Кампанія Mozilla аб узнікненні масавых з дадаткамі да Firefox. Ва ўсіх карыстальнікаў браўзэра дапаўненні аказаліся заблакіраванымі з-за заканчэння часу жыцця сертыфіката, які прымяняецца для фарміравання лічбавых подпісаў. Акрамя таго, адзначаецца немагчымасць усталёўкі новых дадаткаў з афіцыйнага каталога. (addons.mozilla.org).
Выйсце з сітуацыі пакуль , распрацоўшчыкі Mozilla абдумваюць магчымыя варыянты выпраўлення і пакуль абмежаваліся толькі агульным пацверджаннем ўзніклай сітуацыі. Згадваецца толькі, што дапаўненні сталі неактыўныя пасля наступлення 0 гадзін (UTC) 4 траўня. Сертыфікат павінен быў абнавіцца тыдзень таму, але з нейкіх прычынаў гэтага не адбылося і гэты факт застаўся незаўважаным. Цяпер праз некалькі хвілін пасля запуску браўзэра выводзіцца папярэджанне аб адключэнні дапаўненняў з-за праблем з лічбавым подпісам і дапаўненні знікаюць са спісу. Праверка лічбавага подпісу ажыццяўляецца раз у суткі ці пасля запуску браўзэра, таму ў даўно запушчаных асобніках Firefox дадаткі могуць адключыцца не адразу.
У якасці абыходнага шляху для аднаўлення доступу да дадаткаў карыстачам Linux можна адключыць праверку лічбавага подпісу праз усталёўку ў about:config зменнай «xpinstall.signatures.required» у значэнне «false». Дадзены метад для стабільных і бэта-выпускаў працуе толькі ў Linux і Android, для Windows і macOS падобная маніпуляцыя магчымая толькі ў начных зборках і ў версіі для распрацоўнікаў (Developer Edition). Як варыянт таксама можна змяніць значэнне сістэмных гадзін на час да заканчэння тэрміна дзеяння сертыфіката, тады вернецца магчымасць усталёўкі дадаткаў з каталога AMO, але ўжо ўсталяваная пазнака адключэння не здымаецца.
Нагадаем, што абавязковая праверка дадаткаў Firefox па лічбавых подпісах была у красавіку 2016 года. Па меркаванні Mozilla праверка па лічбавым подпісы дазваляе блакаваць распаўсюджванне шкоднасных і шпіёнскіх за карыстачамі дадаткаў. Некаторыя распрацоўшчыкі дапаўненняў з такой пазіцыяй і лічаць, што механізм абавязковай праверкі па лічбавым подпісы толькі стварае складанасці для распрацоўшчыкаў і прыводзіць да павелічэння часу давядзення да карыстальнікаў карэкціруючых выпускаў, ніяк не ўплываючы на бяспеку. Існуе мноства трывіяльных і відавочных для абыходу сістэмы аўтаматызаванай праверкі дадаткаў, якія дазваляюць неўзаметку ўставіць шкоднасны код, напрыклад, праз фармаванне аперацыі на лёце шляхам злучэння некалькіх радкоў з наступным выкананнем выніковага радка выклікам eval. Пазіцыя Mozilla да таго, што большасць аўтараў шкоднасных дадаткаў гультаяватыя і не будуць звяртацца да падобных тэхнік утойвання шкоднаснай актыўнасці.
Дадатак: Распрацоўнікі Mozilla аб пачатку тэсціравання выпраўлення, якое ў выпадку паспяховай праверкі ў хуткім часе будзе даведзена да карыстальнікаў (рашэнне аб прымяненні прапанаванага выпраўлення яшчэ не прынята). Да прымянення выпраўлення фарміраванне лічбавых подпісаў для новых дапаўненняў адключана.
Крыніца: opennet.ru