Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Track Nummer 11 kommt von der Band The Beasts Of Bourbon, die auf besonders dreckigen Blues-Rock spezialisiert ist: There's A Virus Goin' Round.

The Beasts Of Bourbon sind eine Art Supergroup der australischen Indie-Szene, wobei die markante Stimme von Tex Perkins den Sound der Gruppe prägt. Zu den üblichen Mittätern zählt Kim Salmon (Gitarre), der auch am 1991er Album The Low Road, von dem unser heutiges Lied stammt, mitgewirkt hatte. Caught a virus going round / When I came into this town / I had to got used to it / And when I did / I couldn't feel it hanging round.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

There's a virus goin' round / Hangin' round all over town / I could see it everywhere / Until I no longer cared. Download-Links gibt es heute leider nicht, denn wir konnten weder das Lied noch das Album bei den üblichen Verdächtigen finden. Selbst Apple Music bietet beides nur für Kunden aus Australien an. Dafür gibt es ein cooles Konzert beim WDR Rockpalast: The Beasts Of Bourbon - Crossroads 2008 - Viel Spaß!

Viele Käufer, die ein Motherboard für AMDs Ryzen suchen, werden sich für Gigabyte entscheiden, denn die Produkte der taiwanischen Firma bieten viel Ausstattung zu fairen Preisen. Was in der Standardkonfiguration dieser Hauptplatinen allerdings nicht geboten wird, ist Virtualisierung. Diese ist im UEFI deaktiviert und zudem gut versteckt. Wir zeigen, wo man den passenden Schalter findet.

Zum Jahreswechsel hatten wir in der Reaktion zwei betagte Rechner in den ewigen Ruhezustand geschickt und durch neue PCs auf Basis von AMDs Ryzen und AM4-Mainboards von Gigabyte ersetzt. Die neuen Rechner waren schnell eingerichtet und liefen flott und stabil, doch dann verweigerte die Windows-Sandbox ihren Start mit der Begründung, unsere CPUs würden keine Virtualisierung beherrschen. Dies war der Ausgangspunkt für eine Schnitzeljagd durch die UEFI-Optionen.

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Am zehnten Tag führen uns Green Day auf den Boulevard Of Broken Dreams.

Während Fußball-Fans niemals alleine gehen, hatten sich Green Day im Jahr 2004 für einen Solotrip entschieden: I walk a lonely road / The only one that I have ever known / Don't know where it goes / But it's home to me and I walk alone. In dieser Zeit, in der viele Träume zerbrechen und die Städte wie ausgestorben erscheinen, entfalten die Zeilen der US-amerikanischen Punk-Rocker eine völlig neue Bedeutung: I walk this empty street / On the Boulevard of Broken Dreams / Where the city sleeps / And I'm the only one and I walk alone.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Auch damals hatten die Amerikaner einen Idioten zum Präsidenten gewählt, was die Band zu ihrem Album American Idiot inspiriert hatte. Doch wie wir nun wissen, war George W. Bush ein deutlich kleinerer Idiot und unter Donald Trump ist einfach alles viel, viel gewaltiger - auch die Inkompetenz im Angesicht der sich rasant ausbreitenden Katastrophe. Völlig zu Recht fühlen sich viele Amerikaner mit ihren Problemen allein gelassen. Check my vital signs / To know I'm still alive and I walk alone.

Das Lied bei Amazon kaufen: Green Day - Boulevard Of Broken Dreams
Das Album bei Amazon kaufen: Green Day - American Idiot

Hinweis: Durch einen Einkauf über obige Links unterstützt ihr www.Au-Ja.de. Herzlichen Dank!

Morgen wird SETI@home die Auslieferung von Rechenaufgaben einstellen und sich nur noch auf die Auswertung der gewonnenen Daten konzentrieren. Damit endet eine Ära, doch die frei gewordene Rechenleistung lässt sich dieser Tage sehr sinnvoll einsetzen: Rosetta@Home, ein Projekt aus dem Bereich der Molekularbiologie, hat vor einigen Tagen mit der Analyse des für die COVID-19-Pandemie verantwortliche SARS-CoV-2-Virus begonnen. Und jeder kann - und sollte - dabei mithelfen!

Seit dem 17. Mai 1999 verteilt SETI@home (Search for Extra-Terrestrial Intelligence at home), ein Projekt der Universität Berkeley, Daten an Freiwillige aus aller Welt, um diese auf Anzeichen für intelligentes Leben im All zu untersuchen. Diese Daten werden auf den Computern der Unterstützer ausgewertet und die Ergebnisse dem Projekt übermittelt. Seit dem 22. Juni 2004 wird hierfür die Plattform BOINC (Berkeley Open Infrastructure for Network Computing) genutzt, die auch anderen Projekten offensteht. Während sich SETI@home am 31. März 2020 in den Ruhestand begeben wird, erscheinen uns andere Projekte dieser Tage immens wichtig, beispielsweise Rosetta@Home.

Rosetta@Home befasst sich mit einem Problem der Molekularbiologie, nämlich der Proteinfaltung. Durch die Verteilung der Berechnungen auf möglichst viele Computer, sollen Heilmittel für einige besonders schwere Krankheiten wie beispielsweise HIV, Malaria, Krebs und Alzheimer schneller gefunden werden. Seit Februar 2020 erforscht Rosetta@Home das SARS-CoV-2-Virus, welches umgangssprachlich als Corona-Virus bezeichnet wird und das für die aktuelle COVID-19-Pandemie verantwortlich ist. Wir bitten die Mitglieder unseres BOINC-Teams sowie unsere Leser daher, Rechenleistung für Rosetta@Home bereitzustellen. Rosetta@home ist kein kommerzielles Projekt, federführend ist das BakerLab der University of Washington, welches auch die Software entwickelt hat.

Wie das Ganze funktioniert, erklären wir auf unserer Team-Seite BOINC @ Au-Ja. Die Installation von BOINC und das Einrichten von Rosetta@Home funktionieren ganz einfach und dauern nur wenige Minuten. Wer am Ende im Team von Au-Ja.de, für ein anderes Team oder auf eigene Faust rechnet, spielt keine Rolle, Hauptsache es machen so viele wie möglich mit. COVID-19 ist ein weltweites Problem, es geht uns alle an. Jeder Tag, jede Stunde, die bei der Erforschung dieser Krankheit gewonnen wird, kann Leben retten. Im Forum haben wir einen Thread eingerichtet, in dem man Fragen rund um BOINC stellen kann - auch ohne vorherige Registrierung.

Wir hoffen auf möglichst viele Unterstützer und wünschen allen gute Gesundheit - passt auf euch und eure Familien und Freunde auf!

Euer Au-Ja-Team

Bereits im November 2019 hatte Hewlett Packard Enterprise (HPE) seine Kunden vor dem unmittelbar bevorstehenden Ausfall zahlreicher Server-SSDs mit SAS-Schnittstelle gewarnt. Nun wurde ein ähnliches Problem bei anderen SSD-Modellen entdeckt und abermals ist Eile geboten. Neben HPE ist diesmal auch Dell betroffen. Offenbar stammen die betroffenen Laufwerke von der Western-Digital-Tochter SanDisk.

Der alte Fehler
Der im November bekannte gemachte Fehler steckt in der Firmware der Laufwerke und zerstört diese nach exakt 32.768 Betriebsstunden, was 3 Jahren, 270 Tagen und 8 Stunden entspricht und gleichzeitig die Grenze für einen klassischen Integer-Überlauf markiert. Letztendlich läuft in der Firmware ein Zähler, für den nur 16 Bit eingeplant wurden und der daher beim Sprung von 32.767 auf 32.768 hängen bleibt und dabei das Laufwerk unbrauchbar macht. Alle betroffenen Datenträger nutzen die SAS-Schnittstelle und sind für den Server-Einsatz gedacht.

Der neue Fehler
Diesmal kommt es nach 40.000 Betriebsstunden bzw. 4 Jahren, 206 Tagen und 16 Stunden zum Ausfall der SSDs. Wie beim alten Firmware-Fehler lassen sich die SSDs nach Eintritt des Problems nicht mehr ansprechen und die darauf gespeicherten Daten sind verloren. Während sich HPE bedeckt hält und lediglich erwähnt, dass die betroffenen Laufwerke auch in den Systemen anderer Hersteller zu finden sind, benennt Dell die Western-Digital-Tochter SanDisk als Schuldigen. Offenbar prüft die Firmware einen Maximalwert nicht als N, sondern als N-1, so dass auch hier ein Zähler aus dem erlaubten Bereich laufen kann.

Die betroffenen SSD-Modelle
Bei HPE sind folgende SSD-Modelle mit SAS-Anschluss betroffen:

• EK0800JVYPN (HPE 800GB 12G SAS WI-1 SFF SC SSD) - Lösung: Firmware HPD7 installieren
• EO1600JVYPP (HPE 1.6TB 12G SAS WI-1 SFF SC SSD) - Lösung: Firmware HPD7 installieren
• MK0800JVYPQ (HPE 800GB 12G SAS MU-1 SFF SC SSD) - Lösung: Firmware HPD7 installieren
• MO1600JVYPR (HPE 1.6TB 12G SAS MU-1 SFF SC SSD) - Lösung: Firmware HPD7 installieren

Bei Dell sind folgende SSD-Modelle mit SAS-Anschluss betroffen:

• LT0200MO (SanDisk Kilimanjaro 12Gb 2.5IN SAS MU SSD 200GB) - Lösung: Firmware D417, A00 installieren
• LT0400MO (SanDisk Kilimanjaro 12Gb 2.5IN SAS MU SSD 400GB) - Lösung: Firmware D417, A00 installieren
• LT0800MO (SanDisk Kilimanjaro 12Gb 2.5IN SAS MU SSD 800GB) - Lösung: Firmware D417, A00 installieren
• LT1600MO (SanDisk Kilimanjaro 12Gb 2.5IN SAS MU SSD 1.6TB) - Lösung: Firmware D417, A00 installieren
• LT0200WM (SanDisk Kilimanjaro 12Gb 2.5IN SAS WI SSD 200GB) - Lösung: Firmware D417, A00 installieren
• LT0400WM (SanDisk Kilimanjaro 12Gb 2.5IN SAS WI SSD 400GB) - Lösung: Firmware D417, A00 installieren
• LT0800WM (SanDisk Kilimanjaro 12Gb 2.5IN SAS WI SSD 800GB) - Lösung: Firmware D417, A00 installieren
• LT0800RO (SanDisk Kilimanjaro 12Gb 2.5IN SAS RI SSD 800GB) - Lösung: Firmware D417, A00 installieren
• LT1600RO (SanDisk Kilimanjaro 12Gb 2.5IN SAS RI SSD 1.6TB) - Lösung: Firmware D417, A00 installieren

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Als neunte Nummer werfen wir Lazaretto von Jack White in den Ring.

Im Jahr 2014 brachte Jack White sein zweites Soloalbum Lazaretto heraus, auf dem sich gleich zwei zur aktuellen Lage passenden Lieder befinden: Alone In My Home und der Title-Track Lazaretto. Mit Zeilen wie And your friends / Won't see you to the end / I'm sure / But you love them anyhow hatte sich Alone In My Home eigentlich schon qualifiziert, doch wir wollen auf ein allzu inflationäres Vorkommen des Wortes alone verzichten.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Also geht es nach dem gestrigen Fever gleich ins Lazarett, was in Deutschen für ein Militärkrankenhaus steht, doch das italienische lazzaretto war ursprünglich ein Seuchenkrankenhaus. They threw me down in the lazaretto / Born rottin', bored rotten. Und dort wurden Menschen mit ansteckenden Krankheiten vom Rest der Gesellschaft isoliert. Quarantine on the Isle of Man and I'm trying to escape any way that I can, oh / Any way that I can, oh. An alle, die gerade in einem Krankenhaus liegen, richten wir die beiden abschließenden Zeilen: And like the dough I don't fall down / I'm so Detroit, I make it rise from the ashes!

Das Lied bei Amazon kaufen: Jack White - Lazaretto
Das Album bei Amazon kaufen: Jack White - Lazaretto

Hinweis: Durch einen Einkauf über obige Links unterstützt ihr www.Au-Ja.de. Herzlichen Dank!

Nicht mal ein Jahr alt und doch schon kostenlos: Noch bis zum 2. April 2020 bekommt man den am 16. April 2019 veröffentlichten Zombie-Shooter World War Z (ab 18) bei Epic Games zum Nulltarif. Ebenfalls kostenlos sind das musikalische Action-Abenteuer Figment, das Zeichenquiz Drawful 2 und das trashige Ballerspiel Tormentor X Punisher

World War Z ist ein kooperativer Third-Person-Shooter von Saber Interactive, in dem vier Spieler gegen Zombiehorden antreten müssen. Als Schauplätze dienen Moskau, New York, Jerusalem, Tokio, Sydney, Oslo, Barcelona, Denver, Kairo, Seoul, Budapest, Auckland, Buenos Aires, Paris und Johannesburg. Das Spiel basiert sehr lose auf dem gleichnamigen, 2006 erschienenen Buch von Max Brooks, das 2013 mit Brad Pitt in der Hauptrolle verfilmt wurde. Bis zum 2. April 2020 um 17 Uhr deutscher Ortszeit bekommt man das Spiel bei Epic Games gratis, man benötigt lediglich ein ebenfalls kostenloses Kundenkonto und muss mindestens 18 Jahre alt sein.

Download: World War Z (ab 18 Jahren)

Figment eignet sich derweil für Spieler ab 6 Jahren. Das handgemalte Plattformspiel von Bedtime Digital Games stammt aus dem Jahr 2017 und verbindet Geschicklichkeit mit Rätseln und Musik. Als Hintergrund dient eine surreale Reise in das menschliche Unterbewusstsein. Das Angebot endet am 2. April 2020 um 17 Uhr deutscher Ortszeit.

Download: Figment (ab 6 Jahren)

Drawful 2 (2016) greift das Konzept des TV-Klassikers Die Montagsmaler auf: Jemand muss einen Begriff malen und die anderen raten, was das Gekritzel darstellen soll. Gezeichnet wird auf Smartphone oder Tablet und die gesuchten Begriffe sind eher ungewöhnlich. Das Angebot endet am 9. April 2020 um 17 Uhr deutscher Ortszeit.

Download: Drawful 2 (Altersempfehlung: Teens)

Tormentor X Punisher (2017) von Raw Fury lässt sich kurz zusammenfassen: Schließe auf alles und lass dich nicht treffen, denn jeder - auch der Spieler - ist beim ersten Treffer tot. Die pixelige Top-View-Grafik wirkt wie aus dem letzten Jahrtausend. Das Angebot endet am 2. April 2020 um 17 Uhr deutscher Ortszeit.

Download: Drawful 2 (keine Alterseinstufung)

Das zweite Update für das Anfang Februar 2020 freigegebene LibreOffice 6.4 ist fertig und behebt 91 Fehler. Darunter finden sich auch 15 potentielle Absturzursachen. Die Kompatibilität zu Microsoft Office wurde ebenfalls weiter verbessert.

Dokumente, die nicht existente Hyperlinks enthalten, konnten LibreOffice 6.4 zum Absturz bringen - sowohl beim Öffnen als auch beim Anklicken dieser Links. Das Einfügen von Tabellen brachte den Writer aus dem Tritt und auch das Ausschneiden bestimmter Inhalte sowie ein Doppelklick auf eine Absatzvorlage konnten zu Instabilitäten führen. Das Ändern der Datumserkennungsmuster ließ die komplette Anwendung einfrieren und wenn man bei Impress eine Folie zur Taskleiste von Windows zog, reagierte die Benutzeroberfläche des Programms nicht mehr. Weiterhin kam es zu Abstürzen, wenn Dialogfenster mit Kontrollkästchen angezeigt oder Registerkarten mit Strg + Bild auf/ab durchgeblättert wurden.

Zehn Korrekturen optimieren das Zusammenspiel mit DOCX/DOC-Dateien: So sollen Signaturen beim Export nicht mehr zu einem ungültigen Dokument führen und falsch eingelesene Formen das Layout nicht mehr sprengen. Weiterhin wurden Probleme mit nummerierten Aufzählungen, fettem Text, der Beschriftung von Säulendiagrammen und den vertikalen Linien von Tabellenzellen behoben. Auch die Absatzformatierung soll nicht mehr verlorengehen. Beim Öffnen von .XLSX-Tabellen bleiben die Positionen von Spalten und Datenpunktetiketten erhalten und .PPTX-Präsentationen mit SmartArt behalten die Nummerierungszeichen. Wird eine Präsentation ins PDF-Format exportiert, bleibt der weiße Hintergrund von Bildern erhalten.

Download: LibreOffice 6.4.2 (entspricht RC 2)

Am 23. März 2020 hatte Microsoft erstmals vor zwei kritischen 0-Day-Lücken in der Bibliothek atmfd.dll gewarnt und diese als kritisch eingestuft. Nach ein Neubewertung bleiben die Schwachstellen für Windows 7, 8.1, RT 8.1 sowie Windows Server 2008 bis 2012 kritisch, doch ab Windows 10 und Server 2016 sinkt das Risikopotential auf hoch.

