Adblock Plus vinner juridisk strid mot tyska media kraftpaket
Adblock Plus är inte en överträdelse av konkurrenslagstiftning eller störa pressfriheten, tyska högsta domstolen.
Utnyttja en bugg har upptäckts i filter system av Adblock, Adblock Plus, och uBlock som kan tillåta en angripare att på distans injicera godtycklig kod på webbsidor.
Säkerhet forskare Armin Sebastian sa i ett blogginlägg på måndagen att problemet ligger i version 3.2 av Adblock Plus programvara som införde ett nytt filter alternativet för att skriva ansökningar 2018.
Denna funktion, som också antogs av AdBlock och uBlock, är utsatta för en säkerhetsbrist anses som “triviala” att utnyttja av Sebastian, och frågan kan eventuellt utnyttjas i attacker inklusive stöld av online-referenser, session manipulation, eller sidan omdirigering.
Enligt forskaren, som påverkade tillägg står för över 100 miljoner månatliga aktiva användare, säkerhetsbrist kan ha en stor inverkan om det utnyttjas i det vilda med en skadlig filter författare.
“Funktionen är trivialt att utnyttja för att attackera någon som är tillräckligt komplex web service, inklusive Google-tjänster, medan attacker är svåra att upptäcka och kan sättas in i alla större webbläsare,” säger Sebastian.
Filtrera listor är centrala delar av programvara för annonsblockering som de ger ett slutförvar av Webbadresser som anses vara misstänkt, skadliga, eller relaterade till reklam. När en annons blockerare är installerad på en webbläsare, medan användaren surfar på webben, program kommer åt dessa listor och förhindrar sådant innehåll från lastning.
Problemet ligger i $skriva om filter alternativet, en funktion som introducerades förra året. $omskrivning används av vissa ad-blockerare för att blockera kringgående försök, ta bort tracking data, och för att hindra webbplatser från att tvinga annonser för besökare som använder programvara som blockerar.
Omskrivning, kan dock endast ske inom samma domän som den ursprungliga begäran, och MANUS, DELDOKUMENT, OBJEKT, och OBJECT_SUBREQUEST begäran typer accepteras inte.
Se även: Allvarlig sårbarhet upptäckt i populära chefer lösenord
Under vissa förhållanden, det verkar som att godtycklig kod kan injiceras när domäner belastning JS strängar med hjälp av XMLHttpRequest eller när de använder Hämta för att ladda ner kod utdrag för utförande. Webbplatser måste också ha en server-side öppna omdirigera eller måste värd godtycklig användare innehåll för de utnyttja för att arbeta.
Dessutom får inte begränsa ursprung med hjälp av Content Security Policy direktiv och sista begäran Webbadresser kan inte valideras innan de laddas ner koden exekveras.
“Extensions regelbundet uppdatera filter på intervall, som fastställts av filtrera listan operatörer,” forskare lagt till. “Attacker är svåra att upptäcka eftersom operatören kan ställa en kort förfallotid för skadlig filtrera listan, som sedan ersätts med en godartad. Organisationer och enskilda individer kan vara riktade baserat på IP-adresser från vilka uppdateringar begärs.”
Som ett exempel på hur säkerhetsbrist kan utlösas, Sebastian används Google Maps. Eftersom tjänsten uppfyllt villkoren ovan, forskare fick möjlighet att skriva utnyttja koden som skulle ladda innehållet från “majestic-ramslök.herokuapp .kom”, i det här fallet, vilket ledde till en popup-varning.
Frågan var rapporterats, men Google säger att den öppna omdirigeringar som används av Google Maps är “avsett beteende” och potentiella säkerhetsproblem problemet ligger bara i de nämnda webbläsare.
Sebastian säger att avskaffandet av server-side öppna omdirigeringar eller vitlista av känt ursprung i negativt web services med hjälp av koppla src CSP huvudet kan minska problemet. Det har också föreslagits att ad-block användare överväga att byta till uBlock Ursprung, som inte har stöd $skriva om filter alternativ och är därför inte utsatta för denna form av attack.
TechRepublic: 5 bästa chefer lösenord för Android
“Annonsblockering tillägg bör överväga att släppa support för $skriva om filter alternativet,” forskare. “Det är alltid möjligt att missbruka funktionen till viss del, även om det bara bilder eller stilmallar är tillåtet att omdirigeras.”
I ett uttalande som offentliggjordes efter forskarens resultat gick live, Adblock Plus sade att säljaren är “tar detta på största allvar och är närvarande på att utreda den faktiska risken för våra användare att bestämma den bästa motåtgärden.”
Adblock Plus lagt till att genomförandet av de skriva alternativet, trots content security Policy, kan tillåta vissa webbplatser för att utföra innehåll från tredje part-men denna typ av händelse anses vara “mycket osannolikt” med tanke på företagets ständig granskning av filtrera listor och författare prövning.
CNET: Hur man installerar Ringen Video Dörrklockan 2
Företaget tror inte det problemet har varit att utnyttjas i det vilda, men arbetar på att rätta till problemet.
“Vi har extremt höga standarder för provning och kvalitetskontroll för varje rad kod som vi publicerar,” företaget till. “Sträva efter bästa möjliga kod innebär också att vi uppskattar mycket att vara medveten om eventuella problem som vi inte plats så att vi kan fixa dem så fort som möjligt.”
Tidigare och relaterade täckning
Online-säkerhet 101: Hur att skydda din integritet från hackare, spioner, och regeringen
Ta bort dig själv från internet, dölja din identitet, och radera dina online-närvaro
Google Chromes inbyggda ad-blockerare för att rulla ut över hela världen den 9 juli
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter