Icone e font stanno facendo passare notti insonni a WordPress
Gli esperti di sicurezza di Sucuri hanno scovato un’altra falla nella nota piattaforma di self publishing. La vulnerabilità, di tipo cross-site scripting, colpisce il file example.html dentro le estensioni JetPack e TwentyFifteen. Il pacchetto “genericons”, contenente vettoriali, può così essere sfruttato per iniettare codice maligno silenzioso all’interno dei browser degli utenti.
Pubblicato il 07 maggio 2015 da Redazione
I gestori di WordPress dichiarano con orgoglio di aver creato la prima piattaforma di editoria personale al mondo, con quasi il 24 per cento dei siti Web che utilizzano l’editor per realizzare pagine e portali Internet. Ma, forse, dovrebbero anche pensare di più alla sicurezza dei loro “avventori”. Nelle ultime settimane WordPress ha infatti dovuto risolvere alcuni seri problemi di vulnerabilità, a cui se ne è da poche ore aggiunto un altro, portato alla luce dagli esperti di Sucuri. In questo caso, la falla riguarderebbe due plugin: JetPack, strumento per migliorare le performance dei siti e Twenty Fifteen, per ottenere lo scroll infinito delle pagine. Secondo David Dede, ricercatore di Sucuri, si tratta di bug molto difficili da risolvere, perché riguardano il pacchetto “genericons”. È un contenitore che presenta al suo interno icone vettoriali embeddate in un font. Dentro “genericons” si trova però un file, chiamato “example.html”, che potrebbe spalancare le porte agli hacker se sfruttato nel modo giusto.
Oltre alla difficoltà di risoluzione del problema, l’ulteriore aggravante è che l’estensione Twenty Fifteen viene installata di default con WordPress, esponendo così potenzialmente al pericolo milioni e milioni di siti. “Genericons” è, nel dettaglio, sensibile alle vulnerabilità di tipo cross-site scripting (Xss): falle che colpiscono i siti dinamici che adottano un controllo insufficiente dell'input nei form. In questo caso, il codice maligno eseguito dai cybercriminali viene lanciato in seguito alla modifica del Document Object Model (Dom) di un browser. Il Dom è un Api ed è lo standard ufficiale del consorzio W3C per la corretta rappresentazione di documenti Html e Xml.
L’ambiente Dom in esecuzione viene modificato dall’attaccante mentre l’utente non è in grado di accorgersene: le pagine visualizzate a schermo rimangono infatti identiche, ma sottotraccia inizia a lavorare il codice maligno, che viene eseguito direttamente lato client e senza passare dal server. In questo modo, nemmeno i firewall sul Web riescono a identificare la minaccia.
Per cadere nelle mani degli hacker, la vittima deve però cliccare prima su un link corrotto. La buona notizia è che gli operatori di Sucuri dovrebbero essere riusciti a chiudere la falla, così come altri provider, tra cui GoDaddy e DreamHost. In attesa di una soluzione alla portata di tutti, però, gli esperti di sicurezza consigliano di rimuovere completamente il file example.html dalla cartella “genericons”.
SICUREZZA
- Dati di sicurezza riuniti in un solo luogo con Amazon Security Lake
- Cybercrimine, carenza di competenze, AI: tre rischi legati fra loro
- Sababa Security prepara l’uscita dalla Borsa e la fusione con Hwg
- Bludis punta sulla cybersicurezza “italiana” di Gyala
- Acronis mette insieme backup, rilevamento e risposta agli attacchi
NEWS
- Il cloud di Hpe Greenlake aiuta a ridurre l’impronta carbonica
- Il phishing fa danni su larga scala con i modelli linguistici di AI
- Canon Italia potenzia la squadra marketing e vendite
- Il bersaglio preferito dei cybercriminali è diventato il backup
- Monitoraggio ambienti IT e OT, si rafforza l’asse Siemens-Paessler
