Преди няколко дни бе разкрита уязвимост в известното разширение на браузъра „UBlock Origin“, което може да доведе до сривове на системата на потребителя или стигнете до точката на изчерпване на паметта при разглеждане на специално създаден URL адрес, ако URL адресът попада под филтри за „строго блокиране“.
Идентифицираната уязвимост се проявява само когато потребителят отиде директно на проблемния url, например, когато щракнете върху връзка.
Стриктното блокиране работи чрез отваряне на страница с предупреждение, която предоставя информация за блокирания ресурс, включително неговия URL адрес и филтъра, който не позволява на ресурса да се зареди. Страницата с предупреждение също показва параметрите на заявката на блокирания URL адрес, за да помогне на потребителите да избегнат проследяване на пренасочвания.
В предишни версии на uBO тези параметри бяха рекурсивно анализирани и добавени към DOM без никаква проверка на дълбочината, което може да доведе до сривове на разширенията и изчерпване на паметта, в зависимост от браузъра и хардуера. uMatrix и ηMatrix, вилица на uMatrix, съвместима с Pale Moon, споделят подобен код за показване на анализирани параметри на URL.
Споменава се, че откритата уязвимост е коригирана своевременно при актуализиране Произход на uBlock 1.36.2. Въпреки че също се споменава, че Плъгинът uMatrix също е засегнат за същия проблем, но поддръжката му е прекратена и актуализациите вече не се пускат, така че единственото решение е да деинсталирате разширението на браузъра.
като няма решения в uMatrix (първоначално беше предложено да деактивирате всички строги филтри за блокиране чрез раздела „Активи“, но тази препоръка беше счетена за недостатъчна и създава проблеми за потребителите със собствени правила за блокиране). В ηMatrix, вилица на uMatrix от проекта Бледа луна, уязвимостта е отстранена във версия 4.4.9.
Потребителите трябва да актуализират до uBO 1.36.2 и ηMatrix 4.4.9, за да получат корекции за тази уязвимост на защитата, която засяга настройките по подразбиране за двете разширения.
По отношение на уязвимостта се споменава, че тя е причинена, тъй като силен блокиращ филтър обикновено се определя на ниво домейн и има за цел да откаже всички връзки, дори ако следвате връзка директно.
Тоест уязвимостта се дължи на факта, че при навигация до страница, която отговаря на условията за строг филтър за блокиране, на потребителя се показва предупреждение, предоставящо информация за блокирания ресурс, включително URL и параметри на заявката. Проблемът е, че uBlock Origin анализира параметрите на заявката рекурсивно и ги добавя към DOM дървото, независимо от нивото на влагане.
Строгите филтри най-често се използват за блокиране на сайтове, които извършват партньорски пренасочвания, обслужват злонамерен софтуер или са нежелани за посещение. Те обикновено се прилагат на ниво домейн (например googlesyndication.com) и са склонни да приличат на записи в хостови файлове, въпреки че могат да насочват и към по-специфични ресурси.
Чрез обработката на специално създаден URL адрес в uBlock Origin за Chrome е възможно да се блокира процесът, в който се изпълнява приставката на браузъра. След блокирането, докато процесът с приставката не бъде рестартиран, потребителят остава без да блокира нежеланото съдържание. Firefox изчерпва паметта.
От друга страна, някои потребители са коментирали това в NoScript те са забелязали наличието на грешка, която води до 100% натоварване на процесора във Firefox когато отваряте някои сайтове, така че засега, за да разрешите това, трябва да затворите Firefox напълно и след това да отворите диспечера на задачите и да изчакате процесът да приключи. След това Firefox трябва да бъде рестартиран или процесът трябва да бъде прекратен, за да отвори отново браузъра и да започне с предишната сесия.
И накрая, ако се интересувате да научите повече за това можете да се консултирате подробностите в следната връзка.