Linux-Magazin News

Linux-Magazin News Feed abonnieren
Open Source im professionellen Einsatz
Aktualisiert: vor 46 Minuten 57 Sekunden

Eltern durch Whatsapp-Betrug um Tausende Euro gebracht

Mo., 10/24/2022 - 10:31

Die Polizei warnt vor Trickbetrügern, die mit einer angeblichen Notlage des Kindes Eltern um ihr Geld bringen.

Mit simplen Whatsapp-Nachrichten haben Betrüger mehrere Eltern im Landkreis Bad Segeberg um Tausende Euro gebracht. Das Vorgehen sei dabei immer ähnlich, erklärte die Polizei. Die Kriminellen schreiben via Whatsapp von einer den Eltern nicht bekannten Nummer und geben sich als deren Kind aus. Dabei gaukelten sie den Müttern und Vätern vor, ihr Handy sei kaputt oder verloren gegangen.

Laut Polizeiangaben wurden die leichtgläubigen Eltern anschließend gebeten, ihren vermeintlichen Kindern Geld zu überweisen. So bat beispielsweise die Tochter eines 58-Jährigen um zwei Echtzeitüberweisungen von 3.300 und 3.500 Euro.

“Der Geschädigte wurde schließlich misstrauisch, als sein vermeintliches Kind um erneute Ausführung bat, da eine der Überweisungen an eine falsche Bankverbindung gegangen sein sollte”, schreibt die Polizeidirektion Bad Segeberg. Er habe daraufhin den Freund seiner Tochter kontaktiert, woraufhin sich wenig später die echte Tochter gemeldet habe.

Ähnliches sei einem Ehepaar passiert, dessen Sohn angeblich sein Handy verloren hatte. “Im weiteren Verlauf bat der angebliche Junior seine Eltern um zwei dringende Echtzeitüberweisungen über insgesamt 4.600 Euro, der die Eltern nachkamen”, heißt es in der Mitteilung der Polizei.

Weitere Betroffene hätten 3.000 und 2.400 Euro an die Kriminellen überwiesen. Neu ist die Masche mit dem verlorenen Smartphone und der damit verbundenen Forderung allerdings nicht. Die Kriminellen entwickeln immer wieder neue Tricks, mit denen sie ihre Opfer um ihr Geld bringen.

“Auffällig ist, dass die Betrüger ihre Opfer unter dem Vorwand der finanziellen Notlage zu Sofort- bzw. Echtzeitüberweisungen drängen. Hierbei besteht keine Chance auf eine Rückbuchung”, erklärt die Polizei. Geraten wird mit Nachrichten von unbekannten Nummern immer sensibel umzugehen und bei der Vermutung eines Betruges gleich Kontakt zu den Angehörigen herzustellen. Auf keinen Fall sollten persönliche Daten herausgegeben oder auf finanzielle Forderungen eingegangen werden.

Der Beitrag Eltern durch Whatsapp-Betrug um Tausende Euro gebracht erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

LibreOffice: Attacke über Makros

Sa., 10/22/2022 - 11:07

Eine Sicherheitslücke in LibreOffice hat zur Folge, dass ein entfernter Angreifer beliebige Befehle mit den Rechten des Anwenders ausführen kann.  Ursache hierfür ist ein Fehler beim Verarbeiten von LibreOffice-Makros, die der Angreifer ausnutzen kann.

Dabei ist der Angriff denkbar einfach. Der Angreifer muss lediglich die Anweisung

<iframe src='macro:Shell("Befehl")'></iframe>

in seine Datei schreiben, um “Befehl” auszuführen. Der Befehl wird direkt beim Öffnen der ODT-Datei ausgeführt. Der Anwender bekommt hiervon nichts mit, da keinerlei Meldung angezeigt wird.

Das Problem wurde in den LibreOffice Versionen 7.3.6/7.4.1 korrigiert. Dort werden entsprechende URIs geblockt und nicht mehr direkt ausgeführt.

Der Beitrag LibreOffice: Attacke über Makros erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Saurons Auge: Texas verklagt Google

Fr., 10/21/2022 - 11:50

Der texanische Generalstaatsanwalt Ken Paxton hat wegen Verstößen gegen das in Texas geltende Datenschutzrecht Google verklagt. In der Klageschrift heißt es, Google sammle biometrische Daten von texanischen Bürgern ohne deren Zustimmung und erstelle so Profile. Die Kamera des Nest Hub von Google vergleicht Paxton mit  dem Auge von Sauron, der alles sehenden dunklen Macht aus der Herr der Ringe-Trilogie.

Googles Gerät Nest Hub Max erfasse wahllos die Gesichtsgeometrie jedes Texaners, der zufällig in Sichtweite komme, schreibt Pxton in der Klageschrift, und dies auch von Nicht-Nutzern, die Google nie die Erlaubnis erteilt hätten, ihre biometrischen Daten zu erfassen und die höchstwahrscheinlich nicht einmal wüssten, dass Google dies tue. Wie bei Google Fotos bedeutet dies, dass Google auch die biometrischen Daten texanischer Kinder erfasse, die vielleicht aus Neugierde vor dem Nest Hub Max stünden, während die Kamera sie beobachte und analysiere, heißt es in der Klage weiter.

Und bei der Gesichtserkennung höre es nicht auf, schreibt Paxton weiter. Die Nest-Produktlinie von Google sowie viele andere Produkte seien mit Google Assistant ausgestattet, einem “sprachgesteuerten persönlichen Assistenten”. Google habe den Google Assistant in Autos, Telefone, Lautsprecher, Fernseher, Laptops, Tablets, Wearables, Displays, Thermostate, Kameras, Türklingeln, Alarmanlagen, Yale-Schlösser und vieles mehr integriert. Geräte, die fast jeden Zentimeter der texanischen Haushalte und des Privatlebens bedecken, so Paxton. Bei Aktivierung durch ein einfaches “Hey Google”, zeichne Google Assistant auf, was er höre.

Google hat die Vorwürfe zurückgewiesen, berichtet das Wall Street Journal.

Der Beitrag Saurons Auge: Texas verklagt Google erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Datenleck bei Microsoft

Fr., 10/21/2022 - 10:53

Über einen fehlerhaft konfigurierten Microsoft-Server waren sensible Kundendaten offen im Internet einsehbar. Nachdem Sicherheitsforscher das Unternehmen am 24. September 2022 über das Datenleck informiert hatten, habe man den Server abgesichert, teilte Microsoft mit.

“Diese Fehlkonfiguration führte dazu, dass ein nicht authentifizierter Zugriff auf einige geschäftliche Transaktionsdaten möglich war, die mit der Interaktion zwischen Microsoft und potenziellen Kunden zusammenhängen, wie z. B. die Planung oder potenzielle Implementierung und Bereitstellung von Microsoft-Diensten”, erklärte das Unternehmen.

Das Leck sei durch eine “unbeabsichtigte Fehlkonfiguration auf einem Endgerät, das nicht im gesamten Microsoft-Ökosystem verwendet wird”, und nicht durch eine Sicherheitslücke verursacht worden, betonte Microsoft.

Einsehbar waren demnach Namen, E-Mail-Adressen, E-Mail-Inhalte, Firmennamen und Telefonnummern sowie Dateien, die im Zusammenhang mit Geschäften zwischen den betroffenen Kunden und Microsoft oder einem autorisierten Microsoft-Partner stehen. “Unsere Untersuchung ergab keinen Hinweis darauf, dass Kundenkonten oder -systeme kompromittiert wurden. Wir haben die betroffenen Kunden direkt benachrichtigt”, erklärt Microsoft.

Laut der Sicherheitsfirma Socradar, die das Datenleck entdeckt hatte, handelte es sich um einen falsch konfigurierten Azure Blob Storage, der von Microsoft verwaltet wurde und sensible Daten eines Cloudanbieters enthielt.

Die betroffenen Daten sollen demnach aus den Jahren 2017 bis 2022 stammen. Betroffen seien 65.000 Unternehmen aus 111 Ländern. Insgesamt habe man auf 2,4 TByte an Daten zugreifen können, darunter 335.000 E-Mails. Microsoft hält die Zahlen von Socradar für übertrieben.

Der Beitrag Datenleck bei Microsoft erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Ubuntu 22.10 „Kinetic Kudu“ ist fertig

Fr., 10/21/2022 - 10:42

Kinetic Kudu bringt einen Steam-Snap mit. Quelle: Canonical

Neuesten Toolchains und Anwendungen mit besonderem Schwerpunkt auf dem IoT-Ökosystem zählt Canonical zu den Highlights.

„Wir konzentrieren uns darauf, eine neue Generation von einfach zu bedienenden und hochsicheren IoT-Geräten zu ermöglichen. Daher werden insbesondere Entwickler in Ubuntu 22.10 eine Reihe von Verbesserungen der Lebensqualität für Embedded Geräte und die Remote-Entwicklung finden”, sagt Mark Shuttleworth, CEO von Canonical.

Die Updates der Toolchain sind dann aber mit neuen Versionen für Ruby, Go, GCC und Rust eher Hausmannskost.

OpenSSH sei in Ubuntu 22.10 jetzt standardmäßig so konfiguriert, dass es die Socket-Aktivierung von systemd verwendet, was bedeutet, dass sshd nicht gestartet werde, bis eine eingehende Verbindungsanfrage empfangen werde. Dies reduziere den Speicherbedarf von Ubuntu Server auf kleineren Geräten, VMs oder LXD-Containern, teilt Canonical mit.

