Abo
  • Services:
Anzeige
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke.
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke. (Bild: Screenshot / Genericons)

Websicherheit: Erneut Cross-Site-Scripting-Lücke in Wordpress entdeckt

Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke.
Das Icon-Set Genericons enthält eine Beispieldatei mit einer Sicherheitslücke. (Bild: Screenshot / Genericons)

In der Blog-Software Wordpress ist erneut eine Cross-Site-Scripting-Sicherheitslücke gefunden worden. Ursache ist eine Beispieldatei eines Icon-Sets. Betroffen sind das Default-Theme Twenty Fifteen und das Jetpack-Plugin.

Anzeige

Zum dritten Mal innerhalb kurzer Zeit sind Nutzer von Wordpress-Blogs durch eine Cross-Site-Scripting-Sicherheitslücke bedroht. Die Firma Sucuri hat in einer Beispieldatei, die mit dem unter der GPL veröffentlichten Icon-Set Genericons mitgeliefert wurde, diese Lücke gefunden.

Twenty-Fifteen-Theme und Jetpack betroffen

Genericons wird von diversen Wordpress-Themes und Plugins verwendet, unter anderem vom Twenty-Fifteen-Theme, dem aktuellen Default-Theme von Wordpress. Auch Nutzer, die das Default-Theme nicht benutzen, sind von der Lücke betroffen. Es reicht bereits, dass das Theme installiert ist. Auch das beliebte Jetpack-Plugin nutzt Genericons und enthält eine verwundbare Beispieldatei.

Die älteren Default-Themes von Wordpress Twenty Fourteen und Twenty Thirteen verwenden Genericons ebenfalls, allerdings in einer älteren Verison, in der diese Lücke noch nicht vorhanden ist.

DOM-basierte XSS-Lücke

Bei der Lücke handelt es sich um eine sogenannte DOM-basierte Sicherheitslücke. Während die meisten Cross-Site-Scripting-Lücken so funktionieren, dass ein Server eine potenziell von einem Angreifer kontrollierte Variable ungefiltert an den Nutzer zurückgibt, finden DOM-basierte Lücken alleine im Client statt. Der eingeschleuste Javascript-Code wird durch den Anker-Paramter # an die URL angehängt und durch das in der Beispieldatei enthaltene Javascript ausgeführt.

Die Ausnutzung der Lücke funktioniert nicht in allen Browsern. Chrome, Safari und der Internet Explorer besitzen einen Filter für sogenannte Reflected-XSS-Angriffe, also Cross-Site-Scripting-Angriffe, die direkt über die URL ausgelöst werden. Firefox hat jedoch bislang noch keinen derartigen XSS-Filter.

Wordpress hat die Version 4.2.2 veröffentlicht, in der das Problem behoben ist - die entsprechende Beispieldatei wird beim Update entfernt. Das betroffene Theme wird dabei auf die Version 1.2 aktualisiert. Wordpress versucht weiterhin zu erkennen, ob andere installierte Themes oder Plugins diese verwundbare Datei mitliefern. In den Release Notes von Wordpress 4.2.2 wird außerdem erwähnt, dass für eine andere Lücke, die in der vorherigen Version 4.2.1 bereits behoben worden war, ein vollständiger Fix implementiert wurde.

Jetpack verharmlost Problem

Jetpack hat das Problem in Version 3.5.3 behoben. Die Jetpack-Entwickler erwähnen in ihren Release Notes nicht, dass hier eine Sicherheitslücke behoben wurde, es ist lediglich von "Security Hardening" die Rede. Auch findet sich auf der Jetpack-Webseite kein Hinweis auf die Sicherheitslücke.

In Wordpress gab es zuletzt diverse Probleme mit Cross-Site-Scripting-Lücken. Kürzlich hatte der Sicherheitsforscher Jouko Pynnönen darüber berichtet, wie man mit einem überlangen Kommentar Javascript-Code in eine Seite einfügen konnte. Pikant daran war, dass Pynnönen behauptet, bereits vor vielen Monaten versucht zu haben, das Wordpress-Team auf dieses Problem hinzuweisen. Seine Kontaktversuche seien aber ignoriert worden. Kurz zuvor war bereits eine Cross-Site-Scripting-Lücke in zahlreichen beliebten Plugins entdeckt worden.

