Adobe rolt laatste Magento 1-beveiligingsupdates uit voor 90.000 webwinkels

[Captain Kirk]

Adobe heeft de laatste beveiligingsupdates uitgerold voor webwinkelsoftware Magento 1, wat inhoudt dat meer dan 90.000 tot 99.000 webwinkels geen patches meer zullen ontvangen. Nieuw ontdekte kwetsbaarheden zullen niet meer door het softwarebedrijf worden verholpen. Daardoor lopen webwinkels die van Magento 1 gebruik blijven maken groter risico op aanvallen.

Er zijn twee versies van Magento 1 in omloop, namelijk Magento Commerce en Magento Open Source. Volgens meetwebsite SimilarTech zijn er ruim 99.000 webshops die van Magento 1 gebruikmaken. Built With komt uit op zo'n 90.000 websites. In het verleden zijn kwetsbaarheden in Magento geregeld door criminelen gebruikt om kwaadaardige code aan websites toe te voegen om zo persoons- en creditcardgegevens van klanten te stelen.

Ook de laatste beveiligingsupdates voor Magento Commerce 1 en Magento Open Source 1 verhelpen twee kwetsbaarheden waardoor dit mogelijk is. Het gaat om PHP Object Injection waardoor een aanvaller willekeurige code kan uitvoeren en stored cross-site scripting waarmee een aanvaller gevoelige informatie kan stelen. In het geval van deze twee kwetsbaarheden moet een aanvaller wel al over beheerdersrechten beschikken om er misbruik van te maken.

In april werden webwinkels nog door creditcardmaatschappij Visa op het einde van de ondersteuning van Magento 1 gewezen. Volgens het bedrijf zijn webwinkels die van Magento 1 gebruik blijven maken niet meer compliant met de Payment Card Industry Data Security Standards (PCI DSS), een internationale beveiligingsstandaard waarin wordt omschreven hoe er met betaalkaartgegevens van klanten moet worden omgegaan. Webwinkels die PCI-compliant willen blijven krijgen van Visa het advies om te migreren naar een platform dat nog wel wordt ondersteund met beveiligingsupdates.

 

bron: security.nl