Ievainojamība, kas ļauj Chrome papildinājumiem izpildīt ārēju kodu, neskatoties uz atļaujām

publicēts metode, kas ļauj jebkuram Chrome papildinājumam izpildīt ārējo JavaScript kodu, nepiešķirot pievienojumprogrammai paplašinātas atļaujas (bez unsafe-eval un unsafe-inline failā manifest.json). Atļaujas nozīmē, ka bez nedrošas novērtēšanas pievienojumprogramma var izpildīt tikai kodu, kas ir iekļauts vietējā izplatīšanā, taču piedāvātā metode ļauj apiet šo ierobežojumu un izpildīt jebkuru JavaScript, kas ielādēts no ārējās vietnes pievienojumprogrammas kontekstā. ieslēgts.

Google pašlaik ir slēgusi publisku piekļuvi problēmas ziņojums, bet arhīvā saglabājies koda paraugs, lai izmantotu problēmu. veids līdzīgi metode, lai apietu skripta-src “self” ierobežojumu CSP, un tā pamatā ir skripta taga aizstāšana, izmantojot document.createElement('script'), un ārējā satura iekļaušana tajā, izmantojot ieneses funkciju, pēc tam kods tiks izpildīts paša papildinājuma konteksts.

Avots: opennet.ru