“WordPress 3.5.1 DE-Edition und Upgradepaket” (blog.wpde.org)

WordPress 3.5.1 wurde veröffentlicht. Diese Version ist ein Sicherheits- und Wartungsrelease. Eine Aktualisierung auf die neue Version 3.5.1 wird dringend empfohlen.

Dieses Update gab es am Freitag den 25. Januar und schließt u.a. auch eine Lücke zu Cross-Site Scripting, die von jedem Besucher des Blogs ausgenutzt werden kann.


Der Link zum Updaten, der im Backend von WordPress sehr gut versteckt (<g>) ist, wurde nicht einmal von Urgesteinen des Internet wie 1&1 oder SELFHTML (gefixt) gefunden.

Da die “Enquete-Kommission Internet und digitale Gesellschaft” irgendwie rum ist, muss man da auch nichts mehr pflegen. ;O)

Bei den angeblichen “Internetausdruckern” sieht es auch nicht besser aus: CDU (gefixt), SPD (gefixt), Grüne

Wer nun aber meint, dass die “Internetpartei” besser dasteht, der täuscht sich: Piraten

Auch Gottes Bestand hilft offensichtlich nicht weiter: Radio Vatikan (gefixt)

Dies war nur eine kleine Auswahl, der mehr als einhundert Blogs die ich auf die Schnelle fand, zu denen auch so unbekannte Seiten wie die folgenden gehören:

• audi.de
• basicthinking.de (gefixt)
• bildblog.de
• cebit.de
• daimler.de
• deutsche-startups.de
• giga.de
• gravis.de
• groupon.de
• gruenderszene.de
• gutjahr.biz (gefixt)
• indiskretionehrensache.de
• kraftfuttermischwerk.de
• nachdenkseiten.de
• ndr.de
• neusprech.org
• spreeblick.com
• stefan-niggemeier.de
• sueddeutsche.de
• wiwo.de

Nun mal ernsthaft.

Sobald man sich in WordPress einloggt, bekommt man sehr deutlich viermal angezeigt, dass es ein Update gibt: Updatehinweise im Backend von WordPress

Ich habe die bisher durchgeführten Updates von WordPress nicht gezählt, aber seit Februar 2007 (Version 2.0.7) betreibe ich diesen Blog und ich hatte noch nie ein Problem damit. Backups mache ich zur Sicherheit natürlich vorher, weil — man weiß ja nie, aber gebraucht habe ich diese bisher noch nicht.

Es kann zwar auch gute Gründe geben ein Update nicht sofort einzuspielen, weil z.B. eigene Änderungen am Quellcode nicht dokumentiert wurden und man damit rechnet, dass nach dem Update WordPress nicht mehr korrekt funktioniert, aber trotzdem kann man Sicherheitslücken deshalb nicht wochenlang einfach ignorieren.

Vielleicht wurden die Updates auch nur nicht durchgeführt weil die Dringlichkeit nicht bekannt ist. Aber vielleicht sind diese Updateschlampen bei ihrem Blog genauso uninteressiert an Updates, wie bei Updates für das Betriebssystem, Adobe Reader, Adobe Flash oder Java — dann wird mein Blogpost natürlich auch ignoriert werden.

“lost+found: Schau mal, wer da schnüffelt, Phantom-Jagd und Link-Phishing” (heise.de)

Der norwegische Forscher Henning Klevjer demonstriert (PDF, http://klevjers.com/papers/phishing.pdf), dass man Dienste wie TinyURL auch als Webhoster für Phishing-Seiten nutzen könnte. Der Trick: Die recht lange data:-URL (http://tinyurl.com/8aj8f94 bzw. http://preview.tinyurl.com/8aj8f94) enthält die komplette Webseite base64-kodiert, ein Browser wie Firefox rendert den Inhalt dann direkt.

(Ausriss mit den ausgeschriebenen URLs ergänzt, damit man sehen kann wohin die Reise geht.)

Firefox, Opera und Safari rendern in URL-Verkürzer gepackte data:-URLs ohne zu murren, nur der Chrome wirft eine Fehlermeldung aus: “Fehler 311 (net::ERR_UNSAFE_REDIRECT): Unbekannter Fehler.”

Das mit dem Phishing halte ich zwar für etwas an den Haaren herbeigezogen, wobei: Wer bei diesen drei URLs deren Unterschied und Bedeutung nicht erkennt, dem ist eh nicht mehr zu helfen und der muss wohl erst einmal schmerzhaft auf die Schnauze fallen:





Noch etwas zum Thema Phishing von Kaspersky:
“Nur die Hälfte der Internet-Nutzer erkennt Phishing” (searchsecurity.de)

Gerade einmal jeder zweite Internet-Nutzer erkennt Phishing-Nachrichten oder gefälschte Webseiten. Dies hat eine Umfrage von Kaspersky Lab ergeben. Im Spam-Report für Juli 2012 beleuchtet der Antivirus-Hersteller aktuelle Phishing-Trends.

Kaspersky hat aber die nicht erfassen können, die gar nicht erkannt haben, dass sie ein Phisingopfer geworden sind.


Trotzdem finde ich den Ansatz von Klevjer interessant, mir war nämlich gar nicht klar, dass URL-Verkürzer auch eine URL akzeptieren, die weder mit http:, https: oder ftp: anfangen. Ich hatte dies zwar schon selber einmal versucht, aber immer eine Fehlermeldung zurückbekommen, dass die URL fehlerhaft sei. Zufällig hatte ich wohl tinyurl.com nicht versucht oder das “Feature” gab es damals noch nicht. Nun habe ich noch einmal ca. 200 URL-Verkürzer getestet und neben tinyurl.com nur noch jijr.com, nutshellurl.com und tinyarrows.com gefunden, die als “Protokoll” auch data: akzeptieren.

tinyarrows.com zeigt standardmäßig die Ziel-URL erst 8 Sekunden lang an, bevor die automatische Weiterleitung erfolgt. Diese verzögerte Weiterleitung hat den Nebeneffekt, dass auch der Chrome ohne zu murren die data:-Website rendert.

Im Gegensatz zu Klevjer schätze ich die Möglichkeit einen POST-Request auszuführen als wesentlich gefährlicher ein. Eine XSS-Lücke per GET (also sichtbar in der Adresszeile des Browsers) auszuführen ist auffällig und das Opfer hat die Chance die Manipulation zu erkennen. Wird hingegen POST benutzt, so kann man den Angriff nicht erkennen.

Ein Beispiel:
http://xssed.com/mirror/73647/
Date submitted: 28/07/2011
Date published: 09/12/2011