Chrome 浏览器插件 Adblock for YouTube 曝出高危安全漏洞,可允许黑客远程执行代码。该漏洞可能导致用户敏感数据泄露,甚至被用于账号冒用等恶意行为。目前,插件开发商 AdBlock 已确认该问题并着手修复。
根据安全公司 Island 的研究,Adblock for YouTube 在校验访问域名时存在疏漏,未能严格区分 `youtube.com` 官方域名。这意味着攻击者可能通过构造包含 `youtube.com` 字符串的恶意链接,诱导插件在非 YouTube 页面上执行,从而绕过原有的安全防护。
此外,该插件还集成了一套可通过服务器端动态下发的 JavaScript 代码库。如果黑客能够控制该插件的服务器配置或入侵服务器,便可借此向用户浏览器注入并执行任意 JavaScript 代码,进一步加剧了安全风险。AdBlock 方面表示,正在修复过程中,将加强对 YouTube 官方域名的验证,并调整服务器端配置机制,防止恶意代码注入。
鉴于广告拦截类插件通常拥有较高的浏览器权限,用户在安装此类插件时,建议优先选择信誉良好、更新活跃且经过广泛验证的产品。同时,定期检查已安装扩展的权限范围,避免安装来源不明或功能过于复杂的插件,以最大限度地降低潜在的安全风险。