Javascript

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter - nachdem er Monate von ihr wusste.

Eine Sicherheitslücke im Anwaltspostfach BeA konnte nicht behoben werden, da es sich um ein grundlegendes Designproblem handelt. Die Bundesrechtsanwaltskammer hat das gelöst, indem sie das Problem wegdefinierte - mit einer abenteuerlichen Begründung: Der Schutz der Nachrichten ist nicht so wichtig, nur die Anhänge müssen geschützt sein.

Drei Jahre nach Version 6 ist nun Babel 7 erschienen. Der Javascript-Compiler verwandelt modernes Javascript in altes, damit das auch für betagte Browser ausführbar wird. Das Team hat das Projekt aufgeräumt, Support für alte Abhängigkeiten entfernt und unterstützt neue Syntax.

Die aktuelle Version 1.26 der Programmiersprache Rust liefere die meisten neuen Funktionen seit Version 1.0, sagt das Team. Dazu gehören Verbesserungen bei Traits, dem Match-Operator, Iteratoren und der Main-Methode.

Build 2018 Microsoft gibt Excel-Entwicklern neue Werkzeuge an die Hand, um die Software noch umfangreicher zu machen. Javascript-Funktionen können Informationen von Webseiten integrieren, maschinelles Lernen kann aus Tabellen Schlüsse ziehen. Auch die Visualisierung wird durch neue Diagramme möglich.

Babylon.js bekommt mehr WebGL-Funktionen und Klassen, die in Javascript als modern gelten. Microsoft arbeitet auch an besseren Animationen von 3D-Objekten. Das Ziel soll sein, dass das System auf möglichst vielen Geräten flüssig läuft.

In Rust geschriebene Software lässt sich nach Webassembly kompilieren und so im Browser nutzen. Mozilla erstellt hierfür ein einfaches Packwerkzeug, das das Paket zur Weiternutzung in der NPM-Registry veröffentlicht.

Auch auf Googles Videoplattform sind nun offenbar Werbeanzeigen mit versteckten Mining-Skripten aufgetaucht. Auf Youtube lohnt sich der Missbrauch der Rechenleistung von Nutzern besonders.

Die aktuelle Version 64 von Googles Browser Chrome stärkt den Schutz gegen den Spectre-Angriff, setzt erste Teile des integrierten Werbeblockers um und beginnt bestimmte Autoplay-Inhalte zu blockieren.

Für die aktuelle Version 58 von Firefox hat Hersteller Mozilla weitere Grundlagen verbessert, um den Browser zu beschleunigen. Außerdem ändert das Team die Profilstruktur und weist auf Probleme mit altem Intel-Mikrocode hin.

Neben den Kernelentwicklern haben auch die großen Browserhersteller Notfallpatches bereitgestellt, die auf Spectre basierende Javascript-Angriffe verhindern sollen. Nutzer sollten ihre Browser aktualisieren.

Das Update 52.5.2 behebt einen Fehler, der zum Absturz des E-Mail-Programms führen kann. Windows-Nutzer sollten sich das Update installieren. Auch mehrere Sicherheitslücken im RSS Feed werden behoben - das gilt für alle Betriebssysteme.

Unternehmen, die ein Chat-Widget zum Kundensupport nutzen, haben in den vergangenen Tagen heimlich bei den Kunden die Kryptowährung Monero geschürft. Betroffen waren auch der Speicherhersteller Crucial und der Sportanbieter Everlast.

Wo kann eine Webseite optimiert werden? Sonar scannt Domains auf eventuelle Fehler oder Designschwächen im Quellcode und bietet Lösungsvorschläge an. Das Tool kann kostenlos im Browser oder in der Kommandozeile verwendet werden.

Die Macher von Firebug verabschieden sich von ihrem Tool. Mit Firefox 57 endet die Unterstützung für alte Addons, deswegen wird das Werkzeug nicht mehr weiterentwickelt. Die Funktionen sind aber heute in den Developer-Tools bereits enthalten.

Immer mehr Webseiten nutzen heimliches Kryptomining. Neben dem Plugin von Coinhive gibt es jetzt weitere Anbieter. Bekannte Webseiten aus den Alexa Top 100.000 sollen gemeinsam auf eine Reichweite von einer halben Milliarde Nutzer kommen.

Drei Klassen und eine Webcam: Teachable Machine ist ein kleines Programm von Google, mit dem Nutzer das Konzept von maschinellem Lernen verstehen sollen. Es nutzt dazu die quelloffene Bibliothek Deeplearn.js. Das Besondere: Es funktioniert lokal im Browser statt über die Cloud.

