Adblock Plus ve Diğerlerinde Güvenlik Açığı

Reklam engelleyici eklentilerde dikkat edilmesi gereken bir güvenlik açığı keşfedildi.

Araştırmacı Armin Sebastian’a nazaran güvenlik sorunu, Adblock, Adblock Plus ve uBlock’ta bulunuyor ve Adblock Plus’ın Temmuz 2018’de yayınlanan 3.2 sürümündeki yeni bir filtre seçeneğine dayanıyor. Bu filtre seçeneği daha sonra öbür reklam engelleme eklentilerine de eklenmişti (ayrıca uBlock’un sahibi Adblock).

Yeni filtre seçeneği, http isteklerini tekrar yazmaya müsaade veriyor. Bunun hedefi, izleme verisini kaldırmak ve reklamların mahzuru aşmasını engellemek. Lakin Sebastian’a nazaran “bazı durumlarda $rewrite filtre seçeneği, filtre listesi hazırlayanların web sayfalarına keyfi kod yerleştirmesine müsaade verebiliyor”. Daha da telaş verici olan şey, bu güvenlik açığını kullanmanın kolay olması. İsmi geçen reklam engelleyicilerinin 100 milyonun üzerinde devasa bir kullanıcı kitlesi bulunuyor.

Araştırmacı, açığın önde gelen tüm tarayıcılarda kullanılabildiğini ve muhakkak kriterlere uyan Gmail, Maps, Google Images üzere web hizmetlerinde kullanılabildiğini söylüyor. Araştırmacı sıkıntıyla ilgili Google’a başvursa da Google, sorunun kendi hizmetlerinde değil reklam engelleyicilerinde olduğunu söylüyor. Sebastian ise sorunun sırf reklam engelleme eklentilerinde değil, web hizmetlerinde de bulunduğunu düşünüyor.

Sorun hakkında açıklama yapan Adblock Plus, araştırmacının tersine açığı kullanmanın kolay olmadığını, yalnızca kimi web sitelerinde çalışacağını söyledi. Buna karşın Adblock Plus sorunun ciddiye alınması gerektiğini kabul eden geliştirici, tekrar yazma fonksiyonunu yayınlanacakları bir güncelleme ile süratle kaldıracaklarını belirtti.

Adblock Plus, fonksiyonu berbata kullanmaya dair bir teşebbüse rastlamadıklarını, güncellemeyi bir tedbir yayınlayacaklarını vurguluyor. Adblock Plus’a nazaran risk epeyce düşüktü lakin sorunun ortaya çıkmasıyla biraz arttı.

Pekala, ne yapmalı?

Pekala Adblock Plus’ın yeni sürümü çıkana kadar ne yapmalısınız? Sebastian, $rewrite filtreleme seçeneğini kullanmayan uBlock Origin’e geçmenizi öneriyor. En azından kullandığınız eklentiye güncelleme gelene kadar bu teklife kulak verebilirsiniz.

Yorum bırakın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir