Wenn Sie AdBlock, AdBlock Plus oder ublock, Sie sollten sich bewusst sein, dass ein Sicherheitsforscher eine Schwachstelle in ihrer Filtersysteme entdeckt.
Die Lücke kann erlauben entfernten Angreifern, beliebigen Code in Webseiten zu injizieren. Die Entdeckung wurde gemacht von Sicherheitsforscher Armin Sebastian.
Eine neue Version von Adblock Plus wurde am Juli veröffentlicht 17, 2018. Version 3.2 eine neue Filteroption eingeführt Anfragen zum Umschreiben. Ein Tag später folgte AdBlock Anzug und freigegebene Unterstützung für die neue Filteroption. ublock, wobei im Besitz von AdBlock, auch implementiert, um die Funktion, erklärt Sebastian.
AdBlock, AdBlock Plus oder ublock Exploit Erklärt
Was ist die Verwundbarkeit über? Die Sicherheitslücke in Version gefunden 3.2 der Adblock Plus-Software, die im vergangenen Jahr zum Umschreiben Anfragen eine neue Filteroption eingeführt. Anscheinend, unter bestimmten Bedingungen, die $ Rewrite-Filter-Option ermöglicht Maintainer Filterliste beliebigen Code in Webseiten zu injizieren. Das Problem ist nicht nur, dass die Erweiterungen haben mehr als 100 Millionen aktive Nutzer, sondern auch, dass das Problem ist trivial zu nutzen.
Wie erklärt sich der Forscher, Web Services können mit Hilfe dieser Filter-Option genutzt werden, wenn sie XMLHttpRequest verwenden oder Fetch-Code-Snippets für die Ausführung zum Download, während Anfragen an beliebiger Herkunft ermöglicht und eine serverseitige Open Redirect-Hosting.
Weiter, da Erweiterungen regelmäßig Filter in Abständen von Filterliste Operatoren bestimmt aktualisieren, Angriffe können schwierig sein, zu erkennen,. Der Bediener kann eine kurze Verfallszeit für die böswillige Filterliste gesetzt, die dann mit einer gutartigen ersetzt. Außerdem, beide Organisationen und Einzelpersonen können auf der Basis der IP-Adressen gerichtet werden, von denen der Updates angefordert werden.
Es gibt mehrere Bedingungen, die für einen Web-Service erreicht werden sollte über die Schwachstelle in AdBlock genutzt werden. Beispielsweise, die Seite muss eine JS Zeichenfolge mit XMLHttpRequest laden oder Fetch und den zurückgegebenen Code ausführen. Weiter, die Seite sollte Ursprünge nicht einschränken, die es Content-Security Policy Direktiven holen können, oder es muss nicht die endgültige URL validieren, bevor Sie den heruntergeladenen Code ausführen.
Und zuletzt, der Ursprung des abgerufenen Code muss eine serverseitige offene Redirect haben oder es muss beliebigen Benutzerinhalt hosten. Wenn diese erfüllt sind, ein Angriff ist möglich.
Um die Verwundbarkeit zu testen und sehen, wie kann es genutzt werden, die Forscher verwendeten Google Maps. Da der Dienst die Kriterien erfüllt oben erklärt, Sebastian schrieb erfolgreich Exploit-Code.
Die Schritte, die er verwendet, sind die folgenden:
– Installieren Sie entweder Adblock Plus, AdBlock oder ublock in einem neuen Browser-Profil
– Besuchen Sie die Optionen der Erweiterung und fügen Sie das Beispiel Filterliste, Dieser Schritt soll eine böswillige Update auf eine Standard-Filterliste simulieren
– Navigieren Sie zu Google Maps
– Eine Warnung mit „www.google.com“ soll nach ein paar Sekunden Pop-up
Bilder Google Mail und Google reagieren auch auf die Bedingungen und sind über die Verwundbarkeit ausnutzbar.
Der Forscher kontaktiert Google ihnen mitzuteilen, über den Exploit, aber der Bericht wurde als „bestimmungsgemäße Verhalten“ geschlossen. Es stellt sich heraus, dass Google die Ansicht, dass die Anfälligkeit ausschließlich in den Browser-Erweiterungen vorhanden ist. „Dies ist ein unglücklicher Abschluss, da der Exploit besteht aus einer Reihe von Browser-Erweiterung und Web-Service-Schwachstellen zusammen, die miteinander verkettet wurde,“Die Forscher festgestellt,, fügte hinzu, dass die Google-Dienste nicht die einzigen sind, die betroffen sein können.
Was ist AdBlock? Nach AdBlock Plus’ offizielle Aussage, trotz der tatsächlichen Risiko sehr gering ist, das Unternehmen hat beschlossen, die Rewrite-Option zu entfernen, und wird eine aktualisierte Version von Adblock Plus entsprechend freigeben, sobald dies technisch möglich. Die Firma sagte auch tun sie dies als Vorsichtsmaßnahme.
Die gute Nachricht ist, dass es ein Versuch nicht gewesen zu missbrauchen der Rewrite-Option. Wie für den Klimaschutz, Whitelisting bekannt Ursprünge der Verwendung connect-src CSP-Header, oder Beseitigung von serverseitigen offenen Umleitungen sollte die Arbeit machen.