인기 있는 광고 차단기인 Adblock Plus에서 JavaScript 코드 성능을 구성할 수 있는 취약점이 발견되었습니다..
J미확인 필터 사용시 S코드 실행 가능, 침입자에 의해 채택 (예를 들면, 목록 측 규칙에 연결하거나 MITM 공격에서 규칙 대체를 통해 연결하는 동안).필터 세트가 있는 목록 작성자는 URL 부분을 대체하는 "재작성" 연산자로 줄을 추가하여 사용자가 여는 웹 사이트 컨텍스트에서 코드의 성능을 구성할 수 있습니다.. 재작성 연산자는 조회 인수로 자유롭게 조작할 수 있지만 URL에서 호스트를 대체할 수 없습니다.. 태그를 스크립트로 대체, 개체 및 하위 문서가 차단되었지만 대체에 텍스트를 사용할 수 있습니다..
그렇지만, 코드 성능은 다른 방법으로 얻을 수 있습니다.. 일부 웹사이트, ...을 포함하여 구글지도, Gmail 과 구글 이미지, 네이키드 텍스트 형태로 전환되는 동적 자바스크립트 차단 다운로드 기법 적용. 리디렉션을 활성화하는 호스트 제외, 공격은 사용자의 콘텐츠 수용을 허용하는 서비스에 대해서도 수행될 수 있습니다..
제안된 방법은 JavaScript 코드가 포함된 라인을 동적으로 다운로드한 다음 수행하는 페이지만 포함합니다.. 또 다른 중요한 제한 사항은 리소스를 제공하는 초기 서버의 페이지에 임의의 데이터를 사용하거나 배치하는 리디렉션을 사용해야 한다는 것입니다..
문제 해결 준비 단계. Adblock 및 uBlock에서도 이 문제가 발생합니다..
Adblock Plus 개발자는 실제 공격 가능성을 다음과 같이 평가합니다. Google은 최근 Chrome 브라우저의 새 버전 출시를 발표했습니다. 서비스 규칙 목록의 모든 변경 사항을 검열하고 사이드 목록 연결을 거의 실행하지 않기 때문에.
