Sicherheitslücke in Javascript blieb jahrelang unentdeckt
Im Repository NPM in Javascript wurde neulich eine Sicherheitslücke entdeckt, welche jahrelang offen war. Sie erlaubte es, fremde Pakete hochzuladen.
Das Wichtigste in Kürze
- Bei Github wurde eine langjährige Lücke im Javascript-Repository NPM entdeckt
- Die Sicherheitslücke erlaubte einen Upload neuer Versionen beliebiger Pakete.
- Es wird aber davon ausgegangen, dass die Schwachstelle nie ausgebeutet wurde.
Bei der Microsoft-Tochter Github wurde neulich eine schwerwiegende Sicherheitslücke in Javascript entdeckt. Das Leck im Repository NPM existiert mindestens seit September 2020, vermutlich noch um einiges länger. Wie das Forum mitteilte, wurden die Finder Kajetan Grzybowski and Maciej Piechota im Rahmen eines Bug Bounty Programs darauf aufmerksam.
Die Lücke erlaubte es Angreifern, nach der Anmeldung über einen Bug neue Pakete beliebiger Versionen hochzuladen. Mike Hanley, Githubs Chief Security Officer, erklärt jedoch in einer Mitteilung, dass die Sicherheitslücke wohl nie ausgenutzt wurde.