Pár napja sérülékenységet tártak fel a híres böngésző kiterjesztés "UBlock Origin", amely rendszerösszeomlást okozhat a felhasználó vagy eljut a memória kifogyásáig egy speciálisan kialakított URL böngészésekor, ha az URL "szigorú blokkoló" szűrők alá esik.
Az azonosított sebezhetőség csak akkor nyilvánul meg, ha a felhasználó közvetlenül a problémás URL-re megypéldául amikor egy linkre kattint.
A szigorú blokkolás úgy működik, hogy megnyit egy figyelmeztető oldalt, amely információt nyújt a blokkolt erőforrásról, beleértve annak URL-jét és az erőforrás betöltését megakadályozó szűrőt. A figyelmeztető oldalon a blokkolt URL lekérdezési paraméterei is megjelennek, hogy a felhasználók elkerüljék az átirányítások nyomon követését.
Az uBO korábbi verzióiban ezeket a paramétereket rekurzívan elemezték, és minden mélységellenőrzés nélkül hozzáadták a DOM-hoz, ami a böngészőtől és a hardvertől függően kiterjesztés összeomlásához és memória kimerüléséhez vezethet. Az uMatrix és az ηMatrix, a Pale Moon-nal kompatibilis uMatrix-villa hasonló kóddal rendelkezik az elemzett URL-paraméterek megjelenítéséhez.
Azt emlegetik a feltárt sérülékenységet kijavították időben történő frissítés során uBlock Origin 1.36.2. Bár azt is megemlítik Az uMatrix bővítmény is érintett ugyanarra a problémára, de a karbantartása leállt, és a frissítéseket már nem adják ki, ezért az egyetlen megoldás a böngésző kiterjesztésének eltávolítása.
mint nincs megoldás az uMatrixban (eredetileg azt javasolták, hogy tiltsa le az összes szigorú blokkoló szűrőt az "Eszközök" fülön keresztül, de ezt az ajánlást nem tartották elégségesnek, és problémákat vet fel a felhasználók számára saját blokkolási szabályaikkal). A ηMátrixban az uMatrix villája a Pale Moon projektből, a sérülékenységet a 4.4.9 verzióban javították.
A felhasználóknak frissíteniük kell az uBO 1.36.2 és a ηMatrix 4.4.9 verzióra, hogy javításokat kapjanak ehhez a biztonsági réshez, amely mindkét kiterjesztés alapértelmezett beállításait érinti.
A sérülékenységről megemlítik, hogy annak oka, hogy az erős blokkoló szűrőt általában a tartomány szintjén határozzák meg, és célja az összes kapcsolat megtagadása, még akkor is, ha közvetlenül egy linket követ.
Vagyis a sérülékenység annak köszönhető, hogy amikor olyan oldalra navigál, amely jogosult szigorú blokkoló szűrőre, egy figyelmeztetés jelenik meg a felhasználó számára, amely információt nyújt a blokkolt erőforrásról, beleértve az URL-t és a kérési paramétereket. A probléma az, hogy az uBlock Origin rekurzívan elemzi a kérelem paramétereit és a fészkelési szinttől függetlenül hozzáadja őket a DOM fához.
A szigorú szűrőket leggyakrabban olyan webhelyek blokkolására használják, amelyek társult átirányításokat hajtanak végre, rosszindulatú szoftvereket szolgáltatnak vagy nem kívánatosak meglátogatni. Általában tartományi szinten alkalmazzák őket (például googlesyndication.com), és általában hasonlítanak a gazdagépfájlok bejegyzéseire, bár célzottabb erőforrásokat is megcélozhatnak.
Ha egy speciálisan kialakított URL-t kezel az uBlock Origin for Chrome alkalmazásban, akkor blokkolhatja azt a folyamatot, amelyben a böngésző plugin fut. Blokkolás után, amíg a pluginnel folytatott folyamat újra nem indul, a felhasználó a nem kívánt tartalom blokkolása nélkül marad. A Firefoxból kifogy a memória.
Másrészt néhány felhasználó megjegyzést fűzött ehhez a NoScript-ben olyan hibát észleltek, amely 100% -os CPU-terheléshez vezet a Firefoxban néhány webhely megnyitásakor, ezért ennek megoldásához egyelőre teljesen be kell zárnia a Firefoxot, majd meg kell nyitnia a feladatkezelőt, és várnia kell a folyamat befejezésére. Ezután a böngészőt újra kell indítani, vagy le kell állítani a folyamatot a böngésző újbóli megnyitásához és az előző munkamenet megkezdéséhez.
Végül, ha érdekel, hogy többet tudjon meg róla konzultálhat a részleteket a következő linken.