Notepad++-Updater installierte Malware

... und heise Video dazu:

http://www.youtube.com/watch?v=XwYPz4OPkdw
Zusammenfassung:
Kein Update machen(!), sondern Version 8.8.9 hier herunterladen und installieren: https://notepad-plus-plus.org/downloads/

--
Wenn du etwas so machst, wie du es seit zehn Jahren gemacht hast, dann sind die Chancen groß, dass du es falsch machst. (Charles Kettering)

> Notepad++-Updater
> installierte Malware
>
> ... und heise Video dazu:
>
> (Eingebettetes Video)
> Zusammenfassung:
> Kein Update machen(!), sondern Version 8.8.9 hier herunterladen und
> installieren:
> https://notepad-plus-plus.org/downloads/

Danke für den Hinweis.
Mein System zeigt folgende Info: Notepad++v8.8.9 (64bit)
Das Update wurde angekündigt, von der notepad-plus-plus.org-Seite heruntergeladen und "flott" installiert..
Das Risiko, sich ein nagendes Tierchen anzuschaffen, sind meistens Drittanbieterseiten (auch an sich seriöse) mit ihrer Cookieserei, außer den technisch notwendigen auch noch Analyse-, Info- und Werbezeugs (mit eingebettetem Schadcode) zuzulassen. Da hört bei mir die Freundschaft auf, denn eine saubere PC-Weste ist für mich als bloody User ein Versprechen.

--
Vernetzte Treffgrüße ausTübingen
Reinhard

Historisches Stadtwappen.
Das amtliche Wappen für
den Schriftverkehr kann man
in der Pfeife rauchen, es erspart
halt die Kosten für den Farbdruck.

------------------------------------------------------------------------
Notiz:
Ich verwende auf dieser Website allein aus Gründen
des Leseflusses das generische Maskulinum (oder "-ende")
und lege Wert darauf, dass alle Inhalte genderunabhängig
zu verstehen sind.

> Das Risiko, sich ein nagendes Tierchen anzuschaffen, sind meistens
> Drittanbieterseiten (auch an sich seriöse) mit ihrer Cookieserei, außer
> den technisch notwendigen auch noch Analyse-, Info- und Werbezeugs (mit
> eingebettetem Schadcode) zuzulassen. Da hört bei mir die Freundschaft
> auf

Hochinteressant, was so manch informationsbemangelter Nutzer sich so zusammenreimt.
Was 'nen Cookie is weisst Du? Eine maximal 4096 byte große String (Zeichenkette), die, falls vorhanden für eine bestimmte Domain, vom Browser zur Kommunikation verwendet wird. Quasi so eine Art dauerhafter Notizzettel, der unter der Haube bei requests mitgesendet wird. Da is nix von wegen ausführbarem Programmcode drin. Noch nie gewesen. Und wird's auch nicht.

> ... eine saubere PC-Weste ist für mich als bloody User ein Versprechen.

Nö, kannst Du als Laie überhaupt nicht beurteilen, ob Deine Systeme kompromittiert sind. Auch nich mit Schlangenöl a la Antivir oder CCCleanup, oder wie der ganze Schrott sich nennt.
Wenn ich den Masterprozeß kompromittiere (das OS), dessen child-prozeß eine solche Schlangenöl-Software ist, hab ich als Angreifer gewonnen.
Ist die Schlangenöl-Software über meinem OS ein Master-Prozeß, hat deren Hersteller gewonnen. Gelingt es mir als Angreifer, die Schlangenöl-Software zu kompromittieren hab ich gewonnen. However, als "gutgläubiger" Anwender bin der gefickte.

--
Doch wird ein Zaubertrick dir nicht geschenkt. Er kostet mehr Zeit, als sich mancher denkt.

