Zahllose Websites über fehlerhafte JavaScript-Komponenten angreifbar

Forscher der Northeastern University in Boston haben 133.000 Webseiten untersucht und dabei herausgefunden, dass 37 Prozent davon mindestens eine JavaScript-Bibliothek verwenden, in denen eine bekannte Schwachstelle steckt. Mit der aktuellen Studie griffen die Forscher auf Ergebnisse einer bereits 2014 durchgeführten Untersuchung zurück, die potenzielle Sicherheitsrisiken durch das Laden von veralteten Versionen von JavaScript-Bibliotheken, darunter jQuery und dem AngularJS-Framework in den Browser aufgezeigt hatte.

Diese fehlerhaften Libraries können unter Umständen ausgenutzt werden, um eine altbekannte Cross-Site-Scripting-Lücke in jQuery auszunutzen. Über die ist es Angreifern dann möglich, Skripte ihrer Wahl in eine Website zu injizieren. Für ihre Arbeit haben die Forscher aus Boston die laut Amazons Alexa-Liste 75.000 weltweit meistbesuchten Sites sowie 75.000 weitre, zufällig ausgewählte .com-Domains untersucht. Sie prüften dabei 72 unterschiedliche Libraries in jeweils mehreren Versionen. Insgesamt nutzen 87 Prozent der Sites der Alexa-Liste und 46,5 Prozent der zufällig ausgewählten .com-Sites mindestens eine dieser Bibliotheken.

Der Studie zufolge sind 36,7 Prozent der eingebundenen jQuery-Skripte angreifbar. Beim Angular-Framework (40,1 Prozent), Handlebars (86.6 Prozent) und YUI (87,3 Prozent) liegen die Werte noch wesentlich höher. 9,7 Prozent der untersuchten Websites verwenden sogar zwei oder mehr anfällige Bibliotheken.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

“Das ernüchterndste Ergebnis unserer Untersuchung ist wahrscheinlich der Beleg, dass das JavaScript-Library-Ökosystem komplex, unorganisiert und – was Security betrifft – im Wesentlichen nach dem ‘ad hoc’-Prinzip funktioniert”, schreiben die Forscher. Sie kritisieren, dass es keine zuverlässigen Schwachstellen-Datenbanken und keine von den Anbietern der Bibliotheken betriebenen Security-Mailing-Listen gibt. Auch seien in den Release Notes kaum Details zu Sicherheitsaspekten enthalten und sei es für Anwender oft sehr schwierig herauszufinden, welche Version von einer bestimmten, dort erwähnten Schachstelle tatsächlich betroffen ist.

Dazu kommt, dass der Großteil der Sites völlig veraltete Versionen benutzt. So liege der Median in Bezug auf die älteste und die aktuellste verwendete Version auf einer Website bei über drei Jahren.

In ihrer Untersuchung haben die Forscher auch Gründe für die desaströse Situation ausfindig gemacht: Nur ein kleiner Bruchteil der untersuchten Sites (maximal 2,8 Prozent) könnte sich aller bekannten Schwachstellen dadurch entledigen, dass sie die verfügbaren, rückwärtskompatiblen Patch-Level-Updates einspielen. Nahezu der gesamt Rest der Websites müsste dagegen mindesten eine Bibliothek mit einem Versionssprung einspielen, der in der Regel Kompatibilitätsprobleme mit sich bringt und dadurch weitere Code-Änderungen erforderlich macht.

Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

Backup-Lücken in der Cloud

Für Backup und Recovery ihrer Daten sind SaaS-Anwenderunternehmen selbst verantwortlich. Verlassen sie sich nur auf…

6 Stunden ago

Wie gut ist Deutschland gegen Cyberangriffe gerüstet?

Potsdamer Konferenz für Nationale CyberSicherheit 2022 des Hasso-Plattner-Instituts.

6 Stunden ago

Prävention von Post-Quantum-Cyber-Attacken

BlackBerry unterstützt quantenresistente sichere Boot-Signaturen für die kryptoagilen S32G-Fahrzeugnetzwerkprozessoren von NXP Semiconductors.

6 Stunden ago

BSI veröffentlich Whitepaper zur Prüfbarkeit von KI-Systemen

Methode zur Erfassung der Prüfbarkeit der IT-Sicherheit von KI-Systemen.

11 Stunden ago

Blick in die Blackbox: Transparente Künstliche Intelligenz

Funktionsweisen von KI-Anwendungen für Autonomen Fahren oder in der Industrie 4.0 müssen transparent und nachvollziehbar…

14 Stunden ago

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

3 Tagen ago