Nova versão do WordPress corrige falhas graves de segurança

Popular plataforma de blogs consertou também bugs em bibliotecas associadas pelo sistema

O WordPress liberou a versão 3.3.2, para solucionar diversas vulnerabilidades na plataforma de blogs, bem como em três bibliotecas externas que são empacotadas nela por padrão.

A nova versão atualiza a biblioteca Plupload pacote para a versão 1.5.4, após os desenvolvedores corrigirem um bug de falsificação de pedido cross-site (CSRF) na semana passada.

O Plupload é uma biblioteca de manipulação de upload flexível com suporte para uma variedade de runtimes, incluindo HTML5, Flash, Silverlight, Gears e BrowserPlus. É usado por padrão no WordPress para postar arquivos de mídia.

Vários bugs de segurança também foram resolvidos em duas outras bibliotecas chamadas SWFUpload e SWFObject, que o WordPress usava no passado para upload de arquivos de mídia e inclusão de Flash, respectivamente.

Mesmo que o WordPress já não use essas bibliotecas, elas ainda são fornecidas com a plataforma padrão para manter a compatibilidade com versões anteriores com temas mais antigos e plug-ins que dependem delas.

O WordPress é um alvo comum para os crackers, que exploram vulnerabilidades em instalações obsoletas para injetar códigos maliciosos em sites na plataforma. O malware Flashback, que recentemente infectou mais de 600 mil Macs foi distribuído pela Web a partir de sites WordPress comprometidos .

Os pesquisadores de segurança aconselham os proprietários de sites para manter suas instalações WordPress, plug-ins associados e temas sempre atualizados. O WordPress 3.3.2 deve aparecer automaticamente no menu Atualizações no Dashboard, mas os usuários também podem executar a atualização manual.