Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Blog-Software: Sicherheitslücke in vielen Wordpress-Versionen entdeckt

Wordpress-Logo: Lieber schnell die neue Version installieren Zur Großansicht

Wordpress-Logo: Lieber schnell die neue Version installieren

Attacken über die Kommentarfelder: Eine Sicherheitslücke in der Blog-Software Wordpress ermöglicht es Angreifern, schädlichen Javascript-Code einzuschleusen. Ein Software-Update ist bereits verfügbar.

Über 80 Prozent der derzeit genutzten Wordpress-Installationen sind durch eine Sicherheitslücke gefährdet - und das vermutlich seit Langem. Der Sicherheitsexperte Jouko Pynnonen warnt auf seiner Website vor einem sogenannten Cross-Site-Scripting (XSS), einem Angriff, für den die Versionen 3.0 bis 3.9.2 anfällig sein sollen. Mit Version 4.0 und 4.0.1 dagegen sei man vor der Attacke gewappnet, bei der unter bestimmten Umständen schädlicher Javascript-Code ausgeführt wird. Das Problem hängt Pynnonen zufolge mit der Formatierungsfunktion wptexturize von Wordpress zusammen, die sich aber auf Wunsch abschalten lässt.

Wordpress hat bereits Donnerstag bestätigt, dass es die Sicherheitslücke gibt, und ein Update veröffentlicht, das diese und weitere Lücken schließt. Die Installation des Updates auf Version 4.0.1 wird Nutzern älterer Wordpress-Versionen dringend empfohlen.

Eingeschleust wird der Code Pynnonens Beschreibung zufolge mithilfe der Kommentarfelder. Sobald ein Wordpress-Administrator einen entsprechenden Kommentar freischaltet - was zum Beispiel nötig ist, wenn der Kommentar Links enthält -, wird der Code ausführt. Infolgedessen kann es beispielsweise passieren, dass das Administratoren-Passwort geändert oder ein neuer Administratoren-Account angelegt wird. All das läuft im Hintergrund ab, so dass der Nutzer im Regelfall erst später mitbekommt, was geschehen ist.

Ein reines Aufrufen der Kommentar-Übersichtsseite soll noch nicht dafür sorgen, dass der Code ausgeführt wird, schreibt Pynnonen. Der Finne hat die Sicherheitslücke im September an Wordpress gemeldet, er bezeichnet sie als schwerste Lücke seit fünf Jahren.

mbö

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 1 Beitrag
Alle Kommentare öffnen
    Seite 1    
1. Autoupdate
TICKundTOOF 24.11.2014
Das Autoupdate von Wordpress kam die letzten Tage schon bei allen meinen Installationen an. Viel schlimmer als solche Lücken sind die Admins, die keine Ahnung haben. Habe z.B. von einem Bekannten die Administration seiner Joomla Seite übernommen, zuvor hat das eine regionale Internetagentur gemacht. Und was sieht man da? Bei einer Migration vor 2,5 Jahren hatten sie für FTP/Webspace Accounts mit Passwort 123456 eingerichtet und irgendwann wurden dann diverse Subdomains alle defaced, also "gehackt". Anstatt einer Datenbank gab es 5 mit so Namen wie "DB neu nicht löschen", "Website 2012", "sicherrung", "backup", "*anderer Seitenname*". Das hat damals mehrere Tausend Euro gekostet... Und die Seite ist so schwach gemacht, anstatt die Fähigkeiten des CMS zu nutzen wurde alles nur über Vorlagen gelöst... Der Fehler sitzt selten im System, öfters davor.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: