Mozilla paziņoja par divu papildinājumu noņemšanu no addon.mozilla.org (AMO) kataloga - Bypass un Bypass XM, kuriem bija 455 tūkstoši aktīvo instalāciju un kas tika novietoti kā papildinājumi, lai nodrošinātu piekļuvi materiāliem, kas izplatīti, izmantojot maksas abonementu ( apejot Paywall). Lai modificētu trafiku pievienojumprogrammās, tika izmantota starpniekservera API, kas ļauj kontrolēt pārlūkprogrammas veiktos tīmekļa pieprasījumus. Papildus norādītajām funkcijām šie papildinājumi izmantoja Proxy API, lai bloķētu zvanus uz Mozilla serveriem, kas neļāva lejupielādēt Firefox atjauninājumus un izraisīja nelabotu ievainojamību uzkrāšanos, caur kurām uzbrucēji varēja uzbrukt lietotāju sistēmām.
Jāatzīmē, ka papildus Firefox versiju atjauninājumu saņemšanas novēršanai attiecīgo papildinājumu darbību rezultātā tika traucēta arī attālināti konfigurējamo pārlūkprogrammas komponentu atjaunināšana un piekļuve bloķēšanas sarakstiem, kas ļāva to atspējot. lietotāju sistēmās jau instalētie ļaunprātīgie papildinājumi tika liegti. Lietotājiem ieteicams pārbaudīt pašreizējo pārlūkprogrammas versiju - ja vien iestatījumos nav īpaši atspējota atjauninājumu automātiskā instalēšana un versija atšķiras no Firefox 93 vai 91.2, tie ir jāatjaunina manuāli. Jaunajos Firefox laidienos Bypass un Bypass XM papildinājumi jau ir iekļauti melnajā sarakstā, tāpēc pēc pārlūkprogrammas atjaunināšanas tie tiks automātiski atspējoti.
Lai aizsargātu pret turpmāku ļaunprātīgu pievienojumprogrammu izvietošanu, kas bloķē atjauninājumu un melno sarakstu lejupielādi, sākot ar Firefox 91.1, kodā tika veiktas izmaiņas, lai ieviestu tiešus zvanus uz lejupielādes serveriem un pārbaudītu atjauninājumus, ja pieprasījums, izmantojot starpniekserveri, bija neveiksmīgs. . Lai paplašinātu aizsardzību jebkuras Firefox versijas lietotājiem, ir sagatavots piespiedu kārtā instalēts sistēmas papildinājums “Proxy Failover”, kas novērš nepareizu Proxy API izmantošanu, lai bloķētu Mozilla pakalpojumus. Kamēr ierosinātā aizsardzības metode nav plaši izplatīta, jaunu papildinājumu pieņemšana, izmantojot starpniekservera API direktorijā addons.mozilla.org, ir apturēta.
Avots: opennet.ru