nemrég azt fedezték fel a népszerű hirdetésblokkoló «Az Adblock Plus »olyan biztonsági réssel rendelkezik, amely lehetővé teszi a JavaScript-kód futtatásának megszervezését a webhelyeken, harmadik felek által készített, nem tesztelt szűrők használata esetén rosszindulatú szándékkal (például harmadik fél szabálykészleteinek összekapcsolásával vagy szabálycserével a MITM támadás során).
Sorolja fel a szerzőket szűrőkészletekkel megszervezheti kódjainak végrehajtását a a felhasználó szabályokat ad hozzá a »$ rewrite« operátorhoz, amely lehetővé teszi az URL egy részének cseréjét.
Hogyan lehetséges ez a kódfuttatás?
Nyilatkozat A $ rewrite nem teszi lehetővé a gazdagép cseréjét az URL-ben, de lehetőséget nyújt az érvek szabad manipulálására a kérelem.
viszont kód végrehajtása érhető el. Egyes webhelyek, például a Google Maps, a Gmail és a Google Képek, az egyszerű szöveg formájában továbbított futtatható JavaScript blokkok dinamikus betöltésének technikáját alkalmazzák.
Ha a szerver lehetővé teszi a kérelmek átirányítását, akkor az URL paramétereinek megváltoztatásával tovább lehet továbbítani egy másik gazdagépre (például a Google kontextusában az átirányítás elvégezhető az »google.com/search« API-n keresztül). .
Plusz gazdagépek, amelyek lehetővé teszik az átirányítást, támadást is elkövethet olyan szolgáltatásokkal szemben, amelyek lehetővé teszik a felhasználói tartalom elhelyezését (kódtárhely, cikkelhelyezési platform stb.).
A módszer: A javasolt támadás csak azokat az oldalakat érinti, amelyek dinamikusan töltik be a karakterláncokat JavaScript-kóddal (például az XMLHttpRequest vagy a Fetch segítségével), majd futtassa őket.
Egy másik fő korlátozás az átirányítás igénye vagy tetszőleges adatok elhelyezése az erőforrást biztosító origószerver oldalán.
Azonban, a támadás relevanciájának demonstrálásaként, megmutatja, hogyan kell megszervezni a kódfuttatást a maps.google.com megnyitásával egy átirányítás segítségével a "google.com/search" címen.
Valójában az XMLHttpRequest vagy a Fetch használatára vonatkozó kérések a távoli parancsfájlok letöltéséhez nem fognak kudarcot vallani, amikor a $ rewrite opciót használják.
Ezenkívül a nyitott átirányítás ugyanolyan fontos, mert lehetővé teszi az XMLHttpRequest számára, hogy egy távoli helyről olvassa el a parancsfájlt, annak ellenére, hogy úgy tűnik, hogy ugyanabból a forrásból származik.
Már dolgoznak a probléma megoldásán
A megoldás még előkészítés alatt áll. A probléma az AdBlock és az uBlock blokkolókat is érinti. Az uBlock Origin Blocker nem érzékeny a problémára, mivel nem támogatja a »$ rewrite» operátort.
Az uBlock Origin szerzője egy ponton elutasította a $ rewrite támogatás hozzáadását, lehetséges biztonsági problémákra és elégtelen gazdagép-szintű korlátozásokra hivatkozva (az átírás helyett a querystrip opciót javasolták a lekérdezési paraméterek törlésére ahelyett, hogy kicserélnék őket).
Felelősségünk a felhasználók védelme.
A nagyon alacsony tényleges kockázat ellenére úgy döntöttünk, hogy eltávolítjuk a $ átírási opciót. Ezért a lehető leghamarabb kiadjuk az Adblock Plus frissített verzióját.
Ezt elővigyázatosságból tesszük. Nem tettek kísérletet az átírási lehetőség visszaélésére, és mindent megteszünk annak megakadályozása érdekében.
Ez azt jelenti, hogy nincs fenyegetés egyetlen Adblock Plus felhasználót sem.
A DAz Adblock Plus fejlesztői valószínűtlennek tartják a tényleges támadásokat, mivel a szokásos szabálylisták minden módosítását felülvizsgálják, és a harmadik felek listáinak összekapcsolását a felhasználók nagyon ritkán gyakorolják.
Az MITM-en keresztül történő szabályhelyettesítés alapértelmezés szerint megszünteti a HTTPS használatát a rendszeres blokklisták betöltésére (a fennmaradó listák esetében a HTTP letöltését egy jövőbeli kiadásban tervezik betiltani).
A webhelyek oldalán lévő támadások blokkolásához A CSP irányelvek alkalmazhatók (Tartalombiztonsági irányelv), amelyen keresztül pontosan meghatározhatja azokat a gazdagépeket, amelyekből a külső erőforrások betölthetők.
forrás: https://adblockplus.org, https://armin.dev