WordPress 3.3.1 vient ainsi corriger un total de 15 dysfonctionnements dont un qualifié de critique car représentant une vulnérabilité (faille XSS – cross-site scripting). Dans ce sens, des remerciements sont adressés à Joshua H., Hoang T., Stefan Zimmerman, Chris K. ainsi qu’à l’équipe de sécurité de l’hébergeur Go Daddy pour leur rôle dans la découverte de ces soucis de stabilité.

Télécharger WordPress 3.3.1

Il est sans surprise recommandé d’intervenir sur les installations WordPress en place pour appliquer le correctif proposé.

A vos mises à jour !

Articles similaires :

• WordPress 3.1.2 : Mise à jour de sécurité pour le célèbre CMS
• WordPress 3.3 « Sonny » : Nouvelle version du CMS à télécharger
• WordPress 3.2.1 : Mise à jour de la nouvelle branche du CMS
• WordPress 3.0.2 : Correction d’une attaque de type Zero Day
• WordPress 2.0.x : La branche du CMS est officiellement dépréciée

Les images de scènes violentes et de femmes nues (ou en sous-vêtements) sont ainsi poussées sur le réseau social via la fonctionnalité Like (J’aime) ou plus simplement via l’identification (tag) des contacts sur ladite illustration.

Au clic de souris sur la photo, un message d’erreur apparaît dans la plupart des cas :

This content is currently unavailable

The page you requested cannot be displayed right now. It may be temporarily unavailable, the link you clicked on may have expired, or you may not have permission to view this page.

Faute à un cache de flux d’actualités sur-puissant ?

Une faille XSS (Cross-Site Scripting) serait pointée du doigt. Profitant de cette vulnérabilité depuis un ou plusieurs navigateurs internet, les personnes mal intentionnées seraient en mesure de se connecter au compte Facebook de leurs victimes afin d’y publier les médias sus-cités.

Pour des raisons évidentes de sécurité, il est vivement conseillé d’être d’autant plus attentif – notamment avec les liens partagés sous les photos – en attendant que Facebook publie un correctif.

Articles similaires :

• Facebook : 10 raisons de quitter le réseau social
• Facebook : Photos haute résolution/définition à venir
• Facebook : Nouvelle home page pour mars 2009
• Facebook : Filtres dans le fil d’actualités de ses amis
• Facebook : Evolution des fonctionnalités du réseau social

A noter que la fonctionnalité XSS Auditor est désormais activée par défaut dans le navigateur afin de proposer une sécurité accrue aux internautes contre, comme vous l’aurez compris, les attaques de type cross-site scripting.

Source : Blog Google Chrome

Articles similaires :

• Google Chrome 10 : Nouvelle version majeure sur le dev channel
• Google Chrome 5 : Nouvelles releases (dev & bêta channel)
• Google Chrome 9 : Nouvelle version majeure sur le dev channel
• Google Chrome 3.0.189.0 sur le dev channel
• Google Chrome 6 : Nouvelle version majeure sur le dev channel

La première d’entre elles concerne le calendrier du forum. Plus exactement, il était jusque là possible à un simple visiteur de supprimer un évènement présent dans celui-ci.

• Patch pour IP.Board 2.3.6
• Patch pour IP.Board 3.0.5

La seconde alerte fait état d’une faille XSS offrant la possibilité d’insérer du code CSS et JavaScript dans certains BBCodes exécutés à l’affichage du fil de discussion.

• Patch pour IP.Board 2.3.6
• Patch pour IP.Board 3.0.5

A noter que les packs d’installation des versions du CMS ont bien évidemment été mis à jour sur le site officiel. Nul besoin de tenir compte de ces avertissements dans le cas de nouveau projet.

Articles similaires :

• IP.Board 3.0.2 : Correction de vulnérabilités par injection SQL
• IP.Board 3.0.0 : Vulnérabilités XSS & Path disclosure
• WordPress 3.3.1 : Mise à jour de sécurité du CMS
• IP.Board 3.0.1 : Première mise à jour de la 3ème branche
• IP.Board 3.0.5 : Failles SQL & XSS, corrections et améliorations

Les projecteurs sont cependant braqués sur Sergey Glazunov qui obtient la première bourse de 1337 dollars pour la découverte d’une faille de criticité importante dans le butineur.

[$1337] [35724] High Integer overflows in WebKit JavaScript objects. Credit to Sergey Glazunov.

Source : Blog Google Chrome

Articles similaires :

• Google Chrome 8 : Faille critique & première récompense Elite
• Google Chrome bêta 2.0.172.8
• Google Chrome : Découverte de faille et première récompense
• WordPress 3.0 : Thème Twenty Ten 1.1 en mise à jour
• Google Chrome 11 : Nouvelle version majeure sur le dev channel

Trois questions de sécurité de criticité élevée et deux moins sensibles ont en effet dû être réglées : problèmes de corruption mémoire, faille XSS, etc.

Il est vivement conseillé de passer à Firefox 3.6 sorti il y a presque un mois. Les joueurs/connaisseurs pourront quant à eux opter pour Firefox 3.7 alpha 1.

