Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit

Mozilla heeft de .NET Framework Assistant add-on en een bijbehorende plugin op de zwarte lijst geplaatst. Microsofts add-on zou de browser kwetsbaar maken voor een aanvalsmethode die in Internet Explorer via een update zou zijn verholpen.

Microsoft bracht afgelopen week een record aantal updates uit op de maandelijkse patch tuesday, waarvan acht patches werden aangemerkt als 'kritiek'. Een van de updates was bedoeld voor Internet Explorer 5 tot en met 8, en moet een einde maken aan zogenaamde drive-by-aanvallen. Daarbij kan een gebruiker al besmet raken met malware door uitsluitend naar een kwaadaardige website te surfen.

De kwetsbaarheid blijkt ook voor veel Firefox-gebruikers die in Windows werken een risico te kunnen vormen, omdat veel van hen de .NET Framework Assistant add-on en de bijbehorende Windows Presentation Foundation-plugin geïnstalleerd hebben. Microsoft heeft inmiddels aangeraden om beide in Firefox uit te schakelen, een operatie die onder andere met een losse tool kan worden uitgevoerd.

Mozilla heeft echter aangegeven dat het besloten heeft om de gewraakte add-on en de plugin op de zwarte lijst te plaatsen, zodat deze via het blocklisting-mechanisme van Firefox automatisch bij de eindgebruiker worden uitgeschakeld. Volgens Mike Shaver, vice president of Engineering bij Mozilla, zijn de twee Microsoft-onderdelen voor veel gebruikers lastig te verwijderen en vormt de kwetsbaarheid een aanzienlijk risico. Microsoft zou door Mozilla op de hoogte zijn gebracht van de maatregel en de softwaregigant zou er mee hebben ingestemd.

Reacties (184)

mcdronkz 18 oktober 2009 14:18

Ik vraag me echt af wat Microsoft bezielt. Wél een lek in Internet Explorer 5 & 6 dichten, maar niet in een Firefox plugin. Willen ze Mozilla een slechte naam bezorgen?

mindcrash @mcdronkz • 18 oktober 2009 14:40

Wél een lek in Internet Explorer 5 & 6 dichten, maar niet in een Firefox plugin.

Het heeft niets, maar dan ook niets met een lek in de plugin te maken; maar met een exploit in de onderliggende componenten van het .NET framework. Mozilla krijgt er daarom flink van langs in de bijbehorende Bugzilla bug. Een tweetal reacties uit de commentaar draad aldaar:

You did not publish a notice.
You did not provide an option.
You did not make it known to users that a fix was available through MS and
provide them an option.
What you did was decide for me and all of my users what was right.
What you did was remove functioning technology was taken from the browser
without my consent.
What you did was make it very obvious to those at the upper management and
executive level that we do NOT in fact have control of the application and that
we can NOT make it do everything we need it to do.
What you did is completely can my efforts to get Firefox instated as our
primary browser.
What you did is disable an add-on that on our systems is not vulnerable.
What you did is make it so that the only work around to turning the tech back
on is to disable an otherwise well implemented security tool.
What you did is take away the decision of what is best for me and display the
fact that you have become Apple in deciding for me.

En:

Must agree with multiple other users here. Adding these extensions to the
blocklist was unwarranted at this time. The OS level patches for these issues
has already been issued by MS on patch Tuesday. What has just been "fixed" was
already fixed. This needs to be undone ASAP.

Lijkt me dat Microsoft weer eens voor niets als "bad guy" wordt bestempeld. Als Mozilla even contact had gezocht met Microsoft over het hoe en wat was er niets aan de hand geweest en hadden ze ook de plugin niet hoeven te blokkeren en eventueel paniek hoeven te veroorzaken onder Firefox gebruikers.

[Reactie gewijzigd door mindcrash op 22 juli 2024 15:43]

burne @mindcrash • 18 oktober 2009 14:51

"I spoke on the phone with the responsible director at Microsoft on Friday, and
she agreed that the blocklist was the right approach. We can evaluate changes
to the blocklist in the future, and updates take effect quite quickly, but
right now both Microsoft and Mozilla are in agreement that this is the best way
to protect our mutual users."

Lijkt me dat de klagers ook met Microsoft contact op moeten nemen omdat die het eens zijn met de blokkade als aanpak.

mindcrash @burne • 18 oktober 2009 15:17

I spoke on the phone with the responsible director at Microsoft on Friday, and
she agreed that the blocklist was the right approach.

Nouja, dan heeft Mike Shaver contact gehad met een manager bij Microsoft. Betekend nog wel altijd dat Mozilla op eigen houtje even een plugin heeft gedeactiveerd waar veel bedrijven afhankelijk van zouden kunnen zijn. Ik kan me best voorstellen dat er een hoop bedrijven zijn waarbinnen vanwege security overwegingen Firefox is uitgerold en IE wordt geblokkeerd via Group Policies; maar die vanwege business overwegingen wél gebruik maken van het .NET Framework en functionaliteiten als ClickOnce en XBAP, en deze zijn door deze blokkade binnen Firefox niet meer bruikbaar.

De sysadmins van de betreffende bedrijven kunnen dus maandag vlot aan de slag om een oplossing te zoeken die voldoet aan de security eisen die binnen het bedrijf zijn opgesteld (En "even IE deblokkeren" is bij een bedrijf met een goede security policy niet echt een optie die op enorm korte termijn uitgevoerd kan worden).

Als ze inderdaad contact hebben gezocht met Microsoft is er daarna wellicht niet helemaal goed bekeken wat de impact van de blokkade is aan Mozilla's kant. Het blijft zoals ik al eerder zei een erg slechte keuze om zomaar een functionaliteit uit te schakelen zonder na te gaan wat voor impact dit heeft bij de Firefox gebruiker c.q. de IT binnen een organisatie.

Wat mij betreft hadden ze beter een waarschuwing kunnen laten zien, met de optie om de betreffende extensie uit te schakelen, of in het geval van een omgeving die door sysadmins wordt beheerd een mogelijkheid te geven om een eventuele blocklist gecentraliseerd te kunnen beheren binnen de IT omgeving.

Update: Ik las net dat Mozilla ondertussen ook schijnbaar doorheeft dat de huidige oplossing niet echt handig is voor bedrijven die Firefox gebruiken i.c.m. .NET features zoals ClickOnce:

A small update, for those who are following this gripping drama, and can read
past the hyperbole: I'm continuing to talk to Microsoft about our joint options
here, and I think we'll have a few ways to reduce the impact on people who are
patched up and want to re-enable Click-Once. Hopefully before the work week
begins, even; neither of us want this situation to be any more invasive than it
necessary to protect people, so we'll be working through the weekend on it.

[Reactie gewijzigd door mindcrash op 23 juli 2024 08:30]

latka @mindcrash • 18 oktober 2009 16:57

Ik weet niet welke bedrijven jij kent maar ik ken er geen (en ik heb er al wat gezien) die Firefox boven IE stellen. Eerder andersom. Heeft o.a. te maken met support-contract. Tuurlijk vind de sysadmin Firefox beter etc. echter heeft men tig miljoen naar Redmond gestuurd dan ga je niet die software uitzetten. Dan kun je net zogoed overstappen op Ubuntu als het aan de sysadmin ligt.
Dus wellicht is IE minder veilig dan Firefox maar IE6 is voornamelijk in het bedrijfsleven nog (te) groot.

kidde @mindcrash • 18 oktober 2009 22:21

Betekend nog wel altijd dat Mozilla op eigen houtje even een plugin heeft gedeactiveerd waar veel bedrijven afhankelijk van zouden kunnen zijn.

Het was Microsoft die op eigen houtje besloot de kwetsbare .NET assistent aan Firefox toe te voegen. Het was Microsoft die besloot het onmogelijk te maken deze add-on uit te schakelen, zoals je alle andere add-ons in Firefox wel uit kan schakelen. Microsoft deed dat zonder telefonisch contact. Microsoft installeerde die add-on zonder haar eigen Windows-gebruikers die ook Firefox hadden hiervan op de hoogte te stellen.
Het was Microsoft die ervoor heeft gezorgd dat haar klanten die Firefox gebruiken drie maanden lang kwetsbaar waren, en het was Microsoft die dit drie maanden lang niet aan haar klanten gemeld heeft terwijl ze er van op de hoogte waren.

Anoniem: 80466 @kidde • 18 oktober 2009 23:54

Het was Microsoft die besloot het onmogelijk te maken deze add-on uit te schakelen, zoals je alle andere add-ons in Firefox wel uit kan schakelen

Nee, Microsoft besloot slechts de plugin systeemwijd te installeren zodat alle gebruikers deze konden gebruiken. Firefox zelf echter maakt dan de disable button voor dergelijke plugins unavailable (zelfs blijkbaar voor admins).
Dat was niet de bedoeling van MS. Dus heeft Microsoft dit later geupdate zodat alle gebruikers wel weer de plugins konden disabelen

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 08:30]

Anoniem: 316446 @Anoniem: 80466 • 19 oktober 2009 10:56

Nee, Microsoft besloot slechts de plugin systeemwijd te installeren zodat alle gebruikers deze konden gebruiken.

Ik snap dat dat de bedoeling was. Als je toch stiekem software pusht dan wil je ook dat alle gebruikers hier mee te maken hebben.

kidde @Anoniem: 80466 • 19 oktober 2009 01:18

Gebrekkige communicatie van Microsoft dus: Ze wisten niet waar ze mee bezig waren.

Anoniem: 196662 @kidde • 19 oktober 2009 08:00

Is de normaalste zaak van de wereld dat je een gevaarlijke bug niet naar buiten brengt. In FF zitten ook tientallen gevaarlijke bugs maar ze gaan ze niet vertellen. Hoe dom zou je zijn als bedrijf

servies @Anoniem: 196662 • 19 oktober 2009 08:43

Security by means of obscurity werkt niet, dat is al zeer vaak gebleken...

Anoniem: 196662 @servies • 19 oktober 2009 13:00

En voor elk geval waar het niet werkt, zijn er tientallen gevallen waar het wel werkt. Merendeel van de patches heeft nog geen gebruikte exploit.

SirBlade @burne • 18 oktober 2009 15:00

"Hallo Microsoft. Wij willen een feature van onze IE-concurrent uitschakelen voor al onze gebruikers en zo een deel van die gebruikers en hun managers flink irriteren en onze kansen op de browsermarkt laten afnemen. Hebben jullie daar bezwaar tegen?"

Natuurlijk dat MS het met zo'n actie eens is.

kidde @mindcrash • 18 oktober 2009 22:17

Lijkt me dat Microsoft weer eens voor niets als "bad guy" wordt bestempeld.

Je mist het belangrijkste punt:
Als Adobe Flash kwetsbaar is, kan Mozilla aan de Firefox gebruikers voorstellen om dit uit te schakelen.
Als .NET kwetsbaar is, kan Mozilla ook voorstellen aan Firefox gebruikers de add-on tijdelijk te 'disablen', keus aan de gebruiker.
Dat kon echter niet aangezien Microsoft ervoor gekozen had het onmogelijk te maken de de plug-in uit te schakelen.

Anoniem: 80466 @kidde • 18 oktober 2009 23:58

Dat kon echter niet aangezien Microsoft ervoor gekozen had het onmogelijk te maken de de plug-in uit te schakelen.

Jammerlijke opmerking want dat is gewoon niet waar.
Ik heb de plugin namelijk net zelf even geenabled en gedisabled op een al een maand niet geupdatete secundaire windows installatie.

kidde @Anoniem: 80466 • 19 oktober 2009 01:17

Er staat 'kon' niet, en 'gekozen had' (VVT!)

Anoniem: 196662 @kidde • 19 oktober 2009 08:02

Jij praat over het verleden. 'T gaat hier over vandaag waar een gebruiker dat wel al zelf kan.

kidde @Anoniem: 196662 • 19 oktober 2009 09:27

Als we het hebben over vandaag is het hele artikel geen issue meer, want de ClickOnce add-on is inmiddels van de bloklijst af en gebruikers kunnen clickonce weer gebruiken (daar hebben enkele mensen hun vrije zondag voor opgeofferd).

trerk @mcdronkz • 18 oktober 2009 14:36

Het probleem in FF was ook gedicht met die update. Het probleem zat niet in de FF plugin, maar een windows onderdeel wat daardoor gebruikt werd. Echter de plugin versie was niet gewijzigd waardoor het voor FF niet controleerbaar zou zijn om te zien of het systeem van de gebruiker geupdate is of niet. Daarom is alsnog die plugin geblokkeerd.

[Reactie gewijzigd door trerk op 23 juli 2024 08:30]

Passkes @mcdronkz • 18 oktober 2009 15:34

Je kan je ook afvragen wat Mozilla bezielt om zomaar zonder jouw toestemming dingen in jouw browser uit te schakelen....

jiriw @Passkes • 18 oktober 2009 16:29

Je kan je ook afvragen wat Microsoft bezielt om zomaar zonder jouw toestemming dingen in jouw browser te installeren....

Want dat is precies wat hieraan ten grondslag ligt. Een plugin die Microsoft 'onder water' aan FF toevoegde levert een route naar een vulnerability die de veiligheid van je systeem in gevaar brengt zolang je niet de juiste windows updates geinstalleerd hebt.
Een plugin bovendien die, door de manier waarop die geinstalleerd was, niet op de standaard manier was te deinstalleren. Dat kreng hadden ze er al veel eerder uit moeten gooien. Als Microsoft op de 'normale' manier een plugin voor de firefox browser had aangeboden had iedere gebruiker voor zichzelf kunnen kiezen of ze deze plugin wilde of niet en was het hele probleem er niet geweest. Behalve voor de gebruikers die alsnog die plugin willen. Maar dan was er een mogelijkheid geweest voor eenvoudige deinstallatie OF microsoft kon natuurlijk ook met de security patch een (destenoods dummy - alleen versienummer) nieuwe plugin meeleveren. Op die manier kan Mozilla dan weer onderscheid maken tussen een gepatched en een ongepatched systeem.

[Reactie gewijzigd door jiriw op 23 juli 2024 08:30]

Anoniem: 196662 @jiriw • 19 oktober 2009 08:06

Je hebt toestemming gegeven door in windows update een vinkje aan te laten. Let je daar niet op wat je installeert, dan interesseert het je blijkbaar gewoon niet.
Mensen die niet gaan stemmen moeten ook niet klagen als het niet goed gaat. Ze hebben gekozen om niet te kiezen.

zordaz @Anoniem: 196662 • 19 oktober 2009 08:47

Ik heb een vinkje aanstaan om microsoft bugfixes binnen te halen voor software die op mijn pc staat, niet om daaraan gekoppeld plotseling allerlei extra rommel binnen te krijgen!

Anoniem: 196662 @zordaz • 19 oktober 2009 13:03

Idd Ms bugfixes, dat betekent alles wat Ms maakt en dus ook die plugin. Daarbij zat het probleem zelfs niet in de plugin.

zordaz @Passkes • 18 oktober 2009 15:47

...Nee, je moet je vooral afvragen waarom Microsoft dit soort add ons ongevraagd installeert waarbij de knop om deze uit te schakelen niet werkte en het dus alleen kan door in de registry te hacken of om middels een extra tool.

Seal64 @zordaz • 18 oktober 2009 16:05

Ik wou het net zeggen. Die plugin heb ik nooit geïnstalleerd, maar hij staat er evengoed gewoon tussen, en je kunt hem niet verwijderen zonder een handmatige, en tamelijk omslachtige, procedure te doorlopen. Of dan nu dat tooltje, maar de plugin staat er al een paar maanden in.
Niks Mozilla die tegen jouw toestemming een plugin eruit gooit, maar Microsoft die 'm er zonder jouw toestemming überhaupt ín heeft gestopt.

DB LucF @Seal64 • 18 oktober 2009 22:15

Wel even relativeren.
De patch heb je geïnstalleerd, of via handmatige installatie of via automatische. Daarbij heb je in beide gevallen de update goedgekeurd (of vooraf door voor een automatische update te kiezen, of handmatig door de installatie goed te keuren)

Dat de patch niet direct is te deïnstalleren is netjes gedocumenteerd in het KB artikel: http://support.microsoft.com/kb/951847 met uitleg waarom dit niet zonder meer kan.

Issue 2
.NET Framework assistant for Firefox has the Uninstall button disabled. In the .NET Framework 3.5 SP1, the .NET Framework Assistant enables Firefox to use the ClickOnce technology that is included in the .NET Framework. The .NET Framework Assistant is added at the computer level so that its functionality can be used by all users at the computer level instead of at the user level. Therefore, the Uninstall button is unavailable in the Firefox Add-ons menu because standard users are not permitted to uninstall computer level components.
Resolution
An update has been produced to resolve this issue and make this version of the .NET Framework Assistant for Firefox compatible with the next version of the Firefox browser. For more information, click the following article number to view the article in the Microsoft Knowledge Base:
963707 (http://support.microsoft.com/kb/963707/ ) How to remove the .NET Framework Assistant for Firefox

Over of de installatie van Dot-net functionaliteit voor Firefox netjes was van Microsoft valt te discusseren, over of je het toe hebt gestaan niet.
Ik ben het zelf ook niet helemaal eens met hoe de plugin in Firefox is geïnstalleerd, maar daar is Microsoft op zich niet schuldig aan, je hebt de goedkeuring immers zelf gegeven. Dat deze als een update voor het framework zelf is aangeboden, ondanks dat deze ook een plug-in voor Firefox installeerd is inderdaad minder netjes, een extra vraag hiervoor zou ik wel hebben kunnen waarderen maar kun je Microsoft uiteraard niet verplicht stellen.
Voor het bedrijfsnetwerk dat ik beheer wordt elke patch uitgebreid getest en was deze implementatie meteen duidelijk. Ondanks dat is de update zonder problemen doorgezet binnen mijn bedrijf, een uitbreiding zoals deze is in veel opzichten een verbetering.
Dat Mozilla nu bepaald dat deze uitgeschakeld wordt op een verder volledig gepatched systeem is niet alleen onnodig maar zal waarschijnlijk support calls opleveren voor lokale service desks in bedrijven wat mij niet een wenselijke situatie lijkt.
Ik kan alleen maar hopen dat Mozilla deze blokkade snel weer opheft, thuisgebruikers vinden wel een workaround, vooral degenen die handig genoeg zijn met computers om uberhoubt Firefox te installeren. Mozilla heeft helaas hiermee bewezen dat het voor bedrijfsmatig gebruik niet geschikt is. Zij hebben niet voor mij te beslissen welke plug-in's ik wel of niet wil gebruiken. Patches moeten beschikbaar zijn, niet zonder meer uitgerold worden.

[Reactie gewijzigd door DB LucF op 23 juli 2024 08:30]

Anoniem: 316446 @DB LucF • 19 oktober 2009 14:46

De patch heb je geïnstalleerd, of via handmatige installatie of via automatische. Daarbij heb je in beide gevallen de update goedgekeurd

De installatie was deel van een servicepack en behelsde (IMHO ongeoorloofd) een ingreep in de configuratie van een third party product zonder dat daarvoor een dringende noodzaak was.

Normalerwijze zou je stellen dat Microsoft service-packs Microsoft software betreffen, hier is het naar mijn mening te ver gegaan.

Ik denk dat dit ook spanningen oproept in de context van misbruik van marktoverwicht.
Immers het is alleen aan Microsoft gegeven om third party-software te wijzigen met het Windows-update-mechanisme als vehikel.

Ik denk dat er velen zijn die dit in de toekomst ook gaan eisen. En terecht, natuurlijk. Om hun plugins in Excel te dumpen of Word of Firefox of de Internet Explorer.

Het Microsoft update mechanisme verwordt dan een vehikel voor allerlei software vendors om elkaars software met plugins te bestoken, zoals Microsoft ons heeft getoond dat het kan. De concurrentie-strijd binnen Windows software gaat een nieuwe fase in. De servicepacks van MS worden vele malen groter en zijn overloaded met allerlei plugins.
Veel software is "pluggable" dat is een mooie bijkomstigheid voor de vendors.

Of Microsoft gaat plechtig aangeven dat dit fout handelen is en het zelf niet meer doen. Dat is eigenlijk wat ze zouden moeten doen.

vooral degenen die handig genoeg zijn met computers om uberhoubt Firefox te installeren. Mozilla heeft helaas hiermee bewezen dat het voor bedrijfsmatig gebruik niet geschikt is. Zij hebben niet voor mij te beslissen welke plug-in's ik wel of niet wil gebruiken.

Ik vind deze conclusie zonder meer teleurstellend. De gebruiker werd ongevraagd en niet ingelicht opgescheept met een kritisch lek dat drie maanden openstond.
Het was Microsoft die besliste dat jij de plugin binnen Firefox zou moeten gebruiken. Hij is ook nog maandenlang niet deinstalleerbaar geweest.

Dit is een design-keuze geweest. er was immers geen verplichting om de plugin system-wide te installeren.

Maar het is wel begrijpelijk. Als je dan toch stiekem een plugin installeert, dan wil je dat alle gebruikers hem gebruiken, en je wilt het deinstalleren moeilijk maken. Dat is gelukt.

Totdat de kritiek zo hoog opliep dat ze via een patch dit hebben omgezet naar een per-user instelling (daarmee impliciet erkennen dat system-wide een foute beslissing was)

Wel vind ik het goed dat je een "must read" kwalificatie hebt gekregen van Tweakers. Dit geeft de gelegenheid om aan te geven waarin je argumenten falen.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

DB LucF @Anoniem: 316446 • 19 oktober 2009 22:09

Bedankt voor het antwoord. Ik kan me in ieder geval gedeeltelijk in je reply vinden, wel heb ik wat op en aanmerkingen over je onderbouwing zeker aangezien je stelt dat mijn argumenten "falen".

De installatie was inderdaad onderdeel van een servicepack, daarin zat een extra plugin welke aan Firefox werd toegevoegd als functieuitbreiding. Vele mensen, waaronder ik zijn blij met eindelijk een directe Microsoft ondersteuning van het dotNet framework onder Firefox (Scheelt een hoop vragen in de trand van: 'Waarom werkt deze "website" niet onder Firefox?' aangezien gebruikers vaak niet weten wat het verschil is tussen een gewone website en een die het dotNet framework aanroept), de vraag hiervoor was al duidelijk door hetgene hieronder door hAl aangegeven. De FFClickOnce firefox addon was behoorlijk populair.
Deze extra plugin is naar mijn idee goed genoeg gedocumenteerd met de installatie, dat iemand deze niet leest is niet echt verassend (Wie leest een EULA volledig?) maar in bijvoorbeeld mijn bedrijf en ik neem aan vele anderen worden dat soort aanpassingen wel degelijk grondig bekeken.

Uiteraard kan gedacht worden dat dit "spanningen oproept in de context van misbruik van marktoverwicht", bedenk daarbij wel dat je ervoor gekozen hebt om een Microsoft besturingssysteem hebt gekocht en daarbij uitbreidingen in functionaliteit verwacht door de jaren heen in de vorm van updates. Het zal niet de eerste keer zijn dat Microsoft updates heeft uitgebracht die veranderingen in of voor software van anderen veroorzaakte (denk aan SP2 van Windows XP) waardoor deze anders of zelfs niet meer werkten. Zoals ik het al in m'n vorige comment zei, ik vind het zelf ook niet helemaal netjes hoe deze update geïnstalleerd is.

Je opmerking "Ik denk dat er velen zijn die dit in de toekomst ook gaan eisen. En terecht, natuurlijk. Om hun plugins in Excel te dumpen of Word of Firefox of de Internet Explorer." lijkt mij achterhaald. Vele applicaties dumpen al plugins in andere (al dan niet Microsoft) applicaties. Denk aan allerhande toolbars of export filters. Deze keer doet Microsoft het met een applicatie van een andere fabrikant en opeens wordt er moord en brand geschreeuwd, wat ik nogal een overtrokken reactie vind.

Dat je mijn conclusie teleurstellend vind kan ik begrijpen aan de hand van je uitleg, echter nogmaals: De gebruiker heeft de update zelf toegestaan. Daarbij moet ook nog wat gerelativeerd worden, als de gebruiker de dotNet functionaliteit in Firefox niet gebruikte, voor welk lek hebben ze dan gestaan? dotNet applicaties installeer je ook bewust, dus ook daarvoor zou dan nogmaals toestemming gegeven moeten worden door een gebruiker (dat kon door dit lek voor zover ik heb kunnen achterhalen niet omzeild worden)
Hoe dan ook, blijf ik bij m'n mening dat door deze blokkade Mozilla heeft bewezen niet geschikt te zijn voor bedrijfsomgevingen. Ik heb binnen het bedrijf meerdere projecten welke via dotNet applicaties werken, ik moet er niet aan denken hoe ik vanochtend op het werk had moeten aankomen en al deze applicaties niet te zien werken. Dat had niet alleen een berg frustratie bezorgd, maar ook flinke financiële verliezen. Als er veiligheidsproblemen met een applicatie zijn dan installeer ik een patch wanneer deze beschikbaar is, als de patch meer problemen geeft dan deze oplost dan installeer ik deze pas nadat ik een goede workaround of anderwegs een oplossing heb gevonden. Langdurige downtime is iets wat niet gewenst is in alle bedrijven die ik ken.
In dit geval was de "workaround" gewoon netjes de patch die door Microsoft aangeboden is installeren en absoluut niet de plugin in Firefox uitschakelen.

Dat Microsoft heeft gekozen de update op een Machine level uit te voeren is wellicht gemakzucht geweest, op dezelfde manier werd deze voor IE geïnstalleerd. Dat daar klachten over kunnen komen is begrijpelijk, dat Microsoft reageerd op die klachten door deze per-user te installeren via een update is alleen maar toe te juichen. (Dit allemaal ruim voordat deze hele kwestie over een geblokkeerde plugin in Firefox begon)

Meningen kunnen verschillen, dat blijkt weer. Ik vind dat Microsoft hierin redelijk netjes heeft gehandeld (Niet perfect, dat zeker niet), anderen vinden dat Microsoft een grote fout hiermee heeft gemaakt.

edit: Nogal wat spelvaudten aangepast.

[Reactie gewijzigd door DB LucF op 23 juli 2024 08:30]

Anoniem: 316446 @DB LucF • 20 oktober 2009 01:22

Vele applicaties dumpen al plugins in andere (al dan niet Microsoft) applicaties. Denk aan allerhande toolbars of export filters. Deze keer doet Microsoft het met een applicatie van een andere fabrikant en opeens wordt er moord en brand geschreeuwd, wat ik nogal een overtrokken reactie vind.

Persoonlijk vind ik het onverdraaglijk wanneer een vendor ongevraagd en zonder zeer expliciete waarschuwing een onverwijderbare plugin dumpt in een applicatie die niet van hem is. Zeker extra als dit gaat via een update-mechanisme dat eigenlijk is bedoelt om vulnerabilities op te lossen en vanwege zijn aard draait in absolute system-credentials (namelijk tijdens down gaan of opkomen van systeem)

Dat er andere vendors zijn die dit ook doen maakt het er niet beter op. Het wordt dan hoog tijd om dit af te keuren. Andere vendors zijn wel makkelijker te stoppen in dit soort acties omdat ze niet de privileges van het Windows update proces beschikken. Dat is een cruciaal verschil.

Wat je hieronder zegt is strijdig

als de gebruiker de dotNet functionaliteit in Firefox niet gebruikte, voor welk lek hebben ze dan gestaan

met....

Scheelt een hoop vragen in de trand van: 'Waarom werkt deze "website" niet onder Firefox?' aangezien

Je hebt namelijk geen keuze om meen plugin wel of niet te gebruiken, dat gaat automatisch, en zo wordt je dan ook automatisch aan het kritische lek dat drie maanden openstond blootgesteld. Gewoon een kwestie van op de verkeerde website komen. Dit staat in de advisory

An attacker could exploit the vulnerability by constructing a specially crafted Web page. When a user views the Web page, the vulnerability could allow remote code execution.

Deze extra plugin is naar mijn idee goed genoeg gedocumenteerd met de installatie, dat iemand deze niet leest is niet echt verassend (Wie leest een EULA volledig?) maar in bijvoorbeeld mijn bedrijf en ik neem aan vele anderen worden dat soort aanpassingen wel degelijk grondig bekeken.

Je klanten pakken in de kleine lettertjes in de EULA die een laag opgeleid persoon, maar ook menig hoger opgeleid persoon werkelijk niet kan begrijpen is niet bepaald een voorbeeld van de gebruiksvriendelijkheid en klantvriendelijkheid waarop Microsoft zich zo vaak beroemt.

Je kan gerust stellen dat de plugin op een sneaky manier is geïnstalleerd.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

kidde @Seal64 • 18 oktober 2009 22:25

Die plugin heb ik nooit geïnstalleerd

Jawel, en wel door middels van het draaien van Windows Update. Had u geen Windows Update gedraait, dan was u niet drie maanden lang kwetsbaar geweest voor dit lek (maar wel voor alle andere natuurlijk).

Anoniem: 196662 @kidde • 19 oktober 2009 08:04

Je moet wu niet aan hebben om die patch binnen te krijgen. Genoeg software heeft de redis van .NET in hun installatie dus hij zou er opkomen.
Je kan .NET updates ook gewoon afvinken als je het niet nodig vindt dat bugs opgelost worden.

zordaz @Anoniem: 196662 • 19 oktober 2009 08:45

Sorry, maar je opmerking snijdt geen hout. Waarom zit er opeens zo'n firefox add on bij een bugfix? Gewoon weer een staaltje koppelen van software van Microsoft. Die add on was en is helemaal niet nodig voor .net applicaties.

[Reactie gewijzigd door zordaz op 23 juli 2024 08:30]

Anoniem: 80466 @zordaz • 19 oktober 2009 09:36

De addon zat in een service pack.
De reden was de populariteit van de reeds doorvoor bestaande FFClickOnce firefox addon voor het .NET framework die zeker in bepaalde organiaties heel handig gevonden werd om software te deployen. Deze plugin raakte echter updates nog wel eens overstuur/onbruikbaar. Daarvoor heeft men bij MS bedacht de plugin in het framework te stoppen en te onderhouden.
Het was dus geen bugfix maar een geplande feature uitbreiding van het .NET framework aangekondigd in mei 2008. Dat framework is in de tweede helft van 2008 beschikbaar gesteld voor downloads en een klein half jaar later uitgerold als automatische update.
Hier een uitgebreide uitleg van de plugin in 2008 een maandje of 4 voordat deze werd via WU werd uitgerold.
http://www.hanselman.com/...OnceXBAPsAndNET35SP1.aspx

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 08:30]

Anoniem: 316446 @Anoniem: 80466 • 19 oktober 2009 11:05

Wat Microsoft heeft gedaan is misbruik van hun dominante marktpositie door deze plugin te laten meeliften op een service pack, en op wat vage developer-sites daarvan mededeling te doen

Je moet gewoon met je handen van third party-software configuraties afblijven.
Het is werkelijk heel simpel. God weet wat ze nog meer uitvreten zonder mij erover in te lichten.

Mensen moeten zelf kunnen kiezen of ze een dotnet plugin in firefox willen hebben.

Nu kunnen we een tijdje welles/niets gaan roepen, maar dat is zoals ik het zie.

Nijn @mcdronkz • 18 oktober 2009 14:25

Vaak zijn dat gewoon totaal verschillende projectgroepen. De projectgroep voor IE is het gat dus al aan het dichten geweest en is waarschijnlijk groot genoeg om dat snel voor elkaar te krijgen.

De projectgroep voor een Firefox plugin zal vele malen kleiner zijn. Blijkbaar zijn zij er nog niet klaar mee.

Anoniem: 146814 @Nijn • 18 oktober 2009 14:31

Het komt microsoft toevallig wel heel goed uit als opeens alle media koppen "Firefox gevaarlijk". Dat dan in het artikel staat dat microsoft de dader is, maakt niets uit, de reputatieschade is dan al gedaan.

flamingworm @Anoniem: 146814 • 18 oktober 2009 15:01

opeens alle media koppen...

"Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit"

Hier staat toch echt geen reputatieschade voor firefox in, en ik verwacht niet dat dit in andere artikels hierover wel het geval zal zijn

Morrar @mcdronkz • 18 oktober 2009 14:27

Tsja eigen producten eerst he. Da's geen heel vreemde strategie voor een bedrijf lijkt me. Daarnaast was het misschien wel makkelijker te verhelpen in IE 5 t/m 8 omdat de implementatie daar redelijk gelijk gebleven zou kunnen zijn en MS natuurlijk meer expertise heeft met deze browsers.