Was über die Sicherheitslücken bekannt ist
Wie Microsoft erklärt, patzt atmfd.dll (Adobe Type Manager) bei der Verarbeitung von Schriftarten im PostScript-Format Adobe Type 1. Wird eine solcher Font entsprechend manipuliert, führt der Parser den enthaltenen Schadcode schlimmstenfalls im Rechtekontext des Kernels aus. Damit atmfd.dll aktiv wird, muss nicht einmal ein präpariertes Dokument geöffnet werden, denn die Speicherfehler lassen sich bereits über die Vorschaufunktion des Explorers (Windows Explorer, NICHT Internet Explorer) ansprechen.

Alle Windows-Versionen betroffen, aktuelle sind aber besser geschützt
Was die akute Gefährdung betrifft, gibt es hinsichtlich der unterschiedlichen Windows-Versionen deutliche Unterschiede: Vor Windows 10 werden das Programm fontdrvhost.exe und die installierten Fonts im Kernel-Modus ausgeführt, was das größte Risiko darstellt. Ab Windows 10 wandert fontdrvhost.exe in einen App-Container im User-Modus, die Schriften selber werden aber weiter im privilegierten Kernel-Modus verarbeitet. Erst ab Windows 10 Version 1703 landen auch die Fonts in den User-Modus, wodurch die Tragweite der Angriffe deutlich reduziert wird. Seit Windows 10 Version 1709 gehört die Bibliothek atmfd.dll nicht mehr zum standardmäßigen Lieferumfang von Windows 10, so dass der Angriff scheitert. Allerdings kann atmfd.dll von Drittanbieterprogrammen installiert werden, so dass auch Windows 10 Version 1909 angreifbar bleibt.

Die vorgeschlagenen Gegenmaßnahmen
Eine von Microsoft vorgeschlagene Gegenmaßnahme zielt darauf ab, die Vorschau zu deaktivieren. Sollte ein Benutzer eine manipulierte Datei öffnen, bleibt diese Vorkehrung allerdings wirkungslos. Weiterhin schlagen die Redmonder vor, den WebClient-Dienst zu stoppen, um WebDAV (Web Distributed Authoring and Versioning) als wahrscheinlichsten Einfallsvektor zu versperren. Den auf diese Weise geschützten PCs bleibt dann allerdings der Zugriff auf WebDAV-Freigaben verwehrt. Wir erachten den dritten Vorschlag als den sinnvollsten: Die Umbenennung der verwundbaren Bibliothek atmfd.dll, welche man im Windows-Verzeichnis in den Unterordnern system32 (32- und 64-Bit Varianten von Windows) und syswow64 (nur 64-Bit Varianten von Windows) findet.

Flicken in Arbeit
Laut Microsoft arbeitet man bereits an einer dauerhaften Lösung, deren Freigabe allerdings erst für den April-Patch-Day geplant ist. Dummerweise ist der 31. März 2020 ein Dienstag, so dass der April-Patch-Day erst am 14. April 2020 abgehalten wird. Mit der nun vollzogenen Herabstufung der beiden 0-Day-Lücken ist eine vorgezogene Veröffentlichung sehr unwahrscheinlich geworden.

Aktualisierte Sicherheitswarnung inklusive der Gegenmaßnahmen: ADV200006 - Type 1 Font Parsing Remote Code Execution Vulnerability

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Song Nummer 8 richtet sich an alle, die vor dem zu Bett gehen noch einmal schnell ihre Temperatur messen: Fever von den Black Keys.

Fever stammt vom 2014er Album Turn Blue und fällt in die Gattung des etwas weniger schrammeligen Garage Rock. Tatsächlich ist der Auslöser des Temperaturanstiegs auch in diesem Lied wieder eine Frau, dennoch passen einige Zeilen sehr gut zur aktuellen Situation: Fever, can you hear me? / You shook me like I've never been / Now show me how to live again. Diese Zeilen aus dem Mittelteil schenken Hoffnung.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Gegen Ende wird der Text allerdings ernster: Fever, 'cause I'm breaking / Fever got me aching, heißt es dort, und schließlich Fever got me guilty / Just go ahead and kill me. Wir setzen mehr auf die Heilung und wünschen allen mit erhöhter Temperatur gute Besserung - selbst dem britischen Premierminister Boris Johnson.

Das Lied bei Amazon kaufen: Black Keys - Fever
Das Album bei Amazon kaufen: Black Keys - Turn Blue

Hinweis: Durch einen Einkauf über obige Links unterstützt ihr www.Au-Ja.de. Herzlichen Dank!

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Der heutige Beitrag kommt frisch aus Berlin und ist sozusagen ärztlich verordnet: Die Ärzte - Ein Lied für Jetzt.

Die drei Musiker Farin Urlaub, Bela B und Rodrigo Gonzalez sitzen wie der Rest des Landes derzeit in Selbstisolation und haben zum Zeitvertreib Ein Lied für Jetzt hingehunzt (ihre Worte). Es ist Ein Lied für drinnen. Ein Lied für Stubenhocker. Für Matratzentester. Für Couchpotatoes. Ein Lied für Endlich-Plattensammlung-digitalisieren. Für Mal-wieder-Küche-wischen. Für Alle-Satellitensender-neu-sortieren. Ein Lied für Die Sendung mit der Maus. Für Telelernen. Für Skype-Schulstunden. Ein Lied für Händewaschen. Für anderthalb Meter. Für die Armbeuge.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Es ist auch Ein Lied für Krankenschwestern und -brüder. Für den Bereitschaftsdienst. Ein Lied für Johns Hopkins. Für Robert Koch. Für Christian Drosten. Für Max Planck. Ein Lied für Solidarität. Ein Lied für alle. Ein Lied für Jetzt. Ein Lied für dich. Und seit einigen Minuten ist es auch ein Lied für den britischen Premierminister Boris Johnson, der eigentlich gar kein Lied verdient hätte und den Text sowieso nicht verstehen wird. Doch Johnson wurde positiv getestet und fällt zumindest irgendwie in die Schnittmenge von alle.

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Lied Nummer 6 ist ein sehr leises Lied von einer eher lauten Band: Solitude von Black Sabbath.

Ja, auch in Solitude geht es um eine verlorene Liebe, denn diese waren bisher häufiger für Einsamkeit und Isolation verantwortlich als eine Seuche: The world is a lonely place / You're on your own / Guess I will go home / Sit down and moan. Ozzy Osbournes Band hatte diesen Song 1971 auf ihrem dritten Album Master Of Reality veröffentlicht. Mit acht Liedern, zwei davon instrumental und alle recht gemächlich, hatte Black Sabbath damals für Irritationen gesorgt.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Oh, where can I go to / And what can I do? In Ermangelung zweier Fingerkuppen hatte Tony Iommi sein Gitarrenspiel um drei Halbtöne nach unten verlegt, was den damals neuen Sound der Band stark prägte. Inzwischen gilt Master Of Reality als Keimzelle der Musikrichtungen Doom Metal, Stoner Rock und Sludge Metal. Für Solitude hatte Iommi auch die Flöte und das Piano übernommen. Übrigens: Ursprünglich hatten sich Black Sabbath den Namen Polka Tulk Blues Band gegeben.

Das Lied bei Amazon kaufen: Black Sabbath - Solitude (Remastered)
Das Album bei Amazon kaufen: Black Sabbath - Master Of Reality (Remastered)

Hinweis: Durch einen Einkauf über obige Links unterstützt ihr www.Au-Ja.de. Herzlichen Dank!

Für COVID-19 gibt es noch kein Heilmittel, für die negativen Auswirkungen auf Geschäftsabläufe aber schon - zumindest aus der Sicht von Microsoft. Microsoft Teams und Office 365 verwandeln das heimische Wohnzimmer in Büro und Konferenzraum, denn die Lösung für alle aktuellen Probleme lautet Cloud. Doch die Tragfähigkeit von Wolken ist arg begrenzt.

Lockangebote für neue Kunden
Dass die Deutsche Telekom und Vodafone ihren Geschäftskunden derzeit Microsoft Teams und Office 365 kostenlos anbieten, hat einen guten Grund: Microsoft hat es Firmen ohne Teams-Lizenz ermöglicht, die Variante Office 365 E1 für einen Zeitraum von sechs Monaten kostenlos zu nutzen und Microsoft-Partner wie die beiden Kommunikationsriesen geben dieses Geschenk lediglich weiter. Für die funktional eingeschränkte Freemium-Variante, diese richtet sich insbesondere an Einzelanwender, hatte Microsoft die Beschränkungen der Nutzerzahlen am 10. März 2020 aufgehoben. Auch mit der E-Mail-Adresse eines Unternehmens bzw. einer Bildungseinrichtung können sich Einzelanwender ganz schnell und unkompliziert registrieren. Natürlich hat man dabei in Redmond einer Hintergedanken: Wer einmal auf die Cloud-Dienste umgestiegen ist, bleibt auch dabei und entrichtet später seinen monatlichen Obolus.

Hohe Nachfrage verursacht Einschränkungen
Der Erfolg ist jedenfalls enorm: Millionen neuer Nutzer haben sich auf Microsofts Cloud-Dienste gestürzt und die dortigen Server zum Wackeln gebracht. Bereits am 16. März 2020 ließ Microsoft über das Office 365 Admin Message Center wissen, dass man die Auflösung von Videotelefonaten und die Frequenz einiger Statusabfragen (Ist ein Mitarbeiter aktiv? Wann tippt ein Team-Mitglied an seinem PC?) reduzieren werde. Am 24. März 2020 wurden zusätzlich OneNote für Teams - mit Ausnahme von Bildungseinrichtungen - in den reinen Lese-Modus versetzt und die Intervalle zur Datensynchronisation verlängert. Videoaufzeichnungen sind nun auf 720p limitiert und die Timeline für neu bereitgestellte Videos wurde komplett deaktiviert. Dateien, die im Cloud-Speicher OneDrive liegen, lassen sich nur noch über die Web-Apps bearbeiten. Ob diese Maßnahmen ausreichen werden, bleibt abzuwarten. Fest steht, dass man mit der Buchung eines Cloud-Dienstes auch einen Teil seiner Freiheit aufgibt, denn die Spielregeln bestimmen von nun an Microsoft und Konsorten.

Die Telekom, O2 und Blau waren vorausgeeilt, dann folgten die Telekom-Tochter Congstar und nun auch Vodafone. Statt Datenvolumen zu verschenken, gibt es bei Vodafone einen Aktions-Social-Pass, ausgewählte Streaming-Inhalte sowie Microsoft Teams inklusive Office 365 für Geschäftskunden.

Aktions-Social-Pass statt zusätzliches Datenvolumen
Die Deutsche Telekom schenkt ihren Mobilfunkkunden bis auf Weiteres zusätzlich 10 GB Datenvolumen pro Monat, bei Congstar gibt es einmalig 5 GB Datenvolumen und die Telefonica-Töchter O2 und BLAU drosseln nach dem Verbrauch des inkludierten Datenvolumens nicht mehr auf 32 Kbit/s, sondern stellen 384 Kbit/s bereit. Vodafone verzichtet auf solche Geschenke und hat stattdessen den Aktions-Social-Pass ersonnen: Dieser schont das Datenvolumen, wenn soziale Netzwerke wie Facebook, Instagram oder Twitter genutzt werden.

Die Liste der Einschränkungen ist allerdings lang: Den Aktions-Social-Pass gibt es nur für die Tarife Red, Red+ Allnet, Red+ Kids und Young-Tarif. Er berücksichtigt nur das von den Apps verbrauchte Datenvolumen, nicht aber die darin angezeigte Werbung oder andere extern geladene Inhalte. Auch Zusatzfunktionen der Apps wie Sprach- und Videotelefonie werden weiterhin auf das Datenvolumen angerechnet. Weiterhin gilt der Aktions-Social-Pass nur bis zum 30. April 2020 und auch nur im Inland. Wer in Grenzregionen wohnt, sollte daher das Daten-Roaming deaktivieren. Damit läuft der Aktions-Social-Pass unter besser als nichts, ist aber sehr undurchsichtig und unnötig kompliziert.

Streaming-Inhalte und Office 365
Dass Vodafone ausgewählte Kids-Inhalte und Pay-TV-Sender kostenlos streamt, ist nett, wirkt allerdings mehr wie eine Werbeaktion. Gleiches gilt für Blockbuster zum Kinostart und Familienfilme ab 99 Cent. Um GigaTV überhaupt nutzen zu können, muss man dieses natürlich kostenpflichtig gebucht haben - über einen Kabelanschluss, Vodafone TV Connect-Vertrag oder GigaTV Net-Vertrag. Bleibt noch ein Geschenk: Geschäftskunden dürfen Microsoft Teams inklusive Office 365 für sechs Monate kostenlos nutzen. Ausgeschlossen sind lediglich Verträge mit 1.000 oder mehr Nutzern sowie jene Firmen, die bereits eine Teams-Lizenz besitzen. Praktisch: Nach Ablauf der sechs Monate endet der Vertrag automatisch, ohne dass es einer Kündigung bedarf..

Vor einer Woche hatte die Deutsche Telekom angekündigt, ihren Mobilfunkkunden bis auf Weiteres zusätzlich 10 GB Datenvolumen pro Monat zu schenken. Nun folgt die Konzerntochter Congstar mit immerhin einmalig 5 GB Datenvolumen.

Wer diese 5 GB nutzen möchte, muss sich allerdings beeilen, denn dieses Geschenk lässt sich nur bis zum 31. März 2020 buchen. Per Smartphone funktioniert dies über die congstar-App und aus dem Internet über den Aufruf von meincongstar. Als dritte Variante ist die Buchung über datapass.de möglich. Damit Letzteres funktioniert, muss der Zugriff allerdings zwingend über das Mobilnetz erfolgen. Das reguläre Datenvolumen der Congstar-Tarif bleibt unberührt und steht nach dem Verbrauch der 5 GB zur Verfügung.

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Track Nummer 5 ist ein echter Klassiker: So Lonely von The Police.

Gut, in So Lonely geht es eigentlich um Trennungsschmerz, doch in der aktuellen Situation leiden nicht wenige unter einer zwangsweisen Trennung - von Familie, von Freunden und auch von ihren Partnern. Was vor wenigen Wochen noch undenkbar war, ist auf einmal scherzhafte Realität: Eine länderübergreifende Beziehung rechtfertigt mitten in Europa keinen Grenzübertritt mehr und wird mit hohen Bußgeldern geahndet. Verrückte Welt!

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Now, no one's knocked upon my door / For a thousand years or more / All made up and nowhere to go / Welcome to this one-man show - keine Besuche, keine Ziele abseits von Einkauf im Supermarkt und auch den muss man inzwischen alleine bestreiten. So Lonely stammt von 1978er Debutalbum Outlandos D'Amour und mischt New Wave mit Reggae-Einflüssen. Tatsächlich hatte sich Sting an Bob Marleys No Woman, No Cry orientiert, schreit seinen Frust aber deutlich lauter in die Welt.

Das Lied bei Amazon kaufen: The Police - So Lonely (Remastered)
Das Album bei Amazon kaufen: The Police - Outlandos D'Amour (Remastered)

Hinweis: Durch einen Einkauf über obige Links unterstützt ihr www.Au-Ja.de. Herzlichen Dank!

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Als vierte Nummer haben wir etwas Härteres ausgewählt: Only The Strong von Midnight Oil.

Mal ehrlich, was passt besser zur aktuellen Situation als die folgenden Zeilen: When I'm locked in my room / I just want to scream / And I know what they mean / One more day of eating and sleeping. Die Australier Peter Garrett, Peter Gifford, Robert Hirst, James Moginie und Martin Rotsey sind in erster Linie für ihren 1987er Hit Beds Are Burning bekannt, doch fünf Jahre früher klang Midnight Oil noch deutlich härter und ungeschliffener. Und das gilt auch für Only The Strong vom vierten Album 10, 9, 8, 7, 6, 5, 4, 3, 2, 1 (1982).

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Wir haben uns hier allerdings nicht für die Studioversion entschieden, sondern einen Live-Mitschnitt aus dem Jahr 2018 gewählt. Damals hatte die Band nach langer Pause wieder einige Konzerte gegeben und einen Mitschnitt auf dem Doppelalbum Armistice Day: Live At The Domain, Sydney veröffentlicht. Herausgekommen ist sozusagen eine Best-of-Auswahl - und live klingen die Oils sowieso immer am besten.

Das Lied bei Amazon kaufen: Midnight Oil - Only The Strong (Live)
Das Album bei Amazon kaufen: Midnight Oil - Armistice Day: Live At The Domain, Sydney (Live)

Hinweis: Durch einen Einkauf über obige Links unterstützt ihr www.Au-Ja.de. Herzlichen Dank!

Microsoft warnt vor zwei kritischen 0-Day-Lücken, welche Windows 7 bis 10, Windows RT 8.1 sowie Windows Server 2008 bis 2019 bedrohen. Die beiden Fehler stecken in der Bibliothek atmfd.dll, also im Adobe Type Manager. Es ist bereits zu gezielten Attacken gekommen, in deren Verlauf die Angreifer Schadcode platzieren und ausführen konnten. Ein Patch steht noch aus, aber es gibt mehrere Workarounds, um die Gefahr zu minimieren.

