jQuery 跨站脚本漏洞影响大量网站 | 每日安全资讯

Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告（PDF），除了最流行的 JS 框架  Angular 和 React 外，报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。

作者/来源：安华金和

Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告（PDF），除了最流行的 JS 框架  Angular 和 React 外，报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。

jQuery 过去 12 个月的下载量超过了 1.2 亿次，是 Vue.js 的 4000 万次和 Bootstrap 的 7900 万次之和。Vue.js 发现了 4 个漏洞，都已经修复。

Bootstrap 发现了 7 个跨站脚本漏洞，3 个是在 2019 年披露的，无安全修正。jQuery 发现了 6 个影响所有版本的安全漏洞，4 个是中等危险级别的跨站脚本漏洞，1 个是中危 Prototype Pollution 漏洞，还有一个是低危拒绝服务漏洞。

jQuery 3.4.0 以上版本不受漏洞影响。jQuery 生态系统还发现了多个恶意的扩展包，其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox，这些包过去一年的下载量从几百到几千不等。          

来源：solidot.org

更多资讯

NVIDIA 显卡驱动再出数个高危漏洞 441.12 版本可免疫

NVIDIA 的 Windows 显卡驱动经常会有曝出一些高危漏洞，一般官方的修复速度都挺快的，几个月前那次有第三方志愿者报了却拖着没修还是比较少见的事情。最近的 GeForce 441.12 版本驱动中，NVIDIA 就修复了多个未公开的高危漏洞，另外这几个漏洞在 Quadro、NVS 和 Tesla 的 Windows 驱动中同样存在。

来源：Expreview超能网https://www.dbsec.cn/blog/article/5383.html 

iOS 13 越狱工具 Checkra1n 现已发布 适用 iPhone 与 iPad

经过漫长的等待，基于 checkm8 漏洞的 iOS 越狱工具 —— Checkra1n —— 终于公开了首个 beta 测试版本。需要注意的是，目前 iOS 13 的 Checkra1n 越狱工具仍处于测试阶段，因此并不稳定，需要在后续开发中继续深入。想要尝鲜的朋友，可能会在 iPhone 或 iPad 上遇到一些问题。

来源：cnBeta.COMhttps://www.dbsec.cn/blog/article/5384.html 

GitHub 年度 Octoverse 报告：超 80% 存储库贡献来自美国之外

知名开源代码托管平台 GitHub 刚刚发布了年度 Octoverse 报告，可知去年最大的开源贡献项目为微软 Visual Studio Code（19.1K）、Azure Docs（14K）和 Flutter（13K）。其次是 Google 的 TensorFlow（9.9K）、Kubernetes（6.9K）、以及 Facebook 创建的 React Native 框架。

来源：cnBeta.COMhttps://www.dbsec.cn/blog/article/5385.html 

黑客发现亚马逊和三星产品漏洞 获数十万美元奖金

11 月 11 日消息，据外媒报道，今年在日本东京举行的 Pwn2Own 黑客竞赛中，两名安全研究人员因发现亚马逊智能助手Alexa驱动的智能设备 Amazon Echo 和三星 Galaxy S10 中的漏洞，获得“顶级黑客”的殊荣。

来源：网易科技https://www.dbsec.cn/blog/article/5386.html 

（信息来源于网络，安华金和搜集整理）

：还 在看吗？