MÜNCHEN (IT BOLTWISE) – Die Cybersecurity and Infrastructure Security Agency (CISA) der USA hat kürzlich eine Sicherheitslücke in der weit verbreiteten jQuery-JavaScript-Bibliothek in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Diese Entscheidung basiert auf Beweisen für aktive Ausnutzung der Schwachstelle.
- Unsere KI-News von IT Boltwise® bei LinkedIn abonnieren!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren und abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die Cybersecurity and Infrastructure Security Agency (CISA) der USA hat eine Sicherheitslücke in der jQuery-JavaScript-Bibliothek in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Diese Schwachstelle, bekannt als CVE-2020-11023, ist ein Cross-Site-Scripting (XSS) Fehler, der bereits vor fast fünf Jahren entdeckt wurde. Trotz der Veröffentlichung eines Patches im April 2020, der das Problem in der jQuery-Version 3.5.0 behebt, gibt es Hinweise auf eine aktive Ausnutzung dieser Schwachstelle.
Die Schwachstelle hat eine mittlere Schwere mit einem CVSS-Score von 6.1 bis 6.9 und ermöglicht es Angreifern, durch die Manipulation von DOM-Elementen, die von unzuverlässigen Quellen stammen, beliebigen Code auszuführen. Dies stellt ein erhebliches Risiko dar, insbesondere wenn HTML-Inhalte, selbst nach einer Reinigung, an jQuery-Methoden wie .html() oder .append() übergeben werden. Ein Workaround besteht in der Verwendung von DOMPurify mit dem SAFE_FOR_JQUERY-Flag, um HTML-Strings vor der Übergabe an jQuery-Methoden zu bereinigen.
Obwohl die CISA-Advisory keine spezifischen Details über die Art der Ausnutzung oder die Identität der Bedrohungsakteure enthält, die diese Schwachstelle ausnutzen, gibt es Berichte über Angriffe. Ein niederländisches Sicherheitsunternehmen, EclecticIQ, hat im Februar 2024 enthüllt, dass die Command-and-Control-Adressen einer bösartigen Kampagne, die Sicherheitslücken in Ivanti-Geräten ausnutzt, eine Version von jQuery verwendeten, die für mindestens eine der Schwachstellen CVE-2020-11023, CVE-2020-11022 und CVE-2019-11358 anfällig war.
Im Rahmen der Binding Operational Directive (BOD) 22-01 empfiehlt die CISA den Bundesbehörden der zivilen Exekutive, die identifizierte Schwachstelle bis zum 13. Februar 2025 zu beheben, um ihre Netzwerke gegen aktive Bedrohungen zu sichern. Diese Empfehlung unterstreicht die Dringlichkeit, die mit der Behebung dieser Schwachstelle verbunden ist, da sie potenziell für Angriffe genutzt werden kann, die erhebliche Schäden verursachen könnten.
Die jQuery-Bibliothek ist eine der am weitesten verbreiteten JavaScript-Bibliotheken und wird in Millionen von Websites weltweit eingesetzt. Die Entdeckung und Ausnutzung von Schwachstellen in solch weit verbreiteten Technologien kann erhebliche Auswirkungen auf die Sicherheit von Webanwendungen haben. Unternehmen und Entwickler sind daher aufgefordert, ihre Systeme regelmäßig zu aktualisieren und Sicherheitslücken zu schließen, um das Risiko von Cyberangriffen zu minimieren.
Die aktuelle Situation verdeutlicht die Notwendigkeit eines proaktiven Sicherheitsmanagements und einer kontinuierlichen Überwachung von Softwarekomponenten, die in Unternehmensanwendungen integriert sind. Die schnelle Reaktion auf Sicherheitswarnungen und die Implementierung von Patches sind entscheidend, um die Integrität und Vertraulichkeit von Daten zu gewährleisten.
Amazon-Trendangebote der letzten 24 Stunden mit bis zu 78% Rabatt (Sponsored)
Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Kurzweil skizziert in diesem intensiven Leseerlebnis eine Zukunft, in der Mensch und Maschine untrennbar miteinander verbunden sind
- Eine Zukunft, in der wir unser Bewusstsein auf eine höhere Ebene heben werden, in der wir uns aus virtuellen Neuronen neu erschaffen werden, in der wir länger leben, gesünder und freier sein werden als je zuvor
- »Eine faszinierende Erkundung unserer Zukunft, die tiefgreifende philosophische Fragen aufwirft
- « Yuval Noah HarariDank KI eröffnen sich uns in sämtlichen Lebensbereichen ungeahnte Möglichkeiten für Fortschritt, und das in exponentiellem Tempo
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Sein topaktuelles Buch über künstliche Intelligenz informiert, klärt auf – und macht klar, dass niemand vorhersehen kann, ob mit KI Rettung oder Untergang auf die Menschheit zukommt
- »Wir brauchen nicht darüber nachzudenken, ob eine allgemeine KI irgendwann Bewusstsein hat oder die Menschheit vernichtet – das ist Science Fiction
- Aber über reale Risiken und Gefahren von böswilligen Menschen, die KI für ihre Zwecke missbrauchen, müssen wir nachdenken – gründlich
- Und über die Verantwortung der reichsten Unternehmen der Welt auch
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Der Experte für KI-Implementierung im Unternehmen Dr
- Tawia Odoi erklärt verständlich, was sich hinter KI verbirgt und welche immensen Vorteile sie gegenüber herkömmlicher Software bietet
- Ihm geht es darum, Berührungsängste abzubauen und KI endlich zu verstehen und anzuwenden
- Sein Buch zeigt die treibenden Kräfte auf und benennt auch mögliche Hindernisse
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
- Im Bereich der KI gab es in den letzten Jahren mehrere spektakuläre Durchbrüche, von alphaGo über DALL-E 2 bis ChatGPT, die so bis vor kurzem noch völlig undenkbar waren
- Doch schon heute arbeiten Forscher an den Innovationen von morgen, wie hybrides maschinelles Lernen oder neuro-symbolische KI
- Aber was verbirgt sich dahinter überhaupt?Anhand aktueller Forschungsergebnisse und spannender Beispiele aus der Praxis bietet dieses Sachbuch einen verständlichen Einstieg in die Grundlagen und Herausforderungen dieser faszinierenden Disziplinen
- Sie erfahren, was Neurowissenschaft und Psychologie über die Funktionsweise des Gehirns wissen und wie Künstliche Intelligenz arbeitet
- Richard David Precht beschäftigt sich mit den wichtigsten Fragen rund um das Thema »Künstliche Intelligenz« – und bezieht dabei auch die tiefgreifenden gesellschaftlichen Veränderungen durch die aktuelle Krise mit ein
- Während die drohende Klimakatastrophe und der enorme Ressourcenverbrauch der Menschheit den Planeten zerstört, machen sich Informatiker und Ingenieure daran, die Entwicklung einer Künstlichen Intelligenz voranzutreiben, die alles das können soll, was wir Menschen auch können – nur vielfach »optimierter«
- Ausgehend von völlig falschen Annahmen soll den Maschinen sogar eine menschenähnliche Moral einprogrammiert werden
- Richard David Precht macht uns eindringlich klar, dass das nicht möglich ist
- Denn unser Leben besteht nicht aus der Abfolge vorausberechneter Schritte
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "CISA warnt vor alter jQuery-Sicherheitslücke mit aktuellen Angriffen" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.