In einem gestern veröffentlichten Sondergutachten rät die deutsche Monopolkommission zur Abschaffung der Buchpreisbindung. Aus ökonomischer Sicht habe die Buchpreisbindung "ambivalente und zum Teil unklare Wirkungen", zugleich stellten die nationalen Vorschriften in Deutschland "einen schwerwiegenden Markteingriff" für den grenzüberschreitenden Buchhandel dar. Und vermutlich sei die gesetzlich vorgeschriebene Buchpreisbindung mit der europäischen Warenverkehrsfreiheit unvereinbar.

Was ist die Buchpreisbindung?
Die Buchpreisbindung wird in Deutschland durch das Buchpreisbindungsgesetzes (BuchPrG) geregelt. Sie schreibt vor, dass Verlage und Importeure für jedes Buch einen unveränderbaren Preis festsetzen und diesen dem Handel bekanntmachen müssen. Dieser Preis, der für Druckerzeugnisse ebenso wie für eBooks gilt, ist für den Handel verbindlich. Damit ist die Buchpreisbindung ein massiver Eingriff in die freie Marktwirtschaft, der nach EU-Recht ein klares Ziel verfolgen muss. Das Gesetz nennt diesbezüglich den Schutz des Buches als Kulturgut. So soll die Buchpreisbindung ein breit gefächertes Angebot ermöglichen sowie eine flächendeckende Versorgung mit Büchern sicherstellen. In der Praxis wird die Buchpreisbindung allerdings regelmäßig unterlaufen, indem der Handel die Ladenhüter als Mängelexemplare zu Sonderpreisen verkauft. Die Mängel dieser Exemplare beschränken sich oft auf durchgestrichene Strichcodes. Auch für Bücher aus zweiter Hand gilt die Buchpreisbindung nicht.

Zweifel an der Wirksamkeit des Gesetzes
Dass die Buchpreisbindung diese gesteckten Ziele tatsächlich erreicht, wird von der Monopolkommission bezweifelt. So konnte die Kommission keinen eindeutigen "Wirkungszusammenhang mit der Buchpreisbindung ausmachen". Es sei "nicht auszuschließen, dass diese teilweise dem politischen Interesse am Schutz des Kulturguts Buch, verglichen mit einer Situation ohne Preisbindung, zugute kommen". Doch "ein freier Preiswettbewerb kann zur Entstehung und Ausbreitung effizienter Handelsstrukturen und Vertriebskonzepte beitragen". So könnten alternative Vertriebskonzepte und Kostenvorteile in Form niedrigerer Endkundenpreise letztendlich neue Kundengruppen erschließen sowie Markteintrittsbarrieren auf der Handelsseite senken. Letztendlich ließe "sich keine eindeutige abschließende Aussage über die Wirkung der Buchpreisbindung treffen". Auch den Aufstieg des Online-Buchhandels auf Kosten der stationären Buchhändler könne sie nur verlangsamen.

Mit EU-Recht vermutlich unvereinbar
Ob dies ausreiche, um einen derart schwerwiegenden Eingriff in den freien Handel zu rechtfertigen, bezweifelt die Monopolkommission: "Es ist nicht auszuschließen und, im Hinblick auf E-Books, sogar wahrscheinlich, dass der EuGH in einem Vorabentscheidungsverfahren die gesetzlich vorgeschriebene Buchpreisbindung für mit der europäischen Warenverkehrsfreiheit oder auch für mit dem unionsrechtlichen Loyalitätsgrundsatz in Verbindung mit den EU-Wettbewerbsregeln unvereinbar erklären wird". In ihrem Fazit spricht sich die Monopolkommission für eine Abschaffung der Buchpreisbindung aus. Soll die Buchpreisbindung erhalten bleiben, müssten zunächst klare Ziele definiert, mögliche Schutzdefizite überprüft sowie wirksame Instrumente gefunden werden.

Die zu Cisco gehörende Sicherheitsfirma Talos hat eine perfide Schadsoftware namens VPNFilter auf mehr als einer halben Million Router und Netzwerkspeicher (NAS) in 54 Ländern entdeckt. Der modulare Schädling ist hochentwickelt und wurde vermutlich mit staatlicher Hilfe entwickelt. Er dient als Einfallstor, zum Datenabgriff und kann die befallenen Geräte sogar zerstören.

Laut Talos erinnern Teile des Codes an die Schadsoftware "BlackEnergy", welche insbesondere gegen Ziele in der Ukraine eingesetzt wurde. Somit verwundert es nicht, dass sich auch VPNFilter am stärksten in der Ukraine verbreitet hat. Aufgrund der Komplexität des Schädlings liegt eine russische Urheberschaft nahe, bewiesen ist eine solche aber noch nicht. Im Gegensatz zu anderen Schadprogrammen nistet sich VPNFilter dauerhaft im Netzwerkgerät ein und lässt sich durch einen simplen Neustart nicht vollständig entfernen.

Stufe 1: Der reset-resistente Teil
Diese permanente Infektion stellt die erste Stufe von VPNFilter dar. Angriffsziele sind Geräte mit einer Firmware, welche auf Busybox oder Linux basiert, wobei auch unterschiedliche CPU-Architekturen - zumindest MIPS und x86 - attackiert werden. VPNFilter nutzt unterschiedliche Sicherheitslücken, um sich in den nicht-flüchtigen Speicher (NVRAM) und in die Liste der zu startenden Dienste (Crontab) einzutragen. Die erste Stufe lädt im Anschluss weiteren Schadcode über verschlüsselte Verbindungen (SSL oder Tor) nach und erweist sich hinsichtlich des Verbindungsaufbaus zum Kontrollserver als äußerst robust.

Stufe 2: Herunterladen, Ausführen, Kopieren und Zerstören
Die zweite Stufe wird bei einem Zurücksetzen des Netzwerkgeräts gelöscht. Sie legt zunächst Ordner für zusätzliche Module (/var/run/vpnfilterm) sowie ein Arbeitsverzeichnis (/var/run/vpnfilterw) an, danach versucht sie über das Tor-Netz eine Verbindung zum Kontrollserver aufzubauen. Stufe 2 umfasst etliche Funktionen, von denen die folgenden besonders wichtig sind:

• kill überschreibt die ersten 5.000 Bytes des nicht-flüchtigen Speichers (/dev/mtdblock0) mit Nullen und löst im Anschluss einen Neustart aus. Damit ist das Gerät funktionslos und in den meisten Fällen Elektronikschrott.
• exec führ einen Befehl auf der Kommandozeile aus oder startet ein Plug-in.
• tor bestimmt, ob Tor zur Kommunikation genutzt wird oder nicht.
• copy kopiert Dateien vom Opfer auf den Kontrollserver.
• download lädt Daten von einer URL herunter und speichert diese als Datei.

Stufe 3: Die Plug-in-Module
Die Stufe umfasst eine unbekannte Zahl von Plug-in-Modulen, die beim Zurücksetzen des Netzwerkgeräts entfernt werden. Von Talos wurden zwei dieser Plug-ins untersucht, ein Packet-Sniffer und ein Kommunikations-Modul, welches eine Datenübertragung und Steuerung über Tor ermöglicht. Die Sicherheitsexperten gehen aber davon aus, dass es weit mehr Plug-ins gibt. Das Tor-Modul, welches unter /var/run/tor gespeichert wird, operiert unabhängig von dem aus der zweiten Stufe. Es legt seine Konfiguration unter /var/run/torrc ab und erstellt unter /var/run/tord ein Arbeitsverzeichnis.

Betroffene Geräte und Software:

• Linksys: E1200, E2500 und WRVS4400N - zum Linksys-Support
• Mikrotik RouterOS für Cloud Core Router: Versionen 1016, 1036 und 1072 - zu den Downloads von Mikrotik
• Netgear: DGN2200, R6400, R7000, R8000, WNR1000 und WNR2000 - zum Netgear-Support
• QNAP: TS251 und TS439 Pro - zum QNAP-Support, Updates verfügbar
• TP-Link: R600VPN - zum TP-Link-Support

Was ist zu tun?
Man sollte angreifbare Geräte vom Internet trennen und auf den Auslieferungszustand zurücksetzen. Dies entfernt zumindest die Stufen 2 und 3 der Schadsoftware. Um auch die erste Stufe loszuwerden, muss man die Firmware aktualisieren. Sollte der Hersteller noch keine aktualisierte Firmware anbieten, hilft eventuell auch das Überspielen der Firmware mit der bereits installierten Version. Hierbei gibt es allerdings keine Erfolgsgarantie. Wird ein Gerät mit angreifbarer Firmware wieder mit dem Internet verbunden, besteht zudem das Risiko einer Neuinfektion. QNAP hat bereits reagiert und bietet sein NAS-Betriebssystem QTS in den abgesicherten Versionen 4.2.6 Build 0729 und 4.3.3 Build 0727 zum Download an. Darüber hinaus empfiehlt QNAP, das Programm "Malware Remover 2.2.1" oder neuer auf dem NAS zu installieren und damit nach Schadsoftware zu suchen.

DSB-Meldung - online & sicher & noch nicht fertig: Mit Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) sollen all jene, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten (DSB) ernennen und diesen der zuständigen Aufsichtsbehörde mitteilen. Beim "Bayerischen Landesamt für Datenschutzaufsicht" (BayLDA) ist das allerdings noch gar nicht möglich.

Das BayLDA entwickelt derzeit einen Online-Dienst für die DSB-Meldungen, doch das Meldeportal ist nicht pünktlich fertig geworden. In diesem Zusammenhang spricht das Landesamt von "der finalen Testphase", will aber noch kein Startdatum nennen. Da Meldungen in Papierform einen "unnötigen bürokratischen Aufwand" verursachen, wurde die Meldefrist erst einmal bis zum 31. August 2018 verlängert.

"Bis zu diesem Termin wird das BayLDA dann selbstverständlich eine noch nicht erfolgte Meldung nicht bemängeln und auch diesbezüglich kein Ordnungswidrigkeitsverfahren einleiten."

Das ist nicht sonderlich großzügig: In Nordrhein-Westfalen funktioniert die DSB-Meldung bereits, dennoch wird eine unterlassene Meldung für eine Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstoß verfolgt.

Statt Besucher aus der Europäischen Union auszusperren, wie es das Medienhaus Tronc Inc. (Chicago Tribune, Los Angeles Times) derzeit mit Hinweis auf die Europäische Datenschutzgrundverordnung (EU-DSGVO) praktiziert, hat die Tageszeitung "USA Today" eine spezielle EU-Version ihrer Online-Ausgabe in Betrieb genommen. Und diese offenbart klare Vorzüge!

Das auf den Namen "USA Today Network European Union Experience" getaufte Angebot sammelt und speichert keinerlei personenbezogene Daten und setzt auch keine dauerhaften Identifizierungsmerkmale. EU-Nutzern bleiben Tracking und personalisierte Werbung erspart. Lediglich eine automatische Erkennung, ob der Aufruf der "USA Today"-Webseite aus der Europäischen Union erfolgt, wird durchgeführt. Präsentiert wird eine Auswahl von Nachrichten und Informationen aus dem Angebot der "USA Today". Den vollen Umfang der US-Version darf man also nicht erwarten. Dafür ist die EU-Version extrem schnell, übersichtlich und aufgeräumt.

Wie der Web-Entwickler Marcel Freinbichler feststellen konnte, sinkt das Volumen der übertragenen Daten im Vergleich zur US-Version von 5,2 MiB auf 500 KiB und die Ladezeit verkürzt sich von 45 auf 3 Sekunden. Während die US-Ausgabe 124-JavaScript-Dateien einbindet, kommt die EU-Version ganz ohne aus. Und die von der Webseite verursachten Anfragen sank von über 500 auf 34. Die EU-DSGVO kann also auch positive Auswirkungen haben.

Die SWK MOBIL GmbH, ein Tochterunternehmen der SWK Stadtwerke Krefeld AG, betreibt mit ihren Bussen und Straßenbahnen den ÖPNV in der Stadt Krefeld und im Kreis Viersen, zudem fährt sie Ziele in Düsseldorf, Duisburg, Kleve und Wesel an. Seit gestern verkauft die SWK MOBIL GmbH keine Tickets mehr über ihren Online-Shop. Zudem wurden die Kundendaten gelöscht und bereits verkaufte Mehrfahrten-Tickets entwertet.

"Technische Probleme in unserem Shopsystem" vermeldet die Informationsseite der SWK MOBIL GmbH, doch tatsächlich sind es auch hier wieder rechtliche Bedenken aufgrund des Inkrafttretens der Europäischen Datenschutzgrundverordnung (EU-DSGVO), welche zur Abschaltung des Ticket-Shops geführt haben. Und tatsächlich haben die Krefelder einen Vorschlaghammer für ihre erfolglosen Wartungsarbeiten verwendet:

"Aufgrund der sich zum 25.5.2018 verschärfenden gesetzlichen Regelungen zum Datenschutz müssen wir den Shop deaktivieren und alle Nutzerdaten löschen."

Da muss man sich schon fragen, was die SWK MOBIL GmbH bisher mit den Kundendaten angestellt hat, dass sie sich nun zu derartigen Maßnahmen gezwungen sieht. Zumal die Anforderungen des deutschen Datenschutzrechts sich nicht allzu sehr von denen der EU-DSGVO unterscheiden. Aber es kommt noch schlimmer:

"Das Abfahren von bereits gekauften MehrfahrtenTickets ist ebenfalls nicht möglich. Bei Erstattungswünschen oder anderen Anliegen wenden Sie sich bitte an unseren Kundendialog: mobil(at)swk.de"

Wer Tickets für den ÖPNV der SWK MOBIL GmbH weiterhin online kaufen möchte, wird an die App "HandyTicket Deutschland" verwiesen, welche in den App-Stores von Google und Apple zu finden ist. Wie es dort um den Datenschutz bestellt ist, steht natürlich auf einem anderen Blatt.

Die Robert Bosch Power Tools GmbH hat ihre 2010 gegründete Heimwerker-Community 1-2-do.com aufgrund des Inkrafttretens der Europäischen Datenschutzgrundverordnung (EU-DSGVO) geschlossen. Man arbeitete an einer neuen Version von 1-2-do.com, welche auch die Auflagen der EU-DSGVO erfüllen wird, sei aber nicht rechtzeitig fertig geworden.

In einer Mitteilung auf 1-2-do.com nennt Bosch "technische Verzögerungen" als Grund für den verspäteten Relaunch. Auf einen Termin will sich das Unternehmen aber noch nicht festlegen. Dieser soll dann über den Newsletter - sofern man dessen Empfang erneut erlaubt hat - sowie auf Facebook und auf der Website angekündigt werden. Für die Übergangszeit verweist Bosch auf das Heimwerkerportal MyBosch.

Viele Firmen, Personen und Vereine hatten in den vergangenen Wochen Anwälte zu Rate gezogen, um ihre Internetauftritte auf die Anforderungen der Europäischen Datenschutzgrundverordnung (EU-DSGVO) abzuklopfen und ihre Datenschutzerklärungen entsprechend anzupassen. Die Lösung, welche die Rechtsanwaltskammer Düsseldorf selbst umgesetzt hat, ist allerdings unbefriedigend: Sie hat ihre Internetpräsenz einfach abgeschaltet.

Es ist überaus kurios und irgendwie auch bezeichnend: Pünktlich zum Inkrafttreten der EU-DSGVO hat die Rechtsanwaltskammer Düsseldorf ihre Internetpräsenz komplett vom Netz genommen. Statt Informationen gibt es nur eine Fehlermeldung: "Seite wurde nicht gefunden: Die Verbindung mit dem Server praesenzen.datevstadt.de schlug fehl." Nur im Internetarchiv findet man die Seite noch - letzter Stand: 23. März 2018.

Noch kurioser: Die Foren der Rechtsanwaltskammer Düsseldorf sind noch online. Doch auf der Anmeldeseite für die Foren gibt es keinerlei Datenschutzerklärung. Es gibt nicht einmal einen Cookie-Hinweis, obwohl diese Webseite einen Sitzungs-Cookie namens PHPSESSID anlegt. Gut, die Foren der Rechtsanwaltskammer Düsseldorf sind der Allgemeinheit nicht zugänglich, die dazugehörige Anmeldeseite aber wohl. Und vielleicht möchten ja selbst Rechtsanwälte manchmal über ihre Rechte informiert werden...

US-Präsident Donald Trump hat den chinesischen Kommunikationsausrüster und Smartphone-Hersteller ZTE für sicher erklärt. Er, Trump, habe ZTE schließen lassen. Er habe einen Wechsel im Management und Aufsichtsrat veranlasst, hochgradige Sicherheitsgarantien ausgehandelt und ZTE zum Kauf amerikanischer Teile verpflichtet. Nach der Zahlung einer Strafe in Höhe von 1,3 Milliarden US-Dollar erlaube er nun die Wiedereröffnung.

Hier der Tweet, in dem Trump auch wieder über seinen Vorgänger Obama und dessen "lächerliche" Handelsabkommen herzieht, im englischen Original:

"Senator Schumer and Obama Administration let phone company ZTE flourish with no security checks. I closed it down then let it reopen with high level security guarantees, change of management and board, must purchase U.S. parts and pay a $1.3 Billion fine. Dems do nothing but complain and obstruct. They made only bad deals (Iran) and their so-called Trade Deals are the laughing stock of the world!"

Trumps Ankündigung ist, wie so oft, höchst verwunderlich. Bisher hat ZTE keine Umstellungen in Management oder Aufsichtsrat angekündigt und Trump befindet sich rechtlich auch nicht in der Position, solche zu Verlangen. Er könnte sie alleine über das Versprechen, den gegen ZTE verhängten siebenjährigen Lieferbann zu lockern, bewirken. Und dieser Bann wurden keinesfalls aufgrund mangelhafter Sicherheit verhängt, sondern mit Sanktionsverstößen begründet: ZTE hatte Produkte, in denen Teile von US-Zulieferern verbaut sind, an den Iran und Nordkorea geliefert. Von den Bauteilen der US-Zulieferer abgeschnitten, musste ZTE unlängst sein operatives Geschäft weitgehend einstellen. Aber auch viele Zulieferer in den USA hatte der Lieferbann hart getroffen. Dies zeigt, dass der US-Präsident ZTE keinesfalls zur Abnahme von in den USA gefertigten Bauteilen verpflichten muss. Und rechtlich kann er dies auch gar nicht erzwingen. Sowie er der Firma im Übrigen auch keine Geldstrafe als Alternative zum verhängten Lieferbann anbieten kann. Trump präsentiert sich einmal mehr als Macher, als Obermacker und als König der Deals. Er regiert die USA (und irgendwie auch den Rest der Welt) anscheinend im Alleingang und alle anderen sind unwichtiges, austauschbares Beiwerk.

Das Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) hat nicht nur unsere E-Mail-Fächer mit Bitten um Erlaubnis zur weiteren Datenverarbeitung überflutet, sondern auch zu einer Sperrung zahlreicher Webseiten geführt. So sind EU-Bürger beispielsweise auf den Webseiten des US-amerikanischen Medienhauses Tronc Inc. (Chicago Tribune, Los Angeles Times) nicht mehr willkommen.

Wer aus der Europäischen Union versucht, auf die Angebote von Tronc Inc. (vormals bekannt als Tribune Publishing) zuzugreifen, bekommt folgende Mitteilung zu sehen:

"Unfortunately, our website is currently unavailable in most European countries. We are engaged on the issue and committed to looking at options that support our full range of digital offerings to the EU market. We continue to identify technical compliance solutions that will provide all readers with our award-winning journalism."

Übersetzung: "Leider ist unsere Webseite derzeit für die meisten Länder Europas nicht verfügbar. Wir arbeiten an dem Problem und suchen nach Möglichkeiten, unsere gesamte Palette digitaler Angebote auf dem EU-Markt anbieten zu können. Wir suchen weiterhin nach technischen Möglichkeiten, die es uns erlauben, alle Leser mit unserem preisgekrönten Journalismus zu versorgen."

Die Blockade betrifft viele bekannte Zeitungen, darunter Chicago Tribune, Daily News, Daily Press, Hartford Courant, Los Angeles Times, Orlando Sentinel, San Diego Union-Tribune, Sun-Sentinel, The Baltimore Sun, The Capital und The Morning Call sowie die reinen Online-Angebote The Daily Meal und The Active Times. Bei den Magazinen des Verlags ist die Lage uneinheitlich: Chicago Magazine und Naperville Magazine werden an EU-Besucher ausgeliefert, während Hartford Magazine und Williamsburg Magazine den Sperrhinweis anzeigen.

Aufgrund unterschiedlicher nationaler Vorgaben und Gesetze entwickelt sich das Internet immer mehr zu einer nationalen Veranstaltung. Und während sich die Sperre für deutsche Nutzer bei Project Gutenberg noch leicht mit Hilfe des integrierten VPN-Dienst des Webbrowsers Opera (in den "Einstellungen" nach "VPN" suchen und aktivieren, dann "Nord- und Südamerika" als Standort festlegen) umgehen lässt, scheitert dieser Tick bei den Internetangeboten von Tronc. Online ist die Freiheit schon längst nicht mehr grenzenlos und dieser Trend scheint sich weiter zu verschärfen.

Mark Zuckerberg hatte sich am gestrigen Abend führenden EU-Politikern gestellt, die sich vom Facebook-Chef klare Antworten auf den Missbrauch von Benutzerdaten sowie die Meinungsmanipulation über das soziale Netzwerk erhofften. Doch leider legte die Fragerunde, welche als Livestream im Internet übertragen wurde, ihren Schwerpunkt auf die Fragen und nicht auf die Antworten - wobei Zuckerberg diesbezüglich auch nicht allzu viel zu bieten hatte.

