Mozilla annonserte fjerningen av to tillegg – Bypass og Bypass XM – fra addons.mozilla.org (AMO)-katalogen. Disse tilleggene hadde 455 000 aktive installasjoner og ble markedsført som å gi tilgang til betalt abonnementsinnhold (og omgå Paywall). For å endre trafikk brukte tilleggene Proxy API, som gir kontroll over nettforespørsler fra nettleseren. I tillegg til den annonserte funksjonaliteten brukte disse tilleggene Proxy API til å blokkere forespørsler til Mozilla-servere, noe som forhindret Firefox i å laste ned oppdateringer og førte til akkumulering av uoppdaterte sårbarheter som kunne utnyttes av angripere.
Det er verdt å merke seg at tilleggene det gjelder, i tillegg til å forhindre at Firefox mottok oppdateringer, også forstyrret oppdateringer til nettleserkomponenter som kan konfigureres eksternt, og blokkerte tilgang til blokkeringslister som tillot brukere å deaktivere skadelige tillegg som allerede var installert på systemene deres. Brukere anbefales å sjekke sin nåværende nettleserversjon. Hvis automatiske oppdateringer ikke er spesifikt deaktivert i innstillingene, og versjonen ikke er Firefox 93 eller 91.2, bør de oppdatere manuelt. I nyere Firefox-utgivelser er tilleggene Bypass og Bypass XM allerede svartelistet, så de vil bli automatisk deaktivert etter oppdatering av nettleseren.
For å beskytte mot fremtidige ondsinnede tillegg som blokkerer oppdateringer og svartelister, ble koden, fra og med Firefox 91.1, endret for å implementere direkte forespørsler om å oppdatere nedlastings- og verifiseringsservere hvis proxy-forespørsler mislykkes. For å utvide denne beskyttelsen til brukere av alle Firefox-versjoner, er det utviklet et systemtillegg med tvungen installasjon, "Proxy Failover", for å forhindre feil bruk av Proxy API for å blokkere Mozilla-tjenester. Inntil denne foreslåtte beskyttelsesmetoden er bredt distribuert, aksepteres ikke lenger nye tillegg som bruker Proxy API i addons.mozilla.org-katalogen.
Kilde: opennet.ru
