Mozilla ha annunciato la rimozione di due componenti aggiuntivi dal catalogo addons.mozilla.org (AMO): Bypass e Bypass XM, che avevano 455mila installazioni attive e sono stati posizionati come componenti aggiuntivi per fornire accesso ai materiali distribuiti tramite un abbonamento a pagamento ( bypassando Paywall). Per modificare il traffico nei componenti aggiuntivi è stata utilizzata la Proxy API, che consente di controllare le richieste web eseguite dal browser. Oltre alle funzioni indicate, questi componenti aggiuntivi bloccavano con l'aiuto della Proxy API le chiamate ai server Mozilla, cosa che impediva il download degli aggiornamenti su Firefox e portava all'accumulo di vulnerabilità non risolte, attraverso le quali gli aggressori potevano attaccare i sistemi degli utenti.
È interessante notare che oltre ad impedire la ricezione di aggiornamenti delle versioni di Firefox a seguito delle attività dei componenti aggiuntivi in questione, è stato anche interrotto l'aggiornamento dei componenti del browser configurabili da remoto e l'accesso agli elenchi di blocco che consentivano di disattivare i componenti aggiuntivi dannosi già installati sui sistemi degli utenti sono stati negati. Si consiglia agli utenti di verificare la versione corrente del browser: a meno che l'installazione automatica degli aggiornamenti non sia specificatamente disabilitata nelle impostazioni e la versione non sia diversa da Firefox 93 o 91.2, dovrebbero aggiornare manualmente. Nelle nuove versioni di Firefox, i componenti aggiuntivi Bypass e Bypass XM sono già nella lista nera, quindi verranno disabilitati automaticamente dopo l'aggiornamento del browser.
Per proteggersi dal futuro utilizzo di componenti aggiuntivi dannosi che bloccano il download di aggiornamenti e blacklist, a partire da Firefox 91.1 sono state apportate modifiche al codice per implementare chiamate dirette ai server di download e verificare la presenza di aggiornamenti se una richiesta tramite proxy non ha avuto successo. Per estendere la protezione agli utenti di qualsiasi versione di Firefox, è stato preparato un componente aggiuntivo di sistema installato forzatamente "Proxy Failover", che impedisce l'uso errato dell'API Proxy per bloccare i servizi Mozilla. Fino a quando il metodo di protezione proposto non sarà ampiamente distribuito, l'accettazione di nuove aggiunte utilizzando l'API Proxy alla directory addons.mozilla.org sarà sospesa.
Fonte: opennet.ru