Qualche tempo fa avevamo parlato dell’add-on .NET Framework Assistant e di come Microsoft con un aggiornamento al framework .NET installasse questo componente in maniera silenziosa nelle versioni Firefox degli utenti.
Circa questo comportamento poco corretto di Microsoft si erano scatenate parecchie discussioni, in particolare sui i potenziali risvolti in tema di sicurezza.
Sulla questione torna un interessante articolo su ZDNet, che mette in evidenza come un altro componente sia interessato da una pericolosa vulnerabilità che espone gli utenti Firefox ad attacchi “drive-by download“.
Della falla si è parlato nei security bulletin MS09-054 che interessava falle critiche di Microsoft Internet Explorer e MS09-061 riguardante vulnerabilità nel.NET CLR.
Tuttavia come confermato dallo stesso Security Research & Defense team di Microsoft, i rischi di drive-by download non riguardano unicamente il browser Microsoft.
La tipologia di attacchi sfrutta un uso malizioso di XBAP (XAML Browser Application) e le vulnerabilità sottostanti fanno il resto. È sufficiente visitare un sito Web per ritrovarsi installato un qualche malware.
Per quanto riguarda Firefox il punto debole è rappresentato dalla presenza del plugin “Windows Presentation Foundation” che viene installato in automatico con .NET Framework 3.5 SP1.
Un utente che abbia installato correttamente gli aggiornamenti è protetto da eventuali rischi, tuttavia gli esperti Microsoft consigliano di disabilitare il plugin in Firefox nel caso in ambiente di produzione/sviluppo non si sia proceduto all’applicazione delle patch.
Microsoft da questa vicenda esce sicuramente a testa bassa, tanto più ricordando gli attacchi che lanciò a fine settembre nei confronti di Google e della scelta di introdurre Google Chrome Frame in IE.
Allora Microsoft accusò apertamente BigG di rendere il proprio browser meno sicuro. Della serie “chi è senza peccato scagli la prima pietra”.