Malware řádil mezi doplňky pro Firefox. Dvojice doplňků Bypass a Bypass XM používala API proxy k zachycování komunikace, přesměrování požadavků a tím i k blokování aktualizací prohlížeče. Dále mohla přistupovat k seznamu blokovaných stránek a aktualizovat obsah, jenž byl v prohlížeči nastavován vzdáleně.
Doplňky si nainstalovalo 455 tisíc lidí, na zneužívání API Mozilla přišla začátkem června. Teď už jsou zablokované, takže by neměly být aktivní a nelze je nainstalovat. Proces schvalování nových doplňků Mozilla pozastavila, dokud nepředstaví řešení, aby k podobné situaci již znovu nedošlo.
Počínaje Firefoxem 91.1, který byl uvolněn 7. září, prohlížeč v případě, že selže spojení přes proxy (a nepodaří se např. stáhnout bezpečnostní aktualizaci), se pokusí navázat přímé spojení bez proxy. Dále vývojový tým připravil zvláštní doplněk, který může být v případě potřeby nainstalovaný vzdáleně a uživatelsky neviditelný.
Nazývá se Proxy Failover, jeho identifikátor je proxy-failover@mozilla.com a obsahuje blíže nespecifikované úpravy proti podobnému zneužívání. Mozilla ho doručila do jak aktuálního, tak starších vydání Firefoxu. Výrobce z hlediska prevence doporučuje, abyste prohlížeč udržovali aktuální a měli zapnutý antimalwarový program Defender ve Windows.
Je vaše instalace infikovaná? Ověřte si to
Pakliže nemáte aktuální Firefox, měli byste ho zaktualizovat. Pokud všechno selže, můžete buď resetovat uživatelský profil, nebo stáhnout instalační program z oficiálního webu. Seznam blokovaných doplňků se aktualizuje sám, pokud k tomu ale nedojde, problematické doplňky odstraníte manuálně.
Obsahuje-li vaše instalace uvedené škodlivé doplňky, si ověřte na stránce about:support. Hledejte je podle názvu, případně podle ID (za spojovníkem):
- Bypass – {7c3a8b88-4dc9-4487-b7f9-736b5f38b957}
- Bypass XM – {d61552ef-e2a6-4fb5-bf67-8990f0014957}
ID by mělo sedět, v opačném případě můžete z prohlížeče odstranit nevinný doplněk. Pro odstranění jděte do hlavní nabídky Firefoxu, kde klepněte na Doplňky a vzhledy (případně rovnou zmáčkněte Ctrl+Shift+A). V sekci Rozšíření najděte škodlivé položky a odeberte je přes kontextovou nabídku, již vyvoláte tlačítkem se třemi tečkami.
Zdroje: Firefox ESR Release Notes | Mozilla Security Blog via BleepingComputer
