The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от opennews (ok), 16-Апр-19, 09:10 
В блокировщике рекламы Adblock Plus выявлена (https://adblockplus.org/blog/potential-vulnerability-through...) уязвимость, позволяющая (https://armin.dev/blog/2019/04/adblock-plus-code-injection/) организовать выполнение JavaScript-кода в контексте сайтов, в случае использования непроверенных фильтров, подготовленных злоумышленниками (например, при подключении сторонних наборов правил).

Авторы списков с наборами фильтров могут организовать выполнение своего кода в контексте открываемых пользователем сайтов через добавление правил с оператором "rewrite (https://help.eyeo.com/en/adblockplus/how-to-write-filters#re...)", позволяющем заменить часть URL. Оператор rewrite не позволяет заменить хост в URL, но даёт возможность свободно манипулировать с аргументами запроса. В качестве маски для замены допускается применение только текста, а подстановка тегов script, object и subdocument блокируется (https://github.com/adblockplus/adblockpluscore/blob/247943b2...).


Тем не менее, выполнения кода можно добиться обходным путём.
Некоторые сайты, например, maps.google.com, применяют технику динамической загрузки исполняемых JavaScript-блоков, передаваемых в форме голого текста. Если сервер допускает перенаправление запросов, то перенаправления на другой хост можно добиться подменив параметры URL (например, в контексте Google  редирект  может быть произведён через API "google.com/search (https://www.google.com/search?hl=en-US&source=hp&biw=&bih=&q...)"). Кроме хостов, допускающих редирект, атака также может быть совершена против сервисов, допускающих размещение контента пользователей (хостинги кода, платформы размещения статей и т.п.).


Атака может быть проведена только на страницы, динамически загружающие строки с JavaScript кодом  (например, через XMLHttpRequest или Fetch) и затем выполняющие их. Другим важным ограничением является необходимость использования редиректа или размещения произвольных данных на стороне исходного сервера, отдающего ресурс. Тем не менее, в качестве демонстрации актуальности атаки показано как организовать выполнение своего кода при открытии maps.google.com, используя редирект через "google.com/search".


Исправление пока находится в процессе подготовки. Проблема также затрагивает блокировщики  AdBlock (https://getadblock.com/) и uBlock (https://www.ublock.org/). Блокировщик uBlock Origin проблеме не подвержен, так как не поддерживает оператор "rewrite".


Разработчики Adblock Plus считают проведение реальных атак маловероятным, так как все изменения в штатных списках правил проходят рецензирование, а подключение сторонних списков практикуется пользователями крайне редко. Подмену правил через MITM исключает применение по умолчанию HTTPS для загрузки штатных списков блокировки (для остальных списков планируется запретить загрузку по HTTP в будущем выпуске). Для блокирования атаки на стороне сайтов могут применяться директивы CSP (https://en.wikipedia.org/wiki/Content_Security_Policy) (Content Security Policy), через которые можно явно определить хосты, с которых допускается загрузка внешних ресурсов.


URL: https://adblockplus.org/blog/potential-vulnerability-through...
Новость: https://www.opennet.dev/opennews/art.shtml?num=50521

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –4 +/
Сообщение от Дегенератор (ok), 16-Апр-19, 09:10 
Не понимаю, почему могут быть такие новости, если есть ublock orign?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +21 +/
Сообщение от A.Stahl (ok), 16-Апр-19, 09:22 
Потому что есть такая программа Adblock Plus и в ней нашли уязвимость.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –2 +/
Сообщение от hand (?), 16-Апр-19, 09:33 
со всех фронтов заходят чтобы задавить, вчера иск подали на них совершенно замечательный, сегодня эта уязвимость.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +4 +/
Сообщение от пох (?), 16-Апр-19, 10:14 
вот буквально два дня назад кто-то тут рекламировал какую-то неведомую поделку, якобы расширяющую функционал ублока - в том числе, предлагающую установить в него какой-то набор правил, напрямую скачиваемый с неведомого сайта неведомо чьего владения.

Да, там код.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –12 +/
Сообщение от InuYasha (?), 16-Апр-19, 11:25 
С его текущим ужасным UI uBlock не юзабелен. Мб они хотели сделать интерфейс для бабушек, но получилось вообще отвратно. У Adblock в своё время было ВСЁ. Зачем поднадобилось менять? В общем, поменяли ради того чтобы поменять.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

29. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +3 +/
Сообщение от Урри (?), 16-Апр-19, 18:07 
Текущий uBlock для бабушек подходит на все 100% ибо ВООБЩЕ не требует заходить в UI. Наботает из коробки без каких либо дополнительных телодвижений.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –13 +/
Сообщение от AlexYeCu_not_logged (?), 16-Апр-19, 12:12 
>Не понимаю, почему могут быть такие новости, если есть ublock orign?