Maar goed, ben met je eens dat dit wat slechte publiciteit zou kunnen opleveren voor MS. Ik vermoed echter dat dit vooral zo zal zijn bij gebruikers die MS toch al niet heel hoog hebben zitten

arjankoole

Beveiliging

@Morrar • 18 oktober 2009 15:28

Tsja eigen producten eerst he.

Die Add-on is een eigen product van Microsoft, en derhalve hebben ze de plicht hier goed mee om te gaan.

teek2

@mcdronkz • 18 oktober 2009 14:55

ik weet niet wie hier een slecht naam van krijgt...
(ik weet het echt niet, bij tweakers uiteraard MS maar bij "normale ;)" mensen?)

arjankoole

Beveiliging

@teek2 • 18 oktober 2009 15:31

ook MS bij mij niet (ondanks dat ik er bepaald geen fan van ben). Er was een gat, ze hebben het gedicht. Case closed.

Tenzij het allemaal een doelbewust complot was om Firefox/Mozilla in een kwaad daglicht te zetten door wat hierboven geopperd wordt. Maar dat valt niet te bewijzen, en dat zal waarschijnlijk nooit te bewijzen zijn.

SuperNull @teek2 • 19 oktober 2009 04:57

"Normale" mensen hebben niet gemerkt dat die plugin er ooit geweest was. En als ze dat wel hebben gemerkt dan weten ze ws niet eens wat het is. Laat staan dat het ze boeit dat het nu niet meer werkt.

Anyway; Omdat FF plugins sowieso een een bepaalde security risk zijn, lijkt het me een prima zet van Mozilla om geen plugins toe te staan die de gebruiker niet zelf heeft geinstalleerd. Wie kan ze dat nou kwalijk nemen?

metalmania_666

18 oktober 2009 14:17

ik kwam er bij mij gisteren ook al achter dat FF het uitschakelde.
Ben benieuwd of er een nieuwe versie komt, of dat het zo blijft.

In ieder geval een goede aktie van FF

Anoniem: 80466 @metalmania_666 • 18 oktober 2009 14:51

Er hoeft geen nieuwe versie te komen.
De vunerability in een door de plugin aangeroepen onderdeel van het .NET framework is al door Microsoft gepatched en uitgerold.
Alleen is dat niet zichtbaar aan de plugin.

Daardoor zal in de meeste gevallen de plugin uitgeschakeld worden terwijl er geen vunerability meer aanwezig is.

Voor gebruikers van de plugin bijvoorbeeld in een webapplicatie heel lastig omdat zij de complete plugin protectie van Firefox moeten uitschakelen om een reeds gepatchte situatie die nodeloos is uitgeschakeld weer te kunnen gebruiken.

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 08:30]

flamingworm @Anoniem: 80466 • 18 oktober 2009 14:59

de vunerability in IE is idd gepatched, maar de plugin voor FF net nog niet ! Dus er komt waarschijnlijk wel een nieuwe versie

roy-t @flamingworm • 18 oktober 2009 18:33

De vunerability zat in dat je via IE met het .net framework kon praten. En in dat gedeelte van het .net framework zat een bug waardoor de driveby aanval uitgevoerd kon worden. Tenminste zo begrijp ik na het wat verder lezen het. De bug is dus al gefixed voor zowel IE als Firefox. Ook de link van hAI geeft dat aan.

FF doet het dus alleen omdat het niet zeker is dat iedereen die update heeft en het aan de plugin zelf dus niet te zien is. Beetje flauw van mozilla dus. Ook omdat dit al een tijd lang bestond, waarom dan als er een patch komt dan pas de plug in uitzetten? Beetje gekloot. Je kan er toch wel van uit gaan dat mensen windows update aan hebben staan. (Of iig er van uit gaan dat een groot deel dat heeft, en dat mensen die dat niet hebben zelf verantwoordelijk zijn voor de veiligheid van hun systeem).

kidde @roy-t • 18 oktober 2009 22:08

Ook omdat dit al een tijd lang bestond, waarom dan als er een patch komt dan pas de plug in uitzetten?

Omdat Microsoft pas bij het uitkomen van de patch aan Mozilla meldde dat Firefox ook al drie maanden kwetsbaar was voor deze aanval. Microsoft wist dat al eerder, maar heeft dat niet eerder gemeld.
Dat is niet flauw van Mozilla, maar een gebrekkige communicatie door Microsoft. Microsoft heeft voor het ongevraagd 'opdringen' van de add-on aan Windows-gebruikers (via Windows Update) ook nooit met Mozilla overlegt over deze plug-in. Verder was het door Microsoft zelf onmogelijk gemaakt de add-on uit te zetten (disable) in de Firefox add-on lijst.
En zoals bekend schreeuwen ze wel moord en brand als Google probeert een plug-in aan IE toe te voegen.

Mike Shaver van Mozilla geeft in zijn comentaar (#83, zie hierboven) dus ook aan dat als Mozilla dit eerder had geweten of Microsoft had dit eerder vermeld, dat de plug-in dan ook veel eerder op de zwarte lijst was gekomen.

ed:

Je kan er toch wel van uit gaan dat mensen windows update aan hebben staan.

Dat is de oorzaak van dit probleem: Windows Update zorgde er in februari '09 voor dat gebruikers .NET 3.5 SP1 geïnstalleerd kregen en daar zat deze kwetsbare add-on genaamd ".NET Framework Assistant " ook in. Dus Windows Update presenteren als de oplossing terwijl het de veroorzaker van het probleem is klinkt toch ietwat bedenkelijk.

[Reactie gewijzigd door kidde op 23 juli 2024 08:30]

Anoniem: 80466 @kidde • 19 oktober 2009 00:07

Het was ook al minstens mei 2008 dat er bekend was dat het .net framework service pack 1 een firefox browser extentie zou bevatten. Maar liefst 8 maanden voor de release van dat service pack. Bovendien

Anoniem: 316446 @Anoniem: 80466 • 19 oktober 2009 00:21

Denk jij dat gebruikers en systeembeheerders blogs over Visual Studio 2008 and .NET Framework 3.5 "SP1" Beta gaan lezen omdat ze willen weten welke updates in Windows (welke versie) worden geïnstalleerd?

De enige referentie naar Firefox is in dit zinnetje:
FireFox browser extension to support Clickonce installations using FireFox browsers

Moesten we uit dit blog over Visual Studio en dat zinnetje afleiden dat er ongevraagd en zonder verdere mededeling een dotnet framework plugin zou worden geïnstalleerd?

Is dat wat Microsoft en jij onder communicatie verstaan?

Is dat een klantvriendelijke benadering?

Anoniem: 80466 @Anoniem: 316446 • 19 oktober 2009 00:49

Nee, maar er zijn ook veel meer artikelen in 2008 te vinden waar dit al in wordt genoemd als feature van het servicepack en er waren ook grote aantallen beta testers van een dergelijk service pack.

Het is niet alsof er een stiekeme launch was als je zoiets openlijk publiceert en een half jaar ter test aanbiedt grote groepen mensen.

Anoniem: 316446 @Anoniem: 80466 • 19 oktober 2009 00:58

Waarom verwijs je dan naar iets wat niemand die het aangaat leest, Is het een quiz misschien? Of een kinderachtig spelletje? of wist je zo snel niets te vinden? De hele tekst refereert geen enkele keer naar een stiekeme installatie van die plugin.

Nu kap ik er werkelijk mee. Dit soort discussies is echt zonde van mijn tijd.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

Anoniem: 80466 @Anoniem: 316446 • 19 oktober 2009 08:11

Waarom verwijs je dan naar iets wat niemand die het aangaat leest, Is het een quiz misschien?

Omdat het de eerste link was die ik tegen kwam in Google en al meteen al 4-5 maanden voor de eerste release van het framework service pack en 9 maanden voor deze in de automatische updates verscheen.

Anoniem: 316446 @Anoniem: 80466 • 19 oktober 2009 10:57

Omdat het de eerste link was die ik tegen kwam in Google en al meteen al 4-5 maanden voor de eerste release van het framework .......

Die link was verwees naar niet relevante informatie voor 99,99% van de Windows gebruikers, want die gebruiken geen Visual Studio, misschien moet je je google opdrachten verbeteren, maar goed, volgende keer beter.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

Anoniem: 196662 @Anoniem: 316446 • 19 oktober 2009 07:56

Jij bent eigenlijk zonde van tijd hoor. Als je er niet tegen kan dat Ms je systeem proper wil houden met updates omdat je blijkbaar zelf niet genoeg tijd aan wil spenderen, dan kap je maar met Windows.
Als je niet begrijpt dat elk OS tientallen kwetsbaarheden heeft en elke update nieuwe kan bijgeven, dan kap je beter met computers...

Je bent gewoon aan het klagen op iets wat overal in de ICTwereld als normaal wordt gezien.

Anoniem: 316446 @Anoniem: 196662 • 19 oktober 2009 10:53

Jij bent eigenlijk zonde van tijd hoor. Als je er niet tegen kan dat Ms je systeem proper wil houden met updates omdat je blijkbaar zelf niet genoeg tijd aan wil spenderen

Waarom een persoonlijke aanval? Ik schrijf dat ik een discussie zonde van de tijd vindt, ik schrijf dat niet van een persoon. Jij wel.
Jouw mening over de rechten van MS om software die ik installeer op een WIndows-systeem te wijzigen deel ik niet, maar dat heb ik al eerder uitgelegd.

Heel kort: In plaats dat ze mijn systeem proper houden hebben ze een critical vulnerability geïntroduceerd, en drie maanden getreuzeld met repareren. Ze hebben met hun poten af te blijven van wat ik installeer. God weet wat ze nog meer uitvreten op mijn systeem.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

kidde @Anoniem: 80466 • 19 oktober 2009 01:21

Als het bekend was, waren er geen horde klagende mensen te vinden op het internet, en was het geen highlight geweest op Annoyances.org.

Anoniem: 80466 @kidde • 19 oktober 2009 08:16

Hier bijvoorbeeld nog op de release dag en nog 5 maanden voor de automatische updates werd er al melding van een developersite dat de plugin werdt meegeinstalleerd bij het servicepack
http://community.devexpre...-framework-assistant.aspx

Anoniem: 316446 @Anoniem: 80466 • 19 oktober 2009 11:01

Nogmaals, wie leest er nu info op een developers-site? Dat is toch geen manier om aan gebruikers kennis te geven van belangrijk nieuws over een stille (aan third party-product) software-toevoeging en (third party) configuratie-wijziging?

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

Anoniem: 196662 @Anoniem: 316446 • 19 oktober 2009 12:59

Als het je zo fel interesseert dat het erger is dan je hond die sterft, dan zou je dat lezen ja.

Je bent gewoon aan het klagen man. Je hebt een vinkje aangelaten bij een update en op "installeren" geklikt. Jij hebt de toestemming gegeven.

