Кампанія Mozilla папярэдзіла аб узнікненні масавых праблем з дапаўненнямі да Firefox. Ва ўсіх карыстальнікаў браўзэра дапаўненні апынуліся заблакаванымі з-за заканчэння часу жыцця прамежкавага сертыфіката, які ўжываецца ў ланцужку фарміравання лічбавых подпісаў. Акрамя таго, адзначаецца немагчымасць ўстаноўкі новых дапаўненняў з афіцыйнага каталога AMO (Addons.mozilla.org).
Выхад з сітуацыі, якая склалася пакуль не знойдзены , Распрацоўшчыкі Mozilla абдумваюць магчымыя варыянты выпраўлення і пакуль абмежаваліся толькі агульным пацвярджэннем гэтай сітуацыі. Згадваецца толькі, што дапаўненні сталі неактыўныя пасля наступлення 0 гадзін (UTC) 4 траўня. Сертыфікат павінен быў абнавіцца тыдзень таму, але па нейкіх прычынах гэтага не адбылося і дадзены факт застаўся незаўважаным. Зараз праз некалькі хвілін пасля запуску браўзэра выводзіцца папярэджанне аб адключэнні дапаўненняў з-за праблем з лічбавым подпісам і дапаўненні знікаюць з спісу. Праверка лічбавага подпісу ажыццяўляецца раз у суткі ці пасля запуску браўзэра, таму ў даўно запушчаных экземплярах Firefox дапаўненні могуць адключыцца не адразу.
У якасці абыходнага шляху для аднаўлення доступу да дапаўненням карыстачам Linux можна адключыць праверку лічбавай подпісы праз ўстаноўку ў about: config зменнай "xpinstall.signatures.required" у значэнне "false". Дадзены метад для стабільных і бэта-выпускаў працуе толькі ў Linux і Android, для Windows і macOS падобная маніпуляцыя магчымая толькі ў начных зборках і ў версіі для распрацоўнікаў (Developer Edition). Як варыянт таксама можна змяніць значэнне сістэмных гадзін на час да заканчэння тэрміну дзеяння сертыфіката, тады вернецца магчымасць ўстаноўкі дапаўненняў з каталога AMO, але ўжо ўсталяваная пазнака адключэння не здымаецца.
Нагадаем, што абавязковая праверка дапаўненняў Firefox па лічбавым подпісам была ўкаранёна у красавіку 2016 года. На думку Mozilla праверка па лічбавага подпісу дазваляе блакаваць распаўсюд шкодных і шпионящих за карыстальнікамі дапаўненняў. Некаторыя распрацоўшчыкі дапаўненняў не згодныя з такой пазіцыяй і лічаць, што механізм абавязковай праверкі па лічбавай подпісы толькі стварае складанасці для распрацоўшчыкаў і прыводзіць да павелічэння часу давядзення да карыстальнікаў карэкціруючых выпускаў, ніяк не ўплываючы на бяспеку. Існуе мноства трывіяльных і відавочных прыёмаў для абыходу сістэмы аўтаматызаванай праверкі дапаўненняў, якія дазваляюць непрыкметна ўставіць шкоднасны код, напрыклад, праз фарміраванне аперацыі на ляту шляхам злучэння некалькіх радкоў з наступным выкананнем выніковай радкі выклікам eval. Пазіцыя Mozilla зводзіцца да таго, што большасць аўтараў шкоднасных дапаўненняў гультаяватыя і не будуць звяртацца да падобных тэхнікам ўтойвання шкоднаснай актыўнасці.
Дадатак 1: Распрацоўнікі Mozilla паведамілі аб пачатку тэставання выпраўлення, якое ў выпадку паспяховай праверкі ў хуткім часе будзе даведзена да карыстальнікаў (рашэнне аб ужыванні прапанаванага выпраўлення яшчэ не прынята). Да прымянення выпраўлення фарміраванне лічбавых подпісаў для новых дапаўненняў адключана.
Дадатак 2: У 13:50 (MSK) пачалося распаўсюджванне выпраўлення, на баку карыстальнікаў вяртае ў строй адключыў дапаўненні. Выпраўленне будзе аўтаматычна загружана і ўжыта на працягу некалькіх гадзін. Для Firefox ESR і Firefox для Android выпраўленне пакуль ня сфармавана . Таксама могуць быць праблемы з дастаўкай выпраўленні ў зборкі Firefox, устаноўленыя з пакетаў ў дыстрыбутывах.
Для паскарэння дастаўкі выпраўленне аформлена ў выглядзе праводзяцца сярод карыстальнікаў "даследаванняў" (варта перайсці ў раздзел "Firefox Preferences -> Privacy & Security -> Allow Firefox to install and run studies" і пераканацца, што падтрымка даследаванняў ўключаная, а таксама ў "about: studies "праверыць, што актыўна даследаванне hotfix-update-xpi-signing-intermediate-bug-1548973. Пасля ўжывання выпраўлення падтрымку даследаванняў можна зноў адключыць. У далейшым плануецца падрыхтаваць і звычайнае абнаўленне, якое распаўсюджваецца праз штатную сістэму дастаўкі абнаўленняў.
Дадатак 3: Выпраўленне з абноўленым сертыфікатам можна ўсталяваць ўручную , Для гэтага варта загрузіць XPI і ўсталяваць яго з лакальнага файла (клікнуць на шасцярэньку ў верхняй правай частцы мэнэджара дапаўненняў і выбраць "Install Add-on from File ...").
Дадатак 4: Праблема таксама адбілася на карыстачах Tor Browser, у якіх адключылася якое пастаўляецца ў камплекце дадатак NoScript, падпісанае лічбавым подпісам Mozilla. Для аднаўлення працы NoScript распрацоўшчыкі Tor рэкамендавалі часова ўсталяваць наладу xpinstall.signatures.required = false ў about: config да таго як будзе дастаўлена выпраўленне.
Дадатак 5: Для карыстальнікаў Firefox 56.0.2 і больш старых выпускаў, не ўключаюць normandy (Кампанент для падтрымкі даследаванняў, правядзення апытання і пазапланавай актывацыі новых магчымасцяў), на Reddit.com прапанавана вырашэнне праблемы шляхам здабывання сертыфіката з названага вышэй выпраўлення . Пасля здабывання сертыфіката, яго варта запісаць у pem-файл і імпартаваць праз дыялог "Options / Privacy & Security / Certifcates / View Certifcates / Authorities / Import";
Дадатак 6: Апублікаваныя паўнавартасныя карэкціруючыя выпускі Firefox 66.0.4 і 60.6.2 ESR , У якіх прапанавана выпраўленне для замены пратэрмінаванага сертыфіката і аднаўлення адключаных дапаўненняў. Тым не менш, адзначаецца наяўнасць некалькіх нявырашаных пабочных эфектаў:
- Некаторыя дапаўненні, напрыклад Epubreader, не аднаўляюцца у about: addons пасля абнаўленні сертыфіката або застаюцца ў стане непадтрымоўваных (unsupported). Праблема тычыцца дапаўненняў без ідэнтыфікатара ў файле manifest.json, якія выдаляліся пры памылцы праверкі лічбавай подпісы. У гэтым выпадку рэкамендавана пераўсталяваць дадатак (дадзеныя адновяцца, бо яны застаюцца ў каталогу з профілем);
- назіраецца страта дадзеных і налад у дапаўненнях, якія выкарыстоўваюць функцыянальнасць кантэкстных кантэйнераў (Containers), напрыклад, у дадатках Multi-Account Containers і Facebook Container. карыстальнікам рэкамендавана з нуля пераналадзіць дапаўненні ў about: addons;
- не аднаўляюцца тэмы афармлення. карыстальнікам рэкамендавана паўторна ўсталяваць іх з addons.mozilla.org ;
- скідаюцца у значэнні па змаўчанні змененыя дапаўненнямі налады хатняй старонкі і пошукавых рухавічкоў. Карыстачу патрабуецца зноўку наладзіць хатнюю старонку і пошукавы рухавічок.
крыніца: http://www.opennet.ru/opennews/art.shtml?num=50623
Shtml?