Компанія Mozilla про виникнення масових із доповненнями до Firefox. У всіх користувачів браузера доповнення виявилися заблокованими через час життя сертифіката, що застосовується для формування цифрових підписів. Крім того, відзначається неможливість встановлення нових доповнень з офіційного каталогу (addons.mozilla.org).
Вихід із ситуації поки що , розробники Mozilla обдумують можливі варіанти виправлення і поки обмежилися лише загальним підтвердженням ситуації, що виникла. Згадується лише, що доповнення стали неактивними після настання 0 годин (UTC) 4 травня. Сертифікат мав оновитися тиждень тому, але з якихось причин цього не сталося, і цей факт залишився непоміченим. Тепер через кілька хвилин після запуску браузера виводиться попередження про відключення доповнень через проблеми із цифровим підписом та доповнення зникають зі списку. Перевірка цифрового підпису здійснюється раз на добу або після запуску браузера, тому в давно запущених екземплярах Firefox доповнення можуть не відключитися.
Як обхідний шлях для відновлення доступу до доповнень користувачам Linux можна вимкнути перевірку цифрового підпису через установку в about:config змінної xpinstall.signatures.required у значення false. Даний метод для стабільних та бета-випусків працює тільки в Linux та Android, для Windows та macOS подібна маніпуляція можлива лише у нічних збірках та у версії для розробників (Developer Edition). Як варіант також можна змінити значення системного годинника на час до закінчення терміну дії сертифіката, тоді повернеться можливість встановлення доповнень з каталогу AMO, але вже встановлена мітка відключення не знімається.
Нагадаємо, що обов'язкова перевірка доповнень Firefox з цифрових підписів була у квітні 2016 року. На думку Mozilla перевірка цифрового підпису дозволяє блокувати поширення шкідливих і шпигунних за користувачами доповнень. Деякі розробники додатків з такою позицією і вважають, що механізм обов'язкової перевірки цифрового підпису лише створює складності для розробників і призводить до збільшення часу доведення до користувачів коригувальних випусків, ніяк не впливаючи на безпеку. Існує безліч тривіальних та очевидних для обходу системи автоматизованої перевірки доповнень, що дозволяють непомітно вставити шкідливий код, наприклад, через формування операції на льоту шляхом з'єднання кількох рядків з подальшим виконанням результуючого рядка викликом eval. Позиція Mozilla до того, що більшість авторів шкідливих доповнень ліниві і не вдаватимуться до подібних технік приховування шкідливої активності.
Розробники Mozilla про початок тестування виправлення, яке у разі успішної перевірки незабаром буде доведено до користувачів (рішення про застосування запропонованого виправлення ще не ухвалено). До виправлення формування цифрових підписів для нових доповнень вимкнено.
Джерело: opennet.ru