Adblock Plus grave faille, plus de 100 millions d'utilisateurs concernés

Armin Sebastian, chercheur indépendant dans le domaine de la sécurité, a découvert une vulnérabilité dans Adblock Plus, qui permet aux pirates informatiques de lire le compte Gmail d'une victime et de rechercher d'autres services Google.

Adblock Plus est le bloqueur de publicités gratuit le plus populaire au monde, avec des millions d'utilisateurs et d'extensions fonctionnant dans les principaux navigateurs Web, y compris Chrome, Edge, Firefox, Opera et Safari.

Cette vulnérabilité permet à l’acteur de la menace d’injecter du code malveillant dans plusieurs services Google, notamment Gmail, Google Images et Google Maps, lors d’attaques difficiles à détecter, selon un article publié le 15 avril sur le blog .

La faille a été introduit quand une nouvelle version de Adblock Plus a été publié le 17 Juillet, 2018 est venu avec une nouvelle option de filtrage pour les demandes de réécriture , mais Sebastian a constaté que , dans certaines conditions, l'option de filtre de réécriture $ permet mainteneurs de liste de filtres pour injecter du code arbitraire les pages Web.

"L'option de filtre $ rewrite est utilisée par certains bloqueurs de publicité pour supprimer les données de suivi et bloquer les annonces en redirigeant les requêtes", a déclaré Sabastian dans un message. "L'option autorise les réécritures uniquement dans la même origine et les demandes des types SCRIPT, SUBDOCUMENT, OBJECT et OBJECT_SUBREQUEST ne sont pas traitées."

Les extensions concernées ont plus de 100 millions d'utilisateurs actifs, et la fonctionnalité est simple à exploiter pour attaquer tout service Web suffisamment complexe, y compris les services Google, alors que les attaques sont difficiles à détecter et peuvent être déployées dans tous les principaux navigateurs, a déclaré Sabastion. 

Pour qu'un service Web puisse être exploité à l'aide de cette méthode, la page doit charger une chaîne JS à l'aide de XMLHttpRequest ou Fetch et exécuter le code renvoyé. La page ne doit pas restreindre les origines à partir desquelles elle peut être extraite à l'aide des directives de la politique de sécurité du contenu. valider l'URL de la demande finale avant d'exécuter le code téléchargé. 

De plus, l'origine du code récupéré doit avoir une redirection ouverte côté serveur ou héberger du contenu utilisateur arbitraire.

Pour exécuter du code arbitraire sur Google Maps, un utilisateur doit installer Adblock Plus, AdBlock ou uBlock dans un nouveau profil de navigateur, accéder aux options de l'extension et ajouter l' exemple de liste de filtres pour simuler une mise à jour illicite à une liste de filtres par défaut, puis accédez à Google Maps .

Après quelques secondes, une alerte avec “www.google.com” devrait apparaître.

Afin d'atténuer la vulnérabilité, les utilisateurs doivent inclure dans la liste blanche les origines connues à l'aide de l'en-tête CSP de connect-src ou en éliminant les redirections ouvertes côté serveur. Les chercheurs ont également déclaré que les extensions de blocage des publicités devraient envisager de supprimer la prise en charge de l'option de filtre $ rewrite.

"Les utilisateurs peuvent également basculer vers uBlock Origin ", précise le message. "Il ne supporte pas l'option de filtre $ rewrite et n'est pas vulnérable à l'attaque décrite."

Source : scmagazine

Voici la réponse d'AdblockPlus suite à la révélation de la faille de sécurité 

Déclaration

Il y a quelques heures, nous avons appris que l' option de réécriture proposée aux auteurs de listes de filtres peut potentiellement être utilisée de manière abusive par un auteur de liste de filtres malveillant pour exécuter du code tiers sur un site Web. Nous estimons qu'il s'agit d'un scénario très improbable principalement pour deux raisons: 
1. Nous examinons tous les auteurs qui contribuent aux listes de filtres activées par défaut dans Adblock Plus 
2. Nous examinons régulièrement ces listes de filtres.

Bien que l'exploitation de ce problème ne soit pas anodine et ne fonctionne que sur certains sites Web, nous le prenons très au sérieux. Nous avons déjà confirmé qu'aucune liste de filtres commune n'avait abusé de cette option de filtrage. 
Cela signifie qu'il n'y a aucune menace existante pour aucun utilisateur d'Adblock Plus.

La prise en charge de l'option de réécriture a été ajoutée pour permettre aux auteurs de listes de filtres de mieux contrôler les annonces vidéo pré-roll. Nous étions conscients des problèmes de sécurité liés à cette fonctionnalité, nous en avons longuement discuté et nous avons mis en place des restrictions pour atténuer les risques. Comme démontré par Armin Sebastian à présent, ces mesures n'étaient pas suffisantes pour certains sites Web.

Il est de notre responsabilité de protéger nos utilisateurs. Malgré le risque réel très faible, nous avons décidé de supprimer l’option de réécriture. Nous publierons dès lors une version mise à jour d’Adblock Plus dès que cela sera techniquement possible. précaution. Aucune tentative d'abus de l'option de réécriture n'a été tentée et nous ferons tout notre possible pour que cela ne se produise pas.

Nous examinons en outre d'autres options telles que la limitation de toutes les listes de filtres à https, ce qui est déjà le cas pour les listes activées par défaut.

Adblock Plus a toujours été un projet open source s'appuyant sur l'excellent travail d'une communauté de contributeurs. Protéger nos utilisateurs des publicités agaçantes tout en protégeant leur vie privée est notre principale préoccupation.

Nous appliquons des normes extrêmement strictes en matière de test et de contrôle de la qualité pour chaque ligne de code que nous publions. Viser le meilleur code possible signifie également que nous souhaitons vivement être mis au courant des vulnérabilités potentielles que nous n'avons pas détectées afin de pouvoir les réparer le plus rapidement possible. 
Vous pouvez toujours utiliser security@eyeo.com pour nous contacter!

Ce poste a été publié le 15 Avril, 21h58 CEST et a été modifié et mis à jour avec plus de détails. 
Première mise à jour: 16 avril, 10h31 CEST
Deuxième mise à jour: 16 avril, 12h58 CEST

Source : adblockplus