Se si utilizza AdBlock, AdBlock Plus o uBlock, si deve essere consapevoli che un ricercatore di sicurezza ha scoperto una vulnerabilità nei loro sistemi di filtraggio.
La lacuna può consentire ad aggressori remoti di inserire codice arbitrario in pagine web. La scoperta è stata fatta da ricercatore di sicurezza Armin Sebastian.
Una nuova versione di Adblock Plus è stato rilasciato nel luglio 17, 2018. Versione 3.2 introdotto una nuova opzione di filtro per la riscrittura richieste. Il giorno dopo AdBlock seguito l'esempio e rilasciato il supporto per la nuova opzione di filtro. uBlock, essere di proprietà di AdBlock, anche implementato la funzione, ha spiegato Sebastian.
AdBlock, AdBlock Plus o uBlock Exploit Explained
Qual è la vulnerabilità su? La vulnerabilità è trovato in versione 3.2 del software di Adblock Plus che lo scorso anno ha introdotto una nuova opzione di filtro per la riscrittura richieste. Sembra che, in condizioni specifiche, l'opzione di filtro $ riscrittura permette Lista filtro manutentori per iniettare codice arbitrario nelle pagine web. Il problema non è solo che le estensioni sono più che 100 milioni di utenti attivi, ma anche che la questione è banale da sfruttare.
Come spiegato dal ricercatore stesso, servizi web possono essere sfruttate con l'aiuto di questa opzione di filtro quando usano XMLHttpRequest o Fetch per scaricare frammenti di codice per l'esecuzione, consentendo nel contempo le richieste di origini arbitrari e ospita un reindirizzamento aperto sul lato server.
Inoltre, poiché le estensioni aggiornare periodicamente filtri ad intervalli determinati dagli operatori di lista filtri, attacchi possono essere difficili da individuare. L'operatore può impostare un breve periodo di scadenza per l'elenco di filtri dannoso, che poi sostituito con un benigno. In aggiunta, Entrambe le organizzazioni e gli individui possono essere mirati in base agli indirizzi IP da cui vengono richiesti gli aggiornamenti.
Ci sono diverse condizioni che devono essere soddisfatti per un servizio web per essere sfruttata tramite la vulnerabilità in AdBlock. Per esempio, la pagina deve caricare una stringa di JS utilizzando XMLHttpRequest o Fetch ed eseguire il codice restituito. Inoltre, la pagina non dovrebbe limitare origini che può recuperare l'uso di direttive Norme per i contenuti di sicurezza, o non deve convalidare l'URL della richiesta finale prima di eseguire il codice scaricato.
e infine, l'origine del codice prelevato deve avere un reindirizzamento aperto sul lato server o deve ospitare contenuti utente arbitrario. Se questi sono soddisfatte, un attacco è possibile.
Per testare la vulnerabilità e vedere come può essere sfruttata, il ricercatore utilizzato Google Maps. Poiché il servizio soddisfa i criteri sopra esposti, Sebastian ha scritto con successo codice di exploit.
I passi ha utilizzato sono le seguenti:
– Installare o Adblock Plus, AdBlock o uBlock in un nuovo profilo del browser
– Visita le opzioni dell'estensione e aggiungere l'elenco di filtri esempio, questa fase ha lo scopo di simulare un aggiornamento malintenzionato di un elenco di filtri di default
– Passare a Google Maps
– Un avviso con “www.google.com” dovrebbe comparire dopo un paio di secondi
Gmail e Google Immagini rispondono anche alle condizioni e sono sfruttabili tramite la vulnerabilità.
Il ricercatore ha contattato Google per notificare loro circa l'exploit, ma il rapporto è stato chiuso come “comportamento previsto”. Si scopre che Google ritiene che la vulnerabilità è presente solo nelle estensioni del browser. “Si tratta di una sfortunata conclusione, perché l'exploit è composto da un insieme di estensione per il browser e di servizi web vulnerabilità che sono stati incatenati insieme,”Il ricercatore ha osservato, aggiungendo che i servizi di Google non sono gli unici che possono essere influenzati.
Che dire di AdBlock? Secondo Adblock Plus’ dichiarazione ufficiale, nonostante il rischio reale che è molto basso, l'azienda ha deciso di rimuovere l'opzione riscrittura e sarà di conseguenza rilascerà una versione aggiornata di Adblock Plus non appena tecnicamente possibile. La società ha anche detto che stanno facendo questo come una misura di precauzione.
La buona notizia è che non v'è stato alcun tentativo di abusare l'opzione riscrittura. Per quanto riguarda la mitigazione, whitelisting noto origini utilizzando il intestazione CSP connect-src, o eliminando lato server reindirizzamenti aperti dovrebbe fare il lavoro.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: