Étapes de la reproduction
L'équipe de sécurité de Google a signalé cette faille de sécurité de niveau moyen. La vulnérabilité permet aux arguments tiers de $.get() d'être exécutés automatiquement si le type de contenu est text/javascript.
Concrètement, les applications qui utilisent $.get() sont vulnérables si elles interrogent un site web non fiable/compromis.
Aborder la question
L'exploitation réussie de cette vulnérabilité peut permettre à des attaquants d'obtenir des informations sensibles, de voler des cookies et/ou d'exécuter du code Javascript ou HTML. Les clients utilisant jQuery avant la version 3.0.0 doivent passer immédiatement à cette version (le correctif n'a jamais été appliqué à la branche 2.x).
Apprentissage et prévention
Les vulnérabilités de type cross-site scripting (XSS) s'expriment notamment par la visite de sites web compromis. Dans ce cas, la commande $.get() est utilisée pour visiter un site contenant du code destiné à accéder à des données ou à des sous-systèmes protégés. Le navigateur exécute à son insu le code malveillant.
Bien qu'il soit important, lors de l'utilisation de $.get(), de s'assurer que le site cible est une entité connue et sûre, cela n'est pas toujours possible. Par conséquent, l'échappement du contenu obtenu à partir du site cible est la méthode habituelle pour se prémunir contre cet exploit ("l'échappement" est une forme d'assainissement des données). Le processus d'échappement du contenu convertit le code en quelque chose qui ne peut pas être exécuté, rendant ainsi la charge utile sûre.
Conclusion
Obtenez la dernière version de jQuery avec le correctif appliqué en étant client du service HeroDevs jQuery NES. Les clients reçoivent une notification immédiate et peuvent facilement mettre à jour leurs systèmes. Contactez HeroDevs pour obtenir un support sans fin pour jQuery dès aujourd'hui.
Ressources
NISTCVE-2015-9251 entrée
Soyez alerté chaque fois qu'une nouvelle vulnérabilité est corrigée dans les logiciels open source que nous soutenons.