nylig det ble oppdaget at den populære annonseblokkeringen «Adblock Plus »har et sårbarhet som gjør det mulig å organisere kjøringen av JavaScript-kode på nettstedene, i tilfelle bruk av uprøvde filtre utarbeidet av tredjeparter med ondsinnet hensikt (for eksempel ved å koble til tredjepartsregelsett eller ved å bytte ut regel under MITM-angrepet).
Liste forfattere med filtersett kan organisere utførelsen av koden sin i sammenheng med nettsteder som er tilgjengelige for bruker å legge til regler med operatøren »$ rewrite«, som gjør det mulig å erstatte en del av URL-en.
Hvordan er denne kjøringen mulig?
Erklæringen om $ rewrite tillater ikke å erstatte verten i url, men det gir muligheten til å fritt manipulere argumentene av forespørselen.
Men kodeutførelse kan oppnås. Noen nettsteder, for eksempel Google Maps, Gmail og Google Images, de bruker teknikken for dynamisk lasting av kjørbare JavaScript-blokker som overføres i form av ren tekst.
Hvis serveren tillater omdirigering av forespørsler, kan den videresendes til en annen vert ved å endre URL-parameterne (for eksempel i sammenheng med Google, kan en omdirigering gjøres via API »google.com/search«) .
Pluss verter som tillater omdirigering, kan du også begå et angrep mot tjenester som tillater plassering av brukerinnhold (kodehosting, plattform for plassering av artikler, etc.).
Metoden til Foreslått angrep påvirker bare sider som dynamisk laster inn strenger med JavaScript-kode (for eksempel via XMLHttpRequest eller Fetch) og kjør dem deretter.
En annen viktig begrensning er behovet for å bruke en viderekobling eller plassere vilkårlige data på siden av originalserveren som gir ressursen.
Imidlertid som en demonstrasjon av relevansen av et angrepviser deg hvordan du organiserer kodeutførelsen ved å åpne maps.google.com ved hjelp av en viderekobling via "google.com/search".
Forespørsler om å bruke XMLHttpRequest eller Fetch for å laste ned eksterne skript som skal kjøres, mislykkes faktisk ikke når $ rewrite-alternativet brukes.
Den åpne viderekoblingen er også like viktig fordi den lar XMLHttpRequest lese skriptet fra et eksternt nettsted, selv om det ser ut til å være fra samme kilde.
De jobber allerede med å løse problemet
Løsningen er fortsatt under utarbeidelse. Problemet påvirker også AdBlock- og uBlock-blokkere. UBlock Origin Blocker er ikke utsatt for problemet da den ikke støtter operatøren »$ rewrite».
På et tidspunkt nektet uBlock Origin-forfatteren å legge til $ omskrivningsstøtte, med henvisning til mulige sikkerhetsproblemer og utilstrekkelige begrensninger på vertsnivå (i stedet for omskriving ble spørringsstripalternativet foreslått å fjerne spørringsparametere i stedet for å erstatte dem).
Det er vårt ansvar å beskytte brukerne våre.
Til tross for den svært lave faktiske risikoen bestemte vi oss for å fjerne alternativet $ omskriving. Derfor vil vi gi ut en oppdatert versjon av Adblock Plus så snart det er teknisk mulig.
Vi gjør dette som en forholdsregel. Det er ikke gjort noe forsøk på å misbruke omskrivingsalternativet, og vi vil gjøre vårt beste for å forhindre at dette skjer.
Dette betyr at det ikke er noen trussel mot noen Adblock Plus-brukere.
DAdblock Plus-utviklere anser faktiske angrep som usannsynlige, siden alle endringer i de vanlige regellistene blir gjennomgått og tilkoblingen av tredjepartslister praktiseres av brukere svært sjelden.
Regelsubstitusjon via MITM fjerner bruken av HTTPS som standard for å laste vanlige blokkeringslister (for de gjenværende listene er det planlagt å forby HTTP-nedlasting i en fremtidig utgivelse).
For å blokkere angrep på siden med sider, CSP-direktiver kan brukes (Innholdssikkerhetspolicy), der du eksplisitt kan identifisere vertene som eksterne ressurser kan lastes fra.
Fuente: https://adblockplus.org, https://armin.dev