|
IT之家 6 月 29 日消息,浏览漏洞安全公司 Island 发布警示,器插指出 Chrome 插件商店中安装量超 1100 万的被曝广告拦截插件 Adblock for YouTube存在严重安全漏洞。黑客理论上可利用其服务器端配置缺陷,高危在用户浏览器中注入并执行任意 JavaScript 代码,浏览漏洞进而窃取敏感数据或实施账号冒用等恶意行为。器插 漏洞原理:域名校验缺失Island 的被曝研究显示,该插件旨在屏蔽 YouTube 广告,高危但其执行逻辑存在重大疏漏:未严格校验当前访问域名是浏览漏洞否真正属于 这意味着攻击者只需构造包含
核心风险:服务器端动态代码注入该插件内部集成了一套由服务器端动态下发配置的浏览漏洞 JavaScript 代码库。研究人员指出,器插一旦黑客控制 Adblock 的被曝服务器配置,或服务器遭受入侵,攻击者即可利用此机制向用户浏览器注入任意可执行代码,造成严重的安全威胁。 厂商回应:正在紧急修复截至目前,开发商 AdBlock 尚未发布正式的安全公告。但其创始人向 The Hacker News 确认,团队已启动修复工作,主要措施包括: 安全建议安全专家提醒,广告拦截类插件通常拥有比普通插件更高的系统权限。用户应采取以下措施降低风险: |

