Уязвимость в WordPress позволяет провести XSS-атаку через изображения

Уязвимость в WordPress позволяет провести XSS-атаку через изображения

Уязвимость в WordPress позволяет провести XSS-атаку через изображения

Пользователям WordPress рекомендуется обновиться до версии 4.6.1, в которой исправлены уязвимости и ошибки. По словам разработчиков WordPress, версия 4.6, а также более ранние имеют две уязвимости. Одна из них была обнаружена Домиником Шиллингом из команды безопасности WordPress.

Вторую брешь обнаружил Хан Сахин (Han Sahin), соучредитель фирмы Securify. Она несет в себе опасность выполнения межсайтового скриптинга (XSS) и существует из-за небезопасной обработки имен файлов-изображений.

Злоумышленник может использовать эту уязвимость, вставив вредоносную составляющую в имя изображения. Если злоумышленник заставит администратора атакуемого сайта загрузить такое изображение через функционал загрузки медиа в WordPress, это позволит ему произвести вредоносные действия, такие как кража сессии и учетных данных.

Эксперт отмечает, что для подготовки такого вредоносного изображения необходимо использование таких операционных систем как Linux и Mac OS X. Потому что именно они обеспечивают расширенные возможности имен файлов.

«В WordPress присутствует много функций безопасности» - говорит Сахин – «Я вижу проблему в большом количестве никем неконтролируемых плагинов. Неплохим вариантом было бы сделать фильтр этих плагинов в самом WordPress».

Securify опубликовали сообщение, описывающее XSS-уязвимость.

Россиянам обещают компенсацию за интернет, а забирают доступ к Госуслугам

Мошенники запустили новую схему с выплатами, которых не существует. Россиянам звонят якобы от имени Социального фонда или налоговой и сообщают приятную новость: государство будто бы готово компенсировать расходы на домашний интернет, личный компьютер или арендованную технику для удалённой работы.

Дальше всё по знакомому сценарию. Для оформления выплаты человека просят продиктовать код из СМС, подтвердить данные на «Госуслугах» или перейти к некоей процедуре проверки личности.

На самом деле никаких автоматических компенсаций за интернет и технику ни Социальный фонд, ни ФНС не выплачивают. Цель звонка — получить код подтверждения, доступ к аккаунту или персональные данные жертвы.

Схема рассчитана на простую реакцию: раз государство что-то возвращает, надо успеть оформить. Мошенники могут торопить, ссылаться на ограниченный срок, остаток бюджета или необходимость завершить заявку прямо во время разговора.

Главное — запомнить: если незнакомец сам позвонил, пообещал деньги и тут же попросил код из СМС, выплата уже закончилась — начался развод.

Проверять подобные предложения стоит только через официальные сайты и приложения ведомств.

А коды подтверждения лучше вообще никому не диктовать, даже если собеседник представился сотрудником фонда, налоговой или отдела компенсаций, которого в природе не существует.

RSS: Новости на портале Anti-Malware.ru