Mozilla најави отстранување на два додатоци од каталогот addons.mozilla.org (AMO) - Bypass и Bypass XM, кои имаа 455 илјади активни инсталации и беа позиционирани како додатоци за обезбедување пристап до материјали дистрибуирани преку платена претплата ( заобиколувајќи го Paywall). За да се измени сообраќајот во додатоците, се користеше Proxy API, кој ви овозможува да ги контролирате веб-барањата што ги извршува прелистувачот. Покрај наведените функции, овие додатоци го користеа Proxy API за блокирање повици до серверите на Mozilla, што го спречи преземањето ажурирања на Firefox и доведе до акумулација на непоправени пропусти, преку кои напаѓачите можеа да ги нападнат корисничките системи.
Вреди да се одбележи дека покрај спречувањето на приемот на ажурирања на верзиите на Firefox како резултат на активностите на предметните додатоци, беше нарушено и ажурирањето на далечински конфигурираните компоненти на прелистувачот и пристапот до списоците за блокирање што овозможи да се оневозможи Злонамерните додатоци веќе инсталирани на корисничките системи беа одбиени. На корисниците им се советува да ја проверат тековната верзија на прелистувачот - освен ако автоматската инсталација на ажурирањата е конкретно оневозможена во поставките и верзијата е различна од Firefox 93 или 91.2, тие треба да се ажурираат рачно. Во новите изданија на Firefox, додатоците Bypass и Bypass XM веќе се на црната листа, така што тие ќе бидат оневозможени автоматски по ажурирањето на прелистувачот.
За да се заштитат од идно поставување на малициозни додатоци кои го блокираат преземањето на ажурирања и црни листи, почнувајќи од Firefox 91.1, беа направени промени во кодот за да се имплементираат директни повици за преземање сервери и да се провери дали има ажурирања доколку барањето преку прокси е неуспешно . За да се прошири заштитата на корисниците на која било верзија на Firefox, подготвен е присилно инсталиран системски додаток „Proxy Failover“, кој спречува неправилна употреба на Proxy API за блокирање на услугите на Mozilla. Сè додека предложениот метод за заштита не биде широко дистрибуиран, прифаќањето на нови дополнувања со помош на API на прокси во директориумот addons.mozilla.org е суспендирано.
Извор: opennet.ru