Mozilla oznámila odstranění dvou doplňků z katalogu addons.mozilla.org (AMO) – Bypass a Bypass XM, které měly 455 tisíc aktivních instalací a byly umístěny jako doplňky pro poskytování přístupu k materiálům distribuovaným prostřednictvím placeného předplatného ( obcházení Paywallu). Pro úpravu provozu v doplňcích bylo použito Proxy API, které umožňuje řídit webové požadavky prováděné prohlížečem. Kromě uvedených funkcí tyto doplňky využívaly Proxy API k blokování volání na servery Mozilla, což znemožňovalo stahování aktualizací do Firefoxu a vedlo k hromadění neopravených zranitelností, přes které mohli útočníci útočit na uživatelské systémy.
Je pozoruhodné, že kromě zamezení přijímání aktualizací verzí Firefoxu v důsledku činnosti příslušných doplňků byla také narušena aktualizace vzdáleně konfigurovatelných komponent prohlížeče a přístup k seznamům blokování, které umožňovaly zakázat škodlivé doplňky již nainstalované na uživatelských systémech byly zamítnuty. Uživatelům se doporučuje zkontrolovat aktuální verzi prohlížeče – pokud není automatická instalace aktualizací výslovně zakázána v nastavení a verze se liší od Firefoxu 93 nebo 91.2, měli by aktualizovat ručně. V nových verzích Firefoxu jsou doplňky Bypass a Bypass XM již na černé listině, takže po aktualizaci prohlížeče budou automaticky deaktivovány.
Pro ochranu před budoucím umístěním škodlivých doplňků, které blokují stahování aktualizací a blacklistů, počínaje Firefoxem 91.1, byly v kódu provedeny změny pro implementaci přímých volání na stahovací servery a kontrolu aktualizací, pokud byl požadavek přes proxy neúspěšný. . Pro rozšíření ochrany na uživatele jakékoli verze Firefoxu byl připraven vynucený systémový doplněk „Proxy Failover“, který zabraňuje nesprávnému použití Proxy API k blokování služeb Mozilly. Dokud nebude navrhovaná metoda ochrany široce distribuována, bylo pozastaveno přijímání nových přírůstků pomocí Proxy API do adresáře addons.mozilla.org.
Zdroj: opennet.ru