uMatrix má neopravenou chybu zabezpečení: zde je řešení

• Kategorie: Internet

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Rozšíření prohlížeče uBlock Origin a uMatrix společnosti Raymond Hill jsou oblíbenými blokátory obsahu. Zatímco Hill je uBlock Origin aktivně spravován, vývoj uMatrix skončil v roce 2020. Vidlice, nMatrix, navržená pro prohlížeč Pale Moon, je stále udržována.

Rozšíření prohlížeče uMatrix se stále používá. Internetový obchod Google Chrome, ve kterém je stále uveden, prozrazuje, že má více než 100 000 uživatelů, což je číslo, které může být vyšší, protože Google neoznačuje veřejnosti celkový počet uživatelů. Rozšíření pro Firefox , pro který jsem napsal průvodce v roce 2017, má v době psaní více než 29 000 uživatelů.

Bezpečnostní výzkumník objevil zranitelnost ve všech třech rozšířeních. Tato chyba zabezpečení využívá kód používaný funkcí přísného blokování rozšíření. Přísné blokování brání všem připojením ke zdrojům, které odpovídají filtru. Výchozí instalace rozšíření používají seznamy filtrů, které obsahují přísné blokovací filtry.

Podle výzkumníka může útočník tuto chybu zabezpečení zneužít k selhání rozšíření nebo způsobit vyčerpání paměti. Když rozšíření spadne, uživatelé zůstanou bez ochrany, dokud se znovu nenačte.

Vyžaduje, aby se uživatelé stali aktivními, např. kliknutím na odkaz.

Stránka s upozorněním na přísné blokování se zobrazí pouze v případě, že jsou blokovány přímé navigace. To znamená, že škodliví hostitelé by museli přimět uživatele, aby nějakým způsobem spustili navigaci, například kliknutím na odkaz. rámce iframe jsou klasifikovány jako dílčí dokumenty a nespouštějí stránku s varováním, což by mělo zhoubným hostitelům ztížit zneužití této chyby zabezpečení na pozadí.

Výzkumník testoval důkaz zranitelnosti konceptu proti Chrome, Firefox a Pale Moon. Během testů se zhroutilo pouze rozšíření pro Chrome.

Raymond Hill byl upozorněn před veřejným zveřejněním problému s bezpečností a oprava byl vytvořen pro uBlock Origin do jednoho dne a publikován další. Správce nMatrix zveřejnil aktualizaci na stránce doplňků Pale Moon, která problém vyřešila také v rozšíření.

Rozšíření uMatrix již není udržováno, což znamená, že je stále zranitelné a takovým i zůstane.

Jak zmírnit zranitelnost

Výzkumník poznamenává, že uživatelé musí deaktivovat všechny seznamy filtrů na kartě „aktiva“ na hlavním panelu uMatrix. Přihlášení k odběru malwaru nebo víceúčelových seznamů filtrů může snížit dopad, který změna má na blokování rozšíření.

Aby tuto chybu zabezpečení prozatím zmírnili, mohou uživatelé deaktivovat přísné blokování podpory uMatrix zrušením výběru všech seznamů filtrů na kartě „Aktiva“ na hlavním panelu uMatrix. Mohou také povolit všechny seznamy filtrů „Domény malwaru“ a „Víceúčelové“ v uBlock Origin, aby pomohly kompenzovat ztracené pokrytí filtrováním.

Závěrečná slova

Vzhledem k tomu, že vývoj před nějakou dobou skončil, může být načase přejít na jiné rozšíření pro blokování obsahu, zejména proto, že nyní má zranitelnost bez opravy. I když se zdá nepravděpodobné, že bude zneužito při rozsáhlých útocích, je to stále něco, čeho by si uživatelé měli být vědomi.

Teď ty : stále používáte uMatrix? (děkuji Marcusi [prostřednictvím e -mailu])