WordPress Sicherheitsupdates Patches für externe Bibliotheken, mehrere Schwachstellen

Das WordPress-Entwicklerteam hat am Freitag WordPress 3.3.2 veröffentlicht, um mehrere Schwachstellen in der beliebten Blogging-Plattform sowie in drei externen Bibliotheken, die standardmäßig mitgeliefert werden, zu beheben.

Die neue WordPress-Version aktualisiert die gebündelte Plupload-Bibliothek auf Version 1.5.4, nachdem die Entwickler letzte Woche eine Cross-Site-Request-Forgery-Schwachstelle (CSRF) gepatcht haben.

Plupload ist eine flexible Upload-Bibliothek mit Unterstützung für eine Vielzahl von Laufzeiten HTML5, Flash, Silverlight, Gears und BrowserPlus. Es wird standardmäßig in WordPress zum Hochladen von Mediendateien verwendet.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Mehrere Sicherheitsfehler wurden auch in zwei anderen Bibliotheken namens SWFUpload und SWFObject behoben, in denen WordPress verwendet wurde die Vergangenheit für das Hochladen von Mediendateien bzw. die Flash-Einbettung.

Obwohl WordPress diese Bibliotheken nicht mehr verwendet, werden sie immer noch mit der Plattform ausgeliefert, um die Abwärtskompatibilität zu älteren Designs und Plug-Ins zu gewährleisten, die auf ihnen basieren

Zwei Cross-Site-Scripting (XSS) -V Schwachstellen, die beim Klickbarmachen von URLs, beim Filtern von URLs oder beim Weiterleiten von Nutzern nach dem Posten von Kommentaren in älteren Browsern ausgenutzt werden können, wurden in der neuen WordPress-Version ebenfalls angesprochen Anmerkungen:

Eine Schwachstelle für die Rechteweiterleitung mit begrenzter Auswirkung, die von einem Site-Administrator ausgenutzt werden könnte, um netzwerkweite Plugins zu deaktivieren, wenn ein WordPress-Netzwerk unter bestimmten Bedingungen ausgeführt wird Auch die Umstände wurden behoben.

WordPress ist ein häufiges Ziel für Hacker, die Sicherheitslücken in veralteten Installationen ausnutzen, um bösartigen Code in Websites einzubringen, die von der Plattform betrieben werden. Die Flashback-Malware, die vor kurzem über 600.000 Mac-Computer infiziert hat, wurde über webbasierte Angriffe von kompromittierten WordPress-Websites verbreitet.

Sicherheitsforscher raten Webseitenbetreibern, ihre WordPress-Installationen und alle zugehörigen Plug-ins und Themes auf dem neuesten Stand zu halten jederzeit. Das WordPress 3.3.2-Update sollte automatisch auf dem Verwaltungsdashboard im Menü "Updates" erscheinen, Benutzer können jedoch auch ein manuelles Update durchführen.