Abo
  • IT-Karriere:

Websicherheit: Malware auf jQuery-Server entdeckt

Eine Sicherheitsfirma will die Einbindung von Malware-Code auf der Webseite der Javascript-Bibliothek jQuery beobachtet haben. Ob die Server von jQuery gehackt worden sind, ist noch unklar.

Artikel veröffentlicht am , Hanno Böck
Die jQuery-Bibliothek ist durch ihre Beliebtheit ein attraktives Ziel für Angreifer.
Die jQuery-Bibliothek ist durch ihre Beliebtheit ein attraktives Ziel für Angreifer. (Bild: jQuery)

Die IT-Sicherheitsfirma RiskIQ berichtet in einem Blogeintrag, dass sie die Auslieferung von Malware über die Webseite der Javascript-Bibliothek jQuery beobachtet habe. Demnach wurde auf der Webseite zeitweise ein bösartiger iFrame eingefügt. Der darin enthaltene Code versuchte, auf dem Server von Webseitenbesuchern eine Malware zu installieren.

Bösartiger iFrame

Stellenmarkt
  1. HYDRO Systems KG, Biberach
  2. Voith Group, Heidenheim an der Brenz, York (USA), Sao Paulo (Brasilien), Västerås (Schweden)

Die Bibliothek jQuery ist freie Software und eine der meist genutzten Javascript-Bibliotheken. Laut eigenen Angaben wird jQuery von fast einem Drittel der Webseiten im Netz genutzt.

RiskIQ hat laut eigenen Angaben beobachtet, dass über jQuery-Webseite ein iFrame eingefügt wurde, der auf die Domain jquery-cdn.com verweist. Von dort wurde ein Exploit-Code nachgeladen, der versuchte, die Malware RIG zu installieren. Der Server hinter der Domain jquery-cdn.com ist inzwischen nicht mehr erreichbar.

Mehrere Angriffsvektoren

Die Entwickler von jQuery schreiben in ihrem Blog, dass sie keinerlei Hinweise auf eine Kompromittierung ihrer Server haben. Trotzdem versuche man derzeit, die Ursachen für die Vorfälle zu finden.

Es sind grundsätzlich zwei Wege denkbar, wie der iFrame in die Webseite gelangt sein könnte. Eine Variante wäre, dass tatsächlich der Server von jQuery kompromittiert wurde und jquery.com den bösartigen iFrame ausgeliefert hat. Auch denkbar wäre allerdings, dass mittels einer Man-in-the-Middle-Attacke der entsprechende Code unterwegs in die Datenpakete eingefügt wurde.

HTTPS und Content Security Policy erhöhen Sicherheit

Generell gibt es mehrere Möglichkeiten, derartige Drive-by-Downloads zu erschweren oder zu verhindern. Sollte es sich um eine Man-in-the-Middle-Attacke handeln, hätte der Einsatz von verschlüsselten HTTPS-Verbindungen den Angriff vermutlich gestoppt. Das ist einer der Gründe, warum es sich auch für Webseiten ohne sensible Daten, die nur gelesen werden, lohnen kann, mittels HTTPS die Sicherheit zu erhöhen.

Die Einbindung von Code von anderen Servern mittels iFrames könnte durch den Einsatz von Content Security Policy gestoppt werden.

Für Nutzer gilt, dass sie Sicherheitsupdates für den Browser und für Browserplugins wie Flash zeitnah installieren sollten. Denn Sicherheitslücken im Browser sind das größte Einfallstor für Malware.

Nachtrag vom 24. September 2014, 16:15 Uhr

Ursprünglich hatten wir geschrieben dass die Malware über die auf jquery.com gehostete JavaScript-Datei, die von anderen Webseiten eingebunden werden kann, ausgeliefert wurde. Das ist nicht korrekt, es handelte sich nur um die Webseite von jQuery, Webseiten von Dritten, die jQuery nutzen, sind nicht betroffen.

Nachtrag vom 25. September 2014, 11:05 Uhr

Wie auf dem Blog von jQuery zu lesen ist, gab es offenbar gestern einen zweiten Fall, bei dem die Webseite manipuliert wurde. Die jQuery-Entwickler gehen davon aus, dass es sich um einen davon unabhängigen Vorfall handelt, aber vermutlich wurde die selbe Sicherheitslücke genutzt. Wie genau die Seite manipuliert wurde ist weiterhin unklar.

Zu den Kommentaren springen
Meistgelesen
  1. IT-Arbeit
    Was fürs Auge
  2. Zoncolan
    Facebook testet 100 Millionen Zeilen Code in 30 Minuten
  3. Streit über Qualitätsmängel
    Tesla stoppt Model-3-Lieferungen an Nextmove
  4. Verfassungsschutz
    Einbruch für den Staatstrojaner
  5. Urheberrecht
    Youtuber sollen bei Snippets kein Geld mehr verlieren
Anzeige
Hardware-Angebote
  3. 204,90€
  4. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Re: https
TheUnichi 26. Sep 2014

Warum, greift Man-in-the-Middle in HTTP ein? Du kannst damit den gesamten Datentransfer...

hab ichs doch gewusst :)
dopemanone 25. Sep 2014

hab vor geraumer zeit irgendwann mal ne site besucht die (mit noscript) nicht sauber...

Re: Fehlinterpretation des Blog-Beitrags?
hannob (golem.de) 24. Sep 2014

Wir bedauern den Fehler, es war tatsächlich eine Fehlinterpretation des Blogeintrages von...

Folgen Sie uns
       
Raspberry Pi 4B vorgestellt

Nicht jedem dürften die Änderungen gefallen: Denn zwangsläufig wird auch neues Zubehör fällig.

Raspberry Pi 4B vorgestellt Video aufrufen
Google Maps
Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich
Mobile Games
Mobile-Games-Auslese: Verdrehte Räume und verrückte Zombies für unterwegs
Mobile-Games-Auslese
Verdrehte Räume und verrückte Zombies für unterwegs

Ein zauberhaftes Denksportspiel wie Rooms, ansteckende Zombies in Infectonator 3 Apocalypse und Sky - Children of the Light, das neue Werk der Journey-Entwickler: Für die Urlaubszeit hat Golem.de besonders schöne und vielfälige Mobile Games gefunden!
Eine Rezension von Rainer Sigl

  1. Dr. Mario World im Test Spielspaß für Privatpatienten
  2. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  3. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
Arbeit
IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /