Công ty Mozilla về sự xuất hiện của khối lượng với các tiện ích bổ sung dành cho Firefox. Đối với tất cả người dùng trình duyệt, các tiện ích bổ sung đã bị chặn do chứng chỉ được sử dụng để tạo chữ ký số đã hết hạn. Ngoài ra, cần lưu ý rằng không thể cài đặt các tiện ích bổ sung mới từ danh mục chính thức (addons.mozilla.org).
Cách thoát khỏi tình trạng này bây giờ , Các nhà phát triển của Mozilla đang xem xét các bản sửa lỗi có thể có và cho đến nay họ chỉ giới hạn ở việc chỉ xác nhận chung về tình huống này. Người ta chỉ đề cập rằng các tiện ích bổ sung sẽ không hoạt động sau 0 giờ (UTC) vào ngày 4 tháng XNUMX. Đáng lẽ chứng chỉ phải được gia hạn cách đây một tuần, nhưng vì lý do nào đó mà điều này đã không xảy ra và sự thật này không được chú ý. Bây giờ, vài phút sau khi khởi động trình duyệt, một cảnh báo sẽ hiển thị về việc các tiện ích bổ sung bị vô hiệu hóa do sự cố với chữ ký điện tử và các tiện ích bổ sung sẽ biến mất khỏi danh sách. Chữ ký số được kiểm tra mỗi ngày một lần hoặc sau khi trình duyệt được khởi chạy, vì vậy trong các phiên bản Firefox chạy lâu, các tiện ích bổ sung có thể không bị tắt ngay lập tức.
Như một giải pháp thay thế để khôi phục quyền truy cập vào các tiện ích bổ sung cho người dùng Linux, bạn có thể tắt xác minh chữ ký số bằng cách đặt biến "xpinstall.signatures.required" thành "false" trong about:config. Phương pháp này dành cho các bản phát hành ổn định và beta chỉ hoạt động trên Linux và Android; đối với Windows và macOS, thao tác như vậy chỉ có thể thực hiện được trong các bản dựng hàng đêm và trong Phiên bản dành cho nhà phát triển. Như một tùy chọn, bạn cũng có thể thay đổi giá trị của đồng hồ hệ thống thành thời điểm trước khi chứng chỉ hết hạn, khi đó khả năng cài đặt các tiện ích bổ sung từ danh mục AMO sẽ quay trở lại, nhưng cờ vô hiệu hóa đã cài đặt sẽ không bị xóa.
Hãy để chúng tôi nhắc bạn rằng việc xác minh bắt buộc các tiện ích bổ sung của Firefox bằng chữ ký điện tử là vào tháng 2016 năm XNUMX. Theo Mozilla, xác minh chữ ký số cho phép bạn chặn sự lây lan của các tiện ích bổ sung độc hại theo dõi người dùng. Một số nhà phát triển tiện ích bổ sung Với quan điểm này, họ cho rằng cơ chế xác minh bắt buộc sử dụng chữ ký số chỉ gây khó khăn cho nhà phát triển và dẫn đến tăng thời gian đưa ra bản phát hành khắc phục cho người dùng mà không ảnh hưởng đến bảo mật dưới bất kỳ hình thức nào. Có nhiều điều tầm thường và hiển nhiên để bỏ qua quá trình kiểm tra tự động đối với các tiện ích bổ sung cho phép chèn mã độc mà không bị phát hiện, ví dụ: bằng cách tạo một thao tác nhanh chóng bằng cách nối một số chuỗi và sau đó thực thi chuỗi kết quả bằng cách gọi eval. Vị trí của Mozilla Lý do là hầu hết tác giả của các tiện ích bổ sung độc hại đều lười biếng và sẽ không dùng đến những kỹ thuật như vậy để che giấu hoạt động độc hại.
Phụ lục: Nhà phát triển Mozilla về việc bắt đầu thử nghiệm bản sửa lỗi, nếu thử nghiệm thành công sẽ sớm được thông báo tới người dùng (quyết định áp dụng bản sửa lỗi đề xuất vẫn chưa được đưa ra). Việc tạo chữ ký số cho các tiện ích bổ sung mới bị vô hiệu hóa cho đến khi áp dụng bản sửa lỗi.
Nguồn: opennet.ru