Die Entwickler des Content-Management-Systems (CMS) WordPress haben in der aktuellen Version 4.9.2 eine Sicherheitslücke geschlosse. Davon sollen alle vorherigen Ausgaben bis 3.7 betroffen sein. In der Regel werden die Updates automatisch gestartet. Andernfalls kann eine Aktualisierung auch über das Dashboard angestoßen werden.

Bei der Sicherheitslücke handelt es sich um eine XSS-Lücke im Flash-Fallback der MediaElement-Bibliothek, die standardmäßig intergriert ist. Die Bibliothek ist für die Audio- und Videowiedergabe via DASH oder HLS-Stream zuständig. Wird diese von einem Browser nicht unterstützt, dann findet ein Fallback auf Flash statt. Jetzt ist Flash entfernt worden und somit ist die Lücke geschlossen. Die Fallbacklösung kann auf eigenes Risiko manuell nachinstalliert werden, wenn diese unbedingt benötigt wird.

Angreifer könnten aus der Ferne ohne Authentifizierung anfällige WordPress-Versionen attackieren. Das CERT Bund vom BSI stuft diese Schwachstelle als "mittel" ein.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE