Adblock Plus 过滤器列表能被用于在网页执行任意代码
去年 7 月释出的 Adblock Plus 引入了重写请求的过滤器选项,之后 AdBlock 和 uBlock(不是 uBlock Origin)都加入了对这一选项的支持。在特定条件下,$rewrite 过滤器选项列表的维护者可以向网页注入任意代码。受影响的扩展用户超过一亿。Armin Sebastian 在个人博客上解释了利用该选项执行任意代码的工作原理,他建议 Adblock Plus 移除 $rewrite 选项,因为该功能容易遭到滥用。用户可以切换到另一个流行的广告屏蔽扩展 uBlock Origin,它不支持 $rewrite 选项,因此不受该攻击的影响。