Adblock Plus vince la battaglia legale contro il tedesco di media potenza
Adblock Plus non è in violazione della legge antitrust o interferire con la libertà di stampa, la corte suprema tedesca ha regole.
Un exploit è stato scoperto nel sistema di filtro di Adblock, Adblock Plus, e uBlock che possono permettere gli attaccanti a distanza di iniettare codice arbitrario in pagine web.
Il ricercatore di sicurezza Armin Sebastian ha detto in un post sul blog lunedì che il problema si trova all’interno della versione 3.2 di Adblock Plus software che ha introdotto una nuova opzione di filtro per riscrivere le richieste di nel 2018.
Questa caratteristica, adottato anche da AdBlock e uBlock, è vulnerabile a una falla di sicurezza è considerato “banale” per sfruttare da Sebastian, e il problema potrebbe potenzialmente essere utilizzati in attacchi tra cui il furto di online credenziali di sessione, la manomissione o la pagina di reindirizzamento.
Secondo il ricercatore, come l’impatto estensioni account per oltre 100 milioni di utenti mensili attivi, la falla di sicurezza può avere un enorme impatto, se sfruttata da un malintenzionato filtro autore.
“La caratteristica è banale da sfruttare per attaccare qualsiasi sufficientemente complessa servizio web, tra cui i servizi di Google, mentre gli attacchi sono difficili da individuare e sono schierabili in tutti i principali browser,” Sebastian dice.
Gli elenchi di filtri sono componenti di base di software di blocco degli annunci in quanto forniscono un repository di Url che sono considerati sospetti, dannoso, o legati alla pubblicità. Quando un ad blocker è installato su un browser, gli utenti durante la navigazione sul web, il software accede a questi elenchi e impedisce a tali contenuti da caricare.
Il problema sta nel $riscrittura opzione di filtro, una funzionalità introdotta lo scorso anno. $riscrivere è utilizzato da alcuni annunci bloccanti per bloccare i tentativi di elusione, rimuovere i dati di tracciamento, e per evitare che i siti web costringendo gli annunci su chi utilizza il software di blocco.
Riscrive, tuttavia, può avvenire solo all’interno dello stesso dominio come una richiesta originale, e SCRIPT, SECONDARIO, OGGETTO, e OBJECT_SUBREQUEST tipi di richiesta, non sono accettati.
Vedi anche: Grave vulnerabilità scoperta nel popolare gestori di password
In determinate condizioni, sembra che arbitraria di codice può essere iniettato quando domini carico JS stringhe utilizzando XMLHttpRequest o quando si utilizza Fetch per scaricare frammenti di codice per l’esecuzione. I siti web devono avere anche un lato server di reindirizzamento aperto o deve ospitare arbitrario contenuti dell’utente per sfruttare al lavoro.
Inoltre, la pagina non deve limitare origini utilizzo di Contenuti la Politica di Sicurezza direttive e finale Url richiesta non può essere convalidato prima scaricato il codice viene eseguito.
“Le estensioni di aggiornare periodicamente i filtri a intervalli determinati da filtro operatori di lista”, il ricercatore aggiunto. “Gli attacchi sono difficili da individuare perché l’operatore può impostare un breve tempo di scadenza per la dannosi elenco di filtri, che viene poi sostituito con una benigna. Le organizzazioni e gli individui possono essere mirati basati su indirizzi IP da cui gli aggiornamenti vengono richiesti.”
Come un esempio di come la falla di sicurezza potrebbero essere attivato, Sebastian utilizzato Google Maps. Il servizio ha soddisfatto le condizioni di cui sopra, il ricercatore è stato in grado di scrivere codice di exploit che vorresti caricare il contenuto “majestic-ramsons.herokuapp .com”, in questo caso, che richiede un pop-up di avviso.
Il problema è stato segnalato, ma Google dice che il reindirizzamento aperto utilizzato da Google Maps è il “comportamento” e il potenziale problema di sicurezza si trova solo entro il suddetto estensioni del browser.
Sebastian dice che l’eliminazione di server-side open redirect o il whitelisting di origini conosciute in influenzata servizi web utilizzando la connessione-src CSP intestazione può attenuare il problema. È stato anche suggerito che ad-block utenti di prendere in considerazione il passaggio a uBlock Origine, che non supporta il $riscrittura opzione di filtro e, pertanto, non è vulnerabile a questo tipo di attacco.
TechRepublic: 5 miglior password manager per Android
“Il blocco di annunci estensioni consiglia di interrompere il supporto per i $riscrittura opzione di filtro”, il ricercatore ha detto. “È sempre possibile abuso della funzione per un certo grado, anche se sono solo le immagini o i fogli di stile possono essere reindirizzato.”
In un comunicato pubblicato dopo che il ricercatore risultati andato in diretta, Adblock Plus, ha detto che il venditore è “prendere molto sul serio e stanno attualmente esaminando il rischio effettivo per i nostri utenti per determinare la migliore contromisura.”
Adblock Plus aggiunto che l’attuazione della riscrittura opzione, nonostante le Norme sulla sicurezza dei contenuti, può permettere che alcuni siti web di eseguire contenuti di terze-parti-ma questo tipo di evento è considerato “molto improbabile”, dato il costante esame di elenchi di filtri e autore di scrutinio.
CNET: Come installare l’Anello di Video Campanello 2
La società non ritiene che il problema è stato sfruttato in natura, ma è lavorando per risolvere il problema.
“Noi abbiamo molto elevati standard per il collaudo e controllo qualità su ogni riga di codice che pubblichiamo,” l’azienda ha aggiunto. “Che cercano il meglio possibile anche il codice significa che abbiamo molto apprezzato la presa d’atto di tutte le potenziali vulnerabilità che non abbiamo posto in modo che possiamo risolvere il più velocemente possibile.”
Precedente e relativa copertura
Online sicurezza 101: Come proteggere la tua privacy da parte di hacker, spie, e il governo
Rimuovere se stessi da internet, nascondere la propria identità, e cancellare la tua presenza online
Google Chrome built-in ad blocker per il roll-out in tutto il mondo il 9 luglio
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati