Mozilla は、addons.mozilla.org (AMO) カタログから 455 つのアドオン、Bypass と Bypass XM を削除すると発表しました。これらのアドオンは XNUMX 件のアクティブなインストールがあり、有料サブスクリプションを通じて配布されるマテリアルへのアクセスを提供するアドオンとして位置付けられていました (ペイウォールをバイパスします)。 アドオンのトラフィックを変更するには、ブラウザーによって実行される Web リクエストを制御できるプロキシ API が使用されました。 これらのアドオンは、記載された機能に加えて、プロキシ API を使用して Mozilla サーバーへの呼び出しをブロックしました。これにより、Firefox へのアップデートのダウンロードが妨げられ、未修正の脆弱性が蓄積され、攻撃者はそれを通じてユーザー システムを攻撃する可能性がありました。
注目に値するのは、問題のアドオンの活動の結果として Firefox のバージョンへのアップデートの受信が妨げられたことに加えて、リモートで構成可能なブラウザ コンポーネントのアップデートも中断され、ブロック リストへのアクセスにより無効化が可能になったことです。ユーザーシステムにすでにインストールされている悪意のあるアドオンは拒否されました。 ユーザーは、ブラウザの現在のバージョンを確認することをお勧めします。設定で更新の自動インストールが特に無効になっていて、バージョンが Firefox 93 または 91.2 と異なる場合を除き、手動で更新する必要があります。 Firefox の新しいリリースでは、Bypass および Bypass XM アドオンはすでにブラックリストに登録されているため、ブラウザーの更新後に自動的に無効になります。
アップデートやブラックリストのダウンロードをブロックする悪意のあるアドオンの今後の展開を防ぐために、Firefox 91.1 以降では、ダウンロード サーバーへの直接呼び出しを実装し、プロキシ経由のリクエストが失敗した場合にアップデートを確認するようにコードが変更されました。 Firefox のどのバージョンのユーザーにも保護を拡張するために、強制インストールされるシステム アドオン「Proxy Failover」が用意されています。これにより、Mozilla サービスをブロックするための Proxy API の誤った使用を防止できます。 提案された保護方法が広く配布されるまで、プロキシ API を使用した addons.mozilla.org ディレクトリへの新しい追加の受け入れは一時停止されます。
出所: オープンネット.ru