قبل بضعة أيام تم الكشف عن ثغرة أمنية في امتداد المتصفح الشهير "UBlock Origin" الذي قد يتسبب في تعطل النظام المستخدم أو تصل إلى نقطة نفاد الذاكرة عند تصفح عنوان URL معد خصيصًا إذا كان عنوان URL يقع ضمن عوامل تصفية "الحظر الصارم".
الضعف المحدد تظهر فقط عندما ينتقل المستخدم مباشرة إلى عنوان url الذي به مشكلة، على سبيل المثال ، عند النقر فوق ارتباط.
يعمل الحظر الصارم عن طريق فتح صفحة تحذير توفر معلومات حول المورد المحظور ، بما في ذلك عنوان URL الخاص به والمرشح الذي منع المورد من التحميل. تعرض صفحة التحذير أيضًا معلمات الاستعلام الخاصة بعنوان URL المحظور لمساعدة المستخدمين على تجنب تتبع عمليات إعادة التوجيه.
في الإصدارات السابقة من uBO ، تم تحليل هذه المعلمات بشكل متكرر وإضافتها إلى DOM دون أي فحص عميق ، مما قد يؤدي إلى تعطل الامتداد واستنفاد الذاكرة ، اعتمادًا على المتصفح والجهاز. تشترك uMatrix و ηMatrix ، شوكة uMatrix المتوافقة مع Pale Moon ، في رمز مماثل لعرض معلمات URL التي تم تحليلها.
يذكر أن تم تصحيح الثغرة الأمنية المكتشفة في الوقت المناسب في التحديث uBlock الأصل 1.36.2. على الرغم من ذكر ذلك أيضًا يتأثر المكون الإضافي uMatrix أيضًا لنفس المشكلة ، ولكن تم إيقاف صيانتها ولم يعد يتم إصدار التحديثات ، لذا فإن الحل الوحيد هو إلغاء تثبيت ملحق المتصفح.
كما لا توجد حلول في uMatrix (في الأصل تم اقتراح تعطيل جميع عوامل تصفية الحظر الصارمة عبر علامة التبويب "الأصول" ، ولكن تم اعتبار هذه التوصية غير كافية وتسبب مشاكل للمستخدمين بقواعد المنع الخاصة بهم). في η ماتريكس ، شوكة uMatrix من مشروع Pale Moon ، تم إصلاح الثغرة الأمنية في الإصدار 4.4.9.
يجب على المستخدمين التحديث إلى uBO 1.36.2 و ηMatrix 4.4.9 لتلقي إصلاحات لهذه الثغرة الأمنية ، والتي تؤثر على الإعدادات الافتراضية لكلا الملحقين.
فيما يتعلق بالثغرة الأمنية ، يُذكر أنها ناتجة عن عامل تصفية حظر قوي يتم تحديده بشكل عام على مستوى المجال ويهدف إلى رفض جميع الاتصالات ، حتى إذا اتبعت ارتباطًا مباشرًا.
أي أن الضعف يرجع إلى حقيقة أن عند الانتقال إلى صفحة مؤهلة لفلتر منع صارم، يتم عرض تحذير للمستخدم يوفر معلومات حول المورد المحظور ، بما في ذلك عنوان URL ومعلمات الطلب. تكمن المشكلة في أن uBlock Origin يوزع معلمات الطلب بشكل متكرر ويضيفها إلى شجرة DOM بغض النظر عن مستوى التداخل.
غالبًا ما يتم استخدام عوامل التصفية الصارمة لحظر المواقع التي تجري عمليات إعادة توجيه للشركاء التابعين أو تقدم برامج ضارة أو غير مرغوب فيها لزيارتها. يتم تطبيقها بشكل عام على مستوى المجال (على سبيل المثال ، googlesyndication.com) وتميل إلى أن تشبه الإدخالات في ملفات المضيفين ، على الرغم من أنها يمكن أن تستهدف أيضًا موارد أكثر تحديدًا.
من خلال التعامل مع عنوان URL تم إنشاؤه خصيصًا في uBlock Origin لمتصفح Chrome ، من الممكن حظر العملية التي يتم فيها تشغيل المكون الإضافي للمتصفح. بعد الحظر ، حتى يتم إعادة تشغيل العملية مع المكون الإضافي ، يُترك المستخدم دون حظر المحتوى غير المرغوب فيه. ذاكرة Firefox تنفد.
من ناحية أخرى ، علق بعض المستخدمين على ذلك في NoScript ، لاحظوا وجود خطأ يؤدي إلى تحميل وحدة المعالجة المركزية بنسبة 100٪ في Firefox عند فتح بعض المواقع ، حتى الآن لإصلاح ذلك ، يجب إغلاق Firefox تمامًا ثم فتح مدير المهام وانتظر انتهاء العملية. بعد ذلك ، يجب إعادة تشغيل Firefox أو يجب إنهاء العملية لإعادة فتح المتصفح والبدء بالجلسة السابقة.
وأخيرا، إذا كنت مهتمًا بمعرفة المزيد عنها يمكنك التشاور التفاصيل في الرابط التالي.