URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 117128
[ Назад ]
Исходное сообщение
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено opennews , 16-Апр-19 09:10
В блокировщике рекламы Adblock Plus выявлена (https://adblockplus.org/blog/potential-vulnerability-through... уязвимость, позволяющая (https://armin.dev/blog/2019/04/adblock-plus-code-injection/) организовать выполнение JavaScript-кода в контексте сайтов, в случае использования непроверенных фильтров, подготовленных злоумышленниками (например, при подключении сторонних наборов правил).Авторы списков с наборами фильтров могут организовать выполнение своего кода в контексте открываемых пользователем сайтов через добавление правил с оператором "rewrite (https://help.eyeo.com/en/adblockplus/how-to-write-filters#re... позволяющем заменить часть URL. Оператор rewrite не позволяет заменить хост в URL, но даёт возможность свободно манипулировать с аргументами запроса. В качестве маски для замены допускается применение только текста, а подстановка тегов script, object и subdocument блокируется (https://github.com/adblockplus/adblockpluscore/blob/247943b2....
Тем не менее, выполнения кода можно добиться обходным путём.
Некоторые сайты, например, maps.google.com, применяют технику динамической загрузки исполняемых JavaScript-блоков, передаваемых в форме голого текста. Если сервер допускает перенаправление запросов, то перенаправления на другой хост можно добиться подменив параметры URL (например, в контексте Google редирект может быть произведён через API "google.com/search (https://www.google.com/search?hl=en-US&source=hp&biw=&bih=&q.... Кроме хостов, допускающих редирект, атака также может быть совершена против сервисов, допускающих размещение контента пользователей (хостинги кода, платформы размещения статей и т.п.).
Атака может быть проведена только на страницы, динамически загружающие строки с JavaScript кодом (например, через XMLHttpRequest или Fetch) и затем выполняющие их. Другим важным ограничением является необходимость использования редиректа или размещения произвольных данных на стороне исходного сервера, отдающего ресурс. Тем не менее, в качестве демонстрации актуальности атаки показано как организовать выполнение своего кода при открытии maps.google.com, используя редирект через "google.com/search".
Исправление пока находится в процессе подготовки. Проблема также затрагивает блокировщики AdBlock (https://getadblock.com/) и uBlock (https://www.ublock.org/). Блокировщик uBlock Origin проблеме не подвержен, так как не поддерживает оператор "rewrite".
Разработчики Adblock Plus считают проведение реальных атак маловероятным, так как все изменения в штатных списках правил проходят рецензирование, а подключение сторонних списков практикуется пользователями крайне редко. Подмену правил через MITM исключает применение по умолчанию HTTPS для загрузки штатных списков блокировки (для остальных списков планируется запретить загрузку по HTTP в будущем выпуске). Для блокирования атаки на стороне сайтов могут применяться директивы CSP (https://en.wikipedia.org/wiki/Content_Security_Policy) (Content Security Policy), через которые можно явно определить хосты, с которых допускается загрузка внешних ресурсов.
URL: https://adblockplus.org/blog/potential-vulnerability-through...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50521
Содержание
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Дегенератор, 09:10 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,A.Stahl, 09:22 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,hand, 09:33 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,пох, 10:14 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,InuYasha, 11:25 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Урри, 18:07 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,AlexYeCu_not_logged, 12:12 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 12:25 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 15:01 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 09:41 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 09:42 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,AlexYeCu_not_logged, 15:23 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,анон, 12:21 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,IronMan, 13:22 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 14:00 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Вася, 15:53 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Ordu, 18:52 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 20:08 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 22:49 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 09:44 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,anon342532, 18:46 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,хотел спросить, 22:34 , 18-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,anon342532, 18:41 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,хотел спросить, 22:35 , 18-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 09:25 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 10:03 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 11:25 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 10:18 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 11:39 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,имя, 11:53 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 12:27 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 16:23 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 11:43 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 13:38 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 17:25 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 18:37 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 19:34 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Skullnet, 11:45 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Levon77, 14:22 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Урри, 18:09 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 12:47 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 13:33 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 16:32 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 18:10 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Retrosharer, 19:37 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 05:34 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним, 08:08 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Аноним42, 16:37 , 17-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Корец, 23:50 , 16-Апр-19
- Уязвимость в Adblock Plus, позволяющая выполнить код при исп...,Влад, 13:12 , 17-Апр-19
Сообщения в этом обсуждении
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Дегенератор , 16-Апр-19 09:10
Не понимаю, почему могут быть такие новости, если есть ublock orign?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено A.Stahl , 16-Апр-19 09:22
Потому что есть такая программа Adblock Plus и в ней нашли уязвимость.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено hand , 16-Апр-19 09:33
со всех фронтов заходят чтобы задавить, вчера иск подали на них совершенно замечательный, сегодня эта уязвимость.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено пох , 16-Апр-19 10:14
вот буквально два дня назад кто-то тут рекламировал какую-то неведомую поделку, якобы расширяющую функционал ублока - в том числе, предлагающую установить в него какой-то набор правил, напрямую скачиваемый с неведомого сайта неведомо чьего владения.Да, там код.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено InuYasha , 16-Апр-19 11:25
С его текущим ужасным UI uBlock не юзабелен. Мб они хотели сделать интерфейс для бабушек, но получилось вообще отвратно. У Adblock в своё время было ВСЁ. Зачем поднадобилось менять? В общем, поменяли ради того чтобы поменять.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Урри , 16-Апр-19 18:07
Текущий uBlock для бабушек подходит на все 100% ибо ВООБЩЕ не требует заходить в UI. Наботает из коробки без каких либо дополнительных телодвижений.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено AlexYeCu_not_logged , 16-Апр-19 12:12
>Не понимаю, почему могут быть такие новости, если есть ublock orign?Потому что Ublock Origin всё ещё уступает по функционалу AdBlock'у.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 12:25
Тем, что в нем нет галочки, разрешающей проплаченную "ненавязчивую" рекламу?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 15:01
Потому что его пока еще трудно пользовать, не приходя в сознание. Его автор еще не обо всем за нас подумал. Необходимость хоть чуть напрягать мозги отвлекает, понимаишь, от просмотра про^Wкотиков.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 09:41
Правильно говоришь. Жалко, что народ тебя не понял и на автомате заминусил.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 09:42
Наоборот, слишком хорошо поняли. :)
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено AlexYeCu_not_logged , 17-Апр-19 15:23
>Тем, что в нем нет галочки, разрешающей проплаченную "ненавязчивую" рекламу?Этот функционал мне без надобности.
Вообще же фанаты uBlock-а не отличаются адекватностью, как я посмотрю.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено анон , 16-Апр-19 12:21
потому-что єто говно все еще ломает и портит странички в отличии от адблока.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено IronMan , 16-Апр-19 13:22
Нет, у меня не ломает. Покажи мне хоть одну такую страничку.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 14:00
> Нет, у меня не ломает. Покажи мне хоть одну такую страничку. У него просто рекламу не показывает :(
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Вася , 16-Апр-19 15:53
Могу показать. otvet.mail.ru
Без отключения косметических фильтров в uBlock Origin слетает верстка.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Ordu , 16-Апр-19 18:52
> Могу показать. otvet.mail.ru
> mail.ruЭто не баг, это фича. mail.ru должен слетать и не работать. Это его карма. Я удивлён, что он ещё жив до сих пор, думал давно уже скончался за ненадобностью и на всю голову бажностью.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 20:08
Было бы смешно, если бы не правда.На Дноклассниках(тм) рекламу подсовывают даже по нажатию кнопки "Выйти" и периодически делают редизайны для профилактики свободомыслия у крепостных.
@Вася, видимо подписки в uBlock0 ещё не подтянулись за обновлением ненужно^W сайта. Функция логирования в помощь. Совсем недавно добавлял подруге исключения на Дноклассниках(тм):
@@||https://ok.ru/dk?cmd=NotificationsController
@@||https://ok.ru/dk?cmd=ReactBlock
@@||https://ok.ru/dk?cmd=videoPlayerMetadata
@@||https://ok.ru/dk?cmd=videoStatNew
@@||https://paymentnew.ok.ru/dk?cmd=sendPresent
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 22:49
mail.ru недавно в вебморде сделали рекламу с жёсткими контрмерами против блокировщиков. Чтобы обойти придётся написать свой ublock с машинным обучением.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 09:44
>Чтобы обойти придётся написать свой ublock с машинным обучением.Чтобы обходить эту кучу г десятой дорогой, не надо ничего писать.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено anon342532 , 17-Апр-19 18:46
Зашёл только что на mail.ru со включенным uBlock. А где реклама? А вообще, правильно говорят, что лучше туда не кодить категорически.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено хотел спросить , 18-Апр-19 22:34
ломает ломает
много зависит от выбранных фильтров
но это ожидаемо ведь, если ты блочишь скрипты, то какой-нибудь говносайт не заработает
а так 99.999% страниц открываются без проблем
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено anon342532 , 17-Апр-19 18:41
У меня достаточно агрессивные настройки uBlock'а. Проблем с отображением страниц не видел. Кастомные правила создавать тоже в целом удобно. Я не фанат, но попробовав раз на AdBlock не вернулся. А в целом, конечно хорошо, что AdBlock'а/uBlock'а есть достойный конкурент в его нише. Конкуренция - всегда хорошо, для конечного пользователя. Жаль, что среднестатистический россиянин, этого совсем не понимает.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено хотел спросить , 18-Апр-19 22:35
Я выбираю uBlock Origin просто потому что опенсорс
и в ungoogled chromium ставится чудесно руками из репы
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 09:25
> Уязвимость в Adblock
> Некоторые сайты, в том числе Google Maps, Gmail и Google ImagesНе-а. Это в google уязвимость
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 10:03
Notabug!
