Mozilla kunngjorde fjerning av to tillegg fra addons.mozilla.org (AMO) katalogen - Bypass og Bypass XM, som hadde 455 tusen aktive installasjoner og ble plassert som tillegg for å gi tilgang til materialer distribuert gjennom et betalt abonnement ( omgå betalingsmur). For å endre trafikken i tilleggene ble Proxy API brukt, som lar deg kontrollere nettforespørslene som utføres av nettleseren. I tillegg til de angitte funksjonene, brukte disse tilleggene Proxy API for å blokkere anrop til Mozilla-servere, noe som forhindret nedlasting av oppdateringer til Firefox og førte til akkumulering av uløste sårbarheter, der angripere kunne angripe brukersystemer.
Det er bemerkelsesverdig at i tillegg til å forhindre mottak av oppdateringer til Firefox-versjoner som et resultat av aktivitetene til de aktuelle tilleggene, ble oppdateringen av eksternt konfigurerbare nettleserkomponenter også forstyrret og tilgang til blokkeringslister som gjorde det mulig å deaktivere ondsinnede tillegg som allerede er installert på brukersystemer ble avvist. Brukere anbefales å sjekke gjeldende versjon av nettleseren - med mindre automatisk installasjon av oppdateringer er spesifikt deaktivert i innstillingene og versjonen er forskjellig fra Firefox 93 eller 91.2, bør de oppdateres manuelt. I nye utgivelser av Firefox er Bypass- og Bypass XM-tilleggene allerede svartelistet, så de vil bli deaktivert automatisk etter oppdatering av nettleseren.
For å beskytte mot fremtidig plassering av ondsinnede tillegg som blokkerer nedlasting av oppdateringer og svartelister, fra og med Firefox 91.1, ble det gjort endringer i koden for å implementere direkte anrop til nedlastingsservere og se etter oppdateringer hvis en forespørsel via en proxy mislyktes . For å utvide beskyttelsen til brukere av enhver versjon av Firefox, er det utarbeidet et tvangsinstallert systemtillegg "Proxy Failover", som forhindrer feil bruk av Proxy API for å blokkere Mozilla-tjenester. Inntil den foreslåtte beskyttelsesmetoden er bredt distribuert, har aksepten av nye tillegg ved bruk av Proxy API til addons.mozilla.org-katalogen blitt suspendert.
Kilde: opennet.ru