El ecosistema JavaScript es el más extendido en las webs modernas y sus repositorios pueden llegar a contener más de 100.000 librerías diferentes, aunque las más utilizadas con, principalmente, jQuery, Angular, Handlebars, Bootstrap, Modernizr, Moment y LoDash. Sin embargo, tanta variedad de librerías está poniendo en peligro la seguridad de los usuarios y de los servidores de páginas web, ya que más del 37% de las páginas web utilizan librerías obsoletas o desactualizadas que ponen en peligro la seguridad del servidor.

Un reciente estudio realizado por la College of Computer and Information Science [PDF] ha demostrado que más de un tercio de las páginas web disponibles utilizan librerías JavaScript desactivadas que tienen, al menos, una o más vulnerabilidades conocidas y que están poniendo en peligro tanto a los usuarios como al propio servidor. Además, el estudio también ha demostrado que muchas páginas web utilizan librerías como SWFObject y YUI que, desde hace tiempo, ya no tienen mantenimiento y cuentan con vulnerabilidades conocidas.
Además de las librerías instaladas en el propio servidor, las librerías cargadas por terceras aplicaciones, como extensiones, plugins o widgets, utilizan también versiones obsoletas de JavaScript que ponen en peligro a los usuarios.

JavaScript cada vez se utiliza más, y los desarrolladores cada vez tienen menos tiempo para solucionar estas vulnerabilidades. Debemos tener en cuenta que este lenguaje de programación no se utiliza solo, por ejemplo, para habilitar un carrusel de noticias en la cabecera de un blog como hace varios, años, sino que ahora mismo es capaz de encargarse del cifrado, de los gráficos 3D e incluso de gestionar aplicaciones móviles.

Usando el índice de Alexa, los investigadores escanearon 133.000 sitios web y monitorearon 72 bibliotecas y sus distintas versiones. La exploración no solo monitorizó las bibliotecas propias del sitio web, sino también los JavaScript cargado por terceros, como los anunciantes. En total, detectaron 11.141.726 inclusiones de archivos de JS. A continuación se presenta un resumen de los diferentes resultados obtenidos por los investigadores:

• 37% de los sitios web cargaron al menos una versión vulnerable de la biblioteca;
• 10% de los sitios web cargaron dos o más versiones vulnerables de la biblioteca;
• Al menos 36.7% usan versiones de jQuery vulnerables, 40.1% de Angular, 86.6% de Handlebars y 87.3% de YUI;
• Muchos sitios web continúan cargando librerías SWFObject e YUI, que ya no se mantienen

Los peligros de usar software desactualizado en Internet

Los desarrolladores no se toman en serio la seguridad de sus servidores, y es que, por ejemplo, ya han pasado 5 años desde el descubrimiento de Heartbleed, la que probablemente haya sido la peor brecha de seguridad de la historia de Internet y, a día de hoy, aún hay más de 200.00 servidores que utilizan una versión de OpenSSL vulnerable de hace más de 5 años.
Utilizar software obsoleto y desactualizado es muy peligroso, sobre todo cuando se ejecuta en servidores, ya que son los más atacados por piratas informáticos para poder tomar el control de ellos, instalarles malware e incluso si guardan información de los usuarios, robarla para, posteriormente, venderla en el mercado negro.

Mantener todo el software de un servidor actualizado, además de garantizar el mejor rendimiento posible, nos ayuda a mantener nuestra información, y la de nuestros usuarios, seguras en un Internet cada vez más peligroso.