Mozilla je objavila odstranitev dveh dodatkov iz kataloga addons.mozilla.org (AMO) - Bypass in Bypass XM, ki sta imela 455 tisoč aktivnih namestitev in sta bila postavljena kot dodatka za zagotavljanje dostopa do materialov, distribuiranih prek plačane naročnine ( mimo Paywalla). Za spreminjanje prometa v dodatkih je bil uporabljen Proxy API, ki omogoča nadzor nad spletnimi zahtevami, ki jih izvaja brskalnik. Poleg navedenih funkcij so ti dodatki uporabljali Proxy API za blokiranje klicev do strežnikov Mozilla, kar je onemogočalo prenos posodobitev v Firefox in vodilo do kopičenja neodpravljenih ranljivosti, prek katerih so lahko napadalci napadli uporabniške sisteme.
Omeniti velja, da je bilo poleg preprečevanja prejemanja posodobitev različic Firefoxa zaradi dejavnosti zadevnih dodatkov moteno tudi posodabljanje komponent brskalnika, ki jih je mogoče konfigurirati na daljavo, in dostop do seznamov za blokiranje, ki so omogočali onemogočanje zlonamerni dodatki, ki so že nameščeni v uporabniških sistemih, so bili zavrnjeni. Uporabnikom svetujemo, da preverijo trenutno različico brskalnika – razen če je samodejno nameščanje posodobitev izrecno onemogočeno v nastavitvah in se različica razlikuje od Firefoxa 93 ali 91.2, naj posodobijo ročno. V novih izdajah Firefoxa sta dodatka Bypass in Bypass XM že na črnem seznamu, zato bosta po posodobitvi brskalnika samodejno onemogočena.
Za zaščito pred prihodnjim uvajanjem zlonamernih dodatkov, ki blokirajo prenos posodobitev in črnih seznamov, so bile od Firefoxa 91.1 spremenjene kode za izvajanje neposrednih klicev za prenos strežnikov in preverjanje posodobitev, če je bila zahteva prek proxyja neuspešna. Za razširitev zaščite na uporabnike katere koli različice Firefoxa je bil pripravljen prisilno nameščen sistemski dodatek »Proxy Failover«, ki preprečuje nepravilno uporabo API-ja Proxy za blokiranje storitev Mozilla. Dokler predlagana zaščitna metoda ni široko razširjena, je bilo sprejemanje novih dodatkov, ki uporabljajo proxy API, za imenik addons.mozilla.org začasno ustavljeno.
Vir: opennet.ru