Die Community beschwert sich, Facebook bleibt zunächst stur und verzichtet letztlich doch noch auf die eigene Patent-Lizenz für das Javascript-Framework React. Das macht aber nichts besser, sondern eher schlechter für alle.
Eine Analyse von Sebastian Grüner

Domains von Webservices, die aufgegeben wurden, können ein Sicherheitsrisiko für Webseiten darstellen. Mittels einer nicht mehr genutzten Azure-Subdomain hätte der Autor des Artikels die Kontrolle über zahlreiche Webseiten erlangen können.
Von Hanno Böck

Das Machine-Learning-Team von Google will diesen Bereich der Informatik einfacher zugänglich machen und hat Deeplearn.js erstellt. Die Javascript-Bibliothek läuft komplett im Browser und benötigt kein Backend.

Der VPN-Provider Hotspot soll seine Nutzer durch Javascript-Elemente und Werbung ausspionieren - obwohl er genau das Gegenteil behauptet. Das wirft eine US-Bürgerrechtsorganisation dem Unternehmen vor und hat Beschwerde bei der FTC eingereicht.

An vier verschiedenen Punkten soll ein Angreifer immer noch Schadcode über Ciscos Konferenzsoftware Webex ausführen können. Google-Mitarbeiter Travis Ormandy spricht von mehr als 20 Millionen betroffenen Nutzern - Cisco arbeitet an einer Lösung.

Eine Schwachstelle in FritzOS ermöglicht es Angreifern, über in Webseiten eingebettetes Javascript sicherheitsrelevante Informationen über das lokale Netzwerk abzugreifen. AVM hat ein Update angekündigt, stuft die Gefahr aber als gering ein.

Die aktuelle Version 8 von Node.js enthält die neuen Compiler der Javascript-Engine V8. Für Experimentierfreudige gibt es eine neue API für native Addons und Node 8 wird bis Ende 2019 unterstützt. Dabei soll es auch V8-Updates geben.

Die Javascript-Engine V8 nutzt künftig standardmäßig den neuen Interpreter Ignition und den neuen Compiler Turbofan. Profitieren sollen davon alle Nutzer des Chrome-Browsers und von Node.js.

Googles Project Zero hat eine schwerwiegende Sicherheitslücke in der Anti-Viren-Engine von Microsoft entdeckt. Schuld daran ist die simulierte Ausführung von Javascript-Code ohne Sandbox.
Von Hanno Böck

Ein Computerspiel als Informatiklehrer: Microsoft will sein Klötzchenspiel Minecraft noch stärker in Schulen etablieren und hat ein Addon dafür vorgestellt. Damit lernen Schüler das Programmieren - Anfänger per Drag-and-Drop, Fortgeschrittene per Javascript.

Golem.de-Wochenrückblick Elektroautos fehlt der Strom, neuen Top-Smartphones die Besonderheit und der Bundesregierung fehlen die Beispiele. Sieben Tage und viele Meldungen im Überblick.

Interessierte wissen es schon länger, nun stellt Facebook es auch auf seiner Entwicklermesse F8 vor: Die Javascript-Bibliothek React wird intern komplett umgebaut. Das Rendering soll künftig inkrementell durchgeführt werden, was Apps beschleunigt.

Testen während des Programmierens, eine bessere Autovervollständigung, bessere Mobile-App-Entwicklung: Visual Studio 2017 bringt neue Funktionen, die schon beim entschlackten Installer anfangen.

Alle großen Browserhersteller sind sich einig: Die erste Version von Webassembly ist fertig zum Ausliefern. Der Teilersatz für Javascript verlässt damit die Vorschauphase und soll künftig durch eine breite Nutzerbasis verbessert werden.

Google will den neuen Javascript-Compiler Turbofan und den Interpreter Ignition ab März im Chrome-Browser für alle Nutzer bereitstellen. Die Javascript-Engine V8 soll damit vor allem schneller werden, Teile von Turbofan werden bereits genutzt.

Wer künftig Javascript-Inhalte per Gmail versenden will, muss auf alternative Wege ausweichen. Ab Mitte Februar wird es nicht mehr möglich sein, auf direktem Wege .js-Dateien mit Gmail-Nutzern auszutauschen.

Programmiersprachen und größere Community-Projekte pflegen oft ihre eigenen Pakete für Erweiterungen. Das für Node.js und Javascript genutzte NPM-Archiv ist das mit Abstand derzeit größte dieser Art. Diese Paketvielfalt hat aber nicht nur Vorteile.

Damit die Netflix-App für TV-Geräte schnell reagiert, hat sich das Team viel einfallen lassen. So läuft die Javascript-Anwendung nicht im Browser, nutzt einen eigenen Renderer und das React-Framework ist mit Funktionen aufgebohrt worden, vor deren Einsatz das Team selbst warnt.

Die privaten Nachrichten von einer Milliarde Facebook-Nutzern waren offenbar über einen kritischen Bug im Messenger angreifbar. Facebook habe die Lücke bereits geschlossen. Ob der Fehler aktiv ausgenutzt wurde, ist nicht bekannt.

Tor und Mozilla haben schnell reagiert und veröffentlichen einen außerplanmäßigen Patch für eine kritische Sicherheitslücke. Der Fehler lag in einer Animationsfunktion für Vektorgrafiken.

Wer den Tor-Browsers nutzt, will meist vor allem eins: Anonymität. Eine aktuelle Schwachstelle im Firefox-Browser führt aber dazu, dass Nutzer identifiziert werden können. Das Problem betrifft auch Nutzer des regulären Firefox - ein Patch ist in Arbeit.

Zur Connect, Microsofts Entwicklermesse, wird endgültig klar, dass die Zukunft des Unternehmens im Cloud-Geschäft liegt. Das zeigt sich etwa an dem längst überfälligen Beitritt zur Linux Foundation oder dem neuen SQL Server. Bei der Mobile-Entwicklung sorgt Microsoft allein für Tools und das Cloud-Backend.
Eine Analyse von Sebastian Grüner

Die neue Version 1.7 von Microsofts freiem Editor Visual Studio Code erfragt automatisch Informationen aus dem Paketarchiv von NPM. Doch der Dienst war damit wohl überlastet, so dass das Update für VS Code zurückgenommen und zunächst ausgesetzt wird.

In einer koordinierten Aktion starten die großen Browserhersteller die Vorschauphase für Webassembly. Das Design des sogenannten Bytecodes fürs Web ist damit so gut wie abgeschlossen, weshalb das Projekt schon im kommenden Jahr Javascript in Teilen ablösen könnte.

Eine Sicherheitslücke in Joomla bestand seit vielen Jahren, doch ein Bug verhinderte, dass man sie ausnutzen konnte. Dann wurde der Bug gefixt - ohne dass das Sicherheitsproblem entdeckt wurde. Absicht oder nicht?

Die JS-Foundation ist das nächste Kollaborationsprojekt der Linux Foundation. Die Organisation löst die bisherige jQuery-Foundation ab und soll zentraler Bestandteil des Javascript-Ökosystems werden. Unterstützt wird die JS-Foundation unter anderem von IBM und Samsung.

Etwa ein Jahr nach dem Neustart von Node.js läuft das Projekt zumindest aus Sicht der Nutzer wieder rund. Doch die Entwickler haben noch einige Probleme zu lösen. Welche das sind und wie das geschehen soll, erklärt Release-Manager Myles Borins im Gespräch mit Golem.de.

Mit Yarn soll die Abhängigkeitsverwaltung von Javascript-Code schneller und sicherer sein als mit dem Werkzeug NPM. Die Quelle der Paketverwaltung NPM, das Registry, kann aber auch mit Yarn von Facebook genutzt werden.

Nach drei Sekunden Ladezeit geben viele auf, AMP soll deshalb mobile Webseiten beschleunigen. Googles Open-Source-Projekt hat die Betaphase verlassen.

Nach langer Entwicklungszeit hat Google die Version 2 seines Frameworks für Webanwendungen, Angular, veröffentlicht. Diese enthält zum Vorgänger inkompatible Änderungen und zielt auf Mobilgeräte sowie moderne Browser.

Um die Entwicklerwerkzeuge des Firefox aufzuräumen, hat ein Team von Mozilla den Debugger von Grund auf in Webtechniken neu erstellt. Unterstützt werden zudem Chrome und NPM.

Nach der Offenlegung von Chakracore durch Microsoft stehen erstmals experimentelle Versionen der Javascript-Engine des Edge-Browsers für Linux und Mac OS X bereit. Der Port soll der Verwendung in Node.js dienen.

Die gestern von Tavis Ormandy gemeldete kritische Schwachstelle im Passwort-Manager Lastpass ist nach Angaben des Unternehmens inzwischen geschlossen worden. Ein neue Lastpass-Version soll unter Firefox bereitstehen.