April 2018 – Seite 2

Android P: Navigationstasten könnten durch Gesten ersetzt werden

Die Idee dafür dürfte Google sich vom iPhone X abgeschaut haben. Bereits 2009 hatte dieses Bedienkonzept Palm mit WebOS eingeführt. Xiaomi und OnePlus unterstützen seit kurzem ebenfalls Vollbildgesten.

Android P könnte wie das Apple iPhone X durch die Integration von Touchgesten auf die Navigationsleiste oder Teile davon verzichten. Darauf deutet ein von Google veröffentlichter Screenshot im Rahmen eines Posts zu DNS, den der Android-Entwickler allerdings inzwischen entfernt hat, nachdem eine 9to5Google darüber berichtete und eine Diskussion auf Reddit startete und das neue Feature so publik wurde.

Der veröffentlichte Screenshot zeigt eine mittlere Home-Taste, die nicht mehr durch einen Kreis mit einer Umrandung symbolisiert wird, sondern durch einen abgerundeten Querstrich. Einen Multitasking-Button gibt es auf dem Screenshot nicht. Letzterer könnte durch eine Geste ersetzt werden.

Gestensteuerung bereits 2009 unter WebOS

Gesten als Ersatz für Navigationselemente zu nutzen ist kein neues Konzept. Bereits 2009 führte Palm für WebOS eine solche Steuerung ein. Apple hat diese Idee aufgegriffen und beim iPhone X, das über keinen Home-Button mehr verfügt, umgesetzt. Von WebOS dürften auch andere Teile von iOS stammen, nachdem 2010 ein wichtiger WebOS-Designer zu Apple wechselte.

Mit OnePlus und Xiaomi gibt es auch zwei Hersteller aus dem Android-Lager, die die Navigationsleiste sogar komplett durch eine Gestensteuerung ersetzen. Soweit will Google bei Android P offenbar noch nicht gehen. Schließlich deutet der Screenshot weiterhin auf eine Navigationsleiste hin.

Xiaomi informiert den Nutzer durch Animationen über die neue Funktion. Diese werden unter Einstellungen – Vollbildanzeige – Vollbild-Gesten angezeigt. Auch OnePlus hat inzwischen Animationen integriert und stellt die Vollbildgesten unter Einstellungen – Tasten – Navigation bar & gesture vor.

Bereits nach kurzer Eingewöhnungszeit hat man sich an die Vollbild-Gesten gewöhnt und darf sich über den gewonnen Raum für Inhalte freuen. Schöner sieht die Oberfläche ebenfalls aus, da störende Steuerungselemente unsichtbar sind.

ZO04XL akkus für HP ZBook Studio G3 Mobile Workstation
54Y8922 AcBel PCE008 Netzteile/Adapters
88796 akkus für Bose Soundlink Mini 2 Pack
TM9HP akkus für Dell Latitude 13 7350 Ultrabook
PW116 R224M RM112 Dell Optiplex 760 780 960 980 SFF netzteile Netzteile/Adapters
300769-003 akkus für Bose Sounddock Portable Digital Music System Pack

Sony stellt Flaggschiff-Smartphone Xperia XZ2 Premium vor

Seine Dual-Hauptkamera erreicht eine Lichtempfindlichkeit von ISO 51.200. Sony kombiniert eine 19-Megapixel-Kamera mit einer Schwarz-Weiß-Kamera mit 12 Megapixeln. Zur weiteren Ausstattung gehören Qualcomms Snapdragon 845, 6 GByte RAM und 64 GByte erweiterbarer interner Speicher.

Sony hat weniger als zwei Monate nach dem Mobile World Congress die dort vorgestellte Produktreihe Xperia XZ2 um eine weitere Variante erweitert. Das Xperia XZ2 Premium soll vor allem durch neue Kamerafeatures überzeugen. Unter anderem bewirbt Sony die außergewöhnlich hohe Lichtempfindlichkeit von ISO 51.200 für Fotos. Videos soll das Smartphone mit einer Lichtempfindlichkeit von bis zu ISO 12.800 aufzeichnen. Beides sind laut Sony neue Höchstwerte im Smartphone-Segment.

Die hohen ISO-Werte sollen vor allem Aufnahmen bei schlechten Lichtverhältnissen ermöglichen, wie sie nach Herstellerangaben bisher nur Spiegelreflexkameras vorbehalten waren – wahrscheinlich jedoch auch mit den üblichen Qualitätseinbußen bei extrem hohen ISO-Werten.

Bei der Hauptkamera setzt Sony wie viele andere Anbieter auch auf ein Dual-System. Einem 1/2,3″ großen 19-Megapixel-Sensor vom Typ Exmor RS mit 25-Millimeter-Optik stellt Sony einen ebenfalls 1/2,3″ großen Schwarz-Weiß-Sensor mit Blende F1.6 und 12 Megapixeln zur Seite. Ein AUBE genannter Bildprozessor unterstützt zudem Superzeitlupenaufnahmen mit 960 Bildern pro Sekunde und einen 8-fachen digitalen Zoom.

Zudem nimmt die Kamera HDR-Fotos und 4K-HDR-Videos auf. Sie lassen sich Sony zufolge optimal auf dem 5,8 Zoll großen HDR-Display des XZ2 Premium wiedergeben. Es löst 3840 mal 2160 Pixel auf – verfügt jedoch nicht über besonders schmale Ränder. Als Folge hält Sony auch am üblichen Seitenverhältnis von 16:9 fest.

Bei der Recheneinheit setzt Sony auf Qualcomms aktuelles Premium-SoC Snapdragon 845. Es greift auf 6 GByte RAM zu. Der 64 GByte große interne Speicher lässt sich mit MicroSD-Speicherkarten um bis zu 400 GByte erweitern. Der 3540 mAh große Akku wiederum unterstützt Qualcomms Schnellladetechnik Quick Charge 3.0 und auch drahtloses Laden.

Das 158 mal 80 mal 11,9 Millimeter große Gehäuse ist wahlweise in den Farben Chrome Black und Chrome Silver erhältlich. Es ist nach IP65/68 gegen Spritzwasser geschützt. Zudem setzt Sony auf Gorilla Glas 5 von Corning als Displayschutz.

Mit an Bord sind auch LTE (Cat. 18), GPS, WLAN, Bluetooth 5.0, NFC und eine USB-3.1-Schnittstelle vom Typ-C, die auch als Ladeanschluss und Kopfhöreranschluss dient. Ein Adapter auf 3,5 Millimeter Klinke liegt dem Smartphone bei. Auf der Gehäuserückseite befindet sich zudem unterhalb der Kamera ein Fingerabdruckscanner. Ins 236 Gramm schwere Gehäuse verbaut Sony zudem Stereo-Lautsprecher.

Zu Preisen machte Sony bisher noch keine Angaben. Weltweit soll das Xperia XZ2 Premium jedoch im Sommer in den Handel kommen. Sony stattet es ab Werk mit Android 8.0 Oreo aus. Damit sollte auch der Support für Project Treble gewährleistet sein, der künftige schnellere und einfachere OS-Updates verspricht.

Android-Updates: Fehlende Sicherheitsupdates auch bei LineageOS

Nicht nur Smartphonehersteller integrieren nicht alle von Google veröffentlichte Sicherheitspatches, sondern auch Custom-Rom-Entwickler vergessen einige Updates.

Nach einer Analyse des von SRLabs entwickelten Tools SnoopSnitch, das im Google Play kostenlos zur Verfügung steht, sind von fehlenden Sicherheitspatches nicht nur Smartphones bekannter Hersteller betroffen, sondern auch alternative Android-Versionen wie LineageOS.

Auf dem LG G3 mit aktuellem LineageOS 14.1 sind laut Systeminfo die Android-Sicherheitspatches vom 5. März 2018 integriert. Laut SnoopSnitch fehlen aber mindestens drei Patches. Es könnten aber noch mehr sein, denn in 13 Fällen liefert das Tool kein eindeutiges Ergebnis.

Auch beim Google Nexus 5 mit LineageOS 14.1 und installierten Sicherheitspatches vom 5. März 2018 ermittelt SnoopSnitch einen fehlenden Sicherheitspatch. Bei 13 Überprüfungen ist sich das Tool nicht sicher, ob die Patches integriert sind. Der Parameter „After claimed patch level“ gibt an, wie viele Sicherheitslücken nach dem aktuell im Telefon installierten Sicherheitspatch-Level beseitigt wurden. Beim Nexus 5 mit Patch-Level 5. Juni 2017 sind bis jetzt 47 neue Lücken hinzugekommen.

Während Smartphonehersteller wie Google und Samsung für einige Geräte drei Jahre lang mit Sicherheitsupdates versorgen, – bei Samsungs-Enterprise-Geräten sind es sogar bis zu viere Jahre -, geben sich andere Hersteller deutliche weniger Mühe. Das Sony Xperia Z3 Compact hat den letzten Sicherheitspatch im Mai 2016 erhalten. Dementsprechend liefert SnoopSnitch für das Z3 Compact 126 ungepatchte Sicherheitslücken auf. Bei 10 ist sich das Tool nicht sicher, ob sie korrekt gepatcht wurde.

Nun man mag einwenden, dass das Xperia Z3 Compact auch schon 2014erschienen ist und nach vier Jahren mit keinen Updates mehr zu rechnen ist. Allerdings gibt es auch andere Hersteller die ihre Telefone deutlich länger mit Updates versorgen. So hat beispielsweise das im selben Jahr erschienenen Samsung Galaxy S5 im letzten Monat noch eine Sicherheitsaktualisierung erhalten.

Gefahr durch fehlende Sicherheitspatches

Obwohl der Entwickler von SnoopSnitch und Gründer der Sicherheitsfirma Karsten Nohl auf die Bedeutung monatlicher Sicherheitspatches hinweist, sagt der Sicherheitsforscher aber auch, dass allein ein fehlender Patch bei weitem nicht ausreicht, um ein Android-Telefon aus der Ferne anzugreifen. Moderne Betriebssysteme verfügen über mehrere Sicherheitsbarrieren wie ASLR und Sandboxing, die in der Regel durchbrochen werden müssen, um ein Telefon aus der Ferne zu hacken. Aufgrund dieser Komplexität reichen ein paar fehlende Patches in der Regel nicht aus, damit ein Hacker ein Android-Gerät aus der Ferne kompromittieren kann. Stattdessen müssen für einen erfolgreichen Hack mehrere Bugs aneinander gekettet werden. Erst kürzlich hatte ein Sicherheitsforscher sechs verschiedene Apps nötig, die insgesamt 11 Schwachstellen ausnutzten, um Zugriff auf ein Galaxy S8 zu bekommen.

Laut Nohl haben auch Cyberkriminelle das erhöhte Sicherheitslevel von Android erkannt. Statt ein Android-Smartphone zu hacken, konzentrieren sie sich stattdessen auf Social-Engineering, um Anwender zur Installation von Schadsoftware zu verleiten und diesen dann übermäßige Berechtigungen zu erteilen. Tatsächlich wurden laut Nohl im letzten Jahr kaum kriminelle Hacking-Aktivitäten rund um Android beobachtet.

Somit sind die nicht gepatchte Sicherheitslücken lediglich für staatlich geförderte und andere hartnäckige Hacker interessant. Diese greifen zwar typischerweise auf „Zero-Day“-Schwachstellen zurück, so Nohl, doch können sie sich aber auch auf bekannte Fehler konzentrieren, um effektive Exploit-Ketten zu entwickeln. Das Patchen dieser bekannten Fehler erhöht somit den Aufwand für sehr entschlossene Hacker.

88796 akkus für Bose Soundlink Mini 2 Pack
63FK6 akkus für Dell XPS 18 1810 1820
404600 akkus für Bose SOUNDLINK I II III
L16D1P32 akkus für Lenovo Tablet Smart Phone
063404 akkus für BOSE SOUNDLINK Mini I serie
061384 061385 akkus für BOSE SOUNDLINK Mini serie
235W PW116 R224M H235P-00 Dell Optiplex 760 780 SFF netzteile Netzteile/Adapters

AMD Ryzen: Zweite Generation der Desktop-Prozessoren vorbestellbar

Trotz Leistungssteigerung fallen die Startpreise bei Ryzen 2000 erheblich günstiger aus und bringen Intel unter Druck. Die neuen Ryzen 5 und Ryzen 7 stellen 6 beziehungsweise 8 Cores bereit. Zusätzliche Vorteile verspricht der neue X470-Chipsatz.

AMD macht die zweite Generation seiner Ryzen-Desktop-Prozessoren weltweit verfügbar. Vorbestellungen im Onlinehandel sollen schon heute möglich sein, die Auslieferung aber erst ab dem 19. April erfolgen.

