darkwkz
17.10.2009, 11:22
В принудительно устанавливаемом Microsoft расширении для Firefox найдена уязвимость
Как известно, компания Microsoft при использовании пользователем браузера Firefox принудительно устанавливает собственные расширения, при попытке обновить .NET Framework через систему Windows Update. В одном из таких расширений "Windows Presentation Foundation" найдена серьезная уязвимость, позволяющая злоумышленнику выполнить свой код при открытии специально подготовленной страницы.
Радует то, что плагин "Windows Presentation Foundation" можно легко отключить через стандартный менеджер дополнений, что не сделаешь с другим навязываемым дополнением 'Microsoft .NET Framework Assistant'. Стандартными средствами Firefox из списка дополнений данное расширение не удаляется, избавиться от расширения можно только через ручную правку реестра Windows и удаление файлов с диска.
Интересно, что несколько недель назад Microsoft подняла волну недовольства против выпущенного компанией Google расширения Google Chrome Frame для Internet Explorer, позволяющего интегрировать в IE движок браузера Google Chrome с целью поддержки элементов спецификации HTML5. Тогда основная причина претензий была связана с возможным понижением безопасности. По иронии судьбы компания Microsoft дала при этом повод для анализа уязвимостей в собственных расширениях для сторонних браузеров, проблемы безопасности в которых не заставили себя долго ждать.
Источник : http://www.osnews.com/story/22358/Silent_Install_Firefox_Plugin_Backfires_on_Microso ft
Как известно, компания Microsoft при использовании пользователем браузера Firefox принудительно устанавливает собственные расширения, при попытке обновить .NET Framework через систему Windows Update. В одном из таких расширений "Windows Presentation Foundation" найдена серьезная уязвимость, позволяющая злоумышленнику выполнить свой код при открытии специально подготовленной страницы.
Радует то, что плагин "Windows Presentation Foundation" можно легко отключить через стандартный менеджер дополнений, что не сделаешь с другим навязываемым дополнением 'Microsoft .NET Framework Assistant'. Стандартными средствами Firefox из списка дополнений данное расширение не удаляется, избавиться от расширения можно только через ручную правку реестра Windows и удаление файлов с диска.
Интересно, что несколько недель назад Microsoft подняла волну недовольства против выпущенного компанией Google расширения Google Chrome Frame для Internet Explorer, позволяющего интегрировать в IE движок браузера Google Chrome с целью поддержки элементов спецификации HTML5. Тогда основная причина претензий была связана с возможным понижением безопасности. По иронии судьбы компания Microsoft дала при этом повод для анализа уязвимостей в собственных расширениях для сторонних браузеров, проблемы безопасности в которых не заставили себя долго ждать.
Источник : http://www.osnews.com/story/22358/Silent_Install_Firefox_Plugin_Backfires_on_Microso ft