fa poc es va descobrir que el popular bloquejador d'anuncis «Adblock Plus »té una vulnerabilitat que permet organitzar l'execució de codi Javascript en els llocs, en el cas d'utilitzar filtres no provats preparats per tercers amb intencions malicioses (Per exemple, a l'connectar conjunts de regles de tercers o mitjançant la substitució de regles durant l'atac MITM).
Els autors de llistes amb conjunts de filtres poden organitzar l'execució del seu codi en el context dels llocs accessibles a l' usuari afegint regles amb l'operador »$ rewrite«, que permet reemplaçar part de la URL.
Com és possible aquesta execució de codi?
La declaració de $ Rewrite no permet reemplaçar el sistema principal a la URL, però brinda l'oportunitat de manipular lliurement els arguments de la sol·licitud.
No obstant això l'execució de el codi es pot aconseguir. Alguns llocs, com Google Maps, Gmail i Google Images, utilitzen la tècnica de carregar dinàmicament els blocs de JavaScript executables transmesos en forma de text simple.
Si el servidor permet la redirecció de les sol·licituds, llavors es pot reenviar a un altre host canviant els paràmetres de la URL (per exemple, en el context de Google, es pot fer una redirecció a través de l'API »google.com/search« ).
A més els hosts que permeten la redirecció, també es pot cometre un atac contra els serveis que permeten la ubicació de l'contingut de l'usuari (allotjament de codi, plataforma de col·locació d'articles, etc.).
El mètode de atac proposat només afecta les pàgines que carreguen de forma dinàmica cadenes amb codi JavaScript (Per exemple, a través de XMLHttpRequest o Fetch) i després les executa.
Una altra limitació important és la necessitat d'usar una redirecció o col·locar dades arbitràries al costat de servidor d'origen que proporciona el recurs.
No obstant això, com a demostració de la rellevància d'un atac, Es mostra com organitzar l'execució del seu codi a l'obrir maps.google.com utilitzant un redireccionament a través d ' «google.com/search».
De fet, les sol·licituds d'ús de XMLHttpRequest o Fetch per descarregar scripts remots per a executar no fallaran quan s'usi l'opció $ rewrite.
A més, la redirecció oberta és igual d'important perquè permet que XMLHttpRequest llegeixi l'script des d'un lloc remot, encara que sembli que sigui d'el mateix origen.
Ja estan treballant en solucionar el problema
La solució encara està en preparació. El problema també afecta els bloquejadors de AdBlock i uBlock. El uBlock Origin Blocker no és susceptible a el problema ja que no és compatible amb l'operador de »$ rewrite».
En un moment donat, l'autor de uBlock Origin es va negar a afegir el suport de $ rewrite, citant possibles problemes de seguretat i restriccions de nivell d'amfitrió insuficients (en lloc de reescriure, es va proposar l'opció querystrip per esborrar els paràmetres de consulta a lloc de reemplaçar-los).
És la nostra responsabilitat protegir els nostres usuaris.
Tot i el risc real molt baix, vam decidir eliminar l'opció de $ rewrite. Per tant, publicarem una versió actualitzada de Adblock Plus tan aviat com sigui tècnicament possible.
Fem això com una precaució. No s'ha intentat fer un mal ús de l'opció de reescriptura i farem tot el possible per evitar que això passi.
Això vol dir que no hi ha una amenaça per a cap usuari de Adblock Plus.
els desarrolladores de Adblock Plus consideren poc probable que es realitzin atacs reals, Ja que tots els canvis en les llistes regulars de regles es revisen i la connexió de llistes de tercers és practicada pels usuaris molt rarament.
La substitució de regles a través d'MITM elimina l'ús d'HTTPS per defecte per carregar llistes de bloqueig regulars (per a les llistes restants es planeja prohibir la descàrrega d'HTTP en una versió futura).
Per bloquejar atacs a la banda dels llocs, es poden aplicar directives CSP (Política de seguretat de contingut), a través de les quals pot identificar explícitament els hosts des dels quals es poden carregar recursos externs.
font: https://adblockplus.org, https://armin.dev