Krytyczna dziura Microsoftu zagraża użytkownikom... Firefoksa
-
- securitystandard,
- 18.10.2009, godz. 09:08
Przedstawiciele Microsoftu przyznali, że jedno z udostępnionych w miniony wtorek uaktualnień dla produktów koncernu (które usuwało lukę w pluginie dla IE), powinno zostać zainstalowane również przez użytkowników open-source'owej przeglądarki Firefox. W lutym tego roku Microsoft potajemnie instalował w Fx pewną wtyczkę - teraz wyszło na jaw, ze zawiera ona krytyczny błąd.
"Problem dotyczy co prawda pewnego komponentu Internet Explorera, ale faktem jest, że na atak narażeni są również użytkownicy Firefoksa. To dlatego, że udostępniony kilka miesięcy temu dodatek .NET Framework 3.5 SP1 instalował w Firefoksie wtyczkę Windows Presentation Foundation" - napisano w oficjalnym blogu działającego w ramach Microsoftu zespołu Security Research & Defense.
Z informacji dostarczonych przez koncern wynika, że atak jest bardzo łatwy do przeprowadzenia - aby uruchomić w systemie złośliwy kod, wystarczy zwabić użytkownika przeglądarki na odpowiednio spreparowaną stronę WWW.
Przypomnijmy: chodzi o wtyczkę .NET Framework Assistant, która była instalowana w Firefoksie bez wiedzy użytkowników w lutym tego roku - każdy, kto instalował w Windows udostępniony przez Microsoft dodatek .NET Framework 3.5 Service Pack 1, dostawał również ów plug-in (o ile nie przejrzał ustawień aktualizacji i nie "odhaczył" odpowiedniego pola). ".NET Framework Assistant może pojawić się w przeglądarce Firefox bez wiedzy i zgody jej użytkownika. Początkowo ten dodatek dystrybuowany był jedynie jako element Microsoft Visual Studio, ale wygląda na to, ze teraz trafił również do najnowszego uaktualnienia dla .Net" - alarmowała w lutym tego roku Susan Bradley, dziennikarka popularnego serwisu Windows Secrets.
Główny problem z .NET Framework Assistant polegał na tym, że tę wtyczkę było niezwykle trudno usunąć z Firefoksa - szczególnie niezbyt doświadczonym użytkownikom. W menedżerze dodatków przeglądarki przy tej pozycji nie były aktywne pola "wyłącz" i "odinstaluj" (mogli z nich korzystać jedynie użytkownicy Windows 7 - w innych wersjach "Okien" polecenia te nie są aktywne). Jedynym sposobem na usunięcie wtyczki było odpowiednie zmodyfikowanie Rejestru systemowego - ale to dość skomplikowana operacja, zdecydowanie nie zalecana niedoświadczonym użytkownikom (na szczęście krótko po "tajnej premierze" .NET Framework Assistant w Sieci pojawiło się sporo szczegółowych poradników, ułatwiających wyrzucenie z przeglądarki niechcianego dodatku).
Jeden z nich opublikowany został przez serwis Annoyances.org, który zdecydowanie zalecał wszystkim odinstalowanie .NET Framework Assistant. "Ta wtyczka wprowadza do Firefoksa jedną z największych luk, występującą we wszystkich wersjach Internet Explorera - pozwala ona stronom WWW na potajemne instalowanie w twoim systemie dodatkowego oprogramowania. Ten problem to pewnie jeden z głównych powodów, dla których użytkownicy rezygnują z IE - na pewno więc nie chcecie mieć tego samego problemu w Firefoksie..." - napisali twórcy serwisu. Ową kontrowersyjną funkcją było narzędzie o nazwie ClickOnce, dzięki któremu aplikacje napisane w .NET mogą automatycznie uruchamiać się w przeglądarce.
Masowa krytyka po kilku miesiącach przyniosła pewne efekty - Microsoft udostępnił poprawkę, dzięki której możliwe było łatwe usunięcie dodatku. Koncern ani razu jednak nie próbował wytłumaczyć się z całego zamieszania czy przeprosić użytkowników.
A teraz okazało się, że to nie koniec kłopotów - bo we wtyczce dla Firefoksa występuje krytyczny błąd w zabezpieczeniach. Również tym razem koncern nie rozwodził się nad problemem - Microsoft ograniczył się do zalecenia użytkownikom Firefoksa z zainstalowanym .NET Framework Assistant zainstalowania uaktualnienia MS09-054. Przedstawiciele firmy dodali również, że jeśli z jakiegoś powodu zainstalowanie poprawki nie będzie możliwe, to należy usunąć feralną wtyczkę.
Najwygodniejszą metodą zainstalowania poprawki jest skorzystanie z mechanizmu Microsoft Update. Aktualizację można również pobrać ze strony koncernu.
