أعلنت Mozilla عن الإزالة من كتالوج addons.mozilla.org (AMO) لاثنين من الإضافات - Bypass and Bypass XM ، والتي كانت تحتوي على 455 عملية تثبيت نشطة وتم وضعها كإضافات لتوفير الوصول إلى المواد الموزعة من خلال اشتراك مدفوع (Paywall) تجاوز). لتعديل حركة المرور في الوظائف الإضافية ، تم استخدام Proxy API ، والذي يسمح لك بالتحكم في طلبات الويب التي يقدمها المتصفح. بالإضافة إلى الوظائف المعلنة ، استخدمت هذه الوظائف الإضافية Proxy API لحظر المكالمات إلى خوادم Mozilla ، مما منع تنزيل التحديثات إلى Firefox وأدى إلى تراكم نقاط الضعف التي لم يتم إصلاحها والتي يمكن أن يستخدمها المهاجمون لمهاجمة أنظمة المستخدمين.
من الجدير بالذكر أنه بالإضافة إلى منع استلام تحديثات إصدارات Firefox ، نتيجة لأنشطة الوظائف الإضافية المعنية ، تم أيضًا تعطيل تحديث مكونات المتصفح التي تم تكوينها عن بُعد وتم رفض الوصول إلى قوائم الحظر ، مما جعل من الممكن تعطيل الوظائف الإضافية الضارة المثبتة بالفعل على أنظمة المستخدم. يُنصح المستخدمون بالتحقق من الإصدار الحالي من المتصفح - إذا لم تقم الإعدادات بتعطيل التحديثات التلقائية على وجه التحديد وكان الإصدار مختلفًا عن Firefox 93 أو 91.2 ، فيجب عليك التحديث يدويًا. في الإصدارات الجديدة من Firefox ، تم بالفعل إدراج الوظائف الإضافية Bypass و Bypass XM في القائمة السوداء ، لذلك بعد تحديث المتصفح سيتم تعطيلها تلقائيًا.
للحماية من وضع الإضافات الضارة في المستقبل التي تمنع تنزيل التحديثات والقوائم السوداء ، بدءًا من Firefox 91.1 ، تم إجراء تغييرات على الكود لتنفيذ مكالمات مباشرة إلى خوادم التنزيل والتحقق من وجود تحديثات إذا كان الطلب من خلال كان الوكيل غير ناجح. لتوسيع الحماية لمستخدمي جميع إصدارات Firefox ، تم إعداد التثبيت الإجباري للوظيفة الإضافية لنظام Proxy Failover ، مما يمنع الاستخدام غير الصحيح لـ Proxy API لحظر خدمات Mozilla. حتى يتم توزيع طريقة الحماية المقترحة على نطاق واسع ، يتم تعليق قبول الوظائف الإضافية الجديدة باستخدام Proxy API إلى دليل addons.mozilla.org.
المصدر: opennet.ru