Mozilla teatas kahe lisandmooduli eemaldamisest addons.mozilla.org (AMO) kataloogist - Bypass ja Bypass XM, millel oli 455 tuhat aktiivset installi ja mis olid positsioneeritud lisandmoodulitena, mis võimaldavad juurdepääsu tasulise tellimuse kaudu levitatavatele materjalidele ( Paywallist mööda minnes). Liikluse muutmiseks lisandmoodulites kasutati Proxy API-t, mis võimaldab juhtida brauseri poolt sooritatavaid veebipäringuid. Lisaks märgitud funktsioonidele kasutasid need lisandmoodulid puhverserveri API-d, et blokeerida kõned Mozilla serveritesse, mis takistas Firefoxi värskenduste allalaadimist ja tõi kaasa parandamata turvaaukude kogunemise, mille kaudu ründajad said rünnata kasutajasüsteeme.
Tähelepanuväärne on see, et lisaks sellele, et kõnealuste lisandmoodulite tegevuse tulemusena takistati Firefoxi versioonide värskenduste saamist, oli häiritud ka kaugkonfigureeritavate brauseri komponentide värskendamine ja juurdepääs blokeerimisloenditele, mis võimaldasid selle keelata. kasutajasüsteemidesse juba installitud pahatahtlikud lisandmoodulid keelati. Kasutajatel soovitatakse kontrollida brauseri praegust versiooni – kui värskenduste automaatne installimine pole seadetes spetsiaalselt keelatud ja versioon erineb Firefox 93-st või 91.2-st, peaksid nad värskendama käsitsi. Firefoxi uutes versioonides on Bypass ja Bypass XM lisandmoodulid juba mustas nimekirjas, nii et need keelatakse pärast brauseri värskendamist automaatselt.
Värskenduste ja mustade nimekirjade allalaadimist blokeerivate pahatahtlike lisandmoodulite edaspidise paigutamise eest kaitsmiseks, alates Firefox 91.1-st, tehti koodis muudatused, et rakendada otsekutseid allalaadimisserveritele ja kontrollida värskendusi, kui puhverserveri kaudu esitatud päring ebaõnnestus. . Kaitse laiendamiseks Firefoxi mis tahes versiooni kasutajatele on ette valmistatud sunniviisiliselt installitud süsteemilisand "Puhverserveri tõrkevahetus", mis takistab puhverserveri API ebaõiget kasutamist Mozilla teenuste blokeerimiseks. Kuni pakutud kaitsemeetodi laialdase levitamiseni on kataloogi addons.mozilla.org puhverserveri API-d kasutavate uute täienduste vastuvõtmine peatatud.
Allikas: opennet.ru