Mozilla's Firefox-browserteam heeft kwaadwillende add-ons aangepakt en software met 455.000 gebruikers geblokkeerd.
Op 25 oktober zei het ontwikkelingsteam dat Firefox begin juni add-ons ontdekte die misbruik maakten van de proxy-API van de browser, die door software wordt gebruikt om te beheren hoe de browser verbinding maakt met internet.
Add-ons zijn softwaremodules die kunnen worden geïnstalleerd om de browse-ervaring van een gebruiker aan te passen en kunnen anti-trackingsoftware, adblockers, thema's en hulpprogramma's bevatten.
Ze kunnen echter ook een kanaal worden voor kwaadaardige doeleinden, zoals gegevensdiefstal of afluisteren, een uitdaging waarmee alle browserontwikkelaars worden geconfronteerd.
Volgens Mozilla hebben de add-ons die tijdens de sweep zijn verwijderd, geknoeid met de updatefunctionaliteit van de browser; in het bijzonder waren gebruikers niet in staat om updates te downloaden, toegang te krijgen tot bijgewerkte blokkeerlijsten of op afstand geconfigureerde Firefox-inhoud bij te werken.
De add-ons zijn geblokkeerd en de goedkeuring is tijdelijk onderbroken voor het indienen van nieuwe add-onontwikkelaars toen de proxy-API in gebruik was om een fix te maken en te implementeren.
Firefox, te beginnen met v.91.1, bevat nu ook wijzigingen om het updateproces te verstevigen. Er is een terugvalmechanisme geïmplementeerd om verbindingen te leiden voor updatedoeleinden en andere “belangrijke verzoeken” die door de browser worden gedaan, waardoor downloads kunnen plaatsvinden, ongeacht of een proxyconfiguratie verbindingsproblemen veroorzaakt.
De systeem-add-on “Proxy Failover” is geïmplementeerd voor Firefox-gebruikers.
Mozilla heeft begin oktober Firefox versie 93 uitgebracht. De nieuwste build bevat een nieuwe functie voor het ontladen van tabbladen, de mogelijkheid om HTTP-downloads van HTTPS-webpagina's te blokkeren en het einde van de standaardondersteuning voor 3DES-codering.
Mozilla heeft er bij gebruikers op aangedrongen ervoor te zorgen dat hun Firefox-versie up-to-date is. Ontwikkelaars die gebruikmaken van de proxy-API wordt gevraagd om de code “browser_specific_settings”: { “gecko”: { “strict_min_version”: “91.1” } } op te nemen in hun add-ons om toekomstige beoordelingen te versnellen.
“We nemen gebruikersbeveiliging zeer serieus bij Mozilla”, zegt het team. “Ons proces voor het indienen van add-ons omvat geautomatiseerde en handmatige beoordelingen die we blijven ontwikkelen en verbeteren om Firefox-gebruikers te beschermen.”
Eerdere en gerelateerde berichtgeving
Firefox 93 komt met ontladen van tabbladen, onveilige downloadblokkeringen en afgedwongen verwijzingsbeperkingen
Mozilla: Superman, Batman, Spider-Man domineren de lijst met wachtwoorden die zijn gelekt bij inbreuken
Mozilla-artiesten vragen zich af of AI politiemoorden kan voorspellen
Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 