Deine Website ist mit WordPress zusammengebastelt? Dann mal schnell updaten!

1. Remote code execution (RCE) in PHPMailer – No specific issue appears to affect WordPress or any of the major plugins we investigated but, out of an abundance of caution, we updated PHPMailer in this release. This issue was reported to PHPMailer by Dawid Golunski and Paul Buonopane.
2. The REST API exposed user data for all users who had authored a post of a public post type. WordPress 4.7.1 limits this to only post types which have specified that they should be shown within the REST API. Reported by Krogsgard and Chris Jean.
3. Cross-site scripting (XSS) via the plugin name or version header on update-core.php. Reported by Dominik Schilling of the WordPress Security Team.
4. Cross-site request forgery (CSRF) bypass via uploading a Flash file. Reported by Abdullah Hussam.
5. Cross-site scripting (XSS) via theme name fallback. Reported by Mehmet Ince.
6. Post via email checks mail.example.com if default settings aren’t changed. Reported by John Blackbourn of the WordPress Security Team.
7. A cross-site request forgery (CSRF) was discovered in the accessibility mode of widget editing. Reported by Ronnie Skansing.
8. Weak cryptographic security for multisite activation key. Reported by Jack.

Und das sind nur die Sicherheitsprobleme. Dazu wurden noch 62 Fehler gefixt. Oh oh.

Mein Lieblingsvektorproggi just got better. Macht bloß den Ton leiser, die Mucke ist unterirdisch.

Hoffentlich ist der massive Bug unter OS X gefixt, der beim Copy/Pasten aus jedem Vektor ein Bitmap macht. Das macht Inkscape aufm Mac nämlich leider unbrauchbar

Das Ding wollte ich mir ja eh mal installieren, jetzt habe ich einen Grund mehr, denn:

Die neue Version des Krypto-Messengers Signal für Android soll in der Lage sein, Netzsperren zu umgehen. Das Update ist eine Reaktion auf die Blockierung des Dienstes in Ägypten und den Vereinigten Arabischen Emiraten, die der Anbieter „Open Whisper Systems“ vor wenigen Tagen bestätigt hat.

Um die Zensurmaßnahmen zu umgehen, bedient sich Signal einer „domain fronting“ genannten Technik. Dabei versteckt die App ihren Netzwerkverkehr in verschlüsselten Verbindungen zu großen CDN-Anbietern (Content Delivery Network), in diesem Fall zu Googles App Engine Plattform.

Cool

Lasst es bleiben.

Der (vermeintlich) kostenlose Service finanziert sich dabei mit der Sammlung und dem Verkauf der Surf-Historien seiner Nutzer. Ohne dass dies den meisten Nutzern bekannt war.

Update: von wegen. Temno weiß Bescheid:

Da hat Netzpolitik n bisserl zu vorschnell bei Heise abgeschrieben:
https://www.heise.de/newsticker/meldung/Bericht-Auch-Add-on-Proxtube-leitet-Surf-Historie-aus-3491498.html

Wie man im Update sieht isses mal wieder ganz harmlos.

Danke.

Tschaka! Das einzige Programm, mit dem man die deutschen öffentlich-rechtlichen Mediatheken "genießen" kann, stirbt doch nicht!

Das war’s..., und es geht doch weiter.

Inzwischen hat sich ein sehr engagiertes Team zusammen gefunden, dass das Programm und die Infrastruktur dahinter als Community-Projekt und in Teamarbeit weiterführen wird. Das wird sicherstellen, dass das Programm weiter frei verfügbar bleibt und auch weiter benutzt werden kann.

Dazu dem Team viel Erfolg

http://zdfmediathk.sourceforge.net/

Seit gestern gehöre nun auch ich zum erlauchten Kreise der von Google vollüberwachten Smartphonebesitzer. Mein bisheriges Eifon war ja "nur" ein Gimmick meines Arbeitgebers, der sich nun das Recht einräumt, mir eine Überwachungssoftware zu installieren, die auf Schritt und Tritt auf mich aufpassen soll. Meine Reaktion war ein beherztes "Fuck that", mein Arbeitstelefon ist dann ab sofort eben nur noch genau das.

