
gezeigt hat, dass ein Listen-Administrator mit bösen Absichten durchaus eine URL per $rewrite so verändern kann, dass sie Schadcode von einem fremden Server ausführen kann.
Dazu muss die Webseite unter anderem einen JavaScript-String per XMLHttpRequest oder Fetch laden und ausführen können sowie den Code von beliebigen URLs ausführen. Der Sicherheitsforscher hatte keine Probleme damit, eine URL zu finden, auf die alle Voraussetzungen für den Angriff zutreffen.
Für ein Beispiel verwendete er etwa Google Maps. Er veränderte die Filterliste so, dass beim Aufrufen von Google Maps ein Pop-Up mit „www.google.com“ erscheint. Das selbe funktioniert auch mit den Webseiten von Gmail und Google Images.
Sebastian hat auch die Entwickler von AdBlock Plus über die Schwachstelle informiert, die den möglichen Exploit eingeräumt haben. Sie selbst stufen das Potenzial für solche Angriffe aber als gering an. Trotzdem werden sie den $rewrite-Filter mit dem nächsten AdBlocker-Update komplett entfernen. Bis dahin bleibt die Lücke allerdings bestehen.