迟早会发生这种情况:您在手机上打开了YouTube,但是却没有提供一堆视频来紧急更新。 或者最终花点时间在Playstation上播放,但是更新才刚到,您下载并安装了半个小时,然后关闭控制台。 或转到WordPress管理区域撰写精彩的帖子,但是现在该更新WordPress本身和插件了。
今天的问题是关于Android操作系统的更新,WordPress中两个插件的补丁,简而言之,是关于拥有智能手机或网站时您将要做的事情。 Wordpress插件的更新很有趣,因为它们显示了如果您仍然不花时间更新代码,将会发生什么。
WordPress插件中的漏洞符合GDPR新闻 。
研究 。
关于GDPR,今年我们有一个
单独的问题 。 严格的欧盟公民私人数据保护标准对于甚至来自其他国家的用户也很有用,但是对于站点所有者和网络服务而言,它们仍然令人头疼。 WordPress网站的许多所有者以通常的方式解决法律合规的问题-通过安装插件。 事实证明,其中一个插件
WP GDPR Compliance可以解决一个问题,而增加另一个问题。
该插件非常简单-会在表单中添加指向保密协议的链接,以提供评论或个人信息(如果您购买了商品),并跟踪客户同意处理个人数据的事实。 Wordfence专家发现,插件版本1.4.2和更早版本存在一个严重漏洞:用户输入未经验证,并且带有准备好的消息,您可以覆盖WordPress引擎本身的设置。 在对安装了插件的站点进行了主动攻击之后,发现了该漏洞:默认情况下,未知打开为默认状态,关闭了该站点上的用户注册并分配了所有新用户的管理员身份。
这样就可以完全访问站点上存储的数据:因此,符合GDPR标准的插件可能会导致GDPR出现问题。 根据法律,应该对用户数据的泄漏进行相应处理,并将有关事件的信息传输给主管部门。 尽管进行了清除日志的尝试,但由于无法清除跟踪而发现了此攻击。 对于这种攻击情形,不知道站点被黑客入侵的目的。 Sucuri
发现的另一种情况涉及从特定域下载数据。 该站点被迅速禁用,因此(大概)未加载受害站点上的恶意代码。 相反,受影响的站点速度很慢,有错误,并且没有完全打开。
这就是从一个毫无戒心的站点管理员的角度看的样子:您转到管理面板并在其中安装了一些新的插件(将PHP代码注入站点的所有页面),管理员列表中有未知名称,并且发生的情况尚不清楚。 在该插件的1.4.3版本中,该漏洞已被删除,根据WordPress网站上的估计,该漏洞已安装在十万多个网站上。
WP GDPR插件可与WordPress平台上称为
WooCommerce的最受欢迎的电子商务系统之一配合使用。 在她的(
新闻 )中发现了一个严重的漏洞。 该平台提供了对网站内容的多个访问级别,并且不需要管理员来管理商店;这里有一个特殊的Shop Manager角色。 理论上,由于RIPSTech专家
发现的漏洞,这样的“ zavskladom”可以获得管理员权限。
该漏洞很有趣:商店经理的角色涉及编辑较低级别用户的能力,更准确地说,就是编辑买家。 此功能(并非没有拐杖帮助)已与WordPress平台权限控制系统集成。 只要有插件,一切都可以工作:商店经理角色可以编辑配置文件,而WooCommerce系统则说明这些仅仅是买家。 但是,如果您删除了该插件,它将变得更加有趣:具有商店管理员角色的用户仍然是WordPress用户,其他配置文件的编辑权限扩展到整个平台,包括站点管理员。
因此,攻击分为两个阶段进行:一个安全漏洞允许经理对工作条件不满意,以删除WooCommerce插件。 第二个使得可以获得管理员权限; 的确,如果拆除了在线商店的插件,那么攻击者将成为一个几乎空旷的站点的管理员。 根据WordPress的说法,WooCommerce插件已安装在超过400万个站点上,这是所有在线电子商务的三分之一。 该漏洞已在10月关闭,并且最新版本的WooCommerce插件不受影响。
Android更新关闭了七个关键漏洞新闻 。 十一月
Android安全公告 。
WordPress插件已更新,现在该更新Android了。 在11月5日发布的下一组补丁中,Android代码中关闭了七个关键漏洞。 在Media Framework组件中找到了其中的四个-与三年前发现著名的
StageFright漏洞的位置相同。 当使用“准备好的”媒体元素打开网站时,它们使远程执行任意代码成为可能。 高通公司的专有代码中发现了另外三个关键漏洞。 Google不会透露有关它们的详细信息,并希望由设备供应商来完成。 此外,libxaac库中的18个漏洞已关闭,libxaac库是用于压缩和解码媒体内容的实验性模块,因此决定不再包含在主要的Android代码库中。
更新涵盖的问题主要是在最新的(第九个)Android版本中,但是从第七个版本开始,针对较早版本的OS修补了许多漏洞,包括媒体框架中的一个关键漏洞。 智能手机制造商会在公开发布前一个月收到有关即将发布的补丁的信息,以便提前准备更新。 但是,从上面的屏幕截图可以看出,在一周中,该更新未交付给所有受支持的智能手机。
我们正在等待和更新。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。