WordPress hat mit Version 4.1.2 ein kritisches Sicherheitupdate für sein Content-Management-System veröffentlicht. Es empfiehlt dringend, alle früheren Versionen sofort auf den aktuellen Stand zu bringen – durch einen Download oder aus dem Dashboard heraus. Bei Sites, die automatische Updates im Hintergrund unterstützen, laufe die Aktualisierung auf WordPress 4.1.2 bereits an.
Das Update beseitigt zudem drei weitere Anfälligkeiten. So konnten in WordPress 4.1 und höher Dateien mit ungültigen oder unsicheren Namen hochgeladen werden. In WordPress 3.9 und höher ließ sich eine sehr eingeschränkte Cross-Site-Scripting-Lücke im Rahmen eines Social-Engineering-Angriffs ausnutzen. Einige Plug-ins waren anfällig für SQL-Injection.
Darüber hinaus wurden vier Veränderungen vorgenommen, um Installationen zu härten. WordPress bedankt sich ausdrücklich für die verantwortliche Enthüllung der Schwachstellen an sein Sicherheitsteam. Es weist außerdem Tester von WordPress 4.2 darauf hin, dass der dritte Release Candidate erhältlich ist und auch hier die genannten Sicherheitslücken behoben wurden.
Abschließende Erwähnung findet eine in zahlreichen WordPress-Plug-ins entdeckte Anfälligkeit für Cross-Site-Scripting (XSS), für die in dieser Woche in einer konzertierten Aktion Sicherheitsupdates bereitgestellt wurden. Nicht weniger als 17 betroffene Plug-ins sind bislang bekannt, aber mit weiteren Entdeckungen ist noch immer zu rechnen. Die Anfälligkeit beruht auf dem falschen Einsatz der Funktionen add_query_arg() and remove_query_arg(), die zuvor in der offiziellen WordPress-Dokumentation unklar beschrieben wurden.
„Halten Sie alles auf dem aktuellen Stand, um sicher zu sein“, wendet sich Gary Pendergast von Automattic, das das Hosting-Angebot WordPress.com betreibt und wesentlich zur Entwicklung des quelloffenen Content-Management-Systems WordPress beiträgt, an die Anwender. Plug-in-Entwickler verweist er auf eine Informationsseite, mit deren Hilfe sie klären können, ob eventuell auch ihr Plug-in von der XSS-Lücke betroffen ist.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
