Sicherheitslücken in uBlock Origin erlaubten Diebstahl von Passwörtern

Danke.

Ich glaube meins ist Aktuell.

für die Info

shame on gorhill

Danke

Soll helfen gegen sowas. Man munkelt, uBo hätte noch weitere solcher Lücken

CSS Exfil Protection – Get this Extension for 🦊 Firefox (en-US)

Download CSS Exfil Protection for Firefox. Guard your browser against CSS Exfil attacks! CSS Exfil is a method attackers can use to steal data from web pages…

addons.mozilla.org

Zitat

2021-08-25 05:16 - Tavis reported his bug

2021-08-25 15:09 - uBlock Origin patched Tavis' bug

2021-11-03 11:51 - I reported my bypass to uBlock Origin

2021-11-03 12:52 - uBlock Origin patched my bypass on master

2021-11-04 11:01 - Reported JavaScript URL injection vulnerability

2021-11-05 20:16 - uBlock Origin patched JavaScript URL injection vulnerability

2021-11-08 13:25 - Reported bug in cosmetic filter

2021-11-08 14:19 - uBlock Origin patched my cosmetic bypass

2021-11-08 15:35 - I bypassed the patch without using comments

2021-11-08 16:18 - uBlock Origin patched the cosmetic filter bypass

2021-11-11 10:20 - Reported bug where image-set() was allowed in Firefox

2021-11-11 20:21 - uBlock Origin patched image-set() vulnerability

2021-11-22 14:30 - uBlock stable released

2021-11-22 - Firefox version updated

2021-12-03 - Chrome version updated

2021-12-06 - Post published

Alles anzeigen

Für Chromium-basierte, einige nutzen den ja auch als "Kontrolle"

CSS Exfil Protection

Guard against CSS data exfiltration attacks.

chrome.google.com

Hab ich mir gleich mal installiert.

Deswegen "munkelt" man auch ;). Wo eine Sicherheitslücke ist, könn(t)en ja auch weitere sein.

Diese andere Erweiterung muss ich noch in einem Testprofil anschauen, das Teil kann vermutlich noch mehr (rules.js)

Was die Reihenfolge der Eingriffe angeht, irgendwann mal was dazu gelesen, ich meine, uBo sitzt mit ganz vorn, ist jetzt aber nur ganz schwach hier gemerkt, weil ich nur eine so eine Erweiterung nutze, die so tief in Webseiten eingreift. Alle andere kommen erst danach.

Danke für die Info! Sehr gut finde ich, wie schnell Raymond Hill die gemeldeten Lücken geschlossen hat.

Zitat von Sören Hentzschel

Aber bis tatsächlich ein Update veröffentlicht worden ist, welches die ganzen Sicherheitslücken behebt, hat es mehrere Monate gedauert und das ist deutlich zu lang.

Ja, das ist leider richtig, war mir gar nicht richtig bewusst. Wer nicht die Test-Versionen von GitHub verwendet, war tatsächlich gefährdet. Bei solchen Lücken hätte es unbedingt so bald wie möglich Updates der AMO-Version geben müssen.

Weißt Du, ob der lange Zeitraum zwischen Bekanntwerden/Behebung und der offiziellen Freigabe auf AMO für den Entwickler problematisch sein könnte? Oder reicht es, dass die Anwender die Möglichkeit gehabt hätten, eine Entwicklungsversion mit den Fehlerbehebungen zu verwenden?

Zitat von Sören Hentzschel

Aber bis tatsächlich ein Update veröffentlicht worden ist, welches die ganzen Sicherheitslücken behebt, hat es mehrere Monate gedauert

Krümelk… Es war höchstens rund ein Monat, was aber an Deiner Schlussfolgerung:

Zitat von Sören Hentzschel

das ist deutlich zu lang

nichts ändert.

Konkret: Entsprechend der Disclosure in Gareth Hayes’ Text wurde der erste Bug am 25.08. gemeldet und gefixt. uBO, Version 1.38.0., erschien dann für Firefox am 30.9. mit Hinweis auf den Bug samt Schlüsselwort security. Dann folgte die Serie der Bugmeldungen vom 3. bis 11.11. mit dem Update vom 22.11. in Firefox. Über das Chrome-Addon weiß ich nichts. Ich bin mir unsicher, aber bilde mir ein, mal von irgendeinem Entwickler eine Beschwerde gelesen zu haben, dass die Updates dort länger dauern (die nicht von Raymond Hill betreute Edge-Version erschien ja sogar vor derjenigen für Chrome).

Zitat von Sören Hentzschel

gestohlen werden konnten.

Gibt es Erkenntnisse wie oft das tatsächlich geschehen ist? "Können" ist ja auch so ein Wort.