Mozilla je najavila uklanjanje dva dodatka iz kataloga addons.mozilla.org (AMO) - Bypass i Bypass XM, koji su imali 455 tisuća aktivnih instalacija i pozicionirani su kao dodaci za omogućavanje pristupa materijalima koji se distribuiraju putem plaćene pretplate ( zaobilazeći Paywall). Za izmjenu prometa u dodacima korišten je Proxy API koji vam omogućuje kontrolu web zahtjeva koje izvršava preglednik. Osim navedenih funkcija, ovi su dodaci koristili Proxy API za blokiranje poziva prema Mozillinim poslužiteljima, što je onemogućavalo preuzimanje ažuriranja za Firefox i dovelo do gomilanja nepopravljenih ranjivosti, preko kojih su napadači mogli napadati korisničke sustave.
Važno je napomenuti da osim sprječavanja primanja ažuriranja verzija Firefoxa kao rezultat aktivnosti dotičnih dodataka, također je prekinuto ažuriranje komponenti preglednika koje se mogu konfigurirati na daljinu i pristup popisima za blokiranje koji su omogućili onemogućavanje zlonamjerni dodaci koji su već instalirani na korisničkim sustavima odbijeni. Korisnicima se savjetuje da provjere trenutnu verziju preglednika - osim ako je automatska instalacija ažuriranja izričito onemogućena u postavkama i verzija se razlikuje od Firefoxa 93 ili 91.2, trebali bi ažurirati ručno. U novim izdanjima Firefoxa, dodaci Bypass i Bypass XM već su na crnoj listi, tako da će biti automatski onemogućeni nakon ažuriranja preglednika.
Kako bi se zaštitili od budućeg postavljanja zlonamjernih dodataka koji blokiraju preuzimanje ažuriranja i crne liste, počevši od Firefoxa 91.1, unesene su izmjene koda za implementaciju izravnih poziva za preuzimanje poslužitelja i provjeru ažuriranja ako je zahtjev putem proxyja bio neuspješan. Kako bi se zaštita proširila na korisnike bilo koje verzije Firefoxa, pripremljen je prisilno instaliran sistemski dodatak “Proxy Failover” koji sprječava neispravnu upotrebu Proxy API-ja za blokiranje Mozilla usluga. Sve dok predložena metoda zaštite ne bude široko distribuirana, prihvaćanje novih dodataka koji koriste Proxy API za direktorij addons.mozilla.org je suspendiran.
Izvor: opennet.ru