WordPressの更新版公開、複数の脆弱性などを修正
脆弱性を放置すればWebサイト改ざんなどの攻撃に利用される恐れがある。
» 2015年08月05日 07時41分 公開
[鈴木聖子,ITmedia]
WordPressの最新版となるバージョン4.2.4が8月4日付で公開された。6件のセキュリティ問題が修正されており、WordPressを使っているWebサイトでは直ちに更新を適用するよう呼び掛けている。
今回修正された6件の脆弱性のうち、3件のクロスサイトスクリプティング(XSS)の脆弱性や、1件のSQLインジェクションの脆弱性は、悪用されればWebサイトの改ざんにつながる恐れがある。
また、暗号処理にかかる時間などを基にして秘密情報を特定する「タイミングサイドチャネル攻撃」に利用される恐れのある問題も修正されたほか、投稿の編集をできなくする攻撃に対する防御策が盛り込まれた。この他にも4件の不具合などを修正している。
WordPressやプラグインの脆弱性を突いてWebサイトが改ざんされる被害は増加傾向にあり、米US-CERTなども早急な対応を促している。
関連記事
「WordPress 4.2.3」公開、XSSの脆弱性を修正
XSSの脆弱性を悪用された場合、「投稿者」「寄稿者」の権限を持つユーザーがWebサイトを制御できてしまう恐れがある。
WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も
脆弱性の影響はデフォルトのテーマ「TwentyFifteen」や人気プラグインの「JetPack」にも及ぶ。情報が公開される前からこの脆弱性を突く攻撃の発生が報告されていたという。
AppleやFacebookを狙った連続サイバー攻撃、犯人の狙いは?
2013年に米Apple、Facebook、Twitter、Microsoftなどの大手が相次いで攻撃された事件は、産業スパイを目的とするハッカー集団が関与していたことが分かったと、Kaspersky LabとSymantecが報告した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- 爆売れだった「ノートPC」が早くも旧世代の現実
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
- そのインシデントは“重大”か? 判断の指標となる定量的/定性的な要素
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 日清食品はなぜ「生成AIを20日で導入」できたか? セキュリティ視点で考える
ITmediaはアイティメディア株式会社の登録商標です。