Gebruikers van de open source-browser krijgen daarbij de mededeling dat de plugins in kwestie instabiel en onveilig zijn. Deze melding en de bijbehorende deactivering van de Microsoft-software is dit weekend plots opgedoken. De twee plugins, Microsoft .NET Framework Assistant and Windows Presentation Foundation, worden in eerste instantie slechts geblokkeerd en zijn na een herstart van Firefox pas echt gedeactiveerd.

Dat is radicaal anders dan de bedoeling leek van Firefox' controle op plugins. Die is begin vorige maand geïntroduceerd om gebruikers van oude, onveilige Adobe Flash-plugins daarop te wijzen en ze dan de download voor de nieuwste, veiligere versie aan te bieden. Vorige week is die controle uitgebreid, maar het betrof nog altijd een informatiedienst. Ook voor plugins waar bekende gaten in zitten.

Kritiek lek

De nu gedeactiveerde Microsoft-software heeft een kritiek beveiligingsgat en is in wezen Windows-breed. Het is namelijk ook van toepassing op gebruikers die met Internet Explorer surfen, ongeacht welke versie. De verwachting is dat malwaremakers hier bovenop springen. Firefox gebruiken, zorgt dus niet automatisch voor bescherming tegen dit Microsoft-lek.

Het security-team van Mozilla heeft besloten de bewuste plugins nu uit te schakelen, om gebruikers te beschermen tegen zogeheten drive-by downloads. Daarbij kan het bezoeken van een site leiden tot ongemerkte installatie van malware. De open source-ontwikkelaars hebben Microsoft vantevoren op de hoogte gebracht. "Microsoft was het eens met ons plan", blogt vice-president engineering Mike Shaver van Mozilla.

Stiekem

Dit ondanks het feit dat Microsoft het lek heeft gedicht. In de recordlading patches die Microsoft begin deze maand heeft uitgebracht, zit de patch voor dit kritieke lek in de Firefox-plugins. Dat lapmiddel is, ironisch genoeg, een update voor Internet Explorer. Het risico bestaat dan ook dat Firefox-gebruikers die update niet, of nog niet, hebben geïnstalleerd. De open source-browser wordt ook niet genoemd in het bijbehorende security bulletin.

Microsoft heeft die in februari uitgebracht via Windows Update, als onderdeel van een service pack voor het .NET Framework. Daarbij bleken de Firefox-plugins stilletjes geïnstalleerd te zijn en waren ze niet standaard te deïnstalleren. Daarvoor zijn handmatige wijzigingen in het Windows-register nodig.

Pot, ketel

Eerder is de softwareproducent flink van leer getrokken tegen Google's beleid om zijn webbrowser Chrome automatisch te updaten, zonder handeling of medeweten van eindgebruikers. Daarna kon ook de Chrome Frame-plugin voor IE niet de goedkeuring van Microsoft wegdragen. De toevoeging van die plugin zou flinke beveiligingsrisico's met zich meebrengen, luidt de redenatie van de maker van Internet Explorer en Windows.

Update:

Mozilla maakt de blokkering weer ongedaan van de .NET Framework Assitant-plugin. Microsoft heeft het security-team van de open source-browser medegedeeld dat die plugin voor Firefox toch niet te misbruiken is voor de kritieke lekken waar sprake van is. Dit blogt topman Shaver van Mozilla.