Adblock Plus 过滤器列表被用于在网页执行任意代码

局长
 局长
发布于 2019年04月17日
收藏 2

Adblock Plus 于2018年7月17日发布了 3.2 新版本,此版本引入了一个新的用于重写请求的过滤器选项 $rewrite。紧随其后,AdBlock 和 uBlock 都相继加入了对这一选项的支持。

不过据安全专家 Armin Sebastian 表示,在特定条件下,$rewrite 过滤器选项列表的维护者能够在网页注入任意代码。

据透露,受影响的扩展程序拥有超过 1 亿的活跃用户,并且该功能可以被攻击者轻松利用,以攻击任何足够复杂的 Web 服务,包括 Google 服务,而攻击很难被检测并且可以在所有主流浏览器中进行。

考虑到漏洞的性质和影响,以及曾出现过维护者利用漏洞通过过滤器列表出于政治动机而进行攻击的案例。所以 Sebastian 决定公开披露漏洞利用链的详细信息,以确保受影响的浏览器扩展和 Web 能得到有效的缓解措施服务。

Sebastian 在个人博客解释了利用该选项执行任意代码的工作原理,他建议 Adblock Plus 移除 $rewrite 选项,因为该功能容易遭到滥用。用户可以切换到另一个流行的广告屏蔽扩展 uBlock Origin,它不支持 $rewrite 选项,因此不受该攻击的影响。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Adblock Plus 过滤器列表被用于在网页执行任意代码
加载中

精彩评论

clouddyy
clouddyy
早就换成ublock了

最新评论(4

AlanShi
AlanShi
ublock origin
Feng_Yu
Feng_Yu

引用来自“clouddyy”的评论

早就换成ublock了
我用的是ublock origin
太懒
太懒
AD + NoScript 会不会更安全些
clouddyy
clouddyy
早就换成ublock了
返回顶部
顶部