Gratis
16. März 2017 - Update-Management

Sicherheitslücken: Unternehmen vernachlässigen JavaScript-Bibliotheken

Experten in Boston haben das Web nach populären JavaScript-Bibliotheken durchsucht, die auf Websites in einer veralteten, mit Schwachstellen behafteten Version zum Einsatz kommen. Das Ergebnis ist erschreckend.

JavaScript: Immer wieder sehr angreifbar Häufig sind die für Web-Auftritte eingesetzten JavaScript-Bibliotheken veraltet und weisen in einschlägigen Kreisen bekannte Sicherheitslücken auf (Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock)

Die Wissenschaftler der Northeastern University hatten für ihre Studie (PDF, eng.) 72 populäre JavaScript-Bibliotheken ausgewählt und rund 133.000 Webseiten überprüft, welche Versionen dieser Libraries dort eingesetzt werden.

Behörden und Finanzbereich haben meiste Sicherheitslücken

Das Ergebnis: In 37 Prozent der überprüften Fälle wurden JavaScript-Bibliotheken gefunden, die mindestens eine bereits bekannte Sicherheitslücke aufweisen. Jede zehnte Site setzte sogar zwei oder mehr verwundbare Libraries ein. Im Schnitt wurden die Scripts auf den angreifbaren Websites seit drei bis vier Jahren nicht mehr aktualisiert.

  • Am schlechtesten in Sachen Update-Häufigkeit schnitten die Web-Auftritte von staatlichen Stellen ab,
  • gefolgt von Seiten aus dem Finanzbereich.
  • Deutlich besser platziert waren beispielsweise Seiten, die Inhalte für Erwachsene anbieten.

Klassische Schutzmaßnahmen ausgehebelt

Die aufgrund der Schwachstellen in veralteten Bibliotheken möglichen Angriffe sind deshalb so gefährlich, weil klassische Sicherheitsmechanismen wie Firewalls, Virenscanner oder andere Schutzmaßnahmen nicht greifen. Denn sie analysieren meist nur die eingehenden Datenströme, während ein JavaScript auf einem Webserver in der DMZ Zugriff auf interne Datenströme hat oder haben kann.

„Zudem werden die relevanten Bibliotheken nicht unbedingt vom eigenen Server geladen und eingebunden, was es für Angreifer noch einfacher macht“, so Oliver Keizers vom Security-Spezialisten Fidelis Cybersecurity. „Cyberkriminelle brauchen nur einen Weg zu finden, das Original zu kapern, um auf einen Schlag unzählige potenzielle Angriffsziele zu schaffen. Zudem ist der Einsatz von JavaScript-Bibliotheken äußerst populär, aber nur wenig kontrolliert.“

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln