Недавно было обнаружено, что популярный блокировщик рекламы «Adblock Plus »имеет уязвимость, позволяющую организовать выполнение кода JavaScript. на сайтах, в случае использования непроверенных фильтров, подготовленных третьими лицами со злым умыслом (например, подключив сторонние наборы правил или заменив правила во время атаки MITM).
Список авторов с наборами фильтров могут организовать выполнение своего кода в контексте сайтов, доступных для Пользователь добавляет правила с помощью оператора »$ rewrite«, который позволяет заменить часть URL.
Как возможно выполнение этого кода?
Декларация $ rewrite не позволяет заменить хост в URL, но дает возможность свободно манипулировать аргументами запроса.
Однако выполнение кода может быть достигнуто. Некоторые сайты, такие как Google Maps, Gmail и Google Images, они используют технику динамической загрузки исполняемых блоков JavaScript, передаваемых в виде простого текста.
Если сервер разрешает перенаправление запросов, то их можно перенаправить на другой хост, изменив параметры URL-адреса (например, в контексте Google перенаправление может быть выполнено через API »google.com/search«) .
Плюс хосты, которые разрешают перенаправление, вы также можете совершить атаку против сервисов, которые позволяют размещать пользовательский контент (хостинг кода, платформа для размещения статей и т. д.).
Метод Предлагаемая атака затрагивает только страницы, которые динамически загружают строки с кодом JavaScript. (например, через XMLHttpRequest или Fetch), а затем запустить их.
Еще одним серьезным ограничением является необходимость использования перенаправления или размещения произвольных данных на стороне исходного сервера, который предоставляет ресурс.
Тем не менее, как демонстрация актуальности атаки, в нем показано, как организовать выполнение кода, открыв maps.google.com с помощью перенаправления через google.com/search.
Фактически, запросы на использование XMLHttpRequest или Fetch для загрузки удаленных сценариев для выполнения не будут завершаться ошибкой при использовании параметра $ rewrite.
Кроме того, открытое перенаправление не менее важно, потому что оно позволяет XMLHttpRequest читать сценарий с удаленного сайта, даже если он выглядит из того же источника.
Они уже работают над решением проблемы
Решение все еще находится в стадии подготовки. Проблема также затрагивает блокировщики AdBlock и uBlock. UBlock Origin Blocker не подвержен этой проблеме, так как он не поддерживает оператор »$ rewrite».
В какой-то момент автор uBlock Origin отказался добавить поддержку $ rewrite, сославшись на возможные проблемы с безопасностью и недостаточные ограничения на уровне хоста (вместо перезаписи была предложена опция querystrip для очистки параметров запроса вместо их замены).
Мы несем ответственность за защиту наших пользователей.
Несмотря на очень низкий реальный риск, мы решили убрать опцию $ rewrite. Поэтому мы выпустим обновленную версию Adblock Plus в кратчайшие сроки.
Мы делаем это в качестве меры предосторожности. Не было предпринято никаких попыток злоупотребить опцией перезаписи, и мы сделаем все возможное, чтобы этого не произошло.
Это означает, что никакой угрозы для пользователей Adblock Plus нет.
DРазработчики Adblock Plus считают реальные атаки маловероятными, поскольку все изменения в штатных списках правил пересматриваются и подключение сторонних списков практикуется пользователями очень редко.
Замена правил через MITM по умолчанию исключает использование HTTPS. для загрузки обычных списков блокировки (для остальных списков в будущем выпуске планируется запретить загрузку по протоколу HTTP).
Чтобы заблокировать атаки на стороне сайтов, Могут применяться директивы CSP (Политика безопасности контента), с помощью которой вы можете явно определить хосты, с которых могут быть загружены внешние ресурсы.
источник: https://adblockplus.org, https://armin.dev