يحدث هذا عاجلاً أم آجلاً: تفتح YouTube على هاتفك المحمول ، ولكن بدلاً من مجموعة من مقاطع الفيديو تحصل على عرض لتحديثه بشكل عاجل. أو أخيرًا خصص وقتًا للعب على Playstation ، ولكن بعد ذلك وصلت التحديثات للتو ، يمكنك تنزيلها وتثبيتها لمدة نصف ساعة ، ثم إيقاف تشغيل وحدة التحكم. أو انتقل إلى منطقة إدارة WordPress لكتابة منشور رائع ، ولكن حان الوقت لتحديث WordPress نفسه والمكونات الإضافية.
تتعلق مشكلة اليوم بتحديثات نظام التشغيل Android ، وتصحيحات لمكوّنين إضافيين في WordPress ، باختصار ، حول ما عليك فعله إذا كان لديك هاتف ذكي أو موقع ويب. تعد تحديثات مكونات Wordpress مثيرة للاهتمام لأنها تعرض ما سيحدث إذا كنت لا تزال لا تمضي الوقت في تحديث الكود.
الضعف في البرنامج المساعد WordPress للامتثال GDPRالأخبار .
البحث .
حول اللائحة العامة لحماية البيانات هذا العام كان لدينا
مشكلة منفصلة . تعتبر المعايير الصارمة لحماية البيانات الخاصة لمواطني الاتحاد الأوروبي مفيدة للمستخدمين حتى من دول أخرى ، ولكن بالنسبة لأصحاب المواقع وخدمات الشبكة ، ما زالوا يعانون من بعض الصداع. يحل العديد من مالكي مواقع WordPress مسألة الامتثال للقانون بالطريقة المعتادة - عن طريق تثبيت المكون الإضافي. أحد هذه المكونات الإضافية ،
WP GDPR Compliance ، كما اتضح ، يحل مشكلة ويضيف مشكلة أخرى.
المكون الإضافي بسيط للغاية - فهو يضيف روابط إلى اتفاقية السرية في النماذج للتعليقات أو للحصول على معلومات شخصية (إذا قمت بشراء شيء ما) ويتتبع حقيقة موافقة العميل على معالجة البيانات الشخصية. وجد متخصصو Wordfence أن إصدار المكون الإضافي 1.4.2 وما فوقه يحتوي على ثغرة خطيرة: لم يتم التحقق من إدخال المستخدم ، ومن خلال رسالة معدة ، يمكنك الكتابة فوق إعدادات محرك WordPress نفسه. تم اكتشاف الثغرة الأمنية بعد هجوم نشط على المواقع مع تثبيت المكون الإضافي: غير معروف تم فتحه افتراضيًا بواسطة تسجيل مستخدم مغلق مغلق على الموقع وتم تعيين حالة مسؤول المستخدمين الجدد.
هذا يفتح الوصول الكامل إلى البيانات المخزنة على الموقع: وبالتالي ، فإن المكون الإضافي للامتثال لمعايير اللائحة العامة لحماية البيانات قد يؤدي إلى مشاكل مع هذا اللائحة العامة لحماية البيانات. وفقًا للتشريع ، يجب معالجة تسرب بيانات المستخدم وفقًا لذلك ، ويجب إرسال المعلومات المتعلقة بالحادث إلى السلطات المختصة. تم اكتشاف الهجوم بسبب عدم القدرة على اكتساح الآثار ، على الرغم من محاولة تنظيف السجلات. بالنسبة لسيناريو الهجوم هذا ، لا يُعرف الغرض من اختراق المواقع. سيناريو آخر
اكتشفه Sucuri تضمن تنزيل البيانات من مجال معين. تم تعطيل هذا الموقع على الفور ، لذلك لم يتم تحميل كود ضار (من المفترض) على مواقع الضحايا. بدلاً من ذلك ، تكون المواقع المتأثرة بطيئة وبها أخطاء وليست مفتوحة بالكامل.
وهذه هي الطريقة التي بدا بها من جانب مسؤول الموقع غير المرتاب: تذهب إلى لوحة المشرف ويتم تثبيت بعض المكونات الإضافية الجديدة هناك (حقن كود PHP في جميع صفحات الموقع) ، وهناك أسماء غير معروفة في قائمة المسؤولين ، وما يحدث غير واضح. في الإصدار 1.4.3 من البرنامج المساعد ، تمت إزالة الثغرة الأمنية ، ووفقًا لتقديرات موقع WordPress ، فقد تم تثبيته على أكثر من مائة ألف موقع.
يعمل البرنامج المساعد WP GDPR مع أحد أشهر أنظمة التجارة الإلكترونية لمنصة WordPress المعروفة باسم
WooCommerce . تم اكتشاف ثغرة خطيرة في (
الأخبار ). توفر المنصة عدة مستويات من الوصول إلى محتوى الموقع ، وليس من الضروري أن تكون مسؤولًا لإدارة المتجر ، فهناك دور خاص لمدير المتجر. يمكن لـ "zavskladom" نظريًا الحصول على حقوق المسؤول بسبب الثغرة التي وجدها متخصصو RIPSTech.
الثغرة مثيرة للاهتمام: يشير دور مدير المتجر إلى القدرة على تعديل المستخدمين من رتبة أدنى ، وبشكل أدق ، المشترين فقط. تم دمج هذه الميزة (ليس بدون مساعدة العكازات) مع نظام التحكم في حقوق منصة WordPress. طالما أن المكون الإضافي موجودًا ، فإن كل شيء يعمل: يتمتع دور مدير المتجر بالقدرة على تعديل الملفات الشخصية ، ويوضح نظام WooCommerce أن هؤلاء ليسوا سوى مشترين. ولكن إذا قمت بإزالة المكون الإضافي ، فإنه يصبح أكثر إثارة للاهتمام: يظل المستخدم الذي يقوم بدور مدير المتجر مستخدمًا لـ WordPress ، ويتم توسيع حقوق تحرير الملفات الشخصية الأخرى إلى النظام الأساسي بأكمله ، بما في ذلك مسؤولو الموقع.
وبالتالي ، يتم تنفيذ الهجوم على مرحلتين: فتحة أمان واحدة تسمح للمدير غير راضٍ عن ظروف العمل لإزالة المكون الإضافي WooCommerce. والثاني يجعل من الممكن الحصول على حقوق المسؤول ؛ صحيح ، إذا تم تدمير المكون الإضافي للمتجر عبر الإنترنت ، يصبح المهاجم مسؤولًا عن موقع فارغ تقريبًا. وفقًا لـ WordPress ، تم تثبيت المكون الإضافي WooCommerce على أكثر من 4 ملايين موقع ، وهذا يمثل ثلث جميع التجارة الإلكترونية عبر الإنترنت. تم إغلاق الثغرة الأمنية في أكتوبر ، ولم تتأثر أحدث إصدارات WooCommerce plugin.
يغلق تحديث Android سبع نقاط ضعف حرجةالأخبار .
نشرة أمان Android لشهر نوفمبر.
تم تحديث مكونات WordPress الإضافية ، حان الوقت لتحديث Android. في المجموعة التالية من التصحيحات من 5 نوفمبر ، تم إغلاق سبع نقاط ضعف حرجة في رمز Android. تم العثور على أربعة منهم في مكون إطار عمل الوسائط - في نفس المكان حيث تم العثور على ثغرة
StageFright المعروفة قبل ثلاث سنوات. إنها تجعل من الممكن تنفيذ التعليمات البرمجية التعسفية عن بُعد عند فتح موقع ويب يحتوي على عنصر وسائط "معدة". تم اكتشاف ثلاث نقاط ضعف حرجة أخرى في كود ملكية شركة كوالكوم. لا تكشف Google عن معلومات تفصيلية عنها ، متوقعًا أن يتم ذلك بواسطة مورد المعدات. بالإضافة إلى ذلك ، تم إغلاق 18 نقطة ضعف في مكتبة libxaac ، وهي وحدة تجريبية لضغط وفك ترميز محتوى الوسائط ، والذي تقرر عدم تضمينه في قاعدة رمز Android الرئيسية.
تغطي التحديثات المشكلات بشكل أساسي في الإصدار الأخير (التاسع) من Android ، ولكن تم تصحيح عدد من الثغرات الأمنية ، بما في ذلك ثغرة أمنية واحدة في Media Framework ، للإصدارات السابقة من نظام التشغيل ، بدءًا من الإصدار السابع. يتلقى مصنعو الهواتف الذكية معلومات حول التصحيحات القادمة قبل شهر من الإصدار العام من أجل إعداد التحديثات مقدمًا. ولكن ، كما يتبين من لقطة الشاشة أعلاه ، خلال الأسبوع لم يتم تسليم التحديث إلى جميع الهواتف الذكية المدعومة.
نحن في انتظار وتحديث.
إخلاء المسؤولية: قد لا تتوافق الآراء الواردة في هذا الملخص دائمًا مع الموقع الرسمي لـ Kaspersky Lab. يوصي المحررون الأعزاء بشكل عام بمعالجة أي آراء مع شك صحي.