> > Das Risiko, sich ein nagendes Tierchen anzuschaffen, sind meistens
> > Drittanbieterseiten (auch an sich seriöse) mit ihrer Cookieserei,
> außer
> > den technisch notwendigen auch noch Analyse-, Info- und Werbezeugs (mit
> > eingebettetem Schadcode) zuzulassen. Da hört bei mir die Freundschaft
> > auf
>
> Hochinteressant, was so manch informationsbemangelter Nutzer sich so
> zusammenreimt.
> Was 'nen Cookie is weisst Du? Eine maximal 4096 byte große String
> (Zeichenkette), die, falls vorhanden für eine bestimmte Domain, vom
> Browser zur Kommunikation verwendet wird. Quasi so eine Art dauerhafter
> Notizzettel, der unter der Haube bei requests mitgesendet wird. Da is nix
> von wegen ausführbarem Programmcode drin. Noch nie gewesen. Und wird's
> auch nicht.
>
> > ... eine saubere PC-Weste ist für mich als bloody User ein Versprechen.
>
> Nö, kannst Du als Laie überhaupt nicht beurteilen, ob Deine Systeme
> kompromittiert sind. Auch nich mit Schlangenöl a la Antivir oder
> CCCleanup, oder wie der ganze Schrott sich nennt.
> Wenn ich den Masterprozeß kompromittiere (das OS), dessen child-prozeß
> eine solche Schlangenöl-Software ist, hab ich als Angreifer gewonnen.
> Ist die Schlangenöl-Software über meinem OS ein Master-Prozeß, hat deren
> Hersteller gewonnen. Gelingt es mir als Angreifer, die
> Schlangenöl-Software zu kompromittieren hab ich gewonnen. However, als
> "gutgläubiger" Anwender bin der gefickte.

Na gut, trotzdem werde ich Cookies ganz ablehnen oder auf die technisch notwendigen Komponenten beschränken. Denn good and pleasant KI gibt zwar entwicklungsbedingte Fehler zu, aber meine Anfrage:
"Können Cookies Schadcode enthalten?" wurde folgendermaßen beantwortet:
"Cookies können keinen Schadcode enthalten und sind daher von sich aus nicht in der Lage, einen Computer zu schädigen, da sie keine ausführbaren Befehle oder Programme enthalten können.
Sie sind lediglich kleine Textdateien, die Informationen wie Benutzereinstellungen oder Sitzungsdaten speichern. - Anm.: So weit, so gut. Aber jetzt kommt's dicke:
Allerdings können Cookies indirekt zur Durchführung bösartiger Aktionen beitragen, indem sie sensible Daten wie Anmeldeinformationen oder Identifikatoren enthalten, die von Angreifern ausgenutzt werden können.
So können bösartige Cookies, beispielsweise durch einen Trojaner eingeschleust, Informationen über einen infizierten Computer an einen Angreifer weiterleiten und so die Kontrolle über das System erleichtern.
Zudem sind Cookies als einfache Textdateien anfällig für Manipulationen oder "Ernte" durch andere Anwendungen, was die Sicherheit beeinträchtigen kann.
Daher sind Cookies selbst nicht schädlich, können aber in Kombination mit anderen Sicherheitslücken oder bösartigen Programmen zu Sicherheitsrisiken führen."
Quelle:
Quelle: Brave Search

Und wenn man sich das Gebettel/die Drohungen mancher Seiten zur differenzierten Cookies-Zulassung so anschaut, sind das die neuen Wegelagerer, die uns die online Identität scheibchenweise abluchsen. Wenn die Option "Nur notwendige Cookies" nicht gewählt werden kann, verlasse ich die URL ohne Rücksicht auf evtl. Nutzen.

--
Vernetzte Treffgrüße ausTübingen
Reinhard

Historisches Stadtwappen.
Das amtliche Wappen für
den Schriftverkehr kann man
in der Pfeife rauchen, es erspart
halt die Kosten für den Farbdruck.

------------------------------------------------------------------------
Notiz:
Ich verwende auf dieser Website allein aus Gründen
des Leseflusses das generische Maskulinum (oder "-ende")
und lege Wert darauf, dass alle Inhalte genderunabhängig
zu verstehen sind.

Ja, alles bzw. teilweise richtig. Und das bedeutet was? Air-Gap = Stecker ziehen. Wenn Du befürchtest, dass Dich unerkannte Mechanismen missbrauchen, dann schützt Dich da nichts vor.
Is wie Auto fahren auf dem Nürburgring. Wer Angst vor der Nordschleife hat, obwohl er ja Stahl und Eisen um sich hat, sollte es lassen.
Es gibt keine umfassend 100%ige Sicherheit. Weder in der Realität noch in deren digitalen Abbildung. Auch nicht durch marketingmässige Vorgaukelung dubioser Softwareanbieter.
Wenn Du sensible Informationen in einem öffentlichen, technischen Netz angeschlossenen System geschützt wissen möchtest, dann halte sie heraus und lebe mit den Konsequenzen im 21. Jahrhundert. Nicht netzverbundene Speicher verwenden. Punkt. Doppelpunkt. Ausrufezeichen. Ansonsten sollte jemand grundsätzlich militärische Standards verwenden. Und die kommen einher mit starker Komforteinschränkung.

Ich bin seit 1981 im IT "business" und noch NIE war irgendwas "sicher".

--
Doch wird ein Zaubertrick dir nicht geschenkt. Er kostet mehr Zeit, als sich mancher denkt.

> Ja, alles bzw. teilweise richtig. Und das bedeutet was? Air-Gap = Stecker
> ziehen. Wenn Du befürchtest, dass Dich unerkannte Mechanismen
> missbrauchen, dann schützt Dich da nichts vor.
> Is wie Auto fahren auf dem Nürburgring. Wer Angst vor der Nordschleife
> hat, obwohl er ja Stahl und Eisen um sich hat, sollte es lassen.
> Es gibt keine umfassend 100%ige Sicherheit. Weder in der Realität noch in
> deren digitalen Abbildung. Auch nicht durch marketingmässige Vorgaukelung
> dubioser Softwareanbieter.
> Wenn Du sensible Informationen in einem öffentlichen, technischen Netz
> angeschlossenen System geschützt wissen möchtest, dann halte sie heraus
> und lebe mit den Konsequenzen im 21. Jahrhundert. Nicht netzverbundene
> Speicher verwenden. Punkt. Doppelpunkt. Ausrufezeichen. Ansonsten sollte
> jemand grundsätzlich militärische Standards verwenden. Und die kommen
> einher mit starker Komforteinschränkung.
>
> Ich bin seit 1981 im IT "business" und noch NIE war irgendwas "sicher".

Ja dann bist Du mir 10 Jahre voraus, und wie gesagt, bin ich ein bloody User, der sich für die Ränke und Schwänke der IT zwar interessiert, aber nur im Rahmen des Nutzens und des Spaßes an der Freud'. Und während meiner Dienstzeit musste ich blutjunge Eleven in die digitale Welt einführen und sie mit Freud' und Leid dieser im Grunde begeisternden Technologie "bekannt machen".

--
Vernetzte Treffgrüße ausTübingen
Reinhard

Historisches Stadtwappen.
Das amtliche Wappen für
den Schriftverkehr kann man
in der Pfeife rauchen, es erspart
halt die Kosten für den Farbdruck.

------------------------------------------------------------------------
Notiz:
Ich verwende auf dieser Website allein aus Gründen
des Leseflusses das generische Maskulinum (oder "-ende")
und lege Wert darauf, dass alle Inhalte genderunabhängig
zu verstehen sind.

> Ja dann bist Du mir 10 Jahre voraus, und wie gesagt, bin ich ein bloody
> User, der sich für die Ränke und Schwänke der IT zwar interessiert, aber
> nur im Rahmen des Nutzens und des Spaßes an der Freud'. Und während
> meiner Dienstzeit musste ich blutjunge Eleven in die digitale Welt
> einführen und sie mit Freud' und Leid dieser im Grunde begeisternden
> Technologie "bekannt machen".

Dann hättest Du gut daran getan, ihnen mitzugeben: "Was potenziell in öfentlichen Netzwerken abrufbar ist, ist es auch. Spätestens für finstere Gestalten."
Und heutzutage brechen auch keine Menschen mehr Sicherheitssysteme, sondern Roboternetze und neuerdings die sogenannte KI. In Lichtgeschwindigkeit.

--
Doch wird ein Zaubertrick dir nicht geschenkt. Er kostet mehr Zeit, als sich mancher denkt.

> ... noch NIE war irgendwas "sicher".
Das sehe ich genauso, aber aus etwas anderer Perspektive: Ist es wirklich ein Segen, wenn wir alles vernetzen wollen?
Bleiben wir mal nur bei vernetzten Autos: Das kann und wird nie 100% sicher sein. Weil:
a) Menschen machen Fehler
b) wo Menschen Zugriff haben, wird es Missbrauch geben.
Gerade letzteres macht mir Sorgen. Wenn Menschen Zugriff auf Quellcode haben - und das wird ja wohl so sein und bleiben - kann man sich auch ein Schlupfloch/Zugang einbauen. Also ich kann es nicht, aber die Spezis können das. Dann kann "man" das auch zum Missbrauch nutzen. Mal ein paar Autos ausser Kontrolle geraten lassen. Muss ja nicht mal schlimm sein. Und wetten, dass der Hersteller jede Summe an den Erpresser zahlt? Einige werden sich noch an den Film "Das Netz" mit Sandra Bullock von 1995 (!!) erinnern....
Ich denke trotzdem, dass der Zug in Richtung Vernetzung abgefahren ist. Wohl fühle ich mich bei dem Gedanken nicht.

