Il bug è presente anche nel tema di default della popolare piattaforma.
[ZEUS News - www.zeusnews.it - 08-05-2015]
C'è una falla nel popolare CMS Wordpress, una vulnerabilità XSS particolarmente semplice da sfruttare.
Il problema, stando a quanto rivela Sucuri (l'azienda che per prima ha dato l'allarme), sta in un file incluso nel pacchetto Genericons, usato da molti temi e plugin tra cui il tema di default di Wordpress, Twenty Fifteen, e il plugin JetPack.
L'ampia diffusione di questi due componenti fa sì che la vulnerabilità sia presente in milioni di siti web, i cui proprietari faranno quindi bene a correre prontamente ai ripari.
La vulnerabilità si verifca al livello del Document Object Model e, come spiega Sucuri, quale conseguenza «il codice lato client viene eseguito in maniera "inaspettata". Cioè, la pagina in sé (ossia la risposta HTTP) non cambia, ma il codice lato client contenuto nella pagina viene eseguito in maniera diversa a causa delle modifiche pericoloso che sono avvenute nell'ambiente DOM».
Vi sono comunque dei lati positivi in questa vicenda. Il primo è che, per sfruttare la falla, un malintenzionato deve sfruttare qualche tecnica di social engineering, convincendo la vittima a cliccare su un link che permetta di eseguire l'attacco.
|
Il secondo è che risolvere il problema, tutto sommato, è semplice. Innanzitutto Wordpress ha rilasciato una nuova versione, la 4.2.2, che si prende cura di tutti i dettagli.
Chi invece per qualche motivo non volesse o non potesse aggiornare non dovrà comunque fare molta fatica per mettersi al sicuro: sarà sufficiente cancellare il file genericons/example.html, che comunque non è necessario per il buon funzionamento del componente.
Come nota a margine, Sucuri fa notare che l'attacco è stato rilevato sul campo prima ancora che i dettagli venissero resi noti: evidentemente la sua esistenza era già nota da qualche tempo prima che l'azienda se ne accorgesse.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|
Gladiator