A Mozilla anunciou a remoção de dois addons do catálogo addons.mozilla.org (AMO) - Bypass e Bypass XM, que contavam com 455 mil instalações ativas e foram posicionados como add-ons para fornecer acesso a materiais distribuídos por meio de assinatura paga ( ignorando o acesso pago). Para modificar o tráfego nos add-ons, foi utilizada a API Proxy, que permite controlar as solicitações web realizadas pelo navegador. Além das funções declaradas, esses complementos utilizavam a API Proxy para bloquear chamadas aos servidores Mozilla, o que impedia o download de atualizações para o Firefox e levava ao acúmulo de vulnerabilidades não corrigidas, por meio das quais invasores poderiam atacar os sistemas dos usuários.
Vale ressaltar que além de impedir o recebimento de atualizações para versões do Firefox em decorrência das atividades dos add-ons em questão, também foi interrompida a atualização de componentes configuráveis remotamente do navegador e o acesso a listas de bloqueio que possibilitavam desabilitar complementos maliciosos já instalados nos sistemas dos usuários foram negados. Os usuários são aconselhados a verificar a versão atual do navegador - a menos que a instalação automática de atualizações esteja especificamente desativada nas configurações e a versão seja diferente do Firefox 93 ou 91.2, eles devem atualizar manualmente. Nas novas versões do Firefox, os complementos Bypass e Bypass XM já estão na lista negra, portanto serão desativados automaticamente após a atualização do navegador.
Para se proteger contra a implantação futura de complementos maliciosos que bloqueiam o download de atualizações e listas negras, a partir do Firefox 91.1, foram feitas alterações no código para implementar chamadas diretas para servidores de download e verificar se há atualizações se uma solicitação por meio de um proxy não tiver êxito. Para estender a proteção aos usuários de qualquer versão do Firefox, foi preparado um complemento de sistema de instalação forçada “Proxy Failover”, que evita o uso incorreto da API Proxy para bloquear serviços Mozilla. Até que o método de proteção proposto seja amplamente distribuído, a aceitação de novas adições usando a API Proxy ao diretório addons.mozilla.org foi suspensa.
Fonte: opennet.ru