研究人员Armin Sebastian是在AdBlock Plus 3.2版发现这项漏洞,涵括Chrome, Firefox 和Opera版本。去年7月公布的AdBlock Plus 3.2版加入一项「$rewrite」的功能,之后AdBlock另一产品uBlock也实作了这项功能。研究人员发现,在特定条件下,$rewrite过滤功能可能让维护过滤名单的单位,在网页上注入任意代码。
按AdBlock、uBlock的用户族群计算,受影响人数超过1亿人。利用本漏洞黑客可以很简单黑入复杂的网页服务,包括Google服务在内。此外,这类攻击在所有主要浏览器中都可发动、又难以侦测,加上过去也曾发生过滤名单被用作政治攻击,是风险相当高的漏洞。
研究人员解释,$rewrite过滤功能在广告过滤程式中,旨在藉由重导向(而非封锁)网页呼叫,又能从URL移除追踪资料及封锁广告,这是因为有时不需完全封锁网页。利用$rewrite指令,第三方过滤名单可以选择性覆写URL的参数。
但在某些条件俱足情况下,这项功能可被用来对网页程式发动攻击,包括网页利用XMLHttpRequest 或Fetch指令载入JavaScript 字串以执行回传的代码,网页又无法限制透过内容安全政策或URL验证来限制来源网域,而回传代码的来源又允许伺服器端Open Redirect,或代管任意内容代码。三个条件满足时,不肖的过滤名单维护业者,就可能加入恶意过滤字串进而执行恶意代码。
研究人员认为,个人或企业可能被锁定IP成为攻击目标。但雪上加霜的是,插件会定期更新第三方单位提供的过滤名单,使外部业者包含的恶意代码很容易就被置换掉,以致无法被追查到。
凑巧的是,Gmail和Google图片就完全符合三项条件。不过在Sebastian通报后,Google认为这是「意欲的行为(intended behavior)」而非漏洞,且只是AdBlock Plus及uBlock的安全问题。但研究人员指出,除了Google服务外,许多其他服务也受到影响。
研究人员指出,为防止此类攻击,网页服务业者以白名单列出允许的呼叫来源,或关闭伺服器端open redirect。而广告插件则应选择不支援$rewrite功能的产品,例如uBlock Origin(并非uBlock供应商,AdBlock才是)。
The Register引述AdBlock方面指出,公司相当重视本问题,目前正在研究中。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
