Zraniteľnosť Adblock Plus umožňuje spustenie kódu tretej strany

Nedávno bolo zistené, že populárny blokovač reklám «Adblock Plus »má chybu zabezpečenia, ktorá umožňuje organizovať vykonávanie kódu JavaScript na stránkach, v prípade použitia nevyskúšaných filtrov pripravených tretími stranami so zlým úmyslom (napríklad pripojením skupín pravidiel tretích strán alebo ich nahradením počas útoku MITM).

Zoznam autorov so sadami filtrov môže organizovať vykonávanie svojich kódov v kontexte stránok prístupných pre internet užívateľ pridáva pravidlá pomocou operátora »$ rewrite«, ktorý umožňuje nahradiť časť URL.

Ako je možné spustenie tohto kódu?

Vyhlásenie z $ rewrite neumožňuje nahradiť hostiteľa v adrese URL, poskytuje však možnosť slobodne manipulovať s argumentmi žiadosti.

Avšak je možné dosiahnuť vykonávanie kódu. Niektoré weby, napríklad Mapy Google, Gmail a Obrázky Google, používajú techniku ​​dynamického načítania spustiteľných blokov JavaScriptu prenášaných vo forme obyčajného textu.

Pokiaľ server umožňuje presmerovanie požiadaviek, je možné ho presmerovať na iného hostiteľa zmenou parametrov adresy URL (napríklad v kontexte Google je možné presmerovanie vykonať cez API »google.com/search«) .

Plus hostitelia, ktorí umožňujú presmerovanie, môžete tiež spáchať útok proti službám, ktoré umožňujú lokalizáciu užívateľského obsahu (hosťovanie kódu, platforma pre umiestňovanie článkov atď.).

Metóda Navrhovaný útok ovplyvní iba stránky, ktoré dynamicky načítajú reťazce s kódom JavaScript (napríklad cez XMLHttpRequest alebo Fetch) a potom ich spustite.

Ďalším veľkým obmedzením je potreba použitia presmerovania alebo umiestnenia ľubovoľných údajov na stranu pôvodného servera, ktorý poskytuje zdroj.

Avšak, ako ukážka závažnosti útoku, vám ukáže, ako usporiadať vykonávanie kódu otvorením stránky maps.google.com pomocou presmerovania cez „google.com/search“.

V skutočnosti požiadavky na použitie XMLHttpRequest alebo Fetch na stiahnutie vzdialených skriptov, ktoré sa majú spustiť, zlyhajú, keď sa použije voľba $ rewrite.

Rovnako dôležité je aj otvorené presmerovanie, pretože umožňuje XMLHttpRequest prečítať skript zo vzdialenej stránky, aj keď sa zdá, že je z rovnakého zdroja.

Na riešení problému už pracujú

Riešenie sa stále pripravuje. Problém sa týka aj blokátorov AdBlock a uBlock. Blokovač uBlock Origin nie je náchylný na problém, pretože nepodporuje operátor »$ rewrite».

V jednom okamihu autor uBlock Origin odmietol pridať podporu prepisovania $ s odvolaním sa na možné problémy so zabezpečením a nedostatočné obmedzenia na úrovni hostiteľa (namiesto prepisovania bola navrhnutá možnosť querystrip, ktorá namiesto toho nahradí parametre dotazu).

Našou zodpovednosťou je chrániť našich používateľov.

Napriek veľmi malému skutočnému riziku sme sa rozhodli odstrániť možnosť prepisu $. Preto vydáme aktualizovanú verziu Adblock Plus hneď, ako to bude technicky možné.

Robíme to preventívne. Nebol urobený žiadny pokus o zneužitie možnosti prepisu a urobíme všetko pre to, aby sa tak nestalo.

To znamená, že žiadnemu používateľovi Adblock Plus nehrozia žiadne riziká.

The DVývojári Adblock Plus považujú skutočné útoky za nepravdepodobné, pretože všetky zmeny v pravidelných zoznamoch pravidiel sa prehodnocujú a pripojenie k zoznamom tretích strán používatelia praktizujú veľmi zriedka.

Nahradenie pravidla pomocou MITM predvolene odstráni použitie HTTPS načítať pravidelné zoznamy blokov (pre zvyšné zoznamy sa plánuje v budúcom vydaní zakázať sťahovanie HTTP).

Ak chcete blokovať útoky na strane stránok, Môžu sa uplatniť smernice CSP (Content Security Policy), prostredníctvom ktorej môžete výslovne identifikovať hostiteľov, z ktorých je možné načítať externé zdroje.

Fuente: https://adblockplus.org, https://armin.dev


Buďte prvý komentár

Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.