äskettäin se havaittiin suosittu mainosten esto «Adblock Plus »sisältää haavoittuvuuden, joka sallii JavaScript-koodin suorittamisen sivustoissa, jos käytetään kolmansien osapuolten valmistamia testaamattomia suodattimia pahalla tahallaan (esimerkiksi yhdistämällä kolmansien osapuolten sääntöjoukot tai korvaamalla säännöt MITM-hyökkäyksen aikana).
Luettelo tekijöistä suodatinjoukoilla - voi organisoida koodinsa suorittamisen Internetin käytettävissä olevien sivustojen yhteydessä käyttäjä lisää sääntöjä operaattorilla »$ rewrite«, jonka avulla osa URL-osoitteesta voidaan korvata.
Kuinka tämä koodin suorittaminen on mahdollista?
Julistus $ rewrite ei salli isäntän korvaamista URL-osoitteessa, mutta se tarjoaa mahdollisuuden manipuloida argumentteja vapaasti pyynnöstä.
Kuitenkin koodin suoritus voidaan saavuttaa. Jotkut sivustot, kuten Google Maps, Gmail ja Google Images, he käyttävät tekniikkaa ladata dynaamisesti suoritettavia JavaScript-lohkoja, jotka lähetetään pelkkänä tekstinä.
Jos palvelin sallii pyyntöjen uudelleenohjauksen, se voidaan välittää toiselle isännälle muuttamalla URL-osoitteen parametreja (esimerkiksi Googlen yhteydessä uudelleenohjaus voidaan tehdä API: n kautta »google.com/search«) .
Además de isännät, jotka sallivat uudelleenohjauksen, voit myös tehdä hyökkäyksen palveluja vastaan, jotka sallivat käyttäjän sisällön sijainnin (koodin isännöinti, artikkelien sijoitusalusta jne.).
Menetelmä Ehdotettu hyökkäys vaikuttaa vain sivuihin, jotka lataavat merkkijonoja dynaamisesti JavaScript-koodilla (esimerkiksi XMLHttpRequest tai Fetch kautta) ja suorita ne sitten.
Toinen merkittävä rajoitus on tarve käyttää uudelleenohjausta tai sijoittaa mielivaltaisia tietoja resurssin tarjoavan lähtöpalvelimen puolelle.
Kuitenkin, osoitus hyökkäyksen merkityksestä, se näyttää, kuinka voit organisoida koodin suorittamisen avaamalla maps.google.com käyttämällä uudelleenohjausta osoitteessa google.com/search.
Itse asiassa pyynnöt käyttää XMLHttpRequest- tai Fetch-ohjelmaa etäkomentosarjojen lataamiseksi epäonnistuvat, kun $ rewrite -vaihtoehtoa käytetään.
Myös avoin uudelleenohjaus on yhtä tärkeä, koska se antaa XMLHttpRequestille mahdollisuuden lukea komentosarja etäsivustolta, vaikka se näyttää olevan samasta lähteestä.
He työskentelevät jo ongelman ratkaisemiseksi
Ratkaisu on edelleen valmisteilla. Ongelma vaikuttaa myös AdBlock- ja uBlock-estäjiin. UBlock Origin Blocker ei ole altis ongelmalle, koska se ei tue »$ rewrite» -operaattoria.
Yhdessä vaiheessa uBlock Origin -kirjailija kieltäytyi lisäämästä $ rewrite -tukea vedoten mahdollisiin tietoturvaongelmiin ja riittämättömiin isäntätason rajoituksiin (uudelleenkirjoittamisen sijaan ehdotettiin kyselylista-vaihtoehtoa kyselyparametrien tyhjentämiseksi niiden korvaamisen sijaan).
Meidän vastuumme on suojella käyttäjiämme.
Hyvin matalasta todellisesta riskistä huolimatta päätimme poistaa $ rewrite -vaihtoehdon. Siksi julkaisemme päivitetyn version Adblock Plus -sovelluksesta niin pian kuin se on teknisesti mahdollista.
Teemme tämän varotoimenpiteenä. Kirjoitusvaihtoehtoa ei ole yritetty käyttää väärin, ja teemme parhaamme estääkseen tämän tapahtumisen.
Tämä tarkoittaa, että Adblock Plus -käyttäjille ei ole uhkaa.
DAdblock Plus -kehittäjät pitävät todellisia hyökkäyksiä epätodennäköisinä, koska kaikki muutokset tavallisiin sääntöluetteloihin tarkistetaan ja käyttäjät harjoittavat kolmansien osapuolten luetteloiden yhdistämistä hyvin harvoin.
Sääntöjen korvaaminen MITM: n kautta poistaa HTTPS: n käytön oletuksena ladata tavalliset lohkoluettelot (muille luetteloille on tarkoitus kieltää HTTP-lataus tulevassa julkaisussa).
Estääksesi hyökkäykset sivustopuolella, CSP-direktiivejä voidaan soveltaa (Sisällön suojauskäytäntö), jonka avulla voit nimenomaisesti tunnistaa isännät, joista ulkoisia resursseja voidaan ladata.
lähde: https://adblockplus.org, https://armin.dev