دیجیاتو خبرنگار استخدام می‌کند

آخرین آپدیت وردپرس رمز عبور کاربران وبسایت‌ها را فاش می‌کند

بعد از گذشت مدت‌ها وردپرس چندی پیش آخرین نسخه‌ی بروزرسانی عمده‌ی خود را منتشر کرد. این بروزرسانی با نسخه‌ی 5.0 دارای ۷ مشکل اساسی بود که یکی از آن‌ها می‌توانست منجر به سرقت رفتن کل وبسایت شود. روز گذشته وردپرس یک آپدیت امنیتی برای اپلیکیشن مدیریت محتوای خود منتشر کرد که ۷ مشکل اساسی یاد شده را حل می‌کند، اما یک حفره‌ی امنیتی قابل توجه را برجای می‌گذارد.

نسخه‌ی 5.0.1 وردپرس به برخی افراد اجازه می‌دهد تا با انجام جست و جو‌هایی خاص در گوگل بتوانند به رمز عبور مورد استفاده‌ی برخی از کاربران در وبسایت‌هایی که از وردپرس استفاده می‌کنند دسترسی داشته باشند. این مشکل توسط تولید کنندگان پلاگین معروف Yoast SEO پیدا شده است.

اگر یکی از افرادی که دسترسی به رمز عبورش از طریق گوگل امکان پذیر باشد به عنوان ادمین در یک وبسایت فعالیت کند، آنوقت امکان دارد آسیب‌های جبران ناپذیری به سایت‌هایی که از وردپرس استفاده می‌نمایند وارد شود.

البته وردپرس سعی کرده برخی از مشکلات موجود در اپلیکیشن مدیریت محتوای خود را حل کند. پیش از این وردپرس اجازه می‌داد تا فایل‌ها با هر پسوندی که دارند روی دیتابیس آپلود شوند. موضوعی که حالا با بروزرسانی جدید حل شده و حتما باید پسوند‌ فایل‌های آپلود شده متناسب با نوع آپلود باشد.

علاوه بر این تیم وردپرس تاییدیه‌ی MIME را بهبود داده است. این اتفاق بعد از آن رخ می‌دهد که دو نفر از محققان امنیتی به نام‌های «تیم کوئن» و «اسلاوکو» متوجه شدند که سایت‌هایی که توسط آپاچی میزبانی می‌شوند می‌توانند با ساخت فایل‌هایی خاص تاییدیه‌ی MIME را دور بزنند. موضوعی که منجر به آسیب پذیر بودن وبسایت‌ها می‌شد.

الگو‌های MIME به مرورگر وب کمک می‌کنند تا بداند چگونه محتوا را تفسیر کند تا به عنوان مثال با یک تصویر گرافیکی به صورت یک گرافیک رفتار شود یا یک فایل با پسوند wav به عنوان صوت پخش شود. در برخی از حملات سعی می‌شود تا فایل‌های مخرب را با دروغ گفتن به الگوی MIME وارد سیستم قربانی کنند.

یکی دیگر از مشکلاتی که وردپرس آن را حل کرده است مربوط به دو باگی می‌شود که توسط RIPS تکنولوژی گزارش شده بود. یکی از باگ‌ها به برخی از مدیران وبسایت اجازه می‌داد تا با دستکاری کردن متا دیتا، برخی از فایل‌هایی که اجازه‌ی حذف کردنشان را ندارند را حذف کنند. باگ دوم به نویسندگان اجازه می‌داد تا پست‌هایی درج نمایند که اجازه‌اش را ندارند.

به طور حتم وردپرس به دنبال حل حفره‌ی امنیتی جدیدی است که در آپدیت جدید خود منتشر کرده. بنابراین اگر نگران وبسایت خود هستید بهتر است چند روزی صبر کنید تا این مشکل نیز به طور کامل حل گردد.

منبع:
zdnet
برچسب ها

مطالب مرتبط

پیدا شدن راهی جدید برای هک کردن جیمیل

محققین دانشگاه کالیفرنیا به تازگی ضعفی امنیتی را پیدا کرده اند که با استفاده از آن و به کمک یک بد افزار، می توان اطلاعات شخصی کاربران را از سیستم عامل های اندروید، iOS و ویندوز فون دریافت کرد.آزمایشات اولیه بر روی اندروید صورت گرفته است، اما با توجه به ساختار مشابه بقیه سیستم عامل ها،... ادامه مطلب

یک هکر روسی رمز عبور ۵ میلیون ایمیل را هک و منتشر نموده است

یکی از کاربران انجمن روسی بیت کوین اقدام به انتشار پسورد و نام کاربری حدود ۵ میلیون آدرس ایمیل در این فوروم کرده است. Daily Dot در همین رابطه گزارش می دهد، فردی با نام کاربری tvskit شناسه و رمز عبور ۴.۹۳۰.۰۰۰ آدرس ایمیل را در انجمن یاد شده منتشر نموده و طبق اطلاعات رسیده حدود ۶۰... ادامه مطلب

حمله هکرهای چینی به شبکه دیپلماتیک اتحادیه اروپا و دسترسی به پیام های محرمانه

در صحنه بین الملل بر خلاف صلح ظاهری، کشورهای بزرگ درگیر جنگ سایبری گسترده ای هستند که هر از گاهی اخبار آن به بیرون منتشر می شود. در یکی از تازه ترین موارد نیز بار دیگر پای هکرهای چینی در میان بوده و این بار پیام های محرمانه مقامات اتحادیه اروپا به سرقت رفته است.روش... ادامه مطلب

شبکه های اجتماعی، ابزاری در دستان روسیه برای نفوذ به قلب ارتش آمریکا

طبق گزارشی که اخیرا نشریه Politico منتشر کرده، روسیه نتنها به فعالیت های جاسوسی خود علیه آمریکا ادامه می دهد، بلکه تلاش می کند تا روی اعضای آن نیز اثر بگذارد.ماموران روسی ظاهرا در شبکه های اجتماعی با سربازان و بازنشستگان ارتش آمریکای طرح دوستی می ریزند و اکانت های متعلق به آنها را هک کنند.هدف... ادامه مطلب

اپل در مورد علت رمزنگاری نشدن کِرنِل نسخه پیش نمایش iOS 10 توضیح داد

پس از کنفرانس WWDC امسال اپل بلافاصله نسخه ی پیش نمایشی از iOS 10 را برای توسعه دهندگان منتشر کرد (نگاه نزدیک ویدیویی دیجیاتو به این نسخه پیش نمایش) تا این قشر قادر باشند ویژگی های جدید پلتفرم مذکور را بهتر درک کرده و ضمناً‌ اپ های شان را نیز هر چه سریع تر با... ادامه مطلب

احتمال دارد هکرهای چینی عامل حمله گسترده به ابررایانه دولتی استرالیا باشند

ابررایانه مستقر در دفتر دولتی مطالعات هواشناسی استرالیا اخیراً مورد حجم وسیعی از حملات هکری قرار گرفته است. برخی گمانه زنی ها چین را عامل اصلی این حمله می دانند.سیستم مورد حمله با سایر دپارتمان های دولتی از جمله دپارتمان ملی دفاع نیز در ارتباط بوده است. البته هنوز اطلاعاتی در خصوص دامنه ی نفوذ و میزان خسارات وارده... ادامه مطلب

نظرات ۱

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x