Wichtiges Sicherheitsupdate für WordPress entfernt Flash-Fallback
Das besonders gerne für die Erstellung von Webseiten und Blogs verwendete Content-Management-System (CMS) WordPress war verwundbar. Die Entwickler dahinter haben mit dem Update 4.9.2 eine Sicherheitslücke geschlossen, von der alle vorigen Ausgaben bis 3.7 betroffen waren. Das Update sollte So schnell wie möglich eingespielt werden um Einfall von Schadcode (Infizierung) zu vermeiden. Sollten Sie einen Wartungsvertrag für Ihre Website haben, wird sich vermutlich Ihre Webdesign Agentur bereits um das Update kümmern.
Details zur Flash-Lücke
Bei dem Problem handelte es sich um eine XSS-Lücke im Flash-Fallback der MediaElement-Bibliothek. Diese gehört standardmäßig zum CMS WordPress. Die Bibliothek steuert die Audio- und Videowiedergabe mit DASH oder HLS-Stream. Wenn ein Browser das nicht unterstützt, wird ein Fallback auf das proprietäre Flash von Adobe durchgeführt. Mit dem Sicherheitsupdate WorPress 4.9.2 ist der Flash-Fallback entfernt worden und die Lücke ist damit geschlossen. Sollte jemand die Fallbacklösung noch unbedingt benötigen, kann sie auch auf eigenes Risiko nachinstallieren.
Dafür anfällige WordPress-Versionen könnten aus der Ferne ohne Authentifizierung angegriffen, also ohne Login infiziert werden. Das CERT Bund des BSI stufte das von der Lücke ausgehende Risiko mit „mittel“ ein.
Während diese besondere Sicherheitslücke erfreulicherweise zu einem Flash-freien WordPress führte, beseitigten die Entwickler noch 21 weitere Bugs.
Alle WordPress basierten Webseiten von GSL-Webservice Kunden mit Wartungsvertrag für Ihre Website, haben wir bereits aktualisiert und auch gleich alle Plugins auf Stand gebracht.
Hinterlasse einen Kommentar