„Mozilla“ paskelbė apie dviejų priedų pašalinimą iš addons.mozilla.org (AMO) katalogo – „Bypass“ ir „Bypass XM“, kuriuose buvo įdiegta 455 tūkst. aktyvių diegimų ir kurie buvo pateikti kaip priedai, suteikiantys prieigą prie medžiagos, platinamos per mokamą prenumeratą ( apeinant Paywall). Norėdami modifikuoti srautą prieduose, buvo naudojama Proxy API, kuri leidžia valdyti naršyklės vykdomas žiniatinklio užklausas. Be nurodytų funkcijų, šie priedai naudojo Proxy API, kad blokuotų skambučius į „Mozilla“ serverius, o tai neleido atsisiųsti „Firefox“ naujinimų ir susikaupė nepataisytų pažeidžiamumų, per kuriuos užpuolikai galėjo atakuoti vartotojų sistemas.
Pastebėtina, kad be to, kad buvo neleista gauti „Firefox“ versijų naujinimų dėl atitinkamų priedų veiklos, taip pat buvo sutrikdytas nuotoliniu būdu konfigūruojamų naršyklės komponentų atnaujinimas ir prieiga prie blokavimo sąrašų, kurie leido išjungti. vartotojų sistemose jau įdiegti kenkėjiški priedai buvo atmesti. Vartotojams patariama patikrinti esamą naršyklės versiją – nebent automatinis naujinimų diegimas nustatymuose yra specialiai išjungtas ir versija skiriasi nuo Firefox 93 ar 91.2, jie turėtų atnaujinti rankiniu būdu. Naujose „Firefox“ laidose „Bypass“ ir „Bypass XM“ priedai jau įtraukti į juodąjį sąrašą, todėl atnaujinus naršyklę jie bus automatiškai išjungti.
Siekiant apsisaugoti nuo būsimų kenkėjiškų priedų, blokuojančių naujinimų ir juodųjų sąrašų atsisiuntimą, pradedant nuo Firefox 91.1, buvo atlikti kodo pakeitimai, siekiant įgyvendinti tiesioginius iškvietimus į atsisiuntimo serverius ir patikrinti, ar nėra naujinimų, jei užklausa per tarpinį serverį buvo nesėkminga. . Siekiant išplėsti apsaugą bet kurios „Firefox“ versijos vartotojams, buvo parengtas priverstinai įdiegtas sistemos priedas „Proxy Failover“, kuris neleidžia netinkamai naudoti Proxy API blokuojant „Mozilla“ paslaugas. Kol siūlomas apsaugos metodas nebus plačiai išplatintas, naujų priedų priėmimas naudojant Proxy API į addons.mozilla.org katalogą buvo sustabdytas.
Šaltinis: opennet.ru