WordPress 5.0の大規模なリリースのわずか1週間後、世界で最も人気のあるCMSの開発者は、多くの深刻な脆弱性( ニュース )を対象としたパッチをリリースしました。 7つのギャップが閉じられました。一部のWordPress構成で最も深刻な問題により、検索エンジンは新しいユーザーのアクティベーションページのインデックスを作成できます。 ページURLにはアクティベーションキーが含まれているため、ユーザーの電子メールアドレスや、場合によってはパスワードが自動的に生成される可能性があります。
この問題は、URLからCookieに識別子を転送することで解決しました。 この脆弱性はバージョン4.xにも影響します-何らかの理由でWordPress 5.0に切り替える準備ができていない人のために、バージョン4.9.9がリリースされました。 XSSクラスの他の3つの脆弱性により、理論的には、すでに登録されているWordPressユーザーが管理者のコメントを編集することにより、ある場合には特権を高めることができます。 PHPの脆弱性も解消され、ファイルのダウンロード時に任意の保存パスを指定できるようになりました。 研究者のサムトーマスは、BlackHatカンファレンス( PDF )で彼女についてさらに語りました。 すべてのクローズド脆弱性に関するもう少しの情報は、Wordfence ブログで見つけることができます。
Facebookは再びデータを漏らした。 または、彼らはリークしませんでした:先週、同社はサードパーティのアプリケーションがユーザーの写真にアクセスできるようにするAPIのバグについて(FBブログのニュース 投稿 )に語りました。 エラーは9月13日から25日まで続きました。 現時点では、ユーザーが既にFacebook上の写真へのアクセスを許可しているサードパーティ製アプリケーションは、一般的にアカウントのすべての写真にアクセスできます。 通常の状態では、ユーザーが自分の記録に公開している写真にのみアクセスが許可されます。 ほぼ2週間、APIはストーリーからの写真、フリーマーケットからの写真などに対してオープンでした。 最も悲しいことは、プライベートな写真へのアクセスがあったことです。ユーザーがどこにも公開したことはないが、ソーシャルネットワークにアップロードした写真であってもです。
このディストリビューションは680万人のユーザーにヒットしました。 ソーシャルネットワークによって収集されたデータのプライバシーに関するよく知られた議論の後、別のセキュリティホールに関する各ニュースが大きな注目を集めています。 この場合、ひどいことは何も起こりませんでした:彼らはバグを作り、それを見つけ、それを修正しました。 別のユーザーとしてページを表示する機能に関する以前の問題は、より深刻でした。 いつものように、Facebookはその脆弱性だけではありません。Google+で別の問題が発見された後、 彼らはこの不幸なソーシャルネットワークを計画より早く閉鎖することにしました 。
Google Project Zeroチームの研究者Tavis Ormandyは、Logitechキーボードユーティリティのバグの詳細を公開しています( ニュース 、詳細レポート )。 Logitech Optionsユーティリティの脆弱性が9月に発見され、その後メーカーはかなり長い間問題を修正しました。 しかし、問題は興味深いものです。 一般に、このユーティリティを使用すると、ユーザーの要求に応じてキーボードのボタンを再割り当てできます。そこで攻撃ベクトルを見つけることは予想外でした。 それでも、アプリケーションは存在します。アプリケーションは特定のTCPポートでコマンドをリッスンし、コマンドの送信元をまったくチェックしません。
したがって、準備済みのWebページを使用してユーティリティをリモートで制御することが可能になります。 同様の問題(操作は少し簡単ですが)がルーターによって大規模に観察されました。ユーザーがブラウザーでページを開くことを知らなくても、リモートで管理できます。 オープンネットワークインターフェースを介して、プログラム設定を変更したり、キーボードに代わって任意の文字シーケンスを送信したりできます。これは理論的にはシステムの制御に使用できます。
このユーティリティは、システムの起動時にデフォルトで起動するため、問題はさらに深刻になります。 研究者は、12月11日の締め切り後に情報を公開しました。 その2つ後、Logitechはこの脆弱性を解決すると思われるプログラムの更新バージョンをリリースしました。 ただし、誰もがこの声明に同意するわけではありません。
免責事項:このダイジェストに記載されている意見は、カスペルスキーの公式見解と必ずしも一致しない場合があります。 親愛なる編集者は一般に、意見を健全な懐疑心を持って扱うことを推奨しています。