Come abbiamo giá raccontato in un post di dicembre, la versione di WordPress rilasciata a gennaio, la 4.7 è dedicata a Vaughan, la famosa Jazzista statunitense, ma nemmeno i migliori cantanti sono immuni da quelle che in gergo si chiamano “stecche”, cosí anche WordPress 4.7 ha commesso un errore e forse la soluzione ha solo peggiorato la situazione, ma andiamo con ordine.
Marc-Alexandre Montpas, ricercatore della societá specializzata in sicurezza informatica Sucuri, ha scoperto un Bug nel sistema di autenticazione degli utenti che in sostanza apre alla possibilitá che un pirata informatico esegua un attacco di contant injection. L’attaccante potrebbe quindi cancellare o modificare qualsiasi contenuto, inserendo per esempio pubblicità o altri componenti pericolosi. Cosí circa 10 giorni fa WordPress ha rilasciato un aggiornamento di sicurezza. Lo ha reso noto la stessa WordPress, comunicando che l’aggiornamento di sicurezza ha “silenziosamente” corretto la vulnerabilità critica che avrebbe potuto consentire l’esecuzione di codice da remoto.
Ma allora dove sta il problema? Nella comunicazione del problema solo a posteri!
Gli sviluppatori, infatti, hanno deliberatamente nascosto informazioni riguardanti la grave vulnerabilità zero-day che è stata corretta con il rilascio della versione 4.7.2 di WordPress, l´organizzazione ha fatto sapere di avere tenuto riservata la notizia per una settimana per consentire a milioni di utenti di scaricare e installare la patch prima di svelare pubblicamente l’esistenza del bug, a vantaggio anche di eventuali cybercriminali che avrebbero potuto servirsene.
Spesso, infatti, stando a quanto riportato dal Security Team di WordPress, i siti realizzati con WordPress subiscono attacchi nell’intervallo di tempo tra la pubblicazione degli aggiornamenti e l’effettivo update dei siti.
Ma la domanda che serpeggia tra gli utenti è: “è davvero lecito tenere nascosto un bug cosí importante? Molti potrebbero non rendersi conto dell’effettiva importanza di un determinato update e non aggiornare il proprio sistema, soprattutto nei casi in cui gli aggiornamenti automatici siano disattivati.