Etter hvert som nettsteder har fått mer avansert funksjonalitet i brukergrensesnittet, har mange nettsteder tatt i bruk ulike JavaScript-biblioteker som ofte gjør det enklere å få til det man ønsker. Men nå viser det seg at mange av dem som vedlikeholder nettsteder, tilsynelatende glemmer at også slike biblioteker kan inneholde sårbarheter.
Mange av sårbarhetene blir funnet etter hvert, og deretter fjernet. I alle fall dersom biblioteket fortsatt vedlikeholdes av utgiverne. Men for å unngå at man fortsetter å bruke gamle og sårbare utgaver, må nettstedeierne sørge for at også bibliotekene som benyttes, er oppdaterte.
Mange gjør dette, men en undersøkelse som har blitt utført av forskere ved Northeastern University i Boston, Massachusetts, viser at 37 prosent av de 133 000 nettstedene som forskerne har undersøkt, laster ett eller flere utdaterte og usikre JavaScript-biblioteker. Dette skriver Bleeping Computer, som viser til forskernes vitenskapelige rapport.
Mer enn 37 prosent
Antagelig er andelen enda høyere, for forskerne har «bare» kontrollert bruken av de 72 mest populære JavaScript-bibliotekene, inkludert jQuery, Modernizr, Handlebars, Bootstrap, Angular og mange andre.
Med i beregningen er ikke bare biblioteker som lastes direkte av nettstedenes egne sider, men også biblioteker som lastes indirekte gjennom tredjepartsinnhold, slik som annonser, sosiale medier, sporing og integrert multimedia.
Totalt har mer enn 11,1 millioner integrerte skript og inkludert skriptfiler blitt observert. Selve skanningen ble utført i mai 2016.
37,8 prosent av nettstedene laster minst én sårbar bibliotekversjon. 10 prosent laster minst to.
36,7 prosent av alle nettstedene som benytter jQuery, som er det mest brukte biblioteket blant de 133 000 nettstedene i undersøkelsen, laster en sårbar utgave. Den tilsvarende andelen er på 40,1 prosent for Angular, 86,6 prosent for Handlebar og 87,3 prosent for YUI (Yahoo User Interface).
Over ti prosent av de 75 000 største nettstedene i undersøkelsen bruker dessuten SWFObject, som ikke har blitt vedlikeholdt på flere år. Dette gjelder for øvrig også nevnte YUI, men YUI er ikke like mye brukt.
Mer enn tusen dager
Median-nettstedet i datasettet bruker en bibliotekversjon som er 1177 dager eldre enn den nyeste utgivelsen, altså mer enn tre år.
Samtidig har forskerne erfart at økosystemet for JavaScript-biblioteker er komplekst, uorganisert og temmelig «ad hoc» når det gjelder sikkerhet.
– Det finnes ingen pålitelige sårbarhetsdatabaser, ikke sikkerhetsorienterte epostlister som vedlikeholdes av bibliotekleverandørene, få eller ingen detaljer om sikkerhetsproblemer i versjonsmerknadene, og ofte er det vanskelig å finne ut hvilke versjoner som er berørt av en spesifikk, rapportert sårbarhet, heter det i rapporten.
Inkompatibilitet
Det er ofte ingen enkel løsning på problemet, fordi det i mange tilfeller ikke vil være nok å installere en mindre oppdatering av biblioteket for å bli kvitt sårbarhetene. Ifølge forskerne vil de aller fleste måtte installere en helt ny hoved- eller delversjon av biblioteket, noe som kan kreve at kode må skrives om på grunn av inkompatibilitet mellom bibliotekversjonene.
Forskerne forteller også at de har oppdaget mye rot på nettstedene, blant annet at 10,9 prosent av nettstedene inkluderer flere ulike versjoner av jQuery i hvert HMTL-dokument. Dette kan ifølge forskerne føre til en ikke-deterministisk atferd, i alle fall når det gjelder sårbarheter.
Bleeping Computer viser for øvrig til lignende undersøkelse som ble utført av norske Erlend Oftedal i 2014, basert på de 100 000 mest besøkte nettstedene i verden (ifølge Alexa). Undersøkelsen viste at mer enn 60 prosent av nettstedene benyttet sårbare JavaScript-biblioteker.
Dermed har det skjedd en forbedring på dette området de siste årene, selv om tallet fortsatt er høyt.
