Auf den Punkt: Eine weit verbreitete YouTube-Werbeblocker-Erweiterung kann durch ihre Architektur beliebigen JavaScript-Code in jede Webseite injizieren, was für Netzwerke mit dieser Extension zu erheblichen Sicherheitsrisiken führt.
Die Browser-Erweiterung „Adblock for YouTube" mit über 11 Millionen Installationen enthält eine Sicherheitslücke, die es ermöglicht, unkontrolliert beliebigen Script-Code in besuchte Webseiten einzuschleusen.
Die Browser-Erweiterung „Adblock for YouTube” verfügt über eine kritische Schwachstelle in ihrer Codeinjektions-Logik. Statt gezielt nur auf YouTube-Seiten tätig zu werden, kann die Extension unkontrolliert Script-Code in beliebige Webseiten einschleusen.
Für CISOs stellt diese Verbreitung eine erhebliche Risiko-Oberflächenvergrößerung dar: Mit über 11 Millionen Installationen weltweit ist die Wahrscheinlichkeit hoch, dass sich die Extension in unternehmensgebundenen Browsern von Mitarbeitern befindet. Ein Angreifer könnte diese Schwachstelle nutzen, um über die Extension eine Brücke ins Unternehmensnetzwerk zu schlagen – etwa durch Session-Hijacking, Malware-Distribution oder Credential-Harvesting auf intranet-zugänglichen Seiten.
Die Risikobewertung hängt von der spezifischen Injection-Methode ab: Wird Content Security Policy (CSP) umgangen, oder basiert die Injection auf unzureichend validierten Eingaben, erhöht sich das Schadenpotenzial erheblich. Betroffene Organisationen sollten diese Extension auf ihre Blocklisten setzen und eine unternehmensweite Überprüfung durchführen.
Quelle: www.heise.de · Erschienen 26. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.