Icone e font stanno facendo passare notti insonni a WordPress
Gli esperti di sicurezza di Sucuri hanno scovato un’altra falla nella nota piattaforma di self publishing. La vulnerabilità, di tipo cross-site scripting, colpisce il file example.html dentro le estensioni JetPack e TwentyFifteen. Il pacchetto “genericons”, contenente vettoriali, può così essere sfruttato per iniettare codice maligno silenzioso all’interno dei browser degli utenti.
Pubblicato il 07 maggio 2015 da Redazione

I gestori di WordPress dichiarano con orgoglio di aver creato la prima piattaforma di editoria personale al mondo, con quasi il 24 per cento dei siti Web che utilizzano l’editor per realizzare pagine e portali Internet. Ma, forse, dovrebbero anche pensare di più alla sicurezza dei loro “avventori”. Nelle ultime settimane WordPress ha infatti dovuto risolvere alcuni seri problemi di vulnerabilità, a cui se ne è da poche ore aggiunto un altro, portato alla luce dagli esperti di Sucuri. In questo caso, la falla riguarderebbe due plugin: JetPack, strumento per migliorare le performance dei siti e Twenty Fifteen, per ottenere lo scroll infinito delle pagine. Secondo David Dede, ricercatore di Sucuri, si tratta di bug molto difficili da risolvere, perché riguardano il pacchetto “genericons”. È un contenitore che presenta al suo interno icone vettoriali embeddate in un font. Dentro “genericons” si trova però un file, chiamato “example.html”, che potrebbe spalancare le porte agli hacker se sfruttato nel modo giusto.
Oltre alla difficoltà di risoluzione del problema, l’ulteriore aggravante è che l’estensione Twenty Fifteen viene installata di default con WordPress, esponendo così potenzialmente al pericolo milioni e milioni di siti. “Genericons” è, nel dettaglio, sensibile alle vulnerabilità di tipo cross-site scripting (Xss): falle che colpiscono i siti dinamici che adottano un controllo insufficiente dell'input nei form. In questo caso, il codice maligno eseguito dai cybercriminali viene lanciato in seguito alla modifica del Document Object Model (Dom) di un browser. Il Dom è un Api ed è lo standard ufficiale del consorzio W3C per la corretta rappresentazione di documenti Html e Xml.
L’ambiente Dom in esecuzione viene modificato dall’attaccante mentre l’utente non è in grado di accorgersene: le pagine visualizzate a schermo rimangono infatti identiche, ma sottotraccia inizia a lavorare il codice maligno, che viene eseguito direttamente lato client e senza passare dal server. In questo modo, nemmeno i firewall sul Web riescono a identificare la minaccia.
Per cadere nelle mani degli hacker, la vittima deve però cliccare prima su un link corrotto. La buona notizia è che gli operatori di Sucuri dovrebbero essere riusciti a chiudere la falla, così come altri provider, tra cui GoDaddy e DreamHost. In attesa di una soluzione alla portata di tutti, però, gli esperti di sicurezza consigliano di rimuovere completamente il file example.html dalla cartella “genericons”.
SICUREZZA
- Gastone Nencini lascia Trend Micro, promosso Alessandro Fontana
- Brugola dà un “giro di vite” contro le minacce digitali
- WithSecure protegge anche le attività “esterne” di Microsoft Teams
- Colpaccio di Fbi ed Europol, hanno “hackerato gli hacker” di Hive
- Servizi di sicurezza informatica, il 90% passa dai partner
NEWS
- Unify cambia (ancora) padrone e si appresta a passare a Mitel
- Meta ancora in calo, il 2023 sarà “l’anno dell’efficienza”
- Libero Mail e Virgilio Mail tornano alla normalità, previsti rimborsi
- Sap sposta infrastruttura e offerta su Red Hat Enterprise Linux
- Scomparso Gianfranco Lanci, storica guida di Acer e Lenovo