8. Mai, 2007
Tja, letztens hatte ich noch berichtet, dass ich mir hier nun die Pagebar installiert habe, heute habe ich sie wieder entfernt.
So sehr ich auch diese Form der Navigation mag und ganz klar dem blöden Link „Ältere Beiträge“ vorziehe – in genau 2 Fällen funktioniert sie leider nicht. Zum einen wurde die Pagebar hier nicht angezeigt, wenn man die bloginterne Suche verwendet, zudem ist die Navigation in den Tags nicht möglich. In beiden Fällen wird sie einfach nicht dargestellt und der Besucher sieht nur die letzten 4 Beiträge. Das kann ich so leider nicht lassen, deshalb hab ich das Plugin erst mal wieder deaktiviert. Wenn ich mal etwas mehr Zeit habe, dann werd ich mal nach einer Lösung schauen…
Tags:
fundsachen,
Pagebar,
plugin,
template,
wordpress,
Wordpress-plugin
3. Mai, 2007
Eine neue Sicherheitswarnung für WordPress-Nutzer: Die WordPress Plugins myFlash, wordTube und wp-Table öffnen Sicherheitslücken, über die PHP-Scripte auf dem Server eingeschleust und dort zur Ausführung gebracht werden können. Bei heise gibt es weitere Erklärungen zu den Ursachen. Nutzer dieser Plugins bis zu den Versionen wordTube 1.4.3, wp-Table 1.4.3 und myFlash 1.10 sollten also schleunigst updaten, „sauber“ sind wordTube 1.4.4, wp-Table 1.4.4 und myFlash 1.11.
Neben diesen Sicherheitslücken, die durch unsaubere Programmierung entstehen kann es unter Umständen auch Plugins geben, die gezielt zur Schaffung von Sicherheitslücken entwickelt wurden. Das ist ein prinzipielles Problem, wer ist schon in der Lage, den Code jedes Plugins erst einmal auf Backdoors hin abzuklopfen, bevor er es installiert? Und wer von denjenigen die es könnten tut es tatsächlich? Mich wundert ohnehin bereits seit geraumer Zeit, dass diesbezüglich noch nichts bis zu mir vorgedrungen ist. Vielleicht hab ich es auch nur nicht vernommen, aber solch ein Backdoor-Plugin hätte sicher für einigen Sturm in der Blogosphäre gesorgt. Ich will hiermit auch niemanden erst auf solch eine Idee bringen, sondern eher sensibilisieren.
Tags:
aktuelles,
plugin,
Security,
wordpress,
Wordpress-plugin
2. Mai, 2007
Mir kommt es so vor, als würde derzeit Adobes Produktpalette etwas genauer unter die Lupe genommen werden, nachdem unlängst der Exploit für den BMP-Loader in Photoshop entdeckt wurde. Eine weitere kritische Sicherheitslücke wurde nun in dem für den Import von PNG-Dateien verantwortlichen Plugin PNG.8BI entdeckt, wie ZDNet schreibt. Auch hierbei handelt es sich wieder um einen Buffer Overflow, der durch manipulierte PNG-Dateien verursacht wird und zum Einschleusen von Schadcode ausgenutzt werden kann.
Betroffen von diesem Problem sind die Windows Versionen der Produkte Adobe Photoshop CS2, Adobe Photoshop CS3 sowie Adobe Photoshop Elements 5.x. Der einzige Schutz derzeit: Keine PNG’s von nicht vertrauenswürdigen Quellen öffnen. Wie das in der Praxis funktionieren soll, wenn bspw. Kunden ihre Daten als PNG anliefern, ist im Augenblick unklar. Gerade die „typischen“ Anwender liefern Bilder in der Regel als BMP oder inzwischen gelegentlich als PNG, seltener als PSD oder TIFF. Wahrscheinlich muss man es dann tatsächlich so halten, wie es diverse Druckereien immer noch vor machen: „Wir können nur dieses oder jenes Format…“
Ich hoffe nicht, in Kürze von weiteren Problemen in den anderen Modulen zu lesen, ein paar Import-Plugins für diverse Dateiformate gibt es ja noch.
Nachtrag: Wie ich bei heise lese hat Marsu, der Entdecker dieser Sicherheitslücken, weitere vergleichbare Probleme auch in anderen Produkten festgestellt. So existiert dieses Problem beim Umgang mit PNG-Dateien offenbar auch in Corel Paint Shop Pro 11.20. GIMP weist eine vergleichbare Lücke im RAS-Loader auf und in IrfanView kann mit manipulierten IFF-Dateien ein Buffer-Overflow erzeugt werden.
Tags:
bildbearbeitung,
Exploit,
fundsachen,
Photoshop,
plugin,
Security,
soft
