В минувшие выходные пользователи Firefox с удивлением обнаружили, что в браузерах всех версий (включая стабильные версии, ночные сборки, а также Tor) внезапно отключились дополнения. Попытки активировать, переустановить или загрузить новые аддоны не давали никаких результатов и заканчивались ошибкой.
Как оказалось, массовый сбой был вызван истечением срока действия сертификата, который использовался для формирования цифровых подписей. Дело в том, что все аддоны для Firefox имеют цифровую подпись, начиная с Firefox 48, вышедшего весной 2016 года. Этот механизм вполне эффективно используется для защиты от вредоносных дополнений, но также он косвенно «привязывает» работу всех аддонов к инфраструктуре Mozilla, так как требует проверки цифровых подписей.
Вначале пострадавшим пользователям предложили очень простые способы обхода проблемы. Например, перевести системное время на любую дату ранее 12:00 UTC 4 мая 2019 года (дата истечения срока сертификата), или открыть about:config, а затем установить значение xpinstall.signatures.required на false, тем самым отказавшись от проверки подписей вообще.
Чуть позже разработчики Mozilla представили хотфикс, который возвращал все отключившиеся аддоны в строй. Однако это решение быстро подверглось критике со стороны ИБ-экспертов. Дело в том, что исправление использовало для «реанимации» дополнений встроенную функцию Firefox Studies. Без этого временный патч попросту не работал. Как отметили многие ИБ-специалисты, включение Firefox Studies означает согласие пользователя на передачу телеметрии Mozilla, и если без этого обязательного условия хотфикс не работает, всё это выглядит не слишком хорошо.
The Firefox disabled extensions patch requires the Studies feature to be enabled. However, you can't seem to be able to activate Studies without also allowing Firefox to send telemetry to Mozilla. Not good. pic.twitter.com/mv5k1wtwGf
— Costin Raiu (@craiu) May 5, 2019
В настоящее время инженеры Mozilla уже выпустили исправленную версию Firefox (66.0.4 для десктопов и Android, а также 60.6.2 для ESR), в которой проблема неработающих аддонов была полностью устранена для всех пользователей. В блоге разработчики отмечают, что им еще предстоит разрешить некоторые баги, однако они спешили представить обновленную версию к понедельнику, чтобы минимизировать и без того многочисленные проблемы, возникшие из-за отключения аддонов.
Говоря о Firefox и дополнениях для него, нельзя не упомянуть и еще одну новость, связанную с ними. На прошлой неделе стало известно, что с 10 июня 2019 года Mozilla ужесточит правила размещения дополнений в официальном каталоге. После указанной даты аддоны, использующие обфускацию кода, будут удаляться из каталога, а новые не будут в него допускаться.
Напомню, что похожие правила с января текущего года применяются для расширений Google Chrome. Разработчики Google объяснили это решение очень просто: по их словам, 70% вредоносных расширений, блокированных компанией в Web Store, использовали определенные методы обфускации кода.
UPD
7 марта 2019 года разработчики Mozilla выпустили Firefox 66.0.5 с дополнительными исправлениями. Кроме того, обновился Tor Browser — версия 8.0.9 так же исправляет проблему с отключившимися аддонами.