Was über die Sicherheitslücken bekannt ist
Wie Microsoft erklärt, patzt atmfd.dll bei der Verarbeitung von Schriftarten im PostScript-Format Adobe Type 1. Wird eine solcher Font entsprechend manipuliert, führt der Parser den enthaltenen Schadcode schlimmstenfalls im Rechtekontext des Kernels aus. Damit atmfd.dll aktiv wird, muss nicht einmal ein präpariertes Dokument geöffnet werden, denn die Speicherfehler lassen sich bereits über die Vorschaufunktion des Explorers (Windows Explorer, NICHT Internet Explorer) ansprechen.

Alle Windows-Versionen betroffen, aktuelle sind aber besser geschützt
Was die akute Gefährdung betrifft, gibt es hinsichtlich der unterschiedlichen Windows-Versionen deutliche Unterschiede: Bis Windows 10 Version 1607 und Server 2016 werden installierte Fonts im Kernel-Modus ausgeführt, was das größte Risiko darstellt. Ab Windows 10 Version 1703 kommt ein App-Container im User-Modus zum Einsatz, wodurch die Tragweite der Angriffe deutlich reduziert wird. Ab Windows 10 Version 1709 gehört die Bibliothek atmfd.dll nicht mehr zum standardmäßigen Lieferumfang von Windows 10, so dass der Angriff scheitert. Allerdings kann atmfd.dll von Drittanbieterprogrammen installiert werden, so dass auch Windows 10 Version 1909 angreifbar bleibt.

Die vorgeschlagenen Gegenmaßnahmen
Eine von Microsoft vorgeschlagene Gegenmaßnahme zielt darauf ab, die Vorschau zu deaktivieren. Sollte ein Benutzer eine manipulierte Datei öffnen, bleibt diese Vorkehrung allerdings wirkungslos. Weiterhin schlagen die Redmonder vor, den WebClient-Dienst zu stoppen, um WebDAV (Web Distributed Authoring and Versioning) als wahrscheinlichsten Einfallsvektor zu versperren. Den auf diese Weise geschützten PCs bleibt dann allerdings der Zugriff auf WebDAV-Freigaben verwehrt. Wir erachten den dritten Vorschlag als den sinnvollsten: Die Umbenennung der verwundbaren Bibliothek atmfd.dll, welche man im Windows-Verzeichnis in den Unterordnern system32 (32- und 64-Bit Varianten von Windows) und syswow64 (nur 64-Bit Varianten von Windows) findet.

Flicken in Arbeit
Laut Microsoft arbeitet man bereits an einer dauerhaften Lösung, doch von einer außerplanmäßigen Veröffentlichung ist noch keine Rede. Stattdessen verweist das Unternehmen auf seinen monatlichen Patch-Day-Zyklus, der immer am zweiten Dienstag eines Monats stattfindet. Dummerweise ist der 31. März 2020 ein Dienstag, wodurch der nächste Patch-Day erst am 14. April 2020 abgehalten wird. Dass Microsoft wirklich mehr als drei Wochen warten wird, bis diese 0-Day-Lücken endlich abgedichtet werden, halten wir für weniger wahrscheinlich.

Microsofts Sicherheitswarnung inklusive der Gegenmaßnahmen: ADV200006 - Type 1 Font Parsing Remote Code Execution Vulnerability

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Song Nummer 3 ist etwas leichtere Kost: R.E.M. mit It's The End Of The World As We Know It (And I Feel Fine).

1987 veröffentlichte die Alternative-Rock-Gruppe R.E.M. ihr fünftes Album Document und darauf fand sich das Lied mit dem längsten Titel der gesamten Bandgeschichte - und die umfasste so einige sehr lange Titel wie All the Way to Reno (You're Gonna Be a Star) oder How the West Was Won and Where It Got Us. Für R.E.M. war es eine Zeit des Umbruchs. Die Band wurde auch außerhalb der USA immer bekannter und der Wechsel zum Majorlabel Warner Bros. Records stand unmittelbar bevor.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Offenbar ging den Herrn Bill Berry, Peter Buck, Mike Mills und Michael Stipe damals so einiges durch den Kopf und diese Gedankenfragmente ohne großen Zusammenhang fanden ihren Weg in den Text dieses Liedes: Uh oh, overflow, population, common group / But it'll do, save yourself, serve yourself / World serves its own needs, listen to your heart bleed / Tell me with the rapture and the reverent in the right, right / You vitriolic, patriotic, slam, fight, bright light / Feeling pretty psyched. Diese Fragmente zeichnen das Bild einer Welt am Abgrund, was dem Protagonisten des Songs allerdings ziemlich egal ist. Und so klingt It's The End Of The World As We Know It (And I Feel Fine) auch keineswegs finster, sondern energiegeladen und kraftvoll. Mit Vollgas über die Klippe?

Das Lied bei Amazon kaufen: R.E.M. - It's The End Of The World As We Know It (And I Feel Fine)
Das Album bei Amazon kaufen: R.E.M. - Document

Hinweis: Durch einen Einkauf über obige Links unterstützt ihr www.Au-Ja.de. Herzlichen Dank!

Apple sieht sich gerne als innovative Firma, welche Trends setzt und den Mitbewerbern stets eine Nasenlänge voraus ist. Doch in der aktuellen Krise zeigt sich, dass Apple im Notfall absolut kein Improvisationstalent besitzt. Das beste Beispiel hierfür ist die Rückgabe reparierter Geräte an die Kunden.

Der Technologieriese hatte seine Läden weltweit am 14. März 2020 geschlossen, doch in diesen Läden liegen auch reparierte Geräte, welche die Kunden noch nicht abgeholt hatten. Während Restaurants und Eisdielen in Windeseile Abhol- oder Lieferdienste einrichten konnten und einige Computerläden eine Drive-Thru-Warenausgabe organisiert haben, gibt sich der Weltkonzern klassisch binär: Laden auf, Kunden können ihre Geräte abholen. Laden zu, Kunden gucken dumm aus der Wäsche. Auch der ursprüngliche Plan, die Geschäfte am 27. März 2020 wieder zu öffnen, scheint vom Tisch. Stattdessen gelten die Schließungen nun "bis auf Weiteres". Betroffene Kunden, die Apple zu so viel Kundenfreundlichkeit und Flexibilität beglückwünschen wollen, erreichen die Firma telefonisch unter 0800-6645-451.

Am morgigen Dienstag startet das Streaming-Angebot Disney+ in Europa. In ganz Europa? Nein, in Gallien (Frankreich) belastet die Ausgangssperre das Internet so stark, dass die französische Regierung den Anbieter um einen Aufschub gebeten hat. Damit bleiben Deutschland, Großbritannien, Irland, Italien, Österreich, die Schweiz und Spanien, wobei auch die Schweiz in der vergangenen Woche immer wieder mit Netzausfällen zu kämpfen hatte.

Der Schweizer Bundesrat hatte die Bürger dazu aufgerufen, das Internet maßvoll zu nutzen und sogar über die Sperrung nicht notwendiger Internetdienste nachgedacht. Und dabei dürften die Eidgenossen insbesondere das Streaming im Auge gehabt haben. Dennoch können die Schweizer Disney+ ab morgen sehen, während sich die Franzosen noch bis zum 7. April 2020 gedulden müssen. In den übrigen EU-Ländern wird es Disney+ zunächst nur mit reduzierter Bildqualität geben. Damit folgt Disney einem Aufruf des EU-Kommisars Thierry Breton, den in der vergangenen Woche bereits Amazon, Apple, Netflix und YouTube umgesetzt hatten.

Bis einschließlich heute kann man Disney+ in Deutschland und Österreich zum Kampfpreis von 59,99 Euro pro Jahr abonnieren. Danach werden 69,99 Euro pr Jahr bzw. 6,99 Euro pro Monat fällig. Alle genannte Preise verstehen sich inklusive der Mehrwertsteuer. Zu diesem Preis gibt es bei Disney+ ein Familienkonto für bis zu sieben Profile sowie - abseits der aktuellen Krisenlage - die bestmögliche Auflösung. Bereits das Basis-Netflix für ein Gerät mit Standardauflösung (SD) kostet einen Euro mehr. Viele Kunden werden Disney+ als zweiten oder dritten Streaming-Dienst ausprobieren und am Ende möglicherweise einen anderen Anbieter aussortieren.

Disney selbst ist eine weltbekannte Marke im Bereich der Familienunterhaltung, doch mit Pixar, Marvel und Star Wars hat man drei weitere Trümpfe im Ärmel. Deren Produktionen waren bisher bei Konkurrenten wie Netflix zu sehen, doch diese Lizenzen laufen nach und nach aus, was die Fans in Richtung Disney+ locken wird. Dabei helfen auch exklusive Neuheiten wie "Star Wars: The Mandalorian", eine Art Weltraum-Western im Star-Wars-Universum oder die Serienadaption von "High School Musical". Ebenfalls am Start: Die Dokumentationsserie "The World According to Jeff Goldblum" sowie aufwändige Dokumentationen von National Geographic.

Zum Abschluss noch ein Hinweis: Bei dieser Meldung handelt es sich nicht um Werbung. Niemand hat für diesen Beitrag bezahlt und wir haben einen ganz normalen Link ohne Skripte oder Tracker gesetzt. Wer das gut findet, kann uns über PayPal unterstützen. Herzlichen Dank!

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir liefern dazu den passenden Soundtrack - mal provokant, mal ironisch, mal ziemlich schräg. Als zweites Lied haben wir Shutdown von Stonefield ausgewählt.

Shutdown stammt von 2019er Album Bent, welches von Flightless veröffentlicht wurde. Die vier Findlay-Schwestern klingen auf diesem Album, welches man ins Genre des Psychedelic Rock einordnen kann, ziemlich finster - und das spiegelt sich auch in den Lyrics wieder: Evil silence, cause destruction / I'm not ready for disruption / Analyse my every movement / Complicate my every doing.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

In diesen komplizierten Tagen, wo drei bereits einer zu viel sind und unsere Bewegungsdaten auf einmal von öffentlichem Belang sind, vertrauen wir darauf, dass irgendjemand noch die Überblick hat - auch wenn daran Zweifel bleiben (Don't know why I try / Always think you're right / Don't know why I try). Eigentlich wären die Mädels jetzt auf Tour, doch wegen des Corona-Virus gibt es keine Konzerte, was insbesondere für vergleichsweise unbekannte Musiker ein großes Problem ist.

Das Lied bei Amazon kaufen: Stonefield - Shutdown
Das Album bei Amazon kaufen: Stonefield - Bent

Hinweis: Durch einen Einkauf über obige Links unterstützt ihr www.Au-Ja.de. Herzlichen Dank!

Der COVID-19-Ausbruch hat alles verändert und Menschen in aller Welt in die selbst gewählte oder staatlich verordnete Isolation verbannt. Wir werden euch von heute an den passenden Soundtrack liefern - mal provokant, mal ironisch, mal ziemlich schräg. Den Anfang macht Warren Zevon mit seiner Single Splendid Isolation von 1989.

Die Studioversion von Splendid Isolation findet sich auf dem Album Transverse City (1989, Virgin), wir stellen hier jedoch die Live-Version vom Album Learning To Flinch (1993, Giant Records) vor. Der Song lässt sich in die Kategorie Folk Rock einordnen und handelt von einer selbstgewählten Isolation unter dem Irrglauben, dass man keine anderen Menschen brauche.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Starker Text, zunächst ironisch (Michael Jackson in Disneyland / Don't have to share it with nobody else / Lock the gates, Goofy, take my hand / And lead me through the World of Self), dann ziemlich finster (I'm putting tinfoil up on the windows / Lying down in the dark to dream / I don't want to see their faces / I don't want to hear them scream). Auf jeden Fall ein Song, der mehr Aufmerksamkeit verdient hätte.

Das Lied bei Amazon kaufen: Warren Zevon - Splendid Isolation (Live)
Das Album bei Amazon kaufen: Warren Zevon - Learning To Flinch (Live)

Hinweis: Durch einen Einkauf über obige Links unterstützt ihr www.Au-Ja.de. Herzlichen Dank!

"Watch Dogs", Ubisofts Spielehit aus dem Jahr 2014, gibt es bis zum 26. März 2020 um 16:00 Uhr deutscher Zeit kostenlos bei Epic Games - zumindest für Spieler ab 18 Jahren. Auch "The Stanley Parable" (keine Alterseinstufung), ein surreales Erkundungsspiel von Davey Wreden, wird derzeit zum Nulltarif angeboten. Um die beiden Spiele herunterladen zu können, benötigt man ein Benutzerkonto bei Epic Games.

Watch Dogs spielt in einer alternativen Realität, in der die Stadt Chicago von einem allwissenden Supercomputer namens CtOS (Central Operating System) gesteuert wird. CtOS sorgt dafür, dass alles perfekt funktioniert. Doch dann zeigt der Hacker Aiden Pearce, wie verwundbar die Stadt und ihre Bürger in Wahrheit sind. In Watch Dogs kann sich der Spieler in alle möglichen Systeme der Stadt hacken, beispielsweise in die Verkehrsleitsysteme, das Stromnetz oder die Dampfrohre, welche die Fernwärme in Chicago verteilen. Wer in diesem Dampfnetz Druckpunkte erzeugt, kann aus der Ferne Explosionen hervorrufen. Will man Verfolger abschütteln, kann man die Ampelschaltung übernehmen und fest installierte Nagelfallen ausfahren. Ubisoft hat sein virtuelles Chicago auf die Highlights der Stadt beschränkt und die ausufernden Vorstädte deutlich geschrumpft. Dennoch ist die Stadt so groß geworden, dass man ca. acht Minuten in jede Richtung fahren muss, um in die umgebende Landschaft zu gelangen.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Download: Watch Dogs (ab 18 Jahren)

The Stanley Parable kommt ganz ohne Gewalt aus, ist aber dennoch zutiefst verstörend, da es die bekannten Schienen des Handlungsablaufs verlässt. Wir steuern Stanley durch eine surreale Welt, in der sich der Protagonist gänzlich allein vor seinem leeren Bildschirm wiederfindet. Die Stimme des Erzählers schlägt den Fortgang der Geschichte vor, doch ob Stanley diesem Pfad folgt, entscheiden wir. Dass die Geschichte in unterschiedliche Richtungen driften kann, bedeutet aber nicht, dass wir die Kontrolle hätten. Damit erscheint dieses Spiel schon fast wie eine Parabel auf die aktuelle Weltlage, bleibt aber eine spannende Erfahrung.

Hinweis: YouTube-Videos sind deaktiviert!
Inhalte von Google und YouTube aktivieren

Download: The Stanley Parable (keine Alterseinstufung)

Die Deutsche Telekom hat ein umfangreiches Hilfspaket geschnürt und stellt ihren Mobilfunkkunden zusätzlich 10 GB Datenvolumen pro Monat zur Verfügung. Für Firmen gibt es Office 365 kostenlos, zudem dürfen Unternehmen und Schulen die Web-Konferenzdienste der Telekom zum Nulltarif nutzen. Telefonica drosselt den mobilen Datendurchsatz nach Verbrauch des Inklusivvolumens nur noch auf 384 Kbit/s. Bewegungsdaten sollen dabei helfen, die Ausbreitung von COVID-19 nachzuvollziehen.

Bewegungsdaten zur Seuchenbekämpfung
Seit Dienstag versorgt die Deutsche Telekom das Robert-Koch-Institut (RKI) mit Bewegungsdaten deutscher Mobilfunkkunden. Zunächst wurden 5 GiB in anonymisierter Form übermittelt, ein weiteres Paket soll in der kommenden Woche folgen. Ein Tracking einzelner Nutzer oder Infizierten sei anhand dieser Daten nicht möglich. Mitbewerber Vodafone hatte am Mittwoch erklärt, Bewegungsdaten auf Anfrage von Regierungen zugänglich zu machen, seitens Telefonica Deutschland gibt es derweil noch keine entsprechende Aussage.

Datengeschenke von Telekom und Telefonica
Gestern kündigte die Deutsche Telekom dann an, ihren Mobilfunkkunden bis auf Weiteres zusätzlich 10 GB Datenvolumen pro Monat zu schenken. Privatkunden mit einem Prepaid- oder Postpaid-Vertrag buchen das zusätzliche Datenvolumen über die MeinMagenta-App, während Geschäftskunden dieses über pass.telekom.de freischalten. Telefonica Deutschland reduziert die Datenrate für die Kunden ihrer Marken O2 und BLAU nach dem Verbrauch des inkludierten Datenvolumens nicht mehr auf 32 Kbit/s, sondern stellt 384 Kbit/s bereit. Das reicht zumindest zum Surfen im Internet, für E-Mails sowie für Messaging-Dienste wie WhatsApp. Die neue Regelung gilt vorbehaltlich bis Ende April 2020.

Telekom unterstützt Homeoffice und Schulen
Um zusätzliche Homeoffice-Kapazitäten zu schaffen, stellt die Deutsche Telekom ihren Firmenkunden Office 365 und die WebExConferencing-Dienste für 3 Monate kostenlos zur Verfügung. Weiterhin dürfen alle Schulen, also Kunden eines anderen Telekommunikationsanbieters, die cloud-basierten Web-Konferenzdienste der Deutschen Telekom für 3 Monate kostenlos nutzen, um ihre Schüler online zu unterrichten. In vier Tagen startet zudem der Streaming-Dienst Disney+, welchen man für einen Zeitraum von sechs Monaten ohne zusätzliche Kosten zu allen MagentaZuhause- und MagentaMobil-Tarifen hinzubuchen kann. Einzige Voraussetzung ist die Registrierung und Akzeptanz der Nutzungsbedingungen bei Disney+.

In elf Tagen wird SETI@home die Auslieferung von Rechenaufgaben einstellen und sich nur noch auf die Auswertung der gewonnenen Daten konzentrieren. Damit endet eine Ära, doch die frei gewordene Rechenleistung lässt sich dieser Tage sehr sinnvoll einsetzen: Rosetta@Home, ein Projekt aus dem Bereich der Molekularbiologie, hat vor einigen Tagen mit der Analyse des für die COVID-19-Pandemie verantwortliche SARS-CoV-2-Virus begonnen. Und jeder kann - und sollte - dabei mithelfen!

Seit dem 17. Mai 1999 verteilt SETI@home (Search for Extra-Terrestrial Intelligence at home), ein Projekt der Universität Berkeley, Daten an Freiwillige aus aller Welt, um diese auf Anzeichen für intelligentes Leben im All zu untersuchen. Diese Daten werden auf den Computern der Unterstützer ausgewertet und die Ergebnisse dem Projekt übermittelt. Seit dem 22. Juni 2004 wird hierfür die Plattform BOINC (Berkeley Open Infrastructure for Network Computing) genutzt, die auch anderen Projekten offensteht. Während sich SETI@home am 31. März 2020 in den Ruhestand begeben wird, erscheinen uns andere Projekte dieser Tage immens wichtig, beispielsweise Rosetta@Home.

Rosetta@Home befasst sich mit einem Problem der Molekularbiologie, nämlich der Proteinfaltung. Durch die Verteilung der Berechnungen auf möglichst viele Computer, sollen Heilmittel für einige besonders schwere Krankheiten wie beispielsweise HIV, Malaria, Krebs und Alzheimer schneller gefunden werden. Seit Februar 2020 erforscht Rosetta@Home das SARS-CoV-2-Virus, welches umgangssprachlich als Corona-Virus bezeichnet wird und das für die aktuelle COVID-19-Pandemie verantwortlich ist. Wir bitten die Mitglieder unseres BOINC-Teams sowie unsere Leser daher, Rechenleistung für Rosetta@Home bereitzustellen. Rosetta@home ist kein kommerzielles Projekt, federführend ist das BakerLab der University of Washington, welches auch die Software entwickelt hat.

Wie das Ganze funktioniert, erklären wir auf unserer Team-Seite BOINC @ Au-Ja. Die Installation von BOINC und das Einrichten von Rosetta@Home funktionieren ganz einfach und dauern nur wenige Minuten. Wer am Ende im Team von Au-Ja.de, für ein anderes Team oder auf eigene Faust rechnet, spielt keine Rolle, Hauptsache es machen so viele wie möglich mit. COVID-19 ist ein weltweites Problem, es geht uns alle an. Jeder Tag, jede Stunde, die bei der Erforschung dieser Krankheit gewonnen wird, kann Leben retten. Im Forum haben wir einen Thread eingerichtet, in dem man Fragen rund um BOINC stellen kann - auch ohne vorherige Registrierung.

Wir hoffen auf möglichst viele Unterstützer und wünschen allen gute Gesundheit - passt auf euch und eure Familien und Freunde auf!

Euer Au-Ja-Team

In Anbetracht der grassierenden COVID-19-Pandemie hat Microsoft den Support-Zeitraum für Windows 10 Version 1709 um sechs Monate verlängert. Ob sich hieraus auch eine Verschiebung der für das laufende Halbjahr geplanten Version 20H1, zuweilen auch 2004 genannt, ableiten lässt, ist allerdings unklar. Erst am Mittwoch gab es einen neuen Insider Preview Build.

Kein unnötiger Stress
Für Windows 10 Version 1709 wollte Microsoft eigentlich am 14. April 2020 den Stecker ziehen, doch Firmen und private Nutzer haben derzeit ganz andere Probleme, als den Wechsel auf ein neuere Variante von Windows 10 vorzubereiten. Daher hat Microsoft den Support-Zeitraum bis zum 13. Oktober 2020 ausgedehnt. In diesen sechs Monaten werden neue Sicherheits-Updates und wichtige Korrekturen wie gewohnt über Windows Update verteilt und auch über die Windows Server Update Services und den Microsoft Update Catalog bereitgestellt. Die verbliebenen Nutzer von Windows 10 Version 1709 müssen somit erst einmal gar nichts tun, außer sich den 13. Oktober 2020 als neue Deadline zu notieren.

Neue Testversionen von Windows 10 Version 20H1
Die Entwicklung von Windows 10 Version 20H1 schreitet derzeit noch voran: Am 13. März 2020 wurde der Insider Preview Build 19041.153 in den Slow-Ring für vergleichsweise stabile Testversionen entlassen und am 18. März 2020 wurde der Insider Preview Build 19587 für den Fast Ring mit den neuesten Testversionen freigegeben. Für ARM-basierte Rechner wurde der Insider Preview Build 19587 inzwischen blockiert, da es auf dieser Plattform zu erheblichen Instabilitäten kommen kann. Wie es mit der Entwicklung in den nächsten Wochen weitergehen wird, erscheint uns allerdings fraglich - mit Kalifornien hat heute der erste US-Bundesstaat eine allgemeine Ausgangssperre verhängt.

Windows 10 Version 20H1: Die Neuerungen
Windows 10 Version 20H1 speichert den Status von Apps vor einem Herunterfahren oder Neustart des Betriebssystems, um diese bei der nächsten Anmeldung wiederherstellen zu können. Microsoft will zudem mehr Hersteller dazu bringen, neue Gerätetreiber über Windows Update zu verteilen. Eine stufenweise Auslieferung sowie optionale Treiber-Updates sollen dabei für mehr Flexibilität sorgen. Sollte das System dann doch einmal klemmen, kann die Windows-Reparatur ein neues Systemabbild aus der Cloud ziehen. Unterstützt der Grafiktreiber WDDM 2.4, findet sich im Task-Manager nun auch die GPU-Temperatur. Dazu gibt es offizielle Unterstützung für Bluetooth 5.1.

Die Datei-Indexierung der Windows-Suche soll den PC beim Arbeiten weniger ausbremsen und eine verbesserte Rechtschreibkorrektur soll bei der Eingabe von Suchbegriffen helfen. Cortana wandert in eine eigene App und soll auch schneller reagieren. Editor, Paint, WordPad und Windows Hello finden sich unter Installierte Features und lassen sich entfernen bzw. über Feature hinzufügen zurückholen. EdgeHTML hat Microsoft ausgemustert und seinen Webbrowser Edge mit Chromium-Unterbau neu aufgestellt - diesen neuen Browser können Nutzer schon herunterladen. Praktisch: Über die Schaltfläche Immer sichtbar hält man den Taschenrechner im Vordergrund.

Adobe hat zahlreiche Sicherheitslücken in seinen Produkten Acrobat, Bridge, ColdFusion, Experience Manager, Photoshop, Reader und dem Adobe Genuine Integrity Service geschlossen. Mit 22 größtenteils kritischen Fehlern fällt der Photoshop negativ auf, Acrobat und Reader bringen es auf 17 mehrheitlich kritische Schwachstellen.

In Bridge 10.0 für Windows wurden zwei kritische Fehler gefunden, die sich beide zum Einschleusen von Schadcode missbrauchen lassen. Es handelt sich um einen unkontrollierten Schreibzugriff (CVE-2020-9551) und einen überlaufenden Stapelpuffer (CVE-2020-9552). Behoben wurden die Probleme in Bridge 10.0.3, welches für Windows und macOS angeboten wird. Hinsichtlich der Dringlichkeit gibt sich Adobe gelassen - Stufe 3 bedeutet, dass man die neue Version irgendwann mal einspielen sollte.

Auch in ColdFusion 2016 und 2018 musste Adobe zwei kritische Schwachstellen ausmerzen, betroffen sind alle Versionen bis 2016 Update 13 bzw. 2018 Update 7. CVE-2020-3761 ermöglicht beliebige Lesezugriffe im Installationsverzeichnis von Coldfusion und CVE-2020-3794 führt Code beliebiger Dateien aus, sofern sich diese im Webroot oder einem Unterverzeichnis befinden. Abhilfe schaffen ColdFusion 2016 Update 14 und ColdFusion 2018 Update 8. Die Dringlichkeitsstufe 2 empfiehlt das Einspielen der Updates binnen 30 Tagen.

Beim Experience Manager musste ein hochgefährliches Datenleck (CVE-2020-3769) gestopft werden, betroffen sind die Versionen 6.1 bis 6.5. Das Problem ist eine mögliche Anfragefälschung auf der Serverseite (Server-Side Request Forgery; SSRF), über die ein Angreifer sensible Informationen auslesen kann. Für Nutzer der Versionen 6.1 bis 6.3 wurde ein Cumulative Fix Pack 6.3.3.8 bereit gestellt, für die neueren Versionen gibt es den Service Pack 6.4.8.0 und Service Pack 6.5.4.0. Die Aktualisierung sollte binnen 30 Tagen erfolgen.

Mit 22 Sicherheitslücken, darunter 16 kritische Fehler, stechen Photoshop CC 2019 20.0.8 und Photoshop 2020 21.1 für Windows und macOS hervor. Zu sieben kritische Speichermanipulationen (CVE-2020-3784, CVE-2020-3785, CVE-2020-3786, CVE-2020-3787, CVE-2020-3788, CVE-2020-3789 und CVE-2020-3790) gesellen sich sechs kritische Pufferfehler (CVE-2020-3770, CVE-2020-3772, CVE-2020-3774, CVE-2020-3775, CVE-2020-3776 und CVE-2020-3780), zwei unkontrollierte Schreibzugriffe (CVE-2020-3773 und CVE-2020-3779) und eine Stapelmanipulation (CVE-2020-3783), die allesamt das Einschleusen von Schadcode ermöglichen. Dazu kommen sechs gefährliche Datenlecks (CVE-2020-3771, CVE-2020-3777, CVE-2020-3778, CVE-2020-3781, CVE-2020-3782 und CVE-2020-3791) in Form unkontrollierter Lesezugriffe. Dass Adobe dennoch nur die Prioritätsstufe 3 verhängt hat, erscheint uns verwunderlich. Schließlich lassen sich die betroffenen Produkte binnen Sekunden über ihre integrierte Update-Funktion aktualisieren.

Acrobat und Reader bringen es auf 17 Schwachstellen, von denen zwölf als kritisch kategorisiert wurden. Sieben Zugriffe auf bereits gelöschte Objekte (CVE-2020-3743, CVE-2020-3745, CVE-2020-3746, CVE-2020-3748, CVE-2020-3749, CVE-2020-3750 und CVE-2020-3751), zwei Pufferfehler (CVE-2020-3752 und CVE-2020-3754) und ein Stapelüberlauf (CVE-2020-3742) stellen potentielle Einfallstore für Schadcode dar, während zwei Rechteausweitungen (CVE-2020-3762 und CVE-2020-3763) in unkontrollierten Schreibzugriffen münden. Als gefährlich wertet Adobe drei unkontrollierte Lesezugriffe (CVE-2020-3744, CVE-2020-3747 und CVE-2020-3755) und zwei Speicherlecks (CVE-2020-3753 und CVE-2020-3756) bergen ein moderates Risiko. Betroffen sind die Versionen bis 2020.006.20034, 2017.011.30158 bzw. 2015.006.30510 für Windows und macOS, als sicher gelten die Versionen 2020.006.20042, 2020.006.20042 und 2015.006.30518. Die Updates vom Acrobat für Windows oder macOS bzw. Reader für Windows oder macOS sollten betroffene Nutzer binnen 30 Tagen installieren.

Beim Adobe Genuine Integrity Service 6.4 für Windows wurde eine gefährliche Rechteausweitung (CVE-2020-3766) beseitigt. Das Problem, welches auf unsicheren Dateiberechtigungen beruht, wurde in der Version 6.6 der Software korrigiert. Die Dringlichkeitsstufe 3 ist hierbei nebensächlich, da sich der Genuine Integrity Service selbstständig aktualisiert.

Nach zehn Jahren Rechtsstreit mit vier Siegen vor Geschworenengerichten und zwei Erfolgen vor Berufungsgerichten hat der Softwareentwickler VirnetX aus Zephyr Cove im US-Bundesstaat Nevada den Technologieriesen Apple endgültig niedergerungen. Die Belohnung: 454.033.859,87 US-Dollar für eine von Apple widerrechtlich genutzte Sicherheitsfunktion.

Ein Gericht hatte VirnetX im Jahr 2012 zunächst 368,2 Millionen US-Dollar für entstandene Schäden, entgangene Gebühren sowie Zinsen zugesprochen, doch Apple ging in Berufung und nutzte die strittige Funktion trotzdem weiter. Genau das bewertete ein Richter im Jahr 2017 als fahrlässig und errechnete eine Zahlungsverpflichtung in Höhe von 439,8 Millionen US-Dollar. Apple lehnte abermals ab und versuchte stattdessen vor dem obersten Gerichtshof der USA eine Prüfung dieses Urteils zu erreichen, was allerdings misslang. Somit kommen zusätzliche Zinsen für weitere zweieinhalb Jahre obendrauf und nun musste Apple deftige 454.033.859,87 US-Dollar überweisen.

Der Patentstreit zwischen Apple und VirnetX wird allerdings schon bald eine Fortsetzung finden: Ein Geschworenengericht hatte befunden, dass Apple auch die US-Patente 6.502.135 und 7.490.151 (VPN-on-Demand) sowie 7.418.504 und 7.921.211 (Facetime) verletze. Ein Berufungsgericht bestätigte die Patentverletzungen hinsichtlich VPN-on-Demand, nicht aber die bezüglich Facetime vorgebrachten Klagepunkte. Auch in diesem zweiten Prozess geht es um mehrere hundert Millionen US-Dollar.

Im Rahmen der Berichterstattung wurde VirnetX zuweilen als Patenttroll bezeichnet, doch das Unternehmen entwickelt und verkauft ein eigenes Softwareprodukt namens "Gabriel Collaboration Suite". Es handelt sich um eine Sammlung als besonders abgesichert vermarkteter Applikationen, welche die Bereiche E-Mail, Messaging, File-Sharing und Sprachanrufe umfasst. Ein weiteres Standbein des Unternehmens ist das Lizenzgeschäft, welches ebenfalls den Kommunikationsbereich umspannt.

Diese Woche beginnt alles andere als positiv für Apple: Im Jahr 2012 hatte sich der Distributor eBizcuss bei Frankreichs Wettbewerbsbehörde über illegale Absprachen zwischen Apple und den beiden Großhändlern Tech Data und Ingram Micro beschwert, was zu Razzien in den Firmensitzen der drei Unternehmen geführt hatte. Dabei wurden Beweise für Kartellrechtsverstöße sichergestellt, welche nun Strafen in Höhe von 1,24 Milliarden Euro nach sich ziehen.

Mit 1.101.969.952 Euro muss Apple den Großteil davon berappen, während 76.107.989 Euro auf Tech Data und 62.972.668 Euro auf Ingram Micro fallen. Isabelle de Silva, die Präsidentin der Autorité de la concurrence, sieht es als erwiesen an, dass Apple die Preise für seine Produkte in Frankreich auf wettbewerbswidrige Weise hochgehalten hatte. Tatsächlich wurde ein richtiger Wettbewerb vom US-Unternehmen unterbunden und stattdessen eine vollständige Kontrolle des Marktes erzwungen. Apple sieht das natürlich ganz anders und will die Strafe juristisch anfechten.

In Frankreich verkaufte Apple seine Produkte einerseits über die eigenen Apple Stores und andererseits über ein Netz aus Distributoren. Diese Distributoren mussten ihre Ware über zwei Großhändler erwerben, nämlich Tech Data und Ingram Micro. Dabei fand allerdings kein freier Handel statt, denn Apple legte für jedes Produkt fest, welche Stückzahl ein bestimmter Distributor bei einem Großhändler kaufen durfte. Die Apple Premium Reseller (APRs) wurden gedrängt, die selben Preise zu verlangen, welche vom offiziellen Apple Store aufgerufen wurden. Über weitreichende Vertragsklauseln kontrollierte Apple alle Angebotsaktionen sowie die tatsächlich berechneten Verkaufspreise, so dass den APRs keinerlei Spielraum bei ihrer Preisgestaltung blieb. Und wenn ein APR dann doch gegen diese Spielregeln verstieß, setzte Apple sein Kontingent bei den Großhändlern einfach auf Null. Das brachte APRs schnell in eine prekäre Lage, denn weitere vertragliche Klauseln verpflichteten sie, so gut wie ausschließlich Produkte von Apple anzubieten - und das sogar bis zu sechs Monate über den Auslauf eines solches Vertrages hinaus.

