WordPress-Plug-in: Zero-Day-Lücke gefährdet rund 500.000 Sites

Eine Zero-Day-Lücke gefährdet bis zu eine halbe Millionen WordPress-Seiten. Das melden Sicherheitsforscher von Sucuri. Betroffen ist das Plug-in Fancybox. Angreifer nutzen die Schwachstelle bereits aktiv aus. Die Forscher raten Nutzern des Plug-ins, dieses schnellstmöglich zu deaktivieren oder zu aktualisieren.

Vorerst ist es nicht mehr im Downloadverzeichnis von WordPress enthalten. Der Anbieter hat es entfernt. Eine gepatchte Version (3.0.4) steht seit wenigen Stunden zum Herunterladen bereit.

Nutzer können mit Fancybox die Darstellung von Einzelbildern und Galerien verbessern. Bei einem Klick auf ein Bild erscheint es in einer Box in einem größeren Format. Dabei lässt es sich auch animieren sowie mit einem Titel oder Beschreibungstexten versehen.

Noch ist nicht bekannt, wie der Exploit im Detail funktioniert. Die Sicherheitsforscher wollten erst den seit kurzem verfügbaren Patch abwarten, bevor sie Einzelheiten nennen. Angreifer können die Zero-Day-Lücke des WordPress-Plug-ins ausnutzen, um beliebigen Code – eben auch Schadcode – auf der Website auszuführen.

Erst eine Angriffswelle auf die Schwachstelle machte die Sicherheitsforscher von Sucuri auf sie aufmerksam. Sie entdeckten, dass eine Reihe betroffener Websites einen bösartigen iframe von “203koko” luden. Nutzer meldeten und diskutierten das Problem auch in den WordPress-Foren.

Einer Statistik zufolge kommt WordPress auf 23 Prozent der 10 Millionen meistbesuchten Websites zum Einsatz – darunter auch silicon.de. Wie viele Fancybox nicht nur heruntergeladen haben, sondern auch einsetzen, ist unbekannt.

[mit Material von Florian Kalenda, ZDNet.de]