WordPressの最新版となるバージョン4.2.4が8月4日付で公開された。6件のセキュリティ問題が修正されており、WordPressを使っているWebサイトでは直ちに更新を適用するよう呼び掛けている。
今回修正された6件の脆弱性のうち、3件のクロスサイトスクリプティング(XSS)の脆弱性や、1件のSQLインジェクションの脆弱性は、悪用されればWebサイトの改ざんにつながる恐れがある。
また、暗号処理にかかる時間などを基にして秘密情報を特定する「タイミングサイドチャネル攻撃」に利用される恐れのある問題も修正されたほか、投稿の編集をできなくする攻撃に対する防御策が盛り込まれた。この他にも4件の不具合などを修正している。
WordPressやプラグインの脆弱性を突いてWebサイトが改ざんされる被害は増加傾向にあり、米US-CERTなども早急な対応を促している。
関連記事
- 「WordPress 4.2.3」公開、XSSの脆弱性を修正
XSSの脆弱性を悪用された場合、「投稿者」「寄稿者」の権限を持つユーザーがWebサイトを制御できてしまう恐れがある。 - WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も
脆弱性の影響はデフォルトのテーマ「TwentyFifteen」や人気プラグインの「JetPack」にも及ぶ。情報が公開される前からこの脆弱性を突く攻撃の発生が報告されていたという。 - AppleやFacebookを狙った連続サイバー攻撃、犯人の狙いは?
2013年に米Apple、Facebook、Twitter、Microsoftなどの大手が相次いで攻撃された事件は、産業スパイを目的とするハッカー集団が関与していたことが分かったと、Kaspersky LabとSymantecが報告した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.