软餐获悉,知名的浏览器广告拦截扩展 uMatrix 近日曝出了安全漏洞。
uMatrix 是类似于 uBlock Origin (uBO) 的广告拦截扩展程序,它不如 uBlock Origin 知名,两款扩展都出自一个开发者 Raymond Hill 。
uMatrix 扩展已于 2020 年停止开发和维护,但它仍在 Chrome 网上应用店中提供下载,并拥有超过 10 万名用户,除此之外它还有 Firefox 版本,因此实际的用户量更大。
近日,一位安全研究人员在 uBlock Origin 、 uMatrix 及分支程序ηMatrix 中发现了同一个安全漏洞,该漏洞会利用这些扩展提供的 “严格阻止功能” 的代码。攻击者可能会利用该漏洞使这些扩展崩溃,在用户重新加载扩展之前,用户将无法获得扩展提供的过滤保护,这可能会带来潜在的安全风险。
研究人员表示,经过针对 Chrome 、 Firefox 和 Pale Moon 的测试验证,只有 Chrome 扩展在测试期间崩溃了。
据悉,uBlock Origin (uBO) 和 uMatrix 的开发者 Raymond Hill 在安全问题公开披露之前就收到了通知,并在一天内为 uBlock Origin 创建了一个修复补丁,该补丁在第二天发布。
uMatrix 的分支版本——ηMatrix 的维护者发布了对 Pale Moon 附加站点的更新,该更新也修复了扩展中的漏洞。
但 uMatrix 扩展已经停止维护,目前并未获得更新,这意味着它仍然容易受到攻击。
研究人员指出,为了暂时缓解该漏洞,用户可在 uMatrix 仪表板的 “assets” 标签页上来禁用 uMatrix 的严格阻止支持。用户还可以启用所有 “恶意软件域” 和 “多用途” 过滤器列表,以帮助抵消禁用严格阻止的影响。
