Deux fragilités de sécurité sont corrigées dans WordPress 4.5.2

Deux Fragilités De Sécurité Sont Corrigées Dans WordPress 4.5.2

 

L’équipe WordPress a sorti une version WordPress 4.5.2 dans laquelle deux fragilités de sécurité sont corrigées dans toutes les versions à partir de WordPress 4.5.1. La première fragilité est SOME (Same-Origin Method Execution) dans Plupload, une bibliothèque extérieure qui est utilisée sous WordPress pour télécharger les fichiers. La deuxième fragilité, c’est celle de XSS dans MediaElement.js, une bibliothèque extérieure utilisée pour les lecteurs media.

 

 

 

Same Origin Method Execution est une nouvelle attaque basée sur l’utilisation du paramètre JSONP de callback, qui permet de réaliser des fonctionnalités spontanées sur le site vulnérable. Dès que la victime suit le lien du malfaiteur, une nouvelle fenêtre ou un frame s’ouvre et le code vénéneux s’effectue. Le plus souvent la victime ne se rend même pas compte de ce qui s’est passé.   L’exécution des fonctionnalités concrètes de Same Origin Method Execution dépend du site attaqué. Pour se protéger de ces interventions il est possible d’utiliser les noms des fonctionnalités statiques de callback; mettre les callback dans la liste blanche sur votre serveur; enregistrer les callback.

Les mis à jour automatiques sont déjà sur les sites. Si vous ne voulez pas attendre vous pouvez mettre à jour votre WP manuellement dans votre panneau d’administration. En complément du release, l’équipe  WordPress a publié l’article https://wordpress.org/news/2016/05/wordpress-4-5-2/  dédié aux nombreuses fragilités trouvées dans ImageMagick, un script populaire de traitement des images, utilisé par plusieurs hébergeurs. L’article décrit des particularités des diverses fragilités et les solutions proposées pour régler ces problèmes.

Articles similaires

Ultra Facebook Timeline — plugin, montrant vos dernières publications sur Facebook sous l’air d’une échelle chronologique

 

Il y a des gens qui mènent une vie sociale active dans les réseaux sociaux. En même temps ils n’actualisent pas du tout leurs blogs personnels. Ils utilisent le blog comme un site vitrine, portfolio et ne donnent leurs nouvelles et actualités que sur Facebook. Pour ces gens il y a un plugin utile Ultra Facebook Timeline. Le plugin Ultra Facebook Timeline permet de visualiser les messages de votre compte Facebook sur votre blog. En plus le plugin le fait en forme élégante et pratique d’une échelle. Читать дальше...