搜索
❏ 站外平台:

jQuery 跨站脚本漏洞影响大量网站

作者: 安华金和

| 2019-11-12 07:15      

Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告(PDF),除了最流行的 JS 框架  Angular 和 React 外,报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。

jQuery 过去 12 个月的下载量超过了 1.2 亿次,是 Vue.js 的 4000 万次和 Bootstrap 的 7900 万次之和。Vue.js 发现了 4 个漏洞,都已经修复。

Bootstrap 发现了 7 个跨站脚本漏洞,3 个是在 2019 年披露的,无安全修正。jQuery 发现了 6 个影响所有版本的安全漏洞,4 个是中等危险级别的跨站脚本漏洞,1 个是中危 Prototype Pollution 漏洞,还有一个是低危拒绝服务漏洞。

jQuery 3.4.0 以上版本不受漏洞影响。jQuery 生态系统还发现了多个恶意的扩展包,其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox,这些包过去一年的下载量从几百到几千不等。          

来源:solidot.org

更多资讯

NVIDIA 显卡驱动再出数个高危漏洞 441.12 版本可免疫

NVIDIA 的 Windows 显卡驱动经常会有曝出一些高危漏洞,一般官方的修复速度都挺快的,几个月前那次有第三方志愿者报了却拖着没修还是比较少见的事情。最近的 GeForce 441.12 版本驱动中,NVIDIA 就修复了多个未公开的高危漏洞,另外这几个漏洞在 Quadro、NVS 和 Tesla 的 Windows 驱动中同样存在。

来源:Expreview超能网
详情链接:https://www.dbsec.cn/blog/article/5383.html 

iOS 13 越狱工具 Checkra1n 现已发布 适用 iPhone 与 iPad

经过漫长的等待,基于 checkm8 漏洞的 iOS 越狱工具 —— Checkra1n —— 终于公开了首个 beta 测试版本。需要注意的是,目前 iOS 13 的 Checkra1n 越狱工具仍处于测试阶段,因此并不稳定,需要在后续开发中继续深入。想要尝鲜的朋友,可能会在 iPhone 或 iPad 上遇到一些问题。

来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5384.html 

GitHub 年度 Octoverse 报告:超 80% 存储库贡献来自美国之外

知名开源代码托管平台 GitHub 刚刚发布了年度 Octoverse 报告,可知去年最大的开源贡献项目为微软 Visual Studio Code(19.1K)、Azure Docs(14K)和 Flutter(13K)。其次是 Google 的 TensorFlow(9.9K)、Kubernetes(6.9K)、以及 Facebook 创建的 React Native 框架。

来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5385.html 

黑客发现亚马逊和三星产品漏洞 获数十万美元奖金

11 月 11 日消息,据外媒报道,今年在日本东京举行的 Pwn2Own 黑客竞赛中,两名安全研究人员因发现亚马逊智能助手Alexa驱动的智能设备 Amazon Echo 和三星 Galaxy S10 中的漏洞,获得“顶级黑客”的殊荣。

来源:网易科技
详情链接:https://www.dbsec.cn/blog/article/5386.html 

(信息来源于网络,安华金和搜集整理)

订阅“Linux 中国”官方小程序来查看


最新评论


返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。