Компания Mozilla сообщила об удалении из каталога addons.mozilla.org (AMO) двух дополнений - Bypass и Bypass XM, которые насчитывали 455 тысяч активных установок и позиционировались как дополнения для предоставления доступа к материалам, распространяемым по платной подписке (обход Paywall). Для модификации трафика в дополнениях использовался API Proxy, позволяющий контролировать выполняемые браузером web-запросы. Помимо заявленных функций указанные дополнения использовали API Proxy для блокировки обращений к серверам Mozilla, что не позволяло загрузить обновления к Firefox и приводило к накоплению неустранённых уязвимостей, при помощи которых злоумышленники могли атаковать системы пользователей.
Примечательно, что кроме предотвращения получения обновлений версий Firefox в результате деятельности рассматриваемых дополнений также было нарушено обновление удалённо настраиваемых компонентов браузера и закрыт доступ к спискам блокировки, позволявшим отключить уже установленные на системы пользователей вредоносные дополнения. Пользователям рекомендуется проверить текущую версию браузера - если в настройках специально не отключена автоустановка обновлений и версия отличается от Firefox 93 или 91.2 следует выполнить обновление вручную. В новых выпусках Firefox дополнения Bypass и Bypass XM уже включены в чёрный список, поэтому после обновления браузера они будут отключены автоматически.
Для защиты от размещения в будущем вредоносных дополнений, блокирующих загрузку обновлений и чёрных списков, начиная с Firefox 91.1 в код были внесены изменения c реализацией прямых обращений к серверам загрузки и проверки обновлений, если запрос через прокси оказался неуспешным. Для распространения защиты на пользователей любых версий Firefox подготовлено принудительно устанавливаемое системное дополнение "Proxy Failover", которое предотвращает некорректное использование API Proxy для блокировки сервисов Mozilla. До повсеместного распространения предложенного метода защиты приём в каталог addons.mozilla.org новых дополнений, использующих API Proxy, приостановлен.
Примечательно, что кроме предотвращения получения обновлений версий Firefox в результате деятельности рассматриваемых дополнений также было нарушено обновление удалённо настраиваемых компонентов браузера и закрыт доступ к спискам блокировки, позволявшим отключить уже установленные на системы пользователей вредоносные дополнения. Пользователям рекомендуется проверить текущую версию браузера - если в настройках специально не отключена автоустановка обновлений и версия отличается от Firefox 93 или 91.2 следует выполнить обновление вручную. В новых выпусках Firefox дополнения Bypass и Bypass XM уже включены в чёрный список, поэтому после обновления браузера они будут отключены автоматически.
Для защиты от размещения в будущем вредоносных дополнений, блокирующих загрузку обновлений и чёрных списков, начиная с Firefox 91.1 в код были внесены изменения c реализацией прямых обращений к серверам загрузки и проверки обновлений, если запрос через прокси оказался неуспешным. Для распространения защиты на пользователей любых версий Firefox подготовлено принудительно устанавливаемое системное дополнение "Proxy Failover", которое предотвращает некорректное использование API Proxy для блокировки сервисов Mozilla. До повсеместного распространения предложенного метода защиты приём в каталог addons.mozilla.org новых дополнений, использующих API Proxy, приостановлен.