Потому что Ublock Origin всё ещё уступает по функционалу AdBlock'у.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +10 +/
Сообщение от Аноним (16), 16-Апр-19, 12:25 
Тем, что в нем нет галочки, разрешающей проплаченную "ненавязчивую" рекламу?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

23. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –6 +/
Сообщение от Аноним (23), 16-Апр-19, 15:01 
Потому что его пока еще трудно пользовать, не приходя в сознание. Его автор еще не обо всем за нас подумал. Необходимость хоть чуть напрягать мозги отвлекает, понимаишь, от просмотра про^Wкотиков.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

42. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (42), 17-Апр-19, 09:41 
Правильно говоришь. Жалко, что народ тебя не понял и на автомате заминусил.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

43. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (23), 17-Апр-19, 09:42 
Наоборот, слишком хорошо поняли. :)
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

48. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от AlexYeCu_not_logged (?), 17-Апр-19, 15:23 
>Тем, что в нем нет галочки, разрешающей проплаченную "ненавязчивую" рекламу?

Этот функционал мне без надобности.
Вообще же фанаты uBlock-а не отличаются адекватностью, как я посмотрю.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

15. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –13 +/
Сообщение от анон (?), 16-Апр-19, 12:21 
потому-что єто говно все еще ломает и портит странички в отличии от адблока.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от IronMan (?), 16-Апр-19, 13:22 
Нет, у меня не ломает. Покажи мне хоть одну такую страничку.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +3 +/
Сообщение от Аноним (21), 16-Апр-19, 14:00 
> Нет, у меня не ломает. Покажи мне хоть одну такую страничку.

У него просто рекламу не показывает :(

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –1 +/
Сообщение от Вася (??), 16-Апр-19, 15:53 
Могу показать. otvet.mail.ru
Без отключения косметических фильтров в uBlock Origin слетает верстка.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +7 +/
Сообщение от Ordu (ok), 16-Апр-19, 18:52 
> Могу показать. otvet.mail.ru
> mail.ru

Это не баг, это фича. mail.ru должен слетать и не работать. Это его карма. Я удивлён, что он ещё жив до сих пор, думал давно уже скончался за ненадобностью и на всю голову бажностью.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

37. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (37), 16-Апр-19, 20:08 
Было бы смешно, если бы не правда.

На Дноклассниках(тм) рекламу подсовывают даже по нажатию кнопки "Выйти" и периодически делают редизайны для профилактики свободомыслия у крепостных.

@Вася, видимо подписки в uBlock0 ещё не подтянулись за обновлением ненужно^W сайта. Функция логирования в помощь. Совсем недавно добавлял подруге исключения на Дноклассниках(тм):
@@||https://ok.ru/dk?cmd=NotificationsController
@@||https://ok.ru/dk?cmd=ReactBlock
@@||https://ok.ru/dk?cmd=videoPlayerMetadata
@@||https://ok.ru/dk?cmd=videoStatNew
@@||https://paymentnew.ok.ru/dk?cmd=sendPresent

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (38), 16-Апр-19, 22:49 
mail.ru недавно в вебморде сделали рекламу с жёсткими контрмерами против блокировщиков. Чтобы обойти придётся написать свой ublock с машинным обучением.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

44. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +3 +/
Сообщение от Аноним (23), 17-Апр-19, 09:44 
>Чтобы обойти придётся написать свой ublock с машинным обучением.

Чтобы обходить эту кучу г десятой дорогой, не надо ничего писать.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

52. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от anon342532 (?), 17-Апр-19, 18:46 
Зашёл только что на mail.ru со включенным uBlock. А где реклама? А вообще, правильно говорят, что лучше туда не кодить категорически.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

53. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от хотел спросить (?), 18-Апр-19, 22:34 
ломает ломает
много зависит от выбранных фильтров
но это ожидаемо ведь, если ты блочишь скрипты, то какой-нибудь говносайт не заработает
а так 99.999% страниц открываются без проблем
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

51. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от anon342532 (?), 17-Апр-19, 18:41 
У меня достаточно агрессивные настройки uBlock'а. Проблем с отображением страниц не видел. Кастомные правила создавать тоже в целом удобно. Я не фанат, но попробовав раз на AdBlock не вернулся. А в целом, конечно хорошо, что AdBlock'а/uBlock'а есть достойный конкурент в его нише. Конкуренция - всегда хорошо, для конечного пользователя. Жаль, что среднестатистический россиянин, этого совсем не понимает.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

54. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от хотел спросить (?), 18-Апр-19, 22:35 
Я выбираю uBlock Origin просто потому что опенсорс
и в ungoogled chromium ставится чудесно руками из репы
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

3. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (3), 16-Апр-19, 09:25 
> Уязвимость в Adblock
> Некоторые сайты, в том числе Google Maps, Gmail и Google Images

Не-а. Это в google уязвимость

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +1 +/
Сообщение от Аноним (16), 16-Апр-19, 10:03 
Notabug!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (3), 16-Апр-19, 11:25 
Google выполнил свою задачу. Google может уходить.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (7), 16-Апр-19, 10:18 
Это не баг, это фича.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –5 +/
Сообщение от Аноним (11), 16-Апр-19, 11:39 
Вот поэтому я не устанавливаю в арбузер никаких расширений, которые тормозят и открывают дыры. Слава мне!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +1 +/
Сообщение от имя (?), 16-Апр-19, 11:53 
Ты наверное и исходники программ читаешь перед компиляцией? Хотя постой! А в голове держишь хеши для проверки повторяемости сборок?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +12 +/
Сообщение от Аноним (16), 16-Апр-19, 12:27 
Для начала он пытается прлдраться через тонны незаблокированных баннеров. А для этого надо всего лишь каждый день... [читать далее]
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –2 +/
Сообщение от Аноним (26), 16-Апр-19, 16:23 
> А для этого надо всего лишь каждый день...

... смеяться над фантазёрами из opennet :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

45. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +3 +/
Сообщение от Аноним (42), 17-Апр-19, 11:43 
Врачи тоже смеялись, но потом были в ШОКЕ! Чтобы похудеть по методу доктора Попова, достаточно... [открыть полностью]
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

47. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (23), 17-Апр-19, 13:38 
Мы чаще худеем по методу вахтера Держимордова - получишь банхаммером по кум^W IP, хочешь - не хочешь, а похудеешь.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

50. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (50), 17-Апр-19, 17:25 
НЕВЕРОЯТНО! Существование динамических IP ПОДТВЕРЖДЕНО! Ученые... [Раскрыть полностью]
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

32. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +5 +/
Сообщение от Аноним (32), 16-Апр-19, 18:37 
Поэтому заходя на сайт ты совершаешь кучу кросс-доменных запросов на счётчики, скрипты и рекламу.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

35. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (11), 16-Апр-19, 19:34 
Нет. Всё чётко у меня.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

12. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Skullnetemail (?), 16-Апр-19, 11:45 
Все уже давно знают, что Ablock Plus - шерето, тем более тормозное шерето. Его ещё не забанили на сайтах с плагинами?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Levon77 (?), 16-Апр-19, 14:22 
а есть вменяемые альтернативы кроме упомянутого уБлока?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Урри (?), 16-Апр-19, 18:09 
К сожалению - нету. Хоть бери и сами пиши.

Хотя стоп - зачем писать, если уже есть uBlock?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

18. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –1 +/
Сообщение от Аноним (37), 16-Апр-19, 12:47 
Для тех, кто пеняет на зеркало^W uBlock, повторюсь:
https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi?az=s...
Он может всё.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +13 +/
Сообщение от Аноним (20), 16-Апр-19, 13:33 
Помнится автра uBlock Origin называли параноиком после отказа добавить rewrite. В конеченом счёте он оказаля прав.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (27), 16-Апр-19, 16:32 
>например, при подключении сторонних наборов правил

Сюрпрайз сюрпрайз, большинство наборов правил всегда были и будут сторонними для каждой отдельно взятой рекламокосилки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним (31), 16-Апр-19, 18:10 
В новости же написали: лохи, до сих пор сидящие на ABP, сторонние подписки не осилили.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

36. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +3 +/
Сообщение от Retrosharer (?), 16-Апр-19, 19:37 
uBlock origin лучший. Благодарю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  –1 +/
Сообщение от Аноним (40), 17-Апр-19, 05:34 
...после adguard
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

41. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +1 +/
Сообщение от Аноним (41), 17-Апр-19, 08:08 
> ...после adguard

Да, после него идет adguard

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

49. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Аноним42 (?), 17-Апр-19, 16:37 
Ну, AdGuard всё же решение совсем другого уровня, чем написанные на коленках бесплатные блокировщики. :) Один только антитрекинг функционал в нём на голову выше с чисткой referer, вырезанием из url utm мусора, блокировкой различного api, автоудалением сторонних cookie и отслеживающего cache содержимого, сокрытием user agent и блокировкой X-Client-Data и т.д. + мощный антифишинг и антимайнер + 1 приложение для всех браузеров и веб клиентов разом + удобные настройки и редактирование фильтров.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

39. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +2 +/
Сообщение от Корец (?), 16-Апр-19, 23:50 
Во всём следует винить тех, кто размещает рекламу. От неё и лишний траффик и лишняя нагрузка на систему... и дополнительные уязвимости.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."  +/
Сообщение от Владemail (??), 17-Апр-19, 13:12 
о дааа. материал дизайн в комментариях

Простите за Оффтоп

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру