Webサイト構築の世界的なCMSであるWordPressが、各種脆弱性に対応したバージョン「WordPress 4.7.3」を3月7日にリリースしました。WordPressは昨年末に深刻な脆弱性が発見され、1月26日にバージョンアップされた「WordPress 4.7.2」にてそれらが解消されましたが、脆弱性を公表するとかえって利用者が更新までの間に危険にさらされることを考慮し約1週間ほど、更新内容を公表していませんでした。そのため更新に気づかずサイバー攻撃を受け、日本国内でも多くの利用者のWebサイトが改ざんされニュースになりました。
今回は前回のバージョンからさらに以下の脆弱性等に対応したとしています。1.メディアファイルのメタデータを介したクロスサイトスクリプティング (XSS) 脆弱性。
2.制御文字を利用したリダイレクト URL 検証回避の問題。
3.管理者による意図しないファイル削除が実行される問題。
4.YouTube 動画埋め込み URL を介したクロスサイトスクリプティング (XSS) 脆弱性。
5.タクソノミー語句名に関連したクロスサイトスクリプティング (XSS) 脆弱性。
6.クロスサイトリクエストフォージェリ (CSRF) にてサーバーリソースの過剰利用が引き起こされる問題。
更新の方法は「ダッシュボード > 更新 メニュー」。
同CMSは世界レベルで実に30%程度の利用者に達しており、他CSMの利用数を大きく話しています。その為、一度脆弱性が見つかると攻撃者による大規模なサイバー攻撃キャンペーンに繋がります。脆弱性が見つかると、メーカーやベンダーはできるだけ早く、対応したバージョンを開発し発表しますが、ゼロデイ攻撃と言われるいわゆる、ベンダーが対応する前に攻撃を仕掛けてくるため、利用者がサイバー攻撃を防ぐことが難しくさせています。かつ、バージョンアップで脆弱性を公表してしまうと、それまで攻撃者でなかったものまで刺激を与えてしまう恐れもあります。できるだけ利用しているサービスの更新は自動アップデートに設定していることが望ましいですが、何らかの理由で難しい場合は日頃から脆弱性の情報はキャッチアップするように心がけましょう。詳細;WordPress
PARTNER
