In den Werbeblockern AdBlock, AdBlock Plus und uBlock weist ein Feature eine Schwachstelle auf. Darüber soll es Angreifern möglich sein JavaScript-Code auf Webseiten zu platzieren, sodass er dann im Kontext der Seite läuft (Cross-Site-Scripting). Es ist möglich, dass ein Angreifer dadurch Aktionen mit den Nutzerrechten des Opfers ausführen könnte. Die Werbeblocker sind zum Beispiel für Firefox, Chrome und Opera verfügbar.

Die Entwickler von Adblock Plus Eyeo haben die $rewrite-Filteroption im Juli 2018 in die Browser Erweiterung eingefügt. Später wurde diese Funktion auch von AdBlock und uBlock übernommen. Die Filteroption ermöglicht es Benutzern, Filterregeln, die bestimmte Inhalte blockieren oder erlauben sollen, anzupassen. Werbeanfragen können von Betreuern von Filterlisten dadurch auf andere Seiten umgeleitet werden statt sie zu blockieren. So ist es zum Beispiel möglich, Tracking-Daten aus URLs zu entfernen.

Der Sicherheitsforscher Armin Sebastian empfiehlt Benutzern in seinem Beitrag auf uBlock Origin umzusteigen, weil es diese Filteroption dort nicht gibt.

Der Anbieter hat die Sicherheitsbedenken im Bezug auf dieses Feature ausführlich diskutiert und Einschränkungen eingeführt, um Risiken zu minimieren. Trotz der Einstufung als geringes Risiko haben die Entwickler sich dazu entschieden, die Filteroption zu entfernen und möglichst zeitnah eine aktualisierte Version von Adblock Plus zu veröffentlichen.

(el, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE