Mozilla oznámila odstránenie dvoch doplnkov z katalógu addons.mozilla.org (AMO) – Bypass a Bypass XM, ktoré mali 455 tisíc aktívnych inštalácií a boli umiestnené ako doplnky na poskytovanie prístupu k materiálom distribuovaným prostredníctvom plateného predplatného ( obchádzanie Paywallu). Na úpravu návštevnosti v doplnkoch bolo použité Proxy API, ktoré umožňuje kontrolovať webové požiadavky vykonávané prehliadačom. Okrem uvedených funkcií tieto doplnky využívali Proxy API na blokovanie hovorov na servery Mozilla, čo bránilo sťahovaniu aktualizácií do Firefoxu a viedlo k hromadeniu neopravených zraniteľností, cez ktoré mohli útočníci útočiť na používateľské systémy.
Je pozoruhodné, že okrem zamedzenia prijímania aktualizácií verzií Firefoxu v dôsledku aktivít predmetných doplnkov bola prerušená aj aktualizácia vzdialene konfigurovateľných komponentov prehliadača a prístup k zoznamom blokovania, ktoré umožňovali zakázať škodlivé doplnky už nainštalované na používateľských systémoch boli odmietnuté. Používateľom odporúčame, aby si skontrolovali aktuálnu verziu prehliadača – pokiaľ nie je automatická inštalácia aktualizácií špecificky zakázaná v nastaveniach a verzia je iná ako Firefox 93 alebo 91.2, mali by aktualizovať manuálne. V nových vydaniach Firefoxu sú doplnky Bypass a Bypass XM už na čiernej listine, takže po aktualizácii prehliadača budú automaticky zakázané.
Na ochranu pred budúcim nasadením škodlivých doplnkov, ktoré blokujú sťahovanie aktualizácií a zoznamov zakázaných položiek, počnúc Firefoxom 91.1, boli vykonané zmeny v kóde, aby sa implementovali priame volania na servery sťahovania a kontrola aktualizácií, ak bola žiadosť cez proxy neúspešná. Na rozšírenie ochrany na používateľov akejkoľvek verzie Firefoxu bol pripravený vynútene nainštalovaný systémový doplnok „Proxy Failover“, ktorý zabraňuje nesprávnemu používaniu Proxy API na blokovanie služieb Mozilly. Kým nebude navrhovaná metóda ochrany široko distribuovaná, bolo pozastavené prijímanie nových doplnkov pomocou Proxy API do adresára addons.mozilla.org.
Zdroj: opennet.ru