Tin tặc đang khai thác lỗi của tiện ích chỉnh sửa kích cỡ hình ảnh TimThumb, được sử dụng rộng rãi trong nền tảng blog WordPress. Một số bản sửa lỗi đã được đưa vào phiên bản TimThumb mới nhất.

CEO Mark Maunder của Feedjit đã phát hiện vấn đề khi blog của mình bắt đầu tải nội dung quảng cáo (trước đó blog của ông không có quảng cáo). Ông đã truy ra nguyên nhân là vấn đề với thư viện "timthumb.php", được sử dụng trong theme ông mua cho blog của mình.

TimThumb "vốn đã không an toàn" vì nó ghi các file vào một thư mục khi nó nạp ảnh và chỉnh sửa kích cỡ hình ảnh, và mọi người ghé thăm website đều có thể truy cập thư mục đó, ông Maunder viết. Kẻ tấn công có thể làm tổn hại website bằng cách “lừa” TimThumb nạp một file PHP độc hại và đặt nó vào trong thư mục WordPress. Sau đó, nếu kẻ tấn công sử dụng trình duyệt web truy cập file, mã sẽ được thực hiện.

Ông Maunder giải thích làm thế nào để vô hiệu hóa khả năng nạp hình ảnh từ các website bên ngoài của TimThumb, nhưng cách chắc chắn nhất để ngăn chặn vấn đề là loại bỏ TimThumb hoặc hạn chế sự truy cập của nó vào những website khác. Bên cạnh đó, người dùng nên cập nhật lên phiên bản mới nhất của TimThumb.

Ông Ben Gillbanks – nhà phát triển TimThumb – là người đầu tiên bình luận bài đăng blog của ông Maunder. Ông Gillbanks tỏ ý rất lấy làm tiếc và hy vọng không có ai gặp bất cứ điều gì quá tồi tệ với website của họ vì lỗi của mình.

Ông Gillbanks khuyến cáo mọi người nên sử dụng phiên bản TimThumb mới nhất để tránh bị khai thác.