スポンサーリンク

【uBlock Origin大勝利】広告ブロック「AdBlock Plus」「uBlock」に重大な脆弱性!!

1:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:37:40.42 ID:gM+wwE9S0

「Adblock Plus」のフィルターオプションに脆弱性、任意のコードが実行されてしまう恐れ
「AdBlock」「uBlock」にも同様の問題。

「Adblock Plus」のURL書き換えフィルターオプションに潜在的な脆弱性が存在することが4月15日、
セキュリティ研究者のArmin Sebastian氏によって明らかにされた。
「Adblock Plus」の開発元も、同日付けで公開した公式ブログの記事でそれを認めている。

2018年7月17日にリリースされた「Adblock Plus 3.2」では、リクエストを書き換えるオプション
“$rewrite”がフィルター機能に導入された。その翌日、「AdBlock」もこの動きに追従し、新しい
フィルターオプションをサポートしたバージョンをリリース。その後、「AdBlock」が買収した
「uBlock」にもこの機能が導入された。

しかし、この“$rewrite”フィルターオプションを利用すると、特定条件下でフィルターリストの管理者が
任意のコードを挿入できることが明らかになった。フィルターリストのなかにはコミュニティで
メンテナンスされているものもあるが、そのなかに悪意を持ったメンバーがいれば、この脆弱性が
「Adblock Plus」「AdBlock」「uBlock」のユーザーを攻撃するために使われてしまう恐れがある。

Sebastian氏によると、この攻撃は悪用が簡単だが検出は難しく、すべての主要なWebブラウザーで応用が可能だ。
同氏はこの脆弱性をGoogleにも通報したが、拡張機能の意図的な動作であるとして対応は行われなかった。
そのため、問題の解決は拡張機能側のアップデートを待つよりない。

「Adblock Plus」の開発チームは、当面の対策として“$rewrite”オプションの制限を実施している。
将来的には、“$rewrite”オプションを削除したバージョンがリリースされる見込みだ。

https://forest.watch.impress.co.jp/docs/news/1180855.html



元スレ http://hayabusa9.5ch.net/test/read.cgi/news/1555565860/

2:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:38:40.50 ID:ZCTEr0Ek0

はい


4:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:39:05.29 ID:16R/WzGl0

originも?


5:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:39:06.53 ID:Niqk3TQ30

> なお、同系列の広告ブロッカー拡張機能のうち、「uBlock Origin」はこの脆弱性の影響を受けないとのこと。


8:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:42:22.64 ID:u4CWWGrF0

>>5
勝ってしまったか



13:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:43:46.86 ID:jPE+NWAZ0

>>5
やかった



19:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:48:33.73 ID:/kYgEiTy0

>>5
うおおおおおおおおおお
さすがorigin!



37:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:13:31.24 ID:lQk9yNBo0

>>5
愛用してます



38:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:25:37.74 ID:jtnWTEkI0

>>5
よし!勝利!



44:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:50:12.22 ID:Lh38dBbY0

>>5
なーんだ問題ないね



47:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:58:54.24 ID:TGmbxE5Y0

>>5
敗北を知りたい



6:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:40:51.77 ID:4u8hWoGd0

280ブロッカーとDNScloak


7:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:41:54.28 ID:Niqk3TQ30

>>6
それホストファイルだから要素非表示とか無理だろ?



9:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:42:26.06 ID:d9mHC1SH0

AdBlock無印が最強
ローカリVPNなのでアプリを選ばないし



10:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:42:54.21 ID:bi0L5gZr0

広告ブロック系だけは広告代理店が一生懸命ウィルス作ってそう


11:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:43:07.10 ID:BiNkXkHG0

uBlobkOriginセーフ
よかった!



12:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:43:21.39 ID:aSxdqizQ0

今すぐアンインストールしなくとも次期バージョン持てばよかろう
慌てる乞食はもらいが少ないって言うじゃろ



14:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:43:49.38 ID:+9HzFZns0

さすがorigin


16:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:45:38.63 ID:JlW3Yj010

また勝ってしまったか


20:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:49:36.12 ID:DuKe7+3r0

ABP入れてたけど消した


21:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:51:40.22 ID:6mECbi0X0

>なお、同系列の広告ブロッカー拡張機能のうち、「uBlock Origin」はこの脆弱性の影響を受けないとのこと。

なんだ問題なかった



23:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:53:19.60 ID:utoIO50z0

コレってスマホは関係無い?


26:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:54:28.47 ID:UhIIGSb60

uBlock Originてソーシャルメディアボタンを非表示にできる?


79:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 17:36:56.31 ID:AMGbq9vJ0

>>26
できるよ
使いこなせばうざいページのほとんどを快適にできる
要素もスクリプトもCSSも個別にブロックできるから



27:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 14:56:30.75 ID:K25pW3lI0

>>同氏はこの脆弱性をGoogleにも通報したが、拡張機能の意図的な動作であるとして対応は行われなかった

広告で収益上げてる会社からすりゃ広告ブロックは潰すべき相手だもんな



29:名無しさん@2ろぐちゃんねる : 2019/04/18(木) 15:00:07.57 ID:VVGBz3ro0

コメント 0