Несколько дней назад уязвимость была обнаружена в известное расширение для браузера "UBlock Origin", который мог вызвать сбои системы пользователя или доходит до нехватки памяти при просмотре специально созданного URL-адреса, если этот URL-адрес попадает под фильтры «строгой блокировки».
Выявленная уязвимость проявляется только тогда, когда пользователь переходит прямо на проблемный URL, например, когда вы переходите по ссылке.
Строгая блокировка работает, открывая страницу с предупреждением, которая предоставляет информацию о заблокированном ресурсе, включая его URL-адрес и фильтр, который предотвратил загрузку ресурса. На странице предупреждения также отображаются параметры запроса заблокированного URL-адреса, чтобы помочь пользователям избежать отслеживания перенаправлений.
В предыдущих версиях uBO эти параметры рекурсивно анализировались и добавлялись в DOM без какой-либо проверки глубины, что могло привести к сбоям расширений и нехватке памяти, в зависимости от браузера и оборудования. uMatrix и ηMatrix, форк uMatrix, совместимый с Pale Moon, имеют аналогичный код для отображения проанализированных параметров URL.
Упоминается, что обнаруженная уязвимость исправлена своевременно в обновлении uBlock Origin 1.36.2. Хотя также упоминается, что Плагин uMatrix также затронут для той же проблемы, но его обслуживание было прекращено, и обновления больше не выпускаются, поэтому единственное решение - удалить расширение браузера.
в качестве в uMatrix нет решений (изначально предлагалось отключить все строгие фильтры блокировки через вкладку «Активы», но эта рекомендация была сочтена недостаточной и создаёт проблемы для пользователей с их собственными правилами блокировки). В ηMatrix форк uMatrix из проекта Pale Moon, уязвимость исправлена в версии 4.4.9.
Пользователи должны выполнить обновление до uBO 1.36.2 и ηMatrix 4.4.9, чтобы получить исправления этой уязвимости безопасности, которая влияет на настройки по умолчанию для обоих расширений.
Об уязвимости упоминается, что она вызвана тем, что сильный блокирующий фильтр обычно определяется на уровне домена и предназначен для запрета всех подключений, даже если вы переходите по ссылке напрямую.
То есть уязвимость связана с тем, что при переходе на страницу, на которую распространяется строгий фильтр блокировки, пользователю отображается предупреждение с информацией о заблокированном ресурсе, включая URL-адрес и параметры запроса. Проблема в том, что uBlock Origin рекурсивно разбирает параметры запроса. и добавляет их в дерево DOM независимо от уровня вложенности.
Строгие фильтры чаще всего используются для блокировки сайтов, которые выполняют аффилированные перенаправления, обслуживают вредоносное программное обеспечение или нежелательны для посещения. Обычно они применяются на уровне домена (например, googlesyndication.com) и имеют тенденцию напоминать записи в файлах хостов, хотя они также могут быть нацелены на более конкретные ресурсы.
Обрабатывая специально созданный URL-адрес в uBlock Origin для Chrome, можно заблокировать процесс, в котором работает подключаемый модуль браузера. После блокировки, пока процесс с плагином не будет перезапущен, пользователь останется без блокировки нежелательного контента. Firefox не хватает памяти.
С другой стороны, некоторые пользователи отметили, что в NoScript заметили наличие ошибки, которая приводит к 100% загрузке процессора в Firefox при открытии некоторых сайтов, поэтому на данный момент, чтобы решить эту проблему, вы должны полностью закрыть Firefox, а затем открыть диспетчер задач и дождаться завершения процесса. Затем необходимо перезапустить Firefox или завершить процесс, чтобы снова открыть браузер и начать с предыдущего сеанса.
Наконец, если вам интересно узнать об этом больше вы можете проконсультироваться подробности по следующей ссылке.