Sicherheitslücke in Yahoos JavaScript-Framework YUI 2
Das JavaScript-Framework YUI enthält in Version 2 eine nicht näher beschriebene Sicherheitslücke. Seit 2009 gibt es allerdings schon den Nachfolger YUI 3.
- Christian Kirsch
In einem Blog-Beitrag weist Yahoo auf eine Sicherheitslücke in seiner freien JavaScript-Bibliothek YUI 2 hin. Eine nähere Beschreibung des Bugs gibt es nicht, er betrifft zudem nur Anwender, die den Quellcode des Frameworks selbst bereitstellen: In der von Yahoos Content Delivery Network ausgelieferten Version ist er beseitigt.
Als einzige Information erwähnt der Beitrag einen Zusammenhang mit "SWF-Dateien". Das könnte etwas mit der in YUI 2 vorhandenen Klasse SWFStore zu tun haben, die Daten unter Verwendung des FlashPlayers persistiert. Die betroffene Version des Frameworks ist allerdings schon seit 2009 überholt; damals erschien YUI 3. Es enthält SWFStore nicht.
Betroffene Nutzer sollten sich per Mail an security@yuilibrary.com wenden, um Informationen und Unterstützung zu erhalten. (ck)
