🔒
Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

Exploit unterwegs: Chrome braucht Update

25. November 2022 um 10:10

Google hat ein Update für seinen Chrome-Browser für Linux, Mac OS und Windows herausgegeben. Ein Einspielen des Updates ist nötig, weil die damit geschlossene Sicherheitslücke bereits ausgenutzt werden kann.

Wie gewohnt sind die Informationen von Google zur Lücke spärlich, um Angreifern damit nicht in die Hände zu spielen. Es handelt sich aber wie so oft um einen Speicherfehler. Google mahnt zum Update, weil es einen Exploit der Lücke gibt, der sich bereits im Umlauf befindet.

Da mit dem Update nur eine Lücke geschlossen wird, dürfte wahlweise die Ausnutzung relativ einfach sein oder der anzurichtende Schaden hoch. Die Sicherheitslücke (CVE-2022-4135) wurde von Googles Thread Analysis Group entdeckt. Google gibt an, dass es mehr Details zur Lücke gibt, wenn sie mehrheitlich bei den Nutzern gepatcht ist.

Der Beitrag Exploit unterwegs: Chrome braucht Update erschien zuerst auf Linux-Magazin.

Anzeige: 50 Prozent auf Alles in der Golem Karrierewelt!

21. November 2022 um 10:29

Die Golem Karrierewelt haut in der Black Week einen raus: Unglaubliche 50 Prozent Rabatt auf alle teilnehmenden Produkte des Sortiments! Gültig bis Mittwoch, 30. November 2022!

Zehn Tage lang die Hälfte sparen

Zu den rabattierten Angeboten gehört eine umfangreiche Liste an interaktiven Live-Workshops, die den Weg zum IT-Profi ebnen und Best Practices aufzeigen.  Zentrale IT-Standards sind dabei selbstverständlich bestens vertreten. Ob Dauerbrenner im Cloudcomputing wie Kubernetes und Ansible, Admin- und Sicherheits-Kurse zur weit verbreiteten IT-Plattform Microsoft 365, oder das allgegenwärtige IT-Security-Thema.

Hinzu kommen Kurse zu Coding und Web Development. Die Bandbreite reicht von TypeScript, Angular, Vue.js über Python bis hin zu C++. Allen interaktiven Workshops gemeinsam ist, dass die Teilnehmer nach Abschluss eine Teilnahmebescheinigung erhalten.

Lernen, wann immer du möchtest

In den E-Learning-Kursen der Golem Karrierewelt wird komplexe IT-Materie in leicht verdauliche Häppchen von fünf- bis zehnminütigen Videolektionen aufgesplittet. Die Teilnehmer können die Lektionen so oft wiederholen wie sie möchten – und wann immer es ihnen beliebt.

Die Bandbreite der Black-Week-Angebote reicht vom Einstieg in Microsoft Office über umfangreiche Pakete zur Systemadministration bis hin zur Linux-Befehlszeile für Anfänger:innen und Sicherheitstests mit Kali Linux. Der 50-prozentige Black-Week-Rabatt gilt auch für bereits preisreduzierte Trainings und Gruppenrabatte.

Persönliche Weiterentwicklung per Coaching

Wer – neben des Ausbaus seines IT-Know-hows – auch seine allgemeine persönliche Weiterentwicklung im Blick hat, findet in der Golem Karrierewelt eine Reihe hilfreicher Coachingangebote. Ein Highlight im Programm ist der User Experience Essentials Workshop!

Den 50-Prozent-Rabatt gibt’s ebenso auf alle One-on-One- und Gruppen-Coachings von Golem Shifoo. Als Themen werden Prozessoptimierung, Agile, Mitarbeiterkommunikation, Feedback im Team und vieles mehr angeboten. Alle Coaches verfügen über einen Background im IT-Business. Wer gleich sein Team personell verstärken möchte, kann dies im Golem-Stellenanzeigenportal ebenso zu Black-Week-Konditionen tun (50 Prozent Rabatt ausschließlich bei Buchung über das Portal).

Sprachenlernen zum halben Preis

War das Erlernen einer neuen Sprache schon mal einfacher als heute? Zu den Vorteilen des zeitgemäßen Lernens per modernen Onlineangeboten gesellt sich der unschlagbare 50-Prozent-Preisvorteil der Black Week. Die von Gymglish entwickelten Sprachkurse der Golem Karrierewelt zeichnen sich durch kurzweilige Rahmenerzählungen aus, die Neugierde auf weitere Lektionen wecken. Ob Englisch, Spanisch, Französisch, Italienisch oder Deutsch, alle Kurse können kostenlos 7 Tage lang ausprobiert werden. Bei Buchung bis zum 30. November gibt es 50 Prozent Rabatt auf den regulären Preis.

Wissen vertiefen – Horizont erweitern – Geld sparen

Wer von dem Rabatt profitieren möchte, sollte nicht zögern. Einen so günstigen Einstieg in die fachliche und persönliche Weiterentwicklung wie in der Black Week wird man voraussichtlich so bald nicht wieder finden. Jetzt zuschlagen und den 50-Prozent-Rabatt nutzen!*

*Die preisreduzierten Black-Week-Angebote der Golem Karrierewelt sind bis einschließlich Mittwoch, den 30. November 2022 gültig. Etwaige Rabattcodes sind von der Black Week ausgeschlossen.

Der Beitrag Anzeige: 50 Prozent auf Alles in der Golem Karrierewelt! erschien zuerst auf Linux-Magazin.

Hello world!

28. Oktober 2022 um 07:59
Von: intux

Welcome to WordPress. This is your first post. Edit or delete it, then start writing!

Google Chrome: Support-Ende für Windows 7 und Windows 8.1 im Februar 2023 – Firefox im August 2023?