Articles similaires :

• Firefox 3.6 bêta 2 : Correction de 190 bugs depuis Firefox 3.6 bêta 1
• Firefox 3.6 RC2 : Mise à jour de la Release Candidate
• Firefox 3.5.7 et 3.0.17 : Ancien problème de stabilité enfin corrigé
• Google Caffeine : Maintenance pour le nouvel algorithme de Google
• Firefox 3.6.7 : Corrections de 14 failles de sécurité (critiques)

• Correction de la faille SQL et l’inclusion d’un fichier local. Remarque : en raison de la protection dans les classes du pilote SQL, il est très difficile de réussir une attaque contre IP.Board par ce moyen. De plus il est nécessaire d’avoir des droits de modérateur pour réaliser cette attaque. IPS a néanmoins renforcé le code. De plus, en raison des fonctions de nettoyage des entrées utilisées par IP.Board, l’inclusion d’un fichier local est limité aux fichiers de type PHP sur le système de fichier vu que l’astuce de « l’octet nul » est inefficace.
• Correction de la faille XSS d’Internet Explorer XSS due à une gestion incorrecte des pièce-jointes.

Veillez dans la mesure du possible à tenir vos installations à jour.

Source : Invision Board France

Articles similaires :

• IP.Board 3.0.1 : Première mise à jour de la 3ème branche
• IP.Board 3.0.0 bêta 1 : Pack mis à jour
• IP.Board 2.3.6 et 3.0.5 : Patchs de sécurité avant l’arrivée d’IP.Board 3.1
• IP.Board 3.0.4 : Corrections de bugs et améliorations
• IP.Board 3.0.0 : Vulnérabilités XSS & Path disclosure

Six fichiers sont concernés :

• wp-includes/version.php (modified) (1 diff)
• wp-includes/js/swfupload/plugins/swfupload.speed.js (modified) (1 prop)
• wp-includes/functions.php (modified) (2 diffs)
• wp-includes/formatting.php (modified) (1 diff)
• readme.html (modified) (2 diffs)
• wp-admin/press-this.php (modified) (3 diffs)

A noter que ces deux vulnérabilités ne concernent que les blogs ayant plusieurs comptes dont les détenteurs sont connectés et possèdent les droits de publication. Aucun risque donc pour les blogs à rédacteur unique (compte unique). Que cela ne vous empêche cependant pas de mettre à jour votre installation.

Source : Blog WordPress

Articles similaires :

• WordPress 3.1.2 : Mise à jour de sécurité pour le célèbre CMS
• WordPress 2.6.3
• WordPress 3.1.4 : Correction d’une faille de sécurité du CMS
• WordPress 2.8.4 : Réinitialisation de mots de passe sauvages corrigée
• WordPress 3.3.1 : Mise à jour de sécurité du CMS

Techniquement, cette Content Security Policy est rendue possible via une en-tête HTTP nommée X-Content-Security-Policy dont les valeurs possibles sont nombreuses.

Elle offre par exemple la possibilité de bloquer ou limiter l’exécution de JavaScript ou de toute autre ressource à des noms de domaines bien définis :

X-Content-Security-Policy: allow 'self';  img-src *; script-src scripts.domainedeconfiance.com

A noter que les navigateurs ne la supportant pas ne seront pas affectés.

CSP devrait tout d’abord, et ce sans surprise, être disponible sur Firefox mais la volonté de la fondation Mozilla est bel et bien d’en faire un standard ouvert via le W3C.

Pour plus d’information, je vous invite à lire l’article du Wiki de la fondation.

Source : GNT

Articles similaires :

• Twitter indisponible suite à une attaque par déni de service (DOS)
• Firefox 4 bêta 5 & bêta 6 : Audio, rendus graphiques & HSTS
• Mozilla BetaFarm : Regroupement des projets de la fondation
• Google Webmaster Tools : Notification de nouvelles versions des CMS
• Raindrop : Mozilla présente un concurrent de Google Wave

Pour rappeler rapidement les faits, il est possible de réinitialiser le mot de passe sans avoir la clé normalement requise. Les accès ne pourront donc pas être récupérés mais cela irritera de façon certaine le détenteur du blog.

La vulnérabilité est la suivante pour WordPress 2.8.3 mais aussi pour toutes les versions antérieures.

http://www.domaine.tld/wp-login.php?action=rp&key[]=

Afin de corriger le problème, il suffit de remplacer la ligne 190 du fichier wp-login.php :

if ( empty( $key ) )

Par :

if ( empty( $key ) || is_array( $key ) )

Comme certains d’entre vous auront pu le comprendre, le fait de proposer un tableau audit fichier permet de passer outre le test qui aurait dû vous tenir à l’écart.

Articles similaires :

• WordPress 2.8.4 : Réinitialisation de mots de passe sauvages corrigée
• WordPress 2.8.6 : Correction de deux failles de sécurité
• WordPress 3.1.2 : Mise à jour de sécurité pour le célèbre CMS
• WordPress 3.0.3 : Sécurité pour la publication à distance
• WordPress 3.1.4 : Correction d’une faille de sécurité du CMS