Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Filterlijsten voor meerdere adblockers zijn te misbruiken voor code-injectie

Het is mogelijk code uit te voeren via de filterlijsten van verschillende populaire adblockers. Het gaat om een kwetsbaarheid in AdBlock, Adblock Plus en uBlock. Auteurs van de lijsten kunnen die manipuleren om websites om te leiden naar andere domeinen om zo scripts te injecteren.

De exploit zit in de $rewrite-functie die sinds vorig jaar in de filterlijsten van adblockers zit. De exploit werd ontdekt door beveiligingsonderzoeker Armin Sebastian. Hij publiceerde het lek op zijn website. Sebastian meldde het lek niet vooraf bij de makers 'vanwege de aard en de implicaties van het lek.' Hij wijst erop dat filterlijsten in het verleden zijn uitgebuit. UBlock Origin, een andere grote adblocker, gebruikt deze bewuste functie niet.

De rewrite-functie kan code op een website vervangen door eroverheen te schrijven. Normaal gesproken kan dat alleen met code die afkomstig is van hetzelfde domein, maar een beveiligingsonderzoeker ontdekte dat het in sommige gevallen mogelijk is om code van andere domeinen te injecteren. Dat kan malafide code zijn waarmee bijvoorbeeld inloggegevens kunnen worden gestolen.

Daarvoor moet een originele website wel aan een aantal voorwaarden voldoen. Zo moet de pagina JavaScript laden via XMLHttpRequest of Fetch en moeten er geen Content Security Policies actief zijn. De onderzoeker toont aan hoe hij dat via verschillende Google-websites zoals Maps kan doen. Ook is het nodig dat de code wordt toegevoegd aan een filterlijst die door de adblockers wordt gebruikt. Die filterlijsten worden gecontroleerd door de makers van de adblockers.

Eyeo, het bedrijf achter AdBlock Plus, zegt dat het het lek onderzoekt en dat het bedrijf werkt aan een oplossing. Volgens de softwaremaker is er voorlopig geen bewijs dat het lek is uitgebuit. "Dat is een onwaarschijnlijk scenario. We controleren iedereen die iets toevoegt aan de filterlijsten, en we controleren die lijsten zelf ook regelmatig."

Door Tijs Hofmans

Redacteur privacy & security

16-04-2019 • 11:09

45 Linkedin Google+

Reacties (45)

Wijzig sortering

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Microsoft

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True