Grazie a Microsoft possiamo finalmente vedere all’opera il meccanismo di blocco automatico di plugin ed estensioni. Dal blog di Mike Shaver, VP of Engineering in Mozilla:

I’ve previously posted about the .NET Framework Assistant add-on that was delivered via Windows Update earlier this year. It’s recently surfaced that it has a serious security vulnerability, and Microsoft is recommending that all users disable the add-on.

Because of the difficulties some users have had entirely removing the add-on, and because of the severity of the risk it represents if not disabled, we contacted Microsoft today to indicate that we were looking to disable the extension and plugin for all users via our blocklisting mechanism. Microsoft agreed with the plan, and we put the blocklist entry live immediately. (Some users are already seeing it disabled, less than an hour after we added it!)

Un breve riassunto per chi si fosse perso la questione:

  • inizio 2009: Microsoft, attraverso un aggiornamento di .NET framework distribuito su Windows Update, installa un componente aggiuntivo in Firefox. Il metodo di installazione è sostanzialmente quello di un malware: installo software senza chiedere nulla all’utente. Ciliegina sulla torta: il componente aggiuntivo non può essere disinstallato, se non operando su registro e file di sistema (non un’operazione alla portata di tutti).
  • Giugno 2009: viene rilasciato un aggiornamento (circa 250MB) che, tra le altre cose, permette all’utente di disinstallare il componente aggiuntivo.
  • Ottobre 2009: a quanto pare non c’era solo un componente aggiuntivo (.NET Framework Assistant), ma anche un plugin (Windows Presentation Foundation) che ora risulta affetto da una vulnerabilità critica. In pratica: visitando il sito “giusto” e con il plugin attivo, l’attaccante avrà la possibilità di installare software sulla vostra macchina.

Vedi anche post di Giorgio Maone, autore di NoScript:

The Windows Presentation Foundation plugin enables “XAML Browser Applications” (XBAPs) to run into your browser. Ironically, this appears to be Microsoft’s late equivalent of Java Applets, with some ActiveX scent as a bonus (native code). Talk about lesson learned…

Come proteggersi? Verificate in Strumenti->Componenti aggiuntivi, pannello Plugin, che il plugin Windows Presentation Foundation sia disattivato. Se non lo è, selezionatelo e fate clic sul pulsante Disattiva.

Una considerazione a margine: Firefox mette a disposizione dei meccanismi per l’installazione invisibile (silent install) di componenti aggiuntivi, considerato il comportamento di molti produttori (vedi anche AVG) sarebbe il caso di ripensare questa strategia.


10 commenti/trackback a “Microsoft, giù le mani da Firefox”

  1. Giuliano scrive:

    Interessante però anche questa domanda posta a Mozilla. Anche certe ampiamente estensioni riconosciute come dannose dovrebbero essere bloccate automaticamente.

  2. flod scrive:

    Il punto è sempre e solo uno: fino a che punto puoi intervenire nell’installazione di un utente? Non è una “invasione di campo”?

    Fosse per me avrei bloccato AVG, Skype e alcune versioni della toolbar di Google, considerato i casini che creano e hanno creato, ma non tutti la pensano allo stesso modo.

  3. Giuliano scrive:

    È vero Francesco, ma credo che almeno per certe estensioni se non (auto)bloccare l’installazione si potrebbe per lo meno fare in modo che si installino disattivate e che al riavvio del browser una finestra di dialogo ti avverta della cosa permettendoti, se vuoi, di riattivarle o, in caso contrario, di rimuoverle del tutto. Che dice quelli di Mozilla non sono abbastanza bravi per implementare una cosa del genere? Io dico di sì… 😉

  4. flod scrive:

    Se è per quello quando avvii il browser ti si apre la finestra del Gestore estensioni e ti avvisa che è stato installato un componente aggiuntivo, il problema è che non ti dice quale (mi pare di ricordare discussioni in proposito).

  5. Giorgio Maone scrive:

    Giuliano ha ragione. In effetti, a questo proposito, ci sono lavori in corso: http://hackademix.net/2009/10/17/firefoxs-immune-system/ (ultimo paragrafo).

  6. Underpass scrive:

    Pseudotecnico, tra l’altro c’è stata un’altra piccola puntata:

    http://adblockplus.org/blog/the-return-of-net-framework-assistant

    che ci dice TANTE cose su come lavorano a Redmond.

  7. markingegno scrive:

    Proprio oggi ho ricevuto un messaggio da Firefox in cui mi si chiedeva di disattivare il plugin “Windows Presentation Foundation”. Solo una coincidenza?

  8. flod scrive:

    Come “coincidenza”? 😕

  9. Creazione siti web scrive:

    A mio avviso sono i soliti mezzucci per contrastare l’open sorce creando difficoltà per gli utenti, stanno sempre più perdendo il ‘monopolio’ del mercato, e se le inventano tutte!

Trackback e pingback

  1. Firefox: “Add-ons Blocklist” | Gioxx's Wall
    [...] (a cura chiaramente dei Vendor, non certo della squadra sviluppo di Mozilla Firefox ). Ne ha parlato anche…

Non è possibile inserire nuovi commenti. I commenti vengono disattivati automaticamente dopo 60 giorni.