Mozilla mengumumkan penyingkiran dua alat tambah daripada katalog addons.mozilla.org (AMO) - Bypass dan Bypass XM, yang mempunyai 455 ribu pemasangan aktif dan diletakkan sebagai alat tambah untuk menyediakan akses kepada bahan yang diedarkan melalui langganan berbayar ( memintas Paywall). Untuk mengubah suai trafik dalam alat tambah, API Proksi telah digunakan, yang membolehkan anda mengawal permintaan web yang dilakukan oleh penyemak imbas. Sebagai tambahan kepada fungsi yang dinyatakan, alat tambah ini menggunakan API Proksi untuk menyekat panggilan ke pelayan Mozilla, yang menghalang muat turun kemas kini ke Firefox dan membawa kepada pengumpulan kelemahan yang tidak diperbaiki, yang melaluinya penyerang boleh menyerang sistem pengguna.
Perlu diperhatikan bahawa selain menghalang penerimaan kemas kini kepada versi Firefox akibat daripada aktiviti alat tambah yang dipersoalkan, kemas kini komponen penyemak imbas yang boleh dikonfigurasikan dari jauh juga terganggu dan akses kepada senarai penyekat yang memungkinkan untuk melumpuhkan alat tambah berniat jahat yang telah dipasang pada sistem pengguna telah dinafikan. Pengguna dinasihatkan untuk menyemak versi semasa penyemak imbas - melainkan pemasangan automatik kemas kini dilumpuhkan secara khusus dalam tetapan dan versinya berbeza daripada Firefox 93 atau 91.2, mereka harus mengemas kini secara manual. Dalam keluaran baharu Firefox, alat tambah Bypass dan Bypass XM telah pun disenaraihitamkan, jadi ia akan dilumpuhkan secara automatik selepas mengemas kini penyemak imbas.
Untuk melindungi daripada penggunaan alat tambah berniat jahat pada masa hadapan yang menyekat muat turun kemas kini dan senarai hitam, bermula dengan Firefox 91.1, perubahan telah dibuat pada kod untuk melaksanakan panggilan terus untuk memuat turun pelayan dan menyemak kemas kini jika permintaan melalui proksi tidak berjaya. Untuk memperluaskan perlindungan kepada pengguna mana-mana versi Firefox, alat tambah sistem "Proxy Failover" yang dipasang secara paksa telah disediakan, yang menghalang penggunaan API Proksi yang salah untuk menyekat perkhidmatan Mozilla. Sehingga kaedah perlindungan yang dicadangkan diedarkan secara meluas, penerimaan penambahan baharu menggunakan API Proksi ke direktori addons.mozilla.org telah digantung.
Sumber: opennet.ru