Il plug-in di FireFox della discordia

Lo scorso Febbraio Microsoft ha pubblicato un aggiornamento del framework .NET 3.5 che ha installato in modo silente, senza che l’utente potesse sceglierlo o nemmeno saperlo, un plug-in per quanti avevano il browser FireFox installato sul proprio sistema Windows.
A suo tempo erano nate discussioni abbastanza accese su questo comportamento, anche perché non era possibile disattivare o disinstallare il plug-in se non andando a modificare a mano alcune parti del registro di Windows, cosa che un utente non dovrebbe mai fare o quantomeno non essere costretto a fare.
Il plug-in si chiama Windows Presentation Foundation e chi non lo avesse disinstallato (a Marzo era uscito un aggiornamento che attivava correttamente la possibilità di disinstallazione) si è trovato un altro browser vulnerabile (FireFox) esattamente come qualsiasi altra versione di IE. Questo perché la scorsa settimana sono usciti degli aggiornamenti di sicurezza che riguardano quel componente aggiuntivo presente in IE ma non sono usciti aggiornamenti per questo plug-in di FireFox.
Tra venerdì e domenica però è successo qualcosa: per prima cosa Mozilla ha deciso di bloccare quel plug-in inserendolo in una block-list; successivamente Microsoft ha dichiarato che il plug-in non è un vettore per eventuali attacchi o problemi di sicurezza (mentre pochi giorni prima era d’accordo con Mozilla nel disabilitarlo…). Quindi Mozilla lo ha rimosso dalla block-list (http://blog.mozilla.com/security/2009/10/16/net-framework-assistant-blocked-to-disarm-security-vulnerability/).
Quindi? Tra tutti questi balletti l’utente che deve fare?
Il mio consiglio è quello di disinstallare quel plug-in dal vostro FireFox dato che questo ClickOnce serve principalmente a scaricare e ad eseguire applicazioni .NET all’interno del browser.


This entry was posted on Monday, October 19th, 2009 at 8:48 PM and is filed under security.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.