Wer WordPress nutzt und so konfiguriert hat, dass Updates automatisch eingespielt werden, hat sicher gemerkt, dass in den letzten 12 bis 18 Stunden eine automatische E-Mail im Postfach landete, die auf ein Upgrade hinweist.
Neue Funktionen kommen nicht hinzu, aber das Upgrade auf 4.7.2 ist dennoch sehr wichtig: Es werden drei kritische Sicherheitslücken geschlossen.
Diese drei Sicherheitslücken behebt das Update:
- Das Userinterface für Taxonomieausdrücke in „Press This“ wird auch Usern gezeigt, die diese Eingabemöglichkeit nicht sehen wollen. „Press This“ ist ein Feature, mit dem man über ein Browser-Bookmarklet auf einer Webseite markierten Text schnell als Beitrag in seinem Blog posten kann.
- Die Klasse WP_Query hat eine Schwachstelle, die SQL Injections (SQLi) ermöglicht. Zwar sei der Kern von WordPress nicht verwundbar, doch über Plugins und Themes könne eventuell eine Sicherheitslücke entstehen. WP_Query wird z.B. häufig verwendet, um Posts anzuzeigen, die bestimmte Bedingungen aufweisen.
- In der Funktion Beitragsliste wurde eine Cross-Site Scripting (XSS) Lücke entdeckt.
Diese Lücken sind durchaus als gefährlich oder kritisch einzustufen, da mit entsprechendem Wissen über die Ausnutzung dieser Probleme eine WordPress-Installation übernommen werden kann. Spätestens jetzt, wo diese Lücken allgemein bekannt werden, muss man damit rechnen, dass ältere Versionen auf diesen Wegen verstärkt angegriffen werden. Wer die automatischen Updates nicht installiert hat, sollten über das Dashboard das Update anstoßen oder die Quelldateien von der WordPress-Seite herunterladen und selbst installieren.