Als het aan Mozilla ligt, moeten hackers voortaan beter hun best doen om malware bij websitebezoekers te installeren. Het moet gedaan zijn met de drive-by-installatie nu Firefox click-to-play standaard inschakelt. Malafide software kan zich zo niet stilletjes installeren, want gebruikers moeten op content van plug-ins klikken om deze te activeren.

De feature wordt actief uitgerold bij gebruikers. Firefox test eventuele issues via de functie op verouderde plug-ins en breidt de functie die vorig jaar is geïntroduceerd langzaam uit naar Inhoud van onder meer Java, Silverlight en de Acrobat Reader. “We willen click-to-play inschakelen voor alle versies van plug-ins, behalve bij de huidige versie van Flash", aldus Mozilla's beveiligingshoofd Michael Coates.

Flash nog wel gedraaid

Oudere versies van Flash worden dus wel steeds automatisch geblokkeerd. Mozilla heeft niet bekendgemaakt waarom er een uitzondering is gemaakt voor de interactieve Flash-content. Gebruikers kunnen in Firefox zelf click-to-play configureren om alsnog automatisch plug-ins te draaien.

Volgens Mozilla is een van de doelen van de wijziging het stabieler maken van de browser. Verouderde plug-ins zorgen regelmatig voor ongeldige uitzonderingen binnen de browser. “Door enkel de plug-ins te activeren die gebruikers willen laden, dragen we bij aan het voorkomen van haperingen, crashes en andere gevolgen van ongewenste plug-ins", stelt Michael Coates van Mozilla.

Geen drive-by meer

Cybercriminelen gebruiken drive-by-malware om stilletjes trojans te installeren bij websitebezoekers. Via een banner wordt dan een virus geinjecteerd zonder dat sitebezoekers zelf actie ondernemen. In Nederland werden dit soort aanvallen vorig jaar op grote schaal uitgevoerd bij besmettingen van onder meer populaire sites als weeronline.nl en NU.nl.

De click-to-play-feature in browsers maakt een einde aan dit soort drive-by's via plug-ins. Naar aanleiding van een nieuw Java-lek waardoor malware zich nog steeds stiekem kan installeren bij bezoekers, raadt een beveiligingsonderzoeker aan om over te stappen op een browser die deze feature ondersteunt.

Plug-in onveilig ondanks update

Firefox zet al langer stappen om de browser veiliger te maken. Vorig jaar voegde Mozilla click-to-play toe voor verouderde plug-ins. De makers breiden deze functie nu uit voor ook bijgewerkte plug-ins, die dus nogal eens onveilig blijken ondanks recente updates. Bovendien kan zelfs een bijgewerkte plug-in dagen of zelfs weken lek zijn als een nieuwe zeroday is ontdekt.