Sicherheitslücken in uBlock Origin erlaubten Diebstahl von Passwörtern

  • Firefox-Version
    *
    Betriebssystem
    *

    Hinweis für Nutzer von uBlock Origin, denn auch wenn die Probleme bereits behoben sind, sollten Nutzer dieser Erweiterung zumindest wissen, dass uBlock Origin bis vor kurzem anfällig für CSS-Injection-Attacken war. Wir sprechen hier von mehreren Schwachstellen, die sogar soweit gingen, dass über eine Filterliste ein Keylogger gebaut und Passwörter gestohlen werden konnten.

    Die Sicherheitslücken wurden am 22. November in der Version für Firefox und am 3. Dezember in der Version für Chrome behoben. Wer noch eine ältere Version von uBlock Origin nutzt, sollte schnellstens aktualisieren.

    uBlock, I exfiltrate: exploiting ad blockers with CSS
    Ad blockers like uBlock Origin are extremely popular, and typically have access to every page a user visits. Behind the scenes, they're powered by…
    portswigger.net
  • Danke.

    Ich glaube meins ist Aktuell.

    "Klug sein hat noch nie einen Menschen an Dummheiten gehindert." Stefan Zweig
    Firefox-Version: 132.0.2
    Edition: Windows 11 Home (64-Bit-Betriebssystem)
    Version: 23H2

  • Danke :thumbup:

    Gruß Micha

    Ich beantworte keine technischen Fragen per PN, ICQ, E-Mail, sondern nur in diesem Forum.

    Mein produktiver Firefox ist die jeweils aktuellste installierte Release-Version.

  • Soll helfen gegen sowas. Man munkelt, uBo hätte noch weitere solcher Lücken

    CSS Exfil Protection – Get this Extension for 🦊 Firefox (en-US)
    Download CSS Exfil Protection for Firefox. Guard your browser against CSS Exfil attacks! CSS Exfil is a method attackers can use to steal data from web pages…
    addons.mozilla.org


    Für Chromium-basierte, einige nutzen den ja auch als "Kontrolle" ;)

    CSS Exfil Protection
    Guard against CSS data exfiltration attacks.
    chrome.google.com

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Ich habe meine Zweifel, dass diese Erweiterung geholfen hätte. Das würde voraussetzen, dass diese Erweiterung generell erst wirkt, nachdem uBlock Origin seine Arbeit verrichtet hat. Die Reihenfolge der Wirkung ist für den Nutzer aber nicht kontrollierbar. Zielgruppe dieser Erweiterung sind eher Websites als andere Add-ons. Tatsächlich ist das einzige garantiert wirksame Mittel gegen Sicherheitslücken, die Sicherheitslücken zu schließen.

    Man munkelt, uBo hätte noch weitere solcher Lücken

    Munkelt das auch ein seriöser Sicherheitsforscher oder ist das reddit-Gerede? Dann wäre ein Link schön. Von Andeutungen dieser Art bin ich nämlich überhaupt kein Freund, beim Thema Sicherheit bleibe ich lieber bei Fakten. ;)

  • Deswegen "munkelt" man auch ;). Wo eine Sicherheitslücke ist, könn(t)en ja auch weitere sein.

    Diese andere Erweiterung muss ich noch in einem Testprofil anschauen, das Teil kann vermutlich noch mehr (rules.js)

    Was die Reihenfolge der Eingriffe angeht, irgendwann mal was dazu gelesen, ich meine, uBo sitzt mit ganz vorn, ist jetzt aber nur ganz schwach hier gemerkt, weil ich nur eine so eine Erweiterung nutze, die so tief in Webseiten eingreift. Alle andere kommen erst danach.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Wo eine Sicherheitslücke ist, könn(t)en ja auch weitere sein.

    Klar, und der Himmel ist blau. Da steckt keine Aussage dahinter. Wenn man (weitere) Sicherheitslücken andeutet, muss man zumindest den Verdacht zwangsläufig belegen können, ansonsten geht so etwas gar nicht, weil damit dem Entwickler auch etwas unterstellt wird, was wahrscheinlich gar nicht zutrifft.

    Was die Reihenfolge der Eingriffe angeht, irgendwann mal was dazu gelesen, ich meine, uBo sitzt mit ganz vorn, ist jetzt aber nur ganz schwach hier gemerkt, weil ich nur eine so eine Erweiterung nutze, die so tief in Webseiten eingreift. Alle andere kommen erst danach.

    Da hast du dir etwas Falsches gemerkt. Weder Firefox noch Chrome sind so programmiert, dass konkret uBlock Origin garantiert vor allen anderen Erweiterungen ausgeführt wird.

  • Schnell geschlossen hat er die Sicherheitslücken tatsächlich, sogar extrem schnell, alles noch am jeweils gleichen Tag wie die Meldung erfolgt ist. Aber bis tatsächlich ein Update veröffentlicht worden ist, welches die ganzen Sicherheitslücken behebt, hat es mehrere Monate gedauert und das ist deutlich zu lang. Es wäre schon gut gewesen, wenn in der Zwischenzeit noch das eine oder andere Update erschienen wäre, welches zumindest die bis dahin bereits bekannten und ja auch schon behobenen Sicherheitslücken schließt. Es wurden ja schließlich verschiedene Sicherheitslücken zu verschiedenen Zeitpunkten gemeldet, nicht alle erst vor ein paar Tagen.

  • Aber bis tatsächlich ein Update veröffentlicht worden ist, welches die ganzen Sicherheitslücken behebt, hat es mehrere Monate gedauert und das ist deutlich zu lang.

    Ja, das ist leider richtig, war mir gar nicht richtig bewusst. Wer nicht die Test-Versionen von GitHub verwendet, war tatsächlich gefährdet. Bei solchen Lücken hätte es unbedingt so bald wie möglich Updates der AMO-Version geben müssen.

    Weißt Du, ob der lange Zeitraum zwischen Bekanntwerden/Behebung und der offiziellen Freigabe auf AMO für den Entwickler problematisch sein könnte? Oder reicht es, dass die Anwender die Möglichkeit gehabt hätten, eine Entwicklungsversion mit den Fehlerbehebungen zu verwenden?

  • Aber bis tatsächlich ein Update veröffentlicht worden ist, welches die ganzen Sicherheitslücken behebt, hat es mehrere Monate gedauert

    Krümelk… Es war höchstens rund ein Monat, was aber an Deiner Schlussfolgerung:

    das ist deutlich zu lang

    nichts ändert.

    Konkret: Entsprechend der Disclosure in Gareth Hayes’ Text wurde der erste Bug am 25.08. gemeldet und gefixt. uBO, Version 1.38.0., erschien dann für Firefox am 30.9. mit Hinweis auf den Bug samt Schlüsselwort security. Dann folgte die Serie der Bugmeldungen vom 3. bis 11.11. mit dem Update vom 22.11. in Firefox. Über das Chrome-Addon weiß ich nichts. Ich bin mir unsicher, aber bilde mir ein, mal von irgendeinem Entwickler eine Beschwerde gelesen zu haben, dass die Updates dort länger dauern (die nicht von Raymond Hill betreute Edge-Version erschien ja sogar vor derjenigen für Chrome).