Anoniem: 316446 @Anoniem: 196662 • 19 oktober 2009 13:06

Je bent gewoon aan het klagen man. Je hebt een vinkje aangelaten bij een update en op "installeren" geklikt. Jij hebt de toestemming gegeven.

Sterk argument, maar ik benader de situatie toch anders.

Maar ook afgezien van mijn benadering. Microsoft dient third party-software en de configuraties daarvan niet aan te raken, behalve in uiterste noodgeval, maar dan moet er ook een kennisgeving bij horen.

Jij vindt het misschien niet interessant wat Microsoft op jouw computer doet. Er zijn veel mensen die daar anders over denken.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

KiLLerS @roy-t • 18 oktober 2009 19:18

de fix voor IE brak de plugin voor FF waardoor die in een keer vulnerable werd. Deze was voorheen niet vulnerable en was het dus ook niet nodig om deze uit te zetten.

Anoniem: 80466 @KiLLerS • 18 oktober 2009 20:50

Dat is gewoon onzin.
De patch was voor de windows presentation foundation en dekte niet alleen het probleem af voor IE maar voor alle browserplugins die de betroffen WPF module benaderen.

Anoniem: 80466 @flamingworm • 18 oktober 2009 15:05

Het lek zit ook niet in de plugin zelf.
Als je de Windows update patchronde van dinsdag van Micrsoft hebt gehad ben je al veilig

mad_max234 @Anoniem: 80466 • 18 oktober 2009 15:31

Lijkt me niet, lekken zitten bij FF in de .NET Framework Assistant add-on en de bijbehorende Windows Presentation Foundation-plugin die beide aangeraden om uit te schakelen op advies van microsoft . Beetje raar als ze dat vragen als ze de lek al zouden hebben gedicht. Lijkt er dus op dat de lek wel in IE is gedicht maar niet in FF.

Ik duf dus niet te stellen zoals jij dat je "veilig" bent met FF als je IE heb gepatch.

Anoniem: 80466 @mad_max234 • 18 oktober 2009 15:44

Dat is niet juist. Het is inderdaad raar dat FF een addon disabled waar geen lek in zit en dat het Tweakers artikel dat negeert. Het Tweakers artikel suggereert ook onterecht dat Microsoft aanraadt de plugin te disabelen. Microsoft raadt namelijk aan om hun patch te installeren

Als je de link uit mijn bovenstaande reactie naar het security team blog volgt dan kun je zien dat het wel degelijk zo is dat Microsoft gewoon aanraadt om de patch MS09-054 te installeren.
Het disabelen van de plugin is alleen een workaround tot je die patch hebt geinstalleerd.

Ik zal het nog eens copy en pasten:

How can I protect myself?

Customers should apply MS09-054 as this addresses the underlying vulnerability for all users, both IE and Firefox.
While you’re evaluating and testing your deployment of MS09-054, you may want to consider the following workarounds.

For IE users,<knip IE workaround>

For Firefox users with .NET Framework 3.5 installed, you may use “Tools”-> “Add-ons” -> “Plugins”, select “Windows Presentation Foundation”, and click “Disable”.

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 08:30]

Anoniem: 316446 @Anoniem: 80466 • 18 oktober 2009 16:12

Microsoft heeft de plugin zonder medeweten van de gebruiker geinstalleerd. De meeste mensen weten niet eens dat ze die plugin hebben.

Microsoft raadt namelijk aan om hun patch te installeren

Nu verwacht Microsoft blijkbaar wel dat mensen een plugin tijdelijk uitschakelen totdat ze een update geïnstalleerd hebben zonder dat ze weten dat ze de betreffende software hebben?

Het is inderdaad raar

Precies

Ik weet niet of er een wet bestaat tegen dit soort zonder toestemming sneaky installeren van software. Als die er niet is dient die er zo snel mogelijk te komen.

Ik schrok me ook een hoedje dat ik die plugin had. Voor dotnet gebruikte ik IE (dacht ik)

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

humbug @Anoniem: 316446 • 18 oktober 2009 16:41

Microsoft heeft de plugin zonder medeweten van de gebruiker geinstalleerd. De meeste mensen weten niet eens dat ze die plugin hebben.

Als microsoft de plugin zonder medeweten van de gebruiker heeft kunnen installeren zit er blijkbaar een groot beveiligingsgat in Firefox. Iets wat niet echt waarschijnlijk is.....

Anoniem: 316446 @humbug • 18 oktober 2009 16:53

Als microsoft de plugin zonder medeweten van de gebruiker heeft kunnen installeren zit er blijkbaar een groot beveiligingsgat in Firefox. Iets wat niet echt waarschijnlijk is....

Iemand die het OS beheerst beheerst alles, het Microsoft update mechanisme heeft alle rechten op een systeem waar het wordt uitgevoerd. Het kan zelfs kernel onderdelen vervangen, en dat is maar goed ook.

Via een update kan MS dus van alles met third party software doen, dat betekent niet dat er een veiligheidslek in die third party software zit.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

watercoolertje

Malware

@humbug • 19 oktober 2009 08:43

Dat wou ik ook zeggen ja, dan is dat a) niet via FF gedaan of b) heb je zelf blijkbaar niet op zitten letten of c) er woord weer lekker overdreven om MS te bashen

BeosBeing @humbug • 19 oktober 2009 14:24

Windows-Update installeert gewoon wat MS wilt. Het gat hoeft dus helemaal niet in FF te zitten.

onetime @BeosBeing • 21 oktober 2009 00:49

van die mogelijkheid was ik me al bewust, de laatste windows versie die ik in gebruik heb is 2000, maar die gaat er dus ook definitief en volledig uit.

Deze mogelijkheid zou ieder microsoft product voor gevoelige omgevingen dus volledig moeten uitsluiten. En iedereen bepaalt voor zijn eigen situatie of die gevoelig genoeg is om geen microsoft te kunnen gebruiken. Dus niet alleen de volledige overheid, want die stelt zich zo open voor spionage en manipulatie door (vnl) de amerikaanse overheid. Maar het schijnt dat er genoeg bedrijfs spionage via cia etc is uitgevoerd, dus bedrijven moeten ook oppassen.

Of weet iemand hoe je op niet al te moeilijke manier -zelf- de controle houd over je eigen os op je eigen computer?

Anoniem: 80466 @Anoniem: 316446 • 18 oktober 2009 16:38

Nu verwacht Microsoft blijkbaar wel dat mensen een plugin tijdelijk uitschakelen totdat ze een update geïnstalleerd hebben zonder dat ze weten dat ze de betreffende software hebben?

Nee, Micrsoft verwacht dat je dit lek al lang met de automatische update al hebt gepatched.
Echter bepaalde bedrijven willen mogelijk een bepaald testtraject ingaan voor het uitrollen van de patches en dan is het uitschakelen van de WPF een workaround.

Mozilla schakelt nu echter 2 plugins uit terwijl de ene niet betrokken is bij het probleem en de andere op een netjes gepatched systeem ook geen probleem vormt.

Dit levert voor bedrijven die een webapplicatie hebben op basis van deze plugins een vervelend probleem terwijl dat niet nodig is omdat zij gewoon gepatchte systemen hebben.

Anoniem: 316446 @Anoniem: 80466 • 18 oktober 2009 17:00

Echter bepaalde bedrijven willen mogelijk een bepaald testtraject ingaan voor het uitrollen van de patches en dan is het uitschakelen van de WPF een workaround.

Blijft dat ik het sneaky (zonder toestemming, zelfs zonder kenbaar maken) installeren van software als plugin in third party-producten niet vind mogen kunnen.

Ik hoop dat het hier niet bij blijft en dat er actie hierop komt. Het is door de actie van Mozilla dat we toevaliig hier van horen.

Wie weet wat ze nog meer allemaal sneaky hebben geïnstalleerd. Ze vinden kennelijk dat ze dat recht hebben.

Microsoft is misschien ook niet de enige die dat doet, maar die staat nu in de picture en kan goed als voorbeeld worden gebruikt om deze praktijken aan de kaak te stellen.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

BeosBeing @Anoniem: 80466 • 19 oktober 2009 14:22

Dit levert voor bedrijven die een webapplicatie hebben op basis van deze plugins een vervelend probleem terwijl dat niet nodig is omdat zij gewoon gepatchte systemen hebben.

Ze hadden die webapplicatie gewoon niet op een van begin af onveilige plug-in moeten baseren. Dat het onbekend was dat deze plug-in onveilig was, maakt in principe niet uit, MS heeft een history van het uitbrengen van onveilige extra functionaliteit (o.a. Active-X), dus dien je daar uiterst omzichtig mee te zijn.

Als men zich aan de standaarden had gehouden was die plug-in zowiezo niet nodig geweest.

Soundless @Anoniem: 316446 • 19 oktober 2009 10:50

Je hebt helemaal gelijk, ik keek net even voor de gein en het blijkt dat ik ook de .NET plug-in heb terwijl ik daar nooit voor gekozen heb

NaoPb @Anoniem: 80466 • 18 oktober 2009 16:21

En zoals dus ook te lezen was in het bericht heeft Microsoft ermee ingestemd dat Mozilla de plugins op de zwarte lijst geplaatst heeft.
Oftewel het lek is voor Firefox gebruikers nog niet gedicht, anders had Mozilla het wel weer van de zwarte lijst gehaald.

Mozilla doet dit namelijk echt niet om Microsoft dwars te zitten en zal de plugins van de zwarte lijst af halen zodra het voor iedere gebruiker weer veilig is om ze te gebruiken.

Anoniem: 80466 @NaoPb • 18 oktober 2009 16:41

En zoals dus ook te lezen was in het bericht heeft Microsoft ermee ingestemd dat Mozilla de plugins op de zwarte lijst geplaatst heeft.

We hebben daar maar 1 niet al te duidelijk bron voor, namelijk iemand van Mozilla die niet heel precies aangeeft waarmee Microsoft het eens was.
Misschien heeft Microsoft daar alleen met het disabelen van de plugin ingestemd voor ongepatchte systemen.

Mozilla doet dit namelijk echt niet om Microsoft dwars te zitten en zal de plugins van de zwarte lijst af halen zodra het voor iedere gebruiker weer veilig is om ze te gebruiken

Dat is dus al sinds afgelopen dinsdag, voordat Mozilla hiermee kwam.

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 08:30]

Anoniem: 316446 @Anoniem: 80466 • 18 oktober 2009 17:05

Mozilla doet dit namelijk echt niet om Microsoft dwars te zitten en zal de plugins van de zwarte lijst af halen zodra het voor iedere gebruiker weer veilig is om ze te gebruiken

Persoonlijk ben ik van mening dat Mozilla deze plugin niet dient aan te zetten, maar dat de gebruiker zelf laat doen. Gewoon een persbericht: de plugin mag worden aangezet (ik hoorde dat dat persbericht er inmiddels al is)
De plugin is er immers zonder medeweten van de gebruiker op gekomen. En nu heeft de gebruiker de gelegenheid om bewust te kiezen of hij deze plugin wil, iets wat vanaf het begin al had moeten gebeuren.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

Anoniem: 80466 @Anoniem: 316446 • 18 oktober 2009 17:25

De plugin is er immers zonder medeweten van de gebruiker op gekomen.

De plugin vormt een onderdeel van de geinstalleerde software. Dat is bepaald niet uniek.

Hmmm, ik heb bijvoorbeeld de Sun Java SSV helper plugin, een AGV linksscanner plugin, een Adobe PDF plugin in IE8 addons staan. Die zijn ook allen zonder mijn medeweten geinstalleerd bij andere software producten.

Betekent je opmerking dat Microsoft nu deze plugins maar mag blokkeren en Microsoft eingelijk alle onderdelen van software mag blokkeren die zonder expliciete toestemming op Windows zijn geinstalleerd ?
En wel zo blokkeren dat ze ook niet evident voor een normale gebruiker eenvoudig weer aan te zetten zijn zoals Firefox dat nu doet ?

Anoniem: 316446 @Anoniem: 80466 • 18 oktober 2009 19:29

Maar ik zei al dat MS niet de enige is die het doet, dus andere producten noemen is leuk, maar voegt niets toe. Het is MS die nu in de picture staat, en die een van een third party product ongevraagd, onaangekondigd, en zonder kennisgeving achteraf, de functionaliteit wijzigt.
(Ik herinner me van de voorbeelden die jij noemt, van AVG en Java en Adobe (laatst vroeg die nog beleefd of hij mocht upgraden naar versie 10) altijd een bevestiging vragen van de gebruiker, maar dat terzijde)

Ik vind dat een gebruiker ten alle tijd moet worden ingelicht indien de functionaliteit van zijn systeem wordt gewijzigd, en dat hij moet kunnen weigeren. Dat is overigens ook een professionele instelling. Het valt me tegen indien een ICT manager dit niet onderkent.

En als er een of andere vendor er tussendoor gesneakt is, dan vind ik dat de controle teruggegeven moet worden aan de gebruiker, om die de beslissing te laten nemen.
Ik snap niet waarom een dergelijk standpunt vragen oproept.

En wel zo blokkeren dat ze ook niet evident voor een normale gebruiker eenvoudig weer aan te zetten zijn zoals Firefox dat nu doet ?

Als men de gebruiker dotnet wil laten gebruiken in Firefox zijn er genoeg legitieme manieren om dat gedaan te krijgen. Microsoft heeft een hele tijd buttons gehad met "download silverlight" of iets dergelijks. Dat is de weg die gewone vendors van plugins dienen te volgen. Niet ongevraagd installeren, maar vragen of de gebruiker dat wil.

Ik denk dat dit een heel duidelijk standpunt is. Ik denk dat ook Microsoft dit snapt, maar ik denk ook dat Microsoft er lak aan heeft of een gebruiker silverlight wenst, hij krijgt het door zijn strot gedrukt, dat is in dit geval duidelijk.

We hebben hier te maken met een schoolvoorbeeld van misbruik van markt overwicht. Ze blijven het keer op keer flikken, na tien jaar ruzie met allerlei overheden in de USA, de EU, Japan, Korea, juist hierover, doen ze het toch weer. Ik neem aan dat hier klachten over komen vanuit de industrie, en terecht, alweer. Er zijn er meer die graag met een WIndowsupdate zouden meeliften, en onder SYSTEM-credentials zichzelf op een systeem zouden willen plaatsen.

tenslotte:
Het is mij vertelt dat wanneer je een forum-discussie verlaat dat je diegene met het laatste woord gelijk geeft. Ik ben het daar niet mee eens, daarom, voor goede orde wil ik volgende zeggen:
Het is mij geen lange welles/nietes discussie waard. Ik heb jouw standpunt gelezen, en de toelichtingen van jou daarop. het is mij duidelijk. Ik denk ook dat mijn standpunt duidelijk is.
Misschien dat ik reageer als je een in mijn ogen nieuw standpunt inbrengt, maar ik beloof niets.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

humbug @Anoniem: 316446 • 18 oktober 2009 21:16

Als Firefox die plugin installeert, dient firefox de gebruiker te vertellen wat er geinstalleerd wordt en om toestemming te vragen. Dat firefox de plugin automatisch mee installeert is de keuze van firefox. De gebruiker kiest ervoor om de software te installeren inclusief alle meegeleverde plugins.

Wat gesuggereert is, is dat Microsoft controleert of Firefox geinstalleerd staat en dan stiekum de plugin download en installeert. Allereerst gebeurd dat dus niet, maar belangrijker: Firefox zou zo robust moeten zijn dat als er een nieuwe plugin aangetroffen wordt, Firefox de gebruiker om toestemming vraagd om die plugin te gaan gebruiken. Daarin lijken we het dus eens want:

Ik vind dat een gebruiker ten alle tijd moet worden ingelicht indien de functionaliteit van zijn systeem wordt gewijzigd, en dat hij moet kunnen weigeren.

Maar dat is dus de verantwoordelijkheid van Firefox en niet die van Microsoft.

Het is leuk om "duidelijke" standpunten te hebben, maar leg dan de blaam bij de juiste partij als je vindt dat iemand iets fout doet.

Anoniem: 316446 @humbug • 18 oktober 2009 21:22

Firefox zou zo robust moeten zijn dat als er een nieuwe plugin aangetroffen wordt,

Windows zou zo robuust moeten zijn dat virussen, malware en botnets niet mogelijk zou zijn.
Hoe klinkt dat nou? Denk nou eens na over wat je zegt.

Maar dat is dus de verantwoordelijkheid van Firefox en niet die van Microsoft.

Waarom zou Firefox verantwoordelijk zijn voor het installeren van een plugin door Microsoft?
Bem je advocaat of zoiets? We hebben het hier over gewone logica, het gaat over gewone computer-systemen en gewone mensen. We zitten hier niet in een Kafkaiaans scenario kost wat kost Microsoft te verdedigen. Een dergelijke discussie vind ik niet zo interessant, en ik denk de meeste mensen niet. "Spielerei", noemen ze dat bij de oosterburen.

Laat ik het nogmaals kort uitleggen:

De Windows update software heeft SYSTEM-credentials en kan ieder bestand wijzigen, weghalen of toevoegen. En dit zonder aankondiging vooraf of mededeling achteraf.
Veel actie gebeurt tijdens het down gaan of opstarten van het systeem. Dat is niet voor niets zo. Dan zijn bepaalde software-schillen al uitgeschakeld, waardoor het update-systeem makkelijker zijn werk kan doen.
Het kan dus gewoon gebeuren dat er op deze wijze een plugin bijgekomen is, en de third party software waarbij dit gebeurt kan dan in de veronderstelling zijn dat die er altijd is geweest, omdat die third party software vertrouwt op de logica van haar configuratie-data.
Het is duidelijk dat Microsoft zonder toestemming van de computer-eigenaar bestanden/data heeft gewijzigd die het zelf niet heeft geïnstalleerd of ingericht.
Het is ook duidelijk dat er vooraf of achteraf geen mededeling is gedaan over deze wijzigingen, als een dief in de nacht, zegt men wel eens.
Dit is gewoon kwalijk, ongeacht wat Kafka ervan zou vinden.

Er is ook een manier om deze software door Firefox te laten installeren. Dat is de juiste manier. Gewoon op die manier die alle plugins horen te volgen: Een button op een website: "Download silverlight"

Blijkbaar leverde dat niet genoeg response op dat Microsoft een dergelijk drastische manier koos.

Het is leuk om "duidelijke" standpunten te hebben, maar leg dan de blaam bij de juiste partij als je vindt dat iemand iets fout doet.

Het gaat mij niet om de "leuk" en wie ik vind dat de juiste partij is maak ikz elf wel uit. Dank voor de suggestie.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

kidde @humbug • 18 oktober 2009 21:52

Microsoft geeft zelf aan dat zij deze ellende hebben veroorzaakt.
In februari hebben ze deze add-on voor Firefox geïnstalleerd op computers dmv een Windows update;

While the vulnerability is in an IE component, there is an attack vector for Firefox users as well. The reason is that .NET Framework 3.5 SP1 installs a “Windows Presentation Foundation” plug-in in Firefox, as shown below.

Bron

Vervolgens ontdekken hackers in juli 2009 een beveiligingslek. Op dat moment weet het Mozilla-team nog niet dat dit lek ook geldt voor gebruikers van de door Microsoft verscheepte plugin van FF. Zij hebben immers de add-on niet gemaakt / gedistribueerd.

Vervolgens komt MS in oktober eindelijk met een patch, en dan pas vertellen ze dat Firefox-gebruikers ook maandenlang kwetsbaar waren.

Hoe kan het de verantwoordelijkheid zijn van Mozilla

-Als Microsoft via een .NET update een add-on toevoegt aan Firefox zonder Mozilla hiervan op de hoogte te stellen,
-Als er vervolgens een beveiligingslek in .NET zit waardoor Firefox-gebruikers gevaar lopen en Microsoft meldt dit drie maanden lang niet aan Mozilla

Vervolgens houdt Mozilla er netjes rekening mee dat niet iedereen zijn computer gelijk zal patchen, en er dus nog vele computers kwetsbaar zullen blijven. In telefonisch overleg met Microsoft krijgt Mike Shaver van Mozilla goedkeuring om de add-on 'uit te zetten'. Dan doen ze toch niets verkeerd?

Het enige wat beter zou moeten aan Firefox is dat de bloklijst rekening houdt welke pleisters Windows door de gebruiker wel en niet gehad heeft. In dat geval zou de bewuste add-on bij gepleisterde computers niet op de bloklijst hoeven staan. Mozilla geeft aan dat hieraan gewerkt zal worden.

[Reactie gewijzigd door kidde op 23 juli 2024 08:30]

servies @humbug • 19 oktober 2009 08:36

Wat gesuggereert is, is dat Microsoft controleert of Firefox geinstalleerd staat en dan stiekum de plugin download en installeert.

Dat gebeurt dus WEL. Beide genoemde plugins worden geïnstalleerd tijdens een update van MS voor het .NET framework.
Firefox vraagt er niet om.

Anoniem: 80466 @Anoniem: 316446 • 18 oktober 2009 22:07

(Ik herinner me van de voorbeelden die jij noemt, van AVG en Java en Adobe (laatst vroeg die nog beleefd of hij mocht upgraden naar versie 10) altijd een bevestiging vragen van de gebruiker

Ook die software vraagt niet toestemming voor het installeren van extra plugins en daar gaat het hier om.

Anoniem: 316446 @Anoniem: 80466 • 18 oktober 2009 23:00

Zoals ik al zei, Adobe vraagt altijd om toestemming, Java doet dat ook.
Daarbij geven beiden na hun update aan dat ze een update hebben uitgevoerd.

Misschien zou het explicieter kunnen, in elk geval is het niet stiekem

Anoniem: 80466 @Anoniem: 316446 • 19 oktober 2009 00:16

Het gaat erom dat ze naast die Acrobat reader en naast die Sun Java VM ook browserplugins installeren. Daar vroegen ze helemaal niks over

Anoniem: 316446 @Anoniem: 80466 • 19 oktober 2009 00:39

Dan vallen zij onder die anderen die ik al eerder noemde die zelfde dingen doen. Met een verschil. Je kan ze altijd uitschakelen.

Dat kon je met die van Microsoft niet, en dat was wel raar (opdringerig) van Microsoft, je moest niet alleen de stiekeme installatie accepteren, je kon het ook niet ongedaan maken. er was een patch van Firefox nodig om de plugin te kunnen uitschakelen.

Ik ben er voorstander van dat ongevraagd installeren van plugins verboden wordt.

Anoniem: 80466 @Anoniem: 316446 • 19 oktober 2009 00:59

Dat kon je met die van Microsoft niet, en dat was wel raar (opdringerig) van Microsoft, je moest niet alleen de stiekeme installatie accepteren, je kon het ook niet ongedaan maken. er was een patch van Firefox nodig om de plugin te kunnen uitschakelen.

Dat is niet correct. Initieel was de plugin inderdaad niet uit te schakelen. Dat werdt verhinderd door Firefox zelf die standaard de disabele button uitschakelt bj systeemwijde plugins. Dat was in mei al verholpen met een update van Microsoft waarna elke user weer de plugin kon uitschakelen.

Er was dus helemaal geen patch meer nodig van FF om de plugin uit te schakelen want dat kon iedereen al zelf doen.

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 08:30]

kidde @Anoniem: 80466 • 19 oktober 2009 01:29

Dat werdt verhinderd door Firefox zelf die standaard de disabele button uitschakelt bj systeemwijde plugins.

Ook dat is niet correct, ik kan ze namelijk wel uitschakelen. Dat is maar goed ook, tenslotte ben ik zelf degene die ze erop heeft gezet.

ed: Brad Abrams helpt ons. Het is 'uninstall', en niet 'disable' wat de gebruiker niet kon doen.

Gelukkig zijn er ook besturingssystemen (zoals het mijne) waarbij je standaard de installatie van browser-plugins door software van derden kan uitschakelen, maar kennelijk bij Windows niet. Tekortkoming van het besturingssysteem, zou ik zeggen.

[Reactie gewijzigd door kidde op 22 juli 2024 23:31]

Anoniem: 316446 @Anoniem: 80466 • 19 oktober 2009 01:31

Het werd niet verhinderd door Firefox, het werd verhinderd door een designkeuze van Microsoft door de plugin systemwide te maken, het geen overbodig was
Ze kwamen dan ook met een per-user plugin, maar dat was maanden later.

Ik weet niet of die update mijn machine ooit bereikt heeft, want ik ontdekte pas vandaag dat Firefox tegen mijn zin dotnet ondersteuning gaf en drie maanden lang een critical vulnerability had waar ik niet van wist.

En eigenlijk ben ik daar het meeste boos over. Het stiekem installeren van software en wijzigen van software functionaliteit van software die ik niet van Microsoft heb gekocht.

Ze raken iets aan waar ze vanaf horen te blijven. Op deze manier is Windows geen open systeem, maar een closed systeem waar Microsoft ook applicaties van third partieswil controleren.

Van dergelijke arrogantie krijg ik een nare smaak, het kweekt geen goodwill.

Een leuk artikeltje in de washington post :
http://voices.washingtonp...update_quietly_insta.html

Let op de conclusies:
1) How the %#@! did I miss this?

2) The right way would have been to just publish the add-on at Mozilla's Add Ons page.

3) This kind of makes you wonder what else MS is installing without your knowledge.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

Grauw @Anoniem: 80466 • 18 oktober 2009 16:09

Behalve dat de Disable knop niet werkte totdat je de patch van Microsoft had geïnstalleerd.

Anoniem: 80466 @Grauw • 18 oktober 2009 16:17

Behalve dat de Disable knop niet werkte totdat je de patch van Microsoft had geïnstalleerd

Er staat toch duidelijk dat je WPF plugin wel kunt disabelen ook zonder de patch van Microsoft toe te passen. De patch wordt echter duidelijk geadviseerd als echte oplossing maar het disabelen van de plugin slechts als workaround.

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 08:30]

watercoolertje

Malware

@Anoniem: 80466 • 19 oktober 2009 08:41

Ja maar als je patched dan nog staat ie uit omdat FF dat gewoon ongeacht f je de patch heb of niet die add-opn uit schakelt...

Anoniem: 315994 @metalmania_666 • 18 oktober 2009 15:58

ja same here, ben zoiezo blij dat mozilla bestaat beste browser sofar.

[Reactie gewijzigd door Anoniem: 315994 op 23 juli 2024 08:30]

mschol 18 oktober 2009 14:50

Mozilla heeft echter aangegeven dat het besloten heeft om de gewraakte add-on en de plugin op de zwarte lijst te plaatsen, zodat deze via het blocklisting-mechanisme van Firefox automatisch bij de eindgebruiker worden uitgeschakeld

schandalig dat ze op afstand plugins kunnen uitschakelen...

mozilla was toch juist zo goed dat je ZELF kon bepalen hoe en wat?

Elfjes

@mschol • 18 oktober 2009 15:18

ik heb na het lezen van dit artikel en de bug op bugzilla dan ook de blocklist voor mij gedisabled

dit kan door in about:config de boolean extensions.blocklist.enabled op false te zetten.

wel eerst even gecheckt of ik de security update al had. Ik heb de extension en de plugin overigens wel gewoon op disabled laten staan aangezien ik ze toch niet gebruik.

zordaz @mschol • 18 oktober 2009 15:48

Verdiep je s.v.p. even in de historie van deze plugin. Hij is bij iedereen ongevraagd geinstalleerd door Microsoft. Dat is pas kwalijk...

mschol @zordaz • 18 oktober 2009 17:03

ahh altijd maar weer zo draaien dat Microsoft de grote boze man is in het verhaal? kom op zeg :{w

het is vast niet 100% ongevraagd geinstalleerd en gewoon met een update binnen windows update meegekomen, die je gewoon kon uitschakelen..

[Reactie gewijzigd door mschol op 23 juli 2024 08:30]

ignitem @mschol • 18 oktober 2009 18:38

De ongevraagde add-on was onderdeel van .NET 3.5 service pack 1. Dit is niet bepaald een update die je zomaar even overslaat. Vervolgens kon je de plug-in ook niet op de voor Firefox gebruikelijke wijze weer uitschakelen.

De kritiek lijkt me in dit geval zeker terecht.

zordaz @mschol • 19 oktober 2009 08:48

Hij is wel degelijk ongevraagd geinstalleerd, doe een rondje google en je had het geweten.

Bilel 18 oktober 2009 14:19

Is er ook bekend gemaakt of er een eventuele patch komt door Mozilla? Het is natuurlijk niet de bedoeling om van alles in Windows uit te schakelen zodat alles goed kan werken.

Room42

Mozilla

@Bilel • 18 oktober 2009 14:51

De add-on is volgens mij van Microsoft en niet van Mozilla. De patch zal van Microsoft moeten komen dus.

Anoniem: 80466 @Room42 • 18 oktober 2009 15:07

De addon bevat het lek niet.

jbtbnl @Bilel • 18 oktober 2009 14:24

Er worden geen Windows onderdelen uitgeschakeld; alleen de add-on die Firefox koppelt aan zekere Windows functionaliteiten is uitgeschakeld.

Anoniem: 235883 18 oktober 2009 15:31

Als MS of Apple een blacklist erop na houdt is het meteen gezeik en flamen, maar als Mozilla hetzelfde doet is het prima?

Ik had liever een warning gehad oid in plaats van dat het automagisch uitgezet wordt.

zordaz @Anoniem: 235883 • 18 oktober 2009 15:50

Ehm, ik vind het prima als Apple en MS goede blacklists bijhouden. Ik vind het niet prima als Microsoft ongevraagd en zonder melding Firefox add ons installeert die later ook nog eens voor onveiligheid zorgen. Mozilla ruimt hier gewoon de rommel van Microsoft op.

stewie @Anoniem: 235883 • 19 oktober 2009 01:56

Apple en Microsoft maken hun plug-in source-code ook niet openbaar, deden ze dat wel dan kon Mozilla de bug fixen.

GWTommy 18 oktober 2009 14:30

Ik wist niet dat Firefox zo'n zwarte lijst had met add-ons, en al helemaal niet dat add-ons op afstand geblokkeerd konden worden. Toch wel mooi in zo'n situatie dat dat kan.

Ventieldopje @GWTommy • 18 oktober 2009 14:39

Wel mooi maar aan de andere kant had ik het liever gezien dat ze een melding geven met de keus of je het uit wil schakelen of niet, het kan zijn dat je in een bepaald geval die plugin nodig hebt en al op de hoogte bent dat die niet helemaal veilig is oid.

Anoniem: 80466 @Ventieldopje • 18 oktober 2009 15:09

het kan zijn dat je in een bepaald geval die plugin nodig hebt en al op de hoogte bent dat die niet helemaal veilig is oid

Nog veel erger want de meeste mensen hebben de vunerability al gepatched en voor hen is het helemaal niet nodig om de plugin uit te schakelen.

Grauw @Anoniem: 80466 • 18 oktober 2009 16:06

Wel, want deze zonder te vragen door Microsoft geïnstalleerde plugin laat de gebruiker direct vanuit de browser native code op het systeem installeren, á la ActiveX, waar we juist door niet IE te gebruiken lekker van af dachten te zijn.

Anoniem: 80466 @Grauw • 18 oktober 2009 16:44

Pure flauwekul.
Waar haal je deze onzin vandaan.

kidde @Anoniem: 80466 • 18 oktober 2009 22:36

Microsoft Security Bulletin MS09-054:

The vulnerabilities could allow remote code execution if a user views a specially crafted Web page using Internet Explorer.

Dit geldt ook voor Firefox.

ed: Excuses, gevalletje 'ik niet begrijp': Grauw doelt op ClickOnce.

No administrator privileges are required to install one of these applications.

Naar ik begrijp is het beter beveiligd dan ActiveX (CAS policies e.d.), maar of het voor de gebruiker thuis (die altijd OK klikt) veiliger is valt nog te bezien. Maar dat laatste probleem blijf je toch wel houden.

[Reactie gewijzigd door kidde op 23 juli 2024 08:30]

Anoniem: 196662 @kidde • 19 oktober 2009 08:17

Lees je anders eens in over ClickOnce, is veel veiliger en dringend tijd dat veel appjes dit beginnen gebruiken. Chrome toont alvast het goeie voorbeeld.

