Mozilla ogłosiła usunięcie dwóch dodatków z katalogu addons.mozilla.org (AMO) - Bypass i Bypass XM, które miały 455 tys. aktywnych instalacji i były pozycjonowane jako dodatki zapewniające dostęp do materiałów dystrybuowanych w ramach płatnej subskrypcji ( ominięcie Paywalla). Do modyfikacji ruchu w dodatkach wykorzystano Proxy API, które pozwala kontrolować żądania internetowe realizowane przez przeglądarkę. Oprócz wymienionych funkcji, dodatki te wykorzystywały interfejs API Proxy do blokowania połączeń z serwerami Mozilli, co uniemożliwiało pobieranie aktualizacji przeglądarki Firefox i prowadziło do nagromadzenia nienaprawionych luk w zabezpieczeniach, za pośrednictwem których osoby atakujące mogły atakować systemy użytkowników.
Warto zauważyć, że oprócz uniemożliwienia otrzymywania aktualizacji wersji Firefoksa w wyniku działania przedmiotowych dodatków, zakłócona została także aktualizacja zdalnie konfigurowalnych komponentów przeglądarki oraz dostęp do list blokowanych, które umożliwiały wyłączenie złośliwe dodatki już zainstalowane w systemach użytkowników zostały odrzucone. Użytkownikom zaleca się sprawdzenie aktualnej wersji przeglądarki - o ile w ustawieniach nie jest wyraźnie wyłączona automatyczna instalacja aktualizacji i wersja różni się od Firefoksa 93 lub 91.2, powinni dokonać aktualizacji ręcznie. W nowych wersjach przeglądarki Firefox dodatki Bypass i Bypass XM znajdują się już na czarnej liście, więc zostaną automatycznie wyłączone po aktualizacji przeglądarki.
Aby zabezpieczyć się przed przyszłym wdrożeniem złośliwych dodatków, które blokują pobieranie aktualizacji i czarnych list, począwszy od przeglądarki Firefox 91.1, wprowadzono zmiany w kodzie, aby zaimplementować bezpośrednie wywołania do serwerów pobierania i sprawdzić dostępność aktualizacji, jeśli żądanie za pośrednictwem serwera proxy nie powiedzie się. Aby rozszerzyć ochronę na użytkowników dowolnej wersji Firefoksa, przygotowano wymuszony dodatek systemowy „Proxy Failover”, który zapobiega nieprawidłowemu wykorzystaniu Proxy API do blokowania usług Mozilli. Do czasu szerokiego rozpowszechnienia proponowanej metody ochrony, akceptacja nowych dodatków wykorzystujących Proxy API do katalogu addons.mozilla.org została zawieszona.
Źródło: opennet.ru