Tatsächlich war dieses kurze Tänzchen in Brüssel nur der Auftakt für eine europäische Regulierung der digitalen Plattformen. Insbesondere den Betreibern sozialer Medien drohen neue Regeln und hohe Strafen, welche eine Beeinflussung von Wahlen durch Falschmeldungen sowie eine Destabilisierung von Ländern durch von Drittstaaten bezahlte Kampagnen unterbinden sollen. Auch wirkungsvolle Maßnahmen gegen kriminelle oder terroristische Inhalte stehen auf der Agenda. Plattformen wie Facebook, welche sehr dicht an die Menschen herankommen, da sie eine große Menge überaus privater Daten sammeln und verarbeiten, sind weltweit zu einem Sicherheitsrisiko geworden, das es zu bändigen gilt. Dummerweise wird es auf dieses internationale Problem nur nationale bzw. EU-weite Antworten geben. Eines steht indes fest: Die Regulierungen werden kommen. Und hier hätte Zuckerberg mit neuen Ideen und klaren Strategien punkten und eine Vorreiterrolle übernehmen können, doch stattdessen präsentierte sich der Facebook-Chef ausweichend und planlos. Fragen, deren Antwort er bereits dem US-Kongress schuldig geblieben war, wich er auch diesmal wieder aus. Geleitet wurde die Fragerunde von EU-Parlamentspräsident Antonio Tajani, anwesend waren die Vorsitzenden der Fraktionen im EU-Parlament bzw. deren Stellvertreter sowie ausgewählte Ausschussvorsitzende. Je Frage wurde ein Zeit von drei Minuten eingeräumt.

Facebook - Eine Geschichte voller Idealisten
Zunächst aber verlas Zuckerberg eine zwölf Minuten lange Erklärung, in der er ausführlich die Vorzüge Facebooks betonte - sei es für den frisch in Europa gelandeten Flüchtling oder die unzähligen kleinen Firmen, die mehrheitlich von Facebook profitieren. Allerdings habe man auch Fehler gemacht und dafür wolle er sich entschuldigen. Wie schon vor dem US-Kongress präsentierte Zuckerberg seine Firma auch vor den EU-Abgeordneten als überaus naiv: Man habe sich auf das Positive, das Technologie den Menschen bringe, konzentriert und dabei die möglichen Gefahren übersehen. Inzwischen kenne man die Risiken, benötige aber Zeit, um die notwendigen Änderungen umzusetzen. Dies erfordere auch "signifikante Investitionen". Beispielsweise werde man die Zahl der mit Sicherheitsaspekten betrauten Mitarbeiter bis zum Jahresende auf 20.000 verdoppeln und das werde Facebooks Gewinne drücken. Im Anschluss erläuterte Zuckerberg all jene Maßnahmen, die er bereits Anfang April schriftlich angekündigt hatte. Darüber hinaus soll künstliche Intelligenz beim Aufspüren von falschen Benutzerkonten, gezielten Falschmeldungen und bösartiger Werbung helfen.

Sehr viele kritische Fragen...
Danach wurde es ungemütlich: Manfred Weber von der Fraktion "European People's Party", also den Europäischen Volksparteien, wollte wissen, warum Facebook im Jahr 2015 nach der Entdeckung des Datenmissbrauchs durch Cambridge Analytica den Zugriff auf sensible Benutzerdaten nicht generell eingeschränkt hatte. War Cambridge Analytica ein isolierter Fall oder nur die Spitze des Eisbergs? Und wer hatte damals entschieden, den Datenmissbrauch nicht öffentlich zu machen? Zudem regte Weber an, für Transparenz beim Ranking der Facebook-Meldungen zu sorgen, indem Facebook seine Algorithmen offenlege. Hinsichtlich terroristischer oder nationalsozialistischer Propaganda sprach sich Weber für eindeutige gesetzliche Regelungen bzw. Verbote aus. Und zum krönenden Abschluss bat er Zuckerberg, doch den Namen zumindest eines Mitbewerbers zu nennen. Weber selbst sieht jedenfalls keinen und vertritt deshalb die Ansicht, der Monopolist Facebook gehöre zerschlagen, es sei denn Zuckerberg könne gute Argumente gegen eine solche Maßnahme liefern.

Udo Bullmann von den Sozialdemokraten (Party of European Socialists) wollte gerne wissen, ob sich Facebook an die Europäische Datenschutzgrundverordnung halten wird und ob sichergestellt sei, dass keine Daten europäischer Nutzer ohne deren explizite Zustimmung verkauft werden. Zudem wollte Bullmann wissen, ob die Benutzerdaten vollständig gelöscht werden, wenn sich ein Benutzer abmeldet. Hinsichtlich der zahlreichen Fake-Profile fragte der Sozialdemokrat, warum deren Zahl stetig ansteige und was Facebook dagegen tue. Zum Schluss fragte Bullmann, ob Maßnahmen zur Verhinderung von Manipulationen bei der Europawahl 2019 geplant seien.

Syed Kamall von der Fraktion der "European Conservatives and Reformists" hatte sich den interessanten Aspekt der Nicht-Nutzer ausgesucht: Facebook legt nämlich auch Schattenprofile von Internetnutzern, die gar kein Facebook-Konto haben, an und speichert deren Daten nach eigenen Angaben für zehn Tage. Daraus ergibt sich die Frage, wie man als Nicht-Nutzer das Datensammeln verhindern kann. Nur indem man gar kein Internet mehr nutzt? Und was passiert mit diesen Daten? Werden sie vermarktet? Und wie können Nicht-Nutzer die Daten in ihren Schattenprofilen überhaupt einsehen?

Guy Verhofstadt von den Liberalen (Alliance of Liberals and Democrats for Europe) kam aufgrund der Bahnstreiks in Frankreich zu spät. Beim Anblick von Zuckerberg fühle er sich an die Figur des Kalden aus dem dystopischen Roman "The Circle" von Dave Eggers erinnert, eröffnete Verhofstadt. Ebenso wie Kalden habe auch Zuckerberg ein Monster erschaffen, über das er keine Kontrolle mehr habe. In den Jahren seit 2003 habe sich Zuckerberg nun schon 15 oder 16 mal bei seinen Nutzern für Pannen entschuldigt. Dies zeige, dass eine Regulierung notwendig sei - selbst aus Sicht der Liberalen. An eine wirksame Selbstregulierung glaube er nicht mehr. Dann kommt auch Verhofstadt zu seinen Fragen: Wie könne es sein, dass sich Facebook an europäische Datenschutzvorgaben halte, wenn das Unternehmen im Vorfeld der Datenschutzgrundverordnung massenhaft europäische Daten von Nicht-Europäern von seinen europäischen Servern ins Ausland verlagert habe? Diese widerspreche sowohl den alten als auch den neuen Datenschutzregeln. Das gleiche geschehe im übrigen auch mit den Schattenprofilen von Nicht-Nutzern, die zugleich europäische Bürger sind. Auch dies sei gesetzwidrig. Wird Facebook im Falle von Datenschutzverstößen Schadensersatz an europäische Nutzer leisten? Und wie würde ein solcher Schadensersatz berechnet? Auch Verhofstadt betrachtet Facebook als Monopolisten und wollte von Zuckerberg wissen, ob er bereit sei, in einer diesbezüglichen Untersuchung mitzuarbeiten. Wäre eine Zerschlagung in Facebook und Instagram auf der einen sowie Whatsapp und Facebook Messenger auf der anderen Seite für Zuckerberg denkbar? Zum Abschluss stellte Verhofstadt die Frage, wie Zuckerberg in die Geschichtsbücher eingehen möchte: Als eine prägende Persönlichkeit wie Steve Jobs und Bill Gates oder als derjenige, dessen Kreation die Demokratien und Gesellschaften zerstört habe.

Philippe Lamberts von den Grünen (Greens - European Free Alliance) konzentrierte sich auf Fragen, die mit Ja oder Nein bzw. A oder B zu beantworten sind: Ist Facebook bereit, alle Daten hinsichtlich politischer Kampagnen inklusive des finanziellen Umfangs, der Auftraggeber und der Zielgruppen offenlegen? Wird Facebook seinen Nutzern die Möglichkeit bieten, gezielte Werbung vollständig abzuschalten? Wird Facebook die verbliebenen Fake-Profile bis zum Quartalsende löschen und das Anlegen neuer Fake-Profile systematisch unterbinden? Ist Facebook ein Anbieter eigener Inhalte oder eine neutrale Plattform? Ist Facebook bereit, sein Firmengeflecht inklusive der Finanzen und Mitarbeiterzahlen für jedes Land offenlegen? Ist Facebook zudem bereit, seine Gewinne dort versteuern, wo sie generiert wurden, statt sie in Länder mit niedrigen Steuersätzen umzuleiten?

Ein Haufen guter Fragen, doch die Fragestellungen der kleineren Fraktionen gehen noch 23 Minuten weiter. So hebt Brexit-Vorkämpfer Nigel Farage (Europe of Freedom and Direct Democracy) hervor, dass es den Brexit, den US-Präsidenten Donald Trump oder die chaotischen Verhältnisse nach der Wahl in Italien ohne soziale Medien wie Facebook nicht gegeben hätte. Farage findet das toll. Doch nun werde rechtes Gedankengut von Facebook zensiert und den Nutzern eine akzeptable Weltsicht aufgezwungen, die sich irgendwer irgendwo ausgedacht habe. Das widerspreche dem Recht auf freie Meinungsäußerung. Am Ende war über eine Stunde vergangen und Mark Zuckerberg hatte noch nicht eine einzige Frage beantwortet.

...aber kaum Zeit für Antworten
Als Zuckerberg dann wieder zu Wort kam, verzichtete er darauf, auf konkrete Fragen einzugehen. Stattdessen erklärte er seine Ansätze zum Umgang mit SPAM, illegalen Inhalten und Falschmeldungen sowie angedachte Maßnahmen zur Unterbindung illegaler Wahlbeeinflussung. Hinsichtlich der "richtigen Regulierung" gab sich Zuckerberg offen, wurde dabei aber genauso wenig konkret wie bei allen anderen Themen. Als Monopolisten sieht er sein Unternehmen nicht, denn Zuckerberg stellt Facebook als Kommunikationsplattform dar. Und Menschen nutzen die unterschiedlichsten Dienste, um miteinander zu kommunizieren. Aus Sicht des Geschäftsmodells stelle Facebook zudem nur sechs Prozent der weltweiten Werbeumsätze, was nach Zuckerberg 94 Prozent für die Konkurrenten bedeutet. Dann wiederholt er, dass viele kleine Firmen die Werkzeuge von Facebook erfolgreich einsetzen und sein Unternehmen schon immer die geforderten Steuern bezahlt habe. Die Datenschutzgrundverordnung werde man voraussichtlich bis zum 25. Mai erfüllen.

Grundsätzlich sei Facebook politisch neutral und würde Beiträge nicht aufgrund ihrer politischen Färbung bevorzugen oder abwerten. Allerdings habe man Beiträgen von Familie und Freunden Vorfahrt eingeräumt, da man hierin die zentrale Aufgabe von Facebook sehe. Das Thema der Schattenprofile streifte Zuckerberg nur insofern, dass die Auswertung von Nicht-Nutzern aus Sicherheitsgründen notwendig sei. Facebook sammelt diese Daten allerdings auch über die Seiten von Drittanbietern, welche Like-Buttons und ähnliche Funktionen eingebunden haben. Auch auf konkrete Nachfrage nannte er keine Möglichkeit, wie sich Nicht-Nutzer vor einer Datenerfassung schützen können. Dafür geht Zuckerberg dann nochmals auf missbräuchliche Apps ein und erklärt Facebooks neues Validierungskonzept. Nach etwas mehr als zwanzig Minuten versucht sich Zuckerberg zu verabschieden, was bei einigen Parlamentariern für Unmut sorgte.

Die unbeantwortete Frage nach dem Datenaustausch zwischen Facebook und Whatsapp kam auf und Guy Verhofstadt beklagte, dass er auf seine sechs Fragen nicht eine Antwort erhalten habe. Als Mark Zuckerberg eine schriftliche Beantwortung in Aussicht stellte, sagte Verhofstadt, er und seine Kollegen seien gut vorbereitet zu diesem Treffen gekommen und hätten all ihre Fragen in schriftlicher Form vorliegen. Herr Zuckerberg und sein Team sollten daher gleich den kompletten Fragenkatalog zur Beantwortung mitnehmen. Es ist nicht zu übersehen, dass Verhofstadt mit Zuckerbergs Antworten alles andere als zufrieden war und das gilt auch für die Mehrheit seiner Kollegen. Am Ende eilt Zuckerberg zum Flughafen, um in Paris über Geschäftliches zu reden...

Seit Anfang Januar 2018 sind die Meltdown- und Spectre-Angriffe auf Schwachstellen in CPU-Designs bekannt, dennoch gibt es kaum UEFI- bzw. BIOS-Updates für betroffene Computer. Und diese sind auch nicht notwendig, da die Betriebssysteme in der Lage sind, die notwendigen Microcode-Updates nachzuladen. Microsoft reicht diese Möglichkeit nun für Windows 10 Version 1803 nach und weitet zugleich sein Microcode-Angebot auf Intels CPU-Generationen Sandy Bridge und Ivy Bridge aus.

Seit dem 28. Februar 2018 bietet Microsoft optionale Microcode-Updates für die Core-i-Prozessoren von Intel an. Anfangs wurden nur die Prozessoren der Skylake-Familie (ab 2015) unterstützt, Mitte März folgten dann auch Microcode-Updates für die Baureihen "Kaby Lake" (ab 2016) und "Coffee Lake" (ab 2017). Mit der dritten Überarbeitung des Updates wurden Ende April 2018 die CPU-Familien Broadwell (ab 2014) und Haswell (ab 2013) eingepflegt. In der neuesten Ausgabe, welche erstmals auch für Windows 10 Version 1803 angeboten wird, sind jetzt auch Microcode-Updates für "Ivy Bridge" (2012) und "Sandy Bridge" (2011) enthalten.

Microsofts Entscheidung, Windows 10 Version 1803 ohne Microcode-Updates auszuliefern, sowie der Umstand, dass für die neueste Ausgabe von Windows 10 nicht einmal ein optionales Update verfügbar war, stieß auf viel Unverständnis. Schließlich sind die Microcode-Updates der einzige wirksame Schutz vor Angriffen auf die zweite Spectre-Variante (CVE 2017-5715). Doch auch mit dem nun veröffentlichten Update bleibt Raum für Kritik, denn nicht alle Versionen von Windows 10 decken auch alle genannten Prozessoren ab:

• KB4100347 für Windows 10 Version 1803 (Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake und Coffee Lake)
• KB4090007 für Windows 10 Version 1709 (Haswell, Broadwell, Skylake, Kaby Lake und Coffee Lake)
• KB4091663 für Windows 10 Version 1703 (Haswell, Broadwell, Skylake, Kaby Lake und Coffee Lake)
• KB4091664 für Windows 10 Version 1607 (Haswell, Broadwell, Skylake, Kaby Lake und Coffee Lake)
• KB4091666 für Windows 10 (Haswell, Broadwell und Skylake)

Microcode-Updates für Intels Core-i-Baureihen Lynnfield (ab 2009, Nehalem Micro-Architektur), Arrandale und Clarkdale (ab 2010, beide Westmere Micro-Architektur) sind über Microsoft noch nicht verfügbar, ebenso fehlen Microcode-Updates für Prozessoren von AMD. Die bisher verteilten Microcode-Updates kümmern sich ausschließlich um Spectre Variante 2 (CVE 2017-5715). Neue Versionen, welche auch Schutz vor den neuen Spectre-Varianten 3a (CVE-2018-3640) und 4 (CVE-2018-3639) bieten, sind über Microsoft noch nicht erhältlich.

Spectre entwickelt sich immer mehr zu einem kaum fassbaren Gespenst, das das Vertrauen in die Technik nachhaltig erschüttert. Seit gestern liegen die Varianten 3a (CVE-2018-3640) und 4 (CVE-2018-3639) auf dem Tisch und abermals sind Prozessoren von Intel, AMD, ARM und IBM betroffen. Damit sind nicht nur x86-Computer angreifbar, sondern auch Server, Tablets, Smartphones und das Internet der Dinge.

Eine kleine Variation...
CVE-2018-3640 wird als Untervariante von Spectre 3 gewertet, entdeckt haben diesen Angriff Zdenek Sojka, Rudolf Marek und Alex Zuepke von der SYSGO AG. Auch die Variante 3a nutzt spekulative Lesezugriffe, um einen Seitenkanalangriff auf geschützte Daten zu fahren. Abhilfe schafft letztendlich nur neuer Microcode, welcher das spekulative Verhalten der Prozessoren einschränkt. Dieser kann dauerhaft als BIOS/UEFI-Update eingespielt oder temporär vom Betriebssystem beim Systemstart geladen werden.

...und eine neuer Ansatz
Die Variante 4 (CVE-2018-3639) stellt indes einen neuartigen Angriff dar, welcher unabhängig von Jann Horn (Google Project Zero) und Ken Johnson (Microsoft Security Response Center) gefunden wurde. Sie macht sich zunutze, dass der Prozessor vorherzusagen versucht, ob ein Befehl von zuvor verarbeiteten Daten abhängt. Wird keine Abhängigkeit erwartet, führt die CPU den Befehl spekulativ aus. Falls dann doch eine Abhängigkeit festgestellt werden sollte, wird die Spekulation verworfen und der Befehl neu verarbeitet. Sofern die Spekulation weit genug fortgeschritten ist, lassen sich die Daten dennoch aus dem "Abfall" über einen Seitenkanalangriff abzapfen. Einen vollständigen Schutz erreicht man nur durch eine Kombination aus aktualisiertem Microcode und zusätzlichen Software-Flicken für das Betriebssystem.

Maßnahmen und Nebenwirkungen
Intel und AMD wollen ihre Prozessoren durch Microcode-Updates absichern, welche Bestandteil überarbeiteter BIOS- und UEFI-Versionen sind. Diese bringen den betroffenen CPUs eine neue Funktion namens "Speculative Store Bypass Disable" (SSBD) bei, welche den Angriff auf Spectre Variante 4 unterbindet - sofern diese Funktion vom Betriebssystem unterstützt wird. Microsoft arbeitet an entsprechenden Anpassungen für Windows und will auch die entsprechenden Microcode-Updates von AMD und Intel als optionales Update ausliefern. Bisher gibt es über Microsoft nur Microcode-Updates von Intel und auch diese nicht für alle betroffenen CPUs. Allerdings erwartet man in Redmond weitere Leistungseinbußen. Unter Linux lässt sich diese Variante der Spekulation wahlweise gezielt für bestimmte Threads oder vollständig deaktivieren. Aus Leistungsgründen wird zur Thread-basierten Deaktivierung geraten.

Die Angriffe erfolgen in der Regel über einen lokalen Benutzer. Es ist zwar denkbar, dass der Angriffscode von einem Webbrowser ausgeführt wird, doch aktuelle Browser unterbinden genaue Zeitmessungen, weshalb es an der für Seitenkanalangriffe benötigten Präzision fehlt. Als erste Maßnahme sollte man daher prüfen, ob sich der installierte Webbrowser auf dem neuesten Stand befindet. Baldige Angriffe sind derweil nicht zu befürchten, eine schnelle Verteilung der Microcode-Updates allerdings auch nicht. So bleibt am Ende das ungute Gefühl, dass derzeit nur eines sicher ist: Es werden schon bald weitere CPU-Schwachstellen folgen!

Weiterführende Informationen

• Intel: Q2 2018 Speculative Execution Side Channel Update
• AMD: White Paper: AMD64 Technology Speculative Store Bypass Disable
• ARM: Vulnerability of Speculative Processors to Cache Timing Side-Channel Mechanism
• IBM: Potential Impact on Processors in the POWER Family
• Microsoft: Guidance for Speculative Store Bypass
• Redhat: Speculative Store Bypass explained: what it is, how it works
• Google Project Zero: Speculative Execution, Variant 4: Speculative Store Bypass

Neben der Entwicklungsschiene 6.0, welche seit einer Woche in Form von LibreOffice 6.0.4 vorliegt, wird parallel auch die Schiene 5.4 fortgeführt - zumindest bis zu deren Support-Ende am 11. Juni 2018. Mit LibreOffice 5.4.7 liegt nun die voraussichtlich letzte Ausgabe dieser Schiene vor. Die finale Version 5.4.7 ist Bit für Bit identisch mit dem zweiten Veröffentlichungskandidaten.

Stabilität und Funktionalität
Das finale LibreOffice 5.4.7 sollte eigentlich schon vor zwei Wochen Wochen, also zwischen dem 30. April und dem 6. Mai, veröffentlicht werden. Dieses Update korrigiert 44 Fehler, darunter zwei potentielle Absturzursachen. Ein Absturz trat beim Erstellen einer Druckvorschau für ein signiertes Dokument auf. Auch das Einfügen eines Fotoalbums, welches Videos vom Typ .MOV enthält, konnte zum Absturz führen. LibreOffice 5.4.7 verbessert zudem die Zuverlässigkeit der Suchrichtung rückwärts und stellt das Wiederherstellen von Bildunterschriften sicher.

Fortschritte hinsichtlich der Dateikompatibilität
Beim Import von .DOCX-Dateien entsprachen die Abstände bei Absätzen mit verankerten Objekten nicht jenen in Word 2013. Auch der obere Rand des ersten Absatzes musste korrigiert werden und der Hintergrund von Tabellenzellen rutscht nun nicht mehr unter Hintergrundformen. Bitmaps behalten beim .DOCX-Import ihr Seitenverhältnis und die Größe von Textfeldern in Formen stimmt nun auch dann, wenn die Form eine relative Größe hat. Zudem geht der transparente Hintergrund des Textfeldes nicht mehr verloren.

Tabellen wurden beim Öffnen von .RTF-Texten nicht immer korrekt angezeigt und .PPTX-Präsentationen litten unter invertierten Farben. Der neue Release Candidate behebt diese Probleme. Mit RC 1 wurden indes Maßnahmen ergriffen, um die Erstellung ungültiger .PPTX-Dateien zu verhindern. Die überlangen Diagrammbeschriftungen in .PPTX-Dokumenten hatten die Entwickler ebenfalls korrigiert. Wer in der Tabellenkalkulation Calc mehrere Reihen oder Spalten auswählt, kann nun wieder die Summen-Taste nutzen - diese hatte zuletzt falsche Formeln für die Addition erstellt.

Download: LibreOffice 5.4.7

Werbung im Internet ist ein sensibles Thema. Und das nicht nur weil viele Werbeformen sehr aufdringlich sind, sondern auch weil mit Hilfe von Tracking Daten über Euer Online-Verhalten gesammelt werden. Aus diesem Grund wollen wir die Google-Werbung auf Au-Ja.de abschalten und dank unserer Leser geschieht dies vom 17. Mai bis zum 10. August 2018 - Verlängerung möglich!

Die Gründe für die Abschaltung liegen auf der Hand: Wir haben nur bedingt Einfluss darauf, welche Werbung Google über sein Werbenetzwerk AdSense ausliefert. Sensible Themen, interaktive Videos, personalisierte Anzeigen und die Verwendung von Zielgruppenangaben für Drittanbieteranzeigen haben wir bereits deaktiviert. Dennoch besteht bei Werbung, welche von Dritten geliefert wird, immer das Risiko einer missbräuchlichen Nutzung. Ein aktuelles Beispiel hierfür sind die Angriffe auf einen kritischen Speicherfehler in der VBScript-Engine (CVE-2018-8174), vor denen Microsoft aktuell warnt. Nicht gefährlich, aber ärgerlich: Zuweilen blockiert Google zwar einen Anzeigenplatz, liefert dann aber doch keine Werbung aus, so dass leere Flächen den Inhalt zerreißen. Wird indes Werbung ausgeliefert, verursacht diese beim Zugriff auf Au-Ja.de einen Großteil des Datenvolumens und bremst die Seite aus.

Ein letzter aber keinesfalls unbedeutender Grund: Google sammelt über seine Werbeanzeigen Daten. Wer nun meint, solche Tracking-Daten würden sowieso über Dienste wie Google Analytics anfallen, irrt, denn dieser Dienst kommt auf Au-Ja.de schon lange nicht mehr zum Einsatz. Auch mit unseren übrigen Partnern wie MSI, Amazon und ebay haben wir inzwischen Werbeformen gefunden, die als reine Links funktionieren. Selbst die Banner-Grafiken liegen lokal auf dem Server von Au-Ja.de, damit sie schnell laden und kein unkontrollierter Datenabfluss geschieht. Abgesehen von Googles Werbeanzeigen sind derzeit Videos von YouTube die einzigen Inhalte, welche von Au-Ja.de extern nachgeladen werden.

Pro: Mehr Sicherheit, weniger Datenverkehr, kürzere Ladezeiten, kein Tracking.

Kontra: Weniger Einnahmen.

Der Plan
Ja, das liebe Geld hatte uns bisher davon abgehalten, auf die Google-Werbung zu verzichten. Andererseits sollten sich im Jahr 2018 andere Wege zum Ausgleich der Einnahmelücke finden lassen. Deshalb baten wir Euch, liebe Leser, Au-Ja.de zu unterstützen. Und das war und ist der Plan: Je 2,50 Euro, welche wir einsammeln, werden wir Googles Werbung für einen Tag deaktivieren - auch im Forum. Wir haben diesen Wert, von dem noch die PayPal-Gebühren und die Umsatzsteuer abgehen, bewusst niedrig angesetzt, damit möglichst viele Tage zusammenkommen. Und wir legen noch einen drauf: Ab 50 Euro verlängern wir die Abschaltung der Google-Werbung um die Hälfte und ab 100 Euro verdoppeln wir die Laufzeit! Sollten wir 300 Tage erreichen, machen wir darüber hinaus das Jahr voll.

Der Zwischenstand
Damit ihr, liebe Leser, möglichst schnell etwas von Eurer Unterstützung habt, hatten wir die Sammlung erst einmal bis zum 10. Mai 2018 angesetzt und die Abschaltung der Google-Werbung auf den 17. Mai terminiert. Hier nun das Ergebnis:

107,00 EUR = 42 Tage 19 Stunden 12 Minuten +100% von uns obendrauf = 85 Tage 14 Stunden 24 Minuten ohne Google-Werbung

Auf 86 Tage aufgerundet bedeutet dies: Au-Ja.de wird vom 17. Mai bis zum 10. August 2018 keine Google-Werbung schalten! Unser Dank gilt folgenden Unterstützern, welche wir aus Datenschutzgründen nur mit ihren Initialen aufführen:

• 11. Mai 2018 - SG: 5,00 EUR, KP: 10,00 EUR
• 10. Mai 2018 - RS: 5,00 EUR
• 08. Mai 2018 - CP: 2,00 EUR
• 04. Mai 2018 - KM: 5,00 EUR
• 02. Mai 2018 - MB: 10,00 EUR, KP: 10,00 EUR, HM: 5,00 EUR, WL: 10,00 EUR
• 29. April 2018 - JG: 5,00 EUR
• 26. April 2018 - KH: 5,00 EUR
• 25. April 2018 - HC: 10,00 EUR, RL: 10,00 EUR
• 22. April 2018 - EP: 5,00 EUR
• 20. April 2018 - MB: 10,00 EUR

Die Sammlung geht weiter
Und was passiert nach Ablauf der Google-Werbung-freien Zeit? Nun, eigentlich wollen wir nicht zur Google-Werbung zurückkehren und darum geht die Sammlung erst einmal bis zum 10. August 2018 weiter. Dabei halten wir uns an den bisherigen Plan: Also je 2,50 Euro ein werbefreier Tag und da 100 Euro bereits überschritten sind verdoppeln wir das auf zwei Tage. Ab 300 Euro machen wir zudem das Jahr (365 Tage) voll.

• 1,00 Euro per PayPal zahlen
• 2,00 Euro per PayPal zahlen
• 5,00 Euro per PayPal zahlen
• 10,00 Euro per PayPal zahlen

Regelmäßige Updates zur Aktion werden wir im Forum posten. Also dann, liebe Leser, wir zählen auf Euch ;-)

CDex ist unserer Ansicht nach der beste CD-Ripper für Windows. Das von Georgy Berdyshev entwickelte Programm steht unter der GNU General Public License (GPL). Aber Obacht, es gibt zwei Varianten: Verwendet man den Installer, muss man unerwünschte Zusatzprogramme aktiv abwählen! Bei unserer Probeinstallation von CDex 2.03 wurde beispielsweise die Adware PremierOpinion zur Installation angeboten.

CDex 2.03 behebt mehrere Fehler, wobei die Entwickler auf deren Natur nicht weiter eingehen. Darüber hinaus wurde ein Problem im Zusammenspiel mit dem aktuellen Windows 10 Version 1803 korrigiert. Wer noch die Version 2.00 oder älter verwendet, sollte diese unbedingt aktualisieren, denn das Update auf CDex 2.01 hatte neue Versionen der Codec-Pakete Ogg und Vorbis gebracht. Während Ogg 1.3.3 einen Fehler beim Umgang mit beschädigten Paketen korrigiert, kümmert sich Vorbis 1.3.6 um drei Sicherheitslücken (CVE-2018-5146, CVE-2017-14632 und CVE-2017-14633).

Ein Problem besteht weiterhin: Wenn man zuerst CDex startet und dann eine Audio-CD einlegt, kann es passieren, dass Windows 10 den Dialog "Datenträger einlegen" anzeigt und die CD gleich wieder auswirft. Dies geschieht nicht, wenn man zuerst die Audio-CD einlegt und erst danach CDex aufruft. Wurde die erste CD sauber geladen, kann man im Anschluss auch weitere CDs einlegen, ohne dass Windows dazwischenfunkt.

Download: CDex 2.03

Adobe hat heute 47 Sicherheitslücken in seinen Programmen Acrobat und Reader geschlossen. 24 der Schwachstellen sind kritischer Natur, die restlichen wurden als hochgefährlich eingestuft. Einer der kritischen Fehler (CVE-2018-4990) wird bereits angegriffen und für einen hochgefährlichen Bug (CVE-2018-4985) wurde funktionierender Beispiel-Code veröffentlicht.

Die kritische 0-Day-Lücke ist ein Fehler des Typs "Double Free". Es wird also versucht, den gleichen Speicherbereich mehrmals freizugeben, was zu einem undefinierten Verhalten der Funktion free() führt. Dieses können Angreifer ausnutzen, um eigenen Code auszuführen. Auch sieben Stapelüberläufe (CVE-2018-4947, CVE-2018-4948, CVE-2018-4966, CVE-2018-4968, CVE-2018-4978, CVE-2018-4982, CVE-2018-4984), 13 Zugriffe auf zuvor gelöschte Objekte (CVE-2018-4996, CVE-2018-4952, CVE-2018-4954, CVE-2018-4958, CVE-2018-4959, CVE-2018-4961, CVE-2018-4971, CVE-2018-4974, CVE-2018-4977, CVE-2018-4980, CVE-2018-4983, CVE-2018-4988, CVE-2018-4989), ein unkontrollierter Schreibzugriff (CVE-2018-4950), eine Typenverwechslung (CVE-2018-4953) und eine nicht vertrauenswürdige Zeigerdereferenzierung (CVE-2018-4987) können als Einfallstor für Schadcode dienen.

Von den 23 hochgefährlichen Fehlern ermöglichen 19 unkontrollierte Lesezugriffe (CVE-2018-4949, CVE-2018-4951, CVE-2018-4955, CVE-2018-4956, CVE-2018-4957, CVE-2018-4960, CVE-2018-4962, CVE-2018-4963, CVE-2018-4964, CVE-2018-4967, CVE-2018-4969, CVE-2018-4970, CVE-2018-4972, CVE-2018-4973, CVE-2018-4975, CVE-2018-4976, CVE-2018-4981, CVE-2018-4986, CVE-2018-4985), es handelt sich somit um Datenlecks. Hierzu gehört auch jene Schwachstelle, für die bereits Demonstrations-Code veröffentlicht wurde. Drei weitere Datenlecks entstehen durch eine Speichermanipulation (CVE-2018-4965), eine Umgehung von Sicherheitsmaßnahmen (CVE-2018-4979) und den Diebstahl des SSO-Hash (Single Sign On) vom NT LAN Manager (CVE-2018-4993). Und beim HTTP POST lassen sich neue Zeilen über die XML Forms Architecture (XFA) einschleusen, wodurch sich Sicherheitsmaßnahmen umgehen lassen (CVE-2018-4995).

Da es eine kritische 0-Day-Lücke gibt, hat Adobe die höchste Prioritätsstufe verhängt. Das unverzügliche Einspielen der Updates ist folglich anzuraten.

Downloads für Windows:

• Acrobat DC 2018.011.20040
• Acrobat 2017.011.30080
• Acrobat DC 2015.006.30418
  
• Acrobat Reader DC 2018.011.20040
• Acrobat Reader DC 2017.011.30080
• Acrobat Reader DC 2015.006.30418

Downloads für macOS:

• Acrobat DC 2018.011.20040
• Acrobat 2017.011.30080
• Acrobat DC 2015.006.30418
• Acrobat Reader DC 2018.011.20040
• Acrobat Reader DC 2017.011.30080
• Acrobat Reader DC 2015.006.30418

NVIDIA hat seinen Grafiktreiber GeForce Game Ready auf die WHQL-zertifizierte Version 397.64 aktualisiert, welche für die Spiele "Destiny 2: Warmind", "Conan Exiles" und "Pillars of Eternity II: Deadfire" empfohlen wird. Dazu gibt es offizielle Unterstützung für Microsofts Surface Books und frische SLI-Profile für "Kingdom Come: Deliverance" und "GRIP".

Behobene Fehler
Bei "Grand Theft Auto V" wurde die Intensität der Strahlenbüschel unter Verwendung von MSAA reduziert und beim Beenden von "Starcraft 2" sorgen Grafikchips der Kepler-Baureihe nicht mehr für einen schwarzen Bildschirm. NVIDIA hat zudem ein Stottern bei der Netflix-Wiedergabe behoben und die Ereignisanzeige von Windows vermerkt beim Start keinen "Fehler 14" mehr. Der Gerätemanager von Windows verzichtet auf den "Code 43 Fehler", wenn eine GeForce GTX 1060 im System steckt, und von Windows 10 wird kein Grafiktreiber entfernt, nur weil sich der PC über längere Zeit im Leerlauf befindet. NVAPI-Abfragen lassen die Zahl der GDI-Objekte nicht mehr ansteigen und SLI-Konfigurationen aus Grafikkarten des Typs GeForce GTX 780 Ti können nun endlich zeitgleich drei Bildschirme über zwei DVI-Anschlüsse und den DisplayPort ansteuern.

Offene Probleme
Die Mehrzahl der offenen Probleme ist schon bekannt und betrifft nur Windows 10: Die GeForce Titan (Kepler) verweigert auch weiterhin die Zusammenarbeit mit AMDs Threadripper und auf Pascal-GPUs verursacht "Gears of War 4" sporadische Blue-Screens. Die Videowiedergabe mit Microsoft Edge kann das Bild von Video und Desktop verzerren, sofern HDR aktiviert ist. Abhilfe schafft nur das Aus- und Anschalten des Bildschirms. Auch bei "Far Cry 5" sorgt HDR für Probleme, falls das Spiel nicht in der nativen Auflösung des Monitors läuft. Um das grüne Flackern zu beheben, wechselt man am besten per Alt+Tab zum Desktop und wieder zurück. Die GeForce GTX 1080 Ti verursacht einen TDR-Fehler, wenn bei "Warhammer Vermintide 2" die Auflösung gewechselt wird. Verwendet man DirectX 11 statt 12, verschwindet das Problem. Zudem kann es vorkommen, dass die Tastaturkürzel für Surround, das In-Game Overlay und Shadowplay-Aufnahmen nicht funktionieren. Neu hinzugekommen sind sporadische Abstürze von "Wolfenstein II" sowie ein leeres Center-Display, wenn "Call of Duty: WWII" im Surround-Modus gespielt wird. Diese beiden Fehler treten sowohl unter Windows 10 als auch unter Windows 7 auf.

Treiber-Komponenten und Kompatibilität
Die Versionsstände von GeForce Experience (3.13.1.30), nView (148.92), des HD-Audio-Treibers (1.3.37.1) und der PhysX System-Software (9.17.0524) zeigen sich unverändert. Doch während NVIDIA für die inzwischen zurückgezogene Treiberversion 397.31 noch CUDA 9.2 aufgeführt hatte, wird diesmal nur CUDA 9.1 genannt. Grund für das Zurückziehen der Version 397.31 waren Bootschleifen, welche in einigen Systemkonfigurationen aufgetreten waren. Seit Anfang April entwickelt NVIDIA keine 32-Bit-Treiber mehr, unterstützt werden daher nur noch die 64-Bit-Varianten von Windows 7, 8, 8.1 und 10. Auch die Unterstützung für die Fermi-Generation wurde eingestellt - oder zumindest teilweise, denn während die Baureihen GeForce 800, 500 und 400 komplett verschwunden sind, finden sich andere Fermi-Modelle weiterhin auf der Liste der unterstützten Grafikkarten. Zu nennen wären die Modelle GeForce GT 630 (= GeForce GT 430 oder GT 440), GeForce GT 640 (= GeForce GT 545), GeForce GT 645 (= GeForce GTX 560 SE), GeForce GT 705 (= GeForce GT 610 = GeForce GT 520) und GeForce GT 730 (= GeForce GT 430).

Download: NVIDIA GeForce Game Ready Driver 397.64 WHQL

Der VI. Zivilsenat des Bundesgerichtshofs (BGH) hat klargestellt, dass Dashcam-Aufnahmen aus datenschutzrechtlicher Sicht unzulässig sind. Als Beweismittel sind solche Videoaufzeichnungen nach Ansicht der Richter aber dennoch verwertbar. Die Frage der Verwertbarkeit sei jeweils im Einzelfall zu klären, denn das Recht am eigenen Bild dürfe der funktionierenden Zivilrechtspflege nicht grundsätzlich im Weg stehen.

Es geht also immer um eine Abwägung der Interessen. Im verhandelten Fall wollte der Kläger seine zivilrechtlichen Ansprüche im Zusammenhang mit einer Fahrzeugkollision, welche er mit seiner Dashcam aufgezeichnet hatte, durchsetzen. Der Beklagte versuchte indes, die Verwendung der ihn belastenden Videoaufnahme als Beweismittel mit Hinweis auf die Verletzung seiner Persönlichkeitsrechte zu verhindern. Das Amtsgericht Magdeburg hatte dem Kläger am 19. Dezember 2016 nur die Hälfte seines Gesamtschadens zugesprochen (104 C 630/15), da das Gutachten eines Sachverständigen die Schuldfrage nicht klären konnte. Die Sichtung der Videoaufnahme wurde vom Landgericht abgelehnt (1 S 15/17). Dagegen ging der Kläger in Berufung, doch das Landgericht Magdeburg bestätigte am 5. Mai 2017 ein Beweisverwertungsverbot aufgrund von Verstößen gegen datenschutzrechtliche Bestimmungen.

Dem widersprachen nun die Bundesrichter im Rahmen einer Revision. Auch sie sehen in den Dashcam-Aufzeichnungen eine Verletzung des Datenschutzes und der Persönlichkeitsrechte der gefilmten Personen, dennoch bewerten sie auf Aufnahmen in diesem Fall als zulässiges Beweismittel. Der Kläger habe ein Recht auf die Durchsetzung seiner zivilrechtlichen Ansprüche und seine Videoaufzeichnung belege seine Aussage. Zudem habe sich der Unfall im öffentlichen Straßenraum ereignet und keinesfalls in einem besonders geschützten privaten Umfeld. Durch seine freiwillige Teilnahme am öffentlichen Straßenverkehr habe sich der Beklagte "selbst der Wahrnehmung und Beobachtung durch andere Verkehrsteilnehmer ausgesetzt" und nur dies habe die Kamera aufgezeichnet. Das Landgericht muss den Fall unter Einbeziehung der Videoaufnahme nun neu verhandeln.

Zudem geben die Richter noch sinnvolle Ratschläge für den Einsatz von Dashcams: Sie betonen, dass "eine permanente anlasslose Aufzeichnung des gesamten Geschehens auf und entlang der Fahrstrecke" nach den geltenden datenschutzrechtlichen Bestimmungen unzulässig ist. Auch zur Beweissicherung sei ein solches Vorgehen keinesfalls erforderlich. Stattdessen raten sie zu anlassbezogenen Aufzeichnungen, die lediglich das Unfallgeschehen zeigen. Dies ließe sich durch ein dauerndes Überschreiben der Aufzeichnungen in kurzen Abständen erreichen. Erst bei einer Kollision oder einer starken Verzögerung des Fahrzeugs soll eine dauerhafte Speicherung ausgelöst werden. Insgesamt gelang dem VI. Zivilsenat des BGH heute ein salomonisches Urteil, welches moderne Technik, das Gerechtigkeitsempfinden der Bürger und den Datenschutz in Einklang bringt.

Ein geschäftliches Erdbeben meldet der Kopiergerätehersteller Xerox: Das Unternehmen hat nicht nur seine Ende Januar 2018 angekündigte Übernahme durch Fujifilm abgeblasen, sondern auch fünf Mitglieder seines Aufsichtsrates ausgetauscht. Zudem nimmt CEO Jeff Jacobson seinen Hut. Seinen Platz übernimmt John Visentin, der Wunschkandidat des Investors Carl Icahn. Icahn war gerichtlich gegen die Übernahme durch Fujifilm vorgegangen und hatte Jacobson Unfähigkeit sowie Untreue vorgeworfen.

Rückblick: Ein gutes Geschäft - für Fujifilm
Am 31. Januar 2018 hatte Xerox im Rahmen seiner Telefonkonferenz zu den Ergebnissen des Geschäftsjahres 2017 erklärt, dass sich das Unternehmen an seinen japanischen Mitbewerber Fujifilm verkaufen will. Xerox sollte dabei in dem schon vor 56 Jahren gegründeten Joint-Venture "Fuji Xerox" aufgehen. Mit 50,1 Prozent der Anteile wäre Fujifilm der Mehrheitseigner des Joint-Ventures geworden, die Aktionäre von Xerox sollten die restlichen 49,9 Prozent erhalten. Als Kompensation für den verlorenen Einfluss wollte Xerox seinen Anlegern eine Sonderdividende in Höhe von 2,5 Milliarden US-Dollar bzw. 9,80 US-Dollar je Aktie zahlen. Fujifilm hätte indes "keinen Penny" investiert, wie CEO Shigetaka Komori gegenüber Nikkei Asian Review erklärte. Die Japaner wollten lediglich ihre derzeit 75-prozentige Beteiligung an "Fuji Xerox" auf 50,1 Prozent reduzieren.

Zwei unzufriedene Anteilseigner rebellieren
Carl Icahn und Darwin Deason sind die wichtigsten Einzelinvestoren von Xerox und halten zusammen rund 15 Prozent des Unternehmens. Damit hätten sie rund 375 Millionen US-Dollar der Sonderdividende einstreichen können, doch beim geplanten Konstrukt "Fuji Xerox" wäre ihr Einfluss mit einem Anteil unter 7,5 Prozent deutlich geschrumpft - und die Japaner hätten sowieso in jeder Abstimmung die absolute Mehrheit gehabt. Daher setzten die beiden Investoren einen offenen Brief an die Xerox-Aktionäre auf und kündigten zugleich rechtliche Schritte gegen den geplanten Verkauf an. Laut Icahn und Deason wollte Xerox seinen CEO Jeff Jacobson ersetzen, weshalb dieser den Deal mit Fujifilm eingefädelt habe. Die Japaner wollten nämlich an Jacobson festhalten und ihm die Leitung von "Fuji Xerox" anvertrauen. Icahn und Deason hielten Jacobson indes für unfähig und wollten ihn so schnell wie möglich auf die Straße setzen. Ende April folgte der New Yorker Richter Barry Ostrager ihrer Argumentation und erließ eine einstweilige Verfügung gegen den Verkauf.

Xerox beklagt unstimmige Zahlen
Xerox führt als Grund für den geplatzten Verkauf Unstimmigkeiten bei den Geschäftszahlen des Joint-Ventures "Fuji Xerox" an: Fujifilm hätte die geprüften Finanzdaten für "Fuji Xerox" nicht fristgerecht geliefert und die Zahlen hätten dann auch noch wesentliche Abweichungen zu den im Vorfeld übermittelten ungeprüften Finanzdaten offenbart. Hinsichtlich der gerichtlichen Niederlage gegen seine eigenen Investoren findet Xerox die folgenden Worte:

"...and taking into account other circumstances limiting the ability of the Company, Fujifilm and Fuji Xerox to consummate a transaction."

Übersetzung: "...und unter Berücksichtigung anderer Umstände, die die Möglichkeit des Unternehmens, Fujifilm und Fuji Xerox eine Transaktion durchzuführen, einschränken."

Man habe eine Einigung mit Carl Icahn und Darwin Deason erzielt und die Rechtsstreitigkeiten mit seinen Aktionären beigelegt. Die Vorwürfe der Beihilfe und Begünstigung, welche Deason und andere Aktionäre gegen Fujifilm erhoben haben, bleiben indes bestehen. Tatsächlich haben Icahn und Deason Xerox in die Knie gezwungen: Mit Robert J. Keegan, Charles Prince, Ann N. Reese, William Curt Hunter und Stephen H. Rusckowski verlassen fünf Mitglieder den Aufsichtsrat und auch Jeff Jacobson ist als CEO und Mitglied des Aufsichtsrates zurückgetreten. Neu ziehen Jonathan Christodoro, Keith Cozza, Nicholas Graziano, Scott Letier und John Visentin in den Aufsichtsrat ein. Und diese vertreten ausnahmslos die Interessen von Icahn und Deason.

Investoren übernehmen das Ruder
John Visentin wird dabei stellvertretender Vorsitzender und CEO. Visentin, der zuvor für IBM und Hewlett-Packard gearbeitet hatte, führte die Firma Novitex als CEO in eine Fusion mit SourceHOV. Beide Unternehmen hatten Dienstleistungen im Bereich der Datenverarbeitung und Datenverwaltung angeboten und sind nach ihrem Zusammenschluss unter dem Namen Exela Technologies tätig. Visentin war Icahns Wunschkandidat für die Leitung von Xerox. Keith Cozza, der neue Aufsichtsratsvorsitzende, ist zugleich der CEO von Icahn Enterprises. Jonathan Christodoro ist Geschäftsführer von Icahn Capital. Nicholas Graziano arbeitet als Portfolio-Manager für Icahn Capital. Scott Letier ist Geschäftsführer von Deason Capital. Oder anders formuliert: Icahn und Deason haben das Ruder bei Xerox übernommen.

Als die E-Mail erfunden wurde, hatte sich niemand irgendwelche Gedanken über deren Sicherheit oder gar eine Ende-zu-Ende Verschlüsselung gemacht. Erst Erweiterungen wie PGP/GPG oder S/MIME ermöglichen den verschlüsselten E-Mail-Versand, doch hierbei gibt es derart massive Schwachstellen, dass Sicherheitsexperten rund um den Münsteraner Professor Sebastian Schinzel nun vor deren Verwendung warnen.

Die "Electronic Frontier Foundation" (EFF) konnte bereits vorab einen Blick auf die Ergebnisse der Forscher werfen und rät allen Nutzern, Tools und Erweiterungen zur automatischen Entschlüsselung von E-Mails zu deaktivieren oder sie gleich komplett zu entfernen. Über Schwachstellen in den Tools und Erweiterungen können Angreifer nämlich nicht nur aktuelle Mails mitlesen, sondern auch auf in der Vergangenheit empfangene Inhalte zugreifen. Schinzel und sein Team wollen am morgigen Dienstag um 9 Uhr weitere Details bekannt geben, weshalb man unverzüglich reagieren sollte.

Deinstallationsanleitungen der EFF:

• Thunderbird mit Enigmail
• Apple Mail mit GPGTools
• Outlook mit Gpg4win

Angriff erfolgt über HTML-Inhalte
Wie man einem Kommentar des Verschlüsselungsexperten Matthew Green entnehmen kann, erfolgen die Angriffe über HTML-Code: Der Angreifer fängt eine verschlüsselte E-Mail ab und modifiziert diese mit eigenem HTML-Code. Im Client des Empfängers wird dieser HTML-Code ausgeführt und leitet die entschlüsselten Inhalte an einen externen Server weiter. Betroffen sind die meisten E-Mail-Clients mit grafischer Benutzeroberfläche, da nur diese HTML-Inhalte aufbereiten und darstellen können. Eine verpflichtende Prüfung darauf, ob die verschlüsselte E-Mail auf ihrem Weg zum Empfänger manipuliert wurde, gibt es nicht, obwohl PGP diese Funktion eigentlich schon seit dem Jahr 2001 beherrscht.

S/MIME kaputt, PGP/GPG reparabel
Für Firmen stellt S/MIME (Secure/Multipurpose Internet Mail Extensions) die größte Bedrohung da, denn diese "dumme Protokoll" wurde in die E-Mail-Clients integriert. Ersonnen von "RSA Data Security", ist S/MIME nun endgültig kaputt und nach Ansicht der Forscher auch nicht mehr zu retten. Für PGP/GPG scheint es indes noch Hoffnung zu geben - fragt sich nur wann. Schließlich hat es der seit 17 Jahren integrierte "Modification Detection Code" (MDC) noch immer nicht in die alltägliche Praxis geschafft. Robert J. Hansen, Pfleger der GnuPG FAQ, plädiert für Don't Panic und der Entwickler von GnuPG, Werner Koch, hält die Reaktion der EFF für völlig überzogen.

Viele Köche verderben den Brei
Wenn man sich nur GnuPG ansieht, muss man Koch Recht geben. Im Prinzip funktioniert das Programm wie vorgesehen. Doch die wenigsten Nutzer rufen ihre E-Mails über die Eingabezeile ab. Die Realität besteht aus grafischen Programmen, an die tagtäglich unzählige bunte HTML-Mails geschickt werden. Und hier krankt das zusammengeschusterte Gesamtkonstrukt aus GnuPG, darauf aufsetzenden Erweiterungen und E-Mail-Clients an seiner labilen Bauweise, die nun mal nicht aus einem Guss ist. Am Ende summieren sich die einzelnen Fehler und Nachlässigkeiten zu gravierenden Sicherheitslücken, die sich im Alltag ganz real ausnutzen lassen.

Der chinesische Telekommunikationsausrüster und Smartphone-Hersteller ZTE hatte aufgrund von Lieferungen in den Iran und nach Nordkorea den Zorn der USA auf sich gezogen. Über das Handelsministerium ließ Donald Trump Mitte April 2018 einen siebenjährigen Lieferbann gegen ZTE verhängen, der das Unternehmen weitgehend lahmgelegt hat. Schwer getroffen wurden allerdings auch viele Zulieferer aus den USA.

MediaTek springt für Qualcomm ein
Am 9. Mai 2018 ließ ZTE seine Kunden und Anleger wissen, dass man das operative Geschäft weitgehend eingestellt hat. Ohne Chips von Qualcomm und Intel steht ZTE mit dem Rücken zur Wand, zumal auch Qualcomms wichtigster Mitbewerber Broadcom seinen Firmensitz in die USA verlagern will. Einen Lichtblick gab es letzte Woche aus Taiwan: Die dortigen Behörden hatten MediaTek Inc., einem weiteren Hersteller von ARM-Prozessoren, grünes Licht für zusätzliche Lieferungen an ZTE gegeben. Dass es MediaTek gelingen könnte, die Liefermengen von Qualcomm aufzufangen, darf allerdings bezweifelt werden.

Viele US-Zulieferer unter Druck
Aber auch abseits der Prozessoren und Chipsätze kaufen chinesische Firmen wie ZTE viele Komponenten im Ausland zu. Acacia Communications mit Sitz in Maynard, Massachusetts lieferte seine Lösungen zur optischen Datenübertragung an ZTE und generierte 30 Prozent seines Umsatzes über das chinesische Unternehmen. Die Aktie der Firma stürzte von rund 40 auf 25 US-Dollar ab, konnte in den vergangenen Tagen aber wieder auf 30 US-Dollar klettern. Auch Oclaro Inc. aus San Jose, Kalifornien ist auf optische Komponenten spezialisiert und generierte zuletzt rund 18 Prozent seines Umsatzes über ZTE. Oclaros Kurs rutsche von 10 auf unter 8 US-Dollar und liegt aktuell bei rund 8,50 US-Dollar. Xilinx Inc., ein Hersteller für programmierbare logische Schaltungen (PLD), kommt ebenfalls aus San Jose. Als Zulieferer von ZTE rutsche der Börsenkurs der Firma von knapp 70 auf unter 64 US-Dollar ab, notiert inzwischen aber wieder mit 69,20 US-Dollar.

Selbst Qualcomms Aktie war zwischenzeitlich unter Druck geraten und von 55 auf unter 50 US-Dollar abgerutscht. Weitere ZTE-Zulieferer sind Corning Inc. (Gorilla Glass, Sitz in Corning, New York), GSI Technology Inc. (Speicherchips, Sitz in Sunnyvale, Kalifornien), NeoPhotonics Corp. (optische Datenübertragung, Sitz in San Jose, Kalifornien) und Skyworks Solutions Inc. (Halbleiter, Sitz in Woburn, Massachusetts). Und natürlich arbeitet ZTE auch mit Branchengrößen wie Amazon.com Inc., Cisco Systems Inc. und Microsoft Corp. zusammen. Experten schätzen, dass ZTE im Jahr 2017 alleine in den USA Halbleiterprodukte für rund 1,5 Milliarden US-Dollar zugekauft hatte. Damit ist ZTE zwar nicht groß genug, um Hersteller von Schlüsseltechnologien ins Wanken zu bringen, doch einzelne Zulieferer trifft der Lieferbann dennoch hart.

ZTE hält viele Patente
Doch auch wenn ZTE kein Riese ist, mit einem Jahresumsatz von 108,815 Milliarden Yuan (ca. 14,382 Milliarden Euro) handelt es sich bei der Firma keinesfalls um einen Zwerg. Zudem hält ZTE zahlreiche Patente und gehört weltweit zu den aktivsten Firmen, was neue Patentanträge betrifft. Alleine im Jahr 2017 hatte ZTE 2.965 Anträge gestellt und damit weltweit den zweiten Rang belegt. Mit 4.024 Anträgen kam der chinesische Mitbewerber Huawei auf den ersten Platz, während 2.637 Anträge von Intel nur für Position drei reichten. Wer es zynisch betrachten möchte, sieht in Handelssanktionen, die einzelne Firmen in die Pleite treiben, eine probate Umsetzung für Trumps "America First"-Politik.

Trump sorgt sich um chinesische Arbeitsplätze
Bei ZTE stehen ca. 80.000 Arbeitsplätze auf der Kippe. Es ist daher verständlich, dass der siebenjährige Handelsbann von ZTE als ungerecht betrachtet wird. Das Unternehmen hatte angekündigt, mit den USA verhandeln zu wollen, bekam bisher aber nur die kalte Schulter zu sehen. Doch dann gab es gestern eine fausdicke Überraschung über Twitter - Donald Trump will chinesische Arbeitsplätze retten:

"President Xi of China, and I, are working together to give massive Chinese phone company, ZTE, a way to get back into business, fast. Too many jobs in China lost. Commerce Department has been instructed to get it done!"

Übersetzung: "Präsident Xi von China und ich arbeiten zusammen, um großer chinesischer Telefonfirma ZTE einen Weg zurück ins Geschäfts zu geben, schnell. Zu viele Jobs in China verloren. Handelsministerium wurde angewiesen das hinzukriegen!"

Man reibt sich verwundert die Augen und kann es trotzdem nicht fassen. Betrachtet Trump die Fast-Pleite von ZTE als eine Art Tritt vor's Schienenbein, aus dem Xi nun eine Lehre gezogen hat? Hatte er den Handelsbann in Wahrheit als Aprilscherz geplant und war nun überrascht, dass ihn das Handelsministerium tatsächlich umgesetzt hatte? Oder hat Trump eine unbequeme Wahrheit über die Globalisierung gelernt und will in Wahrheit US-amerikanische Arbeitsplätze retten? Wir wissen es nicht. Wir wissen nur, dass die Technologieunternehmen dieser globalisierten Welt aufgrund ihrer weltweit vernetzten Lieferketten und der damit verbundenen Abhängigkeiten sehr angreifbar geworden sind.

Erst Anfang April hatte Intel vier neue Chipsätze (H370, H310, Q370 und B360) für seine "Coffee Lake"-Prozessoren auf den Markt gebracht, welche eine preiswertere Alternative zum Z370-Chipsatz darstellen. Der H310 dient dabei als Einstiegsmodell und wird von PC-Herstellern in günstigen Desktop-PCs eingesetzt. Derzeit ist der H310 allerdings nicht lieferbar, da Intel den teureren Chips Vorrang bei der Fertigung einräumt.

Vorerst B360 statt H310
Laut DigiTimes beklagen die Mainboard-Hersteller, dass Intel keine H310-Chips mehr auf Lager habe und auch keine genauen Liefertermine nennen könne. Daher müsse man zum besser ausgestatteten B360-Chipsatz greifen, der allerdings auch teurer sei. Ein 1-zu-1-Austausch ist zwar möglich, aber nicht allzu sinnvoll, da der B360 wesentlich mehr Funktionen bietet als der H310. So fehlen dem H310 die schnellen USB-3.1-Ports mit 10 Gb/s, es gibt nur vier SATA-Anschlüsse und die sechs PCIe-Lanes entstammen noch der zweiten Generation. Anscheinend wurde den Motherboard-Herstellern mitgeteilt, dass die Produktion des H310 spätestens im Juli 2018 wieder anlaufen soll.

Die Ursache für den Lieferengpass ist allerdings kurios: Es liegt nicht etwa an Problemen mit dem Chipsatz, sondern an der Umstellung auf die 14-nm-Fertigung. Diese setzt Intel für seine Prozessoren schon seit dem Jahr 2014 (Broadwell) ein, doch die Chipsätze wurden bisher noch mit Strukturgrößen von 22 nm produziert. Erst mit den Baureihen H370, H310, Q370 und B360 hatte Intel auch seine Chipsätze auf den 14-nm-Prozess umgestellt, doch dabei laufen momentan noch nicht genügend Chips vom Band, weshalb sich Intel momentan auf die hochpreisigen Modelle konzentriert. Unklar ist, ob Intel die Kapazitäten zu gering kalkuliert hatte oder zu viel Ausschuss anfällt.

Intels 10-nm-Probleme
Möglicherweise hatte Intel darauf gesetzt, die Serienfertigung seiner ersten 10-nm-CPUs (Codename: "Cannon Lake") in diesem Quartal anlaufen zu lassen. Diese Prozessoren wurden ursprünglich für das zweite Halbjahr 2018 erwartet, wobei die ersten Modelle schon im Juli in den Handel kommen sollten. Ende April hatte Intels CEO Brian Krzanich dann überraschend erklärt, dass man "Cannon Lake" auf das Jahr 2019 verschoben habe. Als Grund nannte er eine unbefriedigende Ausbeute. Samsung und TSMC hatten den Schritt zu 10-nm-Strukturen bereits vor einiger Zeit vollzogen, wobei Intels 14-nm-Prozess die Transistoren ähnlich dicht packt wie die Mitbewerber bei 10 nm. Beim TSMC läuft gerade die 7-nm-Fertigung an.

Neben der Entwicklungsschiene 6.0, welche ganz frisch in Form von LibreOffice 6.0.4 vorliegt, wird parallel auch die Schiene 5.4 fortgeführt - zumindest bis zu deren Support-Ende am 11. Juni 2018. Auf dem offiziellen Entwickler-Server ist nun ein zweiter Veröffentlichungskandidat von LibreOffice 5.4.7 aufgetaucht.

Stabilität und Funktionalität
Der Quellcode dieses Release Candidate 2 datiert auf den 9. Mai 2018, dabei sollte das finale LibreOffice 5.4.7 eigentlich schon in der vergangenen Woche, also zwischen dem 30. April und dem 6. Mai, veröffentlicht werden. Mit dem zweiten Veröffentlichungskandidaten werden nochmals 16 Fehler korrigiert, darunter ein Absturz beim Erstellen einer Druckvorschau für ein signiertes Dokument. Der erste Release Candidate hatte 28 Änderungen gebracht und sich ebenfalls um einen Absturz gekümmert. Dieser Absturz trat auf, wenn ein Fotoalbum, welches Videos vom Typ .MOV enthält, eingefügt wird. Darüber hinaus hatte RC 1 die Zuverlässigkeit der Suchrichtung rückwärts verbessert und das Wiederherstellen von Bildunterschriften sichergestellt.

Fortschritte hinsichtlich der Dateikompatibilität
Beim Import von .DOCX-Dateien entsprachen die Abstände bei Absätzen mit verankerten Objekten nicht jenen in Word 2013. Auch der obere Rand des ersten Absatzes musste korrigiert werden und der Hintergrund von Tabellenzellen rutscht nun nicht mehr unter Hintergrundformen. Bitmaps behalten beim .DOCX-Import ihr Seitenverhältnis und die Größe von Textfeldern in Formen stimmt nun auch dann, wenn die Form eine relative Größe hat. Zudem geht der transparente Hintergrund des Textfeldes nicht mehr verloren.

Tabellen wurden beim Öffnen von .RTF-Texten nicht immer korrekt angezeigt und .PPTX-Präsentationen litten unter invertierten Farben. Der neue Release Candidate behebt diese Probleme. Mit RC 1 wurden indes Maßnahmen ergriffen, um die Erstellung ungültiger .PPTX-Dateien zu verhindern. Die überlangen Diagrammbeschriftungen in .PPTX-Dokumenten hatten die Entwickler ebenfalls korrigiert. Wer in der Tabellenkalkulation Calc mehrere Reihen oder Spalten auswählt, kann nun wieder die Summen-Taste nutzen - diese hatte zuletzt falsche Formeln für die Addition erstellt.

Download: LibreOffice 5.4.7 RC 2

Das finale LibreOffice 6.0.4 liegt für Windows, macOS und Linux zum Download bereit. Seit der Version 6.0.3 wurden 88 Korrekturen vorgenommen, darunter finden sich allerdings nur vier potentielle Absturzursachen sowie ein Programmhänger. Die finale Fassung entspricht dem zweiten Veröffentlichungskandidaten Bit für Bit - wer diesen bereits verwendet, muss die Installationsdateien nicht erneut herunterladen.

Stabilität und Funktionalität
LibreOffice bleibt nicht mehr hängen, wenn man versucht ein Dialogfenster zu öffnen, während das gesamte Blatt ausgewählt ist. Einer der behobenen Abstürze tritt auf, wenn man ein Fotoalbum, welches ein .MOV-Video enthält, einfügt. Ein weiterer geschieht beim Abfragen der Zwischensummen zweier Gruppen, für die der Vorsortierbereich aktiviert ist. Dazu kommen ein OpenGL-Crash beim Versuch, auf den Framebuffer zuzugreifen, und ein Absturz beim Import älterer Word-Dokumente (.DOC-Format von Word 97 bis 2003). Eine Regression hatte dazu geführt, dass LibreOffice 6.0 weit größere Dateien erstellte als die Vorgängerversion 5.4. Die Ursache, das Einbeziehen doppelter bzw. überflüssiger Bilder, wurde erkannt und beseitigt. Beim Ausdruck wird gedrehter Text ausgegeben, was bisher nicht immer der Fall war. Die Schriftart Carlito kann wieder genutzt werden und unter Windows 10 verschwindet die Schriftart Noto während der Installation von LibreOffice 6 nicht mehr. Die Präsentationssoftware Impress hatte zuletzt Klangeffekte vergessen und bei bildschirmfüllenden Diashows blieb die Notebookbar sichtbar. Auch diese beiden Probleme werden mit LibreOffice 6.0.4 verschwinden.

Fortschritte hinsichtlich der Dateikompatibilität
Für den RTF-Import wurde die umgekehrte Deduplizierung für Listen implementiert und bei ODF 1.2 werden nun Host-use-Wildcards unterstützt. Gleich mehrere Korrekturen sollen das Erstellen fehlerhafter .PPTX-Dateien verhindern und auch eine ungewollte Invertierung von Farben wurde für diese Präsentationen behoben. Bei .DOCX-Dokumenten geht die Nummerierung eingefügter Überschriften nicht mehr verloren, unerwünschte Leerzeilen fallen weg und die Umbrüche in Textboxen entsprechen nun denen von Microsoft Office. Beim Import von .DOCX-Dateien entsprechen die Abstände bei Absätzen mit verankerten Objekten jenen in Word 2013 und auch der obere Rand wurde korrigiert. Lose Objekte sollen die Position von Absätzen nicht mehr verschieben und der Hintergrund von Tabellenzellen rutscht nicht mehr unter Hintergrundformen. Der .DOC-Importfilter hatte die Größe von Formen falsch interpretiert, dies ist nun nicht mehr der Fall. Bei .XLSX-Tabellen haben Kuchendiagramme mit 3D-Optik keinen grauen Hintergrund mehr, wenn man sie mit Excel 2013 öffnet, und der Nebenachsenabstand wurde besser an Microsoft Office angepasst. Darstellungsprobleme bei Grafiken im Windows-Metafile-Format EMF+ wurden ebenfalls korrigiert und Impress lädt wieder verknüpfte .SVG-Grafiken.

Download: LibreOffice 6.0.4

Werbung im Internet ist ein sensibles Thema. Und das nicht nur weil viele Werbeformen sehr aufdringlich sind, sondern auch weil mit Hilfe von Tracking Daten über Euer Online-Verhalten gesammelt werden. Aus diesem Grund wollen wir die Google-Werbung auf Au-Ja.de abschalten und dank Euch wird dies vom 17. Mai bis zum 10. August 2018 geschehen - Verlängerung möglich!

Die Gründe für die Abschaltung liegen auf der Hand: Wir haben nur bedingt Einfluss darauf, welche Werbung Google über sein Werbenetzwerk AdSense ausliefert. Sensible Themen, interaktive Videos, personalisierte Anzeigen und die Verwendung von Zielgruppenangaben für Drittanbieteranzeigen haben wir bereits deaktiviert. Dennoch besteht bei Werbung, welche von Dritten geliefert wird, immer das Risiko einer missbräuchlichen Nutzung. Ein aktuelles Beispiel hierfür sind die Angriffe auf einen kritischen Speicherfehler in der VBScript-Engine (CVE-2018-8174), vor denen Microsoft aktuell warnt. Nicht gefährlich, aber ärgerlich: Zuweilen blockiert Google zwar einen Anzeigenplatz, liefert dann aber doch keine Werbung aus, so dass leere Flächen den Inhalt zerreißen. Wird indes Werbung ausgeliefert, verursacht diese beim Zugriff auf Au-Ja.de einen Großteil des Datenvolumens und bremst die Seite aus.

Ein letzter aber keinesfalls unbedeutender Grund: Google sammelt über seine Werbeanzeigen Daten. Wer nun meint, solche Tracking-Daten würden sowieso über Dienste wie Google Analytics anfallen, irrt, denn dieser Dienst kommt auf Au-Ja.de schon lange nicht mehr zum Einsatz. Auch mit unseren übrigen Partnern wie MSI, Amazon und ebay haben wir inzwischen Werbeformen gefunden, die als reine Links funktionieren. Selbst die Banner-Grafiken liegen lokal auf dem Server von Au-Ja.de, damit sie schnell laden und kein unkontrollierter Datenabfluss geschieht. Abgesehen von Googles Werbeanzeigen sind derzeit Videos von YouTube die einzigen Inhalte, welche von Au-Ja.de extern nachgeladen werden.

Pro: Mehr Sicherheit, weniger Datenverkehr, kürzere Ladezeiten, kein Tracking.

Kontra: Weniger Einnahmen.

Der Plan
Ja, das liebe Geld hatte uns bisher davon abgehalten, auf die Google-Werbung zu verzichten. Andererseits sollten sich im Jahr 2018 andere Wege zum Ausgleich der Einnahmelücke finden lassen. Deshalb baten wir Euch, liebe Leser, Au-Ja.de zu unterstützen. Und das war und ist der Plan: Je 2,50 Euro, welche wir einsammeln, werden wir Googles Werbung für einen Tag deaktivieren - auch im Forum. Wir haben diesen Wert, von dem noch die PayPal-Gebühren und die Umsatzsteuer abgehen, bewusst niedrig angesetzt, damit möglichst viele Tage zusammenkommen. Und wir legen noch einen drauf: Ab 50 Euro verlängern wir die Abschaltung der Google-Werbung um die Hälfte und ab 100 Euro verdoppeln wir die Laufzeit! Sollten wir 300 Tage erreichen, machen wir darüber hinaus das Jahr voll.

Der Zwischenstand
Damit ihr, liebe Leser, möglichst schnell etwas von Eurer Unterstützung habt, hatten wir die Sammlung erst einmal bis zum 10. Mai 2018 angesetzt und die Abschaltung der Google-Werbung auf den 17. Mai terminiert. Hier nun das Ergebnis (zuletzt aktualisiert am 11. Mai 2018 um 13:20 Uhr):

107,00 EUR = 42 Tage 19 Stunden 12 Minuten +100% von uns obendrauf = 85 Tage 14 Stunden 24 Minuten ohne Google-Werbung

Auf 86 Tage aufgerundet bedeutet dies: Au-Ja.de wird vom 17. Mai bis zum 10. August 2018 keine Google-Werbung schalten! Unser Dank gilt folgenden Unterstützern, welche wir aus Datenschutzgründen nur mit ihren Initialen aufführen:

• 11. Mai 2018 - SG: 5,00 EUR, KP: 10,00 EUR
• 10. Mai 2018 - RS: 5,00 EUR
• 08. Mai 2018 - CP: 2,00 EUR
• 04. Mai 2018 - KM: 5,00 EUR
• 02. Mai 2018 - MB: 10,00 EUR, KP: 10,00 EUR, HM: 5,00 EUR, WL: 10,00 EUR
• 29. April 2018 - JG: 5,00 EUR
• 26. April 2018 - KH: 5,00 EUR
• 25. April 2018 - HC: 10,00 EUR, RL: 10,00 EUR
• 22. April 2018 - EP: 5,00 EUR
• 20. April 2018 - MB: 10,00 EUR

Die Sammlung geht weiter
Und was passiert nach Ablauf der Google-Werbung-freien Zeit? Nun, eigentlich wollen wir nicht zur Google-Werbung zurückkehren und darum geht die Sammlung erst einmal bis zum 10. August 2018 weiter. Dabei halten wir uns an den bisherigen Plan: Also je 2,50 Euro ein werbefreier Tag und da 100 Euro bereits überschritten sind verdoppeln wir das auf zwei Tage. Ab 300 Euro machen wir zudem das Jahr (365 Tage) voll.

• 1,00 Euro per PayPal zahlen
• 2,00 Euro per PayPal zahlen
• 5,00 Euro per PayPal zahlen
• 10,00 Euro per PayPal zahlen

Regelmäßige Updates zur Aktion werden wir im Forum posten. Also dann, liebe Leser, wir zählen auf Euch ;-)

Werbung im Internet ist ein sensibles Thema. Und das nicht nur weil viele Werbeformen sehr aufdringlich sind, sondern auch weil mit Hilfe von Tracking Daten über Euer Online-Verhalten gesammelt werden. Auf aufdringliche Werbung hat Au-Ja.de schon immer verzichtet und jetzt möchten wir mit eurer Hilfe noch einen Schritt weiter gehen und die Google-Werbung komplett abschalten!

Die Gründe für einen Ausstieg liegen auf der Hand: Wir haben nur bedingt Einfluss darauf, welche Werbung Google über sein Werbenetzwerk AdSense ausliefert. Sensible Themen, interaktive Videos, personalisierte Anzeigen und die Verwendung von Zielgruppenangaben für Drittanbieteranzeigen haben wir bereits deaktiviert. Dennoch besteht bei Werbung, welche von Dritten geliefert wird, immer das Risiko einer missbräuchlichen Nutzung. Ebenfalls ärgerlich: Zuweilen blockiert Google zwar einen Anzeigenplatz, liefert dann aber doch keine Werbung aus, so dass leere Flächen entstehen. Wird indes Werbung ausgeliefert, verursacht diese beim Zugriff auf Au-Ja.de einen Großteil des Datenvolumens und bremst die Seite aus.

Ein letzter aber keinesfalls unbedeutender Grund: Google sammelt über seine Werbeanzeigen Daten. Wer nun meint, solche Tracking-Daten würden sowieso über Dienste wie Google Analytics anfallen, irrt, denn dieser Dienst kommt auf Au-Ja.de schon lange nicht mehr zum Einsatz. Auch mit unseren übrigen Partnern wie MSI, Amazon und ebay haben wir inzwischen Werbeformen gefunden, die als reine Links funktionieren. Selbst die Banner-Grafiken liegen lokal auf dem Server von Au-Ja.de, damit sie schnell laden und kein unkontrollierter Datenabfluss geschieht. Abgesehen von Googles Werbeanzeigen sind derzeit Videos von YouTube die einzigen Inhalte, welche von Au-Ja.de extern nachgeladen werden.

Pro: Mehr Sicherheit, weniger Datenverkehr, kürzere Ladezeiten, kein Tracking.

Kontra: Weniger Einnahmen.

Ja, das liebe Geld hat uns bisher davon abgehalten, auf die Google-Werbung zu verzichten. Andererseits sollten sich im Jahr 2018 andere Wege zum Ausgleich der Einnahmelücke finden lassen. Und daher geben wir Euch nun die Möglichkeit, Au-Ja.de zu unterstützen. Der Plan sieht wie folgt aus: Je 2,50 Euro, welche wir einsammeln, werden wir Googles Werbung für einen Tag deaktivieren - auch im Forum. Wir haben diesen Wert, von dem noch die PayPal-Gebühren und die Umsatzsteuer abgehen, bewusst niedrig angesetzt, damit möglichst viele Tage zusammenkommen. Und wir legen noch einen drauf: Ab 50 Euro verlängern wir die Abschaltung der Google-Werbung um die Hälfte und ab 100 Euro verdoppeln wir die Laufzeit! Sollten wir 300 Tage erreichen, machen wir darüber hinaus das Jahr voll.

Au-Ja.de unterstützen:

• 1,00 Euro per PayPal zahlen
• 2,00 Euro per PayPal zahlen
• 5,00 Euro per PayPal zahlen
• 10,00 Euro per PayPal zahlen

Diese Sammlung endet am 10. Mai 2018, also heute! Am späten Abend werden wir das vorläufige Ergebnis bekannt geben. Sollten danach noch Zahlungen eingehen, werden wir diese nachträglich addieren und die Werbeabschaltung entsprechend verlängern. Am kommenden Donnerstag, also am 17. Mai 2018, werden wir die Google-Werbung dann abschalten. Für wie lange liegt in Eurer Hand!

Aktueller Stand: 87,00 EUR = 34 Tage 19 Stunden 12 Minuten +50% von uns obendrauf = 52 Tage 4 Stunden 48 Minuten ohne Google-Werbung

Regelmäßige Updates zur Aktion werden wir im Forum posten. Also dann, liebe Leser, wir zählen auf Euch ;-)

Microsoft hat am Mai-Patch-Day 67 Sicherheitslücken in Windows, Edge nebst ChakraCore, dem Internet Explorer, Office (inklusive der Office Services und Web Apps), dem .NET Framework, dem Exchange Server und dem Host Compute Service Shim geschlossen. Adobes Flash Player wurde ebenfalls aktualisiert. 21 Schwachstellen wurden als kritisch gekennzeichnet und eine davon wird bereits angegriffen. Weitere 42 stellen laut Microsoft eine hohe Gefahr dar, die übrigen vier sind hingegen harmlos.

Wer heutzutage erfahren will, welche Sicherheitslücken Microsoft geschlossen hat, muss bei Talos, den Sicherheitsspezialisten von Cisco Systems vorbeischauen. Microsofts eigener Security Update Guide liefert nämlich auch weiterhin eine völlig unübersichtliche Auflistung und taugt nur zur gezielten Suche nach Informationen über spezielle Updates oder Produkte. Das größte Risiko steckt diesmal in der VBScript Engine und den beiden Webbrowsern Edge und Internet Explorer.

Kritische 0-Day-Lücke in der VBScript Engine
Im Mai spielt der kritische Speicherfehler CVE-2018-8174, welcher in der VBScript Engine von Windows steckt, eine besondere Rolle, denn diese Sicherheitslücke wird bereits aktiv angegriffen. Betroffen sind sowohl aktuelle Versionen von Windows 10 als auch ältere Software zurück bis Windows 7 und Server 2008 inklusive der Core-Installationen. Die Angriffe laufen über den Internet Explorer sowie über in Office-Dokumenten eingebettete ActiveX-Contols. Hinsichtlich des Angriffs über Webseiten weist Microsoft explizit darauf hin, dass dieser auch über Werbung von Drittanbietern sowie über von Benutzern eingestellte Inhalte erfolgen kann. Sofern der angegriffene Benutzer über administrative Rechte verfügt, kann der Angreifer den PC seines Opfers vollständig übernehmen.

17 kritischen Speichermanipulationen in den Webbrowsern
Gleich zwölf kritischen Speichermanipulationen (CVE-2018-0946, CVE-2018-0951, CVE-2018-0953, CVE-2018-0954, CVE-2018-0955, CVE-2018-8114, CVE-2018-8122, CVE-2018-8137, CVE-2018-0945, CVE-2018-1022, CVE-2018-8139, CVE-2018-8128) wurden in der Scripting Engine der Webbrowser Edge und Internet Explorer ausgemacht. Vier weitere kritische Speichermanipulationen (CVE-2018-8133, CVE-2018-0943, CVE-2018-8130, CVE-2018-8177) betreffen die Chakra Scripting Engine des Webbrowsers Edge und damit auch ChakraCore. Microsoft hält Angriffe zum Zwecke einer Remote Code Execution in allen Fällen außer CVE-2018-8177 für sehr wahrscheinlich. Mit CVE-2018-8178 gibt es auch abseits der Scripting Engines einen kritischen Speicherfehler in Microsofts Browsern (und ChakraCore), der Schadcode über speziell gestaltete Webseiten einschleusen kann. Auch hier sind baldige Angriffe sehr wahrscheinlich.

Hyper-V und Host Compute Service Shim
Zwei weitere kritische Fehler wurden in Hyper-V gefunden. So kann es einem Nutzer des Gastsystems gelingen, mit Hilfe einer speziell gestalteten Applikation eigenen Code auf den Host zu schleusen und dort auszuführen (CVE-2018-0959). Die Ursache liegt in einer unzureichenden Überprüfung der Benutzereingaben. Auch vSMB-Pakete werden unzureichend geprüft, so dass der Angreifer mit Hilfe manipulierter Datenpakete dem Host-Server eigenen Code unterschieben kann. Obwohl beide Szenarien sehr ernst sind, hält Microsoft derartige Angriffe für weniger wahrscheinlich. Es bleibt noch eine kritische Schwachstelle und diese steckt im Windows Host Compute Service Shim (CVE-2018-8115). Der Angriff erfolgt über ein speziell gestaltetes Container Image, welches der Dienst unzureichend validiert. Da man dieses Abbild einem Administrator unterschieben muss, sind derartige Attacken laut Microsoft eher unwahrscheinlich.

Adobe hat fünf Sicherheitslücken in seinen Produkten Creative Cloud Desktop Application, Connect und Flash Player geschlossen. Obwohl zwei der Schwachstellen als kritisch gelten, hat Adobe für alle drei Produkte nur die moderate Prioritätsstufe 2 verhängt. Das Einspielen der Updates ist somit nicht allzu dringend und kann ganz gemütlich im Laufe der nächsten 30 Tage erfolgen.

Beim Flash Player wurde eine kritische Typen-Verwechslung (CVE-2018-4944), welche sich zum Einschleusen von Schadcode eignet, beseitigt. Diese Sicherheitslücke wurde im Flash Player 29.0.0.171 behoben.

Bei Connect kann man die Authentifizierung umgehen und sensible Daten abgreifen (CVE-2018-4994), betroffen sind die Versionen 9.7.5 und älter. Eine Korrektur soll demnächst mit Connect 9.8.1 ausgeliefert werden, vorerst gibt es nur einen manuellen Workaround über Zugriffsfilter.

Gleich drei Schwachstellen stecken in der Creative Cloud Desktop Application: Eine unzureichende Zertifikatsprüfung (CVE-2018-4991) wurde als kritisch eingestuft, zwei Rechteausweitungen über eine fehlerhafte Eingabeprüfung (CVE-2018-4992) und die schlampige Verarbeitung eines Suchpfads (CVE-2018-4873) hält Adobe für wichtig. Alle drei Fehler wurden in der Creative Cloud 4.5.0.331 korrigiert.

Mozilla hat den Firefox 60 veröffentlicht, der Zugleich auch als Grundlage für die neue ESR-Version mit Langzeitunterstützung dient. Neben kritischen Sicherheitskorrekturen bringt der Firefox 60 ein neues Richtlinienmodul, stellt den Aufbau seiner Benutzeroberfläche auf die neue CSS-Engine um und unterstützt die Programmierschnittstelle "Web Authentication", welche Passwörter durch USB-Tokens ersetzt. Umstritten sind derweil die gesponserten Inhalte von Pocket.

Das neue Richtlinienmodul
Der Firefox 60 umfasst in beiden Varianten die neue "Policy Engine", ein Richtlinienmodul zur Konfiguration und Anpassung des Browsers, welches sich primär an Unternehmen, Behörden und Bildungsträger richtet. Mozilla unterstützt dabei grundsätzlich jedes Werkzeug, mit dem sich Richtlinien setzen lassen. Plattformübergreifend geschieht dies über eine JSON-Datei, zudem wird Microsofts Windows Group Policy unterstützt. Die Version 60 bietet eine begrenzte Anzahl von Richtlinien, welche die Entwickler in den kommenden Versionen weiter ausbauen wollen.

Wichtige Änderungen für ESR-Nutzer
Eine wichtige Änderung sollten ESR-Nutzer nicht aus den Augen verlieren: Der Firefox 60 lässt nur noch Erweiterungen zu, welche auf der WebExtensions-API basieren. Während der Firefox 57 die alten Plugin-Zöpfe bereits im Dezember 2017 abgeschnitten hatte, lassen sich diese im Firefox 52 ESR weiterhin nutzen. Wer noch auf die Umstellung einer alten Erweiterung wartet, sollte daher vorerst beim Firefox 52 ESR bleiben. Dieser wird noch bis zum 28. August 2018 mit Updates versorgt, an diesem Tag soll der Firefox 60.2.0 ESR veröffentlicht werden.

Leistungssteigerungen, Aktualisierungen und Probleme
Die beim Firefox Quantum (Version 57) eingeführte CSS-Engine wird nun nicht nur für Webinhalte, sondern auch zur Darstellung der Benutzeroberfläche des Programms verwendet. Dies lief in der Beta-Phase allerdings alles andere als rund: Auf unseren Testsystemen stürzten immer wieder einzelne Tabs ab oder der Firefox wurde extrem langsam. Zuweilen reagierten weder die Webseiten noch die Benutzeroberfläche. Erst mit den Veröffentlichungskandidaten verschwand dieses Problem und auch die finale Fassung bereitete uns bisher noch keinen Ärger. Weitere Leistungsverbesserungen werden für die Audiowiedergabe über WebRTC unter Linux versprochen und die Grafikbibliothek Skia wurde auf den Stand Milestone 66 aktualisiert. Bei WebVR gibt es indes einen Bug, der den Einsatz der VR-Brille Vive unter macOS verhindert.

Sicherheit und Privatsphäre
Mit "Web Authentication" wird ein neuer Standard, welcher Passwörter durch USB-Token ersetzen soll, unterstützt. Eine vorläufige Fassung der neuen Schnittstelle hatte das "World Wide Web Consortium" (W3C) am 20. März 2018 verabschiedet. Die Sektion "Cookies und Websitedaten" in den Einstellungen wurde übersichtlicher gestaltet und gibt dem Benutzer mehr Kontrolle über die Cookies der Webseiten und der Drittanbieter. Wenn man die Webcam für eine Webseite deaktiviert, schaltet der Firefox die Kamera nebst Status-LED aus. Erst wenn man die Aufnahme fortsetzt, geht auch die Status-LED wieder an. TLS-Zertifikate, die Symantec vor dem 1. Juni 2016 herausgegeben hat, vertraut der Firefox nicht mehr. Im Firefox 60.0 wurden 26 Sicherheitslücken geschlossen. Zwei der Einträge umfassen kritische Speicherfehler, dazu kommen sechs gefährliche, 14 mittelschwere und vier eher harmlose Schwachstellen.

Benutzeroberfläche und gesponserte Inhalte
Das Layout, mit dem der Firefox "neue Tabs" füllt, nutzt breite Bildschirmformate besser aus und bietet dem Benutzer mehr Möglichkeiten, die Sektionen und Inhalte anzuordnen. Unter den Highlights finden sich nun auch Webseiten, welche man über den zu Mozilla gehörigen Dienst "Pocket" gespeichert hat. Die Sektion "Empfohlen von Pocket" umfasst gesponserte Inhalte, bei offener Software immer wieder ein kontrovers diskutiertes Thema. Mozilla versucht es dadurch zu entschärfen, dass diese Inhalte nur angezeigt werden, nachdem der Benutzer hierfür sein Einverständnis gegeben hat. Ein ärgerlicher Fehler in diesem Zusammenhang: Wenn man die Empfehlungen deaktiviert, wird dies beim nächsten neuen Tab noch nicht umgesetzt. Linux-Nutzer können die Anzeige der Seitentitel auf Wunsch abschalten und unter Windows hat die Leseansicht ein neues Tastaturkürzel (F9) erhalten. Mit Okzitanisch (oc) wurde eine lokale Sprache, welche in Südfrankreich und Katalonien gesprochen wird, ergänzt.

Download:

• Firefox 60.0
• Firefox 60.0 ESR

Im ersten Halbjahr 2017 waren die Preise für NAND-Flash-Chips kräftig gestiegen, doch seit der zweiten Jahreshälfte fallen die Kurse wieder - zwar langsam aber stetig. In den letzten Wochen hat dieser Abwärtstrend etwas Fahrt aufgenommen und inzwischen nähern wir uns wieder dem Preisniveau von März 2017.

Für NAND-Chips des Typs 64Gb 8Gx8 MLC musste man heute durchschnittlich 3,691 US-Dollar zahlen. Dies entspricht einem Preisverfall von 4,23 Prozent im Vergleich zu Anfang April 2018, nachdem sich die Kurse über den Jahreswechsel als recht konstant erwiesen hatten. Seit Januar 2018 ist der Kurs dieser Chips um 8,98 Prozent gefallen und im Vergleich zu Mai 2017 sehen wir sogar einen Rückgang um 20,04 Prozent.

Die halbe Größe, also 32Gb 4Gx8 MLC, erzielte am heutigen Handelstag einen Kurs von 2,681 US-Dollar, was einer Verbilligung um 5,43 Prozent binnen Monatsfrist entspricht. Im Vergleich zu Januar 2018 sind die 32Gb-Chips allerdings nur um 6,42 Prozent günstiger und auch der Blick auf Mai 2017 offenbart einen Preisverfall von lediglich 7,55 Prozent.

Eine weitere Halbierung der Speicherkapazität auf 16Gb 2Gx8 MLC macht aus wirtschaftlicher Sicht keinen Sinn, denn diese Chips kosten aktuell 2,895 US-Dollar. Das ist zwar 3,34 Prozent günstiger als im April, doch der Vergleich mit Januar 2018 zeigt einen Preisanstieg um 0,77 Prozent. Ziehen wir Mai 2017 zu Rate, beläuft sich der Aufschlag sogar auf 22,46 Prozent.

Bleibt noch die Frage nach dem Wechselkurs, denn Flash-Speicher wird in US-Dollar gehandelt: Gestern war ein Euro zum Handelsschluss 1,1865 US-Dollar wert und notierte damit um 3,40 Prozent niedriger als Anfang April, so dass der Preisverfall weitgehend verpufft. Ein schwacher Trost: Binnen eines Jahres ist der Euro im Vergleich zum US-Dollar um 8,61 Prozent gestiegen.

Seit Jahresbeginn sind die Kurse für Arbeitsspeicher am DRAM-Spot-Markt in Taiwan um bis zu 15 Prozent gefallen. Vergleichsweise teuer bleiben dabei die 8Gb-Chips, während sich die 4Gb-Chips (DDR4 und DDR3) so langsam wieder dem Preisniveau von September 2017 annähern - also vor dem letzten großen Sprung nach oben.

Für den Speichertyp DDR4-2133 8Gb 1Gx8 musste man heute im Schnitt 8,880 US-Dollar auf den Tisch legen, das sind 1,70 Prozent weniger als Anfang April. Seit Januar 2018 sind diese Chips um 7,42 Prozent billiger geworden, während der Blick auf Mai 2017 einen kräftigen Preisanstieg um 39,16 Prozent offenbart.

Die halbe Speicherkapazität, also DDR4-2133 4Gb 512Mx8, kostet momentan 4,141 US-Dollar. Binnen Monatsfrist ist der Kurs dieser Variante um 7,75 Prozent gefallen. Der Vergleich mit Januar 2018 belegt einen Preisrutsch um 14,95 Prozent. Doch wenn wir Mai 2017 als Ausgangspunkt nehmen, liegt der Kurs um 27,65 Prozent höher.

Für die gleiche Größe, aber in Form von DDR3-1600 4Gb 512Mx8, werden aktuell 3,374 US-Dollar gezahlt. Dies bedeutet einen Rückgang um 4,69 Prozent. Seit Januar 2018 ist der Preis der DDR3-Chips um 14,32 Prozent gesunken, wobei er immer noch um 16,75 Prozent über dem Stand von Mai 2017 liegt.

Bleibt noch die Frage nach dem Wechselkurs, denn Arbeitsspeicher wird in US-Dollar gehandelt: Gestern war ein Euro zum Handelsschluss 1,1865 US-Dollar wert und notierte damit um 3,40 Prozent niedriger als Anfang April, so dass der Preisverfall weitgehend verpufft. Ein schwacher Trost: Binnen eines Jahres ist der Euro im Vergleich zum US-Dollar um 8,61 Prozent gestiegen.

Bezüglich der genannten Preise bitten wir zu beachten, dass hier von einzelnen Chips und keinesfalls von bestückten Modulen die Rede ist. Da diese Chips zunächst verarbeitet und danach verschifft werden, vergehen normalerweise einige Wochen, bevor sich Preisänderungen auch hierzulande bemerkbar machen.

Einmal im Monat schauen wir bei NetMarketShare auf die aktuelle Marktentwicklung bei den PC-Betriebssystemen. Im April 2018 verzeichnete Windows 10 nur einen Marktanteil von 33,81 Prozent und setzte seinen Abwärtstrend von März und Februar fort. Windows 7 erreichte indes den besten Wert seit September 2017.

Mit 43,57 Prozent (+0,13) blieb Windows 7 der unangefochtene Platzhirsch, während Windows 10 bei 33,81 Prozent (-0,02) stagnierte. Im Januar hatte Windows 10 mit 34,29 Prozent seinen bisherigen Höchststand erreicht und in Redmond die Hoffnung auf eine baldige Wachablösung geweckt. Diese haben sich inzwischen zerschlagen, denn die beiden Betriebssysteme bewegen sich inzwischen - zumindest aus Microsofts Sicht - in die falschen Richtungen. Platz 3 ging wieder an Windows 8.1 (5,25%; -0,21), welches wir im Diagramm mit Windows 8 (Position 9) zusammengefasst haben.

macOS 10.13 High Sierra verteidigte seine vierte Position gegen Windows XP - und das im Gegensatz zum März wieder deutlich. Mit 4,95 Prozent konnte Apples aktuelles Betriebssystem 0,35 Punkte gutmachen, während Windows XP um 0,23 Punkte auf 4,36 Prozent abgesackt ist. Rang sechs behält macOS 10.12 (1,75%; -0,13), während macOS 10.11 (1,30%; +0,03) auf die achte Position abgerutscht ist. Hiervon profitiert Linux (1,39%; +0,13), wobei wir auf die Linux-Problematik gleich noch detailliert eingehen werden. Windows 8 (1,12%; -0,02) und macOS 10.10 (0,73%; -0,04) komplettieren die Top 10.

Hinsichtlich Linux finden wir das Vorgehen von NetMarketShare fragwürdig, da unter dem Begriff "Linux" kleinere Distributionen zusammengefasst werden, während die größeren eigene Einträge in der Statistik haben. Fassen wir Linux (1,39%) mit Ubuntu (Rang 11 mit 0,51), Chrome OS (Rang 13 mit 0,29) und Fedora (Rang 19 mit 0,03) zusammen, kommt der Pinguin auf 2,22 Prozent und damit auf Platz 6. Auch Debian, Mint, Red Hat, Gentoo und Slackware haben einen eigenen Eintrag erhalten, liegen aber unterhalb der Messbarkeitsgrenze. Gleiches gilt für die Unix-Systeme FreeBSD, OpenBSD und NetBSD.

GPU-Z zeigt zahlreiche Informationen über Grafikchips, Grafikspeicher, Grafiktreiber und Bildschirme an. Das Programm kann zudem auf etliche Sensoren zugreifen und somit Temperaturen sowie Spannungen auslesen. Die neue Version 2.9.0 bringt Unterstützung für Windows 10 Version 1803 und das Windows Display Driver Model (WDDM) 2.4.

Auf der Hardware-Seite werden nun auch NVIDIAs Tesla V100, weitere "Bristol Ridge"-APUs von AMD und die Grafikeinheit GT1 in Intels Celeron 2961Y (Haswell) unterstützt. Bei NVIDIA-Karten wird nun auch der Speichertyp HBM2 erkannt und unter dem Reiter "Advanced" angezeigt, zudem kann GPU-Z 2.9.0 den "Tesla Compute Cluster"-Modus (TCC) auf Quadro- und Tesla-Karten identifizieren. Die Erkennung von AMD-APUs der Baureihen Carrizo, Bristol Ridge und Stoney Ridge wurde repariert und die DirectX-Angabe für ATIs RV200 korrigiert.

Auf Bitte AMDs wurden der SOC-Takt und die Hot-Spot-Sensoren für Vega-GPUs standardmäßig deaktiviert. Das manuelle Einschalten dieser Werte über die Settings ist aber weiterhin möglich. Wird GPU-Z automatisch beim Windows-Start ausgeführt, muss man die Meldung "This file was downloaded from Internet" nicht mehr ertragen. Und der Code, welcher die Graphen für die einzelnen Sensoren zeichnet, wurde ebenfalls überarbeitet.

Download: GPU-Z 2.9.0

Am 28. März 2018 "stürmte" der Mainboard-Hersteller ASRock mit seiner Baureihe Phantom Gaming auf den Grafikkartenmarkt. Und da ASRock ausschließlich auf Grafiklösungen von AMD setzt, wurde diese Botschaft auch von AMD verbreitet. Ein winziges Detail wurde dabei aber übersehen: ASRock verkauft seine Grafikkarten nur in Südamerika und Teilen Asiens.

Interessanterweise wurde dieses nicht ganz nebensächliche Detail erst bekannt, nachdem tom's Hardware Deutschland die ASRock RX 580 Phantom Gaming X getestet hatte. ASRock fragte bei den Kollegen nämlich an, woher das Testmuster stamme, da man die Karte in Deutschland und Europa gar nicht verkaufen werde. Erst auf Nachfrage erklärte ASRock, dass man zunächst nur Südamerika sowie den Asiatisch-Pazifischen-Raum - allerdings ohne China, Hong Kong und Taiwan - bedienen wolle.

Als Grund nannte ein Mitarbeiter des Unternehmens Beschränkungen seitens AMD, doch dieses Zitat hat tom's Hardware Deutschland inzwischen wieder entfernt. Tatsächlich ist es nicht unüblich, dass die Hersteller von Grafikprozessoren und Chipsätzen ihre Board-Partner an bestimmte Regionen binden bzw. diesen den Zugang zu einigen Ländern verwehren. Damit will man die dort bereits aktiven Partner schützen, was stabile Geschäftsbeziehungen verspricht, für die Kunden aber auch weniger Wettbewerb und somit - zumindest potentiell - höhere Preise bedeutet.

Am 18. April 2018 hatte ASUS angekündigt, seine Gaming-Grafikkarten mit AMD-GPU zukünftig nur noch unter dem Markennamen "AREZ" zu verkaufen. Der Verzicht auf den eigenen, starken Markennamen sorgte bei vielen Kunden für Verwunderung, doch die Ursache war weder bei ASUS noch bei AMD zu finden, sondern in NVIDIAs "GeForce Partner Program". Und das ist jetzt tot und begraben.

NVIDIA hatte sein "GeForce Partner Program" (GPP) am 1. März 2018 angekündigt, es versprach mehr Transparenz im Interesse der Käufer und schnelleren Zugriff auf die neuesten Innovationen für die GPP-Partner. In seiner Ankündigung betonte NVIDIA zudem, dass GPP-Partner auch weiterhin Grafiklösungen anderer Hersteller verkaufen und bewerben dürfen. Das klingt erst einmal harmlos, doch ein kleines aber wichtiges Detail hatte NVIDIA unterschlagen: Die GPP-Partner müssen ihre Gaming-Marke exklusiv auf GeForce-Produkte ausrichten! Kyle Bennett von HardOCP machte diese Klausel publik und lieferte damit die Erklärung für die Geburt von "AREZ".

Viele Käufer waren der Ansicht, dass NVIDIA den Bogen diesmal überspannt hatte, und es hagelte massiv Kritik. NVIDIA reagiert nun verstimmt und begräbt sein "GeForce Partner Program" nach nur zwei Monaten. Die Schuld sieht man aber nicht bei sich selbst, sondern bei den Fake News:

"A lot has been said recently about our GeForce Partner Program. The rumors, conjecture and mistruths go far beyond its intent. Rather than battling misinformation, we have decided to cancel the program."

Übersetzung: "In letzter Zeit wurde viel über unser GeForce-Partnerprogramm gesagt. Die Gerüchte, Mutmaßungen und Vermutungen gingen dabei weit über dessen Ziel hinaus. Doch statt diese Unwahrheiten zu bekämpfen, haben wir beschlossen, das Programm zu beenden."

NVIDIA bestreitet übrigens gar nicht, dass man die Gaming-Marken exlusiv an seine GeForce-Produkte binden wollte. Stattdessen erklärt der GPU-Hersteller, man hätte die "kristallklaren" Vorgaben zum Branding einzig im Interesse der Kunden gemacht. Diese hält man offenbar für derart beschränkt, dass sie ihre Grafikkarten nur nach Marken kaufen, ohne einen Blick auf die technische Ausstattung oder das Logo des GPU-Herstellers zu werfen:

"So, the GPU brand should be clearly transparent - no substitute GPUs hidden behind a pile of techno-jargon."

Übersetzung: "Damit die GPU-Marke klar erkennbar ist und keine Ersatz-GPU hinter einem Haufen Technik-Kauderwelsch versteckt wird."

Eine recht abfällige und damit aufschlussreiche Formulierung in Richtung der Mitbewerber, die NVIDIAs Verbitterung erkennen lässt. Denn solche Ersatz-GPUs wären die Grafiklösungen von AMD und Intel, welche - ganz unabhängig von deren technischen Eigenschaften - NVIDIAs Ansprüchen schon deswegen nicht genügen, weil sie kein Geld in die eigene Kasse spülen. Eventuell sollte NVIDIA seinen Slogan in "The way it's meant to be paid" abändern. Was bleibt ist ein peinlicher Rückzieher ohne jegliche Einsicht.

Seit Juni 2017 sind Intel und Microsoft über die Meltdown- und Spectre-Angriffe auf Schwachstellen in der CPU-Architektur informiert. Doch Intel schafft es nicht, die notwendigen Microcode-Updates zu seinen Kunden zu bekommen, und Microsoft verbockt einen Flicken nach dem anderen. Währenddessen steht Spectre Next Generation bereits in der Warteschlange.

Ja, liebe Leser, es nervt gewaltig! Morgens steigt man in seinen Diesel, der wahlweise auf Software-Updates oder Fahrverbote wartet, und fährt ins Büro, wo die Rechner auf Microcode-Updates oder Windows-Flicken warten. Und nach Monaten des Herumgefrickels seitens Auto- und IT-Industrie stellt sich weiterhin die Frage, ob zuerst das Fahrzeug stillgelegt oder der Computer gehackt wird, denn beide Dauerbaustellen zeigen ähnlich rasante Fortschritte wie der Berliner Flughafen. Eventuell könnte das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) das Rennen für die Prozessoren entscheiden, denn diese verlangt zeitgemäße Sicherheitsvorkehrungen bei der Datenverarbeitung. Und seit Monaten bekannte und dokumentierte Sicherheitslücken lassen sich wohl kaum mit einem zeitgemäßen Stand der Sicherheit vereinbaren.

Microcode-Updates per UEFI-/BIOS-Update - träum weiter!
Die meisten unserer Leser würden ihre Computer zeitnah aktualisieren, wenn sie es denn könnten. Doch nur wer einen PC aus den letzten beiden Jahren besitzt, hat gute Chancen auf ein UEFI-Update, welches die von Intel entwickelten Microcode-Updates gegen Spectre Variante 2 (CVE 2017-5715) umfasst. Ist der Computer älter, heißt es seitens der Hersteller - wenn sich diese dann tatsächlich mal bequemen, eine Kundenanfrage zu beantworten - lapidar, dieses Produkt sei EOL. EOL, also "End of Life", bedeutet so viel wie "nicht mehr unser Problem". Diese PCs oder Mainboards werden nicht mehr verkauft, nicht mehr vermarktet und auch nicht mehr gepflegt. Somit kann Intel so viele Microcode-Updates bereitstellen bis das blaue Firmenlogo schwarz wird, dennoch werden diese genauso selten beim Kunden ankommen wie frische Android-Versionen auf den letztjährigen Smartphones.

Microcode-Updates per Betriebssystem - aber nicht bei Windows 10 Version 1803!
Auch Intel hatte irgendwann ein Einsehen und verabschiedete sich von dem Gedanken, alle betroffenen Systeme per UEFI-/BIOS-Update erreichen zu können. Unter Linux ist es schon lange üblich, dass Microcode-Updates vom Betriebssystem nachgeladen werden. Diese Updates werden dabei nicht dauerhaft in der Firmware verankert, sondern bei jedem Systemstart neu geladen. Von dieser Möglichkeit hatte Windows nur sehr selten Gebrauch gemacht, doch im Falle von Spectre Variante 2 (CVE 2017-5715) machte Microsoft eine Ausnahme und schnürte ein optionales Update. Dieses gibt es allerdings nur für Windows 10, die Windows-Versionen 8.1 und 7 bleiben außen vor. Doch auch das frisch veröffentlichte Windows 10 Version 1803 ist unverständlicherweise ungeschützt - Microsoft hat die Microcode-Updates weder integriert, noch bieten die Redmonder ein optionales Update an!

Sicherheit zuletzt - Microcode-Updates von Intel gestrichen!
Sicherheit kommt bei Intel immer zuerst, hatte der Marktführer bei x86-Prozessoren, Chipsätzen und Grafiklösungen im Januar lautstark getönt. Das gilt allerdings nicht für ältere Produkte, obwohl diese nachweislich angreifbar und noch millionenfach im Einsatz sind. Betroffen sind alle Core-i-Modelle für den Sockel LGA-1366 (Bloomfield, Gulftown und Jasper Forest) sowie die mobilen Core-i-CPUs der ersten Generation (Clarksfield). Auch die einst so beliebten Core-2-Prozessoren (Harpertown, Penryn, Wolfdale und Yorkfield) werden keine Updates bekommen. Unter den Atom-SoCs gehen die beiden SoFIA-3GR-Modelle Atom x3-C3200RK und Atom x3-C3230RK leer aus, dabei hatte Intel bei deren Markteinführung im ersten Halbjahr 2015 noch sieben Jahre Extended-Lifecycle-Support versprochen. Intel begründet die gestrichenen Updates mit architektonischen Besonderheiten, die keine Reparatur zulassen, einem ausschließlichen Einsatz in geschlossenen Systemen sowie einer fehlenden Unterstützung für die Systemsoftware.

Microsoft macht Meltdown schlimmer - Total Meltdown
Zurück zu Microsoft: Anfang April 2018 zeigte sich, dass Microsoft bei der Absicherung von Windows 7 64 Bit und Server 2008 R2 64 Bit gegen den Meltdown-Angriff (CVE-2017-5754) eine noch wesentlich schlimmere 0-Day-Lücke erschaffen hatte. Man hatte die Berechtigung im selbstverweisenden PML4-Eintrag (Page Map Level 4) für alle Nutzer freigegeben, statt sie auf den Kernel zu beschränken. Der PML4 wird vom Speichermanagement des Prozessors genutzt, um die virtuelle Adresse eines Prozesses in eine physische Arbeitsspeicheradresse zu übersetzen. Hierbei verwendet Windows einen selbstverweisenden Eintrag in der obersten PML4-Seitentabelle, welcher bei Windows 7 immer an gleicher Stelle zu finden ist, während Windows 10 mit einer zufälligen Adresse arbeitet. In der Folge kann jeder Prozess den gesamten Arbeitsspeicher auslesen und auch an jede Position schreiben, wobei Microsoft die Datenrate von mehreren MB/s beim ursprünglichen Meltdown-Angriff auf mehrere GB/s gesteigert hatte. Hurra!

Total Meltdown - jetzt auch für Windows 10
Wie der Kernel-Spezialist Alex Ionescu kürzlich twitterte, betrifft Total Meltdown auch Windows 10 - zumindest sind die Ähnlichkeiten eklatant: Der Aufruf von NtCallEnclave verweist unter Windows 10 zurück in den User-Space und eröffnet so den Zugriff auf das komplette Seitentabellenverzeichnis des Kernels. Genau wie bei Windows 7 64 Bit stellt auch dieser Flickversuch eine gewaltige Verschlimmbesserung dar. Laut Ionescu hat Microsoft diese 0-Day-Lücke in Windows 10 Version 1803 geschlossen. Dennoch handelt es sich um eine echte 0-Day-Lücke, da alle älteren Versionen von Windows 10 weiterhin angreifbar sind. Wer unter Windows 10 eine Intel-CPU verwendet und für sein Mainboard noch kein UEFI-Update bekommt, kann somit wählen, ob er lieber Spectre Variante 2 (CVE 2017-5715) oder Total Meltdown zum Opfer fällt. Wer darf also Euer Herzblatt sein, die Pest oder doch lieber die Cholera?

Das dicke Ende kommt erst noch: Spectre Next Generation
Mit Spectre Next Generation stehen acht weitere CPU-Angriffe in den Startlöchern und wenn man sich vor Augen hält, was die IT-Industrie in den letzten Monaten so geleistet hat, kann einem Angst und Bange werden. Intel selbst soll vier der Lücken als hochgefährlich und die übrigen vier als mittelschwer einstufen. Zumindest ein Angriffsszenario soll eine recht simple Übernahme des Host-Systems aus einer virtuellen Maschine heraus ermöglichen. Laut c't erfordert jeder der "Spectre Next Generation"-Angriffe eigene Korrekturen, welche wie bei den ursprünglichen Meltdown- und Spectre-Angriffen aus einer Kombination von Microcode-Updates und Änderungen am Betriebssystem bestehen sollen. Mit ersten Updates von Intel sei bereits im Mai zu rechnen, doch das ganze Thema wird uns noch über viele Monate begleiten.

Werbung im Internet ist ein sensibles Thema. Und das nicht nur weil viele Werbeformen sehr aufdringlich sind, sondern auch weil mit Hilfe von Tracking Daten über Euer Online-Verhalten gesammelt werden. Auf aufdringliche Werbung hat Au-Ja.de schon immer verzichtet und jetzt möchten wir mit eurer Hilfe noch einen Schritt weiter gehen und die Google-Werbung komplett abschalten!

Die Gründe für einen Ausstieg liegen auf der Hand: Wir haben nur bedingt Einfluss darauf, welche Werbung Google über sein Werbenetzwerk AdSense ausliefert. Sensible Themen, interaktive Videos, personalisierte Anzeigen und die Verwendung von Zielgruppenangaben für Drittanbieteranzeigen haben wir bereits deaktiviert. Dennoch besteht bei Werbung, welche von Dritten geliefert wird, immer das Risiko einer missbräuchlichen Nutzung. Ebenfalls ärgerlich: Zuweilen blockiert Google zwar einen Anzeigenplatz, liefert dann aber doch keine Werbung aus, so dass leere Flächen entstehen. Wird indes Werbung ausgeliefert, verursacht diese beim Zugriff auf Au-Ja.de einen Großteil des Datenvolumens und bremst die Seite aus.

Ein letzter aber keinesfalls unbedeutender Grund: Google sammelt über seine Werbeanzeigen Daten. Wer nun meint, solche Tracking-Daten würden sowieso über Dienste wie Google Analytics anfallen, irrt, denn dieser Dienst kommt auf Au-Ja.de schon lange nicht mehr zum Einsatz. Auch mit unseren übrigen Partnern wie MSI, Amazon und ebay haben wir inzwischen Werbeformen gefunden, die als reine Links funktionieren. Selbst die Banner-Grafiken liegen lokal auf dem Server von Au-Ja.de, damit sie schnell laden und kein unkontrollierter Datenabfluss geschieht. Abgesehen von Googles Werbeanzeigen sind derzeit Videos von YouTube die einzigen Inhalte, welche von Au-Ja.de extern nachgeladen werden.

Pro: Mehr Sicherheit, weniger Datenverkehr, kürzere Ladezeiten, kein Tracking.

Kontra: Weniger Einnahmen.

Ja, das liebe Geld hat uns bisher davon abgehalten, auf die Google-Werbung zu verzichten. Andererseits sollten sich im Jahr 2018 andere Wege zum Ausgleich der Einnahmelücke finden lassen. Und daher geben wir Euch nun die Möglichkeit, Au-Ja.de zu unterstützen. Der Plan sieht wie folgt aus: Je 2,50 Euro, welche wir einsammeln, werden wir Googles Werbung für einen Tag deaktivieren - auch im Forum. Wir haben diesen Wert, von dem noch die PayPal-Gebühren und die Umsatzsteuer abgehen, bewusst niedrig angesetzt, damit möglichst viele Tage zusammenkommen. Und wir legen noch einen drauf: Ab 50 Euro verlängern wir die Abschaltung der Google-Werbung um die Hälfte und ab 100 Euro verdoppeln wir die Laufzeit! Sollten wir 300 Tage erreichen, machen wir darüber hinaus das Jahr voll.

Au-Ja.de unterstützen:

• 1,00 Euro per PayPal zahlen
• 2,00 Euro per PayPal zahlen
• 5,00 Euro per PayPal zahlen
• 10,00 Euro per PayPal zahlen

Diese Sammlung läuft erst einmal bis zum 10. Mai 2018. An diesem Tag werden wir das Ergebnis bekannt geben. Eine Woche später, also am 17. Mai 2018, werden wir die Google-Werbung dann abschalten. Für wie lange liegt in Eurer Hand!

Aktueller Stand: 85,00 EUR = 34 Tage +50% von uns obendrauf = 51 Tage ohne Google-Werbung

Regelmäßige Updates zur Aktion werden wir im Forum posten. Also dann, liebe Leser, wir zählen auf Euch ;-)

Im April wurde mit Total Meltdown eine kritische 0-Day-Lücke publik, welche Microsoft in Windows 7 64 Bit und Server 2008 R2 64 Bit bei seinen Absicherungsversuchen gegen den Meltdown-Angriff (CVE-2017-5754) aufgerissen hatte. Nun wurde bekannt, dass eine vergleichbare 0-Day-Lücke auch in Windows 10 klafft.

Wie der Kernel-Spezialist Alex Ionescu in einem Tweet schreibt, betrifft Total Meltdown auch Windows 10 - zumindest sind die Ähnlichkeiten eklatant: Der Aufruf von NtCallEnclave verweist unter Windows 10 zurück in den User-Space und eröffnet so den Zugriff auf das komplette Seitentabellenverzeichnis des Kernels. Genau wie bei Windows 7 64 Bit stellt auch dieser Flickversuch eine gewaltige Verschlimmbesserung dar, denn Microsoft hat den Zugriff auf den geschützten Speicher wesentlich vereinfacht. Und vermutlich wurden die Speicherzugriffe auch beschleunigt, denn Dank dieses Fehlers müssen Angreifer nicht mehr mit Tricks arbeiten, sondern können sich einfach am Silbertablett bedienen.

Wir blicken zurück: Bei Windows 7 64 Bit und Server 2008 R2 64 Bit hatte Microsoft die Berechtigung im selbstverweisenden PML4-Eintrag (Page Map Level 4) für alle Nutzer freigegeben, statt sie auf den Kernel zu beschränken. Der PML4 wird vom Speichermanagement des Prozessors genutzt, um die virtuelle Adresse eines Prozesses in eine physische Arbeitsspeicheradresse zu übersetzen. Hierbei verwendet Windows einen selbstverweisenden Eintrag in der obersten PML4-Seitentabelle, welcher bei Windows 7 immer an gleicher Stelle zu finden ist, während Windows 10 mit einer zufälligen Adresse arbeitet. In der Folge kann jeder Prozess den gesamten Arbeitsspeicher auslesen und auch an jede Position schreiben - und das nicht mit mehreren MB/s wie bei Meltdown sondern mit mehreren GB/s.

Laut Ionescu hat Microsoft diese 0-Day-Lücke in Windows 10 Version 1803 geschlossen. Dennoch handelt es sich um eine echte 0-Day-Lücke, da alle älteren Versionen von Windows 10 weiterhin angreifbar sind. Ob Microsoft diesen Mega-Fehler am morgigen Patch-Day auch in den anderen Windows-10-Versionen schließen wird, ist noch völlig unklar.

Der zweite Veröffentlichungskandidat von LibreOffice 6.0.4 liegt für Windows, macOS und Linux zum Download bereit. Seit der Version 6.0.3 wurden 88 Korrekturen vorgenommen, darunter finden sich allerdings nur vier potentielle Absturzursachen sowie ein Programmhänger. Das finale LibreOffice 6.0.4 soll in der zweiten Maiwoche erscheinen.

Stabilität und Funktionalität
LibreOffice bleibt nicht mehr hängen, wenn man versucht ein Dialogfenster zu öffnen, während das gesamte Blatt ausgewählt ist. Einer der behobenen Abstürze tritt auf, wenn man ein Fotoalbum, welches ein .MOV-Video enthält, einfügt. Ein weiterer geschieht beim Abfragen der Zwischensummen zweier Gruppen, für die der Vorsortierbereich aktiviert ist. Dazu kommen ein OpenGL-Crash beim Versuch, auf den Framebuffer zuzugreifen, und ein Absturz beim Import älterer Word-Dokumente (.DOC-Format von Word 97 bis 2003). Eine Regression hatte dazu geführt, dass LibreOffice 6.0 weit größere Dateien erstellte als die Vorgängerversion 5.4. Die Ursache, das Einbeziehen doppelter bzw. überflüssiger Bilder, wurde erkannt und beseitigt. Beim Ausdruck wird gedrehter Text ausgegeben, was bisher nicht immer der Fall war. Die Schriftart Carlito kann wieder genutzt werden und unter Windows 10 verschwindet die Schriftart Noto während der Installation von LibreOffice 6 nicht mehr. Die Präsentationssoftware Impress hatte zuletzt Klangeffekte vergessen und bei bildschirmfüllenden Diashows blieb die Notebookbar sichtbar. Auch diese beiden Probleme werden mit LibreOffice 6.0.4 verschwinden.

Fortschritte hinsichtlich der Dateikompatibilität
Für den RTF-Import wurde die umgekehrte Deduplizierung für Listen implementiert und bei ODF 1.2 werden nun Host-use-Wildcards unterstützt. Gleich mehrere Korrekturen sollen das Erstellen fehlerhafter .PPTX-Dateien verhindern und auch eine ungewollte Invertierung von Farben wurde für diese Präsentationen behoben. Bei .DOCX-Dokumenten geht die Nummerierung eingefügter Überschriften nicht mehr verloren, unerwünschte Leerzeilen fallen weg und die Umbrüche in Textboxen entsprechen nun denen von Microsoft Office. Beim Import von .DOCX-Dateien entsprechen die Abstände bei Absätzen mit verankerten Objekten jenen in Word 2013 und auch der obere Rand wurde korrigiert. Lose Objekte sollen die Position von Absätzen nicht mehr verschieben und der Hintergrund von Tabellenzellen rutscht nicht mehr unter Hintergrundformen. Der .DOC-Importfilter hatte die Größe von Formen falsch interpretiert, dies ist nun nicht mehr der Fall. Bei .XLSX-Tabellen haben Kuchendiagramme mit 3D-Optik keinen grauen Hintergrund mehr, wenn man sie mit Excel 2013 öffnet, und der Nebenachsenabstand wurde besser an Microsoft Office angepasst. Darstellungsprobleme bei Grafiken im Windows-Metafile-Format EMF+ wurden ebenfalls korrigiert und Impress lädt wieder verknüpfte .SVG-Grafiken.

Download: LibreOffice 6.0.4 RC 2

CPU-Z zeigt zahlreiche Informationen über den Prozessor, das Mainboard, den Chipsatz, die Grafikeinheit und den Arbeitsspeicher an, darunter Taktraten, Spannungen, Latenzen und die SPD-Programmierung der RAM-Module. Die gestern veröffentlichte Version 1.85 erkennt nun auch die AGESA-Version, welche für CPUs und APUs von AMD mitunter sehr wichtig ist.

Die "AMD Generic Encapsulated Software Architecture" ist Teil des UEFI und dient zur Initialisierung des Prozessors. Mit diesem Code kann AMD auch Korrekturen vornehmen wie zuletzt bei seinen Ryzen-APUs mit integrierter Vega-Grafik. Diese zeigten bei einigen Spielen ein massives Stottern, da ihr Energiemanagement den Grafiktakt während des Spielens reduzierte. Eine neue AGESA-Version, welche zusammen mit neuen UEFI-Updates ausgeliefert wird, behebt dieses Problem. Für viele Nutzer war allerdings unklar, welche AGESA-Version auf ihrem System installiert ist. Das neue CPU-Z 1.85 schafft hier Abhilfe und zeigt die AGESA-Version nun direkt hinter der BIOS-Version (auf modernen Systemen eigentlich UEFI-Version) an.

Abgesehen von der AGESA-Erkennung bietet CPU-Z 1.85 eine häufigere Aktualisierung der Taktraten und kümmert sich um die Fehlermeldung "Error 577", welche während der Initialisierung des Programms unter Windows 7 und XP auftreten konnte. Dieser Fehler verhinderte die Anzeige jeglicher Informationen.

Download: CPU-Z 1.85

Igor Pavlov hat sein Datenkompressionsprogramm 7-Zip auf die Version 18.05 aktualisiert. Dieses Update behebt eine kritische Sicherheitslücke beim Entpacken von RAR-Archiven (CVE-2018-10115) und ergreift erste Maßnahmen gegen ein ernstes Problem, welches Windows 10 im Umgang mit Large-Memory-Pages (2 MiB statt 4 KiB) offenbart.

Die kritische Sicherheitslücke
CVE-2018-10115 steckt in der Methode NArchive::NRar::CHandler::Extract in RarHandler.cpp. Da das Entpacken von RAR-Archiven unter Verwendung eines weitgehend nicht initialisierten Zustands stattfindet und die Programmdateien 7zFM.exe, 7zG.exe und 7z.exe keinen Gebrauch von Speicherverwürfelung (ASLR) machen, können Agreifer das Programm mit Hilfe manipulierter RAR-Archive angreifen. Im schlimmsten Fall wird beliebiger Code im Sicherheitskontext des Benutzers ausgeführt, was die Version 18.05 nun unterbindet.

Das Problem mit Windows 10
Um eine virtuelle Speicherverwaltung zu ermöglichen, wird der Arbeitsspeicher vom Betriebssystem in gleichgroße Speicherseiten unterteilt. Dabei unterstützt Windows zwei Größen - 4 KiB pro Seite (Small Pages) und 2 MiB pro Seite (Large Pages). Auf Systemen mit viel Arbeitsspeicher lässt sich durch den Einsatz großer Seiten die Trefferquote in den "Translation Lookaside Buffers" (TLB) erhöhen, wodurch die CPU entlastet wird. In 7-Zip können Large Pages aktiviert werden, sofern das Programm mit administrativen Rechten ausgeführt wird. Unter Windows 7 läuft das auch stabil, doch unter Windows 10 kann es zu Fehlern beim Auspacken, zum Programmabsturz und sogar zum Systemabsturz kommen. Alles deutet auf eine Speicherbeschädigung hin, doch deren Ursache ist noch unbekannt.

Wurde 7-Zip mit Large Pages ausgeführt, befindet sich Windows 10 im Anschluss in einem undefinierten Zustand, weshalb Datenverluste möglich sind! Aktuelle Untersuchungen deuten darauf hin, dass das Problem mit Windows 10 Version 1703 eingeführt wurde und auch die Version 1709 betrifft. Windows 10 Version 1511 und 1607 scheinen normal zu funktionieren, gleiches gilt für die seit Montag erhältliche Version 1803. Neben 7-Zip zeigt auch das Videoverarbeitungs-Framework VapourSynth ein ähnliches Verhalten. Als Reaktion wurden Large Pages dort für betroffene Windows-Versionen deaktiviert und 7-Zip 18.05 übernimmt diesen Workaround.

Noch etwas schneller
Abgesehen von der Fehlerbereinigung wurde der für ZIP, HFS und DMG zuständige Code wurde verbessert und die Leistung weiter optimiert:

• LZMA/LZMA2-Decoding mit einem Thread in 64 Bit: +30%
• LZMA/LZMA2-Decoding mit einem Thread in 32 Bit: +3%
• LZMA/LZMA2-Kompression in der Einstellung Schnellste oder Schnell: +8%
• LZMA/LZMA2-Kompression in der Einstellung Normal oder Maximum: +3%

Download: 7-Zip 18.05

Auf dem Archive-Server von Mozilla findet sich der zweite Build eines Veröffentlichungskandidaten des Firefox 60.0. Dieser wird inzwischen auch an die Nutzer im Beta-Verteilerkreis ausgeliefert. Die Veröffentlichung des finalen Firefox 60, der auch als Basis der neuen ESR-Version mit Langzeitunterstützung dienen wird, ist für den 8. Mai 2018 geplant.

Das Richtlinienmodul
Der Firefox 60 umfasst in beiden Varianten die neue "Policy Engine", ein Richtlinienmodul zur Konfiguration und Anpassung des Browsers, welches sich primär an Unternehmen, Behörden und Bildungsträger richtet. Mozilla unterstützt dabei grundsätzlich jedes Werkzeug, mit dem sich Richtlinien setzen lassen, und hat auch die Windows Group Policy im Visier. Die Version 60 wird noch eine begrenzte Anzahl von Richtlinien bieten, welche die Entwickler in den kommenden Versionen weiter ausbauen wollen.

Wichtige Änderungen für ESR-Nutzer
Eine wichtige Änderung sollten ESR-Nutzer nicht aus den Augen verlieren: Der Firefox 60 lässt nur noch Erweiterungen zu, welche auf der WebExtensions-API basieren. Während der Firefox 57 die alten Plugin-Zöpfe bereits im Dezember 2017 abgeschnitten hatte, lassen sich diese im Firefox 52 ESR weiterhin nutzen. Wer noch auf die Umstellung einer alten Erweiterung wartet, sollte daher vorerst beim Firefox 52 ESR bleiben. Dieser wird noch bis zum 28. August 2018 mit Updates versorgt, an diesem Tag soll der Firefox 60.2.0 ESR veröffentlicht werden.

Weitere Neuerungen und Änderungen
Mit "Web Authentication" wird ein neuer Standard, welcher Passwörter durch USB-Token ersetzen soll, unterstützt. Eine vorläufige Fassung der neuen Schnittstelle hatte das "World Wide Web Consortium" (W3C) am 20. März 2018 verabschiedet. Die beim Firefox Quantum (Version 57) eingeführte CSS-Engine wird nun nicht nur für Webinhalte, sondern auch zur Darstellung der Benutzeroberfläche des Programms verwendet. Dies lief in der Beta-Phase allerdings alles andere als rund: Auf unseren Testsystemen stürzten immer wieder einzelne Tabs ab oder der Firefox wurde extrem langsam. Zuweilen reagierten weder Webseite noch die Benutzeroberfläche - auch auf frischen Installationen ohne jegliche Erweiterungen. Parallel hierzu belegte der Firefox sehr viel Arbeitsspeicher und CPU-Zeit. Der Firefox 59.0.2 lief mit exakt den selben Tabs auf einem technisch vergleichbaren System völlig problemlos.

Mit Okzitanisch (oc) wurde eine lokale Sprache, welche in Südfrankreich und Katalonien gesprochen wird, ergänzt. Darüber hinaus gibt es ein paar Änderungen: Unter Windows hat die Leseansicht F9 als neues Tastaturkürzel erhalten. Für ein und dieselbe URL lassen sich nur noch dann mehrere Lesezeichenschlüsselwörter setzen, wenn die Anforderung andere POST-Daten aufweist. Wenn man die Webcam für eine Webseite deaktiviert, schaltet der Firefox die Kamera nebst Status-LED aus. Erst wenn man die Aufnahme fortsetzt, geht auch die Status-LED wieder an. Entwickler, die den "Responsive Design Mode" nutzen, können nun gezielt steuern, ob eine Webseite neu geladen werden soll. Für IndexedDB-Transaktionen kann man nun auch Promise-Objekte verwenden.

Download: Firefox 60 RC 2

Der Mikroblogging-Dienst Twitter bittet seine Nutzer, ihre Passwörter zu ändern. Der Grund ist allerdings kein Hackerangriff, sondern ein Software-Fehler: In internen Log-Dateien des Unternehmens fanden sich die unverschlüsselten Passwörter, so dass Twitter einen Zugriff durch seine Mitarbeiter nicht ausschließen kann.

Bisher gibt es zwar keinen Hinweis für derartige Zugriffe oder gar eine missbräuchliche Nutzung der Passwörter, dennoch muss man diese als kompromittiert ansehen. Dies gilt umso mehr, wenn man sein Twitter-Passwort auch für andere Dienste verwendet! Wer auf Nummer Sicher gehen möchte, kommt um einen Passwortwechsel kaum herum.

Der Bug steckte ausgerechnet in der Code-Passage, welche die vom Benutzer eingegebenen Passwörter mit Hilfe des Hashing-Algorithmus bcrypt unkenntlich macht. Doch noch vor Abschluss dieser Verschlüsselung wurde das noch ungeschützte Passwort in eine Log-Datei geschrieben. Twitters Mitarbeiter haben diesen Fehler selbst entdeckt und korrigiert, die Log-Datei mit den Passwörtern wurde gelöscht.

Experten hatten bereits im Januar befürchtet, dass die Meltdown- und Spectre-Angriffe auf Schwachstellen in der CPU-Architektur nur der Anfang seien, und diese Vorahnung hat sich nun bewahrheitet. Wie unsere Kollegen von der c't berichten, haben Sicherheitsforscher acht weitere Angriffsmethoden gemeldet, die nach aktuellem Kenntnisstand die Prozessoren von Intel betreffen.

Intel selbst soll vier der Lücken aus hochgefährlich und die übrigen vier als mittelschwer einstufen. Zumindest ein Angriffsszenario soll eine recht simple Übernahme des Host-Systems aus einer virtuellen Maschine heraus ermöglichen. Laut c't erfordert jeder der "Spectre Next Generation"-Angriffe eigene Korrekturen, welche wie bei den ursprünglichen Meltdown- und Spectre-Angriffen aus einer Kombination von Microcode-Updates und Änderungen am Betriebssystem bestehen sollen. Mit ersten Updates von Intel sei bereits im Mai zu rechnen, doch das ganze Thema wird uns noch über viele Monate begleiten. Denn auch vier Monate nach Bekanntwerden der Meltdown- und Spectre-Angriffe sind kaum UEFI/BIOS-Updates mit aktualisiertem Microcode verfügbar und auch das optionale Microcode-Update für Windows deckt bisher nur einen Teil der betroffenen Intel-Prozessoren ab.

Laut c't wurden die acht "Spectre Next Generation"-Angriffe bisher nur für CPUs von Intel bestätigt. Die Kollegen vermuten, dass zumindest auch einzelne ARM-Chips betroffen sein könnten. Ob sich diese Angriffe auch auf Architekturen von AMD übertragen lassen, ist zum jetzigen Zeitpunkt noch unklar.

Die auf Meinungsmanipulation spezialisierte Firma Cambridge Analytica und ihre Mutter SCL Elections sind insolvent. Die Ursache sieht das Unternehmen in "haltlosen Anschuldigungen" und der "unfairen, negativen Berichterstattung der Medien". Ein Grund zum Jubeln ist das leider nicht, denn es gibt bereits eine Nachfolgefirma namens Emerdata.

Um die "unfaire und negative Berichterstattung" fortzuführen, stellen wir folgende Frage in den Raum: Gibt es einen besseren Weg, um den Kopf aus der Schlinge zu ziehen, als eine gut inszenierte Pleite? Wenn man keine Anwaltskosten mehr bezahlen muss, sind langwierige Prozesse eine Lappalie. Und wenn man keine Mitarbeiter mehr hat, können die auch nicht mit den Ermittlungsbehörden zusammenarbeiten. Zudem ist das Chaos einer Insolvenz sehr gut geeignet, um mögliche Beweismittel verschwinden zu lassen. Dazu lenkt man den Fokus einfach auf die armen, hart arbeitenden Menschen, die nun urplötzlich ihren Job verlieren, ohne jemals gegen das Gesetz verstoßen zu haben. So stellt es jedenfalls Cambridge Analytica dar.

Wer nun meint, dies sei der Gipfel des Sarkasmus, irrt gewaltig, denn diesen hatte die SCL Group schon im August 2017 mit der Gründung von Emerdata erreicht. Emerdata hat seinen Sitz in London im selben Gebäude wie SCL und Cambridge Analytica. Gegründet wurde Emerdata von Alexander Tayler (Chief Data Officer von Cambridge Analytica) und Julian Whetland (Vorsitzender der SCL Group). Alexander Nix, der inzwischen suspendierte CEO von Cambridge Analytica, saß bis zum 28. März 2018 auch im Aufsichtsrat von Emerdata. Arbeitslos ist Nix indes nicht, denn auf seinen Namen laufen weiterhin acht Firmen, welche sich ihre Adresse mit der SCL Group teilen. Zusammen mit Tayler leitet Nix auch die Firma Firecrest Technologies, die erst am 7 März 2018 gegründet wurde. Ebenfalls im Aufsichtsrat von Emerdata finden sich Jennifer Mercer und Rebekah Anne Mercer, die Töchter des erzkonservativen Multimilliardärs Robert Mercer, welcher seinerseits Hauptgeldgeber von Cambridge Analytica war.

Das alles lässt nur einen Schluss zu: Der verbrannte Name "Cambridge Analytica" wird geopfert, doch die Köpfe hinter der gewerbsmäßigen Meinungsbeeinflussung machen weiter wie bisher. Die selben Personen, die selbe Adresse, die selbe Masche.

Eine erste Alpha-Ausgabe ermöglicht einen frühen Blick auf LibreOffice 6.1.0, dessen Veröffentlichung für die zweite Augustwoche geplant ist. LibreOffice 6.1.0 bringt allerlei Detailverbesserungen wie eine bessere Unterstützung von Ruby Annotationen in Writer, eine optimierter Umgang mit Bildern in Calc sowie eine einfachere Anpassung von Symbolleisten und Menüs.

Writer (Textverarbeitung):
Inline-Tooltips für das Verfolgen von Änderungen sind nun optional und zudem standardmäßig deaktiviert, wenn Änderungen gar nicht überwacht werden. Darüber hinaus wurden die nervigen Tooltips, welche im Writer auf das Anpassen oder Auswählen von Tabellen hinweisen, deaktiviert. Ruby Annotationen, wie sie in der chinesischen und japanische Sprache genutzt werden, werden besser unterstützt, und man kann nun eine Signaturzeile über das Menü "Einfügen" - nun ja - einfügen. Länderspezifische Änderungen legen die Tabulaturen für chinesischsprachige Nutzer auf 7,4 mm fest und für Ungarn wird "Nummerierung zuerst" für die "Automatische Beschriftung" priorisiert.

