Mozilla ngumumkeun ngaleupaskeun dua tambihan tina katalog addons.mozilla.org (AMO) - Bypass sareng Bypass XM, anu ngagaduhan 455 rébu pamasangan aktip sareng diposisikan salaku tambihan pikeun nyayogikeun aksés kana bahan anu disebarkeun ku langganan anu mayar ( ngalangkungan Paywall). Pikeun ngarobih lalu lintas dina tambihan, API Proxy dianggo, anu ngamungkinkeun anjeun ngadalikeun pamundut wéb anu dilakukeun ku browser. Salian fungsi anu dinyatakeun, add-ons ieu nganggo Proxy API pikeun meungpeuk telepon ka server Mozilla, anu nyegah unduhan apdet ka Firefox sareng nyababkeun akumulasi kerentanan anu teu tetep, dimana panyerang tiasa nyerang sistem pangguna.
Perlu dicatet yén salian nyegah nampi apdet kana versi Firefox salaku hasil tina kagiatan tambihan anu dimaksud, pembaruan komponén browser anu tiasa dikonfigurasi jarak jauh ogé kaganggu sareng aksés ka daptar blokiran anu ngamungkinkeun pikeun nganonaktipkeun. tambihan jahat anu parantos dipasang dina sistem pangguna ditolak. Pamaké disarankan pikeun pariksa versi browser anu ayeuna - kecuali pamasangan otomatis apdet sacara khusus ditumpurkeun dina setélan sareng versina béda ti Firefox 93 atanapi 91.2, aranjeunna kedah ngapdet sacara manual. Dina rilis anyar Firefox, tambihan Bypass sareng Bypass XM parantos didaptarkeun hideung, ku kituna aranjeunna bakal dinonaktipkeun sacara otomatis saatos ngapdet browser.
Pikeun nangtayungan tina panyebaran kahareup add-on jahat anu meungpeuk undeuran apdet sareng daptar hideung, dimimitian ku Firefox 91.1, parobihan dilakukeun kana kode pikeun ngalaksanakeun telepon langsung pikeun ngaunduh pangladén sareng pariksa apdet upami pamundut ngalangkungan proxy gagal. Pikeun ngalegaan panyalindungan ka pangguna tina versi Firefox naon waé, sistem tambihan anu dipasang "Proxy Failover" parantos disiapkeun, anu nyegah pamakean API Proxy anu salah pikeun meungpeuk jasa Mozilla. Dugi metode panyalindungan anu diusulkeun disebarkeun sacara lega, panampi panambahan anyar nganggo Proxy API kana diréktori addons.mozilla.org parantos ditunda.
sumber: opennet.ru