Adblock Plus vinder juridiske kamp mod tyske medier kraftcenter
Adblock Plus er ikke i strid med antitrust lov, eller at blande sig med pressefrihed, tyske højesteret regler.
En exploit er blevet afsløret i filter systemer af Adblock, Adblock Plus, og uBlock, som kan tillade, at fjernangribere at indsprøjte vilkårlig kode via fjernadgang til websider.
Sikkerhedsekspert Armin Sebastian sagde i et blogindlæg på mandag, at problemet ligger i version 3.2 af Adblock Plus software, som er indført et nyt filter, mulighed for omskrivning af anmodninger i 2018.
Denne funktion, der også blev vedtaget af AdBlock og uBlock, er sårbar over for et sikkerhedshul, der anses for “trivielle” til udnyttelse af Sebastian, og spørgsmålet kunne potentielt udnyttes i angreb, herunder tyveri af online-legitimationsoplysninger, session manipulation, eller side omdirigering.
Ifølge forsker, som er påvirket udvidelser tegner sig for over 100 millioner månedlige aktive brugere, og sikkerhedshul kan have en massiv effekt, hvis udnyttes i naturen af en ondsindet filter forfatter.
“Funktionen er trivielt at udnytte med henblik på at angribe nogen tilstrækkelig komplekse web-service, herunder Google-tjenester, mens angreb er vanskelige at opdage, og kan indsættes i alle større browsere,” siger Sebastian.
Filterlister er centrale komponenter af software til annonceblokering, da de giver et lager af url ‘ er, som anses for at være mistænkelige, ondsindet, eller relateret til reklamer. Når en annonce blocker installeret i en browser, mens brugerne surfer på internettet, software får adgang til disse lister og forhindrer et sådant indhold fra læsning.
Problemet ligger i $omskrive filter-funktionen, en funktion, der blev indført sidste år. $omskrivning er, der benyttes af nogle ad-blokkere, for at blokere forsøg på omgåelse, skal du fjerne tracking data, og for at forhindre, at websteder tvinger annoncer på besøgende, der bruger software, der blokerer.
Omskrivninger, kan dog kun finde sted inden for det samme domæne som den oprindelige anmodning, og SCRIPT, SUBDOCUMENT, OBJEKT, og OBJECT_SUBREQUEST typer anmodninger accepteres ikke.
Se også: Alvorlige sårbarheder afdækket i populære adgangskode ledere
Under visse betingelser, fremgår det, at vilkårlig kode kan sprøjtes, når domæner belastning JS strenge ved hjælp af XMLHttpRequest, eller når de bruger Hent for at hente kodestumper til udførelse. Hjemmesider skal også have en server-side åbne omdirigeringen eller at du skal være vært for vilkårlig bruger-indhold for at udnytte til at arbejde.
Hertil kommer, at den side, må ikke begrænse oprindelse ved hjælp af Content Security Policy-direktiver og sidste anmodning Webadresser, der ikke kan valideres, inden de hentede eksekveres.
“Extensions med jævne mellemrum opdatere filtre i intervaller bestemt af filterliste operatører,” forsker tilføjet. “Angreb er vanskelige at opdage, fordi operatøren kan indstille en kort udløbstid for den skadelige filter liste, som derefter erstattes med en godartet. Organisationer og personer kan blive målrettet baseret på IP-adresser, hvorfra de opdateringer, der er anmodet om.”
Som et eksempel på, hvordan sikkerhedshul kan være udløst, Sebastian brugt Google Maps. Som tjenesten opfyldt betingelserne ovenfor, forskeren var i stand til at skrive exploit kode, som vil indlæse indholdet fra “majestic-ramsons.herokuapp .kom” — i dette tilfælde, at spørge en pop-up alarm.
Spørgsmålet blev rapporteret, men Google siger det åbne redirect bruges af Google Maps er “bestemt adfærd” og den potentielle sikkerhedsproblem, der kun ligger inden for de nævnte udvidelser til webbrowseren.
Sebastian siger, at afskaffelse af server-side åbne omdirigeringer eller whitelisting af kendt oprindelse i påvirket web-tjenester, hjælp connect-src CSP header kan afhjælpe problemet. Det har også været foreslået, at ad-blokering af brugere overveje at skifte til uBlock Oprindelse, der ikke understøtter $omskrive filter, og er derfor ikke sårbare over for denne form for angreb.
TechRepublic: 5 bedste password ledere til Android
“Ad blocking udvidelser bør overveje at droppe støtte til $omskrive filter,” forskeren sagde. “Det er altid muligt at misbruge den funktion, der til en vis grad, selv hvis det kun er billeder eller style sheets er tilladt at blive omdirigeret.”
I en erklæring, der er offentliggjort efter forskerens resultater gik live, Adblock Plus sagde, at sælgeren er “tager dette meget alvorligt og er i øjeblikket ved at undersøge den faktiske risiko for vores brugere at finde den bedste modtræk.”
Adblock Plus tilføjede, at gennemførelsen af omskrive mulighed, på trods af indholdet af sikkerhedspolitikker, kan tillade, at nogle hjemmesider for at udføre indhold fra tredjeparter, — men denne form for begivenhed anses for “meget usandsynligt” i betragtning af virksomhedens konstante undersøgelse af filter lister og forfatter kontrol.
CNET: Hvordan til at installere Ring Video Dørklokken 2
Selskabet mener ikke, at problemet er blevet udnyttet i den vilde, men arbejder på at løse problemet.
“Vi har ekstremt høje standarder for test og kvalitetskontrol for hver linje kode, som vi offentliggør,” tilføjede virksomheden. “At stræbe efter den bedst mulige kode betyder også, at vi sætter stor pris på at blive gjort opmærksom på eventuelle sårbarheder, at vi ikke stedet, så vi kan rette dem så hurtigt som muligt.”
Tidligere og relaterede dækning
Online sikkerhed 101: Sådan beskytter du dine personlige oplysninger mod hackere, spioner, og regeringen
Fjern dig selv fra internettet, kan du skjule din identitet, og slette din online tilstedeværelse
Google Chromes indbyggede ad-blocker til at rulle ud i hele verden på juli 9
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre