Sicherheitslücken in uBlock Origin erlaubten Diebstahl von Passwörtern

    Firefox-Version
    *
    Betriebssystem
    *

    Hinweis für Nutzer von uBlock Origin, denn auch wenn die Probleme bereits behoben sind, sollten Nutzer dieser Erweiterung zumindest wissen, dass uBlock Origin bis vor kurzem anfällig für CSS-Injection-Attacken war. Wir sprechen hier von mehreren Schwachstellen, die sogar soweit gingen, dass über eine Filterliste ein Keylogger gebaut und Passwörter gestohlen werden konnten.

    Die Sicherheitslücken wurden am 22. November in der Version für Firefox und am 3. Dezember in der Version für Chrome behoben. Wer noch eine ältere Version von uBlock Origin nutzt, sollte schnellstens aktualisieren.

    uBlock, I exfiltrate: exploiting ad blockers with CSS
    Ad blockers like uBlock Origin are extremely popular, and typically have access to every page a user visits. Behind the scenes, they're powered by…
    portswigger.net

    Danke.

    Ich glaube meins ist Aktuell.

    "Klug sein hat noch nie einen Menschen an Dummheiten gehindert." Stefan Zweig
    Firefox-Version: 124.0.2
    Edition: Windows 11 Home (64-Bit-Betriebssystem)
    Version: 23H2

    :thumbup: für die Info

    :thumbdown: shame on gorhill ;)

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

    Danke :thumbup:

    Gruß Micha

    Ich beantworte keine technischen Fragen per PN, ICQ, E-Mail, sondern nur in diesem Forum.

    Mein produktiver Firefox ist die jeweils aktuellste installierte Release-Version.

    Soll helfen gegen sowas. Man munkelt, uBo hätte noch weitere solcher Lücken

    CSS Exfil Protection – Get this Extension for 🦊 Firefox (en-US)
    Download CSS Exfil Protection for Firefox. Guard your browser against CSS Exfil attacks! CSS Exfil is a method attackers can use to steal data from web pages…
    addons.mozilla.org


    Für Chromium-basierte, einige nutzen den ja auch als "Kontrolle" ;)

    CSS Exfil Protection
    Guard against CSS data exfiltration attacks.
    chrome.google.com

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

    Ich habe meine Zweifel, dass diese Erweiterung geholfen hätte. Das würde voraussetzen, dass diese Erweiterung generell erst wirkt, nachdem uBlock Origin seine Arbeit verrichtet hat. Die Reihenfolge der Wirkung ist für den Nutzer aber nicht kontrollierbar. Zielgruppe dieser Erweiterung sind eher Websites als andere Add-ons. Tatsächlich ist das einzige garantiert wirksame Mittel gegen Sicherheitslücken, die Sicherheitslücken zu schließen.

    Zitat von .DeJaVu

    Man munkelt, uBo hätte noch weitere solcher Lücken

    Munkelt das auch ein seriöser Sicherheitsforscher oder ist das reddit-Gerede? Dann wäre ein Link schön. Von Andeutungen dieser Art bin ich nämlich überhaupt kein Freund, beim Thema Sicherheit bleibe ich lieber bei Fakten. ;)

    Deswegen "munkelt" man auch ;). Wo eine Sicherheitslücke ist, könn(t)en ja auch weitere sein.

    Diese andere Erweiterung muss ich noch in einem Testprofil anschauen, das Teil kann vermutlich noch mehr (rules.js)

    Was die Reihenfolge der Eingriffe angeht, irgendwann mal was dazu gelesen, ich meine, uBo sitzt mit ganz vorn, ist jetzt aber nur ganz schwach hier gemerkt, weil ich nur eine so eine Erweiterung nutze, die so tief in Webseiten eingreift. Alle andere kommen erst danach.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

    Zitat von .DeJaVu

    Wo eine Sicherheitslücke ist, könn(t)en ja auch weitere sein.

    Klar, und der Himmel ist blau. Da steckt keine Aussage dahinter. Wenn man (weitere) Sicherheitslücken andeutet, muss man zumindest den Verdacht zwangsläufig belegen können, ansonsten geht so etwas gar nicht, weil damit dem Entwickler auch etwas unterstellt wird, was wahrscheinlich gar nicht zutrifft.

    Zitat von .DeJaVu

    Was die Reihenfolge der Eingriffe angeht, irgendwann mal was dazu gelesen, ich meine, uBo sitzt mit ganz vorn, ist jetzt aber nur ganz schwach hier gemerkt, weil ich nur eine so eine Erweiterung nutze, die so tief in Webseiten eingreift. Alle andere kommen erst danach.

    Da hast du dir etwas Falsches gemerkt. Weder Firefox noch Chrome sind so programmiert, dass konkret uBlock Origin garantiert vor allen anderen Erweiterungen ausgeführt wird.

    Schnell geschlossen hat er die Sicherheitslücken tatsächlich, sogar extrem schnell, alles noch am jeweils gleichen Tag wie die Meldung erfolgt ist. Aber bis tatsächlich ein Update veröffentlicht worden ist, welches die ganzen Sicherheitslücken behebt, hat es mehrere Monate gedauert und das ist deutlich zu lang. Es wäre schon gut gewesen, wenn in der Zwischenzeit noch das eine oder andere Update erschienen wäre, welches zumindest die bis dahin bereits bekannten und ja auch schon behobenen Sicherheitslücken schließt. Es wurden ja schließlich verschiedene Sicherheitslücken zu verschiedenen Zeitpunkten gemeldet, nicht alle erst vor ein paar Tagen.

    Zitat von Sören Hentzschel

    Aber bis tatsächlich ein Update veröffentlicht worden ist, welches die ganzen Sicherheitslücken behebt, hat es mehrere Monate gedauert und das ist deutlich zu lang.

    Ja, das ist leider richtig, war mir gar nicht richtig bewusst. Wer nicht die Test-Versionen von GitHub verwendet, war tatsächlich gefährdet. Bei solchen Lücken hätte es unbedingt so bald wie möglich Updates der AMO-Version geben müssen.

    Weißt Du, ob der lange Zeitraum zwischen Bekanntwerden/Behebung und der offiziellen Freigabe auf AMO für den Entwickler problematisch sein könnte? Oder reicht es, dass die Anwender die Möglichkeit gehabt hätten, eine Entwicklungsversion mit den Fehlerbehebungen zu verwenden?

    Zitat von Sören Hentzschel

    Aber bis tatsächlich ein Update veröffentlicht worden ist, welches die ganzen Sicherheitslücken behebt, hat es mehrere Monate gedauert

    Krümelk… Es war höchstens rund ein Monat, was aber an Deiner Schlussfolgerung:

    Zitat von Sören Hentzschel

    das ist deutlich zu lang

    nichts ändert.

    Konkret: Entsprechend der Disclosure in Gareth Hayes’ Text wurde der erste Bug am 25.08. gemeldet und gefixt. uBO, Version 1.38.0., erschien dann für Firefox am 30.9. mit Hinweis auf den Bug samt Schlüsselwort security. Dann folgte die Serie der Bugmeldungen vom 3. bis 11.11. mit dem Update vom 22.11. in Firefox. Über das Chrome-Addon weiß ich nichts. Ich bin mir unsicher, aber bilde mir ein, mal von irgendeinem Entwickler eine Beschwerde gelesen zu haben, dass die Updates dort länger dauern (die nicht von Raymond Hill betreute Edge-Version erschien ja sogar vor derjenigen für Chrome).