Mozilla kondigde de verwijdering aan van twee add-ons uit de addons.mozilla.org (AMO)-catalogus: Bypass en Bypass XM, die 455 actieve installaties hadden en gepositioneerd waren als add-ons voor het bieden van toegang tot materiaal dat wordt gedistribueerd via een betaald abonnement ( het omzeilen van Paywall). Om het verkeer in de add-ons aan te passen, is de Proxy API gebruikt, waarmee u de webverzoeken van de browser kunt beheren. Naast de genoemde functies gebruikten deze add-ons de Proxy API om oproepen naar Mozilla-servers te blokkeren, wat het downloaden van updates naar Firefox verhinderde en leidde tot de opeenstapeling van niet-opgeloste kwetsbaarheden, waardoor aanvallers gebruikerssystemen konden aanvallen.
Het is opmerkelijk dat naast het voorkomen van de ontvangst van updates van Firefox-versies als gevolg van de activiteiten van de betreffende add-ons, ook de update van op afstand configureerbare browsercomponenten werd verstoord en de toegang tot blokkeerlijsten die het mogelijk maakten om uit te schakelen kwaadaardige add-ons die al op gebruikerssystemen waren geïnstalleerd, werden geweigerd. Gebruikers wordt geadviseerd om de huidige versie van de browser te controleren. Tenzij de automatische installatie van updates specifiek is uitgeschakeld in de instellingen en de versie anders is dan Firefox 93 of 91.2, moeten ze handmatig updaten. In nieuwe releases van Firefox staan de Bypass- en Bypass XM-add-ons al op de zwarte lijst, dus deze worden automatisch uitgeschakeld na het updaten van de browser.
Om bescherming te bieden tegen toekomstige inzet van kwaadaardige add-ons die het downloaden van updates en zwarte lijsten blokkeren, zijn er vanaf Firefox 91.1 wijzigingen aangebracht in de code om directe oproepen naar downloadservers te implementeren en te controleren op updates als een verzoek via een proxy niet succesvol was. Om de bescherming uit te breiden naar gebruikers van elke versie van Firefox, is een gedwongen geïnstalleerde systeemadd-on “Proxy Failover” voorbereid, die onjuist gebruik van de Proxy API om Mozilla-services te blokkeren voorkomt. Totdat de voorgestelde beveiligingsmethode op grote schaal wordt verspreid, is de acceptatie van nieuwe toevoegingen met behulp van de Proxy API aan de map addons.mozilla.org opgeschort.
Bron: opennet.ru