10月25日, Mozilla 開發團隊官方博客表示,今年 6 月份,他們就發現了有擴展程式(Add-ons)在濫用 Firefox 瀏覽器的 Proxy API,該 API 主要用于管理瀏覽器與互聯網的連接方式,
瀏覽器的擴展程式是可以安裝的程式模塊,通過這些擴展程式可以豐富瀏覽器功能,可以提升用戶使用體驗,據了解,這些擴展通常包括反跟蹤軟體、廣告攔截、瀏覽器開發工具和文章剪藏等實用工具,
多達45萬人受影響
盡管擴展程式是擴展和自定義 Firefox 的強大方式,但是仍有部分擴展程式存在竊取用戶資料的安全問題,以及阻止用戶瀏覽器正常作業的惡意行為,
據 Mozilla 開發團隊官方公開資料顯示,此次發現的擴展程式名為 Bypass 和 Bypass XM,黑客使用 Proxy API 攔截并重定向網路請求從而篡改了瀏覽器的更新功能,阻止了用戶下載更新、更新遠程配置的內容,以及訪問更新的阻止串列,
換句話說,此次發現的擴展程式會利用該 API 阻止 Firefox 更新,通過使用反向代理來繞過部分網站的付費內容,據 Mozilla 開發團隊猜測黑客可能 Mozilla 的域名放在了需要反向代理的串列中,導致無意間阻止了瀏覽器更新,根據此次調查發現受影響的用戶超過 45 萬人,
對于普通用戶,接下來應該怎么做?
為了防止更多的用戶受到擴展程式濫用 Proxy API 的影響,Mozilla 目前已經暫停了對使用 Proxy API 的擴展的審核,直到為所有用戶提供修復方法后才會重新開放審核,
Mozilla 開發團隊認為把 Firefox 瀏覽器更新到最新版本是一個最好辦法,如果用戶使用的是 Windows 系統,那么Microsoft Defender也可以幫助用戶解決這個煩惱,
除此之外,Mozilla 開發團隊還給出了以下解決方案,
首先,用戶需要檢查自己正在運行的 Firefox 瀏覽器版本,如果用戶使用的是 Firefox 93或者 Firefox ESR 91.2版本,因為最新版本的 Firefox 瀏覽器可自動禁用惡意加載項,
如果檢查運行的瀏覽器不是最新版本,并且沒有禁用更新,用戶可能需要檢查自己瀏覽器是否受到此問題的影響,然后嘗試更新 Firefox,如果這些方法都不起作用,有下面幾種方法可以解決此問題:
- 搜索有問題的附加組件并將其洗掉,
- 訪問故障排除資訊頁面,
- 在附加組件部分,搜索以下條目之一:
名稱:Bypass
ID:{7c3a8b88-4dc9-4487-b7f9-736b5f38b957}
名稱:Bypass XM
ID:{d61552ef-e2a6-4fb5-bf67-8990f0014957}
用戶需要確保 ID 與使用這些名稱或類似名稱的其他不相關加載項完全匹配,如果這些 ID 均未顯示在串列中,那么該瀏覽器就不會受到影響,
如果用戶找到這些匹配項,可以按照這些說明洗掉加載項,
如果以上方法都沒用,用戶只能重新下載最新版本的 Firefox 瀏覽器,
Firefox 插件開發人員,又該怎么做?
看到這里,有些讀者肯定會問,對于普通用戶而言,大不了重新下載一個 Firefox 瀏覽器,那么作為 Firefox 插件開發人員,應該怎么做?
據了解,Mozilla 官方要求所有需要代理 API 的開發人員,在他們的 manifest.json 檔案中包含一個strict_min_version鍵,目標是“91.1”或更高版本,如下例所示:
“browser_specific_settings”:
{ “gecko”:
{ “strict_min_version”:
“91.1” }
}
在博客最后,Mozilla 開發團隊表示: Mozilla 非常重視用戶安全,他們會不斷改進和改進以保護 Firefox 用戶,如果用戶發現了一些安全漏洞,也可以通過他們的錯誤賞金計劃進行報告,
對此,你怎么看?歡迎留言評論,
參考鏈接:https://blog.mozilla.org/security/2021/10/25/securing-the-proxy-api-for-firefox-add-ons/
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/344302.html
標籤:其他
上一篇:回圈陳述句小結
下一篇:個性化頭像生成——微信小程式開發