Gepubliceerd: Maandag 19 oktober 2009
De plugin-controle van Firefox kijkt niet alleen naar oudere versies van plugins. De browser schakelt nu twee Microsoft-plugins uit.
Toon volledig artikel
Volgens dezelfde blog is die dotnet plugin alweer van de lijst af, omdat-ie "geen vector is voor deze aanval". Maar waarom zou ik een .NET plugin in mijn Firefox willen hebben? Om fijne Microsoftproducten als Share-uche-point te kunnen benaderen ofzo?
Bizar zeg, denk je een 'veilige' browser te gebruiken, installeert MS ongevraagd daar gewoon een lekke plug-in, en ben je weer terug bij af.
Je kan de .NET plug-in nog geen eens uitzetten !
The usual "Disable" and "Uninstall" buttons in Firefox's add-on list were grayed out
bron
Je kan de .NET plug-in nog geen eens uitzetten !
Hoezo niet ?
Uitzetten (disable) kon altijd al.
Alleen uninstallen kon niet in februari 2009.
En het uninstallen is al een half jaar geleden gerealiseerd met een .NET framework update in 05/2009
blogs.msdn.com/...or-firefox.aspx
En het uninstallen is al een half jaar geleden gerealiseerd met een .NET framework update in 05/2009
De .NET plug-in kwam uit in Februari 2009 en tot Mei 2009 moest je in de Registry rommelen.
Het kostte MS 3 maanden voor het bouwen van deze triviale functionaliteit.
Het kostte MS 3 maanden voor het bouwen van deze triviale functionaliteit.
Maar de installatie blijft plaatsvinden achter de rug van de gebruiker om. Wie gaat er een plugin verwijderen waarvan hij niet weet dat Microsoft hem erop heeft gezet?
Veel mensen gebruiken juist Firefox om van deze problemen verlost te zijn en dan is het wel uitzonderlijk schaamteloos dat Microsoft achter de rug van deze mensen om een kritisch veiligheids lek installeert dat door iedere willekeurige site is te triggeren.
En wat dan nog eens extra schaamteloos is, is dat Microsoft wel kritiek heeft op de Google Frame plugin die Google niet ongevraagd installeert, die wel direct te verwijderen is en die bovendien niet lek is omdat die niet veilig zou zijn.
Ik ben benieuwd met wat voor haldraai Blieb/Albert/modje[1-99]/baseline/hAl/chrissie/dosprompt/etc/etc/etc/.. aan komt zetten om dit allemaal recht te astroturfen.
Uitzetten (disable) kon altijd al.
Nee hoor, die optie bood Microsoft pas nadat er een golf van kritiek was onstaan over de geniepige installatie en het niet kunnen uitzetten of verwijderen van deze plugin:
"While the vulnerability is in an IE component, there is an attack vector for Firefox users as well," admitted Microsoft engineers in a post to the company's Security Research & Defense blog on Tuesday. "The reason is that .NET Framework 3.5 SP1 installs a 'Windows Presentation Foundation' plug-in in Firefox."
The Microsoft engineers described the possible threat as a "browse-and-get-owned" situation that only requires attackers to lure Firefox users to a rigged Web site.
Numerous users and experts complained when Microsoft pushed the .NET Framework 3.5 Service Pack 1 (SP1) update to users last February, including Susan Bradley, a contributor to the popular Windows Secrets newsletter.
"The .NET Framework Assistant [the name of the add-on slipped into Firefox] that results can be installed inside Firefox without your approval," Bradley noted in a Feb. 12 story. "Although it was first installed with Microsoft's Visual Studio development program, I've seen this .NET component added to Firefox as part of the .NET Family patch."
What was particularly galling to users was that once installed, the .NET add-on was virtually impossible to remove from Firefox. The usual "Disable" and "Uninstall" buttons in Firefox's add-on list were grayed out on all versions of Windows except Windows 7, leaving most users no alternative other than to root through the Windows registry, a potentially dangerous chore, since a misstep could cripple the PC. Several sites posted complicated directions on how to scrub the .NET add-on from Firefox, including Annoyances.org .
Annoyances also said the threat to Firefox users is serious. "This update adds to Firefox one of the most dangerous vulnerabilities present in all versions of Internet Explorer: the ability for Web sites to easily and quietly install software on your PC," said the hints and tips site. "Since this design flaw is one of the reasons [why] you may have originally chosen to abandon IE in favor of a safer browser like Firefox, you may wish to remove this extension with all due haste."
Specifically, the.NET plug-in switched on a Microsoft technology dubbed ClickOnce, which lets .NET apps automatically download and run inside other browsers.
Microsoft reacted to criticism about the method it used to install the Firefox add-on by issuing another update in early May that made it possible to uninstall or disable the .NET Framework Assistant. It did not, however, apologize to Firefox users for slipping the add-on into their browsers without their explicit permission -- as is the case for other Firefox add-ons, or extensions.
This week, Microsoft did not revisit the origin of the .NET add-on, but simply told Firefox users that they should uninstall the component if they weren't able to deploy the patches provided in the MS09-054 update.
According to Microsoft, the vulnerability is "critical," and also can be exploited against users running any version of IE, including IE8.
klik
Nee hoor, die optie bood Microsoft pas nadat er een golf van kritiek was onstaan
U kunt wel een overdreven lang stuk tekst in kopieren en plakken van een journalist, die er geen verstand van heeft, maar wat er in die lange gekopieerde tekst staat over is absoluut fout.
Ik heb daarom even gegoogled naar een plaatje van hoe het er uit zag in februari.
ffextensionguru...ware-extension/
En heel simpel dus.
[Disable] knop staat aan.
[Uninstall] knop staat uit.
