WordPress 4.2.2 Sicherheits-Update verfügbar

WPVor wenigen Stunden haben die Entwickler das Manintenance-Release von WordPress 4.2.2 freigegeben. Dieses schließt insgesamt 13 Fehler und Sicherheitslücken. Die Version sollte schnellstmöglich installiert werden.


Anzeige

Mir wurde das Release 4.2.2 heute früh um 4:00 Uhr angeboten (da ich um 20:00 Uhr schon penne, die Reha schlaucht ganz schön, bin ich oft um 4:00 Uhr wach).

WP4.2.2

Das Update wurde hier in meiner Blog-Installation problemlos installiert. Hier die Ergebnisseite.

WP4.2.2a

Details zu den Fehlern und Fixes finden sich im WordPress Codex auf dieser Webseite.

  • Fixes an emoji loading error in IE9 and IE10
  • Fixes a keyboard shortcut for saving from the Visual editor on Mac
  • Fixes oEmbed for YouTube URLs to always expect https
  • Fixes how WordPress checks for encoding when sending strings to MySQL
  • Fixes a bug with allowing queries to reference tables in the dbname.tablename format
  • Lowers memory usage for a regex checking for UTF-8 encoding
  • Fixes an issue with trying change the wrong index in the wp_signups table on utf8mb4 conversion
  • Improves performance of loop detection in _get_term_children()
  • Fixes a bug where attachment URLs were incorrectly being forced to use https in some contexts

sowie auf dieser WordPress-Seite, die folgendes ausführt: Version 4.2.2 addresses two security issues:

  • The Genericons icon font package, which is used in a number of popular themes and plugins, contained an HTML file vulnerable to a cross-site scripting attack. All affected themes and plugins hosted on WordPress.org (including the Twenty Fifteen default theme) have been updated today by the WordPress security team to address this issue by removing this nonessential file. To help protect other Genericons usage, WordPress 4.2.2 proactively scans the wp-content directory for this HTML file and removes it. Reported by Robert Abela of Netsparker.
  • WordPress versions 4.2 and earlier are affected by a critical cross-site scripting vulnerability, which could enable anonymous users to compromise a site. WordPress 4.2.2 includes a comprehensive fix for this issue.

The release also includes hardening for a potential cross-site scripting vulnerability when using the visual editor. This issue was reported by Mahadev Subedi. Also wurden mal wieder XSS-Lücken gefixt.


Werbung

Nachtrag: An dieser Stelle mein Hinweis auf diesen heise.de-Artikel.


Anzeige

Dieser Beitrag wurde unter Update, WordPress abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.