Mozilla eemaldas kaks populaarset lisandmoodulit, mis blokeerivad Firefoxi värskenduste allalaadimist.

Mozilla teatas kahe lisandmooduli – Bypass ja Bypass XM – eemaldamisest kataloogist addons.mozilla.org (AMO). Neil lisandmoodulitel oli 455 000 aktiivset installi ja neid turustati kui tasulisele tellimussisule juurdepääsu pakkuvaid lisandmooduleid (möödates tasumüüri). Liikluse muutmiseks kasutasid lisandmoodulid Proxy API-t, mis võimaldab kontrollida brauseri tehtud veebipäringuid. Lisaks reklaamitud funktsionaalsusele kasutasid need lisandmoodulid Proxy API-t Mozilla serveritele saadetavate päringute blokeerimiseks, takistades Firefoxil värskenduste allalaadimist ja viies parandamata haavatavuste kogunemiseni, mida ründajad said ära kasutada.

Tasub märkida, et lisaks Firefoxi värskenduste vastuvõtmise takistamisele häirisid kõnealused lisandmoodulid ka kaugkonfigureeritavate brauserikomponentide värskendusi ja blokeerisid juurdepääsu mustadele nimekirjadele, mis võimaldasid kasutajatel keelata juba nende süsteemidesse installitud pahatahtlikke lisandmooduleid. Kasutajatel soovitatakse kontrollida oma praegust brauseri versiooni. Kui automaatsed värskendused pole seadetes spetsiaalselt keelatud ja versioon ei ole Firefox 93 või 91.2, peaksid nad värskendama käsitsi. Uuemates Firefoxi versioonides on Bypass ja Bypass XM lisandmoodulid juba mustas nimekirjas, seega keelatakse need pärast brauseri värskendamist automaatselt.

Alates Firefoxi versioonist 91.1 muudeti koodi tulevaste pahatahtlike lisandmoodulite eest, mis blokeerivad värskendusi ja mustasid nimekirju, et rakendada otsepäringuid värskenduste allalaadimise ja verifitseerimise serveritele, kui puhverserveri taotlused ebaõnnestuvad. Selle kaitse laiendamiseks kõigi Firefoxi versioonide kasutajatele on välja töötatud sundinstalli süsteemi lisandmoodul "Proxy Failover", mis hoiab ära puhverserveri API vale kasutamise Mozilla teenuste blokeerimiseks. Kuni see pakutud kaitsemeetod pole laialdaselt kasutusele võetud, ei aktsepteerita addons.mozilla.org kataloogis enam uusi puhverserveri API-t kasutavaid lisandmooduleid.

Allikas: opennet.ru