Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit
Mozilla heeft de .NET Framework Assistant add-on en een bijbehorende plugin op de zwarte lijst geplaatst. Microsofts add-on zou de browser kwetsbaar maken voor een aanvalsmethode die in Internet Explorer via een update zou zijn verholpen.
Microsoft bracht afgelopen week een record aantal updates uit op de maandelijkse patch tuesday, waarvan acht patches werden aangemerkt als 'kritiek'. Een van de updates was bedoeld voor Internet Explorer 5 tot en met 8, en moet een einde maken aan zogenaamde drive-by-aanvallen. Daarbij kan een gebruiker al besmet raken met malware door uitsluitend naar een kwaadaardige website te surfen.
De kwetsbaarheid blijkt ook voor veel Firefox-gebruikers die in Windows werken een risico te kunnen vormen, omdat veel van hen de .NET Framework Assistant add-on en de bijbehorende Windows Presentation Foundation-plugin geïnstalleerd hebben. Microsoft heeft inmiddels aangeraden om beide in Firefox uit te schakelen, een operatie die onder andere met een losse tool kan worden uitgevoerd.
Mozilla heeft echter aangegeven dat het besloten heeft om de gewraakte add-on en de plugin op de zwarte lijst te plaatsen, zodat deze via het blocklisting-mechanisme van Firefox automatisch bij de eindgebruiker worden uitgeschakeld. Volgens Mike Shaver, vice president of Engineering bij Mozilla, zijn de twee Microsoft-onderdelen voor veel gebruikers lastig te verwijderen en vormt de kwetsbaarheid een aanzienlijk risico. Microsoft zou door Mozilla op de hoogte zijn gebracht van de maatregel en de softwaregigant zou er mee hebben ingestemd.
Reacties (184)
ik kwam er bij mij gisteren ook al achter dat FF het uitschakelde.
Ben benieuwd of er een nieuwe versie komt, of dat het zo blijft.
In ieder geval een goede aktie van FF
Ben benieuwd of er een nieuwe versie komt, of dat het zo blijft.
In ieder geval een goede aktie van FF
Er hoeft geen nieuwe versie te komen.
De vunerability in een door de plugin aangeroepen onderdeel van het .NET framework is al door Microsoft gepatched en uitgerold.
Alleen is dat niet zichtbaar aan de plugin.
Daardoor zal in de meeste gevallen de plugin uitgeschakeld worden terwijl er geen vunerability meer aanwezig is.
Voor gebruikers van de plugin bijvoorbeeld in een webapplicatie heel lastig omdat zij de complete plugin protectie van Firefox moeten uitschakelen om een reeds gepatchte situatie die nodeloos is uitgeschakeld weer te kunnen gebruiken.
De vunerability in een door de plugin aangeroepen onderdeel van het .NET framework is al door Microsoft gepatched en uitgerold.
Alleen is dat niet zichtbaar aan de plugin.
Daardoor zal in de meeste gevallen de plugin uitgeschakeld worden terwijl er geen vunerability meer aanwezig is.
Voor gebruikers van de plugin bijvoorbeeld in een webapplicatie heel lastig omdat zij de complete plugin protectie van Firefox moeten uitschakelen om een reeds gepatchte situatie die nodeloos is uitgeschakeld weer te kunnen gebruiken.
[Reactie gewijzigd door hAl op 18 oktober 2009 15:11]
de vunerability in IE is idd gepatched, maar de plugin voor FF net nog niet ! Dus er komt waarschijnlijk wel een nieuwe versie 
Het lek zit ook niet in de plugin zelf.
Als je de Windows update patchronde van dinsdag van Micrsoft hebt gehad ben je al veilig
Als je de Windows update patchronde van dinsdag van Micrsoft hebt gehad ben je al veilig
Lijkt me niet, lekken zitten bij FF in de .NET Framework Assistant add-on en de bijbehorende Windows Presentation Foundation-plugin die beide aangeraden om uit te schakelen op advies van microsoft . Beetje raar als ze dat vragen als ze de lek al zouden hebben gedicht. Lijkt er dus op dat de lek wel in IE is gedicht maar niet in FF.
Ik duf dus niet te stellen zoals jij dat je "veilig" bent met FF als je IE heb gepatch.
Ik duf dus niet te stellen zoals jij dat je "veilig" bent met FF als je IE heb gepatch.
Dat is niet juist. Het is inderdaad raar dat FF een addon disabled waar geen lek in zit en dat het Tweakers artikel dat negeert. Het Tweakers artikel suggereert ook onterecht dat Microsoft aanraadt de plugin te disabelen. Microsoft raadt namelijk aan om hun patch te installeren
Als je de link uit mijn bovenstaande reactie naar het security team blog volgt dan kun je zien dat het wel degelijk zo is dat Microsoft gewoon aanraadt om de patch MS09-054 te installeren.
Het disabelen van de plugin is alleen een workaround tot je die patch hebt geinstalleerd.
Ik zal het nog eens copy en pasten:
Als je de link uit mijn bovenstaande reactie naar het security team blog volgt dan kun je zien dat het wel degelijk zo is dat Microsoft gewoon aanraadt om de patch MS09-054 te installeren.
Het disabelen van de plugin is alleen een workaround tot je die patch hebt geinstalleerd.
Ik zal het nog eens copy en pasten:
How can I protect myself?
Customers should apply MS09-054 as this addresses the underlying vulnerability for all users, both IE and Firefox.
While you’re evaluating and testing your deployment of MS09-054, you may want to consider the following workarounds.
For IE users,<knip IE workaround>
For Firefox users with .NET Framework 3.5 installed, you may use “Tools”-> “Add-ons” -> “Plugins”, select “Windows Presentation Foundation”, and click “Disable”.
[Reactie gewijzigd door hAl op 18 oktober 2009 15:47]
Behalve dat de Disable knop niet werkte totdat je de patch van Microsoft had geïnstalleerd.
Er staat toch duidelijk dat je WPF plugin wel kunt disabelen ook zonder de patch van Microsoft toe te passen. De patch wordt echter duidelijk geadviseerd als echte oplossing maar het disabelen van de plugin slechts als workaround.Behalve dat de Disable knop niet werkte totdat je de patch van Microsoft had geïnstalleerd
[Reactie gewijzigd door hAl op 18 oktober 2009 16:17]
Ja maar als je patched dan nog staat ie uit omdat FF dat gewoon ongeacht f je de patch heb of niet die add-opn uit schakelt...
Microsoft heeft de plugin zonder medeweten van de gebruiker geinstalleerd. De meeste mensen weten niet eens dat ze die plugin hebben.
Ik weet niet of er een wet bestaat tegen dit soort zonder toestemming sneaky installeren van software. Als die er niet is dient die er zo snel mogelijk te komen.
Ik schrok me ook een hoedje dat ik die plugin had. Voor dotnet gebruikte ik IE (dacht ik)
Nu verwacht Microsoft blijkbaar wel dat mensen een plugin tijdelijk uitschakelen totdat ze een update geïnstalleerd hebben zonder dat ze weten dat ze de betreffende software hebben?Microsoft raadt namelijk aan om hun patch te installeren
PreciesHet is inderdaad raar
Ik weet niet of er een wet bestaat tegen dit soort zonder toestemming sneaky installeren van software. Als die er niet is dient die er zo snel mogelijk te komen.
Ik schrok me ook een hoedje dat ik die plugin had. Voor dotnet gebruikte ik IE (dacht ik)
[Reactie gewijzigd door SimonKroller op 18 oktober 2009 16:20]
Nee, Micrsoft verwacht dat je dit lek al lang met de automatische update al hebt gepatched.Nu verwacht Microsoft blijkbaar wel dat mensen een plugin tijdelijk uitschakelen totdat ze een update geïnstalleerd hebben zonder dat ze weten dat ze de betreffende software hebben?
Echter bepaalde bedrijven willen mogelijk een bepaald testtraject ingaan voor het uitrollen van de patches en dan is het uitschakelen van de WPF een workaround.
Mozilla schakelt nu echter 2 plugins uit terwijl de ene niet betrokken is bij het probleem en de andere op een netjes gepatched systeem ook geen probleem vormt.
Dit levert voor bedrijven die een webapplicatie hebben op basis van deze plugins een vervelend probleem terwijl dat niet nodig is omdat zij gewoon gepatchte systemen hebben.
Blijft dat ik het sneaky (zonder toestemming, zelfs zonder kenbaar maken) installeren van software als plugin in third party-producten niet vind mogen kunnen.Echter bepaalde bedrijven willen mogelijk een bepaald testtraject ingaan voor het uitrollen van de patches en dan is het uitschakelen van de WPF een workaround.
Ik hoop dat het hier niet bij blijft en dat er actie hierop komt. Het is door de actie van Mozilla dat we toevaliig hier van horen.
Wie weet wat ze nog meer allemaal sneaky hebben geïnstalleerd. Ze vinden kennelijk dat ze dat recht hebben.
Microsoft is misschien ook niet de enige die dat doet, maar die staat nu in de picture en kan goed als voorbeeld worden gebruikt om deze praktijken aan de kaak te stellen.
[Reactie gewijzigd door SimonKroller op 18 oktober 2009 17:02]
Ze hadden die webapplicatie gewoon niet op een van begin af onveilige plug-in moeten baseren. Dat het onbekend was dat deze plug-in onveilig was, maakt in principe niet uit, MS heeft een history van het uitbrengen van onveilige extra functionaliteit (o.a. Active-X), dus dien je daar uiterst omzichtig mee te zijn.Dit levert voor bedrijven die een webapplicatie hebben op basis van deze plugins een vervelend probleem terwijl dat niet nodig is omdat zij gewoon gepatchte systemen hebben.
Als men zich aan de standaarden had gehouden was die plug-in zowiezo niet nodig geweest.
Als microsoft de plugin zonder medeweten van de gebruiker heeft kunnen installeren zit er blijkbaar een groot beveiligingsgat in Firefox. Iets wat niet echt waarschijnlijk is.....Microsoft heeft de plugin zonder medeweten van de gebruiker geinstalleerd. De meeste mensen weten niet eens dat ze die plugin hebben.
Iemand die het OS beheerst beheerst alles, het Microsoft update mechanisme heeft alle rechten op een systeem waar het wordt uitgevoerd. Het kan zelfs kernel onderdelen vervangen, en dat is maar goed ook.Als microsoft de plugin zonder medeweten van de gebruiker heeft kunnen installeren zit er blijkbaar een groot beveiligingsgat in Firefox. Iets wat niet echt waarschijnlijk is....
Via een update kan MS dus van alles met third party software doen, dat betekent niet dat er een veiligheidslek in die third party software zit.
[Reactie gewijzigd door SimonKroller op 18 oktober 2009 16:54]
Dat wou ik ook zeggen ja, dan is dat a) niet via FF gedaan of b) heb je zelf blijkbaar niet op zitten letten of c) er woord weer lekker overdreven om MS te bashen
Windows-Update installeert gewoon wat MS wilt. Het gat hoeft dus helemaal niet in FF te zitten.
van die mogelijkheid was ik me al bewust, de laatste windows versie die ik in gebruik heb is 2000, maar die gaat er dus ook definitief en volledig uit.
Deze mogelijkheid zou ieder microsoft product voor gevoelige omgevingen dus volledig moeten uitsluiten. En iedereen bepaalt voor zijn eigen situatie of die gevoelig genoeg is om geen microsoft te kunnen gebruiken. Dus niet alleen de volledige overheid, want die stelt zich zo open voor spionage en manipulatie door (vnl) de amerikaanse overheid. Maar het schijnt dat er genoeg bedrijfs spionage via cia etc is uitgevoerd, dus bedrijven moeten ook oppassen.
Of weet iemand hoe je op niet al te moeilijke manier -zelf- de controle houd over je eigen os op je eigen computer?
Deze mogelijkheid zou ieder microsoft product voor gevoelige omgevingen dus volledig moeten uitsluiten. En iedereen bepaalt voor zijn eigen situatie of die gevoelig genoeg is om geen microsoft te kunnen gebruiken. Dus niet alleen de volledige overheid, want die stelt zich zo open voor spionage en manipulatie door (vnl) de amerikaanse overheid. Maar het schijnt dat er genoeg bedrijfs spionage via cia etc is uitgevoerd, dus bedrijven moeten ook oppassen.
Of weet iemand hoe je op niet al te moeilijke manier -zelf- de controle houd over je eigen os op je eigen computer?
Je hebt helemaal gelijk, ik keek net even voor de gein en het blijkt dat ik ook de .NET plug-in heb terwijl ik daar nooit voor gekozen heb 
En zoals dus ook te lezen was in het bericht heeft Microsoft ermee ingestemd dat Mozilla de plugins op de zwarte lijst geplaatst heeft.
Oftewel het lek is voor Firefox gebruikers nog niet gedicht, anders had Mozilla het wel weer van de zwarte lijst gehaald.
Mozilla doet dit namelijk echt niet om Microsoft dwars te zitten en zal de plugins van de zwarte lijst af halen zodra het voor iedere gebruiker weer veilig is om ze te gebruiken.
Oftewel het lek is voor Firefox gebruikers nog niet gedicht, anders had Mozilla het wel weer van de zwarte lijst gehaald.
Mozilla doet dit namelijk echt niet om Microsoft dwars te zitten en zal de plugins van de zwarte lijst af halen zodra het voor iedere gebruiker weer veilig is om ze te gebruiken.
We hebben daar maar 1 niet al te duidelijk bron voor, namelijk iemand van Mozilla die niet heel precies aangeeft waarmee Microsoft het eens was.En zoals dus ook te lezen was in het bericht heeft Microsoft ermee ingestemd dat Mozilla de plugins op de zwarte lijst geplaatst heeft.
Misschien heeft Microsoft daar alleen met het disabelen van de plugin ingestemd voor ongepatchte systemen.
Dat is dus al sinds afgelopen dinsdag, voordat Mozilla hiermee kwam.Mozilla doet dit namelijk echt niet om Microsoft dwars te zitten en zal de plugins van de zwarte lijst af halen zodra het voor iedere gebruiker weer veilig is om ze te gebruiken
[Reactie gewijzigd door hAl op 18 oktober 2009 16:42]
Persoonlijk ben ik van mening dat Mozilla deze plugin niet dient aan te zetten, maar dat de gebruiker zelf laat doen. Gewoon een persbericht: de plugin mag worden aangezet (ik hoorde dat dat persbericht er inmiddels al is)Mozilla doet dit namelijk echt niet om Microsoft dwars te zitten en zal de plugins van de zwarte lijst af halen zodra het voor iedere gebruiker weer veilig is om ze te gebruiken
De plugin is er immers zonder medeweten van de gebruiker op gekomen. En nu heeft de gebruiker de gelegenheid om bewust te kiezen of hij deze plugin wil, iets wat vanaf het begin al had moeten gebeuren.
[Reactie gewijzigd door SimonKroller op 18 oktober 2009 17:06]
De plugin vormt een onderdeel van de geinstalleerde software. Dat is bepaald niet uniek.De plugin is er immers zonder medeweten van de gebruiker op gekomen.
Hmmm, ik heb bijvoorbeeld de Sun Java SSV helper plugin, een AGV linksscanner plugin, een Adobe PDF plugin in IE8 addons staan. Die zijn ook allen zonder mijn medeweten geinstalleerd bij andere software producten.
Betekent je opmerking dat Microsoft nu deze plugins maar mag blokkeren en Microsoft eingelijk alle onderdelen van software mag blokkeren die zonder expliciete toestemming op Windows zijn geinstalleerd ?
En wel zo blokkeren dat ze ook niet evident voor een normale gebruiker eenvoudig weer aan te zetten zijn zoals Firefox dat nu doet ?
Maar ik zei al dat MS niet de enige is die het doet, dus andere producten noemen is leuk, maar voegt niets toe. Het is MS die nu in de picture staat, en die een van een third party product ongevraagd, onaangekondigd, en zonder kennisgeving achteraf, de functionaliteit wijzigt.
(Ik herinner me van de voorbeelden die jij noemt, van AVG en Java en Adobe (laatst vroeg die nog beleefd of hij mocht upgraden naar versie 10) altijd een bevestiging vragen van de gebruiker, maar dat terzijde)
Ik vind dat een gebruiker ten alle tijd moet worden ingelicht indien de functionaliteit van zijn systeem wordt gewijzigd, en dat hij moet kunnen weigeren. Dat is overigens ook een professionele instelling. Het valt me tegen indien een ICT manager dit niet onderkent.
En als er een of andere vendor er tussendoor gesneakt is, dan vind ik dat de controle teruggegeven moet worden aan de gebruiker, om die de beslissing te laten nemen.
Ik snap niet waarom een dergelijk standpunt vragen oproept.
Ik denk dat dit een heel duidelijk standpunt is. Ik denk dat ook Microsoft dit snapt, maar ik denk ook dat Microsoft er lak aan heeft of een gebruiker silverlight wenst, hij krijgt het door zijn strot gedrukt, dat is in dit geval duidelijk.
We hebben hier te maken met een schoolvoorbeeld van misbruik van markt overwicht. Ze blijven het keer op keer flikken, na tien jaar ruzie met allerlei overheden in de USA, de EU, Japan, Korea, juist hierover, doen ze het toch weer. Ik neem aan dat hier klachten over komen vanuit de industrie, en terecht, alweer. Er zijn er meer die graag met een WIndowsupdate zouden meeliften, en onder SYSTEM-credentials zichzelf op een systeem zouden willen plaatsen.
tenslotte:
Het is mij vertelt dat wanneer je een forum-discussie verlaat dat je diegene met het laatste woord gelijk geeft. Ik ben het daar niet mee eens, daarom, voor goede orde wil ik volgende zeggen:
Het is mij geen lange welles/nietes discussie waard. Ik heb jouw standpunt gelezen, en de toelichtingen van jou daarop. het is mij duidelijk. Ik denk ook dat mijn standpunt duidelijk is.
Misschien dat ik reageer als je een in mijn ogen nieuw standpunt inbrengt, maar ik beloof niets.
(Ik herinner me van de voorbeelden die jij noemt, van AVG en Java en Adobe (laatst vroeg die nog beleefd of hij mocht upgraden naar versie 10) altijd een bevestiging vragen van de gebruiker, maar dat terzijde)
Ik vind dat een gebruiker ten alle tijd moet worden ingelicht indien de functionaliteit van zijn systeem wordt gewijzigd, en dat hij moet kunnen weigeren. Dat is overigens ook een professionele instelling. Het valt me tegen indien een ICT manager dit niet onderkent.
En als er een of andere vendor er tussendoor gesneakt is, dan vind ik dat de controle teruggegeven moet worden aan de gebruiker, om die de beslissing te laten nemen.
Ik snap niet waarom een dergelijk standpunt vragen oproept.
Als men de gebruiker dotnet wil laten gebruiken in Firefox zijn er genoeg legitieme manieren om dat gedaan te krijgen. Microsoft heeft een hele tijd buttons gehad met "download silverlight" of iets dergelijks. Dat is de weg die gewone vendors van plugins dienen te volgen. Niet ongevraagd installeren, maar vragen of de gebruiker dat wil.En wel zo blokkeren dat ze ook niet evident voor een normale gebruiker eenvoudig weer aan te zetten zijn zoals Firefox dat nu doet ?
Ik denk dat dit een heel duidelijk standpunt is. Ik denk dat ook Microsoft dit snapt, maar ik denk ook dat Microsoft er lak aan heeft of een gebruiker silverlight wenst, hij krijgt het door zijn strot gedrukt, dat is in dit geval duidelijk.
We hebben hier te maken met een schoolvoorbeeld van misbruik van markt overwicht. Ze blijven het keer op keer flikken, na tien jaar ruzie met allerlei overheden in de USA, de EU, Japan, Korea, juist hierover, doen ze het toch weer. Ik neem aan dat hier klachten over komen vanuit de industrie, en terecht, alweer. Er zijn er meer die graag met een WIndowsupdate zouden meeliften, en onder SYSTEM-credentials zichzelf op een systeem zouden willen plaatsen.
tenslotte:
Het is mij vertelt dat wanneer je een forum-discussie verlaat dat je diegene met het laatste woord gelijk geeft. Ik ben het daar niet mee eens, daarom, voor goede orde wil ik volgende zeggen:
Het is mij geen lange welles/nietes discussie waard. Ik heb jouw standpunt gelezen, en de toelichtingen van jou daarop. het is mij duidelijk. Ik denk ook dat mijn standpunt duidelijk is.
Misschien dat ik reageer als je een in mijn ogen nieuw standpunt inbrengt, maar ik beloof niets.
[Reactie gewijzigd door SimonKroller op 18 oktober 2009 19:46]
Als Firefox die plugin installeert, dient firefox de gebruiker te vertellen wat er geinstalleerd wordt en om toestemming te vragen. Dat firefox de plugin automatisch mee installeert is de keuze van firefox. De gebruiker kiest ervoor om de software te installeren inclusief alle meegeleverde plugins.
Wat gesuggereert is, is dat Microsoft controleert of Firefox geinstalleerd staat en dan stiekum de plugin download en installeert. Allereerst gebeurd dat dus niet, maar belangrijker: Firefox zou zo robust moeten zijn dat als er een nieuwe plugin aangetroffen wordt, Firefox de gebruiker om toestemming vraagd om die plugin te gaan gebruiken. Daarin lijken we het dus eens want:
Het is leuk om "duidelijke" standpunten te hebben, maar leg dan de blaam bij de juiste partij als je vindt dat iemand iets fout doet.
Wat gesuggereert is, is dat Microsoft controleert of Firefox geinstalleerd staat en dan stiekum de plugin download en installeert. Allereerst gebeurd dat dus niet, maar belangrijker: Firefox zou zo robust moeten zijn dat als er een nieuwe plugin aangetroffen wordt, Firefox de gebruiker om toestemming vraagd om die plugin te gaan gebruiken. Daarin lijken we het dus eens want:
Maar dat is dus de verantwoordelijkheid van Firefox en niet die van Microsoft.Ik vind dat een gebruiker ten alle tijd moet worden ingelicht indien de functionaliteit van zijn systeem wordt gewijzigd, en dat hij moet kunnen weigeren.
Het is leuk om "duidelijke" standpunten te hebben, maar leg dan de blaam bij de juiste partij als je vindt dat iemand iets fout doet.
Windows zou zo robuust moeten zijn dat virussen, malware en botnets niet mogelijk zou zijn.Firefox zou zo robust moeten zijn dat als er een nieuwe plugin aangetroffen wordt,
Hoe klinkt dat nou? Denk nou eens na over wat je zegt.
Waarom zou Firefox verantwoordelijk zijn voor het installeren van een plugin door Microsoft?Maar dat is dus de verantwoordelijkheid van Firefox en niet die van Microsoft.
Bem je advocaat of zoiets? We hebben het hier over gewone logica, het gaat over gewone computer-systemen en gewone mensen. We zitten hier niet in een Kafkaiaans scenario kost wat kost Microsoft te verdedigen. Een dergelijke discussie vind ik niet zo interessant, en ik denk de meeste mensen niet. "Spielerei", noemen ze dat bij de oosterburen.
Laat ik het nogmaals kort uitleggen:
De Windows update software heeft SYSTEM-credentials en kan ieder bestand wijzigen, weghalen of toevoegen. En dit zonder aankondiging vooraf of mededeling achteraf.
Veel actie gebeurt tijdens het down gaan of opstarten van het systeem. Dat is niet voor niets zo. Dan zijn bepaalde software-schillen al uitgeschakeld, waardoor het update-systeem makkelijker zijn werk kan doen.
Het kan dus gewoon gebeuren dat er op deze wijze een plugin bijgekomen is, en de third party software waarbij dit gebeurt kan dan in de veronderstelling zijn dat die er altijd is geweest, omdat die third party software vertrouwt op de logica van haar configuratie-data.
Het is duidelijk dat Microsoft zonder toestemming van de computer-eigenaar bestanden/data heeft gewijzigd die het zelf niet heeft geïnstalleerd of ingericht.
Het is ook duidelijk dat er vooraf of achteraf geen mededeling is gedaan over deze wijzigingen, als een dief in de nacht, zegt men wel eens.
Dit is gewoon kwalijk, ongeacht wat Kafka ervan zou vinden.
