Недавно откривено је да популарни блокатор огласа «Адблоцк Плус »има рањивост која омогућава организовање извршавања ЈаваСцрипт кода на веб локацијама, у случају коришћења непроверених филтера које су припремиле треће стране са злонамерном намером (на пример, повезивањем скупова правила независних произвођача или заменом правила током напада МИТМ).
Наведи ауторе са скупима филтера могу да организују извршавање свог кода у контексту веб локација доступних корисник додаје правила помоћу оператора »$ реврите«, који омогућава замену дела УРЛ-а.
Како је могуће извршење овог кода?
Изјава о $ реврите не дозвољава замену хоста у урл-у, али пружа прилику за слободно манипулисање аргументима захтева.
Међутим може се постићи извршење кода. Неке веб локације, као што су Гоогле мапе, Гмаил и Гоогле слике, користе се техником динамичког учитавања извршних ЈаваСцрипт блокова који се преносе у облику обичног текста.
Ако сервер дозвољава преусмеравање захтева, онда се може проследити другом хосту променом параметара УРЛ-а (на пример, у контексту Гоогле-а, преусмеравање се може извршити преко АПИ-ја »гоогле.цом/сеарцх«) .
Поред тога домаћини који омогућавају преусмеравање, такође можете извршити напад против услуга које дозвољавају локацију корисничког садржаја (хостинг кода, платформа за постављање чланака итд.).
Метода Предложени напад утиче само на странице које динамички учитавају низове са ЈаваСцрипт кодом (на пример, путем КСМЛХттпРекуест или Фетцх), а затим их покрените.
Друго велико ограничење је потреба за коришћењем преусмеравања или постављањем произвољних података на страну изворног сервера који пружа ресурс.
Међутим, као демонстрација релевантности напада, показује вам како да организујете извршавање кода отварањем мапс.гоогле.цом помоћу преусмеравања преко „гоогле.цом/сеарцх“.
У ствари, захтеви за коришћење КСМЛХттпРекуест или Фетцх за преузимање удаљених скрипти за покретање неће пропасти када се користи опција $ реврите.
Такође, отворено преусмеравање је једнако важно јер омогућава КСМЛХттпРекуест-у да чита скрипту са удаљене локације, иако се чини да је из истог извора.
Они већ раде на решавању проблема
Решење је још увек у припреми. Проблем такође утиче на блокаторе АдБлоцк и уБлоцк. Блокада порекла уБлоцк није подложна проблему, јер не подржава оператер »$ реврите«.
У једном тренутку, аутор уБлоцк Оригин одбио је да дода подршку за преправљање $, наводећи могуће сигурносне проблеме и недовољна ограничења на нивоу хоста (уместо преписивања, предложена је опција куеристрип да обрише параметре упита уместо да их замени).
Наша је одговорност да заштитимо своје кориснике.
Упркос врло ниском стварном ризику, одлучили смо да уклонимо опцију $ реврите. Стога ћемо објавити ажурирану верзију Адблоцк Плус-а што је пре могуће.
Ово радимо из предострожности. Није покушан злоупотреба опције преписивања и потрудићемо се да се то не догоди.
То значи да не постоји опасност ни за једног корисника Адблоцк Плус-а.
Тхе Д.Програмери Адблоцк Плус сматрају да су стварни напади мало вјероватни, с обзиром да се све измене на редовним листама правила прегледавају, а корисници везују листе независних произвођача врло ретко.
Замена правила путем МИТМ-а подразумевано уклања употребу ХТТПС-а за учитавање редовних листа блокова (за преостале листе планирано је забранити преузимање ХТТП-а у будућем издању).
Да бисте блокирали нападе на страни веб локација, Могу се применити ЦСП директиве (Политика безбедности садржаја) путем које можете изричито идентификовати хостове са којих се могу учитати спољни ресурси.
izvor: https://adblockplus.org, https://armin.dev