恶意Firefox插件阻止浏览器下载安全更新

Mozilla周一透露，它阻止了45.5万名用户安装的两个恶意Firefox加载项，这些用户被发现滥用代理API来阻止向浏览器下载更新。

Mozilla的Rachel Tublitz和Stuart Colville说，这两个名为Bypass和Bypass XM的扩展“以某种方式干扰了Firefox，阻止安装它们的用户下载更新、访问更新的区块列表和更新远程配置的内容”。

因为代理API可以用来代理web请求，滥用该API可能会让一个不好的参与者控制Firefox浏览器有效连接互联网的方式。

Mozilla表示，除了阻止扩展以防止其他用户安装之外，它还暂停批准使用代理API的新附加组件，直到修复程序广泛可用。此外，这家总部位于加利福尼亚州的非营利组织表示，他们已经部署了一个名为“代理故障切换”的系统附加组件，该附加组件附带了进一步的缓解措施，以解决这个问题。

强烈建议安装了有问题的附加组件的用户删除这些附加组件，方法是在附加组件部分加上标题，并明确搜索“旁路”（ID:7c3a8b88-4dc9-4487-b7f9-736b5f38b957）或“旁路XM”（ID:d61552ef-e2a6-4fb5-bf67-8990f0014957）。

需要使用代理API的附加组件的开发人员也需要开始在其清单中包含“strict_min_version”密钥。针对Firefox浏览器91.1或更高版本的json文件。