Mozilla の開発者は、セキュリティ上のリスクがあるとして、Microsoft がひっそりとリリースした Firefox プラグインをブロックした。
マイクロソフトは、昨年 2 月に .Net ソフトウェア アップデートの一部として Firefox アドオンを出荷しましたが、一部の Firefox ユーザーから、知らないうちにまたは承認なしにソフトウェアがシステムに侵入し、削除が非常に困難であるとの苦情が寄せられ、激しい怒りが巻き起こりました。
マイクロソフトは火曜日、最新のInternet Explorerパッチを適用していないFirefoxユーザーは、Microsoft .Net Framework Assistantアドオンのバグにより「ブラウズ・アンド・ゲット・オーナー攻撃」に対して脆弱であると警告した。
「ユーザーを悪意のあるウェブサイトに誘導するだけで十分です」とMicrosoftは述べています。この脆弱性を悪用するには、悪意のあるXBAP(XAMLブラウザアプリケーション)を使用する必要があります。
この欠陥は厄介なものだが、火曜日にリリースされた MS09-054 IE アップデートをインストールしたユーザーは、「攻撃ベクトルに関係なく」この攻撃から保護されているとマイクロソフトは述べている。
Microsoftのパッチをインストールしていない可能性のあるユーザーを保護するため、Mozillaは2つのアドオンを自動的にブロックしています。Microsoft .Net Framework Assistantと、関連プラグインであるWindows Presentation Foundationです。このオープンソースブラウザは、金曜日の夜遅くにこれらのソフトウェアのブロックを開始しました。
「一部のユーザーがアドオンを完全に削除するのに苦労していること、そして無効化しない場合のリスクの深刻さを考慮し、本日Microsoftに連絡し、ブロックリストの仕組みを通じて全ユーザーに対して拡張機能とプラグインを無効にすることを検討していることを伝えました」と、Mozillaのエンジニアリング担当副社長マイク・シェーバー氏はブログ投稿で述べています。「Microsoftはこの計画に同意し、ブロックリストへのエントリを直ちに公開しました。」
サイバー犯罪者がAdobe Flash PlayerやQuickTimeなどの製品の脆弱性を悪用し、ブラウザベースの攻撃を仕掛けるケースが増えているため、バグのあるプラグインは深刻な問題となっています。今週初め、MozillaはFirefoxユーザーがプラグインが最新かどうかを確認できるプラグインチェックサイトを開設しました。
