Независимият изследовател по информационна сигурност Армин Себастиан се е натъкнал на уязвимост в Adblock Plus – най-популярното браузърно разширение за блокиране на онлайн реклама и проследяващи мрежи. Успешното експлоатиране на слабостта може да позволи на атакуващата страна да влезе във входящата кутия на Gmail на потребителя, да чете писма и да получи поглед и над други услуги на Google, които ползва жертвата.

Себастиан е открил, че хакер може посредством Adblock Plus да инжектира зловреден код в някои услуги на Google, сред които Gmail, Images и Maps, като самата атака е трудно да бъде засечена.

Въпросната уязвимост е била представена в Adblock Plus с версия, публикувана в началото на юли миналата година. Проблемът се крие в представените тогава нови възможности за филтрираща възможност за презапис на заявките. Себастиан открил, че при някои обстоятелства, $rewrite опцията може да помогне на управляващия списъци за филтриране да инжектира случаен код в уебстраниците.

„Филтърната опция $rewrite се използва от някои блокатори на реклама, за да бъде премахната проследяващата информация и се блокират реклами чрез пренасочване на заявките. Опцията позволява презапис само в контекста на същия произход и заявките от типа SCRIPT, SUBDOCUMENT, OBJECT и OBJECT_SUBREQUEST не биват обработвани“, пише Себастиан.

Той пише, че потенциално застрашени от този бъг са над 100 милиона потребители и дадената характеристика не е трудно да бъде експлоатирана с цел атака над коя да е достатъчно сложна уеб услуга, в това число и тази на Google. Атаките са трудни за засичане и могат да бъдат да изпълнени към всеки от известните браузъри.

4
ДОБАВИ КОМЕНТАР

avatar
1 Коментари
3 Отговори на коментарите
4 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
4 Автори на коментарите
_nib_ТахтунCoolColombino Автори на последните коментари
  Абонирай се  
нови стари оценка
Извести ме за
Colombino
Colombino

Какъв случаен код ви гони …. Не е случаен, а произволен. Никой няма да тръгне да инжектира код, ако ще е случаен. Като превеждате с гугъл arbitrary, сетете се да дадете целия израз – arbitrary code и го превежда по-добре от вас.
Сетих се за рейсовете със „случаен превоз“ – и те не те карат на случайно място.

Cool
Cool

Пък заглавието – без коментар. Има надежда, но малка. Администраторът набира хора, които да списват сайта.

Тахтун
Тахтун

Текстовете тук в Калдата са на супер ниво спрямо обикновените новинарски сайтове – там положението е отчайващо – всеки втори израз е „в тази връзка, в контекста на, ексклузивно, инициирам“ и много други. Един недоучен журналист или народен представител като каже някаква глупост и всички почват да я повтарят като папагали.

_nib_
_nib_

Ти да видиш пък ф.л.а.гман….щи фръкне шапката.Там нямат начално списващите.