WordPress 熱門部落格平台最近發現的幾項零時差漏洞,讓全球數百萬網站陷入危險當中。這些漏洞是由芬蘭的資安研究人員 Jouko Pynnönen 所發現,可讓駭客在網站管理員的瀏覽器視窗內執行 JavaScript 程式碼,並且進一步以系統管理員的權限執行一些不法的作業,駭客甚至可以掌控該伺服器。WordPress 已經釋出一項列為重大安全更新的 WordPress 版本,呼籲所有使用者盡速更新。
這些漏洞可讓駭客藉由回應、論壇、討論等等內容發動一個預存的跨網站腳本攻擊 (XSS),這是危險性最高的一種 XSS 攻擊。其攻擊手法是將 HTML 和 JavaScript 內容連同 64KB 的文字加到一個 WordPress 部落格或網站的回應貼文內,接著這段程式碼將保存到 WordPress 資料庫當中。之後,當網站系統管理員打開首頁來檢視回應內容時,就會執行這段程式碼。
此惡意程式碼接著執行一些作業,例如將某個後門程式 (shell 檔案) 上傳到伺服器,或者新增一些擁有管理員權限的使用者帳號。如此一來,駭客就能利用上傳的後門程式來進入伺服器,或者使用新增的系統管理員帳號登入。這一切都在背後進行,因此真正的系統管理員並不知情,當然也未核准。
趨勢科技的建議和解決方案
我們呼籲 WordPress 網站系統管理員盡速升級至最新版本 (4.2.1) 來修正這些漏洞,這項工作可從 WordPress 的儀表板上就能輕鬆完成。
此外,以下的趨勢科技 Deep Security XSS 防範規則也可以防堵這些漏洞。此規則原本就已內建在產品當中,可防範利用這類漏洞的攻擊。當然,我們也建議您在套用此規則之後再確認一下您的伺服器是否仍遭到入侵。
- 1000552 – Generic Cross Site Scripting (XSS) Prevention (防範通用跨網站腳本攻擊)
原文出處:WordPress Vulnerability Puts Millions of Sites at Risk; Trend Micro Solutions Available
作者:Jaydeep Dave (漏洞研究團隊)
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
