Het is mogelijk code uit te voeren via de filterlijsten van verschillende populaire adblockers. Het gaat om een kwetsbaarheid in AdBlock, Adblock Plus en uBlock. Auteurs van de lijsten kunnen die manipuleren om websites om te leiden naar andere domeinen om zo scripts te injecteren.

De exploit zit in de $rewrite-functie die sinds vorig jaar in de filterlijsten van adblockers zit. De exploit werd ontdekt door beveiligingsonderzoeker Armin Sebastian. Hij publiceerde het lek op zijn website. Sebastian meldde het lek niet vooraf bij de makers 'vanwege de aard en de implicaties van het lek.' Hij wijst erop dat filterlijsten in het verleden zijn uitgebuit. UBlock Origin, een andere grote adblocker, gebruikt deze bewuste functie niet.

De rewrite-functie kan code op een website vervangen door er overheen te schrijven. Normaal gesproken kan dat alleen met code die afkomstig is van hetzelfde domein, maar een beveiligingsonderzoeker ontdekte dat het in sommige gevallen mogelijk is om code van andere domeinen te injecteren. Dat kan malafide code zijn waarmee bijvoorbeeld inloggegevens kunnen worden gestolen.

Daarvoor moet een originele website wel aan een aantal voorwaarden voldoen. Zo moet de pagina javascript laden via XMLHttpRequest of Fetch en moeten er geen Content Security Policies actief zijn. De onderzoeker toont aan hoe hij dat via verschillende Google-websites zoals Maps kan doen. Ook is het nodig dat de code wordt toegevoegd aan een filterlijst die door de adblockers wordt gebruikt. Die filterlijsten worden gecontroleerd door de makers van de adblockers.

Eyeo, het bedrijf achter AdBlock Plus, zegt dat het het lek onderzoekt en dat het bedrijf werkt aan een oplossing. Volgens de softwaremaker is er voorlopig geen bewijs dat het lek is uitgebuit. "Dat is een onwaarschijnlijk scenario. We controleren iedereen die iets toevoegt aan de filterlijsten en we controleren die lijsten zelf ook regelmatig."

Reacties mogelijk gemaakt door CComment