„Adblock Plus“ pažeidžiamumas leidžia paleisti trečiųjų šalių kodą

Neseniai buvo atrasta tai populiarus skelbimų blokatorius «„Adblock Plus“ »turi pažeidžiamumą, leidžiantį organizuoti„ JavaScript “kodo vykdymą svetainėse, jei naudojami neišbandyti filtrai, kuriuos paruošė trečiosios šalys turėdamas piktų ketinimų (pavyzdžiui, sujungiant trečiųjų šalių taisyklių rinkinius arba taisyklių pakeitimu MITM atakos metu).

Autorių sąrašas su filtrų rinkiniais gali organizuoti savo kodo vykdymą internetinių svetainių kontekste vartotojas prideda taisykles su operatoriumi »$ perrašyti«, kuris leidžia pakeisti dalį URL.

Kaip galima atlikti šį kodą?

Deklaracija $ perrašyti neleidžia pakeisti pagrindinio kompiuterio URL, bet tai suteikia galimybę laisvai manipuliuoti argumentais prašymo.

Tačiau galima pasiekti kodą. Kai kurios svetainės, tokios kaip „Google Maps“, „Gmail“ ir „Google Images“, jie naudoja dinamiškai įkraunamų „JavaScript“ blokų, perduodamų paprasto teksto pavidalu, techniką.

Jei serveris leidžia peradresuoti užklausas, jis gali būti persiųstas kitam pagrindiniam kompiuteriui pakeičiant URL parametrus (pavyzdžiui, „Google“ kontekste peradresuoti galima per API »google.com/search«) .

además de pagrindinius kompiuterius, kurie leidžia peradresuoti, taip pat galite atlikti ataką prieš paslaugas, leidžiančias nustatyti vartotojo turinį (kodo talpinimas, straipsnių talpinimo platforma ir kt.).

Metodas Siūloma ataka veikia tik tuos puslapius, kurie dinamiškai įkelia eilutes su „JavaScript“ kodu (pvz., per XMLHttpRequest arba Fetch) ir tada paleiskite juos.

Kitas didelis apribojimas yra būtinybė naudoti peradresavimą arba dėti savavališkus duomenis toje kilmės serverio pusėje, kuri teikia išteklius.

Tačiau kaip išpuolio aktualumo demonstravimasparodo, kaip organizuoti kodo vykdymą atidarant maps.google.com naudojant peradresavimą per „google.com/search“.

Tiesą sakant, prašymai naudoti XMLHttpRequest arba Fetch atsisiųsti nuotolinius scenarijus nepavyks, kai bus naudojama $ perrašymo parinktis.

Be to, atviras peradresavimas yra toks pat svarbus, nes jis leidžia XMLHttpRequest nuskaityti scenarijų iš nuotolinės svetainės, nors atrodo, kad jis yra iš to paties šaltinio.

Jie jau dirba spręsdami problemą

Tirpalas vis dar ruošiamas. Ši problema taip pat turi įtakos „AdBlock“ ir „uBlock“ blokatoriams. „UBlock Origin Blocker“ nėra jautri problemai, nes nepalaiko operatoriaus »$ perrašyti».

Vienu metu „uBlock Origin“ autorius atsisakė pridėti $ perrašymo palaikymą, nurodydamas galimas saugumo problemas ir nepakankamus pagrindinio kompiuterio lygio apribojimus (vietoj perrašymo buvo pasiūlyta parinktis „querystrip“, kad būtų galima išvalyti užklausos parametrus, o ne juos pakeisti).

Mūsų pareiga yra apsaugoti savo vartotojus.

Nepaisant labai mažos faktinės rizikos, nusprendėme pašalinti $ perrašymo parinktį. Todėl kuo greičiau išleisime atnaujintą „Adblock Plus“ versiją.

Tai darome kaip atsargumo priemonę. Nebandyta piktnaudžiauti perrašymo galimybe ir mes padarysime viską, kad taip neatsitiktų.

Tai reiškia, kad nėra jokios grėsmės jokiam „Adblock Plus“ vartotojui.

D„Adblock Plus“ kūrėjai mano, kad tikros atakos yra mažai tikėtinos, nes visi įprastų taisyklių sąrašų pakeitimai yra peržiūrimi, o trečiųjų šalių sąrašų sujungimą vartotojai praktikuoja labai retai.

Taisyklių pakeitimas naudojant MITM pašalina HTTPS naudojimą pagal numatytuosius nustatymus įkelti įprastus blokų sąrašus (likusiems sąrašams planuojama uždrausti HTTP atsisiuntimą būsimame leidime).

Norėdami užblokuoti išpuolius svetainių pusėje, Gali būti taikomos CSP direktyvos (Turinio saugumo politika), per kurią galite aiškiai identifikuoti pagrindinius kompiuterius, iš kurių galima įkelti išorinius išteklius.

Fuente: https://adblockplus.org, https://armin.dev


Būkite pirmas, kuris pakomentuos

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.