jQuery 跨站脚本漏洞影响大量网站
作者: 安华金和
Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告(PDF),除了最流行的 JS 框架 Angular 和 React 外,报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。
jQuery 过去 12 个月的下载量超过了 1.2 亿次,是 Vue.js 的 4000 万次和 Bootstrap 的 7900 万次之和。Vue.js 发现了 4 个漏洞,都已经修复。
Bootstrap 发现了 7 个跨站脚本漏洞,3 个是在 2019 年披露的,无安全修正。jQuery 发现了 6 个影响所有版本的安全漏洞,4 个是中等危险级别的跨站脚本漏洞,1 个是中危 Prototype Pollution 漏洞,还有一个是低危拒绝服务漏洞。
jQuery 3.4.0 以上版本不受漏洞影响。jQuery 生态系统还发现了多个恶意的扩展包,其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox,这些包过去一年的下载量从几百到几千不等。
来源:solidot.org
更多资讯
NVIDIA 显卡驱动再出数个高危漏洞 441.12 版本可免疫
NVIDIA 的 Windows 显卡驱动经常会有曝出一些高危漏洞,一般官方的修复速度都挺快的,几个月前那次有第三方志愿者报了却拖着没修还是比较少见的事情。最近的 GeForce 441.12 版本驱动中,NVIDIA 就修复了多个未公开的高危漏洞,另外这几个漏洞在 Quadro、NVS 和 Tesla 的 Windows 驱动中同样存在。
来源:Expreview超能网
详情链接:https://www.dbsec.cn/blog/article/5383.html
iOS 13 越狱工具 Checkra1n 现已发布 适用 iPhone 与 iPad
经过漫长的等待,基于 checkm8 漏洞的 iOS 越狱工具 —— Checkra1n —— 终于公开了首个 beta 测试版本。需要注意的是,目前 iOS 13 的 Checkra1n 越狱工具仍处于测试阶段,因此并不稳定,需要在后续开发中继续深入。想要尝鲜的朋友,可能会在 iPhone 或 iPad 上遇到一些问题。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5384.html
GitHub 年度 Octoverse 报告:超 80% 存储库贡献来自美国之外
知名开源代码托管平台 GitHub 刚刚发布了年度 Octoverse 报告,可知去年最大的开源贡献项目为微软 Visual Studio Code(19.1K)、Azure Docs(14K)和 Flutter(13K)。其次是 Google 的 TensorFlow(9.9K)、Kubernetes(6.9K)、以及 Facebook 创建的 React Native 框架。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5385.html
黑客发现亚马逊和三星产品漏洞 获数十万美元奖金
11 月 11 日消息,据外媒报道,今年在日本东京举行的 Pwn2Own 黑客竞赛中,两名安全研究人员因发现亚马逊智能助手Alexa驱动的智能设备 Amazon Echo 和三星 Galaxy S10 中的漏洞,获得“顶级黑客”的殊荣。
来源:网易科技
详情链接:https://www.dbsec.cn/blog/article/5386.html
(信息来源于网络,安华金和搜集整理)