WordPress nylig lappet tre store sikkerhedshuller i sin seneste opdatering. Fejlene kan tillade cross-site scripting og SQL-injektioner, og en række andre efterfølgende spørgsmål. De rettelser berørte WordPress versioner 4.7.1 og tidligere. anvendelse af opdatering så hurtigt som muligt er stadig stærkt anbefales.
Men, Det er nu kendt, at bortset fra de sikkerhedsproblemer lige nævnt platformen fast en farlig og derefter-hemmeligt zero-day sårbarhed, der kan føre til fjernadgang og til sletning af WordPress-sider. Grunden til at de ikke offentligt annoncere zero-day er, at de ikke ønskede at lokke hackere i at udnytte det. Så de sagde.
Nul-dag i WordPress 4.7 og 4.7.1 forklaret: -Godkendt rettighedsforøgelse Sårbarhed i et REST API Endpoint
Fejlen tilladt alle sider på sårbare hjemmesider, der skal ændres. Også, besøgende kunne er blevet omdirigeret til ondsindede websteder, der fører til flere sikkerhedsrelaterede komplikationer. WordPress udskudt den offentlige meddelelse i en uge og opfordrer nu alle involverede til at opdatere.
Relaterede: TeslaCrypt øjeblikket Spred via Kompromitteret WordPress sider og nuklear EK
I en yderligere stilling, WordPress skrev:
Ud over de tre sikkerhedshuller nævnt i det oprindelige indlæg udgivelse, WordPress 4.7 og 4.7.1 havde en ekstra sårbarhed, for hvilken udlevering blev forsinket. Der var en ikke-godkendt rettighedsforøgelse Sårbarhed i et REST API Endpoint. Tidligere versioner af WordPress, selv med REST API Plugin, var aldrig sårbare over for dette.
Nul-dage blev rapporteret den 20. januar efter vagtselskab Sucuri, især forsker Marc-Alexandre Montpas. Heldigvis, ingen angribere har udnyttet fejlen, og en rettelse blev fremstillet kort efter det blev rapporteret. Ikke desto mindre, WordPress tog sig tid til at teste problemet yderligere, da det følte, det var ganske alvorlige.
På den anden side, Sucuri tilføjet nye regler til deres Web Application Firewall, så udnytter forsøg blev blokeret. Andre virksomheder blev kontaktet, for, at skabe lignende regler at skærme brugere fra angreb, før opdateringen blev afsluttet.
juice skrev:
På mandag, mens vi fortsatte med at teste og forfine fix, vores fokus flyttet til WordPress værter. Vi kontaktede dem privat med oplysninger om sårbarheden og måder at beskytte brugere. Værter arbejdet tæt sammen med den sikkerhed, team til at gennemføre beskyttelse og regelmæssigt kontrolleres for at udnytte forsøg mod deres brugere.
Relaterede: Netgear routere Sårbar til fjernadgang angreb
Til sidst, opdateringen var klar sidste torsdag. Det er også vigtigt at bemærke, at WordPress 4.7.x brugerne hurtigt blev beskyttet via automatisk opdatering systemet. Men, brugere, der ikke opdaterer WordPress automatisk nødt til at gøre det selv, før det er for sent.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: