Polyfill.js Supply Chain Attack: Eine ernsthafte Sicherheitsbedrohung für mehr als 110.000 Webseiten
Polyfill.js Supply Chain Attack: Eine ernsthafte Sicherheitsbedrohung für mehr als 110.000 Webseiten

In jüngster Zeit hat sich eine bedeutende Sicherheitslücke im Zusammenhang mit der weit verbreiteten JavaScript-Bibliothek polyfill.js aufgetan. Diese Bibliothek wird auf der Domain cdn.polyfill.io gehostet. Seit dem 24. Februar 2024 wurde diese Domain von einem chinesischen Unternehmen namens Funnull übernommen, was erhebliche Sicherheitsbedenken in der Webentwickler-Community hervorgerufen hat.

Was ist Polyfill.js?

Polyfill.js ist eine wichtige JavaScript-Bibliothek, die moderne Browser-Funktionen für ältere Browser verfügbar macht. Sie wird von vielen bekannten Webanwendungen weltweit genutzt, um die Kompatibilität und Funktionalität ihrer Seiten zu gewährleisten. Polyfill.js wurde ursprünglich vom Entwicklungsteam von FT.com erstellt und hat sich seit den 2010er Jahren in der Webentwicklung weit verbreitet. Auch in Magento wird Polyfill eingesetzt, jedoch standardmäßig nicht über einen CDN geladen. Dennoch ist eine Überprüfung Notwendig ob nicht Ihr Template oder eine Extension eine andere Polyfill version per CDN Nachlädt.

Die Sicherheitsbedrohung

Die Übernahme der Domain cdn.polyfill.io durch Funnull bedeutet, dass sämtlicher Traffic nun über das Baishan Cloud CDN umgeleitet wird. Diese Änderung birgt erhebliche Risiken:

  • Datenüberwachung: Ein unbekanntes ausländisches Unternehmen hat nun die Möglichkeit, den gesamten Benutzerverkehr zu überwachen, der die JavaScript-Dateien von dieser Domain lädt. Dies könnte zur stillen Überwachung von Nutzerdaten führen.
  • Potentieller Datenklau: Bei böswilliger Absicht könnten Funnull oder verbundene Akteure Benutzernamen, Passwörter und Kreditkarteninformationen direkt im Browser stehlen, wenn diese eingegeben werden.

Schritte zur Risikominderung

Um Ihre Webanwendungen zu schützen, sollten Sie folgende Maßnahmen ergreifen:

  1. Identifizierung der Nutzung: Entwickler sollten ein Code-Suchtool oder eine integrierte Entwicklungsumgebung (IDE) verwenden, um alle Instanzen von cdn.polyfill.io im Quellcode aller Projekte zu suchen.
  2. Ersetzen durch sichere Versionen: Fastly hat einen Schnappschuss des Codes vor dem Verkauf an Funnull erstellt und stellt ihn unter polyfill-fastly.io zur Verfügung. Nutzen Sie diesen Remote-Host, bis Sie die Datei lokal herunterladen, auf Sicherheitslücken überprüfen und auf internen Systemen hosten können. Ersetzen Sie alle Instanzen von <script src="//cdn.polyfill.io"... durch <script src="//polyfill-fastly.io"... oder eine lokal gehostete Version der Polyfill-JavaScript-Datei.
  3. Kontinuierliche Überwachung: Verfolgen Sie aktuelle Updates und Diskussionen über diese Sicherheitslücke auf der GitHub-Seite.

Fazit

Die Übernahme von cdn.polyfill.io durch Funnull zeigt deutlich, wie wichtig die Überwachung und Kontrolle von Drittanbieter-Bibliotheken in Webanwendungen ist. Bei Vandelay Industries unterstützen wir Sie gerne dabei, Ihre Magento-Shops und andere Webanwendungen sicher zu halten. Kontaktieren Sie uns, um mehr über unsere Sicherheitslösungen zu erfahren und wie wir Ihnen helfen können, Ihre E-Commerce-Plattformen vor solchen Bedrohungen zu schützen.

Vandelay Industries – Ihre Magento-Experten für Sicherheit, Leistung und Innovation.