Récemment Mozilla a fait une déclaration dans laquelle il a mis en garde contre d'énormes problèmes avec les modules complémentaires pour Firefox. Eh bien, en quelques heures, de nombreux utilisateurs ont commencé à se rendre compte que les modules complémentaires du navigateur étaient bloqués.
Ceci est dû au fait comme expliqué par Mozilla dans sa déclaration à l'expiration du certificat utilisé pour générer des signatures numériques. De plus, l'impossibilité d'installer de nouveaux add-ons du catalogue officiel AMO (addons.mozilla.org).
Face au grand problème qui s'est posé, le Les développeurs de Mozilla ont commencé à réfléchir à des solutions possibless et jusqu'à présent se sont limités à une confirmation générale de la situation.
Il est seulement mentionné que Les plugins sont devenus inactifs après le début de 0 heure (UTC) le 4 mai. Le certificat aurait dû être mis à jour il y a une semaine, mais pour une raison quelconque, cela ne s'est pas produit et ce fait est passé inaperçu.
Maintenant, quelques minutes après le démarrage du navigateur, un avertissement concernant la désactivation des plugins s'affiche en raison de problèmes de signature numérique et des modules complémentaires disparaissent de la liste.
Les signatures numériques sont vérifiées une fois par jour ou après le démarrage du navigateur, de sorte que les modules complémentaires ne peuvent pas être immédiatement désactivés sur les instances Firefox de longue durée.
Pourquoi un certificat Mozilla est-il nécessaire?
Tout ce problème est survenu parce que vérification obligatoire du plug-in Firefox utilisant des signatures numériques a été introduit en avril 2016.
Selon Mozilla, un chèque signature numérique vous permet de bloquer la distribution de modules complémentaires malveillants et de logiciels espions.
Certains développeurs de plugins ne sont pas d'accord avec cette position et estiment que le mécanisme de vérification obligatoire de la signature numérique ne crée que des difficultés pour les développeurs et conduit à une augmentation du temps de communication des versions correctives aux utilisateurs sans affecter la sécurité.
Il existe de nombreuses techniques simples et évidentes pour contourner le système de vérification automatisé des plugins qui vous permettent d'insérer de manière transparente une personne malveillante injectant du code malveillant, par exemple en effectuant une opération à la volée en connectant plusieurs lignes, puis en exécutant la ligne. Résultant en appeler eval.
Pourtant, la position de Mozilla se résume au fait que la plupart des auteurs de modules complémentaires malveillants sont paresseux et ne recourront pas à des techniques similaires pour masquer les activités malveillantes.
Des solutions possibles?
Comme solution de contournement pour renouveler l'accès aux modules complémentaires pour Utilisateurs LinuxCes peut désactiver la vérification de la signature numérique définition de la variable "Xpinstall.signatures.required" dans à propos de: config un «non«.
Cette méthode pour les versions stables et bêta ne fonctionne que sur Linux et Android, pour Windows et macOS, une telle manipulation cela n'est possible que dans les versions nocturnes de Firefox et dans la version pour les développeurs (Developer Edition).
Alternativement, vous pouvez également modifier la valeur de l'horloge système pendant un certain temps avant l'expiration du certificat, alors l'option d'installation des plugins du catalogue AMO sera retournée, mais la balise de déconnexion déjà définie ne sera pas supprimée.
Rapports sur le suivi des rapports de Mozilla
Pendant la période au cours de laquelle le problème a été généré, les développeurs de Mozilla ont annoncé le début de l'un des nombreux tests, dans lequel il pourrait s'agir d'une solution possible qui, si elle est vérifiée avec succès, sera bientôt communiquée aux utilisateurs (décision d'application la solution proposée n'a pas encore été faite).
La génération de signature numérique pour les nouveaux compléments est désactivée jusqu'à ce que le correctif soit appliqué.
A 13h50 (MSK), la distribution de la solution a commencé, côté utilisateur qui renvoie les plugins désactivés. La solution sera automatiquement téléchargée via le système de mise à jour et appliquée en quelques heures.
Pour accélérer la livraison du correctif, il est également conçu comme une «recherche» effectuée parmi les utilisateurs pour l'activer, l'utilisateur doit se rendre dans la section «Préférences de Firefox -> Confidentialité et sécurité -> Autoriser Firefox à installer et exécuter études »(« Préférences de Firefox -> Confidentialité et sécurité -> Autoriser Firefox à installer et exécuter des études »).
Cette solution a fonctionné pour moi tout de suite. Le patch doit être téléchargé avec un autre navigateur. Ensuite, il est déplacé vers la fenêtre des modules complémentaires de Firefox et le problème est résolu.
https://www.youtube.com/watch?v=wJqiUb9WriM