Xakep #305. Многошаговые SQL-инъекции
Разработчики Mozilla заблокировали два вредоносных дополнения для Firefox, суммарно установленные примерно 455 000 раз. Обнаружилось, что они злоупотребляли прокси-API и блокировали обновления браузера.
Представители организации сообщают, что аддоны Bypass (ID: 7c3a8b88-4dc9-4487-b7f9-736b5f38b957) и Bypass XM (ID: d61552ef-e2a6-4fb5-bf67-8990f0014957) использовали API для перехвата и перенаправления запросов, тем самым блокируя загрузку обновлений, обновления удаленно настроенного контента и доступ к обновленным черным спискам.
Хотя Mozilla не сообщила, какой еще вредоносной активностью занимались аддоны в фоновом режиме, но издание Bleeping Computer пишет, что они, вероятно, использовали обратный прокси для обхода платного доступа на различных сайтах. Также оба дополнения занесли домен Mozilla в списки платного доступа, что и привело к непреднамеренной блокировке обновлений браузера.
«Чтобы дополнительные пользователи не подверглись воздействию новых дополнений, злоупотребляющих прокси-API, мы приостановили утверждения дополнений, которые используют прокси-API, до тех пор, пока исправления не будут доступны для всех», — заявляют разработчики.
Также в сообщении Mozilla подчеркивается, что, начиная с Firefox 91.1, браузер может вернуться к прямым соединениям, если он делает важный запрос через прокси (например, запрос обновлений) и попытка окачивается неудачей.
«Обеспечение успешного выполнения таких запросов помогает нам доставлять последние важные обновления и средства защиты нашим пользователям», — говорят инженеры компании.
Кроме того, теперь Mozilla развернула в своем браузере скрытый системный аддон Proxy Failover (его нельзя отключить, и он обновляется без перезапуска). Новое дополнение призвано предотвращать попытки вмешательства в механизмы обновления в текущей и более старых версиях Firefox.
Пользователям, которые ранее установили проблемные аддоны, настоятельно рекомендуется удалить их, перейдя в раздел надстроек.