URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 117128
[ Назад ]
Исходное сообщение
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено opennews , 16-Апр-19 09:10 
В блокировщике рекламы Adblock Plus выявлена (https://adblockplus.org/blog/potential-vulnerability-through... уязвимость, позволяющая (https://armin.dev/blog/2019/04/adblock-plus-code-injection/) организовать выполнение JavaScript-кода в контексте сайтов, в случае использования непроверенных фильтров, подготовленных злоумышленниками (например, при подключении сторонних наборов правил).

Авторы списков с наборами фильтров могут организовать выполнение своего кода в контексте открываемых пользователем сайтов через добавление правил с оператором "rewrite (https://help.eyeo.com/en/adblockplus/how-to-write-filters#re... позволяющем заменить часть URL. Оператор rewrite не позволяет заменить хост в URL, но даёт возможность свободно манипулировать с аргументами запроса. В качестве маски для замены допускается применение только текста, а подстановка тегов script, object и subdocument блокируется (https://github.com/adblockplus/adblockpluscore/blob/247943b2....


Тем не менее, выполнения кода можно добиться обходным путём.
Некоторые сайты, например, maps.google.com, применяют технику динамической загрузки исполняемых JavaScript-блоков, передаваемых в форме голого текста. Если сервер допускает перенаправление запросов, то перенаправления на другой хост можно добиться подменив параметры URL (например, в контексте Google  редирект  может быть произведён через API "google.com/search (https://www.google.com/search?hl=en-US&source=hp&biw=&bih=&q.... Кроме хостов, допускающих редирект, атака также может быть совершена против сервисов, допускающих размещение контента пользователей (хостинги кода, платформы размещения статей и т.п.).


Атака может быть проведена только на страницы, динамически загружающие строки с JavaScript кодом  (например, через XMLHttpRequest или Fetch) и затем выполняющие их. Другим важным ограничением является необходимость использования редиректа или размещения произвольных данных на стороне исходного сервера, отдающего ресурс. Тем не менее, в качестве демонстрации актуальности атаки показано как организовать выполнение своего кода при открытии maps.google.com, используя редирект через "google.com/search".


Исправление пока находится в процессе подготовки. Проблема также затрагивает блокировщики  AdBlock (https://getadblock.com/) и uBlock (https://www.ublock.org/). Блокировщик uBlock Origin проблеме не подвержен, так как не поддерживает оператор "rewrite".


Разработчики Adblock Plus считают проведение реальных атак маловероятным, так как все изменения в штатных списках правил проходят рецензирование, а подключение сторонних списков практикуется пользователями крайне редко. Подмену правил через MITM исключает применение по умолчанию HTTPS для загрузки штатных списков блокировки (для остальных списков планируется запретить загрузку по HTTP в будущем выпуске). Для блокирования атаки на стороне сайтов могут применяться директивы CSP (https://en.wikipedia.org/wiki/Content_Security_Policy) (Content Security Policy), через которые можно явно определить хосты, с которых допускается загрузка внешних ресурсов.


URL: https://adblockplus.org/blog/potential-vulnerability-through...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50521

Содержание
Сообщения в этом обсуждении
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Дегенератор , 16-Апр-19 09:10 
Не понимаю, почему могут быть такие новости, если есть ublock orign?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено A.Stahl , 16-Апр-19 09:22 
Потому что есть такая программа Adblock Plus и в ней нашли уязвимость.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено hand , 16-Апр-19 09:33 
со всех фронтов заходят чтобы задавить, вчера иск подали на них совершенно замечательный, сегодня эта уязвимость.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено пох , 16-Апр-19 10:14 
вот буквально два дня назад кто-то тут рекламировал какую-то неведомую поделку, якобы расширяющую функционал ублока - в том числе, предлагающую установить в него какой-то набор правил, напрямую скачиваемый с неведомого сайта неведомо чьего владения.

Да, там код.

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено InuYasha , 16-Апр-19 11:25 
С его текущим ужасным UI uBlock не юзабелен. Мб они хотели сделать интерфейс для бабушек, но получилось вообще отвратно. У Adblock в своё время было ВСЁ. Зачем поднадобилось менять? В общем, поменяли ради того чтобы поменять.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Урри , 16-Апр-19 18:07 
Текущий uBlock для бабушек подходит на все 100% ибо ВООБЩЕ не требует заходить в UI. Наботает из коробки без каких либо дополнительных телодвижений.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено AlexYeCu_not_logged , 16-Апр-19 12:12 
>Не понимаю, почему могут быть такие новости, если есть ublock orign?

Потому что Ublock Origin всё ещё уступает по функционалу AdBlock'у.

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 12:25 
Тем, что в нем нет галочки, разрешающей проплаченную "ненавязчивую" рекламу?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 15:01 
Потому что его пока еще трудно пользовать, не приходя в сознание. Его автор еще не обо всем за нас подумал. Необходимость хоть чуть напрягать мозги отвлекает, понимаишь, от просмотра про^Wкотиков.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 09:41 
Правильно говоришь. Жалко, что народ тебя не понял и на автомате заминусил.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 09:42 
Наоборот, слишком хорошо поняли. :)
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено AlexYeCu_not_logged , 17-Апр-19 15:23 
>Тем, что в нем нет галочки, разрешающей проплаченную "ненавязчивую" рекламу?

Этот функционал мне без надобности.
Вообще же фанаты uBlock-а не отличаются адекватностью, как я посмотрю.

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено анон , 16-Апр-19 12:21 
потому-что єто говно все еще ломает и портит странички в отличии от адблока.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено IronMan , 16-Апр-19 13:22 
Нет, у меня не ломает. Покажи мне хоть одну такую страничку.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 14:00 
> Нет, у меня не ломает. Покажи мне хоть одну такую страничку.

У него просто рекламу не показывает :(

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Вася , 16-Апр-19 15:53 
Могу показать. otvet.mail.ru
Без отключения косметических фильтров в uBlock Origin слетает верстка.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Ordu , 16-Апр-19 18:52 
> Могу показать. otvet.mail.ru
> mail.ru

Это не баг, это фича. mail.ru должен слетать и не работать. Это его карма. Я удивлён, что он ещё жив до сих пор, думал давно уже скончался за ненадобностью и на всю голову бажностью.

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 20:08 
Было бы смешно, если бы не правда.

На Дноклассниках(тм) рекламу подсовывают даже по нажатию кнопки "Выйти" и периодически делают редизайны для профилактики свободомыслия у крепостных.

@Вася, видимо подписки в uBlock0 ещё не подтянулись за обновлением ненужно^W сайта. Функция логирования в помощь. Совсем недавно добавлял подруге исключения на Дноклассниках(тм):
@@||https://ok.ru/dk?cmd=NotificationsController
@@||https://ok.ru/dk?cmd=ReactBlock
@@||https://ok.ru/dk?cmd=videoPlayerMetadata
@@||https://ok.ru/dk?cmd=videoStatNew
@@||https://paymentnew.ok.ru/dk?cmd=sendPresent

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 22:49 
mail.ru недавно в вебморде сделали рекламу с жёсткими контрмерами против блокировщиков. Чтобы обойти придётся написать свой ublock с машинным обучением.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 09:44 
>Чтобы обойти придётся написать свой ublock с машинным обучением.

Чтобы обходить эту кучу г десятой дорогой, не надо ничего писать.

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено anon342532 , 17-Апр-19 18:46 
Зашёл только что на mail.ru со включенным uBlock. А где реклама? А вообще, правильно говорят, что лучше туда не кодить категорически.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено хотел спросить , 18-Апр-19 22:34 
ломает ломает
много зависит от выбранных фильтров
но это ожидаемо ведь, если ты блочишь скрипты, то какой-нибудь говносайт не заработает
а так 99.999% страниц открываются без проблем
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено anon342532 , 17-Апр-19 18:41 
У меня достаточно агрессивные настройки uBlock'а. Проблем с отображением страниц не видел. Кастомные правила создавать тоже в целом удобно. Я не фанат, но попробовав раз на AdBlock не вернулся. А в целом, конечно хорошо, что AdBlock'а/uBlock'а есть достойный конкурент в его нише. Конкуренция - всегда хорошо, для конечного пользователя. Жаль, что среднестатистический россиянин, этого совсем не понимает.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено хотел спросить , 18-Апр-19 22:35 
Я выбираю uBlock Origin просто потому что опенсорс
и в ungoogled chromium ставится чудесно руками из репы
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 09:25 
> Уязвимость в Adblock
> Некоторые сайты, в том числе Google Maps, Gmail и Google Images

