De securitycontrole op meerdere plugins door Firefox is al aangekondigd toen Mozilla de Flash-controle onthulde. De ontwikkelaars hielden toen nog stil welke plugins als volgende op de rol stonden. Nu worden ook andere plugins - naast het geliefde malwaredoelwit Flash - gecontroleerd op verouderde versies.

Dit zijn: Java, Quicktime, Silverlight, Shockwave, Acrobat (pdf), VLC Multimedia Plug-in, Windows Media Player Plug-in dll en nog enkele andere. In totaal zijn er nu 15 stuks die worden gecheckt. Mozilla werkt aan de toevoeging van meer plugins.

Blind voor Java-update

De nieuwe, bredere plugin-controle van Firefox mist de nieuwste update van Sun voor Java. Die versie (1.6.016) is in augustus uitgekomen. Klikken op de groene knop 'Up to date' leidt naar de downloadpagina voor Java, waar wel wordt geconstateerd dat de aanwezige versie verouderd is.

Gebruikers kunnen ook 'handmatig' hun Java-installatie controleren bij Sun.

Wel/niet veilig

Bij de controle door Firefox komen ook varianten van plugins aan het licht, zoals Shockwave Flash en Shockwave for Director, waarbij de ene wel de laatste versie kan zijn en de ander toch niet.

Opvallend is dat plugins waarvan de versie niet kan worden bepaald door de Firefox-controle niet automatisch worden aangemerkt als beveiligingsrisico. Terwijl dit potentieel wel zo kan zijn.

Varianten en versies

De controle maakt gebruikers ook duidelijk dat ze niet alleen oudere versies van plugins kunnen hebben, maar ook meerdere verschillende versies. Het is al jaren bekend dat Java bij updates niet de voorgaande versie deïnstalleert. Daardoor kunnen gebruikers meerdere versies van Java, inclusief de browserplugins daarvan, naast elkaar nog op hun pc hebben staan.

Dat vormt op zichzelf al een securityrisico doordat malafide websites kunnen proberen die oudere versie aan te roepen om dan gebruik te maken van gaten daarin. Sun heeft vorig jaar al automatische deinstallatiesoftware uitgebracht. De controletool van Firefox detecteert nu echter naast de bijna-nieuwste, daadwerkelijk geïnstalleerde versie (1.6.0.15) nog een spoor van een oude versie (1.6.0.11).

Laksheid

Na de toevoeging van de Flash-controle heeft Mozilla daaruit ook informatie vergaard. Het bleek dat een schokkend hoge 50 procent van de Firefox-gebruikers een oude, onveilige versie van de multimediaplugin gebruikt. Vervolgens heeft slechts eenderde van die gebruikers, die dus wel Firefox hebben geüpdatet, de waarschuwing voor de onveilige Flash-plugin genegeerd. Zij hebben die software niet ge-update.