”osCommerce” är en open-source e-handelslösning som fungerar som en webbapplikation som du kan implementera på din webbplats. Den är väldigt mångsidig och ger dig en professionell layout gentemot kunderna samtidigt som att den är väldigt lätt att hantera för administratörer. Du kan enkelt hantera sortimentet i din e-butik. Det förekommer dock en omfattande attack mot webbplatser som använder sig av ”osCommerce” i äldre versioner.
Attacken utnyttjar en svaghet i de äldre versionerna av ”osCommerce” som inte finns i den senaste versionen. Därför är det enbart äldre versioner som drabbas. Men attacken är nog som omfattande ändå, när attacken först upptäcktes i slutet på juni hade cirka 91 000 webbplatser drabbats, medan man i förra veckan uppskattade antalet drabbade webbplatser till cirka fem miljoner. Om kunder klickar på något som har hamnat i butiken i samband med attacken är det väldigt stor risk att de får någon form av datorvirus.
Säkerhetsföretaget Armorize har uppgett att attackerna utnyttjar tre separata svagheter i den gamla versionerna av ”osCommerce”. Medan Harold Ponce de Leon, chefsutvecklare vid ”osCommerce”, menar att det enbart är tal om att attackerna utnyttjar en svaghet i säkerheten. Samtidigt menar han att det inte har förekommit någon kommunikation mellan Armorize och ”osCommerce” för att utbyta information och eventuellt nå någon form av förståelse för hur många svagheter som utnyttjas.
[ad#Google Blogg]
Ponce de Leon menar även att kunder som besöker de infekterade webbplatserna löper en stor risk att smittas själva, speciellt om de använder sig av gamla versioner av Internet Explorer. Det har kommit rapporter om att kunder har blivit drabbade.
Sedan november förra året har ”osCommerce” haft en ny version av webbapplikationen tillgänglig på sin webbplats. En version som ska åtgärda svagheterna. Men med tanke på omfattningen av attackerna tyder mycket på att få av ”osCommerce” användarna har tagit sig tid till att installera den nya versionen. Något som får ses som ett bakslag för ”osCommerce”. De har inte varit tillräckligt tydliga med att poängtera vikten av att installera den nya versionen.
Källa 1