Не-а. Это в google уязвимость

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 10:03 
Notabug!
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 11:25 
Google выполнил свою задачу. Google может уходить.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 10:18 
Это не баг, это фича.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 11:39 
Вот поэтому я не устанавливаю в арбузер никаких расширений, которые тормозят и открывают дыры. Слава мне!
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено имя , 16-Апр-19 11:53 
Ты наверное и исходники программ читаешь перед компиляцией? Хотя постой! А в голове держишь хеши для проверки повторяемости сборок?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 12:27 
Для начала он пытается прлдраться через тонны незаблокированных баннеров. А для этого надо всего лишь каждый день... [читать далее]
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 16:23 
> А для этого надо всего лишь каждый день...

... смеяться над фантазёрами из opennet :)

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 11:43 
Врачи тоже смеялись, но потом были в ШОКЕ! Чтобы похудеть по методу доктора Попова, достаточно... [открыть полностью]
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 13:38 
Мы чаще худеем по методу вахтера Держимордова - получишь банхаммером по кум^W IP, хочешь - не хочешь, а похудеешь.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 17:25 
НЕВЕРОЯТНО! Существование динамических IP ПОДТВЕРЖДЕНО! Ученые... [Раскрыть полностью]
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 18:37 
Поэтому заходя на сайт ты совершаешь кучу кросс-доменных запросов на счётчики, скрипты и рекламу.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 19:34 
Нет. Всё чётко у меня.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Skullnet , 16-Апр-19 11:45 
Все уже давно знают, что Ablock Plus - шерето, тем более тормозное шерето. Его ещё не забанили на сайтах с плагинами?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Levon77 , 16-Апр-19 14:22 
а есть вменяемые альтернативы кроме упомянутого уБлока?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Урри , 16-Апр-19 18:09 
К сожалению - нету. Хоть бери и сами пиши.

Хотя стоп - зачем писать, если уже есть uBlock?

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 12:47 
Для тех, кто пеняет на зеркало^W uBlock, повторюсь:
https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=s...
Он может всё.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 13:33 
Помнится автра uBlock Origin называли параноиком после отказа добавить rewrite. В конеченом счёте он оказаля прав.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 16:32 
>например, при подключении сторонних наборов правил

Сюрпрайз сюрпрайз, большинство наборов правил всегда были и будут сторонними для каждой отдельно взятой рекламокосилки.

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 18:10 
В новости же написали: лохи, до сих пор сидящие на ABP, сторонние подписки не осилили.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Retrosharer , 16-Апр-19 19:37 
uBlock origin лучший. Благодарю.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 05:34 
...после adguard
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 08:08 
> ...после adguard

Да, после него идет adguard

"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним42 , 17-Апр-19 16:37 
Ну, AdGuard всё же решение совсем другого уровня, чем написанные на коленках бесплатные блокировщики. :) Один только антитрекинг функционал в нём на голову выше с чисткой referer, вырезанием из url utm мусора, блокировкой различного api, автоудалением сторонних cookie и отслеживающего cache содержимого, сокрытием user agent и блокировкой X-Client-Data и т.д. + мощный антифишинг и антимайнер + 1 приложение для всех браузеров и веб клиентов разом + удобные настройки и редактирование фильтров.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Корец , 16-Апр-19 23:50 
Во всём следует винить тех, кто размещает рекламу. От неё и лишний траффик и лишняя нагрузка на систему... и дополнительные уязвимости.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Влад , 17-Апр-19 13:12 
о дааа. материал дизайн в комментариях

Простите за Оффтоп