Updates für alle Node.js-Versionen

Wie bereits vor rund zwei Wochen angekündigt, sind nun Maintenance-Updates für alle Versionen von Node.js erschienen. Im Fokus von v4.8.4 (Maintenance), v6.11.1 (LTS), v7.10.1 (Current) und v8.1.4 (Current) stehen zwei Security-Fixes. So wurden einerseits V8-Snapshots deaktivert, da aktuell der in den Snapshots eingebettete Hashseed für alle Binary-Ausführungen gleich ist und so einen Collision-Angriff bzw. einen Denial-of-Service-Angriff ermöglicht. Andererseits bringen die Updates einen Fix für die Schwachstelle CVE-2017-1000381. Dazu heißt es im Node-Blog:

The c-ares function ares_parse_naptr_reply(), which is used for parsing NAPTR responses, could be triggered to read memory outside of the given input buffer if the passed in DNS response packet was crafted in a particular way. The patch checks that there is enough data for the required elements of an NAPTR record […] before processing a record.

Alle Informationen zu den neuen Versionen bieten die jeweiligen Blogposts im Node-Blog:

• Node v8.1.4
• Node v.7.10.1
• Node v6.11.1
• Node v4.8.4

Dort stehen die neuen Node-Versionen auch zur Installation bereit.

Visual Studio Code 1.14: Support für TypeScript 2.14 und automatische Code-Einrückung

Dem monatlichen Releasezyklus treu bleibend hat das Visual Studio Code Team um Erich Gamma und Dirk Bäumler (Interview mit Gamma & Bäumer) Version 1.14 der des Code-Editors veröffentlicht. Zu den interessantesten Neuerungen der Open-Source-IDE zählt ein Auto-Indentation-Feature. Dadurch wird Code in Microsofts Cross Platform Code Editor automatisch eingerückt. Die automatische Einrückung soll sowohl beim Verschieben als auch beim Copy-Pasten von Codezeilen funktionieren und besonders für StackOverflow-Vielnutzer interessant sein. Das Feature ist in den Default-Einstellungen von Visual Studio Code aktuell ausgeschaltet, kann aber durch Hinzufügen des Settings editor.autoIndent in den Editor aktiviert werden.

Weitere Verbesserungen und neue Features: eine erweiterte Command Palette für die Workbench, ein neues Tasks-Menü, ein neues Review-Pane für den Diff Editor, das Debugging von Angluar-Clients in VS Code, eine Reimplementierung des Integrated Terminal und Previews auf den 64-Bit-Build von VS Code für Windows sowie sogenannte Multi Root Workspaces. Ebenso neu ist die Unterstützung von Refactoring für JavaScript- und TypeScript-Code. Zunächst beschränkt sich das Refactoring auf die Konvertierung von JavaScript ECMAScript-5-Funktionen in ECMAScript-6-Klassen. Und dank der Anpassung des Releasezyklus von TypeScript an den VS Code Turnus hat die neue Version auch Support für TypeScript 2.4 an Bord. Alle Details gibt es in den umfangreichen Release Notes.

Schwachstellen in mehreren TYPO3-Extensions gefunden

Bei gleich vier TYPO3-Extensions sind Schwachstellen gefunden worden, die Angreifern etwa Remote Code Execution und SQL Injection ermöglichen. Betroffen sind die Extensions „Maag Sendmail“ (maag_sendmail), „AH Sendmail“ (ah_sendmail), „PHPMailer“ (bb_phpmailer) und „Content Rating Extbase“ (content_rating_extbase). Während für letztere ein Update via den TYPO3 Extension Manager zur Verfügung steht, werden die anderen Extensions schon länger nicht mehr maintained und sollten daher aus den genutzten TYPO3-Installationen deinstalliert und gelöscht werden. Alle Informationen zu den Schwachstellen bieten die zugehörigen Blogposts:

• Remote Code Execution in extension (Maag Sendmail“ (maag_sendmail)
• Remote Code Execution in extension “AH Sendmail” (ah_sendmail)
• Remote Code Execution in extension “PHPMailer” (bb_phpmailer)
• SQL Injection in extension “Content Rating Extbase” (content_rating_extbase)

Weitere Tipps zur Sicherheit von TYPO3-Installation bietet zudem der TYPO3 Security Guide.

Google verbietet Platzierung von Werbung in Pop-ups und Pop-unders

Viele User finden aufdringliche Werbeanzeigen nervig. Meist sind es als Pop-up platzierte Anzeigen, die beim User auf Unwillen stoßen, doch auch sogenannte Pop-unders – also Werbeanzeigen, die hinter dem Browserfenster geladen und bei dessen Minimieren sichtbar werden – bieten keine gute User Experience. Darum hat Google jetzt seine Policy bezüglich Werbeanzeigen angepasst. Künftig sind keine Google-Ads-Anzeigen mehr als Pop-up oder Pop-under erlaubt. Mehr Informationen dazu bietet ein Blogpost im Google-Adsense-Blog.

.NET Framework Security und Quality Rollup im Juli 2017

Microsofts Visual Studio Team hat ein neues Security- und Quality-Rollup sowie ein Security Only Update für das .NET Framework veröffentlicht. Besagtes Rollup gibt es für Windows 10 und Windows Server 2016. Das Security Update wird für nur Windows Server 2016 bereitgestellt und soll unter anderem ein Denial-of-Service-Problem beheben, das aufkommt, wenn die Microsoft Common Object Runtime Library Web Requests nicht entsprechend verarbeitet. Die Security Updates sind in das monatliche Windows 10 Update integriert. Weitere Infos zu den Neuerungen des Juli-2017-Rollups bietet der Post auf dem .NET-Blog.