EN

Hætta á birgðakeðjuárás tengt notkun á Polyfill.io


Polyfill.io

Þjónustur sem nýta sér Polyfill.io gætu átt á hættu að verða fyrir birgðakeðjuárás (e. supply chain attack). Sama á við um endanotendur sem nota þjónustur frá Polyfill.io. Polyfill er þjónusta sem býður upp á JavaScript polyfills til að tryggja samhæfni við eldri vafra. Nýlega kom fram að stofnandi Polyfill.io þjónustunnar, hefur gefið réttindin til að viðhalda og reka Polyfill.io yfir til fyrirtækisins Funnull.

Vísbendingar eru um að Funnull hafi breytt kóðanum á skaðlegan hátt. CERT-IS mælir með að fjarlægja Polyfill.io kóðann til að koma í veg fyrir smit og draga úr hættu á keðjuárásum. Aðrar CDN-veitur hafa útvegað valkosti til að skipta út Polyfill.

Í kjölfarið hafa Fastly og Cloudflare sett upp Polyfill.io þjónustu á þeirra þjónum sem mælt er með að nota frekar. Það er hægt með því að skipta út https://polyfill.io/v3/polyfill.js fyrir https://cdnjs.cloudflare.com/polyfill/v3/polyfill.js í skrám til að tryggja öryggi þegar unnið er með Polyfill.io í verkefnum [1,2].

Tilvísanir

[1] https://www.theregister.com/2024/06/25/polyfillio_china_crisis/
[2] https://thehackernews.com/2024/06/over-110000-websites-affected-by.html

Scroll to Top