LYNXS 18 oktober 2009 14:39

Ja, mooi dat het op afstand kan maar beter zou zijn wanneer FF het lek daadwerkelijk dicht. Microsoft dicht de gaten in eigen software het is logisch dat ze dat niet voor andere softwareaanbieders behoeven te doen. (zouden ze het gelijk voor de gehele branche kunnen doen, dat kan je niet verwachten) Geldt omgekeerd ook.

Plofkotje @LYNXS • 18 oktober 2009 15:51

Hoe kan Mozilla een security probleem in een plugin van Microsoft zelf fixen? Leg me dat eens uit?

Seraphyn 18 oktober 2009 14:51

Ik heb liever een keuze, maar aangezien ik de betreffende plugins toch niet gebruikte vind ik het wel allemaal best zo. Ik snap alleen het nut niet van een plugin blocken nadat het lek al gefixed is?

teek2

@Seraphyn • 18 oktober 2009 14:56

Volgens mij is het lek juist niet gedicht voor de mozilla browsers alleen voor ie.

Anoniem: 80487 18 oktober 2009 17:31

Leuk natuurlijk, voor nu.
Maar het idee dat Mozilla in princype mijn browser onklaar kan maken vind ik heel wat minder stoer.

Tarabass @Anoniem: 80487 • 18 oktober 2009 21:37

Ja, want bij Mozilla zit een heel team de hele dag te brainstormen hoe ze de browser van McKillem onklaar zouden kunnen maken. Daar hebben ze ook echt belang bij..

Niet zo paranoïde dus. Microsoft kan ook je gehele computer op afstand onklaar maken door 'iets' in een simpele update te stoppen. Daarnaast zijn de omschrijvingen van veel updates de laatste tijd dubieus te noemen, want kritiek en noodzakelijk is in Redmond vaak één en hetzelfde als meer controle en extra functionaliteit.

Als Mozilla ervan overtuigd is/was dat de plugin een gevaar kan zijn voor haar gebruikers, is het juist goed dat ze deze functionaliteit hebben ingebouwd. Ik kende het niet, maar ben onder de indruk. Iedereen kan een plugin maken en verspreiden, dan moet toch iemand de controle in handen houden?

En wat denk je dat er gebeurt als het veiligheidslek in IE wel gepatched/gefixed wordt, maar niet in FF. Dan heeft iedereen met problemen hem verkregen via FF, en een slechte naam verlies je nauwelijks. Beter voorkomen dan genezen. Daarnaast is de plugin verspreid door MS, dus kijk eerst naar hen..

NLChris 18 oktober 2009 15:02

Ik ben benieuwd of MS firefox gaat blocken als er een bug ontdekt wordt. Volgens mij hadden ze beter met elkaar moeten communiceren. Want dit is op zijn minst een controversiele actie van firefox.

Cameleon73 @NLChris • 18 oktober 2009 15:08

Microsoft zou door Mozilla op de hoogte zijn gebracht van de maatregel en de softwaregigant zou er mee hebben ingestemd.

Wat voor communicatieprobleem?

NLChris @Cameleon73 • 18 oktober 2009 15:18

De block is echter 2 dagen na de fix gezet. Lijkt me niet dat een block dan nog nodig is? MS is hier ook niet onschuldig. Het was verwarrend waar de kwetsbaarheid in zit.

[Reactie gewijzigd door NLChris op 23 juli 2024 08:30]

Grauw @NLChris • 18 oktober 2009 15:57

Ook al heeft Microsoft het specifieke probleem opgelost, ik wil niet dat Microsoft automatisch een ActiveX-achtige technologie (die automatisch native code kan installeren, voor zover ik begrijp) in mijn Firefox installeert. Het is nergens goed voor.

Overigens installeert Google iets vergelijkbaars in Firefox wanneer je Google Chrome installeert. Schetst mijn verbazing toen ik een Chrome update wilde downloaden in Firefox, dat deze zonder de verwachte downloadpopup en bevestigingsscherm direct geïnstalleerd werd.

Gelukkig kon je dat gedrocht wel uitschakelen, maar ook Google heeft hier natuurlijk niets te zoeken in mijn Firefox-plugins, en is het niet fijn dat zulks software zonder te vragen of zelfs zonder melding geïnstalleerd wordt. Totdat je het ontdekt en handmatig uitschakelt ben je kwetsbaar.

[Reactie gewijzigd door Grauw op 23 juli 2024 08:30]

Anoniem: 80466 @Grauw • 18 oktober 2009 16:21

ik wil niet dat Microsoft automatisch een ActiveX-achtige technologie (die automatisch native code kan installeren, voor zover ik begrijp)

Je begrijpt het duidelijk niet.
De plugin maakt het mogelijk om browser gebaseerde WPF applicaties te kunnen draaien. De 'native code' heb je dan al geinstalleerd staan op je computer in het .NET framework.

[Reactie gewijzigd door Anoniem: 80466 op 23 juli 2024 08:30]

Anoniem: 43714 @Anoniem: 80466 • 18 oktober 2009 17:06

Dat is dus een del van het probleem. De browser user agent string meld aan de server dat Mozilla Firefox .NET compatible is. Zo kunnen ze zeggen: Ontwikkelaars, kijk eens wat een groot marktaandeel we hebben met .NET. Veel marktonderzoek halen ze uit server statistieken. Gartner is daar een mooi voorbeeld van. Ontwikkel met onze tools!
Bovendien injecteren ze proprietary code in een OSS product, iets wat veel mensen niet willen en al helemaal niet op de stiekeme manier die MS gebruikt.

Als MS hun eigen software aanpast met updates is tot daar aan toe, je hebt immers de EULA geaccepteerd maar ze moeten van andere software afblijven.

Anoniem: 80466 @Anoniem: 43714 • 18 oktober 2009 17:19

Firefox biedt een vrije architectuur voor plugins.
Elk applicatie die gebruikers op hun computer installeren kan daar dus plugins voor installeren.

Of dat nou Adobe Acrobat is of het .Net Framework of de AVG antimalware programmatuur of de Sun Java Virtual Machine of elk andere willekeurig stukje programmatuur dat een gebruiker installeert.

kidde @Anoniem: 80466 • 18 oktober 2009 23:04

Firefox biedt een vrije architectuur voor plugins.

Juist, en dat is hetgene wat Firefox zo onveilig maakt. Daar is altijd al voor gewaarschuwd.

Velen (zo ook ik) denken echter dat zij degene zijn die bepalen welke plugins wel en niet geinstalleerd worden, en installeren alleen plugins vanaf vertrouwde websites. Als het goed is alleen vanaf de website van Mozilla zelf (valt te omzeilen, maar kost moeite).

Als er echter plugins geïnstalleerd kunnen worden zonder dat de gebruiker hier zelf expliciet toestemming voor geeft, en zonder dat deze van de site van Mozilla zelf komen, zit er wat mij betreft een enorm veiligheidslek in Firefox op Windows.

Stel dat Microsoft, Oracle (Sun) of Apple plugins met veiligheidslekken maakt (hint: Apple doet dat kennelijk, want Quicktime is ook geblokkerd) en zonder pardon bij de gebruiker installeert zonder dat deze dat weet, dan heeft de gebruiker geen reden meer Firefox nog te vertrouwen.

Firefox op Linux / BSD is vziw vooralsnog gelukkig niet kwetsbaar voor deze ellende, hetgeen ook alweer genoeg zegt over Windows.

Anoniem: 80466 @kidde • 19 oktober 2009 00:28

Als er echter plugins geïnstalleerd kunnen worden zonder dat de gebruiker hier zelf expliciet toestemming voor geeft, en zonder dat deze van de site van Mozilla zelf komen, zit er wat mij betreft een enorm veiligheidslek in Firefox op Windows.

Alle applicaties die je installeert kunnen daarbij ook aanvullende plugins in Firefox installeren. Wordt ook gebruikt voor het installeren van bijvoorbeeld de Google toolbar bij de installatie van Adobe Flash

Anoniem: 316446 @Anoniem: 80466 • 19 oktober 2009 00:45

Welke applicatie rechtvaardigt dan een niet uitschakelbare dotnet plugin in Firefox?

Je bent gewoon aan het recht praten van wat krom is, en dat valt me van je tegen. Ik heb geen Visual Studio? Waarom verwijs je mij naar een blog daarover, zoals je in deze reactie doet?
Anoniem: 80466 in 'nieuws: Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit'

De discussie techniek van jou noemen ze ook wel eens met hagel schieten. je gooit van alles naar binnen, de kwaliteit van de argumenten doet er niet toe, de relevantie ook niet, er blijft altijd wat hangen.

Tja, voor mij is het bedtijd. Veel plezier ermee.

[Reactie gewijzigd door Anoniem: 316446 op 23 juli 2024 08:30]

Anoniem: 43714 @Anoniem: 80466 • 18 oktober 2009 17:46

Dat een gebruiker installeert ja. Deze troep is ongevraagd en stiekem door MS geïnstalleerd. Dat is een behoorlijk verschil.
MS moet van de door de gebruiker geïnstalleerde software afblijven. Punt.

Jij kan MS 'schoonpraten' hoe je wilt, overal en altijd. Ik kom het vaker tegen.
Het zijn ongeoorloofde praktijken die ze op het zelfde niveau brengt als de criminelen die malware installeren op je pc.
Ik vindt het een rechtszaak waardig. Er moet een uitspraak komen die de praktijken van MS aan banden legt.

Anoniem: 196662 @Anoniem: 43714 • 19 oktober 2009 08:22

Die troep is geïnstalleerd toen jij een update in windows update hebt gedownload. Als je de moeite zou doen (je geeft er blijkbaar zoveel om) om de details te lezen, had je het geweten.

doctormetal @Anoniem: 43714 • 18 oktober 2009 21:52

Hoeveel andere software boeren installeren ongevraagd, en vaak ongewenst, browser plugins op je PC? Om er maar een paar te noemen: Adobe, Apple, Sun. Deze staan garant voor een flink aantal security issues.

Dus je kan wel weer lekker aan MS bashing doen, maar als je nu eens zorgt dat je weet waarover je praat?

blobber @doctormetal • 19 oktober 2009 12:36

Hoeveel andere software boeren installeren ongevraagd, en vaak ongewenst, browser plugins op je PC? Om er maar een paar te noemen: Adobe, Apple, Sun. Deze staan garant voor een flink aantal security issues.

Dus je kan wel weer lekker aan MS bashing doen, maar als je nu eens zorgt dat je weet waarover je praat?

Allemaal waar, maar het gaat hier om de MS plugin, dat er nog andere toko's zijn die dezelfde dubieuze methoden hanteren, maakt het niet minder verwerpelijk van MS.

[Reactie gewijzigd door blobber op 23 juli 2024 08:30]

mstam @doctormetal • 18 oktober 2009 22:01

Welke browser plugin(s) installeert Apple ongewenst onder OS X?

OS X heeft geen brakke browser plugins nodig in tegenstelling tot Windows.

Op dit item kan niet meer gereageerd worden.

Mozilla schakelt gevaarlijke Firefox-add-on van Microsoft uit

Lees meer

Reacties (184)

Sorteer op:

Weergave: