av Martin Brinkmann på April 16, 2019 i Internett – Siste Oppdatering: April 16, 2019 – 11 kommentarer
Mest innhold blockers bruk og legg filter lister som inneholder instruksjonene for å blokkere eller endre noe av innholdet på nettstedene du har besøkt i web-leseren som standard, dette er gjort for å sikre at standard konfigurasjoner gjør blokkere en god del av uønsket innhold med en gang.
De fleste utvidelser støtte for egendefinerte lister og enkelte filtre. Brukere kan laste inn egendefinerte lister i de fleste utvidelser og legge til sine egne filtre til listen, så vel.
Oppdatering: Eyeo GMHB kunngjorde i dag at det vil fjerne den $rewrite funksjon fremover. Forvente en ny utgivelse snart som fjerner hvis fra extension. Slutten
Sikkerhet forsker Armin Sebastian oppdaget en utnytte i visse adblockers som Adblock Plus, og som kan brukes til å kjøre ondsinnet kode på webområder du har besøkt i nettleseren.
Utnyttelsen bruker et filter alternativ som heter $omskrive at Adblock Plus støtter å injisere vilkårlig kode på web-sider. $Omskrive filter brukes til å erstatte kode på nettsteder ved å skrive det. Filter alternativet begrenser drift; den er utformet for å laste innhold bare fra den første-parti kilde og ikke tredjeparts nettsider eller servere, og noen forespørsler, f.eks. skript eller objekt, er ikke tillatt.
Sebastian oppdaget et sikkerhetsproblem i $omskrive at angripere kan utnytte for å laste inn innhold fra eksterne plasseringer. Vilkårene som må være oppfylt er:
- En JavaScript-string trenger å lastes ved hjelp av XMLHttpRequest eller Hente, og returkoden som skal utføres.
- Opprinnelse ikke kan være begrenset på siden, for eksempel ved å bruke Content Security Policy-direktiver, og den endelige avtale URL ikke bli godkjent før gjennomføring.
- Opprinnelsen av koden må ha en server-side åpen redirect, eller må være vert vilkårlig bruker-innhold.
Egenskaper som passer alle tre kravene som inkluderer Google Maps, Gmail eller Google Bilder blant annet. En proof of concept ble publisert på forfatterens hjemmeside, og du kan prøve det på Google Maps for å kontrollere at den fungerer.
Jeg prøvde utnytte i Chrome og Firefox, og kunne ikke få det til å fungere. Lawrence Abrams over på Bleeping Datamaskinen klarte å få det til å fungere selv om.
Avsluttende Ord
Angrepet har et krav, som det er avhengig av filtre. En manipulert filter behov for å bli lagt til i listen over filtre som brukes av innholdet blokker. De to mest vanlige alternativene inkluderer brukere legge til filtre manuelt til deres innhold blokkere, eller at en manipulert filter er et filter listen som blir lagt inn.
Det andre alternativet virker mer sannsynlig, spesielt i tilfeller var brukere legg i andre lister i utvidelser. Det er ikke første gang at listene blir manipulert, men det skjer ikke veldig ofte.
Utvidelsen uBlock Opprinnelse er ikke berørt av problemet som det ikke støtte for $skrive om.