מוזילה הסירה שני תוספים פופולריים שחוסמים הורדת עדכוני Firefox.

מוזילה הודיעה על הסרה של שני תוספים מקטלוג addons.mozilla.org (AMO) - Bypass ו- Bypass XM, שהיו לו 455 אלף התקנות פעילות והוצבו כתוספות למתן גישה לחומרים המופצים באמצעות מנוי בתשלום ( עקיפת Paywall). כדי לשנות את התעבורה בתוספים, נעשה שימוש ב-Proxy API, המאפשר לשלוט בבקשות האינטרנט שבוצעו על ידי הדפדפן. בנוסף לפונקציות המוצהרות, התוספות הללו השתמשו ב-Proxy API כדי לחסום קריאות לשרתי מוזילה, מה שמנע הורדת עדכונים לפיירפוקס והוביל להצטברות של פגיעויות לא מתוקנות, שבאמצעותן יכלו התוקפים לתקוף מערכות משתמשים.

ראוי לציין כי בנוסף למניעת קבלת עדכונים לגרסאות פיירפוקס כתוצאה מפעילות התוספים המדוברים, נפסקו גם עדכון רכיבי הדפדפן הניתנים להגדרה מרחוק וגישה לרשימות חסימה שאפשרו לבטל תוספות זדוניות שכבר הותקנו במערכות משתמש נדחו. מומלץ למשתמשים לבדוק את הגרסה הנוכחית של הדפדפן - אלא אם התקנה אוטומטית של עדכונים מושבתת במיוחד בהגדרות והגרסה שונה מפיירפוקס 93 או 91.2, עליהם לעדכן באופן ידני. במהדורות חדשות של Firefox, התוספות Bypass ו- Bypass XM כבר נמצאות ברשימה השחורה, כך שהן יושבתו אוטומטית לאחר עדכון הדפדפן.

כדי להגן מפני פריסה עתידית של תוספות זדוניות שחוסמות הורדת עדכונים ורשימות שחורות, החל מ-Firefox 91.1, בוצעו שינויים בקוד כדי ליישם קריאות ישירות לשרתי הורדה ולבדוק אם יש עדכונים אם בקשה דרך פרוקסי לא הצליחה. כדי להרחיב את ההגנה למשתמשים של כל גרסה של Firefox, הוכנה תוסף מערכת שהותקן בכפייה "Proxy Failover", המונע שימוש שגוי ב-Proxy API לחסימת שירותי Mozilla. עד ששיטת ההגנה המוצעת תופץ באופן נרחב, הושעתה הקבלה של תוספות חדשות באמצעות ה-Proxy API לספריית addons.mozilla.org.

מקור: OpenNet.ru