Chrome浏览器插件Adblock for YouTube被曝高危漏洞

时间:2026-07-18 01:41:28来源:云北源资讯网 作者:探索

IT之家 6 月 29 日消息,浏览漏洞安全公司 Island 发布警示,器插指出 Chrome 插件商店中安装量超 1100 万的被曝广告拦截插件 Adblock for YouTube存在严重安全漏洞。黑客理论上可利用其服务器端配置缺陷,高危在用户浏览器中注入并执行任意 JavaScript 代码,浏览漏洞进而窃取敏感数据或实施账号冒用等恶意行为。器插

漏洞原理:域名校验缺失

Island 的被曝研究显示,该插件旨在屏蔽 YouTube 广告,高危但其执行逻辑存在重大疏漏:未严格校验当前访问域名是浏览漏洞否真正属于 youtube.com

这意味着攻击者只需构造包含 youtube.com字符串的器插非官方链接(例如 notyoutube.example.com/search?q=youtube.com),即可诱导插件误判并触发运行,被曝从而在恶意页面中执行插件代码。高危

核心风险:服务器端动态代码注入

该插件内部集成了一套由服务器端动态下发配置的浏览漏洞 JavaScript 代码库。研究人员指出,器插一旦黑客控制 Adblock 的被曝服务器配置,或服务器遭受入侵,攻击者即可利用此机制向用户浏览器注入任意可执行代码,造成严重的安全威胁。

厂商回应:正在紧急修复

截至目前,开发商 AdBlock 尚未发布正式的安全公告。但其创始人向 The Hacker News 确认,团队已启动修复工作,主要措施包括:
1. 增加对 YouTube 官方域名的严格验证机制;
2. 调整服务器端配置逻辑,彻底阻断通过远程配置向客户端注入可执行代码的可能性。

安全建议

安全专家提醒,广告拦截类插件通常拥有比普通插件更高的系统权限。用户应采取以下措施降低风险:
* 审慎选择:优先安装信誉良好、更新活跃且经过长期市场验证的插件;
* 权限审查:定期检查已安装扩展的权限范围;
* 规避风险:避免安装来源不明或功能过于复杂的插件。

相关内容