Компанія Automattic, якій належить популярна блог-платформа WordPress.com, виправила в своєму iOS-додатку небезпечну уразливість, що розкриває токени авторизації користувачів стороннім сайтам.
Згідно листа, розісланого компанією своїм користувачам цього тижня, проблема зачіпає лише приватні сайти із зображеннями, що зберігаються на зовнішніх ресурсах (наприклад, на Flickr) та кількістю переглядів за допомогою програми. Уразливість не зачіпала імена користувачів і паролі, а тільки токени безпеки, які додаток використовував для зв’язку з WordPress.com.
Іншими словами, якщо власник блогу на WordPress.com створював або редагував публікацію з додаванням зображення з іншого сайту через iOS-додаток, через уразливість цей сайт помилково отримував токени безпеки WordPress.com.
Хоча Automattic випустила виправлення, небезпека полягає в тому, що токени авторизації тепер записані в журналах серверів різних сайтів і сервісів, і їх недобросовісні оператори або власники можуть використовувати чужі токени в своїх інтересах. Оскільки токени дозволяють авторизуватися в облікових записах користувачів WordPress.com без пароля, їх витік є вкрай небажаним.
Проблема не зачіпає сайти під управлінням WordPress, які використовують власний хостинг. Більше жодних подробиць про уразливість Automattic не надала. Яким чином компанії стало відомо про проблему, і яка кількість користувачів було постраждала, невідомо.
До речі, більш ніж 500 зламаних web-сайтів, що працюють на популярних платформах WordPress і Joomla, поширюють різне шкідливе програмне забезпечення, в тому числі вимагач Shade (інша назва Troldesh), бекдори, фішингові посилання і інший шкідливий контент.
Нагадаємо, 10 березня 2019 року в офіційному блозі Google з’явилася інформація про те, що компанії вдалося виявити у Windows 7 одразу дві критичних уразливості, які вже використовуються хакерами для впровадження шкідливого коду в операційній системі.
Також дослідники з Вустерского політехнічного інституту (США) і Любекського університету (Німеччина) знайшли уразливість в процесорах Intel, за допомогою якої хакер може отримати доступ до даних з відкритих на комп’ютері програм за допомогою шкідливого програмного забезпечення або коду Java Script в браузері.
Окрім цього, компанія NVIDIA випустила пакет оновлень, який усуває вісім уразливостей у версіях драйвера Display Driver для Windows і Linux, експлуатація яких дозволяла виконати довільний код, викликати відмову в обслуговуванні пристрою, підвищити привілеї у системі або розкрити важливу інформацію.