Zwei Modelle warten mit acht Rechenkernen und 16 Threads, zwei weitere mit 6 Kernen und 12 Threads auf. Über eine integrierte Grafik verfügen die neuen CPUs nicht. AMD bewirbt sie mit stärkerer Leistung und innovativen Funktionen, wodurch sie sich insbesondere für PC-Gamer, Entwickler und Hardware-Enthusiasten eignen sollen, die ohnehin eine dedizierte Grafikkarte bevorzugen. Anders als bei den Vorgängern kommt die maximale Boost-Taktrate jetzt allen Cores zugute.

Die Startpreise der Ryzen-2000-Modelle fallen erheblich niedriger aus im Vergleich zu den Preisen, mit denen die Ryzen-1000-Modelle eingeführt wurden. Für das Spitzenmodell Ryzen 7 2700X mit 8 Cores / 16 Threads setzt der Hersteller 319 Euro an. Er nennt eine TDP von 105 Watt sowie eine Basis-Taktrate von 3,7 GHz (Boost 4,3 GHz). Ryzen 7 2700 mit derselben Zahl von Cores / Threads kostet 289 Euro – kommt aber mit einer TDP von 65 Watt aus, während die Taktraten abgesenkt sind auf 3,2 beziehungsweise 4,1 GHZ.

Die günstigeren Ryzen-5-Modelle stellen jeweils 6 Cores und 12 Threads bereit. Ryzen 5 2600X hat eine TDP von 95 Watt und bietet für 225 Euro Taktraten von 3,6 beziehungsweise 4,2 GHz. Ryzen 5 2600 genügt wieder eine TDP von 65 Watt, taktet mit 3,4 / 3,9 GHz und geht für 195 Euro an den Start.

Die neuen Prozessoren sind wie ihre Vorgänger für den Sockel AM4 gedacht. AMD führt gleichzeitig das neue X470-Chipset ein, das nicht zwingend erforderlich ist, aber weitere Vorteile bietet. Das Chipset integriert außerdem die StoreMI-Technologie zur Laufwerksbeschleunigung. Das vereint laut AMD die Geschwindigkeit der SSD mit der Kapazität der Festplatte in einem einzigen und leicht verwaltbaren Laufwerk. Mainboards mit dem X470-Chipsatz sind von ASRock, Asus, Gigabyte und MSI erhältlich.

Die als Boxed-Version ausgelieferten Prozessoren kommen mit Kühlern der AMD-Wraith-Serie, deren Ausführung vom Prozessormodell abhängig ist. Die Ryzen-7-Modelle bekommen mit LEDs versehene Kühllösungen mit auf den Weg, während die Ryzen-5-Modelle mit Wraith Spire oder Wraith Stealth Kühler ohne Lichteffekte erhalten.

Die Ryzen-Desktop-CPU der zweiten Generation wurde mit dem Codenamen Zen+ entwickelt. AMD hat dabei die Architektur der Ryzen-Prozessoren optimiert, aber nicht grundlegend geändert. Zu ihrer gesteigerten Leistung soll auch die Herstellung im 12-Nanometer-Verfahren beitragen.

Samsung Galaxy S9 mit Dual-Kamera

Auf der Webseite der chinesischen Zulassungsbehörde sind Daten zu einem bisher unbekannten Samsung-Smartphone aufgetaucht. Das Modell SM-G8850 ist laut Datenblatt ähnlich wie das Galaxy S9 ausgestattet, verfügt aber über eine Dual-Kamera.

Auf der Webseite der chinesischen Telekommunikationszulassungsbehörde TENAA sind Daten zu einem dem Galaxy S9 sehr ähnlichen Smartphone aufgetaucht. Anders als das bisher veröffentlichte Modell verfügt die mit der Produktbezeichnung SM-G8850 geführte Variante über eine Dual-Kamera, die Samsung derzeit nur für das Galaxy S9+ verwendet.

Einige Medien spekulieren, dass es sich dabei um eine Mini- oder Lite-Version des Galaxy S9 handeln könnte. Dagegen sprechen allerdings die Spezifikationen. Mit den Abmessungen von 147,7 x 68,7 x 8,4 mm ist das G8850 in etwa so groß wie das reguläre Galaxy S9, das mit 8,5 mm etwas dicker ist aber ansonsten die gleichen Abmessungen aufweist.

Gegen die Theorie eines Lite-Modells spricht die Verwendung eines AMOLED-Displays, das mit einer Größe von 5,8 Zoll und einer Auflösung von 2960 x 1440 Pixel über die identischen Leistungsmerkmale der im Standard-S9 verwendeten Variante verfügt. Der Prozessortyp wird in dem Datenblatt zwar nicht genannt. Es soll sich aber um einen 8-Kern-Chip mit einer maximalen Taktfreuquenz von 2,803 GHz handeln. Das deutet daraufhin, dass es sich um einen Snapdragon 845 handeln könnte, den Samsung zum Beispiel in den für die USA vorgesehenen S9-Modellen verwendet. Außerdem wird das SM-G8850 mit 4 und 6 GByte RAM erhältlich sein, was ebenfalls gegen eine Lite-Variante spricht. Auch die Akku-Kapazität entspricht mit 3000 mAh der des Standard-Modells.

Nach den Spezifikationen zu urteilen, handelt es sich bei dem SM-G8850 also um ein gewöhnliches Galaxy S9, das im Gegensatz zur bisher verfügbaren Variante allerdings über eine Dual-Kamera verfügt und mit mehr Arbeitsspeicher ausgestattet ist. Im Unterschied zum Galaxy S9+ befindet sich die Dual-Kamera jedoch nicht in der Mitte im oberen Bereich der Rückseite, sondern am Rand. Der Fingerabdrucksensor bleibt hingegen in der Mitte, sodass ein versehentliche Berührung der Kameralinse wie bei den bisherigen Modellen nahezu ausgeschlossen ist.

SM-G8850: Galaxy S9 für China?

Sollten die Daten, die die chinesische Zulassungsbehörde für das SM-G8850 veröffentlicht hat, zutreffend sein, könnte es sich bei dem Modell über ein verbessertes Galaxy S9 für den chinesischen Markt handeln. Hier hat Samsung derzeit einen schweren Stand. Laut Untersuchungen von Strategy Analyst liegt der Marktanteil von Samsung-Smartphones im vierten Quartal 2017 bei unter einem Prozent. Damit belegt Samsung nur noch den 12. Rang. Das ist dauerhaft für den weltgrößten Smartphonehersteller sicher kein zufriedenstellender Zustand.

Windows: Sicherheitsupdates wieder ohne Einschränkung

Microsoft setzt für die Updates nicht mehr einen bestimmten Registry-Schlüssel voraus. Mit ihm mussten seit Januar die Anbieter von Antivirus-Software die Kompatibilität ihrer Produkte mit Meltdown- und Spectre-Updates bestätigen.

Antivirus-Software kann Windows-Updates nicht mehr verhindern. Die Anbieter von Sicherheitssoftware für Windows müssen nicht mehr einen bestimmten Registry-Schlüssel setzen, um die Kompatibilität ihrer Produkte mit Meltdown- und Spectre-Patches zu bestätigen. Damit nimmt Microsoft eine mit dem Januar-Patchday eingeführte Maßnahme zurück, die dazu führen konnte, dass Nutzer keinerlei Sicherheitsupdates mehr erhielten.

Microsoft hatte damit auf das Problem reagiert, dass einige Sicherheitsprodukte Abstürze beziehungsweise einen Blue Screen of Death (BSOD) auslösen konnten, wenn sie nicht an Änderungen angepasst waren, die dem Schutz vor den CPU-Schwachstellen Meltdown und Spectre dienten. Um Anwender vor nicht mehr nutzbaren PCs zu bewahren, schränkte Microsoft bei unbestätigter Kompatibilität von eingesetzter Antivirus-Software daher die Verteilung von Sicherheitspatches über Windows Update ein. Von der Maßnahme waren darüber hinaus die Windows Server Update Services (WSUS) und System Center Configuration Manager (SCCM) betroffen.

Microsoft wies aber damals schon darauf hin, dass es Updates bei fehlendem Registry-Schlüssel nicht unbegrenzt zurückhalten wollte. Sobald man sich sicher sei, dass die große Mehrheit der Kunden nicht von Abstürzen nach Installation der Sicherheitsupdates betroffen sei, werde man die Sperre zurücknehmen.

Inzwischen haben tatsächlich Antivirus-Anbieter ihre Produkte aktualisiert, während zugleich Microsofts Patches für die CPU-Lücken optimiert wurden. Der Softwarekonzern kam daher offenbar zum Schluss, dass das Problem inzwischen entschärft war. Wie Bleeping Computer berichtet, entfernte es daraufhin schon im März die Registry-Schlüssel-Prüfung für Windows 10.

