Google, Çinli bir şirketin alan adını satın alması ve kullanıcıları kötü amaçlı ve dolandırıcılık sitelerine yönlendirmek için JavaScript kitaplığını (“polyfill.js”) değiştirmesinin ardından Polyfill.io hizmetini kullanan e-ticaret sitelerinin reklamlarını engellemek için adımlar attı.
Bundan fazla 110.000 site Kütüphaneyi barındıran Sansec, tedarik zinciri saldırısından etkilendi söz konusu Salı günü yayınlanan bir raporda.
Çoklu doldurma bir popüler kütüphane Bu, web tarayıcılarındaki modern işlevlere yönelik desteği içerir. Bu Şubat ayının başlarında, endişeler dile getirildi Çin merkezli içerik dağıtım ağı (CDN) şirketi Funnull tarafından satın alınmasının ardından.
Projenin orijinal yaratıcısı Andrew Betts, ısrarla web sitesi sahipleri bunu derhal kaldırmalı ve şunu ekliyor: “günümüzde hiçbir web sitesi çoklu doldurmadaki çoklu doldurmaları gerektirmiyor[.]io kitaplığı” ve “web platformuna eklenen özelliklerin çoğu, Web Serial ve Web Bluetooth gibi genellikle çoklu doldurulamayan bazı istisnalar dışında, tüm büyük tarayıcılar tarafından hızlı bir şekilde benimsenmektedir.”
Bu gelişme aynı zamanda web altyapısı sağlayıcılarını da harekete geçirdi. Bulut parlaması Ve Hızla kullanıcıların çoklu doldurmadan uzaklaşmasına yardımcı olmak için alternatif uç noktalar sunmak[.]io.
“Endişeler, orijinal çoklu doldurmaya bağlantı yerleştiren herhangi bir web sitesinin[.]Cloudflare araştırmacıları Sven Sauleau ve Michael Tremante, “.io etki alanı, tedarik zinciri saldırısı riskinden kaçınmak için altta yatan projeyi sürdürmek ve güvenliğini sağlamak için artık Funnull’a güvenecek” dedi. kayıt edilmiş o zaman.
“Böyle bir saldırı, temel üçüncü tarafın güvenliği ihlal edilirse veya son kullanıcılara sunulan kodu kötü niyetli şekillerde değiştirirse meydana gelir ve sonuç olarak, aracı kullanan tüm web sitelerinin güvenliğinin ihlal edilmesine neden olur.”
Hollandalı e-ticaret güvenlik firması “cdn.polyfill” alan adını söyledi[.]io”, o zamandan beri kullanıcıları spor bahisleri ve pornografik sitelere yönlendiren kötü amaçlı yazılım enjekte ederken yakalandı.
“Kodun tersine mühendisliğe karşı özel koruması var ve yalnızca belirli mobil cihazlarda belirli saatlerde etkinleşiyor” dedi. “Ayrıca bir yönetici kullanıcı tespit ettiğinde etkinleşmiyor. Ayrıca bir web analiz hizmeti bulunduğunda muhtemelen istatistiklerde yer almamak için yürütmeyi geciktiriyor.”
San Francisco merkezli c/side ayrıca Veriliş Alan adı yöneticilerinin 7 ile 8 Mart 2024 tarihleri arasında sitelerine bir Cloudflare Güvenlik Koruması başlığı eklediğini belirten kendi başına bir uyarı.
Bulgular, Adobe Commerce ve Magento web sitelerini etkileyen kritik bir güvenlik kusuruyla ilgili bir tavsiye niteliğindeki tavsiyenin ardından geldi (CVE-2024-34102CVSS puanı: 9,8), 11 Haziran 2024’ten bu yana mevcut olan düzeltmelere rağmen büyük ölçüde yama yapılmadan kalmaya devam ediyor.
Sansec, “Kendi başına, herkesin özel dosyaları (şifre içeren dosyalar gibi) okumasına izin veriyor” söz konusu, istismar zincirine CosmicSting kod adını verdi. “Ancak son gelişmelerle birleştiğinde Linux’ta iconv hatasıuzaktan kod yürütmenin güvenlik kabusuna dönüşüyor.”
Var ortaya çıktığından beri üçüncü tarafların, iconv sorununa (CVE-2024-2961) karşı savunmasız bir Linux sürümüne ihtiyaç duymadan API yönetici erişimi elde edebilmesi, bu durumu daha da ciddi bir sorun haline getiriyor.