Mozilla keurt veiligheid IE- en Chrome-plugins
Gepubliceerd: Woensdag 12 mei 2010
Auteur: Jasper Bakker
Mozilla gaat niet alleen de eigen plugins, maar ook die van andere browsers controleren. Via een webpagina kunnen plugins voor IE, Chrome, Safari en Opera gecheckt worden.
"Wij menen dat plugin-veiligheid een kwestie is voor het gehele web. Dus terwijl onze aanvankelijke inspanningen op dit gebied gericht waren op Firefox-gebruikers, heeft het team het bereik van de plugincontrole uitgebreid om ook te werken met Safari 4, Chrome 4 en Opera 10.5", blogt directeur Johnathan Nigtingale.
Daarnaast worden plugins in Internet Explorer (IE) 7 en 8 nu gecontroleerd. De ondersteuning voor Microsofts browser IE is nu nog beperkt, bekent Mozilla. "IE vereist dat we aparte code schrijven voor elke plugin, dus het zal ons wat meer tijd kosten om volledige dekking te krijgen." Het gaat hier om ActiveX-code, in plaats van een JavaScript-object zoals dat voor andere browsers werkt.
Webpagina bezoeken
De controle gebeurt door een speciale webpagina van Mozilla te bezoeken. In het geval van Firefox is dat een startpagina die automatisch wordt weergegeven. Gebruikers van andere browsers moeten zelf naar die controlepagina gaan. Mozilla biedt webmasters en bloggers ook een button met JavaScript-code om de plugins van hun bezoekers te controleren en hun te waarschuwen voor eventuele verouderde plugins.
Op de speciale controlepagina van Mozilla worden dan de geïnstalleerde plugins gedetecteerd en opgesomd. Indien die verouderd zijn, wordt dat meegedeeld met een updateknop die leidt naar de downloadsite van de plugin-maker.
Nog werk in uitvoering
De detectie is - net als bij de eerdere controle voor Firefox - soms onvolledig. Zo wordt bij een test van Webwereld de Java Deployment Toolkit 6.0.200.2 weergegeven, met daarbij de mededeling dat de versie van de plugin niet gedetecteerd kan worden. Hetzelfde geldt voor Microsofts multimediatechnologie Silverlight: versie 3.0.40818.0 wordt genoemd, met dezelfde opmerking dat de versie onbekend is.
De Britse ict-nieuwssite The Register merkt nog andere onvolkomenheden op. Zo noemt Mozilla voor verschillende browsers verschillende versies van Adobe's Shockwave-plugin als de meest actuele. Voor Firefox werd een iets oudere versie van Shockwave aangegeven, maar die fout dook bij controle door Webwereld niet op.
Flash voorop
Mozilla is de controle van plugins begonnen met de veelgeplaagde multimediatechnologie Flash van Adobe. Gaten in die software worden veel misbruikt door malwaremakers. Bijkomend probleem is dat veel websurfers verouderde versies van Flash draaien, waarin algemeen bekende beveiligingsgaten zitten.
De Flash-controle is in september vorig jaar ingevoerd met de toen nieuwste versie van Firefox. Nog geen twee weken na het activeren van die eerste plugin-controle bleek de helft van de Firefox-gebruikers met de nieuwste versie van die browser een oude Flash-versie te hebben. Vervolgens heeft slechts eenderde van de gebruikers die onveilige plugin ook echt bijgewerkt. Dat terwijl de controlerende webpagina Firefox-gebruikers wel een waarschuwing voorschotelde.
