Problemas más graves que posee JavaScript

Es común que al momento de hablar de inseguridad en internet, se tenga en mente a Flash Player y cómo sus múltiples vulnerabilidades lo han reducido a «sólo» el 10% de las principales webs. Sin embargo, hay otro actor que también suele suscitar muchas críticas como es JavaScript, al que Google le ha declarado la guerra además de declarar que lo bloqueará en Gmail.

Según lo que se ha publicado en ZDNet, de 133.000 webs escaneadas, al menos un 37% de ellas están dotadas de una librería JavaScript con vulnerabilidad bastante conocida. De este mismo hecho La Northwestern University ya había alertado al mundo en un estudio. Dado que se hizo caso omiso de tal hecho, la Universidad y su grupo de investigadores decidieron publicar otro estudio, en el que señalan  que las librerías vulnerables pueden ser «muy peligrosas» bajo las condiciones adecuadas, como ejemplo se tiene un antiguo bug de JQuery que se podía explotar usando un ataque de secuencia de comandos entre páginas o XSS.

Entre los hallazgos del estudio, el 36,7% de JQuery, el 40,1% de Angular, el 86,6% de Handlebars y el 87,3% de YUI usan alguna versión vulnerable. Además, los investigadores hallaron que el 9,7% de las webs incluidas en el estudio (75.000 webs de Alexa y 75.000 dominios .com al azar) usan dos o más versiones vulnerables de una de las librerías.

Sin embargo, es menos probable que las webs más populares utilicen alguna de las librerías obsoletas. Los investigadores de Northeastern vieron que sólo el 21% de las 100 primeras tenían este problema. Eso no quita que, en palabras de los investigadores, el ecosistema de JavaScritp sea un completo desastre:

Nuestro hallazgo más serio ha sido encontrar pruebas de que el ecosistema de librerías de JavaScript es complejo, desorganizado y bastante «ad hoc» en lo que a seguridad respecta. No hay bases de datos de vulnerabilidades fiables, no hay listas de correo de seguridad mantenidas por quienes las venden y, en ocasiones, es difícil determinar qué versiones de una librería están afectadas por una falla ya reportada.

Es innegable que la solución a estos problemas requiera de tiempo y trabajo dado que la mayoría de webs usan librerías muy obsoletas, según el estudio, pero no es imposible.