1:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:37:40.42 ID:gM+wwE9S0
「Adblock Plus」のフィルターオプションに脆弱性、任意のコードが実行されてしまう恐れ
「AdBlock」「uBlock」にも同様の問題。
「Adblock Plus」のURL書き換えフィルターオプションに潜在的な脆弱性が存在することが4月15日、
セキュリティ研究者のArmin Sebastian氏によって明らかにされた。
「Adblock Plus」の開発元も、同日付けで公開した公式ブログの記事でそれを認めている。
2018年7月17日にリリースされた「Adblock Plus 3.2」では、リクエストを書き換えるオプション
“$rewrite”がフィルター機能に導入された。その翌日、「AdBlock」もこの動きに追従し、新しい
フィルターオプションをサポートしたバージョンをリリース。その後、「AdBlock」が買収した
「uBlock」にもこの機能が導入された。
しかし、この“$rewrite”フィルターオプションを利用すると、特定条件下でフィルターリストの管理者が
任意のコードを挿入できることが明らかになった。フィルターリストのなかにはコミュニティで
メンテナンスされているものもあるが、そのなかに悪意を持ったメンバーがいれば、この脆弱性が
「Adblock Plus」「AdBlock」「uBlock」のユーザーを攻撃するために使われてしまう恐れがある。
Sebastian氏によると、この攻撃は悪用が簡単だが検出は難しく、すべての主要なWebブラウザーで応用が可能だ。
同氏はこの脆弱性をGoogleにも通報したが、拡張機能の意図的な動作であるとして対応は行われなかった。
そのため、問題の解決は拡張機能側のアップデートを待つよりない。
「Adblock Plus」の開発チームは、当面の対策として“$rewrite”オプションの制限を実施している。
将来的には、“$rewrite”オプションを削除したバージョンがリリースされる見込みだ。
https://forest.watch.impress.co.jp/docs/news/1180855.html
元スレ
http://hayabusa9.5ch.net/test/read.cgi/news/1555565860/
2:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:38:40.50 ID:ZCTEr0Ek0
はい
4:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:39:05.29 ID:16R/WzGl0
originも?
5:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:39:06.53 ID:Niqk3TQ30
> なお、同系列の広告ブロッカー拡張機能のうち、「uBlock Origin」はこの脆弱性の影響を受けないとのこと。
8:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:42:22.64 ID:u4CWWGrF0
>>5
勝ってしまったか
13:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:43:46.86 ID:jPE+NWAZ0
>>5
やかった
19:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:48:33.73 ID:/kYgEiTy0
>>5
うおおおおおおおおおお
さすがorigin!
37:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:13:31.24 ID:lQk9yNBo0
>>5
愛用してます
38:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:25:37.74 ID:jtnWTEkI0
>>5
よし!勝利!
44:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:50:12.22 ID:Lh38dBbY0
>>5
なーんだ問題ないね
47:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:58:54.24 ID:TGmbxE5Y0
>>5
敗北を知りたい
6:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:40:51.77 ID:4u8hWoGd0
280ブロッカーとDNScloak
7:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:41:54.28 ID:Niqk3TQ30
>>6
それホストファイルだから要素非表示とか無理だろ?
9:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:42:26.06 ID:d9mHC1SH0
AdBlock無印が最強
ローカリVPNなのでアプリを選ばないし
10:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:42:54.21 ID:bi0L5gZr0
広告ブロック系だけは広告代理店が一生懸命ウィルス作ってそう
11:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:43:07.10 ID:BiNkXkHG0
uBlobkOriginセーフ
よかった!
12:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:43:21.39 ID:aSxdqizQ0
今すぐアンインストールしなくとも次期バージョン持てばよかろう
慌てる乞食はもらいが少ないって言うじゃろ
14:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:43:49.38 ID:+9HzFZns0
さすがorigin
16:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:45:38.63 ID:JlW3Yj010
また勝ってしまったか
20:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:49:36.12 ID:DuKe7+3r0
ABP入れてたけど消した
21:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:51:40.22 ID:6mECbi0X0
>なお、同系列の広告ブロッカー拡張機能のうち、「uBlock Origin」はこの脆弱性の影響を受けないとのこと。
なんだ問題なかった
23:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:53:19.60 ID:utoIO50z0
コレってスマホは関係無い?
26:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:54:28.47 ID:UhIIGSb60
uBlock Originてソーシャルメディアボタンを非表示にできる?
79:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 17:36:56.31 ID:AMGbq9vJ0
>>26
できるよ
使いこなせばうざいページのほとんどを快適にできる
要素もスクリプトもCSSも個別にブロックできるから
27:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:56:30.75 ID:K25pW3lI0
>>同氏はこの脆弱性をGoogleにも通報したが、拡張機能の意図的な動作であるとして対応は行われなかった
広告で収益上げてる会社からすりゃ広告ブロックは潰すべき相手だもんな
29:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:00:07.57 ID:VVGBz3ro0
uBlobkOriginに乗り換えないと!!
と思って確認したら既にuBlobkOriginだった…
関連記事
【朗報】胸クソ系漫画の広告、遂に絶滅する
【悲報】Youtube 広告の後に広告が流れるようになる・・・・・・
【悲報】スクエニさんのゲーム広告、ガチで酷すぎるwwww(画像あり)