компанія Mozilla попередила про виникнення масових проблем з доповненнями до Firefox. У всіх користувачів браузера доповнення виявилися заблокованими через закінчення часу життя проміжного сертифіката, який застосовується в ланцюжку формування цифрових підписів. Крім того, відзначається неможливість установки нових доповнень з офіційного каталогу AMO (Addons.mozilla.org).
Вихід з ситуації, що склалася поки НЕ знайдений , Розробники Mozilla обмірковують можливі варіанти виправлення і поки обмежилися лише загальними підтвердженням цієї ситуації. Згадується лише, що доповнення стали неактивні після настання 0 годин (UTC) 4 травня. Сертифікат повинен був оновитися тиждень тому, але з якихось причин цього не сталося і даний факт залишився непоміченим. Тепер через кілька хвилин після запуску браузера виводиться попередження про відключення доповнень через проблеми з цифровим підписом і доповнення зникають зі списку. Перевірка цифрового підпису здійснюється раз на добу або після запуску браузера, тому в давно запущених примірниках Firefox доповнення можуть відключитися не відразу.
Як обхідного шляху для відновлення доступу до додатків користувачам Linux можна відключити перевірку цифрового підпису через установку в about: config змінної "xpinstall.signatures.required" в значення "false". Даний метод для стабільних і бета-випусків працює тільки в Linux і Android, для Windows і macOS подібна маніпуляція можлива тільки в нічних збірках і в версії для розробників (Developer Edition). Як варіант також можна змінити значення системних годин на час до закінчення терміну дії сертифіката, тоді повернеться можливість установки доповнень з каталогу AMO, але вже встановлена мітка відключення не знімається.
Нагадаємо, що обов'язкова перевірка доповнень Firefox по цифрових підписів була впроваджена в квітні 2016 року. На думку Mozilla перевірка по цифрового підпису дозволяє блокувати поширення шкідливих і шпигують за користувачами доповнень. Деякі розробники додатків не згодні з такою позицією і вважають, що механізм обов'язкової перевірки по цифрового підпису лише створює складності для розробників і призводить до збільшення часу доведення до користувачів коригувальних випусків, ніяк не впливаючи на безпеку. Існує безліч тривіальних і очевидних прийомів для обходу системи автоматизованої перевірки доповнень, що дозволяють непомітно вставити шкідливий код, наприклад, через формування операції на льоту шляхом з'єднання декількох рядків з подальшим виконанням результуючого рядка викликом eval. позиція Mozilla зводиться до того, що більшість авторів шкідливих доповнень ліниві і не будуть вдаватися до подібних технікам приховування шкідливої активності.
Додаток 1: Розробники Mozilla повідомили про початок тестування виправлення, яке в разі успішної перевірки незабаром буде доведено до користувачів (рішення про застосування запропонованого виправлення ще не прийнято). До застосування виправлення формування цифрових підписів для нових доповнень відключено.
Додаток 2: О 13:50 (MSK) почалося поширення виправлення, на стороні користувачів повертає до ладу відключити доповнення. Виправлення буде автоматично завантажено та застосовано протягом декількох годин. Для Firefox ESR і Firefox для Android виправлення поки не сформований . Також можуть бути проблеми з доставкою виправлення в збірки Firefox, встановлені з пакетів в дистрибутивах.
Для прискорення доставки виправлення оформлено у вигляді проведених серед користувачів "досліджень" (слід перейти в розділ "Firefox Preferences -> Privacy & Security -> Allow Firefox to install and run studies" і переконатися, що підтримка досліджень включена, а також в "about: studies "перевірити, що активно дослідження hotfix-update-xpi-signing-intermediate-bug-1548973. Після застосування виправлення підтримку досліджень можна знову відключити. надалі планується підготувати і звичайне оновлення, яке розповсюджується через штатну систему доставки оновлень.
Додаток 3: Виправлення з оновленим сертифікатом можна встановити вручну , Для цього слід завантажити XPI і встановити його з локального файлу (клікнути на шестірню у верхній правій частині менеджера доповнень і вибрати "Install Add-on from File ...").
Додаток 4: Проблема також відбилася на користувачах Tor Browser, у яких відключилася поставляється в комплекті доповнення NoScript, підписана цифровим підписом Mozilla. Для відновлення роботи NoScript розробники Tor рекомендували тимчасово встановити настройку xpinstall.signatures.required = false в about: config до того як буде доставлено виправлення.
Додаток 5: Для користувачів Firefox 56.0.2 і більш старих випусків, що не включають normandy (Компонент для підтримки досліджень, проведення опитування і позапланової активації нових можливостей), на Reddit.com запропоновано вирішення проблеми шляхом вилучення сертифікату із зазначеного вище виправлення . Після вилучення сертифікату, його слід записати в pem-файл і імпортувати через діалог "Options / Privacy & Security / Certifcates / View Certifcates / Authorities / Import";
Додаток 6: Опубліковані повноцінні коригувальні випуски Firefox 66.0.4 і 60.6.2 ESR , В яких запропоновано виправлення для заміни простроченого сертифікату та відновлення відключених доповнень. Проте, відзначається наявність декількох невирішених побічних ефектів:
- Деякі доповнення, наприклад Epubreader, не відновлюються в about: addons після оновленні сертифіката або залишаються в стані підтримуються (unsupported). Проблема стосується доповнень без ідентифікатора в файлі manifest.json, які віддалялися при помилку перевірки цифрового підпису. В цьому випадку рекомендовано перевстановити додаток (дані відновляться, так як вони залишаються в каталозі з профілем);
- спостерігається втрата даних і налаштувань в додатках, що використовують функціональність контекстних контейнерів (Containers), наприклад, в доповненнях Multi-Account Containers і Facebook Container. користувачам рекомендовано з нуля переналаштувати доповнення в about: addons;
- Чи не відновлюються теми оформлення. користувачам рекомендовано повторно встановити їх з addons.mozilla.org ;
- скидаються в значення за замовчуванням змінені доповненнями установки домашньої сторінки пошукові та. Користувачеві потрібно заново налаштувати домашню сторінку і пошуковий движок.
джерело: http://www.opennet.ru/opennews/art.shtml?num=50623
Shtml?