Studie: Viele Webseiten setzen verwundbare JavaScript-Bibliotheken ein

Sechs Wissenschaftler der Northeastern University in Boston pickten sich aus dem Fundus von rund 100.000 JavaScript-Bibliotheken die 72 nach ihrer Ansicht populärsten raus und prüften auf 133.000 Webseiten, in welchen Versionen die Bibliotheken zum Einsatz kommen.

Im Ergebnis ihrer Studie schildern sie, dass 37 Prozent der gescannten Domains mindestens eine mit Sicherheitslücken gespickte Version einsetzen. Bei 10 Prozent sollen zwei und mehr verwundbare JavaScript-Bibliotheken zum Einsatz kommen. Zudem laden viele der analysierten Webseiten Bibliotheken wie SWFObject und YUI, die keinen Support mehr erfahren.

Bei ihrer Auswahl haben sich die Wissenschaftler für weit verbreitete Bibliotheken wie Bootstrap und jQuery entschieden. 75.000 der untersuchten Webseiten finden sich im Alexa-Ranking – den Rest bilden zufällig ausgewählte Seite mit .com-Domain.

Drei bis vier Jahre ohne Patch

Im Zuge der Untersuchung stellte sich heraus, dass von Dritten nachgeladene verwundbare Bibliotheken mehr Sicherheitslücken aufweisen, als die, die direkt in einer Seite verankert sind. Oft ist nach Updates von JavaScript-Bibliotheken die Rückkompatibilität nicht mehr gegeben, sodass weiterhin veraltete Versionen eingtesetzt werden, führen die Sicherheitsforscher aus.

Darüber hinaus haben die Wissenschaftler Daten verglichen, an denen eine Lücke bekannt wurde und anschließend eine abgesicherte Version erschien. Dabei sind sie zu dem Ergebnis gekommen, dass verwundbare JavaScript-Bibliotheken im Schnitt rund drei bis vier Jahre ohne Patches betrieben werden.

Es war schon mal schlimmer

Im Jahr 2014 gab es eine ähnliche Studie deren Ergebnis zeigte, dass 60 Prozent der 100.000 im Alexa-Top-Ranking angesiedelten Webseiten verwundbare JavaScript-Bibliotheken einsetzen. (des)