تسمح الثغرة الأمنية في Adblock Plus بتشغيل تعليمات برمجية تابعة لجهة خارجية

مؤخرا تم اكتشاف ذلك مانع الإعلانات الشهير «Adblock Plus »لديه ثغرة تسمح بتنظيم تنفيذ كود JavaScript على المواقع ، في حالة استخدام مرشحات غير مجربة معدة من قبل أطراف ثالثة بقصد ضار (على سبيل المثال ، من خلال ربط مجموعات قواعد الطرف الثالث أو عن طريق استبدال القواعد أثناء هجوم MITM).

قائمة المؤلفين مع مجموعات التصفية يمكنهم تنظيم تنفيذ التعليمات البرمجية الخاصة بهم في سياق المواقع التي يمكن الوصول إليها من خلال يضيف المستخدم القواعد مع عامل التشغيل »$ Rewrite« ، والذي يسمح باستبدال جزء من عنوان URL.

كيف يمكن تنفيذ هذا الرمز؟

إعلان لا يسمح $ Rewrite باستبدال المضيف في عنوان url ، لكنه يوفر الفرصة للتلاعب بحرية في الحجج من الطلب.

لكن يمكن تنفيذ التعليمات البرمجية. بعض المواقع ، مثل خرائط Google و Gmail وصور Google, يستخدمون تقنية التحميل الديناميكي لكتل ​​JavaScript القابلة للتنفيذ المنقولة في شكل نص عادي.

إذا كان الخادم يسمح بإعادة توجيه الطلبات ، فيمكن إعادة توجيهها إلى مضيف آخر عن طريق تغيير معلمات عنوان URL (على سبيل المثال ، في سياق Google ، يمكن إجراء إعادة التوجيه من خلال واجهة برمجة التطبيقات »google.com/search«) .

زائد المضيفين الذين يسمحون بإعادة التوجيه ، يمكنك أيضًا ارتكاب هجوم مقابل الخدمات التي تسمح بموقع محتوى المستخدم (استضافة الكود ، منصة وضع المقالات ، إلخ).

طريقة يؤثر الهجوم المقترح فقط على الصفحات التي تقوم بتحميل السلاسل ديناميكيًا برمز JavaScript (على سبيل المثال ، عبر XMLHttpRequest أو Fetch) ثم قم بتشغيلها.

يتمثل أحد القيود الرئيسية الأخرى في الحاجة إلى استخدام إعادة توجيه أو وضع بيانات عشوائية على جانب الخادم الأصلي الذي يوفر المورد.

ومع ذلك، كدليل على أهمية الهجوم، يوضح لك كيفية تنظيم تنفيذ التعليمات البرمجية من خلال فتح maps.google.com باستخدام إعادة التوجيه عبر "google.com/search".

في الواقع ، لن تفشل طلبات استخدام XMLHttpRequest أو Fetch لتنزيل البرامج النصية البعيدة للتشغيل عند استخدام خيار $ Rewrite.

كذلك ، فإن إعادة التوجيه المفتوحة لها نفس الأهمية لأنها تسمح لـ XMLHttpRequest بقراءة البرنامج النصي من موقع بعيد ، على الرغم من أنه يبدو من نفس المصدر.

إنهم يعملون بالفعل على حل المشكلة

الحل لا يزال في طور الإعداد. تؤثر المشكلة أيضًا على أدوات حظر AdBlock و uBlock. مانع أصل uBlock ليس عرضة للمشكلة لأنه لا يدعم عامل التشغيل »إعادة الكتابة بالدولار«.

في مرحلة ما ، رفض مؤلف uBlock Origin إضافة دعم إعادة كتابة بالدولار ، مشيرًا إلى مشكلات أمنية محتملة وقيود غير كافية على مستوى المضيف (بدلاً من إعادة الكتابة ، تم اقتراح خيار شريط الاستعلام لمسح معلمات الاستعلام بدلاً من استبدالها)

تقع على عاتقنا مسؤولية حماية مستخدمينا.

على الرغم من المخاطر الفعلية المنخفضة للغاية ، قررنا إزالة خيار إعادة الكتابة بالدولار. لذلك ، سنقوم بإصدار نسخة محدثة من Adblock Plus في أقرب وقت ممكن تقنيًا.

نحن نفعل هذا كإجراء احترازي. لم يتم إجراء أي محاولة لإساءة استخدام خيار إعادة الكتابة وسنبذل قصارى جهدنا لمنع حدوث ذلك.

هذا يعني أنه لا يوجد تهديد لأي مستخدم Adblock Plus.

يعتبر ديعتبر مطورو Adblock Plus الهجمات الفعلية غير مرجحة، نظرًا لأنه تتم مراجعة جميع التغييرات التي تطرأ على قوائم القواعد العادية ، ونادرًا ما يمارس المستخدمون اتصال قوائم الجهات الخارجية.

يؤدي استبدال القواعد عبر MITM إلى إزالة استخدام HTTPS افتراضيًا لتحميل قوائم الحظر العادية (بالنسبة للقوائم المتبقية ، من المخطط حظر تنزيل HTTP في إصدار مستقبلي).

لصد الهجمات على جانب المواقع ، يمكن تطبيق توجيهات CSP (سياسة أمان المحتوى) ، والتي من خلالها يمكنك تحديد المضيفين الذين يمكن تحميل الموارد الخارجية من خلالها.

مصدر: https://adblockplus.org, https://armin.dev


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.