Zahllose Websites über fehlerhafte JavaScript-Komponenten angreifbar

Zu dem Ergebnis kommen Forscher der in Boston ansässigen Northeastern University nach der Untersuchung von 133.000 Websites. Demnach können die Fehler unter Umständen ausgenutzt werden, um über eine alte Cross-Site-Scripting-Lücke in jQuery manipulierte Skripte in eine Website einzuschleusen.

Forscher der Northeastern University in Boston haben 133.000 Webseiten untersucht und dabei herausgefunden, dass 37 Prozent davon mindestens eine JavaScript-Bibliothek verwenden, in denen eine bekannte Schwachstelle steckt. Mit der aktuellen Studie griffen die Forscher auf Ergebnisse einer bereits 2014 durchgeführten Untersuchung zurück, die potenzielle Sicherheitsrisiken durch das Laden von veralteten Versionen von JavaScript-Bibliotheken, darunter jQuery und dem AngularJS-Framework in den Browser aufgezeigt hatte.

Code Sicherheit (Bild: Shutterstock)

Diese fehlerhaften Libraries können unter Umständen ausgenutzt werden, um eine altbekannte Cross-Site-Scripting-Lücke in jQuery auszunutzen. Über die ist es Angreifern dann möglich, Skripte ihrer Wahl in eine Website zu injizieren. Für ihre Arbeit haben die Forscher aus Boston die laut Amazons Alexa-Liste 75.000 weltweit meistbesuchten Sites sowie 75.000 weitre, zufällig ausgewählte .com-Domains untersucht. Sie prüften dabei 72 unterschiedliche Libraries in jeweils mehreren Versionen. Insgesamt nutzen 87 Prozent der Sites der Alexa-Liste und 46,5 Prozent der zufällig ausgewählten .com-Sites mindestens eine dieser Bibliotheken.

Der Studie zufolge sind 36,7 Prozent der eingebundenen jQuery-Skripte angreifbar. Beim Angular-Framework (40,1 Prozent), Handlebars (86.6 Prozent) und YUI (87,3 Prozent) liegen die Werte noch wesentlich höher. 9,7 Prozent der untersuchten Websites verwenden sogar zwei oder mehr anfällige Bibliotheken.

„Das ernüchterndste Ergebnis unserer Untersuchung ist wahrscheinlich der Beleg, dass das JavaScript-Library-Ökosystem komplex, unorganisiert und – was Security betrifft – im Wesentlichen nach dem ‚ad hoc‘-Prinzip funktioniert“, schreiben die Forscher. Sie kritisieren, dass es keine zuverlässigen Schwachstellen-Datenbanken und keine von den Anbietern der Bibliotheken betriebenen Security-Mailing-Listen gibt. Auch seien in den Release Notes kaum Details zu Sicherheitsaspekten enthalten und sei es für Anwender oft sehr schwierig herauszufinden, welche Version von einer bestimmten, dort erwähnten Schachstelle tatsächlich betroffen ist.

Dazu kommt, dass der Großteil der Sites völlig veraltete Versionen benutzt. So liege der Median in Bezug auf die älteste und die aktuellste verwendete Version auf einer Website bei über drei Jahren.

In ihrer Untersuchung haben die Forscher auch Gründe für die desaströse Situation ausfindig gemacht: Nur ein kleiner Bruchteil der untersuchten Sites (maximal 2,8 Prozent) könnte sich aller bekannten Schwachstellen dadurch entledigen, dass sie die verfügbaren, rückwärtskompatiblen Patch-Level-Updates einspielen. Nahezu der gesamt Rest der Websites müsste dagegen mindesten eine Bibliothek mit einem Versionssprung einspielen, der in der Regel Kompatibilitätsprobleme mit sich bringt und dadurch weitere Code-Änderungen erforderlich macht.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Java, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zahllose Websites über fehlerhafte JavaScript-Komponenten angreifbar

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *