Nur eine Woche nach der Veröffentlichung der großen Version von WordPress 5.0 veröffentlichten die Entwickler des beliebtesten CMS der Welt einen Patch, der eine Reihe schwerwiegender Schwachstellen (
Nachrichten ) abdeckt. Sieben Lücken wurden geschlossen, die schwerwiegendste in einigen WordPress-Konfigurationen ermöglicht es Suchmaschinen, die Aktivierungsseite eines neuen Benutzers zu indizieren. Die Seiten-URL enthält einen Aktivierungsschlüssel, durch den E-Mail-Adressen von Benutzern und in einigen Fällen auch automatisch generierte Kennwörter verloren gehen können.
Das Problem wurde behoben, indem die Kennung von der URL in das Cookie übertragen wurde. Die Sicherheitsanfälligkeit betrifft auch Version 4.x - für diejenigen, die aus irgendeinem Grund nicht bereit sind, auf WordPress 5.0 zu wechseln, wurde Version 4.9.9 veröffentlicht. Drei weitere Sicherheitslücken der XSS-Klasse ermöglichen es theoretisch bereits registrierten WordPress-Benutzern, in einem Fall die Berechtigungen zu erhöhen - indem sie die Kommentare von Administratoren bearbeiten. Eine Sicherheitsanfälligkeit in PHP wurde ebenfalls geschlossen, sodass Sie beim Herunterladen einer Datei einen beliebigen Speicherpfad angeben können. Der Forscher Sam Thomas sprach auf der BlackHat-Konferenz (
PDF ) mehr über sie. Weitere Informationen zu allen geschlossenen Sicherheitslücken finden Sie im Wordfence-
Blog .
Facebook hat wieder Daten durchgesickert. Oder sie sind nicht durchgesickert: Letzte Woche hat das Unternehmen (
Nachrichtenbeitrag im FB-Blog) von einem Fehler in der API berichtet, der es Anwendungen von Drittanbietern ermöglichte, auf Benutzerfotos zuzugreifen. Der Fehler dauerte vom 13. bis 25. September. Zu diesem Zeitpunkt konnten Anwendungen von Drittanbietern, auf die Benutzer bereits Zugriff auf Fotos auf Facebook hatten, generell auf alle Bilder des Kontos zugreifen. Unter normalen Bedingungen wird der Zugriff nur auf Fotos gewährt, die der Benutzer in seiner Chronik veröffentlicht. Fast zwei Wochen lang war die API offen für Fotos von Geschichten, Fotos vom Flohmarkt und mehr. Das Traurigste ist, dass es Zugriff auf private Fotos gab, auch auf solche, die der Benutzer nie veröffentlicht, sondern in das soziale Netzwerk hochgeladen hat.
Die Distribution erreichte 6,8 Millionen Nutzer. Nach bekannten Diskussionen über den Datenschutz der vom sozialen Netzwerk gesammelten Daten ziehen alle Nachrichten über eine andere Sicherheitslücke viel Aufmerksamkeit auf sich. Obwohl in diesem Fall nichts Schreckliches passiert ist: Sie haben einen Fehler gemacht, ihn gefunden und behoben.
Das vorherige Problem mit der Funktion, die Seite als ein anderer Benutzer anzuzeigen, war schwerwiegender. Wie üblich ist Facebook mit seinen Schwachstellen nicht allein: Nachdem auf Google+ ein weiteres Problem entdeckt wurde,
beschlossen sie, dieses unglückliche soziale Netzwerk früher als
geplant zu schließen .
Der Forscher Tavis Ormandy vom Google Project Zero-Team hat die Details eines Fehlers im Logitech-Tastaturdienstprogramm veröffentlicht (
Nachrichten , ein detaillierter
Bericht ). Bereits im September wurde eine Sicherheitslücke im Dienstprogramm Logitech Options entdeckt. Danach hat der Hersteller das Problem ziemlich lange behoben. Das Problem ist aber interessant. Im Allgemeinen können Sie mit diesem Dienstprogramm auf Wunsch des Benutzers Schaltflächen auf der Tastatur neu zuweisen, und es war ziemlich unerwartet, dort einen Angriffsvektor zu finden. Trotzdem existiert es: Die Anwendung wartet auf Befehle an einem bestimmten TCP-Port und prüft überhaupt nicht, woher sie stammen.
Auf diese Weise kann das Dienstprogramm mithilfe einer vorbereiteten Webseite ferngesteuert werden. Ein ähnliches Problem (obwohl etwas einfacher zu bedienen) wurde von Routern einmal massiv beobachtet: Sie konnten remote verwaltet werden, ohne dass der Benutzer die Seite im Browser öffnen musste. Über eine offene Netzwerkschnittstelle können Sie die Programmeinstellungen ändern sowie beliebige Zeichenfolgen für die Tastatur übertragen, mit denen theoretisch die Kontrolle über das System erlangt werden kann.
Das Dienstprogramm wird standardmäßig beim Systemstart gestartet, wodurch das Problem noch schwerwiegender wird. Der Forscher veröffentlichte die Informationen nach Ablauf der Frist, dem 11. Dezember. Zwei danach veröffentlichte Logitech eine aktualisierte Version des Programms, die die Sicherheitsanfälligkeit zu schließen scheint. Allerdings sind nicht alle mit dieser Aussage einverstanden.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.