Er is ook een manier om deze software door Firefox te laten installeren. Dat is de juiste manier. Gewoon op die manier die alle plugins horen te volgen: Een button op een website: "Download silverlight"
Blijkbaar leverde dat niet genoeg response op dat Microsoft een dergelijk drastische manier koos.
Het gaat mij niet om de "leuk" en wie ik vind dat de juiste partij is maak ikz elf wel uit. Dank voor de suggestie.Het is leuk om "duidelijke" standpunten te hebben, maar leg dan de blaam bij de juiste partij als je vindt dat iemand iets fout doet.
[Reactie gewijzigd door SimonKroller op 18 oktober 2009 21:40]
Microsoft geeft zelf aan dat zij deze ellende hebben veroorzaakt.
In februari hebben ze deze add-on voor Firefox geïnstalleerd op computers dmv een Windows update;
Vervolgens ontdekken hackers in juli 2009 een beveiligingslek. Op dat moment weet het Mozilla-team nog niet dat dit lek ook geldt voor gebruikers van de door Microsoft verscheepte plugin van FF. Zij hebben immers de add-on niet gemaakt / gedistribueerd.
Vervolgens komt MS in oktober eindelijk met een patch, en dan pas vertellen ze dat Firefox-gebruikers ook maandenlang kwetsbaar waren.
Hoe kan het de verantwoordelijkheid zijn van Mozilla
-Als Microsoft via een .NET update een add-on toevoegt aan Firefox zonder Mozilla hiervan op de hoogte te stellen,
-Als er vervolgens een beveiligingslek in .NET zit waardoor Firefox-gebruikers gevaar lopen en Microsoft meldt dit drie maanden lang niet aan Mozilla
Vervolgens houdt Mozilla er netjes rekening mee dat niet iedereen zijn computer gelijk zal patchen, en er dus nog vele computers kwetsbaar zullen blijven. In telefonisch overleg met Microsoft krijgt Mike Shaver van Mozilla goedkeuring om de add-on 'uit te zetten'. Dan doen ze toch niets verkeerd?
Het enige wat beter zou moeten aan Firefox is dat de bloklijst rekening houdt welke pleisters Windows door de gebruiker wel en niet gehad heeft. In dat geval zou de bewuste add-on bij gepleisterde computers niet op de bloklijst hoeven staan. Mozilla geeft aan dat hieraan gewerkt zal worden.
In februari hebben ze deze add-on voor Firefox geïnstalleerd op computers dmv een Windows update;
BronWhile the vulnerability is in an IE component, there is an attack vector for Firefox users as well. The reason is that .NET Framework 3.5 SP1 installs a “Windows Presentation Foundation” plug-in in Firefox, as shown below.
Vervolgens ontdekken hackers in juli 2009 een beveiligingslek. Op dat moment weet het Mozilla-team nog niet dat dit lek ook geldt voor gebruikers van de door Microsoft verscheepte plugin van FF. Zij hebben immers de add-on niet gemaakt / gedistribueerd.
Vervolgens komt MS in oktober eindelijk met een patch, en dan pas vertellen ze dat Firefox-gebruikers ook maandenlang kwetsbaar waren.
Hoe kan het de verantwoordelijkheid zijn van Mozilla
-Als Microsoft via een .NET update een add-on toevoegt aan Firefox zonder Mozilla hiervan op de hoogte te stellen,
-Als er vervolgens een beveiligingslek in .NET zit waardoor Firefox-gebruikers gevaar lopen en Microsoft meldt dit drie maanden lang niet aan Mozilla
Vervolgens houdt Mozilla er netjes rekening mee dat niet iedereen zijn computer gelijk zal patchen, en er dus nog vele computers kwetsbaar zullen blijven. In telefonisch overleg met Microsoft krijgt Mike Shaver van Mozilla goedkeuring om de add-on 'uit te zetten'. Dan doen ze toch niets verkeerd?
Het enige wat beter zou moeten aan Firefox is dat de bloklijst rekening houdt welke pleisters Windows door de gebruiker wel en niet gehad heeft. In dat geval zou de bewuste add-on bij gepleisterde computers niet op de bloklijst hoeven staan. Mozilla geeft aan dat hieraan gewerkt zal worden.
[Reactie gewijzigd door kidde op 18 oktober 2009 21:57]
Dat gebeurt dus WEL. Beide genoemde plugins worden geïnstalleerd tijdens een update van MS voor het .NET framework.Wat gesuggereert is, is dat Microsoft controleert of Firefox geinstalleerd staat en dan stiekum de plugin download en installeert.
Firefox vraagt er niet om.
Ook die software vraagt niet toestemming voor het installeren van extra plugins en daar gaat het hier om.(Ik herinner me van de voorbeelden die jij noemt, van AVG en Java en Adobe (laatst vroeg die nog beleefd of hij mocht upgraden naar versie 10) altijd een bevestiging vragen van de gebruiker
Zoals ik al zei, Adobe vraagt altijd om toestemming, Java doet dat ook.
Daarbij geven beiden na hun update aan dat ze een update hebben uitgevoerd.
Misschien zou het explicieter kunnen, in elk geval is het niet stiekem
Daarbij geven beiden na hun update aan dat ze een update hebben uitgevoerd.
Misschien zou het explicieter kunnen, in elk geval is het niet stiekem
Het gaat erom dat ze naast die Acrobat reader en naast die Sun Java VM ook browserplugins installeren. Daar vroegen ze helemaal niks over
Dan vallen zij onder die anderen die ik al eerder noemde die zelfde dingen doen. Met een verschil. Je kan ze altijd uitschakelen.
Dat kon je met die van Microsoft niet, en dat was wel raar (opdringerig) van Microsoft, je moest niet alleen de stiekeme installatie accepteren, je kon het ook niet ongedaan maken. er was een patch van Firefox nodig om de plugin te kunnen uitschakelen.
Ik ben er voorstander van dat ongevraagd installeren van plugins verboden wordt.
Dat kon je met die van Microsoft niet, en dat was wel raar (opdringerig) van Microsoft, je moest niet alleen de stiekeme installatie accepteren, je kon het ook niet ongedaan maken. er was een patch van Firefox nodig om de plugin te kunnen uitschakelen.
Ik ben er voorstander van dat ongevraagd installeren van plugins verboden wordt.
Dat is niet correct. Initieel was de plugin inderdaad niet uit te schakelen. Dat werdt verhinderd door Firefox zelf die standaard de disabele button uitschakelt bj systeemwijde plugins. Dat was in mei al verholpen met een update van Microsoft waarna elke user weer de plugin kon uitschakelen.Dat kon je met die van Microsoft niet, en dat was wel raar (opdringerig) van Microsoft, je moest niet alleen de stiekeme installatie accepteren, je kon het ook niet ongedaan maken. er was een patch van Firefox nodig om de plugin te kunnen uitschakelen.
Er was dus helemaal geen patch meer nodig van FF om de plugin uit te schakelen want dat kon iedereen al zelf doen.
[Reactie gewijzigd door hAl op 19 oktober 2009 01:00]
Ook dat is niet correct, ik kan ze namelijk wel uitschakelen. Dat is maar goed ook, tenslotte ben ik zelf degene die ze erop heeft gezet.Dat werdt verhinderd door Firefox zelf die standaard de disabele button uitschakelt bj systeemwijde plugins.
ed: Brad Abrams helpt ons. Het is 'uninstall', en niet 'disable' wat de gebruiker niet kon doen.
Gelukkig zijn er ook besturingssystemen (zoals het mijne) waarbij je standaard de installatie van browser-plugins door software van derden kan uitschakelen, maar kennelijk bij Windows niet. Tekortkoming van het besturingssysteem, zou ik zeggen.
[Reactie gewijzigd door kidde op 19 oktober 2009 01:39]
Het werd niet verhinderd door Firefox, het werd verhinderd door een designkeuze van Microsoft door de plugin systemwide te maken, het geen overbodig was
Ze kwamen dan ook met een per-user plugin, maar dat was maanden later.
Ik weet niet of die update mijn machine ooit bereikt heeft, want ik ontdekte pas vandaag dat Firefox tegen mijn zin dotnet ondersteuning gaf en drie maanden lang een critical vulnerability had waar ik niet van wist.
En eigenlijk ben ik daar het meeste boos over. Het stiekem installeren van software en wijzigen van software functionaliteit van software die ik niet van Microsoft heb gekocht.
Ze raken iets aan waar ze vanaf horen te blijven. Op deze manier is Windows geen open systeem, maar een closed systeem waar Microsoft ook applicaties van third partieswil controleren.
Van dergelijke arrogantie krijg ik een nare smaak, het kweekt geen goodwill.
Een leuk artikeltje in de washington post :
http://voices.washingtonp...update_quietly_insta.html
Let op de conclusies:
1) How the %#@! did I miss this?
2) The right way would have been to just publish the add-on at Mozilla's Add Ons page.
3) This kind of makes you wonder what else MS is installing without your knowledge.
Ze kwamen dan ook met een per-user plugin, maar dat was maanden later.
Ik weet niet of die update mijn machine ooit bereikt heeft, want ik ontdekte pas vandaag dat Firefox tegen mijn zin dotnet ondersteuning gaf en drie maanden lang een critical vulnerability had waar ik niet van wist.
En eigenlijk ben ik daar het meeste boos over. Het stiekem installeren van software en wijzigen van software functionaliteit van software die ik niet van Microsoft heb gekocht.
Ze raken iets aan waar ze vanaf horen te blijven. Op deze manier is Windows geen open systeem, maar een closed systeem waar Microsoft ook applicaties van third partieswil controleren.
Van dergelijke arrogantie krijg ik een nare smaak, het kweekt geen goodwill.
Een leuk artikeltje in de washington post :
http://voices.washingtonp...update_quietly_insta.html
Let op de conclusies:
1) How the %#@! did I miss this?
2) The right way would have been to just publish the add-on at Mozilla's Add Ons page.
3) This kind of makes you wonder what else MS is installing without your knowledge.
[Reactie gewijzigd door SimonKroller op 19 oktober 2009 01:37]
De vunerability zat in dat je via IE met het .net framework kon praten. En in dat gedeelte van het .net framework zat een bug waardoor de driveby aanval uitgevoerd kon worden. Tenminste zo begrijp ik na het wat verder lezen het. De bug is dus al gefixed voor zowel IE als Firefox. Ook de link van hAI geeft dat aan.
FF doet het dus alleen omdat het niet zeker is dat iedereen die update heeft en het aan de plugin zelf dus niet te zien is. Beetje flauw van mozilla dus. Ook omdat dit al een tijd lang bestond, waarom dan als er een patch komt dan pas de plug in uitzetten? Beetje gekloot. Je kan er toch wel van uit gaan dat mensen windows update aan hebben staan. (Of iig er van uit gaan dat een groot deel dat heeft, en dat mensen die dat niet hebben zelf verantwoordelijk zijn voor de veiligheid van hun systeem).
FF doet het dus alleen omdat het niet zeker is dat iedereen die update heeft en het aan de plugin zelf dus niet te zien is. Beetje flauw van mozilla dus. Ook omdat dit al een tijd lang bestond, waarom dan als er een patch komt dan pas de plug in uitzetten? Beetje gekloot. Je kan er toch wel van uit gaan dat mensen windows update aan hebben staan. (Of iig er van uit gaan dat een groot deel dat heeft, en dat mensen die dat niet hebben zelf verantwoordelijk zijn voor de veiligheid van hun systeem).
de fix voor IE brak de plugin voor FF waardoor die in een keer vulnerable werd. Deze was voorheen niet vulnerable en was het dus ook niet nodig om deze uit te zetten.
Dat is gewoon onzin.
De patch was voor de windows presentation foundation en dekte niet alleen het probleem af voor IE maar voor alle browserplugins die de betroffen WPF module benaderen.
De patch was voor de windows presentation foundation en dekte niet alleen het probleem af voor IE maar voor alle browserplugins die de betroffen WPF module benaderen.
Omdat Microsoft pas bij het uitkomen van de patch aan Mozilla meldde dat Firefox ook al drie maanden kwetsbaar was voor deze aanval. Microsoft wist dat al eerder, maar heeft dat niet eerder gemeld.Ook omdat dit al een tijd lang bestond, waarom dan als er een patch komt dan pas de plug in uitzetten?
