Die Mozilla Corporation über das Auftreten von Massenproblemen . Bei allen Nutzern des Browsers wurden die Erweiterungen aufgrund eines abgelaufenen Zertifikats, das für die Erstellung digitaler Signaturen verwendet wurde, blockiert. Zudem wird erwähnt, dass die Installation neuer Erweiterungen aus dem offiziellen Katalog (addons.mozilla.org) derzeit nicht möglich ist.
Eine Lösung für die bestehende Situation wurde bisher , die Entwickler von Mozilla überlegen mögliche Korrekturen und haben sich vorerst mit einer allgemeinen Bestätigung der Situation begnügt. Es wird nur erwähnt, dass die Erweiterungen nach dem Eintreten von 0 Uhr (UTC) am 4. Mai inaktiv wurden. Das Zertifikat hätte vor einer Woche erneuert werden sollen, aber aus irgendeinem Grund geschah dies nicht, und dieser Umstand blieb unbemerkt. Nun wird wenige Minuten nach dem Start des Browsers eine Warnung über die Deaktivierung der Erweiterungen aufgrund von Problemen mit der digitalen Signatur ausgegeben, und die Erweiterungen verschwinden aus der Liste. Die Überprüfung der digitalen Signatur erfolgt einmal täglich oder nach dem Start des Browsers, weshalb in länger laufenden Instanzen von Firefox die Erweiterungen nicht sofort deaktiviert werden können.
Um den Zugriff auf Add-Ons für Linux-Nutzer wiederherzustellen, kann die Überprüfung der digitalen Signatur umgangen werden, indem die Einstellung „xpinstall.signatures.required“ in about:config auf „false“ gesetzt wird. Diese Methode funktioniert für stabile und Beta-Versionen ausschließlich unter Linux und Android; für Windows und macOS ist eine solche Manipulation nur in Nightly-Builds und in der Developer Edition möglich. Alternativ kann auch die Systemzeit verändert werden, sodass sie vor dem Ablauf des Zertifikats liegt. Dadurch wird die Möglichkeit zur Installation von Add-Ons aus dem AMO-Katalog wiederhergestellt, jedoch bleibt die bereits eingerichtete Deaktivierung bestehen.
Wir erinnern daran, dass die verpflichtende Überprüfung von Firefox-Add-Ons durch digitale Signaturen im April 2016. Laut Mozilla ermöglicht die Überprüfung der digitalen Signatur die Blockierung der Verbreitung von bösartigen und spionierenden Add-Ons. Einige Entwickler von Add-Ons Mit dieser Position sind viele einverstanden und glauben, dass der Mechanismus der verpflichtenden Überprüfung durch digitale Signaturen nur Schwierigkeiten für Entwickler schafft und die Zeit bis zur Bereitstellung von Korrekturen für die Benutzer verlängert, ohne die Sicherheit zu beeinflussen. Es gibt zahlreiche triviale und offensichtliche um das System der automatisierten Überprüfung von Erweiterungen zu umgehen, die es ermöglichen, schädlichen Code unbemerkt einzuschleusen, zum Beispiel durch die dynamische Bildung einer Operation, indem mehrere Zeilen zusammengefügt und die resultierende Zeile anschließend durch den Aufruf von eval ausgeführt wird. Die Position von Mozilla ist, dass die meisten Autoren von schädlichen Erweiterungen faul sind und solche Techniken zur Tarnung schädlicher Aktivitäten nicht anwenden werden.
Zusatz: Die Entwickler von Mozilla haben mit den Tests einer Korrektur begonnen, die, sofern sie erfolgreich überprüft wird, bald den Benutzern bereitgestellt wird (eine Entscheidung über die Annahme des vorgeschlagenen Fixes steht noch aus). Bis zur Anwendung des Fixes ist die Erstellung digitaler Signaturen für neue Erweiterungen deaktiviert.
Quelle: opennet.ru
