Yn Adblock Plus ad blocker kwetsberens, organisearje de útfiering fan JavaSkript-koade yn 'e kontekst fan siden, yn it gefal fan it brûken fan net ferifiearre filters taret troch oanfallers (bygelyks by it ferbinen fan regels fan tredden of troch ferfanging fan regels tidens in MITM-oanfal).
Auteurs fan listen mei sets fan filters kinne de útfiering fan har koade organisearje yn 'e kontekst fan siden iepene troch de brûker troch regels ta te foegjen mei de operator "", wêrtroch jo in diel fan 'e URL kinne ferfange. De rewrite-operator lit jo de host yn 'e URL net ferfange, mar it lit jo de fersykarguminten frij manipulearje. Allinnich tekst kin brûkt wurde as in ferfangende masker, en ferfanging fan skript-, objekt- en subdokumint-tags is tastien .
Koade útfiering kin lykwols wurde berikt yn in oplossing.
Guon siden, ynklusyf Google Maps, Gmail en Google Images, brûke de technyk fan dynamysk laden fan útfierbere JavaScript-blokken, oerdroegen yn 'e foarm fan bleate tekst. As de tsjinner trochferwizing fan fersyk tastiet, dan kin trochstjoeren nei in oare host wurde berikt troch de URL-parameters te feroarjen (bygelyks, yn 'e kontekst fan Google, kin in trochferwizing makke wurde fia de API ""). Neist hosts dy't trochferwizing tastean, kin in oanfal ek útfierd wurde tsjin tsjinsten dy't it pleatsen fan brûkersynhâld tastean (koade-hosting, artikelpostplatfoarms, ensfh.).
De foarstelde oanfalmetoade hat allinich ynfloed op siden dy't stringen fan JavaScript-koade dynamysk laden (bygelyks fia XMLHttpRequest of Fetch) en se dan útfiere. In oare wichtige beheining is de needsaak om in trochferwizing te brûken of willekeurige gegevens te pleatsen oan 'e kant fan' e orizjinele tsjinner dy't de boarne útjout. Om lykwols de relevânsje fan 'e oanfal te demonstrearjen, wurdt it toand hoe't jo de útfiering fan jo koade organisearje by it iepenjen fan maps.google.com, mei in trochferwizing fia "google.com/search".
De fix is noch yn tarieding. It probleem hat ek ynfloed op blockers и . De uBlock Origin-blocker wurdt net beynfloede troch it probleem, om't it de operator "herskriuwe" net stipet. Op ien kear de skriuwer fan uBlock Origin
foegje stipe ta foar herskriuwen, mei oantsjutting fan potinsjele feiligensproblemen en ûnfoldwaande beheiningen op hostnivo (in querystrip-opsje waard foarsteld ynstee fan herskriuwe om queryparameters op te romjen ynstee fan se te ferfangen).
Adblock Plus-ûntwikkelders beskôgje echte oanfallen as ûnwierskynlik, om't alle wizigingen oan 'e standertlisten mei regels wurde hifke, en it ferbinen fan listen fan tredden is ekstreem seldsum ûnder brûkers. Ferfanging fan regels fia MITM wurdt foarkommen troch it standertgebrûk fan HTTPS foar it ynladen fan standert bloklisten (foar oare listen is it pland om yn in takomstige útjefte download fia HTTP te ferbieden). Rjochtlinen kinne brûkt wurde om in oanfal op 'e side te blokkearjen (Ynhâldbefeiligingsbelied), wêrmei jo eksplisyt de hosts kinne bepale wêrfan eksterne boarnen kinne wurde laden.
Boarne: opennet.ru