再現の手順
Googleのセキュリティチームが、この中レベルのセキュリティ脆弱性を報告した。この脆弱性は、コンテンツタイプが text/javascript の場合に、$.get() へのサードパーティの引数が自動実行される可能性があります。
実際問題として、$.get()を使用するアプリケーションは、信頼されていない/危殆化したウェブサイトにクエリを実行すると脆弱になります。
問題への対処
この脆弱性の悪用に成功すると、攻撃者は機密情報を取得したり、クッキーを盗んだり、JavascriptやHTMLコードを実行したりできる可能性があります。3.0.0より前のjQueryを使用しているクライアントは、直ちにこのバージョンにアップグレードしてください(修正は2.xブランチには適用されていません)。
学習と予防
クロスサイト・スクリプティング(XSS)の脆弱性を表現する一つの方法は、危険なウェブサイトを訪問することです。この場合、$.get()コマンドは、データや保護されたサブシステムにアクセスすることを意図したコードを持つサイトを訪問するために使われます。ブラウザは無意識のうちに悪意のあるコードを実行します。
$.get()を使用する際には、ターゲットサイトが既知の安全なエンティティであることを確認することが重要ですが、これは常に可能であるとは限りません。したがって、ターゲットサイトから取得したコンテンツをエスケープすることが、この悪用から守るための慣例的な方法である(「エスケープ」はデータサニタイズの一形態である)。コンテンツをエスケープするプロセスは、コードを実行できないものに変換し、それによってペイロードを安全にする。
結論
HeroDevs jQuery NESサービスの顧客となることで、修正が適用された最新バージョンのjQueryを入手できます。お客様はすぐに通知を受け取り、簡単にシステムを更新することができます。今すぐHeroDevsにご連絡いただき、jQueryのネバーエンディングサポートをご利用ください。
リソース
NISTCVE-2015-9251エントリー
弊社がサポートするオープンソースソフトウェアに新たな脆弱性が修正された場合、いつでもアラートを受け取ることができます。