Resuelta la vulnerabilidad que permitía realizar ataques cross site scripting (XSS ) en jQuery 1.6 y que podía ser explotada en ciertos sitios que utilizaran la variable 'location.hash' en un contexto que no fuera el de Cascading Style Sheets (CSS).
Detalles de la biblioteca jQuery:
- jQuery es una biblioteca o framework JavaScript de software libre y código abierto.
- Es compatible con la mayoría de navegadores actuales y ofrece una serie de funcionalidades basadas en JavaScript que permite simplificar la manera de interactuar con los documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a páginas web.
La solución adoptada es que sea el propio jQuery el que filtra el código HTML que pueda ser incrustado a través de la variable 'location.hash', y no delegar esta responsabilidad a todos los programadores que vayan a utilizarla.
- La vulnerabilidad, que era funcional en Internet Explorer, Firefox, Chrome y Opera, se ha arreglado en la versión 1.6.3 de jQuery.
- Los usuarios del navegador Safari no se veían afectados porque este navegador se encargaba de codificar el contenido de esta variable mediante el símbolo de porcentaje '%'.