U kunt wel een overdreven lang stuk tekst in kopieren en plakken
De rest van de informatie leek mij ook nuttig.
van een journalist, die er geen verstand van heeft,
Ik kom met een journalist van IDG. Jij komt met een blogposting van iemand die niet eens in staat is een normale Engelse zin te maken:
Back around the end of January there was a Microsoft Windows Update (KB951847) that installed the SpyWare (done without user consent/knowledge and can not be removed easily) Microsoft .NET Framework Assistant 1.0 extension into Firefox. Note: If you have not install Windows Update KB951847 OR not using Windows Update this extension will not be installed.
maar wat er in die lange gekopieerde tekst staat over is absoluut fout.
Absoluut fout? Laten we jouw bron eens met mijn bron vergelijken.
In mijn bron staat dat de installatie achter de rug van de gebruikers om is:
An add-on that Microsoft silently slipped into Mozilla's Firefox last February leaves that browser open to attack, Microsoft's security engineers acknowledged earlier this week.
En wat staat er in jouw bron:
done without user consent/knowledge and can not be removed easily
Verder staat er in mijn bron dat de update niet verwijderd kan worden:
The usual "Disable" and "Uninstall" buttons in Firefox's add-on list were grayed out on all versions of Windows except Windows 7
In het plaatje van jouw bron zien we in ieder geval al dat Disable inderdaad grayed out is, dus dat klopt ook al volgens jouw bron. Laten we verder nog eens goed lezen wat er in mijn bron staat:
The usual "Disable" and "Uninstall" buttons in Firefox's add-on list were grayed out on all versions of Windows except Windows 7
Hmm er staat 'except Windows 7'. Kan het zijn dat jouw bron de beta van Windows 7 draaide rond de tijd van de blogposting? Dat je onder Windows 7 inderdaad wel disable kon aanklikken? Maar Windows 7 bestond toen nog niet als product. Dan was het dus inderdaad zo dat disable grayed out was op alle versies van Windows die wel als product bestonden. Mooi haldraai trouwens, omdat het op Windows 7 (een product dat nog niet bestond) kon, is bewezen dat het ook kon op alle Windows versies die al wel bestonden toen.
Maar goed, zelfs als de disable button inderdaad niet grayed out was op bestaande Windows versies dan is dat 1 klein puntje uit mijn bron. En wie gaat er een plugin disabelen waarvan je niet weet dat microsoft hem achter je rug om heeft geïnstalleerd?
Maar goed. We zijn het er dus alvast wel over eens dat de installatie van de Microft plugin achter de rug van de gebruiker om is, dat hij aanvankelijk onverwijderbaar was en dat er een kritisch lek in zit.
Verder verloopt de installatie van de Google Frame plugin 'evident' niet achter de rug van de gebruiker om, was deze wel van begin af aan te verwijderen en zit daar geen kritisch lek in.
Nou viel het mij op dat Microsoft en jij nogal van leer trokken tegen alle door jullie vermeende risico's die het gebruik van de Google plugin zou opleveren. Ben jij het ermee eens dat wat Microsoft hier doet eigenlijk veel erger is? En dat de kritiek van Microsoft en jou op de Google plugin dan ook erg hypocriet was?
Daarna kon ook de Chrome Frame-plugin voor IE niet de goedkeuring van Microsoft wegdragen. De toevoeging van die plugin zou flinke beveiligingsrisico's met zich meebrengen, luidt de redenatie van de maker van Internet Explorer en Windows.
De verschillen zijn natuurlijk dat de Chrome plugin bewust door de gebruiker moet worden geïnstalleerd, door de gebruiker is te verwijderen en bovenal niet lek is, terwijl de Microsft plugin ongevraagd wordt geïnstalleerd, niet door de gebruiker is te verwijderen en wel lek is.
klik, klik
Mozilla maakt de blokkering weer ongedaan van de .NET Framework Assitant-plugin.
Maakt niet uit, ik had 'm toch allang verwijderd.
Overigens gaat het om één extensie (Microsoft .NET Framework Assistant) en één plug-in (Windows Presentation Foundation).
Beiden zijn naar mijn mening overigens net zo overbodig als ze zinloos zijn, dus waarom deze meuk überhaupt door MS stilletjes wordt toegevoegd aan FF is mij een kompleet raadsel.
Die zeldzame FF-gebruiker die ze dan toch zo nodig wil hebben, kan ze dan zelf wel toevoegen.
Zou firefox niet moeten mekkeren dat er een plugin geinstalleerd is bij het opstarten? Anders is een plugin die toetsaanslagen logt en klikjes snel en geruisloos geinstalleerd.
Zou firefox niet moeten mekkeren dat er een plugin geinstalleerd is bij het opstarten?
Dat is kennelijk te omzeilen. Microsoft's meuk is een QED wat dat betreft.
Het laatste wat ik ervan gelezen heb is dat men wel bezig is om dat wel in FF in te voeren (altijd een waarschuwing geven en/of altijd ervoor zorgen dat men iets kan uitschakelen of de-installeren).
Het is een beetje vervelend, want het gaat dan wel een beetje tegen de reguliere manier van een plugin installeren in. (Hoe weet FF dat een MS-update meuk iets installeert of dat jij zelf jouw eigen gekozen meuk installeert? En moet de gebruiker na een installatie van het één of ander in FF wel gewaarschuwd worden dat deze het één of ander in FF geïnstalleerd heeft? Als mensen al over Vista's UAC over de zeik gaan...)
Anders is een plugin die toetsaanslagen logt en klikjes snel en geruisloos geinstalleerd.
Malware, bedoel je? Neeee, dat kán toch niet? :-)
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