Dat is niet flauw van Mozilla, maar een gebrekkige communicatie door Microsoft. Microsoft heeft voor het ongevraagd 'opdringen' van de add-on aan Windows-gebruikers (via Windows Update) ook nooit met Mozilla overlegt over deze plug-in. Verder was het door Microsoft zelf onmogelijk gemaakt de add-on uit te zetten (disable) in de Firefox add-on lijst.
En zoals bekend schreeuwen ze wel moord en brand als Google probeert een plug-in aan IE toe te voegen.
Mike Shaver van Mozilla geeft in zijn comentaar (#83, zie hierboven) dus ook aan dat als Mozilla dit eerder had geweten of Microsoft had dit eerder vermeld, dat de plug-in dan ook veel eerder op de zwarte lijst was gekomen.
ed:
Dat is de oorzaak van dit probleem: Windows Update zorgde er in februari '09 voor dat gebruikers .NET 3.5 SP1 geïnstalleerd kregen en daar zat deze kwetsbare add-on genaamd ".NET Framework Assistant " ook in. Dus Windows Update presenteren als de oplossing terwijl het de veroorzaker van het probleem is klinkt toch ietwat bedenkelijk.Je kan er toch wel van uit gaan dat mensen windows update aan hebben staan.
[Reactie gewijzigd door kidde op 18 oktober 2009 22:11]
Het was ook al minstens mei 2008 dat er bekend was dat het .net framework service pack 1 een firefox browser extentie zou bevatten. Maar liefst 8 maanden voor de release van dat service pack. Bovendien
Denk jij dat gebruikers en systeembeheerders blogs over Visual Studio 2008 and .NET Framework 3.5 "SP1" Beta gaan lezen omdat ze willen weten welke updates in Windows (welke versie) worden geïnstalleerd?
De enige referentie naar Firefox is in dit zinnetje:
FireFox browser extension to support Clickonce installations using FireFox browsers
Moesten we uit dit blog over Visual Studio en dat zinnetje afleiden dat er ongevraagd en zonder verdere mededeling een dotnet framework plugin zou worden geïnstalleerd?
Is dat wat Microsoft en jij onder communicatie verstaan?
Is dat een klantvriendelijke benadering?
De enige referentie naar Firefox is in dit zinnetje:
FireFox browser extension to support Clickonce installations using FireFox browsers
Moesten we uit dit blog over Visual Studio en dat zinnetje afleiden dat er ongevraagd en zonder verdere mededeling een dotnet framework plugin zou worden geïnstalleerd?
Is dat wat Microsoft en jij onder communicatie verstaan?
Is dat een klantvriendelijke benadering?
Nee, maar er zijn ook veel meer artikelen in 2008 te vinden waar dit al in wordt genoemd als feature van het servicepack en er waren ook grote aantallen beta testers van een dergelijk service pack.
Het is niet alsof er een stiekeme launch was als je zoiets openlijk publiceert en een half jaar ter test aanbiedt grote groepen mensen.
Het is niet alsof er een stiekeme launch was als je zoiets openlijk publiceert en een half jaar ter test aanbiedt grote groepen mensen.
Waarom verwijs je dan naar iets wat niemand die het aangaat leest, Is het een quiz misschien? Of een kinderachtig spelletje? of wist je zo snel niets te vinden? De hele tekst refereert geen enkele keer naar een stiekeme installatie van die plugin.
Nu kap ik er werkelijk mee. Dit soort discussies is echt zonde van mijn tijd.
Nu kap ik er werkelijk mee. Dit soort discussies is echt zonde van mijn tijd.
[Reactie gewijzigd door SimonKroller op 19 oktober 2009 00:59]
Jij bent eigenlijk zonde van tijd hoor. Als je er niet tegen kan dat Ms je systeem proper wil houden met updates omdat je blijkbaar zelf niet genoeg tijd aan wil spenderen, dan kap je maar met Windows.
Als je niet begrijpt dat elk OS tientallen kwetsbaarheden heeft en elke update nieuwe kan bijgeven, dan kap je beter met computers...
Je bent gewoon aan het klagen op iets wat overal in de ICTwereld als normaal wordt gezien.
Als je niet begrijpt dat elk OS tientallen kwetsbaarheden heeft en elke update nieuwe kan bijgeven, dan kap je beter met computers...
Je bent gewoon aan het klagen op iets wat overal in de ICTwereld als normaal wordt gezien.
Waarom een persoonlijke aanval? Ik schrijf dat ik een discussie zonde van de tijd vindt, ik schrijf dat niet van een persoon. Jij wel.Jij bent eigenlijk zonde van tijd hoor. Als je er niet tegen kan dat Ms je systeem proper wil houden met updates omdat je blijkbaar zelf niet genoeg tijd aan wil spenderen
Jouw mening over de rechten van MS om software die ik installeer op een WIndows-systeem te wijzigen deel ik niet, maar dat heb ik al eerder uitgelegd.
Heel kort: In plaats dat ze mijn systeem proper houden hebben ze een critical vulnerability geïntroduceerd, en drie maanden getreuzeld met repareren. Ze hebben met hun poten af te blijven van wat ik installeer. God weet wat ze nog meer uitvreten op mijn systeem.
[Reactie gewijzigd door SimonKroller op 19 oktober 2009 11:08]
Omdat het de eerste link was die ik tegen kwam in Google en al meteen al 4-5 maanden voor de eerste release van het framework service pack en 9 maanden voor deze in de automatische updates verscheen.Waarom verwijs je dan naar iets wat niemand die het aangaat leest, Is het een quiz misschien?
Die link was verwees naar niet relevante informatie voor 99,99% van de Windows gebruikers, want die gebruiken geen Visual Studio, misschien moet je je google opdrachten verbeteren, maar goed, volgende keer beter.Omdat het de eerste link was die ik tegen kwam in Google en al meteen al 4-5 maanden voor de eerste release van het framework .......
[Reactie gewijzigd door SimonKroller op 19 oktober 2009 11:11]
Als het bekend was, waren er geen horde klagende mensen te vinden op het internet, en was het geen highlight geweest op Annoyances.org.
Hier bijvoorbeeld nog op de release dag en nog 5 maanden voor de automatische updates werd er al melding van een developersite dat de plugin werdt meegeinstalleerd bij het servicepack
http://community.devexpre...-framework-assistant.aspx
http://community.devexpre...-framework-assistant.aspx
Nogmaals, wie leest er nu info op een developers-site? Dat is toch geen manier om aan gebruikers kennis te geven van belangrijk nieuws over een stille (aan third party-product) software-toevoeging en (third party) configuratie-wijziging?
[Reactie gewijzigd door SimonKroller op 19 oktober 2009 11:12]
Als het je zo fel interesseert dat het erger is dan je hond die sterft, dan zou je dat lezen ja.
Je bent gewoon aan het klagen man. Je hebt een vinkje aangelaten bij een update en op "installeren" geklikt. Jij hebt de toestemming gegeven.
Je bent gewoon aan het klagen man. Je hebt een vinkje aangelaten bij een update en op "installeren" geklikt. Jij hebt de toestemming gegeven.
Sterk argument, maar ik benader de situatie toch anders.Je bent gewoon aan het klagen man. Je hebt een vinkje aangelaten bij een update en op "installeren" geklikt. Jij hebt de toestemming gegeven.
Maar ook afgezien van mijn benadering. Microsoft dient third party-software en de configuraties daarvan niet aan te raken, behalve in uiterste noodgeval, maar dan moet er ook een kennisgeving bij horen.
Jij vindt het misschien niet interessant wat Microsoft op jouw computer doet. Er zijn veel mensen die daar anders over denken.
[Reactie gewijzigd door SimonKroller op 19 oktober 2009 13:18]
ja same here, ben zoiezo blij dat mozilla bestaat beste browser sofar.
[Reactie gewijzigd door Esxca op 18 oktober 2009 17:30]
Kreeg zojuist inderdaad in Firefox 3.6 Alpha 1 en in Thunderbird Beta nogiets de melding dat de extensies worden geblokkeerd.
Ik vraag me echt af wat Microsoft bezielt. Wél een lek in Internet Explorer 5 & 6 dichten, maar niet in een Firefox plugin. Willen ze Mozilla een slechte naam bezorgen?
Vaak zijn dat gewoon totaal verschillende projectgroepen. De projectgroep voor IE is het gat dus al aan het dichten geweest en is waarschijnlijk groot genoeg om dat snel voor elkaar te krijgen.
De projectgroep voor een Firefox plugin zal vele malen kleiner zijn. Blijkbaar zijn zij er nog niet klaar mee.
De projectgroep voor een Firefox plugin zal vele malen kleiner zijn. Blijkbaar zijn zij er nog niet klaar mee.
Het komt microsoft toevallig wel heel goed uit als opeens alle media koppen "Firefox gevaarlijk". Dat dan in het artikel staat dat microsoft de dader is, maakt niets uit, de reputatieschade is dan al gedaan.
opeens alle media koppen...
"Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit"
Hier staat toch echt geen reputatieschade voor firefox in, en ik verwacht niet dat dit in andere artikels hierover wel het geval zal zijn
"Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit"
Hier staat toch echt geen reputatieschade voor firefox in, en ik verwacht niet dat dit in andere artikels hierover wel het geval zal zijn
Tsja eigen producten eerst he. Da's geen heel vreemde strategie voor een bedrijf lijkt me. Daarnaast was het misschien wel makkelijker te verhelpen in IE 5 t/m 8 omdat de implementatie daar redelijk gelijk gebleven zou kunnen zijn en MS natuurlijk meer expertise heeft met deze browsers.
Maar goed, ben met je eens dat dit wat slechte publiciteit zou kunnen opleveren voor MS. Ik vermoed echter dat dit vooral zo zal zijn bij gebruikers die MS toch al niet heel hoog hebben zitten
Maar goed, ben met je eens dat dit wat slechte publiciteit zou kunnen opleveren voor MS. Ik vermoed echter dat dit vooral zo zal zijn bij gebruikers die MS toch al niet heel hoog hebben zitten
Die Add-on is een eigen product van Microsoft, en derhalve hebben ze de plicht hier goed mee om te gaan.Tsja eigen producten eerst he.
Het probleem in FF was ook gedicht met die update. Het probleem zat niet in de FF plugin, maar een windows onderdeel wat daardoor gebruikt werd. Echter de plugin versie was niet gewijzigd waardoor het voor FF niet controleerbaar zou zijn om te zien of het systeem van de gebruiker geupdate is of niet. Daarom is alsnog die plugin geblokkeerd.
[Reactie gewijzigd door trerk op 18 oktober 2009 14:41]
Het heeft niets, maar dan ook niets met een lek in de plugin te maken; maar met een exploit in de onderliggende componenten van het .NET framework. Mozilla krijgt er daarom flink van langs in de bijbehorende Bugzilla bug. Een tweetal reacties uit de commentaar draad aldaar:Wél een lek in Internet Explorer 5 & 6 dichten, maar niet in een Firefox plugin.
En:You did not publish a notice.
You did not provide an option.
You did not make it known to users that a fix was available through MS and
provide them an option.
What you did was decide for me and all of my users what was right.
What you did was remove functioning technology was taken from the browser
without my consent.
What you did was make it very obvious to those at the upper management and
executive level that we do NOT in fact have control of the application and that
we can NOT make it do everything we need it to do.
What you did is completely can my efforts to get Firefox instated as our
primary browser.
What you did is disable an add-on that on our systems is not vulnerable.
What you did is make it so that the only work around to turning the tech back
on is to disable an otherwise well implemented security tool.
What you did is take away the decision of what is best for me and display the
fact that you have become Apple in deciding for me.
Lijkt me dat Microsoft weer eens voor niets als "bad guy" wordt bestempeld. Als Mozilla even contact had gezocht met Microsoft over het hoe en wat was er niets aan de hand geweest en hadden ze ook de plugin niet hoeven te blokkeren en eventueel paniek hoeven te veroorzaken onder Firefox gebruikers.Must agree with multiple other users here. Adding these extensions to the
blocklist was unwarranted at this time. The OS level patches for these issues
has already been issued by MS on patch Tuesday. What has just been "fixed" was
already fixed. This needs to be undone ASAP.
