Spletni brskalniki
27.06.2026 11:24
Posodobljeno 3 tedni nazaj.

Deli z drugimi:

Share
Sledite nam na Google News

Priljubljeni Chrome dodatek za blokiranje oglasov skriva nevarno kodo

Novi Google Chrome je precej prijaznejši do sistemskega pomnilnika!
Novi Google Chrome je precej prijaznejši do sistemskega pomnilnika!

Varnostni raziskovalci podjetja Island so nedavno pod drobnogled vzeli izjemno priljubljeno orodje “Adblock for YouTube”. Kljub temu, da dodatek zanesljivo opravlja svoje delo in odstranjuje oglase s platforme ter zunanjih strani, njegova arhitektura skriva resno varnostno tveganje. Koda namreč omogoča oddaljen prenos in izvajanje poljubnih skript na kateri koli spletni strani, ki jo obiščete.

Strokovnjaki poudarjajo, da to v praksi pomeni možnost prebiranja vsebine strani, kraje podatkov in celo upravljanja osebnih ter poslovnih računov v imenu uporabnika. Trenutno sicer ni dokazov, da bi bila ta ranljivost že zlorabljena za napade. Kljub temu pa je že samo obstoj takšne funkcije, skupaj s povezavami do drugih odstranjenih programov, dovolj velik razlog za skrb. Trgovina Chrome je namreč zaradi zlonamerne kode pred kratkim že odstranila sorodne dodatke, kot so “Adblock for Chrome”, “Adblock for You” in “AdBlock Suite”.

Omenjena razširitev je v uradni spletni trgovini prisotna že od leta 2014, lastništvo pa se je zamenjalo štiri leta kasneje. Med letoma 2018 in junijem 2024 je vsebovala programski paket Unistream SDK za »vbrizgavanje« oglasov, od februarja 2025 pa vsebuje mehanizme za zagon zunanjih programskih skript. Orodje uporablja odprtokodno knjižnico AdGuard z malimi funkcijami, imenovanimi “scriptlets”. Težava nastane, ker strežnik določa, kateri izmed njih se bodo zagnali. Funkcija “trusted-create-element” lahko ustvari element HTML na strani, in če strežnik vanjo pošlje zlonamerno kodo, ta nemoteno deluje v ozadju. Raziskovalci opozarjajo, da je ta zmožnost trenutno speča, a jo je mogoče aktivirati z eno samo spremembo na strežniku razvijalca, brez pregleda podjetja Google ali posodobitve samega dodatka.

Dodatno skrb vzbuja dejstvo, da razširitev deluje na vseh spletnih mestih, saj je varnostni pregled naslova URL površen. Koda preveri le, ali niz “youtube.com” obstaja kjerkoli v naslovu, kar pomeni, da jo je mogoče enostavno pretentati z naslovi, kot sta bank.example.com/search?q=youtube.com ali facebook.com/page?ref=youtube.com.

Po javni objavi poročila se je odzval Mathias Rochus, ustanovitelj podjetja AdBlock Ltd. Zagotovil je, da funkcije niso nikoli zlorabili in je tudi ne bodo, hkrati pa je napovedal nujno posodobitev. Ta bo popravila preverjanje naslova URL, ki bo sedaj zahtevalo natančno ujemanje gostitelja YouTube, in onemogočila strežniško vbrizgavanje izvedljivih skript. Popravek mora pred izidom odobriti še Google.


Vam je bila novica zanimiva?

Povejte prijateljem, da ste novico prebrali na Računalniških novicah.

Share
Prijavi napako v članku


Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

RSLukan, Matjaž Lukan s.p.

Pri malem kamnu 11, 1000 Ljubljana, Tel: 051 302 160
Delovanje sodobne družbe je pogojeno z brezhibnim delovanjem računalniških in informacijskih sistemov. Predstavljajte si svet brez tehnologije ali še huje, svet brez ustrezne IT ... Več
Diamantni partner

OptiCyber3 d.o.o.

Ulica Jožeta Jame 14, 1210 Ljubljana Šentvid, Tel: 070 420 063
OptiCyber3 poskrbi za zanesljivo zaščito vašega računalniškega sistema Kako poskrbeti za zanesljivo zaščito računalniških sistemov? Za ustrezno varnostno zaščito in kar ... Več
Zlati partner

AUDIO BM d.o.o.

Italijanska ulica 8, 1000 Ljubljana, Tel: 059 044 055
Kot eden najpomembnejših čutov nam sposobnost sluha omogoča povezovanje in socializiranje s preostalim svetom. Najpomembneje pa je, da nas sluh poveže z ljudmi in omogoča komunikacijo ... Več
Zlati partner

KONCERN ENA d.o.o.

Koroška cesta 61, 3320 Velenje, Tel: 03 891 95 40
Podjetje IN.PU.T., prodaja računalniške opreme, Tadej Pucelj, s.p. je začelo poslovati v letu 2003,kot internetna trgovina (www.in-put.com) z računalniško opremo. V zadnjih letih ... Več