Microsoft ließ jetzt außerdem wissen, dass der Schlüssel auch für die weiteren Windows-Versionen 7, 8, 8.1, Server 2008 sowie Windows Server 2012 nicht mehr obligatorisch ist. „Windows Update und WSUS werden dieses Update den betreffenden Betriebssystemen unabhängig von Vorhandensein oder Wert des Registry-Eintrags ‚HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat\cadca5fe-87d3-4b96-b7fb-a231484277cc‘ anbieten“, merkte der Softwarehersteller zu den Updates KB4093114 und KB4093118 an. „Diese Änderung erfolgte, um Nutzerdaten zu schützen.“

Windows 10 1803 Spring Creators Update verzögert sich

Angeblich haben Insider-Anwender einen Bug gefunden, den Microsoft als so schwerwiegend erachtet und die Auslieferung des Spring Creators Update verzögert.

Laut Windows Central verzögert ein schwerwiegender Fehler im aktuellen Build 17133.1 des Spring Creators Updates die Auslieferung, die für gestern Abend erwartet worden war. Den Bug hätten Insider-Nutzer am Wochenende an Microsoft berichtet. Um welchen Fehler es sich dabei handelt, ist unklar. Im ZDNet-Test mit einem Xiaomi-Notebook verhält sich Windows 10 1803 Spring Creators Update unauffällig. Womöglich sind nur bestimmte Geräte von dem Fehler betroffen.

Inzwischen liefert Microsoft auch eine Aktualisierung (KB4100375) für das Spring Creators Update aus. Dieses erhöht die Build-Nummer auf 17133.73 und behebt einige Fehler. Dazu gehört auch ein Sicherheitsproblem mit dem PDF-Reader im Microsoft-Browser Edge. Auch ein Bug im Internet Explorer bei der Erkennung benutzerdefinierter Steuerelemente behebt die Aktualisierung. Zudem enthält das Update Sicherheitspatches für Internet Explorer, Microsoft Edge, Microsoft Scripting Engine, Windows Kernel, Microsoft Grafikkomponente, Windows Server, Windows Kryptographie und Windows Datacenter Networking.

Das Update KB4100375 stellt Microsoft allerdings nur Nutzern zur Verfügung, deren Betriebssystemeinstellung auf Fast, Slow oder Release Preview konfiguriert ist. Anwender, die Windows 10 1803 Spring Creators Update installiert haben und nicht am Insider-Programm teilnehmen, erhalten die Aktualisierung also nicht. Offenbar will Microsoft dieses Update erst durch die zahlreichen Insider-Nutzer testen lassen und erst dann ausliefern, wenn es das Update für stabil erachtet. Allerdings lässt sich das UpdateKB4100375 aus dem Windows-Update-Katalog herunterladen (Download: 32-Bit, 64-Bit) und manuell installieren.

Microsofts Outlook-Update schließt nicht alle Sicherheitslecks

Microsoft hat zusammen mit dem Patch-Tuesday ein Leck in Outlook behoben, das seit über einem Jahr bekannt ist. Doch nicht alle Angriffsvektoren scheinen ausgeräumt zu sein.

In dem Patch-Tuesday hat Microsoft ein Outlook-Leck behoben, das der Hersteller mit „wichtig“ eingestuft hat. Wenn Nutzer eine Vorschau eines Rich Text Formates (RTF) in einer Mail mit einer remote gehosteten OLE-Objekt aufrufen. OLE steht für Object Linking and Embedding.

Der Fehler wurde von Will Dormann, einem Analysten von CERT/CC im November 2016 entdeckt und nun geschlossen. Allerdings warnt Will Dormann, dass Microsoft damit nicht alle Angriffsvektoren geschlossen hat. Der Sicherheits-Analyst rät Admins, das Update zu installieren, jedoch auch noch weitere Vorkehrungen zu treffen.

Das Leck entsteht durch die Behandlung Outlooks von RTF-Mails mit OLE-Objekten, die auf einem remote SMB (Server Message Block) gehostet werden. SMB ist ein File-Sharing-Protokoll für Netzwerke. Diese SMB-Server können das Authentifizierungsprotokoll von Microsofts NT LAN Manager (NTLM) nutzen, um eine Verbindung zwischen einem Windows-Client und einem SMB-Server herzustellen.
Dormann hatte erkannt, dass Microsoft bei SMB-Verbindungen nicht die gleichen Beschränkungen beim Laden von Inhalten vorgibt, wie wenn der Inhalt aus dem Netz geladen wird. So werden beispielsweise Bilder aus dem Netz nicht automatisch geladen, weil dadurch zum Beispiel IP-Adresse und andere Metadaten wie zum Beispiel der Zeitpunkt des Betrachtens der Mail in die Hände von Unbefugten gelangen könnten.

Doch das wird beim Laden eines Objektes von einem SMB-Server nicht verhindert. In der Folge, so warnt Dormann, stellt beim Preview einer Mail der PC automatisch eine Verbindung zu einem bösartigen Server her und tauscht mit diesem die IP Adresse, den Domain-Namen, Name, Nutzernae, Host und den SMB-Session Key aus in Form eines NTLM-Hashwertes über SMB aus. Wie verwundbar ein System ist, hängt dann unter anderem davon ab, wie stark ein Passwort ist.

Einfachere Passwörter konnte Dormann innerhalb weniger Sekunden entschlüsseln. Komplexere Passwörter können in etwa einer Viertelstunde geknackt werden. Kombinationen mit Sonderzeichen, Groß- und Kleinschreibung, Zahlen und Buchstaben können bei einem Standard-System bis zu einem Jahr in Anspruch nehmen.

Laut Dormann soll aber der Patch für CVE-2018-0950 nicht alle Angriffe verhindern. So könnten Angreifer einen Universal-Naming-Convention-Link (UNC) schicken, der mit ‚\\‘ beginnt. Ein Angreifer kann sein Opfer damit an einen bösartigen SMB-Server weiterleiten. Allerdings wird diese Verbindung nicht automatisch im Preview hergestellt, sondern das Opfer muss zunächst auf den Link klicken.

Daher sollten Administratoren den Microsoft-Patch installieren und auch bestimmte TCP- und UDP-Ports für SMB Sessions blockieren. Zudem sollte das NTLM Single sign-on zu externen Quellen verhindert werden. Und Nutzer sollten längere und komplexere Passwörter verwenden.

Nachdem dieser Fehler jetzt bekannt ist, steige laut Microsoft auch die Wahrscheinlichkeit, dass er ausgenutzt werde. Insgesamt hat Microsoft 63 Verwundbarkeiten geschlossen. 22 davon stuft der Anbieter als kritisch ein.

Xiaomi Mi Notebook Pro mit Quad-Core-CPU für 734 Euro erhältlich

Das Angebot gilt für das Einstiegsmodell mit Core i5-8250U, 8 GByte RAM und 256 GByte NVMe-SSD. Für eine schnelle Lieferung sorgt der Versand aus einem EU-Warenlager.

Das im September 2017 vorgestellten 15,6-Zoll-Notebook Xiaomi Mi Notebook Pro bietet Gearbest zu einem Preis von 734,13 Euro. Diesen Preis erhält man, wenn im Warenkorb der Rabattcode „MPI5EUDE“ angewendet wird. Das Angebot bezieht sich auf das Einstiegsmodell mit Core i5-8250U (1,6 – 3,4 GHz) und 8 GByte RAM.

Das Gerät gab es zwar schon einmal günstiger, doch bezieht sich das Angebot auf eine Variante aus dem EU-Warenlager. Damit dauert die Lieferung nicht bis zu 28 Werktagen wie bei einem Versand aus China, sondern es vergehen nur noch 2 bis 5 Werktage bis das Gerät beim Kunden ankommt. Auch ist die Garantieabwicklung deutlich einfacher, da man das Notebook im Garantiefall an das EU-Warenlager versendet.

Als Massenspeicher verwendet Xiaomi wie schon bei dem 13,3-Zoll-Modell schnelle NVMe-SSDs von Samsung. Zudem steht ein zusätzlicher M.2-Slot für NVMe-SSDs zur Verfügung. Neben der integrierten Intel-Grafik ist das Notebook außerdem mit einer Geforce MX150 mit 2 GByte Speicher ausgestattet.

An Schnittstellen stehen jeweils zwei USB-C und USB-3.0-, ein HDMI-, ein SDCard- sowie ein 3,5-mm-Audio-Port zur Verfügung. Die USB-C-Buchsen unterstützen kein Thunderbolt. Einer der Typ-C-Anschlüsse eignet sich für den Anschluss eines externen Monitors.

Die Tastatur fällt gegenüber dem Pendant auf einem Macbook Pro um 19 Prozent größer aus. Die Tasten sind nach innen gewölbt, sodass man sie ergonomischer bedienen kann. Der Tastenhub beträgt 1,5 mm. Eine Hintergrundbeleuchtung ist vorhanden. Im Trackpad ist wie bei den neuen 13,3-Zoll-Modellen ein Fingerabdrucksensor integriert.

Das Gehäuse des 1,92 Kilogramm schweren Geräts besteht aus einer Magnesium-Aluminium-Legierung. Der 15,6-Zoll große IPS-Bildschirm löst mit 1920 x 1080 Pixel auf. Er wird von Gorilla-Glas 3 geschützt. An Funktechnik verfügt das Mi Notebook Pro 15.6 über Bluetooth 4.1 und 2×2-ac-WLAN. Der Akku bietet eine Kapazität von 60 Wattstunden.

Da die Notebooks des chinesischen Herstellers Xiaomi offiziell nicht in Deutschland angeboten werden, sind sie standardmäßig mit einer chinesischen Windows-Version vorinstalliert. Mit einem bootfähigen USB-Stick lässt sich Windows 10 in deutscher Sprache jedoch problemlos installieren. Da die Windows-10-Home-Lizenz im Gerät abgelegt ist, ist das Betriebssystem nach der Installation auch aktiviert. Fehlende Treiber können direkt bei Xiaomi heruntergeladen werden. Im Test ließ sich auch Linux auf dem Mi Notebook Pro installieren. Allerdings kann der Fingerabdrucksensor mangels Treiber nicht genutzt werden.

Anwender, die sich an dem amerikanischen Tastatur-Layout nicht stören, erhalten mit dem Xiaomi Mi Notebook Pro 15.6 ein hervorragend verarbeitetes, schönes und leistungsfähiges Windows-10-Gerät zu einem sehr attraktiven Preis.

Microsoft und AMD veröffentlichen Spectre-Patch

Die Microcode-Updates von AMD schützen auch ältere Prozessoren. Mainboard- und PC-Hersteller sollen sie mit aktualisierten BIOS-Versionen verteilen. Betroffene Anwender müssen außerdem das ergänzende Update ihres Betriebssystems einspielen.

AMD hat Microcode-Updates veröffentlicht, die vor der Spectre-Variante 2 schützen sollen. Schutz verspricht der Hersteller damit für seine aktuellen Ryzen-Produkte ebenso wie für ältere Prozessoren bis zurück zu Chips der 2011 eingeführten Bulldozer-Architektur.

Der Chiphersteller liefert den Patch an Mainboard- und PC-Hersteller, damit diese ihn in BIOS-Updates aufnehmen. Anwender müssen daher Ausschau halten, ob und wann diese Hersteller den Ball auffangen und eine aktualisierte BIOS-Version anbieten. Um sich tatsächlich zu schützen, müssen sie darüber hinaus das ergänzende Update ihres Betriebssystems einspielen.

AMD macht klar, dass ein von Microsoft ausgelieferter Patch für Windows-Nutzer unverzichtbar ist. „Diese Schutzvorkehrungen erfordern eine Kombination von Prozessor-Microcode-Updates von unseren OEM- und Mainboard-Partnern und dem Einsatz der derzeitigen und vollständig aktualisierten Version von Windows“, merkt AMD-CTO Mark Papermaster dazu an.

Von AMD angeratene Schutzmaßnahmen für Linux-Nutzer wurden bereits früher in diesem Jahr in Linux-Distributionen umgesetzt. Microsoft machte jetzt das Update KB4093112 für Windows 10 Version 1709 verfügbar, das unter anderem der Spectre-2-Schwachstelle (CVE-2017-5715) in AMD-Prozessoren gilt. Ein entsprechender Patch für Windows Server 2016 soll nach abschließenden Tests folgen.

Nähere Einzelheiten führt ein Whitepaper von AMD aus. Die Microcode-Updates führen insbesondere den Befehl Indirect Branch Prediction Barrier (IBPB) ein, der dann von Microsofts Patch unterstützt wird. Darüber hinaus baut AMD als weitere Befehle Indirect Branch Restricted Speculation (IBRS) sowie Single Thread Indirect Branch Predictor (STIBP) ein. Es rät jedoch derzeit von deren Nutzung zur „performanten Spectre-2-Abwehr“ ab, da offenbar mit zu großen Leistungseinbußen verbunden.