Perusahaan Mozilla ngeunaan mecenghulna massa kalawan tambihan-ons pikeun Firefox. Pikeun sakabéh pamaké browser, add-ons diblokir alatan béakna sertipikat dipaké pikeun ngahasilkeun tanda tangan digital. Salaku tambahan, éta dicatet yén mustahil pikeun masang tambihan énggal tina katalog resmi (addons.mozilla.org).
Jalan kaluar tina kaayaan ieu ayeuna , Pamekar Mozilla nimbang-nimbang kamungkinan perbaikan sareng dugi ka dugi ka ngan ukur konfirmasi umum ngeunaan kaayaan éta. Ngan disebatkeun yén add-ons janten teu aktip saatos 0 jam (UTC) dina 4 Mei. Sertipikat ieu sakuduna dituju jadi renewed saminggu ka tukang, tapi pikeun sababaraha alesan ieu teu lumangsung sarta kanyataan ieu indit unnoticed. Ayeuna, sababaraha menit saatos ngamimitian browser, peringatan ditampilkeun ngeunaan tambihan anu ditumpurkeun kusabab masalah sareng tanda tangan digital, sareng tambihan ngaleungit tina daptar. Tanda tangan digital dipariksa sakali sadinten atanapi saatos browser diluncurkeun, janten dina conto Firefox anu lami-lami, tambihan-tambihan tiasa henteu langsung ditumpurkeun.
Salaku workaround mulangkeun aksés ka add-ons pikeun pamaké Linux Ubuntu, anjeun tiasa nganonaktipkeun verifikasi signature digital ku nyetel variabel "xpinstall.signatures.required" kana "palsu" dina ngeunaan: config. Métode ieu pikeun sékrési stabil sareng béta ngan ukur tiasa dianggo dina Linux sareng Android; pikeun Windows sareng macOS, manipulasi sapertos kitu ngan tiasa dilakukeun dina ngawangun wengi sareng dina Edisi Pangembang. Salaku pilihan, anjeun ogé tiasa ngarobih nilai jam sistem ka waktos sateuacan sertipikat kadaluwarsa, teras kamampuan masang tambihan tina katalog AMO bakal uih deui, tapi bandéra nganonaktipkeun anu parantos dipasang moal dipiceun.
Hayu urang ngingetan yén verifikasi wajib tina Firefox add-ons nganggo tanda tangan digital éta dina April 2016. Numutkeun Mozilla, verifikasi tanda tangan digital ngamungkinkeun anjeun pikeun meungpeuk panyebaran tambihan jahat anu nénjo pangguna. Sababaraha pamekar tambihan kalawan posisi ieu, aranjeunna yakin yén mékanisme verifikasi wajib ngagunakeun signature digital ukur nyieun kasusah pikeun pamekar sarta ngabalukarkeun kanaékan waktu nu diperlukeun pikeun mawa release corrective ka pamaké, tanpa mangaruhan kaamanan sagala cara. Aya loba trivial tur atra pikeun bypass cek otomatis pikeun tambihan-ons nu ngidinan kode jahat diselapkeun unnoticed, contona, ku generating operasi on laleur ku concatenating sababaraha string lajeng executing string hasilna ku nelepon eval. posisi Mozilla urang Alesanna nyaéta seueur pangarang tambihan jahat anu puguh sareng moal nganggo téknik sapertos kitu pikeun nyumputkeun kagiatan jahat.
Addendum: Mozilla pamekar ngeunaan mimiti nguji fix, nu, lamun dites suksés, baris geura-giru jadi komunkasi ka pamaké (keputusan dina nerapkeun fix diusulkeun teu acan dijieun). Generasi tanda tangan digital pikeun tambihan énggal dinonaktipkeun dugi ka perbaikan diterapkeun.
sumber: opennet.ru