Cloudflare: Geen toestemming gegeven voor gebruik logo op Polyfill.io-website
Diverse partijen trokken de afgelopen dagen aan de bel over Polyfill.js, een opensource-library die het mogelijk maakt moderne functionaliteiten op websites beschikbaar te maken op verouderde webbrowsers. Ook Cloudflare trekt nu aan de bel en waarschuwt dat het geen toestemming heeft gegeven voor het gebruik van het Cloudflare-logo op Polyfill.io.
Polyfill.io is doelwit van een supplychain-aanval, die naar schatting zeker 110.000 websites treft. Kwaadwillenden injecteren via Polyfill.io malware in websites die Polyfill.js-bestanden inladen via dit domein. Beveiligingsbedrijven C/side en Sansec riepen websitebeheerders op dit domein direct te verwijderen van hun website. Wel kunnen beheerders de opensource-library veilig zelf hosten; het project zelf is niet getroffen.
Cloudflare waarschuwt nu dat het nooit toestemming heeft gegeven voor het gebruik van zijn naam of logo op de Polyfill.io-website. Het bedrijf neemt maatregelen en vervangt Polyfill.io-links automatisch door een veilige mirror op websites die Cloudflare-bescherming gebruiken. Dit geldt ook voor gratis accounts. Klanten met betaalde accounts kunnen deze functie met een druk op de knop activeren. Cloudflare adviseert alle websitebeheerders, ongeacht of zij Cloudflare gebruiken, Polyfill.io-links te verwijderen en te vervangen door een veilig alternatief. Denk daarbij aan een Cloudflare-mirror. Meer informatie is hier beschikbaar.
Meer over Security
Over Wouter Hoeffnagel
