Mozilla mengumumkan penghapusan dua add-on dari katalog addons.mozilla.org (AMO) - Bypass dan Bypass XM, yang memiliki 455 ribu instalasi aktif dan diposisikan sebagai add-on untuk menyediakan akses ke materi yang didistribusikan melalui langganan berbayar ( melewati Paywall). Untuk mengubah lalu lintas di add-on, API Proxy digunakan, yang memungkinkan Anda mengontrol permintaan web yang dilakukan oleh browser. Selain fungsi yang disebutkan, add-on ini menggunakan Proxy API untuk memblokir panggilan ke server Mozilla, yang mencegah pengunduhan pembaruan ke Firefox dan menyebabkan akumulasi kerentanan yang belum diperbaiki, sehingga penyerang dapat menyerang sistem pengguna.
Patut dicatat bahwa selain mencegah penerimaan pembaruan pada versi Firefox sebagai akibat dari aktivitas add-on tersebut, pembaruan komponen browser yang dapat dikonfigurasi dari jarak jauh juga terganggu dan akses ke daftar pemblokiran yang memungkinkan untuk menonaktifkan add-on berbahaya yang sudah diinstal pada sistem pengguna ditolak. Pengguna disarankan untuk memeriksa versi browser saat ini - kecuali instalasi otomatis pembaruan dinonaktifkan secara khusus di pengaturan dan versinya berbeda dari Firefox 93 atau 91.2, mereka harus memperbarui secara manual. Dalam rilis baru Firefox, add-on Bypass dan Bypass XM sudah masuk daftar hitam, sehingga akan dinonaktifkan secara otomatis setelah memperbarui browser.
Untuk melindungi dari penerapan add-on berbahaya di masa mendatang yang memblokir pengunduhan pembaruan dan daftar hitam, mulai dari Firefox 91.1, perubahan dilakukan pada kode untuk menerapkan panggilan langsung ke server pengunduhan dan memeriksa pembaruan jika permintaan melalui proxy tidak berhasil. Untuk memperluas perlindungan bagi pengguna versi Firefox apa pun, add-on sistem "Proxy Failover" yang diinstal secara paksa telah disiapkan, yang mencegah penggunaan Proxy API yang salah untuk memblokir layanan Mozilla. Hingga metode perlindungan yang diusulkan didistribusikan secara luas, penerimaan penambahan baru menggunakan Proxy API ke direktori addons.mozilla.org telah ditangguhkan.
Sumber: opennet.ru