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 11:25
Google выполнил свою задачу. Google может уходить.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 10:18
Это не баг, это фича.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 11:39
Вот поэтому я не устанавливаю в арбузер никаких расширений, которые тормозят и открывают дыры. Слава мне!
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено имя , 16-Апр-19 11:53
Ты наверное и исходники программ читаешь перед компиляцией? Хотя постой! А в голове держишь хеши для проверки повторяемости сборок?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 12:27
Для начала он пытается прлдраться через тонны незаблокированных баннеров. А для этого надо всего лишь каждый день... [читать далее]
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 16:23
> А для этого надо всего лишь каждый день...... смеяться над фантазёрами из opennet :)
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 11:43
Врачи тоже смеялись, но потом были в ШОКЕ! Чтобы похудеть по методу доктора Попова, достаточно... [открыть полностью]
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 13:38
Мы чаще худеем по методу вахтера Держимордова - получишь банхаммером по кум^W IP, хочешь - не хочешь, а похудеешь.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 17:25
НЕВЕРОЯТНО! Существование динамических IP ПОДТВЕРЖДЕНО! Ученые... [Раскрыть полностью]
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 18:37
Поэтому заходя на сайт ты совершаешь кучу кросс-доменных запросов на счётчики, скрипты и рекламу.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 19:34
Нет. Всё чётко у меня.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Skullnet , 16-Апр-19 11:45
Все уже давно знают, что Ablock Plus - шерето, тем более тормозное шерето. Его ещё не забанили на сайтах с плагинами?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Levon77 , 16-Апр-19 14:22
а есть вменяемые альтернативы кроме упомянутого уБлока?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Урри , 16-Апр-19 18:09
К сожалению - нету. Хоть бери и сами пиши.Хотя стоп - зачем писать, если уже есть uBlock?
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 12:47
Для тех, кто пеняет на зеркало^W uBlock, повторюсь:
https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=s...
Он может всё.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 13:33
Помнится автра uBlock Origin называли параноиком после отказа добавить rewrite. В конеченом счёте он оказаля прав.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 16:32
>например, при подключении сторонних наборов правилСюрпрайз сюрпрайз, большинство наборов правил всегда были и будут сторонними для каждой отдельно взятой рекламокосилки.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 16-Апр-19 18:10
В новости же написали: лохи, до сих пор сидящие на ABP, сторонние подписки не осилили.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Retrosharer , 16-Апр-19 19:37
uBlock origin лучший. Благодарю.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 05:34
...после adguard
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним , 17-Апр-19 08:08
> ...после adguardДа, после него идет adguard
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Аноним42 , 17-Апр-19 16:37
Ну, AdGuard всё же решение совсем другого уровня, чем написанные на коленках бесплатные блокировщики. :) Один только антитрекинг функционал в нём на голову выше с чисткой referer, вырезанием из url utm мусора, блокировкой различного api, автоудалением сторонних cookie и отслеживающего cache содержимого, сокрытием user agent и блокировкой X-Client-Data и т.д. + мощный антифишинг и антимайнер + 1 приложение для всех браузеров и веб клиентов разом + удобные настройки и редактирование фильтров.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Корец , 16-Апр-19 23:50
Во всём следует винить тех, кто размещает рекламу. От неё и лишний траффик и лишняя нагрузка на систему... и дополнительные уязвимости.
"Уязвимость в Adblock Plus, позволяющая выполнить код при исп..."
Отправлено Влад , 17-Апр-19 13:12
о дааа. материал дизайн в комментарияхПростите за Оффтоп