I Adblock Plus ad blocker sårbarhed, organisere udførelsen af JavaScript-kode i forbindelse med websteder, i tilfælde af brug af ikke-verificerede filtre, der er udarbejdet af angribere (f.eks. når der forbindes tredjeparts regelsæt eller gennem erstatning af regler under et MITM-angreb).
Forfattere af lister med sæt af filtre kan organisere udførelsen af deres kode i sammenhæng med websteder åbnet af brugeren ved at tilføje regler med operatøren "", som giver dig mulighed for at erstatte en del af URL'en. Omskrivningsoperatoren tillader dig ikke at erstatte værten i URL'en, men den giver dig mulighed for frit at manipulere anmodningsargumenterne. Kun tekst kan bruges som erstatningsmaske, og udskiftning af script-, objekt- og underdokument-tags er tilladt .
Kodekørsel kan dog opnås på en løsning.
Nogle websteder, herunder Google Maps, Gmail og Google Billeder, bruger teknikken til dynamisk at indlæse eksekverbare JavaScript-blokke, transmitteret i form af bare tekst. Hvis serveren tillader anmodningsomdirigering, kan videresendelse til en anden vært opnås ved at ændre URL-parametrene (f.eks. i forbindelse med Google kan en omdirigering foretages via API'en ""). Ud over værter, der tillader omdirigering, kan et angreb også udføres mod tjenester, der tillader udstationering af brugerindhold (kodehosting, artikelposteringsplatforme osv.).
Den foreslåede angrebsmetode påvirker kun sider, der dynamisk indlæser strenge af JavaScript-kode (for eksempel via XMLHttpRequest eller Fetch) og derefter udfører dem. En anden vigtig begrænsning er behovet for at bruge en omdirigering eller placere vilkårlige data på siden af den originale server, der udsteder ressourcen. For at demonstrere relevansen af angrebet er det dog vist, hvordan du organiserer udførelsen af din kode, når du åbner maps.google.com, ved hjælp af en omdirigering gennem "google.com/search".
Rettelsen er stadig under forberedelse. Problemet påvirker også blokkere и . UBlock Origin-blokeringen er ikke påvirket af problemet, da den ikke understøtter "omskrive"-operatøren. På et tidspunkt forfatteren af uBlock Origin
tilføje understøttelse af omskrivning, med henvisning til potentielle sikkerhedsproblemer og utilstrækkelige begrænsninger på værtsniveau (en querystrip-indstilling blev foreslået i stedet for omskrivning for at rydde op i forespørgselsparametre i stedet for at erstatte dem).
Adblock Plus-udviklere anser reelle angreb for at være usandsynlige, da alle ændringer af standardlister med regler gennemgås, og tilslutning af tredjepartslister er ekstremt sjælden blandt brugere. Udskiftning af regler via MITM forhindres af standardbrugen af HTTPS til download af standardblokeringslister (for andre lister er det planlagt at forbyde download via HTTP i en fremtidig udgivelse). Direktiver kan bruges til at blokere et angreb på webstedets side (Content Security Policy), hvorigennem du eksplicit kan bestemme de værter, hvorfra eksterne ressourcer kan indlæses.
Kilde: opennet.ru