Os add-ons problemáticos usaram indevidamente uma API que controlava como o Firefox se conectava à internet.

A equipe do navegador Firefox da Mozilla reprimiu add-ons maliciosos, bloqueando software com uma base de 455.000 usuários.

Em 25 de outubro, a equipe de desenvolvimento disse que, no início de junho, o Firefox descobriu add-ons que estavam fazendo mau uso da API de proxy do navegador, usada por software para gerenciar como o navegador se conecta à internet.

Complementos são módulos de software que podem ser instalados para personalizar a experiência de navegação do usuário e podem incluir software anti-rastreamento, bloqueadores de anúncios, temas e utilitários.

No entanto, eles também podem se tornar um canal para fins maliciosos, como roubo de dados ou espionagem, um desafio enfrentado por todos os desenvolvedores de navegador.

De acordo com a Mozilla, os add-ons removidos na varredura interferiram na funcionalidade de atualização do navegador; em particular, os usuários não conseguiam baixar atualizações, acessar listas de bloqueio atualizadas ou atualizar o conteúdo do Firefox configurado remotamente.

Os complementos foram bloqueados e a aprovação foi temporariamente pausada para novos envios do desenvolvedor de complementos quando a API de proxy estava em uso para criar e implantar uma correção.

O Firefox, a partir da v.91.1, agora também inclui mudanças para fortalecer o processo de atualização. Um mecanismo de fallback para direcionar conexões para fins de atualização e outras "solicitações importantes" feitas pelo navegador foi implementado, permitindo que os downloads ocorram independentemente de uma configuração de proxy causar ou não problemas de conexão.

O complemento do sistema, "Proxy Failover", foi implantado para usuários do Firefox.

A Mozilla lançou a versão 93 do Firefox no início de outubro. A versão mais recente inclui um novo recurso de descarregamento de guia, a capacidade de bloquear downloads HTTP de páginas da web HTTPS e o fim do suporte padrão para criptografia 3DES.

A Mozilla pediu aos usuários que se certifiquem de que a versão do Firefox está atualizada. Os desenvolvedores que usam a API de proxy estão sendo solicitados a começar a incluir o código "browserspecificsettings": {"gecko": {"strictminversion": "91.1"}} em seus complementos para agilizar revisões futuras.

“Levamos a segurança do usuário muito a sério na Mozilla”, afirma a equipe. "Nosso processo de envio de add-on inclui análises automatizadas e manuais que continuamos a evoluir e melhorar para proteger os usuários do Firefox."

Fonte: ZDNet