ニュース

「Adblock Plus」のフィルターオプションに脆弱性、任意のコードが実行されてしまう恐れ(4月22日追記)

「Adblock Plus」v3.5.2で修正

Armin Sebastian氏のブログ

 「Adblock Plus」のURL書き換えフィルターオプションに潜在的な脆弱性が存在することが4月15日、セキュリティ研究者のArmin Sebastian氏によって明らかにされた。「Adblock Plus」の開発元も、同日付けで公開した公式ブログの記事でそれを認めている。

 2018年7月17日にリリースされた「Adblock Plus 3.2」では、リクエストを書き換えるオプション“$rewrite”がフィルター機能に導入された。その翌日、「AdBlock」もこの動きに追従し、新しいフィルターオプションをサポートしたバージョンをリリース。その後、「AdBlock」が買収した「uBlock」にもこの機能が導入された。

 しかし、この“$rewrite”フィルターオプションを利用すると、特定条件下でフィルターリストの管理者が任意のコードを挿入できることが明らかになった。フィルターリストのなかにはコミュニティでメンテナンスされているものもあるが、そのなかに悪意を持ったメンバーがいれば、この脆弱性が「Adblock Plus」「AdBlock」「uBlock」のユーザーを攻撃するために使われてしまう恐れがある。

「Adblock Plus」のフィルターリスト

 Sebastian氏によると、この攻撃は悪用が簡単だが検出は難しく、すべての主要なWebブラウザーで応用が可能だ。同氏はこの脆弱性をGoogleにも通報したが、拡張機能の意図的な動作であるとして対応は行われなかった。そのため、問題の解決は拡張機能側のアップデートを待つよりない。「Adblock Plus」の開発チームは、当面の対策として“$rewrite”オプションの制限を実施している。将来的には、“$rewrite”オプションを削除したバージョンがリリースされる見込みだ。

 なお、同系列の広告ブロッカー拡張機能のうち、「uBlock Origin」はこの脆弱性の影響を受けないとのこと。同拡張機能ではパフォーマンスとセキュリティ上の問題から、この機能の導入が否決されている。

編集部追記: 同脆弱性は4月20付で公開された「Adblock Plus」の最新版v3.5.2で修正された。