Content Security Policy würde helfen

Cross-Site-Scripting-Probleme, häufig als XSS abgekürzt, gehören zu den häufigsten Sicherheitslücken in Webanwendungen. Ein in modernen Browsern unterstützter HTTP-Header namens Content Security Policy kann - richtig angewendet - nahezu alle Cross-Site-Scripting-Lücken verhindern. Allerdings nutzen bisher nur wenige Webanwendungen diesen Header, da die Umstellung von bestehenden Anwendungen sehr aufwändig ist. Auch Wordpress nutzt Content Security Policy bislang nicht. Angesichts der Vielzahl an Problemen mit Cross-Site-Scripting-Lücken sollte Wordpress das dringend nachholen.


eye home zur Startseite
hannob (golem.de) 07. Mai 2015

Kurze Antwort: It's complicated :-) Also erstmal: Plugins können im Prinzip Javascript...



Anzeige

Stellenmarkt
  1. Hochschule für angewandte Wissenschaften Ansbach, Ansbach
  2. Daimler AG, Sindelfingen
  3. Daimler AG, Leinfelden-Echterdingen
  4. IS4IT GmbH, Oberhaching


Anzeige
Blu-ray-Angebote
  1. 65,00€
  2. 22,00€ (Vorbesteller-Preisgarantie)
  3. 16,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Extremistische Inhalte

    Google hat weiter Probleme mit Werbeplatzierungen

  2. SpaceX

    Für eine Raketenstufe geht es zurück ins Weltall

  3. Ashes of the Singularity

    Patch sorgt auf Ryzen-Chips für 20 Prozent mehr Leistung

  4. Thimbleweed Park im Test

    Mord im Pixelparadies

  5. Bundesgerichtshof

    Eltern müssen bei illegalem Filesharing ihre Kinder verraten

  6. Gesetz beschlossen

    Computer dürfen das Lenkrad übernehmen

  7. Neue Bildersuche

    Fotografenvereinigung Freelens klagt gegen Google

  8. FTTB

    Unitymedia baut zwei Gemeinden mit Glasfaser aus

  9. Hashfunktion

    Der schwierige Abschied von SHA-1

  10. Cyberangriff auf Bundestag

    BSI beschwichtigt und warnt vor schädlichen Werbebannern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Synlight: Wie der Wasserstoff aus dem Sonnenlicht kommen soll
Synlight
Wie der Wasserstoff aus dem Sonnenlicht kommen soll
  1. Energieversorgung Tesla nimmt eigenes Solarkraftwerk in Hawaii in Betrieb

Android O im Test: Oreo, Ovomaltine, Orange
Android O im Test
Oreo, Ovomaltine, Orange
  1. Android O Alte Crypto raus und neuer Datenschutz rein
  2. Developer Preview Google veröffentlicht erste Vorschau von Android O
  3. Android O Google will Android intelligenter machen

Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. iPhone Apple soll A11-Chip in 10-nm-Verfahren produzieren
  2. WatchOS 3.2 und TVOS 10.2 Apple Watch mit Kinomodus und Apple TV mit fixem Scrollen
  3. Patentantrag Apple will iPhone ins Macbook stecken

  1. Re: Angehörige belasten

    Schnarchnase | 22:27

  2. Re: Der letzte Absatz

    NaruHina | 22:25

  3. Re: Funktionieren Neu (und real) Verfilmungen von...

    Butterkeks | 22:24

  4. Drei zuviel

    Shismar | 22:14

  5. Re: Git ungleich Securityprodukt

    twothe | 22:10


  1. 19:00

  2. 18:40

  3. 18:20

  4. 18:00

  5. 17:08

  6. 16:49

  7. 15:55

  8. 15:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel