Kriminelle nutzen derzeit einen Fehler in einem Werkzeug für die Blog-Software WordPress aus. Es handelt sich um ein Open-Source-Tool zur Anpassung der Größe von Grafiken und Fotos namens Timthumb, das Element vieler WordPress-Themes (also vordefinierter Blog-Designs) ist.
Timthumb kann Bilder beschneiden, Ausschnitte vergrößern und die Auflösung reduzieren. Das Werkzeug, das Millionen Blogs einsetzen, schreibt Dateien während des Änderungsprozesses direkt in einen Ordner. Wie jetzt klar wurde, kann es auch missbraucht werden, um webbasierte Angriffe zu starten.
Die Schwachstelle hat der CEO von Feedjit, Mark Maunder, entdeckt, der nach einem erfolgreichen Angriff auf seinen eigenen Blog eine Analyse vorgenommen hatte. Er schreibt: „Endlich habe ich es gefunden. Der Hacker hat in einer der PHP-Dateien von WordPress ein eval(base64_decode(‚langer auf Basis 64 codierter String‘)) durchgeführt. Mein Fehler, dass ich der Datei eine Schreibgenehmigung für den Webserver erteilt habe.“ Aber auch mit korrekten Rechten seien WordPress-Installationen angreifbar.
Maunder berichtet, wie er anschließend die Logdateien von nginx und Apache durchstöbert habe und schließlich auf einige aussagekräftige PHP-Fehler gestoßen sei. Sein Theme „Memoir“, für das er bei ElegantThemes.com 30 Dollar gezahlt habe, enthalte die Library timthumb.php, die wiederum ein Cache-Verzeichnis verwende. Für einen Angriff müsse ein Hacker daher nur herausfinden, wie er Timthumb dazu veranlassen könne, eine PHP-Datei aus dem Netz zu laden und in dieses Verzeichnis zu schreiben.
Aufgrund seiner Beobachtung hat Maunder einen Patch für das Open-Source-Werkzeug geschrieben. Er stellt außerdem ausführliche Anweisungen für WordPress-Nutzer bereit, wie sie ihr System auf die Schwachstelle prüfen und sie gegebenenfalls schließen können.
Einziger Neueinsteiger ist das Alps-System in der Schweiz. Die weiteren Top-Ten-Systeme aus Europa stehen in…
Im vergangenen Jahr steigt ihre Zahl um 32 Prozent. Die Zahl der betroffenen PC-Nutzer sinkt…
Die App satellite wird künftig Telefongespräche in Echtzeit datenschutzkonform mit Hilfe von KI zusammenfassen.
Als Erweiterung von Master-Data-Management ermöglicht es die Lösung, den Werdegang von Daten verstehen und sie…
Sie erlauben unter anderem das Einschleusen von Schadcode. In älteren iPhones und iPads mit OS-Version…
Neuer Speicher für KI von Huawei mit integrierter Ransomware-Erkennungs-Engine und deutlich geringerem Energiekonsum.