• IT-Karriere:
  • Services:

Websicherheit: Erneut Cross-Site-Scripting-Lücke in Wordpress entdeckt

In der Blog-Software Wordpress ist erneut eine Cross-Site-Scripting-Sicherheitslücke gefunden worden. Ursache ist eine Beispieldatei eines Icon-Sets. Betroffen sind das Default-Theme Twenty Fifteen und das Jetpack-Plugin.

Artikel veröffentlicht am , Hanno Böck
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke.
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke. (Bild: Screenshot / Genericons)

Zum dritten Mal innerhalb kurzer Zeit sind Nutzer von Wordpress-Blogs durch eine Cross-Site-Scripting-Sicherheitslücke bedroht. Die Firma Sucuri hat in einer Beispieldatei, die mit dem unter der GPL veröffentlichten Icon-Set Genericons mitgeliefert wurde, diese Lücke gefunden.

Twenty-Fifteen-Theme und Jetpack betroffen

Stellenmarkt
  1. über duerenhoff GmbH, Hamburg
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Genericons wird von diversen Wordpress-Themes und Plugins verwendet, unter anderem vom Twenty-Fifteen-Theme, dem aktuellen Default-Theme von Wordpress. Auch Nutzer, die das Default-Theme nicht benutzen, sind von der Lücke betroffen. Es reicht bereits, dass das Theme installiert ist. Auch das beliebte Jetpack-Plugin nutzt Genericons und enthält eine verwundbare Beispieldatei.

Die älteren Default-Themes von Wordpress Twenty Fourteen und Twenty Thirteen verwenden Genericons ebenfalls, allerdings in einer älteren Verison, in der diese Lücke noch nicht vorhanden ist.

DOM-basierte XSS-Lücke

Bei der Lücke handelt es sich um eine sogenannte DOM-basierte Sicherheitslücke. Während die meisten Cross-Site-Scripting-Lücken so funktionieren, dass ein Server eine potenziell von einem Angreifer kontrollierte Variable ungefiltert an den Nutzer zurückgibt, finden DOM-basierte Lücken alleine im Client statt. Der eingeschleuste Javascript-Code wird durch den Anker-Paramter # an die URL angehängt und durch das in der Beispieldatei enthaltene Javascript ausgeführt.

Die Ausnutzung der Lücke funktioniert nicht in allen Browsern. Chrome, Safari und der Internet Explorer besitzen einen Filter für sogenannte Reflected-XSS-Angriffe, also Cross-Site-Scripting-Angriffe, die direkt über die URL ausgelöst werden. Firefox hat jedoch bislang noch keinen derartigen XSS-Filter.

Wordpress hat die Version 4.2.2 veröffentlicht, in der das Problem behoben ist - die entsprechende Beispieldatei wird beim Update entfernt. Das betroffene Theme wird dabei auf die Version 1.2 aktualisiert. Wordpress versucht weiterhin zu erkennen, ob andere installierte Themes oder Plugins diese verwundbare Datei mitliefern. In den Release Notes von Wordpress 4.2.2 wird außerdem erwähnt, dass für eine andere Lücke, die in der vorherigen Version 4.2.1 bereits behoben worden war, ein vollständiger Fix implementiert wurde.

Jetpack verharmlost Problem

Jetpack hat das Problem in Version 3.5.3 behoben. Die Jetpack-Entwickler erwähnen in ihren Release Notes nicht, dass hier eine Sicherheitslücke behoben wurde, es ist lediglich von "Security Hardening" die Rede. Auch findet sich auf der Jetpack-Webseite kein Hinweis auf die Sicherheitslücke.

In Wordpress gab es zuletzt diverse Probleme mit Cross-Site-Scripting-Lücken. Kürzlich hatte der Sicherheitsforscher Jouko Pynnönen darüber berichtet, wie man mit einem überlangen Kommentar Javascript-Code in eine Seite einfügen konnte. Pikant daran war, dass Pynnönen behauptet, bereits vor vielen Monaten versucht zu haben, das Wordpress-Team auf dieses Problem hinzuweisen. Seine Kontaktversuche seien aber ignoriert worden. Kurz zuvor war bereits eine Cross-Site-Scripting-Lücke in zahlreichen beliebten Plugins entdeckt worden.

Content Security Policy würde helfen

Cross-Site-Scripting-Probleme, häufig als XSS abgekürzt, gehören zu den häufigsten Sicherheitslücken in Webanwendungen. Ein in modernen Browsern unterstützter HTTP-Header namens Content Security Policy kann - richtig angewendet - nahezu alle Cross-Site-Scripting-Lücken verhindern. Allerdings nutzen bisher nur wenige Webanwendungen diesen Header, da die Umstellung von bestehenden Anwendungen sehr aufwändig ist. Auch Wordpress nutzt Content Security Policy bislang nicht. Angesichts der Vielzahl an Problemen mit Cross-Site-Scripting-Lücken sollte Wordpress das dringend nachholen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-82%) 11,00€
  2. 16,49€
  3. (u. a. Rage 2 für 11€, The Elder Scrolls V: Skyrim Special Edition für 11,99€, Doom Eternal...
  4. 22,99€

hab (Golem.de) 07. Mai 2015

Kurze Antwort: It's complicated :-) Also erstmal: Plugins können im Prinzip Javascript...


Folgen Sie uns
       


24-zu-10-Monitor LG 38GL950G - Test

LGs 21:9-Monitor 38GL950G überzeugt durch gute Farben und sehr gute Leistung in Spielen und beim Filmeschauen. Allerdings gibt es einige Probleme beim Übertakten des Panels.

24-zu-10-Monitor LG 38GL950G - Test Video aufrufen
    •  /