У пользователей Firefox массово перестали работать дополнения

В минувшие выходные пользователи Firefox с удивлением обнаружили, что в браузерах всех версий (включая стабильные версии, ночные сборки, а также Tor) внезапно отключились дополнения. Попытки активировать, переустановить или загрузить новые аддоны не давали никаких результатов и заканчивались ошибкой.

Как оказалось, массовый сбой был вызван истечением срока действия сертификата, который использовался для формирования цифровых подписей. Дело в том, что все аддоны для Firefox имеют цифровую подпись, начиная с Firefox 48, вышедшего весной 2016 года. Этот механизм вполне эффективно используется для защиты от вредоносных дополнений, но также он косвенно «привязывает» работу всех аддонов к инфраструктуре Mozilla, так как требует проверки цифровых подписей.

Вначале пострадавшим пользователям предложили очень простые способы обхода проблемы. Например, перевести системное время на любую дату ранее 12:00 UTC 4 мая 2019 года (дата истечения срока сертификата), или открыть about:config, а затем установить значение xpinstall.signatures.required на false, тем самым отказавшись от проверки подписей вообще.

Чуть позже разработчики Mozilla представили хотфикс, который возвращал все отключившиеся аддоны в строй. Однако это решение быстро подверглось критике со стороны ИБ-экспертов. Дело в том, что исправление использовало для «реанимации» дополнений встроенную функцию Firefox Studies. Без этого временный патч попросту не работал. Как отметили многие ИБ-специалисты, включение Firefox Studies означает согласие пользователя на передачу телеметрии Mozilla, и если без этого обязательного условия хотфикс не работает, всё это выглядит не слишком хорошо.

В настоящее время инженеры Mozilla уже выпустили исправленную версию Firefox (66.0.4 для десктопов и Android, а также 60.6.2 для ESR), в которой проблема неработающих аддонов была полностью устранена для всех пользователей. В блоге разработчики отмечают, что им еще предстоит разрешить некоторые баги, однако они спешили представить обновленную версию к понедельнику, чтобы минимизировать и без того многочисленные проблемы, возникшие из-за отключения аддонов.

Говоря о Firefox и дополнениях для него, нельзя не упомянуть и еще одну новость, связанную с ними. На прошлой неделе стало известно, что с 10 июня 2019 года Mozilla ужесточит правила размещения дополнений в официальном каталоге. После указанной даты аддоны, использующие обфускацию кода, будут удаляться из каталога, а новые не будут в него допускаться.

Напомню, что похожие правила с января текущего года применяются для расширений Google Chrome. Разработчики Google объяснили это решение очень просто: по их словам, 70% вредоносных расширений, блокированных компанией в Web Store, использовали определенные методы обфускации кода.

UPD

7 марта 2019 года разработчики Mozilla выпустили Firefox 66.0.5 с дополнительными исправлениями. Кроме того, обновился Tor Browser — версия 8.0.9 так же исправляет проблему с отключившимися аддонами.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)