Le personnel d'IBM Nice et Paris a voté en assemblée générale une grève d'une semaine, reconductible par tranche de 24 heures

L'Image du jour

Le personnel d'IBM Nice et Paris a voté en assemblée générale une grève d'une semaine, reconductible par tranche de 24 heures

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
3
Réagissez Imprimer Envoyer

Deux failles d'extensions WordPress exploitées par des pirates

Le plug-in Twenty Fifteen, installé par défaut par WordPress, comporte une faille liée au package Genericons. (crédit : D.R.)

Le plug-in Twenty Fifteen, installé par défaut par WordPress, comporte une faille liée au package Genericons. (crédit : D.R.)

WordPress vient de livrer une mise à jour pour corriger une faille découverte dans deux plug-ins utilisant les icônes Genericons. L'un de ces plug-ins, Twenty Fifteen, est installé par défaut par le CMS, ce qui accroît la mise en danger des sites utilisant WordPress.

Une faille dans deux plug-ins WordPress très utilisés est exploitée par des attaquants, mettant en danger des millions de sites qui utilisent la solution de gestion de contenus (CMS). Ces deux plug-ins recourent au package Genericons qui rassemble des icônes vectorielles intégrées dans une fonte destinée au web. WordPress vient de livrer ce 7 mai la mise à jour 4.2.2 pour corriger cette faille. Il y a une semaine, l’équipe du CMS avait déjà fourni la mise à jour 4.2.1 pour intervenir sur une faille XXS découverte par Jouko Pynnönen, moins d'une semaine après une autre correction sur un problème similaire.

Les deux plug-ins impliqués dans la nouvelle vulnérabilité découverte sont JetPack, qui apporte des outils de personnalisation et de gestion de performance, et Twenty Fifteen, le thème par défaut de Wordpress, axé sur la présentation de blogs, a expliqué dans un billet David Dede, chercheur en sécurité chez Sucuri. Le fait que WordPress installe Twenty Fifteen par défaut augmente le nombre de sites vulnérables. 

Une vulnérabilité difficile à détecter

Le package Genericons d'icônes vectorielles contient un fichier dangereux, appelé example.html. La faille est difficile à détecter, selon David Dede, de Sucuri. Il s’agit d’une vulnérabilité de type XSS (cross-site scripting) exploitée à la suite d’une modification du Document Object Model (DOM) du navigateur web, cette API qui définit la façon d’accéder aux documents HTML et XML et de les afficher. 

L’attaque, qui entraîne l’utilisateur à cliquer sur un lien malveillant, s’exécute directement dans le navigateur et ne va pas sur le serveur, indique le chercheur de Sucuri, ce qui explique  pourquoi les pare-feux ne peuvent pas la voir et l’arrêter. Le 6 mai, Sucuri ajoutait qu’il avait trouvé un moyen d’intervention mais que ces failles XSS s’appuyant sur DOM étaient très difficiles à corriger. Des hébergeurs comme GoDaddy, DreamHost et ClickHost ont également pris des mesures pour protéger les utilisateurs, parfois à l’aide d’un correctif virtuel.

WordPress est utilisé par 23% des sites web, notamment ceux de Time et CNN. L'une des failles découvertes le mois dernier permettait à du code JavaScript malveillant de s’insérer dans des champs de commentaires pour s’exécuter.

COMMENTAIRES de l'ARTICLE3

le 08/05/2015 à 18h22 par Visiteur6004 :

Je possède un blog chez Wordpress et je reconnais avoir eu un problème de thème dessus. A 15h, aujourd'hui, mon blog s'est ouvert en configuration basique, sans mon thème que j'avais utilisé, mon logo etc...

Je ne suis pas un connaisseur dans le milieu, cependant, si vous avez une réponse à ça, je vous en remercie.

Mon thème : Yegor

Signaler un abus

le 07/05/2015 à 16h58 par Visiteur6001 :

Un thème est par extension une extension

Signaler un abus

le 07/05/2015 à 14h31 par Visiteur5997 :

Twenty-Fifteen est un thème et non une extension...

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité