Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3

Veröffentlicht am 1. September 2022 von Günter Born

Aktuell stellen die diversen Banken die Authentifizierung von Transaktionen beim Online-Banking vom sogenannten chipTAN-Verfahren mit Flicker-Code auf andere Verfahren um. In Teil 1 hatte ich einen Blick auf die Postbank geworfen. In Teil 2 ging es um das Ende der SMS-TAN für Kunden der Volks-/Raiffeisenbanken. In Teil 3 gehe ich auf die neuen Authentifizierungsverfahren (chipTAN QR)für Transaktionen beim Online-Banking für Kunden der Sparkassen (und der Volks-/Raiffeisenbanken) ein.

Weiterlesen

Veröffentlicht unter Sicherheit | Verschlagwortet mit | 48 Kommentare

Chrome 105.0.5195.5x fixt 24 Schwachstellen

Veröffentlicht am 31. August 2022 von Günter Born

Chrome[English]Google hat zum 30. August 2022 das Update des Google Chrome 105.0.5195.52 für Linux und MacOS sowie 105.0.5195.52/53/54 für Windows  auf dem Desktop im Stable Channel freigegeben. Mit dem Sicherheitsupdate werden zahlreiche Schwachstellen geschlossen und Bugs beseitigt. Das Update 105.0.5195.68 für Android soll in wenigen Tagen ausgerollt werden. Das Gleiche gilt für den Chrome 104.0.5112.111 für Windows und Mac im Extended Stable Channel.

Google Chrome 105.0.5195.52 -54

Der betreffende Eintrag für den Chrome 104.0.5112.x im Stable Channel findet sich im Google-Blog. Mit diesem Update werden 24 Sicherheitslücken beseitigt, wobei Google die nachfolgend aufgeführten Schwachstellen dokumentiert – die Schwachstelle CVE-2022-3038 wird als kritisch eingestuft.

  • [$NA][1340253] Critical CVE-2022-3038: Use after free in Network Service. Reported by Sergei Glazunov of Google Project Zero on 2022-06-28
  • [$10000][1343348] High CVE-2022-3039: Use after free in WebSQL. Reported by Nan Wang(@eternalsakura13) and Guang Gong of 360 Vulnerability Research Institute on 2022-07-11
  • [$9000][1341539] High CVE-2022-3040: Use after free in Layout. Reported by Anonymous on 2022-07-03
  • [$7500][1345947] High CVE-2022-3041: Use after free in WebSQL. Reported by Ziling Chen and Nan Wang(@eternalsakura13) of 360 Vulnerability Research Institute on 2022-07-20
  • [$5000][1338553] High CVE-2022-3042: Use after free in PhoneHub. Reported by koocola(@alo_cook) and Guang Gong of 360 Vulnerability Research Institute on 2022-06-22
  • [$3000][1336979] High CVE-2022-3043: Heap buffer overflow in Screen Capture. Reported by @ginggilBesel on 2022-06-16
  • [$NA][1051198] High CVE-2022-3044: Inappropriate implementation in Site Isolation. Reported by Lucas Pinheiro, Microsoft Browser Vulnerability Research on 2020-02-12
  • [$TBD][1339648] High CVE-2022-3045: Insufficient validation of untrusted input in V8. Reported by Ben Noordhuis <info@bnoordhuis.nl> on 2022-06-26
  • [$TBD][1346245] High CVE-2022-3046: Use after free in Browser Tag. Reported by Rong Jian of VRI on 2022-07-21
  • [$7000][1342586] Medium CVE-2022-3047: Insufficient policy enforcement in Extensions API. Reported by Maurice Dauer on 2022-07-07
  • [$5000][1303308] Medium CVE-2022-3048: Inappropriate implementation in Chrome OS lockscreen. Reported by Andr.Ess on 2022-03-06
  • [$3000][1316892] Medium CVE-2022-3049: Use after free in SplitScreen. Reported by @ginggilBesel on 2022-04-17
  • [$3000][1337132] Medium CVE-2022-3050: Heap buffer overflow in WebUI. Reported by Zhihua Yao of KunLun Lab on 2022-06-17
  • [$2000][1345245] Medium CVE-2022-3051: Heap buffer overflow in Exosphere. Reported by @ginggilBesel on 2022-07-18
  • [$2000][1346154] Medium CVE-2022-3052: Heap buffer overflow in Window Manager. Reported by Khalil Zhani on 2022-07-21
  • [$TBD][1267867] Medium CVE-2022-3053: Inappropriate implementation in Pointer Lock. Reported by Jesper van den Ende (Pelican Party Studios) on 2021-11-08
  • [$TBD][1290236] Medium CVE-2022-3054: Insufficient policy enforcement in DevTools. Reported by Kuilin Li on 2022-01-24
  • [$TBD][1351969] Medium CVE-2022-3055: Use after free in Passwords. Reported by Weipeng Jiang (@Krace) and Guang Gong of 360 Vulnerability Research Institute on 2022-08-11
  • [$3000][1329460] Low CVE-2022-3056: Insufficient policy enforcement in Content Security Policy. Reported by Anonymous on 2022-05-26
  • [$2000][1336904] Low CVE-2022-3057: Inappropriate implementation in iframe Sandbox. Reported by Gareth Heyes on 2022-06-16
  • [$1000][1337676] Low CVE-2022-3058: Use after free in Sign-In Flow. Reported by raven at KunLun lab on 2022-06-20

Weitere Bugs wurden durch interne Tests aufgedeckt und beseitigt. Google gibt aber keine weiteren Erläuterungen, was Sache ist. Die Chrome-Version für Windows wird in den nächsten Tagen über die automatische Update-Funktion auf die Systeme ausgerollt. Man kann den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) aktualisieren. Die aktuelle Build des Chrome-Browsers lässt sich auch hier herunterladen.

Veröffentlicht unter Google Chrome, Update | Verschlagwortet mit , | 6 Kommentare

Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2

Veröffentlicht am 31. August 2022 von Günter Born

Aktuell stellen die diversen Banken die Authentifizierung von Transaktionen beim Online-Banking von bestehenden Verfahren (z.B. SMS-TAN, chipTAN mit Flicker-Code) auf andere Verfahren um. In Teil 1 hatte ich einen Blick auf die Postbank geworfen. In Teil 2 gehe ich darauf ein, dass die Volks- und Raiffeisenbanken das (unsichere) SMS-TAN-Verfahren zum 30.9.2022 einstellen. Kunden sollen die TAN-App VR Secure Go nutzen. Hier ein kurzer Blick auf diesen Sachverhalt.

Weiterlesen

Veröffentlicht unter Android, App, Sicherheit | Verschlagwortet mit , , | 50 Kommentare

Firefox 104.0.1 freigegeben

Veröffentlicht am 31. August 2022 von Günter Born

Mozilla[English]Die Mozilla-Entwickler haben zum 30. August 2022 die Versionen 104.0.1 des Firefox-Browsers veröffentlicht. Es handelt sich um Wartungsupdate, welches Bugs beseitigen soll.

Weiterlesen

Veröffentlicht unter Firefox, Update | Verschlagwortet mit | 4 Kommentare

WordPress Version 6.0.2

Veröffentlicht am 31. August 2022 von Günter Born

WordPress 6.0.2 wurde zum 30. August 2022 freigegeben. Diese Sicherheits- und Wartungsversion enthält 12 Fehlerkorrekturen für Core, 5 Fehlerkorrekturen für den Block-Editor und 3 Sicherheitskorrekturen. Ich habe meinen Blog hier problemlos umstellen können.

Veröffentlicht unter Update, WordPress | Verschlagwortet mit , | Kommentar hinterlassen

Microsofts Ex-UI-Chef ist schockiert über das Windows 11-Startmenü

Veröffentlicht am 30. August 2022 von Günter Born

Windows[English]Microsoft wird ja nicht müde, die "neuen Innovationen" in der Benutzeroberfläche von Windows 11 zu verkaufen. Manches ist Geschmacksache, gelegentlich ist es aber auch hilfreich, mal auf andere Meinungen zu schauen. Ein ehemaliger Microsoft-Mitarbeiter, seinerzeit Chef des Programm-Management für das Windows User Experience (UX), hat sich nun geäußert. In ganz knapp: Der Mann ist schockiert, was aus Windows 11 und dessen User Experience geworden ist – speziell, was das Startmenü und die Suche betrifft.

Weiterlesen

Veröffentlicht unter Windows | Verschlagwortet mit | 20 Kommentare

Microsoft ändert Cloud-Lizenzierung in der EU zum 1. Oktober 2022

Veröffentlicht am 30. August 2022 von Günter Born

[English]Zum 1. Oktober 2022 ändert Microsoft seine Lizenzbedingungen für seine Cloud-Angebote in Europa. Diese Änderungen sollen es Anbietern von Cloud-Diensten leichter machen, mit Microsoft zu konkurrieren. Das ist wohl eine Reaktion auf Beschwerden über Microsoft bei den EU-Kartellbehörden. Denn Cloud-Service-Anbieter aus Deutschland, Italien, Dänemark und Frankreich haben wohl bei der EU-Wettbewerbskommission Beschwerde gegen Microsoft eingereicht.

