Mozilla anoncis la forigon de du aldonaĵoj el la katalogo addons.mozilla.org (AMO) - Bypass kaj Bypass XM, kiuj havis 455 mil aktivajn instalaĵojn kaj estis poziciigitaj kiel aldonaĵoj por havigi aliron al materialoj distribuitaj per pagita abono ( preterirante Paywall). Por modifi la trafikon en la aldonaĵoj, la Proxy API estis uzata, kiu ebligas al vi kontroli la interretajn petojn faritajn de la retumilo. Krom la deklaritaj funkcioj, ĉi tiuj aldonaĵoj uzis la Proxy-API por bloki vokojn al Mozilla-serviloj, kio malhelpis elŝuti ĝisdatigojn al Firefox kaj kaŭzis amasiĝon de nefiksitaj vundeblecoj, per kiuj atakantoj povis ataki uzantsistemojn.
Estas rimarkinde, ke krom malhelpi la ricevon de ĝisdatigoj al Fajrovulpo-versioj kiel rezulto de la agadoj de la koncernaj aldonaĵoj, ankaŭ la ĝisdatigo de malproksime agordeblaj retumiloj estis interrompita kaj aliro al blokaj listoj, kiuj ebligis malŝalti. malicaj aldonaĵoj jam instalitaj sur uzantsistemoj estis malkonfirmitaj. Uzantoj estas konsilitaj kontroli la nunan version de la retumilo - krom se aŭtomata instalado de ĝisdatigoj estas specife malŝaltita en la agordoj kaj la versio estas malsama de Firefox 93 aŭ 91.2, ili devus ĝisdatigi permane. En novaj eldonoj de Fajrovulpo, la aldonaĵoj Bypass kaj Bypass XM jam estas nigralistigitaj, do ili estos aŭtomate malŝaltitaj post ĝisdatigado de la retumilo.
Por protekti kontraŭ la estonta lokado de malicaj aldonaĵoj, kiuj blokas la elŝuton de ĝisdatigoj kaj nigraj listoj, komencante de Firefox 91.1, ŝanĝoj estis faritaj al la kodo por efektivigi rektajn vokojn al elŝuti servilojn kaj kontroli por ĝisdatigoj se peto per prokurilo estis malsukcesa. . Por etendi protekton al uzantoj de ajna versio de Fajrovulpo, perforte instalita sistema aldonaĵo "Proxy Failover" estis preparita, kiu malhelpas malĝustan uzon de la Proxy API por bloki Mozilla-servojn. Ĝis la proponita protekta metodo estas vaste disvastigita, la akcepto de novaj aldonoj uzantaj la Prokuran API al la dosierujo addons.mozilla.org estis suspendita.
fonto: opennet.ru