Tiện ích Chỉnh Cỡ ảnh Trên WordPress Dính Lỗi Zero-day


Tin tặc đang khai thác lỗi của tiện ích chỉnh sửa kích thước hình ảnh TimThumb, được dùng rộng rãi trong nền tảng blog WordPress. Một số bản sửa lỗi đã được đưa vào phiên bản TimThumb mới nhất.

Tiện ích chỉnh cỡ ảnh trên WordPress dính lỗi zero-day 

CEO Mark Maunder của Feedjit đã phát hiện vấn đề khi blog của mình bắt đầu tải nội dung quảng cáo (trước đó blog của ông không có quảng cáo). Ông đã truy ra nguyên nhân là vấn đề với thư viện “timthumb.php”, được dùng trong theme ông mua cho blog của mình.

TimThumb “vốn dường như không an toàn” vì nó ghi các file vào một thư mục khi nó nạp ảnh và chỉnh sửa kích thước hình ảnh, và mọi người ghé thăm website đều cũng đều có thể truy cập thư mục đó, ông Maunder viết. Kẻ tiến công có thể làm tổn hại website bằng cách “lừa” TimThumb nạp một file PHP độc hại và đặt nó vào trong thư mục WordPress. Sau đó, nếu kẻ tiến công sử dụng trình duyệt web truy cập file, mã sẽ có thực hiện.

Ông Maunder lý giải làm làm sao để vô hiệu hóa khả năng nạp hình ảnh từ những website bên ngoài của TimThumb, nhưng cách chắc chắn nhất để ngăn chặn vấn đề là loại bỏ TimThumb hoặc hạn chế sự truy cập của nó vào những website khác. Bên cạnh đó, người sử dụng nên cập nhật lên phiên bản mới nhất của TimThumb.

Ông Ben Gillbanks – nhà phát triển TimThumb – là người đầu tiên bình luận bài đăng blog của ông Maunder. Ông Gillbanks tỏ ý rất lấy làm tiếc và kỳ vọng không có ai gặp bất cứ điều gì quá tồi tàn với website của họ vì lỗi của mình.

Ông Gillbanks khuyến cáo mọi người nên sử dụng phiên bản TimThumb mới nhất để né bị khai thác.

Sưu Tầm: Internet – Kênh Tin: TopVn

Bài Viết Liên Quan


Bài Viết Khác