2101810

Wordpress 4.2.3: Wichtiges Sicherheits-Update schließt XSS-Lücke

24.07.2015 | 12:58 Uhr |

Für die weit verbreitete Webblog-Software Wordpress steht ein wichtiges Sicherheits-Update zum Download bereit. Es schließt eine ernste Sicherheitslücke.

Wordpress 4.2.3 steht als wichtiges Sicherheits-Update zur sofortigen Installation bereit. Die Macher von Wordpress raten dringend dazu, dieses Update schleunigst aufzuspielen.

Download: Wordpress 4.2.3

Aus gutem Grund: Denn Wordpress-Webseiten gehören zu den beliebtesten Angriffszielen von Hackern. Die Angreifer scannen regelmäßig mit Wordpress eingerichtete Seiten darauf, ob noch eine alte WP-Version zum Einsatz kommt, in der sich Sicherheitslücken befinden, die für Angriffe ausgenutzt werden. Die technische Basis für Wordpress bilden PHP und MySQL. Sowohl in der Programmiersprache als auch in dem Datenbanksystem werden ständig neue Sicherheitslücken entdeckt und geschlossen.

XSS-Lücke in Wordpress 4.2.2 und älter

Anlass für das jetzt veröffentlichte Sicherheits-Update 4.2.3 ist eine Cross-Site-Scripting-Lücke, die in Wordpress 4.2.2 sowie in dessen Vorgängerversionen entdeckt wurde. Mit Hilfe dieser XSS-Lücke können WP-Nutzer mit „Contributor”- oder “Author“-Rechten die Webseite kompromittieren.

Cross-Site-Scripting: Kurz-Erklärung

Cross-Site Scripting (die Abkürzung dafür lautet XSS und nicht wie eigentlich naheliegenderweise CSS, weil CSS bereits als Kürzel für Cascading Stylesheets vergeben ist) besteht einfach gesagt darin, dass ein Angreifer Skript-Code in variable Bereiche auf einer Website oder in einer Internetanwendung an einer Stelle einfügt (und zur Ausführung bringt), wo dies eigentlich nicht möglich sein sollte beziehungsweise wo die Eingaben durch den Browser nicht ausreichend überprüft werden und in einem für den Anwender vertrauenswürdigen Kontext erscheinen. 

Wordpress 4.0 - Die Neuerungen und der Umstieg

XSS-Angriffe können mittels jeder von einem Browser interpretierbaren Skriptsprache erfolgen. Meist dürfte Javascript verwendet werden, aber auch VB-Skript/ASP.net oder ActiveScript (die Skriptsprache von Flash) sind möglich.

Mit der neuen Version Wordpress 4.2.3 schlossen die Verantwortlichen auch noch eine andere Sicherheitslücke in der Quick-Draft-Funktion von WP.

Wordpress-Sicherheitslücken schließen - so geht's

 

0 Kommentare zu diesem Artikel
2101810