JQuery

Die Schwachstelle betrifft die weit verbreitete JavaScript-Bibliothek jQuery, die in unzähligen Webseiten und Webanwendungen zur Bearbeitung von Seiteninhalten eingesetzt wird. Der Defekt steckt in den Methoden zur DOM-Manipulation, mit denen jQuery HTML-Inhalte in eine Seite einfügt oder verändert. Übergibt eine Anwendung an diese Methoden HTML aus einer nicht vertrauenswürdigen Quelle, das ein bestimmtes Auswahllisten-Element enthält, kann darin verstecktes Schadskript ausgeführt werden – und zwar selbst dann, wenn die Eingabe zuvor bereinigt wurde. Damit greift der übliche Schutz durch Filterung ins Leere. Es handelt sich um eine dauerhaft wirksame Cross-Site-Scripting-Lücke: Ein Angreifer kann manipulierte Inhalte einschleusen, die im Browser des Opfers im Kontext der betroffenen Webseite ausgeführt werden. Dadurch lassen sich etwa Sitzungsdaten stehlen, Aktionen im Namen des Nutzers auslösen oder die dargestellte Seite verändern. Betroffen ist jeder Dienst, der eine anfällige jQuery-Version verwendet.