Egy hidegfront után hajlamosak vagyunk azt érezni, hogy túl vagyunk a nehezén, miközben július elején még a nyár jelentős része előttünk áll.
Te is használod ezt a reklámblokkoló bővítményt a böngésződben? Most közölték róla, súlyos veszélyt rejt a háttérben
Egy népszerű, több mint tízmillió letöltéssel rendelkező Chrome-bővítményről derült ki, hogy képes tetszőleges JavaScript-kód futtatására a felhasználók tudta nélkül. Az Island kiberbiztonsági cég kutatói szerint az "Adblock for YouTube" nevű, a Chrome Web Store-ban kiemelt jelzéssel ellátott kiegészítő ugyan valóban elvégzi a reklámok szűrését, ám olyan architektúrával rendelkezik, amely egyetlen szerveroldali módosítással visszaélésekre adhatna lehetőséget.
A HackerNews érdeklődésére biztonsági szakértők, Oleg Zajcev és Sahar Gricman rámutattak, hogy a veszély forrása a közvetlen elérés, ugyanis a kód futtatásához nincs szükség a bővítmény frissítésére, áruházi jóváhagyásra, és semmilyen látható jel nem utal a változásra. A gyakorlatban ez lehetővé tenné, hogy a kiegészítő weboldalakat olvasson ki, adatokat lopjon el, vagy a felhasználó nevében járjon el a személyes fiókokban, munkahelyi alkalmazásokban és adminisztrációs felületeken.
Noha nincs bizonyíték arra, hogy ezzel a módszerrel bárki ellen kártékony támadást indítottak volna, a kockázatot rendkívül komolyan veszik. A bővítmény ugyanis kapcsolatba hozható olyan más reklámszűrőkkel, amelyeket korábban már eltávolítottak a webáruházból rosszindulatú kódok miatt, mint például az Adblock for Chrome, az Adblock for You vagy az AdBlock Suite.
Az Adblock for YouTube már 2014 óta elérhető. Kezdetben egyszerű reklámszűrőként működött, majd négy évvel később új tulajdonoshoz került. Korábbi verziói tartalmaztak egy Unistream SDK nevű reklámbeágyazó szoftverfejlesztő készletet is, amelyet végül 2024 júniusában távolítottak el. A nevében szereplő YouTube-utalás ellenére a bővítmény valójában minden meglátogatott weboldalhoz széles körű hozzáféréssel bír, ami a reklámszűrők esetében bevett gyakorlatnak számít, a távolról vezérelt kódfuttatás lehetőségével ötvözve viszont komoly aggodalomra ad okot.
A biztonsági rés egy hibás ellenőrzési folyamatból adódott, a kiegészítő ugyanis minden olyan esetben aktiválódott, amikor az URL-címben bárhol szerepelt a "youtube.com" karakterlánc, ahelyett, hogy a tényleges gazdagépnevet vizsgálta volna. Emiatt a szűrő könnyen kijátszhatóvá vált, például egy "bank.example.com/search?q=youtube.com" alakú címmel.
A kutatás közzétételével egy időben a Palo Alto Networks Unit 42 kiberbiztonsági részlege arról számolt be, hogy tizennyolc olyan, ismert márkákat utánzó böngészőbővítményt azonosított, amelyek partnerprogramos marketingen keresztül próbáltak bevételhez jutni, és a telepítést követően megtévesztő, ".shop" végződésű domainekre irányították át a gyanútlan felhasználókat.
Bárkinek járhat ingyen 8-11 millió forint, ha nyugdíjba megy: egyszerű igényelni!
A magyarok körében évről-évre nagyobb népszerűségnek örvendenek a nyugdíjmegtakarítási lehetőségek, ezen belül is különösen a nyugdíjbiztosítás. Mivel évtizedekre előre tekintve az állami nyugdíj értékére, de még biztosítottságra sincsen garancia, úgy tűnik ez időskori megélhetésük biztosításának egy tudatos módja. De mennyi pénzhez is juthatunk egy nyugdíjbiztosítással 65 éves korunkban és hogyan védhetjük ki egy ilyen megtakarítással pénzünk elértéktelenedését? Minderre választ kaphatsz ebben a cikkben, illetve a Pénzcentrum nyugdíj megtakarítás kalkulátorában is. (x)
Az AdBlock Ltd. alapítója, Mathias Rochus később közölte, hogy a bővítmény soha nem élt a kifogásolt lehetőséggel, és időközben már kiadták a javított verziót. A Chrome Web Store-ban jelenleg elérhető 7.2.3-as változatból eltávolították a jelentésben említett kódrészletet, a pontatlan karakterlánc-ellenőrzést pedig biztonságosabb, gazdagépnév-alapú vizsgálatra cserélték.
Ennek ellenére a bővítmény továbbra is tölt le távoli szabályokat és futtat kódokat az oldalak elsődleges környezetében, ezért a rendszer teljes biztonságát csak a futásidejű ellenőrzés garantálhatná.
-
Mutatjuk, mi a grillszezon sztárja 2026 nyarán: keresik az izgalmas ízeket a magyarok
A tarja mellé zöldség és vegán burger is kerül: átalakulóban a grillszezon.
-
A fiatalok döntöttek: ezt várják el egy bankszámlától (x)
A Gránit Bank friss elemzése szerint a Z generáció számára a feltétel nélküli díjmentesség, a virtuális bankkártya és a piaci középárfolyamon történő devizaváltás jelentik a legnagyobb vonzerőt bankszámla-választáskor.







