專門偵測電子商務惡意軟體與安全漏洞的資安業者Sansec周二(6/25)警告,知名的Polyfill函式庫polyfill.io自今年2月賣給了一家中國業者之後,開始嵌入惡意程式,以將造訪使用其服務的網站使用者重新引導至體育賭博或其它惡意網站,呼籲網站管理人員應該關閉Polyfill,或是改用其它較為可靠的服務。
Polyfill函式庫的功能是在舊版瀏覽器中補充或模擬現代瀏覽器所支援的功能,因此,當舊版瀏覽器用戶所造訪的網站具備現代化瀏覽器所支援的新功能時,網站即可導入該函式庫來實現相同的功能,讓網頁於舊版瀏覽器上能夠正常運作。polyfill.io即為熱門的Polyfill函式庫之一,目前全球有超過10萬個網站嵌入該函式庫。
根據照片部落格Notos共同創辦人暨執行長Renaud Chaput今年2月的說明,polyfill.io原本隸屬於金融時報(Financial Times)的網頁團隊,該團隊之後將它移交給社群管理,但最後的一名管理人員在今年2月將它賣給了中國一家奇怪的內容交付網路(CDN)公司,新公司將polyfill.io自Fastly平臺搬離,並開始修改及胡弄返回用戶端的檔案。當時Chaput即建議各界不應該再推薦polyfill.io。
同樣是在今年2月polyfill.io易主之後,Polyfill專案的作者Andrew Betts也警告各網站應立刻移除polyfill.io。Betts還澄清,雖然他建立了Polyfill服務,但從未擁有該網域名稱,也從未參與它的銷售。
Sansec則說,這家中國公司同時購買了polyfill.io及其GitHub帳戶,且不時有用戶至其GitHub帳戶提出控訴,只是都被刪除。
Sansec建議,不再需要Polyfill函式庫的網站應該立刻移除polyfill.io,或是改用由Fastly或Cloudflare所提供的Polyfill方案。
熱門新聞
2024-12-10
2024-12-08
2024-12-10
2024-12-10
2024-11-29
2024-12-11
2024-12-10