Mozilla 宣布从 addons.mozilla.org (AMO) 目录中删除两个附加组件 - Bypass 和 Bypass XM,这两个附加组件有 455 万个活跃安装,并被定位为附加组件,用于提供对通过付费订阅分发的材料的访问(绕过付费墙)。 为了修改附加组件中的流量,使用了代理 API,它允许您控制浏览器执行的 Web 请求。 除了上述功能外,这些附加组件还使用代理 API 来阻止对 Mozilla 服务器的调用,从而阻止下载 Firefox 的更新,并导致未修复的漏洞累积,攻击者可以通过这些漏洞攻击用户系统。
值得注意的是,除了由于相关附加组件的活动而阻止 Firefox 版本更新之外,远程可配置浏览器组件的更新也被中断,并且访问阻止列表可以禁用用户系统上已安装的恶意加载项被拒绝。 建议用户检查浏览器的当前版本 - 除非在设置中专门禁用自动安装更新并且版本与 Firefox 93 或 91.2 不同,否则应手动更新。 在新版本的 Firefox 中,Bypass 和 Bypass XM 插件已被列入黑名单,因此在更新浏览器后它们将被自动禁用。
为了防止将来放置阻止更新下载和黑名单的恶意加载项,从 Firefox 91.1 开始,对代码进行了更改,以实现直接调用下载服务器并在通过代理的请求不成功时检查更新。 为了将保护扩展到任何版本的 Firefox 用户,我们准备了强制安装的系统附加组件“代理故障转移”,以防止错误使用代理 API 来阻止 Mozilla 服务。 在所提出的保护方法得到广泛分发之前,使用代理 API 向 addons.mozilla.org 目录添加新内容的接受已暂停。
来源: opennet.ru