幾天前 一個漏洞被披露在 著名的瀏覽器擴展 可能導致系統崩潰的“UBlock Origin” 用戶 或者到了內存不足的地步 如果 URL 屬於“嚴格阻止”過濾器,則在瀏覽特製 URL 時。
已識別的漏洞 僅在用戶直接訪問有問題的 url 時才會顯示,例如,當您單擊鏈接時。
嚴格阻止的工作原理是打開一個警告頁面,該頁面提供有關被阻止資源的信息,包括其 URL 和阻止資源加載的過濾器。 警告頁面還會顯示被阻止 URL 的查詢參數,以幫助用戶避免跟踪重定向。
在之前的 uBO 版本中,這些參數被遞歸解析並添加到 DOM 中而沒有任何深度檢查,這可能導致擴展崩潰和內存耗盡,具體取決於瀏覽器和硬件。 uMatrix 和 ηMatrix(與 Pale Moon 兼容的 uMatrix 的一個分支)共享用於顯示解析的 URL 參數的類似代碼。
有人提到 檢測到的漏洞已得到糾正 及時更新 uBlock 起源 1.36.2。 雖然也提到了 uMatrix 插件也受影響 同樣的問題,但是已經停止維護,不再發布更新,所以唯一的解決辦法就是卸載瀏覽器擴展。
如 uMatrix 中沒有解決方案 (最初建議通過“資產”選項卡禁用所有嚴格的阻止過濾器,但此建議被認為是不夠的,並且會給用戶自己的阻止規則帶來問題)。 在 ηMatrix 中, 來自 Pale Moon 項目的 uMatrix 的一個分支, 該漏洞已在 4.4.9 版中修復。
用戶必須更新到 uBO 1.36.2 和 ηMatrix 4.4.9 才能收到此安全漏洞的修復,這會影響兩個擴展的默認設置。
關於該漏洞,提到它是由於通常在域級別定義了強阻塞過濾器而導致的,旨在拒絕所有連接,即使您直接點擊鏈接。
也就是說,漏洞是由於以下事實 導航到符合嚴格阻止過濾條件的頁面時,向用戶顯示警告,提供有關被阻止資源的信息,包括 URL 和請求參數。 問題是uBlock Origin遞歸解析請求參數 無論嵌套級別如何,都將它們添加到 DOM 樹中。
嚴格過濾器最常用於阻止執行附屬重定向、提供惡意軟件或不受歡迎訪問的站點。 它們通常應用於域級別(例如 googlesyndication.com)並且往往類似於主機文件中的條目,儘管它們也可以針對更具體的資源。
通過處理 uBlock Origin for Chrome 中特製的 URL,可以阻止瀏覽器插件運行的進程。 阻止後,直到重新啟動帶有插件的進程,用戶才不會阻止不需要的內容。 Firefox 內存不足。
另一方面,也有網友評論說 在 NoScript 中,他們注意到存在導致 Firefox 100% CPU 負載的錯誤 打開某些站點時,所以現在要解決這個問題,您必須完全關閉Firefox,然後打開任務管理器並等待該過程完成。 然後,必須重新啟動 Firefox 或終止進程以重新打開瀏覽器並從上一個會話開始。
最後, 如果您有興趣了解更多信息 你可以諮詢 以下鏈接中的詳細信息。