Фильтры Adblock Plus могут использоваться для запуска вредоносного кода
Проблема кроется в опции списка фильтров под названием $rewrite.<br /> <br />
Функция в популярных блокировщиках рекламы Adblock Plus, AdBlock и uBlocker предоставляет возможность провайдерам списков фильтрации при определенных обстоятельствах выполнить код на web-страницах. Речь идет о фильтре $rewrite, который появился в версии Adblock Plus v3.2 для Chrome, Firefox и Opera в июле минувшего года. Данная опция может изменять правила фильтрации, относящиеся блокировке контента. Ее наличие обосновывается тем, что в некоторых случаях бывает более целесообразно переадресовать web-запрос, чем блокировать его. По словам разработчика Армина Себастьяна (Armin Sebastian), данным функционалом могут злоупотребить сторонние провайдеры списков фильтрации для выборочной перезаписи параметров URL и выполнения вредоносного кода (при наличии определенных условий).
Себастьян проинформировал Google о проблеме, однако в компании отказались расценивать ее как баг, заявив, что это задуманное поведение.
По словам разработчиков Adblock Plus, в случае $rewrite существуют ограничения, запрещающие выполнять какие-либо скрипты, но несмотря на настройки политики защиты контента (Content Security Policy), «некоторые сайты интерпретируют простой текст от третьих сторон как код и выполняют его». Как заверили в компании, эксплуатация данной проблемы слабо вероятна, поскольку списки фильтрации и их авторы постоянно проверяются. Тем не менее, в настоящее время разработчики работают над устранением уязвимости.
Adblock Plus, AdBlock и uBlocker (не имеет отношения к блокировщику uBlock Origin) представляют собой специальные расширения для браузеров, помогающие пользователям скрывать надоедливую и агрессивную рекламу со страниц ресурсов.