Plug-in Microsoftu ohrožuje uživatele Firefoxu

Jeden z doplňků Microsoftu se tiše instaloval i uživatelům Firefoxu a může pro ně představovat bezpečnostní riziko. Microsoft problém připustil; jedná se o jednu z chyb, kterou opravil poslední balík záplat.


Viz také: Opravy Microsoftu: Windows, Internet Explorer, SMB, GDI, ActiveX, FTP...

 

Jeden ze 13 nejnovějších bulletinů zabezpečení od Microsoftu se týká chyby, která se ve skutečnosti nevztahuje jen k Internet Exploreru, ale také k Firefoxu. NET Framework 3.5 SP1 totiž přidával doplněk Windows Presentation Foundation rovněž do Firefoxu.

Doplněk se uživatelům v minulosti (od února loňského roku, kdy byl balíček NET Framework 3.5 SP1 vydán) instaloval jako součást servisního balíčku automaticky v rámci služby Windows Update. Problém byl i v tom, že doplněk po přidání nešel běžnými nástroji z Firefoxu odebrat, alespoň ve všech verzích kromě Windows 7. Jedinou možností byl zásah do registrů Windows. Teprve později Microsoft v reakci na kritiku toto chování změnil, uživatelům Firefoxu se ale za instalaci bez jejich souhlasu neomluvil.

Chyba v doplňku Windows Presentation Foundation pak údajně za určitých podmínek umožňovala podvodným webům instalovat bez souhlasu uživatele do počítače další software přes technologii ClickOnce. Jedná se proto o kritickou chybu, a to nejenom v Internet Exploreru (kde je postižen i nejnovější MSIE 8).

Ti, kdo používají Firefox na Windows a z nějakého důvodu nechtějí instalovat opravu MS09-054 určenou primárně pro Internet Explorer, by si doplněk měli rozhodně odinstalovat.

 

Poznámka: přesněji řečeno se nejedná o plug-in, ale spíše o add-on, ale toto rozlišování se dnes už nepoužívá příliš striktně (původně plug-in, doplněk – nástroj pro zobrazení určitého formátu uvnitř prohlížeče, třeba přehrávač Flash; add-on – přídatná aplikace, zásuvný modul - třeba lišta, panel pro vyhledávání apod.)

 











Komentáře