數十萬網站仍用含已知漏洞JavaScript庫
北京時間3月13日,據美國東北大學研究人員對超過 13.3 萬個網站的分析結果發現,目前有超過 37% 的網站仍在使用至少包含一個已知公開漏洞的 JavaScript 庫。
據悉,研究人員並非最近才發現這一點的。早在2014年,研究人員就發現在載入老舊的 JavaScript 庫時存在被駭客利用的潛在安全隱患,他們表示在適當的情況下,這些漏洞會變得十分危險,比如指向一個老舊的 jQuery 跨站腳本 bug時,攻擊者可以借此向網站寫入惡意腳本。
研究人員表示,目前有36.7% 的 jQuery、40.1% 的 Angular、86.6% 的 Handlebars、以及 87.3% 的 YUI 存有漏洞隱患;此外還有 9.7% 的網站包含 2 個(及 2 個以上的)漏洞庫版本。但幸運的是,熱門網站所使用的漏洞庫比例較低。
可這並不表示萬事大吉,因為僅有2.8% 的 Alexa和1.6% 的 .com可以借助免費的補丁來進行更新啦修復這些漏洞,但是如果大版本改變後,其相容性則可能會受到影響。所以這些漏洞真的是值得關注的問題。