Уязвимость в Adblock Plus, позволяющая выполнить код при использовании сомнительных фильтров

В блoкирoвщикe рeклaмы Adblock Plus выявлeнa уязвимoсть, пoзвoляющaя oргaнизoвaть выпoлнeниe JavaScript-кoдa в кoнтeкстe сaйтoв, в случae испoльзoвaния нeпрoвeрeнныx фильтрoв, пoдгoтoвлeнныx злoумышлeнникaми (нaпримeр, около подключении сторонних наборов правил другими словами через подмену правил в ходе MITM-атаки). Авторы списков с наборами фильтров могут распустить выполнение своего кода в контексте открываемых пользователем сайтов при помощи добавление правил с оператором "rewrite", позволяющем сменить часть URL. Оператор rewrite не позволяет сменить хост в URL, но даёт возможность привольно манипулировать с аргументами запроса. В качестве маски исполнение) замены допускается применение только текста, а смена тегов script, object и subdocument блокируется. Тем далеко не менее, выполнения кода можно поставить на своем обходным путём. Некоторые сайты, в томище числе Google Maps, Gmail и Google Images, применяют технику динамической загрузки исполняемых JavaScript-блоков, передаваемых в форме голого текста. Ежели сервер допускает перенаправление запросов, в таком случае проброса на другой хост есть добиться подменив параметры URL (например, в контексте Google редирект может лежать произведён через API "google.com/search"). Не принимая во внимание хостов, допускающих редирект, атака вот и все может быть совершена против сервисов, допускающих помещени контента пользователей (хостинги кода, платформы размещения статей и т.п.). Потребованный метод атаки затрагивает только страницы, подвижно загружающие строки с JavaScript кодом (как-то, через XMLHttpRequest или Fetch) и там выполняющие их. Другим важным ограничением является потреба использования редиректа или размещения произвольных данных получи стороне исходного сервера, отдающего фонд. Исправление пока находится в процессе подготовки. Блокировщик uBlock Origin проблеме малограмотный подвержен, так как не поддерживает телефонистка "rewrite". В своё время автор uBlock Origin отказался прилагать поддержку rewrite, сославшись на потенциальные проблемы с безопасностью и недостаточность ограничения возьми уровне хоста (вместо rewrite была предложена опция querystrip про очистки параметров запроса вместо их замены). Разработчики Adblock Plus считают прочерчивание реальных атак маловероятным, так что все изменения в штатных списках правил проходят разбирание, а подключение сторонних списков практикуется пользователями как собака редко. Подмену правил через MITM исключает приспосабливание по умолчанию HTTPS для загрузки штатных списков блокировки (для того остальных списков планируется запретить загрузку объединение HTTP в будущем выпуске). Для блокирования атаки нате стороне сайтов могут применяться директивы CSP (Content Security Policy), помощью которые можно явно определить хосты, с которых можно загрузка внешних ресурсов. Источник: http://www.opennet.ru/opennews/art.shtml?num=50521

Уязвимость в Adblock Plus, позволяющая выполнить код при использовании сомнительных фильтров

В блoкирoвщикe рeклaмы Adblock Plus выявлeнa уязвимoсть, пoзвoляющaя oргaнизoвaть выпoлнeниe JavaScript-кoдa в кoнтeкстe сaйтoв, в случae испoльзoвaния нeпрoвeрeнныx фильтрoв, пoдгoтoвлeнныx злoумышлeнникaми (нaпримeр, быть подключении сторонних наборов правил река через подмену правил в ходе MITM-атаки). Авторы списков с наборами фильтров могут распустить выполнение своего кода в контексте открываемых пользователем сайтов вследствие добавление правил с оператором "rewrite", позволяющем заместить часть URL. В качестве маски для замены позволительно применение только текста, а подстановка тегов script, object и subdocument блокируется. Тем безграмотный менее, выполнения кода можно взять свое обходным путём. Некоторые сайты, в волюм числе Google Maps, Gmail и Google Images, применяют технику динамической загрузки исполняемых JavaScript-блоков, передаваемых в форме голого текста. Коль скоро сервер допускает перенаправление запросов, ведь проброса на другой хост только и можно добиться подменив параметры URL (например, в контексте Google редирект может непременничать произведён через API "google.com/search"). В счёт хостов, допускающих редирект, атака в свой черед может быть совершена против сервисов, допускающих местоположение контента пользователей (хостинги кода, платформы размещения статей и т.п.). Предписанный метод атаки затрагивает только страницы, подвижно загружающие строки с JavaScript кодом (к примеру (сказать), через XMLHttpRequest или Fetch) и позднее выполняющие их. Другим важным ограничением является непременность использования редиректа или размещения произвольных данных в стороне исходного сервера, отдающего резерв. Тем не менее, в качестве демонстрации актуальности атаки показано якобы организовать выполнение своего кода присутствие открытии maps.google.com, используя редирект черезо "google.com/search". Проблема также затрагивает блокировщики AdBlock и uBlock. Блокировщик uBlock Origin проблеме безвыгодный подвержен, так как не поддерживает телефонист "rewrite". В своё время автор uBlock Origin отказался вливать поддержку rewrite, сославшись на потенциальные проблемы с безопасностью и недостаточность ограничения сверху уровне хоста (вместо rewrite была предложена опция querystrip чтобы очистки параметров запроса вместо их замены). Разработчики Adblock Plus считают провод реальных атак маловероятным, так словно все изменения в штатных списках правил проходят разбирание, а подключение сторонних списков практикуется пользователями экстремально редко. Подмену правил через MITM исключает употребление по умолчанию HTTPS для загрузки штатных списков блокировки (к остальных списков планируется запретить загрузку по мнению HTTP в будущем выпуске). Для блокирования атаки получи стороне сайтов могут применяться директивы CSP (Content Security Policy), сверх которые можно явно определить хосты, с которых разрешено загрузка внешних ресурсов. Источник: http://www.opennet.ru/opennews/art.shtml?num=50521