[Reactie gewijzigd door mindcrash op 18 oktober 2009 14:50]
"I spoke on the phone with the responsible director at Microsoft on Friday, and
she agreed that the blocklist was the right approach. We can evaluate changes
to the blocklist in the future, and updates take effect quite quickly, but
right now both Microsoft and Mozilla are in agreement that this is the best way
to protect our mutual users."
Lijkt me dat de klagers ook met Microsoft contact op moeten nemen omdat die het eens zijn met de blokkade als aanpak.
she agreed that the blocklist was the right approach. We can evaluate changes
to the blocklist in the future, and updates take effect quite quickly, but
right now both Microsoft and Mozilla are in agreement that this is the best way
to protect our mutual users."
Lijkt me dat de klagers ook met Microsoft contact op moeten nemen omdat die het eens zijn met de blokkade als aanpak.
"Hallo Microsoft. Wij willen een feature van onze IE-concurrent uitschakelen voor al onze gebruikers en zo een deel van die gebruikers en hun managers flink irriteren en onze kansen op de browsermarkt laten afnemen. Hebben jullie daar bezwaar tegen?"
Natuurlijk dat MS het met zo'n actie eens is.
Natuurlijk dat MS het met zo'n actie eens is.
Nouja, dan heeft Mike Shaver contact gehad met een manager bij Microsoft. Betekend nog wel altijd dat Mozilla op eigen houtje even een plugin heeft gedeactiveerd waar veel bedrijven afhankelijk van zouden kunnen zijn. Ik kan me best voorstellen dat er een hoop bedrijven zijn waarbinnen vanwege security overwegingen Firefox is uitgerold en IE wordt geblokkeerd via Group Policies; maar die vanwege business overwegingen wél gebruik maken van het .NET Framework en functionaliteiten als ClickOnce en XBAP, en deze zijn door deze blokkade binnen Firefox niet meer bruikbaar.I spoke on the phone with the responsible director at Microsoft on Friday, and
she agreed that the blocklist was the right approach.
De sysadmins van de betreffende bedrijven kunnen dus maandag vlot aan de slag om een oplossing te zoeken die voldoet aan de security eisen die binnen het bedrijf zijn opgesteld (En "even IE deblokkeren" is bij een bedrijf met een goede security policy niet echt een optie die op enorm korte termijn uitgevoerd kan worden).
Als ze inderdaad contact hebben gezocht met Microsoft is er daarna wellicht niet helemaal goed bekeken wat de impact van de blokkade is aan Mozilla's kant. Het blijft zoals ik al eerder zei een erg slechte keuze om zomaar een functionaliteit uit te schakelen zonder na te gaan wat voor impact dit heeft bij de Firefox gebruiker c.q. de IT binnen een organisatie.
Wat mij betreft hadden ze beter een waarschuwing kunnen laten zien, met de optie om de betreffende extensie uit te schakelen, of in het geval van een omgeving die door sysadmins wordt beheerd een mogelijkheid te geven om een eventuele blocklist gecentraliseerd te kunnen beheren binnen de IT omgeving.
Update: Ik las net dat Mozilla ondertussen ook schijnbaar doorheeft dat de huidige oplossing niet echt handig is voor bedrijven die Firefox gebruiken i.c.m. .NET features zoals ClickOnce:
A small update, for those who are following this gripping drama, and can read
past the hyperbole: I'm continuing to talk to Microsoft about our joint options
here, and I think we'll have a few ways to reduce the impact on people who are
patched up and want to re-enable Click-Once. Hopefully before the work week
begins, even; neither of us want this situation to be any more invasive than it
necessary to protect people, so we'll be working through the weekend on it.
[Reactie gewijzigd door mindcrash op 18 oktober 2009 15:40]
Ik weet niet welke bedrijven jij kent maar ik ken er geen (en ik heb er al wat gezien) die Firefox boven IE stellen. Eerder andersom. Heeft o.a. te maken met support-contract. Tuurlijk vind de sysadmin Firefox beter etc. echter heeft men tig miljoen naar Redmond gestuurd dan ga je niet die software uitzetten. Dan kun je net zogoed overstappen op Ubuntu als het aan de sysadmin ligt.
Dus wellicht is IE minder veilig dan Firefox maar IE6 is voornamelijk in het bedrijfsleven nog (te) groot.
Dus wellicht is IE minder veilig dan Firefox maar IE6 is voornamelijk in het bedrijfsleven nog (te) groot.
Het was Microsoft die op eigen houtje besloot de kwetsbare .NET assistent aan Firefox toe te voegen. Het was Microsoft die besloot het onmogelijk te maken deze add-on uit te schakelen, zoals je alle andere add-ons in Firefox wel uit kan schakelen. Microsoft deed dat zonder telefonisch contact. Microsoft installeerde die add-on zonder haar eigen Windows-gebruikers die ook Firefox hadden hiervan op de hoogte te stellen.Betekend nog wel altijd dat Mozilla op eigen houtje even een plugin heeft gedeactiveerd waar veel bedrijven afhankelijk van zouden kunnen zijn.
Het was Microsoft die ervoor heeft gezorgd dat haar klanten die Firefox gebruiken drie maanden lang kwetsbaar waren, en het was Microsoft die dit drie maanden lang niet aan haar klanten gemeld heeft terwijl ze er van op de hoogte waren.
Nee, Microsoft besloot slechts de plugin systeemwijd te installeren zodat alle gebruikers deze konden gebruiken. Firefox zelf echter maakt dan de disable button voor dergelijke plugins unavailable (zelfs blijkbaar voor admins).Het was Microsoft die besloot het onmogelijk te maken deze add-on uit te schakelen, zoals je alle andere add-ons in Firefox wel uit kan schakelen
Dat was niet de bedoeling van MS. Dus heeft Microsoft dit later geupdate zodat alle gebruikers wel weer de plugins konden disabelen
[Reactie gewijzigd door hAl op 18 oktober 2009 23:55]
Gebrekkige communicatie van Microsoft dus: Ze wisten niet waar ze mee bezig waren.
Ik snap dat dat de bedoeling was. Als je toch stiekem software pusht dan wil je ook dat alle gebruikers hier mee te maken hebben.Nee, Microsoft besloot slechts de plugin systeemwijd te installeren zodat alle gebruikers deze konden gebruiken.
Is de normaalste zaak van de wereld dat je een gevaarlijke bug niet naar buiten brengt. In FF zitten ook tientallen gevaarlijke bugs maar ze gaan ze niet vertellen. Hoe dom zou je zijn als bedrijf
Security by means of obscurity werkt niet, dat is al zeer vaak gebleken...
En voor elk geval waar het niet werkt, zijn er tientallen gevallen waar het wel werkt. Merendeel van de patches heeft nog geen gebruikte exploit.
Je mist het belangrijkste punt:Lijkt me dat Microsoft weer eens voor niets als "bad guy" wordt bestempeld.
Als Adobe Flash kwetsbaar is, kan Mozilla aan de Firefox gebruikers voorstellen om dit uit te schakelen.
Als .NET kwetsbaar is, kan Mozilla ook voorstellen aan Firefox gebruikers de add-on tijdelijk te 'disablen', keus aan de gebruiker.
Dat kon echter niet aangezien Microsoft ervoor gekozen had het onmogelijk te maken de de plug-in uit te schakelen.
Jammerlijke opmerking want dat is gewoon niet waar.Dat kon echter niet aangezien Microsoft ervoor gekozen had het onmogelijk te maken de de plug-in uit te schakelen.
Ik heb de plugin namelijk net zelf even geenabled en gedisabled op een al een maand niet geupdatete secundaire windows installatie.
Er staat 'kon' niet, en 'gekozen had' (VVT!)
Jij praat over het verleden. 'T gaat hier over vandaag waar een gebruiker dat wel al zelf kan.
Als we het hebben over vandaag is het hele artikel geen issue meer, want de ClickOnce add-on is inmiddels van de bloklijst af en gebruikers kunnen clickonce weer gebruiken (daar hebben enkele mensen hun vrije zondag voor opgeofferd).
ik weet niet wie hier een slecht naam van krijgt...
(ik weet het echt niet, bij tweakers uiteraard MS maar bij "normale ;)" mensen?)
(ik weet het echt niet, bij tweakers uiteraard MS maar bij "normale ;)" mensen?)
ook MS bij mij niet (ondanks dat ik er bepaald geen fan van ben). Er was een gat, ze hebben het gedicht. Case closed.
Tenzij het allemaal een doelbewust complot was om Firefox/Mozilla in een kwaad daglicht te zetten door wat hierboven geopperd wordt. Maar dat valt niet te bewijzen, en dat zal waarschijnlijk nooit te bewijzen zijn.
Tenzij het allemaal een doelbewust complot was om Firefox/Mozilla in een kwaad daglicht te zetten door wat hierboven geopperd wordt. Maar dat valt niet te bewijzen, en dat zal waarschijnlijk nooit te bewijzen zijn.
"Normale" mensen hebben niet gemerkt dat die plugin er ooit geweest was. En als ze dat wel hebben gemerkt dan weten ze ws niet eens wat het is. Laat staan dat het ze boeit dat het nu niet meer werkt.
Anyway; Omdat FF plugins sowieso een een bepaalde security risk zijn, lijkt het me een prima zet van Mozilla om geen plugins toe te staan die de gebruiker niet zelf heeft geinstalleerd. Wie kan ze dat nou kwalijk nemen?
Anyway; Omdat FF plugins sowieso een een bepaalde security risk zijn, lijkt het me een prima zet van Mozilla om geen plugins toe te staan die de gebruiker niet zelf heeft geinstalleerd. Wie kan ze dat nou kwalijk nemen?
Je kan je ook afvragen wat Mozilla bezielt om zomaar zonder jouw toestemming dingen in jouw browser uit te schakelen....
...Nee, je moet je vooral afvragen waarom Microsoft dit soort add ons ongevraagd installeert waarbij de knop om deze uit te schakelen niet werkte en het dus alleen kan door in de registry te hacken of om middels een extra tool.
Ik wou het net zeggen. Die plugin heb ik nooit geïnstalleerd, maar hij staat er evengoed gewoon tussen, en je kunt hem niet verwijderen zonder een handmatige, en tamelijk omslachtige, procedure te doorlopen. Of dan nu dat tooltje, maar de plugin staat er al een paar maanden in.
Niks Mozilla die tegen jouw toestemming een plugin eruit gooit, maar Microsoft die 'm er zonder jouw toestemming überhaupt ín heeft gestopt.
Niks Mozilla die tegen jouw toestemming een plugin eruit gooit, maar Microsoft die 'm er zonder jouw toestemming überhaupt ín heeft gestopt.
Wel even relativeren.
De patch heb je geïnstalleerd, of via handmatige installatie of via automatische. Daarbij heb je in beide gevallen de update goedgekeurd (of vooraf door voor een automatische update te kiezen, of handmatig door de installatie goed te keuren)
Dat de patch niet direct is te deïnstalleren is netjes gedocumenteerd in het KB artikel: http://support.microsoft.com/kb/951847 met uitleg waarom dit niet zonder meer kan.
Issue 2
.NET Framework assistant for Firefox has the Uninstall button disabled. In the .NET Framework 3.5 SP1, the .NET Framework Assistant enables Firefox to use the ClickOnce technology that is included in the .NET Framework. The .NET Framework Assistant is added at the computer level so that its functionality can be used by all users at the computer level instead of at the user level. Therefore, the Uninstall button is unavailable in the Firefox Add-ons menu because standard users are not permitted to uninstall computer level components.
Resolution
An update has been produced to resolve this issue and make this version of the .NET Framework Assistant for Firefox compatible with the next version of the Firefox browser. For more information, click the following article number to view the article in the Microsoft Knowledge Base:
963707 (http://support.microsoft.com/kb/963707/ ) How to remove the .NET Framework Assistant for Firefox
Over of de installatie van Dot-net functionaliteit voor Firefox netjes was van Microsoft valt te discusseren, over of je het toe hebt gestaan niet.
Ik ben het zelf ook niet helemaal eens met hoe de plugin in Firefox is geïnstalleerd, maar daar is Microsoft op zich niet schuldig aan, je hebt de goedkeuring immers zelf gegeven. Dat deze als een update voor het framework zelf is aangeboden, ondanks dat deze ook een plug-in voor Firefox installeerd is inderdaad minder netjes, een extra vraag hiervoor zou ik wel hebben kunnen waarderen maar kun je Microsoft uiteraard niet verplicht stellen.
Voor het bedrijfsnetwerk dat ik beheer wordt elke patch uitgebreid getest en was deze implementatie meteen duidelijk. Ondanks dat is de update zonder problemen doorgezet binnen mijn bedrijf, een uitbreiding zoals deze is in veel opzichten een verbetering.
Dat Mozilla nu bepaald dat deze uitgeschakeld wordt op een verder volledig gepatched systeem is niet alleen onnodig maar zal waarschijnlijk support calls opleveren voor lokale service desks in bedrijven wat mij niet een wenselijke situatie lijkt.
Ik kan alleen maar hopen dat Mozilla deze blokkade snel weer opheft, thuisgebruikers vinden wel een workaround, vooral degenen die handig genoeg zijn met computers om uberhoubt Firefox te installeren. Mozilla heeft helaas hiermee bewezen dat het voor bedrijfsmatig gebruik niet geschikt is. Zij hebben niet voor mij te beslissen welke plug-in's ik wel of niet wil gebruiken. Patches moeten beschikbaar zijn, niet zonder meer uitgerold worden.
De patch heb je geïnstalleerd, of via handmatige installatie of via automatische. Daarbij heb je in beide gevallen de update goedgekeurd (of vooraf door voor een automatische update te kiezen, of handmatig door de installatie goed te keuren)
Dat de patch niet direct is te deïnstalleren is netjes gedocumenteerd in het KB artikel: http://support.microsoft.com/kb/951847 met uitleg waarom dit niet zonder meer kan.
Issue 2
.NET Framework assistant for Firefox has the Uninstall button disabled. In the .NET Framework 3.5 SP1, the .NET Framework Assistant enables Firefox to use the ClickOnce technology that is included in the .NET Framework. The .NET Framework Assistant is added at the computer level so that its functionality can be used by all users at the computer level instead of at the user level. Therefore, the Uninstall button is unavailable in the Firefox Add-ons menu because standard users are not permitted to uninstall computer level components.
Resolution
An update has been produced to resolve this issue and make this version of the .NET Framework Assistant for Firefox compatible with the next version of the Firefox browser. For more information, click the following article number to view the article in the Microsoft Knowledge Base:
963707 (http://support.microsoft.com/kb/963707/ ) How to remove the .NET Framework Assistant for Firefox
Over of de installatie van Dot-net functionaliteit voor Firefox netjes was van Microsoft valt te discusseren, over of je het toe hebt gestaan niet.
Ik ben het zelf ook niet helemaal eens met hoe de plugin in Firefox is geïnstalleerd, maar daar is Microsoft op zich niet schuldig aan, je hebt de goedkeuring immers zelf gegeven. Dat deze als een update voor het framework zelf is aangeboden, ondanks dat deze ook een plug-in voor Firefox installeerd is inderdaad minder netjes, een extra vraag hiervoor zou ik wel hebben kunnen waarderen maar kun je Microsoft uiteraard niet verplicht stellen.
Voor het bedrijfsnetwerk dat ik beheer wordt elke patch uitgebreid getest en was deze implementatie meteen duidelijk. Ondanks dat is de update zonder problemen doorgezet binnen mijn bedrijf, een uitbreiding zoals deze is in veel opzichten een verbetering.
Dat Mozilla nu bepaald dat deze uitgeschakeld wordt op een verder volledig gepatched systeem is niet alleen onnodig maar zal waarschijnlijk support calls opleveren voor lokale service desks in bedrijven wat mij niet een wenselijke situatie lijkt.
Ik kan alleen maar hopen dat Mozilla deze blokkade snel weer opheft, thuisgebruikers vinden wel een workaround, vooral degenen die handig genoeg zijn met computers om uberhoubt Firefox te installeren. Mozilla heeft helaas hiermee bewezen dat het voor bedrijfsmatig gebruik niet geschikt is. Zij hebben niet voor mij te beslissen welke plug-in's ik wel of niet wil gebruiken. Patches moeten beschikbaar zijn, niet zonder meer uitgerold worden.
[Reactie gewijzigd door DB LucF op 18 oktober 2009 22:21]
De installatie was deel van een servicepack en behelsde (IMHO ongeoorloofd) een ingreep in de configuratie van een third party product zonder dat daarvoor een dringende noodzaak was.De patch heb je geïnstalleerd, of via handmatige installatie of via automatische. Daarbij heb je in beide gevallen de update goedgekeurd
Normalerwijze zou je stellen dat Microsoft service-packs Microsoft software betreffen, hier is het naar mijn mening te ver gegaan.
Ik denk dat dit ook spanningen oproept in de context van misbruik van marktoverwicht.
Immers het is alleen aan Microsoft gegeven om third party-software te wijzigen met het Windows-update-mechanisme als vehikel.
Ik denk dat er velen zijn die dit in de toekomst ook gaan eisen. En terecht, natuurlijk. Om hun plugins in Excel te dumpen of Word of Firefox of de Internet Explorer.
Het Microsoft update mechanisme verwordt dan een vehikel voor allerlei software vendors om elkaars software met plugins te bestoken, zoals Microsoft ons heeft getoond dat het kan. De concurrentie-strijd binnen Windows software gaat een nieuwe fase in. De servicepacks van MS worden vele malen groter en zijn overloaded met allerlei plugins.
Veel software is "pluggable" dat is een mooie bijkomstigheid voor de vendors.
Of Microsoft gaat plechtig aangeven dat dit fout handelen is en het zelf niet meer doen. Dat is eigenlijk wat ze zouden moeten doen.
Ik vind deze conclusie zonder meer teleurstellend. De gebruiker werd ongevraagd en niet ingelicht opgescheept met een kritisch lek dat drie maanden openstond.vooral degenen die handig genoeg zijn met computers om uberhoubt Firefox te installeren. Mozilla heeft helaas hiermee bewezen dat het voor bedrijfsmatig gebruik niet geschikt is. Zij hebben niet voor mij te beslissen welke plug-in's ik wel of niet wil gebruiken.
Het was Microsoft die besliste dat jij de plugin binnen Firefox zou moeten gebruiken. Hij is ook nog maandenlang niet deinstalleerbaar geweest.
Dit is een design-keuze geweest. er was immers geen verplichting om de plugin system-wide te installeren.
Maar het is wel begrijpelijk. Als je dan toch stiekem een plugin installeert, dan wil je dat alle gebruikers hem gebruiken, en je wilt het deinstalleren moeilijk maken. Dat is gelukt.
Totdat de kritiek zo hoog opliep dat ze via een patch dit hebben omgezet naar een per-user instelling (daarmee impliciet erkennen dat system-wide een foute beslissing was)
Wel vind ik het goed dat je een "must read" kwalificatie hebt gekregen van Tweakers. Dit geeft de gelegenheid om aan te geven waarin je argumenten falen.
[Reactie gewijzigd door SimonKroller op 19 oktober 2009 15:23]
Bedankt voor het antwoord. Ik kan me in ieder geval gedeeltelijk in je reply vinden, wel heb ik wat op en aanmerkingen over je onderbouwing zeker aangezien je stelt dat mijn argumenten "falen".
De installatie was inderdaad onderdeel van een servicepack, daarin zat een extra plugin welke aan Firefox werd toegevoegd als functieuitbreiding. Vele mensen, waaronder ik zijn blij met eindelijk een directe Microsoft ondersteuning van het dotNet framework onder Firefox (Scheelt een hoop vragen in de trand van: 'Waarom werkt deze "website" niet onder Firefox?' aangezien gebruikers vaak niet weten wat het verschil is tussen een gewone website en een die het dotNet framework aanroept), de vraag hiervoor was al duidelijk door hetgene hieronder door hAl aangegeven. De FFClickOnce firefox addon was behoorlijk populair.
Deze extra plugin is naar mijn idee goed genoeg gedocumenteerd met de installatie, dat iemand deze niet leest is niet echt verassend (Wie leest een EULA volledig?) maar in bijvoorbeeld mijn bedrijf en ik neem aan vele anderen worden dat soort aanpassingen wel degelijk grondig bekeken.
Uiteraard kan gedacht worden dat dit "spanningen oproept in de context van misbruik van marktoverwicht", bedenk daarbij wel dat je ervoor gekozen hebt om een Microsoft besturingssysteem hebt gekocht en daarbij uitbreidingen in functionaliteit verwacht door de jaren heen in de vorm van updates. Het zal niet de eerste keer zijn dat Microsoft updates heeft uitgebracht die veranderingen in of voor software van anderen veroorzaakte (denk aan SP2 van Windows XP) waardoor deze anders of zelfs niet meer werkten. Zoals ik het al in m'n vorige comment zei, ik vind het zelf ook niet helemaal netjes hoe deze update geïnstalleerd is.
Je opmerking "Ik denk dat er velen zijn die dit in de toekomst ook gaan eisen. En terecht, natuurlijk. Om hun plugins in Excel te dumpen of Word of Firefox of de Internet Explorer." lijkt mij achterhaald. Vele applicaties dumpen al plugins in andere (al dan niet Microsoft) applicaties. Denk aan allerhande toolbars of export filters. Deze keer doet Microsoft het met een applicatie van een andere fabrikant en opeens wordt er moord en brand geschreeuwd, wat ik nogal een overtrokken reactie vind.
Dat je mijn conclusie teleurstellend vind kan ik begrijpen aan de hand van je uitleg, echter nogmaals: De gebruiker heeft de update zelf toegestaan. Daarbij moet ook nog wat gerelativeerd worden, als de gebruiker de dotNet functionaliteit in Firefox niet gebruikte, voor welk lek hebben ze dan gestaan? dotNet applicaties installeer je ook bewust, dus ook daarvoor zou dan nogmaals toestemming gegeven moeten worden door een gebruiker (dat kon door dit lek voor zover ik heb kunnen achterhalen niet omzeild worden)
Hoe dan ook, blijf ik bij m'n mening dat door deze blokkade Mozilla heeft bewezen niet geschikt te zijn voor bedrijfsomgevingen. Ik heb binnen het bedrijf meerdere projecten welke via dotNet applicaties werken, ik moet er niet aan denken hoe ik vanochtend op het werk had moeten aankomen en al deze applicaties niet te zien werken. Dat had niet alleen een berg frustratie bezorgd, maar ook flinke financiële verliezen. Als er veiligheidsproblemen met een applicatie zijn dan installeer ik een patch wanneer deze beschikbaar is, als de patch meer problemen geeft dan deze oplost dan installeer ik deze pas nadat ik een goede workaround of anderwegs een oplossing heb gevonden. Langdurige downtime is iets wat niet gewenst is in alle bedrijven die ik ken.
In dit geval was de "workaround" gewoon netjes de patch die door Microsoft aangeboden is installeren en absoluut niet de plugin in Firefox uitschakelen.
Dat Microsoft heeft gekozen de update op een Machine level uit te voeren is wellicht gemakzucht geweest, op dezelfde manier werd deze voor IE geïnstalleerd. Dat daar klachten over kunnen komen is begrijpelijk, dat Microsoft reageerd op die klachten door deze per-user te installeren via een update is alleen maar toe te juichen. (Dit allemaal ruim voordat deze hele kwestie over een geblokkeerde plugin in Firefox begon)
Meningen kunnen verschillen, dat blijkt weer. Ik vind dat Microsoft hierin redelijk netjes heeft gehandeld (Niet perfect, dat zeker niet), anderen vinden dat Microsoft een grote fout hiermee heeft gemaakt.
edit: Nogal wat spelvaudten aangepast.
De installatie was inderdaad onderdeel van een servicepack, daarin zat een extra plugin welke aan Firefox werd toegevoegd als functieuitbreiding. Vele mensen, waaronder ik zijn blij met eindelijk een directe Microsoft ondersteuning van het dotNet framework onder Firefox (Scheelt een hoop vragen in de trand van: 'Waarom werkt deze "website" niet onder Firefox?' aangezien gebruikers vaak niet weten wat het verschil is tussen een gewone website en een die het dotNet framework aanroept), de vraag hiervoor was al duidelijk door hetgene hieronder door hAl aangegeven. De FFClickOnce firefox addon was behoorlijk populair.
Deze extra plugin is naar mijn idee goed genoeg gedocumenteerd met de installatie, dat iemand deze niet leest is niet echt verassend (Wie leest een EULA volledig?) maar in bijvoorbeeld mijn bedrijf en ik neem aan vele anderen worden dat soort aanpassingen wel degelijk grondig bekeken.
Uiteraard kan gedacht worden dat dit "spanningen oproept in de context van misbruik van marktoverwicht", bedenk daarbij wel dat je ervoor gekozen hebt om een Microsoft besturingssysteem hebt gekocht en daarbij uitbreidingen in functionaliteit verwacht door de jaren heen in de vorm van updates. Het zal niet de eerste keer zijn dat Microsoft updates heeft uitgebracht die veranderingen in of voor software van anderen veroorzaakte (denk aan SP2 van Windows XP) waardoor deze anders of zelfs niet meer werkten. Zoals ik het al in m'n vorige comment zei, ik vind het zelf ook niet helemaal netjes hoe deze update geïnstalleerd is.
Je opmerking "Ik denk dat er velen zijn die dit in de toekomst ook gaan eisen. En terecht, natuurlijk. Om hun plugins in Excel te dumpen of Word of Firefox of de Internet Explorer." lijkt mij achterhaald. Vele applicaties dumpen al plugins in andere (al dan niet Microsoft) applicaties. Denk aan allerhande toolbars of export filters. Deze keer doet Microsoft het met een applicatie van een andere fabrikant en opeens wordt er moord en brand geschreeuwd, wat ik nogal een overtrokken reactie vind.
Dat je mijn conclusie teleurstellend vind kan ik begrijpen aan de hand van je uitleg, echter nogmaals: De gebruiker heeft de update zelf toegestaan. Daarbij moet ook nog wat gerelativeerd worden, als de gebruiker de dotNet functionaliteit in Firefox niet gebruikte, voor welk lek hebben ze dan gestaan? dotNet applicaties installeer je ook bewust, dus ook daarvoor zou dan nogmaals toestemming gegeven moeten worden door een gebruiker (dat kon door dit lek voor zover ik heb kunnen achterhalen niet omzeild worden)
Hoe dan ook, blijf ik bij m'n mening dat door deze blokkade Mozilla heeft bewezen niet geschikt te zijn voor bedrijfsomgevingen. Ik heb binnen het bedrijf meerdere projecten welke via dotNet applicaties werken, ik moet er niet aan denken hoe ik vanochtend op het werk had moeten aankomen en al deze applicaties niet te zien werken. Dat had niet alleen een berg frustratie bezorgd, maar ook flinke financiële verliezen. Als er veiligheidsproblemen met een applicatie zijn dan installeer ik een patch wanneer deze beschikbaar is, als de patch meer problemen geeft dan deze oplost dan installeer ik deze pas nadat ik een goede workaround of anderwegs een oplossing heb gevonden. Langdurige downtime is iets wat niet gewenst is in alle bedrijven die ik ken.
In dit geval was de "workaround" gewoon netjes de patch die door Microsoft aangeboden is installeren en absoluut niet de plugin in Firefox uitschakelen.
Dat Microsoft heeft gekozen de update op een Machine level uit te voeren is wellicht gemakzucht geweest, op dezelfde manier werd deze voor IE geïnstalleerd. Dat daar klachten over kunnen komen is begrijpelijk, dat Microsoft reageerd op die klachten door deze per-user te installeren via een update is alleen maar toe te juichen. (Dit allemaal ruim voordat deze hele kwestie over een geblokkeerde plugin in Firefox begon)
Meningen kunnen verschillen, dat blijkt weer. Ik vind dat Microsoft hierin redelijk netjes heeft gehandeld (Niet perfect, dat zeker niet), anderen vinden dat Microsoft een grote fout hiermee heeft gemaakt.
edit: Nogal wat spelvaudten aangepast.
[Reactie gewijzigd door DB LucF op 19 oktober 2009 22:24]
Persoonlijk vind ik het onverdraaglijk wanneer een vendor ongevraagd en zonder zeer expliciete waarschuwing een onverwijderbare plugin dumpt in een applicatie die niet van hem is. Zeker extra als dit gaat via een update-mechanisme dat eigenlijk is bedoelt om vulnerabilities op te lossen en vanwege zijn aard draait in absolute system-credentials (namelijk tijdens down gaan of opkomen van systeem)Vele applicaties dumpen al plugins in andere (al dan niet Microsoft) applicaties. Denk aan allerhande toolbars of export filters. Deze keer doet Microsoft het met een applicatie van een andere fabrikant en opeens wordt er moord en brand geschreeuwd, wat ik nogal een overtrokken reactie vind.
Dat er andere vendors zijn die dit ook doen maakt het er niet beter op. Het wordt dan hoog tijd om dit af te keuren. Andere vendors zijn wel makkelijker te stoppen in dit soort acties omdat ze niet de privileges van het Windows update proces beschikken. Dat is een cruciaal verschil.
Wat je hieronder zegt is strijdig
met....als de gebruiker de dotNet functionaliteit in Firefox niet gebruikte, voor welk lek hebben ze dan gestaan
Je hebt namelijk geen keuze om meen plugin wel of niet te gebruiken, dat gaat automatisch, en zo wordt je dan ook automatisch aan het kritische lek dat drie maanden openstond blootgesteld. Gewoon een kwestie van op de verkeerde website komen. Dit staat in de advisoryScheelt een hoop vragen in de trand van: 'Waarom werkt deze "website" niet onder Firefox?' aangezien
An attacker could exploit the vulnerability by constructing a specially crafted Web page. When a user views the Web page, the vulnerability could allow remote code execution.
Je klanten pakken in de kleine lettertjes in de EULA die een laag opgeleid persoon, maar ook menig hoger opgeleid persoon werkelijk niet kan begrijpen is niet bepaald een voorbeeld van de gebruiksvriendelijkheid en klantvriendelijkheid waarop Microsoft zich zo vaak beroemt.Deze extra plugin is naar mijn idee goed genoeg gedocumenteerd met de installatie, dat iemand deze niet leest is niet echt verassend (Wie leest een EULA volledig?) maar in bijvoorbeeld mijn bedrijf en ik neem aan vele anderen worden dat soort aanpassingen wel degelijk grondig bekeken.
Je kan gerust stellen dat de plugin op een sneaky manier is geïnstalleerd.
[Reactie gewijzigd door SimonKroller op 20 oktober 2009 01:32]
Jawel, en wel door middels van het draaien van Windows Update. Had u geen Windows Update gedraait, dan was u niet drie maanden lang kwetsbaar geweest voor dit lek (maar wel voor alle andere natuurlijk).Die plugin heb ik nooit geïnstalleerd
Je moet wu niet aan hebben om die patch binnen te krijgen. Genoeg software heeft de redis van .NET in hun installatie dus hij zou er opkomen.
Je kan .NET updates ook gewoon afvinken als je het niet nodig vindt dat bugs opgelost worden.
Je kan .NET updates ook gewoon afvinken als je het niet nodig vindt dat bugs opgelost worden.
Sorry, maar je opmerking snijdt geen hout. Waarom zit er opeens zo'n firefox add on bij een bugfix? Gewoon weer een staaltje koppelen van software van Microsoft. Die add on was en is helemaal niet nodig voor .net applicaties.
[Reactie gewijzigd door zordaz op 19 oktober 2009 08:46]
De addon zat in een service pack.
De reden was de populariteit van de reeds doorvoor bestaande FFClickOnce firefox addon voor het .NET framework die zeker in bepaalde organiaties heel handig gevonden werd om software te deployen. Deze plugin raakte echter updates nog wel eens overstuur/onbruikbaar. Daarvoor heeft men bij MS bedacht de plugin in het framework te stoppen en te onderhouden.
Het was dus geen bugfix maar een geplande feature uitbreiding van het .NET framework aangekondigd in mei 2008. Dat framework is in de tweede helft van 2008 beschikbaar gesteld voor downloads en een klein half jaar later uitgerold als automatische update.
Hier een uitgebreide uitleg van de plugin in 2008 een maandje of 4 voordat deze werd via WU werd uitgerold.
http://www.hanselman.com/...OnceXBAPsAndNET35SP1.aspx
De reden was de populariteit van de reeds doorvoor bestaande FFClickOnce firefox addon voor het .NET framework die zeker in bepaalde organiaties heel handig gevonden werd om software te deployen. Deze plugin raakte echter updates nog wel eens overstuur/onbruikbaar. Daarvoor heeft men bij MS bedacht de plugin in het framework te stoppen en te onderhouden.
Het was dus geen bugfix maar een geplande feature uitbreiding van het .NET framework aangekondigd in mei 2008. Dat framework is in de tweede helft van 2008 beschikbaar gesteld voor downloads en een klein half jaar later uitgerold als automatische update.
Hier een uitgebreide uitleg van de plugin in 2008 een maandje of 4 voordat deze werd via WU werd uitgerold.
http://www.hanselman.com/...OnceXBAPsAndNET35SP1.aspx
[Reactie gewijzigd door hAl op 19 oktober 2009 09:46]
Wat Microsoft heeft gedaan is misbruik van hun dominante marktpositie door deze plugin te laten meeliften op een service pack, en op wat vage developer-sites daarvan mededeling te doen
Je moet gewoon met je handen van third party-software configuraties afblijven.
Het is werkelijk heel simpel. God weet wat ze nog meer uitvreten zonder mij erover in te lichten.
Mensen moeten zelf kunnen kiezen of ze een dotnet plugin in firefox willen hebben.
Nu kunnen we een tijdje welles/niets gaan roepen, maar dat is zoals ik het zie.
Je moet gewoon met je handen van third party-software configuraties afblijven.
Het is werkelijk heel simpel. God weet wat ze nog meer uitvreten zonder mij erover in te lichten.
Mensen moeten zelf kunnen kiezen of ze een dotnet plugin in firefox willen hebben.
Nu kunnen we een tijdje welles/niets gaan roepen, maar dat is zoals ik het zie.
Je kan je ook afvragen wat Microsoft bezielt om zomaar zonder jouw toestemming dingen in jouw browser te installeren....
Want dat is precies wat hieraan ten grondslag ligt. Een plugin die Microsoft 'onder water' aan FF toevoegde levert een route naar een vulnerability die de veiligheid van je systeem in gevaar brengt zolang je niet de juiste windows updates geinstalleerd hebt.
Een plugin bovendien die, door de manier waarop die geinstalleerd was, niet op de standaard manier was te deinstalleren. Dat kreng hadden ze er al veel eerder uit moeten gooien. Als Microsoft op de 'normale' manier een plugin voor de firefox browser had aangeboden had iedere gebruiker voor zichzelf kunnen kiezen of ze deze plugin wilde of niet en was het hele probleem er niet geweest. Behalve voor de gebruikers die alsnog die plugin willen. Maar dan was er een mogelijkheid geweest voor eenvoudige deinstallatie OF microsoft kon natuurlijk ook met de security patch een (destenoods dummy - alleen versienummer) nieuwe plugin meeleveren. Op die manier kan Mozilla dan weer onderscheid maken tussen een gepatched en een ongepatched systeem.
Want dat is precies wat hieraan ten grondslag ligt. Een plugin die Microsoft 'onder water' aan FF toevoegde levert een route naar een vulnerability die de veiligheid van je systeem in gevaar brengt zolang je niet de juiste windows updates geinstalleerd hebt.
Een plugin bovendien die, door de manier waarop die geinstalleerd was, niet op de standaard manier was te deinstalleren. Dat kreng hadden ze er al veel eerder uit moeten gooien. Als Microsoft op de 'normale' manier een plugin voor de firefox browser had aangeboden had iedere gebruiker voor zichzelf kunnen kiezen of ze deze plugin wilde of niet en was het hele probleem er niet geweest. Behalve voor de gebruikers die alsnog die plugin willen. Maar dan was er een mogelijkheid geweest voor eenvoudige deinstallatie OF microsoft kon natuurlijk ook met de security patch een (destenoods dummy - alleen versienummer) nieuwe plugin meeleveren. Op die manier kan Mozilla dan weer onderscheid maken tussen een gepatched en een ongepatched systeem.
