ΑρχικήsecurityΤο HD FLV Player συνεχίζει να έχει κενά ασφαλείας

Το HD FLV Player συνεχίζει να έχει κενά ασφαλείας

HD Flv player

Η πιο πρόσφατη ενημερωμένη έκδοση για το HD FLV Player για Joomla, WordPress, και custom ιστοσελίδες, διόρθωσε μεν ένα σοβαρό πρόβλημα, αλλά άφησε ανοικτή μια δυσλειτουργία που θα επιτρέψει σε οποιονδήποτε εισβολέα να στείλει spam email.

Το HD FLV Player, έχει εγκατασταθεί πάνω από 200.000 φορές στις υποστηριζόμενες πλατφόρμες, με την έκδοση του Joomla, να είναι η πιο δημοφιλής από αυτή για WordPress.

Οι προγραμματιστές έχουν κυκλοφορήσει πρόσφατα μια ενημέρωση ασφαλείας για ένα πρόβλημα, που επιτρέπεται σε ένα μη εξουσιοδοτημένο άτομο να κάνει λήψη αυθαίρετων αρχείων στο sever.

Χωρίς κανέναν έλεγχο ασφαλείας για το αρχείο, “download.php”, κάποιος που γνωρίζει τη δομή URL για κάποιο αρχείο, θα μπορούσε να κατεβάσετε τα πάντα από το server. Οι συνέπειες είναι σοβαρές, αφού αυτό θα μπορούσε να οδηγήσει σε πλήρη έλεγχο της ιστοσελίδας και τη χρήση της για δόλιους σκοπούς.

Το στοιχείο αυτό έχει επιδιορθωθεί για το κενό αυτό ασφαλείας, αλλά υπάρχει ένα  παρόμοιο στο αρχείο, “email.php”. Στην περίπτωση αυτή, η εκμετάλλευση του θα μπορούσε να οδηγήσει σε αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου.

Ο Marc-Alexandre Montpas, του Sucuri, εξήγησε σε ένα blog την Τετάρτη, ότι μετά το φιλτράρισμα των μεταβλητών που χρησιμεύουν για αποστολή email, το πεδίο “referrer” παραμένει έγκυρο για αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου, αν ταιριάζει με το URL της τοποθεσίας Web. Επίσης το πεδίο αυτό μπορεί να αλλάξει σε οτιδήποτε θέλει ο επιτιθέμενος.

Στην περίπτωση των χρηστών Joomla και WordPress, η ενημερωμένη έκδοση για το HD FLV Player έχει ήδη παραδοθεί, αλλά πρέπει ακόμα να κάνουν μερικές ενέργειες, καθώς η έκδοση αυτή, αντιμετωπίζει μόνο τη αυθαίρετη λήψη αρχείων.

Η σύσταση είναι, να καταργηθεί το αρχείο “email.php” από την ιστοσελίδα, ώστε να αποτραπεί η διεύθυνση του διακομιστή ηλεκτρονικού ταχυδρομείου να μπει στη μαύρη λίστα για αποστολή spam email.

Το HD FLV Player, επιτρέπει βίντεο streaming και διαθέτει υποστήριξη για Flash και HTML5, καθιστώντας το περιεχόμενο ορατό και στους υπολογιστές και στα smartphones. Οι προγραμματιστές έχουν ενσωματώσει τον έλεγχο για τις επιλογές που έχει ο θεατής. Ως εκ τούτου, ο admin μπορεί να επιτρέψει λειτουργίες όπως την κοινή χρήση, τον έλεγχο ένταση, τη λήψη, τη προβολή πλήρους οθόνης ή τη δημιουργία playlists.

Το plug-in είναι δωρεάν τόσο για Joomla, όσο και WordPress, με μοναδικό περιορισμό το λογότυπο στο clip. Αυτό μπορεί να αφαιρεθεί με την αγορά άδειας χρήσης.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS