Mozilla 宣布從addons.mozilla.org (AMO) 目錄中刪除兩個附加元件- Bypass 和Bypass XM,這兩個附加元件有455 個活躍安裝,並被定位為附加元件,用於提供對透過付費訂閱分發的材料的存取(繞過付費牆)。 為了修改附加元件中的流量,使用了代理程式 API,它允許您控制瀏覽器執行的 Web 請求。 除了上述功能外,這些附加元件還使用代理 API 來阻止對 Mozilla 伺服器的調用,從而阻止下載 Firefox 的更新,並導致未修復的漏洞累積,攻擊者可以透過這些漏洞攻擊使用者係統。
值得注意的是,除了由於相關附加元件的活動而阻止 Firefox 版本更新之外,遠端可配置瀏覽器元件的更新也被中斷,並且存取阻止清單可以停用用戶系統上已安裝的惡意加載項被拒絕。 建議使用者檢查瀏覽器的當前版本 - 除非在設定中專門停用自動安裝更新且版本與 Firefox 93 或 91.2 不同,否則應手動更新。 在新版本的 Firefox 中,Bypass 和 Bypass XM 外掛程式已被列入黑名單,因此在更新瀏覽器後它們將自動停用。
為了防止將來部署阻止更新下載和黑名單的惡意加載項,從 Firefox 91.1 開始,對程式碼進行了更改,以實現直接呼叫下載伺服器並在透過代理程式的請求不成功時檢查更新。 為了將保護擴展到任何版本的 Firefox 用戶,我們準備了強制安裝的系統附加元件“代理故障轉移”,以防止錯誤使用代理 API 來阻止 Mozilla 服務。 在所提出的保護方法廣泛分發之前,使用代理 API 為 addons.mozilla.org 目錄添加新內容的接受已暫停。
來源: opennet.ru