Auf den Punkt: Die weit verbreitete YouTube-Adblocker-Extension besitzt die Fähigkeit zur Ausführung beliebigen JavaScript-Codes, was ein erhebliches Sicherheitsrisiko für die große Nutzerbasis darstellt.
Eine Chrome-Extension zum Blockieren von YouTube-Werbung (ID: cmedhionkhpnakcndndgjdbohmhepckk) mit über 10 Millionen Installationen enthält dormante Code-Injection-Funktionen, die beliebige JavaScript-Ausführung ermöglichen.
Die Sicherheitsfirma Island hat in der Chrome-Extension „Adblock for YouTube” eine kritische Schwachstelle identifiziert. Die Extension wird über den Chrome Web Store mit Featured-Badge angeboten und verfügt über mehr als 10 Millionen Installationen.
Das Plugin ist in der Lage, beliebigen JavaScript-Code auszuführen. Diese Funktionalität ist derzeit zwar dormant (inaktiv), wird aber durch die Extension vorgehalten und könnte remote aktiviert werden. Für CISOs bedeutet dies ein Risiko im Kontext von Browser-Sicherheit und Supply-Chain-Integrity: Millionen von Nutzern könnten potenziell gefährdet sein, sollte die Extension gehackt oder manipuliert werden.
Eine umfassende Analyse des Extension-Codes durch Island offenbarte diese Script-Injection-Funktionen. Das Incident-Response-Team sollte überprüfen, ob diese oder ähnliche Extensions in der Organisationsumgebung verbreitet sind, und entsprechende Richtlinien zur Überwachung von Chrome-Plugins neubewerten.
Quelle: thehackernews.com · Erschienen 25. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.