En Adblock Plus-sårbarhed tillader, at tredjepartskode køres

nylig det blev opdaget, at den populære annonceblokering «Adblock Plus »har en sårbarhed, der tillader organisering af udførelse af JavaScript-kode på webstederne, i tilfælde af brug af uprøvede filtre udarbejdet af tredjeparter med ondsindet hensigt (for eksempel ved at forbinde tredjepartsregelsæt eller ved at udskifte regel under MITM-angrebet).

Liste forfattere med filtersæt kan organisere udførelsen af ​​deres kode i sammenhæng med websteder, der er tilgængelige for bruger tilføjer regler med operatøren »$ rewrite«, som gør det muligt at erstatte en del af URL'en.

Hvordan er denne kodeudførelse mulig?

Erklæring om $ rewrite tillader ikke at erstatte værten i url, men det giver mulighed for frit at manipulere argumenterne af anmodningen.

Dog kodeudførelse kan opnås. Nogle websteder, såsom Google Maps, Gmail og Google Billeder, de bruger teknikken til dynamisk at indlæse eksekverbare JavaScript-blokke, der transmitteres i form af almindelig tekst.

Hvis serveren tillader omdirigering af anmodninger, kan den videresendes til en anden vært ved at ændre URL-parameterne (for eksempel i forbindelse med Google kan en omdirigering foretages via API »google.com/search«) .

Ud over værter, der tillader omdirigering, kan du også begå et angreb mod tjenester, der tillader placering af brugerindhold (kodehosting, artikelplaceringsplatform osv.).

Metoden til Foreslået angreb påvirker kun sider, der dynamisk indlæser strenge med JavaScript-kode (for eksempel via XMLHttpRequest eller Fetch) og kør dem derefter.

En anden vigtig begrænsning er behovet for at bruge en omdirigering eller placere vilkårlige data på den side af originalserveren, der leverer ressourcen.

Imidlertid som en demonstration af relevansen af ​​et angreb, viser dig, hvordan du organiserer din kodeudførelse ved at åbne maps.google.com ved hjælp af en omdirigering via "google.com/search".

Faktisk mislykkes anmodninger om at bruge XMLHttpRequest eller Fetch for at downloade eksterne scripts til at køre, når indstillingen $ rewrite bruges.

Den åbne omdirigering er også lige så vigtig, fordi det giver XMLHttpRequest mulighed for at læse scriptet fra et eksternt sted, selvom det ser ud til at være fra samme kilde.

De arbejder allerede på at løse problemet

Løsningen er stadig under forberedelse. Problemet påvirker også AdBlock- og uBlock-blokkere. UBlock Origin Blocker er ikke modtagelig for problemet, da den ikke understøtter operatøren »$ rewrite».

På et tidspunkt nægtede uBlock Origin-forfatteren at tilføje $ omskrivningsstøtte med henvisning til mulige sikkerhedsproblemer og utilstrækkelige begrænsninger på værtsniveau (i stedet for omskrivning blev forespørgselstrip-indstillingen foreslået at rydde forespørgselsparametre i stedet for at erstatte dem).

Det er vores ansvar at beskytte vores brugere.

På trods af den meget lave faktiske risiko besluttede vi at fjerne optionen $ omskrivning. Derfor frigiver vi en opdateret version af Adblock Plus så hurtigt som teknisk muligt.

Vi gør dette som en forholdsregel. Der er ikke gjort noget forsøg på at misbruge omskrivningsindstillingen, og vi vil gøre vores bedste for at forhindre, at dette sker.

Dette betyder, at der ikke er nogen trussel mod nogen Adblock Plus-brugere.

DAdblock Plus-udviklere betragter faktiske angreb som usandsynlige, da alle ændringer i de almindelige regellister gennemgås, og forbindelsen af ​​tredjepartslister praktiseres af brugere meget sjældent.

Regelsubstitution ved MITM fjerner brugen af ​​HTTPS som standard at indlæse regelmæssige bloklister (for de resterende lister er det planlagt at forbyde HTTP-download i en fremtidig udgivelse).

For at blokere angreb på siderne, CSP-direktiver kan anvendes (Indholdssikkerhedspolitik), hvorigennem du eksplicit kan identificere de værter, hvorfra eksterne ressourcer kan indlæses.

kilde: https://adblockplus.org, https://armin.dev


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.