Mozilla njoftoi heqjen e dy shtesave nga katalogu addons.mozilla.org (AMO) - Bypass dhe Bypass XM, të cilat kishin 455 mijë instalime aktive dhe u pozicionuan si shtesa për të siguruar akses në materialet e shpërndara përmes një abonimi me pagesë ( duke anashkaluar Paywall). Për të modifikuar trafikun në shtesat, është përdorur Proxy API, i cili ju lejon të kontrolloni kërkesat në ueb të kryera nga shfletuesi. Përveç funksioneve të deklaruara, këto shtesa përdorën Proxy API për të bllokuar thirrjet drejt serverëve të Mozilla-s, gjë që pengoi shkarkimin e përditësimeve në Firefox dhe çoi në akumulimin e dobësive të parregulluara, përmes të cilave sulmuesit mund të sulmonin sistemet e përdoruesve.
Vlen të përmendet se përveç parandalimit të marrjes së përditësimeve të versioneve të Firefox-it si rezultat i aktiviteteve të shtesave në fjalë, u ndërpre gjithashtu përditësimi i përbërësve të shfletuesit të konfigurueshëm nga distanca dhe qasja në listat e bllokimit që bëri të mundur çaktivizimin shtesat me qëllim të keq të instaluara tashmë në sistemet e përdoruesve u refuzuan. Përdoruesit këshillohen të kontrollojnë versionin aktual të shfletuesit - përveç nëse instalimi automatik i përditësimeve është i çaktivizuar në mënyrë specifike në cilësimet dhe versioni është i ndryshëm nga Firefox 93 ose 91.2, ata duhet të përditësohen manualisht. Në versionet e reja të Firefox-it, shtesat Bypass dhe Bypass XM tashmë janë në listën e zezë, kështu që ato do të çaktivizohen automatikisht pas përditësimit të shfletuesit.
Për t'u mbrojtur nga vendosja e ardhshme e shtesave me qëllim të keq që bllokojnë shkarkimin e përditësimeve dhe listave të zeza, duke filluar me Firefox 91.1, u bënë ndryshime në kod për të zbatuar thirrje direkte për shkarkimin e serverëve dhe për të kontrolluar për përditësime nëse një kërkesë përmes një përfaqësuesi ishte e pasuksesshme . Për të zgjeruar mbrojtjen e përdoruesve të çdo versioni të Firefox-it, është përgatitur një shtesë e sistemit të instaluar me forcë "Proxy Failover", e cila parandalon përdorimin e gabuar të API-së së Proxy për të bllokuar shërbimet e Mozilla-s. Derisa metoda e propozuar e mbrojtjes të shpërndahet gjerësisht, pranimi i shtesave të reja duke përdorur API-në e Proxy në drejtorinë addons.mozilla.org është pezulluar.
Burimi: opennet.ru