Всего через неделю после выпуска большого релиза WordPress 5.0 разработчики самой популярной в мире CMS выпустили патч, закрывающий ряд серьезных уязвимостей (). Всего было закрыто семь брешей, самая серьезная в некоторых конфигурациях WordPress делает возможной индексацию поисковыми системами страницы активации нового пользователя. В URL страницы содержится ключ активации, из-за чего становится возможной утечка email-адресов пользователей, а в некоторых случаях — еще и паролей, сгенерированных автоматически.Проблема была решена путем переноса идентификатора из URL в cookie. Уязвимость также затрагивает версию 4.х — для тех, кто по каким-то причинам не готов переходить на WordPress 5.0, выпущена версия 4.9.9. Еще три уязвимости класса XSS теоретически позволяют уже зарегистрированным пользователям WordPress повысить привилегии, в одном случае — благодаря редактированию комментариев администраторов. Также была закрыта уязвимость в PHP, позволяющая указать произвольный путь сохранения при загрузке файла. Подробнее о ней рассказывал исследователь Сэм Томас на конференции BlackHat (). Чуть больше информации обо всех закрытых уязвимостях можно получить в компании Wordfence.
У Facebook опять утекли данные. Или не утекли: на прошлой неделе компания рассказала ( в блоге FB) о баге в API, который позволял сторонним приложениям получать доступ к фотографиям пользователей. Ошибка просуществовала с 13 по 25 сентября. В это время сторонние приложения, которым пользователи и так уже дали доступ к фотографиям на Facebook, могли обращаться вообще ко всем снимкам аккаунта. В нормальных условиях доступ дается только к фото, которые пользователь публикует у себя в хронике. В течение почти двух недель API было открыто для фото из историй, фотографий с барахолки и прочему. Самое печальное, что имелся доступ к приватным снимкам, причем даже к тем, которые пользователь вообще нигде не публиковал, но загружал в соцсеть.
Под раздачу попали 6,8 миллиона пользователей. После известных дискуссий о приватности данных, собираемых социальной сетью, каждая новость об очередной прорехе в системе безопасности привлекает большое внимание. Хотя в данном случае ничего сверхужасного не произошло: допустили баг, нашли, пофиксили. с функцией просмотра страницы от имени другого пользователя была серьезнее. Как обычно, Facebook со своими уязвимостями не одинок: после обнаружения еще одной проблемы в Google+ эту несчастливую социальную сеть еще раньше, чем .
Таким образом, появляется возможность удаленного управления утилитой с помощью подготовленной веб-страницы. Похожая проблема (правда, чуть более простая в эксплуатации) в свое время массово наблюдалась у роутеров: их можно было удаленно администрировать без ведома пользователя, открывающего страницу в браузере. Через незакрытый сетевой интерфейс можно менять настройки программы, а также передавать произвольные последовательности символов от имени клавиатуры, что теоретически можно использовать для получения контроля над системой.
Утилита по умолчанию запускается при загрузке системы, что делает проблему еще серьезнее. Исследователь опубликовал информацию по истечении установленного дедлайна, 11 декабря. Через два после этого Logitech выпустила обновленную версию программы, которая вроде бы закрывает уязвимость. Впрочем, с этим утверждением согласны не все.
Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
