几天前 一个漏洞被披露在 著名的浏览器扩展 可能导致系统崩溃的“UBlock Origin” 用户 或者到了内存不足的地步 如果 URL 属于“严格阻止”过滤器,则在浏览特制 URL 时。
已识别的漏洞 仅在用户直接访问有问题的 url 时才会显示,例如,当您单击链接时。
严格阻止的工作原理是打开一个警告页面,该页面提供有关被阻止资源的信息,包括其 URL 和阻止资源加载的过滤器。 警告页面还会显示被阻止 URL 的查询参数,以帮助用户避免跟踪重定向。
在之前的 uBO 版本中,这些参数被递归解析并添加到 DOM 中而没有任何深度检查,这可能导致扩展崩溃和内存耗尽,具体取决于浏览器和硬件。 uMatrix 和 ηMatrix(与 Pale Moon 兼容的 uMatrix 的一个分支)共享类似的代码来显示解析的 URL 参数。
有人提到 检测到的漏洞已得到纠正 及时更新 uBlock 起源 1.36.2。 虽然也提到了 uMatrix 插件也受影响 同样的问题,但是已经停止维护,不再发布更新,所以唯一的解决办法就是卸载浏览器扩展。
如 uMatrix 中没有解决方案 (最初建议通过“资产”选项卡禁用所有严格的阻止过滤器,但此建议被认为是不够的,并且会给用户自己的阻止规则带来问题)。 在 ηMatrix 中, 来自 Pale Moon 项目的 uMatrix 的一个分支, 该漏洞已在 4.4.9 版中修复。
用户必须更新到 uBO 1.36.2 和 ηMatrix 4.4.9 才能收到此安全漏洞的修复,这会影响两个扩展的默认设置。
关于该漏洞,提到它是由于通常在域级别定义强阻塞过滤器而导致的,旨在拒绝所有连接,即使您直接点击链接。
也就是说,漏洞是由于以下事实 导航到符合严格阻止过滤条件的页面时,向用户显示警告,提供有关被阻止资源的信息,包括 URL 和请求参数。 问题是uBlock Origin递归解析请求参数 无论嵌套级别如何,都将它们添加到 DOM 树中。
严格过滤器最常用于阻止执行附属重定向、提供恶意软件或不受欢迎访问的站点。 它们通常应用于域级别(例如 googlesyndication.com),并且往往类似于主机文件中的条目,尽管它们也可以针对更具体的资源。
通过处理 uBlock Origin for Chrome 中特制的 URL,可以阻止浏览器插件运行的进程。 阻止后,直到重新启动带有插件的进程,用户才不会阻止不需要的内容。 Firefox 内存不足。
另一方面,也有网友评论说 在 NoScript 中,他们注意到存在导致 Firefox 100% CPU 负载的错误 在打开某些站点时,因此现在要解决此问题,您必须完全关闭Firefox,然后打开任务管理器并等待该过程完成。 然后,必须重新启动 Firefox 或终止进程以重新打开浏览器并从上一个会话开始。
最后, 如果您有兴趣了解更多信息 你可以咨询 以下链接中的详细信息。