QAYNAR XƏTT 1654

Xəbərdarlıqlar

"jQuery" kitabxanasında təhlükəsizlik zəifliyi aşkar olunub!

24 Apr 2019

"JavaScript" kitabxanası olan "jQuery"-də təhlükəsizlik zəifliyi aşkar olunmuşdur. Təhlükəsizlik zəifliyi "An Object Prototype Pollution" (Obyekt  Prototipin korlanması) (CVE-2019-11358) adlandırılıb. 
"JavaScript" obyekti müxtəlif dəyərləri əvvəlcədən müəyyən olunmuş struktura əsasən saxlamağa imkan verən dəyişkəndir. Prototip obyektin "default" strukturunu və "default" dəyərlərini müəyyən etmək üçün istifadə olunur.  Qeyd edək ki, xüsusilə heç bir dəyər təyin olunmayan bir strukturu müəyyən etmək vacibdir.
Bu zəiflik hücumçuya veb proqramın "JavaScript" obyekt prototipini dəyişməyə imkan verir. Bununla belə, hər bir spesifik hədəf üçün ayrı-ayrılıqda istismar metodu (exploitation) müəyyənləşdirilməlidir. Belə ki, bu da hücumçunun hər bir veb proqramın işləmə prinsipi barədə dərin biliyə malik olmasını tələb edir.
Boşluğun uğurla istismar edilməsi veb proqramda xəta yaranmasına (crash) və proqram tərəfindən işlənilən digər məlumatlara  təsir edərək gözlənilən dəyərləri almadığı təqdirdə öz davranışını dəyişməyə gətirib çıxara bilər.  Bundan əlavə, bu hücumçunun xidmətdən imtina (DoS) və ya kodun icrası (code execution) kimi hücumları həyata keçirməsinə imkan verir.

Bildirək ki, "jQuery"-nin V3.4.0 -dan öncəki versiyaları sözügedən təsirə məruz qalmışdır. Elektron Təhlükəsizlik Xidməti veb proqramçılara  "jQuery" kitabxanasının sonuncu versiyasından istifadə etməyi tövsiyə edir.  

Zəiflik barədə daha ətraflı məlumatı aşağıdakı mənbədən əldə edə bilərsiniz. 

https://snyk.io/blog/after-three-years-of-silence-a-new-jquery-prototype-pollution-vulnerability-emerges-once-again/