Juste une semaine après la sortie de la grande version de WordPress 5.0, les développeurs du CMS le plus populaire au monde ont publié un correctif couvrant un certain nombre de vulnérabilités graves (
news ). Sept lacunes ont été comblées, la plus grave dans certaines configurations WordPress permet aux moteurs de recherche d'indexer la page d'activation d'un nouvel utilisateur. L'URL de la page contient une clé d'activation, grâce à laquelle il devient possible de divulguer les adresses e-mail des utilisateurs et, dans certains cas, des mots de passe générés automatiquement.
Le problème a été résolu en transférant l'identifiant de l'URL vers le cookie. La vulnérabilité affecte également la version 4.x - pour ceux qui, pour une raison quelconque, ne sont pas prêts à passer à WordPress 5.0, la version 4.9.9 a été publiée. Trois autres vulnérabilités de la classe XSS permettent théoriquement aux utilisateurs de WordPress déjà enregistrés d'augmenter les privilèges, dans un cas - en modifiant les commentaires des administrateurs. Une vulnérabilité dans PHP a également été fermée, vous permettant de spécifier un chemin de sauvegarde arbitraire lors du téléchargement d'un fichier. Le chercheur Sam Thomas en a parlé davantage lors de la conférence BlackHat (
PDF ). Un peu plus d'informations sur toutes les vulnérabilités fermées peuvent être trouvées sur le
blog Wordfence.
Facebook a de nouveau divulgué des données. Ou ils n'ont pas fui: la semaine dernière, la société a fait part (
article sur le blog de FB) d'un bug dans l'API qui permettait aux applications tierces d'accéder aux photos des utilisateurs. L'erreur a duré du 13 au 25 septembre. À l'heure actuelle, des applications tierces, auxquelles les utilisateurs avaient déjà donné accès à des photos sur Facebook, pouvaient accéder à toutes les photos du compte en général. Dans des conditions normales, l'accès n'est accordé qu'aux photos que l'utilisateur publie dans sa chronique. Pendant près de deux semaines, l'API a été ouverte aux photos d'histoires, aux photos du marché aux puces et plus encore. Le plus triste, c'est qu'il y avait accès à des photos privées, même celles que l'utilisateur n'a jamais publiées nulle part, mais téléchargées sur le réseau social.
La distribution a touché 6,8 millions d'utilisateurs. Après des discussions bien connues sur la confidentialité des données collectées par le réseau social, chaque nouvelle concernant un autre trou de sécurité attire beaucoup l'attention. Bien que dans ce cas, rien de terrible ne se soit produit: ils ont fait un bug, l'ont trouvé, l'ont corrigé.
Le problème précédent avec la fonction d'affichage de la page en tant qu'un autre utilisateur était plus grave. Comme d'habitude, Facebook n'est pas seul avec ses vulnérabilités: après qu'un autre problème a été découvert sur Google+,
ils ont décidé de fermer ce malheureux réseau social plus tôt que
prévu .
Le chercheur Tavis Ormandy de l'équipe Google Project Zero a publié (
actualités ,
rapport détaillé) les détails d'un bug dans l'utilitaire de clavier Logitech. Une vulnérabilité dans l'utilitaire Logitech Options a été découverte en septembre, après quoi le fabricant a résolu le problème pendant assez longtemps. Mais le problème est intéressant. En général, cet utilitaire vous permet de réaffecter des boutons du clavier à la demande de l'utilisateur, et il était plutôt inattendu d'y trouver un vecteur d'attaque. Néanmoins, elle existe: l'application écoute les commandes sur un port TCP spécifique et ne vérifie pas du tout d'où elles viennent.
Ainsi, il devient possible de contrôler à distance l'utilitaire à l'aide d'une page Web préparée. Un problème similaire (bien qu'un peu plus simple à utiliser) a été une fois massivement observé par les routeurs: ils pouvaient être administrés à distance à l'insu de l'utilisateur ouvrant la page dans le navigateur. Grâce à une interface réseau ouverte, vous pouvez modifier les paramètres du programme, ainsi que transmettre des séquences arbitraires de caractères au nom du clavier, qui peuvent théoriquement être utilisées pour prendre le contrôle du système.
L'utilitaire démarre par défaut au démarrage du système, ce qui aggrave encore le problème. Le chercheur a publié les informations après la date limite, le 11 décembre. Deux après cela, Logitech a publié une version mise à jour du programme qui semble fermer la vulnérabilité. Cependant, tout le monde n'est pas d'accord avec cette affirmation.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.