Als u AdBlock gebruiken, AdBlock Plus of uBlock, u dient zich ervan bewust dat er een security-onderzoeker ontdekte een kwetsbaarheid in hun filtersystemen.
De maas in de wet kunnen toestaan dat aanvallers op afstand om willekeurige code te injecteren in webpagina's. De ontdekking werd gedaan door security-onderzoeker Armin Sebastian.
Een nieuwe versie van Adblock Plus werd uitgebracht op juli 17, 2018. Versie 3.2 introduceerde een nieuwe filter optie voor het herschrijven van aanvragen. Een dag later volgde AdBlock pak en vrijgegeven ondersteuning voor de nieuwe filter optie. uBlock, eigendom is van AdBlock, ook uitvoering gegeven aan de functie, legde Sebastian.
AdBlock, AdBlock Plus of uBlock Exploit Explained
Wat is de kwetsbaarheid over? Het beveiligingslek wordt gevonden in versie 3.2 van de Adblock Plus software die vorig jaar introduceerde een nieuwe filter optie voor het herschrijven van aanvragen. Het komt voor dat, onder specifieke omstandigheden, de optie $ herschrijven filter kunt filter lijst onderhouders willekeurige code in webpagina's te injecteren. Het probleem is niet alleen dat de verlengingen meer dan 100 miljoen actieve gebruikers, maar ook dat het probleem is triviaal te exploiteren.
Zoals verklaard door de onderzoeker zelf, web services kan worden benut met behulp van deze filter optie wanneer ze XMLHttpRequest gebruiken of ophalen in op codefragmenten voor de uitvoering downloaden, terwijl verzoeken om willekeurige oorsprong en het hosten van een server-side geopend redirect.
Bovendien, omdat extensies periodiek filters werken met tussenpozen bepaald door lijst operators filter, aanvallen kan moeilijk zijn op te sporen. De operator kan een korte vervaltijd instellen voor het filter lijst kwaadaardige, die dan vervangen door een goedaardige één. Bovendien, beide organisaties en individuen kunnen worden getarget op basis van de IP-adressen van waaruit de updates worden gevraagd.
Er zijn een aantal voorwaarden waaraan moet worden voldaan voor een webservice worden benut via de kwetsbaarheid in AdBlock. Bijvoorbeeld, de pagina moet een JS reeks te laden met behulp van XMLHttpRequest of Fetch en uitvoeren van de geretourneerde code. Bovendien, de pagina moet niet ontstaan dat het kan te halen met behulp van Content Security Policy richtlijnen beperken, of het moet de laatste verzoek URL niet valideren vóór de uitvoering van de gedownloade code.
En tenslotte, de oorsprong van de opgehaalde code moet een server-zijde open omleiding of moet willekeurige gebruikersinhoud hosten. Als deze wordt voldaan, Een aanval kan.
Om de kwetsbaarheid te testen en te zien hoe het kan worden geëxploiteerd, De onderzoeker gebruikte Google Maps. Omdat de service voldeed aan de criteria hierboven uitgelegd, Sebastian succes schreef code te exploiteren.
De stappen die hij gebruikt zijn de volgende::
– Installeer ofwel Adblock Plus, AdBlock of uBlock in een nieuw browservenster profiel
– Ga naar de opties van de verlenging en voeg het voorbeeld filter lijst, Deze stap is bedoeld om een kwaadaardige-update te simuleren om een standaard filter lijst
– Ga naar Google Maps
– Een waarschuwing met “www.google.com” moet pop-up na een paar seconden
Gmail en Google Afbeeldingen reageren ook op de voorwaarden en kunnen worden misbruikt via de kwetsbaarheid.
De onderzoeker contact opgenomen met Google om hen te informeren over de exploit, maar het rapport was gesloten als “voorgenomen gedrag”. Het blijkt dat Google van mening is dat de kwetsbaarheid aanwezig is uitsluitend in het browser-extensies. “Dit is een ongelukkige conclusie, omdat de exploit is samengesteld uit een reeks van browser uitbreiding en webservice kwetsbaarheden die met elkaar geketend,”De onderzoeker merkte, toe te voegen dat de services van Google zijn niet de enigen die kunnen worden beïnvloed.
Hoe zit het met AdBlock? Volgens AdBlock Plus’ officiële verklaring, ondanks het werkelijke risico zeer laag, het bedrijf heeft besloten om de optie herschrijven te verwijderen en zal dienovereenkomstig een bijgewerkte versie van Adblock Plus los zodra dat technisch mogelijk. Het bedrijf zei ook dat ze dit doen als voorzorgsmaatregel.
Het goede nieuws is dat er geen enkele poging tot misbruik maken van de optie herschrijven geweest. Zoals voor mitigatie, whitelisting bekende oorsprong met de connect-src CSP header, of elimineren van server-side geopend omleidingen moet het werk doen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: