WordPress выпускает свое третье обновление системы защиты, версию 4.2.2, меньше чем за четыре недели для фиксации перекрестного сайта, пишущего сценарий уязвимостей системы обеспечения безопасности.Система управления контентом WordPress с открытым исходным кодом еще раз обновляется вследствие критических уязвимостей системы обеспечения безопасности. Поздно 6 мая десятки миллионов администраторов сайта WordPress во всем мире приветствовала слишком знакомая электронная почта от WordPress со строкой темы: «Ваш сайт обновил к WordPress 4.2.2».Начиная с выпуска WordPress 3.7 в октябре 2013, WordPress предоставила своим саморазмещенным пользователям автоматизированный механизм обновления системы защиты.
Размещенная служба WordPress.com также автоматически применяет обновления.Среди новой WordPress 4.2.2 обновления системы защиты один для пакета шрифта значка Genericons, который имеет перекрестный сайт, пишущий сценарий (XSS) риск уязвимости. Genericons используются в многократных плагинах WordPress и темах и широко развертываются. Кредитный Netsparker фирмы безопасности WordPress с отчетностью об уязвимости Genericons, которая также идентифицируется как CVE-2015-3429.
Согласно Netsparker, это сначала связалось со службой безопасности WordPress о проблеме 22 апреля. Фактический дефект присутствовал только в файле example.html, оставленном в папке Genericons для установки темы WordPress.«Используя уязвимость сценариев перекрестного сайта атакующий может угнать сессию зарегистрированного пользователя», Нетспаркер предупреждает на ее консультации безопасности. «Это означает, что злонамеренный хакер может изменить пароль зарегистрированного пользователя и лишить законной силы сессию жертвы, в то время как хакер поддерживает доступ».Другое главное исправление уязвимости системы обеспечения безопасности в WordPress 4.2.2 является фактически второй попыткой исправления дефекта, который WordPress 4.2.1, как предполагалось, фиксировала.
27 апреля WordPress 4.2.1 была выпущена, фиксировав критическую уязвимость дефекта комментария XSS, которая подвергла сайты риску.«Версия 4.2.2 также изменяет к лучшему исправление для критической уязвимости сценариев перекрестного сайта, представленной в 4.2.1», WordPress 4.2.2 государства информации о версии.Разработчики WordPress также приняли меры в WordPress 4.2.2 для ограничения риска потенциальных проблем XSS при использовании визуального редактора.WordPress 4.2.2 является третьим автоматическим обновлением в как много недель, выставленных для фиксации уязвимостей системы обеспечения безопасности.
WordPress 4.2.1 обновления были выпущены 27 апреля, в то время как WordPress 4.1.2 была выпущена 22 апреля. Во всех трех случаях были фиксированы уязвимости XSS.
Дефекты XSS долго были проблемой для разработчиков веб-приложения. В 2013 IBM идентифицировал XSS, как являющийся главной уязвимостью веб-приложения с 2009 до 2013.Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.