Sicherheitsforscher von Island haben k\u00fcrzlich das \u00e4u\u00dferst beliebte Tool \u201eAdblock for YouTube\u201c genauer unter die Lupe genommen. Obwohl das Add-on zuverl\u00e4ssig Werbung von der Plattform und externen Seiten entfernt, birgt seine Architektur ein ernstes Sicherheitsrisiko. Der Code erm\u00f6glicht das Ausf\u00fchren von Skripten auf jeder besuchten Website.
Experten weisen darauf hin, dass dies in der Praxis die M\u00f6glichkeit bietet, Seiteninhalte zu lesen, Daten zu stehlen und sogar private und gesch\u00e4ftliche Konten im Namen des Nutzers zu verwalten. Bislang gibt es keine Hinweise darauf, dass diese Sicherheitsl\u00fccke bereits f\u00fcr Angriffe ausgenutzt wurde. Die blo\u00dfe Existenz einer solchen Funktion in Verbindung mit Verkn\u00fcpfungen zu anderen entfernten Programmen ist jedoch Grund genug zur Besorgnis. Der Chrome Web Store hat k\u00fcrzlich aufgrund von Schadcode entsprechende Add-ons wie \u201eAdblock for Chrome\u201c, \u201eAdblock for You\u201c und \u201eAdBlock Suite\u201c entfernt.
Die Erweiterung ist seit 2014 im offiziellen Webstore verf\u00fcgbar, wechselte jedoch vier Jahre sp\u00e4ter den Besitzer. Zwischen 2018 und Juni 2024 enthielt sie das Unistream SDK zum Einbinden von Werbung, seit Februar 2025 bietet sie Mechanismen zum Ausf\u00fchren externer Skripte. Das Tool nutzt die Open-Source-Bibliothek AdGuard mit kleinen Funktionen, sogenannten \u201eScriptlets\u201c. Das Problem entsteht dadurch, dass der Server bestimmt, welche dieser Funktionen ausgef\u00fchrt werden. Die Funktion \u201etrusted-create-element\u201c kann ein HTML-Element auf einer Seite erstellen, und wenn der Server diesem Element Schadcode sendet, wird dieser unbemerkt im Hintergrund ausgef\u00fchrt. Die Forscher warnen, dass diese Funktion derzeit inaktiv ist, aber durch eine einzige \u00c4nderung auf dem Server des Entwicklers aktiviert werden kann \u2013 ohne Googles Pr\u00fcfung oder ein Update des Add-ons selbst.
Ein weiteres Problem besteht darin, dass die Erweiterung auf allen Websites funktioniert, da die URL-Sicherheitspr\u00fcfung oberfl\u00e4chlich ist. Der Code pr\u00fcft lediglich, ob die Zeichenkette \u201eyoutube.com\u201c irgendwo in der Adresse vorkommt. Das bedeutet, dass er leicht mit Adressen wie bank.example.com\/search?q=youtube.com oder facebook.com\/page?ref=youtube.com umgangen werden kann.
Nach der Ver\u00f6ffentlichung des Berichts reagierte Mathias Rochus, Gr\u00fcnder von AdBlock Ltd. Er versicherte, dass die Funktionen nie missbraucht wurden und auch zuk\u00fcnftig nicht missbraucht werden, und k\u00fcndigte ein dringendes Update an. Dieses Update behebt die URL-Validierung, die nun eine exakte \u00dcbereinstimmung mit dem YouTube-Host erfordert, und deaktiviert die serverseitige Skripteinschleusung. Die Korrektur muss vor der Ver\u00f6ffentlichung noch von Google genehmigt werden.<\/p>","protected":false},"excerpt":{"rendered":"
Varnostni raziskovalci podjetja Island so nedavno pod drobnogled vzeli izjemno priljubljeno orodje “Adblock for YouTube”. Kljub temu, da dodatek zanesljivo opravlja svoje delo in odstranjuje oglase s platforme ter zunanjih strani, njegova arhitektura skriva resno varnostno tveganje. Koda namre\u010d omogo\u010da oddaljen prenos in izvajanje poljubnih skript na kateri koli spletni strani, ki jo obi\u0161\u010dete. Strokovnjaki […]<\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[70],"tags":[440,478,482],"class_list":["post-7741","post","type-post","status-publish","format-standard","hentry","category-spletni-brskalniki","tag-chrome-brskalnik","tag-informacijska-varnost","tag-kibernetska-varnost"],"acf":{"subtitle":"","heading":"","summary":"Raziskava raz\u0161iritve \"Adblock for YouTube\" z 10 milijoni prenosov je razkrila spe\u010do funkcijo za oddaljen zagon zlonamerne kode na vseh spletnih straneh. Razvijalci podjetja AdBlock Ltd so po opozorilu \u017ee napovedali izdajo varnostnega popravka.","thumbnail_small":"https:\/\/racunalniske-novice.com\/wp-content\/uploads\/2021\/03\/130321_ChromeRAM-560x315.jpg","thumbnail_large":"https:\/\/racunalniske-novice.com\/wp-content\/uploads\/2021\/03\/130321_ChromeRAM.jpg","thumbnail_caption":"Novi Google Chrome je precej prijaznej\u0161i do sistemskega pomnilnika!","gallery":"","video_gallery":null,"author":"","links":null,"sources":[{"title":"thehackernews","url":"https:\/\/thehackernews.com\/2026\/06\/chrome-ad-blocker-with-10m-installs.html?m=1"}],"skip_language":[]},"yoast_head":"\n