jQuery 跨站指令碼漏洞影響大量網站

Snyk 釋出了 2019 年度的 JavaScript 框架安全狀況報告（PDF），除了最流行的 JS 框架  Angular 和 React 外，報告還觀察了其它三個流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。

jQuery 過去 12 個月的下載量超過了 1.2 億次，是 Vue.js 的 4000 萬次和 Bootstrap 的 7900 萬次之和。Vue.js 發現了 4 個漏洞，都已經修復。

Bootstrap 發現了 7 個跨站指令碼漏洞，3 個是在 2019 年披露的，無安全修正。jQuery 發現了 6 個影響所有版本的安全漏洞，4 個是中等危險級別的跨站指令碼漏洞，1 個是中危 Prototype Pollution 漏洞，還有一個是低危拒絕服務漏洞。

jQuery 3.4.0 以上版本不受漏洞影響。jQuery 生態系統還發現了多個惡意的擴充套件包，其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox，這些包過去一年的下載量從幾百到幾千不等。          

來源：solidot.org

更多資訊

NVIDIA 顯示卡驅動再出數個高危漏洞 441.12 版本可免疫

NVIDIA 的 Windows 顯示卡驅動經常會有曝出一些高危漏洞，一般官方的修復速度都挺快的，幾個月前那次有第三方誌願者報了卻拖著沒修還是比較少見的事情。最近的 GeForce 441.12 版本驅動中，NVIDIA 就修復了多個未公開的高危漏洞，另外這幾個漏洞在 Quadro、NVS 和 Tesla 的 Windows 驅動中同樣存在。

來源：Expreview超能網
詳情連結：https://www.dbsec.cn/blog/article/5383.html 

iOS 13 越獄工具 Checkra1n 現已釋出 適用 iPhone 與 iPad

經過漫長的等待，基於 checkm8 漏洞的 iOS 越獄工具 —— Checkra1n —— 終於公開了首個 beta 測試版本。需要注意的是，目前 iOS 13 的 Checkra1n 越獄工具仍處於測試階段，因此並不穩定，需要在後續開發中繼續深入。想要嚐鮮的朋友，可能會在 iPhone 或 iPad 上遇到一些問題。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5384.html 

GitHub 年度 Octoverse 報告：超 80% 儲存庫貢獻來自美國之外

知名開原始碼託管平臺 GitHub 剛剛釋出了年度 Octoverse 報告，可知去年最大的開源貢獻專案為微軟 Visual Studio Code（19.1K）、Azure Docs（14K）和 Flutter（13K）。其次是 Google 的 TensorFlow（9.9K）、Kubernetes（6.9K）、以及 Facebook 建立的 React Native 框架。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5385.html 

黑客發現亞馬遜和三星產品漏洞 獲數十萬美元獎金

11 月 11 日訊息，據外媒報導，今年在日本東京舉行的 Pwn2Own 黑客競賽中，兩名安全研究人員因發現亞馬遜智慧助手Alexa驅動的智慧裝置 Amazon Echo 和三星 Galaxy S10 中的漏洞，獲得“頂級黑客”的殊榮。

來源：網易科技
詳情連結：https://www.dbsec.cn/blog/article/5386.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視