Уязвимость в uBlock Origin, приводящая к краху или исчерпанию ресурсов
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
В системе блокирования нежелательного контента uBlock Origin выявлена уязвимость, позволяющая добиться краха или исчерпания памяти при навигации по специально оформленному URL, в случае подпадания данного URL под фильтры строгой блокировки ("strict blocking"). Уязвимость проявляется только при прямом переходе на проблемный URL, например при клике по ссылке.
Уязвимость устранена в обновлении uBlock Origin 1.36.2. Аналогичной проблеме также подвержено дополнение uMatrix, но его сопровождение прекращено и обновления больше не выпускаются. Обходные пути защиты в uMatrix отсутствуют (изначально предлагалось отключить все фильтры строгой блокировки через вкладку "Assets", но эта рекомендация была признана недостаточной и создающей проблемы для пользователей с собственными правилами блокировки). В ηMatrix, форке uMatrix от проекта Pale Moon, уязвимость устранена в выпуске 4.4.9.
Фильтр строгой блокировки обычно определяется на уровне доменов и подразумевает запрет любых соединений, даже при прямом переходе по ссылке. Уязвимость вызвана тем, что во время перехода на страницу, подпадающую под фильтр строгой блокировки, пользователю отображается предупреждение, в котором приводятся сведения о заблокированном ресурсе, в том числе показывается URL и параметры запроса. Проблема в том, что uBlock Origin разбирает параметры запроса рекурсивно и добавляет в дерево DOM без учёта уровня вложенности.
При обработке специально оформленного URL в uBlock Origin для Chrome можно вызвать крах процесса, в котором выполняется браузерное дополнение. После краха, до тех пор пока процесс с дополнением не перезапустится, пользователь остаётся без блокировки нежелательного содержимого. В Firefox наблюдается исчерпание памяти.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.com/vtriolet/wr...)
- OpenNews: Прекращена разработка проекта uMatrix
- OpenNews: В uBlock Origin добавлена защита от нового метода отслеживания, манипулирующего именами в DNS
- OpenNews: Выпуск uBlock Origin 1.25 с защитой от обхода блокировки через манипуляции с DNS
- OpenNews: В uBlock Origin добавлена блокировка скриптов для сканирования сетевых портов
- OpenNews: Chrome 88 переведён на новый манифест, несовместимый с uBlock Origin
Похожие новости:
- [Firefox, Google Chrome, Расширения для браузеров, Браузеры] Почему uBlock Origin лучше работает в Firefox
- В Chrome-дополнениях NanoAdblocker и NanoDefender выявлены вредоносные изменения
- [GitHub, Open source, Расширения для браузеров, Софт] Разработка uMatrix закрыта
- Прекращена разработка проекта uMatrix
- В uBlock Origin добавлена блокировка скриптов для сканирования сетевых портов
- [Информационная безопасность, JavaScript, Расширения для браузеров, Реверс-инжиниринг, Браузеры] Реверс-инжиниринг антиблокировщика рекламы BlockAdBlock (перевод)
- Выпуск uBlock Origin 1.25 с защитой от обхода блокировки через манипуляции с DNS
- [Firefox, Расширения для браузеров, Браузеры] Firefox Preview Nightly получил поддержку uBlock Origin (перевод)
- В uBlock Origin добавлена защита от нового метода отслеживания, манипулирующего именами в DNS
- [Firefox, Расширения для браузеров, Браузеры] Новая uBlock Origin начала блокировать трекеры посещаемых сайтов
Теги для поиска: #_ublock, #_umatrix
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 30-Апр 16:01
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
В системе блокирования нежелательного контента uBlock Origin выявлена уязвимость, позволяющая добиться краха или исчерпания памяти при навигации по специально оформленному URL, в случае подпадания данного URL под фильтры строгой блокировки ("strict blocking"). Уязвимость проявляется только при прямом переходе на проблемный URL, например при клике по ссылке. Уязвимость устранена в обновлении uBlock Origin 1.36.2. Аналогичной проблеме также подвержено дополнение uMatrix, но его сопровождение прекращено и обновления больше не выпускаются. Обходные пути защиты в uMatrix отсутствуют (изначально предлагалось отключить все фильтры строгой блокировки через вкладку "Assets", но эта рекомендация была признана недостаточной и создающей проблемы для пользователей с собственными правилами блокировки). В ηMatrix, форке uMatrix от проекта Pale Moon, уязвимость устранена в выпуске 4.4.9. Фильтр строгой блокировки обычно определяется на уровне доменов и подразумевает запрет любых соединений, даже при прямом переходе по ссылке. Уязвимость вызвана тем, что во время перехода на страницу, подпадающую под фильтр строгой блокировки, пользователю отображается предупреждение, в котором приводятся сведения о заблокированном ресурсе, в том числе показывается URL и параметры запроса. Проблема в том, что uBlock Origin разбирает параметры запроса рекурсивно и добавляет в дерево DOM без учёта уровня вложенности. При обработке специально оформленного URL в uBlock Origin для Chrome можно вызвать крах процесса, в котором выполняется браузерное дополнение. После краха, до тех пор пока процесс с дополнением не перезапустится, пользователь остаётся без блокировки нежелательного содержимого. В Firefox наблюдается исчерпание памяти.  =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 30-Апр 16:01
Часовой пояс: UTC + 5