> Dann hättest Du gut daran getan, ihnen mitzugeben: "Was potenziell in
> öfentlichen Netzwerken abrufbar ist, ist es auch. Spätestens für
> finstere Gestalten."
> Und heutzutage brechen auch keine Menschen mehr Sicherheitssysteme, sondern
> Roboternetze und neuerdings die sogenannte KI. In Lichtgeschwindigkeit.
Habe da kürzlich einen Bericht zu gesehen. Es werden wohl inzwischen auch verschlüsselte Daten und Traffic "auf Vorrat" abgegriffen, um sie irgendwann mal zu entschlüsseln, wenn die Technologie soweit ist. Da wähnt sich mancher heute sicher in seiner schönen verschlüsselten Welt und dann kommt mal alles ans Licht. Gar nicht absehbar, was das bewirken kann (und wird).

Genau, cebe, das ist das Dilemma. Der offensichtliche Nutzen der Informationstechnologie führt zur inflationären Nutzung.
Klar, hat das gewerbliche und in der Folge private Vorteile, aber die Fallstricke werden übersehen. Ja, quasi von der Entwicklung und Verbreitung der Technologie überrollt.

--
Doch wird ein Zaubertrick dir nicht geschenkt. Er kostet mehr Zeit, als sich mancher denkt.

> Habe da kürzlich einen Bericht zu gesehen. Es werden wohl inzwischen auch
> verschlüsselte Daten und Traffic "auf Vorrat" abgegriffen, um sie
> irgendwann mal zu entschlüsseln, wenn die Technologie soweit ist.

Ja, das nennt man HNDL/SNDL. Machen, vor allem US Geheimdienste schon seit Jahrzehnten.
Steht für: Harvest/Store Now Decrypt Later.

--
Doch wird ein Zaubertrick dir nicht geschenkt. Er kostet mehr Zeit, als sich mancher denkt.

> Dann hättest Du gut daran getan, ihnen mitzugeben: "Was potenziell in
> öfentlichen Netzwerken abrufbar ist, ist es auch. Spätestens für
> finstere Gestalten."
Ja, die DOS-Sicherheit war"lecker": Für die Jüngeren unter 14/15 Jahren war schon die Eingabe von Befehlen über die Tastatur ein "Sicherheitsrisiko" - und mit der Texteingabe ging's mit dem Adler-Suchsystem wie mit dem Handschriftgekrakel: Legasthenie war chronisch.
> Und heutzutage brechen auch keine Menschen mehr Sicherheitssysteme, sondern
> Roboternetze und neuerdings die sogenannte KI. In Lichtgeschwindigkeit.
Demnächst bricht vieles zusammen, wenn den Despoten und Diktatoren die Fake-News nicht um die Ohren fliegen und sie nicht um "FRIEDEN" flehen. Aber Weihnachten schert sie ja (auch) nicht.

--
Vernetzte Treffgrüße ausTübingen
Reinhard

Historisches Stadtwappen.
Das amtliche Wappen für
den Schriftverkehr kann man
in der Pfeife rauchen, es erspart
halt die Kosten für den Farbdruck.

------------------------------------------------------------------------
Notiz:
Ich verwende auf dieser Website allein aus Gründen
des Leseflusses das generische Maskulinum (oder "-ende")
und lege Wert darauf, dass alle Inhalte genderunabhängig
zu verstehen sind.

> Demnächst bricht vieles zusammen, wenn den Despoten und Diktatoren die
> Fake-News nicht um die Ohren fliegen und sie nicht um "FRIEDEN" flehen.

So weit möchte ich nicht gehen aber wir steuern in anspruchsvolle Gewässer.

--
Doch wird ein Zaubertrick dir nicht geschenkt. Er kostet mehr Zeit, als sich mancher denkt.

Die Wehrmacht und vor allem die Kriegsmarine hat sich ja im Weltkrieg auf die Enigma verlassen, ja sogar die M4 eingeführt, und war der Meinung, das wäre sicher.
In den 70ern, bis dahin galt die Enigma und deren Entschlüsselung immer noch als militärisches Geheimnis, gabs ein Interview mit Admiral Dönitz, in dem ihm ein Journalist die erst vor kurzem bekannt gewordene Information gab: "Die Briten knackten das bereits 1941".
Der Dönitz war darauf so dermaßen vom Donner gerührt, der glotzte so doof, dass der es gar nicht fassen konnte. War dem nie in den Sinn gekommen, dass so etwas der Grund für das Scheitern seiner Strategie als BDU war.

was lehrt uns das? öffentlich verfügbare informationen sind nie sicher! Menschen haben sie erdacht, menschen werden sie brechen. Erst wenn sich das durch KI ändert, wird die ganze Kiste noch mal knackiger.

--
Doch wird ein Zaubertrick dir nicht geschenkt. Er kostet mehr Zeit, als sich mancher denkt.