WordPress、メディアアップロードの脆弱性に対処したセキュリティアップデートをリリース
WordPress による Blog システムの利用者は、ダッシュボードにアップデートアラートが表示されていることに気づいただろう。WordPress プロジェクトは2012年4月21日、「WordPress 3.3.2」をリリースした。このリリースは、主にメディアアップロード、クロスサイトスクリプティング、特権昇格に関するバグに対応したセキュリティアップデートだ。
メディアアップロード関連では、WordPress でメディアアップロードに利用されるサードパーティ製のライブラリ、「Plupload」「SWFUpload」「SWFObject」がアップデートされている。
また、クロスサイトスクリプティング(XSS)に関する脆弱性も修正された。これは、私が個人的に最も危険だと感じていたものだ。具体的には、コメント投稿後のリダイレクト時と、URL をクリック可能にするときの XSS 脆弱性が修正されている。
XSS に関する脆弱性がなぜそれほど危険かと言えば、現時点では、クライアントで動作するセキュリティソフトウェアでは、XSS 攻撃をブロックできないからだ。Endpoint Security はペイロードをブロックできる。だが XSS はサーバー側の問題であり、巧妙に仕組まれた攻撃が行われた場合は、大規模な被害を引き起こす可能性がある。
3.3.x リリースはセキュリティアップデートだが、WordPress 開発者は次世代のバージョンである 3.4 リリースの開発も進めている。WordPress は同日、WordPress 3.4 のベータ 3もリリースした。このバージョンでは、テーマのカスタマイズ機能が充実しており、これは WordPress によるテーマ管理を大きく変えるものとなるだろう。
Sean Michael Kerner は、InternetNews.com の主任編集者。
WordPress、メディアアップロードの脆弱性に対処したセキュリティアップデートをリリース