25. Oktober 2022 um 22:40

Google hat bezüglich seines Browsers Google Chrome angekündigt, die Unterstützung von Windows 7 und Windows 8.1 Anfang 2023 einzustellen. Seitens Mozilla gibt es noch keine offizielle Ankündigung für Firefox in diese Richtung. Eine Einstellung im August 2023 ist aber denkbar.

Am 14. Januar 2020 hatte Microsoft bereits die Unterstützung seines Betriebssystems Windows 7 offiziell eingestellt. Die Unterstützung von Windows 8.1 wird am 10. Januar 2023 eingestellt werden. Dies ist für Nutzer insofern relevant, als dass es für diese Betriebssysteme keine Sicherheits-Updates mehr gibt respektive geben wird. Nutzer sollten daher Windows 10 oder neuer (oder ein anderes Betriebssystem) nutzen.

Nun hat Google angekündigt, für den Browser Google Chrome die Unterstützung sowohl von Windows 7 als auch von Windows 8.1 mit Veröffentlichung von Chrome 110 einzustellen. Nach aktueller Planung wird Chrome 110 am 7. Februar 2023 erscheinen. Zwar werden alte Versionen auch über dieses Datum hinaus auf Windows 7 und Windows 8.1 funktionieren, jedoch wird es danach keine neuen Versionen von Google Chrome mehr für die veralteten Betriebssysteme geben, damit auch keine Sicherheits-Updates für den Browser mehr.

Seitens Mozilla wurden noch keine finalen Pläne bezüglich eines Support-Endes dieser Plattformen für Firefox kommuniziert. Allerdings beschäftigt man sich sich natürlich auch bei Mozilla mit dem Support-Ende und erwägt ein Auslaufen der Unterstützung mit dem Ende von Firefox ESR 102. Damit würde Firefox nach aktueller Planung sein letztes Update für Windows 7 und Windows 8.1 am 29. August 2023 erhalten.

Allerdings: Während das Support-Ende für Google Chrome bestätigt ist, gibt es für Firefox noch keine offizielle Ankündigung dazu. Stand Oktober 2022 nutzen noch 18,5 Prozent der Firefox-Nutzer Windows 7 oder Windows 8.1, was in die Entscheidung mit reinspielen kann, wie lange Firefox diese veralteten Betriebssysteme noch unterstützen wird. So könnte auch Firefox ESR 115 noch Windows 7 und Windows 8.1 unterstützen, womit die Unterstützung seitens Mozilla erst in der zweiten Jahreshälfte 2024 ausliefe. Die Unterstützung von Windows XP und Windows Vista hatte Mozilla erst mehr als zwei Jahre nach Google eingestellt.

Der Beitrag Google Chrome: Support-Ende für Windows 7 und Windows 8.1 im Februar 2023 – Firefox im August 2023? erschien zuerst auf soeren-hentzschel.at.

Graphdatenbank GUAC soll Software Supply Chain sicherer machen

25. Oktober 2022 um 10:10

Mit dem Open-Source-Projekt Graph for Understanding Artifact Composition (GUAC) will Google Metadaten zur Softwaresicherheit in einer Graphdatenbank zusammenführen. Dort sollen die Daten normalisiert und Beziehungen zwischen ihnen sichtbar werden.

Durch die Abfrage dieser Graphen sollen dann übergeordneten organisatorische Ergebnissen wie Audits, Richtlinien, Risikomanagement und sogar Entwicklerunterstützung möglich werden, teilt Google mit. Google arbeitet bei der Entwicklung des kostenlosen Tools unter anderem mit der Purdue University zusammen.

GUAC lasse sich so konfigurieren, dass es sich mit einer Vielzahl von Quellen für Software-Sicherheitsmetadaten verbindet. Einige Quellen können offen und öffentlich sein, wie OSV, einige können von Dritten stammen, etwa interne Repositories einer Organisation.

Nach der Aufnahme von Rohmetadaten aus den verschiedenen Quellen füge GUAC diese zu einem kohärenten Graphen zusammen, indem es die Entitätsbezeichner normalisiere, den Abhängigkeitsbaum durchlaufe und die impliziten Entitätsbeziehungen wiederherstelle.

GUAC ist als Open-Source-Projekt auf Github zu finden. Laut Google befindet es sich in der Anfangsphase und  bietet derzeit einen Proof of Concept, mit dem sich SLSA-, SBOM- und Scorecard-Dokumente aufnehmen lassen und der einfache Abfragen und die Erforschung von Software-Metadaten unterstützt.

Der Beitrag Graphdatenbank GUAC soll Software Supply Chain sicherer machen erschien zuerst auf Linux-Magazin.

Saurons Auge: Texas verklagt Google

21. Oktober 2022 um 11:50

Der texanische Generalstaatsanwalt Ken Paxton hat wegen Verstößen gegen das in Texas geltende Datenschutzrecht Google verklagt. In der Klageschrift heißt es, Google sammle biometrische Daten von texanischen Bürgern ohne deren Zustimmung und erstelle so Profile. Die Kamera des Nest Hub von Google vergleicht Paxton mit  dem Auge von Sauron, der alles sehenden dunklen Macht aus der Herr der Ringe-Trilogie.

Googles Gerät Nest Hub Max erfasse wahllos die Gesichtsgeometrie jedes Texaners, der zufällig in Sichtweite komme, schreibt Pxton in der Klageschrift, und dies auch von Nicht-Nutzern, die Google nie die Erlaubnis erteilt hätten, ihre biometrischen Daten zu erfassen und die höchstwahrscheinlich nicht einmal wüssten, dass Google dies tue. Wie bei Google Fotos bedeutet dies, dass Google auch die biometrischen Daten texanischer Kinder erfasse, die vielleicht aus Neugierde vor dem Nest Hub Max stünden, während die Kamera sie beobachte und analysiere, heißt es in der Klage weiter.