Weiterlesen

Veröffentlicht unter Cloud | Verschlagwortet mit | 2 Kommentare

Postbank: App und/oder SealOne statt chipTAN – Teil 1

Veröffentlicht am 30. August 2022 von Günter Born

Aktuell stellen die diversen Banken die Authentifizierung von Transaktionen beim Online-Banking vom sogenannten chipTAN-Verfahren auf andere Verfahren um. In Teil 1 möchte ich einen Blick auf die Postbank werfen, die ihren Kunden das ChipTAN-Verfahren abgeschaltet hat. Stattdessen sollen die Kunden Online-Banking mit einer App durchführen oder Transaktionen per SealOne authentifizieren.

Weiterlesen

Veröffentlicht unter Sicherheit | Verschlagwortet mit | 40 Kommentare

Automatisierte Kontaktsynchronisation im Unternehmensumfeld: Warum IT-Administratoren das Thema nicht unterschätzen sollten

[Sponsored Post]In vielen Unternehmen existiert ein Wildwuchs an Kontaktquellen: GAL, Outlook-Postfächer, interne Telefonverzeichnisse, CRM-Systeme, lokale Listen oder Schatten-Adressbücher, die irgendwo „mitlaufen". Für erfahrene Administratoren ist das kein neues Problem – aber eines, das im hybriden und mobilen Arbeitsalltag zunehmend Relevanz bekommt. Aber es gibt eine Lösung ... Weiterlesen ... [

"Cashback"-Aktion für ehemalige VMware-Kunden

[Sponsored Post]Wie kann man die alten, nicht mehr benötigten Perpetual Software-Lizenzen kapitalisieren, nachdem VMware oder andere Anbieter von Perpetual- zu Abo-Lizenzen schwenken? Weiterlesen ... [

Fünf Best Practices für Single Sign-On zur Absicherung von Zugriffen im Jahr 2026

[Sponsored Post]Single Sign-On (SSO) ist ein zentraler Bestandteil moderner Identitätsarchitekturen. Es vereinfacht den Zugriff für Nutzer und ermöglicht Sicherheitsteams, konsistente Kontrollen über alle Anwendungen hinweg anzuwenden. Hier sollte man aber die "Best practice für SSO" berücksichtigen. Weiterlesen ...

F5 BIG-IP iSeries läuft aus – wie Sie Ihre ADC-Zukunft jetzt sichern

[Sponsored Post]Das Ende der F5 BIG-IP iSeries rückt unaufhaltsam näher. Für viele IT-Abteilungen bedeutet das nicht nur das Aus für eine vertraute Hardware, sondern eine eine Herausforderung, die gesamte Application-Delivery-Strategie auf den Prüfstand zu stellen. Progress Kemp veranstaltet am 30. Januar 2026 ein kostenloses Webinar zur Frage "wie Sie Ihre ADC-Zukunft jetzt sichern" Weiterlesen ...

Google: Upgrade auf OAuth 2.0 erforderlich, um Calendar Interop ab 1. Oktober 2022 zu nutzen

Veröffentlicht am 30. August 2022 von Günter Born

Google weist Nutzer darauf hin, dass ein Upgrade auf OAuth 2.0 erforderlich sei, um den Google Workspace-Kalender (Calendar Interop) ab dem 1. Oktober 2022 weiterhin mit Microsoft Exchange Online verwenden zu können. Hintergrund ist, dass Microsoft die Basic Authentification aus Exchange Online entfernt.

Weiterlesen

Veröffentlicht unter Internet | Verschlagwortet mit | Kommentar hinterlassen

Exchange: Extended Protection, Checkliste und Probleme

Veröffentlicht am 30. August 2022 von Günter Born

Exchange LogoMit den Sicherheitsupdates vom August 2022 für Microsoft Exchange (On-Premises-Lösung) werden ja einige Schwachstellen geschlossen. Der Haken bei diesem Ansatz: Es muss die Extended Protection (EP) in Exchange aktiviert werden. Ohne diese Aktivierung werden die Schwachstellen nicht geschlossen. Frank Carius hat sich mit dem Thema auseinander gesetzt und eine Checkliste veröffentlicht. Zudem weist er auf mögliche Probleme hin.

Weiterlesen

Veröffentlicht unter Sicherheit | Verschlagwortet mit | 12 Kommentare