На прошлой неделе сразу несколько источников сообщили о компрометации ресурса polyfill.io, раздающего одноименную JavaScript-библиотеку для обеспечения совместимости с устаревшими браузерами (новость, статья на сайте Sansec и ее перевод на Хабре). Библиотека Polyfill распространяется свободно, и ее подгрузка с данного конкретного сайта — не единственный вариант использования. Тем не менее более ста тысяч сайтов подгружали ее именно с polyfill.io, несмотря на предупреждения от бывших разработчиков еще в феврале этого года.

Оригинальный репозиторий Polyfill на GitHub и домен polyfill.io были проданы в конце февраля малоизвестной компании Funnull. Уже тогда высказывались сомнения о безопасности дальнейшего использования библиотеки при ее загрузке с данного URL и предлагались альтернативные источники (помимо варианта self-hosted). Опасения стали реальностью на прошлой неделе: в библиотеку был добавлен код, вызывающий перенаправление на другие веб-сайты через URL, указанные в списке на скриншоте выше. Среди пострадавших веб-сайтов — библиотека JSTOR, сайт компании Intuit, британская газета Metro и многие другие.
Читать дальше →

​Все статьи подряд / Информационная безопасность / Хабр

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x