To add-on or not to add-on part deux

Geef uw mening en discussieer over software, internet, pc's en GratisSoftware.nl
Gesloten
keyzer

To add-on or not to add-on part deux

Bericht door keyzer » 19 okt 2009 23:50

Ik heb het eerder gezegd: het add-on model van Firefox is haar kracht en haar zwakte.
Eerder berichte ik over de code-war die onder onze neuzen werd uitgevochten tussen de ontwikkelaars van de NoScipt en AdBlock extensies waarbij, zonder dat wij het in de gaten hadden, allerlei kunstjes met de code van deze extensies werd uitgehaald.

Het is weer zover.
Afgelopen week bracht Microsoft het record aantal van 43 patches uit en 13 security updates
Een van de patches betrof een lek in Internet Explorer die een drive-by-exploit mogelijk maakt die al in-the-wild is gespot.

Niets nieuws onder de zon dacht ik terwijl ik half geïnteresseerd wat meer te weten trachtte te komen over deze exploit (iedereen heeft zo z'n hobby's niet waar?)
Op de Microsoft Security and Defense Blog moest even een paar keer met de ogen knipperen om het goed tot me te laten doordringen:
While the vulnerability is in an IE component, there is an attack vector for Firefox users as well. The reason is that .NET Framework 3.5 SP1 installs a “Windows Presentation Foundation” plug-in in Firefox.....

Huh???

Enige verder zoekwerk deed mijn mond openvallen van verbazing.
De add-on en plug-in blijken al in februari van dit jaar via een Windows update zonder verdere kennisgeving te zijn geïnstalleerd in Firefox! WTF??? Sinds wanneer bemoeit Microsoft zich met de niet-Microsoft software op mijn machine???

Ik nam een kijkje in de lijst van add-ons (die ik overigens meer uit experimenteerdrift dan uit overtuiging van hun noodzakelijkheid heb geïnstalleerd) en inderdaad, daar stonden ze, een add-on en plug-in waarvan ik nooit eerder had gehoord en waarvan ik me ook niet kon herinneren dat ik deze had geïnstalleerd. Noch dat ik ze had ge-deactiveerd. Want dat waren ze namelijk.
Het gaat om de .NET Framework Assistant 1.1 add-on en de Windows Presentation Foundation 3.5 plug-in.

Op de blog van Mike Shaver ( Mozilla vice president of engineering) kwam ik het volgende tegen:
It’s recently surfaced that it has a serious security vulnerability, and Microsoft is recommending that users disable the add-on if they have not installed IE patch MS09-054.
Because of the difficulties some users have had entirely removing the add-on, and because of the severity of the risk it represents if not disabled, we contacted Microsoft today to indicate that we were looking to disable the extension and plugin for all users via our blocklisting mechanism. Microsoft agreed with the plan, and we put the blocklist entry live immediately. (Some users are already seeing it disabled, less than an hour after we added it!)


Wat!?

Doordat Microsoft ongevraagd een add-on en een plug-in heeft geïnstalleerd werd een aanvalsvector in Internet Explorer ook een beveiligingsrisico voor Firefox!
Ik wordt waarschijnlijk oud en ik moet mogelijk minder intensieve hobby's gaan zoeken want e.e.a is volledig aan mij voorbij gegaan.
Het blijkt dat deze sneaky installatie al in februari, direct na het uitbrengen van deze Windows-updates, op diverse fora aan de kaak werd gesteld.
De add-on en plug-in zijn niet alleen ongevraagd en ongemerkt te zijn geïnstalleerd maar bleken namelijk ook nog eens niet op normale manier te kunnen worden ge-deinstalleerd. In ieder geval niet zonder flink te sleutelen in het register.

Toen onlangs het risico voor Firefox aan het licht kwam is door Mozilla besloten om deze te de-activeren door gebruik te maken van de blocklist voor add-ons in Firefox. (waar overigens ook de AVG Safe Search plug-in op staat).
Na overleg met Microsoft zijn de add-on en plug-in inmiddels van de blocklist verwijderd maar nog steeds ge-deactiveerd wachtend op verdere ontwikkelingen:
....the add-on was confirmed to not be a vector for the vulnerabilites, so it was removed from the blocklist. The plugin is still blocked pending more information about patch deployment rates; work is underway to make the blocking overridable to accommodate enterprises and sophisticated users who know they have installed the IE patch.

Andermaal blijkt dat het add-on model van Firefox het mogelijk maakt dat er vreemde en potentieel gevaarlijk code de browser binnensluipt.
Sinds enige tijd ben ik weer teruggekeerd naar mijn oude liefde Opera (hoewel ik moet toegeven dat ik regelmatig vreemd ga met Chrome Plus-een niet-Google fork van Chrome).

ps
Oh ironie..
Onlangs waarschuwde Microsoft dat een plug-in waarmee Internet Explorer binnen Chrome kan worden geopend (zoals de IETab add-on voor Firefox) een potentieel extra veiligheidsrisico voor Internet Explorer zou creëren.

/edit
Ik besef dat ik alleen links naar Engelstalige websites heb gebruikt. Voor de liefhebbers wat aanvullende informatie in het Nederlands op security.nl:
http://www.security.nl/artikel/31200/1/ ... n_WPF.html
http://www.security.nl/artikel/31201/1/ ... ckers.html

keyzer

Re: To add-on or not to add-on part deux

Bericht door keyzer » 20 okt 2009 01:30

Update:
Het wordt er niet duidelijker op. De Windows Presentation Foundation plug-in is vrijgegeven en is weer geactiveerd. De .NET Framework Assistant staat op het moment van schrijven nog op de blocklist maar is nog steeds grijs (ge-deactiveerd) in Firefox (ik kon deze echter zonder protest van Firefox weer activeren).
Van de geleerden heb ik echter begrepen dat een machine die van de meest recente updates is voorzien geen risico meer loopt .

Hoe dan ook, de fout is gemaakt toen aan het begin van het jaar door Microsoft ongevraagd en zonder notificatie een add-on en een plug-in werden geïnstalleerd in Firefox.

Gesloten