Mozilla zablokovala problémový plug-in Microsoftu pro Firefox (aktualizováno)

20. 10. 2009

Sdílet

Jak jsme již informovali, aktualizace Microsoftu z února loňského roku se automaticky nainstalovala také jako doplněk pro Firefox...

Komponentu NET Framework 3.5 SP1/Windows Presentation Foundation bylo přitom původně z prohlížeče obtížné odstranit.

Viz také: Plug-in Microsoftu ohrožuje uživatele Firefoxu

Navíc se ukázalo, že v této technologii je kritická bezpečnostní chyba. Původně Microsoft tvrdil, že zranitelnost se týká pouze Internet Exploreru, nicméně se ukázalo, že tyto doplňky představují riziko „tichého“ stahování souborů bez vědomí uživatele i v případě Firefoxu. Microsft tuto chybu opravil v poslední dávce záplat (bezpečnostní bulletin MS09-054, viz také Opravy Microsoftu: Windows, Internet Explorer, SMB, GDI, ActiveX, FTP...), nicméně Mozilla nechce spoléhat na to, že si uživatelé Firefoxu tyto opravy nainstalují. Společnost se proto rozhodla oba doplňky přímo zablokovat.

Mozilla používá technologii pro centrální blokování nebezpečných doplňků ve Firefoxu od roku 2007. Dosud k tomuto kroku přistoupila pouze 9krát – loni například byla zakázána podvodná vietnamská lokalizace prohlížeče, která obsahovala malware.

bitcoin_skoleni

Aktualizace: Po 48 hodinách Mozilla zase přestala .NET Framework Assistant, protože po konzultaci s Microsoftem dospěla k závěru, že sám o sobě nelze zneužít jako vektor k útoku. některé firmy si stěžovaly na centrální blokování s tím, že oba doplňky potřebují pro funkčnost svých aplikací. Lze očekávat, že brzy Mozilla povolí i druhý doplněk, Windows Presentation Foundation, neb bude očekávat, že uživatelé si již nainstalovali záplaty Microsoftu.

V budoucích verzích Firefoxu bude změně mechanismus pro ovládání doplňků ze strany uživatele.