Security-Fixes für 1.x- und 2.x-Release-Zweige beheben XSS-Schwachstelle

Ember.js 2.3 und 2.4 Beta sind erschienen
Kommentare

Erst vergangene Woche sind mit Ember Data 2.3 und 2.4 Beta zwei neue Versionen der JavaScript-Library erschienen, da gab es mit Ember.js 2.3 und 2.4 Beta auch Updates für das JavaScript-Framework aus dem Hause Ember. Im Gepäck haben diese vor allem kleinere Verbesserungen, aber auch einige Änderungen hinsichtlich der Abwärtskompatibilität.

Darüber hinaus sind auch für die älteren Ember-Versionen Updates erschienen – und zwar in Form wichtiger Security-Fixes, die vor allem eine kritische XSS-Schwachstelle beheben sollen. Im Ember-Blog hat Matthew Beale die neuen Versionen vorgestellt.

Neuerungen in Ember.js 2.3

Im Vordergrund der neuen Ember-Version Ember.js 2.3 stehen vor allem kleinere Verbesserungen sowie einige Änderungen bei der Abwärtskompatibilität. Ebenso wurden der neuen Framework-Version einige neue Features spendiert.

Dazu gehört zum Beispiel die Einführung einer visit-Methode für Ember.Application– und Ember.ApplicationInstance-Objekte. Mit dem API können beispielsweise Ember-Applikationen manuell gebootet und dann zum Besuch einer bestimmten URL instruiert werden. Besonders spannend: mit der Einführung des neuen APIs ist FastBoot nun erstmals mit einer Stable-Version von Ember nutzbar – auch wenn es sich dabei nach wie vor um ein experimentelles Feature handelt.

Auch neu ist der (hash-Helper. Er soll vor allem den Umgang mit den neuen kontextuellen Komponenten vereinfachen und insbesondere in der Kombination mit dem {{yield-Helper genutzt werden. Apropos kontextuelle Komponenten: diese erlauben es, privat Daten zwischen mehreren Komponenten auszutauschen, während sie jedoch flexibel aufgerufen werden können. Vor allem Add-On-Autoren sollen von dem neuen Feature profitieren, erklärt Beale:

This new feature is a powerful tool for addon authors, allowing them to yield components without having arguments to those components become de-facto public API.

Einführung von Owners

Eine weitere wichtige Neuerung betrifft den Zugriff auf das container-Property: so wird dieser in Ember 2.3 deprecated und durch ein Public-Owner-API ersetzt. Damit es nicht zu Deprecation-Warnungen oder Fehlern kommt, erhält ember-qunit mit ember-qunit 0.4.16+ wichtige Kompatibilitäts-Patches für die neue Framework-Version; User sollten darum möglichst bald auf die neue Version umsteigen.

Ebenso wurde die jQuery-Assertion in Ember 2.3 entfernt, die bisher dafür sorgte, dass nur unterstützte jQuery-Versionen vorhanden waren. Durch die Einführung von Ember-CLI wird sie jedoch überflüssig, sodass sie für Ember.js 2.3.0+, 2.2.2 und 1.13.12 entfernt wurde. Alle Neuerungen lassen sich im Changelog nachvollziehen.

Stellen Sie Ihre Fragen zu diesen oder anderen Themen unseren entwickler.de-Lesern oder beantworten Sie Fragen der anderen Leser.

Ember.js 2.4 Beta: Fokus auf Performanceverbesserung

Neben Ember.js 2.3 steht auch die erste Beta von Ember.js 2.4 zum Testen zur Verfügung. Der Fokus liegt hier vor allem auf der Verbesserung der Performance und der Weiterentwicklung einiger experimenteller Features, die derzeit noch hinter einer Feature-Flag versteckt sind. Neue Features wurden in Ember 2.4 Beta jedoch nicht eingeführt.

Alle Änderungen sind im Changelog zusammengefasst.

Security-Fixes für 1.x- und 2.x-Release-Zweige

Neben Ember 2.3 und 2.4 Beta sind auch einige wichtige Security-Releases für die 1.x.- und 2.x-Release-Zweige erschienen. Damit wird vor allem ein Fix für eine XSS-Schwachstelle zur Verfügung gestellt, bei der an den DOM angebundene Werte nicht richtig escaped werden, wenn der zur Verfügung gestellte Wert ein Objekt ist, das ein string-Property enthält. Mehr Informationen zur Schwachstelle (CVE-2015-7565) bietet ein entsprechender Eintrag in der Google-Group.

Zur Verfügung stehen jeweils die folgenden Versionen:

  • Ember 1.11.4
  • Ember 1.12.2
  • Ember 1.13.12
  • Ember 2.0.3
  • Ember 2.1.2
  • Ember 2.2.1

Usern der betroffenen Versionen wird das Update auf eine der neuen Versionen dringend empfohlen.

Write solid JavaScript Code with TypeScript

mit Thomas Claudius Huber (Trivadis Services AG)

Unlock the Power of JavaScript Decorators

mit Nir Kaufman (500Tech)

API Summit 2017

Moderne Web APIs mit Node.js – volle Power im Backend

mit Manuel Rauber (Thinktecture), Sven Kölpin (Open Knowledge)

API First mit Swagger & Co.

mit Thilo Frotscher (Freiberufler)

Aufmacherbild: Hamster in a wheel von Shutterstock / Urheberrecht: anyamuse

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -