資訊
安全研究員 Armin Sebastian 發現廣告攔截器 Adblock Plus、Adblock 和 uBlock 的過濾器功能有缺陷。事實上,自 2018 年以來,這些擴充功能可以依賴「$rewrite」選項,該選項允許過濾器動態修改 HTTP 請求。已採取保護措施以防止該選項被利用來執行惡意程式碼。但事實證明這還不夠。在某些網站上,仍然有可能執行惡意 JavaScript 程式碼。研究人員透過一個著名網站谷歌地圖證明了這一點。在他的範例中,「駭客」過濾器會彈出一個 Javascript 警報視窗。
這意味著什麼
廣告攔截過濾器來自不同的來源,並由志工合作創建。對於這些志願者之一來說,將惡意過濾器引入過濾器列表就足夠了,以便能夠在許多用戶的電腦上執行程式碼。在接到研究人員的警告後,Google認為風險不足以證明修改地圖網站是合理的。研究人員不同意這個結論。他建議使用 uBlock Origin 擴展,該擴展不包含“$rewrite”選項。