Es ist offensichtlich, dass Apple die totale Kontrolle über den Verkauf seiner Produkte haben wollte - insbesondere über die Verkaufspreise. Dabei sollten die Verkaufspreise für aktuelle Produkte stabil auf hohem Niveau gehalten werden und der Abverkauf von weniger gefragten oder auslaufenden Produkten nach Apples Vorgaben bzw. auf Basis der Aktionspreise im Apple Store stattfinden. Mit einem freien Markt und Wettbewerb zwischen den Händlern hat dies freilich nichts zu tun. Man darf zudem annehmen, dass Apple in anderen Ländern ebenso vorgegangen ist und auch dort ähnliche Strafen folgen könnten.

Es scheint, als würde die Welt dieser Tage zum Stillstand kommen. Das einzige Thema in den Nachrichten ist das SARS-CoV-2-Virus bzw. die von diesem verursachte COVID-19-Pandemie und auch die Auswirkungen auf den Alltag nehmen von Tag zu Tag weiter zu. Kitas, Kindergärten, Schulen und Universitäten sind ebenso geschlossen wie die ersten Grenzen, der Sport pausiert und als letztes Freizeitangebot bleiben Wanderungen auf möglichst abgelegenen Wegen.

Auch wenn sich die Schwere der meisten Verläufe von COVID-19 im Bereich einer typischen Erkältung bewegt, scheint SARS-CoV-2 dennoch extrem absteckend zu sein - und hier wurde es von Experten, Politikern und auch uns Bürgern ziemlich unterschätzt. Schon während der Inkubationszeit, die gut 14 Tage dauern kann, können Infizierte die Krankheit weitergeben. Wenn der Infizierte dann die ersten Symptome zeigt, lässt sich kaum noch nachvollziehen, welche Kontaktpersonen sich angesteckt haben könnten. In der Regel werden es Hunderte sein. Das Beispiel Italien hat uns vor Augen geführt, wie schnell COVID-19 außer Kontrolle geraten kann und wie oft diese Erkrankung tödlich endet, wenn das Gesundheitssystem überfordert ist. Bei einer Letalität, die derzeit auf 1 Prozent geschätzt wird, könnte es alleine in Deutschland 830.000 Opfer geben. Seit dem 11. März 2020 steht fest, dass man von einer Pandemie, also einer länder- und kontinentübergreifende Ausbreitung der Krankheit, sprechen muss.

Die Auswirkungen auf unser alltägliches Leben sind drastisch: Die Kinderbetreuung ist sozusagen von heute auf morgen weggefallen, doch nicht jedes Unternehmen hat auch seine Tore geschlossen. Bis sich Lösungen gefunden haben, regiert für viele der organisatorische Wahnsinn. Einige Firmen rufen ihre Mitarbeiter dazu auf, die Personalkantinen und Pausenräume zu meiden, andere richten überhastet private Notebooks für das Home-Office ein und eröffnen so ganz anderen Viren einen Weg ins Firmennetz. Restaurants, Hotels und Kinos müssen schließen, Konzerte, Theater und Sportereignisse fallen aus und selbst die Bordelle müssen ihren Betrieb einstellen. Wer sich die Krise schön saufen will, findet seine Kneipe geschlossen und muss sich zu Hause betrinken. Der Leber mag das auf lange Sicht schaden, doch zumindest SARS-CoV-2 verträgt keinen Alkohol, woraus sich auch eine praktische Alternative zum allerorts vergriffenen Desinfektionsmittel ergibt.

Eine unangenehme Überraschung erleben die Alkohol-Geschützten dann beim Versuch, auf den ÖPNV umzusteigen, denn in vielen Städten werden mittlerweile die Fahrer isoliert: Absperrbänder sind zwar ein höchst lückenhafter Schutz vor einer Tröpfcheninfektion, doch der Abstand zum Fahrgast und dessen virenverseuchtem Bargeld soll das Risiko einer Ansteckung minimieren. Bei manchem Busunternehmen erscheint dies sinnvoll, schließlich arbeiten dort kaum Fahrer unter 70, doch an den wenigsten Haltestellen gibt es Ticketautomaten. Auch die Vorverkaufsstellen, deren Haupteinkommen zumeist aus Lotto, Zeitschriften, Tabak und Süßigkeiten besteht, fallen als dauerhafte Alternative aus, sobald die Geschäftstätigkeit auf den Lebensmittelhandel und Apotheken beschränkt wird. Bleibt also nur die App oder darauf hoffen, dass sich aufgrund der Ansteckungsgefahr in den vollen Bussen eh kein Kontrolleur hineintraut. Und der als Klimakiller verschriene Individualverkehr feiert sein Comeback als Isolationsverkehr!

Dank geschlossener Grenzen und Reisebeschränkungen ist nicht einmal an Flucht bzw. Urlaub zu denken. Europas größter Touristikkonzern TUI hat den Reisebetrieb eingestellt und als Folge ist die TUI-Aktie heute um 29 Prozent auf 2,97 Euro abgeschmiert. Das Papier notiert inzwischen um 71,5 Prozent unter seinem Wert von November 2019. Die Aktie der Lufthansa hat heute nochmals 16,6 Prozent eingebüßt und beim irischen Billig-Konkurrenten Ryanair ging es gut 19 Prozent bergab, da dessen Flugzeuge vorerst am Boden bleiben. Die Auswirkungen auf die Wirtschaft und den Arbeitsmarkt sind noch nicht abzusehen, so dass der DAX abermals um 9,8 Prozent gefallen ist und inzwischen nur noch bei 8.327,54 Punkten liegt. Vor einem Monat hatten wir noch Werte um die 13.750 Punkte gesehen, doch nun zeigt sich der Deutsche Aktienindex so volatil wie der Bitcoin-Kurs. Das hätte man vor drei Monaten genauso wenig erwartet wie die derzeitigen Einschränkungen der Bewegungs- und Berufsfreiheit innerhalb Europas.

Unsere Welt befindet sich in einer tiefen Krise, deren Epizentrum sich dieser Tage nach Europa verlagert hat, in ein zwei Wochen aber durchaus in Nordamerika liegen könnte. Wir sind derzeit nur Zuschauer, die fassungslos auf die Geschwindigkeit an uns vorbei rasenden der Ereignisse blicken. Wir sind die Passagiere einer Achterbahn, deren Schienen eine Wagenlänge vor uns verlegt werden. Am Ende bleibt uns nur, Ruhe zu bewahren und diese Seuche mit Gelassenheit und Verstand auszusitzen. Und für all jene, die händeringend nach einem positiven Aspekt suchen, sei festgehalten: Zumindest hat sich bisher noch niemand durch SARS-CoV-2 in einen Zombie verwandelt.

Das Au-Ja-Team wünscht seinen Lesern und allen anderen da draußen gute Gesundheit!

In Microsofts Server Message Block-Protokoll der Version 3.1.1 (SMBv3) steckt ein kritischer Fehler (CVE-2020-0796), der sowohl Clients als auch Server bedroht. Angreifer können diesen aus der Ferne ausnutzen und dabei eigenen Code einschleusen. Ein außerplanmäßiges Sicherheits-Update ist bereits verfügbar.

In einem ersten Sicherheitshinweis hatte Microsoft empfohlen, die bei SMBv3 eingesetzte Kompression zu deaktivieren. Offenbar werden speziell gestaltete SMBv3-Pakete hinsichtlich der Kompression falsch verarbeitet, was nicht authentifizierten Angreifern das Ausführen beliebigen Codes ermöglicht. Während es bei Servern ausreicht, diesen ein manipuliertes Paket zu schicken, muss man den Nutzer des Clients dazu verführen, eine Verbindung mit einem bösartigen Server herzustellen.

Glücklicherweise wurde diese extrem kritische Sicherheitslücke bisher weder öffentlich dokumentiert noch angegriffen. Inzwischen hat Microsoft ein Sicherheits-Update veröffentlicht, welches das Problem behebt und weitere Maßnahmen überflüssig macht. Die Verteilung über Windows Update ist bereits angelaufen. Ist das automatische Einspielen von Updates deaktiviert, kann man KB4551762 gezielt herunterladen. Es empfiehlt sich, dieses Update umgehend einzuspielen!

DDR3-Speicher hat ein Sicherheitsproblem namens Rowhammer, welches es Angreifern erlaubt, Speicherinhalte gewaltsam zu verändern. Beim Nachfolger DDR4 wurden dann Maßnahmen ergriffen, um solche Attacken wirkungslos verpuffen zu lassen. Wer allerdings weiß, wie diese Maßnahmen aussehen, kann sich auch DDR4-Bits zurechthämmern. TRRespass (CVE-2020-10255) zeigt, wie das bei Speicherchips von SK Hynix, Micron und Samsung funktioniert.

Die Geschichte von Rowhammer
Mitte 2014 erklärten Forscher der Carnegie Mellon University in Zusammenarbeit mit Intel, wie man man Bits in DRAM-Zellen zum Kippen bringen kann. Ihre Theorie besagte, dass wiederholte Zugriffe auf die selben Speicherreihen in diesen eine erhöhte Spannung aufbauen, welche letztendlich auf die benachbarten Reihen überspringt und dort Bits kippen lässt. Damit wäre es auch möglich, geschützte Speicherbereiche zu manipulieren, indem man ihre ungeschützten Nachbarn attackiert. Knapp ein Jahr später entstanden aus dieser Theorie erste praktikable Angriffe (CVE-2015-0565), die im Laufe der Zeit immer weiter verfeinert wurden. So wurde Rowhammer in JavaScript übertragen, was Angriffe über einen Webbrowser ermöglichte, und landete im Oktober 2016 sogar als Android-App auf Smartphones (CVE-2016-6728). Dass Rowhammer bei DDR3-Chips funktioniert, nicht aber bei den ersten beiden DDR-Generationen, liegt an den feineren Fertigungsprozessen. Die groben Strukturen der älteren DRAM-Chips machen diese unempfindlich gegen den erforderlichen Spannungsaufbau.

Das Gegenmittel: Target Row Refresh
Da eine Rückkehr zu größeren Strukturen für DDR4 keine Option war, wurde Target Row Refresh (TRR) als Ausweg ersonnen und ab 2015 in DDR4- und LPDDR4-Chips implementiert. Diese Lösung ist recht simpel: Wenn bestimmte Speicherreihen häufig aufgerufen werden, müssen zwischendurch auch mal die benachbarten Reihen aufgefrischt werden, um erst gar kein kritisches Spannungsgefälle entstehen zu lassen. Leider handelt es sich bei TRR um keinen gemeinsamen Standard, sondern nur um ein Konzept, dass jeder Speicherhersteller im Geheimen auf seine eigene Art und Weise umgesetzt hat. Gleiches gilt für die Speicher-Controller in den Prozessoren. Dennoch: Auf den ersten Blick schien TRR fehlerfrei zu funktionieren, denn die Forscher von der Vrije Universiteit Amsterdam konnten mit den bekannten Rowhammer-Methoden solange auf die DDR4-Chips einhämmern wie sie wollten: Es kippten keine Bits. Ist Rowhammer also Geschichte?

Wie man TRR aushebelt
Im nächsten Schritt besorgten sie sich ein FPGA-basiertes Werkzeug namens SoftMC von der ETH Zürich, welches ihnen präzise Kontrolle über Low-Level-DRAM-Befehle gab. Die Forscher wollten verstehen, wie TRR im Detail funktioniert, um mögliche Schwachstellen zu identifizieren. Am Ende musste sie feststellen, dass TRR leider kein Allheilmittel ist und man bei DDR4-Chips die Bits noch viel effizienter kippen kann als bei der DDR3-Generation. Damit TRR funktioniert, müssen die Zugriffe auf die Speicherreihen protokolliert werden, doch für dieses Protokoll steht nicht viel Speicher zur Verfügung. Da sich Rowhammer-Angriffe auf die beiden benachbarten Reihen (Aggressoren) des eigentlichen Ziels konzentrieren, konnte man knapp kalkulieren. Doch was geschieht, wenn acht oder mehr Aggressoren ins Spiel kommen? Dann verliert TRR den Überblick und die ersten Bits verändern ihren Wert.

Many-Sided Rowhammer auf PCs und Smartphones
Am erfolgreichsten war ein Streifenmuster, in dem sich Aggressoren und Opfer abwechselten. Die Wissenschaftler bezeichnen diese Variante als Many-Sided Rowhammer, wobei die optimale Seitenzahl von der jeweiligen TRR-Implementierung abhängt. Bei einigen Chips brachten drei Seiten die meisten Bits zum kippen, andere zeigten sich erst bei 19 Seiten besonders anfällig. Allerdings gibt es auch gewaltige Unterschiede in der Gesamtzahl der gekippten Bits: Von 42 Speicherriegeln ließen sich zwölf aus dem Tritt bringen. Bei den anfälligen DIMMs kippten dann zwischen 5 und 190.037 Bits! Zusammen mit Qualcomm wurde die neue Angriffsvariante dann auch auf aktuelle Smartphones (Google Pixel 3 und Samsung Galaxy S10) übertragen und auf LPDDR4-Speicher eingehämmert. Und auch hier kippten die Bits.

TRRespass ist nicht reparierbar
Wie die neuen Untersuchungen zeigen, wurden aus Rowhammer zwar die richtigen Schlüsse gezogen, letztendlich aber nicht weit genug gedacht. Bei DDR3-Chips hätten die aktuellen TRR-Implementierungen vermutlich ausgereicht, denn die Strukturen dieser Chips sind nicht fein genug, um vom Streifenmuster eines Many-Sided Rowhammer beeinflusst zu werden. Bei DDR4-Chips sind die Strukturen derweil noch weiter geschrumpft und damit elektrisch empfindlicher geworden, so dass man den Angriff verbreitern und dennoch kritische Spannungsunterschiede erreichen kann. Dies ist völlig plausibel und hätte bei der Konzeption von TRR berücksichtigt werden müssen, zumal der Einfluss der Fertigungsstrukturen als entscheidende Größe bestens bekannt war. Doch das ist nicht geschehen und jetzt haben wir den Schlamassel.

Seit Dienstagabend liegen der finale Firefox 74 sowie die ESR-Version 68.6.0 zum Download bereit. Mozillas Entwickler haben zwölf Sicherheitslücken geschlossen, die unsicheren TLS-Versionen 1.0 und 1.1 deaktiviert sowie den Schutz von WebRTC-Verbindungen verbessert. Erweiterungen, die von anderen Anwendungen installiert wurden, lassen sich nun leichter entfernen.

Verschlüsselung der DNS-Anfragen bleibt optional
Für die Beta-Versionen hatte Mozilla angekündigt, verschlüsselte DNS-Abfragen zum Standard zu machen. Zunächst wollte man "DNS über HTTPS" für Nutzer aus den USA über Cloudflare abwickeln und weitere Regionen dann nach und nach freischalten. In den Veröffentlichungshinweisen zum finalen Firefox 74.0 fehlt dieses Thema leider völlig, doch man kann "DNS über HTTPS" in den Einstellungen unter "Verbindungs-Einstellungen" manuell aktivieren und dort als Anbieter auch NextDNS auswählen. Weiterhin ist es möglich, einen eigenen Anbieter zu definieren. Dank "DNS über HTTPS" werden alle DNS-Anfragen verschlüsselt, was Mittelsmann-Angriffe und Zensurmaßnahmen erschwert.

TLS 1.2 als neue Mindestanforderung
Die unsicheren TLS-Versionen 1.0 und 1.1 wurden wie angekündigt abgeschaltet, standardmäßig verlangt der Firefox mindestens eine Absicherung mit TLS 1.2. Einige Dienste, darunter die Kundenschnittstelle des Web-Hosters Host Europe, verharren allerdings noch auf den alten Protokollversionen, was der Firefox 74.0 mit einer Fehlermeldung quittiert. Aktuell kann man sich noch damit behelfen, die veralteten TLS-Versionen über das Fehlerfenster oder den Aufruf von about:config (Wert von security.tls.version.enable-deprecated auf WAHR ändern) zurückzuholen.

Rund um die Privatsphäre
Der im Firefox integrierte Passwort-Manager Lockwise sortiert die Logins nicht nur von A bis Z, sondern bietet nun auch die umgekehrte Variante von Z bis A an. Bei Video- und Audioverbindungen über WebRTC kann ab sofort mDNS ICE genutzt werden, um die Privatsphäre zu verbessern. Hierbei wird eine zufällige Kennung verwendet, um die IP-Adresse des eigenen Computers zu verbergen. Auch die optionale Erweiterung Facebook Container schützt die Privatsphäre, indem sie Facebook-Inhalte auf Drittseiten blockiert und damit das Tracking des sozialen Netzwerks unterbindet. Neu ist dabei die Möglichkeit, eine Whitelist mit erlaubten Webseiten zu erstellen.

Weitere Neuerungen
Erweiterungen (Add-ons) sind praktisch, werden den Benutzern zuweilen aber auch aufgezwungen. Wenn eine Erweiterung nicht vom Benutzer, sondern von der Software eines Drittanbieters installiert wurde, lässt sich diese nun leichter entfernen. Zukünftig will Mozilla die Installation ohne Zustimmung des Benutzers komplett unterbinden. Wer mit Edgium, der auf Chromium basierenden Ausgabe von Microsofts Webbrowser Edge, nicht grün wird, kann bequem zum Firefox umziehen (nur Windows und Mac). Unter Windows ist ein schneller Zugriff auf die Seiteninformationen nun über die Tastenkombination Strg+I möglich, für Lesezeichen wird nur noch Strg+B verwendet. Dazu kommen Korrekturen für angeheftete Tabs und den Upload bei Instagram.

