在WordPress 5.0的大版本发布仅一周之后,世界上最流行的CMS的开发人员发布了一个补丁,其中涵盖了许多严重的漏洞(
新闻 )。 缩小了七个差距,在某些WordPress配置中最严重的差距使得搜索引擎可以为新用户的激活页面建立索引。 页面URL包含一个激活密钥,由于该激活密钥,有可能泄漏用户电子邮件地址,在某些情况下还会泄漏自动生成的密码。
通过将标识符从URL传输到cookie,解决了该问题。 该漏洞还会影响4.x版-对于由于某些原因尚未准备升级到WordPress 5.0的用户,已经发布了4.9.9版。 从理论上讲,XSS类的其他三个漏洞使已经注册的WordPress用户可以通过编辑管理员的注释来增加特权。 PHP中也关闭了一个漏洞,使您可以在下载文件时指定任意保存路径。 研究员Sam Thomas在BlackHat会议(
PDF )上更多地谈论了她。 在Wordfence
博客上可以找到有关所有已关闭漏洞的更多信息。
Facebook再次泄漏数据。 还是没有泄漏:上周,该公司向FB博客上的
新闻 发布了一个有关API的错误的信息,该错误使第三方应用程序可以访问用户照片。 该错误从9月13日持续到25日。 目前,第三方应用程序(用户已经可以访问Facebook上的照片)可以访问该帐户的所有图片。 在正常情况下,仅授予用户在其编年史中发布的照片的访问权限。 在将近两个星期的时间里,该API一直开放给故事照片,跳蚤市场照片等等。 最可悲的是,可以访问私人照片,甚至包括用户从未在任何地方发布但上传到社交网络的照片。
发行量达到680万用户。 在对社交网络收集的数据的隐私进行了众所周知的讨论之后,有关另一个安全漏洞的每条新闻都引起了很多关注。 尽管在这种情况下,没有发生任何可怕的事情:他们制造了一个错误,找到了它,并加以修复。
以前以另一个用户查看页面的功能的
问题更加严重。 像往常一样,Facebook并非只有漏洞:在Google+上发现另一个问题后,
他们决定比
计划更早
地关闭这个不幸的社交网络。
Google Project Zero小组的研究员Tavis Ormandy已发布(
新闻 ,详细
报告 )Logitech键盘实用程序中的错误的详细信息。 Logitech Options实用程序中的一个漏洞是在9月份发现的,此后制造商在相当长的时间内解决了该问题。 但是问题很有趣。 通常,此实用程序可让您根据用户的要求重新分配键盘上的按钮,而在该处找到攻击媒介真是出乎意料。 尽管如此,它仍然存在:应用程序在特定的TCP端口上侦听命令,并且根本不检查命令的来源。
因此,可以使用准备好的网页来远程控制实用程序。 路由器曾经大规模地观察到一个类似的问题(尽管操作起来更简单):无需用户在浏览器中打开页面即可对它们进行远程管理。 通过开放的网络接口,您可以更改程序设置,以及代表键盘传输任意字符序列,从理论上讲,这些字符可用于获得对系统的控制权。
系统启动时,默认情况下会启动该实用程序,这使问题更加严重。 研究人员在截止日期12月11日之后发布了该信息。 在此之后的两天,Logitech发布了该程序的更新版本,该版本似乎已消除该漏洞。 但是,并非所有人都同意这一说法。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。