Si vous utilisez AdBlock, AdBlock Plus ou uBlock, vous devez être conscient qu'un chercheur de sécurité a découvert une vulnérabilité dans leurs systèmes de filtration.
L'échappatoire peut permettre à des attaquants distants d'injecter du code arbitraire dans des pages Web. La découverte a été faite par chercheur en sécurité Armin Sebastian.
Une nouvelle version de Adblock Plus a été libéré le Juillet 17, 2018. Version 3.2 introduit une nouvelle option de filtre pour la réécriture de requêtes. Un jour plus tard AdBlock a emboîté le pas et a publié le soutien pour la nouvelle option de filtre. uBlock, étant la propriété de AdBlock, également mis en œuvre la fonction, a expliqué Sebastian.
AdBlock, AdBlock Plus ou uBlock exploitons Explained
Quelle est la vulnérabilité face? La vulnérabilité se trouve dans la version 3.2 du logiciel Adblock Plus qui l'an dernier a introduit une nouvelle option de filtre pour la réécriture de requêtes. Il semble que, dans des conditions spécifiques, l'option de filtre de réécriture $ permet mainteneurs de liste de filtres pour injecter du code arbitraire dans les pages web. Le problème est non seulement que les extensions ont plus de 100 millions d'utilisateurs actifs, mais aussi que la question est trivial d'exploiter.
Comme l'a expliqué le chercheur lui-même, Les services Web peuvent être exploités avec l'aide de cette option de filtrage lorsqu'ils utilisent XMLHttpRequest ou Fetch pour télécharger des extraits de code pour l'exécution, tout en permettant à des demandes arbitraires origines et l'hébergement d'un redirect ouvert côté serveur.
En outre, parce que les extensions sont mis à jour périodiquement les filtres à des intervalles déterminés par les opérateurs de la liste de filtres, les attaques peuvent être difficiles à détecter. L'opérateur peut fixer un court laps de temps d'expiration de la liste des filtres malveillants, qui sera ensuite remplacé par un bénin. En outre, les organisations et les individus peuvent être ciblées en fonction des adresses IP à partir de laquelle les mises à jour sont demandées.
Il y a plusieurs conditions qui doivent être remplies pour un service Web à exploiter par la vulnérabilité dans AdBlock. Par exemple, la page doit charger une chaîne JS en utilisant XMLHttpRequest ou Fetch et exécuter le code renvoyé. En outre, la page ne doit pas limiter l'origine qu'il peut accèderont par les directives de politique de sécurité de contenu, ou il ne doit pas valider l'URL de la demande finale avant d'exécuter le code téléchargé.
Et enfin, l'origine du code récupéré doit avoir un redirect ouvert côté serveur ou il doit héberger du contenu utilisateur arbitraire. Si ceux-ci sont remplies, une attaque est possible.
Pour tester la vulnérabilité et voir comment il peut être exploité, le chercheur a utilisé Google Maps. Parce que le service répond aux critères exposés ci-dessus, Sebastian a écrit avec succès code d'exploitation.
Les étapes qu'il seRviRONT sont les suivantes::
– Installer soit Adblock Plus, AdBlock ou uBlock dans un nouveau profil de navigateur
– Visitez les options de l'extension et ajoutez l'exemple liste de filtres, cette étape est destinée à simuler une mise à jour malveillant à une liste de filtres par défaut
– Accédez à Google Maps
– Une alerte avec « www.google.com » devrait apparaître après quelques secondes
Images Gmail et Google répondent également aux conditions et sont exploitables par la vulnérabilité.
Le chercheur a contacté Google pour les informer de l'exploit, mais le rapport a été fermé comme « Comportement DESTINÉ ». Il se avère que Google considère que la vulnérabilité est présente uniquement dans les extensions du navigateur. « Ceci est une conclusion malheureuse, parce que l'exploit est composé d'un ensemble d'extension du navigateur et les vulnérabilités service Web qui ont été enchaînées,» Le chercheur a noté, ajoutant que les services de Google ne sont pas les seuls qui peuvent être touchés.
Qu'en est-AdBlock? Selon AdBlock Plus’ déclaration officielle, malgré le risque réel d'être très faible, la société a décidé de supprimer l'option de réécriture et publiera en conséquence une version mise à jour de Adblock Plus dès que possible sur le plan technique. La société a également dit qu'ils font cela comme une mesure de précaution.
Les bonnes nouvelles sont qu'il n'y a pas eu de tentative d'abuser de l'option de réécriture. En ce qui concerne l'atténuation, origines connues de la liste blanche en utilisant connecter-src-tête de CSP, ou éliminer les redirections ouvertes côté serveur doit faire le travail.