nyligen det upptäcktes att den populära annonsblockeraren «Adblock Plus »har en sårbarhet som gör det möjligt att organisera körning av JavaScript-kod på webbplatserna, i fallet med att använda oprövade filter som utarbetats av tredje part med skadlig avsikt (till exempel genom att ansluta regeluppsättningar från tredje part eller genom att byta ut regel under MITM-attacken).
Lista författare med filteruppsättningar kan organisera exekveringen av sin kod inom ramen för webbplatser som är tillgängliga för användaren lägger till regler med operatören »$ rewrite«, vilket gör det möjligt att ersätta en del av webbadressen.
Hur är det möjligt att köra den här koden?
Förklaring av $ rewrite tillåter inte att ersätta värden i webbadressen, men det ger möjlighet att fritt manipulera argumenten av begäran.
Men kodkörning kan uppnås. Vissa webbplatser, som Google Maps, Gmail och Google Bilder, de använder tekniken för att dynamiskt ladda körbara JavaScript-block som överförs i form av ren text.
Om servern tillåter omdirigering av förfrågningar kan den vidarebefordras till en annan värd genom att ändra parametrarna för URL: en (till exempel i samband med Google kan en omdirigering göras via API: et »google.com/search«) .
Plus värdar som tillåter omdirigering kan du också begå en attack mot tjänster som tillåter lokalisering av användarinnehåll (kodhantering, artikelplaceringsplattform etc.).
Metoden för Föreslagen attack påverkar endast sidor som dynamiskt laddar strängar med JavaScript-kod (till exempel via XMLHttpRequest eller Fetch) och kör sedan dem.
En annan viktig begränsning är behovet av att använda en omdirigering eller lägga godtyckliga data på den sida av originalservern som tillhandahåller resursen.
Sin embargo, som en demonstration av relevansen av en attack, visar hur du organiserar din kodkörning genom att öppna maps.google.com med en omdirigering via "google.com/search".
Faktum är att förfrågningar om att använda XMLHttpRequest eller Hämta för att ladda ner fjärrskript som ska köras inte misslyckas när alternativet $ rewrite används.
Den öppna omdirigeringen är också lika viktig eftersom den tillåter XMLHttpRequest att läsa skriptet från en fjärrplats, även om det verkar vara från samma källa.
De arbetar redan med att lösa problemet
Lösningen är fortfarande under beredning. Problemet påverkar också AdBlock- och uBlock-blockerare. UBlock Origin Blocker är inte mottaglig för problemet eftersom den inte stöder operatören »$ omskrivning».
Vid ett tillfälle vägrade uBlock Origin-författaren att lägga till $ omskrivningsstöd, med hänvisning till möjliga säkerhetsproblem och otillräckliga begränsningar på värdnivå (istället för att skriva om föreslogs frågestripsalternativet att rensa frågeparametrar istället för att ersätta dem).
Det är vårt ansvar att skydda våra användare.
Trots den mycket låga faktiska risken bestämde vi oss för att ta bort $ omskrivningsalternativet. Därför släpper vi en uppdaterad version av Adblock Plus så snart det är tekniskt möjligt.
Vi gör detta som en försiktighetsåtgärd. Inget försök har gjorts för att missbruka omskrivningsalternativet och vi kommer att göra vårt bästa för att förhindra att detta händer.
Detta innebär att det inte finns något hot mot någon Adblock Plus-användare.
DAdblock Plus-utvecklare anser att verkliga attacker är osannolika, eftersom alla ändringar av de vanliga regellistorna granskas och anslutningen av tredjepartslistor praktiseras mycket sällan.
Regelsubstitution genom MITM tar bort användningen av HTTPS som standard för att ladda vanliga blocklistor (för de återstående listorna är det planerat att förbjuda HTTP-nedladdning i en framtida version).
För att blockera attacker på webbplatsens sida, CSP-direktiv kan tillämpas (Content Security Policy), genom vilken du uttryckligen kan identifiera de värdar som externa resurser kan laddas från.
Fuente: https://adblockplus.org, https://armin.dev