Grazie a Microsoft possiamo finalmente vedere all’opera il meccanismo di blocco automatico di plugin ed estensioni. Dal blog di Mike Shaver, VP of Engineering in Mozilla:
I’ve previously posted about the .NET Framework Assistant add-on that was delivered via Windows Update earlier this year. It’s recently surfaced that it has a serious security vulnerability, and Microsoft is recommending that all users disable the add-on.
Because of the difficulties some users have had entirely removing the add-on, and because of the severity of the risk it represents if not disabled, we contacted Microsoft today to indicate that we were looking to disable the extension and plugin for all users via our blocklisting mechanism. Microsoft agreed with the plan, and we put the blocklist entry live immediately. (Some users are already seeing it disabled, less than an hour after we added it!)
Un breve riassunto per chi si fosse perso la questione:
- inizio 2009: Microsoft, attraverso un aggiornamento di .NET framework distribuito su Windows Update, installa un componente aggiuntivo in Firefox. Il metodo di installazione è sostanzialmente quello di un malware: installo software senza chiedere nulla all’utente. Ciliegina sulla torta: il componente aggiuntivo non può essere disinstallato, se non operando su registro e file di sistema (non un’operazione alla portata di tutti).
- Giugno 2009: viene rilasciato un aggiornamento (circa 250MB) che, tra le altre cose, permette all’utente di disinstallare il componente aggiuntivo.
- Ottobre 2009: a quanto pare non c’era solo un componente aggiuntivo (.NET Framework Assistant), ma anche un plugin (Windows Presentation Foundation) che ora risulta affetto da una vulnerabilità critica. In pratica: visitando il sito “giusto” e con il plugin attivo, l’attaccante avrà la possibilità di installare software sulla vostra macchina.
Vedi anche post di Giorgio Maone, autore di NoScript:
The Windows Presentation Foundation plugin enables “XAML Browser Applications” (XBAPs) to run into your browser. Ironically, this appears to be Microsoft’s late equivalent of Java Applets, with some ActiveX scent as a bonus (native code). Talk about lesson learned…
Come proteggersi? Verificate in Strumenti->Componenti aggiuntivi, pannello Plugin, che il plugin Windows Presentation Foundation sia disattivato. Se non lo è, selezionatelo e fate clic sul pulsante Disattiva.
Una considerazione a margine: Firefox mette a disposizione dei meccanismi per l’installazione invisibile (silent install) di componenti aggiuntivi, considerato il comportamento di molti produttori (vedi anche AVG) sarebbe il caso di ripensare questa strategia.
Se hai qualcosa da aggiungere....
Devi essere registrato per inserire un commento.