WordPress Version 3.0.5 verfügbar

So Leute die ihr mit WordPress arbeitet: Wieder mal die Update-Funktion nutzen.

Version Version 3.0.5 ist ein Security-Update, deshalb sollte man nicht lange überlegen, sondern machen.

Die Liste der Änderungen – von der englischen WP-Seite:

  • Fix XSS bug: Properly encode title used in Quick/Bulk Edit, and offer additional sanitization to various fields. Affects users of the Author or Contributor role. (r17397r17406r17412)
  • Fix XSS bug: Preserve tag escaping in the tags meta box. Affects users of the Author or Contributor role. (r17401)
  • Fix potential information disclosure of posts through the media uploader. Affects users of the Author role. (r17393)
  • Enhancement: Force HTML filtering on comment text in the admin (r17400)
  • Enhancement: Harden check_admin_referer() when called without arguments, which plugins should avoid. (r17387)
  • Update the license to GPLv2 (or later) and update copyright information for the KSES library.

Insbesondere da das Update ja aus dem WP-Admin Menü heraus direkt durchführbar ist, sollte das Update zeitnah durchgeführt werden. UND: Vorher Datenbank-Backup anlagen. Man weiss ja nie. Bei mir ging alles glatt, aber Vorsicht ist die Mutter der Porzellankiste 🙂

Böse Großkonzerne oder unerlaubte Vereinfachung?

Gulli interpretiert wild in der Gegend rum:

Kürzlich wurde eine Torrent-Datei mit 100 Millionen Facebook-Profilen auf diversen BitTorrent-Tauschbörsen veröffentlicht, die jemand mithilfe des Crawlers von Ron Bowes von Skull Security zusammengetragen hatte. Das Interesse an den Daten scheint ungebrochen zu sein. Da die IP-Adressen der Interessenten leicht auszumachen sind, konnte unlängst festgestellt werden, wer alles von der Industrie Interesse an diesen persönlichen Daten hat. Unzählige Firmen mit Rang und Namen sind dabei vertreten:

und dann tauchen Namen auf wie Apple, BBC und so weiter und so weiter. Daraus zu interpretieren, dass die Firma selbst (also hochoffiziell) diese Daten heruntergeladen hat halte ich für .. naja gewagt.

Was passiert, wenn ein Auszubildender bei A.C.Nielsen oder Vodafon per Torrent aus der Firma diese Datei herunterlädt? Dann wird die Firma angeklagt, der Zugriff kommt schliesslich aus deren Netzblock. Oder wurde diese Möglichkeit ausgeschlossen und man verdächtigt in der Gegend rum?

BSI empfiehlt: Hände weg vom Internetexplorer!

Buerger-CERT empfiehlt die voruebergehende Nutzung aktueller
alternativer Browser

Kritische Sicherheitsluecke im Internet Explorer

Im Internet Explorer existiert eine bisher unbekannte kritische
Sicherheitsluecke. Die Schwachstelle ermoeglicht Angreifern, ueber eine
manipulierte Webseite Schadcode in einen Windows-Rechner zu schleusen
und zu starten. Der in der vergangenen Woche bekannt gewordene
Hacker-Angriff auf Google und weitere US-Unternehmen hat diese
Sicherheitsluecke vermutlich ausgenutzt.

Betroffen sind die Versionen 6, 7 und 8 des Internet Explorer auf den
Windows-Systemen XP, Vista und 7. Microsoft hat ein Security Advisory
[http://www.microsoft.com/technet/security/advisory/979352.mspx]
herausgegeben, in dem es moegliche Wege zur Risikominimierung
beschreibt. Microsoft arbeitet bereits an einem Patch, um die
Sicherheitsluecke zu schliessen. Das BSI erwartet, dass diese
Schwachstelle in kurzer Zeit fuer Angriffe im Internet eingesetzt wird.

Das Ausfuehren des Internet Explorers im „geschuetzten Modus“ sowie das
Abschalten von Active Scripting erschwert zwar die Angriffe, kann sie
jedoch nicht vollstaendig verhindern. Deshalb empfiehlt das
Buerger-CERT, bis zum Vorliegen eines Patches von Microsoft auf einen
aktuellen alternativen Browser umzusteigen.

Quelle Bürger-CERT / BSI