Snyk: La libreria jQuery di JavaScript è affetta da una rara vulnerabilità “Prototype Pollution”. Potrebbe consentire al cybercrime di modificare il prototipo di un oggetto

La libreria jQuery di JavaScript è affetta da una rara vulnerabilità “Prototype Pollution”. Questa potrebbe consentire tramite un attacco del cybercrime di modificare il prototipo di un oggetto JavaScript. Lo hanno scoperto i ricercatori di cyber security di Snyk, secondo quanto riporta Security Affairs. L’impatto del problema potrebbe essere grave per gli utenti. Ciò in quanto la libreria è attualmente utilizzata sul 74% dei siti Web online e la maggior parte di questi impiegano ancora le sue versioni 1.x e 2.x, interessate dalla falla. In settimana la library jQuery ha ricevuto una patch di sicurezza per risolvere il problema, ma non è detto che tutti i suoi fruitori l’abbiano installata. L’ultimo pericolo in questo senso era emerso tre anni fa. Allora le minacce erano date da possibili Denial of Service (DOS) e da Cross-site Scripting (XSS).

Gli esperti di cyber security: L’unico limite agli attacchi “Prototype Pollution” è che il codice deve essere creato per ogni singolo bersaglio. Quindi, niente aggressioni cyber di massa con le librerie jQuery

Secondo gli esperti di cyber security, l’unico limite agli attacchi cibernetici attraverso la libreria jQuery è dato dal fatto che il codice usato deve essere creato per ogni singolo bersaglio. Di conseguenza, non è possibile sfruttare la “Prototype Pollution” per aggressioni informatiche di massa. Ciò non toglie, però, che singoli soggetti potrebbero essere presi di mira dal cybercrime per i più svariati motivi. Gli oggetti JavaScript sono come variabili, che possono essere utilizzate per memorizzare più valori, in base a una struttura predefinita. I prototipi vengono impiegati per definirla e stabilire quali sono i valori predefiniti di un oggetto JavaScript. Inoltre, sono essenziali per specificare una struttura prevista quando non sono impostati valori. Un utente malintenzionato in grado di modificare un prototipo potrebbe infatti causare un arresto anomalo dell’applicazione e modificarne il comportamento.