Fa pocs dies es va donar a conèixer una vulnerabilitat en la famosa extensió per a navegadors «UBlock Origin» que podria causar falles en el sistema de l'usuari o arribar a el punt de quedar-se sense memòria a l'navegar per una URL especialment dissenyada si l'URL cau sota els filtres de «bloqueig estricte».
La vulnerabilitat identificada només es manifesta quan l'usuari va directament a l'URL problemàtica, Per exemple, quan fa clic a un enllaç.
El bloqueig estricte funciona a l'obrir una pàgina d'advertència que proporciona informació sobre el recurs bloquejat, inclosa la seva URL i el filtre que va impedir que el recurs es carregués. La pàgina d'advertència també mostra els paràmetres de consulta de la URL bloquejada per ajudar els usuaris a evitar el seguiment de redireccions.
En versions anteriors de UBO, aquests paràmetres s'analitzaven de forma recursiva i s'agregaven a DOM sense cap verificació de profunditat, el que podria provocar falles d'extensió i esgotament de la memòria, segons el navegador i el maquinari. uMatrix i ηMatrix, una bifurcació de uMatrix compatible amb Pale Moon, comparteixen un codi similar per mostrar paràmetres d'URL analitzats.
S'esmenta que la vulnerabilitat detectada es va corregir de manera oportuna en l'actualització de uBlock Origin 1.36.2. Tot i que també s'esmenta que el complement uMatrix també es veu afectat pel mateix problema, però el seu manteniment s'ha s'abandoni i les actualitzacions ja no es llancen, de manera que l'única solució és desinstal·lar l'extensió de navegador.
Ja que no hi ha solucions a uMatrix (Originalment es va suggerir desactivar tots els filtres de bloqueig estrictes a través de la pestanya «Actius», però aquesta recomanació es va considerar insuficient i crea problemes per als usuaris amb les seves pròpies regles de bloqueig). A ηMatrix, una bifurcació de uMatrix de el projecte Pale Moon, la vulnerabilitat es va corregir en la versió 4.4.9.
Els usuaris han de actualitzar a UBO 1.36.2 i ηMatrix 4.4.9 per rebre correccions per a aquesta vulnerabilitat de seguretat, que afecta les configuracions predeterminades de totes dues extensions.
Sobre la vulnerabilitat s'esmenta que és causada pel fet que un filtre de bloqueig forta generalment es defineix a nivell de domini i està destinat a denegar totes les connexions, fins i tot si segueix un enllaç directament.
És a dir, la vulnerabilitat es deu a el fet que quan es navega a una pàgina que és elegible per a un filtre de bloqueig estricte, Es mostra una advertència a l'usuari, que proporciona informació sobre el recurs bloquejat, inclosa la URL i els paràmetres de sol·licitud. El problema és que uBlock Origin analitza els paràmetres de la sol·licitud de forma recursiva i els afegeix a l'arbre DOM sense tenir en compte el nivell de niament.
Els filtres estrictes s'utilitzen amb més freqüència per bloquejar llocs que realitzen redireccionaments d'afiliats, serveixen programari maliciós o no són desitjables per visitar. En general, s'apliquen a nivell de domini (per exemple, googlesyndication.com) i tendeixen a semblar-se a les entrades en els arxius de hosts, encara que també poden apuntar a recursos més específics.
A l'gestionar un URL especialment dissenyada en uBlock Origin per Chrome, és possible bloquejar el procés en el qual s'està executant el complement de navegador. Després de l'bloqueig, fins que es reinicia el procés amb el complement, l'usuari es queda sense bloquejar el contingut no desitjat. Firefox s'està quedant sense memòria.
D'altra banda alguns usuaris han comentat que en NoScript, han notat la presència d'un error que condueix a una càrrega de CPU de l'100% a Firefox a l'obrir alguns llocs, pel que de moment per solucionar això, s'ha de tancar Firefox per complet i després obrir l'administrador de tasques i esperar que finalitzi el procés. Després, s'ha de de reiniciar Firefox o s'ha d'acabar el procés per tornar a obrir el navegador i iniciar amb la sessió anterior.
Finalment, si estàs interessat en conèixer més a l'respecte pots consultar els detalls en el següent enllaç.