Calc (Tabellenkalkulation):
Bilder, die in Zellen verankert sind, lassen sich ab sofort sortieren. Beim Verankern hat man die Wahl, ob man das Bild an die Zelle oder Seite binden will. Wird die Zelle gewählt, kann man die Bildgröße automatisch an die Größe der Zelle anpassen lassen. Dabei berücksichtigt Calc auch das Seitenverhältnis. Beim Kopieren und Einfügen von Zellen werden die Bilder mitsamt ihrer Verankerungsart kopiert. Die Farbliche Hervorhebung (Text: schwarz; Formeln: grün; Nummern: blau; Geschützt: grauer Hintergrund) lässt sich vom Benutzer anpassen. Der Import-Filter für Excel 2003 XML wurde umfassend überarbeitet und der bisherige XSLT-basierte Filter komplett ersetzt.

Impress (Präsentation), Draw (Zeichnen) und Base (Datenbank):
Nach dem Writer fragen nun auch Calc, Draw und Impress, ob EXIF-Informationen über die Rotation einzufügender Bilder berücksichtigt werden sollen. Bei Parenthesen und anderen Inhalten in Klammern bringt Impress deren Reihenfolge durcheinander, wenn der Schriftverlauf eines Absatzes von rechts nach links weist. Dies wurde korrigiert. In Draw wurden die Menüs neu organisiert und ein neues Seite-Menü hinzugefügt. Base wendet Named-Parameter-Substitution nicht mehr auf SQL-Befehle an, die direkt und unverändert ausgeführt werden sollen. Dies war bei Verwendung der ODBC-, JDBC- und Firebird-SDBC-Treiber bisher nicht der Fall.

Allgemeine Änderungen:
Im Dialog zum Einfügen von Tabellen wurde die Schaltfläche "AutoFormat" durch eine Auswahlliste mit unterschiedlichen Tabellenstilen ersetzt. In Tabellen wurde die obskure Funktion "3 seconds to add/delete col/row" entfernt, damit sich die Tastenkombinationen Alt + Entfernen sowie Alt + Einfügen frei zuweisen lassen. Unter Windows 10 kommt jetzt standardmäßig das Icon-Thema "Colibre" zum Einsatz und für starke Kontraste wird nun generell das Thema "Sifr" verwendet. Die Dialogfenster unter Linux wurden auf GTK3 portiert. Ein neues Zahnradsymbol vereinfacht das Anpassen von Symbolleisten und Hauptmenüs. Beispielsweise kann man diese Objekte umbenennen, umsortieren und den verwendeten Anzeigestil ändern.

Wie geht es weiter?
Zwischen dem 21. und 27. Mai 2018 soll eine erste Beta-Version verfügbar sein, eine zweite ist für die Woche vom 11. zum 17. Juni geplant. Mit einem ersten Veröffentlichungskandidaten darf man ab dem 2. Juli rechnen, zwei weitere sollen jeweils im Abstand von 14 Tagen folgen. Die Freigabe des finalen LibreOffice 6.1.0 ist für die Woche vom 6. bis zum 12. August 2018 geplant.

Download: LibreOffice 6.1.0 Alpha 1

Werbung im Internet ist ein sensibles Thema. Und das nicht nur weil viele Werbeformen sehr aufdringlich sind, sondern auch weil mit Hilfe von Tracking Daten über Euer Online-Verhalten gesammelt werden. Auf aufdringliche Werbung hat Au-Ja.de schon immer verzichtet und jetzt möchten wir mit eurer Hilfe noch einen Schritt weiter gehen und die Google-Werbung komplett abschalten!

Die Gründe für einen Ausstieg liegen auf der Hand: Wir haben nur bedingt Einfluss darauf, welche Werbung Google über sein Werbenetzwerk AdSense ausliefert. Sensible Themen, interaktive Videos, personalisierte Anzeigen und die Verwendung von Zielgruppenangaben für Drittanbieteranzeigen haben wir bereits deaktiviert. Dennoch besteht bei Werbung, welche von Dritten geliefert wird, immer das Risiko einer missbräuchlichen Nutzung. Ebenfalls ärgerlich: Zuweilen blockiert Google zwar einen Anzeigenplatz, liefert dann aber doch keine Werbung aus, so dass leere Flächen entstehen. Wird indes Werbung ausgeliefert, verursacht diese beim Zugriff auf Au-Ja.de einen Großteil des Datenvolumens und bremst die Seite aus.

Ein letzter aber keinesfalls unbedeutender Grund: Google sammelt über seine Werbeanzeigen Daten. Wer nun meint, solche Tracking-Daten würden sowieso über Dienste wie Google Analytics anfallen, irrt, denn dieser Dienst kommt auf Au-Ja.de schon lange nicht mehr zum Einsatz. Auch mit unseren übrigen Partnern wie MSI, Amazon und ebay haben wir inzwischen Werbeformen gefunden, die als reine Links funktionieren. Selbst die Banner-Grafiken liegen lokal auf dem Server von Au-Ja.de, damit sie schnell laden und kein unkontrollierter Datenabfluss geschieht. Abgesehen von Googles Werbeanzeigen sind derzeit Videos von YouTube die einzigen Inhalte, welche von Au-Ja.de extern nachgeladen werden.

Pro: Mehr Sicherheit, weniger Datenverkehr, kürzere Ladezeiten, kein Tracking.

Kontra: Weniger Einnahmen.

Ja, das liebe Geld hat uns bisher davon abgehalten, auf die Google-Werbung zu verzichten. Andererseits sollten sich im Jahr 2018 andere Wege zum Ausgleich der Einnahmelücke finden lassen. Und daher geben wir Euch nun die Möglichkeit, Au-Ja.de zu unterstützen. Der Plan sieht wie folgt aus: Je 2,50 Euro, welche wir einsammeln, werden wir Googles Werbung für einen Tag deaktivieren - auch im Forum. Wir haben diesen Wert, von dem noch die PayPal-Gebühren und die Umsatzsteuer abgehen, bewusst niedrig angesetzt, damit möglichst viele Tage zusammenkommen. Und wir legen noch einen drauf: Ab 50 Euro verlängern wir die Abschaltung der Google-Werbung um die Hälfte und ab 100 Euro verdoppeln wir die Laufzeit!

Au-Ja.de unterstützen:

• 1,00 Euro per PayPal zahlen
• 2,00 Euro per PayPal zahlen
• 5,00 Euro per PayPal zahlen
• 10,00 Euro per PayPal zahlen

Diese Sammlung läuft erst einmal bis zum 10. Mai 2018. An diesem Tag werden wir das Ergebnis bekannt geben. Eine Woche später, also am 17. Mai 2018, werden wir die Google-Werbung dann abschalten. Für wie lange liegt in Eurer Hand!

Aktueller Stand: 55,00 Euro = 22 Tage +50% von uns obendrauf = 33 Tage ohne Google-Werbung

Regelmäßige Updates zur Aktion werden wir im Forum posten. Also dann, liebe Leser, wir zählen auf Euch ;-)

Auf dem Archive-Server von Mozilla findet sich der erste Build eines Veröffentlichungskandidaten des Firefox 60.0. An die Nutzer im Beta-Verteilerkreis wird dieser Build zur Stunde noch nicht ausgeliefert. Die Veröffentlichung des finalen Firefox 60, der auch als Basis der neuen ESR-Version mit Langzeitunterstützung dienen wird, ist für den 8. Mai 2018 geplant.

Das Richtlinienmodul
Der Firefox 60 umfasst in beiden Varianten die neue "Policy Engine", ein Richtlinienmodul zur Konfiguration und Anpassung des Browsers, welches sich primär an Unternehmen, Behörden und Bildungsträger richtet. Mozilla unterstützt dabei grundsätzlich jedes Werkzeug, mit dem sich Richtlinien setzen lassen, und hat auch die Windows Group Policy im Visier. Die Version 60 wird noch eine begrenzte Anzahl von Richtlinien bieten, welche die Entwickler in den kommenden Versionen weiter ausbauen wollen.

Wichtige Änderungen für ESR-Nutzer
Eine wichtige Änderung sollten ESR-Nutzer nicht aus den Augen verlieren: Der Firefox 60 lässt nur noch Erweiterungen zu, welche auf der WebExtensions-API basieren. Während der Firefox 57 die alten Plugin-Zöpfe bereits im Dezember 2017 abgeschnitten hatte, lassen sich diese im Firefox 52 ESR weiterhin nutzen. Wer noch auf die Umstellung einer alten Erweiterung wartet, sollte daher vorerst beim Firefox 52 ESR bleiben. Dieser wird noch bis zum 28. August 2018 mit Updates versorgt, an diesem Tag soll der Firefox 60.2.0 ESR veröffentlicht werden.

Weitere Neuerungen und Änderungen
Mit "Web Authentication" wird ein neuer Standard, welcher Passwörter durch USB-Token ersetzen soll, unterstützt. Eine vorläufige Fassung der neuen Schnittstelle hatte das "World Wide Web Consortium" (W3C) am 20. März 2018 verabschiedet. Die beim Firefox Quantum (Version 57) eingeführte CSS-Engine wird nun nicht nur für Webinhalte, sondern auch zur Darstellung der Benutzeroberfläche des Programms verwendet. Dies lief in der Beta-Phase allerdings alles andere als rund: Auf unseren Testsystemen stürzten immer wieder einzelne Tabs ab oder der Firefox wurde extrem langsam. Zuweilen reagierten weder Webseite noch die Benutzeroberfläche - auch auf frischen Installationen ohne jegliche Erweiterungen. Parallel hierzu belegte der Firefox sehr viel Arbeitsspeicher und CPU-Zeit. Der Firefox 59.0.2 lief mit exakt den selben Tabs auf einem technisch vergleichbaren System völlig problemlos.

Mit Okzitanisch (oc) wurde eine lokale Sprache, welche in Südfrankreich und Katalonien gesprochen wird, ergänzt. Darüber hinaus gibt es ein paar Änderungen: Unter Windows hat die Leseansicht F9 als neues Tastaturkürzel erhalten. Für ein und dieselbe URL lassen sich nur noch dann mehrere Lesezeichenschlüsselwörter setzen, wenn die Anforderung andere POST-Daten aufweist. Wenn man die Webcam für eine Webseite deaktiviert, schaltet der Firefox die Kamera nebst Status-LED aus. Erst wenn man die Aufnahme fortsetzt, geht auch die Status-LED wieder an. Entwickler, die den "Responsive Design Mode" nutzen, können nun gezielt steuern, ob eine Webseite neu geladen werden soll. Für IndexedDB-Transaktionen kann man nun auch Promise-Objekte verwenden.

Download: Firefox 60 RC 1

Während Facebook fett im Geschäft ist und Twitter zumindest schwarze Zahlen schreibt, steckt die Firma Snap INC, deren einziges Produkt der Instant-Messaging-Dienst Snapchat ist, weiterhin in der Verlustzone. Die gute Nachricht: Snap konnte seinen Nettoverlust im ersten Quartal 2018 deutlich verringern. Die schlechte: Die Zahl der täglich aktiven Nutzer ist trotz Redesign sequentiell nur um zwei Prozent gestiegen.

Verlust eingedämmt
Nachdem Snap im ersten Quartal 2017 noch 2,209 Milliarden US-Dollar in den Sand gesetzt hatte, wirkt der aktuelle Nettoverlust von 385,785 Millionen US-Dollar geradezu bescheiden. Dennoch liegt auch der reduzierte Nettoverlust im Volumen noch um mehr als Zweidrittel über dem Umsatz, der sich diesmal auf 230,666 Millionen US-Dollar belief. Dieses Missverhältnis trübt die Freude über ein sattes Umsatzplus von 54,14 Prozent. Ebenfalls unerfreulich: Sequentiell ist der Umsatz um 19 Prozent eingebrochen, was Snap mit saisonalen Entwicklungen und seinem Redesign begründet. Der Verlust je Anteil beläuft sich auf 0,30 US-Dollar nach einem Minus von 2,31 US-Dollar im Vorjahreszeitraum.

Ungeliebtes Redesign
Das Redesign ging Ende November 2017 an den Start, um Snapchat wieder stärker wachsen zu lassen. Doch viele Nutzer zeigten sich genervt und es hagelte massiv Kritik. Die Zahl der täglich aktiven Nutzer ist sequentiell um zwei Prozent auf 191 Millionen gestiegen, im Vergleich mit dem ersten Quartal 2017 zeigt sich ein Zuwachs von 15 Prozent (1,25% pro Monat). Somit konnte Snapchat das Wachstum seiner Nutzerschaft tatsächlich wieder ankurbeln, allerdings viel schwächer als erhofft.

Anleger verlieren die Geduld
Als Snap im März 2017 mit einem Ausgabepreis von 17 US-Dollar je Aktie an die Börse ging, hofften viele Investoren auf den nächsten heißen Scheiß im Bereich der sozialen Vernetzung. Die Wertpapiere gingen weg wie warme Semmeln und schossen zwischenzeitlich auf 29,44 US-Dollar, der Schlusskurs lag am Ausgabetag dann bei 23,77 US-Dollar. Inzwischen herrscht Katerstimmung, denn gestern ist Snaps Aktie nachbörslich um 14,37 Prozent auf 12,10 US-Dollar abgestürzt.

Im Vorfeld hatte es reichlich Spekulationen hinsichtlich Apples Geschäftszahlen für das zweite Quartal des fiskalischen Jahres 2018 gegeben: Der Absatz der iPhones sollte eingebrochen sein. Den Umsatz sollten die iPhones und schlechte Ergebnisse in China mitgerissen haben. Und angeblich würde Apple eigene Aktien im Wert von 100 Milliarden US-Dollar zurückkaufen. Am Ende steht das beste März-Quartal in der Unternehmensgeschichte und nur der letzte Punkt hat sich bewahrheitet.

Realität widerlegt Analysten
Tatsächlich ist Apples Umsatz im Vergleich zum Vorjahresquartal um 15,58 Prozent auf 61,137 Milliarden US-Dollar geklettert. Davon fallen 38,032 Milliarden US-Dollar (+14,39%) auf die iPhones, wobei die Stückpreise weit stärker gestiegen sind als die Verkaufszahlen, welche bei 52,217 Millionen Einheiten (+2,86%) lagen. Hierbei ist allerdings anzumerken, dass sich die iPhones gegen den Trend stemmen, denn der weltweite Smartphone-Verkauf ist zwischen Januar und März 2018 gesunken. Und das Umsatzplus belegt, dass sich das sehr teure iPhone X durchaus verkaufen lässt. In China ist Apples Umsatz um 21,42 Prozent - und damit weit stärker als in Amerika und Europa - auf 13,024 Milliarden US-Dollar gewachsen.

Wir fassen zusammen: Mehr Umsatz weltweit, deutlich mehr Umsatz in China, mehr iPhones verkauft und spürbar mehr Umsatz mit iPhones generiert - Apple: 4. Analysten: 0. Einzig der am Wochenende durchgesickerte Aktienrückkauf hat sich bewahrheitet, doch für Informationslecks benötigt man keine Analysten. Nun mag so mancher einwenden, dass sich die negativen Prognosen erst im nächsten Quartal auswirken werden. Dem widerspricht, dass Apple für sein drittes Quartal zwischen 51,5 Milliarden und 53,5 Milliarden US-Dollar Umsatz in Aussicht gestellt hat, also 13,44 bis 17,84 Prozent mehr als im dritten Quartal 2017. Außer der gewohnten saisonalen Delle sehen wir viel Sonne und keine Wolken.

iPad, Mac, Dienste und der Rest
Die Zahl der verkauften iPads ist um 2,14 Prozent auf 9,113 Millionen Geräte gestiegen, doch auch hier haben höhere Stückpreise den Umsatz stärker (+5,76%) auf 4,113 Milliarden US-Dollar anwachsen lassen. Beim Mac sind die Verkaufszahlen leicht auf 4,078 Millionen Computer (-2,88%) zurückgegangen, der Umsatz stagnierte bei 5,848 Milliarden US-Dollar (+0,07%). Den zweitgrößten Sprung schaffte Apple mit seinen Diensten, die inzwischen 9,190 Milliarden US-Dollar (+30,40%) zum Umsatz beitragen. Übertroffen wurde dieses Ergebnis nur noch vom Bereich "andere Produkte", der AirPods, Apple TV, Apple Watch, Beats, HomePod, iPod touch und Zubehör umfasst. Hier ist der Umsatz um 37,63 Prozent auf 3,954 Milliarden geschossen.

Die weltweite Entwicklung
Wie bereits erwähnt, ist Apples Umsatz in China besonders stark gewachsen. 13,024 Milliarden US-Dollar bedeuten ein Plus von 21,42 Prozent. Erfolgreicher war Apple nur in Japan, wo der Umsatz um 21,92 Prozent auf 5,468 Milliarden US-Dollar gestiegen ist. Am wichtigsten bleibt für Apple das Amerika-Geschäft, das um respektable 17,41 Prozent auf 24,841 Milliarden US-Dollar zulegen konnte. Europa dürfte indes schon bald hinter China zurückfallen, denn 13,846 Milliarden US-Dollar bedeuten ein mäßiges Wachstum um 8,74 Prozent. Einen noch geringeren Zuwachs von lediglich 4,30 Prozent auf 3,958 Milliarden US-Dollar verzeichnete lediglich der Rest Asiens inklusive Ozeanien.

Und der Gewinn?
Der operative Gewinn ist in Cupertino um 12,75 Prozent auf 15,894 Milliarden US-Dollar gestiegen und der Nettogewinn kletterte sogar um 25,32 Prozent auf 13,822 Milliarden US-Dollar. Dabei half natürlich auch, dass Apple seine Rücklagen für Einkommenssteuern um 35,81 Prozent reduzieren konnte - Trumps Steuerreform spült Geld in die Kassen aller US-Unternehmen. Dank kräftiger Aktienrückkäufe ist der Gewinn je Aktie um glatt 30 Prozent auf 2,73 US-Dollar gesprungen.

Weitere Geschenke für Investoren
Apple hat seit August 2012 rund 275 Milliarden US-Dollar an seine Aktionäre ausgeschüttet, davon 75 Milliarden als Dividende sowie 200 Milliarden in Form von Aktienrückkäufen. Und damit das auch so bleibt, hat Apple seine Dividende um 16 Prozent auf 0,73 US-Dollar je Aktie angehoben und weitere 100 Milliarden US-Dollar für den Rückkauf seiner Aktien freigegeben. Das kam an der Börse an: Nach Handelsschluss ist Apples Aktie um 3,66 Prozent auf 175,29 US-Dollar geklettert.

AMD hat gestern den optionalen Grafiktreiber Radeon Software Adrenalin Edition 18.4.1 veröffentlicht, welcher erstmals offizielle Unterstützung für Windows 10 Version 1803 bietet. Dennoch wird diese Version auch für Windows 7 angeboten, da damit auch fünf Fehler korrigiert werden. Hiervon profitieren die Spiele "Call of Duty: World War II", "Sea of Thieves", "Stellaris" und "World of Final Fantasy".

Behobene Fehler
AMD hat die Wassertexturen in "World of Final Fantasy" repariert und "Stellaris" bleibt nicht mehr bei den Ladebildschirmen hängen. "Call of Duty: World War II" hatte Grafikprobleme im Zusammenspiel mit Karten der Baureihe Radeon RX 400, welche nun ebenso der Vergangenheit angehören wie flackernde Menüs in "Sea of Thieves", die nur auf Rechnern mit mehreren GPUs auftraten. Die Aufnahmefunktion von Radeon ReLive Instant Replay soll nun auch dann funktionieren, wenn Desktop-Recording nicht aktiviert ist.

Offene Fehler
Wird "Rise of the Tomb Raider" im DirectX-12-Modus gestartet, kann das Spiel hängen bleiben. Bei "World of Tanks" gibt es kleinere Probleme mit den Bodentexturen und "The Witcher 3: Wild Hunt" kann ins Stottern geraten. Werden in CrossFire-Konfigurationen vier GPUs kombiniert, neigen einige DirectX-9-Applikationen zu Instabilitäten, die auch das Betriebssystem zum Absturz bringen können. Werden Spiele im randlosen Vollbildmodus ausgeführt, zeigt Radeon Overlay mitunter nicht alle Optionen an. Beim Update der Radeon Software geht zuweilen die Eyefinity-Konfiguration verloren und das Abspielen von Netflix im Webbrowser kann Probleme machen, wenn mehrere GPUs der Baureihen Radeon RX 400 oder Radeon RX 500 im Rechner stecken. Bleibt noch ein alter Bekannter: "Destiny 2" leidet nach längerer Spielzeit unter sehr langen Ladezeiten.

Unterstützte Hard- und Software
Die optionale Radeon Software Adrenalin Edition 18.4.1 richtet sich an alle Nutzer mit diskreten GPUs ab der Baureihe Radeon HD 7700 (Desktop) bzw. Radeon HD 7700M (Mobil). Seine APUs spart AMD, wie bei den meisten als "optional" gekennzeichneten Treibern, auch diesmal aus. Als Betriebssysteme werden Windows 10 und 7 unterstützt, wobei es für die Modelle der RX-Serie lediglich 64-Bit-Treiber gibt. Offiziell empfohlen wird weiterhin die Anfang Februar veröffentlichte Radeon Software Adrenalin Edition 18.2.1, welche auch die meisten APUs abdeckt.

Und was ist mit "Raven Ridge"?
Für seine Desktop-APUs Ryzen 5 2400G und Ryzen 3 2200G bietet AMD eine spezielle Radeon Software für Ryzen Desktop Prozessoren mit Radeon Vega Grafik an, welche die Versionsnummer 17.40.3701 trägt. Und das überrascht, denn diese Nummer entspricht noch der Entwicklungsschiene der Radeon Software Crimson ReLive Edition 17.11.2 (Version 17.40.2511) und nicht der aktuellen Radeon Software Adrenalin Edition 18.4.1 (Version 18.10.01.05). Den "Raven Ridge"-Treiber gibt es ausschließlich für Windows 10 64-Bit.

Download: AMD Radeon Software Adrenalin Edition 18.4.1