Tο θέμα υπάρχει στο γεγονός ότι το WordPress δεν περιέχει έναν κρυπτογραφικά ασφαλή pseudorandom number generator. Ένας ερευνητής με το όνομα Scott Arcizewski έκανε τους διαχειριστές/συντηρητές του WordPress να έχουν υπόψιν τους το πρόβλημα,πριν περίπου οχτώ μήνες και είπε πως εξέλαβε ελάχιστο ενδιαφέρον.
O Arcizewski έχει φτιάξει ένα patch για το πρόβλημα και το έχει εκδόσει, αλλά δεν το έχει εκμεταλευτεί το WordPress.
O ίδιος λέει πως δεν έχει φτιάξει κάποιο exploit για το θέμα αλλά είπε πως ένας χάκερ θα πρέπει να είναι σε θέση να προβλέψει τον επόμενο RNG seed για να είναι σε θέση να τον κάνει exploit.
Σύμφωνα με τον ίδιο:"Υπάρχει ένας κανόνας στην ασφάλεια:οι επιθέσεις γίνονται καλύτερες, ποτέ χειρότερες.Εάν δεν είναι προσβάσιμο σε επιθέσεις σήμερα δεν μας εγγυάται κανείς οτι δεν θα είναι ούτε και στα επόμενα πέντε με δέκα χρόνια. "
0 σχόλια:
Δημοσίευση σχολίου