Immagine: il team di jQuery
×
jquery-logo-blu.png
Tre anni dopo la sua ultima grande bug di sicurezza, la libreria JavaScript jQuery –usato il 74 per cento di tutti i siti internet– ha ricevuto un’altra patch di protezione di questa settimana.
Questo aggiornamento per la protezione risolve una rara vulnerabilità –chiamato prototipo di inquinamento-che i ricercatori di sicurezza stanno cominciando solo ora a capire e scoprire, in più e più librerie JavaScript.
Che cosa è il prototipo di inquinamento
Come suggerisce il nome, il prototipo di inquinamento si riferisce a un utente malintenzionato di modificare un oggetto JavaScript prototype.
Gli oggetti JavaScript sono come le variabili, ma invece di memorizzare un valore, var auto = “Fiat”), che può contenere più valori, basato su una struttura predefinita (var auto ={type:”Fiat”, modello:”500″, colore:”bianco”}).
Prototipi di definire un oggetto JavaScript struttura predefinita e valori di default, in modo che le applicazioni non in crash quando non vengono impostati valori.
Un utente malintenzionato che riesca a modificare un oggetto JavaScript prototipo può avere un notevole impatto sulla modalità di elaborazione dei dati con il resto dell’applicazione, e aprire la porta per più pericolosi attacchi, come l’applicazione si blocca (denial of vulnerabilità bug) o di applicazione dirotta (esecuzione di codice in modalità difetti).
Prototipo di inquinamento, una minaccia crescente per JavaScript
Prototipo di inquinamento attacchi non sono nuovi e sono già documentata la prima volta anni fa. Tuttavia, che solo ora vengono accuratamente catalogati perché JavaScript come linguaggio, si è evoluta e dalla manipolazione di base interazioni dell’interfaccia utente di lavorare con una impressionante quantità di dati sensibili come lato server, linguaggio di programmazione –grazie per l’Node.js progetto.
Quindi, qualsiasi prototipo di inquinamento attacco può avere gravi conseguenze in un web-dev mondo dove tutto o quasi ruota intorno JavaScript in un modo o nell’altro, nel desktop, mobile, browser o applicazioni server-side.
Nel corso dell’anno passato-e in particolare dopo Olivier Arteau del NorthSec 2018 di presentazione del prototipo di inquinamento attacchi– i ricercatori di sicurezza hanno iniziato a guardare più da vicino le librerie JavaScript sono state utilizzando e la ricerca di possibili prototipo di inquinamento bug.
Questi sforzi hanno portato alla scoperta di molteplici prototipo di inquinamento attacchi in più librerie JavaScript, come la Mangusta, lodash.unire, nodo.estendere profonda di estendere, e HAPI-alcuni dei quali estremamente popolare per JavaScript lato server applicazioni.
Prototipo di inquinamento in jQuery
Questa costante chiacchiere sul prototipo di inquinamento attacchi ha anche attirato l’attenzione di Snyk, una società che fornisce il codice sorgente di scansione tecnologia, e di cui i ricercatori erano interessati a documentare questo nuovo vettore di attacco; Liran Tal, un Snyk ricercatore di sicurezza, ha detto a ZDNet, in un’intervista all’inizio di questa settimana.
La loro analisi del prototipo di inquinamento attacchi ha portato alla scoperta di un simile difetto di impatto jQuery, una libreria JavaScript che è così onnipresente e radicata nel lavoro di sviluppo web che viene utilizzato sul 97% di tutti i siti web che utilizzano almeno una libreria JavaScript.
Dire che jQuery è popolare tra gli sviluppatori JavaScript è l’equivalente di dire “l’acqua è bagnata, il che significa che qualsiasi prototipo di inquinamento difetti in questa libreria si apre automaticamente le porte per gli attacchi alle centinaia di milioni di siti web.
In un rapporto pubblicato la scorsa settimana, Tal e il Snyk team descritto e pubblicato un codice di prova per un prototipo di inquinamento attacco (CVE-2019-11358) impatto jQuery. Per mostrare quanto sia pericolosa questa vulnerabilità, hanno mostrato come un prototipo di inquinamento difetto potrebbe consentire agli aggressori di assegnare stessi diritti di amministratore su una web app che utilizza jQuery codice per il frontend.
Non facile da sfruttare
Ma la buona notizia è che il prototipo di inquinamento attacchi non sono di massa sfruttabili, come ogni codice di exploit deve essere sintonizzato per ogni destinazione, individualmente. Prototipo di inquinamento difetti richiedono che gli attaccanti hanno una conoscenza approfondita di come ogni sito web funziona con il suo oggetto prototipi, e di come questi prototipi fattore nel grande schema delle cose.
Inoltre, alcuni siti web non utilizzare jQuery per qualsiasi sollevamento di carichi pesanti operazioni, ma solo per animare un paio di menu e mostra alcuni pop-up, di qua e di là.
“Ricerca versioni di jQuery vulnerabilità per questo exploit non è un compito difficile, ma l’automazione di un effettivo sfruttamento di codice personalizzato che fa uso di jQuery e vulnerabili API per quanto riguarda il prototipo di inquinamento sarebbe più difficile,” Tal detto a ZDNet.
Inoltre, le applicazioni e i siti web che si basano sul codice sorgente chiuso sono anche tutelati contro alcuni attacchi, Tal, ci ha detto.
“Sfruttando server-side codice sorgente chiuso, che non è di facile accesso per le indagini, richiede un bel po’ di ricerca per scoprire come inquinante globale oggetto ambito interesserebbe una domanda, se il prototipo di inquinamento è applicabile a tutti in questi casi,” il ricercatore ha detto.
Tuttavia, nei casi in cui jQuery è utilizzato per le operazioni più complesse, come la costruzione completa di un frontend o interagiscono con il server-sistemi di lato, prototipo di inquinamento attacchi può consentire agli hacker un modo in sistemi considerata sicura, ideale bug per gli attacchi mirati contro di valore elevato di siti web.
Una enorme superficie di attacco
Tal, che ha lavorato con il Node.js il team di segnalare il bug al team di jQuery, raccomanda agli sviluppatori web di aggiornare i loro progetti per l’ultima versione jQuery, v3.4.0.
Oggi, la maggior parte dei siti web utilizza ancora la 1.x e 2.x filiali della libreria jQuery, il che significa che la stragrande maggioranza di jQuery basato su applicazioni e siti web sono ancora aperti agli attacchi.
W3Techs
×
jquery-versioni.png
Tenendo conto che ci sono alcune sintassi rottura tra le tre versioni principali e che gli sviluppatori web sarebbe piuttosto gettare dell’acido sul viso di ri-scrivere le loro interfacce, la maggior parte dei siti web sono tenuti a continuare ad utilizzare le vecchie versioni per il prossimo futuro.
Fortunatamente, la patch è stato riportato anche in versioni precedenti.
Più prototipo di inquinamento attacchi futuri
Nel frattempo, il lavoro di trovare e documento più prototipo di inquinamento attacchi continua a Snyk.
La società ha detto che è già a conoscenza di più di 20 prototipo di inquinamento attacchi già”, che si estende su browser e Node.js ecosistemi”, e si aspetta di vedere di più.
Più vulnerabilità di report:
Dragonblood vulnerabilità divulgate in WiFi WPA3 standardMobile app utilizzata in Car2go schema di frode per rubare 100 veicoli
Kaspersky: il 70 per cento degli attacchi ora destinazione Ufficio vulnerabilitiesInternet Explorer zero-day consente agli hacker di rubare i file da Windows PCsShopify API difetto offerto l’accesso ai dati delle entrate di migliaia di storesMicrosoft perde il controllo su Windows Piastrelle subdomainKRACK attacco: Ecco come le aziende stanno rispondendo CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati