Mozilla lunedì ha rivelato di aver bloccato due componenti aggiuntivi dannosi per Firefox installati da 455.000 utenti che sono stati trovati a utilizzare in modo improprio l'API Proxy per impedire il download degli aggiornamenti sul browser.
Le due estensioni in questione, denominati Bypass e bypass XM, "interferito con Firefox in modo che gli utenti impedito che li aveva installati da scaricare gli aggiornamenti, l'accesso blocklists aggiornati, e l'aggiornamento dei contenuti configurato da remoto," di Mozilla Rachel Tublitz e Stuart Colville ha detto .
Poiché l'API proxy può essere utilizzata per eseguire il proxy delle richieste Web, un abuso dell'API potrebbe consentire a un malintenzionato di controllare il modo in cui il browser Firefox si connette a Internet in modo efficace.
Oltre a bloccare le estensioni per impedire l'installazione da parte di altri utenti, Mozilla ha affermato che sospenderà le approvazioni per i nuovi componenti aggiuntivi che utilizzano l'API proxy fino a quando le correzioni non saranno ampiamente disponibili. Inoltre, l'organizzazione no-profit con sede in California ha affermato di aver implementato un componente aggiuntivo di sistema denominato " Proxy Failover " che viene fornito con ulteriori mitigazioni per risolvere il problema.
Si consiglia vivamente agli utenti che hanno installato i componenti aggiuntivi problematici di rimuoverli andando nella sezione Componenti aggiuntivi e cercando esplicitamente "Bypass" (ID: 7c3a8b88-4dc9-4487-b7f9-736b5f38b957) o "Bypass XM" (ID: d61552ef-e2a6-4fb5-bf67-8990f0014957).
Gli sviluppatori di componenti aggiuntivi che richiedono l'uso dell'API proxy devono anche iniziare a includere una chiave " strict_min_version " nei file manifest.json destinati alle versioni del browser Firefox 91.1 o successive.
Le due estensioni in questione, denominati Bypass e bypass XM, "interferito con Firefox in modo che gli utenti impedito che li aveva installati da scaricare gli aggiornamenti, l'accesso blocklists aggiornati, e l'aggiornamento dei contenuti configurato da remoto," di Mozilla Rachel Tublitz e Stuart Colville ha detto .
Poiché l'API proxy può essere utilizzata per eseguire il proxy delle richieste Web, un abuso dell'API potrebbe consentire a un malintenzionato di controllare il modo in cui il browser Firefox si connette a Internet in modo efficace.
Oltre a bloccare le estensioni per impedire l'installazione da parte di altri utenti, Mozilla ha affermato che sospenderà le approvazioni per i nuovi componenti aggiuntivi che utilizzano l'API proxy fino a quando le correzioni non saranno ampiamente disponibili. Inoltre, l'organizzazione no-profit con sede in California ha affermato di aver implementato un componente aggiuntivo di sistema denominato " Proxy Failover " che viene fornito con ulteriori mitigazioni per risolvere il problema.
Si consiglia vivamente agli utenti che hanno installato i componenti aggiuntivi problematici di rimuoverli andando nella sezione Componenti aggiuntivi e cercando esplicitamente "Bypass" (ID: 7c3a8b88-4dc9-4487-b7f9-736b5f38b957) o "Bypass XM" (ID: d61552ef-e2a6-4fb5-bf67-8990f0014957).
Gli sviluppatori di componenti aggiuntivi che richiedono l'uso dell'API proxy devono anche iniziare a includere una chiave " strict_min_version " nei file manifest.json destinati alle versioni del browser Firefox 91.1 o successive.
Commenti
Posta un commento