فایرفاکس

موزیلا روز دوشنبه ۲۵ اکتبر ۲۰۲۱ فاش کرد که دو افزونه‌ی مخرب فایرفاکس را که توسط ۴۵۵٫۰۰۰ کاربر نصب شده بودند، مسدود کرده است و مشخص شد که از API Proxy برای جلوگیری از دانلود به‌روزرسانی‌های این مرورگر سوءاستفاده می‌کنند.

Rachel Tublitz و Stuart Colville از موزیلا دراین‌باره گفتند[۱]: “دو افزونه موردبحث، به نام‌های Bypass و Bypass XM، به نحوی با فایرفاکس تداخل داشتند که از دانلود به‌روزرسانی‌ها، دسترسی به فهرست‌های بلاک‌شده‌ی به‌روزرسانی شده و به‌روزرسانی محتوای پیکربندی‌شده از راه دور توسط کاربرانی که آن‌ها را نصب کرده بودند، جلوگیری می‌کردند”.

ازآنجایی‌که Proxy API می‌تواند برای درخواست‌های وب پراکسی استفاده شود[۲]، سوءاستفاده از API می‌تواند یک مهاجم را قادر سازد تا نحوه‌ی اتصال مؤثر مرورگر فایرفاکس به اینترنت را کنترل کند.

موزیلا علاوه بر مسدود کردن برنامه‌های افزودنی برای جلوگیری از نصب توسط سایر کاربران، اعلام کرد که تأییدیه‌های افزونه‌های جدیدی را که از API پروکسی استفاده می‌کنند تا زمانی که اصلاحات به‌طور گسترده در دسترس قرار گیرند، متوقف می‌کند. علاوه بر این، یک سازمان غیرانتفاعی مستقر در کالیفرنیا اعلام کرد که یک افزونه‌ی سیستمی به نام “Proxy Failover” را پیاده‌سازی کرده است[۳] که با اعمال محدودیت‌های بیشتر برای رسیدگی به این مشکل استفاده می‌شود.

به کاربرانی که افزونه‌های مشکل‌ساز را نصب کرده‌اند توصیه می‌شود با سرفصل کردن بخش افزونه‌ها و جستجوی صریحBypass  یا Bypass XM آن‌ها را حذف کنند[۴].

توسعه‌دهندگان افزونه‌هایی که به استفاده از API پراکسی نیاز دارند نیز باید شروع به گنجاندن کلید «strict_min_version» در فایل‌های manifest.json خود کنند[۵] که نسخه‌های مرورگر فایرفاکس ۹۱٫۱ یا بالاتر را هدف قرار می‌دهند.

منابع

[۱] https://blog.mozilla.org/security/2021/10/25/securing-the-proxy-api-for-firefox-add-on/

[۲] https://developer.mozilla.org/docs/Mozilla/Add-ons/WebExtensions/API/proxy

[۳] https://ftp.mozilla.org/pub/system-addons/proxy-failover

[۴] https://support.mozilla.org/en-US/kb/disable-or-remove-add-ons

[۵] https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/WebExtensions/manifest.json/browser_specific_settings

[۶] https://thehackernews.com/2021/10/malicious-firefox-add-ons-block-browser.html