Mozilla je najavila uklanjanje iz addons.mozilla.org (AMO) kataloga dva dodatka - Bypass i Bypass XM, koji su imali 455 hiljada aktivnih instalacija i bili su pozicionirani kao dodaci za omogućavanje pristupa materijalima koji se distribuiraju putem plaćene pretplate ( Paywall bypass). Da bi se modificirao promet u dodacima, korišten je Proxy API, koji vam omogućava da kontrolirate web zahtjeve koje šalje pretraživač. Osim deklariranih funkcija, ovi dodaci su koristili Proxy API za blokiranje poziva na Mozilla servere, što je spriječilo preuzimanje ažuriranja za Firefox i dovelo do gomilanja nezakrpljenih ranjivosti koje bi napadači mogli koristiti za napad na sisteme korisnika.
Važno je napomenuti da je, osim što je onemogućeno primanje ažuriranja verzija Firefoxa, kao rezultat aktivnosti predmetnih dodataka, poremećeno i ažuriranje daljinski konfigurisanih komponenti pretraživača i odbijen pristup listama blokiranih, što je učinilo moguće je onemogućiti zlonamjerne dodatke koji su već instalirani na korisničkim sistemima. Korisnicima se savjetuje da provjere trenutnu verziju pretraživača - ako postavke posebno ne onemogućuju automatsko ažuriranje i verzija se razlikuje od Firefoxa 93 ili 91.2, trebali biste ažurirati ručno. U novim izdanjima Firefoxa, dodaci Bypass i Bypass XM su već na crnoj listi, tako da će nakon ažuriranja pretraživača biti automatski onemogućeni.
Radi zaštite od budućeg postavljanja zlonamjernih dodataka koji blokiraju preuzimanje ažuriranja i crnih lista, počevši od Firefoxa 91.1, napravljene su promjene u kodu za implementaciju direktnih poziva na servere za preuzimanje i provjeru ažuriranja ako je zahtjev preko proxyja bio neuspješan . Kako bi se proširila zaštita na korisnike bilo koje verzije Firefoxa, pripremljena je prisilna instalacija sistemskog dodatka Proxy Failover, koji sprječava neispravnu upotrebu Proxy API-ja za blokiranje Mozilla servisa. Dok predloženi način zaštite ne bude široko distribuiran, prihvatanje novih dodataka koji koriste Proxy API za addons.mozilla.org direktorij je suspendirano.
izvor: opennet.ru