Останнім часом було виявлено, що популярний блокувальник реклами «Adblock Plus »має вразливість, яка дозволяє організувати виконання коду JavaScript на сайтах, у разі використання неперевірених фільтрів, підготовлених третіми сторонами зі зловмисними намірами (наприклад, шляхом підключення сторонніх наборів правил або шляхом заміни правил під час атаки MITM).
Список авторів із наборами фільтрів може організувати виконання свого коду в контексті веб-сайтів, доступних для користувач додає правила за допомогою оператора «$ rewrite», що дозволяє замінити частину URL-адреси.
Як можливо це виконання коду?
Декларація $ rewrite не дозволяє замінити хост за адресою url, але це дає можливість вільно маніпулювати аргументами запиту.
Однак виконання коду може бути досягнуто. Деякі сайти, такі як Google Maps, Gmail та Google Images, вони використовують техніку динамічного завантаження виконуваних блоків JavaScript, що передаються у вигляді простого тексту.
Якщо сервер дозволяє переспрямування запитів, його можна перенаправити на інший хост, змінивши параметри URL-адреси (наприклад, в контексті Google, переспрямування можна здійснити через API »google.com/search«) .
Плюс хости, що дозволяють переспрямування, ви також можете здійснити атаку проти служб, що дозволяють розміщення користувацького вмісту (хостинг коду, платформа розміщення статей тощо).
Метод Запропонована атака впливає лише на сторінки, які динамічно завантажують рядки з кодом JavaScript (наприклад, через XMLHttpRequest або Fetch), а потім запустіть їх.
Іншим основним обмеженням є необхідність використовувати переспрямування або розміщувати довільні дані на стороні вихідного сервера, що забезпечує ресурс.
Проте, як демонстрація актуальності нападу, показує, як організувати виконання коду, відкривши maps.google.com за допомогою переспрямування через "google.com/search".
Насправді, запити на використання XMLHttpRequest або Fetch для завантаження віддалених сценаріїв для запуску не проваляться, коли використовується опція $ rewrite.
Крім того, відкрите переспрямування є настільки ж важливим, оскільки воно дозволяє XMLHttpRequest читати сценарій з віддаленого веб-сайту, навіть якщо він видається з того самого джерела.
Вони вже працюють над вирішенням проблеми
Розчин ще готується. Проблема також стосується блокаторів AdBlock та uBlock. Блокувальник джерела uBlock не сприйнятливий до проблеми, оскільки не підтримує оператор »$ rewrite».
Одного разу автор uBlock Origin відмовився додавати підтримку переписування $, посилаючись на можливі проблеми безпеки та недостатні обмеження на рівні хоста (замість перезапису пропонується параметр querystrip для очищення параметрів запиту замість їх заміни).
Ми несемо відповідальність за захист наших користувачів.
Незважаючи на дуже низький фактичний ризик, ми вирішили видалити опцію $ rewrite. Тому ми випустимо оновлену версію Adblock Plus якомога швидше з технічної точки зору.
Ми робимо це як запобіжний захід. Не було зроблено жодної спроби зловживати опцією перезапису, і ми зробимо все, щоб цього не сталося.
Це означає, що жоден користувач Adblock Plus не загрожує.
DРозробники Adblock Plus вважають фактичні атаки малоймовірними, оскільки всі зміни до звичайних списків правил переглядаються, а підключення сторонніх списків практикується користувачами дуже рідко.
Заміна правила через MITM за замовчуванням усуває використання HTTPS завантажувати звичайні списки блоків (для решти списків планується заборонити завантаження HTTP у наступному випуску).
Щоб блокувати атаки на стороні сайтів, Можуть застосовуватися директиви CSP (Політика безпеки вмісту), за допомогою якого ви можете чітко визначити хости, з яких можна завантажити зовнішні ресурси.
Фуенте: https://adblockplus.org, https://armin.dev