Les modules complémentaires en question utilisaient une API qui contrôlait la manière dont Firefox se connectait à internet.
L’équipe du navigateur Firefox, de Mozilla, a pris des mesures contre des modules complémentaires malveillants, bloquant au passage un add-on qui compte 455 000 utilisateurs.
Le 25 octobre, l’équipe de développement a annoncé qu’au début du mois de juin, Firefox a découvert des modules complémentaires qui utilisaient abusivement l’API proxy du navigateur. Celle-ci a été utilisée par des logiciels tiers pour gérer la manière dont le navigateur se connecte à internet.
Des add-on qui peuvent être utilisés à des fins malveillantes
Les modules complémentaires (ou add-ons) sont des modules logiciels qui peuvent être installés pour personnaliser l’expérience de navigation d’un utilisateur. Ils peuvent inclure des logiciels anti-traçage, des bloqueurs de publicité, des thèmes et des utilitaires.
Cependant, ils peuvent aussi être utilisés à des fins malveillantes, pour le vol de données ou l’écoute clandestine, un défi auquel sont confrontés tous les développeurs de navigateurs.
Selon Mozilla, les modules complémentaires supprimés dans le cadre de l’opération altéraient la fonctionnalité de mise à jour du navigateur. Les utilisateurs n’étaient pas en mesure de télécharger des mises à jour, d’accéder à des listes de blocage actualisées ou de mettre à jour le contenu de Firefox configuré à distance.
Les add-on concernés ont été bloqués
Ces modules complémentaires ont été bloqués, et l’approbation a été temporairement interrompue pour les soumissions de nouveaux développeurs de modules complémentaires qui utilisaient l’API proxy, dans le cas ou celle-ci était utilisée pour créer et déployer un correctif.
Firefox, depuis la version 91.1, inclut des modifications visant à sécuriser le processus de mise à jour. Un mécanisme de repli pour les connexions directes à des fins de mise à jour et d’autres « demandes importantes » effectuées par le navigateur a été mis en place, permettant aux téléchargements d’avoir lieu, que la configuration du proxy pose ou non des problèmes de connexion.
Le module complémentaire du système, « Proxy Failover », a été déployé pour les utilisateurs de Firefox.
Firefox 93
Mozilla a publié la version 93 de Firefox au début du mois d’octobre. La dernière version comprend une nouvelle fonction de gestion des onglets, la possibilité de bloquer les téléchargements HTTP à partir de pages Web HTTPS et la fin de la prise en charge par défaut du chiffrement 3DES.
Mozilla a demandé aux utilisateurs de s’assurer que leur version de Firefox est à jour. Les développeurs qui utilisent l’API proxy sont invités à inclure le code browser_specific_settings » : { « gecko » : { « strict_min_version » : « 91.1 » } } dans leurs modules complémentaires afin d’accélérer les examens futurs.
« Nous prenons la sécurité des utilisateurs très au sérieux chez Mozilla », explique l’équipe. « Notre processus d’évaluation des add-on comprend des examens automatisés et manuels que nous continuons à faire évoluer et à améliorer, afin de protéger les utilisateurs de Firefox. »
Source : zdnet.com