Mein neues privates Spielzeug heißt Samsung J1, hat mich auf eBay "gebraucht" gerade mal 100 Tacken gekostet (im Endeffekt war es funkelnagelneu und unbenutzt, ich weiß auch nicht, wie die Leute immer an sowas ran kommen) und ist natürlich ein Android-Ding, das heißt also: Google-Account, Big Data, eben alle Annehmlichkeiten des modernen Lebens. Stellt euch also schon mal auf ein paar selten dämliche Fragen meinerseits bezüglich Android, Apps und so weiter ein.

Wenn schon, denn schon, also soll natürlich auch ein Messenger her. Nun spricht in letzter Zeit so ziemlich alles und jede|r (inkl Snowden) für Signal. Der ist verschlüsselt und sicher und geprüft und überhaupt.

Aber.

Zum Glück sagt Android einem ja vorher, auf was so eine App alles zugreifen will und läge ich nicht sowieso krank im Bett, hätte es mich wahrscheinlich gerade vom Stuhl gehauen:

What the fucking fuck? Mal zum Vergleich Threema:

Sorry, Signal, aber ich fürchte, so wird das nix mit uns. Du willst exakt so viel Zugriff auf mein Telefon wie WhatsApp, und bitte wofür jetzt doch gleich?

Flash

Adobe musste überraschend eine kritische Lücke in Flash stopfen, die bereits für gezielte Angriffe auf Windows-Nutzer ausgenutzt wird.

Bitte hier entlang.

Oh noes!!

MediathekView ist ein praktisches Tool, um Inhalte der Mediatheken unserer öffentlich-rechtlichen Anstalten herunterladen und sie sich zeitsouverän anzuschauen zu können. Das Projekt gibt es seit acht Jahren als Open-Source-Projekt, aber demnächst könnte es am Ende sein. Xaver, der Entwickler von MediathekView, schreibt in seinem Forum, dass die Software mittlerweile 110% seiner Freizeit in Beschlag nimmt und er die Verantwortung abgeben will.

"Zeitsouverän" ist schön Und nein, ich habe auch keine Zeit übrig dafür...

Gute Nachrichten:

Sicherheitsforscher haben ein Audit von VeraCrypt durchgeführt und mehrere kritische Schwachstellen entdeckt. Die abgesicherte Version 1.19 ist bereits erschienen.

Zum Download bitte hier entlang.

Ich verwende seit ungefähr 100 Jahren das Programm TapTap, mit dem ich mir die für Linkshänder so unmöglich zu bedienenden Tastaturkürzel STRG+C und STRG+V auf die Tastenkürzel DoppelRechtsShift und DoppelRechtsStrg umgebogen habe.

Leider funktioniert TapTap unter Win7 64bit immer unzuverlässiger. Erst reagierte der Windows Explorer nicht mehr auf die neuen Tastenkürzel, dann Notepad und seit neuestem wollte auch Firefox nicht mehr.

Eine entsprechende Forendiskussion warf die Frage auf, ob man ein solches Verhalten nicht auch per AutoHotKey hinbekommen könnte. Die Antwort lautet: yes, we can.

Erst hatte ich ein eigenes kleines AHK-Script zusammengefrickelt, das leider nicht taugte, weil es zwar das Double-Tap-Verhalten abbildete, dabei aber effektiv die reguläre Verwendung der rechten Shift- und Strg-Taste verhinderte. und so ganz ohne großbuchstaben, anführungs- und ausrufezeichen ist das leben auch irgendwie doof111

Zum Glück das Internet ist bekanntlich groß und dabei voller Nerds, so stieß ich nach einiger Guhgeley auf das AHK-Script RapidHotkey, das eine Lösung für mein Problem darstellt, wenn es auch der totale Overkill ist. Erweitert um 2 Zeilen habe ich jetzt wieder das was ich brauche.

Nach etwas Rumfrickelei mit dem AHK-Compiler hat das Ding jetzt auch ein eigenes Icon und nett wie ich bin, stelle ich euch das fertige Script und die daraus entstandene EXE zur Verfügung (unter GNU General Public License).

AHK Script: CopyPasteRapidHotkey.ahk
Ausführbares Programm: CopyPasteRapidHotkey.zip

Verwendung:
CopyPasteRapidHotkey.zip entpacken und die darin enthaltene CopyPasteRapidHotkey.exe doppelklicken. Nun kopiert ein "Doppelklick" der rechten Shift-Taste Dinge in die Zwischenablage, ein "Doppelklick" auf die rechte STRG-Taste fügt die Zwischenablage wieder ein. Wer will, erstellt sich eine entsprechende Verknüpfung im AutoStart-Menü.

Disclaimer: AutoHotKey kommt von AutoHotkey Foundation LLC und steht unter GNU General Public License, RapidHotkey wurde von HotKeyIt entwickelt, alle Credits gehen an ihn und Laszlo für Morse().

Und der Vollständigkeit halber noch der vollständige Code:

(more…)

redak meinte:

servus max,

ich bin hier vielleicht nicht richtig in diesem artikel, aber ich muss mir jetzt echt luft verschaffen... herrgottkreutzdonnerlattich des gibts doch net! kurz zur erläuterung: nachdem ich mich jetzt jahre lang diesem gschissenen whatsapp verweigert habe, habe ich mich vor ein paar wochen doch erweichen lassen die app zu installieren. nicht das ich neuem gegenüber verschlossen wäre, bin schliesslich in der medien branche tätig,aber großen monopolisten gegenüber bin ich doch eher misstrauisch. nun, was soll ich sagen... http://m.spiegel.de/netzwelt/apps/a-1109457.html wirklich überrascht bin ich nicht. jetzt zu meinem problem... was ist die "geilste" alternative die ich meinen freunden, verwanten, partnern, auftraggebern guten gewissens anbieten kann? denn whatsapp fliegt heute noch von meinem smartphone!

viele sonnige grüße von der schwäbischen alb!

Ich stelle das hier mal zur Diskussion. Auf die Plätze, fertig. los.

Dann mal schnell updaten!

Das Entwicklerstudio Objective Development hat ein wichtiges Update für den Mac-Netzwerküberwacher Little Snitch veröffentlicht und bittet Nutzer, dieses baldestmöglich einzuspielen. Ein kritischer Bug könne es einem Angreifer nämlich ermöglichen, den Netzwerkfilter der Software zu umgehen – dies soll in der neuen Version 3.6.4 nicht mehr möglich sein.

SwiftKey ist eine Software, die das Tippen auf Handies erleichtert. Doof nur, dass dabei sämtliche Eingaben stillschweigend an euch unbekannte Server geschickt werden, wo sie gespeichert und wofür auch immer verwendet werden (im Businesskaspersprech heißt das dann "Wir verwenden dafür die Cloud"). Das ist der Grund, warum ich diesen Mist zähneknirschend direkt wieder deinstalliert hatte, denn eigentlich ist SwiftKey wirklich praktisch für Daumenlegastheniker wie mich. Und jetzt das:

Nutzer des alternativen Smartphone-Keyboards SwiftKey haben Wortvorschläge fremder Nutzer erhalten. Neben Wörtern in anderen Sprachen sollen auch fremde E-Mail-Adressen darunter gewesen sein.

Suuuuuper, so 'ne Cloud. Da werden auch all eure Passwörter, Bankzugangsdaten und Liebesbriefe bestimmt total sicher drin verwaltet. Und natürlich:

SwiftKey äußert sich in einem Blogeintrag dazu und verspricht, dass von dem Fehler keine Sicherheitsprobleme für die Nutzer ausgehen.

Bitte gehen Sie weiter, hier gibt es nichts zu sehen.