Mozilla-ն հայտարարեց addons.mozilla.org (AMO) կատալոգից երկու հավելումների՝ Bypass-ի և Bypass XM-ի հեռացման մասին, որոնք ունեին 455 ակտիվ տեղադրում և դիրքավորվում էին որպես վճարովի բաժանորդագրությամբ բաշխվող նյութերին մուտք ապահովելու հավելումներ (շրջանցելով Paywall-ը): Երթևեկությունը փոփոխելու համար հավելումներն օգտագործում էին Proxy API-ն, որը թույլ է տալիս կառավարել զննարկչի կողմից կատարված վեբ հարցումները: Հայտարարված գործառույթներից բացի, այս հավելումները օգտագործում էին Proxy API-ն Mozilla սերվերներին ուղղված հարցումները արգելափակելու համար, ինչը թույլ չէր տալիս ներբեռնել Firefox-ի թարմացումները և հանգեցնում էր չթարմացված խոցելիությունների կուտակման, որոնց օգնությամբ ներխուժողները կարող էին հարձակվել օգտատիրոջ համակարգերի վրա:
Հատկանշական է, որ Firefox տարբերակի թարմացումների ստացումը կանխելուց բացի, տվյալ հավելումների ակտիվությունը խաթարել է նաև հեռակա կարգավորվող զննարկչի բաղադրիչների թարմացումը և փակել է արգելափակված ցուցակների մուտքը, որոնք թույլ էին տալիս անջատել օգտատերերի համակարգերում արդեն տեղադրված վնասակար հավելումները: Օգտատերերին խորհուրդ է տրվում ստուգել զննարկչի ընթացիկ տարբերակը. եթե թարմացումների ավտոմատ տեղադրումը հատուկ անջատված չէ կարգավորումներում, և տարբերակը տարբերվում է Firefox 93-ից կամ 91.2-ից, ապա թարմացումը պետք է կատարվի ձեռքով: Firefox-ի նոր թողարկումներում Bypass և Bypass XM հավելումները արդեն իսկ ներառված են սև ցուցակում, ուստի զննարկիչը թարմացնելուց հետո դրանք ավտոմատ կերպով կանջատվեն:
Ապագայում թարմացումների և սև ցուցակների ներբեռնումը արգելափակող վնասակար հավելումների տեղադրումից պաշտպանվելու համար, սկսած Firefox 91.1-ից, կոդում փոփոխություններ են կատարվել՝ սերվերներին թարմացումներ ներբեռնելու և ստուգելու ուղիղ հարցումներ կատարելու միջոցով, եթե պրոքսիի միջոցով հարցումը անհաջող է եղել: Firefox-ի ցանկացած տարբերակի օգտատերերի համար պաշտպանությունը տարածելու համար պատրաստվել է «Proxy Failover» համակարգային հավելման հարկադիր տեղադրում, որը կանխում է Proxy API-ի սխալ օգտագործումը՝ Mozilla ծառայությունները արգելափակելու համար: Մինչև առաջարկվող պաշտպանության մեթոդի լայն տարածումը, Proxy API-ն օգտագործող նոր հավելումների ընդունումը addons.mozilla.org կատալոգում կասեցված է:
Source: opennet.ru
