[過去ログ] Google Chrome 拡張機能 23 (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
41: 2019/04/18(木)21:33 ID:p8KIrlP50(1) AAS
「Adblock Plus」のフィルターオプションに脆弱性、任意のコードが実行されてしまう恐れ
「AdBlock」「uBlock」にも同様の問題。「uBlock Origin」には影響せず
樽井 秀人2019年4月18日 12:57
外部リンク[html]:forest.watch.impress.co.jp
「Adblock Plus」のURL書き換えフィルターオプションに潜在的な脆弱性が存在することが
4月15日、セキュリティ研究者のArmin Sebastian氏によって明らかにされた。「Adblock
Plus」の開発元も、同日付けで公開した公式ブログの記事でそれを認めている。
2018年7月17日にリリースされた「Adblock Plus 3.2」では、リクエストを書き換える
オプション“$rewrite”がフィルター機能に導入された。その翌日、「AdBlock」もこの動きに
追従し、新しいフィルターオプションをサポートしたバージョンをリリース。その後、
「AdBlock」が買収した「uBlock」にもこの機能が導入された。
しかし、この“$rewrite”フィルターオプションを利用すると、特定条件下でフィルター
リストの管理者が任意のコードを挿入できることが明らかになった。フィルターリストの
なかにはコミュニティでメンテナンスされているものもあるが、そのなかに悪意を持った
メンバーがいれば、この脆弱性が「Adblock Plus」「AdBlock」「uBlock」のユーザーを
攻撃するために使われてしまう恐れがある。
Sebastian氏によると、この攻撃は悪用が簡単だが検出は難しく、すべての主要なWeb
ブラウザーで応用が可能だ。同氏はこの脆弱性をGoogleにも通報したが、拡張機能の意図的な
動作であるとして対応は行われなかった。そのため、問題の解決は拡張機能側のアップデート
を待つよりない。「Adblock Plus」の開発チームは、当面の対策として“$rewrite”オプション
の制限を実施している。将来的には、“$rewrite”オプションを削除したバージョンがリリース
される見込みだ。
なお、同系列の広告ブロッカー拡張機能のうち、「uBlock Origin」はこの脆弱性の影響を
受けないとのこと。同拡張機能ではパフォーマンスとセキュリティ上の問題から、この機能の
導入が否決されている。
上下前次1-新書関写板覧索設栞歴
あと 961 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.010s