[Reactie gewijzigd door jiriw op 18 oktober 2009 16:34]
Je hebt toestemming gegeven door in windows update een vinkje aan te laten. Let je daar niet op wat je installeert, dan interesseert het je blijkbaar gewoon niet.
Mensen die niet gaan stemmen moeten ook niet klagen als het niet goed gaat. Ze hebben gekozen om niet te kiezen.
Mensen die niet gaan stemmen moeten ook niet klagen als het niet goed gaat. Ze hebben gekozen om niet te kiezen.
Ik heb een vinkje aanstaan om microsoft bugfixes binnen te halen voor software die op mijn pc staat, niet om daaraan gekoppeld plotseling allerlei extra rommel binnen te krijgen!
Idd Ms bugfixes, dat betekent alles wat Ms maakt en dus ook die plugin. Daarbij zat het probleem zelfs niet in de plugin.
heb er hier ook last van gehad, goed dat ze dit zo snel hebben gepatcht.
Heb door de .net add-on een aardige werkje gehad om Vundo eraf te halen
Heb door de .net add-on een aardige werkje gehad om Vundo eraf te halen
Is drie maanden snel?goed dat ze dit zo snel hebben gepatcht.
Dat is heel behoorlijk voor lekken die geen publieke exploit hebben. (zover ik weet ook nu nog niet). Vrijwel elke maand patched Mozilla ook kritieke lekken die als meer dan 3 maanden open stonden.
Het gaat om een vulnerability die remote overname van een machine mogelijk maakt.
Microsoft zelf spreekt over critical: http://www.microsoft.com/...ty/bulletin/ms09-054.mspx
Microsoft zelf spreekt over critical: http://www.microsoft.com/...ty/bulletin/ms09-054.mspx
Ja maar dat een vunerability bestaat betekent nog niet meteen dat er exploits voor zijn.
Sterker nog ,de meeste exploits ontstaan pas na dat het lek al gepatched is.
En voor dit reeds gepatchte lek zijn ook nu nog steeds geen exploits bekend.
Sterker nog ,de meeste exploits ontstaan pas na dat het lek al gepatched is.
En voor dit reeds gepatchte lek zijn ook nu nog steeds geen exploits bekend.
Ik zit niet op geruststelling te wachten als ik drie maanden ongevraagd in een kritische vulnerable positie wordt geplaatst,.
Het gaat om een kritische vulnerability in software die het uitzetknopje uitgeschakeld heeft.
Microsoft heeft het plugin mechanisme ernstig misbruikt. Ze hebben bestanden bewerkt die zij niet zelf hebben geïnstalleerd, en zonder toestemming en zonder kennisgeving. Ze laten een kritische vulnerability direct hieraan gerelateerd drie maanden openstaan, ze maken het onmogelijk om de plugin uit te schakelen
Zelfs als er geen exploits zijn is de situatie ernstig genoeg, maar dat heb ik nog geen enkele keer van jou gehoord, en zoalg je dat niet erkent, doen de geruststellingen niet zoveel. Als je mensen wil overtuigen van je goede wil, dan is het goed dat je erkent dat de Firefox-gebruikers hier een rare streek is geleverd.
Zolang je dat niet erkend lijk je in mij ogen op iemand die blijft draaienv oor zijn gelijk, zoals ik al schreef, met hagel schieten.
Het gaat om een kritische vulnerability in software die het uitzetknopje uitgeschakeld heeft.
Microsoft heeft het plugin mechanisme ernstig misbruikt. Ze hebben bestanden bewerkt die zij niet zelf hebben geïnstalleerd, en zonder toestemming en zonder kennisgeving. Ze laten een kritische vulnerability direct hieraan gerelateerd drie maanden openstaan, ze maken het onmogelijk om de plugin uit te schakelen
Zelfs als er geen exploits zijn is de situatie ernstig genoeg, maar dat heb ik nog geen enkele keer van jou gehoord, en zoalg je dat niet erkent, doen de geruststellingen niet zoveel. Als je mensen wil overtuigen van je goede wil, dan is het goed dat je erkent dat de Firefox-gebruikers hier een rare streek is geleverd.
Zolang je dat niet erkend lijk je in mij ogen op iemand die blijft draaienv oor zijn gelijk, zoals ik al schreef, met hagel schieten.
[Reactie gewijzigd door SimonKroller op 19 oktober 2009 01:00]
Microsoft heeft zelfs kritische bugs die pas na jaren opgelost worden. Heb al eens een update gezien van een bug die al 8 jaar in Windows zat. Elk OS heeft van die bugs en 3maand is wel degelijk snel om iets te vinden, te testen en daarna uit te sturen.
Toevallig heel recentelijk. Een vulnerability-fix in Windows 7 RC en Vista die gebackport kon worden naar Windows 2000, dat is al negen jaar. Die vulnerability zat gewoon in de architectuur van de TCP/IP-stack. Linux en Apple hadden er ook last van.Heb al eens een update gezien van een bug die al 8 jaar in Windows zat.
Overigens hebben zowel RedHAT als Microsoft besloten om niet alle ondersteunde producten van deze vulnerability te bevrijden. Dus hij zal nog wel 15 jaar gaan voorkomen, omdat dat de einddatum is van de extended support van XP. Ik geloof dat beide systemen een workaround hebben, en dat de vulnerability erg moeilijk te exploiteren is, maar dat is een ander onderwerp.
Dat zijn gewoon dingen die voorkomen. Daarover gaat deze discussie niet.
Een leuke bijkomstigheid is wel dat bepaalde kernel-code in Windows7 RC ook in Windows 2000 al voorkwam. Ik vind dat heel begrijpelijk. Dat "volledig nieuw geschreven kernel"-marketing heb ik altijd een sprookje gevonden. Waarom zou je dat doen? Er zal altijd code meeliften, voor 99% goede code, die de tand des tijds heeft doorstaan. Waarom zou je die weggooien? Opnieuw schrijven is het wiel opnieuw uitvinden (en de gebruikelijke bugs die erbij komen).
Maar dat werd dus nu en passant ook aangetoond dat het een sprookje was (niet voor de eerste keer).
[Reactie gewijzigd door SimonKroller op 19 oktober 2009 11:29]
Ik merkte het vanochtend ja.. Goed gedaan Mozilla!
zeker weten, ik was niet eens op de hoogte van deze blocklist functionaliteit, en vind hem prima werken. Firefox, als U veiligheid zoekt. 
Als je de bovenstaande reacties lees was het een overtrokken reactie omdat 1) MS het gat al gedicht hadop Patch Tuesday 2) de plugins niet een gat bevatten maar het OS. Op een gerepareerd systeem hoeven de plugins niet uit. Mozilla had eigenlijk moeten checken of die plugins wel veiligheidshalve uit moesten. Nu worden ze ook op gepatchte systemen onnodig uitgezet terwijl daar geen reden voor is.
Toch wel, wat als iemand slordig is met winupdates installen, dan is die kwetsbaar. Dus dan is het handig dat die uitgeschakeld is. En Ms is ermee akkoord gegaan, dat vind ik vreemd als er "geen reden voor is" . Er staan in de reacties van die bugzilla thread ook genoeg reacties die het uischakelen toejuichen, doe nou niet of het door Mindcrash geciteerde datgene is wat DE authoriteit hier heeft.
edit:oh je hebt het over gepatchte systemen die onnodig uitgezet worden. Als je die thread leest, zie je dat Ms het versienummer van het gepatchde onderwerp niet heeft verandert, dus kan Mozilla helaas daaraan niet veel zien.
edit:oh je hebt het over gepatchte systemen die onnodig uitgezet worden. Als je die thread leest, zie je dat Ms het versienummer van het gepatchde onderwerp niet heeft verandert, dus kan Mozilla helaas daaraan niet veel zien.
[Reactie gewijzigd door Sjah op 18 oktober 2009 22:00]
Iemand die slordig is met updates had misschien niet die ene bug maar wel +10 andere die laatste dinsdag zijn opgelost.
Die feature zit nog niet in Firefox (wordt aan gewerkt), en aangezien Microsoft het onmogelijk heeft gemaakt de add-on tijdelijk te disablen moesten ze toch iets. Niet iedereen patcht zijn PC namelijk onmiddelijk.Mozilla had eigenlijk moeten checken of die plugins wel veiligheidshalve uit moesten.
Dat is ook al onzin omdat gebruikers die plugins al lang kon disabelen.Die feature zit nog niet in Firefox (wordt aan gewerkt), en aangezien Microsoft het onmogelijk heeft gemaakt de add-on tijdelijk te disablen
Dat heeft MS al tijdens een update in mei aangepast
http://www.microsoft.com/...034EAB&displaylang=en
Is er ook bekend gemaakt of er een eventuele patch komt door Mozilla? Het is natuurlijk niet de bedoeling om van alles in Windows uit te schakelen zodat alles goed kan werken.
Er worden geen Windows onderdelen uitgeschakeld; alleen de add-on die Firefox koppelt aan zekere Windows functionaliteiten is uitgeschakeld.
De add-on is volgens mij van Microsoft en niet van Mozilla. De patch zal van Microsoft moeten komen dus.
De addon bevat het lek niet.
Ah, ik kreeg al zo'n bericht van deze add-on's!
Toch goed geregeld van firefox, dat wanneer deze op een blacklist staan automatisch worden uitgeschakeld bij de gebruiker
Toch goed geregeld van firefox, dat wanneer deze op een blacklist staan automatisch worden uitgeschakeld bij de gebruiker
Gisteren ook zo melding gehad. Ik dacht van heh, heb ik iets nieuws geinstalleerd of heb ik een virus?
Ik wist niet dat Firefox zo'n zwarte lijst had met add-ons, en al helemaal niet dat add-ons op afstand geblokkeerd konden worden. Toch wel mooi in zo'n situatie dat dat kan.
Wel mooi maar aan de andere kant had ik het liever gezien dat ze een melding geven met de keus of je het uit wil schakelen of niet, het kan zijn dat je in een bepaald geval die plugin nodig hebt en al op de hoogte bent dat die niet helemaal veilig is oid.
Nog veel erger want de meeste mensen hebben de vunerability al gepatched en voor hen is het helemaal niet nodig om de plugin uit te schakelen.het kan zijn dat je in een bepaald geval die plugin nodig hebt en al op de hoogte bent dat die niet helemaal veilig is oid
Wel, want deze zonder te vragen door Microsoft geïnstalleerde plugin laat de gebruiker direct vanuit de browser native code op het systeem installeren, á la ActiveX, waar we juist door niet IE te gebruiken lekker van af dachten te zijn.
Pure flauwekul.
Waar haal je deze onzin vandaan.
Waar haal je deze onzin vandaan.
Microsoft Security Bulletin MS09-054:
ed: Excuses, gevalletje 'ik niet begrijp': Grauw doelt op ClickOnce.
Dit geldt ook voor Firefox.The vulnerabilities could allow remote code execution if a user views a specially crafted Web page using Internet Explorer.
ed: Excuses, gevalletje 'ik niet begrijp': Grauw doelt op ClickOnce.
Naar ik begrijp is het beter beveiligd dan ActiveX (CAS policies e.d.), maar of het voor de gebruiker thuis (die altijd OK klikt) veiliger is valt nog te bezien. Maar dat laatste probleem blijf je toch wel houden.No administrator privileges are required to install one of these applications.
[Reactie gewijzigd door kidde op 18 oktober 2009 22:56]
Lees je anders eens in over ClickOnce, is veel veiliger en dringend tijd dat veel appjes dit beginnen gebruiken. Chrome toont alvast het goeie voorbeeld.
Goede zet van Firefox, kreeg toenet ook een melding dat beide werden geblokkeerd.
waarom is het blokkeren van iets een goede zet,
als het 'iets' zelf niet schadelijk maar de user die zijn systeem niet update?
Het had firefox gestreeld als ze gewoon een waarschuwing zouden plaatsen dat je je systeem moet updaten om het probleem op te lossen. Nu worden namelijk ook gepatchede systemen behandeld als 'niet veilig', wat erg raar is.
als het 'iets' zelf niet schadelijk maar de user die zijn systeem niet update?
Het had firefox gestreeld als ze gewoon een waarschuwing zouden plaatsen dat je je systeem moet updaten om het probleem op te lossen. Nu worden namelijk ook gepatchede systemen behandeld als 'niet veilig', wat erg raar is.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Microsoft Apple Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
