Vulnerabileco estis identigita en la uBlock Origin-sistemo por blokado de nedezirata enhavo, kiu ebligas kraŝon aŭ elĉerpiĝon de memoro dum navigado al speciale desegnita URL, se ĉi tiu URL kategoriiĝas sub striktaj blokaj filtriloj. La vundebleco nur aperas kiam rekte navigas al la problema URL, ekzemple kiam oni klakas sur ligilo.
La vundebleco estas riparita en la ĝisdatigo de uBlock Origin 1.36.2. La uMatrix-aldonaĵo ankaŭ suferas de simila problemo, sed ĝi estis nuligita kaj ĝisdatigoj ne plu estas publikigitaj. Ne ekzistas sekurecaj solvoj en uMatrix (komence oni sugestis malŝalti ĉiujn striktajn blokajn filtrilojn per la langeto "Aktivoj", sed ĉi tiu rekomendo estis trovita nesufiĉa kaj kreas problemojn por uzantoj kun siaj propraj blokaj reguloj). En ηMatrix, forko de uMatrix de la projekto Pale Moon, la vundebleco estis riparita en eldono 4.4.9.
Strikta blokadfiltrilo estas kutime difinita ĉe la domajna nivelo kaj signifas, ke ĉiuj konektoj estas blokitaj, eĉ kiam sekvas ligon rekte. La vundebleco estas kaŭzita de la fakto, ke navigante al paĝo, kiu estas submetita al strikta bloka filtrilo, la uzanto estas montrita averton, kiu provizas informojn pri la blokita rimedo, inkluzive de la URL kaj demandaj parametroj. La problemo estas, ke uBlock Origin analizas la petajn parametrojn rekursie kaj aldonas ilin al la DOM-arbo sen konsideri la nestan nivelon.
Kiam vi traktas speciale kreitan URL en uBlock Origin por Chrome, eblas kraŝi la procezon kurante la retumilon aldonaĵon. Post kraŝo, ĝis la procezo kun la aldonaĵo estas rekomencita, la uzanto restas sen bloki nedeziratan enhavon. Fajrovulpo spertas elĉerpiĝon de memoro.
fonto: opennet.ru