Und bei der Gesichtserkennung höre es nicht auf, schreibt Paxton weiter. Die Nest-Produktlinie von Google sowie viele andere Produkte seien mit Google Assistant ausgestattet, einem “sprachgesteuerten persönlichen Assistenten”. Google habe den Google Assistant in Autos, Telefone, Lautsprecher, Fernseher, Laptops, Tablets, Wearables, Displays, Thermostate, Kameras, Türklingeln, Alarmanlagen, Yale-Schlösser und vieles mehr integriert. Geräte, die fast jeden Zentimeter der texanischen Haushalte und des Privatlebens bedecken, so Paxton. Bei Aktivierung durch ein einfaches “Hey Google”, zeichne Google Assistant auf, was er höre.

Google hat die Vorwürfe zurückgewiesen, berichtet das Wall Street Journal.

Der Beitrag Saurons Auge: Texas verklagt Google erschien zuerst auf Linux-Magazin.

Google startet KataOS

17. Oktober 2022 um 09:37

Mit KataOS hat Google damit begonnen, eine sichere Plattform für Embedded-Geräte zu entwickeln, auf denen ML-Anwendungen laufen.

In der Ankündigung heißt es, dass Google mehrere Komponenten für das Betriebssystem KataOS als Open Source auf GitHub zur Verfügung gestellt hat. Zudem sei man eine Partnerschaft mit Antmicro für den Renode-Simulator und die dazugehörigen Frameworks eingegangen. Als Grundlage für das neue Betriebssystem diene der seL4 als Mikrokernel, der Sicherheit in den Vordergrund stelle. seL4 sei erwiesener Maßen sicher und garantiere Vertraulichkeit, Integrität und Verfügbarkeit.

Als weitere Vorzüge des Mikrokernels lobt Google die das seL4 CAmkES-Framework. Damit sei man in der Lage, statisch definierte und analysierbare Systemkomponenten bereitzustellen. KataOS biete eine nachweislich sichere Plattform, die die Privatsphäre des Benutzers schützt, da es für Anwendungen logisch unmöglich ist, die Hardware-Sicherheitsvorkehrungen des Kernels zu verletzen und die Systemkomponenten sicher seien. Dass KataOS fast vollständig in Rust implementiert sei, zähle zu den weiteren Vorzügen für die Softwaresicherheit, da damit ganze Klassen von Fehlern, wie etwa Off-by-One-Fehler und Pufferüberläufe eliminiert seien.

Der Beitrag Google startet KataOS erschien zuerst auf Linux-Magazin.

Android schickt Verbindungsprüfungen an VPN vorbei

14. Oktober 2022 um 10:05

Trotz der Einstellung, Verbindungen ohne VPN zu blockieren, nimmt Android diese für Verbindungsprüfungen auf. Google verteidigt das Verhalten.

Der kommerzielle VPN-Anbieter Mullvad berichtet in seinem Blog von einem unerwarteten Verhalten von VPN-Verbindungen unter Android. Demnach senden die Geräte unter bestimmten Umständen Teile des Netzwerkverkehrs auch dann an dem VPN vorbei, wenn die Option Verbindungen ohne VPN blockieren in den Einstellungen ausgewählt ist.

Dem Team von Mullvad sei dies bei einem Audit aufgefallen, dessen Ergebnisse noch veröffentlicht werden sollen. Im Blog des Anbieters heißt es: “Wir verstehen, warum das Android-System diesen Datenverkehr standardmäßig senden möchte. Wenn es beispielsweise ein Captive-Portal im Netzwerk gibt, ist die Verbindung unbrauchbar, bis sich der Benutzer dort angemeldet hat. Daher möchten die meisten Benutzer, dass die Captive-Portal-Prüfung durchgeführt wird und ihnen erlaubt wird, das Portal anzuzeigen und zu verwenden.”

Der damit verbundene Netzwerkverkehr könne je nach Bedrohungsszenario aber ein Datenschutzproblem sein. Mullvad hat dies auch im Android-Bugtracker beschrieben und fordert doch eine Änderung der Einstellungen. Nutzer sollten zumindest eine einfache Option erhalten, die Verbindungsprüfungen zu deaktivieren. Dies sei etwa in GrapheneOS möglich.

Das Team von Google bestätigte zunächst, dass die Technik so funktioniere wie vorgesehen. Darüber hinaus würde eine Änderung Nutzer eventuell verwirren und das Verhalten sei für einige Szenarien und Anwendungen wie ein Split-Tunnel-VPN sogar notwendig. Darüber hinaus gäben die Verbindungsprüfungen keine Details preis, die nicht auch aus dem L2-Traffic ersichtlich seien. Eine Änderung wird es in Android also vorerst nicht geben.

Das Team von Mullvad forderte in einem weiteren Bug-Report deshalb, zumindest die offizielle Dokumentation von Android anzupassen und das umgesetzte Verhalten zu beschreiben. Eine Reaktion von Google darauf gibt es bisher noch nicht.

Der Beitrag Android schickt Verbindungsprüfungen an VPN vorbei erschien zuerst auf Linux-Magazin.

Open-Source-Chips von Google und NIST

15. September 2022 um 12:32

Das National Institute of Standards and Technology (NIST) des US-Handelsministeriums hat mit Google einen Kooperationsvertrag unterzeichnet, um Chips zu entwickeln und zu produzieren. Die Designs der Chips sind dann Open Source und sollen Forschern zur Entwicklung neuer Nanotechnologie- und Halbleitergeräte dienen.

