Een plugin die Microsoft stiekem in Firefox installeerde en vervolgens door Mozilla wegens een beveiligingslek werd geblokkeerd, blijkt toch geen risico te vormen. Vorige week kwam Microsoft met een update voor Internet Explorer, die ook Firefox-gebruikers moesten installeren. De kwetsbaarheid in het Windows Presentation Foundation (WPF) hosting proces zou namelijk ook in de .NET Framework 3.5 SP1 plugin voor Mozilla's browser aanwezig zijn. Gebruikers zouden in dit geval alleen een kwaadaardige website hoeven te bezoeken om met malware besmet te raken.
Vanwege de ernst van de kwetsbaarheid besloot Mozilla zelf in te grijpen en de uitbreiding preventief in Firefox te blokkeren. "Microsoft heeft nu bevestigd dat de Framework Assistant add-on geen vector voor deze aanval is", aldus Mozilla's Mike Shaver. De plugin is inmiddels van de Firefox blocklist verwijderd. Daarnaast werkt Mozilla aan een manier om Firefox-gebruikers die haast hebben de WPF plugin zelf in te laten schakelen, voordat die van de blocklist verdwijnt.
Blokkade
De actie van Mozilla roept de nodige vraagtekens op. Veel gebruikers vinden het onacceptabel dat de opensource ontwikkelaar zelf plugins via een blocklist kan uitschakelen, maar er zijn ook voorstanders. De mogelijkheid is al sinds de introductie van Firefox 3, een jaar geleden, aanwezig, maar altijd stilgehouden. "Goed om te zien dat de mensen bij Mozilla niet twijfelen om zulke draconische tegenmaatregelen te nemen wanneer het nodig is, zelfs als het de Windows Presentation Foundation plugin en zijn .NET Framework Assistant handlanger betreft, die zoveel meer obscuur en controversieel zijn, dat ze niet gemist zullen worden", aldus Giorgio Maone, de maker van de populaire Firefox NoScript plugin. Toch ziet hij het niet gebeuren dat Adobe met alle lekke plugins en zero-day aanvallen dezelfde behandeling krijgt.
Daarnaast is het de vraag waarom derde partijen zonder toestemming en waarschuwing dit soort plugins kunnen installeren. Volgens Maone vertrouwen gebruikers in dit geval de leverancier en zou het extra waarschuwen alleen maar irritant zijn. Dat neemt niet weg dat gebruikers wel ingelicht moeten worden, iets wat Mozilla ook gaat doen. In de toekomst krijgen gebruikers niet alleen te zien welke plugins geïnstalleerd zijn, maar kan men die ook eenvoudig verwijderen. Iets wat nu vaak ook voor problemen zorgt.
Deze posting is gelocked. Reageren is niet meer mogelijk.