Член команды jQuery Йорн Цефферер (Jorn Zaefferer) устранил уязвимость в разработанном им плагине jQuery Validation. Брешь, позволяющая осуществить атаку межсайтового скриптинга, была обнаружена голландским исследователем Сижменом Руфхофом (Sijmen Ruwhof) в демо-версии скрипта CAPTCHA три месяца назад.
Несмотря на то, что уязвимость затрагивает только демо-версию кода, но не сам плагин, исследователи решили раскрыть ее, поскольку многие разработчики устанавливают код вместе с плагином. Рувхоф пояснил , что эта опасная брешь позволяет осуществлять отраженные XSS-атаки для похищения личности (в случае, если файлы cookie не защищены с помощью HttpOnly).
Отметим, что голландский эксперт оказался не первым, кто обнаружил уязвимость. Впервые сообщения о ней появились в июле 2011 г., а присутствует она в коде еще с 2007 г.. По словам Рувхофа, ошибка была допущена не автором плагина jQuery Validation, а разработчиком кода CAPTCHA. Цефферер выпустил исправление в среду, 19 ноября. Эксперты считают, что уязвимость затрагивает порядка 20 тыс. сайтов. Напомним, что плагин jQuery Validation предоставляет более простую форму валидации. (Новости/NovostIT)