Wie das NIST mitteilt, werden die Chips von SkyWater Technology in Minnesota hergestellt. Google trage die anfänglichen Kosten für den Aufbau der Produktion übernehmen und den ersten Produktionslauf. Das NIST wiederum entwickle in Zusammenarbeit mit Universitäten die Schaltkreise für die Chips, teilt das Institut mit. Die Schaltkreisentwürfe stünden dann als Open Source zur Verfügung. Forscher an Hochschulen und in kleinen Unternehmen sollen sie ohne Einschränkungen oder Lizenzgebühren nutzen können.

Große Unternehmen, die Halbleiter entwickeln und herstellen, hätten oft leichten Zugang zu diesen Chips. Da die Kosten jedoch in die Hunderttausende Dollar gehen, stellten sie eine große Hürde für die Innovation von Forschern an Universitäten und in Start-ups dar, heißt es weiter. Diese Hürde soll das Programm beseitigen.

Nist und Google informieren am 20. und 21. September bei einem Workshop zu den Plänen. Informationen  zur Anmeldung finden sich auf der NIST-Website.

Der Beitrag Open-Source-Chips von Google und NIST erschien zuerst auf Linux-Magazin.

Snapshot 10/2022: Go organisiert Fotos mit Datum

05. September 2022 um 17:45

Fotos vom Handy oder der SD-Karte kopiert Mike Schilli mit einem Go-Programm in eine datumsbasierte Dateistruktur auf dem Rechner. Ein Cache sorgt dafür, dass nur Neues übertragen und keine Zeit verplempert wird.

Im Video demonstriert er seine Lösung

Youtube-Video An dieser Stelle finden Sie externe Inhalte von Youtube. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Für weitere Informationen besuchen Sie die Datenschutzseite.

Der Beitrag Snapshot 10/2022: Go organisiert Fotos mit Datum erschien zuerst auf Linux-Magazin.

Chrome braucht Update gegen Exploit

05. September 2022 um 11:39

Der Browser Chrome von Google braucht ein Update, das eine Sicherheitslücke schließt. Für diese Lücke existiert bereits ein Exploit, lässt Google wissen.

Entsprechende Meldungen habe man bekommen, heißt es im Chrome-Blog. Bei dem Sicherheitsproblem selbst handelt es sich um einen Fehler im IPC-System Mojo. Dort werden Eingaben nicht ausreichend geprüft, heißt es im Beitrag. Weitere Informationen hält Google zurück, um nicht weitere potenzielle Angreifer damit zu versorgen. Es ist also nicht nachvollziehbar, welche Auswirkungen ein erfolgreicher Exploit nach sich zieht.

Google stellt mit den Versionen 105.0.5195.102 für Windows, Mac und Linux gepatchte Ausgaben des Browsers bereit.

Der Beitrag Chrome braucht Update gegen Exploit erschien zuerst auf Linux-Magazin.

Sicherheitsupdate für Chrome beseitigt Lücken

31. August 2022 um 11:00

Mit den Browserversionen Chrome 105.0.5195.52 für Mac OS und Linux und 105.0.5195.52/53/54 für Windows beseitigt Google eine ganze Reihe von Sicherheitslücken.

Eine davon, ein „Use after free“-Fehler in den Network Services gilt als kritisch. 20 weitere Probleme sind wahlweise als mit hohem oder mittlerem Risiko eingestuft. Drei Lücken haben ein geringes Schadpotenzial. Wie üblich gibt Google keine Details zu den Problemen bekannt, um Angreifer nicht weiter zu informieren

Google weist zudem darauf hin, dass viele der aufgelisteten Sicherheitsprobleme mit AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer oder AFL entdeckt worden seien.

Der Beitrag Sicherheitsupdate für Chrome beseitigt Lücken erschien zuerst auf Linux-Magazin.

Google startet Open Source Software Vulnerability Rewards Program

31. August 2022 um 10:40

Mit dem Open Source Software Vulnerability Rewards Program (OSS VRP) hat Google sein Bug-Bounty-Programm auf Sicherheitslücken in den Open-Source-Projekten mit eigener Beteiligung erweitert.

Als Verwalter wichtiger Projekte wie Golang, Angular und Fuchsia zähle Google zu den größten Mitwirkenden und Nutzern von Open Source weltweit, schreibt Francis Perron, Open Source Security Technical Program Manager von Google in einem Blogbeitrag.

Mit der Aufnahme von Googles OSS VRP in das Vulnerability Reward Programs (VRP) könne man nun das Auffinden von Fehlern belohnen, die sich möglicherweise auf das gesamte Open-Source-Ökosystem auswirken können, so der Manager weiter.

Das ursprüngliche VRP-Programm nähere sich seinem 12-jährigen Jubiläum. Im Laufe der Zeit habe man die VRP-Reihe neben eigener Software um Programme für Chrome, Android und andere Bereiche erweitert. Insgesamt seien im Rahmen dieser Programme mehr als 13.000 Einreichungen mit einer Gesamtsumme von über 38 Millionen Dollar belohnt worden, heißt es im Blogbeitrag.

Das Programm bezieht sich laut Google auf alle aktuellen Versionen von Open-Source-Software, die in den öffentlichen GitHub-Repositories von Google gespeichert seien, dazu zählten etwa die Verzeichnisse Google, GoogleAPIs und GoogleCloudPlatform.

Die höchsten Belohnungen sollen zunächst für Sicherheitslücken vergeben werden, die in den sensibelsten Projekten gefunden werden, teilt Google mit. Dazu zähle man Bazel, Angular, Golang, Protokollpuffer und Fuchsia. Diese Liste solle dann erweitert werden. Im Blogbeitrag sind die Teilnahmebedingungen erläutert.

Der Beitrag Google startet Open Source Software Vulnerability Rewards Program erschien zuerst auf Linux-Magazin.

Schrems geht gegen Googles Werbemails vor

30. August 2022 um 09:45

Mit seiner Datenschutzorganisation Noyb hat der österreichische Datenschutzaktivist Max Schrems Beschwerde gegen Werbemails von Google eingelegt. Diese würden gegen die E-Privacy-Richtlinie verstoßen, so Noyb.

Die Beschwerde hat die Organisation Noyb bei der französischen Datenschutzbehörde CNIL eingereicht. Der Vorwurf lautet, dass Google ohne Einwilligung Werbemails verschicke. Die Mails tauchten dann im Postfach auf und seien mit dem Wort Werbung vor der Betreffzeile bestückt. Für den Empfang dieser Mail habe man aber kleine Zustimmung gegeben. Dies verstoße gegen Artikel 13 der E-Privacy-Richtlinie der besage, dass die Verwendung von elektronischer Post für die Zwecke der Direktwerbung nur bei Teilnehmern zulässig sei, die zuvor ihre Einwilligung gegeben hätten. Ähnlich heiße es in Artikel L34-5 des französischen Code des postes et des communications électroniques CPCE: “Direktwerbung mittels eines automatisierten elektronischen Kommunikationssystems […], eines Faxgeräts oder elektronischer Post unter Verwendung der Kontaktdaten einer natürlichen Person, eines Teilnehmers oder Nutzers, die nicht zuvor ihre Einwilligung zum Erhalt von Direktwerbung auf diesem Wege gegeben hat, ist verboten.”

Noyb verweist zudem auf ein Urteil des Europäischen Gerichtshofs das ebenfalls auf die Zustimmung zu solchen Mails abhebt und sie anderenfalls verbietet. “Der Gerichtshof war in dieser Angelegenheit ziemlich eindeutig: Wenn es wie eine E-Mail aussieht, wie eine E-Mail riecht, dann ist es eine E-Mail. Es scheint, dass Google dies ignoriert und weiterhin Spam an seine eigenen Nutzer sendet.” – Eliška Andrš, Rechtsreferendarin bei Noyb.

Der Beitrag Schrems geht gegen Googles Werbemails vor erschien zuerst auf Linux-Magazin.

Google blockiert Rekord-DDoS-Angriff

22. August 2022 um 09:12

Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Google hat nach eigenen Angaben den bisher größten HTTPS-basierten DDoS-Angriff (Distributed Denial of Service) mit Spitzenwerten von 46 Millionen Anfragen pro Sekunde abgewehrt. Der Angriff soll demnach bereits im Juni stattgefunden haben. Bei DDoS-Attacken versuchen die Angreifer Dienste beziehungsweise Server mit Anfragen zu überhäufen, bis sie unter der Last zusammenbrechen.

Der Angriff soll noch einmal 76 Prozent umfangreicher gewesen sein, als der zuvor größte DDoS-Angriff, der ebenfalls im Juni von Cloudflare blockiert wurde. Zuerst hatte das Onlinemagazin The Register berichtet.

“Das ist so, als würde man alle täglichen Anfragen an Wikipedia (eine der 10 meistbesuchten Websites der Welt) in nur 10 Sekunden erhalten”, erklären die Google-Entwickler Emil Kiner und Satya Konduru in einem Blogeintrag. Demnach zielte der Angriff auf einen HTTP/S-Load-Balancer eines Kunden ab und begann mit rund 10.000 Anfragen pro Sekunde, steigerte sich innerhalb von acht Minuten auf 100.000 und wuchs weitere zwei Minuten später auf die besagten 46 Millionen Anfragen pro Sekunde.

Zu diesem Zeitpunkt hatte Google den Angriff bereits erkannt und warnte den Kunden mitsamt einer Angriffssignatur und eine vorgeschlagenen Blockierregel. Diese aktivierte der Kunde umgehend und der Angriff wurde deutlich abgeschwächt. “Vermutlich stellte der Angreifer fest, dass er nicht die gewünschte Wirkung erzielte, obwohl er erhebliche Kosten für die Durchführung des Angriffs auf sich genommen hatte”, schreiben Kiner und Konduru. Nach insgesamt 69 Minuten war die DDoS-Attacke wieder vorbei.

Verantwortlich für den Angriff soll das Mēris-Botnetzwerk sein. Insgesamt sollen 5236 IP-Adressen aus 132 Ländern an der Attacke beteiligt gewesen sein. Etwa 20 Prozent der IP-Adressen seien Exit-Nodes aus dem Tor-Netzwerk gewesen, erklärt Google. Insgesamt seien zu Spitzenzeiten jedoch nur 1,3 Millionen Anfragen pro Minute aus dem Tor-Netzwerk gekommen, was rund drei Prozent des Angriffsvolumens entspreche. Wie bei dem letzten Rekord-DDoS-Angriff zielte auch dieser auf HTTPS-Anfragen, die bei einem Verbindungsaufbau erhöhte Rechenkapazitäten verursachen sollen.

Der Beitrag Google blockiert Rekord-DDoS-Angriff erschien zuerst auf Linux-Magazin.

Ubuntu Touch für Fairphone 4

18. August 2022 um 10:19

Wie die Entwickler von Ubuntu Touch mitteilen, gibt es eine Portierung für das Fairphone 4. Das Fairphone versteht sich als Smartphone, das unter anderem mit fairen Bedingungen bei Herstellung und Wahl der Komponenten punktet.

Das Fairphone 4 wurde Ende 2021 vorgestellt. Es baut auf Android 11 auf und kommt mit einem Qualcomm Snapdragon 750G Prozessor. Wie die Entwickler mitteilen ist das Fairphone 4 der erste Ausflug von Ubuntu Touch auf eine Gerät mit Android 11: „Wir freuen uns, ankündigen zu können, dass eine Ubuntu Touch Portierung für das Fairphone 4 jetzt über den UBports Installer verfügbar ist. Wir sind sehr aufgeregt über diese neueste Portierung. Das Fairphone 4 ist nicht nur ein großartiges Telefon, sondern auch die erste Android 11 basierte Portierung für Ubuntu Touch“, teilen die Entwickler mit. Auf Github finden sich die entsprechenden Informationen und der Installer.

Der Beitrag Ubuntu Touch für Fairphone 4 erschien zuerst auf Linux-Magazin.

Update für Google Chrome beseitigt Sicherheitslücken

17. August 2022 um 11:05

Insgesamt werden mit den neuen Versionen 104.0.5112.101 für Linux und Mac sowie 104.0.5112.101/102 von Google Chrome für Windows elf Sicherheitslücken beseitigt. Für eine gibt es bereits einen Exploit in freier Wildbahn.

Google sei bekannt, dass es einen Exploit für das Problem mit der Nummer CVE-2022-2856 in freier Wildbahn gebe, heißt es in der Mitteilung zur neuen Version von Chrome. Die Lücke entstehe durch eine unzureichende Validierung von nicht vertrauenswürdigen Eingaben in Intents, heißt es weiter. Die Sicherheitslücke hat Google mit dem Attribut hohes Risiko versehen. In dieser Klasse gibt es weitere sechs Probleme, die das Update beseitigt. Lediglich eine Lücke ist als kritisch eingestuft. Sie ensthet durch einen Use-after-free-Fehler in der FedCM-Komponente. Die Federated Credential Management API (FedCM) ermöglicht es Benutzern, sich mit ihren föderierten Konten auf Websites anzumelden, wobei der Datenschutz gewahrt bleiben soll. Da Google keine weitere Beschreibung der Lücke liefert, ist nicht abzusehen, welches Ausmaß der Fehler hat. In der Ankündigung sind weitere Lücken aufgezählt.

Der Beitrag Update für Google Chrome beseitigt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Google hat Android 13 fertig

16. August 2022 um 09:49

Google hat die Version 13 seines mobilen Betriebssystems Android veröffentlicht. Die neue Ausgabe verspricht mehr Sicherheit.

Letzteres geht Google damit an, dass die Zwischenablage nun automatisch nach einiger Zeit gelöscht wird, sollten dort sensible Daten wie Adressen, Telefonnummern oder Logins gespeichert sein, die zuvor kopiert wurden. Zudem verbietet es Android 13, dass Apps Benachrichtigungen verschicken, die nicht ausdrücklich vom Nutzer nach der Installation erlaubt wurden.

Neu ist auch, dass der Anwender bestimmte Fotos und Videos für die Nutzung in anderen Apps freigeben kann. Apps haben damit auf nicht freigegebene Fotos und Videos keinen Zugriff.

Optisch kommt Android 13 in einer weiterentwickelten Version des Material-You-Designs. Dessen Farbschemata lassen sich nun auch auf Apps von Drittanbietern anwenden. Zudem lassen sich einzelnen Apps nun eine zweite Systemsprache zuweisen.

Android 13 gestattet es zudem, dass Nutzer mit passenden Kopfhörern Spatial Audio wählen können, das einen Raumklang simuliert. Android 13 unterstützt auch Bluetooth LE.

Wie gewohnt spielt Google Android 13 zuerst auf die eigenen Pixel-Smartphones ab dem Pixel 4 auf. Es folgen dann andere Hersteller. In welchem Tempo Nutzer Android 13 bekommen, hängt dann auch von denen ab.

Android 13 bietet einen aktualisierten Media Player, der sein Aussehen und seine Bedienung an die Musik anpasst, die gerade läuft. Der Media Player zeigt das Albumcover an und hat eine Wiedergabeleiste, die während des Songs tanzt, teilt Google mit.

Der Beitrag Google hat Android 13 fertig erschien zuerst auf Linux-Magazin.

Google Maps zeigt spritsparende Routen

12. August 2022 um 09:38

Google Maps wird in Deutschland um eine Funktion ergänzt, die kraftstoffsparende Routen anzeigt. Damit sehen Nutzer neben der schnellsten Route auch die kraftstoffsparendste Route, falls diese nicht bereits die schnellste ist, teilt Google mit.

Auf einen Blick lasse sich so die relative Kraftstoffersparnis und der Unterschied in der geschätzten Ankunftszeit zwischen den Routen sehen. Die Funktion beziehe neben der Streckenlänge auch weitere Faktoren wie die Straßenneigung und Verkehrsstaus in die Berechnung ein. Die Funktion „Kraftstoffsparende Routen“ werde ab sofort in Deutschland eingeführt und stehen in den kommenden Wochen allen Google Maps-Nutzern in iOS und Android zur Verfügung.

Mit dem Start von kraftstoffsparenden Routen in Deutschland werde man in einem Pilotversuch auch die Möglichkeit einführen, dass Nutzer den Motortyp angeben können. Die Auswahl laute dabei auf Benzin, Diesel, Hybrid oder elektrischer Antrieb. Damit soll sich die kraftstoffsparende Routenführung weiter optimiert lassen, da die prozentualen Einsparungen und die empfohlene Route je nach Fahrzeugmotor variieren könne.

In den USA und Kanada hat Google die Funktion bereits eingeführt. Dank des Einsatzes von künstlicher Intelligenz und Erkenntnissen des National Renewable Energy Laboratory (NREL) des US-Energieministeriums, schätzen wir, dass kraftstoffsparende Routen auf Google Maps das Potenzial haben, global über eine Million Tonnen CO2-Emissionen pro Jahr zu vermeiden, schreibt Timo Rang Partner Manager im Google-Blog.

Der Beitrag Google Maps zeigt spritsparende Routen erschien zuerst auf Linux-Magazin.

Threema veröffentlicht Google-freie Open-Source-Version

05. August 2022 um 10:43

Den Messenger Threema gibt es nun in einer Libre-Variante, bei der jede Zeile Code eingesehen und die App über F-Droid bezogen werden kann.

Mit Threema Libre gibt es den Schweizer Messenger Threema nun in einer Variante, die komplett auf Open-Source-Software setzt. Diese kann über den alternativen App Store F-Droid bezogen werden.

“In Threema Libre gibt es keine einzige Zeile Code, die eine proprietäre Softwarebibliothek von Google oder anderen Drittanbietern voraussetzt”, erklärt Threema in einem Blogeintrag. So komme beispielsweise zur Benachrichtigung ausschließlich Threema Push zum Einsatz, und ein Fallback auf Googles Push-Dienst sei von vornherein unmöglich.

Um Threema Libre zu installieren, muss ein F-Droid-Client auf dem Smartphone vorhanden sein, dem Threemas F-Droid-Repository hinzugefügt werden muss. Eine entsprechende URL sowie einen QR-Code zum Scannen sind in einem FAQ-Beitrag auf der Threema-Webseite zu finden. Bei Threema Libre handelt es sich um eine eigenständige App, die zusätzlich zu dem normalen Threema-Client installiert werden kann. Um die Messenger-Apps zu nutzen, muss eine Lizenz für einmalig 5 Euro erworben werden.

Der komplette Code von Threema Libre ist öffentlich einsehbar. Dass die von Threema verteilten Pakete auch dem veröffentlichten Code entsprechen, soll mittels Reproducible Builds überprüft werden können.

Anfang des Jahres wurde bereits Threema Push in den Messenger integriert. Dabei handelt es sich um eine Threema-eigene Alternative zu Googles Push-Dienst, über den standardmäßig Push-Benachrichtigungen, beispielsweise bei neuen Nachrichten, versendet werden. Inhalte werden über Googles Push-Dienst jedoch nicht übertragen, wie Threema betont. Mit Threema Push soll es möglich sein, den Messenger “ohne Google-Dienste zu verwenden und dabei die volle Funktionalität und Benutzerfreundlichkeit beizubehalten.”

Auch vor der Einführung von Threema Push war es bereits möglich, den Messenger auf einem Google-freien Smartphone zu verwenden. Um neue Nachrichten zu erhalten, kontaktiert der Messenger dafür in regelmäßigen Abständen den Server (Polling). Dabei kann es jedoch zu Verzögerungen bei der Zustellung kommen, wenn die App im Hintergrund läuft. Zudem ist ein höherer Akku-Verbrauch möglich.

Der Beitrag Threema veröffentlicht Google-freie Open-Source-Version erschien zuerst auf Linux-Magazin.

Globalfoundries tritt Open-Source-Chip-Initiative bei

04. August 2022 um 12:11

Freie Chip-Designs können dank Google künftig auch kostenfrei bei Globalfoundries gefertigt werden. Genutzt wird dafür aber alte Technik.

Google hat seine Initiative zur kostenfreien Herstellung von Chips mit einem offenen Design um einen wichtigen Partner erweitert: Globalfoundries. Das Unternehmen gehört zu den größten Auftragsfertigern in der Halbleiterindustrie, was entsprechende Kapazitäten für die Initiative bedeutet. Darüber hinaus produziert Globalfoundries in Deutschland und in den USA, was eventuell Tests der hergestellten Chips erleichtert.

Der Ankündigung zufolge veröffentlichen nun beide Unternehmen gemeinsam ein sogenanntes Process Design Kit (PDK) für die 180MCU-Technologie unter der Apache-2.0-Lizenz. Damit können die eigentlichen Chips passgenau auf den von Globalfoundries genutzten Herstellungsprozess entworfen werden. Damit einher gehe explizit eine kostenfreie Herstellung von Open-Source-Designs der Efabless-Platform. Dank der freien Verfügbarkeit des PDK könnten bestehende EDA-Werkzeuge für das eigentliche Chip-Design leicht den Prozess von Globalfoundries unterstützten. Ebenso könnten bereits vorhandene IP-Blöcke auf den Prozess portiert werden.

Die für das Programm bei Globalfoundries nun bereitstehende 180nm-Strukturbreite ist im historischen Vergleich eher alt und kommt seit mehr als 20 Jahren zum Einsatz. Der Markt für damit gefertigte Chips werde jedoch in den kommenden Jahren von mehr als 16 Millionen Wafern auf über 22 Millionen steigen, so Globalfoundries. Weiter heißt es in der Ankündigung: “Der 180-nm-Anwendungsbereich verzeichnet weiterhin eine starke Marktdynamik bei Motorcontrollern, RFID, Allzweck-MCUs und PMICs sowie bei neuen Anwendungen wie IoT-Sensoren, Zweifrequenz-RFID und Motorantrieb.”

Google schreibt zu der Kooperation mit Globalfoundries: “Basierend auf dem Umfang und der Breite der Technologie- und Fertigungskompetenz von Globalfoundries erwarten wir, dass wir gemeinsam mehr tun werden, um den Zugang und die Innovation in der Halbleiterentwicklung und -fertigung zu fördern.” Über die Kooperation mit dem ersten Partner des Google-Programms, Skywater, konnten bereits 350 Designs eingereicht werden, von denen letztlich 240 gefertigt worden seien, so Google.

Der Beitrag Globalfoundries tritt Open-Source-Chip-Initiative bei erschien zuerst auf Linux-Magazin.

