В jQuery обнаружена набирающая обороты новая уязвимость

Автор Delysid, 24 апреля 2019, 22:00:55

« предыдущая - следующая »

0 Пользователей и 1 гость просматривают эту тему.

Delysid

24 апреля 2019, 22:00:55 Последнее редактирование: 24 апреля 2019, 22:36:08 от Delysid
Разработчики популярной JavaScript-библиотеки jQuery выпустили очередное обновление безопасности, устраняющее довольно редкую уязвимость, которая только набирает обороты. Напомним, что jQuery установлена приблизительно на 74% сайтов в интернете. Уязвимость, о которой пойдет речь, получила условное название «prototype pollution». Эксперты только начинают изучать данную брешь, обнаруживая ее все в большем количестве библиотек JavaScript. Исходя из имени уязвимости, можно сделать вывод, что она предполагает возможность модификации объекта JavaScript, который называется «prototype». Prototype определяет структуру объекта JavaScript и значений по умолчанию. Это делается для того, чтобы избежать сбоя приложения, если никаких значений не установлено. Если у атакующего есть возможность модифицировать prototype, он может получить контроль над тем, как данные обрабатываются самим приложением. Таким образом, открывается возможность для совершения атак другого порядка -- DoS или выполнения произвольного кода. В настоящее время эксперты в области кибербезопасности оценивают «prototype pollution» как растущую угрозу для JavaScript. На наличие этой проблемы в jQuery обратили внимание эксперты компании Snyk, занимающейся сканированием исходного кода на уязвимости. Брешь получила идентификатор CVE-2019-11358, код эксплойта в настоящий момент доступен на GitHub.
https://github.com/jquery/jquery/pull/4333

Чё делать нам? На какую версию заменять?

  src="https://code.jquery.com/jquery-3.4.0.min.js";
  integrity="sha256-BJeo0qm959uMBGb65z40ejJYGSgR7REI4+CW1fNKwOg="
  crossorigin="anonymous"></script>

На 3.4.0 вроде...


Delysid

25 апреля 2019, 00:15:06 #2 Последнее редактирование: 25 апреля 2019, 02:21:20 от Delysid
Цитата: digger® от 24 апреля 2019, 23:43:45В 2.0.15 нет jQuery
Просканировал файлы все форума..
У меня вызываеться из index.template, потом из subs-postprefix и fancybox и самодельном включателе/выключателе adsensa для Европы и заодно в fancybox нашёл
Код
<div class="fancybox-share"><h1>{{SHARE}}</h1><p><a class="fancybox-share__button fancybox-share__button--fb" href="https://www.facebook.com/sharer/sharer.php?u={{url}}">
и т.д.
 в jquery.fancybox.min.js то что мне не нравиться уже по виду.. Стандартный скрипт.. Видно шарит картинки на Фейсбук, твиттер, пинтерест. 
Добавил
    .fancybox-show-thumbs .fancybox-inner {
        right: 0;
        bottom: 95px;
    }

    .fancybox-button--share{
        display: none;
    }

Delysid

25 апреля 2019, 00:37:27 #3 Последнее редактирование: 25 апреля 2019, 02:20:05 от Delysid
Сменил jQuery на последнюю версию.. В браузере ошибок не пишет...

S.T.A.L.K.E.R.

Цитата: Delysid от 24 апреля 2019, 22:00:55На 3.4.0 вроде...
На неё.Было в одном месте,заменил так же на всякий случай.