Mit Unterstützt von MicroPython auf einer Vielzahl von Microcontrollern. In den Repositories finden sich laut Canonical Pakete für Raspberry Pi Pico W. rshell, thonny und mpremote.

Die neue Landscape 22.10 Beta-Version erleichtert Firmen das Management. Landscape ermögliche die Ausführung und Verwaltung von Ubuntu auf jeder Architektur mit Überwachung, Verwaltung, Patching und Compliance-Reporting über Ubuntu-Installationen vom Server bis zum Desktop, so Canonical.

Benutzer könnten jetzt Landscape Server auf Computern mit Arm oder Arm-basierten Prozessoren installieren, einschließlich Ampere Altra-basierter ARM64 virtueller Maschinen in der Public Cloud und auf dem Raspberry Pi, um die Verwaltung zu vereinfachen.  RISC-V-Prozessoren und -Hardware seien in dieser Version ebenfalls unterstützt, so dass Landscape als portables Managementsystem eingesetzt werden könne.

In den Release Notes sind die Neuerungen zusammengefasst.

Der Beitrag Ubuntu 22.10 „Kinetic Kudu“ ist fertig erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Studie: Viele Kinder surfen unbeaufsichtigt im Web

Do., 10/20/2022 - 10:52

Obwohl sich 90 Prozent der Eltern Sorgen machen, wenn ihre Kinder im Internet surfen, können das rund 60 Prozent der Kinder unbeaufsichtigt tun. Der IT-Sicherheitsherstellers ESET hat für die Studie “Kinder im Netz” mehr als 1000 Eltern mit Kindern bis zu 18 Jahren befragt.

Laut Studie besitzen fast 60 Prozent der Kinder ein eigenes Smartphone oder Tablet. Knapp ein Viertel der Kinder unter vier Jahren sind mit einem mobilen Gerät ausgestattet, bei den Vier- bis Siebenjährigen sind es schon über die Hälfte, bei den Acht- bis Elfjährigen sogar 74 Prozent. Bei den Teenagern besitzen 91 Prozent ein Smartphone oder Tablet.

An Geräten mangelt es bei den Kindern nicht. Quelle; ESET

Etwa ein Drittel der Eltern geben an, dass ihnen Mobbing und sexuelle Belästigung im Netz am meisten schlaflose Nächte bereiten, insbesondere bei den 12- bis 14-Jährigen (37 Prozent). Ein Viertel der Befragten zeigen sich beunruhigt über nicht-kindgerechte Inhalte, am meisten bei Kindern zwischen vier und sieben.

65 Prozent der Eltern haben angeben, dass ihre Kinder ihres Wissens nach keine schlechten Erfahrungen im Netz gemacht haben. Nur jedes sechste Kind sei auf ungeeignete Inhalte gestoßen. Jedes neunte Kind habe schon unerlaubte In-App-Käufe getätigt. Das betrifft vor allem die 12- bis 17-Jährigen. Sieben Prozent der Kinder sind belästigt oder gemobbt worden oder haben sich einen Computervirus eingefangen. Fünf Prozent sind auf eine Betrugs-E-Mail hereingefallen.

Bis zu zwei Stunden am Tag nutzen etwa ein Drittel der Kinder ihre Geräte. Am meisten Zeit verbringen die 12- bis 14-Jährigen (39 Prozent) und die Acht- bis Elfjährigen (36 Prozent) vor einem Bildschirm.

Der Beitrag Studie: Viele Kinder surfen unbeaufsichtigt im Web erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Quartals-Patchday bei Oracle

Do., 10/20/2022 - 10:25

Oracle hat für seinen alle drei Monate stattfindenden Patchday fast 400 Patches veröffentlicht.

Im so genannten  Critical Patch Update für Oktober stecken laut Oracle Patches für Sicherheitslücken in Oracle-Code und in Komponenten von Drittanbietern, die in Oracle-Produkten enthalten sind.

Die Zahl der Patches macht deutlich, dass es in nahezu allen Anwendungen von Oracle Lücken zu schließen gibt. Betroffen sind unter anderem MySQL-Produkte, Solaris, Java SE sowie die Financial-Services und Healthcare-Produkte. Oracle empfiehlt das Einspielen der Patches dringend. Es gäbe immer wieder Hinweise darauf, dass Angreifer bereits gepatchte Lücken ausnutzen.

Die Liste der Patches ist online abrufbar und die einzelnen Patches linken jeweils zur Beschreibung.

Der Beitrag Quartals-Patchday bei Oracle erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

antiX-22 betreibt Produktpflege

Do., 10/20/2022 - 09:38

Die schlanke Distribution antix basiert weiterhin auf Debian Bullseye, verwendet aber einen neueren Kernel und aktualisiert einige Programme. Darüber hinaus verzichtet anitX dieses Mal nicht nur auf Systemd, sondern auch auf Elogind.

Dies bedeutet insbesondere, dass elogind, libpam-elogind und libelogind0 fehlen. Ihre Funktionalität ersetzen seatd und consolekit. Die ISO-Images verwenden wahlweise SysV-Init oder Runit.

Im Hintergrund arbeitet der Linux-Kernel 4.9.0-326, wobei auf 32-Bit-Systemen eine Non-PAE-Variante zum Einsatz kommt. Der Fenstermanager IceWM meldet sich in Version 3, ins Internet gehen Firefox ESR 102.3 in der Full- und Seamonkey 2.53.14 in der Base-Variante der Distribution.

Des Weiteren haben die Entwickler das Tool mps-youtube gestrichen, da es nicht mehr funktionieren würde. Sakis3G ersetzt die modem-manager(gui).

antiX-22 gibt es in vier Varianten: Die „Full“-Fassung bringt vier Fenstermanager und LibreOffice mit. Letztgenanntes Büropaket fehlt der „Base“-Edition. „Core“ verzichtet auf eine grafische Oberfläche, während „Net“ gerade einmal das nötigste an Bord hat, um sich mit dem Netzwerk zu verbinden.

Der Beitrag antiX-22 betreibt Produktpflege erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

VMware-Studie: Unternehmen profitieren von Open Source Software

Mi., 10/19/2022 - 09:59

Eine Studie von VMware hat ergeben, dass Open Source Software (OSS) eine immer größere Rolle in Unternehmen jeglicher Größe spielt. Damit würden aber auch die Sicherheitsbedenken der Nutzer wachsen. Besonders die Paketierung der Software rücke in den Fokus.

Für die Studie hat VMware 1198 Stakeholder im Bereich der Open Source Software aus Unternehmen verschiedenster Größen und Branchen befragt. 99,8 Prozent der Befragten haben geantwortet, dass sie von Open Source Software profitieren. Dabei erfüllen besonders die Vorteile in den Bereichen Kosteneffizienz (76 Prozent), Flexibilität (60 Prozent) und Produktivität der Entwickler (52 Prozent) die Erwartungen.

Allerdings äußerten 94 Prozent der Befragten Bedenken beim Einsatz von Open Source Software in der Produktion. Die Abhängigkeit von der Community, um Sicherheitslücken zu schließen stimmt 61 Prozent bedenklich. Höhere Sicherheitsrisiken im Allgemeinen befürchten 53 Prozent und fehlenden SLAs für Patches aus der Community sind für 50 Prozent ein Unsicherheitsfaktor.

Die Zahl der Unternehmen, die Open Source Komponenten in der Produktion einsetzen, sank leicht von im letzten Jahr noch 95 Prozent in der diesjährigen Umfrage auf 90 Prozent.

Um die Sicherheit der Software-Lieferkette sicherzustellen, ist die Paketierung wichtig. Laut Umfrage schnüren 55 Prozent der Befragten ihre Software-Pakete selbst und 56 Prozent setzen auf Software-Pakete, die von der Community zusammengestellt wurden. Weniger beliebt ist die Paketierung durch einen externen Dienstleister (28 Prozent) oder der Kauf von vorpaketierter Software (ebenfalls 28 Prozent). Insgesamt seien 95 Prozent der Befragten in die Zusammenstellung ihrer Open Source Software-Pakete involviert, hat die Umfrage ergeben.  Die Studie “The State of the Software Supply Chain: Open Source Edition 2022” ist gegen Angabe einer Mailadresse einzusehen.

Der Beitrag VMware-Studie: Unternehmen profitieren von Open Source Software erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Sicherheitslücke im Linux-Kernel: Angreifer können Befehle über WLAN ausführen

Mi., 10/19/2022 - 09:44

Eine Sicherheitslücke im Linux-Kernel hat zur Folge, dass ein entfernter Angreifer beliebigen Code auf dem System ausführen kann. Hierzu muss der Angreifer lediglich speziell präparierte WLAN-Pakete an das Linux-System schicken. Der verantwortliche Programmierfehler liegt im WLAN-Stack des Kernels. Ein Proof-of-Concept-Exploit wurde ebenfalls für die Schwachstelle veröffentlicht. Bei der genaueren Analyse der Sicherheitslücke wurden insgesamt fünf Schwachstellen im Kernel entdeckt.

Die entdeckten Schwachstellen sind teilweise ab Kernel-Version 5.1-rc1 vorhanden. Andere allerdings erst seit Version 5.2-rc1.

Der Beitrag Sicherheitslücke im Linux-Kernel: Angreifer können Befehle über WLAN ausführen erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Sparky 2022.10 Special Editions verfügbar

Mi., 10/19/2022 - 09:39

Wer eine der Special Editions der Rolling-Release-Distribution Sparky installieren möchte, kann jetzt auf überarbeitete Startmedien zurückgreifen. Im Wesentlichen enthalten sie aktuellere Software und ein neues Theme.

