JavaScript

RCE-sårbarhed i Quarkus

Udviklere er blevet advaret om, at den populære Quarkus-ramme er påvirket af en kritisk sårbarhed, der kan føre til fjernafvikling af kode.

Det skriver Infosecurity Magazine m.fl.

Quarkus er en open source Kubernetes-native Java-ramme designet til GraalVM og HotSpot virtuelle maskiner. Fejlen har id’et CVE-2022-4116 (CVSS-score på 9,8) og er blevet identificeret i Dev UI Config Editor. Den er ifølge researcheren bag fundet, Joseph Beeton fra Contrast Security, ikke svær at udnytte vha. et drive-by localhost-angreb af en ondsindet aktør uden nogen privilegier.

Dansk

LastPass lukker alvorligt hul i browser-udvidelser

Sikkerhedsforsker Tavis Ormandy fra Google opdagede sårbarheden, der ligger i håndteringen af variabler mellem browserudvidelsen og de websteder, den udfylder passwords i.

LastPass anvender såkaldte isolerede verdener til at holde funktioner og variabler i udvidelsen skjult for de websider, den interagerer med. Men i nogle tilfælde kan det lade sig gøre at indsætte data i variabler. Dermed kan en skadelig webside få adgang til udvidelsens private data.

Dansk

Hvert tredje websted bruger sårbare JavaScript-biblioteker

Sikkerhedsforskere fra Northeastern University har undersøgt brugen af tredjepartsbiblioteker på websider. Det drejer sig om JavaScript-programmer, som webudviklere anvender i stedet for selv at skrive programkode.

Analysen bygger på data om 133.000 websteder. 37 procent af dem anvender mindst et sårbart JavaScript-bibliotek.

Ofte bruger webstederne versioner, der er flere år gamle.

Blandt de biblioteker, der oftest optræder i sårbare versioner, er YUI 3, Handlebars, Angular og jQuery.

Dansk

Websikkerhed

Hvordan beskytter jeg min webside?

Din webside ligger sandsynligvis på et webhotel. Udbyderen er ansvarlig for sikkerheden på selve webhotellet. Hvis du har installeret programmer på serveren, er du selv ansvarlig for at holde dem opdateret og sikre. Det gælder også udvidelser og plugins til CMS'er (Content Management System). Sørg for at tage backup, så du kan gendanne data, hvis det bliver nødvendigt.

Hvad er SQL-indsætning?

SQL-indsætning er en udbredt form for sårbarhed i web-applikationer. Den giver angribere mulighed for at afvikle databasekommandoer.

Dansk
Abonnér på RSS - JavaScript