Armin Sebastian, chercheur en sécurité, a récemment annoncé avoir repéré des failles dans certains bloqueurs de publicité comme Adblock Plus, Adblock et uBlock.

faille Maps

Ces bloqueurs de publicité fonctionnent tous sur le même schéma en s'appuyant sur l'option $rewrite qui permet de modifier les requêtes HTTP à la volée pour y appliquer des filtres. Une autorisation qui peut néanmoins être contournée pour exécuter du code malveillant malgré une double protection pourtant en place.

Selon les sites Web consultés, il est ainsi possible d'exécuter du code Javascript malveillant, le chercheur ayant pris l'exemple de Google Maps. Dans son exemple, il suffit de se rendre sur Google Maps avec un des bloqueurs de publicité cité pour voir apparaitre une fenêtre popup.

Le problème est d'autant plus inquiétant que les filtres des bloqueurs de publicité sont généralement produits de façon collaborative par des bénévoles. Une de ces sources pourrait ainsi tenter d'introduire une liste de filtres malveillants visant à exécuter du code à distance... Google de son côté a jugé la faille peu importante et a décidé de ne pas modifier son service Maps.