Die Sicherheitslücken
Im Firefox 74 wurden zwölf sicherheitsrelevante Fehler korrigiert. Von fünf Schwachstellen geht eine hohe Gefahr aus, darunter befinden sich auch zwei Einträge (CVE-2020-6814 und CVE-2020-6815), die gleich mehrere Speicherfehler zusammenfassen. CVE-2020-6814 beinhaltet dabei Lücken, die auch im Firefox 68.6.0 ESR gestopft worden sind. Hinzu kommen zwei Zugriffe auf bereits gelöschte Objekte (CVE-2020-6805 und CVE-2020-6807) und ein unkontrollierter Lesezugriff (CVE-2020-6806). Sechs Schwachstellen bewertet Mozilla als moderat und eine stellt eine geringfügige Bedrohung dar.

Download:

• Firefox 74.0
• Firefox 68.6.0 ESR

Forscher unter Leitung der KU Leuven haben einen weiteren Angriff auf Prozessoren des Herstellers Intel offengelegt: LVI, die Load Value Injection (Ladewertinjektion). LVI (CVE-2020-0551, Intel-SA-00334) stellt das Konzept der bekannten Meltdown-Attacken sozusagen auf den Kopf, denn hier wird kein Datenleck provoziert, sondern einer Zielapplikation gezielt Daten untergeschoben. Dies gefährdet insbesondere Intels Sicherheitserweiterung SGX (Software Guard eXtensions).

Wie LVI funktioniert
2018 hatten Spectre und Meltdown gezeigt, dass die Sicherheitsarchitektur modernen Prozessoren massive Mängel aufweist und Angreifer geschützte Daten über eine Beeinflussung der Sprungvorhersage mit anschließenden Seitenkanalangriffe auslesen können. Es folgten diverse Meltdown-Variationen wie Foreshadow, ZombieLoad, RIDL und Fallout, welche an unterschiedlichen Zwischenspeichern der CPU-Architekturen ansetzten. Die Load Value Injection (LVI) präsentiert sich nun als eine Chimäre aus Spectre und Meltdown: Zunächst vergiftet der Angreifer einen Zwischenspeicher mit eigenen Werten, dann bringt er die Zielanwendung dazu, diese Daten zu laden. Die Applikation arbeitet vorübergehend mit diesen vom Angreifer gesteuerten Daten, dann bemerkt der Prozessor den Fehler und kehrt zum Zustand vor der Injektion zurück. Im kurzen Zeitraum dazwischen besteht allerdings die Möglichkeit, geschützte Daten über Seitenkanalangriffe abzugreifen. Dies funktioniert auch bei SGX-geschützten Speicherbereichen, den sogenannten Enklaven. Intel hatte die Software Guard eXtensions (SGX) im Jahr 2015 mit der Skylake-Architektur eingeführt, um besonders kritische Anwendungen abzukapseln.

Neue Schutzmaßnahmen kosten sehr viel Leistung
Alle bisher getroffenen Maßnahmen gegen Spectre, Meltdown und deren Ableger bleiben bei LVI wirkungslos, wie Proof-of-Concept-Code der Sicherheitsforscher am Beispiel von SGX-geschützten Anwendungen belegt. Da sich dieser Angriff praktisch auf alle Speicherzugriffe anwenden lässt, fallen Gegenmaßnahmen besonders schwer. Die Entdecker der Sicherheitslücke halten Hardware-Nachbesserungen für ausgeschlossen, womit als einzige Lösung Anpassungen in der Software bleiben. Um LVI völlig auszuschließen, müsste jeder Lesezugriff über LFENCE abgesichert werden. Damit würde zwar sichergestellt, dass die verarbeiteten Daten gültig sind, doch diese Serialisierung der Prozessor-Pipeline kostet viel Leistung. Zudem müsste man einige häufig genutzte Befehle wie x86-Ret auf eine schwarze Liste setzen. Eine vollständige Abhilfe auf Compiler- und Assembler-Ebene plant Intel daher nur für den besonders sensiblen SGX-Bereich. Die Wissenschaftler aus Leuven konnten Intels Maßnahmen bereits prüfen und vermelden für SGX eine massive Verlängerung der Verarbeitungszeit um das 2- bis 19-Fache. Dabei ist zu berücksichtigen, dass Intel fast ein Jahr Zeit hatte, um Gegenmaßnahmen zu entwickeln.

Fast ein Jahr Vorwarnzeit
Das internationale Forscherteam (KU Leuven: Jo Van Bulck, Frank Piessens; Worcester Polytechnic Institute: Daniel Moghimi, Berk Sunar; TU Graz: Michael Schwarz, Moritz Lipp, Daniel Gruss; University of Michigan: Marina Minkin, Daniel Genkin; University of Adelaide: Yuval Yarom) hatte Intel am 4. April 2019 über LVI informiert. Auch ARM und IBM wurden unterrichtet, da sich der Angriff zumindest teilweise auch auf deren Architekturen übertragen ließe. AMD scheint außen vor zu sein, da dort bei Ladefehlern erst gar keine Folgedaten erzeugt werden. Ähnlich soll auch ARM bei einigen seiner Architekturen vorgehen. Um Gegenmaßnahmen ergreifen zu können, erbat sich Intel Stillschweigen bis zum 10. März 2020. Diese lange Frist liegt vermutlich darin begründet, dass Anfang 2018 ein halbes Jahr nicht ausgereicht hatte, um ausgereifte Maßnahmen gegen Spectre und Meltdown präsentieren zu können. Intel selbst spricht bezüglich LVI von einem mittelschweren Problem und beziffert die CVSS-Base-Score auf 5,6. Entwickler sollen das SGX-SDK auf die Version 2.7.100.2 oder höher für Windows bzw. 2.9.100.2 oder höher für Linux aktualisieren.

Microsoft hat gestern 116 Sicherheitslücken in Windows, dem Internet Explorer, Edge (EdgeHTML/Chromium) nebst ChakraCore, Office samt Office Services und Web Apps, Visual Studio, Azure samt DevOps, dem Windows Defender, Dynamics, dem Exchange Server und nicht näher benannter Open-Source-Software geschlossen. Auch für Windows 7 und Server 2008 R2 gibt es ein neues Monatliches Rollup (KB4540688), doch dieses lässt sich nur installieren, wenn man einen kostenpflichtigen Support-Vertrag mit Microsoft geschlossen hat - oder wenn man dessen Prüfung aushebelt.

Das Projekt BypassESU von abbodi trickst Microsofts Prüfung nämlich aus, so dass sich die kostenpflichtigen "Extended Security Updates" (ESU) auf jedem Windows 7 installieren lassen. Allerdings muss diese Prüfung jeden Monat aufs Neue umschifft werden und auch hinter die Legalität eines solchen Vorgehens möchten wir einige Fragezeichen setzen. Andererseits kann man zumindest Privatnutzern nur bedingt vorwerfen, dass sie sich hierbei eine Leistung erschleichen, da Microsoft gar keine ESU-Verträge für Privatkunden anbietet. Sinnvoller erscheint uns allerdings der Umstieg auf Windows 10, der nach wie vor kostenlos funktioniert.

Wer heutzutage erfahren will, welche Sicherheitslücken Microsoft beseitigt hat, muss bei Talos, den Sicherheitsspezialisten von Cisco Systems, vorbeischauen. Microsofts eigener Security Update Guide liefert nämlich auch weiterhin eine völlig unübersichtliche Auflistung und taugt nur zur gezielten Suche nach Informationen über spezielle Updates oder Produkte. Es ist nicht einmal möglich, jene Sicherheitslücken, welche bereits aktiv angegriffen werden, herauszufiltern.

17 kritische Lücken in Edge und Internet Explorer
Microsoft bewertet 24 Schwachstellen als kritisch, von 91 geht eine hohe Gefahr aus und eine betrachtet man in Redmond als moderates Risiko. Zehn kritische Speicherfehler (CVE-2020-0811, CVE-2020-0812, CVE-2020-0823, CVE-2020-0825, CVE-2020-0826, CVE-2020-0827, CVE-2020-0828, CVE-2020-0829, CVE-2020-0831 und CVE-2020-0848) wurden in der JavaScript-Engine ChakraCore entdeckt. Sie betreffen Edge (EdgeHTML) und ermöglichen das Einschleusen von Schadcode, wobei Microsoft Angriffe für weniger wahrscheinlich hält. Gleiches gilt für eine Speichermanipulation im Edge-Browser selbst (CVE-2020-0816). Die Speicherfehler CVE-2020-0768 und CVE-2020-0830 betreffen neben Edge (EdgeHTML) auch den Internet Explorer 11, in beiden Fällen soll eine Ausnutzung weniger wahrscheinlich sein. Anders sieht es bei zwei weiteren Lücken (CVE-2020-0832 und CVE-2020-0833) des Typs Remote Code Execution aus, welche man in der Scripting-Engine des Internet Explorers entdeckt hat, denn dort muss man zeitnah mit Angriffen rechnen! Gleiches gilt für einen kritischen Speicherfehler in der VBScript-Engine des Internet Explorers (CVE-2020-0847) sowie einen weiteren im Browser selbst (CVE-2020-0824).

Windows Media Foundation, GDI+ und .LNK-Dateien
Windows Media Foundation versagt gleich viermal beim Umgang mit Objekten im Arbeitsspeicher (CVE-2020-0801, CVE-2020-0807, CVE-2020-0809 und CVE-2020-0869), so dass man Windows 10 und Windows Server über präparierte Dokumente oder Webseiten Schadcode unterschieben kann. Dass dies in nächster Zeit geschehen wird, ist laut Microsoft allerdings weniger wahrscheinlich. Ähnlich verhält es sich bei zwei Speichermanipulationen im Graphics Device Interface (GDI+), wobei diese beiden Schwachstellen (CVE-2020-0881 und CVE-2020-0883) neben Windows 10 auch die Versionen 7 und 8.1 sowie alle Server ab 2008 inklusive der Core-Installationen gefährden. Bleibt noch ein Angriff über .LNK-Dateien (CVE-2020-0684), welcher ebenfalls bei allen Windows-Versionen funktioniert, die .LNK-Datei befindet sich dabei auf einem externen Laufwerk oder einer Netzwerkfreigabe. Auch hier hält Microsoft baldige Angriffe für weniger wahrscheinlich.

Intels Management Engine (ME), ein autonomes Subsystem im Chipsatz bzw. Prozessor, verspricht mehr Sicherheit und Kontrolle. Tatsächlich entzieht sich die ME, welche Intel seit 2017 als Converged Security and Management Engine (CSME) bezeichnet, jeglicher Kontrolle und ist schon durch mehrere Sicherheitslücken aufgefallen. Aufgrund einer dieser Schwachstellen droht in absehbarer Zeit der Verlust des Generalschlüssels.

Was ist Intels Management Engine eigentlich?
Die ME ist ein eigenständiger Mikrocontroller, der seit dem Jahr 2008 in allen Chipsätzen und SoCs des Herstellers Intel steckt. Sie wird über die permanent anliegende +5V-Schiene des Netzteils versorgt wird. Ist das Netzteil eingeschaltet, dann läuft auch die ME - selbst dann, wenn sich der PC eigentlich im Standby befindet. Die ME läuft auch im Hintergrund, wenn das Betriebssystem geladen ist. Sie kann auf den Arbeitsspeicher und die Tastatur zugreifen, den Netzwerkverkehr überwachen und die UEFI-Firmware (BIOS) verändern. Im Prinzip handelt es sich um einen gekapselten Rechner innerhalb des Systems, auf den weder der Benutzer noch das Betriebssystem zugreifen können - es sei denn über Sicherheitslücken. Derjenige, der die ME unter seine Kontrolle bringen kann, wird sozusagen allmächtig und bleibt zudem völlig unentdeckt. Geschützt wird die ME primär dadurch, dass es sich um eine weitgehend undokumentierte Technologie handelt.

Worin besteht das aktuelle Problem?
Es scheint als hätte Intel am Ende doch ein wenig zu viel dokumentiert: Die russische Firma Positive Technologies (PTE) ist in den offiziellen Datenblättern darüber gestolpert, dass wichtige Schutzmechanismen erst kurz nach dem Systemstart zur Verfügung stehen. Hat man physischen Zugriff auf das Gerät und ist schnell genug, kann man den flüchtigen Speicher der ME manipulieren und sich Zugriff auf den Generalschlüssel der Sicherheitsarchitektur verschaffen. Damit würde die Vertrauenskette (Chain of Trust) gleich am ersten Glied brechen und alle folgenden Mechanismen von Hardware-Sicherheitsmerkmalen wie Software Guard Extensions (SGX) und Trusted Execution Environment (TEE) über UEFI Secure Boot bis hin zum Betriebssystem, Datenträgerverschlüsselung, Kopierschutzmechanismen und Software-Zertifikaten mitreißen. Die schlechte Nachricht lautet: Intel verwendet für Millionen Systeme den selben Generalschlüssel. Die gute Nachricht ist, dass der Schlüssel bisher noch nicht geknackt werden konnte.

Mehr Details
Der Fehler steckt in der Hard- und Software des Boot-ROM: Die ME nutzt SRAM (Static Random-Access Memory) als eigenen Arbeitsspeicher, der von einer IOMMU (Input-Output Memory Management Unit) vor unberechtigten Zugriffen geschützt wird. Die meisten Funktionen der IOMMU, welche ein Bestandteil des MISA (Minute IA System Agent) ist, sind standardmäßig inaktiv und müssen erst einmal angeschaltet werden. Gelingt ein DMA-Zugriff bevor das SRAM geschützt ist, lassen sich dort diverse Schlüssel abgreifen, von denen zwei von besonderer Bedeutung sind. Zunächst wäre da der Schlüssel für den Integrity Control Value Blob (ICVB). Mit diesem ICVB-Schlüssel, der für alle Systeme der gleichen Plattform identisch ist, kann man den Code jedes beliebigen CSME-Firmware-Moduls ohne Angst vor Entdeckung manipulieren. Es handelt sich sozusagen um Intels privaten Schlüssel zum Signieren der CSME-Firmware für eine bestimmte Plattform. Eine Ebene tiefer befindet sich der Chipsatz-Schlüssel, der gleich eine ganze Architektur abdeckt und der nachträglich nicht geändert werden kann. Dieser Generalschlüssel ist selbst verschlüsselt, so dass man ihn nicht nur extrahieren, sondern auch den dazugehörigen Hardware-Schlüssel im Secure Key Storage (SKS) knacken muss. Bei Positive Technologies vertritt man die Ansicht, dass dies nur eine Frage der Zeit sei und danach ein totales Chaos drohe.

Intel war das Problem bekannt
Wirklich neu ist diese Sicherheitslücke nicht, Intel hatte sie bereits am 14. Mai 2019 unter der Kennung CVE-2019-0090 gemeldet und in den Prozessoren der Generation Ice Point geschlossen. Ältere Plattformen will Intel offenbar über UEFI- und ME-Updates absichern, beispielsweise indem der Integrated Sensors Hub (ISH) als möglicher Angriffsvektor ausgeklammert wird. Mit einer CVSS-Base-Score von 7,1 geht von dieser Schwachstelle eine hohe Gefahr aus.

Nur wenige Stunden vor der geplanten Freigabe des finalen Firefox 74 am morgigen Dienstag haben Mozillas Entwickler einen dritten Finalkandidaten zum Download bereitgestellt. Mit dem Firefox 74 startet die standardmäßige Aktivierung von "DNS über HTTPS", während die unsicheren TLS-Versionen 1.0 und 1.1 gekappt wurden.

Verschlüsselung der DNS-Anfragen wird zum Standard
"DNS über HTTPS" löst die Anfragen über Cloudflare auf und soll laut Mozilla nach und nach freigeschaltet werden, wobei die USA den Anfang machen. Nutzer aus anderen Ländern können "DNS über HTTPS" in den Einstellungen unter "Verbindungs-Einstellungen" manuell aktivieren und dort als Anbieter auch NextDNS auswählen. Weiterhin ist es möglich, einen eigenen Anbieter zu definieren. Dank "DNS über HTTPS" werden alle DNS-Anfragen verschlüsselt, was Mittelsmann-Angriffe und Zensurmaßnahmen erschwert.

TLS 1.2 als neue Mindestanforderung
Die unsicheren TLS-Versionen 1.0 und 1.1 wurden derweil abgeschaltet, standardmäßig verlangt der Firefox mindestens eine Absicherung mit TLS 1.2. Einige Dienste, darunter die Kundenschnittstelle des Web-Hosters Host Europe, verharren allerdings noch auf den alten Protokollversionen, was der Firefox 74.0 mit einer Fehlermeldung quittiert. Aktuell kann man sich noch damit behelfen, die veralteten TLS-Versionen über das Fehlerfenster oder den Aufruf von about:config (Wert von security.tls.version.enable-deprecated auf WAHR ändern) zurückzuholen.

