Mozilla-ն հայտարարեց addons.mozilla.org (AMO) կատալոգից երկու հավելումների հեռացման մասին՝ Bypass և Bypass XM, որոնք ունեին 455 հազար ակտիվ տեղադրումներ և տեղադրվեցին որպես հավելումներ վճարովի բաժանորդագրության միջոցով բաշխված նյութերին հասանելիություն ապահովելու համար ( շրջանցելով Paywall-ը): Հավելումներում տրաֆիկը փոփոխելու համար օգտագործվել է Proxy API-ն, որը թույլ է տալիս վերահսկել բրաուզերի կողմից կատարվող վեբ հարցումները։ Բացի նշված գործառույթներից, այս հավելումները օգտագործում էին Proxy API-ն՝ արգելափակելու զանգերը դեպի Mozilla սերվերներ, ինչը կանխեց Firefox-ի թարմացումների ներբեռնումը և հանգեցրեց չֆիքսված խոցելիության կուտակմանը, որի միջոցով հարձակվողները կարող էին հարձակվել օգտատերերի համակարգերի վրա:
Հատկանշական է, որ խնդրո առարկա հավելումների գործունեության արդյունքում Firefox-ի տարբերակների թարմացումների ստացումը կանխելուց բացի, խափանվել է նաև հեռակառավարվող բրաուզերի բաղադրիչների թարմացումը և արգելափակման ցուցակների հասանելիությունը, ինչը հնարավոր է դարձել անջատել: Օգտատերերի համակարգերում արդեն տեղադրված վնասակար հավելումները մերժվել են: Օգտագործողներին խորհուրդ է տրվում ստուգել բրաուզերի ընթացիկ տարբերակը. եթե թարմացումների ավտոմատ տեղադրումը հատուկ անջատված չէ կարգավորումներում, և տարբերակը տարբերվում է Firefox 93-ից կամ 91.2-ից, նրանք պետք է թարմացնեն ձեռքով: Firefox-ի նոր թողարկումներում Bypass և Bypass XM հավելումներն արդեն սև ցուցակում են, ուստի զննարկիչը թարմացնելուց հետո դրանք ավտոմատ կերպով կանջատվեն:
Թարմացումների և սև ցուցակների ներբեռնումն արգելափակող վնասակար հավելումների ապագա տեղադրումից պաշտպանվելու համար՝ սկսած Firefox 91.1-ից, կոդի մեջ փոփոխություններ են կատարվել՝ սերվերներ ներբեռնելու ուղղակի զանգեր իրականացնելու և թարմացումները ստուգելու համար, եթե վստահված անձի միջոցով հարցումն անհաջող էր: . Firefox-ի ցանկացած տարբերակի օգտատերերի պաշտպանությունը տարածելու համար պատրաստվել է «Proxy Failover» համակարգի պարտադիր տեղադրման հավելումը, որը կանխում է Proxy API-ի սխալ օգտագործումը՝ Mozilla-ի ծառայություններն արգելափակելու համար: Մինչև առաջարկվող պաշտպանության մեթոդի լայն տարածումը, նոր հավելումների ընդունումը, օգտագործելով Proxy API-ը addons.mozilla.org գրացուցակում, կասեցված է:
Source: opennet.ru