Enviado por frojas el Mar, 23/04/2019 - 19:04

Reportes de especialistas en ciberseguridad mencionan que jQuery, la popular biblioteca JavaScript, ha sido comprometida por una inusual vulnerabilidad de contaminación de prototipo que podría permitir a los actores de amenazas modificar un prototipo de objeto JavaScript.

Se estima que el impacto de este problema podría ser serio, considerando que esta biblioteca es usada actualmente por más del 70% de los sitios web funcionales; la mayoría de los sitios aún usan las versiones 1.x y 2.x de la biblioteca, lo que los hace vulnerables a este error.

Recientemente fue lanzado un parche de actualización para corregir esta falla, tres años después de la última actualización de seguridad que recibió esta biblioteca, mencionan los expertos en ciberseguridad.

Los especialistas mencionan que los objetos JavaScript son como variables que pueden almacenar múltiples valores según una estructura predeterminada. En cuanto a los prototipos, estos se usan para definir una estructura en el objeto JavaScript.

Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS), Si un usuario malicioso está en condiciones de modificar un prototipo de objeto JavaScript, puede provocar que una aplicación se bloquee y modifique su funcionamiento en caso de no recibir los valores esperados. Debido al amplio uso de JavaScript, la explotación de una vulnerabilidad en un prototipo podría generar serios problemas en las aplicaciones web.

Los expertos en ciberseguridad demostraron que al explotar la vulnerabilidad (identificada como CVE-2019-11358) se pueden asignar derechos de administrador en una aplicación web que emplee el código de la biblioteca jQuery.

Los especialistas aclararon que esta vulnerabilidad de contaminación de prototipo no es funcional para su explotación masiva, pues el código del exploit en único para cada objetivo individual, por lo que no todo son malas noticias.

Los expertos recomiendan a los desarrolladores web que trabajan con esta biblioteca actualizar lo antes posible a la versión más reciente de jQuery (v3.4.0). Acorde a los reportes, la versión más reciente de la biblioteca incluye correcciones para algunas funciones indeseables durante su uso; detalles técnicos acerca de cada una de estas correcciones pueden encontrarse en el blog oficial de los desarrolladores de jQuery.

Fuente
https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-jquery-expone-millones-de-sitios-web/