onlangs dat werd ontdekt de populaire advertentieblokkering «Adblock Plus »heeft een kwetsbaarheid waardoor de uitvoering van JavaScript-code kan worden georganiseerd op de sites, in het geval van het gebruik van niet-geteste filters die door derden zijn voorbereid met kwaadaardige bedoelingen (bijvoorbeeld door regelsets van derden te verbinden of door regelsubstitutie tijdens de MITM-aanval).
Lijst auteurs met filtersets kan de uitvoering van hun code organiseren in de context van sites die toegankelijk zijn voor de gebruiker voegt regels toe met de operator »$ rewrite«, waarmee een deel van de URL kan worden vervangen.
Hoe is deze code-uitvoering mogelijk?
Verklaring van $ rewrite staat niet toe om de host te vervangen in de url, maar het biedt de mogelijkheid om de argumenten vrijelijk te manipuleren van het verzoek.
Echter uitvoering van code kan worden bereikt. Sommige sites, zoals Google Maps, Gmail en Google Afbeeldingen, ze gebruiken de techniek van het dynamisch laden van uitvoerbare JavaScript-blokken die worden verzonden in de vorm van platte tekst.
Als de server de omleiding van verzoeken toestaat, kan deze worden doorgestuurd naar een andere host door de parameters van de URL te wijzigen (in de context van Google kan bijvoorbeeld een omleiding worden gedaan via de API »google.com/search«) .
Plus hosts die omleiding toestaan, kunt u ook een aanval plegen tegen diensten die de locatie van gebruikersinhoud mogelijk maken (codehosting, platform voor artikelplaatsing, enz.).
De methode van De voorgestelde aanval is alleen van invloed op pagina's die dynamisch strings laden met JavaScript-code (bijvoorbeeld via XMLHttpRequest of Fetch) en voer ze vervolgens uit.
Een andere belangrijke beperking is de noodzaak om een omleiding te gebruiken of willekeurige gegevens aan de kant van de oorspronkelijke server te plaatsen die de bron levert.
Echter als demonstratie van de relevantie van een aanval, het laat zien hoe u de uitvoering van uw code organiseert door maps.google.com te openen met een omleiding via "google.com/search".
Verzoeken om XMLHttpRequest of Fetch te gebruiken om externe scripts te downloaden om uit te voeren, zullen in feite niet mislukken wanneer de optie $ rewrite wordt gebruikt.
Ook is de open omleiding net zo belangrijk omdat het XMLHttpRequest het script van een externe site laat lezen, ook al lijkt het uit dezelfde bron te komen.
Ze zijn al bezig het probleem op te lossen
De oplossing is nog in voorbereiding. Het probleem is ook van invloed op AdBlock- en uBlock-blokkers. De uBlock Origin Blocker is niet gevoelig voor het probleem aangezien het de »$ rewrite» -operator niet ondersteunt.
Op een gegeven moment weigerde de auteur van uBlock Origin om $ rewrite-ondersteuning toe te voegen, daarbij verwijzend naar mogelijke beveiligingsproblemen en onvoldoende beperkingen op hostniveau (in plaats van herschrijven werd de querystrip-optie voorgesteld om queryparameters te wissen in plaats van ze te vervangen).
Het is onze verantwoordelijkheid om onze gebruikers te beschermen.
Ondanks het zeer lage feitelijke risico, hebben we besloten om de $ rewrite-optie te verwijderen. Daarom zullen we zo snel als technisch mogelijk een bijgewerkte versie van Adblock Plus uitbrengen.
Dit doen we uit voorzorg. Er is geen poging gedaan om misbruik te maken van de herschrijfoptie en we zullen ons best doen om dit te voorkomen.
Dit betekent dat er geen bedreiging is voor Adblock Plus-gebruikers.
De dAdblock Plus-ontwikkelaars beschouwen daadwerkelijke aanvallen als onwaarschijnlijk, aangezien alle wijzigingen aan de reguliere regellijsten worden herzien en het koppelen van lijsten van derde partijen zeer zelden door gebruikers wordt geoefend.
Regelvervanging via MITM verwijdert standaard het gebruik van HTTPS om reguliere blokkeringslijsten te laden (voor de overige lijsten is het de bedoeling om HTTP-download in een toekomstige release te verbieden).
Om aanvallen aan de kant van de site te blokkeren, CSP-richtlijnen kunnen worden toegepast (Content Security Policy), waarmee u expliciet de hosts kunt identificeren van waaruit externe bronnen kunnen worden geladen.
bron: https://adblockplus.org, https://armin.dev