Heute erscheint die 46. Episode des Risikozone-Podcasts und die zweite Episode, in der es um die xz-Lücke geht. Während es in der vorangegangenen Folge um die technischen Details ging, haben wir uns diesmal der Frage gewidmet, wie so ein Eingriff gegen ein Open-Source-Projekt überhaupt möglich werden konnte. Antwort: Es war umfangreiche psychische Manipulation im Spiel.

Deswegen haben wir den Social-Engineering-Experten Stephan G. Humer eingeladen. Er hat eines der ersten regelmäßigen Social-Engineering-Seminare in Deutschland etabliert und erläutert, was Social Engineering eigentlich ist, welche Methoden angewendet werden und wie man sich davor schützen kann.

Mit der heutigen Episode versuchen wir unserem ganzheitlichen Slogan "Der Podcast über Sicherheit und Zuverlässigkeit moderner Technologien" gerecht(er) zu werden und reden nicht nur über technische Details, sondern auch über sozialwissenschaftliche Aspekte und Kultur. Open-Source-Projekte bestehen nämlich nicht nur aus Code, sondern auch aus vielen zwischenmenschlichen Interaktionen, die eine - wie wir mit der Lücke sehen - auch im Bezug auf Sicherheit nicht zu vernachlässigende Rolle einnehmen.

Um dem knapp zweistündigen Interview in einem Punkt vorwegzugreifen: es gibt keine Patentlösung. Social Engineering ist unvermeidbar und wer glaubt, er wäre dem gefeit, ist umso verwundbarer gegenüber Angriffen. Ein entscheidender Punkt ist aber Gelassenheit und damit verbunden Verantwortungsbewusstsein. Wer ein Projekt beginnt und damit wächst, sollte sich als Maintainer in der heutigen Welt umso mehr Gedanken machen, wie man die Last verteilt, wieder aussteigt und Entscheidungen nicht auf eine Person konzentriert. Die Situation, als Maintainer wenig Zeit für ein Projekt zu haben, ist zwar im Einzelfall natürlich menschlich verständlich, aber ein Warnsignal.

Wir werden auf Zeiten keine zufriedenstellende Lösung finden und mit vereinfachten Lösungsansätzen arbeiten. Trotzdem ist es wichtig, ob solcher Angriffe zu wissen und wenigstens eine gesunde Skepsis an den Tag zu legen.

Wie seht ihr das? Wir freuen uns auf euer Feedback!

Das Europäische Parlament hat mit 584 zu 3 Stimmen bei 14 Enthaltungen die Richtlinie über das sogenannte Recht auf Reparatur angenommen.

Mit QEMU 9.0 ist die neueste Version der Virtualisierungssoftware erschienen. Der Prozessor-Emulators bringt damit viele Änderungen mit.

Das zweite Upgrade der neuen Hauptversion 6 von Tails erleichtert den Einstieg durch neue Übersetzungen in 21 Sprachen. Zudem wurden Schlüsselkomponenten aktualisiert.

Quelle

Cisco warnt vor potenziellen Angriffen auf sein Servermanagement-Tool Integrated Management Controller (IMC).

Pünktlich zum geplanten Veröffentlichungstermin hat das Fedora-Team die Version 40 freigegeben, die jetzt zwei neue Pakete für KI-Anwendungen bereithält.

Langzeit-Test des Raspberry Pi5 als Desktop-Ersatz.

Fedora 40 Workstation erleichtert mit PyTorch den Zugang zu KI-Anwendungen, während die Immutable-Varianten künftig unter Fedora Atomic Desktops firmieren.

Quelle

Das Fedora-Projekt veröffentlicht mit dem Release von Version 40 der freien Linux-Distribution zahlreiche Updates. Im Fokus stehen die neuen Desktop-Umgebungen KDE Plasma 6 sowie Gnome 46. Obendrein rüstet das Team ihr Betriebssystem mit PyTorch und ROCm 6 mit Fokus auf AI-Aufgaben aus.

Pünktlich zum geplanten Veröffentlichungstermin hat das Fedora-Team die Version 40 freigegeben, die jetzt zwei neue Pakete für KI-Anwendungen bereithält.

Mit dem Live-System Clonezilla lassen sich komfortabel Partitionen sichern und klonen. Die neue Version 3.1.2-22 frischt die genutzten Softwarepakete auf und schließt die Xz-Sicherheitslücke.

