Nieuws

WordPress verwijdert Flash-bestanden vanwege beveiligingslek

woensdag 17 januari 2018, 10:36 door Redactie, 3 reacties

WordPress heeft besloten Flash-bestanden in het contentmanagementsysteem vanwege een kwetsbaarheid te verwijderen. De Flash-bestanden waren aanwezig in de MediaElement-softwarebibliotheek die onderdeel van WordPress is.

De MediaElement-bibliotheek wordt gebruikt voor het afspelen van audio en video en maakt in bepaalde gevallen gebruik van Flash, bijvoorbeeld bij oudere browsers die geen DASH- of HLS-streams via JavaScript kunnen afspelen. Een kwetsbaarheid in de Flash-bestanden van MediaElement maakte cross-site scripting (xss) mogelijk. "Omdat Flash-bestanden in de meeste gevallen niet meer nodig zijn, zijn ze verwijderd uit WordPress", aldus Ian Dunn van WordPress.

Voor WordPress-sites die DASH/HLS-video's streamen en oudere browsers willen ondersteunen is er nu een aparte plug-in uitgebracht waarin het beveiligingslek is verholpen. Updaten naar WordPress 4.9.2 kan via de automatische updatefunctie, het beheerderspaneel of WordPress.org.

Mozilla verplicht https voor nieuwe Firefox-features

Oracle rolt Spectre- en Meltdown-updates uit en dicht 237 lekken

Reacties (3)

17-01-2018, 11:31 door Krakatau

Wordpress = PHP én Flash. Hoe verzin je het!

17-01-2018, 11:34 door karma4

Door Krakatau: Wordpress = PHP én Flash. Hoe verzin je het!

Een fraaie variatie in het open zijn met alles wat je doet?

17-01-2018, 22:22 door Anoniem

De plug-ins zijn vaak het probleem gebleken bij de Word Press CMS.
Verouderde plug-ins, kwetsbare en verlaten plug-ins. Dus 3rd party script i.h.a.

Kijk daar ook of niet ten onrechte gebruiker enumeratie en directory listing ingeschakeld staan,
dit wordt nog wel eens een keertje verkeerd gedaan.

Check de grootste problemen met een publieke scan hier: https://hackertarget.com/wordpress-security-scan/

Check op af te voeren jQuery bibliotheken hier: retire.insecurity.today/#

Privacy implicatie van de Word Press website hier: https://privacyscore.org/

En ook even hier: https://observatory.mozilla.org/ & hier: https://urlscan.io/result/scan/

Dan krijg je ook gelijk alles wat duidelijker in beeld.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer