Zahllose Websites über fehlerhafte JavaScript-Komponenten angreifbar

Forscher der Northeastern University in Boston haben 133.000 Webseiten untersucht und dabei herausgefunden, dass 37 Prozent davon mindestens eine JavaScript-Bibliothek verwenden, in denen eine bekannte Schwachstelle steckt. Mit der aktuellen Studie griffen die Forscher auf Ergebnisse einer bereits 2014 durchgeführten Untersuchung zurück, die potenzielle Sicherheitsrisiken durch das Laden von veralteten Versionen von JavaScript-Bibliotheken, darunter jQuery und dem AngularJS-Framework in den Browser aufgezeigt hatte.

Diese fehlerhaften Libraries können unter Umständen ausgenutzt werden, um eine altbekannte Cross-Site-Scripting-Lücke in jQuery auszunutzen. Über die ist es Angreifern dann möglich, Skripte ihrer Wahl in eine Website zu injizieren. Für ihre Arbeit haben die Forscher aus Boston die laut Amazons Alexa-Liste 75.000 weltweit meistbesuchten Sites sowie 75.000 weitre, zufällig ausgewählte .com-Domains untersucht. Sie prüften dabei 72 unterschiedliche Libraries in jeweils mehreren Versionen. Insgesamt nutzen 87 Prozent der Sites der Alexa-Liste und 46,5 Prozent der zufällig ausgewählten .com-Sites mindestens eine dieser Bibliotheken.

Der Studie zufolge sind 36,7 Prozent der eingebundenen jQuery-Skripte angreifbar. Beim Angular-Framework (40,1 Prozent), Handlebars (86.6 Prozent) und YUI (87,3 Prozent) liegen die Werte noch wesentlich höher. 9,7 Prozent der untersuchten Websites verwenden sogar zwei oder mehr anfällige Bibliotheken.

„Das ernüchterndste Ergebnis unserer Untersuchung ist wahrscheinlich der Beleg, dass das JavaScript-Library-Ökosystem komplex, unorganisiert und – was Security betrifft – im Wesentlichen nach dem ‚ad hoc‘-Prinzip funktioniert“, schreiben die Forscher. Sie kritisieren, dass es keine zuverlässigen Schwachstellen-Datenbanken und keine von den Anbietern der Bibliotheken betriebenen Security-Mailing-Listen gibt. Auch seien in den Release Notes kaum Details zu Sicherheitsaspekten enthalten und sei es für Anwender oft sehr schwierig herauszufinden, welche Version von einer bestimmten, dort erwähnten Schachstelle tatsächlich betroffen ist.

Dazu kommt, dass der Großteil der Sites völlig veraltete Versionen benutzt. So liege der Median in Bezug auf die älteste und die aktuellste verwendete Version auf einer Website bei über drei Jahren.

In ihrer Untersuchung haben die Forscher auch Gründe für die desaströse Situation ausfindig gemacht: Nur ein kleiner Bruchteil der untersuchten Sites (maximal 2,8 Prozent) könnte sich aller bekannten Schwachstellen dadurch entledigen, dass sie die verfügbaren, rückwärtskompatiblen Patch-Level-Updates einspielen. Nahezu der gesamt Rest der Websites müsste dagegen mindesten eine Bibliothek mit einem Versionssprung einspielen, der in der Regel Kompatibilitätsprobleme mit sich bringt und dadurch weitere Code-Änderungen erforderlich macht.