Popular Chrome ad-block extension found to allow remote script injection

Popularno Chrome proširenje za blokiranje oglasa otkriveno s mogućnošću daljinskog ubacivanja skripti
Kolege, skrećem pažnju u oblasti sajber bezbednosti: proširenje Adblock for YouTube (više od 10M instalacija) sadrži mehanizam koji može daljinski ubacivati i izvršavati JavaScript na bilo kojim sajtovima.
Ključne činjenice:
• Istraživači Island otkrili 'trusted-create-element' — put za kreiranje <script> putem serverske konfiguracije.
• Opcija nije bila aktivna pri analizi, ali se može uključiti bez ažuriranja i revizije prodavnice.
• Proširenje traži pristup svim sajtovima; provera na 'youtube.com' lako se zaobilazi ubacivanjem niza u URL.
Zašto je važno: daljinski injekt može dovesti do curenja podataka i kompromitovanja sesija.
Koje prakse provere proširenja koristite Vi?
#sajberbezbednost #bezbednostpregledača #proširenja #privatnost


Latest comments
No comments yet.