Weitere Neuerungen
Edgium, die neue, nun auf Chromium basierende Ausgabe von Microsofts Webbrowser Edge, kommt so langsam bei den ersten Nutzern an und schon ermöglicht Mozilla einen bequemen Umzug - zum Firefox (nur Windows und Mac). Unter Windows ist ein schneller Zugriff auf die Seiteninformationen nun über die Tastenkombination Strg+I möglich, für Lesezeichen wird nur noch Strg+B verwendet. Wer die Erweiterung "Multi-Account Containers" installiert hat, kann über einen Rechtsklick auf die Schaltfläche zum Hinzufügen eines neuen Tabs die gewünschte Tab-Umgebung (Freizeit, Arbeit, Banking, Einkaufen) auswählen.

Download: Firefox 74.0 Finalkandiat 3

Einmal im Monat schauen wir bei NetMarketShare auf die aktuelle Marktentwicklung bei den PC-Betriebssystemen und auf dieser liegt aktuell ein besonders starker Fokus, schließlich endete am 14. Januar 2020 der kostenlose Support für Windows 7. Doch die Massenflucht hin zu Windows 10, das sich nach wie vor kostenlos mit Lizenzschlüsseln von Windows 7, 8 oder 8.1 installieren lässt, ist auch im Februar ausgeblieben.

Vorab ein wichtiger Hinweis: NetMarketShare hatte seine Datenauswertung im Januar 2020 umgestellt, was Änderungen für die Monate September bis Dezember 2019 zur Folge hatte. Die Marktanteile von Windows 10 wurden für diese Monaten um ein bis zwei Prozent nach unten korrigiert, während die von Windows 7 um rund drei Prozent angewachsen sind. Schlimmer hat es macOS 10.15 getroffen, das seinen Höhenflug einem Zuordnungsfehler verdankte: Laut NetMarketShare wurde iPadOS 13 fälschlich als macOS 10.15 erkannt, so dass dessen Werte um ein bis zwei Prozentpunkte zu hoch waren. Obiges Diagramm basiert ausschließlich auf den neuen Zahlen.

Windows 10, seit Dezember 2018 der unangefochtene Marktführer unter den PC-Betriebssystemen, konnte seinen Marktanteil im Februar lediglich um 0,31 Punkte auf 57,39 Prozent ausbauen, während der Marktanteil von Windows 7 um 0,36 Punkte auf 25,20 Prozent gesunken ist. Hieraus lässt sich zwar eine Abwanderung von Windows 7 zu Windows 10 ablesen, doch diese ist marginal und dürfte Microsoft gar nicht gefallen. Nur die wenigsten dieser Rechner dürften zum kostenpflichtigen Support-Plan, der kritische Flicken noch bis Januar 2023 gewährleistet, gewechselt sein, so dass man nun ein Viertel aller PCs weltweit als gefährdet einstufen muss. Platz 3 geht nach Cupertino, denn Apples macOS 10.15 konnte sich mit 3,49 Prozent (+0,10) ganz knapp gegen Windows 8.1 (3,48%; +0,10) durchsetzen.

Für unser Diagramm haben wir Windows 8.1 mit Windows 8.0 (Platz 9 mit 0,66%; +0,03) zusammengefasst. In der Addition kommen die beiden Unterversionen auf 4,14 Prozent, was einen Zuwachs um 0,13 Punkte bedeutet. Zwischen Windows 8.1 und 8.0 belegen macOS 10.14 (2,77%; -0,35), macOS 10.13 (1,55%; +0,04), Linux (1,51%; +0,41) und Windows XP (1,35%; +0,01) die Plätze fünf bis acht. macOS 10.12 komplettiert die Top 10 mit einem Marktanteil von 0,64 Prozent (-0,11). Hinsichtlich Linux ist anzumerken, dass NetMarketShare einige Distributionen wie Chrome OS (Platz 12 mit 0,42%; -0,07), Ubuntu (Platz 13 mit 0,29%; -0,07) und Fedora (Platz 22 mit 0,02%; +/-0,00) separat aufführt. In der Summe ergibt dies 2,24 Prozent (+0,27) und damit Platz 6 für die Linux-Fraktion.

Am 24. März 2020 startet das Streaming-Angebot Disney+ in Deutschland und Österreich zum Kampfpreis von 59,99 Euro pro Jahr. Dieses Angebot gilt allerdings nur bis zum 23. März 2020, also für alle Vorbesteller. Danach werden 69,99 Euro pr Jahr bzw. 6,99 Euro pro Monat fällig. Alle genannte Preise verstehen sich inklusive der Mehrwertsteuer.

Vorbesteller zahlen im Jahresabonnement also nicht einmal 5 Euro pro Monat, doch selbst der Monatspreis von 6,99 Euro unterbietet das Basisangebot von Netflix um einen Euro. Und während man beim Basis-Netflix auf ein Gerät und Standardauflösung (SD) limitiert ist, gibt es bei Disney+ ein Familienkonto für bis zu sieben Profile sowie die bestmögliche Auflösung. Ganz offensichtlich spekuliert Disney auf Kunden, die Disney+ als zweiten oder dritten Streaming-Dienst ausprobieren und hofft, dass am Ende andere Anbieter aussortiert werden. Aktuell gibt es einen wachsenden Wettbewerbsdruck, doch eine Konsolidierung des Marktes ist abzusehen.

Disney selbst ist eine weltbekannte Marke im Bereich der Familienunterhaltung, doch mit Pixar, Marvel und Star Wars hat man drei weitere Trümpfe im Ärmel. Deren Produktionen waren bisher bei Konkurrenten wie Netflix zu sehen, doch diese Lizenzen laufen nach und nach aus, was die Fans in Richtung Disney+ locken wird. Dabei helfen auch exklusive Neuheiten wie "Star Wars: The Mandalorian", eine Art Weltraum-Western im Star-Wars-Universum oder die Serienadaption von "High School Musical". Ebenfalls am Start: Die Dokumentationsserie "The World According to Jeff Goldblum" sowie aufwändige Dokumentationen von National Geographic.

Zum Abschluss noch ein Hinweis: Bei dieser Meldung handelt es sich nicht um Werbung. Niemand hat für diesen Beitrag bezahlt und wir haben einen ganz normalen Link ohne Skripte oder Tracker gesetzt. Wer das gut findet, kann uns über PayPal unterstützen. Herzlichen Dank!

Aufgrund eines Sicherheitsproblems hatte die Zertifizierungsstelle "Let's Encrypt" angekündigt, mehr als drei Millionen Zertifikate vorzeitig zurückzuziehen. Letztendlich wurden allerdings nur 1,7 Millionen Zertifikate für ungültig erklärt, da man ansonsten über eine Million Webseiten quasi stillgelegt hätte.

"Let's Encrypt" hatte am vergangenen Mittwoch um 21:00 Uhr deutscher Zeit mit der Ungültigmachung der als unsicher geltenden Zertifikate begonnen und als Deadline für den Austausch Donnerstag um 4:00 Uhr morgens kommuniziert. Dass "Let's Encrypt" den über E-Mail alarmierten Administratoren nur gut einen Tag zum Reagieren ließ, liegt in den strengen Anforderungen des "CA/Browser Forums", welches die verschiedenen Zertifizierungsstellen sowie die Browser-Entwickler repräsentiert, begründet. Gegen Ende der Deadline zeigte sich allerdings, dass nur 1.706.505 Zertifikate ausgetauscht worden waren. Abzüglich doppelter Einträge blieben damit gut eine Million Domains übrig, deren Erreichbarkeit durch die Rücknahme der restlichen Zertifikate akut bedroht war.

Wenn ein Browser auf eine Webseite zugreift und diese ein ungültiges Zertifikat vorlegt, warnt der Browser eindringlich vor dem Aufruf dieser Seite. Dies soll Benutzer vor dem Zugriff auf betrügerische Angebote oder gehackte Webseiten schützen. Das Zurückziehen von derart vielen aktiv genutzten Zertifikaten hätte die betroffenen Webseiten praktisch stillgelegt. Oder, schlimmer noch, es hätte Benutzer dazu verleiten können, die Warnungen der Browser zu ignorieren und somit die Autorität dieses Schutzmechanismus dauerhaft untergraben. Da keine akute Bedrohung besteht, wurde letztendlich entschieden, die restlichen Zertifikate normal auslaufen zu lassen - die von "Let's Encrypt" herausgegebenen Zertifikate haben nur eine Laufzeit von 90 Tagen.

Die Sicherheitslücke
Das Problem steckte in der quelloffenen Software "Boulder", welche als "Certification Authority Authorization" fungiert: Wird ein Zertifikat für mehrere Domains herausgegegeben, muss für jede einzelne Domain geprüft werden, ob der Auftraggeber auch die Kontrolle über diese Domain hat und somit ein entsprechendes Zertifikat erhalten darf. Doch statt dies für jede Domain zu prüfen, fragte "Boulder" nur die erste Domain ab, dies allerdings mehrfach, nämlich für die Zahl der angegebenen Domains. Somit war es möglich, Zertifikate für fremde Domains zu erlangen, welche sich beispielsweise für Mittelsmann-Angriffe missbrauchen lassen. "Let's Encrypt" hatte das Problem am 29. Februar 2020 entdeckt und gut zwei Stunden später repariert. Allerdings hatte das Problem vermutlich schon seit dem 25. Juli 2019 bestanden.

Aufgrund eines Sicherheitsproblems hat die Zertifizierungsstelle "Let's Encrypt" mehr als drei Millionen Zertifikate vorzeitig zurückgezogen. Die Maßnahme begann am gestrigen Mittwoch um 21:00 Uhr deutscher Zeit und den Betreibern der betroffenen Webseiten blieb nur etwas mehr als ein Tag, um auf die Ankündigung zu reagieren. In jedem Fall war ein manueller Eingriff erforderlich

Aktuell hat "Let's Encrypt" rund 116 Millionen Zertifikate ausgegeben, so dass 3.048.289 einem Anteil von 2,6 Prozent entsprechen. Bei etwa einem Drittel der zurückgezogenen Zertifikate handelt es sich um Duplikate, womit die Zahl der betroffenen Domains auf um die zwei Millionen sinkt. Dass "Let's Encrypt" derart hektisch reagiert hat, liegt in den strengen Anforderungen des "CA/Browser Forums", welches die verschiedenen Zertifizierungsstellen sowie die Browser-Entwickler repräsentiert, begründet.

Das Problem steckte in der quelloffenen Software "Boulder", welche als "Certification Authority Authorization" fungiert: Wird ein Zertifikat für mehrere Domains herausgegegeben, muss für jede einzelne Domain geprüft werden, ob der Auftraggeber auch die Kontrolle über diese Domain hat und somit ein entsprechendes Zertifikat erhalten darf. Doch statt dies für jede Domain zu prüfen, fragte "Boulder" nur die erste Domain ab, dies allerdings mehrfach, nämlich für die Zahl der angegebenen Domains. Somit war es möglich, Zertifikate für fremde Domains zu erlangen, welche sich beispielsweise für Mittelsmann-Angriffe missbrauchen lassen.

"Let's Encrypt" hatte das Problem am 29. Februar 2020 entdeckt und gut zwei Stunden später repariert. Allerdings bestand das Problem vermutlich schon seit dem 25. Juli 2019. Bisher ist unklar, ob der Fehler in den vergangenen sieben Monaten für Angriffe genutzt wurde.

Nach lediglich drei Wochen Beta-Test mit neun Beta-Ausgaben liegt der zweite Finalkandidat des Firefox 74.0 zum Download bereit. Mit dem Firefox 74 startet die standardmäßige Aktivierung von "DNS über HTTPS", während die unsicheren TLS-Versionen 1.0 und 1.1 gekappt wurden. Die Freigabe der finalen Fassung ist für den kommenden Dienstag geplant.

Verschlüsselung der DNS-Anfragen wird zum Standard
"DNS über HTTPS" löst die Anfragen über Cloudflare auf und soll laut Mozilla nach und nach freigeschaltet werden, wobei die USA den Anfang machen. Nutzer aus anderen Ländern können "DNS über HTTPS" in den Einstellungen unter "Verbindungs-Einstellungen" manuell aktivieren und dort als Anbieter auch NextDNS auswählen. Weiterhin ist es möglich, einen eigenen Anbieter zu definieren. Dank "DNS über HTTPS" werden alle DNS-Anfragen verschlüsselt, was Mittelsmann-Angriffe und Zensurmaßnahmen erschwert.

TLS 1.2 als neue Mindestanforderung
Die unsicheren TLS-Versionen 1.0 und 1.1 wurden derweil abgeschaltet, standardmäßig verlangt der Firefox mindestens eine Absicherung mit TLS 1.2. Einige Dienste, darunter die Kundenschnittstelle des Web-Hosters Host Europe, verharren allerdings noch auf den alten Protokollversionen, was der Firefox 74.0 mit einer Fehlermeldung quittiert. Aktuell kann man sich noch damit behelfen, die veralteten TLS-Versionen über das Fehlerfenster oder den Aufruf von about:config (Wert von security.tls.version.enable-deprecated auf WAHR ändern) zurückzuholen.

Weitere Neuerungen
Edgium, die neue, nun auf Chromium basierende Ausgabe von Microsofts Webbrowser Edge, kommt so langsam bei den ersten Nutzern an und schon ermöglicht Mozilla einen bequemen Umzug - zum Firefox (nur Windows und Mac). Unter Windows ist ein schneller Zugriff auf die Seiteninformationen nun über die Tastenkombination Strg+I möglich, für Lesezeichen wird nur noch Strg+B verwendet. Wer die Erweiterung "Multi-Account Containers" installiert hat, kann über einen Rechtsklick auf die Schaltfläche zum Hinzufügen eines neuen Tabs die gewünschte Tab-Umgebung (Freizeit, Arbeit, Banking, Einkaufen) auswählen.

Download: Firefox 74.0 Finalkandiat 2

Am Spot-Markt in Taiwan sind nicht nur die Kurse für Arbeitsspeicher weiter angezogen, sondern auch die Preise für Flash-Chips, die beispielsweise in SSDs, Speicherkarten und USB-Sticks verbaut werden. Insbesondere die Handelspreise für größere MLC- sowie 3D-TLC-Chips haben in den vergangenen vier Wochen um mehr als fünf Prozent zugelegt.

Für NAND-Chips des Typs 64Gb 8Gx8 MLC musste man am Freitag durchschnittlich 2,646 US-Dollar auf den Tisch legen, womit sich der Kursanstieg nochmals beschleunigt hat (Dezember 2019: +1,91%; Januar 2020: +2,17%; Februar 2020: +4,20%; März 2020: +5,71%). Auch der Preisverfall im übrigen Jahr 2019 wurde damit zunichte gemacht, denn der Vergleich mit März 2019 zeigt uns einen Aufschlag von 6,61 Prozent.

Die halbe Größe, also 32Gb 4Gx8 MLC, erzielte zuletzt einen Kurs von 2,315 US-Dollar (-0,39%) und tritt damit auf der Stelle. Vor einem Monat notierten wir einen moderaten Preisanstieg von 2,74 Prozent, nachdem es im Januar 2020 (+0,22%) und Dezember 2019 (-0,04%) kaum Bewegung gegeben hatte. Blicken wir ein Jahr zurück, müssen wir allerdings einen Preisanstieg um 36,98 Prozent vermelden.

Wer statt MLC die Variante TLC (Triple-Level Cell, 3 Bit pro Zelle) kauft, bekommt 256 Gb für 3,431 US-Dollar - ein neuer Hochstand in unserem Diagramm. Über Monate hatte sich der Kurs dieser Chips sehr konstant entwickelt und war gegen Ende 2019 sogar gefallen. Doch 2020 startete mit einem happigen Aufschlag von 11,39 Prozent. Anfang Februar sahen wir ein Plus von 6,85 Prozent und diesmal kommen weitere 5,21 Prozent obendrauf. Der aktuelle Preis liegt um 17,3 Prozent über dem von März 2019.

Wechselkurs und Ausblick
Bleibt noch die Frage nach dem Wechselkurs, denn Flash-Speicher wird in US-Dollar gehandelt: Gestern war ein Euro zum Handelsschluss 1,1134 US-Dollar wert und notierte damit um 0,33 Prozent stärker als Anfang Februar. Zieht man den Vorjahreskurs zu Rate, hat der Euro 1,81 Prozent eingebüßt. Da die aktuelle Corana-Krise die Kauflaune drückt und in China etliche Fabriken stillstehen, sinken die Absatzzahlen von Elektronikgeräten. Statt der für 2020 vorausgesagten Lieferengpässe könnte es damit wieder zu einem Überangebot und somit fallenden Speicherpreisen kommen.

Nachdem uns 2019, abgesehen von einem kurzen Anstieg im Juli, stetig fallende DRAM-Preise gebracht hatte, summieren sich die Aufschläge im Jahr 2020 inzwischen auf rund 30 Prozent. Und während der Preisanstieg bei den DDR4-Chips ein wenig nachgelassen hat, zieht er bei den DDR3-Chips weiter an.

