Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Firefox kills Microsoft add-ons voor .NET en WPF

18-10-2009, 13:31 door Bitwiper, 4 reacties
Mozilla heeft, naar verluidt in overleg met Microsoft [zie http://blog.mozilla.com/security/2009/10/16/net-framework-assistant-blocked-to-disarm-security-vulnerability/), besloten om via de add-on block list van Firefox de volgende add-ons te disablen:

Microsoft .NET Framework Assistant 1.1 (of 3.x)
Windows Presentation Foundation 3.5.30729.1

Het gevolg is dat Firefox gebruikers een popup dialoogbox te zien krijgen, die meldt dat na het herstarten van Firefox bovenstaande add-ons geblokkeerd zullen zijn. Halverwege https://support.mozilla.com/en-US/kb/Add-ons+Blocklist is de Engelstalige variant daarvan te zien, en die pagina beschijft ook het mechanisme achter deze blokkade (de popup is eveneens bovenaan http://forums.mozillazine.org/viewtopic.php?f=7&t=1540495 te zien).

Welke Add-ons momenteel geblokkeerd zijn vind je hier: https://www.mozilla.com/en-US/blocklist/.

Overigens maakt Firefox onderscheid tussen de volgende soorten add-ons:
- Extensions: deze wijzigen het gedrag van Firefox zelf (bijv. .Net Framewordk Assistant, NoScript, AdBlock)
- Plugins: deze handelen specifieke content zelf af zonder diep in de webbrowser in te grijpen (bijv. WPF, Flash, Acrobat)
- Themes: hoe firefox eruit ziet
Reacties (4)
18-10-2009, 14:07 door Bitwiper
Aanvulling: de reden voor het blokkeren van de .NET Framework Assistant en met name WPF lijkt (in elk geval, misschien zijn er meer maar die ben ik nog niet tegengekomen) kwetsbaarheid CVE-2009-2529 (zie http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2529 - maar in die pagina wordt Firefox nog niet genoemd, waarschijnlijk omdat zij de MS09-054 gegevens van Microsoft gekregen hebben) te zijn welke Microsoft heeft gepatched met MS09-054.

Persoonlijk vind ik het schandalig dat Microsoft eerst die .Net extension in Firefox ongevraagd door de strot duwt en geen mogelijkheid biedt deze te de-installeren. Pas na aandringen vanuit de markt heeft Microsoft een de-installatie mogelijkheid aangeboden (zie http://support.microsoft.com/kb/963707) maar veel gewone gebruikers weten de weg daarnaartoe niet te vinden. Op welke wijze de WPF plugin in Firefox terecht is gekomen weet ik niet, maar ik kan me niet herinneren daarmee akkoord te zijn gegaan.

Afgelopen week publiceerde Microsoft MS09-054 (zie http://www.microsoft.com/technet/security/bulletin/ms09-054.mspx) waarin workarounds worden beschreven voor Internet Explorer. In die pagina wordt met geen woord gerept over de risico's die Firefox gebruikers lopen. Pas als je ernaar gaat zoeken vind je de volgende Microsoft blog pagina: http://blogs.technet.com/srd/archive/2009/10/12/ms09-054.aspx:
MS09-054: Extra info on the attack surface for the IE security bulletin
MS09-054 addresses an IE vulnerability (CVE-2009-2529), which was discovered and presented by Mark Dowd, Ryan Smith, and David Dewey at the BlackHat conference in July.
[... een stukje verderop ...]
While the vulnerability is in an IE component, there is an attack vector for Firefox users as well. The reason is that .NET Framework 3.5 SP1 installs a Windows Presentation Foundation plug-in in Firefox, as shown below.
Dit gedrag van Microsoft is onverantwoordelijk en valt gewoon niet goed te praten.
18-10-2009, 15:33 door [Account Verwijderd]
[Verwijderd]
18-10-2009, 16:45 door Anoniem
Volgens mij is dit de plugin, Windows Presentation Foundation 3.5.30729.1 , die bij de extension Microsoft .NET Framework Assistant 1.1 (of 3.x) hoort.

Overigens mooi dat ze dit doen, had 'm zelf al handmatig eraf geflikkerd, als je echt alles kwijt wilt staan hier alle stappen om eer echt vanaf te zijn, want dat MS tooltje doet ook niet alles:
http://technologyexpert.blogspot.com/2009/05/how-to-rid-yourself-of-microsofts.html

Kijk wel uit, via windows update wil dan .net framework 3.5 update erop zetten, omdat ie dan denkt dat ie er nooit heeft opgestaan, deze update zet ook de firefox extensie weer erop, als je dan na het verwijderen ff handmatig naar updates zoekt kan je die update verbergen.

Firefox zal het zelf niet zo grondig verwijderen dus als je echt van die troep af wilt kan je dat doen :)
19-10-2009, 10:34 door spatieman
schandalige shit..
IMHO, lijk het erop dat MS firefox omzeep wil helpen, door te beweren, kijk maar, firefox instaleerd ook dingen die je systeem omzeep helpen, dus stap maar over naar internet explorer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search