Ing Adblock Plus ad blocker kerentanan, ngatur eksekusi kode JavaScript ing konteks situs, ing kasus nggunakake saringan sing durung diverifikasi sing disiapake dening panyerang (contone, nalika nyambungake set aturan pihak katelu utawa liwat substitusi aturan sajrone serangan MITM).
Penulis dhaptar kanthi set saringan bisa ngatur eksekusi kode kasebut ing konteks situs sing dibukak pangguna kanthi nambah aturan karo operator "", sing ngidini sampeyan ngganti bagean saka URL. Operator nulis ulang ora ngidini sampeyan ngganti host ing URL, nanging ngidini sampeyan bebas ngapusi argumen panyuwunan. Mung teks sing bisa digunakake minangka topeng panggantos, lan substitusi skrip, obyek lan tag subdokumen diidini. .
Nanging, eksekusi kode bisa digayuh ing workaround.
Sawetara situs, kalebu Google Maps, Gmail, lan Gambar Google, nggunakake teknik ngemot blok JavaScript sing bisa dieksekusi kanthi dinamis, sing dikirim ing wangun teks kosong. Yen server ngidini panyuwunan pangalihan, banjur nerusake menyang host liyane bisa digayuh kanthi ngganti parameter URL (contone, ing konteks Google, pangalihan bisa ditindakake liwat API ""). Saliyane host sing ngidini pangalihan, serangan uga bisa ditindakake marang layanan sing ngidini ngirim konten pangguna (hosting kode, platform posting artikel, lsp.).
Cara serangan sing diusulake mung mengaruhi kaca sing ngemot senar kode JavaScript kanthi dinamis (contone, liwat XMLHttpRequest utawa Fetch) banjur nglakokake. Watesan penting liyane yaiku kudu nggunakake pangalihan utawa nyelehake data sewenang-wenang ing sisih server asli sing ngetokake sumber daya. Nanging, kanggo nduduhake relevansi serangan kasebut, ditampilake carane ngatur eksekusi kode nalika mbukak maps.google.com, nggunakake pangalihan liwat "google.com/search".
Perbaikan isih ana ing persiapan. Masalah kasebut uga mengaruhi pamblokiran ΠΈ . Pamblokir uBlock Origin ora kena pengaruh masalah kasebut, amarga ora ndhukung operator "tulis ulang". Ing sawijining wektu, penulis uBlock Origin
nambah dhukungan kanggo nulis ulang, nyebutake masalah keamanan potensial lan watesan tingkat host sing ora cukup (pilihan querystrip diusulake tinimbang nulis ulang kanggo ngresiki parameter pitakon tinimbang ngganti).
Pangembang Adblock Plus nganggep serangan nyata ora mungkin, amarga kabeh owah-owahan ing dhaptar standar aturan dideleng, lan nyambungake dhaptar pihak katelu arang banget ing antarane pangguna. Substitusi aturan liwat MITM dicegah kanthi nggunakake HTTPS standar kanggo ndownload dhaptar pemblokiran standar (kanggo dhaptar liyane direncanakake nglarang download liwat HTTP ing rilis mangsa ngarep). Directives bisa digunakake kanggo mblokir serangan ing sisih situs (Kabijakan Keamanan Konten), sing sampeyan bisa nemtokake host kanthi jelas saka sumber daya eksternal sing bisa dimuat.
Source: opennet.ru