0
TimThumb est utilisé dans un grand nombre de thèmes Wordpress principalement destinés à proposer un affichage de type magazine, de plus en plus courant dans l'univers des blogs. Il permet de redimensionner les images affichées sur le site, de sorte à les adapter à différents modes d'affichage sans en altérer la qualité : une fonction appréciée par des millions d'utilisateurs. Une rapide cherche Google avec le terme « timthumb.php », qui est le nom de la page utilisant le script, renvoie à près de 40 millions de résultats. D'autres blogs utilisent également le script via une page nommée Thumb.php, qui renvoie quant à elle à 61 millions de résultats.
Le problème découle d'une mauvaise gestion des droits d'écriture dans les dossiers utilisés par le script pour stocker les images redimensionnées. TimThumb utilise un dossier de cache ouvert à tous les vents, à l'intérieur duquel les hackers peuvent stocker du code malicieux.
Après avoir mis le doigt sur la faille, le PDG de Feedjit, Mark Maunder, a publié une version corrigée, nommée WordThumb. Mais la route devrait être longue avant que la faille soit corrigée partout : un bon nombre d'utilisateurs exploitant un thème Wordpress gratuit ou payant incluant TimThumb n'est probablement pas au courant du problème. L'information est donc à faire circuler pour limiter les dégâts...
Journaliste mais geekette avant tout, je m'intéresse aussi bien à la dernière tablette innovante qu'aux réseaux sociaux, aux offres mobiles, aux périphériques gamers ou encore aux livres électroniques, sans oublier les gadgets et autres actualités insolites liées à l'univers du hi-tech. Et comme il n'y a pas que les z'Internets dans la vie, j'aime aussi les jeux vidéo, les comics, la littérature SF, les séries télé et les chats. Et les poneys, évidemment.
Lire d'autres articles
