由兩款使用范圍極廣的WordPress插件所導致的一項安全漏洞已經被攻擊者們所利用,而且根據一家計算機安全廠商所報告,這將直接令數百萬個WordPress站點面臨安全風險。
這兩款插件分別為JetPack——一款自定義與性能工具——以及Twenty Fifteen——用于實現無限滾動,來自安全廠商Sucuri公司的惡意軟件研究人員David Dede在一篇博文中寫道。WordPress會默認安裝Twenty Fifteen,而這無疑大大增加了站點遭遇攻擊活動的風險。
兩款插件都使用了一套名為genericons的軟件包,其中包含有嵌入字體的矢量圖標。在這套軟件包中,名為“example.html”的文件存在不安全因素,而這直接導致該軟件包極易被攻擊者滲透,Dede在博文中寫道。
此次曝光的安全漏洞藏身于genericons當中且極難被發現,Dede寫道。這是一項XSS(即跨站點腳本)漏洞,其中惡意有效負載會假借瀏覽器DOM(即文檔對象模型)修改結果的姿態得以運行。根據W3C的解釋,DOM這一編程API的作用是負責定義HTML與XML文檔如何實現訪問與顯示。
Dede在博文中指出,由此交付的有效負載會直接在瀏覽器內得到執行,而不會抵達服務器端。這意味著Web應用程序防火墻對此無能為力——既發現不了、亦阻止不成。
Dede在文章中表示,Sucuri公司發現了一種以虛擬紀方式修復該漏洞的辦法,但這項基于DOM的XXS漏洞“極難被阻斷”。
在攻擊活動得手的情況下,受害者會被引導并點擊某條惡意鏈接。
一部分托管廠商及服務項目,例如GoDaddy、DreamHost以及ClickHost,都已經進行過虛擬補丁安裝或者采取其它辦法保護用戶安全,Dede補充稱。
WordPress被廣泛應用于Web領域的內容發布工作當中,因此其中的安全漏洞往往會帶來嚴重影響。根據WordPress締造廠商的估計,其目前在全部互聯網站點中的運行比例大概為23%,其中包括《時代》以及美國有線電視新聞網等媒體巨頭。
就在上個月,WordPress剛剛通過補丁修復了兩項與此次狀況類似的嚴重跨站點腳本漏洞。當時曝光的兩項漏洞允許惡意JavaScript代碼進入評論字段并實現運行。
京公網安備 11010502049343號