehrungen umgehen und sich Zugriff auf fremde Rechner und Dateien verschafen.

Das Risiko wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gering eingeschätzt. Ob die Schwachstelle bereits ausgenutzt wurde, ist nicht bekannt.

SiBa empfielt die Aktualisierung von Firefox auf die Version 94.0.2. Mit dem Update auf die Version 94 gehen im Übrigen auch viele neue Funktionen einher. Das E-Mail-Programm Thunderbird sollte ein Update auf die Version 91.3.2 erfahren. Anleitungen zu beiden Programmen finden Sie unten in den Links.

Mediawiki

Das BSI warnt aktuell vor Sicherheitslücken in der betriebssystemunabhängigen Web-Verwaltungssoftware Mediawiki. Über die Schwachstellen können Hacker u.a. einen so genannten Denial of Service Zustand herbeiführen. Bei diesem werden massenhaft Anfragen an die jeweilige Mediawiki-Webseite gesendet, sodass Abstütze und Überlastungen die Folge sind. Damit wäre die mit Mediawiki erstellte Webseite nicht meht erreichbar.

Das Risiko wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gering eingeschätzt. Ob die Schwachstelle bereits ausgenutzt wurde, ist nicht bekannt.

SiBa empfielt ein Update auf die Version 1.37.0. Die Aktualitisierung ist komplex, eine Anleitung finden Sie in den Links. Für März 2022 hat Mediawiki ein Update auf die Version 1.38.0 angekündigt.

Drupal

Heise.de informiert zurzeit über zwei Sicherheitslücken beim Content-Management-System Drupal. Über diese könnten Angreifer Beiträge auf Webseiten verändern oder löschen. Sie können sogar eigene erstellen. Weitere Attacken sind möglich. Beide Sicherheitslücken betreffen den in Drupal integrierten CKEditor. Attacken sind nur möglich, wenn, so Heise, die "CKEditor-Bibliothek für die WYSIWYG-Bearbeitung aktiviert ist".

Das Risiko wird von Drupal bei der einen Schwachstelle als mittel, bei der anderen als hoch eingestuft.

SiBa empfielt eine Aktualisierung auf die Versionen 9.2.9, 9.1.14 bzw. 8.9.20, je nachdem welche Version vorinstalliert ist. Eine Aktualisierung ist sehr komplex und sollte von geschulten Administrator:innen erfolgen.