Mozilla 인증서 만료로 인해 Firefox 추가 기능이 비활성화 됨

최근에 Mozilla는 애드온에 대한 막대한 문제를 경고하는 성명을 발표했습니다. Firefox 용. 글쎄, 몇 시간 만에 많은 사용자가 브라우저 추가 기능이 차단되었음을 인식하기 시작했습니다.

이 때문입니다 Mozilla의 성명서에 설명 된대로 디지털 서명을 생성하는 데 사용되는 인증서가 만료되면 또한 공식 AMO 카탈로그에서 새 추가 기능을 설치할 수 없습니다 (addons.mozilla.org).

발생한 큰 문제에 직면하여 Mozilla 개발자는 가능한 솔루션을 고려하여 작업하기 시작했습니다.s 및 지금까지 상황에 대한 일반적인 확인으로 제한되었습니다.

단지 언급 플러그인은 0 월 4 일 XNUMX 시간 (UTC)이 시작된 후 비활성화되었습니다. 인증서는 일주일 전에 업데이트 되었어야했지만 어떤 이유로 든 이런 일이 발생하지 않았고이 사실이 눈에 띄지 않았습니다.

이제 브라우저가 시작되고 몇 분 후에 플러그인 비활성화에 대한 경고가 표시됩니다. 디지털 서명 문제 및 추가 기능으로 인해 목록에서 사라집니다.

디지털 서명은 하루에 한 번 또는 브라우저가 시작된 후에 확인되므로 수명이 긴 Firefox 인스턴스에서 애드온을 즉시 비활성화 할 수 없습니다.

Mozilla 인증서가 필요한 이유는 무엇입니까?

이 모든 문제는 필수 플러그인 확인 디지털 서명을 사용하는 Firefox 2016 년 XNUMX 월에 소개되었습니다.

Mozilla에 따르면 수표 전자 서명 악성 애드온 및 스파이웨어의 배포를 차단할 수 있습니다.

일부 플러그인 개발자는이 입장에 동의하지 않으며 필수 디지털 서명 확인 메커니즘이 개발자에게 어려움을 줄뿐 보안에 영향을주지 않고 수정 버전의 통신 시간을 사용자에게 늘릴 수 있다고 믿습니다.

자동화 된 플러그인 검사 시스템을 우회하여 악성 코드를 주입하는 악의적 인 사람을 원활하게 삽입 할 수있는 사소하고 분명한 기법이 많이 있습니다. 예를 들어 여러 라인을 연결 한 다음 라인을 실행하여 즉석 작업을 수행합니다. eval을 호출합니다.

그러나 Mozilla의 입장은 대부분의 악의적 인 애드온 작성자가 게으르고 악의적 인 활동을 숨기기 위해 유사한 기술에 의존하지 않는다는 사실에 있습니다.

가능한 해결책?

에 대한 추가 기능에 대한 액세스를 갱신하기위한 해결 방법 Linux 사용자, 이것들 디지털 서명 확인을 비활성화 할 수 있습니다. 변수 설정 "Xpinstall.signatures.required"에 약 : 설정 «그릇된".

안정적인 베타 버전에 대한이 방법은 Linux 및 Android에서만 작동합니다. 파라 Windows 및 macOS, 그러한 조작 firefox nightly 버전에서만 가능합니다. 개발자 용 버전 (Developer Edition).

또는 인증서가 만료되기 전에 시스템 시계의 값을 변경할 수도 있습니다. 그런 다음 AMO 카탈로그에서 플러그인을 설치하는 옵션이 반환되지만 이미 설정된 연결 해제 태그는 제거되지 않습니다.

Mozilla 보고서 추적에 대한 보고서

문제가 발생한 기간 동안 Mozilla 개발자는 여러 테스트 중 하나의 시작을 발표했습니다.이 테스트에서 성공적으로 확인되면 곧 사용자에게 전달 될 수있는 가능한 솔루션이 될 수 있습니다 (적용 결정). 제안 된 해결책은 아직 만들어지지 않았습니다).

수정 사항이 적용될 때까지 새 추가 기능에 대한 디지털 서명 생성이 비활성화됩니다.

---

13:50 (MSK)에 비활성화 된 플러그인을 반환하는 사용자 측에서 솔루션 배포가 시작되었습니다. 솔루션은 업데이트 제공 시스템을 통해 자동으로 다운로드되고 몇 시간 내에 적용됩니다.

---

패치의 전달 속도를 높이기 위해,이 기능을 활성화하기 위해 사용자간에 수행되는 "연구"로 설계되었습니다. 사용자는 "Firefox 환경 설정-> 개인 정보 및 보안-> Firefox 설치 및 실행 허용 섹션으로 이동해야합니다. 연구”( "Firefox 기본 설정-> 개인 정보 및 보안-> Firefox에서 연구를 설치하고 실행하도록 허용").