Фильтры Adblock Plus могут использоваться для запуска вредоносного кода

Фильтры Adblock Plus могут использоваться для запуска вредоносного кода

Проблема кроется в опции списка фильтров под названием $rewrite.

Функция в популярных блокировщиках рекламы Adblock Plus, AdBlock и uBlocker предоставляет возможность провайдерам списков фильтрации при определенных обстоятельствах выполнить код на web-страницах.

Речь идет о фильтре $rewrite, который появился в версии Adblock Plus v3.2 для Chrome, Firefox и Opera в июле минувшего года. Данная опция может изменять правила фильтрации, относящиеся к блокировке контента. Ее наличие обосновывается тем, что в некоторых случаях бывает более целесообразно переадресовать web-запрос, чем блокировать его. По словам разработчика Армина Себастьяна (Armin Sebastian), данным функционалом могут злоупотребить сторонние провайдеры списков фильтрации для выборочной перезаписи параметров URL и выполнения вредоносного кода (при наличии определенных условий).

Себастьян проинформировал Google о проблеме, однако в компании отказались расценивать ее как баг, заявив, что это задуманное поведение.

По словам разработчиков Adblock Plus, в случае $rewrite существуют ограничения, запрещающие выполнять какие-либо скрипты, но несмотря на настройки политики защиты контента (Content Security Policy), «некоторые сайты интерпретируют простой текст от третьих сторон как код и выполняют его». Как заверили в компании, эксплуатация данной проблемы слабо вероятна, поскольку списки фильтрации и их авторы постоянно проверяются. Тем не менее, в настоящее время разработчики работают над устранением уязвимости.

Adblock Plus, AdBlock и uBlocker (не имеет отношения к блокировщику uBlock Origin) представляют собой специальные расширения для браузеров, помогающие пользователям скрывать надоедливую и агрессивную рекламу со страниц ресурсов.



Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.