Für den Speichertyp DDR4-2133/2400 8Gb 1Gx8 musste man heute 3,563 US-Dollar auf den Tisch legen, was einem Anstieg um 3,79 Prozent seit Anfang Februar 2020 entspricht. Nach Aufschlägen von 12,56 und 11,03 Prozent in den beiden Vormonaten, hat sich die Teuerung allerdings deutlich verlangsamt. Der aktuelle Kurs liegt um 29,71 Prozent über dem Tiefstand von Anfang Dezember 2019, zugleich aber auch um 34,66 Prozent unter dem Preis, der noch vor einem Jahr verlangt worden war.

Die halbe Speicherkapazität, also DDR4-2133/2400 4Gb 512Mx8, kostet momentan 2,217 US-Dollar (+6,43%) - um die steigenden Preise abzupuffern, scheinen die Käufer wieder verstärkt zu kleineren Chips zu greifen. Verglichen mit Februar (+16,17%) und Januar (+9,00%) fiel die Teuerung jedoch auch hier geringer aus. Die 4Gb-DDR4-Chips kosten inzwischen 34,77 Prozent mehr als Anfang Dezember 2019, liegen aber noch um 20,11 Prozent unter dem Preis von März 2019.

Für die gleiche Größe, aber in Form von DDR3-1600/1866 4Gb 512Mx8, wurden zuletzt 1,951 US-Dollar gezahlt. Damit bleiben die DDR3-Chips zwar günstiger als ihren DDR4-Pendants, doch ihr Preisanstieg hat sich nach 6,39 und 9,39 Prozent in den Vormonaten weiter beschleunigt und liegt nun bei 11,61 Prozent. Zieht man den Tiefstand von Dezember 2019 heran, beläuft sich der Aufschlag auf 29,89 Prozent. Zumindest liegt der Preis noch um 8,49 Prozent unter dem von März 2019.

Wechselkurs und Ausblick
Bleibt noch die Frage nach dem Wechselkurs, denn Arbeitsspeicher wird in US-Dollar gehandelt: Gestern war ein Euro zum Handelsschluss 1,1134 US-Dollar wert und notierte damit um 0,33 Prozent stärker als Anfang Februar. Zieht man den Vorjahreskurs zu Rate, hat der Euro 1,81 Prozent eingebüßt. Da die aktuelle Corana-Krise die Kauflaune drückt und in China etliche Fabriken stillstehen, sinken die Absatzzahlen von Elektronikgeräten. Statt der für 2020 vorausgesagten Lieferengpässe könnte es damit wieder zu einem Überangebot und somit fallenden Speicherpreisen kommen.

Bezüglich der genannten Preise bitten wir zu beachten, dass hier von einzelnen Chips und keinesfalls von bestückten Modulen die Rede ist. Da diese Chips zunächst verarbeitet und danach verschifft werden, vergehen normalerweise einige Wochen, bevor sich Preisänderungen auch hierzulande bemerkbar machen.

Mit der kommenden Version 07.20 wird FRITZ!OS, das Betriebssystem der weit verbreiteten Router des deutschen Herstellers AVM, endlich SMB3-Unterstützung bekommen - ein Vorhaben, das im Frühjahr 2019 kläglich gescheitert war. Zur Absicherung von WLAN-Verbindungen wird zudem der Verschlüsselungsstandard WPA3 geboten. Anhand der Labor-Version 07.19 können Besitzer der FRITZ!Boxen 7590, 7490, 6591 Cable, 6590 Cable und 6490 Cable und der FRITZ!Repeater 3000, 2400, 1200 und 1750E die neuen Funktionen bereits ausprobieren. Seit gestern (04.03.2020) gibt es frische Updates für die FRITZ!Boxen 7590 und 7490 sowie erste Laborversionen für die FRITZ!Repeater.

SMB3: Stabil aber langsam
Beim Test der SMB3-Funktionalität des FRITZ!NAS konnten wir diesmal keine groben Schnitzer wie die im Frühjahr von uns dokumentierten DoS-Lücke entdecken, dennoch ist nicht alles eitel Sonnenschein. Aktuell hängt am USB-3.0-Anschluss unserer FRITZ!Box 7490 ein USB-3.0-Stick mit Leseraten von um die 80 MiB/s. Mit dem stabilen FRITZ!OS 07.12 und SMB1 benötigen wir 2:25 Minuten, um unsere 1,76 GiB Testdaten zu kopieren, was einer Datenrate von 12,43 MiB/s entspricht. Nach dem Aufspielen von FRITZ!OS 07.19 (Labor) und dem Wechsel zu SMB3 verlängert sich die Datenübertragung um 38 Sekunden auf 3:03 Minuten und die Datenrate bricht auf 9,85 MiB/s ein. Die ohnehin sehr geringe Geschwindigkeit ist somit nochmals um über zwanzig Prozent gefallen, obwohl SMB3 Potential für Leistungsgewinne bietet. Doch zumindest verspricht das Update mehr Sicherheit und stabilere Verbindungen.

WPA3: Mehr Sicherheit im WLAN
Die meisten Besitzer lassen die NAS-Funktionalität ihrer FRITZ!Box eh links liegen und hoffen stattdessen auf Verbesserungen in den Bereichen WLAN und Mesh. Hier bietet die Labor-Version 07.19 den Verschlüsselungsstandard WPA3, der das seit 2017 als angreifbar geltende WPA2 ablösen soll. WPA3 wird in der Konfiguration der FRITZ!Box unter "WLAN", "Sicherheit", "WPA-Modus" über die Auswahl "WPA2 + WPA3" aktiviert. Mit den Updates von März 2020 ist diese Option auch für den Gastzugang verfügbar. WPA3 läuft also nicht exklusiv, sondern im Tandem mit WPA2, was eine praxisnahe Lösung darstellt. Zu WPA3 kompatible Geräte und Treiber sind nämlich noch selten anzutreffen und nicht einmal AVM hat solche im Programm. Stattdessen verweisen die Berliner auf Intels AX200. Als kompatible Betriebssysteme nennt AVM nur Windows 10 ab der Version 1903, doch auch aktuelle Linux-Distributionen wie Ubuntu 19.10 bieten bereits WPA3.

Erweitertes Mesh-Steering
Beim sogenannten Mesh-Steering greift FRITZ!OS aktiv ein, damit sich WLAN-Geräte wie Smartphones und Tablets mit dem bestgelegenen WLAN-Zugangspunkt (Access-Point Steering) verbinden bzw. bei Bedarf zwischen den 2,4 und 5 GHz Bändern (Band Steering) wechseln. Damit dies funktioniert, müssen alle Zugangspunkte für alle Frequenzbänder die selbe Netzkennung (SSID) verwenden, was bei den FRITZ!Boxen inzwischen die Standardeinstellung ist. Darüber hinaus müssen die WLAN-Geräte Mesh-Steering beherrschen, was nicht immer der Fall ist. Die Neuerung beim Mesh-Steering besteht nun darin, dass AVM bei der Labor-Version 07.19 aggressiver eingreift und auch bei guten Verbindungen prüft, ob es doch noch eine bessere Alternative gibt. Gleichzeitig wurden Verbesserungen eingepflegt, die das Zusammenspiel mit Geräten, welche Mesh-Steering nicht oder nur unvollständig beherrschen, verbessern. Seit Februar 2020 ist die Mesh-Repeater-Funktion auch für die Kabel-Router unter "Heimnetz", "Mesh", "Mesh Einstellungen" auswählbar.

160 MHz Kanalbandbreite und Long Reach
Für die FRITZ!Boxen 7590 und 6590 hat AVM WLAN-Kanalbandbreiten von 160 MHz ergänzt. Die Verbreiterung von 80, 40 oder 20 auf 160 MHz verspricht eine Bruttodatenübertragungsrate von bis zu 1.733 MBit/s im 5-GHz-Bereich, sofern es wenig Störeinflüsse in der Nachbarschaft gibt. Die Gegenstelle muss wahlweise Wi-Fi 6 (WLAN AX) oder Wi-Fi 5 (WLAN AC) unterstützen, als Beispiele führt AVM Intels AX200 und i9260 sowie das Huawei P30 auf. Neu hinzugekommen ist die Unterstützung für VDSL Long Reach. Als "Long Reach" wird ein proprietäres Verfahren von Cisco bezeichnet, mit dem sich einfache Telefonanschlusskabel aus Kupfer als Ethernet-Anschluss nutzen lassen. Bei Entfernungen unter einem Kilometer sind mit "Long Reach" Datenraten von 15 Mbit/s möglich, maximal lassen sich 1,5 km mit einer reduzierten Datenrate von 5 Mbit/s überbrücken.

Weitere Verbesserungen
Bei den neuesten Labor-Versionen hat AVM die Standardeinstellung für Updates geändert, so dass diese nun automatisch installiert werden. Da bisher keine Geräte ab Werk in dieser Konfiguration ausgeliefert werden, trifft FRITZ!OS in der Regel auf andere Einstellungen und empfiehlt dann den Wechsel zu automatischen Updates. Mobilfunk-Sticks, die als Schutz vor Internetausfällen einsetzt werden, funktionieren ab sofort auch bei Anschluss über WAN. Wie üblich wurde die Benutzeroberfläche von FRITZ!OS aufgeräumt und optimiert, sie soll zudem schneller laden. AVM verspricht auch eine bessere Stabilität, beispielsweise wurde ein reproduzierbarer Neustart beim Hinzufügen einer Netzwerkanwendung unter "Internet / Filter" beseitigt. Eine weitere Korrektur stellt sicher, dass die FRITZ!Box priorisierte Anwendungen beim Neustart nicht vergisst. AVM hat das Telefonbuch seiner FRITZ!Fons smart gemacht, so dass bei der Eingabe von Telefonnummern dazu passende Vorschläge aus den Telefonbüchern unterbreitet werden.

Die Smart-Home-Seiten wurden überarbeitet und bei der Verbrauchsanzeige für Smart-Home-Geräte wurde der Zeitraum 24 Monate ergänzt. Seit März 2020 wird das DECT-ULE/HAN-FUN-Rollladenprofil unterstützt und für den intelligenten Heizkörperregler FRITZ!DECT 301 wurde ein "adaptiver Heizbeginn" eingeführt. FRITZ-Telefone bieten ab der Softwareversion 04.54 Klangeinstellungen für Internetradio und Telefonie, verpasste Anrufe werden nun auch von der FRITZ!Box angezeigt. Unter "System", "Region und Sprache" lassen sich Zeitzone und Sommerzeit manuell definieren, die Druckausgabe für die Gastzugangsdaten wurde überarbeitet und die VPN-Funktionalität wurde weiter ausgebaut. Die FRITZ!Boxen haben zudem die verschlüsselte Auflösung von Domain-Namen per "DNS over TLS" gelernt, welche inzwischen auch über die 2-Faktoren-Authentifizierung abgesichert wurde. Bei Änderungen erfolgt zudem eine Benachrichtigung per Push-Mail.

Download für Router:

• FRITZ!Box 7590 - Version 07.19-76430 Labor (04.03.2020)
• FRITZ!Box 7490 - Version 07.19-76429 Labor (04.03.2020)
• FRITZ!Box 6591 Cable - Version 07.19-75516 Labor (07.02.2020)
• FRITZ!Box 6590 Cable - Version 07.19-76012 Labor (21.02.2020)
• FRITZ!Box 6490 Cable - Version 07.19-76010 Labor (21.02.2020)

Download für Repeater:

• FRITZ!Repeater 3000 - Version 07.19-76353 Labor (04.03.2020)
• FRITZ!Repeater 2400 - Version 07.19-76351 Labor (04.03.2020)
• FRITZ!Repeater 1200 - Version 07.19-76352 Labor (04.03.2020)
• FRITZ!Repeater 1750E - Version 07.19-76350 Labor (04.03.2020)

Nach lediglich drei Wochen Beta-Test mit neun Beta-Ausgaben liegt der erste Finalkandidat des Firefox 74.0 zum Download bereit. Mit dem Firefox 74 startet die standardmäßige Aktivierung von "DNS über HTTPS", während die unsicheren TLS-Versionen 1.0 und 1.1 gekappt wurden. Die Freigabe der finalen Fassung ist für den kommenden Dienstag geplant.

Verschlüsselung der DNS-Anfragen wird zum Standard
"DNS über HTTPS" löst die Anfragen über Cloudflare auf und soll laut Mozilla nach und nach freigeschaltet werden, wobei die USA den Anfang machen. Nutzer aus anderen Ländern können "DNS über HTTPS" in den Einstellungen unter "Verbindungs-Einstellungen" manuell aktivieren und dort als Anbieter auch NextDNS auswählen. Weiterhin ist es möglich, einen eigenen Anbieter zu definieren. Dank "DNS über HTTPS" werden alle DNS-Anfragen verschlüsselt, was Mittelsmann-Angriffe und Zensurmaßnahmen erschwert.

TLS 1.2 als neue Mindestanforderung
Die unsicheren TLS-Versionen 1.0 und 1.1 wurden derweil abgeschaltet, standardmäßig verlangt der Firefox mindestens eine Absicherung mit TLS 1.2. Einige Dienste, darunter die Kundenschnittstelle des Web-Hosters Host Europe, verharren allerdings noch auf den alten Protokollversionen, was der Firefox 74.0 mit einer Fehlermeldung quittiert. Aktuell kann man sich noch damit behelfen, die veralteten TLS-Versionen über das Fehlerfenster oder den Aufruf von about:config (Wert von security.tls.version.enable-deprecated auf WAHR ändern) zurückzuholen.

Weitere Neuerungen
Edgium, die neue, nun auf Chromium basierende Ausgabe von Microsofts Webbrowser Edge, kommt so langsam bei den ersten Nutzern an und schon ermöglicht Mozilla einen bequemen Umzug - zum Firefox (nur Windows und Mac). Unter Windows ist ein schneller Zugriff auf die Seiteninformationen nun über die Tastenkombination Strg+I möglich, für Lesezeichen wird nur noch Strg+B verwendet. Wer die Erweiterung "Multi-Account Containers" installiert hat, kann über einen Rechtsklick auf die Schaltfläche zum Hinzufügen eines neuen Tabs die gewünschte Tab-Umgebung (Freizeit, Arbeit, Banking, Einkaufen) auswählen.

Download: Firefox 74.0 Finalkandiat 1

Das erste Update für das Anfang Februar 2020 freigegebene LibreOffice 6.4 ist fertig und behebt 80 Fehler. Während LibreOffice 6.4.1 die neuesten Funktionen wie einen QR-Code-Generator und Leistungsvorteile bietet, eignet sich das stabile und ausgereifte LibreOffice 6.3.5 insbesondere für den Produktiveinsatz. LibreOffice 6.3.5 umfasst 84 Korrekturen.

Unter den 80 Bugs, um die sich LibreOffice 6.4.1 kümmert, finden sich 15 potentielle Absturzursachen. Drei davon treten bei Öffnen bzw. Importieren von Dateien auf, doch auch nicht verfügbare Datenquellen, das Leeren des Such-Feldes, das Kopieren komplexer .DOCX-Inhalte sowie das Hinzufügen von Kommentaren zu Bildern können die Büro-Software abfliegen lassen. Instabilitäten beim Schließen mit geöffneter Infobox sowie beim Hinzufügen neuer Einträge zum benutzerdefinierten Wörterbuch sind auf GTK3 beschränkt. Der Export in Ordner mit Umlauten im Namen wurde ebenso repariert wie unsichtbare Icons bei der dunklen Variante des Breeze-Themas. Unter macOS werden die Schriften nun wieder scharf gezeichnet und es gibt optische Feinjustierungen beim neuen Druckdialog und der überarbeiteten Hilfe. In zehn Punkten wurde die Kompatibilität zum .DOCX-Format verbessert, doch die Umbenennung der "Einzelseiten-Vorschau" im PDF-Export von Tabellendokumenten ist fehlgeschlagen - hier steht nach dem Update in der deutschsprachigen Fassung "Whole sheet export". Das nächste Update, LibreOffice 6.4.2, findet sich bereits in Form eines ersten Veröffentlichungskandidaten auf dem Entwicklungsserver des Projekts.

LibreOffice 6.3.5 bringt es aus 84 Korrekturen, von denen 21 die Stabilität verbessern. Unter den möglichen Absturzursachen finden sich ein Zertifikatproblem beim Online-Update unter macOS, eine fehlerhafte Spaltensortierung für Excel-Dateien (Versionen 97 bis 2003) sowie ein Bug beim Öffnen von Eingabefeldern im Writer. Für das Zusammenspiel mit .DOCX-Dokumenten werden zehn Korrekturen aufgeführt, dazu fünf für .PPTX-Präsentationen sowie drei für .XLSX-Tabellen. Beim PDF-Export wird nun sichergestellt, dass nur dann ein veränderbares Formular erstellt wird, wenn der Haken bei "PDF-Formular erzeugen" gesetzt ist. Deutschsprachige Benutzer wird freuen, dass der Export in Verzeichnisse mit Umlauten im Namen - wie auch bei LibreOffice 6.4.1 - nun wieder möglich ist. Mit LibreOffice 6.3.6 ist das letzte Update für diese Entwicklungsschiene für Anfang Mai geplant, das Support-Ende wurde auf den 29. Mai 2020 terminiert.

Download:

• LibreOffice 6.4.1 (entspricht RC 2)
• LibreOffice 6.3.5 (entspricht RC 2)