Go 1.19 mit Updates bei der Implementierung

04. August 2022 um 10:23

Rund fünf Monate nach der Version 1.18 erscheint die Ausgabe 1.19 der Programmiersprache Go. Viele Neuerungen betreffen Implementierungen in Toolchain und Runtime.

Auch die Bibliotheken haben Neuerungen erfahren. Wie gewohnt betonen die Entwickler die Rückwärtskompatibilität: Wir erwarten, dass fast alle Go-Programme weiterhin kompiliert werden und wie bisher laufen.

An der Sprache selbst gebe es nur eine kleine Änderung und die betreffe eine Korrektur des Geltungsbereichs von Typparametern in Methodendeklarationen, teilen die Entwickler mit. Bestehende Programme seien davon nicht betroffen.

Zudem sei das Speichermodell von Go wurde überarbeitet worden, um Go an das von C, C++, Java, JavaScript, Rust und Swift verwendete Speichermodell anzugleichen, heißt es weiter. Mit der Aktualisierung des Speichermodells führt Go 1.19 neue Typen im sync/atomic-Paket ein, die die Verwendung atomarer Werte erleichtern, wie atomic.Int64 und atomic.Pointer[T].

Die Laufzeitumgebung bietet nun Unterstützung für eine weiche Speicherbegrenzung. Diese Speichergrenze umfasst den Go-Heap und alle anderen von der Laufzeitumgebung verwalteten Speicher und schließt externe Speicherquellen wie Mappings der Binärdatei selbst, in anderen Sprachen verwalteten Speicher und vom Betriebssystem im Auftrag des Go-Programms gehaltenen Speicher aus, teilen die Entwickler mit.

Die Ankündigung nennt weitere Details.

Der Beitrag Go 1.19 mit Updates bei der Implementierung erschien zuerst auf Linux-Magazin.

Google verschiebt Ende von Third-Party-Cookies

29. Juli 2022 um 10:45

Die auch für Tracking genutzten Third-Party-Cookies will Google in Chrome ersetzen. Das soll nun erst in zwei Jahren geschehen.

Seit inzwischen fast drei Jahren arbeitet Google an Techniken, die die bisher für webseitenübergreifendes Tracking genutzten Third-Party-Cookies im Chrome-Browser ersetzen sollen. Die Umsetzung hat Google nun aber erneut verschoben: auf Ende 2024, wie es in einem aktuellen Blogeintrag des Unternehmens heißt.

Bereits im vergangenen Jahr musste Google den Termin verschieben, ursprünglich geplant war die Einführung neuer Technik und die Abschaffung der Third-Party-Cookies eigentlich früh im Jahr 2022. Als Grund für die Verzögerungen nennt das Unternehmen vor allem das Feedback der Web-Community, die sich mehr Zeit zum Testen der neuen alternativen APIs gewünscht habe. Konkret handelt es sich dabei um die Privacy-Sandbox-APIs.

Google selbst räumt aber ein, dass die Verzögerungen auch im Einklang mit Forderungen von Markt- und Kartellwächtern stehe, damit die Industrie genügend Zeit hat, auf die neuen Techniken zu wechseln. Immerhin sammelt Google auch selbst Daten auf Webseiten und vermarktet diese zu Werbezwecken. Eine zu schnelle Einführung der Technik könnte die Konkurrenz massiv benachteiligen. Der Testzeitraum soll entsprechend deutlich vergrößert werden, bevor die Third-Party-Cookies in Chrome wirklich abgeschafft werden.

Zwar könnten Entwickler die Technik schon nutzen, noch im August würden die Versuche damit aber auf “Millionen von Nutzern weltweit” ausgeweitet. Die Anzahl der ausgewählten Nutzer soll dabei bis ins Jahr 2023 hinein kontinuierlich ansteigen. Die Nutzer sollen dabei entscheiden können, ob sie teilnehmen wollen oder nicht, und werden darüber über ein gesondertes Fenster informiert.

Im dritten Quartal 2023 sollen die APIs dann weltweit an alle Chrome-Verwender verteilt werden und standardmäßig in Chrome verfügbar sein. In der zweiten Hälfte des Jahres 2024 erst soll die Unterstützung für Third-Party-Cookies auslaufen.

Der Beitrag Google verschiebt Ende von Third-Party-Cookies erschien zuerst auf Linux-Magazin.

Google Maps um 3D Immersive View erweitert

28. Juli 2022 um 10:06

Google hat seine Google Maps auf den mobilen Geräten um die Funktion 3D Immersive View erweitert. Damit können Nutzer berühmte Sehenswürdigkeiten und ihre Umgebung im Vorbeiflug betrachten.

Mit ungefähr 100 fotorealistische Luftaufnahmen von weltweit beliebten Sehenswürdigkeiten in Städten wie Barcelona, London, New York, San Francisco und Tokio startet Google sei Immersive View. Mehr Aufnahmen sollen laut Google folgen. Google erstellt die 3D-Ansichten dabei nach eigenen Angaben mittels KI aus Milliarden von hochauflösenden Street View-, Satelliten- und Luftbildern.

Immersive View des Empire State Buildings.

Um eine der Luftaufnahme zu sehen, sofern welche verfügbar sind muss man in Google Maps nach einer Miniaturansicht der jeweiligen Sehenswürdigkeit suchen und sie antippen oder klicken. In der dann gezeigten Übersicht erscheint dann eine sich bereits drehende Miniaturansicht der Immersive View. Im Test klappt das bei uns allerdings nur auf dem iPad mit Version 6.28.1 der Google Maps. Unter Android mit Version 11.39.1606 finden wir die Immersive-View-Ansichten auf dem Smartphone nicht. Google plant, die Funktion auszubauen, etwa um Ansichten von Restaurants.

Der Beitrag Google Maps um 3D Immersive View erweitert erschien zuerst auf Linux-Magazin.

❌