Das neue Sparky7-Theme unterstützt die GTK-Versionen 2 bis 4. Anwender haben die Wahl zwischen einer hellen und einer dunklen Variante. Erstmals in den Sparky Special Editions kann man das Werkzeug „sparky-upgrade“ schnell mit dem Kurzbefehl „spu“ aufrufen.

Die Entwickler haben alle Softwarepakete am 13.10.2022 aus den Debian- und Sparky-Testing-Repositories geholt. Mit an Bord sind Openbox 3.6.1, Xfce 4.16 und der Installationsassistent Calamares 3.2.61. Ins Internet gehen Firefox 105.0.3 und Thunderbird 102.3.2, bei Büroarbeiten hilft LibreOffice 7.4.1. Der Kernel liegt in Version 5.19.11 vor. In den Sparky Unstable Repositories warten zudem die Kernel 6.0.2, 5.15.74-LTS und 4.9.330-LTS49.

Insgesamt gibt es drei Special Editions: Die GameOver-Edition kommt mit zahlreichen vorinstallierten Spielen. An Kreative und Web-Entwickler richtet sich die Multimedia-Edition. Die Rescue-Edition ist auf den Betrieb als Live-System ausgerichtet und bringt zahlreiche Werkzeuge zur Datenrettung beziehungsweise Systemwiederherstellung mit.

Der Beitrag Sparky 2022.10 Special Editions verfügbar erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Firefox 106 erlaubt das Bearbeiten von PDF-Dokumenten

Mi., 10/19/2022 - 09:37

Der beliebte Browser Firefox erlaubt die Gestensteuerung unter Wayland und bietet mit Firefox View einen Blick in die Vergangenheit. Firefox 106 kann zudem PDF-Dokumente nicht mehr nur anzeigen, sondern auch in Grenzen bearbeiten. Unter anderem kann man in PDF-Dokumenten neue Texte schreiben, darin malen und Signaturen hinzufügen.

Mitunter schließt man ein Tab schon einmal voreilig. In solchen Situationen hilft die Firefox View. Ein angepinntes Tab erlaubt dabei die Wiederherstellung von bereits geschlossenen Tabs. Darüber hinaus bietet Firefox View auch Zugang zu offenen Tabs auf anderen Geräten, auf denen Firefox läuft. Abschließend kann man über Firefox View auch noch schnell die Farbgebung der Benutzeroberfläche wechseln. Apropos Aussehen: Firefox 106 kommt mit 18 neuen Farbpaletten (alias Colorways beziehungsweise im Deutschen als Farbgebungen-Themes bekannt).

Streift man mit zwei Fingern über ein Touchpad nach links oder nach rechts, navigiert Firefox eine Seite vor beziehungsweise zurück. Diese Gestensteuerung funktioniert ab sofort auch in einer Wayland-Sitzung.

Deutlich verbessert haben die Entwickler die Unterstützung des WebRTC-Protokolls. So gelingt jetzt ein Screensharing in einer Wayland-Sitzung reibungsloser. Die Performanz und die Stabilität von RTP hat das Mozilla-Team optimiert, zudem arbeitet Firefox bei der Übertragung besser mit anderen Browsern zusammen.

Alle übrigen Neuerungen betreffen Windows- und MacOS-Nutzer. So lassen sich etwa private Fenster an die Windows-Taskbar heften, während der Browser unter MacOS auch Texte in Bildern erkennt.

Der Beitrag Firefox 106 erlaubt das Bearbeiten von PDF-Dokumenten erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Tails 5.5 frischt Software auf

Di., 10/18/2022 - 11:09

Mit einem Update auf Thunderbird 102 und damit verbundenen Updates für den Umgang mit OpenPGP wirbt die neue Version 5.5 von Tails mit mehr Sicherheit und Bedienerfreundlichkeit.

The Amnesic Incognito Live System (Tails) baut auf Debian auf. In Ausgabe 5.5 steckt ein Linux-Kernel 5.10.140. Damit sei Unterstützung für neuere Hardware mit dabei. Der Tor Browser kommt in Version 11.5.4 mit.

Zu den Neuerungen zählen die Entwickler auch, dass das wget-Kommandozeilenprogramm jedes Mal einen anderen Tor-Kreislauf verwendet. Zu den Bugfixes zählt, dass nun immer nach einem Passwort für die Bildschirmsperre gefragt wird, wenn Strg+L gedrückt wird und kein Administrationspasswort festgelegt wurde.

Nutzer die ein Upgrade des Tails-USB-Sticks machen wollen, können dies ab Tails 5.0 automatisch vornehmen. Ansonsten muss Tails 5.5 heruntergeladen werden. Es gibt Downloads jeweils für Für USB-Sticks (USB-Image) und DVDs und virtuelle Maschinen (ISO-Image).

Der Beitrag Tails 5.5 frischt Software auf erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Energiekrise: Haushalte wollen intelligente Stromzähler

Di., 10/18/2022 - 10:47

Angesichts der aktuellen Energiekrise würden sich 88 Prozent der Deutschen gern auf einen Blick darüber informieren, wie hoch ihr Energieverbrauch gerade ist und wo sie noch sparen können. Das hat eine Umfrage des Digitalverbandes Bitkom ergeben.

Wegen der Preissteigerungen auf dem Energiemarkt reduziere  ein Viertel der Bundesbürger  den eigenen Energieverbrauch „an allen möglichen Stellen“, hat die repräsentativen Befragung des Bitkom unter 1006 Menschen in Deutschland ab 16 Jahren ergeben. 40 Prozent reduzieren ihn demnach „an vielen Stellen“ und weitere 20 Prozent immerhin „an wenigen Stellen“. 16 Prozent allerdings reduzieren ihren Energieverbrauch nicht, so die Umfrage.

Zu den weiteren Ergebnissen zählt, dass sich 78 Prozent einen intelligenten Stromzähler in der Wohnung wünschen und 73 Prozent wollen generell mehr Informationen und Tipps, wie sie ihren Energieverbrauch senken können. 38 Prozent der Befragten wissen aktuell nicht, wie hoch der Verbrauch ihres Haushaltsstroms pro Jahr ist und 32 Prozent können die Höhe ihrer monatlichen Abschlagszahlung nicht beziffern.

Der Beitrag Energiekrise: Haushalte wollen intelligente Stromzähler erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Verstoß gegen NetzDG: Millionenstrafe gegen Telegram

Di., 10/18/2022 - 10:17

Das Bundesamt für Justiz (BfJ) hat gegen den Messengerdienst Telegram Bußgelder in Höhe von 5,1 Millionen Euro verhängt. Der Grund: Telegram hält keinen gesetzestreuen Meldeweg vor und benennt keinen inländischen Zustellungsbevollmächtigten.

Mit den beiden Verstößen gegen das Netzwerkdurchsetzungsgesetzes (NetzDG) handelt sich die hinter dem Messenger stehende Telegram FZ-LLC die Millionenstrafen ein. In der Begründung heißt es: Das NetzDG verpflichtet die Anbieter sozialer Netzwerke, auf ihren Plattformen Meldewege vorzuhalten, damit Nutzerinnen und Nutzer Posts mit strafbaren Inhalten den Anbietern zur Prüfung nach den Vorgaben des NetzDG melden können. Ferner sind die Anbieter verpflichtet, eine zustellungsbevollmächtigte Person oder Einrichtung mit ladungsfähiger Anschrift in Deutschland zu benennen, damit deutsche Gerichte und Behörden den Anbietern Schriftstücke mit rechtsverbindlicher Wirkung im Inland zustellen können.

Das BfJ versucht nach eigenem Bekunden seit April 2021 Anhörungsschreiben am Firmensitz von Telegram in Dubai zuzustellen, was trotz Unterstützung durch die zuständigen Behörden nicht gelungen sei. Im März 2022 habe man deshalb die öffentliche Zustellung beider Anhörungsschreiben im Bundesanzeiger veranlasst. Daraufhin habe zwar eine deutsche Anwaltskanzlei gegenüber dem BfJ die Interessenvertretung von Telegram angezeigt und zu den Anhörungsschreiben Stellung genommen. Die Stellungnahme hätten die Vorwürfe aber nicht entkräften können. Sodass das BfJ die beiden Bußgeldbescheide erließ, die Telegram am 10. Oktober 2022 zugestellt worden seien. Die Bußgeldbescheide seien noch nicht rechtskräftig. Telegram könne Einspruch beim BfJ einlegen.

Der Beitrag Verstoß gegen NetzDG: Millionenstrafe gegen Telegram erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Sicherheitslücken im Linux-Kernel

Mo., 10/17/2022 - 10:49

Der Sicherheitsforscher Soenke Huster von der TU Darmstadt hat eine Pufferüberschreibung im Linux-Kernel entdeckt, die sich durch WLAN-Frames auslösen lässt. Im Zuge der Evaluierung haben Soenke Huster und Kernel-Entwickler noch weitere Lücken im WLAN-Stack des Kernels entdeckt, die Over-the-air ausnutzen lassen.

Suse-Mitarbeiter Marcus Meissner berichtet von Soenke Husters Entdeckung und den weiteren Problemen, die daraufhin durch die Arbeiten von Huster und Johannes Berg von Intel entdeckt worden seien. Insgesamt sind es nun fünf Probleme, die jeweils mit einer CVE geführt werden.

