Om du ignorerar det, kommer det försvinna då? Sårbarheter gör det inte

En fördröjning med information angående intrång och sårbarheter kommer knappast ge dig en medalj, endast dålig publicitet. Detta har Yahoo lärt sig via den hårda vägen, och nu kommer även WordPress få lära sig hur obekvämt det kan vara. Om du är en trogen kund av WordPress och utnyttjar dess plattform för att ge liv åt dina hemsidor, då kanske du installerar uppdateringar så fort som dom blir tillgängliga. Kommer du ihåg uppdateringen 4.7.2? De verkar nämligen som att WordPress glömt nämna att deras släppta uppdatering i hemlighet fokuserar på att ordna en så kallad ”zero-day” sårbarhet, eller en hemlig sårbarhet i programvara för att vara mer informativ. Det tilltäppta problemet informerades inte öppet och användare var endast medvetna om andra förbättrade funktioner.

Varför är det ett sådant pådrag gällande en tilltäppt sårbarhet? Jo, ett så kallat ”zero-day” fel är inte endast ett fel: det är ganska skrämmande för både hemsidans ägare och dess besökare. Med andra ord, om sårbarheten skulle utnyttjas, då kan kapare få tillgång till vilken domän de vill och modifiera dess innehåll. Det betyder att poster kan raderas eller ändras, och nya kan publiceras. Besökare som besöker en attackerad hemsida kanske inte ens lägger märke till att okända källor har tagit kontrollen över just den domänen. Helt ovetande kan besökare följa eller klicka på reklam som har laddats upp till hemsidan av kapare (hackers). De skulle inte gå igenom hela proceduren med att invadera hemsidan om deras mål var att stötta legitima tjänster: de tillägg och ändringar är alltså för skadliga syften.

Enligt WordPress, om de skulle har informerat användare om den här sårbarheten innan eller precis vid släppet av uppdateringen, då hade de äventyrat flera av deras kontrollerade hemsidor. Ägare av plattformar poängterar att de agerade i hemlighet av säkerhetsskäl, vilket är vettigt. Om informationen om sårbarheten hade varit öppen på internet, då hade kaparna haft tid att utnyttja denna sårbarhet. Eftersom miljontals hemsidor stöttas av WordPress, kan viss information om fel eventuellt leda till ändringar av hemsidor, alternativt ännu värre konsekvenser. Med andra ord kan det ibland vara bättre att inte säga någonting alls, och istället vänta på det rätta ögonblicket för att lätta på bröstet.

Om du använder WordPress för din hemsida, vänligen kontrollera om din domän har uppdaterats till 4.7.2 versionen. Om inte, snabba på med uppdateringen. Eftersom ”zero-day” sårbarheten nu är öppen information, kan kapare känna till det och försöka utnyttja det. Gällande WordPress, även fast en del användare kanske finner att i hemlighet täppa till sårbarheter är ett dåligt sätt att hantera det på, så agerade WordPress helt korrekt som väntade med att öppet informera om det.

Source: securityweek.com.


 

Om författaren

 
 
 
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *