Hace pocos dias se dio a conocer una vulnerabilidad en la famosa extensión para navegadores «uBlock Origin» que podría causar fallas en el sistema del usuario o llegar al punto de quedarse sin memoria al navegar por una URL especialmente diseñada si la URL cae bajo los filtros de «bloqueo estricto».
La vulnerabilidad identificada solo se manifiesta cuando el usuario va directamente a la URL problemática, por ejemplo, cuando hace clic en un enlace.
El bloqueo estricto funciona al abrir una página de advertencia que proporciona información sobre el recurso bloqueado, incluida su URL y el filtro que impidió que el recurso se cargara. La página de advertencia también muestra los parámetros de consulta de la URL bloqueada para ayudar a los usuarios a evitar el seguimiento de redirecciones.
En versiones anteriores de uBO, estos parámetros se analizaban de forma recursiva y se agregaban al DOM sin ninguna verificación de profundidad, lo que podría provocar fallas de extensión y agotamiento de la memoria, según el navegador y el hardware. uMatrix y ηMatrix, una bifurcación de uMatrix compatible con Pale Moon, comparten un código similar para mostrar parámetros de URL analizados.
Se menciona que la vulnerabilidad detectada se corrigió de manera oportuna en la actualización de uBlock Origin 1.36.2. Aun que tambien se menciona que el complemento uMatrix también se ve afectado por el mismo problema, pero su mantenimiento se ha descontinuado y las actualizaciones ya no se lanzan, por lo que la única solución es desinstalar la extensión del navegador.
Ya que no hay soluciones en uMatrix (originalmente se sugirió deshabilitar todos los filtros de bloqueo estrictos a través de la pestaña «Activos», pero esta recomendación se consideró insuficiente y crea problemas para los usuarios con sus propias reglas de bloqueo). En ηMatrix, una bifurcación de uMatrix del proyecto Pale Moon, la vulnerabilidad se corrigió en la versión 4.4.9.
Los usuarios deben actualizar a uBO 1.36.2 y ηMatrix 4.4.9 para recibir correcciones para esta vulnerabilidad de seguridad, que afecta las configuraciones predeterminadas de ambas extensiones.
Sobre la vulnerabilidad se menciona que es causada debido a que un filtro de bloqueo fuerte generalmente se define a nivel de dominio y está destinado a denegar todas las conexiones, incluso si sigue un enlace directamente.
Es decir, la vulnerabilidad se debe al hecho de que cuando se navega a una página que es elegible para un filtro de bloqueo estricto, se muestra una advertencia al usuario, que proporciona información sobre el recurso bloqueado, incluida la URL y los parámetros de solicitud. El problema es que uBlock Origin analiza los parámetros de la solicitud de forma recursiva y los agrega al árbol DOM sin tener en cuenta el nivel de anidamiento.
Los filtros estrictos se utilizan con mayor frecuencia para bloquear sitios que realizan redireccionamientos de afiliados, sirven software malicioso o no son deseables para visitar. Por lo general, se aplican a nivel de dominio (por ejemplo, googlesyndication.com) y tienden a parecerse a las entradas en los archivos de hosts, aunque también pueden apuntar a recursos más específicos.
Al manejar una URL especialmente diseñada en uBlock Origin para Chrome, es posible bloquear el proceso en el que se está ejecutando el complemento del navegador. Después del bloqueo, hasta que se reinicia el proceso con el complemento, el usuario se queda sin bloquear el contenido no deseado. Firefox se está quedando sin memoria.
Por otra parte algunos usuarios han comentado que en NoScript, han notado la presencia de un error que conduce a una carga de CPU del 100% en Firefox al abrir algunos sitios, por lo que de momento para solucionar esto, se debe cerrar Firefox por completo y luego abrir el administrador de tareas y esperar a que finalice el proceso. Luego, se debe de reiniciar Firefox o se debe terminar el proceso para volver a abrir el navegador e iniciar con la sesión anterior.
Finalmente, si estás interesado en conocer más al respecto puedes consultar los detalles en el siguiente enlace.