Abo
  • IT-Karriere:

Websicherheit: Erneut Cross-Site-Scripting-Lücke in Wordpress entdeckt

In der Blog-Software Wordpress ist erneut eine Cross-Site-Scripting-Sicherheitslücke gefunden worden. Ursache ist eine Beispieldatei eines Icon-Sets. Betroffen sind das Default-Theme Twenty Fifteen und das Jetpack-Plugin.

Artikel veröffentlicht am , Hanno Böck
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke.
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke. (Bild: Screenshot / Genericons)

Zum dritten Mal innerhalb kurzer Zeit sind Nutzer von Wordpress-Blogs durch eine Cross-Site-Scripting-Sicherheitslücke bedroht. Die Firma Sucuri hat in einer Beispieldatei, die mit dem unter der GPL veröffentlichten Icon-Set Genericons mitgeliefert wurde, diese Lücke gefunden.

Twenty-Fifteen-Theme und Jetpack betroffen

Stellenmarkt
  1. LORENZ Life Sciences Goup, Frankfurt am Main
  2. European IT Consultancy EITCO GmbH, Bonn, Berlin, München

Genericons wird von diversen Wordpress-Themes und Plugins verwendet, unter anderem vom Twenty-Fifteen-Theme, dem aktuellen Default-Theme von Wordpress. Auch Nutzer, die das Default-Theme nicht benutzen, sind von der Lücke betroffen. Es reicht bereits, dass das Theme installiert ist. Auch das beliebte Jetpack-Plugin nutzt Genericons und enthält eine verwundbare Beispieldatei.

Die älteren Default-Themes von Wordpress Twenty Fourteen und Twenty Thirteen verwenden Genericons ebenfalls, allerdings in einer älteren Verison, in der diese Lücke noch nicht vorhanden ist.

DOM-basierte XSS-Lücke

Bei der Lücke handelt es sich um eine sogenannte DOM-basierte Sicherheitslücke. Während die meisten Cross-Site-Scripting-Lücken so funktionieren, dass ein Server eine potenziell von einem Angreifer kontrollierte Variable ungefiltert an den Nutzer zurückgibt, finden DOM-basierte Lücken alleine im Client statt. Der eingeschleuste Javascript-Code wird durch den Anker-Paramter # an die URL angehängt und durch das in der Beispieldatei enthaltene Javascript ausgeführt.

Die Ausnutzung der Lücke funktioniert nicht in allen Browsern. Chrome, Safari und der Internet Explorer besitzen einen Filter für sogenannte Reflected-XSS-Angriffe, also Cross-Site-Scripting-Angriffe, die direkt über die URL ausgelöst werden. Firefox hat jedoch bislang noch keinen derartigen XSS-Filter.

Wordpress hat die Version 4.2.2 veröffentlicht, in der das Problem behoben ist - die entsprechende Beispieldatei wird beim Update entfernt. Das betroffene Theme wird dabei auf die Version 1.2 aktualisiert. Wordpress versucht weiterhin zu erkennen, ob andere installierte Themes oder Plugins diese verwundbare Datei mitliefern. In den Release Notes von Wordpress 4.2.2 wird außerdem erwähnt, dass für eine andere Lücke, die in der vorherigen Version 4.2.1 bereits behoben worden war, ein vollständiger Fix implementiert wurde.

Jetpack verharmlost Problem

Jetpack hat das Problem in Version 3.5.3 behoben. Die Jetpack-Entwickler erwähnen in ihren Release Notes nicht, dass hier eine Sicherheitslücke behoben wurde, es ist lediglich von "Security Hardening" die Rede. Auch findet sich auf der Jetpack-Webseite kein Hinweis auf die Sicherheitslücke.

In Wordpress gab es zuletzt diverse Probleme mit Cross-Site-Scripting-Lücken. Kürzlich hatte der Sicherheitsforscher Jouko Pynnönen darüber berichtet, wie man mit einem überlangen Kommentar Javascript-Code in eine Seite einfügen konnte. Pikant daran war, dass Pynnönen behauptet, bereits vor vielen Monaten versucht zu haben, das Wordpress-Team auf dieses Problem hinzuweisen. Seine Kontaktversuche seien aber ignoriert worden. Kurz zuvor war bereits eine Cross-Site-Scripting-Lücke in zahlreichen beliebten Plugins entdeckt worden.

Content Security Policy würde helfen

Cross-Site-Scripting-Probleme, häufig als XSS abgekürzt, gehören zu den häufigsten Sicherheitslücken in Webanwendungen. Ein in modernen Browsern unterstützter HTTP-Header namens Content Security Policy kann - richtig angewendet - nahezu alle Cross-Site-Scripting-Lücken verhindern. Allerdings nutzen bisher nur wenige Webanwendungen diesen Header, da die Umstellung von bestehenden Anwendungen sehr aufwändig ist. Auch Wordpress nutzt Content Security Policy bislang nicht. Angesichts der Vielzahl an Problemen mit Cross-Site-Scripting-Lücken sollte Wordpress das dringend nachholen.



Anzeige
Top-Angebote
  1. 47,95€
  2. 185,00€ (Bestpreis + Geschenk!)
  3. 98,00€ (Bestpreis!)
  4. 469,00€

hannob (golem.de) 07. Mai 2015

Kurze Antwort: It's complicated :-) Also erstmal: Plugins können im Prinzip Javascript...


Folgen Sie uns
       


Huawei P30 Pro - Hands on

Das P30 Pro ist Huaweis jüngstes Top-Smartphone, das erstmals mit einem Teleobjektiv mit Fünffachvergrößerung kommt. Im ersten Kurztest macht die Kamera mit neu entwickeltem Bildsensor einen guten Eindruck.

Huawei P30 Pro - Hands on Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Swobbee: Der Wechselakku kommt wieder
Swobbee
Der Wechselakku kommt wieder

Mieten statt kaufen, wechseln statt laden: Das Berliner Startup Swobbee baut eine Infrastruktur mit Lade- und Tauschstationen für Akkus auf. Ein ähnliches Geschäftsmodell ist schon einmal gescheitert. Dieses kann jedoch aufgehen.
Eine Analyse von Werner Pluta

  1. Elektromobilität Seoul will Zweirad-Kraftfahrzeuge und Minibusse austauschen
  2. Rechtsanspruch auf Wallboxen Wohnungswirtschaft warnt vor "Schnellschuss" bei WEG-Reform
  3. Innolith Energy Battery Schweizer Unternehmen entwickelt sehr leistungsfähigen Akku

Falcon Heavy: Beim zweiten Mal wird alles besser
Falcon Heavy
Beim zweiten Mal wird alles besser

Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
Von Frank Wunderlich-Pfeiffer und dpa

  1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
  2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
  3. Raumfahrt SpaceX - Die Rückkehr des Drachen

    •  /