Das Unternehmen Elektrobit hat mit EB Corbos Linux das nach eigenen Angaben weltweit erste Open-Source-Betriebssystem angekündigt, das als konform mit den Normen für funktionale Sicherheit im…

Mit dem Live-System Clonezilla lassen sich komfortabel Partitionen sichern und klonen. Die neue Version 3.1.2-22 frischt die genutzten Softwarepakete auf und schließt die Xz-Sicherheitslücke.

Seit Veröffentlichung von Firefox 125 beklagen einige Nutzer, dass Firefox vermeintlich selbständig Tabs mit der URL https://0.0.0.1 öffnet. Mozilla hat die Ursache erkannt und wird das Problem in Kürze korrigieren. Betroffene Nutzer sollten in der Zwischenzeit ihr System auf Malware überprüfen.

Vergangene Woche hat Mozilla Firefox 125 veröffentlicht. Im Firefox-Support ging seit dem eine auffällig hohe Anzahl an Anfragen ein, weil Firefox mit dem Anklicken von Links oder Öffnen neuer Fenster scheinbar eigenwillig zusätzliche Tabs mit der URL https://0.0.0.1 öffnete. Betroffen sind ausschließlich Nutzer des Betriebssystems Windows.

Die Ursache hierfür liegt in einer Änderung von Firefox 125 in Zusammenhang mit Kommandozeilen-Parametern. Die komplexen technischen Details, wieso das Problem auftritt, hat Mozilla in seinem Bugtracker erklärt. Der Grund, wieso das Problem beim Testen nicht aufgefallen ist, ist der, dass das Problem bei regulärer Nutzung nur extrem unwahrscheinlich ausgelöst wird. So muss Firefox bereits geöffnet sein und dann Firefox ein weiteres Mal mit einem Kommandozeilen-Parameter gestartet werden.

Mozilla wird das Problem mit Firefox 125.0.3 beheben, welcher am Montag, 29. April 2024, erscheinen soll.

Viel wichtiger für betroffene Nutzer ist allerdings, wieso das Problem bei ihnen aufgetreten ist, wenn sie Firefox ganz normal und nicht wie oben beschrieben genutzt haben. Denn das bedeutet, dass Firefox im Hintergrund durch eine Drittanwendung, vermutlich heimlich, für Aktivitäten genutzt wird. In den allermeisten Fällen dürfte dies Malware bedeuten, wie es durch einige Support-Fälle auch bestätigt werden konnte. So hat eine Bereinigung von der Schadsoftware für betroffene Nutzer das Problem gelöst. Wer dieses Problem hat, sollte mittels AdwCleaner einen Scan seines Systems durchführen.

Der Beitrag Firefox öffnet von alleine Tabs mit https://0.0.0.1 als Adresse? Ursache und Lösung erschien zuerst auf soeren-hentzschel.at.

Die neu gegründete Open Home Foundation will sich für Datenschutz, Wahlfreiheit und Nachhaltigkeit von Smart Homes einsetzen.

Murena liefert mit /e/os die Datenschutz-App Advanced Privacy aus. Ein Update soll jetzt den Zugang zu den Funktionen vereinfachen.

Quelle

Flathub entwickelt sich immer mehr zum vollwertigen App-Store für Flatpaks. Eine aktualisierte Webseite bestätigt diese Entwicklung.

Quelle

Mozilla hat Firefox 125.0.2 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 125.0.2

Mit Firefox 125 wurde eine Änderung eingeführt, mit der Firefox standardmäßig alle Downloads blockiert, die über http:// anstelle von https:// erfolgen. Bisher war dies nur bei http://-Downloads auf https://-Websites der Fall. Aufgrund von Problemen in bestimmten Situationen wurde diese Änderung mit Firefox 125.0.2 vorerst zurückgezogen. Der Plan ist, diese Probleme zu beheben und die Änderung mit einem zukünftigen Update wieder einzuführen.

Außerdem wurde eine potenzielle Absturzursache des GPU-Prozesses bei Verwendung der Canvas2D-Schnittstelle behoben sowie ein zu schwaches Kontrastverhältnis eines Textes in der Sidebar für synchronisierte Tabs unter Apple macOS. Darüber hinaus gab es noch eine Korrektur für die Yelp-Integration für Nutzer in den USA.

Der Beitrag Mozilla veröffentlicht Firefox 125.0.2 erschien zuerst auf soeren-hentzschel.at.

Dass Künstliche Intelligenz zahlreiche Berufe in den kommenden Jahren verändern wird, erwarten laut einer Umfrage des Bitkom eine Mehrheit der Deutschen.

Ubuntu richtet eine Snapshot-Dienst ein, der über ein Repository alle Pakete bis zurück zum 1. März 2023 zur Installation bereitstellt. Debian bietet Snapshots bereits seit 2010 an.

Quelle

Ich bin in meiner Familie der Nerd. Ich kümmere mich um den Internetzugang, das WLAN, die Speicherung der Familienfotos, etc. Ja manchmal kümmere ich mich sogar um Drucker.

Meine Familie vertraut darauf, dass das Heimnetzwerk die meiste Zeit des Jahres reibungslos funktioniert. Und wenn dies nicht der Fall ist, ist es mein Job, die Sache wieder in Ordnung zu bringen.

Erkennt ihr euch in dieser Beschreibung wieder? Dann habe ich gleich noch weitere Fragen an euch.

Stellt euch vor, dass ihr eines Tages nicht mehr für eure Familie da sein könnt und eure Angehörigen plötzlich allein mit der IT-Umgebung zurechtkommen müssen, die ihr hinterlassen habt.

• Wie bereitet ihr eure Familie auf diesen Fall vor?
• Habt ihr mit euren Angehörigen mal über dieses Thema gesprochen?
• Wie dokumentiert ihr euer Heimnetzwerk, sodass eure Angehörigen etwas mit der Dokumentation anfangen können?

Bitte teilt eure Erfahrungen und Ideen in den Kommentaren zu diesem Beitrag. Habt ihr selbst schon zu diesem Thema gebloggt? Dann teilt doch bitte den Link zu eurem Beitrag mit mir und den Leserinnen und Lesern dieses Blogs.

Gedanken zur Dokumentation

• Die Dokumentation soll in ausgedruckter Form vorliegen, um auch bei einem Totalausfall des Heimnetzwerks nutzbar zu sein
• Es ist eine leichtverständliche Sprache zu wählen, die ohne Fachchinesisch auskommt oder notwendige Fachbegriffe erklärt, damit auch Nicht-IT-Personal den Text verstehen und Anweisungen folgen kann
• Hinzugezogenem IT-Support-Personal soll die Dokumentation ebenfalls nützlich sein
• Die Gliederung orientiert sich an Anwendungsfällen der Nutzer; mögliche Überschriften sind
  • Wie kommt das Internet ins Haus?
  • Wie wird das Internet im Haus verteilt?
  • Wo finde ich unsere Fotos, Videos, Dokumente und digitalen Einkäufe?
  • Was kann ich tun, wenn
    • das Internet nicht geht
    • das WLAN nicht geht
    • das weiße Ding im Keller blinkt/piept

Gerade der Abschnitt zur Entstörung von IT-Komponenten wird sicherlich eine Herausforderung. Generationen von Supportern werden ein Lied davon singen können, doch es hilft ja nunmal alles nichts. Wir sind unseren Angehörigen diese Informationen schuldig, wollen wir sie nicht hilflos zurücklassen.

Für mich ist eine Dokumentation, mit der ein Mensch mit IT-Affinität arbeiten kann das Muss und Hinweise zur Entstörung für technische Laien die Kür.

• Was denkt ihr?
• Könnt ihr meinem Ansatz folgen?
• Habe ich etwas vergessen?

Trennung von Heimlabor und Heimnetzwerk

Wie viele Nerds betreibe auch ich ein kleines Heimlabor. Beim Aufbau des Heimnetzwerks habe ich darauf geachtet, dass mein Heimlabor komplett abgeschaltet werden kann, ohne die Funktion des Heimnetzwerks und den Internetzugang negativ zu beeinflussen.

Dies ermöglicht es mir, in meinem Heimlabor häufige Änderungen durchführen zu können, ohne dass dadurch Änderungen an der Notfalldokumentation notwendig werden.

Frisch ans Werk

Dann werde ich mal ein Git-Repository im Heimnetzwerk erstellen und ein LaTeX-Dokument beginnen.

Ich freue mich, an dieser Stelle von euren Ideen und Vorgehensweisen zu lernen und das Thema mit euch zu diskutieren.

Debian hat mit Andreas Tille einen neuen Projektleiter gewählt. Der bisherige Projektleiter Jonathan Carter trat nicht mehr zur Wahl an.

Der Facebook-KOnzern Meta hat mit Llama 3 die nächste Generation seines Large Language Modells (LLM) vorgestellt.

Nicht immer lässt sich zeitnah über jede Neuigkeit berichten, manche Ereignisse sind es aber dennoch Wert, Erwähnung zu finden. In dieser Zusammenfassung überblickt die Redaktion alle wichtigen Meldungen aus der Linux-Welt der vorangegangen Woche.

In KW 16 ist in der FOSS Welt einiges passiert. Von LXQt, COSMIC, GNOME und Niri.