Skip to content

YouTube’i adblocker 10 miljoni installatsiooni juures sisaldab skripti injekteerimise nõrkust

Lühidalt: Laialt levinud YouTube’i adblocker-laiendil on võime täisvolitatud JavaScripti koodi käivitamiseks, mis kujutab olulist turvaohtu suurele kasutajate ringkonnas.

Chrome’i laiendus YouTube’i reklaamide blokeerimiseks (ID: cmedhionkhpnakcndndgjdbohmhepckk) enam kui 10 miljoni installatsiooni juures sisaldab uinut koodi injekteerimise funktsioone, mis võimaldavad täisvolitatud JavaScripti käivitamist.

Turvafirma Island tuvastus Chrome’i laienduses „Adblock for YouTube” kriitilist nõrkust. Laiendust pakutakse Chrome Web Storis koos soovituste märgisega ja sellel on enam kui 10 miljonit installatsiooni.

Plugin suudab käivitada täisvolitatud JavaScripti koodi. See funktsioon on praegu uinut (passiivne), kuid laienduse poolt säilitatakse ja võiks olla kaugeltööliselt aktiveeritav. CISO-dele tähendab see riski brauseri turvalisuse ja tarneahela terviklikkuse kontekstis: miljonid kasutajad võivad olla potentsiaalselt ohustatud, kui laiendust rünnakute sihtmärgiks võetakse või manipuleeritakse.

Share on: