Apenas una semana después del lanzamiento de la gran versión de WordPress 5.0, los desarrolladores del CMS más popular del mundo lanzaron un parche que cubre una serie de vulnerabilidades graves (
noticias ). Se cerraron siete brechas, la más grave en algunas configuraciones de WordPress hace posible que los motores de búsqueda indexen la página de activación de un nuevo usuario. La URL de la página contiene una clave de activación, por lo que es posible filtrar las direcciones de correo electrónico de los usuarios y, en algunos casos, también las contraseñas generadas automáticamente.
El problema se resolvió transfiriendo el identificador de la URL a la cookie. La vulnerabilidad también afecta a la versión 4.x: para aquellos que por alguna razón no están listos para cambiar a WordPress 5.0, se ha lanzado la versión 4.9.9. Teóricamente, otras tres vulnerabilidades de la clase XSS permiten a los usuarios de WordPress ya registrados aumentar los privilegios, en un caso, editando los comentarios de los administradores. También se cerró una vulnerabilidad en PHP, lo que le permite especificar una ruta de guardado arbitraria al descargar un archivo. El investigador Sam Thomas habló más sobre ella en la conferencia BlackHat (
PDF ). Puede encontrar un poco más de información sobre todas las vulnerabilidades cerradas en el
blog de Wordfence.
Facebook nuevamente filtró datos. O no se filtraron: la semana pasada, la compañía le contó (
publicación de noticias en el blog de FB) acerca de un error en la API que permitía a aplicaciones de terceros acceder a las fotos de los usuarios. El error duró del 13 al 25 de septiembre. En este momento, las aplicaciones de terceros, a las que los usuarios ya daban acceso a fotos en Facebook, podían acceder a todas las imágenes de la cuenta en general. En condiciones normales, el acceso se otorga solo a las fotos que el usuario publica en su crónica. Durante casi dos semanas, la API estuvo abierta a fotos de historias, fotos del mercado de pulgas y más. Lo más triste es que había acceso a fotos privadas, incluso aquellas que el usuario nunca publicó en ningún lugar, pero que subió a la red social.
La distribución alcanzó los 6,8 millones de usuarios. Después de discusiones bien conocidas sobre la privacidad de los datos recopilados por la red social, cada noticia sobre otro agujero de seguridad atrae mucha atención. Aunque en este caso, no sucedió nada terrible: hicieron un error, lo encontraron y lo arreglaron.
El problema anterior con la función de ver la página como otro usuario era más grave. Como de costumbre, Facebook no está solo con sus vulnerabilidades: después de que se descubrió otro problema en Google+,
decidieron cerrar esta desafortunada red social antes de lo
planeado .
El investigador Tavis Ormandy del equipo de Google Project Zero ha publicado (
noticias , un
informe detallado) los detalles de un error en la utilidad de teclado Logitech. En septiembre se descubrió una vulnerabilidad en la utilidad Logitech Options, después de lo cual el fabricante solucionó el problema durante bastante tiempo. Pero el problema es interesante. En general, esta utilidad le permite reasignar botones en el teclado a solicitud del usuario, y fue bastante inesperado encontrar un vector de ataque allí. Sin embargo, existe: la aplicación escucha los comandos en un puerto TCP específico y no verifica en absoluto de dónde provienen.
Por lo tanto, se hace posible controlar de forma remota la utilidad utilizando una página web preparada. Los enrutadores observaron masivamente un problema similar (aunque un poco más simple de operar): podían administrarse de forma remota sin el conocimiento del usuario que abría la página en el navegador. A través de una interfaz de red abierta, puede cambiar la configuración del programa, así como transmitir secuencias arbitrarias de caracteres en nombre del teclado, que en teoría se pueden utilizar para obtener el control del sistema.
La utilidad se inicia de manera predeterminada cuando se inicia el sistema, lo que hace que el problema sea aún más grave. El investigador publicó la información después de la fecha límite, el 11 de diciembre. Dos después de eso, Logitech lanzó una versión actualizada del programa que parece cerrar la vulnerabilidad. Sin embargo, no todos están de acuerdo con esta declaración.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir siempre con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.