  • CVE-2022-41674: fix u8 overflow in cfg80211_update_notlisted_nontrans, (max 256 byte overwrite) (RCE)
  • CVE-2022-42719: wifi: mac80211: fix MBSSID parsing use-after-free,  use after free condition (RCE)
  • CVE-2022-42720: wifi: cfg80211: fix BSS refcounting bugs, ref counting use-after-free possibilities (RCE)
  • CVE-2022-42721: wifi: cfg80211: avoid nontransmitted BSS list corruption,  list corruption, according to Johannes will however just make it endless loop (DOS)
  • CVE-2022-42722: wifi: mac80211: fix crash in beacon protection for P2P-device,  NULL ptr dereference crash (DOS)

Für die Probleme habe man bereits ein Patchset eingereicht, heißt es in der Mitteilung weiter. Das sollte in den nächsten Tagen gemerged werden.  Soenke Huster hat in einer weiteren Mail Details zu den Lücken aufgeführt.

Der Beitrag Sicherheitslücken im Linux-Kernel erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Canonical irritiert mit Hinweis auf Ubuntu-Pro-Angebot

Mo., 10/17/2022 - 10:27

Ubuntu-Nutzer erhalten über die Paketverwaltung Apt einen Hinweis auf das Pro-Angebot von Canonical. Viele kritisieren dies als Werbung.

Der Ubuntu-Sponsor Canonical zeigt seit einigen Tagen über die Paketverwaltung Apt im Terminal einen Hinweis auf das neue Ubuntu-Pro-Angebot an. Das berichten zahlreiche Nutzer unter anderem auf Reddit, Hackernews oder dem Hilfeforum Ask Ubuntu. Der Hinweis wird dabei deutlich als Werbung bezeichnet und das Vorgehen Canonicals entsprechend harsch von Teilen der Community kritisiert.

In der vergangenen Woche hatte Canonical sein Support-Programm mit dem Namen Ubuntu Pro im Rahmen einer Betaversion erstmals auch kostenfrei für die private Nutzung auf bis zu fünf Geräten geöffnet. Bisher stand das Angebot ausschließlich zahlenden Kunden zur Verfügung. Über die Paketverwaltung Apt teilt Canonical seinen Nutzern nun mit: “Testen Sie Ubuntu Pro Beta mit einem kostenlosen persönlichen Abonnement auf bis zu 5 Computern. Erfahren Sie mehr unter https://ubuntu.com/pro”.

Für Canonical und Ubuntu ist es bei Weitem nicht das erste Mal, dass dem Unternehmen von seinen Nutzern vorgeworfen wird, sie erhielten ungewollte Werbung und das Unternehmen setze unlautere Mittel zur Finanzierung ein. Dazu gehört etwa die von Datenschützern kritisierte Integration der Amazon-Suche vor rund zehn Jahren, die sogar als Spyware bezeichnet wurde. Canonical selbst reagierte später vorsichtig auf die Vorwürfe und nahm einige Änderungen an der Funktion vor, bis diese gemeinsam mit Unity aus Ubuntu verschwand. Für Streit sorgte auch das Einwerben von Spenden auf der Ubuntu-Webseite. Die Funktion Message of the Day (Motd) zeigte in der Vergangenheit außerdem mehrfach Medieninhalte beziehungsweise Verweise darauf an, was ebenso kritisiert wurde.

Von der aktuellen Nachricht in Apt betroffene oder gestörte Nutzer behelfen sich in den genannten Foren derweil damit, die Anzeige der Nachricht schlicht durch eine Veränderung der dazugehörigen Konfigurationsdateien zu verhindern. Gründe dazu, warum Canonical die Nachricht über Apt anzeigt, hat das Unternehmen bisher nicht genannt.

Canonical teilt uns zu dem Fall mit: “Dies ist ein Nachrichtenelement, das Canonical verwendet, um relevante Informationen in den Apt-Ausgaben der Benutzer zu teilen. Wir freuen uns jedoch sehr über Feedback und beabsichtigen, einen Weg zu finden, um Nachrichten mit einem einzigen Befehl zu deaktivieren, für diejenigen Benutzer, die diese Art von Text in ihren Apt-Ausgaben in Zukunft nicht sehen möchten.”

Der Beitrag Canonical irritiert mit Hinweis auf Ubuntu-Pro-Angebot erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Schwachstelle in JavaScript-Sandbox vm2

Mo., 10/17/2022 - 10:27

Die JavaScript-Sandbox vm2 führt potenziell unsicheren JavaScript-Code in einer isolierten Umgebung aus. Dieses Sandboxing sorgt dafür, dass fremder JavaScript-Code keinen Zugriff auf das System erlangt. Die vm2-SandBox basiert auf Node.js und ist eine verbreitete Alternative zu dessen integrierter virtuellen Maschine.

Eine kürzlich entdeckte Sicherheitslücke in der JavaScript-Sandbox vm2 hat zur Folge, dass entfernte Angreifer Befehle ausführen können. Die Attacke läuft über die Error-API der JavaScript-Engine V8.

Der verantwortliche Programmierfehler befindet sich in dem Error-Tracing-Code. Dessen Aufgabe ist es, Fehler aufzuspüren und zu verfolgen.  Dazu verwendet die JavaScript-Engine V8 die Error.prepareStackTrace-API. Node.js nutzt ebenfalls diese Methode und gibt ihr CallSite-Objekte als Parameter mit. Bei der Verarbeitung dieser Objekte tritt ein Fehler auf, der es dem Angreifer erlaubt aus der SandBox auszubrechen.

Betroffen ist die Version 3.9.11.

Der Beitrag Schwachstelle in JavaScript-Sandbox vm2 erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Google startet KataOS

Mo., 10/17/2022 - 09:37

Mit KataOS hat Google damit begonnen, eine sichere Plattform für Embedded-Geräte zu entwickeln, auf denen ML-Anwendungen laufen.

In der Ankündigung heißt es, dass Google mehrere Komponenten für das Betriebssystem KataOS als Open Source auf GitHub zur Verfügung gestellt hat. Zudem sei man eine Partnerschaft mit Antmicro für den Renode-Simulator und die dazugehörigen Frameworks eingegangen. Als Grundlage für das neue Betriebssystem diene der seL4 als Mikrokernel, der Sicherheit in den Vordergrund stelle. seL4 sei erwiesener Maßen sicher und garantiere Vertraulichkeit, Integrität und Verfügbarkeit.

Als weitere Vorzüge des Mikrokernels lobt Google die das seL4 CAmkES-Framework. Damit sei man in der Lage, statisch definierte und analysierbare Systemkomponenten bereitzustellen. KataOS biete eine nachweislich sichere Plattform, die die Privatsphäre des Benutzers schützt, da es für Anwendungen logisch unmöglich ist, die Hardware-Sicherheitsvorkehrungen des Kernels zu verletzen und die Systemkomponenten sicher seien. Dass KataOS fast vollständig in Rust implementiert sei, zähle zu den weiteren Vorzügen für die Softwaresicherheit, da damit ganze Klassen von Fehlern, wie etwa Off-by-One-Fehler und Pufferüberläufe eliminiert seien.

Der Beitrag Google startet KataOS erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Android schickt Verbindungsprüfungen an VPN vorbei

Fr., 10/14/2022 - 10:05

Trotz der Einstellung, Verbindungen ohne VPN zu blockieren, nimmt Android diese für Verbindungsprüfungen auf. Google verteidigt das Verhalten.

Der kommerzielle VPN-Anbieter Mullvad berichtet in seinem Blog von einem unerwarteten Verhalten von VPN-Verbindungen unter Android. Demnach senden die Geräte unter bestimmten Umständen Teile des Netzwerkverkehrs auch dann an dem VPN vorbei, wenn die Option Verbindungen ohne VPN blockieren in den Einstellungen ausgewählt ist.

Dem Team von Mullvad sei dies bei einem Audit aufgefallen, dessen Ergebnisse noch veröffentlicht werden sollen. Im Blog des Anbieters heißt es: “Wir verstehen, warum das Android-System diesen Datenverkehr standardmäßig senden möchte. Wenn es beispielsweise ein Captive-Portal im Netzwerk gibt, ist die Verbindung unbrauchbar, bis sich der Benutzer dort angemeldet hat. Daher möchten die meisten Benutzer, dass die Captive-Portal-Prüfung durchgeführt wird und ihnen erlaubt wird, das Portal anzuzeigen und zu verwenden.”

Der damit verbundene Netzwerkverkehr könne je nach Bedrohungsszenario aber ein Datenschutzproblem sein. Mullvad hat dies auch im Android-Bugtracker beschrieben und fordert doch eine Änderung der Einstellungen. Nutzer sollten zumindest eine einfache Option erhalten, die Verbindungsprüfungen zu deaktivieren. Dies sei etwa in GrapheneOS möglich.

Das Team von Google bestätigte zunächst, dass die Technik so funktioniere wie vorgesehen. Darüber hinaus würde eine Änderung Nutzer eventuell verwirren und das Verhalten sei für einige Szenarien und Anwendungen wie ein Split-Tunnel-VPN sogar notwendig. Darüber hinaus gäben die Verbindungsprüfungen keine Details preis, die nicht auch aus dem L2-Traffic ersichtlich seien. Eine Änderung wird es in Android also vorerst nicht geben.

Das Team von Mullvad forderte in einem weiteren Bug-Report deshalb, zumindest die offizielle Dokumentation von Android anzupassen und das umgesetzte Verhalten zu beschreiben. Eine Reaktion von Google darauf gibt es bisher noch nicht.

Der Beitrag Android schickt Verbindungsprüfungen an VPN vorbei erschien zuerst auf Linux-Magazin.

Kategorien: Nachrichten

Seiten