Supply-Chain-Angriff auf Polyfill: Über 100.000 Websites betroffen

In einer alarmierenden Entwicklung wurde die beliebte Open-Source-JavaScript-Bibliothek Polyfill, die von mehr als 100.000 Websites verwendet wird, Ziel eines groß angelegten Supply-Chain-Angriffs. Sansec Forensics Team enthüllte, dass eine chinesische Firma im Februar die Domain und den GitHub-Account von Polyfill übernommen hat. Seitdem wird die Domain cdn.polyfill.io dazu genutzt, Malware auf mobile Geräte zu injizieren. Laut der Suchmaschine publicwww.com sind unter den Opfern auch beliebte Websites aus Deutschland wie kleiderkreisel.de.

Die Malware, die gezielt auf bestimmte mobile Geräte und zu spezifischen Zeiten aktiv wird, leitet Nutzer zu einer gefälschten Google Analytics-Domain weiter und schließlich zu einer Sportwetten-Seite. Dabei erkennt die Malware Administratoren und Web-Analysedienste, um eine Entdeckung zu vermeiden.

Google hat bereits reagiert und Google Ads für E-Commerce-Seiten, die Polyfill verwenden, blockiert. Der ursprüngliche Autor von Polyfill rät, die Bibliothek nicht mehr zu nutzen, da sie für moderne Browser nicht mehr erforderlich ist. Alternativen von Fastly und Cloudflare stehen zur Verfügung und bieten eine sichere Option für diejenigen, die weiterhin Polyfills benötigen.

Related Posts

Remote Code Execution in Windows Bluetooth Service möglich

Am 14. März 2023 veröffentlichte Microsoft eine kritische Remote Code Execution Sicherheitslücke im Windows Bluetooth Service. Die Schwachstelle CVE-2023-24871 betrifft die Verarbeitung von Bluetooth Low Energy (BLE) Werbedaten im Windows Bluetooth-Stack. Angreifer können durch Manipulation der Werbedaten einen Intteger-Overflow auslösen, wodurch Daten außerhalb der vorgesehenen Puffergrenzen geschrieben werden. Dies ermöglicht es Angreifern, beliebigen Code auszuführen. Betroffen sind: Der Windows Bluetooth-Stack, einschließlich bthport.sys, Microsoft.Bluetooth.Service.dll, Windows.Internal.Service.dll und dafBth.dll.

Read More

Kritische Sicherheitslücken in Ghostscript

In Ghostscript, einem Interpreter für PostScript und PDF, wurden mehrere kritische Sicherheitslücken behoben. Diese Schwachstellen betreffen verschiedene Ubuntu-Versionen und erlauben es Angreifern, Arbitrary Code auszuführen oder Dateizugriffe zu erlangen.

Read More

Sicherheitslücke in IoT Plattform Apache StreamPipes entdeckt

Ende Juni 2024 wurde eine kritische Sicherheitslücke in der IoT-Plattform Apache StreamPipes bekannt gegeben. Die Schwachstelle CVE-2024-29868 betrifft die Generierung von Wiederherstellungs-Token im Rahmen der Benutzer-Selbstregistrierung und des Passwort-Wiederherstellungsmechanismus. Diese Schwachstelle beruht auf der Verwendung eines kryptografisch schwachen Pseudozufallszahlengenerators (PRNG).

Read More